De Digital Personal Data Protection Act of India (‘DPDP’) is na jaren van debatteren, uitstellen en onderhandelen met instemming van de Indiase president Droupadi Murmu aangenomen door het parlement. In India, het dichtstbevolkte land ter wereld met meer dan 1,4 miljard mensen, werd de maatschappelijke druk steeds hoger om het delen van onlinegegevens te reguleren.
De DPDP is al jaren in de maak en kwam in een stroomversnelling nadat het Hooggerechtshof in ‘Justice K.S. Puttaswamy v Union of India’ zes jaar geleden oordeelde dat Indiërs een fundamenteel recht op privacy hebben. In deze uitspraak drong het Hooggerechtshof bij de Indiase regering aan op een zorgvuldig gestructureerd regime voor de bescherming van persoonsgegevens.
Ondertussen heeft India de afgelopen jaren aan een van de grootste digitaliseringsprojecten ter wereld gewerkt, de zogenaamde India Stack; door de overheid gesteunde API’s, waarop derden software kunnen bouwen, met toegang tot ID’s, betalingsnetwerken en gegevens van de overheid. Het doel is om alle Indiërs toegang tot het internet te geven, zodat zij bijvoorbeeld in staat zijn een bankrekening te openen, en zo makkelijker aanspraak kunnen maken op sociale voorzieningen. De grootschalige gegevensdeling die de India Stack mogelijk maakt vraagt echter wel om wetgeving over het delen van persoonsgegevens.
De Algemene verordening gegevensbescherming (‘AVG’) is een inspiratiebron geweest voor de totstandkoming van de DPDP. De basisstructuur is dan ook vergelijkbaar, maar er zijn ook veel verschillen. Belangrijke verschillen zien bijvoorbeeld op het toepassingsbereik, de grondslagen, rechten van betrokkenen, doorgifte naar het buitenland en de rol van de overheid.
De DPDP regelt enkel twee verwerkingsgrondslagen in plaats van de zes grondslagen in de AVG. Gegevensverwerking kan namelijk enkel op basis van de grondslag toestemming of gerechtvaardigd belang gebeuren. Op grond van de DPDP zijn er vergelijkbare rechten voor betrokkenen zoals het recht op informatie, inzage en het verwijderen van gegevens. Het recht op dataportabiliteit en een recht om bezwaar te maken ontbreken echter. Een vergelijkbaar aspect met de AVG is dat de DPDP een toezichthoudende autoriteit aanstelt, de Data Protection Board of India (‘Board’), die de bevoegdheid heeft om klachten te onderzoeken en boetes uit te delen. De DPDP beperkt doorgifte van persoonsgegevens buiten India in tegenstelling tot de AVG niet. De DPDP is gebaseerd op het principe dat doorgifte mogelijk is, tenzij de overheid doorgifte aan bepaalde landen specifiek beperkt middels een zwarte lijst of een ander soort beperking.
Een van de grootste zorgen van privacyactivisten zijn de aanzienlijke uitzonderingen voor de centrale overheid. Deze uitzonderingen zien bijvoorbeeld op de soevereiniteit en integriteit van India, de veiligheid van de staat, en handhaving van de openbare orde. Ook heeft de overheid de bevoegdheid om na kennisgeving van de Board toegang te vragen tot alle informatie van een entiteit die persoonsgegevens verwerkt.
De verwachting is dat de overheid de datum van inwerkingtreding spoedig bekend zal maken waarna deze wet gelijk van kracht zal zijn. Veel organisaties binnen de Europese Economische Ruimte maken gebruik van Indiase leveranciers. Wat betekent dit voor deze organisaties, mogen persoonsgegevens nu vrijelijk doorgegeven worden naar India? Nee, zeker niet. Daar zou de Europese Commissie eerst een adequaatheidsbesluit over moeten nemen. Voor zover we weten wordt daar niet aan gewerkt.
Waar de DPDP niet aansluit om de AVG kan deze wetgeving inbreuk maken op privacy van Europese burgers. Als organisatie ben je verantwoordelijk om hier onderzoek naar te doen in de vorm van een Data Transfer Impact Assessment (‘DTIA’), en de juiste afspraken te maken in Standard Contractual Clauses (‘SCC’s’). Op die manier blijft het beschermingsniveau uit de AVG gewaarborgd.
Heb je als organisatie hulp nodig bij het uitvoeren van een DTIA of het sluiten van SCC’s? Wij helpen je graag.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.