+7 (499) 550-80-03
4people@grfc.ru
    • Главная Аналитика и законодательство Международные акты и акты иностранных государств в области персональных данных Акты иностранных государств Индия
    19 декабря 2022

    Индия

     

    ЗАКОНОДАТЕЛЬСТВО ИНДИИ В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Индия является вторым по величине онлайн-рынком в мире, уступая только Китаю. Между тем Индия не приняла специального закона о защите данных. В декабре 2019 года Правительство Индии внесло в парламент законопроект о защите персональных данных (DPD), который 3 августа 2022 года отозван с целью его доработки.

    В Индии при отсутствии специального законодательства о персональных данных действует самая большая в мире система идентификации граждан и резидентов Индии (AADHAAR), которая идентифицирует человека на основе анкетных данных, отпечатков пальцев и фотографий радужной оболочки глаза. Система содержит биометрические данные 1,1 млрд человек из 1,4 млрд населения.

    Система законодательства. Основные нормативно-правовые акты

    Конституция Республики Индия признает основополагающее право человека на неприкосновенность частной жизни. Это конституционное право служит сдерживающим фактором и влияет на толкование норм, закрепленных в законах об информационных технологиях, о защите прав потребителей, здравоохранении, финансах.

    Наиболее важные положения в области персональных данных содержатся в Законе об информационных технологиях от 2000 года (pdf) и Правилах об информационных технологиях от 2011 года (pdf) (далее — Правила SPDI).

    Правила SPDI определяют минимальные стандарты защиты данных, включая требования к компаниям о наличии политики конфиденциальности, необходимости получения согласия при сборе или передаче конфиденциальных личных данных или информации, а также информирования лиц о том, кто является получателем таких собранных данных.

    Помимо названных актов требования к защите данных содержатся и в других источниках: в Законе о защите прав потребителей и Правилах защиты прав потребителей (электронная коммерция).

    Территориальное действие законодательства о персональных данных

    Закон об ИТ имеет экстерриториальный характер и применяется к любому нарушению, совершенному за пределами Индии, против граждан и организаций Индии.

    Принципы обработки данных

    Основные понятия

    Закон об ИТ и Правила SPDI

    Личная информация/персональные данные

    Любая информация, относящаяся к физическому лицу, которая, прямо или косвенно, в сочетании с другой информацией, доступной или, вероятно, доступной, способна идентифицировать такое лицо.

    Конфиденциальные персональные данные

    Состоят из элементов личной информации, которые могут идентифицировать физическое лицо:

    • пароль;
    • финансовая информация (банковский счет, кредитная карта или дебетовая карта, данные другого платежного инструмента);
    • физическое, физиологическое и психическое состояние;
    • сексуальная ориентация;
    • медицинские записи и история болезни;
    • биометрическая информация.

    биометрические персональные данные

    Характеристики человеческого тела:

    • отпечатки пальцев;
    • сетчатка и радужная оболочка глаз;
    • голосовые модели;
    • рисунки лица;
    • измерения рук;
    • ДНК.

    Оператор персональных данных/корпоративное лицо, обеспечивающее политику конфиденциальности и раскрытия информации

    Юридическое лицо или любое лицо, которое от имени юридического лица собирает, получает, владеет, хранит, продает или обрабатывает информацию субъекта персональных данных/поставщика информации. Такое юридическое лицо должно издавать политику конфиденциальности и обеспечить доступность для просмотра теми поставщиками информации, которые предоставили такую информацию. Такая политика должна быть опубликована на веб-сайте юридического лица.

    Законопроект DPD

    контроллер данных – любое лицо, включая государство, компанию или юридическое лицо, которое самостоятельно или совместно с другими определяет цель и средства обработки;

    обработчик данных – любое лицо, которое обрабатывает данные от имени доверенного лица;

    персональные данные – это данные о физическом лице, которые прямо или косвенно позволяют его идентифицировать, с учетом любой характеристики, черты, атрибута или любого другого признака личности такого физического лица, будь то онлайн или офлайн или любая другая информация, включая любые ссылки, извлеченные из таких данных для целей профилирования;

    конфиденциальные персональные данные – персональные данные, которые могут раскрывать, быть связаны или представлять собой финансовые данные; данные о здоровье; официальные идентификаторы; сведения о сексуальной ориентации; биометрические данные; генетические данные; трансгендерный или интерсексуальный статус; каста или племя; религиозные или политические убеждения или принадлежность. Правительство имеет право определять дополнительные категории конфиденциальных персональных данных.

    медицинские данные – данные, которые относятся к состоянию физического или психического здоровья субъекта и включают в себя записи о прошлом, настоящем или будущем состоянии здоровья такого субъекта, данные, собранные в ходе регистрации или предоставления медицинских услуг, а также данные, которые связывают субъекта с предоставлением конкретных медицинских услуг.

    биометрические данные – изображение лица, отпечатки пальцев, радужная оболочка или любые аналогичные персональные данные, полученные в результате измерений или операций технической обработки физических, физиологических или поведенческих характеристик субъекта данных, которые отражают уникальные характеристики субъекта данных.

    субъект данных – физическое лицо, к которому относятся персональные данные.

    обработка – операции или набор операций, выполняемых с персональными данными, которые могут включать в себя сбор, запись, хранение, структурирование, адаптацию, изменение, извлечение, комбинирование, индексирование, распространение, предоставление, удаление.

    Трансграничная передача данных

    Закон об ИТ и Правила SPDI

    SPDI позволяет свободно передавать информацию за пределы Индии при условии получения согласия субъекта данных или при наличии договора с субъектом данных, который требует такой передачи. При этом другая сторона должна обеспечивать ту же степень защиты данных, что и передающее лицо.

    Центральное денежно-кредитное управление Индии издало указание для всех финансовых компаний, которые участвуют в платежном секторе, обрабатывать и хранить всю финансовую информацию в Индии. Платежные операции могут быть обработаны за границей, однако по завершении обработки все данные, связанные с обработкой, должны храниться только в Индии, а все записи за пределами Индии должны быть удалены.

    Законопроект DPD

    В соответствии с законопроектом предполагается введение общих требований к локализации данных. Положения будут допускать в некоторых случаях передачу конфиденциальных персональных данных за пределы Индии.

    Обработка данных несовершеннолетних

    Закон об ИТ и Правила SPDI

    Правила не содержат каких-либо конкретных правил по обработке персональных данных детей.

    Законопроект DPD

    В законопроекте предлагается, что личные данные ребенка должны обрабатываться таким образом, чтобы были защищены права и интересы ребенка. Обработка может производиться только после проверки возраста ребенка и получения согласия родителя или опекуна. Субъектам, которые обрабатывают персональные данные детей или предоставляют услуги, предназначенные для детей, запрещено профилировать, отслеживать или обрабатывать данные таким образом, чтобы это могло нанести вред ребенку.

    Согласие на обработку персональных данных. Правовые основания применения согласия. Требования к согласию

    Закон об ИТ и Правила SPDI

    В соответствии с Правилами SPDI конфиденциальные личные данные или информация должны собираться только для законных целей, связанных с функцией или деятельностью юридического лица (или любого лица от его имени), и сбор данных должен быть необходим для такой цели.

    Согласие является основной формой обработки данных. Субъект данных должен иметь возможность отказаться от предоставления данных или информации, которую запрашивают юридические лица. Субъекты должны всегда иметь эту возможность, пользуясь услугами юридических лиц, а также иметь возможность отозвать согласие, которое могло быть дано ранее. Если субъекты не дают согласия на сбор информации или иным образом отзывают свое согласие, правила SPDI дозволяют юридическим лицам не предоставлять товары или услуги, для которых запрашивалась информация. Помимо права на отказ от предоставления личной информации, субъекты имеют право просматривать предоставленную ими информацию и требовать исправления или дополнения такой информации, если она неверна.

    Законопроект DPD

    Согласие является основным правовым основанием для обработки персональных данных в соответствии с Законом. Чтобы быть действительным, согласие должно быть свободным (то есть свободным от принуждения, неправомерного влияния, мошенничества, введения в заблуждение или ошибок), информированным, конкретным, ясным и допускающим отзыв.

    Законный интерес прямо указывается в качестве основы для обработки персональных данных, если «обработка необходима для разумных целей, которые могут быть указаны в правилах».

    Ответственность за нарушения в сфере персональных данных

    Закон об ИТ и Правила SPDI

    Закон об ИТ предусматривает, что юридическое лицо, работающее с любыми конфиденциальными личными данными или информацией в компьютерных ресурсах, принадлежащих ему, контролируемое или управляемое им, будет обязано возместить ущерб в качестве компенсации пострадавшим лицам.

    Кроме того, раздел 72-A Закона об ИТ предусматривает штраф в размере до 5 млн индийских рупий или тюремное заключение сроком на три года, или и то и другое в случае раскрытия личной информации в нарушение законного договора или без согласия.

    В соответствии с Правилами SPDI субъекты могут подать жалобу должностному лицу, назначенному в соответствии с Законом об ИТ, которое уполномочено проводить расследование, результаты которого заслушиваются в Апелляционном суде по урегулированию споров в сфере телекоммуникаций.

    Законопроект DPD

    Нарушения могут повлечь за собой денежный штраф в размере до 50 млн индийских рупий (около 588 200 евро) или 2% от общего оборота обработчика за предыдущий финансовый год, в зависимости от того, что выше. Нарушение контроллером обязательств в отношении обработки персональных данных или конфиденциальных персональных данных, трансграничной передачи личных данных или несоблюдения мер безопасности может повлечь за собой денежный штраф в размере до 150 млн индийских рупий (приблизительно 1,7 млн евро) или 4% от общего мирового оборота за предыдущий финансовый год.

    Обзор отражает авторский взгляд ведущего специалиста по юридическому
    сопровождению Е.С. Дмитриева на законодательство Республики Индия

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.