到目前为止,通用数据保护条例已成为大多数处理个人数据的印度组织所熟知的术语。GDPR或通用数据保护条例是欧盟(EU)的新隐私法,将于2018年5月25日生效。
GDPR是否适用于印度组织?
是。尽管GDPR是欧洲法律,但如果该组织向欧盟(EU)中的人员(即欧盟数据主体)提供商品或服务,或监控其在欧盟内部的行为,则该规定将适用于印度组织。印度组织可以充当控制者(即确定需要处理数据的方式和原因),也可以充当处理者(即代表控制者处理数据)。在两种情况下,GDPR都规定了具体的义务和处罚。
关GDPR保护欧盟数据主体的“个人数据”,例如姓名,电子邮件,地址,IP地址,位置数据,遗传和生物特征数据,在线标识符等。
相关新闻编辑的《 2020年预算》:FM Nirmala Sitharaman的最大任务是什么?OYO在2019年3点分析/冠状病毒爆发中增加了4,000个企业帐户:它如何影响投资者此数据可以是组织的员工,客户,供应商或业务合作伙伴的数据。严格保护敏感的类别数据,例如政治观点,宗教信仰,工会会员资格,种族或族裔血统等。
印度组织需要做什么才能符合GDPR?
处于GDPR范围内的印度组织将需要为欧盟数据主体提供新的权利。其中包括:被遗忘的权利,删除个人数据的权利,更正数据的权利,数据可移植性的权利等。
GDPR已规定了控制者和处理者的详细义务和责任。一些关键的要求包括:控制器现在将需要实施适当的技术和组织措施,以确保并证明其符合GDPR的要求,例如具有适当的数据保护策略,假名化,加密,设计隐私和产品出厂时的默认隐私。控制器和处理器之间用于处理个人数据的合同将需要纳入GDPR要求;欧盟以外的控制器和处理器将需要指定欧盟的本地代表和一名数据保护官, 在某些情况下,这将给印度公司带来额外的合规性和成本;负责人从数据主体中寻求的同意应清晰明确。预先勾选的同意框/暗示同意在GDPR下不起作用。退出必须是明确的;组织雇用超过250名员工时要保留记录;在72小时之内将数据泄露通知给主管部门,并及时通知数据主体;需要与第三方/国家进行跨境数据传输达到与GDPR相同的保护水平。印度目前还不是通报国家。违规的处罚和风险是什么?
根据GDPR的规定,罚款金额很高。对于不遵守客户同意要求,数据主体权利(如下所述),跨境数据传输要求等的情况,罚款额可能会更高:前一个财政年度全球年营业额的4%,即2,000万欧元。
对于控制人和加工者未遵守GDPR规定的义务的情况,罚款可能更高:前一个财政年度全球年营业额的2%,即1000万欧元。
对于任何在欧洲开展业务的组织来说,这可能会对财务产生重大影响。此外,如果印度组织不符合GDPR规定,也将存在声誉风险和失去欧盟客户的风险。
印度组织的要点
从最近的Facebook -Cambridge Analytica争议中可以明显看出,隐私已成为数字时代的中心话题。欧盟是印度IT / BPO /技术行业的重要市场。因此,所有在欧盟开展业务的印度组织都将GDPR合规性放在首位。
随着5月25日的临近,印度公司可以评估以下各项是否立即合规:对系统中的个人数据进行评估,审查隐私政策和合同以确保它们符合GDPR;评估欧盟数据的来源,如何是否存储;是否已采取安全措施;评估是否已按照GDPR要求征得同意以收集个人数据;如果不是这样,则必须立即联系并在2018年5月25日之前征得同意;确保您具有启用个人的新数据主体权利的系统,包括如何删除个人数据;确保已建立适当的程序来检测,报告并调查数据泄露。(由Khaitan&Co合伙人Anshul Prakash和合伙人Shweta Dwivedi撰写)