Русский 
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
О согласии и законном использовании: Там, где резина встречается с дорогой
Хотя концепция согласия соответствует действующему режиму, основанному на согласии, в соответствии с Законом об информационных технологиях 2000 года («Закон об ИТ»)[1], а также конституционный примат согласия и автономии в соответствии с различными судебными решениями, касающимися права на конфиденциальность информации, остается прочно закрепленным в качестве основной основы для сбора и обработки персональных данных в соответствии с различными проектами общей защиты персональных данных. законодательстве Индии на протяжении многих лет[2] недавно опубликованный Закон о защите цифровых персональных данных 2023 года («Действовать»)[3]также предусматривает «законное использование» в качестве ключевого дополнительного основания, доступного Фидуциарам данных[4] для сбора и обработки персональных данных[5].
В рамках нашей серии статей, посвященных Закону, мы сейчас исследуем, как Закон регулирует согласие, а также законное использование, в сравнении с проектом Закона о защите цифровых персональных данных 2022 года («Черновик»)[6] и некоторые глобальные рамки.
Закон по-прежнему требует, чтобы согласие было свободным, конкретным, осознанным, безоговорочным, выраженным и выражаемым посредством позитивного действия.[7]
Согласно Закону, это уведомление должно предоставляться каждый раз, когда запрашивается согласие,[8] что потенциально увеличивает размер цунами уведомлений (и сопутствующей усталости), которому вскоре придется подвергнуться индийцам.
Закон также по-прежнему требует предоставления нового уведомления, если на обработку было получено ранее согласие.[9] В Индии, где в соответствии с Законом об информационных технологиях согласие требовалось только для обработки узко определенного набора «конфиденциальных персональных данных или информации»,[10] фидуциарам данных придется тщательно проверять свои предыдущие согласия, предоставлять новые уведомления и (потенциально) принимать новые согласия после официального вступления Закона в силу. Поэтому может быть полезно прояснить позицию в отношении устаревших персональных данных, которые обрабатывались без специального согласия, если того же не требует закон. Фидуциарии данных могут продолжать обработку персональных данных, согласие на обработку которых было получено до вступления в силу Закона[11], путем предоставления уведомления по установленной форме[12], и это шаг, который будет приветствоваться предприятиями, Закон разъясняет, что Данные Доверенные лица могут продолжать обработку персональных данных до тех пор, пока Принципал данных[13] не отзовет согласие[14].
Важно отметить, что, будучи в настоящее время более либеральным, чем большинство других законодательств во всем мире,[15] оно в настоящее время позволяет получить консолидированное согласие путем направления уведомления (ясного, понятного, доступного на нескольких языках, с указанием целей, для которых данные могут быть обработаны, способ, которым Принципал данных может осуществлять свои права и способ подачи жалобы в Совет) в порядке, который может быть указан.
В отличие от законопроекта, Закон больше не требует, чтобы в этих уведомлениях перечислялись цели в подробной форме, а скорее требует, чтобы уведомление было оформлено в установленном порядке.[16]
Хотя это оставляет открытой возможность введения более обременительного требования в отношении детальных согласий (т.е. отдельных согласий для каждой цели)[17], Закон также, похоже, решает проблему комплексных согласий по принципу «все или ничего» другим способом.
Интересно, что изменение, которое, судя по всему, направлено на кодификацию ограничения целей и избежание объединения, Закон включает:
Хотя первое приветствуется, второе проблематично по двум причинам:
Закон отражает позицию об отзыве согласия, указанную в проекте.[20] Принципалы данных имеют право отозвать согласие на обработку данных так же легко, как и способ получения согласия. Однако такой отзыв не повлияет на законность обработки, выполненной до отзыва.[21] После отзыва Доверенное лицо данных обязано прекратить обработку таких персональных данных «в течение разумного периода времени», если такая обработка не разрешена законом.[22] Ответственность за последствия такого отзыва будет нести Принципал данных.[23] В качестве еще одного шага по усилению согласия Закон расширяет обязанность удаления данных после отзыва согласия как на Доверительного лица данных, так и на организации, обрабатывающие данные от его имени.[24]