मॉड्यूल १२: डेटा संरक्षण आणि गोपनीयता कायदे भाग ५ / ७
भाग ५

सीमापार डेटा हस्तांतरण

Cross-Border Data Transfer — DPDPA 2023 अंतर्गत भारताबाहेर डेटा पाठवण्याचे नियम आणि निर्बंध

📖 वाचन वेळ: २० मिनिटे
📊 कठीणता: उच्च
📝 कायदेशीर संदर्भ: DPDPA कलम १६-१७

सीमापार हस्तांतरण म्हणजे काय?

Cross-Border Data Transfer म्हणजे भारतातील व्यक्तींचा वैयक्तिक डेटा भारताबाहेरील देशात किंवा परदेशी संस्थांकडे पाठवणे. आजच्या जागतिकीकृत जगात, IT कंपन्या, MNCs, आणि Cloud Service Providers साठी हे अत्यंत सामान्य आणि आवश्यक आहे.

व्यावहारिक उदाहरणे

• पुण्यातील IT कंपनी US client साठी काम करताना employee data US ला पाठवते
• E-commerce कंपनी AWS (US) वर customer data store करते
• Mumbai मधील MNC employee data Singapore headquarters ला पाठवते
• Indian startup Google Cloud (Ireland) वर user data ठेवते

DPDPA 2023 चा दृष्टिकोन

DPDPA 2023 ने सीमापार हस्तांतरणाबाबत "Blacklist" approach स्वीकारला आहे. म्हणजे, केंद्र सरकारने प्रतिबंधित केलेल्या देशांशिवाय इतर सर्व देशांमध्ये डेटा हस्तांतरित करता येतो.

कलम १६: सीमापार हस्तांतरण (Section 16: Transfer Outside India)
"The Data Fiduciary may transfer personal data of a Data Principal to any country or territory outside India, except to such country or territory notified by the Central Government."

"Data Fiduciary डेटा मुख्याचा वैयक्तिक डेटा भारताबाहेरील कोणत्याही देशात किंवा प्रदेशात हस्तांतरित करू शकतो, केंद्र सरकारने अधिसूचित केलेल्या देशांव्यतिरिक्त."
Approach DPDPA 2023 (भारत) GDPR (EU)
मूलभूत तत्त्व Blacklist — प्रतिबंधित देश वगळून सर्वत्र Whitelist — "Adequacy" असलेल्या देशांमध्येच
Default स्थिती हस्तांतरण परवानगी (Allowed) हस्तांतरण प्रतिबंधित (Restricted)
निर्णय केंद्र सरकार European Commission

प्रतिबंधित देश (Restricted Countries)

केंद्र सरकार राष्ट्रीय सुरक्षा, सार्वजनिक व्यवस्था, किंवा इतर कारणांसाठी काही देशांमध्ये डेटा हस्तांतरणावर बंदी घालू शकते. जानेवारी २०२६ पर्यंत, अद्याप कोणत्याही देशाला अधिकृतपणे प्रतिबंधित केलेले नाही.

🇺🇸 USA
सध्या परवानगी
🇬🇧 UK
सध्या परवानगी
🇸🇬 Singapore
सध्या परवानगी
🇦🇪 UAE
सध्या परवानगी
🇨🇳 China
संभाव्य प्रतिबंध
🇷🇺 Russia
संभाव्य प्रतिबंध
सावधानता

प्रतिबंधित देशांची यादी कधीही बदलू शकते. व्यवसायांनी नियमितपणे सरकारी अधिसूचना तपासाव्यात. विशेषतः भू-राजकीय तणाव असलेल्या देशांबाबत सावधगिरी बाळगा.

Data Localisation आवश्यकता

DPDPA 2023 मध्ये सर्वसाधारण Data Localisation आवश्यकता नाही, पण इतर क्षेत्रीय कायद्यांमध्ये Localisation आवश्यक असू शकते:

क्षेत्र/नियामक Localisation आवश्यकता
RBI (Payment Data) Payment system data भारतातच संग्रहित करणे बंधनकारक
IRDAI (Insurance) विमा डेटा भारतात ठेवण्याची शिफारस
SEBI (Securities) Trading data भारतात ठेवण्याचे मार्गदर्शक
Health Data Health Data Management Policy अंतर्गत संभाव्य आवश्यकता
Government Data MeitY मार्गदर्शक तत्त्वांनुसार भारतात ठेवणे
RBI Payment Data Localisation (2018)
RBI च्या निर्देशानुसार, भारतातील payment transactions संबंधित सर्व डेटा (end-to-end transaction details) भारतातील systems मध्येच संग्रहित करणे बंधनकारक आहे. Cross-border sharing साठी केवळ प्रक्रियेसाठी आवश्यक माहिती पाठवता येते, पण primary storage भारतातच असावे.

हस्तांतरण करताना पाळायची प्रक्रिया

देश तपासा
गंतव्य देश प्रतिबंधित यादीत नाही याची खात्री करा
क्षेत्रीय नियम तपासा
RBI, IRDAI, SEBI इ. क्षेत्रीय localisation आवश्यकता तपासा
संमती घ्या
Data Principal ला हस्तांतरणाबद्दल सूचित करा आणि संमती घ्या
करार करा
परदेशी प्राप्तकर्त्यासोबत Data Transfer Agreement करा
सुरक्षा खात्री करा
प्राप्तकर्ता योग्य सुरक्षा उपाय योजतो याची खात्री करा
नोंदी ठेवा
सर्व हस्तांतरणांची नोंद ठेवा (audit trail)

Data Transfer Agreements

परदेशी प्राप्तकर्त्यांसोबत करार करताना खालील मुद्दे समाविष्ट करावेत:

Standard Contractual Clauses (SCCs)

GDPR प्रमाणे, भारतात अद्याप अधिकृत Standard Contractual Clauses नाहीत. पण व्यवसाय EU च्या SCCs चा आधार घेऊन आपले करार बनवू शकतात. भविष्यात भारत सरकार स्वतःचे SCCs जारी करू शकते.

GDPR सोबत अंतर्क्रिया

भारतीय कंपन्या EU नागरिकांचा डेटा हाताळताना GDPR चे पालनही आवश्यक असते. यामुळे "दुहेरी अनुपालन" (Dual Compliance) आवश्यक होते:

परिस्थिती लागू कायदे
भारतीय नागरिकांचा डेटा (भारतात) DPDPA 2023
भारतीय नागरिकांचा डेटा (EU ला हस्तांतरण) DPDPA 2023
EU नागरिकांचा डेटा (भारतात प्रक्रिया) GDPR + DPDPA 2023
भारतीय कंपनी EU मध्ये सेवा देते GDPR (Extra-territorial)
Adequacy Decision
EU ने अद्याप भारताला "Adequate" देश म्हणून घोषित केलेले नाही. याचा अर्थ EU → भारत डेटा हस्तांतरणासाठी SCCs किंवा इतर safeguards आवश्यक आहेत. DPDPA 2023 च्या अंमलबजावणीनंतर EU भारताला Adequacy देण्याचा विचार करू शकते.
🌐
केस स्टडी: IT Outsourcing Company

पुण्यातील एका IT कंपनीने US client साठी काम करताना Indian employee data US headquarter ला आणि EU subsidiary ला पाठवला. कर्मचाऱ्यांना याबद्दल सूचित केले नव्हते.

समस्या:

• DPDPA 2023: संमती सूचनेत cross-border transfer बद्दल माहिती नव्हती
• GDPR: EU subsidiary साठी SCCs किंवा इतर mechanism नव्हते
• कर्मचाऱ्यांना माहित नव्हते त्यांचा डेटा कुठे जातो

उपाय आणि शिकवण

कंपनीने खालील सुधारणा केल्या:
• Privacy Policy अद्ययावत — cross-border transfer बद्दल स्पष्ट माहिती
• US आणि EU entities सोबत Data Transfer Agreements
• EU transfer साठी Standard Contractual Clauses लागू
• कर्मचाऱ्यांना नवीन संमती फॉर्म — विशिष्ट देशांचा उल्लेख
शिकवण: Cross-border transfer साठी संमती सूचनेत स्पष्ट माहिती द्या.

महाराष्ट्रातील IT कंपन्यांसाठी मार्गदर्शक

पुणे, मुंबई, नागपूर येथील IT कंपन्यांसाठी cross-border compliance:

🎯 मुख्य निष्कर्ष (Key Takeaways)
DPDPA 2023 "Blacklist" approach वापरतो — प्रतिबंधित देश वगळून सर्वत्र परवानगी
RBI Payment Data Localisation स्वतंत्रपणे लागू — DPDPA पेक्षा कडक
EU clients साठी GDPR + DPDPA दोन्ही पालन आवश्यक
Data Transfer Agreements मध्ये सुरक्षा, गोपनीयता, audit clauses आवश्यक
संमती सूचनेत cross-border transfer बद्दल स्पष्ट माहिती देणे आवश्यक