您的位置首页 >股票 >

同意使用数据:为印度科技公司做与不做

Neeraj Dubey / Aparajitha Narayanan

资金控制贡献者

数据的“同意”概念在欧盟通用数据保护法规(GDPR)的精妙描述中独树一帜。

它被定义为对数据主体的意愿的任何自由给出的,特定的,知情的和明确的指示,通过这种陈述,他或她通过陈述或明确的肯定行动来表示同意处理其个人数据。

同意以上任何一项的任何人也有权撤回同意。

相关新闻来自ISRO,MEA的3,000名官员的电子邮件ID遭到了破坏:微软承认意外泄露2.5亿客户数据的报道政府可能很快迫使WhatsApp,Facebook和TikTok追踪有争议内容的来源

GDPR是管理欧盟居民个人数据收集,使用,存储和销毁的新法规框架,已于2018年5月25日生效,由于其域外适用性,它不仅与基于欧盟,也适用于使用欧盟公民个人信息的印度公司,包括欧盟居民个人数据的处理者或控制者的任何组织,包括营利性组织和非营利性组织。

根据印度信息技术规则,一些印度实体可能已经获得必要自然人的同意。

但是,根据GDPR,将要求实体在没有法律条款的情况下获得同意,并以“目的”为由要求提供此类个人数据。要处理“敏感数据”(即姓名,种族,性取向等详细信息),必须获得公开同意。

但是,对于“非敏感数据”(cookie ID,散列的电子邮件地址-无法直接识别等),明确的同意就足够了。

根据GDPR,沉默,不活动或预先打勾的条目将不构成“同意”。

此外,在处理个人数据出于多种目的的情况下,GDPR要求必须为此目的而获得“同意”,而不是一揽子方式。

因此,很明显,数据处理者和控制者在获得数据主体的同意以满足GDPR时走钢丝,因为不再允许默示同意。

因此,对于印度公司而言,至关重要的是要返回并检查获得数据采购同意书的目的。如果数据当前正在用于其他目的,那么重要的是,回头向欧盟对应方从正在进行的项目的相应数据主体中获取数据。

合规要求

对于印度公司来说,很显然要研究为什么他们需要再次获得同意,而答案就在于GDPR赋予数据主体的权力以及为数据控制者/处理器定义的义务。

数据控制器的任务是确保其维护的数据准确无误,并且在过时或不正确的情况下数据主体可以纠正。

数据的存储时间不得超过要求的时间,即,直到数据收集者的目的消失为止,数据控制者必须采取严格的安全措施加以保护。

数据处理器的任务是维护有关其处理操作的文档,并实施严格的安全措施以保护个人数据。

此外,他们必须让数据控制者了解任何违规情况,对数据保护进行影响评估并任命数据保护官员(仅当数据处理者是公共当局或从事大规模系统监视/大规模处理的组织时)。

敏感的个人数据)。

数据主体的权利

根据GDPR的规定,数据主体享有多项不可改变的权利,因为其主要目标之一是保护人们的基本权利和自由,主要是保护其个人数据的权利。

数据主体有权要求实体提供对其个人数据的访问权,并了解该实体如何使用它。

数据主体具有特殊的移植权,即,他们可以行使将数据从一个服务提供商传输到另一服务提供商的权利。要求数据主体在收集其数据之前被告知,并且他们必须选择加入,即允许主体通过给予明确且自由的同意来收集其个人数据。

数据主体可以在需要时更新/更正/完成其个人数据。数据主体还有权要求实体“不”

处理他们的个人数据,但仅保留它。

除限制处理外,数据主体有权阻止实体处理其个人数据以直接

营销目的。

如果有任何数据泄露可能影响数据主体的权利和自由,则实体必须在被发现后72小时内将其告知主体。

数据主体有被遗忘的特殊权利,因此,如果他们不再是这些实体的客户,或者如果他们撤回了同意,则他们有权要求删除其个人数据。

随着GDPR的实施,印度的数据处理者和控制者到现在应该已经采取了大量的预防/预防措施,以确保它们合规。如果没有,必须立即制定这些城墙,更重要的是,在

流行的方式,增强了透明度和责任感。

如果这还没有发生,那么就必须在GDPR的轮廓周围谨慎地操作。

如果严重违规,最高可处以2000万美元的罚款

违约实体可能会被征收欧元或上一财政年度公司全球年营业额的4%(以较高者为准)。

因此,现在是采取谨慎行动并认真遵守法规的时候了。

作者是Lakshmikumaran&Sridharan律师的合伙人和高级合伙人。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。