Novinky

Darshil Surana
Partner, Kreston OPR Advisors

Join Darshil Surana on LinkedIn

www.krestonopr.com

Darshil Surana je skúsený odborník a partner v spoločnosti O. P. Rathi & Co, kde od apríla 2023 zohráva kľúčovú úlohu pri zlepšovaní obchodných procesov a zavádzaní strategických digitálnych transformácií. Darshil je známy svojimi odbornými znalosťami v oblasti finančného poradenstva a analýz na dynamickom trhu v Ahmedabade, kde má rôznorodé zručnosti, ktoré zahŕňajú interné audity, informačné technológie a manažérske účtovníctvo.

Pred svojou súčasnou funkciou bol Darshil majiteľom spoločnosti Darshil Surana & Associates, čo svedčí o jeho podnikateľskom duchu a jeho zručnosti v oblasti strategického plánovania, finančnej analýzy a komplexného zdaňovania. Jeho skúsenosti zahŕňajú aj kľúčové úlohy v spoločnosti Intech Systems, kde ako SBU Head a Delivery Head viedol multifunkčné tímy a riadil výkonnosť strategickej obchodnej jednotky pre MS Dynamics NAV/BC.

Darshilov postup z funkčného konzultanta na projektového manažéra odráža jeho výnimočné vodcovské schopnosti a zručnosti v oblasti riadenia projektov. Základy svojej kariéry položil v spoločnosti CA Pradeepkumar H. Shah & Co, kde si počas svojej praxe zdokonaľoval svoje účtovnícke a audítorské schopnosti. Kariéra Darshila Suranu je zmesou bohatých profesionálnych skúseností a hlbokého porozumenia zložitým finančným a obchodným stratégiám.

Indický zákon o ochrane digitálnych osobných údajov z roku 2023 (DPDP Act)

November 3, 2023

Zákon o ochrane digitálnych osobných údajov z roku 2023 (DPDP Act) bol v Indii prijatý 11. augusta 2023. Cieľom zákona je chrániť osobné údaje a súkromie jednotlivcov v tomto digitálnom svete. Ide o prelomový právny predpis, ktorý môže posilniť postavenie jednotlivcov a štátu pri zabezpečovaní ochrany osobných údajov. Zákon stanovuje rámec na zabezpečenie využívania údajov na primerané a určené účely a na zabránenie ich zneužitiu. Darshil Surana zo spoločnosti Kreston OPR Advisors vysvetľuje.

Definície zákona o ochrane digitálnych osobných údajov

Zákon kladie dôraz na “ochranu digitálnych osobných údajov”. Preto musia byť údaje každej osoby v digitálnom svete chránené osobami zodpovednými za ich zhromažďovanie, ukladanie a spracovanie. Najprv sa pokúsime pochopiť niektoré definície podľa § 2 zákona:

  1. Údaje – “reprezentácia informácií, faktov, pojmov, názorov alebo inštrukcií spôsobom vhodným na komunikáciu, interpretáciu alebo spracovanie ľuďmi alebo automatizovanými prostriedkami” – § 2 písm. h).
  2. Osobné údaje – “akékoľvek údaje o fyzickej osobe, ktorá je identifikovateľná na základe týchto údajov alebo v súvislosti s nimi” – § 2 písm. t).
  3. Digitálne osobné údaje – “osobné údaje v digitálnej forme” – oddiel 2 písm. n)

Prvý súbor definícií je pomerne jednoduchý. Údaje, osobné údaje a digitálne osobné údaje boli výslovne definované, aby sa odstránili akékoľvek nejasnosti a nejednoznačnosti. Je potrebné poznamenať, že údaje sú rozsiahlo definované ako “… vhodné na komunikáciu, interpretáciu alebo spracovanie ľuďmi alebo automatizovanými prostriedkami”. Preto bez ohľadu na to, či údaje spracúva ľudská alebo umelá inteligencia, zákon sa bude vzťahovať na obe. Niektoré príklady digitálnych osobných údajov sú:
– záznamy KYC, ako sú PAN, Aadhaar, vodičský preukaz atď.
– Kontaktné údaje, ako je e-mailová adresa, telefónne čísla atď.
– ID používateľov sociálnych médií a profily.
– Zvuková – vizuálna identifikácia osôb, ako sú záznamy z priemyselných kamier, zábery z webových kamier, fotografie a videá na sociálnych sieťach atď.
– Biometrické údaje, ako sú odtlačky prstov, skeny dúhovky, rozpoznávanie tváre atď.

  1. Príkazca údajov – “fyzická osoba, ktorej sa osobné údaje týkajú, a ak je takouto osobou
    (i) dieťa, zahŕňa rodičov alebo zákonného zástupcu takéhoto dieťaťa;
    (ii) osoba so zdravotným postihnutím vrátane jej zákonného zástupcu, ktorý koná v jej mene.”
  • Oddiel 2 písm. j).
  1. Zverenec údajov – “každá osoba, ktorá sama alebo v spojení s inými osobami určuje účel a prostriedky spracúvania osobných údajov” – § 2 písm. i).
  2. Spracovateľ údajov – “akákoľvek osoba, ktorá spracúva osobné údaje v mene splnomocnenca” – oddiel 2 písm. k).

Zadávateľ údajov

Ďalší súbor definícií je dôležitý. Vytvárajú základ pre rámec ochrany údajov. Osoba, ktorej sa údaje týkajú, sa nazýva “príkazca údajov”. Ústrednou postavou zákona je zadávateľ údajov. “Sprostredkovateľ údajov” by znamenal osobu, ktorá zhromažďuje, uchováva a spracúva údaje buď sama, alebo spolu so “spracovateľom údajov”. Oba tieto pojmy boli široko definované. Pochopme tieto definície na niekoľkých príkladoch:

Ilustrácia 1:
Spoločnosť A Limited je burzový maklér a pani X si u nej chce otvoriť účet Demat. Spoločnosť A Limited zhromažďuje jej meno, adresu, kontaktné číslo, PAN a Aadhaar a využíva služby spoločnosti B Limited, ktorá je archívom údajov, na overenie KYC. V tomto prípade je pani X príkazcom údajov, spoločnosť A Limited je splnomocnencom údajov a spoločnosť B Limited je spracovateľom údajov.

Ilustrácia 2:
Pani X vedie hudobnú akadémiu, na ktorej vyučuje klasickú hudbu. Dieťa Y (10 rokov) je jedným z jej študentov. Pani X si pre svoje záznamy vyzdvihne meno, adresu a kontaktné údaje dieťaťa Y. V tomto prípade sú dieťa Y a jeho rodičia zadávateľmi údajov a pani X je zverencom údajov.

  1. Spracúvanie – “vo vzťahu k osobným údajom znamená úplne alebo čiastočne automatizovanú operáciu alebo súbor operácií vykonávaných s digitálnymi osobnými údajmi a zahŕňa operácie, ako je zhromažďovanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prispôsobovanie, vyhľadávanie, používanie, zoraďovanie alebo kombinovanie, indexovanie, zdieľanie, zverejňovanie prenosom, šírenie alebo iné sprístupňovanie, obmedzovanie, vymazávanie alebo likvidácia” – oddiel 2 písm. x).

Spracovanie údajov zahŕňa všetky spôsoby a metódy od zberu údajov až po ich likvidáciu. Každá činnosť, ktorá sa vykonáva medzitým použitím údajov, bude zahrnutá do definície spracovania. Bude zahŕňať aj softvér na rozpoznávanie tváre alebo hlasu a nástroje používané na identifikáciu osôb.

Uplatňovanie zákona o ochrane digitálnych osobných údajov

Zákon o ochrane digitálnych osobných údajov sa vzťahuje na spracúvanie digitálnych osobných údajov na území Indie, ak sa osobné údaje zhromažďujú v digitálnej forme alebo v nedigitálnej forme a následne sa digitalizujú. Vzťahuje sa aj na spracúvanie digitálnych osobných údajov mimo územia Indie, ak takéto spracúvanie súvisí s akoukoľvek činnosťou súvisiacou s ponukou tovaru alebo služieb zadávateľom údajov na území Indie.

Ak dôjde k porušeniu ochrany údajov zadávateľa údajov aj mimo Indie, zákon sa bude uplatňovať aj v prípade, že tovar/služby zadávateľ údajov obstaral v Indii. Zákon teda rozšíril rozsah pôsobnosti a nie je obmedzený na hranice Indie.

Ilustračné foto:
Pani X je programátorka so sídlom v Pune a pracuje na voľnej nohe prostredníctvom portálu (registrovaného v USA), ktorý funguje ako agregátor pre poskytovateľov a príjemcov služieb a na tento účel zhromažďuje údaje, ako sú meno, adresa, kontaktné informácie, bankové údaje, údaje o kreditnej karte atď. V tomto prípade by sa na portál vzťahovali ustanovenia zákona v prípade porušenia digitálnych osobných údajov pani X.

Tento zákon by sa však neuplatnil, ak by osobné údaje spracúvala fyzická osoba na osobné účely a údaje by sprístupnil príkazca alebo iná osoba na základe povinnosti vyplývajúcej zo zákona.

Povinnosti správcu údajov

  1. Súhlas – zákon ukladá správcovi údajov rôzne povinnosti týkajúce sa spôsobu spracovania údajov a ich ochrany. Prvou a najdôležitejšou povinnosťou je získať “súhlas” od zadávateľa údajov. Podľa § 6 zákona by mal byť súhlas udelený zadávateľom údajov “slobodný, konkrétny, informovaný, bezpodmienečný a jednoznačný s jasným súhlasným konaním”. Ďalej sa v ňom uvádza, že “súhlas znamená súhlas so spracúvaním osobných údajov na vymedzený účel a obmedzuje sa na také osobné údaje, ktoré sú potrebné na tento vymedzený účel”. To znamená, že aj keď splnomocnenec udelil súhlas s relevantnými a irelevantnými údajmi, súhlas by sa obmedzil len na relevantné údaje a splnomocnenec by bol zodpovedný za porušenie povinnosti v prípade irelevantných údajov.
    Ilustračné foto:
    Pani X sa zaregistrovala ako kupujúci na portáli elektronického obchodu. Portál elektronického obchodu požiadal o jej mobilné číslo, adresu a zoznam telefonických kontaktov. Pani X súhlasí s oboma. Telefónny zoznam kontaktov však nie je potrebný na dodanie jej tovaru/služieb. Preto sa jej súhlas obmedzí na jej mobilné číslo a adresu na účely využívania tovaru/služieb z portálu elektronického obchodu, hoci mohla výslovne súhlasiť aj s poskytnutím zoznamu kontaktov.
    Ak teda správca údajov spracúva údaje, na ktoré nebol získaný súhlas alebo sa má za to, že nebol získaný v súlade s ustanoveniami zákona, nesie zodpovednosť za porušenie svojich povinností.

Okrem toho sa ku každej žiadosti, ktorú splnomocnenec na spracovanie údajov predloží splnomocnencovi na spracovanie údajov, priloží oznámenie, v ktorom sa splnomocnenec na spracovanie údajov informuje o:
– Osobné údaje a účel, na ktorý sa majú spracúvať.
– Ako môže zadávateľ údajov odvolať súhlas a podať žiadosť o nápravu.
– Ako môže zadávateľ údajov podať sťažnosť indickému výboru pre ochranu údajov.
Ak súhlas obsahuje niečo, čo porušuje ustanovenia zákona alebo predpisov prijatých na jeho základe, súhlas je neplatný v rozsahu takéhoto porušenia.

Ilustračné foto:
Fyzická osoba X si kúpi poistnú zmluvu prostredníctvom mobilnej aplikácie alebo webovej stránky poisťovne Y. Dáva Y svoj súhlas na (i) spracúvanie jej osobných údajov spoločnosťou Y na účely vydania poistky a (ii) vzdanie sa svojho práva podať sťažnosť indickému výboru pre ochranu údajov. Časť (ii) súhlasu, ktoré sa týka vzdania sa práva na podanie sťažnosti, je neplatné.
Príkazca má právo odvolať súhlas aj v prípade osobných údajov, na ktoré bol predtým udelený platný súhlas. Po odvolaní súhlasu bude musieť správca údajov zabezpečiť vymazanie údajov zo svojej databázy a zabezpečiť, aby sa už nepoužívali na spracovanie.

  1. Určité oprávnené použitie osobných údajov – Správca údajov môže spracúvať osobné údaje splnomocnenca na určité oprávnené účely, ako napríklad:
    a. Ak zadávateľ údajov dobrovoľne poskytol osobné údaje a výslovne nevyjadril nesúhlas s týmito údajmi.
    b. Údaje, ktoré si štát vyžiada na účely akéhokoľvek v súčasnosti platného zákona.
    c. Dodržiavanie rozsudku alebo vyhlášky
    d. Reakcia na núdzovú zdravotnú situáciu spojenú s ohrozením života alebo bezprostredným ohrozením zdravia zadávateľa údajov akejkoľvek inej osoby
    e. Prijímanie opatrení na zabezpečenie lekárskeho ošetrenia alebo zdravotníckych služieb
    f. Prijatie opatrení na zaistenie bezpečnosti akejkoľvek osoby počas katastrofy alebo narušenia verejného poriadku.
    g. Na účely zamestnania alebo na účely súvisiace s ochranou zamestnávateľa pred stratou alebo zodpovednosťou, ako je prevencia podnikovej špionáže, zachovanie dôvernosti obchodného tajomstva, duševného vlastníctva, utajovaných informácií alebo poskytnutie akejkoľvek služby alebo výhody, o ktorú žiada príkazca údajov, ktorý je zamestnancom.
  2. Všeobecné povinnosti fiduciára údajov – fiduciár údajov má určité povinnosti, ktoré musí dodržiavať, aby dodržal zákon:
    a. Za dodržiavanie ustanovení tohto zákona je zodpovedný splnomocnenec bez ohľadu na to, že si povinnosti podľa tohto zákona neplní splnomocnenec.
    b. Sprostredkovateľa údajov môže poveriť spracovaním údajov len na základe platnej zmluvy.
    c. Zabezpečenie úplnosti, presnosti a konzistentnosti údajov.
    d. Vykonávať vhodné technické opatrenia na zabezpečenie účinného dodržiavania ustanovení zákona.
    e. musí mať primerané bezpečnostné opatrenia na ochranu osobných údajov, ktoré má v držbe alebo pod kontrolou, vrátane údajov, ktoré spracúva ako vlastný subjekt alebo sprostredkovateľ údajov.
    f. V prípade porušenia ochrany osobných údajov informujte indický výbor pre ochranu údajov.
    g. vymaže a zabezpečí, aby sprostredkovateľ vymazal osobné údaje po odvolaní súhlasu zo strany zadávateľa údajov alebo ak už nie sú určené na daný účel.
  3. Osobné údaje detí – Správca údajov:
    a. Pred spracovaním akýchkoľvek osobných údajov získať overiteľný súhlas rodiča/zákonného zástupcu dieťaťa.
    b. nevykonávať sledovanie alebo monitorovanie správania detí alebo cielené reklamy zamerané na deti.

Práva a povinnosti príkazcu

Zadávateľovi údajov boli podľa tohto zákona priznané rôzne práva a výsady s cieľom zachovať súkromie jeho osobných digitálnych údajov. Sú tiež povinné dodržiavať ustanovenia tohto zákona.

  1. Práva zadávateľa údajov:
    a. Právo na prístup k informáciám o osobných údajoch: Príkazca má právo získať prehľad osobných údajov, ktoré spracúva správca.
    b. Zadávateľ údajov má právo na zmenu osobných údajov alebo ich vymazanie odvolaním súhlasu podľa zákona.
    c. V prípade porušenia zo strany splnomocnenca pre ochranu údajov bude mať splnomocnenec pre ochranu údajov právo na nápravu sťažností prostredníctvom splnomocnenca pre ochranu údajov, ako aj indického výboru pre ochranu údajov.
  2. Povinnosti zadávateľa údajov:
    a. Dodržiavať ustanovenia zákona.
    b. nevydávať sa za inú osobu pri poskytovaní osobných údajov na konkrétny účel.
    c. Nezatajovať podstatné informácie pri poskytovaní osobných údajov pre akýkoľvek doklad, jedinečný identifikátor, doklad totožnosti alebo doklad o adrese vydaný štátom alebo akýmkoľvek jeho orgánom.
    d. Nezaregistrovať falošnú alebo neopodstatnenú sťažnosť alebo podnet
    e. Poskytnite informácie, ktoré sú overiteľné a autentické.
    Sankcie za porušenie ustanovení zákona
    Zákon obsahuje prísne ustanovenia týkajúce sa dodržiavania zákona zo strany správcov údajov. Zároveň stanovuje prísne sankcie za porušenie ustanovení tohto zákona. Pozrime sa na niektoré sankcie, ktoré zákon ukladá:
    Sr. Nie. Sankcia za porušenie
    1 Porušenie povinnosti správcu údajov prijať primerané bezpečnostné opatrenia na zabránenie porušenia ochrany osobných údajov podľa pododdielu 5 oddielu 8 môže dosiahnuť 250 miliónov INR.
    2 Porušenie povinnosti oznámiť rade alebo dotknutému zadávateľovi porušenie ochrany osobných údajov podľa § 8 ods. 6. Môže sa rozšíriť až na 200 miliónov INR.
    3 Porušenie dodatočných povinností vo vzťahu k deťom podľa § 9 Môže dosiahnuť výšku 200 chorvátskych rupií.
    4 Porušenie ďalších povinností významného správcu údajov podľa oddielu 10. Môže sa rozšíriť až na 150 miliónov INR.
    5 Porušenie akéhokoľvek iného ustanovenia tohto zákona alebo predpisov prijatých na jeho základe. Môže sa rozšíriť až na 50 miliónov INR.

Ako vidíte, pokuta sa môže pohybovať od 50 do 250 miliónov INR v závislosti od typu porušenia. To si vyžaduje, aby všetky organizácie, ktoré spadajú pod definíciu správcu alebo spracovateľa údajov, prijali opatrenia na včasné riešenie súladu so zákonom a jeho pravidlami. Očakáva sa, že vláda poskytne prechodné obdobie, ktoré umožní implementáciu opatrení na zabezpečenie súladu.

Záver

Organizácie by si mali aktívne nechať vypracovať posúdenie vplyvu na ochranu údajov a získať súpis opatrení, ktoré treba prijať. Môžu sa týkať týchto oblastí:

  1. Mechanizmy súhlasu s návrhom.
  2. Prijatie opatrení v oblasti IT/IS a kybernetickej bezpečnosti.
  3. Vymenujte v rámci organizácie príslušných pracovníkov zodpovedných za dodržiavanie predpisov.
  4. Navrhnúť zásady ukladania, archivácie a čistenia údajov a nástroje na ich implementáciu.
    Jednotlivci by sa tiež mali o zákone vzdelávať a poznať svoje práva a privilégiá. Na viacerých portáloch zverejnili obrovské množstvo údajov online. Tento zákon im umožňuje prevziať kontrolu nad tým, ako sa môžu ich údaje využívať a chrániť.

Ak sa chcete dozvedieť viac o zákone o ochrane digitálnych osobných údajov v Indii, kontaktujte nás.