भाग 12.6: Cross-border Data Transfer | CCL मॉड्यूल 12

12.6.1 Cross-border Transfer Framework

DPDPA 2023 ने Cross-border Data Transfer के लिए एक Flexible Framework अपनाया है - Default Permission with Negative List Approach।

धारा 16 - Transfer Outside India

Default Position: Transfer Generally Permitted
Negative List: कुछ Countries में Transfer Restricted
Government Notification: Restricted Countries की List Notify की जाएगी

GDPR से अंतर

GDPR में Adequacy Decision की जरूरत होती है (Positive List)। DPDPA में Default Permission है, केवल कुछ Countries Restricted (Negative List)। यह Business-friendly Approach है।

12.6.2 Restricted Countries

Restriction का आधार

Data Protection: उस देश में पर्याप्त Data Protection नहीं
National Security: राष्ट्रीय सुरक्षा के लिए खतरा
Sovereignty: भारत की संप्रभुता पर प्रभाव
Strategic Interests: भारत के रणनीतिक हित

Notification Process

Central Government Official Gazette में Notification द्वारा किसी Country को Restricted List में डाल सकती है।

अभी तक

अभी तक (January 2025) कोई Country Officially Restricted नहीं है। जब Rules बनेंगे और Notifications आएंगे, तब यह List स्पष्ट होगी।

संभावित Restricted Countries

Geopolitically Sensitive Nations
Countries with No Data Protection Laws
Countries Not Recognizing Indian Legal Orders

12.6.3 Sectoral Localization Requirements

DPDPA के अतिरिक्त, कुछ Sectors में Data Localization की विशेष आवश्यकताएं हैं।

Sector	Regulation	Requirement
Payment Data	RBI Circular 2018	Complete Local Storage
Telecom Data	License Conditions	Local Storage Required
Insurance	IRDAI Guidelines	Local Processing Preferred
Healthcare	Various Rules	Sensitive Data Localization
Government Data	MeitY Guidelines	Government Cloud में Store

RBI Payment Data Localization

2018 Circular: सभी Payment System Data भारत में Store होना चाहिए
End-to-end: पूरा Transaction Data India में
Foreign Leg: Cross-border Transactions के लिए Copy विदेश भेज सकते हैं
Master Data: Card Number, Customer Info भारत में रहेगा

12.6.4 Transfer Mechanisms

Permitted Transfer के तरीके

Consent: Data Principal की Consent से
Contract: Contractual Obligations पूरा करने के लिए
Legal Obligation: कानूनी आवश्यकता
Legitimate Purpose: वैध कारोबारी उद्देश्य

Standard Contractual Clauses (SCCs)

भविष्य में Rules में SCCs का प्रावधान हो सकता है:

Model Clauses: Government द्वारा Approved Clauses
Binding Commitments: Data Protection की Contractual Guarantee
Enforcement: Indian Courts में Enforceable

Practical Approach

जब तक Specific Rules नहीं आते: (1) Restricted List नहीं है तो Transfer Permitted, (2) Sectoral Rules का पालन करें, (3) Consent और Notice में Cross-border Transfer की सूचना दें।

12.6.5 Data Processor को Transfer

Foreign Processor Selection

Due Diligence: Processor की Security और Privacy Practices जांचें
Written Contract: Data Processing Agreement अनिवार्य
Location Disclosure: Notice में Processor Location बताएं
Fiduciary Responsibility: Data Fiduciary जिम्मेदार रहता है

Contract में शामिल करें

Processing का Purpose और Scope
Security Measures
Sub-processor Restrictions
Audit Rights
Breach Notification
Data Return/Deletion

12.6.6 Cross-border Transfer Checklist

Step	Action	Verification
1	Destination Country Check	Restricted List में नहीं है?
2	Sectoral Rules Check	RBI, IRDAI etc. Compliance?
3	Notice Update	Transfer की सूचना दी?
4	Consent	Cross-border Transfer के लिए Consent?
5	Contract	DPA/SCC in Place?
6	Security	Transfer Secure है?

मुख्य बिंदु (Key Takeaways)

Default Permission: DPDPA में Cross-border Transfer Generally Permitted
Negative List: कुछ Countries Restricted होंगे (अभी List नहीं)
Sectoral Rules: RBI, IRDAI आदि के Localization Rules अलग से लागू
Notice Required: Data Principal को Transfer की सूचना देनी होगी
Processor Contract: Foreign Processor के साथ Written Agreement अनिवार्य
Fiduciary Liable: Transfer के बाद भी Data Fiduciary जिम्मेदार