DPDP 법 - 개요 :

핵심적으로 DPDP Act는 회사와 정부가 개인 데이터를 수집, 저장, 사용 및 공유 할 수있는 방법을 관리하는 인도 최초의 포괄적 인 법적 프레임 워크입니다.

India's new data protection law, the Digital Personal Data Protection Act (DPDP Act), marks a turning point in the digital age. At its core, the DPDP Act is India's first comprehensive legal framework that governs how companies and governments can collect, store, use, and share personal data.

인도의 새로운 데이터 보호법 인 DIGING Personal Data Protection Act (DPDP)는 디지털 시대의 전환점을 나타냅니다. 핵심적으로 DPDP Act는 회사와 정부가 개인 데이터를 수집, 저장, 사용 및 공유 할 수있는 방법을 관리하는 인도 최초의 포괄적 인 법적 프레임 워크입니다.

In today's hyper-connected digital world — one that grows more complex with each passing day — this regulation was celebrated as a long-awaited milestone in safeguarding individual privacy. For individuals, it marks a significant shift, empowering them with greater control over their digital footprint. But for organisations that collect or process personal data, it introduces a new era of accountability.

오늘날의 하이퍼 연결 디지털 세계에서 (매일 매일 더 복잡 해지는 세상)이 규정은 개별 개인 정보 보호를 위해 오랫동안 기다려온 이정표로 축하되었습니다. 개인의 경우, 큰 변화를 나타내며, 디지털 발자국을 더 잘 통제 할 수있게됩니다. 그러나 개인 데이터를 수집하거나 처리하는 조직의 경우 새로운 책임의 시대를 소개합니다.

The law, which received presidential assent in August 2023, is set to come into force in October 2024, unless the government notifies otherwise. Any entity that collects or processes personal data in digital form would need to comply with the provisions of the DPDP Act. This includes companies of all sizes, government agencies, and non-profit organizations. There are no sector-specific exemptions. If you're handling personal data digitally—you're a Data Fiduciary, and this law applies.

2023 년 8 월 대통령의 동의를받은 법은 정부가 달리 통지하지 않는 한 2024 년 10 월에 시행 될 예정이다. 개인 데이터를 디지털 형식으로 수집하거나 처리하는 모든 엔티티는 DPDP 법의 규정을 준수해야합니다. 여기에는 모든 규모, 정부 기관 및 비영리 단체의 회사가 포함됩니다. 부문 별 면제는 없습니다. 개인 데이터를 디지털 방식으로 처리하는 경우 데이터 수탁자 이며이 법률이 적용됩니다.

The DPDP Act is a process shift. Privacy must become part of company culture, product design, and stakeholder trust.

DPDP 법은 프로세스 전환입니다. 프라이버시는 회사 문화, 제품 설계 및 이해 관계자 신뢰의 일부가되어야합니다.

The implications of non-compliance are severe, with penalties extending up to ₹250 crores!

비준수의 의미는 심각하며 처벌은 최대 ₹ 250 crores입니다!

To help organizations navigate this critical stage, we've assembled a guide focusing on five immediate tasks data fiduciaries can begin working on.

조직 이이 중요한 단계를 탐색하도록 돕기 위해 데이터 수탁자가 작업을 시작할 수있는 5 가지 즉각적인 작업에 중점을 둔 가이드를 조립했습니다.

1. Appoint a Data Protection Officer and Build Internal Teams

1. 데이터 보호 책임자를 임명하고 내부 팀을 구축하십시오.

While appointing a full-time Data Protection Officer may not be immediately necessary, it is critical to assign clear responsibility for privacy compliance within your organisation. This individual should be accountable for:

풀 타임 데이터 보호 담당자를 즉시 ​​임명하는 것은 즉시 필요하지 않을 수 있지만, 조직 내 개인 정보 보호 규정 준수에 대한 명확한 책임을 지정하는 것이 중요합니다. 이 개인은 다음에 대한 책임이 있어야합니다.

• Monitoring legal updates and best practices in data protection

• 데이터 보호의 법적 업데이트 및 모범 사례 모니터링

• Guiding the organization in implementing and maintaining compliant data handling procedures

• 준수하는 데이터 처리 절차 구현 및 유지 관리에 조직 안내

• Modifying the enterprise's data protection policies

• 기업의 데이터 보호 정책 수정

• Interacting with the Adjudicating Officer for any breaches or disputes

• 위반 또는 분쟁에 대해 판결 담당관과 상호 작용

Ideally, the assigned role should report directly to the top management, highlighting the high priority placed on data protection.

이상적으로, 지정된 역할은 데이터 보호에 대한 높은 우선 순위를 강조하는 최고 경영진에게 직접보고해야합니다.

2. Create a Data Inventory and Map Data Flows

2. 데이터 인벤토리를 만들고 데이터 흐름을 맵핑하십시오

Effective data protection begins with understanding what personal data is being collected and processed. Simply put, you can't protect what you don't know. This is why, as a first step, it is strongly suggested to undertake a structured data inventory and mapping exercise to identify:

효과적인 데이터 보호는 개인 데이터를 수집하고 처리하는 내용을 이해하는 것으로 시작됩니다. 간단히 말해서, 당신은 당신이 모르는 것을 보호 할 수 없습니다. 이것이 첫 번째 단계로, 구조화 된 데이터 인벤토리 및 매핑 연습을 수행하여 다음을 식별하는 것이 좋습니다.

• The types of personal data being collected (e.g., names, email addresses, location data, biometric data)

• 수집되는 개인 데이터 유형 (예 : 이름, 이메일 주소, 위치 데이터, 생체 데이터)

• The sources of personal data collection (e.g., website forms, mobile apps, third-party integrations)

• 개인 데이터 수집 출처 (예 : 웹 사이트 양식, 모바일 앱, 타사 통합)

This process, commonly referred to as Data Flow Mapping, forms the backbone of any privacy compliance framework. It enables the implementation of appropriate consent mechanisms, ensures data minimisation, assesses risks, and responds effectively to data principal rights under the DPDPA.

일반적으로 데이터 흐름 매핑이라고하는이 프로세스는 개인 정보 보호 규정 준수 프레임 워크의 중추를 형성합니다. 적절한 동의 메커니즘을 구현하고 데이터 최소화를 보장하며 위험을 평가하며 DPDPA의 데이터 원금에 효과적으로 대응합니다.

3. Update Consent Practices and Modalities

3. 동의 관행 및 양식 업데이트

Under the DPDPA, consent must be

DPDPA에 따라 동의가 있어야합니다

• free,

• 무료,

• specific,

• 특정한,

•;informed,

•;잘 아는,

• unconditional, and

• 무조건 및

• revocable.

• 취소 가능.

This significantly raises the bar for how user consent is sought, recorded, and managed. Key requirements include:

이는 사용자 동의를 찾고 기록 및 관리하는 방법에 대한 기준을 크게 높입니다. 주요 요구 사항은 다음과 같습니다.

• Obtaining separate consent for different purposes: E.g., separate consent for marketing emails and processing contact details

• 다른 목적으로 별도의 동의 얻기 : 예를 들어, 이메일 마케팅 및 연락처 처리에 대한 별도의 동의

• Detecting and preventing consent fatigue: E.g., providing a 'manage preferences' section in user accounts for modifying consent settings

• 동의 피로 감지 및 방지 : 예 : 동의 설정 수정을위한 사용자 계정의 '선호도 관리'섹션 제공

• Ensuring the refusal of consent does not affect user experience: E.g., allowing access to website content even if consent for targeted advertising is refused

• 동의 거부가 사용자 경험에 영향을 미치지는 않습니다. 예 : 대상 광고에 대한 동의가 거부 되더라도 웹 사이트 콘텐츠에 액세스 할 수 있습니다.

Modernising your consent framework also builds user trust and transparency, in addition to being just a compliance requirement.

동의 프레임 워크를 현대화하면 규정 준수 요구 사항 일뿐 만 아니라 사용자 신뢰 및 투명성도 구축됩니다.

4. Familiarize Yourself With Data Subject Rights

4. 데이터 주제 권리에 익숙해집니다

Under the DPDP Act, Data Principals are granted a set of enforceable rights, including the ability to:

DPDP 법에 따라 데이터 교장은 다음과 같은 능력을 포함하여 집행 가능한 권리를 부여받습니다.

• Access their personal data

• 개인 데이터에 액세스하십시오

• Request rectification of inaccurate data

• 부정확 한 데이터의 수정을 요청합니다

• Request erasure of their personal data in specific cases

• 특정 경우 개인 데이터의 소거 요청

• Object to the processing of their personal data

• 개인 데이터 처리에 반대합니다

These rights are fundamental to ensuring an individual's control over their digital footprint. Data fiduciaries need to integrate procedures and processes for handling such requests efficiently and effectively.

이러한 권리는 개인의 디지털 발자국에 대한 통제를 보장하는 데 기본입니다. 데이터 수탁자는 이러한 요청을 효율적이고 효과적으로 처리하기위한 절차 및 프로세스를 통합해야합니다.

5. Inform and Engage External Partners

5. 외부 파트너에게 알리고 참여하십시오

Many organisations rely on external partners for technology, analytics, cloud storage, customer support, and more. If any personal data is being shared or processed by these partners, the law holds your organisation responsible for ensuring that data remains protected. Key contractual safeguards could include:

많은 조직은 기술, 분석, 클라우드 스토리지, 고객 지원 등을 위해 외부 파트너에 의존합니다. 이러한 파트너가 개인 데이터를 공유하거나 처리하는 경우, 법은 귀하의 조직이 데이터를 보호 할 수 있도록 책임을 맡게됩니다. 주요 계약 보호 조치에는 다음이 포함될 수 있습니다.

• Express obligations on the partner to comply with the DPDP Act

• DPDP 법을 준수 해야하는 파트너에 대한 의무 표현

• Granting your organization the right to audit the partner's privacy practices

• 조직에 파트너의 개인 정보 보호 관행을 감사 할 권리

• Requiring the partner to notify you immediately of any data breaches or changes in the partnership that may affect personal data protection

• 파트너가 개인 데이터 보호에 영향을 줄 수있는 파트너십의 데이터 유출 또는 변경 사항을 즉시 알리도록 요구합니다.

The DPDP Act is a new chapter in the digital age

DPDP 법은 디지털 시대의 새로운 장입니다.