Введение
Цифровая экономика данных Индии, судя по всему, опередила систему защиты персональных данных, изначально созданную для её регулирования, что указывает на необходимость более надёжного и всеобъемлющего правового режима. Сегодня компании в рамках обычной коммерческой практики передают персональные данные по расширяющейся сети глобальных связей — облачным провайдерам, платёжным операторам, маркетинговым агентствам. При этом в Индии удивительно большое число таких договорённостей до сих пор реализуется без какого-либо письменного соглашения, определяющего, как принимающая сторона фактически вправе использовать эти данные. Подрядчик подключается, доступ предоставляется, данные начинают передаваться, а вопрос о правах на данные и договорных гарантиях незаметно откладывается на потом.
Закон о защите цифровых персональных данных («DPDP») 2023 года, применяемый совместно с Правилами DPDP 2025 года (далее совместно — «DPDPA»), призван в корне изменить эту ситуацию. Закон был принят 11 августа 2023 года и в настоящее время вводится в действие поэтапно после публикации Правил в ноябре 2025 года. DPDPA ставит в центр каждой схемы обмена данными две роли: «Фидуциар данных» (Data Fiduciary), который определяет цели и средства обработки персональных данных, относящихся к физическому лицу (или «Субъекту данных» — Data Principal), и «Обработчик данных» (Data Processor), который обрабатывает эти данные от имени Фидуциара. Важно отметить, что в соответствии с DPDPA Фидуциар данных вправе привлекать Обработчика данных только на основании действительного договора и несёт ответственность за действия Обработчика независимо от любых соглашений об обратном.
В настоящей статье рассматриваются обязанности каждой из сторон в соответствии с DPDPA, ключевые элементы Соглашения об обработке данных (Data Processing Agreement, DPA), способного выдержать правовую проверку, вопросы трансграничной совместимости DPA, а также шаги, которые организациям следует предпринять для приведения существующих договорённостей в соответствие с требованиями DPDPA.
Понимание правовой основы Закона о DPDP
Несмотря на существование отраслевых обязательств по защите данных в различных сферах, до принятия DPDPA в Индии отсутствовала единая законодательная база, регулирующая защиту персональных данных. До DPDPA регулирование персональных данных в Индии осуществлялось преимущественно на основании Правил в области информационных технологий (о разумных мерах и процедурах безопасности и о чувствительных персональных данных или информации) 2011 года («Правила SPDI»), которые распространяются только на корпоративные структуры. Правила SPDI устанавливают ограниченную по охвату систему защиты данных, предусматривая обязательства главным образом в отношении узкой категории «чувствительных персональных данных или информации» (таких как пароли, финансовая информация, сведения о состоянии здоровья и т.д.). DPDPA устраняет этот пробел: он применяется к обработке цифровых персональных данных на территории Индии, а также к обработке за пределами Индии, если она связана с предложением товаров или услуг лицам, находящимся в Индии.
DPDPA вводит в свою систему две центральные роли: Фидуциар данных и Обработчик данных. Определяющей характеристикой Фидуциара данных является право принятия решений, поскольку Фидуциаром признаётся лицо, определяющее средства и цели сбора данных. Например, банк, собирающий сведения о клиентах для оценки права на получение кредита, является Фидуциаром данных. Таковым является и e-commerce платформа, персонализирующая рекомендации на основе истории покупок пользователя, и работодатель, ведущий учёт заработной платы сотрудников.
Обработчик данных, напротив, обрабатывает персональные данные от имени Фидуциара данных и строго по его указанию (не принимая решений о целях и средствах обработки). Так, в приведённом выше примере облачная компания, размещающая данные банка, является Обработчиком данных; равно как и фирма, проводящая e-mail кампании для ритейлера.
Разграничение ролей Фидуциара данных и Обработчика данных имеет существенное значение, поскольку обязательства по соблюдению требований DPDPA возлагаются в первую очередь на Фидуциара, а не на Обработчика. При этом DPDPA предписывает, что Фидуциар данных может привлекать Обработчика данных только на основании действительного Соглашения об обработке данных, в котором договорно закрепляются роли и обязанности Обработчика. Закон также устанавливает, что Фидуциар данных несёт ответственность за всю обработку, осуществляемую от его имени Обработчиком, независимо от любых соглашений об обратном, — то есть предусмотренная законом ответственность не может быть исключена договором. В совокупности эти положения делают DPA основополагающим правовым инструментом, регулирующим каждые отношения «Фидуциар — Обработчик» в рамках DPDPA.
Правовые требования в рамках DPA
Почему DPA необходимо Фидуциарам данных
Для Фидуциара данных DPA — это больше, чем требование закона. Это операционный инструмент, посредством которого Фидуциар доводит до Обработчика границы, в пределах которых должна осуществляться обработка, и одновременно инструмент управления коммерческими рисками, предоставляющий Фидуциару договорные средства защиты в случае, если Обработчик допустит нарушение. Фидуциару данных целесообразно обеспечить, чтобы его DPA с Обработчиком отражало каждое существенное обязательство, возложенное на Фидуциара в соответствии с DPDPA. Как минимум, DPA должно закреплять все обязательства, относящиеся к передаваемой на аутсорсинг обработке, и охватывать такие вопросы, как объём и цели обработки, применимые ограничения, стандарты безопасности, уведомление о нарушениях, содействие в реализации прав Субъектов данных, а также удаление данных при прекращении договора, среди прочего.
Помимо этих требований, DPA должно быть тщательно адаптировано к конкретной схеме сотрудничества и отрасли. Например, поставщику программных услуг, обрабатывающему данные сотрудников, требуются иные договорные условия, чем партнёру в сфере рекламных технологий, анализирующему поведение пользователей. Особой осмотрительности заслуживают DPA в таких отраслях, как электронная коммерция, социальные сети и онлайн-игры, поскольку компании этих секторов могут быть отнесены к категории «Значимых Фидуциаров данных» (Significant Data Fiduciaries, «SDF»).
Ввиду объёма и чувствительности обрабатываемых ими данных SDF подпадают под повышенные требования соответствия в рамках DPDPA. Основные обязанности Фидуциаров данных по Закону включают обработку данных только в законных целях при наличии действительного согласия, привлечение Обработчиков данных исключительно на основании действительных договоров, внедрение разумных мер безопасности, уведомление Совета по защите данных и затронутых лиц о любом нарушении, а также соблюдение прав Субъектов данных. Кроме того, к SDF предъявляются дополнительные требования, такие как назначение Ответственного за защиту данных (Data Protection Officer), находящегося в Индии, проведение периодических оценок воздействия на защиту данных (Data Protection Impact Assessments) и проведение независимых аудитов данных. Соответственно, компаниям, относящимся к SDF, следует обеспечить, чтобы их DPA отражали и дополнительные обязательства, связанные с этим статусом.
Как Фидуциарам данных, так и SDF следует учитывать, что ответственность Фидуциара не прекращается с передачей обработки на аутсорсинг. Любое несоблюдение требований со стороны Обработчика данных в соответствии с DPDPA рассматривается как несоблюдение со стороны самого Фидуциара и может повлечь штрафные санкции.
Обязанности Обработчика данных
В отличие от Фидуциаров данных, Обработчики данных не несут прямых установленных законом обязательств по DPDPA — их обязанности полностью вытекают из самого DPA. Грамотно составленное DPA, соответственно, будет требовать от Обработчика действовать только на основании документально оформленных указаний, поддерживать надлежащие меры безопасности, незамедлительно уведомлять Фидуциара о любом нарушении, содействовать в исполнении запросов о реализации прав Субъектов данных и удалять все данные при прекращении договора.
На практике регулярно возникает вопрос: может ли Обработчик данных стать Фидуциаром данных? Ответ — да. Компаниям следует учитывать, что если Обработчик самостоятельно принимает решения о целях или объёме обработки, удерживает данные сверх согласованного срока или использует их в собственных коммерческих целях, он может быть признан Фидуциаром данных и подпасть под обязательства по соблюдению требований DPDPA.
Например, поставщик программного обеспечения для управления взаимоотношениями с клиентами (CRM), обрабатывающий данные от имени пользователей, как правило, будет квалифицироваться как Обработчик данных. Однако если поставщик CRM использует данные клиентов для обучения собственного аналитического продукта или для продажи аналитических выводов другим клиентам, такое использование выходит за рамки обработки по указанию и означает, что поставщик определяет собственные цели использования данных. В этом случае поставщик будет действовать уже как самостоятельный Фидуциар данных, и к нему будет применяться весь объём обязательств по DPDPA.
Кроме того, Закон о DPDP прямо не регулирует вопрос привлечения субобработчиков. Однако с учётом сохраняющейся ответственности Фидуциара данных любое привлечение субобработчиков Обработчиком данных должно осуществляться только с предварительного письменного разрешения Фидуциара, а договор субобработки должен возлагать на субобработчика обязательства, эквивалентные предусмотренным в DPA.
Рекомендации для бизнеса
Ключевые положения, которые должны быть в каждом DPA
DPA должно содержать точное описание обрабатываемых данных и разрешённой цели обработки, а также положения, ограничивающие использование Обработчиком данных персональной информации строго рамками, санкционированными Фидуциаром. В нём также должны быть закреплены обязательства по безопасности, согласованные с DPDPA, чёткие сроки уведомления о нарушениях (выстроенные таким образом, чтобы Фидуциар данных мог исполнить собственные обязанности по отчётности), требования о согласовании субобработчиков, права на аудит и проверку, а также положения, обязывающие Обработчика удалить или вернуть персональные данные при прекращении договора. В случае трансграничной схемы (когда персональные данные передаются от индийской компании иностранному поставщику услуг или наоборот) важно, чтобы DPA также регулировало условия передачи данных, установленные Центральным правительством.
Стандартизация внутренних шаблонов DPA
Организациям, работающим с несколькими подрядчиками, целесообразно разработать стандартный шаблон DPA, изначально задающий определённые рамки для ключевых положений. Шаблон может быть дифференцирован по уровню риска: например, более развёрнутый шаблон — для привлечения крупного Обработчика данных, такого как поставщик SaaS-услуг, и стандартный шаблон — для логистического подрядчика, обрабатывающего минимальный объём персональных данных. Готовый шаблон DPA поможет предотвратить заключение разовых договорённостей без надлежащих условий о защите данных.
Обучение и информирование персонала
Компаниям желательно сформировать у сотрудников базовое понимание того, что никакие персональные данные не могут передаваться третьей стороне без действительного DPA. Регулярное внутреннее обучение требованиям Закона о DPDP или тому, как определить, создаёт ли конкретная схема отношения «Фидуциар — Обработчик», может быть полезным для этой цели и способствовать предотвращению непреднамеренного несоблюдения DPDPA.
Ревизия действующих договоров
Компаниям следует провести аудит текущих договоров с подрядчиками, чтобы оценить, насколько они выдерживают проверку в рамках требований DPDPA. Для этого компании могут, в частности, проверить, предусматривают ли их действующие договоры ограничение целей обработки, обязательства по безопасности, сроки уведомления о нарушениях, условия о субобработчиках и т.д. Критически важно, чтобы любые договоры, не отвечающие требованиям, были пересмотрены до начала правоприменения. Учитывая всеобъемлющий характер обязательств, вводимых DPDPA, компаниям (особенно тем, которые с высокой вероятностью будут отнесены к SDF) следует привлечь юридических консультантов с опытом в области права защиты данных для анализа и структурирования своих DPA.
Заключение
С учётом изложенного очевидно, что DPA — это не простая формальность, а основная договорная гарантия, доступная Фидуциару данных на случай несоблюдения требований Обработчиком данных. Поскольку DPDPA возлагает ответственность непосредственно на Фидуциара данных, без надлежащего DPA у Фидуциара нет оснований для предъявления требований к Обработчику данных.
Необходимость DPA дополнительно подчёркивается размером штрафов, предусмотренных DPDPA. Например, неисполнение Фидуциаром обязанности по внедрению разумных мер безопасности для защиты персональных данных может повлечь штраф в размере до 250 крор индийских рупий (около 26 млн долларов США), а нарушения, связанные с уведомлением о нарушениях и с данными детей, — до 200 крор индийских рупий (около 21 млн долларов США) за каждое. При этом DPDPA не предусматривает прямых финансовых санкций в отношении Обработчиков данных.
Компаниям, которые квалифицируются как Фидуциары данных и стремятся внедрить системы соответствия требованиям DPDPA — в том числе путём надлежащего составления DPA, ревизии договоров с подрядчиками или внедрения соответствующих режимов безопасности данных, — следует как можно скорее обратиться к квалифицированным консультантам в этой области, до полного вступления DPDPA в силу в следующем году.
This content is posted in English language: Data Processing Contracts in India: Fiduciary and Processor Responsibilities Under the DPDP Act