Младший консультант

Сдала квалификационный экзамен компании Яндекс по программированию, обладает профессиональной квалификацией IBM Data Scientist. На данный момент обучается в Германии, в Университете Саарланда на программе "Искуственный интеллект и наука о данных".

GDPR DPP, GDPR DPM, DPT, CIPP/E

Анализ правовых оснований обработки персональных данных в соответствии с индийским законом о защите данных

В этой статье мы рассмотрим индийский Закон о защите персональных данных в цифровой форме и его положения о правовых основаниях для обработки персональных данных. Основное внимание будет уделено вопросу, связано ли одно из этих оснований с контрактными отношениями между собственником данных и лицом, которому они доверены. Мы также рассмотрим примеры из других мировых законов о защите данных, включая GDPR, чтобы провести сравнительный анализ.

Содержание

Введение

В современную цифровую эпоху, когда обработка персональных данных играет ключевую роль в деятельности бизнеса, вопросы законности и прозрачности этого процесса становятся все более актуальными. В Индии регулирование обработки персональных данных в значительной степени опирается на согласие субъекта данных. Однако обработка на основании контракта с пользователем обеспечивает предприятиям большую стабильность, уменьшает зависимость от согласия и его отзыва, оптимизирует процессы и снижает риски, способствуя развитию долгосрочных отношений и повышению эффективности работы. Такой подход хорошо согласуется с меняющимся ландшафтом нормативных актов по защите данных по всему миру.

В свете текущей реформы соответствующего законодательства в Индии принятие этого подхода позволило бы компаниям, уже обрабатывающим данные в других странах на основании контракта, распространять свою деятельность и на Индию, существенно не меняя процессы по обработке данных пользователей.

Как именно новый индийский Закон о защите персональных данных в цифровой форме (далее — Закон) регулирует обработку персональных данных на основе договора? Попробуем разобраться!

индийский закон о приватности

Подкаст "Про Приватность"

Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности. 

Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave

подкасты про приватность

Как есть - и как будет

На данный момент (то есть до вступления Закона в силу) процессы обработки персональных данных в основном регулируются Законом об информационных технологиях (далее — IT Act). Отметим, что IT Act лишь упоминает обработку данных на основании контракта в ст. 72А, причем указанная статья не устанавливает прямую норму поведения, а предусматривает ответственность за умышленное раскрытие персональной информации, полученной в рамках заключенного контракта, без согласия соответствующих сторон.

В новом Законе контракт не указан явно в качестве самостоятельного правового основания, однако содержание ст. 7 Закона позволяет сделать вывод о том, что обработка данных, необходимых для исполнения договора, возможна без согласия субъекта персональных данных (то есть лица, чьи данные обрабатываются). Рассмотрим эту норму подробнее.

Так, ст. 7 Закона содержит исключение из общего правила о необходимости предварительного сбора согласия на обработку данных. Норма гласит, что доверительное лицо может обрабатывать персональные данные с определенной целью, для которой доверитель добровольно предоставил эти данные и не выразил несогласие с обработкой.

A Data Fiduciary may process personal data of a Data Principal for any of following uses, namely:

for the specified purpose for which the Data Principal has voluntarily provided her personal data to the Data Fiduciary, and in respect of which she has not indicated to the Data Fiduciary that she does not consent to the use of her personal data.

Illustrations. (I) X, an individual, makes a purchase at Y, a pharmacy. She voluntarily provides Y her personal data and requests Y to acknowledge receipt of the payment made for the purchase by sending a message to her mobile phone. Y may process the personal data of X for the purpose of sending the receipt.

(II) X, an individual, electronically messages Y, a real estate broker, requesting Y to help identify a suitable rented accommodation for her and shares her personal data for this purpose. Y may process her personal data to identify and intimate to her the details of accommodation available on rent. Subsequently, X informs Y that X no longer needs help from Y. Y shall cease to process the personal data of X;

Эта статья содержит ряд важных черт и понятий, которые схожи с уже существующими нормами в других законах по всему миру. Давайте подробно проанализируем ее и сравним с аналогичными концепциями в других юрисдикциях.

Этот термин напоминает концепцию «контролера данных» в Европейском союзе (GDPR) и «бизнеса» (business) в Законе Калифорнии о приватности потребителей (CCPA). Это лицо или организация, которая контролирует и обрабатывает личные данные.

Доверительный управляющий данных может обрабатывать личные данные для определенных целей, указанных самим субъектом данных. Это соответствует принципу «ограничения целью» в GDPR, который подчеркивает, что данные должны обрабатываться для конкретных и законных целей.

Обработка данных допускается, если субъект данных добровольно предоставил свои личные данные для конкретных целей и не выразил несогласие с использованием этих данных. Это в целом похоже на предоставление данных для исполнения договора, заключенного путем совершения конклюдентных действий («подразумеваемый договор»).

Описание сценария: Лицо X совершает покупку в аптеке Y, просит отправить квитанцию о платеже на мобильный телефон, для чего добровольно предоставляет свои персональные данные.

Интерпретация: Иллюстрацию можно рассматривать таким образом, что между X и Y имеется устная или подразумеваемая договоренность (контракт) о предоставлении товара (медицинских продуктов) и услуг (отправка квитанции). Обработка персональных данных X, связанная с этим, может считаться законной на основе исполнения контракта.

Описание сценария: Лицо X обращается к брокеру недвижимости Y с запросом о поиске арендного жилья, предоставляя свои персональные данные для этой цели. Позднее X сообщает, что больше не нуждается в помощи Y, и Y прекращает обработку персональных данных X.

Интерпретация: В данном случае, начиная с запроса на помощь от X, между X и Y существует договоренность о предоставлении услуги (помощи в поиске жилья). Обработка персональных данных X в ходе выполнения этой услуги также может рассматриваться как законная на основе контракта. Прекращение обработки после уведомления X также соответствует принципам ограничения обработки целью: обработка продолжается до тех пор, пока действует контракт.

Исходя из формулировки нормы и приведенных примеров (которые являются частью Закона и направлены на разъяснение того, как соответствующая норма должна применяться на практике) представляется возможным сделать вывод о том, что Закон позволяет обрабатывать персональные данные на основе контракта, несмотря на отсутствие прямого указания на контракт как на самостоятельное правовое основание. Однако поддерживается ли такая позиция мировой практикой?

Консалтинг по национальным законам

Приведение проектов, процессов, продуктов и компании в соответствии с международными и локальными законами: GDPR, ССPA, UAE PDPL, PIPL и других.

Обработка данных на основании договора: мировой опыт

Учитывая, что в ст. 7 Закона прямо не упоминается контракт как правовое основание для обработки персональных данных, есть ли основания для подобной интерпретации данной статьи? Для ответа на этот вопрос обратимся к примерам из различных законов о защите персональных данных, практика применения которых позволяет трактовать их положения как обработку данных на основании контракта.

“Обработка является законной только в тех случаях, когда — и в той степени, в которой — выполнено по меньшей мере одно из следующих условий:

(b) обработка необходима для выполнения контракта, стороной которого является субъект данных».

“Ситуация с общим разрешением (на обработку персональных данных — прим. автора) существует, если лицо APP (организация или агент, на которого распространяется действие Закона о приватности 1988 г. — прим автора) собирает, использует или разглашает персональную информацию о человеке или его идентификаторе, созданном органами государственного управления, и при этом:

(4) Использование или раскрытие личной информации необходимо для установления, осуществления или защиты законного требования”.

«Контролер персональных данных может собирать персональную информацию в одной из следующих ситуаций и использовать ее в рамках, определенных целью сбора:

(4) Обработка необходима для выполнения контракта, стороной которого является субъект данных, или для осуществления предконтрактных мер, запрошенных субъектом данных».

“Агент не может собирать персональную информацию, кроме случаев, когда —
(а) Информация собирается для законной цели, непосредственно связанной с функцией или деятельностью агента».

“Согласие на обработку персональных данных не нужно, если:

(IV) Обработка необходима для выполнения обязательств, вытекающих из правовых отношений между субъектом данных и оператором данных».

«В настоящем Законе:

Согласие означает информированное, явно выраженное или подразумеваемое согласие (субъект данных дает свое согласие, явное или подразумеваемое, на обработку, при условии, что обработка необходима для выполнения контракта, стороной которого является субъект данных — прим. автора).

Из приведенных примеров можно видеть, что хотя ряд законов отдельно упоминает контракт в качестве самостоятельного правового основания, есть и те, в которых обработка на основании контракта (допускаемая без согласия субъекта) не указана прямо, но подразумевается. Пример закона Израиля показывает, что обработка данных по контракту может быть сформулирована даже через согласие, но не обычное, а именно «подразумеваемое». Можно ли сказать, что подобный подход справедлив и для Индии и отсутствие прямого указание на контракт как отдельное правовое основание тем не менее не мешает обрабатывать персональные данные, необходимые для заключения и исполнения договора, без согласия субъекта?

Подразумеваемый договор в гражданском праве Индии

Существует ли в правовом контексте Индии концепция «подразумеваемого договора» (implied contract)? Для ответа на этот вопрос обратимся к гражданскому праву Индии.

Словосочетание «implied contract» нигде не фигурирует, однако в разделе 9 Индийского закона о договорах (далее — Закон о договорах) содержится понятие «подразумеваемых обещаний» (“promise is said to be implied”):

“In so far as the proposal or acceptance of any promise is made in words, the promise is said to be expressed. In so far as such a proposal or acceptance is made otherwise than in words, the promise is said to be implied”. — “Если и поскольку предложение или принятие какого-либо обещания выражается в словах, обещание считается выраженным. Если такое предложение или принятие сделано иначе, чем на словах, обещание считается подразумеваемым”.

Из толкования раздела 9 Закона о договорах можно сделать вывод, что подразумеваемые договоры — это такие договоры, которые были заключены без использования слов. В соответствии с данным разделом существует два типа подразумеваемых договоров: подразумеваемые договоры по закону и подразумеваемые договоры по факту. Подразумеваемый договор по факту означает, что предложение и принятие договора произошло в результате действий или поведения сторон, участвующих в договоре.  Подразумеваемый договор по закону означает, что предложение и принятие договора обязательны для обеих сторон, заключивших договор, в силу установленной для них нормы закона.

Заметим, что в обоих представленных в ст. 7 Закона примерах (пример I и пример II) можно увидеть применимость концепции подразумеваемых обещаний в соответствии с разделом 9 Закона о договорах:

в примере I (покупка в аптеке) X предоставляет свои персональные данные для получения квитанции об оплате. В данном случае действия X (предоставление персональных данных) и согласие Y обрабатывать эти данные для отправки квитанции могут рассматриваться как подразумеваемое обещание. При этом Y вправе обрабатывать данные в соответствии с этим обещанием, которое произошло не с помощью слов, а через понимание ситуации;

в примере II (предоставление риэлтерских услуг) X посылает запрос с просьбой о помощи в поиске жилья и предоставляет свои персональные данные. Y начинает обработку данных для поиска жилья. Когда X сообщает, что больше не нуждается в услугах, Y прекращает обработку данных. Здесь также присутствует подразумеваемое обещание, заключающееся в взаимном понимании сторон о том, что обработка данных будет производиться с целью поиска подходящего жилья.

Положение Закона, проанализированное в данной статье, имеет сходство с правовым основанием для обработки данных на основе договора, содержащимся в других мировых законах о защите данных. Однако несмотря на то, что возможность обработки персональных данных в рамках контрактных отношений может быть весьма привлекательной с точки зрения бизнеса, следует проявлять осторожность в оценке перспектив. Важно учитывать, что Закон о защите данных в Индии, на момент написания данного анализа, еще не вступил в силу и не имеет достаточной юридической практики применения, а существующая на данный момент практика может послужить основанием для ограничения обработки данных по контракту. Таким образом, предприятиям следует подходить к данной теме с особой внимательностью, избегая самостоятельного толкования норм закона без опоры на мнение специалиста в области индийского права защиты персональных данных.

Тем не менее, в этой неопределенности зреет надежда на то, что со временем ст. 7 Закона даст компаниям возможность обработки данных на основе заключенных контрактов. Эта перспектива может стать стимулом для развития эффективных практик и стратегий соблюдения законодательства в области защиты данных в будущем.

Забронируйте бесплатную консультацию прямо сейчас!

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.