W ustawie o cyfrowej ochronie danych osobowych (DPDP), która uzyskała zgodę Prezydenta 11 sierpnia, zaproponowano, aby firmy i przedsiębiorstwa – które gromadzą i przechowują dane użytkowników i nazywane są powiernikami danych – nie mogły przetwarzać danych osobowych żadnego użytkownika bez wyraźnej zgody . Wymaga od nich wyraźnego określenia „celu”, dla którego dane są zbierane, a także usunięcia informacji w przypadku wycofania zgody użytkownika.
Podnieś swoje umiejętności techniczne dzięki wartościowym kursom umiejętności
| Oferta uczelni | Kurs | Strona internetowa |
|---|---|---|
| IIM Kozhikode | IIMK Zaawansowana nauka o danych dla menedżerów | Odwiedzać |
| Indyjska Szkoła Biznesu | Certyfikat ISB Professional w zakresie zarządzania produktami | Odwiedzać |
| IIM Lucknow | Program wykonawczy IIML w zakresie FinTech, bankowości i zarządzania ryzykiem stosowanym | Odwiedzać |
Według cytowanych powyżej ekspertów firmy oferujące wiele usług wykorzystują przechowywane dane do sprzedaży krzyżowej innych produktów i usług. Obecnie są one bardzo zaniepokojone i szukają opinii prawnej.
Narayana Health, jedna z największych sieci szpitali w Indiach, stwierdziła, że obecne przepisy nie pozwalają szpitalom na usuwanie dokumentacji pacjentów. W nowym prawie dotyczącym prywatności istnieje potrzeba „wydzielenia danych dotyczących zdrowia”, stwierdziła Viren Shetty, wiceprezes Narayana Health, dodając, że informacje są wymagane do „leczenia pacjentów”.
Firma z siedzibą w Bengaluru posiada 47 ośrodków opieki zdrowotnej w kraju. „Możemy złożyć wniosek o wydzielenie danych dotyczących zdrowia, ponieważ jako powiernicy danych powinniśmy się ich trzymać” – powiedział ET.
Wskazując, że „jeśli chodzi o określenie celu, jest ono oczywiste, wyrażamy zgodę pacjentów na to, że będziemy wykorzystywać ich dane w celu lepszego ich leczenia” – dodał.
Odkryj historie, które Cię interesują
Bankowcy, którzy wypowiadali się pod warunkiem zachowania anonimowości, powiedzieli, że nowe prawo może mieć wpływ na ich działalność, ponieważ ogranicza możliwości sprzedaży krzyżowej. Zgodnie z ustawą DPDP z 2023 r. tego rodzaju wykorzystanie danych w celu wzajemnej promocji jest niedozwolone. Dodały, że banki są w trakcie przekazywania rządowi informacji zwrotnych za pośrednictwem Indyjskiego Stowarzyszenia Banków. „Banki często dokonują sprzedaży krzyżowej i dodatkowej klientom w oparciu o posiadane dane, a nowe prawo może ograniczyć te możliwości. Po prostu nie jest możliwe uzyskanie zgody klienta za każdym razem, gdy wykorzystujemy jego dane” – powiedział dyrektor wykonawczy w banku sektora publicznego.
Może także utrudniać bankom oferowanie klientom najlepiej dopasowanych produktów. „Ideą wprowadzenia tej ustawy powinno być zapobieganie niewłaściwemu wykorzystywaniu i bombardowaniu ofert kierowanych do klientów, ale może to okazać się szkodliwe” – dodał.
Shalini Warrier, dyrektor wykonawcza Federal Bank, powiedziała, że branża będzie musiała dokonać przeglądu skutków i przepracować je. „Ramy agregatora rachunków rzeczywiście zapewniają bankom takim jak my możliwość efektywnego wykorzystywania danych, na które zgodzili się klienci, i musimy obserwować, czy ma to wpływ, jeśli w ogóle, na te ramy” – stwierdziła.
Agregator rachunków umożliwia wymianę danych pomiędzy osobami fizycznymi i instytucjami finansowymi. Kredytodawcy mogą bezproblemowo przeglądać te informacje przed udzieleniem pożyczki osobie fizycznej lub podmiotowi, bez konieczności pozyskiwania licznych dokumentów z różnych źródeł.
Eksperci prawni są zdania, że ustawa DPDP z 2023 r. zawiera lukę w sposobie definiowania przetwarzania danych na podstawie zgody.
Akash Karmakar, wspólnik w kancelarii Panag & Babu, zauważył, że wszędzie tam, gdzie nie ma konkretnego zakazu, jest zgoda na wykorzystanie danych osobowych.
„To naturalnie doprowadziłoby przedsiębiorstwa do opracowywania warunków w sposób zakrojony na szeroką skalę, aby uniknąć konieczności wielokrotnego uzyskiwania zgody w sposób zakłócający handel” – stwierdził.
3 sierpnia projekt ustawy DPDP został przedstawiony w parlamencie. Została uchwalona 9 sierpnia w Rajya Sabha, a zgodę Prezydenta uzyskała 11 sierpnia. Ustawa DPDP z 2023 r. została ogłoszona w dzienniku urzędowym tego samego dnia.
Hit dla firm cyfrowych
W przypadku firm opartych na aplikacjach dane mogą być przechowywane tylko do czasu dezaktywacji konta przez użytkownika. Lub jeśli nie ma żadnych dalszych transakcji lub trwających relacji handlowych między użytkownikiem a platformą.
„Pozostaje jednak pytanie, czy powiernicy musieliby usuwać dane dotyczące konkretnej transakcji/zakupu w aplikacji lub wszystkie dane osobowe danej osoby, co zasadniczo oznacza zamknięcie konta” – powiedział Akshayy S Nanda, partner w Saraf & Partners .
Racjonalnym podejściem byłoby zachowanie podstawowych danych osobowych podanych przez użytkowników podczas rejestracji do czasu zamknięcia konta przez daną osobę.
Może się to również różnić w zależności od branży. Na przykład bank będzie wymagał, aby zgoda użytkownika zachowała ważność przez ustawowy okres, przez który należy przechowywać wyciągi z rachunków bankowych lub inną dokumentację.
Prawnik ds. technologii i prywatności danych Falaq Patel powiedział, że nawet gdy branża oczekuje na dalsze wytyczne dotyczące okresu przechowywania danych, należy zauważyć, że „celem ustawy DPDP z jej ograniczeniem celu i postanowieniami dotyczącymi świadomej, jednoznacznej zgody jest rozwiązanie dominujących problemów praktyka uzyskiwania szeroko zakrojonych zgód.”
Firmy takie jak NoBroker – które oferują szereg usług – powiedziały ET: „Ponieważ jesteśmy platformą nieruchomości, naszym celem będzie wynajmowanie, kupowanie, sprzątanie, malowanie i wszystkie te usługi”.
Platforma cyfrowa, która bezpośrednio łączy właścicieli nieruchomości z najemcami i kupującymi, ułatwia także pozyskiwanie kredytów mieszkaniowych i pomoc prawną.
„Jeśli aplikacja fintech zdefiniuje cel jako jedną płatność UPI, jak to będzie działać? Celem powinno być wszystko, co wspiera aplikacja lub firma” – powiedział Akhil Gupta, współzałożyciel NoBroker, dodając, że „nasi prawnicy zastanawiają się, co należy zrobić”.
Większość firm cyfrowych oczekuje na szczegółowe przepisy, które nie zostały jeszcze opublikowane w ramach ustawy DPDP. „Będziemy przestrzegać wytycznych wynikających z tych zasad” – powiedział Gupta.
Prawnicy wskazują również na zmęczenie użytkowników ciągłymi zapytaniami o dane.
Sumant Nayak, starszy partner w kancelarii prawnej Desai & Diwanji, powiedział: „Aby zapobiec zmęczeniu podmiotów przetwarzających dane (użytkowników) podczas wielokrotnego podawania swoich danych osobowych, firmy muszą ponownie ocenić swoją ofertę produktów i usług, powinny rozważyć poszerzenie zakresu celów danych osobowych przetwarzanie danych w celu uwzględnienia zleceniodawców danych, którzy mogą w przyszłości szukać dodatkowych usług.”
Aplikacja do zarządzania społecznością MyGate uzyskała certyfikat zgodnie z przepisami ogólnego rozporządzenia o ochronie danych Unii Europejskiej (RODO) trzy lata temu. Użytkownicy mają już prawo do bycia zapomnianym, a dane są zbierane wyłącznie w określonym celu, przechowywane tak długo, jak jest to konieczne do realizacji celu i okresowo usuwane.
„Jesteśmy w trakcie oceny wpływu ustawy DPDP. Jesteśmy więcej niż pewni, że będziemy w pełni przygotowani, gdy prawo wejdzie w życie” – powiedział współzałożyciel MyGate, Abhishek Kumar.
Zainteresowane firmy telekomunikacyjne
Inne, np. firmy telekomunikacyjne, obawiają się, że nowe prawo ograniczy wzajemne wykorzystywanie danych w celu promowania produktów od podmiotów powiązanych. Dyrektorzy telekomunikacji przyznali, że konieczne będzie wprowadzenie pewnego wpływu na działalność operacyjną i dopracowanie procesu uzyskiwania pozwoleń.
Kaushik Moitra, partner w kancelarii prawnej Bharucha and Partners, powiedział ET, że zawsze kładziono nacisk na określenie celu gromadzenia danych, a DPDPA ugruntowała to stanowisko. Klienci mają teraz możliwość bycia zapomnianymi, żądając usunięcia danych po wycofaniu zgody.
„W przypadku firm telekomunikacyjnych ograniczy to wzajemne wykorzystanie danych w celu promowania produktów powiązanych podmiotów. Jeśli zamierzają to zrobić, będą musieli szczegółowo poinformować użytkowników” – powiedział.
Firmy telekomunikacyjne będą musiały inwestować w ludzi i oprogramowanie, zwłaszcza aby spełnić wymóg usunięcia danych osobowych po osiągnięciu celu lub wycofaniu zgody, aby zapewnić zgodność.
„Narazi ich to również na ryzyko irytacji klientów, ponieważ każde użycie gromadzonych danych może skutkować wyświetleniem nowego wyskakującego okienka (zastrzeżenie), które może spowodować opuszczenie strony/aplikacji przez użytkowników. Jeśli tak się stanie, koszt przejęcia może wzrosnąć” – powiedział Moitra.
