印度《个人数据保护草案》即将出台,它与GDPR有多大差异?

 网喵   2020-05-14 17:30     0 条评论

前言:很多数据隐私保护官和企业领导者认为,如果他们已经采取了遵守欧盟GDPR的措施,不用任何行动就可以适用印度的《个人数据保护草案》(Personal Data Protection Bill以下简称PDP Bill),这并不正确。印度的PDP Bill处于批准的最后阶段。本文讨论了符合GDPR的公司需要采取哪些行动才能符合PDP Bill。尽管工作量可能不大,但是公司仍然需要针对PDP Bill采取特定的措施。

2017年7月,印度政府成立了一个专家委员会,主要研究数据在该国保护的有关问题。经过对2018年版本的修订,目前2019年版印度《个人数据保护法草案》已被送往联合议会委员会(JPC)进行下一步审议,该法案有望在2020年正式生效。下文将对这部在印度数据保护法域具有重要意义的草案进行概要介绍,以飨读者。

受欧盟《一般数据保护条例》(GDPR)的启发,印度的《个人数据保护法草案》从(PDP Bill)有时被称为印度的GDPR。这是因为,就隐私法而言,目前欧盟GDPR是黄金标准,GDPR之后通过的大多数隐私法都采用了欧盟GDPR的概念和原则,印度的PDP Bill也无例外地参照了欧盟GDPR中的许多概念。在理论概念上,您可能会认为这两项法律是相似的,遵守其中一项便意味着也遵守了另一项法律。但是,当深入研究时,有很多重要的细节变化要求企业在遵守PDP Bill时需要采取特定的措施。即使您的公司符合GDPR,也应该深入了解您的公司将需要专门针对PDP Bill做些什么。

GDPR和PDP Bill差异在哪里?

GDPR和PDP Bill存在许多差异,本文指出了PDP Bill上明显不同于GDPR的10个关键领域:

地域范围欧盟GDPR的适用范围仅限于处理欧盟居民的个人数据。但是,PDP Bill声明在印度进行的任何处理均应属于PDP Bill的适用范围。这意味着,您的公司可能已采取了必要的措施遵守了GDPR的要求,但现在需要将保护范围扩展到印度境内正在进行的所有数据加工活动。

个人和敏感数据的定义:欧盟 GDPR将个人数据定义为直接或间接识别个人身份的任何内容。PDP Bill也将推断数据视为个人数据,同时,PDP Bill规定“财务数据”也是敏感数据。此外,PDP Bill规定政府可以定义敏感数据的其他类别。因此,要遵守PDP Bill,您将需要重新考虑公司定义个人和敏感数据的方式,并调整流程和系统,以将“财务数据”添加到“敏感数据”类别中。从长远角度来看,通过调整流程/系统,将其他类别数据纳入敏感数据定义将是一种更可取的方法。

处理的法律依据欧盟GDPR和PDP Bill具有一套不同的处理个人数据的合法依据。更具体地说,PDP Bill没有规定根据合同进行处理,因为它更倾向于同意。此外,PDP Bill具有所谓的“合理目的”。因此,即使您公司的处理活动已是 GDPR 合规性的一部分,仍可能需要再次审查。一旦这样做,系统和流程也会发生变化。

同意欧盟GDPR认为同意是清楚、明确和知情的,而PDP Bill的同意更像是合同义务。此外,通过隐私声明共享信息也可能被PDP Bill视为同意。因此,您的公司在印度进行数据处理时继续采用GDPR同意方法,或是添加合同协议作为同意,或是考虑采用完全不同的方法。无论怎样,这是确定 PDP Bill 合规性操作的重要而基本的一部分。

合法权益欧盟GDPR允许数据管理者将某些处理活动指定为合法利益。但是,在PDP Bill中,此任务由数据保护机构(Data Protection Authority :DPA)完成。因此,您的公司将需要向DPA证明和验证对处理的选择是基于合法利益。另外,需要考虑如果DPA不同意该怎么办?希望这能在PDP Bill最终文本获得批准之前改变。

儿童年龄欧盟GDPR将儿童年龄定义为16岁以下的年龄,并允许成员国灵活地将年龄更改为13、14和15岁。但是,PDP Bill规定18岁以下者均为儿童。因此,您的公司在处理个人数据时将需要考虑这一点。如果您的公司已经为每个国家/地区制定了GDPR规定的年龄,那么这可能不是什么大变化,但仍然值得注意。

问责制和审核欧盟GDPR以问责制进行审核以促进企业的合规性,但PDP Bill要求企业进行审核,并定期将其提交给数据保护机构(DPA)。因此,企业现在需要考虑何时进行这些审核以及如何将其提交给印度的DPA。

被遗忘权和删除权欧盟GDPR并未将删除权和被遗忘权区分开。但是,PDP Bill在两者之间却有所不同。因此,即使您的公司符合GDPR,您也需要考虑在印度如何区分擦除(即删除权)和限制处理(即被遗忘权)。

DPA注册:欧盟GDPR对组织在数据管理机构中注册没有强制性要求,但是,PDP Bill要求处理大量数据的组织向DPA注册。因此,尽管您可能已经为遵守GDPR做好了一切,这也是一个尚待采取的新措施。

数据本地化到目前为止,欧盟 GDPR允许数据传输,如果您可以通过不同的方式确保被传输数据得到足够的保护。但是,PDP Bill要求必须在印度处理某些“关键”个人数据。即使是敏感的个人数据,也必须在印度保存一份副本。这一点PDP Bill与GDPR有很大不同,如果您的公司一直在使用基于云的解决方案来存储个人数据,则需要对您的数据处理和传输方法进行审查。

总结

PDP Bill在保护个人数据的原则和意图上类似于欧盟GDPR。但是,PDP Bill在范围、定义、权利、问责制和其他合法目的方面进行了细微的更改。这些细微的差异要求企业从PDP Bill的角度进行彻底的审查。以上有助于企业确定都需要哪些精确的更改,与企业是否符合欧盟 GDPR无关。即便做到GDPR合规可以使事情变得简单,也不能因已符合GDPR就说自己PDP Bill也合规了。

*本文出自SCA安全通信联盟,转载请注明出处。

本文地址:http://cn-mobi.com/?p=3988
版权声明:本文为原创文章,版权归 网喵 所有,欢迎分享本文,转载请保留出处!
NEXT:已经是最新一篇了

 发表评论


表情