• Startseite
  • Artikel
  • Marketing
  • Indiens Gesetz zum Schutz digitaler personenbezogener Daten, 2023: Ein Meilenstein für den digitalen Datenschutz

Indiens Gesetz zum Schutz digitaler personenbezogener Daten, 2023: Ein Meilenstein für den digitalen Datenschutz

Veröffentlicht: 2023-09-21

Indiens neues Gesetz zum Schutz digitaler personenbezogener Daten von 2023 gilt für alle Organisationen und Unternehmen, die an der Erhebung oder Verwaltung personenbezogener Daten beteiligt sind. Das Gesetz deckt nicht nur die Datenverarbeitung innerhalb Indiens ab; Es hat auch die Autorität über die Datenverarbeitung, die außerhalb Indiens erfolgt.

Indiens sich schnell entwickelnde Technologielandschaft hat mit der Einführung und anschließenden Verabschiedung des Gesetzes zum Schutz digitaler personenbezogener Daten (DPDP) im Jahr 2022 einen bedeutenden Meilenstein erreicht. Dieses entscheidende Gesetz erhielt am 5. Juli die Zustimmung des Unionskabinetts und wurde während der Monsunsitzung des Parlaments vorgestellt , das am 20. Juli 2023 begann. Es durchlief den Gesetzgebungsprozess zügig und erhielt am 7. August die Zustimmung sowohl des Unterhauses (Lok Sabha) als auch des Oberhauses (Rajya Sabha) am 9. August.

Mit der offiziellen Zustimmung des Präsidenten am 11. August 2023, wie in der Mitteilung der indischen Regierung angegeben, wurde das Gesetz zum Schutz digitaler personenbezogener Daten von 2022 offiziell in das Gesetz zum Schutz digitaler personenbezogener Daten von 2023 umgewandelt.

Die Reichweite des Digital Personal Data Protection Act von 2023 geht über die Grenzen Indiens hinaus und umfasst die Verarbeitung digitaler personenbezogener Daten auch im Ausland.

Herr Rajarshi Bhattacharya, Vorsitzender und Geschäftsführer von ProcessIT Global , verglich das Gesetz mit der bestehenden Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU). Er sagte: „Es ist weiter fortgeschritten, weil die DSGVO schon vor einiger Zeit herauskam. Diese Politik ist fortschrittlicher und umfassender, was den Fortschritt Indiens fördern wird.“

Rajarshi Bhattacharya: Cyber-Resilienz, Regierungspolitik und Einblicke in die Datensicherheit
Erhalten Sie wertvolle Einblicke von Rajarshi Bhattacharya von ProcessIT Global, während er sich mit den Bereichen Cyber-Resilienz, den Auswirkungen auf die Regierungspolitik und den entscheidenden Aspekten der Datensicherheit in der heutigen digitalen Landschaft befasst.
Sayantan Mondal StartupTalky

Aus einem gemeinsamen Bericht der Branchenorganisation IAMAI und des Marktdatenanalyseunternehmens Kantar, bekannt als „Internet in India Report 2022“, geht hervor, dass mehr als die Hälfte der indischen Bevölkerung, also 759 Millionen Menschen, das Internet aktiv nutzten. Im Jahr 2022 greifen sie mindestens einmal im Monat darauf zu. Der Bericht hebt außerdem hervor, dass von diesen aktiven Nutzern 399 Millionen im ländlichen Indien leben und damit die 360 ​​Millionen Nutzer in städtischen Gebieten übertreffen. Dies deutet darauf hin, dass die Internetausweitung im Land hauptsächlich vom ländlichen Indien vorangetrieben wird.

Neues Datenschutzgesetz betont ethische KI und globale Reichweite
Pflichten für Unternehmen
Ihre Rechte und Pflichten in Bezug auf Ihre personenbezogenen Daten
Der Gesundheitssektor bereitet sich auf Auswirkungen vor

Neues Datenschutzgesetz betont ethische KI und globale Reichweite

Deepika Loganathan, CEO von HaiVE , sagte: „Wir freuen uns, die Verabschiedung des Digital Personal Data Protection Act, 2023 (DPDPA-2023) durch das indische Parlament zu begrüßen. Diese wegweisende Gesetzgebung passt perfekt zu unserem langjährigen Engagement für ethische KI und Datenschutz. Wir freuen uns, Ihnen mitteilen zu können, dass unser bestehender Rahmen für lokale KI-Lösungen bereits eng an den sieben im Gesetz dargelegten Grundsätzen und Verpflichtungen festhält.“

Das Gesetz gilt für alle Organisationen und Unternehmen, die an der Erhebung oder Verwaltung personenbezogener Daten beteiligt sind. Diese Organisationen werden in zwei Gruppen eingeteilt: diejenigen, die die Gründe und Methoden für die Verarbeitung festlegen (sogenannte Datentreuhänder ) und diejenigen, die die Verarbeitung auf der Grundlage der Anweisungen der Datentreuhänder durchführen (sogenannte Datenverarbeiter ).

Das Gesetz deckt nicht nur die Datenverarbeitung innerhalb Indiens ab; Es hat auch die Befugnis, Daten außerhalb Indiens zu verarbeiten, insbesondere in Bezug auf Waren und Dienstleistungen, die Privatpersonen in Indien angeboten werden. Dies bedeutet, dass alle Unternehmen, die indischen Einwohnern Waren oder Dienstleistungen anbieten, unabhängig von ihrem physischen Standort, in seine Zuständigkeit fallen.

Herr Nageen Kommu, CEO von Digitap , sagte: „Bei Digitap betrachten wir uns als Datenverarbeiter. Wir speichern keine Daten; Wir verarbeiten sie im Auftrag unserer Kunden, die die Datentreuhänder sind. Auch wenn es möglicherweise keine spezifischen Richtlinien für Datenverarbeiter gibt, wenden wir freiwillig dieselben Richtlinien und Verfahren an, die Datentreuhänder befolgen. Wenn ein Kunde seine Einwilligung widerrufen möchte, sorgen wir dafür, dass die Daten gemäß den Anforderungen des Gesetzes gelöscht werden.“

Er erwähnte auch, dass sich das Gesetz auch mit der Datensicherheit bei der Speicherung und Übertragung befasst und Digitap bereits über robuste Sicherheitsmechanismen verfügt, da sie sich mit den Outsourcing-Normen der RBI befassen, die die Datenlokalisierung innerhalb Indiens vorschreiben.

Pflichten für Unternehmen

Das Gesetz legt mehrere Verpflichtungen fest, die Unternehmen beim Umgang mit personenbezogenen Daten einhalten müssen. Zu den Hauptaufgaben gehören:

  1. Informieren Sie Einzelpersonen vor der Erhebung ihrer personenbezogenen Daten und geben Sie an, welche Daten erfasst werden, für welche Zwecke sie verwendet werden und welche Rechte Einzelpersonen haben.
  2. Bei Bedarf die Einwilligung einholen oder sich auf legitime Gründe berufen.
  3. Es werden nur die für den angegebenen Zweck erforderlichen personenbezogenen Daten erhoben.
  4. Persönliche Daten nur so lange aufzubewahren, wie es für den vorgesehenen Zweck erforderlich ist, und sie anschließend zu löschen.
  5. Einrichtung eines Mechanismus zur Bearbeitung von Beschwerden und Bedenken einzelner Personen.
  6. Umsetzung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen.
  7. Benachrichtigung des Datenschutzausschusses und betroffener Personen im Falle einer Verletzung des Schutzes personenbezogener Daten.
  8. Die Zustimmung der Eltern oder Erziehungsberechtigten einholen und Aktivitäten wie Verhaltensüberwachung, Nachverfolgung oder Verarbeitung unterlassen, die Kindern oder Personen mit Behinderungen schaden könnten.
  9. Beschränkung der Übermittlung personenbezogener Daten außerhalb Indiens auf bestimmte Gebiete.
  10. Durchführung von Datenschutz-Folgenabschätzungen, regelmäßigen Datenprüfungen und Ernennung eines Datenschutzbeauftragten und Prüfern für wichtige Datentreuhänder.
  11. Einhaltung der Anforderungen hinsichtlich der grenzüberschreitenden Übermittlung personenbezogener Daten und Suche nach anwendbaren Ausnahmen.

Um die Verpflichtungen des Digital Personal Data Protection Act von 2023 weiter zu erfüllen, erklärte Loganathan, dass HaiVE dabei ist, die Unternehmensrichtlinien und -prozesse zu verfeinern. „Wir entwickeln einen Compliance-Rahmen für das Digital Personal Data Protection Act 2023, der unserem Team und unseren Kunden als umfassender Leitfaden dienen wird. Dieser Rahmen gilt automatisch für alle unsere zukünftigen Engagements in Indien und gewährleistet eine nahtlose Einhaltung der Bestimmungen des Gesetzes“, fügte sie hinzu.

Ihre Rechte und Pflichten in Bezug auf Ihre personenbezogenen Daten

Dem Einzelnen stehen gesetzlich bestimmte Rechte hinsichtlich der Verarbeitung seiner personenbezogenen Daten zu. Diese Rechte umfassen:

  • Auskunftsrecht : Einzelpersonen haben das Recht, darüber informiert zu werden, ob ihre personenbezogenen Daten verarbeitet werden. Sie können eine Zusammenfassung der verarbeiteten Daten, Einzelheiten zu den Verarbeitungsaktivitäten (z. B. deren Verwendung für gezielte Werbung), die Identität der Unternehmen, an die ihre Daten weitergegeben wurden (z. B. Auftragsverarbeiter oder Dritte), und die Art der weitergegebenen Daten anfordern .
  • Recht auf Berichtigung und Löschung : Einzelpersonen haben das Recht auf Berichtigung unrichtiger oder irreführender Daten, auf Vervollständigung unvollständiger Daten und auf Aktualisierung ihrer personenbezogenen Daten, insbesondere wenn diese Daten an andere Unternehmen weitergegeben oder zur Entscheidungsfindung verwendet werden. Sie können auch die Löschung ihrer personenbezogenen Daten verlangen (oder die Einwilligung widerrufen, wenn die Einwilligung die Grundlage bildet), obwohl Unternehmen diese behalten können, wenn dies zur Einhaltung gesetzlicher Vorschriften erforderlich ist.
  • Recht auf Wiedergutmachung und Nominierung von Beschwerden : Das Gesetz führt einen Mechanismus zur Wiedergutmachung von Beschwerden ein, der es Einzelpersonen ermöglicht, bei Unternehmen Beschwerden über die Einhaltung des Gesetzes einzureichen. Unternehmen müssen innerhalb eines bestimmten Zeitrahmens antworten. Wenn Einzelpersonen mit der Antwort unzufrieden sind, können sie die Angelegenheit an die Datenschutzbehörde weiterleiten. Darüber hinaus können Einzelpersonen jemanden benennen, der ihre Rechte in Bezug auf personenbezogene Daten im Falle ihrer Handlungsunfähigkeit oder ihres Todes wahrnimmt.
  • Pflichten : Das Gesetz legt auch bestimmte Verantwortlichkeiten für Einzelpersonen fest, z. B. die Bereitstellung korrekter Informationen, die Unterlassung von Identitätsdiebstahl, das Zurückhalten wesentlicher Informationen oder das Einreichen falscher Beschwerden beim Datenschutzausschuss.

Gesetzentwürfe und Gesetze: Gesetz zum Schutz digitaler personenbezogener Daten, 2023 | 19. August 2023

Der Gesundheitssektor bereitet sich auf Auswirkungen vor

Kapil Kumar, Chief Technology Officer – Medizinische Informatik, Artemis Hospitals Gurugram hat Bedenken hinsichtlich der Auswirkungen auf den Gesundheitssektor geäußert. Er sagte: „Aufgrund der zunehmenden Verbreitung digitaler Gesundheitstechnologien wie elektronischer Patientenakten und Telemedizin wird das Gesetz zum Schutz personenbezogener Daten von 2023 erhebliche Auswirkungen auf den Gesundheitssektor haben.“

Laut Herrn Kumar zielt diese Maßnahme darauf ab, die Erhebung, Speicherung und Verbreitung sensibler Patientendaten zu regulieren und so die Privatsphäre des Einzelnen zu schützen. Er verwies auch auf frühere Vorfälle, die seine Bedeutung unterstreichen. Im Jahr 2019 kam es beispielsweise zu einer unbefugten Zugriffsverletzung, die die Gesundheitsakten von fast 6,8 Millionen Patienten und Ärzten gefährdete. Ebenso wurden im Jahr 2021 durch einen Verstoß gegen Websites der indischen Regierung die COVID-19-Laborergebnisse von über 1.500 Einwohnern offengelegt. In Kerala wurden versehentlich persönliche Daten von mehr als 200.000 Patienten offengelegt. Diese Verordnung erweist sich als Vorreiter für den Datenschutz im Gesundheitswesen.

Das Gesetz unterscheidet sich erheblich vom bestehenden Recht, das vor allem bei Sicherheitsverstößen und nur für bestimmte Arten von Daten (sensible personenbezogene Daten) begrenzten Schutz bietet. Im Gegensatz dazu bietet das Gesetz umfassende Schutzmaßnahmen für personenbezogene Daten, indem es Verantwortlichkeiten auferlegt und Einzelpersonen mehr Kontrolle und Bewusstsein über ihre personenbezogenen Daten gewährt.

Während das Gesetz zweifellos einen erheblichen Fortschritt beim Schutz der digitalen Rechte des Einzelnen darstellt, werden die nachfolgenden Regulierungs- und Interessenvertretungsbemühungen des Datenschutzausschusses eine entscheidende Rolle dabei spielen, nicht nur diese Rechte zu stärken, sondern auch einen strukturierten Rahmen für die Datenverarbeitung zu schaffen.