DPDPA

DPDPAにおいて、データプライバシーとは、明示的な同意と適切な保護措置のもと、合法的な目的にのみ個人データが収集、処理、保管、共有される個人の権利を指します。組織は、個人データを取り扱う際に、透明性、目的の限定、および保護措置を確保する必要があります。

DPDP フレームワークでは、組織は合法的な処理に従い、有効な同意を得て、データのライフサイクルを安全に管理し、違反報告を実施し、アクセス、修正、苦情処理などのデータ主体の権利を尊重する必要があります。

DPDP規則は、同意書のフォーマット、違反報告の期限、児童データの取り扱い、データ保持基準、国境を越えた移転要件といった運用上の詳細を定めています。これらの規則は、組織が実際にDPDP法をどのように実施すべきかを定めています。

デジタル個人データ保護法(DPDP法)は、個人の個人データの処理方法を規定するインドの包括的なデータ保護法です。この法律は、データ受託者に対し、同意の取得、セキュリティ対策の確保、ユーザーの権利の行使、個人データの不正使用の防止など、厳格な責任を課しています。

企業は以下を実施する必要があります。

  • 有効な同意を得る
  • データ使用に関する通知を提供する
  • データの正確性を確保する
  • 強力なセキュリティ対策を実施する
  • ユーザー権限を許可する(アクセス、修正、削除)
  • 目的が達成されたらデータを削除する
  • データ保護委員会に違反を報告する

データ受託者は、非アクティブ状態または保持期間の終了により個人データを消去する前に、データ主体に少なくとも48時間前に通知しなければなりません。これにより、データ主体は、法的に別途義務付けられている場合を除き、消去を回避するための権利を行使することができます。

同意の撤回、特定の目的の終了、またはデータ主体が第三附則に定められた特定の受託者/目的に関する保持期間内に従わなかった場合、消去が必要となります。法的義務により、これらの義務が優先される場合があります。

DPDPA は、断片化された IT 法の規則を、ユーザーの権利、同意に基づく処理、目的の制限、児童の保護、違反に対する最高 250 億ルピーの厳しい罰則に重点を置いた、統一された権利ベースのデータ プライバシー法に置き換えます。