1 марта 2023 года вступил в силу Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор) от 05.08.2022 № 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных» (далее — Перечень стран), в соответствии с которым Индия признаётся страной с адекватным уровнем защиты прав субъектов персональных данных (ПДн).
Решение Роскомнадзора упрощает порядок трансграничной передачи персональных данных в Индию, что может иметь существенное значение для отечественных компаний, желающих установить/продлить деловые отношения с индийскими контрагентами.
В соответствии с новыми требованиями Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — Закон о ПДн), перед осуществлением трансграничной передачи ПДн каждый оператор [1] обязан уведомить Роскомнадзор о намерении передавать данные за рубеж. При этом, если страна признана обеспечивающей адекватный уровень защиты прав субъектов ПДн, как в случае с Индией, российским операторам не требуется выжидать 10-дневный срок, отведённый Роскомнадзору для принятия решения о разрешении или запрете такой передачи, — трансграничная передача ПДн разрешается сразу после подачи уведомления в Роскомнадзор.
Тем не менее операторам будет необходимо соблюсти все прочие требования, установленные в ст. 12 Закона о ПДн, которые могут включать в себя необходимость провести оценку видов наказания за нарушение требований к обработке ПДн и размеров штрафных санкций, собрать информацию об уполномоченном органе по защите прав субъектов ПДн в стране получателя данных и др. Для этого необходимо иметь общее понимание о порядке обработки ПДн в стране, на территорию которой планируется трансграничная передача ПДн. Несмотря на включение в Перечень стран с адекватными мерами защиты ПДн, в Индии до сих пор отсутствует единый и всеобъемлющий закон, который был бы посвящён регулированию сферы персональных данных. Хотя попытки систематизировать регулирование в области ПДн наблюдаются ещё с 2019 года.
ОСНОВНЫЕ НОРМАТИВНЫЕ АКТЫ
На сегодняшний день основными нормативными документами, регулирующими вопросы сбора, хранения и обработки ПДн в Индии, являются:
Не являются документами в области персональных данных, однако имеют непосредственное отношение к организации обработки информации (в том числе ПДн) в банковской сфере:
Закон об ИТ можно назвать единственным «профильным» законом в сфере защиты персональной информации в Индии. Несмотря на это, данный закон не предусматривает детального регулирования вопросов сбора и обработки ПДн. По большому счёту, Закон об ИТ представляет собой нормативный акт, регулирующий вопросы электронной коммерции и киберпреступности, тем не менее он всё же содержит ряд положений об ответственности за нарушение конфиденциальности персональной информации. Закон об ИТ имеет экстерриториальное действие и применяется к любым правонарушениям, совершаемым за пределами Индии любыми лицами вне зависимости от гражданства, если эти правонарушения совершаются с использованием «компьютеров» или «компьютерных систем», расположенных на территории Индии [7].
Дальнейшую реализацию Закона об ИТ обеспечивают принятые в 2011 году на законодательном уровне Правила ИТ, которые более детально рассматривают вопросы сбора, хранения, обработки, передачи и защиты ПДн.
Понятие персональных данных: «Персональная информация» в вышеупомянутых Правилах ИТ определяется как любая информация, относящаяся к физическому лицу, которая прямо или косвенно, в сочетании с иной информацией, доступной или потенциально доступной оператору, может идентифицировать соответствующее физическое лицо [8]. К чувствительным данным относится информация о паролях, финансовой информации (например, информация о банковских счетах или картах), состояние физического, физиологического или психологического здоровья, сексуальная ориентация, медицинские записи, история болезней, биометрические данные.
Политика конфиденциальности: операторы ПДн обязаны разработать и сделать доступной для субъектов ПДн, в том числе путём размещения на сайте оператора, политику конфиденциальности (policy for privacy and disclosure of information), описывающую порядок обработки ПДн. Такая политика должна содержать:
При сборе ПДн непосредственно от субъекта ПДн оператору необходимо предпринять разумные в конкретной ситуации и обстоятельствах шаги для того, чтобы обеспечить информирование субъектов ПДн о факте сбора ПДн, целях сбора ПДн, предполагаемых получателях ПДн, а также о лицах, осуществляющих сбор и дальнейшее хранение ПДн.
Правовые основания обработки ПДн: Правилами ИТ не предусматривается широкого перечня правовых оснований, как, например, в других юрисдикциях. Тем не менее при сборе или передаче чувствительных персональных данных оператор обязан получить письменное согласие субъекта на обработку ПДн. Передача ПДн, включая трансграничную, допускается при наличии согласия субъекта, а также в случаях, когда это необходимо для исполнения договора, стороной которого является субъект ПДн, или когда такое обязательство возлагается на оператора в силу закона.
Принципы обработки ПДн: при работе с чувствительными ПДн операторам следует руководствоваться сроками, необходимыми для достижения целей обработки. Хранение чувствительной информации дольше строго необходимого времени не допускается. Правила ИТ также предусматривают принцип ограничения целью — ПДн могут обрабатываться только для целей, для достижения которых они были первоначально собраны.
Права субъектов ПДн: субъекты ПДн имеют право на доступ к ранее предоставленной ими информации, а также на внесение уточнений и исправлений в неточную/некорректную информацию. Кроме того, субъектам ПДн предоставляется право на отзыв согласия на обработку ПДн.
Отличительной чертой текущего законодательства является отсутствие требования о назначении лица, ответственного за обработку и защиты ПДн (Data Protection Officer). Вместо этого операторам необходимо назначить лицо, ответственное за рассмотрение жалоб субъектов ПДн (Grievance Оfficer), а также опубликовать контактные данные такого лица на официальном сайте оператора.
Меры защиты ПДн: операторы обязаны разработать и внедрить программы и политики информационной безопасности, описывающие организационные, технические и физические меры защиты информации. Правила ИТ не детализируют, какие конкретно меры защиты обязаны внедрить операторы, чтобы исполнить требования о защите данных, но приводят в качестве примера подтверждения выполнения условий о защите ПДн соответствие признанным международным стандартам, например, ISO/IEC 27001 Information technology — Security techniques — Information security management systems — Requirements.
Трансграничная передача ПД: по общему правилу трансграничная передача ПДн допускается с согласия субъекта ПДн. При этом, однако, отраслевыми регуляторами могут приниматься собственные правила передачи персональных данных, которым необходимо следовать в соответствующих отраслях. Так, в соответствии с Директивой Резервного банка Индии все платёжные данные должны храниться только на территории Индии [9].Такие данные могут содержать данные клиента (имя, номер мобильного телефона, электронную почту, номер Aadhaar, номер PAN и т. д.); конфиденциальные платёжные данные (данные о клиенте и счёте получателя); платёжные реквизиты (OTP, PIN, пароли и т. д.); и данные транзакции (системная информация об отправителе и получателе, ссылка на транзакцию, отметка времени, сумма и т. д.). В случае если обработка данных осуществляется за рубежом, обрабатываемая информация должна быть возвращена в Индию не позднее 24 часов с момента осуществления платежа [10].
УПОЛНОМОЧЕННЫЙ ОРГАН
В отличие от России, в Индии отсутствует единый уполномоченный орган по защите персональных данных и прав субъектов ПДн. Тем не менее в Индии существуют несколько государственных органов, регулирующих вопросы персональных данных в пределах своих полномочий:
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ
Неисполнение обязанности по защите ПДн: в соответствии с Разделом 43А Закона об ИТ, в случае если оператор, обрабатывающий чувствительные ПДн или иную информацию о физическом лице, проявил халатность в отношении мер защиты ПДн, что привело к вреду для субъекта ПДн, такой оператор обязан возместить вред, причинённый физическому лицу путём выплаты соответствующей компенсации. При этом Закон об ИТ не предусматривает максимальный раздел такой компенсации.
Нарушение конфиденциальности и приватности: пункт 72 Закона об ИТ предусматривает ответственность за разглашение третьим лицам ПДн без согласия субъекта ПДн в виде лишения свободы на срок до 2 лет и/или штрафа в размере до 100 000 рупий (≈ 92 700 р.).
Раскрытие информации в нарушение договора: пунктом 72А Закона об ИТ предусматривается ответственность лица — стороны договора за раскрытие ПДн физического лица — другой стороны договора без согласия такого лица, осуществлённое при этом умышленно, с намерением причинить убытки или с осознанием, что контрагенту могут быть причинены неправомерные убытки или неправомерная прибыль. Такое деяние наказывается лишением свободы на срок до 3 лет и/или штрафом в размере до 500 000 рупий (≈ 464 000 р.).
Непредставление сведений об инцидентах информационной безопасности. В соответствии с пунктом 70BЗакона об ИТ CERT-IN может запрашивать у операторов ПДн информацию о киберинцидентах, включая инциденты, затрагивающие ПДн. Непредставление данной информации наказывается лишением свободы на один год и/или штрафом в размере до 100 000 рупий (≈ 92 800 р.).
ЗАКОНОПРОЕКТ О ЗАЩИТЕ ПДн (PERSONAL DATA PROTECTION BILL 2019)
Закон об ИТ был принят в 2000 году, на заре эры интернета, более детальные Правила ИТ также были приняты более 10 лет назад, когда общество ещё не вступило в эпоху цифровой трансформации, поэтому потребность обновления правового регулирования сферы ПДн в Индии более чем актуальна. В 2017 году Конституционный суд Индии признал право на приватность фундаментальным конституционным правом [12], что во многом послужило толчком к развитию сферы персональных данных в Индии. В 2018 году был предложен первый проект нового закона о персональных данных — Personal Data Protection Bill (далее — PDPB), после чего в 2019 году PDPB был направлен на рассмотрение Парламентского комитета.
Законопроект преимущественно был составлен по образу регламента GDPR и был направлен на защиту персональных данных физических лиц, а также на учреждение органа по надзору за соблюдением законодательства о защите персональных данных, который мог бы регулировать всю деятельность в сфере персональных данных на территории Индии [13].
Однако PDPB не устоял перед давлением и критикой со стороны технологического сектора, в том числе в лице таких гигантов индустрии, как Facebook и Google, которые выступали против его принятия, в частности против положений о локализации данных на территории Индии и запрета на экспорт «критически важных» персональных данных за пределы Индии (данная мера была предложена авторами законопроекта в качестве меры, необходимой для обеспечения «цифрового суверенитета» Индии). В результате в августе 2022 года, спустя почти 4 года обсуждений, законопроект был снят с рассмотрения.
ЗАКОНОПРОЕКТ О ЗАЩИТЕ ЦИФРОВЫХ ПДн (DIGITAL PERSONAL DATA PROTECTION BILL 2022)
В 2022 году был внесён новый законопроект о защите ПДн. Ожидается, что он может быть принят уже в первой половине 2023 года. Следуя популярной мировой тенденции последних лет, Digital Personal Data Protection Bill (далее — DPDPB) предусматривает экстерриториальный характер действия. Тем не менее он не так похож на GDPR, как его предшественник, и имеет ряд особенностей.
[1] Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
[2] The Information Technology Act, 2000 (No. 21 of 2000).
[3] The Information Technology (Amendment) Act, 2008 (No.10 of 2009).
[4] Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules (Privacy Rules), No. G.S.R. 313 (E) of 11 April 2011.
[5] Clarification on Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011 under section 43A of the Information Technology Act, 2000 (Press Note) of 24 August 2011.
[6] Cyber security Framework in Banks, Directive № RBI/2015-16/418 of 2 June 2016 adopted by Reserve Bank of India (notification).
[7] Shilpa Thakur, «Privacy and Data Protection Regime in India: а Curtain Raiser!», 2022, Sber Privacy Journal // Кибрарий [Электронный ресурс]. URL: https://www.sberbank.ru/common/img/uploaded/kibrary/dpo/sber_privacy_journal_2_2022.pdf
[8] Shilpa Thakur, «Privacy and Data Protection Regime in India: а Curtain Raiser!», 2022, Sber Privacy Journal // Кибрарий [Электронный ресурс]. URL: https://www.sberbank.ru/common/img/uploaded/kibrary/dpo/sber_privacy_journal_2_2022.pdf
[9] «Storage of Payment Data», Reserve Bank of India, DPSS.CO.OD.No 2785/06.08.005/2017-18 dated April 06, 2018.
[10] «Storage of Payment Data», Frequently Asked Questions, Reserve Bank of India // URL: https://www.rbi-ind.org/Scripts/FAQView3af3.html?Id=130
[11] No. 20(3)/2022-CERT-In, Government of India Ministry of Electronics and Information Technology (MeitY), Indian Computer Emergency Response Team (CERT-In), 28 April, 2022.
[12] Justice K.S.Puttaswamy (Retd.) v. Union of India [Writ Petition No. 494/ 2012].
[13] Shilpa Thakur, «Privacy and Data Protection Regime in India: а Curtain Raiser!», 2022, Sber Privacy Journal // Кибрарий [Электронный ресурс]. URL: https://www.sberbank.ru/common/img/uploaded/kibrary/dpo/sber_privacy_journal_2_2022.pdf
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных