GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Indie i prace nad pierwszą ustawą o ochronie danych osobowych

Indie i prace nad pierwszą ustawą o ochronie danych osobowych

Niegdysiejsza „Perła w Koronie” to dzisiaj drugie państwo świata pod kątem liczby ludności i jedna z najszybciej rozwijających się gospodarek na Ziemi, bijące rekordy pod względem offshoringu usług, szczególnie – w obszarze IT i nowych technologii. Szacuje się, że Indie zagarnęły aż 60% światowego rynku usług BPO (outsourcing’u procesów biznesowych).

Dla Unii Europejskiej kraj ten to bardzo ważny partner handlowy. Już od 2007 roku trwają rozmowy pomiędzy UE, a Indiami dotyczące utworzenia strefy wolnego handlu (FTA). Negocjacje, chociaż odbywają się w dobrej atmosferze, idą bardzo powoli i wielokrotnie już przekładano termin ich zakończenia.

Jednym z największych wyzwań dla firm korzystających z usług BPO jest kwestia ochrony danych osobowych powierzonych do przetwarzania usługobiorcom w Indiach. Do tej pory sfera ta pozostała nieuregulowana, co było zresztą podkreślane także w trakcie negocjacji z UE. Według Jean Claude’a Juncker’a, Przewodniczącego KE:

„Gdyby indyjskie standardy ochrony danych byłyby zbliżone do europejskich, to wtedy UE znalazłaby się w sytuacji, w której mogłaby uznać je za odpowiednie. To jest nasz warunek wstępny do wzmożenia współpracy w tym kierunku.”

Żeby sprostać tym wyzwaniom, już w 2010 r. indyjski rząd rozpoczął starania o przygotowanie pierwszego w tym kraju aktu prawnego kompleksowo regulującego kwestie ochrony danych osobowych, powołując w tym celu komisję ekspercką. W 2017 r. prace nabrały większego tempa i rok później powstał pierwszy projekt ustawy, który ujrzał światło dzienne.

Od tamtego czasu trwają szerokie konsultacje dotyczące aktu zwanego Personal Data Protection Bill („PDPB”). Poniżej najciekawsze aspekty tego projektu.

Zakres zastosowania oraz podstawowe definicje

Biorąc pod uwagę obecne brzmienie projektu, ustawa będzie miała szeroki zakres zastosowania – będą nią związane osoby fizyczne i prawne z siedzibą na terenie Indii; zarówno prywatne podmioty, jak i przedstawiciele rządu oraz administracji publicznej. W projekcie pojawia się też zasada ekstraterytorialności, która będzie miała zastosowania w przypadku systematycznego przetwarzania danych osobowych indyjskich rezydentów w związku z oferowaniem im dóbr i usługi, jak również w przypadku ich profilowania.

Prawem związani będą zarówno administratorzy danych (nazwani w projekcie ustawy „data fiduciary” czyli „powiernicy danych”), jak i podmioty przetwarzające dane w ich imieniu.

Ogólne definicje zawarte w projekcie, w tym definicje danych osobowych, administratora danych itd. są zbliżone do tych, które znamy z unijnych przepisów. Ciekawostką jest poszerzenie definicji danych wrażliwych o hasła, dane finansowe oraz państwowe identyfikatory.

Podstawy przetwarzania danych i prawa podmiotów danych

PDPB, w przeciwieństwie do RODO, wymienia zgodę podmiotu danych jako podstawową podstawę przetwarzania danych osobowych. W przypadku jej braku, przetwarzanie jest możliwe jeśli spełnione są inne przesłanki, w szczególności wtedy gdy:

W przypadku danych wrażliwych wymagana będzie wyraźna zgoda podmiotu danych.

Podmiotom danych przysługiwać mają podobne prawa do tych przewidzianych przez RODO. Dodatkowo, na gruncie PDPB bycie poinformowanym o incydencie naruszenia bezpieczeństwa danych osobowych zostało uznane za prawo podmiotowe.

Lokalizacja danych oraz transfery

Jednym z najbardziej kontrowersyjnych wymagań przewidzianych przed PDPB jest tzw. lokalizacja danych. Podmioty objęte ustawą będą miały obowiązek zlokalizowania na terenie Indii kopii danych, w przypadku jeśli dane te zasadniczo są przechowywane w bazach danych poza granicami tego kraju. Jednocześnie rząd indyjski ma otrzymać uprawnienie do określenia zakresu „danych krytycznych”, co do których ma powstać obowiązek wyłącznego przechowywania na terenie Indii. Wymaganie lokalizacji danych zostało uzasadnione łatwiejszym dostępem i możliwością kontroli procesów przetwarzania ze strony organów administracji publicznej.

Jeśli chodzi o transfery danych osobowych, PDPB przewiduje konieczność uprzedniego notyfikowania i trzymania zgody organu ochrony danych w przypadkach przekazywania  danych osobowych do państwa, które znajdzie się poza określoną przez indyjski rząd listą jurysdykcji o odpowiednim stopniu ochrony.

Co istotne, projekt w obecnym kształcie przewiduje że dane uznane za krytyczne nie będą mogły być przekazywane do innych państw w żadnych okolicznościach.

Sankcje

W obecnym kształcie, projekt przewiduje, że organ nadzorczy będzie mógł nałożyć na administratorów danych oraz podmioty przetwarzające kary administracyjne o wysokości do 4% światowego rocznego dochodu lub do wartości 150 milionów rupii indyjskich. Dodatkowo, organ nadzorczy będzie mógł  – bez uprzedniego wyroku sądu –  swobodnie decydować o tymczasowym aresztowaniu oraz pozbawieniu wolności osób, które uzna za winne naruszeniom najbardziej fundamentalnych przepisów ustawy.

Przyszłość projektu

Prace nad projektem ustawy mają zostać wzmożone w najbliższym czasie, po zakończeniu trwających przez kilkanaście tygodni wyborach do indyjskiego parlamentu i istnieje realna szansa na jej uchwalenie do końca 2019 r. Przyszłość pokaże, czy projekt obroni się w swoim obecnym kształcie i jak będzie wyglądać działalność nowego organu nadzorczego.

Wiele rozwiązań zawartych w PDPB zostało zaczerpniętych z RODO i w praktyce nie powinny stanowić wyzwań dla przedsiębiorców, którzy wdrożyli unijne Rozporządzenie, ale kwestie takie jak m.in. wymóg lokalizacji czy też ograniczenia transferów danych mogą stanowić nie lada wyzwanie dla podmiotów działających na indyjskim rynku.