INDIE PRZYJMUJĄ USTAWĘ O OCHRONIE CYFROWYCH DANYCH OSOBOWYCH (2023)
Po wieloletnich i żywych dyskusjach nie tylko wśród polityków, ale również ekspertów z branży oraz innych zainteresowanych sprawą podmiotów, 11 sierpnia 2023 r. indyjski parlament przyjął w końcu i opublikował długo wyczekiwaną przez wielu ustawę o ochronie danych osobowych (Digital Personal Data Protection Act – „DPDP”).
DPDP wprowadza regulacje odnoszące się do zarządzania procesem przetwarzania danych osobowych, określając przy tym ramy prawne dotyczące prywatności i ochrony danych. Jej celem jest także wspieranie rozwoju gospodarki cyfrowej w Indiach. W debacie społecznej słyszy się często, że jest to indyjski odpowiednik europejskiego rozporządzenia RODO (ang: GDPR), ale czy na pewno nowa ustawa jest jego niemalże dokładnym odzwierciedleniem?
Background historyczny
Jednym z najczęściej przytaczanych historycznych odniesień w stosunku do DPDP jest przełomowe orzeczenie w sprawie Justice K.S. Puttaswamy v Union of India, w której to Sąd Najwyższy w Indiach potwierdził istnienie podstawowego prawa do prywatności, w tym prawa do prywatności informacji w ramach szeroko rozumianego „prawa do życia” zawartego w Konstytucji Indii. To właśnie w tym wyroku sąd zwrócił władzom w Indiach uwagę na konieczność opracowania, a następnie wprowadzenia w życie regulacji, które chroniłyby dane osobowe. W konsekwencji w kolejnych latach podjęto wiele prób stworzenia takiego mechanizmu, co doprowadziło do przedstawienia parlamentowi dwóch wcześniejszych projektów omawianej ustawy odpowiednio w 2019 oraz w 2022 roku. Jednak żadna z nich, w ich ówczesnych formach, nie zyskała aprobaty obu izb parlamentu. Dopiero trzecia, i jak się okazało ostateczna, wersja projektu ustawy z 2023 r. przeszła całą procedurą legislacyjną, a jej zwieńczeniem okazał się 11 sierpnia, kiedy to ogłoszono ją w indyjskim odpowiedniku polskiego Dziennika Ustaw.
Nowy standard ochrony
DPDP przewiduje, że nowy standard ochrony danych osobowych w Indiach będzie dodatkowo uzupełniany regulacjami wydawanymi sukcesywnie przez rząd centralny. Co ważne, powołana zostanie również Rada Ochrony Danych, która wyposażona zostanie w mechanizmy umożliwiające jej stwierdzanie naruszeń nowych przepisów, a co jeszcze ważniejsze, nakładanie za to kar.
Kiedy więc będziemy mogli oceniać efektywność wprowadzonych przepisów?
Ocena efektywności nowego „systemu” będzie możliwa dopiero po opublikowaniu przez rząd odpowiednich przepisów wykonawczych oraz reguł odnoszących się do stosowania przyjętych przepisów, a także po rozpoczęciu działalności orzeczniczej przez nowo powołaną Radę. Na razie konkretna data nie jest znana, ale rynek spodziewa się, że wejście w życie poszczególnych przepisów ustawy oraz pojawienia się przepisów wykonawczych, które umożliwią stosowanie ustawy może nastąpić w okolicach kwietnia 2024 r.
Inne założenia ustawy
Ważnym punktem w nowych przepisach jest fakt, że od tej pory administratorzy danych osobowych zobowiązani będą do pilnowania ich dokładności, zapewnienia bezpieczeństwa przy ich przechowywaniu, a oprócz tego sprawnym ich usunięciu po osiągnięciu przewidzianego wcześniej celu. Dodatkowo DPDP wprost przyznaje użytkownikom prawo do informacji na temat ich danych, żądania wprowadzenia poprawek czy usunięcia danych, a także do dochodzenia roszczeń w przypadku naruszenia przepisów.
Co więcej, DPDP może być uznany za ciekawy i innowacyjny akt prawny z kilku innych powodów:
- posługuje się prostym i zrozumiałym językiem dostosowanym do szerszej publiczności;
- zawiera ilustracje, aby znaczenie pewnych mechanizmów stało się dla odbiorców jeszcze jaśniejsze;
- zrezygnowano z użycia w niej zastrzeżeń i sformułowań, takich jak: „pod warunkiem że”, „z zastrzeżeniem”;
- jest pierwszym aktem prawnym, który używa żeńskich zaimków w miejscach, gdzie w odniesieniu do członków parlamentu posługiwano się jedynie formami męskimi;
- zawiera minimalną liczbę „odsyłaczy” do innych aktów.
Zakres stosowania
Przede wszystkim warto w tym miejscu podkreślić, że DPDP dotyczy jedynie danych osobowych w formie cyfrowej. Znajduje ona zatem zastosowanie do:
– przetwarzania cyfrowych danych osobowych na terytorium Indii zarówno w przypadku, gdy dane są gromadzone bezpośrednio w formie cyfrowej, jak i w sytuacji, kiedy pierwotnie zbierane są one offline, a digitalizowane zostają dopiero później.
Ale także do:
– przetwarzania cyfrowych danych osobowych poza terytorium Indii, jeśli samo przetwarzanie związane jest z jakąkolwiek działalnością, która jednak dotyczy oferowania towarów/usług na terytorium Indii.
Co ciekawe, ustawa DPDP przewiduje jednak w pewnym zakresie kilka wyłączeń od jej stosowania, np. w sytuacji przetwarzania danych przy okazji ścigania przestępstw czy wykrywania oszustw finansowych, jak również w kilku innych konkretnych przypadkach.
Ponadto, w przeciwieństwie do wcześniejszych projektów ustawy z 2019 r. oraz 2022 r., nowe przepisy nie wprowadzają kategoryzacji danych osobowych na dane wrażliwe oraz krytyczne.
Podstawy przetwarzania danych
Zgodnie z DPDP dane osobowe mogą być przetwarzane zgodnie z prawem tylko wtedy, gdy:
- osoba, której dane dotyczą, wyraziła na to zgodę; lub
- (ii) dane są przetwarzane zgodnie z prawem w „uzasadnionym celu”.
Kontrastuje to ze znanym nam RODO, które zawiera dłuższą listę zgodnych z prawem podstaw przetwarzania danych osobowych, w tym przetwarzanie do celów umowy i przetwarzanie w uzasadnionym interesie administratora danych.
Rola zgody
Bez wątpienia kwestia udzielenia zgody na przetwarzanie danych jest kluczowym elementem ustawy DPDP. Mowa w niej wyraźnie o tym, że zgoda uzyskiwana od osoby fizycznej ma mieć charakter dobrowolny, konkretny, świadomy, bezwarunkowy i jednoznaczny. Dodatkowo administrator danych musi wcześniej przedstawić osobie jasne i dokładne informacje na temat celu, któremu przetwarzanie ma służyć. Interesujący może wydawać się także fakt, że wspomniane informacje mają być dostępne dla użytkowników we wszystkich 22 językach konstytucyjnych Indii (tj. takich, którym konstytucja Indii gwarantuje specjalny status języka urzędowego na poziomie stanowym).
Druga przesłanka – „uzasadnione korzystanie” („legitimate use”)
W odniesieniu do drugiej podstawy prawnej („uzasadnione wykorzystanie”), DPDP określa listę wstępnie zdefiniowanych uzasadnionych sytuacji, w których administrator danych nie będzie musiał uzyskiwać zgody od osoby, której dane dotyczą. Do przypadków tych należą:
- konkretny cel, dla którego podmiot dobrowolnie przekazuje swoje dane powiernikowi danych;
- wykonywanie działań na mocy przepisów prawa – np. wydanie certyfikatu, licencji itp., kiedy osoba, której dane dotyczą wyraziła uprzednio zgodę na ich przetwarzanie lub gdy samo państwo ma dostęp do danych istniejących w formie cyfrowej lub papierowej;
- wykonywanie wyroków lub nakazów, np. dochodzenie należności;
- nagłe przypadki medyczne, takie jak przy: świadczeniu usług zdrowotnych, w przypadku epidemii lub wybuchu choroby;
- katastrofy, awarie, zakłócenia porządku publicznego;
- cele związane z zatrudnieniem, np. wyniki, informacje zwrotne, poufność, tajemnice handlowe.
Biorąc jednak pod uwagę zdefiniowanie powyższych celów przez indyjskiego ustawodawcy w wąski sposób, przedsiębiorcy działający w Indiach będą prawdopodobnie musieli w dużej mierze polegać na pierwszej przesłanej – tj. jasnej, opartej na celu, odwoływalnej zgodzie na przetwarzanie danych.
Przekazywanie i zakaz przetwarzania danych osobowych poza terytorium Indii
DPDP zakazuje przetwarzania danych osobowych poza Indiami, a ściślej mówiąc w państwach znajdujących się na opracowanej przez rząd czarnej liście. Lista takich państw zostanie ogłoszona przez rząd w momencie wejścia w życie przepisów wykonawczych. Należy tu jednak wspomnieć o obowiązujących w ramach przepisów wyjątkach, kiedy to przetwarzanie danych osobowych w krajach objętych czarną listą będzie dozwolone. Mowa tu o następujących sytuacjach:
- niezbędność danych do dochodzenia jakichkolwiek praw lub roszczeń;
- przetwarzanie danych w celu wykonywania ustawowej funkcji przez sąd, organ sądowy itp.;
- przetwarzanie danych w celu zapobiegania, wykrywania, dochodzenia lub ścigania przestępstw;
- niezbędność danych do realizacji porozumienia, połączenia, fuzji, podziału, przejęcia, zatwierdzonego przez sąd lub w inny sposób;
- przetwarzanie danych w celu pozyskania informacji finansowych na temat osoby, która nie wywiązała się z płatności z tytułu pożyczki lub zaliczki zaciągniętej od instytucji finansujących – zgodnie z przepisami o upadłości i niewypłacalności obowiązującymi w Indiach (IBC – The Insolvency and Bankruptcy Code).
Indyjska ustawa (DPDP) wzorowana na europejskim RODO?
Niewątpliwie ustawa o ochronie danych wprowadzona w Indiach zasadniczo opiera się na podobnych koncepcjach prawnych jak te zawarte w dobrze znanym wszystkim akcie UE. W analogiczny sposób definiują one rożne pojęcia, takie jak: „dane osobowe”, a oprócz tego rozszerzają stosowanie swoich przepisów w odniesieniu do wszystkich podmiotów przetwarzających dane osobowe bez względu na ich rozmiar czy prywatny charakter.
Czy można jednak powiedzieć, że ustawa indyjska jest lustrzanym odbiciem RODO?
Byłoby to z pewnością nadużycie, ponieważ część rozwiązań nowej ustawy znacząco różni się od regulacji przyjętych w RODO. Dla przykładu, główną podstawą przetwarzania danych w DPDP jest zgoda, podczas gdy na podstawie RODO powinno się korzystać z tej przesłanki wyjątkowo, tj. tylko wtedy, gdy żadna inna zdefiniowana podstawa przetwarzania danych nie daje nam podstaw, by przetwarzać dane.
Ponadto w przeciwieństwo do RODO, DPDP nie wprowadza podziału danych osobowych na poszczególne kategorie, znajduje ona więc zastosowanie do wszystkich rodzajów danych w równym stopniu. Kolejną istotną różnicą z zakresu stosowaniu obu aktów prawnych jest fakt, że DPDP ograniczone jest jedynie do cyfrowych danych osobowych, podczas gdy RODO odnosi się również do danych przechowywanych w formie analogowej. Warto w tym miejscu wspomnieć także o obowiązku informacyjnym administratora danych, który ma służyć uzyskaniu zgody na przetwarzanie danych. Otóż w przypadku RODO obowiązek informacyjny administratora jest wymagany niemalże w każdym przypadku. Z kolei DPDP nie wymaga, by kompleksowa informacja dotycząca celów przetwarzania danych była nam przedstawiana, jeśli jest to związane z przewidzianymi przez prawo celami.
Podsumowanie
Przyjęta niedawno ustawa DPDP stanowi z pewnością przełomowy krok dla Indii. Gwarantuje ona nowy standard ochrony cyfrowych danych osobowych szerokiej grupy podmiotów, zbliżając przy tym ustawodawstwo krajowe do unijnego systemu ochrony związanej z przetwarzaniem danych. Naturalną konsekwencją nowych przepisów jest obowiązek ich przestrzegania przez podmioty mające siedzibę w Indiach i/lub dopiero planujące prowadzenie tam działalności. Kary przewidziane za nieprzestrzeganie przepisów DPDP są bardzo wysokie i wynoszą od 500 000 000 do 2 200 000 000 INR (tj. w indyjskiej nomenklaturze między 50-250 crore co wynosi ponad 5,5 mln – 27,78 mln EUR).
W związku z tym podmioty prowadzące działalność w Indiach będą musiały przeprowadzić dokładną analizę istniejących danych i zawartych już umów, tak aby skorygować ewentualnie pojawiąjące się tam braki i zapewnić ich pełną zgodność z przepisami DPDP. Ponadto DPDP pod wieloma względami, choćby czysto językowymi czy graficznymi, uznawany jest za innowacyjny akt prawny. W swojej prostocie dąży do dotarcia do jak najszerszej grupy odbiorców. Przez wielu, częściowo słusznie, porównywany jest do unijnego rozporządzenia RODO. Warto jednak pamiętać, że niektóre z zastosowanych tam rozwiązań różnią się znacznie od standardu unijnego.