Deutsch 
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Von Einwilligung und rechtmäßiger Nutzung: Wo der Gummi auf die Straße trifft
Während das Konzept der Einwilligung im Einklang mit der aktuellen einwilligungsbasierten Regelung gemäß dem Information Technology Act von 2000 („IT-Gesetz„)[1] sowie der verfassungsrechtliche Vorrang der Einwilligung und Autonomie in verschiedenen Gerichtsentscheidungen, die sich mit dem Recht auf Privatsphäre befassen, sind nach wie vor als primäre Grundlage für die Erhebung und Verarbeitung personenbezogener Daten im Rahmen der verschiedenen Entwürfe des allgemeinen Schutzes personenbezogener Daten fest verankert Gesetzgebung in Indien im Laufe der Jahre,[2] das neu notifizierte Gesetz zum Schutz digitaler personenbezogener Daten von 2023 („Akt„)[3]sieht auch eine „legitime Nutzung“ als wichtige zusätzliche Grundlage vor, die Datentreuhändern[4] für die Erhebung und Verarbeitung personenbezogener Daten zur Verfügung steht[5].
Im Rahmen unserer Reihe zum Gesetz untersuchen wir nun, wie das Gesetz im Vergleich zum Entwurf des Gesetzes zum Schutz digitaler personenbezogener Daten von 2022 mit Einwilligung und rechtmäßiger Nutzung umgeht („Entwurf“)[6] und einige globale Frameworks.
Das Gesetz verlangt weiterhin, dass die Einwilligung frei, spezifisch, informiert, bedingungslos, ausdrücklich und durch eine positive Handlung zum Ausdruck gebracht wird.[7]
Nach dem Gesetz muss diese Benachrichtigung jedes Mal gegeben werden, wenn eine Einwilligung eingeholt wird,[8] was möglicherweise das Ausmaß des Tsunamis an Benachrichtigungen (und der damit verbundenen Müdigkeit) erhöht, dem die Inder bald ausgesetzt sein werden.
Das Gesetz schreibt auch weiterhin vor, dass eine erneute Mitteilung erfolgen muss, wenn der Verarbeitung zuvor zugestimmt wurde.[9] In Indien, wo die Einwilligung nach dem IT-Gesetz nur für die Verarbeitung eines eng definierten Satzes „sensibler personenbezogener Daten oder Informationen“ erforderlich war,[10] müssen Datentreuhänder ihre früheren Einwilligungen sorgfältig prüfen, neue Mitteilungen vorlegen und (möglicherweise) annehmen neue Zustimmungen nach dem offiziellen Inkrafttreten des Gesetzes. Daher kann es sinnvoll sein, die Situation in Bezug auf alte personenbezogene Daten zu klären, die ohne ausdrückliche Einwilligung verarbeitet wurden, wenn dies gesetzlich nicht vorgeschrieben ist. Datentreuhänder können weiterhin personenbezogene Daten verarbeiten, für deren Verarbeitung die Einwilligung vor Inkrafttreten des Gesetzes[11] eingeholt wurde, indem sie eine entsprechende Mitteilung in der vorgeschriebenen Form[12] übermitteln, und was von Unternehmen begrüßt wird, stellt das Gesetz diese Daten klar Treuhänder können personenbezogene Daten weiterhin verarbeiten, bis der Datenverantwortliche[13] die Einwilligung widerruft[14].
Wichtig ist, dass in einer Position, die derzeit liberaler ist als viele andere Gesetze auf der ganzen Welt,[15] derzeit die Einholung einer konsolidierten Einwilligung durch eine Mitteilung (klar, verständlich, in mehreren Sprachen verfügbar, unter Angabe der Zwecke, für die Daten) erfolgen verarbeitet werden dürfen, die Art und Weise, wie ein Datenverantwortlicher seine Rechte ausüben kann und die Art und Weise, wie eine Beschwerde beim Vorstand eingereicht werden kann) in einer Art und Weise, die spezifiziert werden kann.
Im Gegensatz zum Entwurf verlangt das Gesetz nicht mehr ausdrücklich, dass diese Bekanntmachungen die Zwecke in detaillierter Form aufführen, sondern verlangt vielmehr, dass die Bekanntmachung in einer vorgeschriebenen Weise erfolgen muss.[16]
Während dies die Möglichkeit einer strengeren Anforderung für granulare Einwilligungen offen lässt (d. h. separate Einwilligungen für jeden Zweck)[17], scheint das Gesetz auch das Problem gebündelter „Alles oder Nichts“-Einwilligungen auf andere Weise anzugehen.
Interessanterweise enthält das Gesetz in einer Änderung, die offenbar darauf abzielt, die Zweckbindung zu kodifizieren und eine Bündelung zu vermeiden, Folgendes:
Während Ersteres zu begrüßen ist, ist Letzteres aus zwei Gründen problematisch:
Das Gesetz spiegelt die im Entwurf festgelegte Position zum Widerruf der Einwilligung wider.[20] Datenverantwortliche haben das Recht, die Einwilligung zur Datenverarbeitung ebenso einfach wie die Art und Weise der Einwilligung zu widerrufen. Ein solcher Widerruf hätte jedoch keinen Einfluss auf die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung.[21] Nach dem Widerruf ist der Datentreuhänder verpflichtet, die Verarbeitung dieser personenbezogenen Daten „innerhalb einer angemessenen Frist“ einzustellen, es sei denn, eine solche Verarbeitung ist gesetzlich zulässig.[22] Die Folgen eines solchen Widerrufs würden vom Datenauftraggeber getragen.[23] In einem weiteren Schritt zur Stärkung der Einwilligung weitet das Gesetz die Verpflichtung zur Datenlöschung bei Widerruf der Einwilligung sowohl auf den Datentreuhänder als auch auf Unternehmen aus, die Daten in seinem Namen verarbeiten.[24]
Die Einführung einer „vermeintlichen“ Einwilligung, möglicherweise aus dem Personal Data Protection Act von Singapur von 2012 („PDPA „)[25] anstelle von „vernünftigen Zwecken“-Ausnahmen im Rahmen des Entwurfs war Gegenstand zahlreicher Debatten. Das Gesetz ersetzt dieses Konzept durch ein schmackhafteres Konzept der „legitimen Nutzung“ und bringt außerdem bedeutende Änderungen mit sich, von denen sich einige als problematisch erweisen könnten:
Eine etwas problematische Änderung des Gesetzes könnte die Streichung von Ausnahmen zur angenommenen Einwilligung für Zwecke sein, die fälschlicherweise als Zwecke des öffentlichen Interesses bezeichnet wurden[36], in weiten Teilen der Welt jedoch in eine Verarbeitung zu „angemessenen Zwecken“ umgesetzt wurden.
Völlig weggelassen werden wichtige Ausnahmen zu angemessenen Zwecken wie Betrugsprävention, Netzwerk- und Informationssicherheit und Betrieb von Suchmaschinen.
Während der Ausschluss aller personenbezogenen Daten, die vom Datenverantwortlichen (oder kraft Gesetzes) öffentlich gemacht wurden, aus dem Geltungsbereich des Gesetzes einige dieser Zwecke lösen kann, ist dies keineswegs eine umfassende Lösung.
Andere Ausnahmen werden deutlich eingeschränkt. Zum Beispiel,
Der Wegfall und die Einengung der oben genannten, international üblichen Ausnahmetypen[42] sowie die Abschaffung des Mechanismus, durch den zusätzliche „faire und angemessene“ Zwecke festgelegt werden könnten,[43] steht nicht nur im Widerspruch zum allgemeinen flexiblen Geschäftsgebaren Der freundliche Ton des Gesetzes könnte sich aber auch in den kommenden Jahren als unhandlich erweisen.
[1] Der Information Technology Act, 2000 („IT-Gesetz„) lesen Sie mit Regel 5, The Information Technology (Angemessene Sicherheitspraktiken und -verfahren und sensible personenbezogene Daten oder Informationen), 2011 („SPDI Regeln“), hier verfügbar.[2] Der hier verfügbare Entwurf, der Bericht des Gemeinsamen Ausschusses zum Gesetz zum Schutz personenbezogener Daten, 2019 („Gesetz von 2021“), hier verfügbar, das Gesetz zum Schutz personenbezogener Daten von 2019 („Gesetz von 2019 “), hier verfügbar, und das Personal Data Protection Act, 2018, hier verfügbar.[3] Das Gesetz zum Schutz digitaler personenbezogener Daten von 2023 („Akt “), hier verfügbar.[4] Abschnitt 2(i) Gesetz: „Datentreuhänder“ bezeichnet jede Person, die allein oder gemeinsam mit anderen Personen den Zweck und die Mittel der Verarbeitung personenbezogener Daten bestimmt.[5] Abschnitt 2(t) des Gesetzes: „Personenbezogene Daten“ sind alle Daten über eine Person, die durch oder in Bezug auf diese Daten identifizierbar ist.[6] Das Gesetz zum Schutz digitaler personenbezogener Daten, 2022 („Entwurf “), hier.[7] § 6 Abs. 1 Gesetz.
[8] Abschnitt 5(1) Gesetz.[9] Abschnitt 5(2), Gesetz[10] IT-Gesetz, gelesen mit Regel 5, SPDI-Regeln.
[11] Abschnitt 5(2), Gesetz.[12] Abschnitte 5(2) und 40(2)(b) des Gesetzes[13] Abschnitt 2(j) des Gesetzes: „Datenverantwortlicher“ bezeichnet die Person, auf die sich die personenbezogenen Daten beziehen und bei der sich diese Person befindet – z. B. ein Kind, einschließlich der Eltern oder des gesetzlichen Vormunds eines solchen Kindes; und ii eine Person mit Behinderung, einschließlich ihres gesetzlichen Vormunds , in ihrem Namen handelnd.[14] Abschnitt 5(2)(b), Gesetz.[15] Artikel 7, Datenschutz-Grundverordnung („DSGVO “), hier verfügbar.[16] Abschnitt 5(2), Gesetz.[17] Abschnitt 6(2), Gesetz.
[18] Abschnitt 6(1) Gesetz.[19] Erläuterung zu Abschnitt 6(1) des Gesetzes.
[20] Abschnitte 6(4), 6(5) Gesetz und 6(4) Entwurf.[21] Abschnitt 6(5), Gesetz.[22] § 6 Abs. 6 Gesetz.[23] Abschnitt 6(5), Gesetz.[24] Abschnitt 8(7), Gesetz[25] Abschnitt 15, PDPA, hier verfügbar.[26] Abschnitt 7(a), Gesetz.[27] Abschnitt 8(9)(c), Entwurf.[28] Abschnitt 7(a), Gesetz.[29] Erläuterung zu Abschnitt 7(b) des Gesetzes.
[30] Abschnitt 7(b), Gesetz.[31] Abschnitt 7(c), Gesetz.[32] Abschnitt 7(d), Gesetz.[33] Abschnitt 7(e), Gesetz.[34] Abschnitt 7(i), Gesetz.
[35] Abschnitt 8(7), Entwurf.[36] Abschnitt 8(8), Entwurf.
[37] Im Vergleich zu Abschnitt 8(8)(b), Entwurf.[38] Abschnitt 17(1)(e), Gesetz.[39] Abschnitt 8(8)(d), Entwurf.[40] Abschnitt 8(8)(a), Entwurf.[41] Abschnitt 17(1)(f), Gesetz.[42] Abschnitt 6, Teil 3, PDPA; Erwägungsgrund 47 DSGVO.[43] Abschnitt 8(9), Entwurf.
Geschäftsführender Gesellschafter von Cyril Amarchand Mangaldas. Mit über 37 Jahren Erfahrung gilt Cyril als die führende und maßgebliche Persönlichkeit im Gesellschaftsrecht in Indien. Er kann unter [email protected] erreicht werden.
Partner (Leiter Technologie und Telekommunikation) im Büro von Cyril Amarchand Mangaldas in Bengaluru. Arun ist Teil der Technologie-, Medien- und Telekommunikationsgruppe (TMT) und verfügt über besondere Expertise in der Beratung von Kunden in den Bereichen Elektronik, informationstechnologiegestützte Dienstleistungen, Outsourcing und Informationstechnologie.
Partner (Leiter Technologie und Telekommunikation) im Büro von Cyril Amarchand Mangaldas in Bengaluru. Arun ist Teil der Technologie-, Medien- und Telekommunikationsgruppe (TMT) und verfügt über besondere Expertise in der Beratung von Kunden in den Bereichen Elektronik, informationstechnologiegestützte Dienstleistungen, Outsourcing und Informationstechnologie. Er war außerdem Mitglied der Arbeitsgruppe der indischen Regierung zur rechtlichen Ermöglichung von Informations- und Kommunikationstechnologiesystemen. Arun wurde 2011 von Chambers and Partners als „sehr effektiver und äußerst sachkundiger“ Anwalt beschrieben. Er kann unter [email protected] erreicht werden
Direktor und Leiter der Public Policy Practice bei Cyril Amarchand Mangaldas. Er verfügt über umfangreiche Erfahrung in der Beratung von Kunden aus dem öffentlichen und privaten Sektor in politischen Fragen im Zusammenhang mit ESG, Infrastruktur, Technologie und Finanzen. Er kann unter [email protected] erreicht werden
Partner in der allgemeinen Unternehmenspraxis im Büro von Cyril Amarchand Mangaldas in Bengaluru und Teil der Technologie-, Medien- und Telekommunikationspraxis der Firma.
Anirban berät regelmäßig Kunden aus verschiedenen Branchen, darunter Gesundheitswesen, Fertigung, Banken, Informationstechnologie, Automobil, Finanzdienstleistungen usw.
Partner in der allgemeinen Unternehmenspraxis im Büro von Cyril Amarchand Mangaldas in Bengaluru und Teil der Technologie-, Medien- und Telekommunikationspraxis der Firma.
Anirban berät regelmäßig Kunden aus verschiedenen Branchen, darunter Gesundheitswesen, Fertigung, Banken, Informationstechnologie, Automobil, Finanzdienstleistungen, Medien und Rundfunk, in Transaktions- und Beratungsfragen. Anirban unterstützt Transaktionen, indem es den gesamten Dokumentationsprozess für groß angelegte Technologietransaktionen abwickelt und zu neuen Trends im Bereich Datenschutz und Privatsphäre berät. Anirban arbeitet eng mit den Geschäftsteams der Kunden zusammen, um rechtliche Dokumentationen, Richtlinien und Best Practices zu entwerfen und weiterzuentwickeln, die auf den kommerziellen Anforderungen der Kunden und der Interaktion mit Regulierungsbehörden wie der Telecom Regulatory Authority of India („Telecom Regulatory Authority of India“) basieren.TRAI“).
Er schloss sein Studium an der West Bengal National University of Juridical Sciences ab und trat 2012 erstmals in die Kanzlei ein. Er kann unter [email protected] erreicht werden.
Senior Associate in der allgemeinen Unternehmenspraxis im Büro von Cyril Amarchand Mangaldas in Bengaluru. Sie ist unter [email protected] erreichbar
Designierter Senior Associate in der allgemeinen Unternehmenspraxis im Ahmedabad-Büro von Cyril Amarchand Mangaldas. Mahim ist auf Blockchain-, Datenschutz- und Informationstechnologiethemen spezialisiert. Er kann unter [email protected] erreicht werden
Associate in der allgemeinen Unternehmenspraxis (Technologie und Telekommunikation) im Büro von Cyril Amarchand Mangaldas in Bengaluru. Sie ist unter [email protected] erreichbar
Associate in der allgemeinen Unternehmenspraxis (Technologie und Telekommunikation) im Büro von Cyril Amarchand Mangaldas in Bengaluru. Sie ist unter [email protected] erreichbar.
Mitarbeiter in der allgemeinen Unternehmenspraxis im Büro von Cyril Amarchand Mangaldas in Bengaluru. Sie ist unter [email protected] erreichbar
IT-GesetzAktEntwurfPDPAIT-GesetzSPDI„Gesetz von 2021“Gesetz von 2019AktEntwurfDSGVOTRAI