一项新的法律,它定义了企业应该如何处理用户数据生效与总统给同意数字个人数据保护(DPDP)法案通过议会在刚刚结束的季风会话。
法律武器患者更好地控制自己的数据,同时允许公司将用户的数据在国外处理,除了国家和地区限制通过中心通知。
它还赋予政府权力从公司和寻求信息问题的方向阻止的内容。而新法律寻求建立一个健壮的框架保护个人数据在数字领域,它有了一些人的批评,广泛的豁免授予国有实体和它的一些规定稀释具有里程碑意义的正确信息(RTI)的法律。
这里是关键外卖从刚毕业,具有里程碑意义的法律:
1。监管:DPDP法案为“数据主”提供了一个广泛的定义,即,涉及个人的个人数据,包括一个孩子(即。,一个人18岁以下)以及有关孩子的父母或合法监护人。该法案简化了“个人数据”的定义为“任何关于个人可识别的数据或与这些数据。DPDP法案要求数据受托人(在印度或印度以外)为数据主体提供一个通知说:(i)的个人资料收集;和(2)的目的,这样的个人资料将被处理。这样的通知需要提供请求数据主体的同意或之前进行处理。
2。惩罚:DPDP法案违反个人资料的广泛定义为任何未经授权的处理个人数据或意外的披露、采集、共享、使用、变更、破坏或损失的个人数据,妥协的机密性、完整性和可用性的个人数据。DPDP法案规定处罚违反个人数据,印度卢比的罚款250卢比(约3000万美元)未能采取合理的安全保障措施。还需要报告给每个受影响的个人数据泄露数据本金,不触发一个点球INR 200卢比(约2500万美元)。广泛的定义不仅影响的实例报告为个人数据泄露,而且对并行的惩罚,同样可以申请处理活动。
3所示。同意机制:DPDP法案提供了两大基地的处理个人数据——明示同意,视为同意。DPDP法案允许受托人处理个人资料数据的基础上,从个人获得的同意。此类同意必须是免费的,具体的,明智的和明确的(尽管这些因素被定义),必须提供给指定的平权行动的目的。DPDP法案还允许个人数据的处理基于视为同意。这包括一些标准的理由通常承认在其他司法管辖区,例如,为符合判决或裁定;医疗紧急情况;和与目的。
4所示。数据受托人根据DPDP法案要求采取合理的努力确保个人数据处理或代表他们是准确的和完整的数据在哪里(我)可能使用的数据受托人做出决定,影响数据本金,或(ii)可能会披露信托受托人到另一个数据的数据。DPDP法案还要求每个数据受托实施合理的安全保障措施,防止个人数据泄露和保护个人资料的占有或控制。具体标准等保障措施,然而,并没有规定。
5。DPDP法案即不强加硬数据本地化要求。,处理和存储重要个人资料只在印度。所有个人资料可以转让通知印度以外的国家或地区,由中央政府(基于它认为必要的因素)按照条款和条件,它可以指定(报告显示,这种“白名单”的方法可能会改变一个“黑名单”,在修订草案)。注意DPDP法案并指定其规定除了(而不是减损的)现有的法律,只有在冲突的情况下将DPDP法案的规定为准。有鉴于此,任何本地化需求根据现有的法律(如适用于支付数据,也有资格的个人数据)将继续应用即使DPDP法案(如果以目前的形式通知)生效。
接下来会发生什么人民院:时间:8月7日批准了这项法案,和Rajya Sabha 8月9日,国会批准过程的完成。政府预计将在10个月内实现DPDP部长AshwiniVaishnaw说。