文章分类
发布时间:2023年9月
按主题导航
- 访问权
- 更正和删除的权利
- 申诉补救权
- 提名权
- 撤回同意的权利
- 儿童数据
- 例外情况
- 数据负责人职责
- 结论
印度《2023年数字个人数据保护法》为保护数字个人数据创建了一个新的框架。该法案为“数据主体”(与个人数据相关的个人)提供了四项广泛的权利,而“数据受托人”(决定处理个人数据的目的和方式的人)则负责主要合规,并负责落实数据主体的权利。
访问个人数据信息的权利
该法案允许数据主体向数据受托人寻求以下信息:
- 正在处理的个人数据的摘要,以及数据受托人正在进行的处理活动。
- 数据受托人与之共享此类个人数据的所有第三方的身份,以及已共享的个人数据的描述。
印度政府可能会规定数据受托人在行使访问权时有义务与数据主体共享的额外信息。
该法案没有规定数据受托人必须向数据主体提供的信息的粒度,也没有规定提供此类信息的方式。现阶段,尚不清楚数据受托人是否会被要求向数据主体提供信息的副本,也不清楚让数据主体能够查看有关其个人数据处理的信息的中央门户网站是否足够。总体而言,数据受托人将需要数据清单,以映射数据主体的个人数据在其组织内的存储方式、与每个第三方数据共享的详细信息以及处理目的。
不幸的是,根据该法案,这种访问权的结构方式很窄。实际上,只有在数据受托人同意处理个人数据的情况下,数据委托人才能行使这一权利。
虽然根据该法案,同意是处理个人数据的主要理由,而且大多数企业在业务运营中的日常数据处理都依赖于同意,但该法案为处理个人数据提供了额外的理由。例如,数据受托人可能出于就业目的或为了遵守判决、法令和法院命令而处理个人数据。在这种情况下,如果同意不是处理个人数据的理由,数据主体将没有访问权,从而限制了这一权利的有用性。
该法案还豁免数据受托人共享可能转移给其他数据受托人(包括政府和国家机构)的个人数据,用于预防、检测或调查犯罪或网络安全事件。从欧盟-印度和英国-印度的数据传输角度来看,数据负责人将不会被通知或有合法权利确认其个人数据受到拦截或正在被传输给政府机构。这限制了他们质疑此类拦截或访问的能力,引发了对印度有效申诉补救程序的担忧,并挑战了欧盟和英国的数据保护标准。实际上,在“第二阶段”之后向印度传输数据仍然具有挑战性,需要额外的保障措施。
更正和删除个人资料的权利
数据负责人有权更正数据受托人可能处理的不准确或误导性的个人数据,填写任何不完整的个人数据并更新个人数据。相应地,如果数据受托人选择使用个人数据来决定数据主体,或以其他方式与第三方数据受托人共享个人数据,他们有义务确保他们处理的个人数据完整、准确和一致。
数据主体也有权要求删除其个人数据。在这种情况下,以及数据主体撤回最初为处理其个人数据而提供的同意的情况下,数据受托人将有义务删除此类个人数据,除非出于处理特定目的或为了遵守适用法律而需要保留。在现阶段,法律对在行使删除权以确立、行使或辩护法律主张后是否可以保留个人数据保持沉默。
实际上,数据受托人有三重责任。首先,数据受托人必须采用能够实现数据准确性原则的系统,例如提供数据主体验证机制,以重新检查和确认数据直接来自个人的数据集。其次,他们必须使用能够有效更正、完成、更新或删除个人数据的技术工具。这些工具应允许数据受托人确保与之共享此类个人数据的各方也遵守此类要求。最后,数据受托人必须制定复杂的数据保留策略,以证明数据保留的充分理由。
与访问个人数据信息的权利一样,只有在数据受托人将同意作为处理个人数据的基础的情况下,才适用更正和删除个人数据的权利。印度政府预计将扩大数据委托人的权利范围,因为数据受托人依赖除同意以外的其他理由来处理个人数据。另外,政府将规定行使这些权利的方式。
申诉补救权
数据负责人有权就企业对其个人数据的处理提出申诉。从执法的角度来看,在向根据该法案成立的印度数据保护委员会提出投诉之前,受委屈的数据负责人将被要求终止所有申诉补救程序。
因此,数据受托人有机会创建有效的分级补救机制。作为这一过程的一部分,这些实体将被要求任命申诉补救官员,与受委屈的个人建立前端关系,并采用内部标准操作程序来解决、上报和工作流程。
提名权
数据负责人有权提名其他个人在其死亡或丧失工作能力的情况下代表其行事。丧失能力可以包括任何精神或身体的不健全。该法案不允许一个人在除死亡或丧失行为能力之外的任何其他情况下代表另一个人行使权利。
与法律的大多数方面一样,如何行使和实施这一权利的方式,包括授权书是否足够、被提名人的文书工作和核实程序等问题,将由政府规定。
撤回同意的权利
如果同意是处理个人数据的理由,则必须向数据主体提供撤回同意的权利。同意撤回流程的结构应与向数据主体提供同意请求的方式一样简单。
撤回同意的方式也必须在同意请求附带的隐私通知中告知数据主体。在撤回同意后,基于撤回的同意进行的所有数据处理必须停止,除非根据该法案或其他法律的规定,基于其他理由允许进行处理。
该法案还明确规定,撤回同意所产生的任何后果都必须由数据主体承担,这表明一旦撤回同意,企业可能会停止向个人提供商品和服务。
儿童数据
如果数据主体未满18岁,该法案将其父母或监护人纳入“数据主体”一词的定义范围。目前尚不清楚未成年数据主体是否被允许行使该法案项下的权利,或者其父母或监护人是否必须代表其行事。
数据受托人必须采用何种机制来确定父母或监护人的身份,核实他们与未成年人数据主体的关系,以及父母双方是否可以代表儿童行事的问题,如果可以,在权利行使冲突的情况下的解决程序也不清楚。然而,预计政府将对该法案下如何处理儿童个人数据制定详细规则。
例外情况
该法案提供了全面的例外情况,这可能会削弱数据主体有效行使权利的能力。数据负责人无权处理他们选择公开的个人数据,以及为研究、档案或统计目的处理的不用于做出特定于数据负责人的决策的个人数据。
因此,数据负责人可能会发现,几乎不可能行使大规模数据挖掘和处理的权利,以培训人工智能和机器学习工具。
雇员将无法对雇主行使寻求信息、更正或删除其个人数据的权利。大多数基于州的处理也不受该法案规定的约束。
另外,该法案适用于域外。虽然在印度进行任何处理的数据受托人都要遵守法律,但对于涉及非印度数据负责人的印度公司根据与非印度人签订的合同进行的处理,某些豁免适用。实际上,这些非印度数据主体将无法对此类印度公司行使权利。
此外,数据受托人没有义务承认数据主体的权利,因为基础处理是为了:
- 强制执行法定权利或要求。
- 预防、侦查、调查或起诉任何违法行为。
- 印度相关法院批准的合并、合并或重组。
- 确定拖欠贷款的个人的财务信息。
数据负责人职责
首先,数据主体要承担某些职责。例如,他们有义务遵守该法案,不冒充其他数据主体,在为政府标识符和国家或其机构发布的其他文件提供个人信息时不隐瞒重要信息,不登记虚假或无聊的投诉,在行使更正或删除权时只提供可验证的真实信息。违规处罚包括最高10000卢比的罚款。数据主体似乎有义务减轻无理取闹的投诉。
结论
该法案是对印度隐私领域的一次受欢迎的引入,为建立一个具体的数据主体权利体系铺平了道路。虽然这些权利的可用性不是绝对的,但预计政府将进一步指导向数据主体提供这些权利的确切方式。如果企业不为数据主体权利提供便利,数据主体也可以联系印度数据保护委员会。
业务部门应开始实施政策和机制,为数据主体提供所需的权限。应任命申诉专员或数据保护专员处理数据主体权利请求,并作为解决问题的单一联络点。因此,企业必须开始其合规之旅,并实施原则和标准来处理个人提出的数据主体权利请求。
IAPP资源中心还设有一个“印度”主题页面,定期更新IAPP的最新新闻和资源。
印度DPDPA的六大运营影响
可以在此处访问完整系列的概述页面。
- 第1部分:范围、关键定义和合法数据处理
- 第2部分:个人权利
- 第3部分:数据处理实体的义务
- 第4部分:执法和数据保护委员会
- 第5部分:跨境数据传输
- 第六部分:与《欧盟通用数据保护条例》等主要数据隐私法的比较分析
- 登录 发表评论