Der Digital Personal Data Protection (DPDP) Act, 2023 wurde am 11. August 2023 formell in Kraft gesetzt und stellt einen bedeutenden Meilenstein in der Landschaft der digitalen Rechte in Indien dar. Es wurde vom Unterhaus des Parlaments (Lok Sabha) und vom Oberhaus des Parlaments (Rajya Sabha) gebilligt und verabschiedet, gefolgt von der Zustimmung des indischen Staatspräsidenten.
Mit dem Datenschutz als Kernstück schafft das Gesetz einen rechtlichen Rahmen in Indien, der dem Schutz der persönlichen Daten seiner Bürger gewidmet ist. Die Gesetzgebung gibt dem Einzelnen mehr Befugnisse, definiert Geschäftspraktiken neu und führt zu einem neuen, verantwortungsvollen Umgang mit Daten.
Inhaltsübersicht
- Einführung
- Das Gesetz zum Schutz digitaler persönlicher Daten: Ein Überblick
- Was fällt unter das Gesetz zum Schutz digitaler persönlicher Daten?
- Was sind die Ausnahmen im Gesetz zum Schutz digitaler persönlicher Daten?
- Welche Sektoren und Branchen werden betroffen sein?
- Gesetz über den Schutz digitaler persönlicher Daten und den Datenschutz in SAP-Systemen
- Vorbereitung auf die Einhaltung des DPDP
Einführung
Der Datenschutz ist im Grunde einer der wichtigsten Aspekte eines Unternehmens. Zu wissen, welche Daten zu speichern sind, wie sie sicher zu speichern sind, Kundendaten vor Bedrohungen zu schützen und so weiter, ist Teil der strategischen Checkliste eines Unternehmens. Glücklicherweise gibt es mehrere Gesetze zum Datenschutz und zur Privatsphäre, die die richtige Verwendung und Integrität der Daten gewährleisten. In der EU gibt es beispielsweise die General Data Protection Regulation (GDPR), in den USA die CCPA, in Kanada das Loi 25 und vor kurzem in Indien das Digital Personal Data Protection (DPDP) Act.
In der heutigen schnelllebigen digitalen Landschaft, in der die meisten Finanztransaktionen in Indien digital abgewickelt werden, ist der Digital Personal Data Protection Act ein bedeutender Schritt, der die Rechte des Einzelnen auf Schutz seiner Privatsphäre schützt und gleichzeitig verantwortungsvolle Praktiken des Datenmanagements fördert. Tatsächlich erkennt das Gesetz die wachsende Bedeutung des Schutzes personenbezogener Daten an und zielt daher darauf ab, ein Gleichgewicht zwischen den Rechten des Einzelnen und den Anforderungen einer Organisation an eine rechtmäßige Datenverarbeitung herzustellen.
Das Gesetz zum Schutz digitaler persönlicher Daten: Ein Überblick
Einfach ausgedrückt gilt das Gesetz zum Schutz digitaler personenbezogener Daten (DPDP) aus dem Jahr 2023 für jede digitale Verarbeitung personenbezogener Daten in Indien, unabhängig davon, ob sie online oder offline erhoben und später digitalisiert wurden. Das Gesetz gilt auch für die Verarbeitung digitaler personenbezogener Daten außerhalb Indiens, wenn es sich um Waren oder Dienstleistungen handelt, die den Auftraggebern auf dem indischen Staatsgebiet angeboten werden.
Das DPDP-Gesetz zielt in erster Linie darauf ab, die Verarbeitung digitaler personenbezogener Daten zu regeln und dabei das Recht des Einzelnen auf Schutz seiner Daten zu respektieren, die Wesentlichkeit der Verarbeitung anzuerkennen und ihre Verwendung für rechtmäßige Zwecke zu gewährleisten. Dies ist zwar kein großer Vorteil, kann aber dennoch als solcher gewertet werden. Die Sprache, die in der offiziellen Dokumentation des Gesetzes verwendet wird, ist einfach und klar, so dass ein nahtloses und effektives Verständnis für alle gewährleistet ist. Der Digital Personal Data Protection Act zielt auch darauf ab, einen umfassenden Rechtsrahmen zu schaffen, der den Schutz von Daten in Indien regeln soll.
Eine interessante Tatsache ist, dass das DPDP-Gesetz in Indien den Prozess der Datenverwaltung gestaltet und rationalisiert. Daher ist es zwingend erforderlich, dass Unternehmen die Umsetzung des Datenschutzgesetzes, die Datenverwaltung und die Verbesserung der Abläufe überwachen, um bessere Abläufe zu gewährleisten.
Was fällt unter das Gesetz zum Schutz digitaler persönlicher Daten?
Bedeutende Datentreuhänderin (SDF)
Einer der Faktoren, die unter den Digital Personal Data Protection Act fallen, ist der Significant Data Fiduciary (SDF), den die indische Regierung auf der Grundlage des Umfangs und der Sensibilität der verarbeiteten personenbezogenen Daten und der damit verbundenen Risiken ermitteln wird. Es gibt einige spezifische Verpflichtungen im Rahmen des Significant Data Fiduciary (SDF), die die Ernennung eines Datenschutzbeauftragten (DSB) mit Sitz in Indien, einen unabhängigen Datenprüfer und häufige Datenschutz-Folgenabschätzungen (DPIA) umfassen.
Die Rechte der Bürger Indiens
Darüber hinaus wird das Gesetz zum Schutz digitaler personenbezogener Daten die Rechte der indischen Bürger stärken, da die Datenhauptrechte –
Recht auf Information
Gemäß dem Gesetz haben Einzelpersonen das Recht, mehr Informationen über die Verarbeitung und Verwendung ihrer Daten zu erhalten. In der Tat wird der Significant Data Fiduciary (SDF) diese Informationen besser sichtbar machen und auf eine viel verständlichere Weise dokumentieren.
Recht auf Korrektur
Das Gesetz zum Schutz digitaler personenbezogener Daten macht es für Einzelpersonen günstiger und einfacher, unrichtige oder unvollständige Angaben in ihren persönlichen Daten zu korrigieren. Allerdings gibt das Gesetz dem Einzelnen auch das Recht, Daten zu löschen, die für die Verarbeitung nicht mehr erforderlich sind.
Recht auf Abhilfe bei Beschwerden
Eines der hervorstechendsten Merkmale des DPDP-Gesetzes ist, dass es Einzelpersonen das Recht gibt, bei Beschwerden Abhilfe zu schaffen. Nach dem Gesetz haben Einzelpersonen das Recht, ihre Beschwerden, Probleme usw. auf jedem leicht zugänglichen Weg bei einem Datentreuhänder zu melden.
Recht auf Nominierung
Schließlich ermöglicht das Benennungsrecht des Gesetzes den Personen, eine andere Person zu benennen, die den Datenschutz im Falle von Unfähigkeit oder Tod ausübt.
Sanktionen gemäß dem DPDP-Gesetz
Eines der wichtigsten Merkmale des Gesetzes zum Schutz digitaler personenbezogener Daten ist die Strafklausel. Bei Nichteinhaltung der Bestimmungen durch die Datentreuhänder drohen Strafen von bis zu INR 250 Cr. Einige der Fälle, in denen Strafen verhängt werden können, sind –
- Jeder Verstoß gegen die Pflicht der Datenverantwortlichen kann zu einer Geldstrafe von INR 10.000 führen.
- Jeder Verstoß gegen die zusätzlichen Verpflichtungen in Bezug auf Kinder kann zu einer Geldstrafe von INR 200 Cr führen.
- Jedes Versäumnis, die Datenschutzbehörde und die betroffenen Dateninhaber im Falle einer Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, kann zu einer Geldstrafe von bis zu INR 200 Cr führen.
Was sind die Ausnahmen im Gesetz zum Schutz digitaler persönlicher Daten?
Nach dem Gesetz zum Schutz digitaler personenbezogener Daten sind nicht-automatisierte personenbezogene Daten, Offline-Personendaten und personenbezogene Daten, die seit mindestens 100 Jahren existieren, ausgeschlossen. Darüber hinaus wurde auch die Höchststrafe von INR 500 Cr gestrichen.
Außerdem wurde die 72-Stunden-Frist, innerhalb derer eine Datenschutzverletzung den Behörden gemeldet werden muss, gestrichen. Außerdem sieht das Gesetz derzeit keinen konkreten Zeitplan für die Umsetzung der Beschwerde- und Datenschutzrechte vor.
Welche Sektoren und Branchen werden betroffen sein?
Es wird erwartet, dass das Gesetz zum Schutz digitaler personenbezogener Daten Auswirkungen auf wichtige Unternehmensbereiche wie Informationssicherheit, IT, Recht, Vertrieb und Marketing, Personalwesen, Finanzen und Beschaffung haben wird, um nur einige zu nennen. Dies liegt an der Art und dem Umfang der personenbezogenen Daten, die in Indien erhoben, gespeichert, verarbeitet, aufbewahrt und entsorgt werden. Daher müssen Organisationen in den oben genannten Sektoren sowie in den mit ihnen verbundenen Sektoren eine robuste und wirksame Datenschutzpolitik entwickeln, die das DPDP-Gesetz von 2023 im Auge behält.
Gesetz über den Schutz digitaler persönlicher Daten und den Datenschutz in SAP-Systemen
Tatsache ist, dass ca. 70 % der weltweiten Geschäftstransaktionen über SAP abgewickelt werden. Die Mehrheit der Unternehmen verwendet SAP-Systeme, auch in Indien, was zeigt, wie wichtig es ist, den Datenschutz in SAP mit dem DPDP Act in Einklang zu bringen. Hier sind einige wichtige Dinge über DPDP, die Unternehmen, die SAP-Systeme verwenden, sicherstellen müssen.
Rechtmäßige Verwendung von Informationen: Organisationen in Indien müssen sicherstellen, dass sie beim Umgang mit persönlichen Daten die Regeln des digitalen Datenschutzes befolgen, wie z.B. das Einholen einer eindeutigen Erlaubnis, die Verwendung der Daten nur für rechtmäßige und beglaubigte Zwecke usw.
Datensicherheit: Gemäß den Vorschriften des DPDP-Gesetzes sorgen Organisationen für Maßnahmen, die persönliche Daten vor dem Zugriff, der Veränderung, der Weitergabe und der Vernichtung ohne autorisierte Zustimmung oder Erlaubnis schützen. SAP-Systeme verfügen über mehrere integrierte Funktionen, die Unternehmen bei der Gewährleistung der Datensicherheit helfen können.
Die Rechte des Einzelnen an Informationen: Da zwei der hervorstechenden Merkmale des Gesetzes zum Schutz digitaler personenbezogener Daten das Recht auf Auskunft und das Recht auf Berichtigung sind, müssen Organisationen Maßnahmen ergreifen, um sicherzustellen, dass Einzelpersonen die gespeicherten Informationen einsehen, Fehler in ihren Daten beheben und nicht mehr benötigte Daten löschen können.
Vorbereitung auf die Einhaltung des DPDP
Hier erfahren Sie, was Unternehmen tun können, um ihre SAP-Systeme auf die DPDP-Konformität vorzubereiten:
Finden Sie alle Informationen: Identifizieren und dokumentieren Sie alle persönlichen Informationen, die in SAP-Systemen gespeichert sind, einschließlich der Frage, woher sie stammen, warum die Daten verwendet werden und ob sie den gesetzlichen Bestimmungen entsprechen.
Prüfen Sie, wie die Informationen verwendet werden: Als Unternehmen müssen Sie unbedingt überprüfen, wie die Informationen verwendet werden und wie sie in SAP gehandhabt werden, um sicherzustellen, dass die DPDP-Regeln eingehalten werden, wie z.B. die Einholung der Zustimmung, die Verwendung nur der minimal erforderlichen Informationen und die Verwendung nur für bestimmte Zwecke.
Halten Sie Regeln ein: Wenden Sie je nach Bedarf Datenlöschungs- oder Legal Hold-Regeln auf SAP-Systeme an, um sicherzustellen, dass der Datenschutz im System durchgesetzt wird.
Daten sicherer machen: Ein weiterer Schritt besteht darin, die Sicherheitsmaßnahmen innerhalb von SAP zu verstärken, um Informationen vor unbefugtem Zugriff, Verstößen oder Missbrauch zu schützen.
Mitarbeiter schulen: Schulen Sie die Mitarbeiter, die SAP verwenden und mit Informationen umgehen, damit sie die DPDP-Regeln und Best Practices verstehen und befolgen.
Das DPDP-Gesetz ist Indiens Bekenntnis zum Datenschutz und zur Privatsphäre im digitalen Zeitalter. Indem sich Organisationen an die regulatorischen Änderungen anpassen, ebnen sie den Weg für eine Zukunft, in der Daten nicht nur geschützt, sondern auch verantwortungsvoll genutzt werden, um Innovationen voranzutreiben und das Leben zu verbessern.
Neben dem Digital Personal Data Protection Act in Indien gibt es, wie bereits erwähnt, weitere Datenschutzgesetze wie GDPR, Loi 25, etc. In den nächsten Blogs werden wir sie im Detail besprechen und diskutieren. Bleiben Sie dran für weitere Blogartikel im Rahmen unserer Datenschutzserie!
Bis dahin können Sie sich mit unseren Experten in Verbindung setzen, wenn Sie Fragen zur Verwaltung von Datenmengen haben!