Платформы электронной коммерции, посредники в социальных сетях и платформы онлайн-игр со значительной базой пользователей в Индии вскоре будут обязаны стирать личные данные пользователей через три года после того, как они больше не нужны. Эта директива является частью проекта правил Закона о защите цифровых персональных данных (DPDP), опубликованного для общественного обсуждения.
Проект правил распространяется на:
• Организации электронной коммерции с числом зарегистрированных пользователей не менее 2 миллионов человек в Индии.
• Посредники онлайн-игр с не менее 50 миллионами зарегистрированных пользователей.
• Посредники в социальных сетях с числом зарегистрированных пользователей не менее 2 миллионов человек.
Эти положения подробно описаны в разделе 8 проекта правил.
Доверенные лица, как называются эти организации, должны уведомить пользователей как минимум за 48 часов до удаления их данных. Это уведомление позволит пользователям запросить сохранение своей информации, такой как профили, адреса электронной почты и номера телефонов, если это необходимо для доступа к товарам, услугам или средствам.
«По меньшей мере за сорок восемь часов до завершения периода времени для удаления персональных данных в соответствии с настоящим правилом Доверенное лицо данных должно проинформировать Принципала данных о том, что такие персональные данные будут удалены, если только она не войдет в свою учетную запись пользователя или иным образом не инициирует контакт с Фидуциар данных», — говорится в проекте правил.
В случае утечки данных фидуциарии данных должны принять разумные меры безопасности и незамедлительно проинформировать затронутых пользователей. Уведомление должно содержать:
• Описание нарушения, включая его характер, время и место.
• Потенциальные последствия для пользователя.
• Принимаются меры по смягчению последствий.
• Меры безопасности, которые пользователь может предпринять, чтобы защитить себя.
• Контактные данные представителя, который может отвечать на вопросы пользователей.
«Узнав о любой утечке персональных данных, Доверенное лицо данных должно, насколько ему известно, проинформировать каждого пострадавшего Принципала данных в краткой, ясной и понятной форме и без промедления», — говорится в проекте.
Правительство собирает отзывы о проекте правил через портал MyGov до 18 февраля 2025 года. Закон DPDP, принятый в августе 2023 года, направлен на усиление правил защиты данных и укрепление доверия между пользователями и цифровыми платформами.
Проект правил сигнализирует о значительном изменении в системе конфиденциальности данных в Индии, возлагая на платформы ответственность за хранение и нарушение данных. Теперь организации должны сбалансировать соблюдение Закона, обеспечивая при этом удобство работы пользователей.
Мнения экспертов
Ручин Кумар, вице-президент компании Futurex по Южной Азии, сказал: «Закон DPDP 2023 года — это знаковая инициатива, призванная защитить личную информацию (PII) граждан Индии и одновременно способствовать укреплению доверия к процветающей цифровой экосистеме страны. Эти меры означают, что организации должны повысить качество своих данных. меры безопасности для соблюдения Закона и защиты прав людей на неприкосновенность частной жизни в цифровую эпоху. Это не только защищает личную информацию человека, но и укрепляет доверие к цифровой экосистеме Индии».
«Закон требует надежного шифрования данных как при хранении, так и при передаче, подчеркивая использование передовых алгоритмов шифрования и безопасных протоколов. Он также подчеркивает важность решений для централизованного управления ключами шифрования и использования аппаратных модулей безопасности (HSM) для защиты шифрования. Эти меры означают, что организации должны усовершенствовать свои методы обеспечения безопасности данных, чтобы соответствовать Закону и защищать права частных лиц в цифровую эпоху. Это не только защищает личную информацию, но и укрепляет доверие к цифровой экосистеме Индии, добавил Кумар.
Маюран Паланисами, партнер Deloitte India, прокомментировал: «Правила DPDPA весьма подробны и дают столь необходимые указания предприятиям в Индии, разъясняя требования к соблюдению, которые они должны выполнять, такие как меры по обязательствам для важных фидуциариев данных, регистрация и обязательства Менеджеры по согласию, создание и функционирование Совета по защите данных, включая особенности нарушения данных, намеки на Принципы обработки данных и Совет, процесс реализации Принципалами своих прав и сроки в отношении Данных. Фидуциары должны реагировать на жалобы».
«Мы предвидим, что предприятия столкнутся с некоторыми сложными проблемами при управлении согласием, поскольку оно составляет основу закона. Сохранение артефактов согласия и предоставление возможности отозвать согласие для конкретных целей может потребовать изменений на уровне дизайна и архитектуры приложений и платформ. Далее организациям необходимо будет инвестировать как в техническую инфраструктуру, так и в процессы для эффективного удовлетворения этих требований. Это включает в себя пересмотр методов сбора данных, внедрение систем управления согласием, создание четких протоколов жизненного цикла данных и фактическое внедрение этих методов на уровне реализации», — Palanisamy. добавлен.
Шахана Чаттерджи, партнер Shardul Aarchand Mangaldas & Co., сказала: «Мы приветствуем публикацию проекта правил для общественных консультаций, что знаменует собой значительный шаг на пути к реализации долгожданного Закона о защите цифровых личных данных (DPDP). Эта инициатива отражает стремление правительства создать надежную систему защиты данных в Индии. Хотя проект правил является позитивным шагом, мы считаем, что существует возможность дальнейшего повышения операционной ясности в определенных областях, и мы уверены, что эти обсуждения приведут к созданию сбалансированной и практичной нормативной базы».
Шрея Сури, партнер IndusLaw, прокомментировала: «Отрадно видеть, наконец, прогресс на этом фронте. Пока отрасль рассматривает проект правил Закона о защите цифровых персональных данных, необходимо принять во внимание несколько первоначальных размышлений. Эти правила были долгожданными, поскольку ожидалось, что они решат проблемы реализации, процедурные пробелы и области, где Закон требует дополнительной ясности. Несмотря на то, что проект действительно пытается охватить некоторые из этих аспектов, еще предстоит охватить значительный объем работы. Я ожидаю проведения тщательных общественных консультаций для сбора всесторонних отзывов и обеспечения того, чтобы окончательная версия отражала потребности и перспективы всех заинтересованных сторон. Постоянный вклад и руководство со стороны правительства будут иметь важное значение для обеспечения эффективной реализации».
«Интересным событием является введение потенциальных обязательств для крупных доверенных лиц в отношении трансграничного обмена данными. Хотя Закон в основном разрешает такую передачу, за исключением юрисдикций, внесенных в черный список, проект правил намекает на возможность дополнительного надзора. Предлагаемый комитет может рекомендовать запретить передачу определенных персональных данных за пределы Индии, что добавляет новое измерение в нормативно-правовую базу, которое будет важно учитывать заинтересованным сторонам. Кроме того, классификация доверительных лиц данных в проекте правил, в котором основное внимание уделяется определению сроков хранения данных. , кажется в настоящее время применяется только к трем категориям доверенных лиц. Однако среди различных заинтересованных сторон существуют опасения относительно необходимости дополнительных вариантов использования, которые еще предстоит решить. Это оставляет без ответа некоторые важные вопросы о методах хранения данных для определенных типов доверенных лиц. », — добавила Сури.