Indien führt neues PD-Schutzgesetz ein - ein weiteres Analogon zur DSGVO?

In unserem Blog haben wir bereits über die DSGVO , ihre „ Opfer “ und die Situation mit der Verschärfung der Regulierung des gesamten IT-Sektors geschrieben. In diesem Artikel werden wir über den Schutz der Parkinson-Krankheit in Indien sprechen.

Insbesondere werden wir eine neue Gesetzesvorlage erörtern, die Ende Juli dieses Jahres eingereicht wurde.

Betrachten Sie die wichtigsten Punkte und sprechen Sie über Kritik in der Community.


/ Foto Ruben Alexander CC

Wichtige Punkte

Das Gesetz zum Schutz personenbezogener Daten (2018) wurde von Mitgliedern des Justizausschusses seit fast einem Jahr ausgearbeitet. Shrikrishna (Justiz-Srikrishna-Ausschuss). Das Dokument wurde unter Berücksichtigung der Besonderheiten der IT-Regulierung in Indien erstellt, es wurden jedoch auch Auslandserfahrungen eingeführt. Daher stellten diejenigen, die das Dokument gelesen hatten, sofort fest, dass es weitgehend an die DSGVO erinnert.

Beachten Sie die wichtigsten Bestimmungen des Dokuments:

Die Bürger werden mehr Kontrolle über die Parkinson-Krankheit erlangen

Die persönlichen Eigentümer des Dokuments werden als Datenverantwortlicher bezeichnet (und nicht als betroffene Person wie in der DSGVO). Und sie haben folgende Rechte ( Seite 14, Kapitel 6 ):

• das Recht zu wissen, ob der Betreiber bestimmte PDs verarbeitet;
• das Recht, Daten zu ändern, wenn sie falsch oder veraltet sind;
• das Recht, die Bereitstellung ihrer Daten in elektronischer Form zu verlangen;
• das Recht, Werbung zu vergessen / einzuschränken oder die Nutzung von PD einzustellen.

Es ist erwähnenswert, dass sich das Komitee auch um die Kinder gekümmert hat: Ein separates Kapitel ist dem Schutz ihrer Daten gewidmet, in dem die Verantwortlichkeiten der PD-Betreiber dargelegt sind ( Seite 13, Kapitel 5 ). Beispielsweise heißt es, dass der Betreiber verpflichtet ist, Mechanismen zur Überprüfung des Alters zu organisieren sowie die Verfolgung des Verhaltens und die Anzeige gezielter Werbung auf der Website zu beschränken.

Neue Anforderungen an PD-Betreiber

Jeder, der die personenbezogenen Daten der Einwohner Indiens sammelt und verarbeitet, wird im Text des Dokuments als Daten-Treuhänder bezeichnet - die Person, die mit den Daten betraut ist (Anwälte nennen sie „Treuhänder“ oder „Treuhänder“: Er ist für das Eigentum einer anderen Person verantwortlich -. In diesem Fall handelt es sich bei dem Eigentum um die Daten des Subjekts )

Bei der Verarbeitung von PD werden ihnen eine Reihe von Anforderungen gestellt ( Seite 17, Kapitel 7 ). Zum Beispiel müssen sie das Privacy by Design-Konzept einhalten. Dies bedeutet, dass alle anwendbaren Technologien, Sicherheitsrichtlinien und die Geschäftsführung „geschärft“ werden sollten, um die Integrität der PD zu bewahren und mögliche unangenehme Folgen für ihre Eigentümer (z. B. Datenlecks) zu vermeiden.

Darüber hinaus müssen Treuhänder einen Datenschutzbeauftragten ( DPO ) in ihrem Unternehmen ernennen, Informationen über alle Transaktionen mit PD speichern sowie eine Prüfung durchführen und Datenlecks innerhalb der von einer speziellen Aufsichtsbehörde festgelegten Fristen melden.

Übrigens über Vorgesetzte

Um die Einhaltung des Gesetzes zu überwachen, wird im Land eine Datenschutzbehörde von Indien (DPA) eingerichtet. Die Höhe der Geldbußen für die Nichteinhaltung der gesetzlichen Anforderungen entspricht in etwa den Bestimmungen der europäischen Gesetzgebung. Zum Beispiel müssen PD-Betreiber bis zu 2 Millionen US-Dollar (oder 4% des Jahresumsatzes) zurückerhalten, damit eine Datenbank gehackt werden kann.

Gleichzeitig heißt es in Artikel 10 ( Seite 29 des Dokuments ), dass DPA-Mitglieder Personen mit mehr als zehnjähriger Erfahrung im Bereich Datenschutz und verwandten Bereichen sein müssen. Daher können wir davon ausgehen, dass Menschen mit tiefem technischen Wissen und Verständnis für die Prinzipien der Technologiearbeit Positionen besetzen werden.

Kopien der PD müssen auf Servern in Indien gespeichert werden

Dies ist in Artikel 8 ( Seite 23 ) angegeben. Es geht um die Politik der "Cyber-Souveränität", der die Behörden folgen wollten. Die Gesetzesvorlage verbietet Unternehmen, Daten ins Ausland zu verschieben, es sei denn, die Genehmigung wurde von der PD-Stelle, der Datenschutzbehörde oder dem Staat eingeholt, und andere Feinheiten werden nicht beachtet. Möglicherweise kann diese Anforderung sowohl für lokale Unternehmen als auch für ausländische Cloud-Anbieter zusätzliche Schwierigkeiten verursachen.

PD kann nur im Notfall bedingungslos im Ausland aufbewahrt werden (Gesundheitszustand des Inhabers der PD, Lebensgefahr usw., wenn Sie umgehend handeln müssen).

Wie haben Sie die Rechnung bestanden?

Zusammen mit dem Gesetzesentwurf benannte der Justizausschuss nach Shrikrishny lieferte die Begründung für alle Bestimmungen und seine Empfehlungen zum Schutz der Parkinson-Krankheit im Land. Die Autoren erklären, dass sie bei der Entwicklung des Dokuments das Konzept eines Dreiecks verwendet haben , dessen Höhepunkt die Interessen der indischen Bürger sind und dessen Gründe die Interessen der Wirtschaft und des Staates sind. Damit möchten sie wahrscheinlich betonen, dass der Gesetzentwurf die Rechte aller berücksichtigt, die er berührt.

Es stimmen jedoch nicht alle „Dreiecksscheitelpunkte“ mit ihnen überein. Eine Reihe von Bestimmungen des Gesetzentwurfs wurden kritisiert.

Mitchell Baker, Vorsitzender der Mozilla Foundation, äußerte sich besorgt über die im Dokument ( Kapitel 9 ) genannten Ausnahmen für den Staat - die Gründe und Aufgaben für die Verarbeitung von PD durch Regierungsbehörden (z. B. Archivierung oder statistische Analyse) sind unklar.

Das Verbot der Durchführung von Studien zur „erneuten Identifizierung“ wurde ernsthaft kritisiert, als die Identität des Eigentümers durch anonymisierte Daten bestimmt wurde. Solche Studien tragen zur Verbesserung der PD-Schutztechnologien bei und liefern Statistiken zu Lecks oder zum Grad der Datensicherheit in einem Unternehmen.

Nach dem Text des neuen Gesetzentwurfs können solche Tests nur noch mit Zustimmung des PD-Betreibers durchgeführt werden (andernfalls wird eine Geldstrafe von dreitausend Dollar verhängt). Dies sollte dazu beitragen, mögliche "Dumps" von Datenbanken mit PDs indischer Einwohner zu vermeiden. Andererseits betonen Experten für Informationssicherheit , dass das Verbot der erneuten Identifizierung das Problem nicht löst.

All dies kann dazu führen, dass Unternehmen, die personenbezogene Daten verarbeiten, die Durchführung von Tests ablehnen, wenn sie sich über die "Qualität" ihrer Dekanonymisierung nicht sicher sind. Wenn Hacker Systeme solcher Unternehmen von Hackern hacken (die offensichtlich keine Erlaubnis zum Hacken benötigen), können die Konsequenzen schwerwiegend sein.

Zum Beispiel haben sie 2017 in Großbritannien auch vorgeschlagen , Studien zur erneuten Identifizierung zu verbieten, aber aus Sicherheitsgründen zweimal darüber nachgedacht.

Was weiter

Der neue Gesetzentwurf muss eine Reihe von Fällen durchlaufen: vom Ministerium für IT und Kommunikation bis zum Oberhaus des indischen Parlaments, Rajya Sabha, und deren Genehmigung einholen. Es ist wahrscheinlich, dass es aufgrund von Kritik in seiner jetzigen Form nicht akzeptiert wird, da der Zeitpunkt des Inkrafttretens in Frage bleibt.

---

PS Was haben wir noch zum Thema im IaaS-Blog:

• Umgang mit PD in der Cloud
• Was ist PD aus Sicht der russischen Regulierungsbehörde zu beachten?
• PD in der Cloud: Verantwortungsbereiche von Kunden und Cloud-Anbietern

---

Die Hauptrichtung unserer Aktivitäten ist die Bereitstellung von Cloud-Diensten:

Virtuelle Infrastruktur (IaaS) | PCI DSS Hosting | Wolke FZ-152 | SAP-Hosting | Virtueller Speicher | Datenverschlüsselung in der Cloud | Cloud-Speicher