Опыт Страны цветущего лотоса. Регулирование сферы персональных данных в Индии

Опыт Страны цветущего лотоса. Регулирование сферы персональных данных в Индии

1 марта 2023 года вступил в силу Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор) от 05.08.2022 № 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных» (далее — Перечень стран), в соответствии с которым Индия признаётся страной с адекватным уровнем защиты прав субъектов персональных данных (ПДн).

Решение Роскомнадзора упрощает порядок трансграничной передачи персональных данных в Индию, что может иметь существенное значение для отечественных компаний, желающих установить/продлить деловые отношения с индийскими контрагентами.

В соответствии с новыми требованиями Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — Закон о ПДн), перед осуществлением трансграничной передачи ПДн каждый оператор [1] обязан уведомить Роскомнадзор о намерении передавать данные за рубеж. При этом, если страна признана обеспечивающей адекватный уровень защиты прав субъектов ПДн, как в случае с Индией, российским операторам не требуется выжидать 10-дневный срок, отведённый Роскомнадзору для принятия решения о разрешении или запрете такой передачи, — трансграничная передача ПДн разрешается сразу после подачи уведомления в Роскомнадзор.

Тем не менее операторам будет необходимо соблюсти все прочие требования, установленные в ст. 12 Закона о ПДн, которые могут включать в себя необходимость провести оценку видов наказания за нарушение требований к обработке ПДн и размеров штрафных санкций, собрать информацию об уполномоченном органе по защите прав субъектов ПДн в стране получателя данных и др. Для этого необходимо иметь общее понимание о порядке обработки ПДн в стране, на территорию которой планируется трансграничная передача ПДн. Несмотря на включение в Перечень стран с адекватными мерами защиты ПДн, в Индии до сих пор отсутствует единый и всеобъемлющий закон, который был бы посвящён регулированию сферы персональных данных. Хотя попытки систематизировать регулирование в области ПДн наблюдаются ещё с 2019 года.

ОСНОВНЫЕ НОРМАТИВНЫЕ АКТЫ

На сегодняшний день основными нормативными документами, регулирующими вопросы сбора, хранения и обработки ПДн в Индии, являются:

• Закон об информационных технологиях, 2000 г. [2] (далее — Закон об ИТ);
• Поправки к Закону об информационных технологиях, 2008 г. (Пункты 43A и Секция 72A) [3];
• Правила (разумно обоснованные практики и процедуры защиты чувствительных персональных данных или информации) информационных технологий от 11 апреля 2011 г., принятые Министерством связи и информационных технологий [4] (далее — Правила ИТ);
• Уточнения к Правилам информационных технологий от 24 августа 2011 г., принятые Министерством связи и информационных технологий [5].

Не являются документами в области персональных данных, однако имеют непосредственное отношение к организации обработки информации (в том числе ПДн) в банковской сфере:

• Основы кибербезопасности в Банках № RBI/2015-16/418 от 2 июня 2016 г., опубликованные Резервным банком Индии [6];
• Хранение данных о платёжных системах, Директива Резервного банка Индии № RBI/2017-18/153 от 6 апреля 2018 г.

Закон об ИТ можно назвать единственным «профильным» законом в сфере защиты персональной информации в Индии. Несмотря на это, данный закон не предусматривает детального регулирования вопросов сбора и обработки ПДн. По большому счёту, Закон об ИТ представляет собой нормативный акт, регулирующий вопросы электронной коммерции и киберпреступности, тем не менее он всё же содержит ряд положений об ответственности за нарушение конфиденциальности персональной информации. Закон об ИТ имеет экстерриториальное действие и применяется к любым правонарушениям, совершаемым за пределами Индии любыми лицами вне зависимости от гражданства, если эти правонарушения совершаются с использованием «компьютеров» или «компьютерных систем», расположенных на территории Индии [7].

Дальнейшую реализацию Закона об ИТ обеспечивают принятые в 2011 году на законодательном уровне Правила ИТ, которые более детально рассматривают вопросы сбора, хранения, обработки, передачи и защиты ПДн.

Понятие персональных данных: «Персональная информация» в вышеупомянутых Правилах ИТ определяется как любая информация, относящаяся к физическому лицу, которая прямо или косвенно, в сочетании с иной информацией, доступной или потенциально доступной оператору, может идентифицировать соответствующее физическое лицо [8]. К чувствительным данным относится информация о паролях, финансовой информации (например, информация о банковских счетах или картах), состояние физического, физиологического или психологического здоровья, сексуальная ориентация, медицинские записи, история болезней, биометрические данные.

Политика конфиденциальности: операторы ПДн обязаны разработать и сделать доступной для субъектов ПДн, в том числе путём размещения на сайте оператора, политику конфиденциальности (policy for privacy and disclosure of information), описывающую порядок обработки ПДн. Такая политика должна содержать:

• ясное и легкодоступное описание принятых оператором практик и политик в отношении обработки ПДн;
• виды обрабатываемых ПДн, включая чувствительные ПДн;
• цели обработки ПДн;
• информацию о раскрытии ПДн третьим лицам;
• описание мер защиты, реализуемых оператором для защиты обрабатываемых ПДн.

При сборе ПДн непосредственно от субъекта ПДн оператору необходимо предпринять разумные в конкретной ситуации и обстоятельствах шаги для того, чтобы обеспечить информирование субъектов ПДн о факте сбора ПДн, целях сбора ПДн, предполагаемых получателях ПДн, а также о лицах, осуществляющих сбор и дальнейшее хранение ПДн.

Правовые основания обработки ПДн: Правилами ИТ не предусматривается широкого перечня правовых оснований, как, например, в других юрисдикциях. Тем не менее при сборе или передаче чувствительных персональных данных оператор обязан получить письменное согласие субъекта на обработку ПДн. Передача ПДн, включая трансграничную, допускается при наличии согласия субъекта, а также в случаях, когда это необходимо для исполнения договора, стороной которого является субъект ПДн, или когда такое обязательство возлагается на оператора в силу закона.

Принципы обработки ПДн: при работе с чувствительными ПДн операторам следует руководствоваться сроками, необходимыми для достижения целей обработки. Хранение чувствительной информации дольше строго необходимого времени не допускается. Правила ИТ также предусматривают принцип ограничения целью — ПДн могут обрабатываться только для целей, для достижения которых они были первоначально собраны.

Права субъектов ПДн: субъекты ПДн имеют право на доступ к ранее предоставленной ими информации, а также на внесение уточнений и исправлений в неточную/некорректную информацию. Кроме того, субъектам ПДн предоставляется право на отзыв согласия на обработку ПДн.

Отличительной чертой текущего законодательства является отсутствие требования о назначении лица, ответственного за обработку и защиты ПДн (Data Protection Officer). Вместо этого операторам необходимо назначить лицо, ответственное за рассмотрение жалоб субъектов ПДн (Grievance Оfficer), а также опубликовать контактные данные такого лица на официальном сайте оператора.

Меры защиты ПДн: операторы обязаны разработать и внедрить программы и политики информационной безопасности, описывающие организационные, технические и физические меры защиты информации. Правила ИТ не детализируют, какие конкретно меры защиты обязаны внедрить операторы, чтобы исполнить требования о защите данных, но приводят в качестве примера подтверждения выполнения условий о защите ПДн соответствие признанным международным стандартам, например, ISO/IEC 27001 Information technology — Security techniques — Information security management systems — Requirements.

Трансграничная передача ПД: по общему правилу трансграничная передача ПДн допускается с согласия субъекта ПДн. При этом, однако, отраслевыми регуляторами могут приниматься собственные правила передачи персональных данных, которым необходимо следовать в соответствующих отраслях. Так, в соответствии с Директивой Резервного банка Индии все платёжные данные должны храниться только на территории Индии [9].Такие данные могут содержать данные клиента (имя, номер мобильного телефона, электронную почту, номер Aadhaar, номер PAN и т. д.); конфиденциальные платёжные данные (данные о клиенте и счёте получателя); платёжные реквизиты (OTP, PIN, пароли и т. д.); и данные транзакции (системная информация об отправителе и получателе, ссылка на транзакцию, отметка времени, сумма и т. д.). В случае если обработка данных осуществляется за рубежом, обрабатываемая информация должна быть возвращена в Индию не позднее 24 часов с момента осуществления платежа [10].

УПОЛНОМОЧЕННЫЙ ОРГАН

В отличие от России, в Индии отсутствует единый уполномоченный орган по защите персональных данных и прав субъектов ПДн. Тем не менее в Индии существуют несколько государственных органов, регулирующих вопросы персональных данных в пределах своих полномочий:

• Министерство электроники и информационных технологий (далее — MeitY) отвечает за администрирование Закона об ИТ, за издание дополнительных правил и разъяснений в соответствии с ним.
• Индийский центр по реагированию на чрезвычайные ситуации в компьютерной сфере (the Indian Computer Emergency Response Team (далее — Cert-In) — учреждённая MeitY организация, уполномоченная собирать, анализировать и распространять информацию об инцидентах, связанных с кибербезопасностью. На операторов и обработчиков ПДн возлагается обязанность уведомлять Cert-In обо всех возникающих инцидентах кибербезопасности, например, о несанкционированном доступе к ИТ-системам или компрометации данных. В соответствии с директивой Cert-In об определённых типах киберинцидентов (таких как компрометация критически важных систем/информации, несанкционированный доступ к ИТ-системам/данным и т. д.) операторы данных обязаны сообщать в течение шести часов после их обнаружения [11]. Cert-In уполномочен координировать действия по реагированию на такие инциденты. При этом в Индии отсутствуют требования по уведомлению субъектов ПДн о нарушении безопасности принадлежащих им данных.
• Резервный банк Индии (Reserve Bank of India) издаёт руководящие принципы по организации обработки данных в финансовых учреждениях, а также выступает контролирующим органом в пределах своих полномочий (например, в случае нарушения безопасности данных банковская организация обязана уведомить об инциденте Резервный банк).

ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ

Неисполнение обязанности по защите ПДн: в соответствии с Разделом 43А Закона об ИТ, в случае если оператор, обрабатывающий чувствительные ПДн или иную информацию о физическом лице, проявил халатность в отношении мер защиты ПДн, что привело к вреду для субъекта ПДн, такой оператор обязан возместить вред, причинённый физическому лицу путём выплаты соответствующей компенсации. При этом Закон об ИТ не предусматривает максимальный раздел такой компенсации.

Нарушение конфиденциальности и приватности: пункт 72 Закона об ИТ предусматривает ответственность за разглашение третьим лицам ПДн без согласия субъекта ПДн в виде лишения свободы на срок до 2 лет и/или штрафа в размере до 100 000 рупий (≈ 92 700 р.).

Раскрытие информации в нарушение договора: пунктом 72А Закона об ИТ предусматривается ответственность лица — стороны договора за раскрытие ПДн физического лица — другой стороны договора без согласия такого лица, осуществлённое при этом умышленно, с намерением причинить убытки или с осознанием, что контрагенту могут быть причинены неправомерные убытки или неправомерная прибыль. Такое деяние наказывается лишением свободы на срок до 3 лет и/или штрафом в размере до 500 000 рупий (≈ 464 000 р.).

Непредставление сведений об инцидентах информационной безопасности. В соответствии с пунктом 70BЗакона об ИТ CERT-IN может запрашивать у операторов ПДн информацию о киберинцидентах, включая инциденты, затрагивающие ПДн. Непредставление данной информации наказывается лишением свободы на один год и/или штрафом в размере до 100 000 рупий (≈ 92 800 р.).

ЗАКОНОПРОЕКТ О ЗАЩИТЕ ПДн (PERSONAL DATA PROTECTION BILL 2019)

Закон об ИТ был принят в 2000 году, на заре эры интернета, более детальные Правила ИТ также были приняты более 10 лет назад, когда общество ещё не вступило в эпоху цифровой трансформации, поэтому потребность обновления правового регулирования сферы ПДн в Индии более чем актуальна. В 2017 году Конституционный суд Индии признал право на приватность фундаментальным конституционным правом [12], что во многом послужило толчком к развитию сферы персональных данных в Индии. В 2018 году был предложен первый проект нового закона о персональных данных — Personal Data Protection Bill (далее — PDPB), после чего в 2019 году PDPB был направлен на рассмотрение Парламентского комитета.

Законопроект преимущественно был составлен по образу регламента GDPR и был направлен на защиту персональных данных физических лиц, а также на учреждение органа по надзору за соблюдением законодательства о защите персональных данных, который мог бы регулировать всю деятельность в сфере персональных данных на территории Индии [13].

Однако PDPB не устоял перед давлением и критикой со стороны технологического сектора, в том числе в лице таких гигантов индустрии, как Facebook и Google, которые выступали против его принятия, в частности против положений о локализации данных на территории Индии и запрета на экспорт «критически важных» персональных данных за пределы Индии (данная мера была предложена авторами законопроекта в качестве меры, необходимой для обеспечения «цифрового суверенитета» Индии). В результате в августе 2022 года, спустя почти 4 года обсуждений, законопроект был снят с рассмотрения.

ЗАКОНОПРОЕКТ О ЗАЩИТЕ ЦИФРОВЫХ ПДн (DIGITAL PERSONAL DATA PROTECTION BILL 2022)

В 2022 году был внесён новый законопроект о защите ПДн. Ожидается, что он может быть принят уже в первой половине 2023 года. Следуя популярной мировой тенденции последних лет, Digital Personal Data Protection Bill (далее — DPDPB) предусматривает экстерриториальный характер действия. Тем не менее он не так похож на GDPR, как его предшественник, и имеет ряд особенностей.

• Область применения DPDPB сводится к обработке цифровых ПДн. За рамками остаётся вся обработка ПДн, осуществляемая без средств автоматизации.
• В отличие от предшественника, DPDPB не предусматривает требований к локализации баз ПДн на территории Индии. Вместо этого предполагается, что правительство Индии будет уведомлять иностранные государства, на территорию которых трансграничная передача ПДн допускается.
• В отличие от иных зарубежных аналогов, DPDPB не разграничивает ПДн на категории в зависимости от чувствительности обрабатываемой информации, вместо этого индийский законопроект предусматривает понятие «существенный оператор» (англ. significant data fiduciary). Вместе с тем в самом законопроекте отсутствуют критерии, по которым операторы будут отнесены к «существенным», полномочия определять операторов в качестве «существенных» отведены правительству. В случае признания «существенными операторами» компании будут обязаны выполнить дополнительный ряд мер: назначить лицо, ответственное за защиту ПДн (DPO), проводить оценку DPIA (data protection impact assessment), а также назначить независимого аудитора, ответственного за проведение систематического контроля за соблюдением положений DPDPB.
• Отличительной чертой DPDPB также является специально предусмотренная ответственность субъектов ПДн. В отличие от законов, регулирующих обработку и защиту ПДн в России, Китае, странах ЕС и др., DPDPB предусматривает обязанности не только для операторов данных, но также и для самих субъектов, за нарушение которых субъект ПДн может быть привлечён к ответственности. Целью данных положений является недопущение злоупотребления правами со стороны субъектов ПДн. Так, субъектам ПДн запрещается подавать ложные и необоснованные жалобы, предоставлять ложные данные, скрывать существенную информацию, выдавать себя за другое лицо или представлять недостоверную информацию при реализации права на исправление или уничтожение ПДн. Нарушение субъектами ПДн данных требований влечёт за собой назначение штрафа в размере до 10 000 рупий (≈ 9 300 р.).
• В отличие от PDPB, GDPR, PIPL и иных зарубежных законов о ПДн, законопроект не предусматривает «процентную вилку» штрафов. В соответствии с DPDPB,ответственность операторов за нарушение требований к обработке и защите ПДн не должна превышать 500 крор (≈ 5 млрд р.).

[1] Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

[2] The Information Technology Act, 2000 (No. 21 of 2000).

[3] The Information Technology (Amendment) Act, 2008 (No.10 of 2009).

[4] Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules (Privacy Rules), No. G.S.R. 313 (E) of 11 April 2011.

[5] Clarification on Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011 under section 43A of the Information Technology Act, 2000 (Press Note) of 24 August 2011.

[6] Cyber security Framework in Banks, Directive № RBI/2015-16/418 of 2 June 2016 adopted by Reserve Bank of India (notification).

[7] Shilpa Thakur, «Privacy and Data Protection Regime in India: а Curtain Raiser!», 2022, Sber Privacy Journal // Кибрарий [Электронный ресурс]. URL:  https://www.sberbank.ru/common/img/uploaded/kibrary/dpo/sber_privacy_journal_2_2022.pdf

[8] Shilpa Thakur, «Privacy and Data Protection Regime in India: а Curtain Raiser!», 2022, Sber Privacy Journal // Кибрарий [Электронный ресурс]. URL:  https://www.sberbank.ru/common/img/uploaded/kibrary/dpo/sber_privacy_journal_2_2022.pdf

[9] «Storage of Payment Data», Reserve Bank of India, DPSS.CO.OD.No 2785/06.08.005/2017-18 dated April 06, 2018.

[10] «Storage of Payment Data», Frequently Asked Questions, Reserve Bank of India // URL: https://www.rbi-ind.org/Scripts/FAQView3af3.html?Id=130

[11] No. 20(3)/2022-CERT-In, Government of India Ministry of Electronics and Information Technology (MeitY), Indian Computer Emergency Response Team (CERT-In), 28 April, 2022.

[12] Justice K.S.Puttaswamy (Retd.) v. Union of India [Writ Petition No. 494/ 2012].

[13] Shilpa Thakur, «Privacy and Data Protection Regime in India: а Curtain Raiser!», 2022, Sber Privacy Journal // Кибрарий [Электронный ресурс]. URL:  https://www.sberbank.ru/common/img/uploaded/kibrary/dpo/sber_privacy_journal_2_2022.pdf