Открыть сервис

Закон о защите персональных данных Индии

Закон о защите персональных данных Индии (англ. Digital Personal Data Protection Act, DPDP Act) — это нормативный правовой акт, регулирующий обработку цифровых персональных данных на территории Индии. Принят в 2023 году, заменил утративший силу закон 2000 года об информационных технологиях в части, касающейся защиты данных, и стал первым всеобъемлющим законом Индии в этой сфере. Закон устанавливает права субъектов данных, обязанности организаций-обработчиков (data fiduciaries), правила трансграничной передачи данных, а также механизмы ответственности за нарушения.

История принятия

Предпосылки

До 2023 года защита персональных данных в Индии регулировалась преимущественно Законом об информационных технологиях 2000 года (IT Act) и подзаконными актами, включая Правила о защите персональных данных 2011 года. Однако эти нормы не соответствовали современным вызовам цифровой экономики, не предусматривали чётких прав субъектов данных и не создавали эффективной системы надзора. В 2017 году Верховный суд Индии в решении по делу «Путтасвами против Союза Индии» признал право на неприкосновенность частной жизни (privacy) конституционным правом, что дало импульс к разработке отдельного закона.

Законодательный процесс

В 2018 году правительственная комитет под руководством бывшего судьи Б. Н. Шрикара (Justice B. N. Srikrishna) представил проект закона «О защите персональных данных» (Personal Data Protection Bill, 2018). Документ прошёл несколько итераций: в 2019 году был внесён в парламент, но не принят из-за разногласий по вопросам локализации данных и полномочий правительства. В 2022 году проект был отозван, а в августе 2023 года на его основе был внесён и принят новый закон — Digital Personal Data Protection Act, 2023. Закон вступил в силу 11 августа 2023 года, однако полное введение в действие его положений (включая создание регулятора) было отложено до принятия подзаконных актов.

Основные положения

Сфера применения

Закон распространяется на обработку цифровых персональных данных (digital personal data) на территории Индии. Он применяется к:

  • обработчикам данных (data fiduciaries), находящимся в Индии;
  • обработчикам за пределами Индии, если они обрабатывают персональные данные субъектов, находящихся на территории Индии, в связи с предложением товаров или услуг, а также в связи с профилированием.

Исключения составляют обработка данных в личных или домашних целях, а также обработка в рамках государственной безопасности и правоприменения (с оговорками).

Понятийный аппарат

Закон вводит ключевые термины:

  • Персональные данные (personal data) — любые данные о физическом лице, по которым оно может быть идентифицировано.
  • Субъект данных (data principal) — физическое лицо, к которому относятся персональные данные.
  • Обработчик данных (data fiduciary) — лицо (юридическое или физическое), которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных.
  • Обработчик по поручению (data processor) — лицо, обрабатывающее персональные данные по поручению обработчика данных.

Права субъектов данных

Закон предоставляет субъектам данных следующие права:

  • Право на доступ — получить подтверждение, обрабатываются ли его данные, и ознакомиться с ними.
  • Право на исправление — требовать исправления неточных или устаревших данных.
  • Право на удаление — требовать прекращения обработки и удаления данных при отсутствии законных оснований.
  • Право на возражение — возражать против обработки данных в определённых целях (например, для прямого маркетинга).
  • Право на переносимость — получать данные в машиночитаемом формате (вводится поэтапно).

Обязанности обработчиков данных

Обработчики данных обязаны:

  • получать согласие субъекта на обработку (кроме случаев, предусмотренных законом — например, для выполнения государственных функций или защиты жизни);
  • обеспечивать точность и актуальность данных;
  • реализовывать меры безопасности (организационные и технические) для защиты данных от утечек и несанкционированного доступа;
  • уведомлять Совет по защите данных (Data Protection Board) и субъектов данных об утечках в установленные сроки;
  • назначать ответственного за защиту данных (Data Protection Officer) — для крупных обработчиков.

Трансграничная передача данных

Закон разрешает передачу персональных данных за пределы Индии, но с определёнными ограничениями. Правительство может устанавливать перечень стран, в которые передача данных запрещена или ограничена. На момент принятия закона такой перечень не был утверждён. При этом закон не требует обязательной локализации данных (хранение на территории Индии), за исключением случаев, прямо указанных правительством.

Регулятор и ответственность

Совет по защите данных

Для надзора за соблюдением закона создаётся Совет по защите данных (Data Protection Board of India) — независимый регуляторный орган. Совет рассматривает жалобы субъектов данных, налагает штрафы, даёт разъяснения и может приостанавливать обработку данных. Члены Совета назначаются правительством.

Штрафы и санкции

Закон предусматривает административную ответственность за нарушения. Максимальный штраф составляет 250 крор рупий (около 30 миллионов долларов США) за серьёзные нарушения, такие как:

  • обработка данных без согласия;
  • несообщение об утечке;
  • невыполнение требований Совета.

Штрафы налагаются Советом на основании жалобы или по собственной инициативе. Уголовная ответственность за нарушение закона не предусмотрена, но может наступать по другим законам (например, Уголовному кодексу Индии) в случае кражи данных или мошенничества.

Критика и обсуждение

Закон подвергся критике со стороны правозащитных организаций и экспертов по цифровым правам. Основные претензии:

  • Чрезмерные полномочия правительства — закон позволяет правительству освобождать государственные органы от соблюдения многих требований (например, по согласию) в целях «национальной безопасности» без чётких критериев.
  • Отсутствие права на забвение — закон не предусматривает право на удаление данных по истечении срока их обработки (в отличие от GDPR).
  • Ограниченные права субъектов — закон не включает право на возражение против автоматизированного принятия решений (профилирования) и не требует обязательного назначения DPO для всех обработчиков.
  • Неопределённость с трансграничной передачей — отсутствие утверждённого перечня стран вызывает неопределённость для международных компаний.

Сторонники закона отмечают, что он создаёт правовую определённость для бизнеса, стимулирует развитие цифровой экономики и при этом обеспечивает базовый уровень защиты персональных данных, адаптированный к индийским реалиям.

Сравнение с GDPR

Закон Индии во многом схож с Общим регламентом по защите данных (GDPR) Европейского союза, но имеет существенные отличия:

ПараметрGDPRDPDP Act
СфераВсе персональные данные (включая нецифровые)Только цифровые персональные данные
Права субъектов8 прав (включая забвение, профилирование)5 прав (без забвения и профилирования)
СогласиеТребуется для большинства операцийТребуется, но с широкими исключениями для государства
Трансграничная передачаТребует адекватного уровня защитыРазрешена, но с возможными ограничениями по странам
ШтрафыДо 4% от мирового оборотаФиксированный максимум 250 крор рупий
РегуляторНезависимые органы (EDPB, DPA)Совет по защите данных, назначаемый правительством

Влияние на бизнес

Закон обязывает компании, работающие с персональными данными индийских граждан, пересмотреть свои практики обработки данных. Ключевые требования:

  • получение явного согласия на сбор данных (в виде электронного документа);
  • ведение реестра обработки данных;
  • внедрение политик безопасности и уведомления об утечках;
  • назначение ответственного за защиту данных (для крупных обработчиков).

Нарушение требований может привести к значительным штрафам, а также к репутационным потерям. Компании, которые уже соблюдают GDPR, могут адаптировать свои процессы, однако им придётся учитывать специфику индийского закона (например, более широкие исключения для государства и отсутствие права на забвение).

Перспективы

Закон находится на начальном этапе реализации. Правительство Индии планирует принять подзаконные акты, которые уточнят процедуры (например, порядок уведомления об утечках, перечень стран для трансграничной передачи). Ожидается, что Совет по защите данных начнёт полноценную работу в 2024–2025 годах. В перспективе закон может быть дополнен положениями о защите нецифровых данных (например, бумажных документов) и о регулировании искусственного интеллекта.

Источники

  • Digital Personal Data Protection Act, 2023 (No. 22 of 2023), Government of India.
  • Justice B. N. Srikrishna Committee Report, «A Free and Fair Digital Economy: Protecting Privacy, Empowering Indians», 2018.
  • Верховный суд Индии, решение по делу «Puttaswamy v. Union of India», 2017.
  • Министерство электроники и информационных технологий Индии, разъяснения к закону, 2023.
  • Аналитические обзоры: Centre for Internet and Society, «Analysis of the DPDP Act», 2023; Privacy International, «India’s Data Protection Law: A Missed Opportunity», 2023.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →