Indiase PDPB en Grensoverschrijdende Gegevensoverdracht naar EU-bedrijven 

De Indiase Databeschermingswetgeving (PDPB) en de invloed op grensoverschrijdende gegevensoverdracht met EU-bedrijven

Ondanks het feit dat India de op één na grootste internetmarkt ter wereld heeft, moet het land op heden nog een alomvattende wet op databescherming implementeren. In 2017 werd de nood aan een regelgeving rond databescherming erkend door het Indiase Hooggerechtshof.
Sindsdien streeft de regering van het land ernaar om wetgeving te creëren die de rechten van individuen op gegevens privacy codificeert en bescherming.

Het meest recente wetsontwerp is eind 2022 uitgebracht en werd tijdens de moessonsessie van augustus 2023 in het parlement ingediend.
In deze blog zullen we de belangrijkste punten van het wetsvoorstel bespreken en deze vergelijken met de GDPR.
de indase gegevensbeschermingsautoriteit

Reikwijdte en doelstellingen van het wetsvoorstel

De Digital Personal Data Protection Bill (Hierna: PDPB) werd op 3 augustus 2023 ingediend bij het Indiase Parlement. Aan deze indiening is een 10 jaar durend ontwikkelingsproces voorafgegaan. Er werd reeds in 2021 een veel uitgebreider en prescriptief ontwerp ingediend bij het Parlement, deze werd echter ingetrokken en vervangen door het huidige gestroomlijnd, op principes gebaseerd ontwerp dat voor raadpleging werd ingevoerd op 18 november 2022. Er volgde een uitgebreid raadplegingsproces en er werden enkele tientallen discussies gevoerd op het hoogste niveau van het ministerie. Het ministerie van elektronica en informatietechnologie heeft uiteindelijk de eerste fundamenten gelegd voor de ontwikkeling en goedkeuring van een op maat gemaakte Indiase wetgeving die ernaar streeft om een evenwicht te vinden tussen het mogelijk maken van gemakkelijk zakendoen en het beschermen van soevereine imperatieven, burgerrechten en databescherming. 

Als een beknopt document van 33 pagina’s, geschreven in eenvoudige taal met verschillende illustraties, vormt het wetsvoorstel een belangrijke, bijna anachronistische afwijking van de dichte en prescriptieve benaderingen van de wetgevingen inzake de bescherming van persoonsgegevens, zoals de GDPR, die tot op heden centraal stonden. Enkele van de belangrijkste streefdoelen en elementen van de PDPB zijn de volgende: 

Bescherming en Evenwicht voor Gegevensverwerking in een Online Wereld

Het wetsvoorstel bepaalt dat het van toepassing is op “de verwerking van digitale persoonsgegevens binnen India waar dergelijke gegevens die online worden verzameld, of offline worden verzameld en worden gedigitaliseerd”, evenals “dergelijke verwerking buiten India als het gaat om het aanbieden van goederen of diensten of profileren van individuen in India.”  Vergelijkbaar met GDPR, is het wetsvoorstel ontworpen om de personen binnen zijn bereik te beschermen, zelfs wanneer hun gegevens worden verwerkt door bedrijven of andere gegevensbeheerders buiten India. Het beoogt ook een evenwicht te vinden tussen het recht van individuen op gegeven privacy en de legitieme behoeften van gegevensbeheerders om gegevens te verwerken. 

Rechten en Voorschriften onder de Indiase Persoonsgegevensbeschermingswet

De PDPB definieert de term ‘persoonsgegevens’ als volgt: “alle gegevens over een persoon die identificeerbaar is door of in verband met dergelijke gegevens”. Omdat het wetsvoorstel alleen van toepassing is op gedigitaliseerde persoonsgegevens, zijn er gebieden die daar niet onder vallen, waaronder geanonimiseerde gegevens, niet-gedigitaliseerde gegevens en niet-persoonsgebonden gegevens.  

De PDPB legt de rechten vast van de personen die onder zijn bescherming staan, de voorschriften waaraan gegevensbeheerders moeten voldoen, de rechtsmiddelen voor niet-naleving en de beslechting van klachten. 

Overeenkomsten en verschillen tussen de PDPB en de GDPR

Aangezien de GDPR vrij bekend en goed ingeburgerd is, is het nodig om de beleidsbepalingen van de nieuwe PDPB te vergelijken met de GDPR. Enkele belangrijke punten zijn de volgende:  

  • Rechten van kinderen 

Zowel de GDPR als de PDPB  hebben specifieke bepalingen rond de rechten van kinderen op vlak van gegevensbescherming, echter zijn er wel enkele aanzienlijke verschillen. Zo stelt de GDPR de meerderjarigheid vast op 16 jaar en de PDPB op 18 jaar.  

  • Classificatie van persoonsgegevens 

Persoonlijke gegevens worden door de GDPR veel verder geclassificeerd in subgroepen zoals ras, etniciteit, politiek, religie en handicappen; voor bepaalde categorieën gelden andere of strengere nalevingsregels dan voor persoonsgegevens in het algemeen. De PDPB daarentegen richt zich op de brede categorie van persoonlijke gegevens, geen subset van gegevens is namelijk gevoeliger of beter beschermd dan een andere. 

  • Gegevensbeheer  

Onder de GDPR wordt de persoon die verantwoordelijk is voor het beheer en controleren van gegevens, de verwerkingsverantwoordelijke genoemd, de GDPR biedt geen verdere categorieën of unieke voorschriften voor bepaalde subsets. De PDPB voorziet daarentegen ook in de categorie van ‘Significant Data Fiduciares’ (SDF’s), u ontvang een SDFnotificatie wanneer u handelt met persoonsgegevens die wegens hun gevoeligheid en volume schade kunnen aanbrengen aan de betrokkene. De PDPB vereist dat de verantwoordelijken die onder deze categorie vallen aan strengere eisen voldoen. Het inschakelen van een functionaris voor gegevensbescherming (DPO) om toezicht te houden op het herstel van klachten, het inschakelen van een onafhankelijke gegevensauditor en het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA’s) zijn hier voorbeelden van. 

 

Conclusie

Er wordt al jaren gewerkt aan een adequate wetgeving rond gegevensbescherming in India. De huidige versie van het wetsvoorstel weerspiegelt de hoeveelheid moeite en discussie die erin is gestoken, en de goedkeuring ervan zou ertoe leiden dat India eindelijk een adequate wet inzake gegevensprivacy zou hebben om de meer dan 760 miljoen actieve internetgebruikers van het land te beschermen. Het begrijpen van de bepalingen en procedures van de PDPB is van cruciaal belang voor elke organisatie die persoonlijke gegevens van personen in India verwerkt, waaronder veel multinationale ondernemingen. 

Delen:

Meer berichten

nis2 incident aangeven

Een NIS2 incident melden

Met de invoering van de NIS2-richtlijn in de EU wordt het melden van cyber incidenten voor veel bedrijven verplicht. Dit betekent dat

Partners

©DPO Associates Alle rechten voorbehouden. Privacy verklaringCookie verklaring | Algemene voorwaarden