インド デジタル個人データ保護法成立(2023年)(2023.08.11)
こんにちは、丸山満彦です。
インドのデジタル個人データ保護法案が議会で承認され、大統領による承認も終わったので、正式に成立しました。。。施行がいつになるのかはまだ見えてないようですが...
・[PDF]
基本はGDPRに近いと言われています。。。
対象は、デジタル個人データ。。。
そして、個人的、家族内での利用のものは対象外、公開情報も対象外となっています。。。
で、要配慮、機微といった、区別もないですね。。。ただ、児童のデータの取り扱いについてはある...
匿名、仮名もない。。。
日本の個人情報保護法ができたときに近いかも。。。まずは、シンプルに導入し、必要に応じてアレンジ...
ただ、
漏えいの時の報告義務、越境移転の話はありますね。。。
罰金の最高額は25億ルピー(約44億円)というのは大きいですかね。。。世界売上のX%といわないのは、良心的?ですね。。。
| MINISTRY OF LAW AND JUSTICE | 法務省 |
| (Legislative Department) | (法制局) |
| New Delhi, the 11th August, 2023/Sravana 20, 1945 (Saka) | ニューデリー、2023年8月11日/スラバナ1945年(サカ)20日 |
| The following Act of Parliament received the assent of the President on the 11th August, 2023 and is hereby published for general information:— | 以下の国会法は2023年8月11日に大統領の同意を得たので、一般情報としてここに公表する。 |
| THE DIGITAL PERSONAL DATA PROTECTION ACT, 2023 | 2023年デジタル個人データ保護法 |
| (NO. 22 OF 2023) | (2023年第22号) |
| [11th August, 2023.] | [2023年8月11日] |
| An Act to provide for the processing of digital personal data in a manner that recognises both the right of individuals to protect their personal data and the need to process such personal data for lawful purposes and for matters connected therewith or incidental thereto. | 個人データを保護する個人の権利と、そのような個人データを合法的な目的のために処理する必要性、およびそれに関連または付随する事項の両方を認識する方法で、デジタル個人データの処理について規定する法律。 |
| BE it enacted by Parliament in the Seventy-fourth Year of the Republic of India as follows:–– | インド共和国第74年国会は、以下の通り制定する。 |
| CHAPTER I | 第1章 |
| PRELIMINARY | 序文 |
| (Short title and commencement.) | (略称および開始) |
| 1. (1) This Act may be called the Digital Personal Data Protection Act, 2023. | 1. (1)本法は、2023年デジタル個人データ保護法と称することができる。 |
| (2) It shall come into force on such date as the Central Government may, by notification in the Official Gazette, appoint and different dates may be appointed for different provisions of this Act and any reference in any such provision to the commencement of this Act shall be construed as a reference to the coming into force of that provision. | (2) この法律は、中央政府が官報の通達により指定する日に施行されるものとし、この法律の異なる規定については異なる日を指定することができる。 |
| (Definitions.) | (定義) |
| 2. In this Act, unless the context otherwise requires,— | 2. 本法において、 文脈上別段の定めがある場合を除き、 以下をいう。 |
| (a) “Appellate Tribunal” means the Telecom Disputes Settlement and Appellate Tribunal established under section 14 of the Telecom Regulatory Authority of India Act, 1997 (24 of 1997.); | (a) 「上訴審判所」とは、1997年インド電気通信規制庁法(1997年第24号)第14条に基づき設立された電気通信紛争解決上訴審判所をいう; |
| (b) “automated” means any digital process capable of operating automatically in response to instructions given or otherwise for the purpose of processing data; | (b) 「自動化」とは、データ処理を目的として、与えられた指示に応答して、またはその他の方法で自動的に動作することが可能なデジタル処理をいう; |
| (c) “Board” means the Data Protection Board of India established by the Central Government under section 18; | (c)「委員会」とは、第18条に基づき中央政府によって設立されたインドデータ保護委員会を意味する; |
| (d) “certain legitimate uses” means the uses referred to in section 7; | (d) 「特定の合法的使用」とは、第7条に規定される使用を意味する; |
| (e) “Chairperson” means the Chairperson of the Board; | (e) 「委員長」とは、委員会の委員長を意味する; |
| (f) “child” means an individual who has not completed the age of eighteen years; | (f) 「児童」とは、18歳未満の個人をいう; |
| (g) “Consent Manager” means a person registered with the Board, who acts as a single point of contact to enable a Data Principal to give, manage, review and withdraw her consent through an accessible, transparent and interoperable platform; | (g) 「同意管理者」とは、委員会に登録された者をいい、データ主体が、アクセス可能で透明性のあ る相互運用可能なプラットフォームを通じて、同意を与え、管理し、見直し、撤回できるようにするた めの単一の窓口として機能する; |
| (h) “data” means a representation of information, facts, concepts, opinions or instructions in a manner suitable for communication, interpretation or processing by human beings or by automated means; | (h) 「データ」とは、情報、事実、概念、意見または指示を、人間または自動化された手段によ るコミュニケーション、解釈または処理に適した方法で表現したものをいう; |
| (i) “Data Fiduciary” means any person who alone or in conjunction with other persons determines the purpose and means of processing of personal data; | (i) 「データ受託者」とは、単独で、または他の者と共同で、個人データの処理の目的および 手段を決定する者をいう; |
| (j) “Data Principal” means the individual to whom the personal data relates and where such individual is— | (j) 「データ主体」とは、個人データが関連する個人をいい、当該個人が以下の者である場合は、当該個人をいう。 |
| (i) a child, includes the parents or lawful guardian of such a child; | (i) 児童の場合、その両親または正当な後見人を含む; |
| (ii) a person with disability, includes her lawful guardian, acting on her behalf; | (ii)障害者の場合は、障害者に代わって行動する正当な保護者を含む; |
| (k) “Data Processor” means any person who processes personal data on behalf of a Data Fiduciary; | (k) 「データ処理者」とは、データ受託者に代わって個人データを処理する者をいう; |
| (l) “Data Protection Officer” means an individual appointed by the Significant Data Fiduciary under clause (a) of sub-section (2) of section 10; | (l) 「データ保護責任者」とは、第10条第2項(a)に基づき、重要なデータ受託者によって任命された個人を意味する; |
| (m) “digital office” means an office that adopts an online mechanism wherein the proceedings, from receipt of intimation or complaint or reference or directions or appeal, as the case may be, to the disposal thereof, are conducted in online or digital mode; | (m) 「デジタル・オフィス」とは、オンライン・メカニズムを採用し、通知、苦情、照会、指示、上訴の受領から処理まで、場合によってはオンラインまたはデジタル・モードで行われるオフィスを意味する; |
| (n) “digital personal data” means personal data in digital form;(o) “gain” means— | (n) 「デジタル個人データ」とは、デジタル形式の個人データをいう。 |
| (i) a gain in property or supply of services, whether temporary or permanent; or | (i) 一時的であるか恒久的であるかを問わず、財産または役務の供給における利益。 |
| (ii) an opportunity to earn remuneration or greater remuneration or to gain a financial advantage otherwise than by way of legitimate remuneration; | (ii) 正当な報酬以外の方法で、報酬もしくはそれ以上の報酬を得る機会、または経済的利益を得る機会; |
| (p) “loss” means— | (p) 「損失」とは、以下を意味する。 |
| (i) a loss in property or interruption in supply of services, whether temporary or permanent; or | (i) 一時的か永続的かを問わず、財産の損失または役務の提供の中断。 |
| (ii) a loss of opportunity to earn remuneration or greater remuneration or to gain a financial advantage otherwise than by way of legitimate remuneration; | (ii)正当な報酬以外の方法で、報酬もしくはそれ以上の報酬を得る機会、または経済的利益を得る機会を失うこと; |
| (q) “Member” means a Member of the Board and includes the Chairperson; | (q) 「委員」とは、委員会のメンバーを意味し、委員長を含む; |
| (r) “notification” means a notification published in the Official Gazette and the expressions “notify” and “notified” shall be construed accordingly; | (r) 「通知」とは、官報に掲載された通知を意味し、「通知する」および「通知された」という表現は、これに従って解釈されるものとする; |
| (s) “person” includes— | (s) 「個人」には以下が含まれる。 |
| (i) an individual; | (i) 個人 |
| (ii) a Hindu undivided family; | (ii) ヒンズー教徒の未分割家族 |
| (iii) a company; | (iii) 会社 |
| (iv) a firm; | (iv) ファーム |
| (v) an association of persons or a body of individuals, whetherincorporated or not; | (v) 法人であるか否かを問わず、人の団体または個人の団体; |
| (vi) the State; and | (vi) 国 |
| (vii) every artificial juristic person, not falling within any of the preceding sub-clauses; | (vii) 前各号のいずれにも該当しない人工的な法人; |
| (t) “personal data” means any data about an individual who is identifiable by or in relation to such data; | (t) 「個人データ」とは、個人に関するデータであって、当該データによって、または当該データに関連して識別されるものをいう; |
| (u) “personal data breach” means any unauthorised processing of personal data or accidental disclosure, acquisition, sharing, use, alteration, destruction or loss of access to personal data, that compromises the confidentiality, integrity or availability of personal data; | (u) 「個人データ漏えい」とは、個人データの不正な処理、または個人データへの偶発的な開示、取得、共有、使用、改ざん、破壊もしくはアクセスの喪失であって、個人データの機密性、完全性または可用性を損なうものをいう; |
| (v) “prescribed” means prescribed by rules made under this Act; | (v) 「所定の」とは、この法律に基づいて作成された規則で定められたものをいう; |
| (w) “proceeding” means any action taken by the Board under the provisions of this Act; | (w) 「手続」とは、本法の規定に基づいて委員会が行う措置をいう; |
| (x) “processing” in relation to personal data, means a wholly or partly automated operation or set of operations performed on digital personal data, and includes operations such as collection, recording, organisation, structuring, storage, adaptation, retrieval, use, alignment or combination, indexing, sharing, disclosure by transmission, dissemination or otherwise making available, restriction, erasure or destruction; | (x) 個人データに関する「処理」とは、デジタル個人データに対して行われる全体的または部分的に自動化された操作または一連の操作をいい、収集、記録、整理、構造化、保存、翻案、検索、使用、整列または結合、索引付け、共有、送信による開示、普及またはその他の方法で利用可能にすること、制限、消去または破壊などの操作を含む; |
| (y) “she” in relation to an individual includes the reference to such individual irrespective of gender; | (y) 個人に関する「彼女」には、性別に関係なく当該個人を指す場合が含まれる; |
| (z) “Significant Data Fiduciary” means any Data Fiduciary or class of Data Fiduciaries as may be notified by the Central Government under section 10; | (z) 「重要なデータ受託者」とは、第 10 項に基づき政府が通知するデータ受託者またはデータ 受託者の種類をいう; |
| (za) “specified purpose” means the purpose mentioned in the notice given by the Data Fiduciary to the Data Principal in accordance with the provisions of this Act and the rules made thereunder; and | (za) 「特定目的」とは、本法律および本法律に基づく規則の規定に従い、データ受託者が データ主体に対して行う通知に記載された目的をいう。 |
| (zb) “State” means the State as defined under article 12 of the Constitution. | (zb) 「国家」とは、憲法第12条に基づき定義される国家をいう。 |
| (Application of Act.) | (法の適用) |
| 3. Subject to the provisions of this Act, it shall— | 3. 本法の規定に従い、以下のことを行う。 |
| (a) apply to the processing of digital personal data within the territory of India where the personal data is collected–– | (a) 個人データが収集されたインド領域内のデジタル個人データの処理に適用される。 |
| (i) in digital form; or | (i) デジタル形式 |
| (ii) in non-digital form and digitised subsequently; | (ii) 非デジタル形式で収集され、その後デジタル化された場合; |
| (b) also apply to processing of digital personal data outside the territory of India, if such processing is in connection with any activity related to offering of goods or services to Data Principals within the territory of India; | (b) インド領域外のデジタル個人データの処理にも適用される。当該処理が、インド領域内のデータ主体に対する商品またはサービスの提供に関連する活動に関連している場合; |
| (c) not apply to— | (c) 以下には適用されない。 |
| (i) personal data processed by an individual for any personal or domestic purpose; and | (i) 個人または国内目的のために個人によって処理される個人データ。 |
| (ii) personal data that is made or caused to be made publicly available by— | (ii)以下によって公にされ、または公にされるようにされた個人データ。 |
| (A) the Data Principal to whom such personal data relates; or | (A) 当該個人データに関連するデータ主体。 |
| (B) any other person who is under an obligation under any law for the time being in force in India to make such personal data publicly available. | (B) インドで施行されている法律に基づき、当該個人データを公開する義務を負う者。 |
| Illustration. | 例 |
| X, an individual, while blogging her views, has publicly made available her personal data on social media. In such case, the provisions of this Act shall not apply. | 個人であるXは、ブログで自分の意見を発信する際に、ソーシャルメディア上で個人データを公開した。この場合、本法の規定は適用されない。 |
| CHAPTER II | 第2章 |
| OBLIGATIONS OF DATA FIDUCIARY | データ受託者の義務 |
| (Grounds for processing personal data.) | (個人データの処理事由) |
| 4. (1) A person may process the personal data of a Data Principal only in accordance with the provisions of this Act and for a lawful purpose,— | 4. (1) 何人も、この法律の規定に従い、かつ、合法的な目的のためにのみ、データ主 義人の個人データを処理することができる。 |
| (a) for which the Data Principal has given her consent; or | (a) データ主体が同意した場合。 |
| (b) for certain legitimate uses. | (b) 特定の合法的な目的のため。 |
| (2) For the purposes of this section, the expression “lawful purpose” means any purpose which is not expressly forbidden by law. | (2) 本条において、「合法的な目的」とは、法律で明示的に禁止されていない目的を意味する。 |
| (Notice.) | (通知) |
| 5. (1) Every request made to a Data Principal under section 6 for consent shall be accompanied or preceded by a notice given by the Data Fiduciary to the Data Principal, informing her,— | 5. (1) 第 6 項に基づきデータ主体に対して行われる同意の要求はすべて、データ受託者が データ主体に対して行う以下の事項を通知する通知を伴うか、またはそれに先立つものとす る。 |
| (i) the personal data and the purpose for which the same is proposed to be processed; | (i) 個人データおよびその処理が提案されている目的; |
| (ii) the manner in which she may exercise her rights under sub-section (4) of section 6 and section 13; and | (ii) データ主体が第6条(4)項および第13条に基づく権利を行使する方法。 |
| (iii) the manner in which the Data Principal may make a complaint to the Board, | (iii) データ主体が委員会に対して苦情を申し立てる方法、 |
| in such manner and as may be prescribed. | (iii)データ主体が委員会に苦情を申し立てる方法。 |
| Illustration. | 例 |
| X, an individual, opens a bank account using the mobile app or website of Y, a bank. To complete the Know-Your-Customer requirements under law for opening of bank account, X opts for processing of her personal data by Y in a live, video-based customer identification process. Y shall accompany or precede the request for the personal data with notice to X, describing the personal data and the purpose of its processing. | 個人であるXは、銀行であるYのモバイルアプリまたはウェブサイトを利用して銀行口座を開設した。Xは、銀行口座開設に必要なKnow-Your-Customerの要件を満たすため、Yによるライブビデオによる顧客確認プロセスで個人データを処理することを選択する。Yは、個人データの要求と同時に、個人データとその処理目的をXに通知する。 |
| (2) Where a Data Principal has given her consent for the processing of her personal data before the date of commencement of this Act,— | (2) データ主体が、この法律の開始日前に個人データの処理について同意している場合、以下のとおりとする。 |
| (a) the Data Fiduciary shall, as soon as it is reasonably practicable, give to the Data Principal a notice informing her,–– | (a) データ受託者は、合理的に実行可能な限り速やかに、データ主体に対して以下の事項を通知する。 |
| (i) the personal data and the purpose for which the same has been processed; | (i) 個人データおよびそれが処理された目的; |
| (ii) the manner in which she may exercise her rights under sub-section (4) of section 6 and section 13; and | (ii) データ主体が第6条(4)項および第13条に基づく権利を行使する方法。 |
| (iii) the manner in which the Data Principal may make a complaint to the Board, in such manner and as may be prescribed. | (iii) データプ主体が委員会に対して苦情を申し立てる方法については、規定されるも のとする。 |
| (b) the Data Fiduciary may continue to process the personal data until and unless the Data Principal withdraws her consent. | (b) データ受託者は、データ主体が同意を撤回するまで、また撤回しない限り、個人データの処 理を継続することができる。 |
| Illustration. | 例 |
| X, an individual, gave her consent to the processing of her personal data for an online shopping app or website operated by Y, an e-commerce service provider, before the commencement of this Act. Upon commencement of the Act, Y shall, as soon as practicable, give through email, in-app notification or other effective method information to X, describing the personal data and the purpose of its processing. | 個人であるXは、本法律の開始前に、電子商取引サービスプロバイダであるYが運営するオンラインショッピングアプリまたはウェブサイトにおける個人データの処理に同意した。Yは、本法律が開始されると、実務上可能な限り速やかに、Xに対し、電子メール、アプリ内通知その他の有効な方法を通じて、個人データとその処理目的を説明する情報を提供しなければならない。 |
| (3) The Data Fiduciary shall give the Data Principal the option to access the contents of the notice referred to in sub-sections (1) and (2) in English or any language specified in the Eighth Schedule to the Constitution. | (3) データ受託者は、データ主体に対し、第(1)項および第(2)項の通知の内容に、英語または憲法別表第8に定める言語でアクセスする選択肢を与えなければならない。 |
| (Consent.) | (同意) |
| 6. (1) The consent given by the Data Principal shall be free, specific, informed, unconditional and unambiguous with a clear affirmative action, and shall signify an agreement to the processing of her personal data for the specified purpose and be limited to such personal data as is necessary for such specified purpose. | 6. (1) データ主体によって与えられる同意は、自由、具体的、情報に基づいた、無条件かつ明瞭なものでなければならず、また、明確な肯定的行動を伴うものでなければならず、特定された目的のために個人データを処理することに同意することを意味し、当該特定された目的に必要な個人データに限定されなければならない。 |
| Illustration. | 例 |
| X, an individual, downloads Y, a telemedicine app. Y requests the consent of X for (i) the processing of her personal data for making available telemedicine services, and (ii) accessing her mobile phone contact list, and X signifies her consent to both. Since phone contact list is not necessary for making available telemedicine services, her consent shall be limited to the processing of her personal data for making available telemedicine services. | Xが遠隔医療アプリYをダウンロードした。Yは、Xに対し、(i)遠隔医療サービスを提供するための個人データの処理、及び(ii)携帯電話の連絡先リストへのアクセスについて同意を求め、Xはその両方について同意を表明する。電話連絡先リストは遠隔医療サービスの提供には必要ないため、Xの同意は遠隔医療サービスの提供のための個人データ処理に限定される。 |
| (2) Any part of consent referred in sub-section (1) which constitutes an infringement of the provisions of this Act or the rules made thereunder or any other law for the time being in force shall be invalid to the extent of such infringement. | (2) (1)項の同意のうち、本法またはその下で制定された規則、あるいは当分の間有効な他の法律の規定を侵害する部分は、その侵害の範囲内で無効とする。 |
| Illustration. | 例 |
| X, an individual, buys an insurance policy using the mobile app or website of Y, an insurer. She gives to Y her consent for (i) the processing of her personal data by Y for the purpose of issuing the policy, and (ii) waiving her right to file a complaint to the Data Protection Board of India. Part (ii) of the consent, relating to waiver of her right to file a complaint, shall be invalid. | 個人であるXは、保険会社であるYのモバイルアプリまたはウェブサイトを利用して保険契約を購入する。XはYに対し、(i)保険証券の発行を目的としたYによる個人データの処理、および(ii)インドデータ保護委員会に苦情を申し立てる権利の放棄について同意する。苦情を申し立てる権利の放棄に関する同意の(ii)の部分は無効とする。 |
| (3) Every request for consent under the provisions of this Act or the rules made thereunder shall be presented to the Data Principal in a clear and plain language, giving her the option to access such request in English or any language specified in the Eighth Schedule to the Constitution and providing the contact details of a Data Protection Officer, where applicable, or of any other person authorised by the Data Fiduciary to respond to any communication from the Data Principal for the purpose of exercise of her rights under the provisions of this Act. | (3) 本法律またはそれに基づく規則の規定に基づく同意の要求はすべて、明確かつ平易な言 葉でデータ本人に提示されるものとし、英語または憲法第 8 条別表に指定された言 語で当該要求にアクセスする選択肢をデータ本人に与え、該当する場合はデータ保護責任 者、または本法律の規定に基づくデータ本人の権利行使のためにデータ本人からのコ ミュニケーションに対応する権限をデータ受託者が付与したその他の者の連絡先を提 供するものとする。 |
| (4) Where consent given by the Data Principal is the basis of processing of personal data, such Data Principal shall have the right to withdraw her consent at any time, with the ease of doing so being comparable to the ease with which such consent was given. | (4) データ主体によって与えられた同意が個人データの処理の基礎である場合、当該データ主体 は、いつでもその同意を撤回する権利を有し、その撤回が容易であることは、当該同意が与えられ た容易さと同等である。 |
| (5) The consequences of the withdrawal referred to in sub-section (4) shall be borne by the Data Principal, and such withdrawal shall not affect the legality of processing of the personal data based on consent before its withdrawal. | (5) (4)項の撤回の結果は、データ主体が負担するものとし、その撤回は、撤回前の同意に基づく個人データの処理の合法性に影響を与えないものとする。 |
| Illustration. | 例 |
| X, an individual, is the user of an online shopping app or website operated by Y, an e-commerce service provider. X consents to the processing of her personal data by Y for the purpose of fulfilling her supply order and places an order for supply of a good while making payment for the same. If X withdraws her consent, Y may stop enabling X to use the app or website for placing orders, but may not stop the processing for supply of the goods already ordered and paid for by X. | 個人であるXは、電子商取引サービスプロバイダであるYが運営するオンラインショッピングアプリまたはウェブサイトの利用者である。Xは、Yによる個人データ処理に同意し、商品購入の注文を行い、代金を支払った。Xが同意を撤回した場合、Yは、Xがアプリまたはウェブサイトを使用して注文を行うことを停止することができるが、Xが既に注文し代金を支払った商品の供給のための処理を停止することはできない。 |
| (6) If a Data Principal withdraws her consent to the processing of personal data undersub-section (5), the Data Fiduciary shall, within a reasonable time, cease and cause its Data Processors to cease processing the personal data of such Data Principal unless such processing without her consent is required or authorised under the provisions of this Act or the rules made thereunder or any other law for the time being in force in India. | (6) データ受託者は、データ主体が第(5)項以下の個人データ処理に対する同意を撤回した場合、本法もしくはこれに基づく規則、またはインドで施行されているその他の法律の規定により、データ主体の同意を得ずに個人データを処理することが要求または許可されている場合を除き、合理的な期間内に、データ処理者による当該データ主体の個人データの処理を停止し、また停止させるものとする。 |
| Illustration. | 例 |
| X, a telecom service provider, enters into a contract with Y, a Data Processor, for emailing telephone bills to the customers of X. Z, a customer of X, who had earlier given her consent to X for the processing of her personal data for emailing of bills, downloads the mobile app of X and opts to receive bills only on the app. X shall itself cease, and shall cause Y to cease, the processing of the personal data of Z for emailing bills. | 電気通信サービスプロバイダであるXは、データ処理者であるYと、Xの顧客に対して電話料金の請求書を電子メールで送信する契約を締結した。Xは、請求書電子送信のためのZの個人データ処理を自ら停止し、Yに停止させるものとする。 |
| (7) The Data Principal may give, manage, review or withdraw her consent to the Data Fiduciary through a Consent Manager. | (7) データ本人は、「同意管理者」を通じて、データ受託者に対する同意の付与、管理、見直し、撤回を行うことができる。 |
| (8) The Consent Manager shall be accountable to the Data Principal and shall act on her behalf in such manner and subject to such obligations as may be prescribed. | (8) 「同意管理者」は、「データ主体」に対して説明責任を負うものとし、「データ主体」に代わ って、所定の方法で、所定の義務に従って行動するものとする。 |
| (9) Every Consent Manager shall be registered with the Board in such manner and subject to such technical, operational, financial and other conditions as may be prescribed. | (9) すべての「同意」管理者は、委員会に登録されるものとし、委員会が規定する技術的、運営上、 財務上およびその他の条件に従うものとする。 |
| (10) Where a consent given by the Data Principal is the basis of processing of personal data and a question arises in this regard in a proceeding, the Data Fiduciary shall be obliged to prove that a notice was given by her to the Data Principal and consent was given by such Data Principal to the Data Fiduciary in accordance with the provisions of this Act and the rules made thereunder. | (10) データ主体によって与えられた同意が個人データの処理の基礎であり、訴訟手続においてこの点に疑義が生じた場合、データ受託者は、この法律およびそれに基づく規則の規定に従って、データ主体に対して通知がなされ、データ主体からデータ受託者に対して同意が与えられたことを証明する義務を負うものとする。 |
| (Certain legitimate uses.) | (一定の合法的利用) |
| 7. A Data Fiduciary may process personal data of a Data Principal for any of following uses, namely:— | 7. データ受託者は、以下のいずれかの目的のためにデータ主体の個人データを処理すること ができる。 |
| (a) for the specified purpose for which the Data Principal has voluntarily provided her personal data to the Data Fiduciary, and in respect of which she has not indicated to the Data Fiduciary that she does not consent to the use of her personal data. | (a) データ主体が自発的に個人データをデータ受託者に提供し、データ主体が個人データの使用に同意 しないことをデータ受託者に示していない特定の目的のため。 |
| Illustrations. | 例 |
| (I) X, an individual, makes a purchase at Y, a pharmacy. She voluntarily provides Y her personal data and requests Y to acknowledge receipt of the payment made for the purchase by sending a message to her mobile phone. Y may process the personal data of X for the purpose of sending the receipt. | (I) 個人であるXが薬局であるYで買い物をする。Xは自らの意思でYに個人データを提供し、YがXの携帯電話にメッセージを送信して購入代金を受領したことを確認するよう要求する。Yは、受領書を送信する目的でXの個人データを処理することができる。 |
| (II) X, an individual, electronically messages Y, a real estate broker, requesting Y to help identify a suitable rented accommodation for her and shares her personal data for this purpose. Y may process her personal data to identify and intimate to her the details of accommodation available on rent. Subsequently, X informs Y that X no longer needs help from Y. Y shall cease to process the personal data of X; | (II) 個人であるXが、不動産仲介業者であるYに電子メッセージを送信し、自分のために適切な賃貸住宅を探す手伝いをYに依頼し、そのためにXの個人データを共有する。YはXの個人データを処理し、賃貸可能な住居の詳細を特定し、Xに知らせることができる。その後、XはYに対して、XがもはやYからの援助を必要としないことを通知した; |
| (b) for the State and any of its instrumentalities to provide or issue to the Data Principal such subsidy, benefit, service, certificate, licence or permit as may be prescribed, where–– | (b) 国およびその機関が、データ・主体に補助金、給付金、サービス、証明書、許認可を提供する場合。 |
| (i) she has previously consented to the processing of her personal data by the State or any of its instrumentalities for any subsidy, benefit, service, certificate, licence or permit; or | (i) データ主体が、補助金、便益、サービス、証明書、免許証又は許可証のために、国又はその機 関が個人データを処理することに同意している場合。 |
| (ii) such personal data is available in digital form in, or in non-digital form and digitised subsequently from, any database, register, book or other document which is maintained by the State or any of its instrumentalities and is notified by the Central Government, subject to standards followed for processing being in accordance with the policy issued by the Central Government or any law for the time being in force for governance of personal data. | (ii) 当該個人データは、国又はその機関によって維持され、中央政府によって通知されたデータベース、登録簿、帳簿又はその他の文書においてデジタル形式で利用可能であるか、又はデジタル形式でない状態で利用可能であり、その後デジタル化されたものであり、処理の標準が中央政府によって発行された方針又は個人データの管理について効力を有する法律に従っていることを条件とする。 |
| Illustration. | 例 |
| X. a pregnant woman, enrols herself on an app or website to avail of government’s maternity benefits programme, while consenting to provide her personal data for the purpose of availing of such benefits. Government may process the personal data of X processing to determine her eligibility to receive any other prescribed benefit from the government; | 妊娠中の女性Xは、政府の出産給付プログラムを利用するために、アプリまたはウェブサイトに登録し、当該給付を利用する目的で個人データを提供することに同意した。ガバナンスは、政府から他の所定の給付を受ける資格を決定するために、X の個人データを処理することができる; |
| (c) for the performance by the State or any of its instrumentalities of any function under any law for the time being in force in India or in the interest of sovereignty and integrity of India or security of the State; | (c) インドで施行されている法律に基づき、またはインドの主権と一体性、国家の安全保障のために、国またはその機関が機能を遂行するため; |
| (d) for fulfilling any obligation under any law for the time being in force in India on any person to disclose any information to the State or any of its instrumentalities, subject to such processing being in accordance with the provisions regarding disclosure of such information in any other law for the time being in force; | (d) インドで施行されている法律に基づき、何人かが国またはその機関に情報を開示する義務を履行するため、ただし、当該処理が、施行されている他の法律の当該情報の開示に関する規定に従って行われることを条件とする; |
| (e) for compliance with any judgment or decree or order issued under any law for the time being in force in India, or any judgment or order relating to claims of a contractual or civil nature under any law for the time being in force outside India; | (e) インド国内で施行されている法律に基づいて下された判決、命令、またはインド国外で施行されている法律に基づいて下された契約上もしくは民事上の請求に関する判決、命令を遵守するため; |
| (f) for responding to a medical emergency involving a threat to the life or immediate threat to the health of the Data Principal or any other individual; | (f) データ主体またはその他の個人の生命または健康に差し迫った脅威を伴う医療緊急事態に対応するため; |
| (g) for taking measures to provide medical treatment or health services to any individual during an epidemic, outbreak of disease, or any other threat to public health; | (g) 伝染病、疾病の発生、または公衆衛生に対するその他の脅威がある場合に、医療または保健サービスを個人に提供するための措置を講じること; |
| (h) for taking measures to ensure safety of, or provide assistance or services to, any individual during any disaster, or any breakdown of public order. (53 of 2005.) | (h) 災害時や治安崩壊時に、個人の安全を確保し、援助やサービスを提供するための措置をとること。(2005年53号) |
| Explanation.—For the purposes of this clause, the expression “disaster” shall have the same meaning as assigned to it in clause (d) of section 2 of the Disaster Management Act, 2005; or | 解説:この条項において、「災害」という表現は、2005年災害管理法第2条(d)に規定されている意味と同じ意味を持つものとする。 |
| (i) for the purposes of employment or those related to safeguarding the employer from loss or liability, such as prevention of corporate espionage, maintenance of confidentiality of trade secrets, intellectual property, classified information or provision of any service or benefit sought by a Data Principal who is an employee. | (i) 雇用の目的、または企業スパイの防止、企業秘密、知的財産、機密情報の保守、従業員であるデータ主体が求めるサービスや利益の提供など、雇用主を損失や責任から守ることに関連する目的。 |
| (General obligations of Data Fiduciary.) | (データ受託者の一般的義務) |
| 8. (1) A Data Fiduciary shall, irrespective of any agreement to the contrary or failure of a Data Principal to carry out the duties provided under this Act, be responsible for complying with the provisions of this Act and the rules made thereunder in respect of any processing undertaken by it or on its behalf by a Data Processor. | 8. (1) データ受託者は、これに反する合意またはデータ主体が本法に規定された義務を履行しな かった場合にかかわらず、自己または自己のためにデータ処理者が行う処理に関して、本 法の規定およびこれに基づく規則を遵守する責任を負うものとする。 |
| (2) A Data Fiduciary may engage, appoint, use or otherwise involve a Data Processor to process personal data on its behalf for any activity related to offering of goods or services to Data Principals only under a valid contract. | (2) データ受託者は、有効な契約に基づいてのみ、データ主体に対する商品またはサービスの提供に関連する活動のために、データ処理者を自己に代わって個人データを処理するために従事させ、任命し、使用し、またはその他の方法で関与させることができる。 |
| (3) Where personal data processed by a Data Fiduciary is likely to be— | (3) データ受託者が処理する個人データが以下の目的で使用される可能性がある場合。 |
| (a) used to make a decision that affects the Data Principal; or | (a) データ主体に影響を与える決定を行うために使用される。 |
| (b) disclosed to another Data Fiduciary, the Data Fiduciary processing such personal data shall ensure its completeness, accuracy and consistency. | (b) 他の「データ受託者」に開示される可能性がある場合、「データ受託者」は当該個人デー タの完全性、正確性、一貫性を保証しなければならない。 |
| (4) A Data Fiduciary shall implement appropriate technical and organisational measures to ensure effective observance of the provisions of this Act and the rules made thereunder. | (4) データ受託者は、この法律およびこれに基づく規則の規定を効果的に遵守するために、適切な 技術的および組織的措置を講じなければならない。 |
| (5) A Data Fiduciary shall protect personal data in its possession or under its control, including in respect of any processing undertaken by it or on its behalf by a Data Processor, by taking reasonable security safeguards to prevent personal data breach. | (5) データ受託者は、個人データ漏えいを防止するために合理的なセキュリティ保護措置を講じることにより、自己が所有し、または自己の管理下にある個人データを保護しなければならない。 |
| (6) In the event of a personal data breach, the Data Fiduciary sh(6) In the event of a personal data breach, the Data Fiduciary shall give the Board and each affected Data Principal, intimation of such breach in such form and manner as may be prescribed. | (6) 個人データ漏えいが発生した場合、データ受託者は、委員会および影響を受ける各デー タ主体に対し、所定の書式および方法で当該漏えいの通知を行うものとする。 |
| (7) A Data Fiduciary shall, unless retention is necessary for compliance with any law for the time being in force,— | (7) データ受託者は、当分の間有効な法律に準拠するために保管が必要な場合を除き、以下のことを 行わなければならない。 |
| (a) erase personal data, upon the Data Principal withdrawing her consent or as soon as it is reasonable to assume that the specified purpose is no longer being served, whichever is earlier; and | (a) データ主体が同意を撤回した時点、または特定された目的がもはや果たされていないと見なすことが合理的である時点のいずれか早い時点で、個人データを消去する。 |
| (b) cause its Data Processor to erase any personal data that was made available by the Data Fiduciary for processing to such Data Processor. | (b) データ受託者がデータ処理者に処理させるために提供した個人データを、データ処理者に消去させる。 |
| Illustrations. | 例 |
| (I) X, an individual, registers herself on an online marketplace operated by Y, an ecommerce service provider. X gives her consent to Y for the processing of her personal data for selling her used car. The online marketplace helps conclude the sale. Y shall no longer retain her personal data. | (I) 個人であるXは、eコマースサービスプロバイダであるYが運営するオンラインマーケットプレイスに登録する。Xは、中古車売却のための個人データ処理についてYに同意する。オンラインマーケットプレイスは、売却の成立を支援する。YはもはやXの個人データを保持しない。 |
| (II) X, an individual, decides to close her savings account with Y, a bank. Y is required by law applicable to banks to maintain the record of the identity of its clients for a period of ten years beyond closing of accounts. Since retention is necessary for compliance with law, Y shall retain X’s personal data for the said period. | (II) 個人であるXは、銀行であるYの普通預金口座を解約することにした。Yは、銀行に適用される法により、口座閉鎖後10年間、顧客の身元に関する記録を保持することが義務付けられている。Yは、法令遵守のためにXの個人データを当該期間保存する必要がある。 |
| (8) The purpose referred to in clause (a) of sub-section (7) shall be deemed to no longer be served, if the Data Principal does not–– | (8) データ主体が以下のことを行わない場合、第(7)項第(a)号に記載された目的はもはや果たされないものとみなす。 |
| (a) approach the Data Fiduciary for the performance of the specified purpose; and | (a) 指定された目的の遂行のためにデータ受託者に接触すること。 |
| (b) exercise any of her rights in relation to such processing, | (b) 当該処理に関して自己の権利を行使する、 |
| for such time period as may be prescribed, and different time periods may be prescribed for different classes of Data Fiduciaries and for different purposes. | また、データ受託者のクラスおよび目的ごとに異なる期間を定めることができる。 |
| (9) A Data Fiduciary shall publish, in such manner as may be prescribed, the businesscontact information of a Data Protection Officer, if applicable, or a person who is able to answer on behalf of the Data Fiduciary, the questions, if any, raised by the Data Principal about the processing of her personal data. | (9) データ受託者は、個人データの処理に関してデータ主体が提起した質問について、データ保 護責任者(該当する場合)、またはデータ受託者に代わって回答できる者の業務連絡先 を、所定の方法で公表しなければならない。 |
| (10) A Data Fiduciary shall establish an effective mechanism to redress the grievancesof Data Principals. | (10) データ受託者は、データ主体の苦情を解決するための効果的なメカニズムを確立 しなければならない。 |
| (11) For the purposes of this section, it is hereby clarified that a Data Principal shall beconsidered as not having approached the Data Fiduciary for the performance of the specified purpose, in any period during which she has not initiated contact with the Data Fiduciary for such performance, in person or by way of communication in electronic or physical form. | (11) 本セクションの目的上、データ主体がデータ受託者と直接または電子的もしくは物理的な 形態でのコミュニケーションにより、特定目的の実行のための接触を開始しなかった期間 は、データ主体がデータ受託者に接触しなかったものとみなすことをここに明確にする。 |
| (Processing of personal data of children.) | (児童の個人データの処理) |
| 9. (1) The Data Fiduciary shall, before processing any personal data of a child or a person with disability who has a lawful guardian obtain verifiable consent of the parent of such child or the lawful guardian, as the case may be, in such manner as may be prescribed. Explanation.—For the purpose of this sub-section, the expression “consent of the parent” includes the consent of lawful guardian, wherever applicable. | 9. (1) データ受託者は、児童または正当な保護者を持つ障害者の個人データを処理する前に、当該児童の親または正当な保護者の検証可能な同意を、場合により、所定の方法で取得しなければならない。解説:本款の目的上、「親の同意」という表現には、適用法であれば、正当な保護者の同意が含まれる。 |
| (2) A Data Fiduciary shall not undertake such processing of personal data that islikely to cause any detrimental effect on the well-being of a child. | (2) データ受託者は、児童の幸福に有害な影響を及ぼす可能性のある個人データの処理 を行ってはならない。 |
| (3) A Data Fiduciary shall not undertake tracking or behavioural monitoring of childrenor targeted advertising directed at children. | (3) データ受託者は、児童の追跡または行動監視、または児童を対象とした広告を行わないものとする。 |
| (4) The provisions of sub-sections (1) and (3) shall not be applicable to processing of personal data of a child by such classes of Data Fiduciaries or for such purposes, and subject to such conditions, as may be prescribed. | (4) 第(1)項および第(3)項の規定は、データ受託者の種類によって、またはそのような目的のために、およびそのような条件に従って、児童の個人データを処理する場合には適用されないものとする。 |
| (5) The Central Government may, if satisfied that a Data Fiduciary has ensured that itsprocessing of personal data of children is done in a manner that is verifiably safe, notify for such processing by such Data Fiduciary the age above which that Data Fiduciary shall be exempt from the applicability of all or any of the obligations under sub-sections (1) and (3) in respect of processing by that Data Fiduciary as the notification may specify. | (5) 中央政府は、データ受託者が児童の個人データの処理を検証可能な安全な方法で行っていることを確認した場合、当該データ受託者による処理について、当該データ受託者による処理に関する第(1)号および第(3)号に基づく義務の全部または一部の適用が免除される年齢を、通知で指定することができる。 |
| (Additional obligations of Significant Data Fiduciary.) | (重要なデータ受託者の追加義務) |
| 10. (1) The Central Government may notify any Data Fiduciary or class of Data Fiduciaries as Significant Data Fiduciary, on the basis of an assessment of such relevant factors as it may determine, including— | 10. (1) 中央政府は、以下を含む、政府が決定する関連要因の評価に基づいて、データ受託 者またはデータ受託者のクラスを「重要なデータ受託者」として通知することができる。 |
| (a) the volume and sensitivity of personal data processed; | (a) 処理される個人データの量と機密性 |
| (b) risk to the rights of Data Principal; | (b) データ主体者の権利に対するリスク |
| (c) potential impact on the sovereignty and integrity of India; | (c) インドの主権と完全性への潜在的影響 |
| (d) risk to electoral democracy; | (d) 選挙民主主義に対するリスク |
| (e) security of the State; and | (e) 国家の安全、 |
| (f) public order. | (f) 公共秩序。 |
| (2) The Significant Data Fiduciary shall— | (2) 重要なデータ受託者は以下のことを行わなければならない。 |
| (a) appoint a Data Protection Officer who shall— | (a) データ保護責任者を任命する。 |
| (i) represent the Significant Data Fiduciary under the provisions of thisAct; | (i) 本法の規定に基づいて、重要なデータ受託者を代表する; |
| (ii) be based in India; | (ii) インドを拠点とすること; |
| (iii) be an individual responsible to the Board of Directors or similargoverning body of the Significant Data Fiduciary; and | (iii) 重要なデータ受託者の取締役会または同様の団体に責任を負う個人であること。 |
| (iv) be the point of contact for the grievance redressal mechanism underthe provisions of this Act; | (iv) 本法の規定に基づく苦情処理機構の窓口となる; |
| (b) appoint an independent data auditor to carry out data audit, who shallevaluate the compliance of the Significant Data Fiduciary in accordance with the provisions of this Act; and | (b) データ監査を実施する独立データ監査人を任命し、この監査人は、本法の規定に従っ て重要データ受託者のコンプライアンスを評価する。 |
| (c) undertake the following other measures, namely:— | (c) 以下のその他の措置を講じる。 |
| (i) periodic Data Protection Impact Assessment, which shall be a processcomprising a description of the rights of Data Principals and the purpose of processing of their personal data, assessment and management of the risk to the rights of the Data Principals, and such other matters regarding such process as may be prescribed; | (i) 定期的なデータ保護アセスメント。これは、データ主体の権利および個人データの処理目的の説明、データ主体の権利に対するリスクの評価およびマネジメント、ならびに当該プロセスに関するその他の事項で規定されるものを含むプロセスとする; |
| (ii) periodic audit; and | (ii) 定期的な監査 |
| (iii) such other measures, consistent with the provisions of this Act, asmay be prescribed. | (iii) 本法の規定に合致する、規定されるその他の措置。 |
| CHAPTER III | 第3章 |
| RIGHTS AND DUTIES OF DATA PRINCIPAL | データ主体の権利および義務 |
| (Right to access information about personal data) | (個人データに関する情報にアクセスする権利) |
| 11. (1) The Data Principal shall have the right to obtain from the Data Fiduciary to whom she has previously given consent, including consent as referred to in clause (a) of section 7 (hereinafter referred to as the said Data Fiduciary), for processing of personal data, upon making to it a request in such manner as may be prescribed,— | 11. (1) データ主体は、第7条(a)に定める同意を含む、個人データの処理について以前に同意を与えたデータ受託者(以下、当該データ受託者という)に対し、所定の方法で要求することにより、当該データ受託者から以下の情報を取得する権利を有する。 |
| (a) a summary of personal data which is being processed by such Data Fiduciaryand the processing activities undertaken by that Data Fiduciary with respect to such personal data; | (a) 当該データ受託者が処理する個人データの概要および当該個人データに関して当該データ受託者が行う処理活動 |
| (b) the identities of all other Data Fiduciaries and Data Processors with whomthe personal data has been shared by such Data Fiduciary, along with a description of the personal data so shared; and | (b) 当該データ受託者が個人データを共同利用する他の全てのデータ受託者及びデータ処理者の身元、並びに共同利用される個人データの説明。 |
| (c) any other information related to the personal data of such Data Principal andits processing, as may be prescribed. | (c) 当該データ主体者の個人データ及びその処理に関連するその他の情報。 |
| (2) Nothing contained in clause (b) or clause (c) of sub-section (1) shall apply in respect of the sharing of any personal data by the said Data Fiduciary with any other Data Fiduciary authorised by law to obtain such personal data, where such sharing is pursuant to a request made in writing by such other Data Fiduciary for the purpose of prevention or detection or investigation of offences or cyber incidents, or for prosecution or punishment of offences. | (2) 第(1)項第(b)号または第(c)号に含まれるいかなる規定も、当該データ受託者が、犯罪もしくはサイバーインシデントの予防もしくは検知もしくは調査、または犯罪の訴追もしくは処罰を目的として、当該データ受託者から書面でなされた要請に従って、当該個人データを取得する権限を有する他のデータ受託者と当該個人データを共有する場合には、適用されないものとする。 |
| (Right to correction and erasure of personal data) | (個人データの訂正および消去の権利) |
| 12. (1) A Data Principal shall have the right to correction, completion, updating and erasure of her personal data for the processing of which she has previously given consent, including consent as referred to in clause (a) of section 7, in accordance with any requirement or procedure under any law for the time being in force. | 12. (1) データ主体は、第7条(a)に定める同意を含む、過去に同意を与えた個人データの処理について、当分の間有効な法律に基づく要求または手続きに従って、訂正、補完、更新および消去を受ける権利を有する。 |
| (2) A Data Fiduciary shall, upon receiving a request for correction, completion orupdating from a Data Principal,— | (2) データ受託者は、データ主体から訂正、完了または更新の要求を受けた場合、以下のことを 行わなければならない。 |
| (a) correct the inaccurate or misleading personal data; | (a) 不正確または誤解を招くような個人データを訂正する; |
| (b) complete the incomplete personal data; and(c) update the personal data. | (c) 個人データを更新する。 |
| (3) A Data Principal shall make a request in such manner as may be prescribed to theData Fiduciary for erasure of her personal data, and upon receipt of such a request, the Data Fiduciary shall erase her personal data unless retention of the same is necessary for the specified purpose or for compliance with any law for the time being in force. | (3) データ主体は、データ受託者に対し、所定の方法で個人データの消去を要求するものとし、 データ受託者は、かかる要求を受領した場合、特定の目的または当分の間効力を有する法令に 準拠するために個人データの保持が必要でない限り、かかる個人データを消去するものとする。 |
| (Right of grievance redressal.) | (苦情救済権) |
| 13. (1) A Data Principal shall have the right to have readily available means of grievance redressal provided by a Data Fiduciary or Consent Manager in respect of any act or omission of such Data Fiduciary or Consent Manager regarding the performance of its obligations in relation to the personal data of such Data Principal or the exercise of her rights under the provisions of this Act and the rules made thereunder. | 13. (1) データ主体は、データ受託者または同意管理者による、当該データ主体の個 人データに関する義務の履行またはこの法律およびこれに基づく規則の規定に基づく権利の行使に関 する作為または不作為に関して、容易に利用可能な苦情処理手段をプロバイダから提供される権利を有する。 |
| (2) The Data Fiduciary or Consent Manager shall respond to any grievances referredto in sub-section (1) within such period as may be prescribed from the date of its receipt for all or any class of Data Fiduciaries. | (2) データ受託者または同意管理者は、第(1)項に規定される苦情に対して、データ受託者の全部また は任意のクラスについて、その苦情を受領した日から定められた期間内に対応しなければならな い。 |
| (3) The Data Principal shall exhaust the opportunity of redressing her grievanceunder this section before approaching the Board. | (3) データ主体は、委員会に訴える前に、本項に基づく苦情を解決する機会を尽くさなければならな い。 |
| (Right to nominate.) | (指名権) |
| 14. (1) A Data Principal shall have the right to nominate, in such manner as may be prescribed, any other individual, who shall, in the event of death or incapacity of the Data Principal, exercise the rights of the Data Principal in accordance with the provisions of this Act and the rules made thereunder. | 14. (1) データ主体は、データ主体が死亡した場合、またはデータ主体に能力 がない場合、この法律およびそれに基づく規則の規定に従ってデータ主体の権利を行使 する他の個人を、規定された方法で指名する権利を有する。 |
| (2) For the purposes of this section, the expression “incapacity” means inability to exercise the rights of the Data Principal under the provisions of this Act or the rules made thereunder due to unsoundness of mind or infirmity of body. | (2) 本条において、「無能力」とは、精神または身体の障害により、この法律またはこれに基づく規則の規定に基づいてデータ主体の権利を行使できないことを意味する。 |
| (Duties of Data Principal.) | (データ主体の義務) |
| 15. A Data Principal shall perform the following duties, namely:— | 15. データ主体は,以下の義務を履行しなければならない。 |
| (a) comply with the provisions of all applicable laws for the time being in forcewhile exercising rights under the provisions of this Act; | (a) この法律の規定に基づいて権利を行使する間、当分の間効力を有するすべての適用法の規定を遵守すること; |
| (b) to ensure not to impersonate another person while providing her personal data for a specified purpose; | (b) 特定の目的のために個人データをプロバイダに提供する際に、他人になりすまさな いことを保証すること; |
| (c) to ensure not to suppress any material information while providing herpersonal data for any document, unique identifier, proof of identity or proof of address issued by the State or any of its instrumentalities; | (c) 国またはその機関が発行する文書、固有の識別子、身元確認または住所証明のために個人情報を提供する際に、いかなる重要な情報も隠蔽しないことを確認すること; |
| (d) to ensure not to register a false or frivolous grievance or complaint with aData Fiduciary or the Board; and | (d) データ受託者または委員会に対して、虚偽または軽薄な苦情や苦情を登録しないこと。 |
| (e) to furnish only such information as is verifiably authentic, while exercising the right to correction or erasure under the provisions of this Act or the rules made thereunder. | (e) 本法律またはこれに基づく規則の規定に基づいて訂正または抹消の権利を行使する場合、 確実に本人認証された情報のみを提供すること。 |
| CHAPTER IV | 第4章 |
| SPECIAL PROVISIONS | 特別規定 |
| (Processing of personal data outside India.) | (インド国外における個人データの処理) |
| 16. (1) The Central Government may, by notification, restrict the transfer of personal data by a Data Fiduciary for processing to such country or territory outside India as may be so notified. | 16. (1) 中央政府は、通達により、データ受託者による個人データのインド国外への転送を制限することができる。 |
| (2) Nothing contained in this section shall restrict the applicability of any law for the time being in force in India that provides for a higher degree of protection for or restriction on transfer of personal data by a Data Fiduciary outside India in relation to any personal data or Data Fiduciary or class thereof. | (2) 本条に含まれるいかなる規定も、個人データ、データ受託者またはそのクラスに関して、データ受託者によるインド国外への個人データの移転についてより高度な保護または制限を規定する、インドで施行中の法律の適用を制限するものではない。 |
| (Exemptions.) | (適用除外) |
| 17. (1) The provisions of Chapter II, except sub-sections (1) and (5) of section 8, and those of Chapter III and section 16 shall not apply where— | 17. (1) 第 8 項第(1)号および第(5)号を除く第 2章の規定、ならびに第3章および第 16 項の規定は、以下の場合には適用されない。 |
| (a) the processing of personal data is necessary for enforcing any legal right or claim; | (a) 個人データの処理が、法的権利または請求を行使するために必要である場合; |
| (b) the processing of personal data by any court or tribunal or any other body in India which is entrusted by law with the performance of any judicial or quasi-judicial or regulatory or supervisory function, where such processing is necessary for the performance of such function; | (b) 司法、準司法、規制、監督機能の遂行を法律で委託されたインド国内の裁判所、法廷、その他の団体による個人データの処理が、当該機能の遂行に必要な場合; |
| (c) personal data is processed in the interest of prevention, detection, investigation or prosecution of any offence or contravention of any law for the time being in force in India; | (c) インドで施行されている法律の違反の防止、検知、調査、訴追のために個人データを処理する場合; |
| (d) personal data of Data Principals not within the territory of India is processed pursuant to any contract entered into with any person outside the territory of India by any person based in India; | (d) インドに拠点を置く者が、インド領域外の者との間で締結した契約に従って、インド領 域内にいないデータ・主体の個人データを処理する場合; |
| (e) the processing is necessary for a scheme of compromise or arrangement or merger or amalgamation of two or more companies or a reconstruction by way of demerger or otherwise of a company, or transfer of undertaking of one or more company to another company, or involving division of one or more companies, approved by a court or tribunal or other authority competent to do so by any law for the time being in force; and | (e) 当該処理が、裁判所、法廷、または現行法によって権限を有するその他の当局によって承認された、2つ以上の会社の和解、整理、合併、合併、会社分割などによる再建、または1つ以上の会社の事業の他の会社への移転、または1つ以上の会社の分割のために必要である場合。 |
| (f) the processing is for the purpose of ascertaining the financial information and assets and liabilities of any person who has defaulted in payment due on account of a loan or advance taken from a financial institution, subject to such processing being in accordance with the provisions regarding disclosure of information or data in any other law for the time being in force. | (f) 金融機関から借り入れたローンや前金の支払を怠った個人の財務情報、資産および負債を確認するための処理であり、当該処理が有効な他の法律における情報またはデータの開示に関する機構に従うことを条件とする。 |
| Explanation.—For the purposes of this clause, the expressions “default” and | 説明:本条において、「債務不履行」および「金融機関」という表現は、以下の意味を有するものとする。 |
| “financial institution” shall have the meanings respectively assigned to them in sub-sections (12) and (14) of section 3 of the Insolvency and Bankruptcy Code, 2016. | 「金融機関」という表現は、2016年倒産法第3条(12)および(14)においてそれぞれ付与された意味を有するものとする。 |
| Illustration. | 例 |
| X, an individual, takes a loan from Y, a bank. X defaults in paying her monthly loan repayment instalment on the date on which it falls due. Y may process the personal data of X for ascertaining her financial information and assets and liabilities. | 個人であるXは、銀行であるYから融資を受けている。 Xは、毎月のローン返済期日における支払いを怠った。Yは、Xの財務情報、資産・負債を把握するために、Xの個人データを処理することができる。 |
| (2) The provisions of this Act shall not apply in respect of the processing of personal data— | (2) 個人データの処理に関しては、本法の規定は適用されない。 |
| (a) by such instrumentality of the State as the Central Government may notify, in the interests of sovereignty and integrity of India, security of the State, friendly relations with foreign States, maintenance of public order or preventing incitement to any cognizable offence relating to any of these, and the processing by the Central Government of any personal data that such instrumentality may furnish to it; and | (a) インドの主権および一体性、国家の安全、外国との友好関係、公序の保守、またはこれらのいずれかに関連する認知可能な犯罪の扇動の防止のために、中央政府が通知することができる国家の機関が行う個人データの処理、および当該機関が中央政府に提供することができる個人データの中央政府による処理。 |
| (b) necessary for research, archiving or statistical purposes if the personal data is not to be used to take any decision specific to a Data Principal and such processing is carried on in accordance with such standards as may be prescribed. | (b) 個人データがデータ主体固有の決定を行うために使用されるものではなく、かつ、当該処理が規定される標準に従って行われる場合には、調査、保管または統計目的のために必要なもの。 |
| (3) The Central Government may, having regard to the volume and nature of personal data processed, notify certain Data Fiduciaries or class of Data Fiduciaries, including startups, as Data Fiduciaries to whom the provisions of section 5, sub-sections (3) and (7) of section 8 and sections 10 and 11 shall not apply. | (3) 中央政府は、処理される個人データの量および性質を考慮して、第5条、第8条第(3)項および第(7)項、第10条および第11条の規定が適用されないデータ受託者として、スタートアップを含む特定のデータ受託者またはデータ受託者の種類を通知することができる。 |
| Explanation.—For the purposes of this sub-section, the term “startup” means a private limited company or a partnership firm or a limited liability partnership incorporated in India, which is eligible to be and is recognised as such in accordance with the criteria and process notified by the department to which matters relating to startups are allocated in the Central Government. | 説明:本条において、「新興企業」とは、インドで設立された私的有限責任会社、パートナーシップ会社、有限責任パートナーシップ会社を意味し、中央政府において新興企業に関する事項が割り当てられる部門が通知する基準およびプロセスに従って、そのような企業となる資格を有し、かつそのような企業として認識される。 |
| (4) In respect of processing by the State or any instrumentality of the State, the provisions of sub-section (7) of section 8 and sub-section (3) of section 12 and, where such processing is for a purpose that does not include making of a decision that affects the Data Principal, sub-section (2) of section 12 shall not apply. | (4) 国または国の機関による処理に関しては、第 8 項第(7)節および第 12 項第(3)節の規定、ならびに当該処理がデータ主体に影響を及ぼす決定の実施を含まない目的のためのものである場合には、第 12 項第(2)節の規定は適用されない。 |
| (5) The Central Government may, before expiry of five years from the date of commencement of this Act, by notification, declare that any provision of this Act shall not apply to such Data Fiduciary or classes of Data Fiduciaries for such period as may be specified in the notification. | (5) 中央政府は、この法律の開始の日から5年を経過する前に、通達により、この法律のいかなる規定も、通達で指定される期間、当該データ受託者またはデータ受託者のクラスには適用されないことを宣言することができる。 |
| CHAPTER V | 第5章 |
| DATA PROTECTION BOARD OF INDIA | インドデータ保護委員会 |
| (Establishment of Board.) | (委員会の設立) |
| 18. (1) With effect from such date as the Central Government may, by notification, appoint, there shall be established, for the purposes of this Act, a Board to be called the Data Protection Board of India. | 18. (1) 本法の目的のため、中央政府が通達により指定する日から、インドデータ保護委員会と称する委員会を設置する。 |
| (2) The Board shall be a body corporate by the name aforesaid, having perpetualsuccession and a common seal, with power, subject to the provisions of this Act, to acquire, hold and dispose of property, both movable and immovable, and to contract and shall, by the said name, sue or be sued. | (2) 委員会は、前述の名称の団体であり、永久継承権および公印を有し、本法の規定に従って、動産および不動産を取得、保有および処分し、契約する権限を有し、当該名称により、訴訟を提起しまたは提起されるものとする。 |
| (3) The headquarters of the Board shall be at such place as the Central Governmentmay notify. | (3) 委員会の本部は、中央政府が通知する場所に置く。 |
| (Composition and qualifications for appointment of Chairperson and Members.) | (委員長および委員の構成および任命資格) |
| 19. (1) The Board shall consist of a Chairperson and such number of other Members as the Central Government may notify. | 19 (1) 委員会は、中央政府が通知する数の委員長およびその他の委員で構成される。 |
| (2) The Chairperson and other Members shall be appointed by the Central Governmentin such manner as may be prescribed. | (2) 委員長およびその他の委員は、中央政府が定める方法で任命する。 |
| (3) The Chairperson and other Members shall be a person of ability, integrity andstanding who possesses special knowledge or practical experience in the fields of data governance, administration or implementation of laws related to social or consumer protection, dispute resolution, information and communication technology, digital economy, law, regulation or techno-regulation, or in any other field which in the opinion of the Central Government may be useful to the Board, and at least one among them shall be an expert in the field of law. | (3) 委員長およびその他の委員は、データガバナンス、社会または消費者保護に関連する法律の管理または実施、紛争解決、情報通信技術、デジタル経済、法律、規制または技術規制の分野、または中央政府の見解において委員会に有用と思われるその他の分野において、特別な知識または実務経験を有する、能力、誠実さおよび卓越性を有する者でなければならず、そのうちの少なくとも1名は法律分野の専門家でなければならない。 |
| (Salary, allowances payable to and term of office.) | (報酬、手当、任期) |
| 20. (1) The salary, allowances and other terms and conditions of service of the Chairperson and other Members shall be such as may be prescribed, and shall not be varied to their disadvantage after their appointment. | 20. (1) 委員長およびその他の委員の給与、手当およびその他の勤務条件は、規定されたとおりとし、任命後に不利益に変更してはならない。 |
| (2) The Chairperson and other Members shall hold office for a term of two years and shall be eligible for re-appointment. | (2) 委員長およびその他の委員の任期は2年とし、再任される資格を有する。 |
| (Disqualifications for appointment and continuation as Chairperson and Members of Board) | (委員長および委員の任命および継続の欠格事由) |
| 21. (1) A person shall be disqualified for being appointed and continued as the | 21. (1) 委員長または委員として任命され、継続される資格を失う。 |
| Chairperson or a Member, if she— | 以下の場合、その者は、委員長または委員として任命され、継続される資格を失う。 |
| (a) has been adjudged as an insolvent; | (a) 破産宣告を受けたことがある; |
| (b) has been convicted of an offence, which in the opinion of the Central | (b) 中央政府の見解において、道義的に問題のある犯罪で有罪判決を受けた。 |
| Government, involves moral turpitude; | (b) 中央政府の見解において、道義的に問題のある犯罪で有罪判決を受けた場合; |
| (c) has become physically or mentally incapable of acting as a Member; | (c) 身体的または精神的に会員として行動できなくなった; |
| (d) has acquired such financial or other interest, as is likely to affect prejudiciallyher functions as a Member; or | (d) 会員としての機能に不利な影響を及ぼす可能性のある、金銭的またはその他の利害を得た場合。 |
| (e) has so abused her position as to render her continuance in office prejudicialto the public interest. | (e) 公益を害するような地位の濫用があった場合。 |
| (2) The Chairperson or Member shall not be removed from her office by the Central Government unless she has been given an opportunity of being heard in the matter. | (2) 委員長または委員は、その問題について意見を聴く機会が与えられない限り、中央政府によって解任されない。 |
| (Resignation by Members and filling of vacancy) | (委員の辞任および欠員の補充) |
| 22. (1) The Chairperson or any other Member may give notice in writing to the Central Government of resigning from her office, and such resignation shall be effective from the date on which the Central Government permits her to relinquish office, or upon expiry of a period of three months from the date of receipt of such notice, or upon a duly appointed successor entering upon her office, or upon the expiry of the term of her office, whichever is earliest. | 22. (1) 委員長またはその他の委員は、中央政府に対して書面で辞任を通告することができ、かかる辞任は、中央政府が辞任を許可した日、またはかかる通告を受理した日から3か月の期間が満了したとき、もしくは正式に任命された後任者が就任したとき、または任期が満了したときのいずれか早い時点から効力を生じる。 |
| (2) A vacancy caused by the resignation or removal or death of the Chairperson orany other Member, or otherwise, shall be filled by fresh appointment in accordance with the provisions of this Act. | (2) 委員長または他の委員の辞任、解任、死亡またはその他の事由によって生じた欠員は、この法律の規定に従って新たに任命することによって埋めるものとする。 |
| (3) The Chairperson and any other Member shall not, for a period of one year from thedate on which they cease to hold such office, except with the previous approval of the Central Government, accept any employment, and shall also disclose to the Central Government any subsequent acceptance of employment with any Data Fiduciary against whom proceedings were initiated by or before such Chairperson or other Member. | (3) 委員長およびその他の委員は、中央政府の事前の承認がある場合を除き、その職を失った日から1年間、いかなる雇用も受け入れてはならず、また、当該委員長またはその他の委員によって、またはそれ以前に手続が開始されたデータ受託者に対するその後の雇用の受け入れについても、中央政府に開示しなければならない。 |
| (Proceedings of Board) | (委員会の議事) |
| 23. (1) The Board shall observe such procedure in regard to the holding of and transaction of business at its meetings, including by digital means, and authenticate its orders, directions and instruments in such manner as may be prescribed. | 23. (1) 委員会は、その会議の開催および議事の処理に関して、デジタル方式を含め、所定の手続 きを遵守し、所定の方法でその命令、指示および文書を認証するものとする。 |
| (2) No act or proceeding of the Board shall be invalid merely by reason of— | (2) 委員会のいかなる行為または手続きも、単に以下の理由によって無効となることはない。 |
| (a) any vacancy in or any defect in the constitution of the Board; | (a) 委員会の構成における欠員または欠陥; |
| (b) any defect in the appointment of a person acting as the Chairperson or other Member of the Board; or | (b) 委員会の委員長またはその他の委員として活動する者の任命における不備。 |
| (c) any irregularity in the procedure of the Board, which does not affect the merits of the case. | (c) 委員会の手続きに不備があり、それが事案の是非に影響しない場合。 |
| (3) When the Chairperson is unable to discharge her functions owing to absence, illness or any other cause, the senior-most Member shall discharge the functions of the Chairperson until the date on which the Chairperson resumes her duties. | (3) 委員長が欠席、病気またはその他の理由によりその職務を遂行できない場合は、最年長の委員が、委員長が職務を再開する日まで、委員長の職務を遂行するものとする。 |
| (Officers and employees of Board) | (委員会の役員および職員) |
| 24. The Board may, with previous approval of the Central Government, appoint such officers and employees as it may deem necessary for the efficient discharge of its functions under the provisions of this Act, on such terms and conditions of appointment and service as may be prescribed. | 24. 委員会は、中央政府の事前の承認を得て、この法律の規定に基づいてその機能を効率的に果たすために必要と考えられる役員および職員を、規定される任命条件および勤務条件で任命することができる。 |
| (Members and officers to be public servants.) | (委員および職員は公務員とする。) |
| 25. The Chairperson, Members, officers and employees of the Board shall be deemed, when acting or purporting to act in pursuance of provisions of this Act, to be public servants within the meaning of section 21 of the Indian Penal Code. (45 of 1860.) | 25. 委員会の委員長、委員、役員および職員は、この法律の規定に従って行動するとき、または行動しようとするときは、インド刑法第21条にいう公務員とみなされる。(45 of 1860.) |
| (Powers of Chairperson) | (委員長の権限) |
| 26. The Chairperson shall exercise the following powers, namely:— | 26. 委員長は以下の権限を行使する。 |
| (a) general superintendence and giving direction in respect of all administrative matters of the Board; | (a) 委員会のすべての運営事項を総括的に監督し、指示を与える; |
| (b) authorise any officer of the Board to scrutinise any intimation, complaint, reference or correspondence addressed to the Board; and | (b) 委員会のいかなる役員に対しても、委員会宛てのあらゆる通知、苦情、照会、通信 文書を精査する権限を与える。 |
| (c) authorise performance of any of the functions of the Board and conduct any of its proceedings, by an individual Member or groups of Members and to allocate proceedings among them. | (c) 個々の委員または委員グループによる、委員会の機能の遂行と手続きの実施を許可し、また、委員間で手続きを配分する。 |
| CHAPTER VI | 第6章 |
| POWERS, FUNCTIONS AND PROCEDURE TO BE FOLLOWED BY BOARD | 委員会が従うべき権限、機能および手続き |
| (Powers and functions of Board) | (委員会の権限および機能) |
| 27. (1) The Board shall exercise and perform the following powers and functions, namely:— | 27. (1) 委員会は、以下の権限および機能を行使し、実施するものとする。 |
| (a) on receipt of an intimation of personal data breach under sub-section (6) of section 8, to direct any urgent remedial or mitigation measures in the event of a personal data breach, and to inquire into such personal data breach and impose penalty as provided in this Act; | (a) 第8条(6)項に基づく個人データ漏えいの通知を受領した場合、個人データ漏えいが発生した場合、緊急の是正措置または低減措置を指示し、当該個人データ漏えいについて調査し、本法に定める罰則を課すこと; |
| (b) on a complaint made by a Data Principal in respect of a personal data breachor a breach in observance by a Data Fiduciary of its obligations in relation to her personal data or the exercise of her rights under the provisions of this Act, or on a reference made to it by the Central Government or a State Government, or in compliance of the directions of any court, to inquire into such breach and impose penalty as provided in this Act; | (b) 個人データ漏えい、またはデータ受託者による個人データに関する義務の遵守違反、もしくは本法の規定に基づく権利の行使に関してデータ主体からなされた苦情、または中央政府もしくは州政府からなされた照会、または裁判所の指示に基づき、当該違反を調査し、本法に規定される罰則を課すこと; |
| (c) on a complaint made by a Data Principal in respect of a breach in observance by a Consent Manager of its obligations in relation to her personal data, to inquire into such breach and impose penalty as provided in this Act; | (c) 同意管理者による個人データに関する義務の遵守違反に関してデータ主体から苦情があった場合、当該違反を調査し、本法に定める罰則を課すこと; |
| (d) on receipt of an intimation of breach of any condition of registration of a Consent Manager, to inquire into such breach and impose penalty as provided in this Act; and | (d) コンセントマネージャの登録条件違反の通知を受領した場合、当該違反を調査し、本法の定めに従って罰則を課すこと。 |
| (e) on a reference made by the Central Government in respect of the breach in observance of the provisions of sub-section (2) of section 37 by an intermediary, to inquire into such breach and impose penalty as provided in this Act. | (e) 仲介業者による第37条(2)項の規定の遵守違反に関して中央政府から照会を受けた場合、当該違反について調査し、本法に定める罰則を課すこと。 |
| (2) The Board may, for the effective discharge of its functions under the provisions of this Act, after giving the person concerned an opportunity of being heard and after recording reasons in writing, issue such directions as it may consider necessary to such person, who shall be bound to comply with the same. | (2) 委員会は、本法の規定に基づくその機能を効果的に果たすため、関係者に聴取の機会を与え、理由を文書で記録した後、当該者に必要と考える指示を出すことができる。 |
| (3) The Board may, on a representation made to it by a person affected by a direction issued under sub-section (1) or sub-section (2), or on a reference made by the Central Government, modify, suspend, withdraw or cancel such direction and, while doing so, impose such conditions as it may deem fit, subject to which the modification, suspension, withdrawal or cancellation shall have effect. | (3) 理事会は、第(1)項もしくは第(2)項に基づいて出された指示により影響を受ける者が理事会に対して行った申し立て、または中央政府による照会に基づき、当該指示を修正、一時停止、撤回、または取り消すことができ、その際、修正、一時停止、撤回、または取り消しが効力を有することを条件として、理事会が適切とみなす条件を課すことができる。 |
| (Procedure to be followed by Board. ) | (委員会が従うべき手続き) |
| 28. (1) The Board shall function as an independent body and shall, as far as practicable, function as a digital office, with the receipt of complaints and the allocation, hearing and pronouncement of decisions in respect of the same being digital by design, and adopt such techno-legal measures as may be prescribed. | 28. (1) 委員会は、独立団体として機能し、可能な限りデジタルオフィスとして機能するものとし、苦情の受付、およびそれに関する決定の配分、審理、宣告は、設計上デジタル化されたものとし、規定される技術法的措置を採用するものとする。 |
| (2) The Board may, on receipt of an intimation or complaint or reference or directions as referred to in sub-section (1) of section 27, take action in accordance with the provisions of this Act and the rules made thereunder. | (2) 委員会は、第27項(1)に規定する通告、苦情、照会、指示を受領した場合、本法およびこれに基づく規則の規定に従って措置を講じることができる。 |
| (3) The Board shall determine whether there are sufficient grounds to proceed with an inquiry. | (3) 委員会は、調査を進める十分な根拠があるか否かを判断するものとする。 |
| (4) In case the Board determines that there are insufficient grounds, it may, for reasons to be recorded in writing, close the proceedings. | (4) 委員会が十分な根拠がないと判断した場合、委員会は、書面で記録される理由によって、手続を終了することができる。 |
| (5) In case the Board determines that there are sufficient grounds to proceed with inquiry, it may, for reasons to be recorded in writing, inquire into the affairs of any person for ascertaining whether such person is complying with or has complied with the provisions of this Act. | (5) 委員会が調査を続行する十分な根拠があると判断した場合、委員会は、書面により記録される理由により、当該者が本法の規定を遵守しているか、または遵守していたかどうかを確認するために、当該者の事務を調査することができる。 |
| (6) The Board shall conduct such inquiry following the principles of natural justice and shall record reasons for its actions during the course of such inquiry. | (6) 委員会は、自然正義の原則に従って当該調査を実施し、当該調査の過程で行った措置の理由を記録するものとする。 |
| (7) For the purposes of discharging its functions under this Act, the Board shall have5 of 1908. the same powers as are vested in a civil court under the Code of Civil Procedure, 1908, in respect of matters relating to— | (7) 委員会は、本法に基づく職務を遂行するため、1908年民事訴訟法に基づき民事裁判所に与えられている以下の権限と同等の権限を有する。 |
| (a) summoning and enforcing the attendance of any person and examining heron oath; | (a) 人を召喚し、出席を強制し、宣誓を審査する; |
| (b) receiving evidence of affidavit requiring the discovery and production of documents; | (b) 文書の発見および提出を要求する宣誓供述書の証拠を受理する; |
| (c) inspecting any data, book, document, register, books of account or any other document; and | (c) データ、帳簿、文書、登記簿、会計帳簿またはその他の文書を検査すること。 |
| (d) such other matters as may be prescribed. | (d) その他規定される事項。 |
| (8) The Board or its officers shall not prevent access to any premises or take into custody any equipment or any item that may adversely affect the day-to-day functioning of a person. | (8) 委員会またはその役員は、施設への立ち入りを妨げたり、日常機能に悪影響を及ぼす可能性のある設備や物品を預かったりしてはならない。 |
| (9) The Board may require the services of any police officer or any officer of the Central Government or a State Government to assist it for the purposes of this section and it shall be the duty of every such officer to comply with such requisition. | (9) 委員会は、本節の目的のために、警察官または中央政府もしくは州政府の役員に、委員会を援助するよう要請することができ、かかる要請を遵守することは、当該役員の義務とする。 |
| (10) During the course of the inquiry, if the Board considers it necessary, it may for reasons to be recorded in writing, issue interim orders after giving the person concerned an opportunity of being heard. | (10) 調査の過程において、委員会が必要と認めた場合は、関係者に聴聞の機会を与えた後、書面で記録される理由により、暫定命令を発することができる。 |
| (11) On completion of the inquiry and after giving the person concerned an opportunity of being heard, the Board may for reasons to be recorded in writing, either close the proceedings or proceed in accordance with section 33. | (11) 調査が終了し、関係者に聴聞の機会を与えた後、委員会は、書面に記録すべき理由を付して、手続を終結するか、または第33条に従って手続を進めることができる。 |
| (12) At any stage after receipt of a complaint, if the Board is of the opinion that the complaint is false or frivolous, it may issue a warning or impose costs on the complainant. | (12) 委員会は、苦情を受理した後のいかなる段階においても、苦情が虚偽または軽薄であると判断した場合、警告を発するか、または苦情申立人に費用を課すことができる。 |
| CHAPTER VII | 第7章 |
| APPEAL AND ALTERNATE DISPUTE RESOLUTION | 不服申立ておよび代替紛争解決 |
| (Appeal to Appellate Tribunal.) | (審判所に対する不服申立て) |
| 29. (1) Any person aggrieved by an order or direction made by the Board under this Act may prefer an appeal before the Appellate Tribunal. | 29. (1) 本法に基づき委員会が下した命令または指示に不服がある者は、 審判所に対して不服を申し立てることができる。 |
| (2) Every appeal under sub-section (1) shall be filed within a period of sixty days from the date of receipt of the order or direction appealed against and it shall be in such form and manner and shall be accompanied by such fee as may be prescribed. | (2) 第(1)項に基づくすべての不服申立ては、不服申立てを受けた命令または指示を受理した日から60日以内に行わなければならない。 |
| (3) The Appellate Tribunal may entertain an appeal after the expiry of the period specified in sub-section (2), if it is satisfied that there was sufficient cause for not preferring the appeal within that period. | (3) 審判所は、 (2)に規定する期間の経過後であっても、 その期間内に不服申立てをしなかったことについて十分な理由があると認めるときは、 不服申立てを受理することができる。 |
| (4) On receipt of an appeal under sub-section (1), the Appellate Tribunal may, after giving the parties to the appeal, an opportunity of being heard, pass such orders thereon as it thinks fit, confirming, modifying or setting aside the order appealed against. | (4) 審判所は、 (1)項の規定による審判を受けたときは、 審判の当事者に聴聞の機会を与えた後、 適当と認める命令を下し、 審判された命令を確認し、 変更し、 または破棄することができる。 |
| (5) The Appellate Tribunal shall send a copy of every order made by it to the Board and to the parties to the appeal. | (5) 審判所は、 審判所が下したすべての命令の写しを、 委員会および審判の当事者に送付しなければならない。 |
| (6) The appeal filed before the Appellate Tribunal under sub-section (1) shall be dealt with by it as expeditiously as possible and endeavour shall be made by it to dispose of the appeal finally within six months from the date on which the appeal is presented to it. | (6) (1)項に基づき審判所に提出された不服申立ては、 審判所において可能な限り迅速に処理されるものとし、 審判所は、 不服申立てが審判所に提出された日から6ヶ月以内に、 最終的に不服申立てを処理するよう努めなければならない。 |
| (7) Where any appeal under sub-section (6) could not be disposed of within the period of six months, the Appellate Tribunal shall record its reasons in writing for not disposing of the appeal within that period. | (7) 第(6)項に基づく不服申立てが6ヶ月以内に処理できなかった場合、 審判所は、 その期間内に不服申立てを処理できなかった理由を書面で記録しなければならない。 |
| (8) Without prejudice to the provisions of section 14A and section 16 of the Telecom Regulatory Authority of India Act, 1997, the Appellate Tribunal shall deal with an appeal under this section in accordance with such procedure as may be prescribed. | (8) 1997年インド電気通信規制庁法第14条Aおよび第16条の規定を害することなく、上訴審判所は、本条に基づく上訴を、規定される手続に従って処理しなければならない。 |
| (9) Where an appeal is filed against the orders of the Appellate Tribunal under this Act, the provisions of section 18 of the Telecom Regulatory Authority of India Act, 1997 shall apply. (24 of 1997.) | (9) 本法に基づく審判所の命令に対して不服申立てがなされた場合には、1997 年インド電気通信規制庁法第 18 条の規定を適用する。(1997年第24号) |
| (10) In respect of appeals filed under the provisions of this Act, the Appellate Tribunal shall, as far as practicable, function as a digital office, with the receipt of appeal, hearing and pronouncement of decisions in respect of the same being digital by design. | (10) 本法に基づき提起された不服申立てに関し、上訴審判所は、実務上可能な限り、デジタルオフィスとして機能するものとし、これに関する不服申立ての受理、審理および決定の宣告は、設計上デジタル化されるものとする。 |
| (Orders passed by Appellate Tribunal to be executable as decree ) | (審判所の下した命令は、判決として執行することができる。) |
| 30. (1) An order passed by the Appellate Tribunal under this Act shall be executable by it as a decree of civil court, and for this purpose, the Appellate Tribunal shall have all the powers of a civil court. | 30. (1) 本法に基づき審判所が下した命令は、 民事裁判所の判決として執行することができる。 |
| (2) Notwithstanding anything contained in sub-section (1), the Appellate Tribunal may transmit any order made by it to a civil court having local jurisdiction and such civil court shall execute the order as if it were a decree made by that court. | (2) (1)項の規定にかかわらず、 審判所は、 その下した命令を、 地方裁判管轄を有する民事裁判所に伝達することができ、 当該民事裁判所は、 当該命令を、 当該裁判所が下した判決と同様に執行しなければならない。 |
| (Alternate dispute resolution.) | (代替的紛争解決) |
| 31. If the Board is of the opinion that any complaint may be resolved by mediation, it may direct the parties concerned to attempt resolution of the dispute through such mediation by such mediator as the parties may mutually agree upon, or as provided for under any law for the time being in force in India. | 31. 委員会は、苦情が調停によって解決される可能性があると判断した場合、当事者が相互に合意した調停者、またはインドで施行されている法律に規定されている調停者により、紛争の解決を試みるよう関係当事者に指示することができる。 |
| (Voluntary undertaking.) | (自発的合意) |
| 32. (1) The Board may accept a voluntary undertaking in respect of any matter related to observance of the provisions of this Act from any person at any stage of a proceeding under section 28. | 32. (1) 委員会は、第28条に基づく手続のいかなる段階においても、本法の規定の遵守に関連する事項に関して、いかなる者からも自発的な引き受けを受諾することができる。 |
| (2) The voluntary undertaking referred to in sub-section (1) may include an undertaking to take such action within such time as may be determined by the Board, or refrain from taking such action, and or publicising such undertaking. | (2) 第(1)項にいう自発的な引き受けには、委員会が定める期間内に当該措置を講じること、または当該措置を講じないこと、および当該措置を公表することを含むことができる。 |
| (3) The Board may, after accepting the voluntary undertaking and with the consent ofthe person who gave the voluntary undertaking vary the terms included in the voluntary undertaking. | (3) 委員会は、自発的な引き受けを受諾した後、自発的な引き受けを行った者の同意を得て、自発的な引き受けに含まれる条件を変更することができる。 |
| (4) The acceptance of the voluntary undertaking by the Board shall constitute a baron proceedings under the provisions of this Act as regards the contents of the voluntary undertaking, except in cases covered by sub-section (5). | (4) 委員会による自発的引き受けの受諾は、第(5)項に該当する場合を除き、自発的引き受けの内容に関して本法の規定に基づく手続を禁止するものとする。 |
| (5) Where a person fails to adhere to any term of the voluntary undertaking acceptedby the Board, such breach shall be deemed to be breach of the provisions of this Act and the Board may, after giving such person an opportunity of being heard, proceed in accordance with the provisions of section 33. | (5) 委員会が受理した任意事業の条件を遵守しない者がいる場合、当該違反は本法の規定違反とみなされ、委員会は、当該者に聴聞の機会を与えた後、第33条の規定に従って手続きを進めることができる。 |
| CHAPTER VIII | 第8章 罰則および裁定 |
| PENALTIES AND ADJUDICATION | 罰則および裁定 |
| (Penalties.) | 罰則 |
| 33. (1) If the Board determines on conclusion of an inquiry that breach of the provisions of this Act or the rules made thereunder by a person is significant, it may, after giving the person an opportunity of being heard, impose such monetary penalty specified in the Schedule. | 33. (1) 委員会は、調査の結果、ある者による本法またはその下で制定された規則の規定違反が重大であると判断した場合、その者に聴聞の機会を与えた後、別表に定める金銭的ペナルティを課すことができる。 |
| (2) While determining the amount of monetary penalty to be imposed under sub-section (1), the Board shall have regard to the following matters, namely:— | (2) 委員会は、第(1)項に基づき科すべき金銭処罰の額を決定する際、以下の事項を考慮するものとする。 |
| (a) the nature, gravity and duration of the breach; | (a) 違反の性質、重大性、および期間; |
| (b) the type and nature of the personal data affected by the breach; | (b) 違反により影響を受けた個人データの種類および性質; |
| (c) repetitive nature of the breach; | (c) 違反の反復性 |
| (d) whether the person, as a result of the breach, has realised a gain or avoided any loss; | (d) 違反の結果、本人が利益を得たか、または損失を回避したか; |
| (e) whether the person took any action to mitigate the effects and consequences of the breach, and the timeliness and effectiveness of such action; | (e) 違反の影響および結果を軽減するための措置を講じたかどうか、および当該措置の適時性および有効性; |
| (f) whether the monetary penalty to be imposed is proportionate and effective,having regard to the need to secure observance of and deter breach of the provis ions of this Act; and | (f) 課される金銭的罰則が、この法律の規定の遵守を確保し、違反を抑止する必要性を考慮し、比例的かつ効果的であるか否か。 |
| (g) the likely impact of the imposition of the monetary penalty on the person. | (g) 金銭的罰則の賦課がその者に及ぼすと思われる影響。 |
| (Crediting sums realised by way of penalties to Consolidated Fund of India.) | (罰金によって実現した金額をインド連結基金にクレジットすること)。 |
| 34. All sums realised by way of penalties imposed by the Board under this Act, shall be credited to the Consolidated Fund of India. | 34. 本法に基づき委員会が課した罰則により実現したすべての金額は、インド連結基金に計上されるものとする。 |
| CHAPTER IX | 第9章 雑則 |
| MISCELLANEOUS | 雑則 |
| (Protection of action taken in good faith) | (善意による行為の防御) |
| 35. No suit, prosecution or other legal proceedings shall lie against the Central Government, the Board, its Chairperson and any Member, officer or employee thereof for anything which is done or intended to be done in good faith under the provisions of this Act or the rules made thereunder. | 35. 本法または本法に基づく規則の規定に基づいて善意で行われ、または行われよ うと意図された行為については、中央政府、委員会、委員長、およびそのメンバー、役員、 職員に対して、訴訟、訴追、その他の法的手続きは成立しない。 |
| (Power to call for information) | (情報を求める権限) |
| 36. The Central Government may, for the purposes of this Act, require the Board and any Data Fiduciary or intermediary to furnish such information as it may call for. | 36. 中央政府は、本法の目的のため、委員会およびデータ受託者または仲介者に対し、要求する情報の提出を求めることができる。 |
| (Power of Central Government to issue directions.) | (中央政府の指示権限) |
| 37. (1) The Central Government or any of its officers specially authorised by it in this behalf may, upon receipt of a reference in writing from the Board that— | 37. (1) 中央政府または政府から特別に権限を与えられた役員は、委員会から書面による照会 を受けた場合、以下の事項を行うことができる。 |
| (a) intimates the imposition of monetary penalty by the Board on a Data Fiduciaryin two or more instances; and | (a) 委員会がデータ受託者に対して 2 例以上の金銭的ペナルティを課すことを通知する。 |
| (b) advises, in the interests of the general public, the blocking for access by thepublic to any information generated, transmitted, received, stored or hosted, in any computer resource that enables such Data Fiduciary to carry on any activity relating to offering of goods or services to Data Principals within the territory of India, | (b) 一般公衆の利益のために、データ受託者がインドの領域内でデータ主体への商品または サービスの提供に関する活動を行うことを可能にする、コンピュータリソースで 生成、送信、受信、保存またはホストされている情報への一般公衆のアクセスを遮断 することを勧告する、 |
| after giving an opportunity of being heard to that Data Fiduciary, on being satisfied that it is necessary or expedient so to do, in the interests of the general public, for reasons to be recorded in writing, by order, direct any agency of the Central Government or any intermediary to block for access by the public or cause to be blocked for access by the public any such information. | データ受託者に聴取の機会を与えた後、一般公衆の利益のために必要または好都合であると納得した場合、文書に記録される理由により、命令により、中央政府の機関または仲介業者に対し、公衆によるアクセスを遮断するよう、または公衆によるアクセスを遮断させるよう指示する。 |
| (2) Every intermediary who receives a direction issued under sub-section (1) shall be bound to comply with the same. | (2) 第(1)項に基づいて発令された指示を受けた仲介者は、これに従う義務を負う。 |
| (3) For the purposes of this section, the expressions “computer resource”, “information” and “intermediary” shall have the meanings respectively assigned to them in the Information Technology Act, 2000. (21 of 2000.) | (3) 本節において、「コンピュータ資源」、「情報」および「仲介者」という表現は、2000年情報技術法においてそれぞれ与えられた意味を有するものとする。(2000年第21号) |
| ( Consistency with other laws.) | (他の法律との整合性) |
| 38. (1) The provisions of this Act shall be in addition to and not in derogation of any other law for the time being in force. | 38. (1) この法律の規定は、当分の間、効力を有する他の法律に追加されるものであり、他の法律に抵触するものではない。 |
| (2) In the event of any conflict between a provision of this Act and a provision of any other law for the time being in force, the provision of this Act shall prevail to the extent of such conflict. | (2) この法律の規定と施行中の他の法律の規定とが抵触する場合は、抵触する範囲においてこの法律の規定が優先する。 |
| ( Bar of jurisdiction) | (管轄権) |
| 39. No civil court shall have the jurisdiction to entertain any suit or proceeding in respect of any matter for which the Board is empowered under the provisions of this Act and no injunction shall be granted by any court or other authority in respect of any action taken or to be taken in pursuance of any power under the provisions of this Act. | 39. いかなる民事裁判所も、この法律の規定に基づいて委員会が権限を与えられている事項に関して、いかなる訴訟または訴訟手続を受理する管轄権を有さず、また、この法律の規定に基づく権限に従って取られた、または取られるべき措置に関して、いかなる裁判所またはその他の当局も、差止命令を認めてはならない。 |
| ( Power to make rules.) | (規則を制定する権限) |
| 40. (1) The Central Government may, by notification, and subject to the condition of previous publication, make rules not inconsistent with the provisions of this Act, to carry out the purposes of this Act. | 40. (1) 中央政府は、本法の目的を遂行するため、通達により、かつ、事前の公表という条件に従い、本法の規定と矛盾しない規則を制定することができる。 |
| (2) In particular and without prejudice to the generality of the foregoing power, such rules may provide for all or any of the following matters, namely:— | (2) 特に、前述の権限の一般性を損なうことなく、当該規則は、以下の事項のすべてまたはいずれかについて定めることができる。 |
| (a) the manner in which the notice given by the Data Fiduciary to a Data Principalshall inform her, under sub-section (1) of section 5; | (a) 第5条(1)項に基づき、データ受託者がデータ主体に通知する方法; |
| (b) the manner in which the notice given by the Data Fiduciary to a Data Principal shall inform her, under sub-section (2) of section 5; | (b) 第 5 項第(2)節に基づき、データ受託者がデータ主体に対して行う通知の方法; |
| (c) the manner of accountability and the obligations of Consent Manager undersub-section (8) of section 6; | (c) 第6節(8)に基づく、説明責任の方法および同意管理者の義務; |
| (d) the manner of registration of Consent Manager and the conditions relatingthereto, under sub-section (9) of section 6; | (d) 第6条第9項に基づく、同意管理者の登録方法とその条件; |
| (e) the subsidy, benefit, service, certificate, licence or permit for the provision orissuance of which, personal data may be processed under clause (b) of section 7; | (e) 第7条(b)項に基づき、個人データを処理することができる補助金、便益、サービス、証明書、ライセンスまたは許可証; |
| (f) the form and manner of intimation of personal data breach to the Board undersub-section (6) of section 8; | (f) 第8節(6)に規定される、個人データ漏えいに関する委員会への通知の形式および方法; |
| (g) the time period for the specified purpose to be deemed as no longer being served, under sub-section (8) of section 8; | (g)第8条(8)項に基づき、特定の目的がもはや果たされていないとみなされるまでの期間; |
| (h) the manner of publishing the business contact information of a DataProtection Officer under sub-section (9) of section 8; | (h) 第8条(9)項に基づく、データ保護オフィサーの業務連絡先の公表方法; |
| (i) the manner of obtaining verifiable consent under sub-section (1) of section 9; | (i) 第9条(1)項に基づく検証可能な同意の取得方法; |
| (j) the classes of Data Fiduciaries, the purposes of processing of personal dataof a child and the conditions relating thereto, under sub-section (4) of section 9; | (j) 第9条(4)項に基づく、データ受託者のクラス、児童の個人データの処理目的、およびそれに関する条件; |
| (k) the other matters comprising the process of Data Protection ImpactAssessment under sub-clause (i) of clause (c) of sub-section (2) of section 10; | (k) 第10条第2項(c)号(i)に基づくデータ保護影響評価のプロセスを構成するその他の事項; |
| (l) the other measures that the Significant Data Fiduciary shall undertake undersub-clause (iii) of clause (c) of sub-section (2) of section 10; | (l) 第 10 項第(2)節第(c)項第(iii)号に基づき、重要なデータ受託者が実施するその他の措置; |
| (m) the manner in which a Data Principal shall make a request to the DataFiduciary to obtain information and any other information related to the personal data of such Data Principal and its processing, under sub-section (1) of section 11; | (m) 第11条(1)項に基づき、データ主体がデータ受託者に対して、当該データ主体の個人データおよびその処理に関連する情報およびその他の情報の入手を要求する方法; |
| (n) the manner in which a Data Principal shall make a request to the DataFiduciary for erasure of her personal data under sub-section (3) of section 12; | (n) データ主体がデータ受託者に対し、第 12 項第(3)節に基づき個人データの抹消を要求する方法; |
| (o) the period within which the Data Fiduciary shall respond to any grievancesunder sub-section (2) of section 13; | (o) データ受託者が第 13 項第(2)節の苦情に対応する期間; |
| (p) the manner of nomination of any other individual by the Data Principalunder sub-section (1) of section 14; | (p) 第14条(1)項に基づく、データ主体による他の個人の指名方法; |
| (q) the standards for processing the personal data for exemption under clause (b) of sub-section (2) of section 17; | (q) 第17条第(2)項第(b)号に基づき免除される個人データの処理基準; |
| (r) the manner of appointment of the Chairperson and other Members of theBoard under sub-section (2) of section 19; | (r) 第 19 項第(2)節に基づく、委員長およびその他の委員会メンバーの任命方法; |
| (s) the salary, allowances and other terms and conditions of services of theChairperson and other Members of the Board under sub-section (1) of section 20; | (s) 第 20 項第(1)節に基づく、委員長およびその他の委員の給与、手当、その他の勤務条件; |
| (t) the manner of authentication of orders, directions and instruments undersub-section (1) of section 23; | (t) 第23節(1)に基づく命令、指示、文書の本人認証の方法 |
| (u) the terms and conditions of appointment and service of officers andemployees of the Board under section 24; | (u) 第 24 項に基づく、委員会の役員および職員の任命条件および勤務条件; |
| (v) the techno-legal measures to be adopted by the Board under sub-section (1) of section 28; | (v) 第28条第1項に基づき、委員会が採用する技術的・法的措置 |
| (w) the other matters under clause (d) of sub-section (7) of section 28; | (w) 第 28 項第(7)節第(d)項に基づくその他の事項; |
| (x) the form, manner and fee for filing an appeal under sub-section (2) of section 29; | (x) 第 29 項第(2)節に基づく不服申立ての様式、方法および手数料; |
| (y) the procedure for dealing an appeal under sub-section (8) of section 29; | (y) 第29条第(8)項に基づく不服申立ての処理手続; |
| (z) any other matter which is to be or may be prescribed or in respect of whichprovision is to be, or may be, made by rules. | (z) その他、規則により規定され、または規定される可能性のある事項。 |
| (Laying of rules and certain notifications,) | (規則および通達の制定) |
| 41. Every rule made and every notification issued under section 16 and section 42 of this Act shall be laid, as soon as may be after it is made, before each House of Parliament, while it is in session, for a total period of thirty days which may be comprised in one session or in two or more successive sessions, and if before the expiry of the session immediately following the session or the successive sessions aforesaid, both Houses agree in making any modification in the rule or notification or both Houses agree that the rule or notification should not be made or issued, the rule or notification shall thereafter have effect only in such modified form or be of no effect, as the case may be; so, however, that any such modification or annulment shall be without prejudice to the validity of anything previously done under that rule or notification. | 41.第16条 この法律の第16条および第42条に基づき作成されたすべての規則およびすべての通達は、作成後できる限り速やかに、国会が会期中、各議院の前に、1会期または2会期以上の会期を通算して30日間置かれなければならない、 前記の会期または連続する会期の直後の会期が満了する前に、両院が規則または通達を修正することに同意した場合、または両院が規則または通達を作成または発布すべきでないことに同意した場合、規則または通達は、その後、その修正された形態でのみ効力を有するか、または場合により効力を有しない; ただし、そのような修正または無効化は、当該規則または通達に基づいて以前に行われたことの有効性を損なうものではないものとする。 |
| (Power to amend Schedule.) | (別表を修正する権限) |
| 42. (1) The Central Government may, by notification, amend the Schedule, subject to the restriction that no such notification shall have the effect of increasing any penalty specified therein to more than twice of what was specified in it when this Act was originally enacted. | 42. (1) 中央政府は、通達によって別表を修正することができるが、そのような通達は、そこに規定された刑罰を、この法律が最初に制定されたときに規定された刑罰の2倍以上に増加させる効果を有するものであってはならない。 |
| (2) Any amendment notified under sub-section (1) shall have effect as if enacted in this Act and shall come into force on the date of the notification. | (2) 第(1)項に基づき通達された改正は、本法において制定されたものと同様の効力を有し、通達の日に発効する。 |
| (Power to remove difficulties. ) | (困難を除去する権限) |
| 43. (1) If any difficulty arises in giving effect to the provisions of this Act, the Central Government may, by order published in the Official Gazette, make such provisions not remove inconsistent with the provisions of this Act as may appear to it to be necessary or expedient for removing the difficulty. | 43. (1) この法律の規定を実施することに困難が生じた場合、中央政府は、官報に掲載される命令により、この法律の規定と矛盾しない規定であって、その困難を除去するために必要または好都合と思われる規定を設けることができる。 |
| (2) No order as referred to in sub-section (1) shall be made after the expiry of three years from the date of commencement of this Act. | (2) 第(1)項にいう命令は、この法律の開始の日から3年を経過した後は行ってはならない。 |
| (3) Every order made under this section shall be laid, as soon as may be after it ismade, before each House of Parliament. | (3) 本条に基づき作成された命令は、作成後できる限り速やかに、国会の各議院に提出されなければならない。 |
| (Amendments to certain Acts. ) | (特定の法律の改正) |
| 44. (1) In section 14 of the Telecom Regulatory Authority of India Act, 1997, in clause (c), for sub-clauses (i) and (ii), the following sub-clauses shall be substituted, namely:— (24 of 1997.) | 44. (1) 1997 年インド電気通信規制局法第 14 条第(c)項において、第(i)号および第(ii)号を次のように改める。(1997年第24号) |
| “(i) the Appellate Tribunal under the Information Technology Act, 2000; (21 of 2000.) | 「(i)2000年情報技術法(2000年第21号)に基づく審判所 |
| (ii) the Appellate Tribunal under the Airports Economic Regulatory Authority of India Act, 2008 (27 of 2008) ; and | (ii)2008 年インド空港経済規制庁法(Airports Economic Regulatory Authority of India Act, 2008; 27 of 2008)に基づく審判所。 |
| (iii) the Appellate Tribunal under the Digital Personal Data ProtectionAct, 2023.”. | (iii) デジタル個人データ保護法(Digital Personal Data Protection Act, 2023)に基づく審判所。 |
| (2) The Information Technology Act, 2000 (21 of 2000) shall be amended in the following manner,namely:— | (2) 2000年情報技術法(Information Technology Act, 2000, 21 of 2000)を以下のように改正する。 |
| (a) section 43A shall be omitted; | (a) 第43条Aを省略する; |
| (b) in section 81, in the proviso, after the words and figures “the PatentsAct, 1970” (39 of 1970) , the words and figures “or the Digital Personal Data Protection Act, 2023” shall be inserted; and | (b) 第81条ただし書の「1970年特許法」(1970年第39号)の後に、「または2023年デジタル個人データ保護法」(Digital Personal Data Protection Act, 2023)を挿入する。 |
| (c) in section 87, in sub-section (2), clause (ob) shall be omitted. | (c) 第87条、第(2)節の(ob)を省略する。 |
| (3) In section 8 of the Right to Information Act, 2005 (22 of 2005), in sub-section (1), for clause (j), the following clause shall be substituted, namely:— | (3) 2005年情報公開法第8条(2005年第22号)の第1節(j)を次のように改める。 |
| “(j) information which relates to personal information;”. | 「(j)個人情報に関連する情報。 |
別表...
| No. Breach of provisions of this Act or rules made thereunder Penalty | 番号 本法律またはそれに基づく規則の規定違反 罰則 |
| (1) (2) (3) | (1) (2) (3) |
| 1. Breach in observing the obligation of Data Fiduciary to take reasonable security safeguards to prevent personal data breach under sub-section (5) of section 8. May extend to two hundred and fifty crore rupees. | 1. 第8条(5)項に基づく、個人データ漏えいを防止するための合理的なセキュリティ保護措置を講じるデータ受託者の義務の遵守に違反した場合。25億ルピーを上限とする。 |
| 2. Breach in observing the obligation to give the Board or affected Data Principal notice of a personal data breach under sub-section (6) of section 8. May extend to two hundred crore rupees. | 2. 第 8 項第(6)節に基づく、理事会または影響を受けるデータ主体に対する個人データ漏えいの通知 義務の不履行。20億ルピーを上限とする。 |
| 3. Breach in observance of additional obligations in relation to children under section 9. May extend to two hundred crore rupees. | 3. 第 9 項に基づく、児童に関する追加義務の遵守違反。20億ルピーを上限とする。 |
| 4. Breach in observance of additional obligations of Significant Data Fiduciary under section 10. May extend to two hundred crore rupees. | 4. 第 10 項に基づく重要なデータ受託者の追加義務の遵守違反。20億ルピーを上限とする。 |
| 5. Breach in observance of the duties under section 15. May extend to ten thousand rupees. | 5. 第 15 項に基づく義務の不履行。10万ルピーを上限とする。 |
| 6. Breach of any term of voluntary undertaking accepted by the Board under section 32. Up to the extent applicable for the breach in respect of which the proceedings under section 28 were instituted. | 6. 第 32 項に基づき取締役会が受諾した任意契約の条件違反。第 28 項に基づく手続が開始された違反に適用される範囲までとする。 |
| 7. Breach of any other provision of this Act or the rules made thereunder. May extend to fifty crore rupees. | 7. 本法または本法に基づく規則のその他の規定に違反した場合。5億ルピーを上限とする。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.08.04 インド デジタル個人データ保護法案(2023年)
・2023.01.06 インド デジタル個人情報保護法案 (2022.11.22)
・2022.08.07 インド 個人情報保護法の制定は振り出しに戻る?
・2021.11.24 インド 個人データ保護法が成立しますかね。。。
« 個人情報保護委員会 生成AIサービスの利用に関する注意喚起 -個人情報がAIの学習データとして利用されていませんか?- | Main | NIST SP 1800-35(第3次初期ドラフト) ゼロトラストアーキテクチャの実装 Vol.D 機能デモ »
Comments