Закон о защите цифровых персональных данных 2023 года (DPDPA) совместно с Правилами о защите цифровых персональных данных 2025 года (DPDP Rules) формирует комплексную правовую архитектуру Индии, регулирующую сбор, обработку, хранение и трансграничную передачу цифровых персональных данных физических лиц (Субъектов данных). DPDPA также регулирует передачу цифровых персональных данных за пределы Индии по мере того, как глобальные компании всё активнее используют беспрепятственный трансграничный обмен данными.
Согласно докладу IAMAI, цифровая экономика Индии является одной из наиболее быстрорастущих в мире: страна насчитывает более 900 миллионов пользователей интернета и динамично развивающийся сектор технологий и услуг. С учётом этого масштаба практически каждая транснациональная корпорация, занимающаяся цифровой торговлей, облачными услугами, финансовыми технологиями, медицинскими технологиями или профессиональными услугами, с большой вероятностью обрабатывает персональные данные резидентов Индии в той или иной форме — и, следовательно, подпадает под действие DPDPA.
DPDPA ставит Индию в один ряд с такими мировыми режимами защиты данных, как Общий регламент по защите данных ЕС (GDPR), сохраняя при этом собственную самобытную регуляторную идентичность. Одним из важных элементов DPDPA являются правила, регулирующие трансграничную передачу персональных данных, которые подробно рассматриваются в настоящей статье.
Обзор DPDPA 2023 года
DPDPA 2023 ввёл первую в Индии комплексную систему защиты данных, заменив десятилетия фрагментарных положений о конфиденциальности, разбросанных по различным законам. Закон распространяется на обработку цифровых персональных данных на территории Индии, а в силу своего экстерриториального действия — также на обработку цифровых персональных данных за пределами Индии, если такая обработка связана с деятельностью, направленной на предложение товаров или услуг Субъектам данных на территории Индии. Закон вводит три основополагающих понятия:
Фидуциарий данных (Data Fiduciary): любое лицо, которое самостоятельно или совместно с другими лицами определяет цели и средства обработки персональных данных.
Обработчик данных (Data Processor): любое лицо, осуществляющее обработку персональных данных по поручению Фидуциария данных.
Субъект данных (Data Principal): физическое лицо, чьи данные обрабатываются.
Система трансграничной передачи данных: Раздел 16
Модель «Негативного списка»
Раздел 16 является ключевым положением DPDPA, регулирующим передачу персональных данных за пределы Индии. В то время как GDPR предусматривает комплексную многоуровневую систему международных передач данных, DPDPA 2023 применяет более простую модель «Негативного списка»: трансграничная передача данных разрешена во все страны, за исключением тех, которые прямо ограничены Центральным правительством путём уведомления.
На сегодняшний день ни одного такого уведомления об ограниченных странах Правительством издано не было. Тем не менее организации по-прежнему несут полную ответственность за персональные данные, передаваемые ими в другие страны. В рамках действующей системы передача данных разрешена во все юрисдикции при условии, что соответствующая страна не включена в уведомлённый правительством список ограничений, — при соблюдении всех иных обязательств по Закону и Правилам DPDP.
Вместе с тем серьёзной проблемой соответствия требованиям являются последующие передачи (onward transfers): когда данные, переданные в разрешённую страну, впоследствии передаются в ограниченную. Эта лазейка способна свести на нет цель и защитные положения Закона, если она не будет надлежащим образом устранена вместе с публикацией «Негативного списка».
Объём полномочий Правительства в соответствии с Разделом 16
Важно отметить, что полномочия Центрального правительства по Разделу 16 не ограничиваются ведением и публикацией списка ограниченных стран. Правительство также сохраняет за собой право устанавливать условия и ограничения на передачу персональных данных в страны, в том числе те, которые не включены ни в какой список ограничений. Соответственно, организациям не следует расценивать текущее отсутствие уведомления об ограниченных странах как означающее, что трансграничные передачи разрешены безусловно: Правила DPDP и последующие правительственные уведомления могут вводить процедурные требования или существенные условия, применимые к передачам данных в целом.
Обязательства Фидуциариев данных
Фидуциарии данных несут основную ответственность за то, чтобы все трансграничные передачи данных осуществлялись законным, прозрачным и безопасным образом. Их позиция в части соответствия требованиям должна включать ряд ключевых мер, в том числе следующие:
Во-первых, им необходимо проводить комплексное картирование передачи данных: вести полный реестр всех персональных данных, передаваемых в иностранные юрисдикции, с указанием страны назначения, получающей стороны, категорий и объёма данных, а также цели передачи.
Во-вторых, необходима проверка получателей. Фидуциарии обязаны оценивать, являются ли зарубежные получатели государственными структурами или органами иностранных правительств, поскольку это может повлечь дополнительный контроль.
В-третьих, договорные положения с зарубежными партнёрами должны включать условия о передаче данных, предусматривающие соблюдение индийского законодательства, обязательства по уведомлению в случае изменения структуры собственности или контроля, а также обязательства по уведомлению об инцидентах, соответствующие требованиям DPDPA.
Кроме того, Фидуциарии данных обязаны соблюдать принцип минимизации данных и передавать лишь тот минимальный объём персональных данных, который необходим для заявленной цели. Передача персональных данных в объёме, превышающем необходимый, не допускается.
Уведомления о конфиденциальности, направляемые Субъектам данных в соответствии с Разделом 5 Закона, должны быть обновлены и чётко раскрывать: страны или территории, в которые могут передаваться персональные данные; категории Фидуциариев данных или получателей, которым раскрываются данные; цели, для которых данные передаются каждому получателю.
Отраслевые законы и многоуровневое соответствие требованиям
DPDPA не действует изолированно. Соблюдение отраслевых норм о локализации данных и их передаче, установленных такими регуляторами, как RBI, SEBI и IRDAI, представляет сложность для предприятий финансового сектора, здравоохранения, телекоммуникаций и страхования. В ряде случаев эти отраслевые нормы предъявляют более строгие требования, чем сам DPDPA. Например, руководящие принципы RBI требуют, чтобы отдельные категории платёжных данных хранились исключительно в системах, расположенных на территории Индии. Навигация в этом многоуровневом регуляторном пространстве является одной из наиболее сложных задач в области соответствия требованиям для глобальных компаний, работающих в Индии или с индийскими партнёрами.
Практические шаги по обеспечению соответствия требованиям для глобальных компаний
С учётом изложенного глобальным компаниям рекомендуется незамедлительно предпринять следующие шаги:
- Аудит данных и картирование передач: провести комплексный аудит всех потоков персональных данных для выявления категорий, объёмов, мест назначения, получателей и применимого правового основания для каждой передачи.
- Проверка уведомления о конфиденциальности: проверить и обновить уведомления о конфиденциальности в соответствии с Разделами 5 и 6 Закона.
- Проверка механизмов получения согласия: оценить достаточность имеющихся механизмов согласия и убедиться в наличии равнозначных механизмов его отзыва.
- Соответствие требованиям при обработке данных детей: провести аудит продуктов, доступных несовершеннолетним, и внедрить механизмы верифицируемого согласия родителей.
- Система реагирования на нарушения: создать и протестировать систему реагирования на инциденты в соответствии с Разделом 8(6).
- Мониторинг нормативных изменений: внедрить систему мониторинга уведомлений по Разделу 16, поправок к Правилам DPDP и руководства Совета по защите данных.
- Отраслевое картирование соответствия: сопоставить обязательства по DPDPA со всеми применимыми отраслевыми требованиями для выявления пробелов в системе соответствия.
Стоит отметить, что раннее обеспечение соответствия требованиям не только снижает правовые риски, но и даёт компаниям стратегические преимущества в быстрорастущей цифровой экономике Индии.
Заключение: навигация в условиях неопределённости
DPDPA 2023 и Правила DPDP 2025 совместно образуют значимую систему защиты данных, распространяющуюся в том числе на глобальные компании. Несмотря на то что многое остаётся неопределённым в ожидании публикации «Негативного списка», основные обязательства по Закону и Правилам вступили в силу и влекут правовые, финансовые и репутационные последствия для несоответствующих организаций. Глобальным компаниям следует провести аудит своих экосистем данных, внедрить надлежащие договорные и технические механизмы защиты, операционализировать системы реализации прав Субъектов данных и вести постоянный мониторинг регуляторных изменений.
Часто задаваемые вопросы
1. Какова территориальная сфера действия DPDPA?
DPDPA регулирует любую обработку цифровых персональных данных на территории Индии, а также экстерриториально применяется к обработке данных за пределами Индии, если она связана с предложением товаров или услуг Субъектам данных в Индии, даже при отсутствии физического присутствия Фидуциария данных или Обработчика данных в стране.
2. Могут ли фидуциарии данных передавать персональные данные за пределы Индии?
Да, трансграничная передача разрешена, однако данные не могут передаваться в страны, входящие в «Негативный список» Центрального правительства.
3.Был ли опубликован «Негативный список» Центральным правительством?
Нет, список ещё не опубликован. Ожидается, что он будет издан в надлежащие сроки по мере поэтапного вступления в силу положений DPDPA.
This content is originally Posted in English: Cross-Border Data Transfers Under India’s Digital Personal Data Protection Act, 2023: A Compliance Guide for Global Businesses