Закон Индии о защите персональных данных: руководство для российских компаний

Индия — одна из самых быстрорастущих цифровых экономик в мире, и благодаря своей огромной базе пользователей она представляет собой привлекательный рынок для российских компаний, работающих в таких секторах, как технологии, игры, электронная коммерция, финтех и телекоммуникации. Но вместе с возможностями приходит и юридическая ответственность, особенно в отношении обработка и защита персональных данных.

Недавно принятый в Индии закон Закон о защите цифровых персональных данных 2023 года (Закон DPDP) создала комплексную правовую базу для сбора, хранения, использования и передачи персональных данных. Для любого иностранная компания, планирующая работать или обслуживать клиентов в Индии, соблюдение этого закона больше не является факультативным — оно является обязательным.

В Ахлават и партнеры Мы помогаем российским компаниям, стремящимся понять и внедрить меняющиеся индийские правила конфиденциальности данных по мере расширения своей деятельности. В этом руководстве описывается, что Закон DPDP означает, как это относится к иностранным компаниям и что российские компании должны сделать, чтобы получить юридические услуги в Индиии соблюдайте правила.

Обзор Закона о защите цифровых персональных данных 2023 года

The Закон о защите цифровых персональных данных 2023 года, принятый индийским парламентом в августе 2023 года, является первым полноценным законом Индии, посвященным конфиденциальности данных. Он распространяется как на персональные данные, собираемые онлайн и офлайн и охватывает любую обработку таких данных в Индии, а также за пределами Индии если это касается граждан Индии.

Закон разработан вокруг двух основных направлений:

• Данные доверительного управления : Лицо или организация, определяющие цель и средства обработки персональных данных (например, ваша компания).
• Принципал данных : Лицо, персональные данные которого обрабатываются (например, ваши клиенты, пользователи или сотрудники).

Закон требует прозрачности, согласия пользователя, подотчетности и мер безопасности во всех действиях по обработке персональных данных.

ДРаспространяется ли закон на российские компании?

Да. Если вы Российская компания, предлагающая товары или услуги резидентам Индии или если ваши операции связаны со сбором или обработкой данных индийских пользователей — напрямую или через партнеров — вы подпадаете под действие Закона о защите данных (DPDP).

Даже если в вашей компании есть нет физического присутствия в Индии вам по-прежнему потребуется:

• Соблюдайте индийские правила защиты данных
• Назначить представителя в Индии для ведения нормативной переписки
• Ведение необходимой документации и протоколов согласия

Это особенно важно для предприятий, занимающихся:

• Программное обеспечение как услуга (SaaS)
• Онлайн-игры или мобильные приложения
• Электронная коммерция и цифровые платформы
• Финансовые технологии или платежные решения
• Маркетинговые исследования и аналитика

Обработка данных на основе согласия: основа DPDP

В соответствии с Законом о ДППД, согласие является центральным требованием Согласие на обработку персональных данных должно быть:

• Бесплатно, не принудительный и не связанный с другими услугами
• Информированный, с четкими целями использования данных
• Специфический, охватывая только то, что необходимо
• Однозначный, с позитивным действием
• Отзывной, предоставляя пользователю право отозвать согласие в любое время

Вам необходимо предоставить пользователям Уведомление о конфиденциальности в простой язык, излагая:

• Тип собираемых данных
• Цель обработки
• Сроки хранения
• Права пользователей и рассмотрение жалоб

Если вы обрабатываете данные детей (лиц младше 18 лет), проверяемое родительское согласие является обязательным.

Обязанности доверительных управляющих данными (ваша компания)

Российские компании, действующие в качестве доверительных управляющих данными в Индии, имеют следующие обязательства в соответствии с законодательством:

1. Уведомление и согласие : Предоставьте пользователям прозрачные уведомления о конфиденциальности и получите действительное согласие.
2. Минимизация данных : Собирайте только те данные, которые необходимы для указанной цели.
3. Ограничение цели : Используйте данные только в целях, указанных при сборе.
4. Безопасность данных : Реализовать технические и организационные меры для защиты данных.
5. Отчет о нарушениях : Уведомить Совет по защите данных Индии и пострадавшие пользователи в случае утечки данных.
6. Механизм рассмотрения жалоб : Создайте канал, где пользователи смогут подавать жалобы.
7. Удаление данных : Удалять данные пользователя после достижения цели или отзыва согласия.
8. Ограничение срока хранения : Избегайте хранения данных в течение неопределенного времени — установите определенный срок хранения.

Несоблюдение любого из вышеперечисленных пунктов может повлечь за собой штрафы до 250 крор рупий (~30 миллионов долларов США) в зависимости от вида и степени нарушения.

Трансграничная передача данных

Предыдущие проекты законов Индии о защите данных, предложенные локальное хранение персональных данных, но окончательный закон о ДППД позволяет осуществлять трансграничную передачу данных в большинство стран — если только это не запрещено правительством Индии.

Это хорошая новость для российских компаний с центры обработки данных в Европе или России. Однако индийское правительство может выпустить будущие «черные списки» юрисдикций, в которые запрещена передача данных.

Чтобы оставаться в безопасности:

• Убедитесь, что ваш передача данных соответствует индийским законам
• Использовать Стандартные договорные условия (СДУ) и Соглашения об обработке данных
• Предоставлять полное раскрытие информации пользователям о том, где будут храниться их данные

Ahlawat & Associates может вам помочь структурируйте свою политику трансграничной передачи данных в соответствии с законами Индии.

Конфиденциальные данные и обработка с высоким уровнем риска

Хотя Закон DPDP рассматривает все персональные данные под одной крышей, некоторые категории, такие как финансовые данные, биометрические данные, медицинские карты и официальные идентификаторы (например, Aadhaar или паспорт) -требовать более строгий контроль.

Кроме того, если ваша компания занимается крупномасштабная переработка персональных данных или обрабатывает данные детей, вы можете быть классифицированы как Важные доверительные данные, с учетом дополнительных обязательств, в том числе:

• Назначение Сотрудник по защите данных (DPO) базируется в Индии
• Дирижирование периодические оценки воздействия защиты данных
• Проведение независимые аудиты практик обработки данных

Мы можем оценить вашу бизнес-модель и дать рекомендации, может ли ваша компания подпадать под эту категорию, а также помочь вам внедрить необходимые меры предосторожности.

Штрафы за несоблюдение

Система защиты данных в Индии вводит модель с первым штрафом, что означает, что принуждение будет основываться на финансовых санкциях, а не на уголовном преследовании (как в старых законах, таких как Закон об ИТ).

The Совет по защите данных Индии, независимый орган, будет иметь полномочия расследовать, выносить решения и наказывать за нарушения.

Наказания могут включать:

• До 250 крор рупий (~30 миллионов долларов США) за неспособность предотвратить утечки данных
• До 200 крор рупий за невыполнение запросов пользователей
• До 50 крор рупий за неуведомление о нарушениях
• Ежедневные штрафы за просроченные или несоответствующие требованиям операции

С этими строгими положениями, соблюдение имеет решающее значение с первого дня вашей деятельности в Индии.

Как мы помогаем российским компаниям соблюдать индийские законы о данных

ВМы предлагаем специализированные юридические услуги для иностранных компаний, входящих в Индию. Наши услуги по обеспечению соблюдения конфиденциальности данных для российских компаний включают:

• Юридическая оценка вашего продукта или услуги в индийском контексте
• Составление политика конфиденциальности, Условия эксплуатации, и соглашения об обработке данных
• Помощь с документация по трансграничной передаче данных
• Поддержка назначения DPO и настройка соответствия
• Обучение для вашего внутренние команды об обязательствах по данным
• Представительство в случае нарушение, штраф или удовлетворение жалобы

Мы также предоставляем постоянная юридическая поддержка поскольку режим конфиденциальности данных в Индии продолжает развиваться.

Практические рекомендации для российского бизнеса

Если ваш бизнес связан со сбором или обработкой данных в Индии, вот шесть шагов для обеспечения соответствия:

1. Оцените свои методы работы с данными : Какие данные вы собираете, храните и передаете?
2. Назначьте руководителя по вопросам конфиденциальности или DPO : Даже если это не требуется по закону, это помогает управлять рисками.
3. Обновите вашу политику конфиденциальности : Сделайте его совместимым с индийскими нормами и опубликуйте на своем веб-сайте/в приложении.
4. Внедрить технические меры безопасности : Системы шифрования, контроля доступа и обнаружения нарушений.
5. Обучите свой персонал : Убедитесь, что ваши сотрудники понимают обязательства по соблюдению конфиденциальности.
6. Ведение документации : Ведите учет согласий, запросов пользователей и журналов удаления данных.

Наша команда проведет вас через каждый шаг и предоставит индивидуальный контрольный список соответствия в зависимости от размера, деятельности и отрасли вашей компании.

Заключительные мысли

Индия — перспективное направление для российских компаний, особенно в сфере технологий, игр, программного обеспечения, искусственного интеллекта и цифровых услуг. Но вместе с возможностями приходит и ответственность. С вступлением в силу Закона о защите персональных данных (DPDP) понимание и соблюдение индийского законодательства о защите персональных данных — это не просто хорошая практика, а обязательное юридическое требование.

При профессиональной юридической помощи от Ахлават и партнеры, вы можете завоевать доверие пользователей, действовать прозрачно иизбежать нормативных штрафов— одновременно расширяя свое присутствие на одном из крупнейших в мире цифровых рынков.