Hindistan: Hindistan’ın yeni veri koruma faturasında ne var?

Veri güvenlik açığını azaltan ve kullanıcı gizliliğinin erozyonunu önleyen önlemlerin uygulanması çağrıları dünya çapında yankılanıyor.

Kişisel Veri Gizliliği – Hindistan’ın Avrupa’nın GDPR’si ve ABD’nin CCPA’sı gibi düzenlemelere ihtiyacı var mı?

Hepimiz “verilerin dijital çağda fiyat sonrası emtia olduğunu” kabul ederken, onu korumak ve veri gizliliğinin son derece kritik hale gelmesini sağlamak. Hindistan’ın 900 milyondan fazla internet kullanıcısı ile dünyanın en büyük ikinci çevrimiçi ekosistemi olduğu iyi bilinen bir gerçektir. Artan internet penetrasyonu ile bu sayı önümüzdeki 5 yıl içinde keskin bir şekilde artmak zorundadır. Hindistan’ın küresel olarak bildirilen en büyük ikinci veri ihlali ile uğraştığı bildiriliyor. Şu anda, kullanıcıları veri toplama ve gizlilik konusunda eğitmek ve ayrıca bireyleri kişisel verilerinin kötüye kullanmalarından koruyan yasalar oluşturmak çok önemlidir.

Dijital kaydırma ve buluta taşınan hizmetler ile, sadece göz attığımız web siteleri veya insanların cep telefonlarında kullandıkları uygulamalar aracılığıyla değil, aynı zamanda güvenlik/gözetim kameraları, dijital kapı zilleri, sıcaklık kontrol termostatları, akıllı ev otomasyonu, dijital yardımcıların birkaç adını vermek için çok sayıda son derece hassas kişisel veri değiş tokuş edilmektedir. Veri toplamanın birincil kullanım durumu, sunulan hizmetleri geliştirmek ve kişiselleştirmektir, ancak bireyin gizliliğini, güvenliğini ve güvenini istila etmek yanlış kullanılabilir. Bu verilerin analizi, bir süre boyunca toplandığında, bireylerin tanımlanmasına, bir kişinin inançları, tercihleri, din veya sağlık hakkında bilgi çıkarmasına yol açabilir. Sonunda etkilemek, kişisel güvenliğe tehditlere neden olmak, hedeflenen reklamcılık, sahtekarlık ve hacklemek için kullanılabilirler. Örneğin, mağazaları/yerleri belirlemek için bir bireyin konum verilerini analiz etmek ve hangi frekansın ilgi alanlarının, sosyal davranışların ve ayrıca sosyo-ekonomik durumun tanımlanmasına yol açabilecek.

Kuruluşlar için bir veri güvenliği olayı, yasal ve iş çıkartmalarına ve ayrıca kullanıcı güveninin eksikliğine yol açabilir. Facebook-Cambridge Analytica Fiasco, rezil veri ihlallerinden biridir, 2018’de yaklaşık 87 milyon Facebook kullanıcısı için veriler rızası ve anlayışı olmadan kullanıldı. Facebook’tan uygunsuz bir şekilde elde edilen veriler, seçmen profilleri oluşturmak için kullanıldı ve siyasi reklamcılık için kullanıldı (rıza olmadan). Bu Facebook’un karşılaştığı en büyük veri sızıntısıydı. Bu, veri gizliliği sorunları, gizlilik kavramının nasıl değiştiğini ve teknolojik ilerlemelere alışık olduğu konusunda müşteri kaygısının nasıl değiştiğini ve ancak gizlilik erozyonunun kapsamının ve hizmet kalitesindeki ödünleşmelerin gizlilikle ilgili çıkışlara karşı tam olarak farkında olmadığı konusunda farkındalık yarattı. Şirketler tarafından maruz kalan gizlilik ayarları vardır; Bununla birlikte, kolayca anlaşılamazlar ve belirli türde veri erişiminin devre dışı bırakılmasına yönelik kullanıcı deneyimi üzerindeki etkisi hakkında da net değildir. Hükümetler için bir gizlilik ihlali, gizli ulusal bilgileri sızdırma riskine yol açabilir.

Teknoloji ve veri ile ilgili yasalardaki değişiklikler küresel bir zorluktur. 2018’de yürürlüğe giren Avrupa’nın Genel Veri Gizlilik Düzenlemesi (GDPR), Avrupa Birliği (AB) ile gizlilik düzenlemelerini tanımlar ve birleştirir. GDPR sadece bireylere gizlilik kontrolleri vermekle kalmaz, aynı zamanda verilerini tutan kuruluşlar için yükümlülükler de verir. Çin, 2021’de Kişisel Bilgi Koruma Kanunu (PIPL) ile veri gizlilik düzenlemelerini duyurdu. Bu yasalar ayrıca, vatandaşlarının verilerini yönetmek ve kullanmak için Çin/AB dışına dayanan şirketler için veri gizlilik gereksinimlerini de özetlemektedir. ABD’nin tek bir gizlilik yasası değil, 2018’de tanıtılan Kaliforniya Tüketici Gizlilik Yasası (CCPA) gibi devlet veya sektöre özgü yasaların bir kombinasyonu, ardından 2020’de Kaliforniya Gizlilik Hakları Yasası (CPRA) ve Sağlık Bilgileri Gizlilik ve Taşınabilirlik Yasası (HIPAA).

Bununla birlikte, vatandaşların gizliliğini korumayı amaçlayan gizlilik yasaları ve düzenlemeleri olan dünyanın geri kalanından farklı olarak, Hindistan’ın vatandaşlarını korumak için hala bir gizlilik yasası yok. Ağustos 2017’de Hindistan Yüksek Mahkemesi, Hindistan Anayasası tarafından korunan Hindistan vatandaşları için temel bir hak olarak gizlilik hakkını ilan etti. Gizlilik hakkının ardından Hindistan, 2019’da Veri Gizlilik Faturasını tanıttı; Ancak, 2022’de geri çekildi ve şimdiye kadar yeni bir mevzuat önerilmedi. Hindistan’ın çabalarını artırması ve veri gizliliği etrafındaki küresel vizyonla uyumlu veri gizliliği yasalarına sahip olması gerekiyor. Düzenlemeler, vatandaşların yükünü üstlenir ve kuruluşların kendilerine uymaları için net bir vizyon oluşturur.

Hindistan: Hindistan’ın yeni veri koruma faturasında ne var?

Hindistan hükümeti, dijital kişisel veri koruma faturasının yeni ve basitleştirilmiş bir taslağını yayınladı. Ne diyor?

18 Kasım 2022’de Hindistan Hükümeti, Hindistan’ın önerilen gizlilik yasasının uzun zamandır beklenen dördüncü taslağını yayınladı, şimdi Dijital Kişisel Veri Koruma Yasası (‘Bill’) olarak yeniden adlandırıldı. Hükümet, taslak fatura hakkında geri bildirim istedi 17 Aralık 2022.

Hindistan: Hindistan’ın yeni veri koruma faturasında ne var

Veri güvenlik açığını azaltan ve kullanıcı gizliliğinin erozyonunu önleyen önlemlerin uygulanması çağrıları dünya çapında yankılanıyor.

Kişisel Veri Gizliliği – Hindistan’ın Avrupa gibi düzenlemelere ihtiyacı var mı?’S GDPR ve ABD’S CCPA

Dr. Preeti Goel 15 yılı aşkın profesyonel deneyime sahiptir ve Microsoft, Google, Adobe ve Amazon gibi dünyanın en iyi teknoloji şirketlerine katkıda bulunmuştur. Preeti Goel’in bilgisayar bilimi lisans derecesi, IIT-Kanpur’dan yüksek lisans derecesi ve bir.D. Melbourne, Avustralya Üniversitesi’nden. AZ . DAHA

Veri güvenlik açığını azaltan ve kullanıcı gizliliğinin erozyonunu önleyen önlemlerin uygulanması çağrıları dünya çapında yankılanıyor.

Hepimiz bunu kabul ederken “Veriler, dijital çağda onaylanmış emtia’dır”, onu korumak ve veri gizliliğini sağlamak son derece kritik hale gelir. Hindistan’ın 900 milyondan fazla internet kullanıcısı ile dünyanın en büyük ikinci çevrimiçi ekosistemi olduğu iyi bilinen bir gerçektir. Artan internet penetrasyonu ile bu sayı önümüzdeki 5 yıl içinde keskin bir şekilde artmak zorundadır. Hindistan’ın küresel olarak bildirilen en büyük ikinci veri ihlali ile uğraştığı bildiriliyor. Şu anda, kullanıcıları veri toplama ve gizlilik konusunda eğitmek ve aynı zamanda bireyleri kişisel verilerinin kötüye kullanmalarından koruyan yasalar oluşturmak çok önemlidir.

Dijital kaydırma ve buluta taşınan hizmetlerle, sadece göz attığımız web siteleri veya insanların cep telefonlarında kullandıkları uygulamalar aracılığıyla değil, aynı zamanda güvenlik/gözetim kameraları, dijital kapı zilleri, sıcaklık kontrol termostatları, akıllı ev otomasyonu, dijital yardımcıların birkaç adını verdiği uygulamalar aracılığıyla çok sayıda son derece hassas kişisel veri var. Veri toplama’Birincil kullanım durumu, sunulan hizmetleri geliştirmek ve kişiselleştirmektir, ancak bir bireyden kaçmak yanlış kullanılabilir’S gizlilik, güvenlik ve güven. Bu verilerin analizi, bir süre boyunca toplandığında, bireylerin tanımlanmasına yol açabilir ve bir kişi hakkında bilgi çıkarabilir’İnançlar, tercihler, din veya sağlık. Sonunda etkilemek, kişisel güvenliğe tehditlere, hedeflenen reklamcılık, sahtekarlık ve hacklemeye neden olmak için kullanılabilirler. Örneğin, bir bireyi analiz etmek’S Yer verileri Mağazaları/yerleri belirlemek için bireysel ziyaretler ve hangi frekansla ilgi alanlarının, sosyal davranışların ve ayrıca sosyo-ekonomik durumun tanımlanmasına yol açabilir.

Kuruluşlar için bir veri güvenliği olayı, yasal ve iş çıkartmalarına ve ayrıca kullanıcı güveninin eksikliğine yol açabilir. Facebook-Cambridge Analytica Fiasco, rezil veri ihlallerinden biridir, 2018’de yaklaşık 87 milyon Facebook kullanıcısı için veriler rızası ve anlayışı olmadan kullanıldı. Facebook’tan uygunsuz bir şekilde elde edilen veriler, seçmen profilleri oluşturmak için kullanıldı ve siyasi reklamcılık için kullanıldı (rıza olmadan). Bu Facebook’un karşılaştığı en büyük veri sızıntısıydı. Bu, veri gizliliği sorunları, gizlilik kavramının nasıl değiştiğini ve teknolojik ilerlemelere alışık olduğu konusunda müşteri kaygısı hakkında farkındalık yarattı, ancak gizlilik erozyonunun derecesinin ve hizmet kalitesindeki değişimlerin gizlilikle ilgili devreye aldırışlarının tam olarak farkında değil. Şirketler tarafından maruz kalan gizlilik ayarları vardır, ancak kolayca anlaşılamazlar ve kullanıcı deneyimi üzerindeki belirli türde veri erişimini devre dışı bırakma üzerindeki etkisi hakkında da net değildir. Hükümetler için bir gizlilik ihlali, gizli ulusal bilgileri sızdırma riskine yol açabilir.

Teknoloji ve veri ile ilgili yasalardaki değişiklikler küresel bir zorluktur. Avrupa’2018 yılında yürürlüğe giren Genel Veri Gizlilik Düzenlemesi (GDPR), Avrupa Birliği (AB) ile gizlilik düzenlemelerini tanımlar ve birleştirir. GDPR sadece bireylere gizlilik kontrolleri vermekle kalmaz, aynı zamanda verilerini tutan kuruluşlar için yükümlülükler de verir. Çin, 2021’de Kişisel Bilgi Koruma Kanunu (PIPL) ile veri gizlilik düzenlemelerini duyurdu. Bu yasalar ayrıca, vatandaşlarının verilerini yönetmek ve kullanmak için Çin/AB dışına dayanan şirketler için veri gizlilik gereksinimlerini de özetlemektedir. ABD’nin tek bir gizlilik yasası değil, 2018’de tanıtılan Kaliforniya Tüketici Gizlilik Yasası (CCPA) gibi devlet veya sektöre özgü yasaların bir kombinasyonu, ardından 2020’de Kaliforniya Gizlilik Hakları Yasası (CPRA) ve Sağlık Bilgileri Gizlilik ve Taşınabilirlik Yasası (HIPAA).

Bununla birlikte, vatandaşların gizliliğini korumayı amaçlayan gizlilik yasaları ve düzenlemeleri olan dünyanın geri kalanından farklı olarak, Hindistan’ın vatandaşlarını korumak için hala bir gizlilik yasası yok. Ağustos 2017’de Hindistan Yüksek Mahkemesi, Hindistan Anayasası tarafından korunan Hindistan vatandaşları için temel bir hak olarak gizlilik hakkını ilan etti. Gizlilik hakkını takiben Hindistan, 2019’da veri gizlilik faturasını tanıttı, ancak 2022’de geri çekildi ve şimdiye kadar yeni bir mevzuat önerilmedi. Hindistan’ın çabalarını artırması ve veri gizliliği etrafındaki küresel vizyonla uyumlu veri gizliliği yasalarına sahip olması gerekiyor. Düzenlemeler, vatandaşların yükünü üstlenir ve kuruluşların kendilerine uymaları için net bir vizyon oluşturur.

Hindistan: Hindistan’ın yeni veri koruma faturasında ne var?

Hindistan hükümeti, dijital kişisel veri koruma faturasının yeni ve basitleştirilmiş bir taslağını yayınladı. Ne diyor?

18 Kasım 2022’de Hindistan Hükümeti, şimdi Dijital Kişisel Veri Koruma Yasası (‘Bill’) olarak yeniden adlandırılan Hindistan’ın önerilen gizlilik yasasının uzun zamandır beklenen dördüncü taslağını yayınladı. Hükümet, taslak fatura hakkında geri bildirim istedi 17 Aralık 2022.

İlk bakışta fatura oldukça sürpriz. Tamamen yeni bir taslaktır ve önceki sürümlerin yeniden yazılması değildir ve çok daha kısa ve daha basittir. Bugün oldukça yaygın olan GDPR gizlilik yasaları modelinden büyük ölçüde ayrılıyor.

Uygulanabilirlik

Yasa sadece çevrimiçi olarak toplanan veya çevrimdışı olarak toplanan, ancak sayısallaştırılan kişisel veriler için geçerlidir. Bu işlem, Hindistan’daki müdürlerin profillenmesi veya Hindistan’da mal veya hizmet sunma faaliyeti ile bağlantılıysa, yasa Hindistan dışındaki kişisel verilerin işlenmesi için geçerli olacaktır. Yasa ayrıca, Hindistan’da Hindistan dışında bireylerin sınır ötesi sözleşmeye bağlı bir düzenleme altında verilerin işlenmesini muaf tutuyor: Bu, esasen deniz/dış kaynak endüstrisini kapsamaktadır.

Tanımlar

Tasarı, önceki sürümlerle benzer terminolojiyi kullanıyor. Bir veri konusu ‘olarak adlandırılır’veri müdürü ‘ ve bir veri denetleyicisi olarak adlandırılır ‘veri güvene dayalı ‘. Hassas kişisel verilerin kavramı veya tanımı yok. DPA, Hindistan Veri Koruma Kurulu (‘DPBI’) olarak adlandırılır.

Toplama ve işleme gerekçeleri

Onay, kişisel verilerin işlenmesi için ana zemin olmaya devam ediyor. ‘Özgür’, ‘spesifik’, ‘bilgilendirilmiş’ ve ‘açık bir olumlu eylem’ yoluyla ‘açık bir rıza göstergesi’ olmalıdır.

Açık görünüyor ki açık onay Gerekli olurdu. Sonuçları veri konusu tarafından karşılanacak olan rıza da geri çekilebilir. Taslak faturada ayrıca, yasalara ve mahkeme kararlarına uyum, salgın veya yasa ve düzen durumları ile ilgili eylemler gibi kişisel verilerin işlenmesi için belirgin gerekçeler de içermektedir.

Meşru ilgi kavramı farklı şekillerde yakalanmış gibi görünüyor. Rızanın verildiği kabul edilen birkaç durumdan bahsedilir. Bunlar, sahtekarlığı önlemek veya tespit etmek, ağ ve bilgi güvenliği, kredi puanlama, halka açık kişisel verilerin işlenmesi ve borcun geri kazanılması da dahil olmak üzere kişisel verilerin ‘kamu yararına’ işlenmesini içerir.

İşlemin ‘kamu yararına’ olması gerektiği göz önüne alındığında, özel işletmelerin bu gerekçeleri kullanıp kullanamayacağı belirsiz görünüyor. Ayrıca ‘adil ve makul amaç’ temeli de vardır, ancak bu durumda hükümet adil ve makul bir amacın ne olduğunu bildirmek zorundadır. Bunu yaparken, hükümet veri güveninin meşru çıkarlarını dikkate alabilir.

Anahtar bir zemin, kişisel verilerin işlenmesinin ‘gerekli’ olduğu ve kişisel verilerin gönüllü olarak sağlandığı yer ve ‘veri konunun bu tür kişisel verileri sağlaması makul bir şekilde beklenmektedir’. İşlemin ‘gerekli’ olduğunu ve kişisel verilerin ‘gönüllü olarak’ sağlandığını ve veri müdürünün bu tür verileri sağlaması beklenir.

Muhtemelen bu hüküm daha iyi hazırlanmış olabilir, bunun meşru bir faiz türü olduğu varsayılarak. Onay rotasından aşağı inmek istemeyen işletmeler için yeni tüzüğün en önemli hükmü haline gelmesi muhtemeldir.

İş

İstihdamla ilgili kişisel verilerin işlenmesinin önlenmesini, ticari sırların ve IP’nin gizliliğinin korunmasını, işe alım, istihdamın sona erdirilmesi, bir çalışanın sağlanması, bir çalışanın sağlanması ve performansın değerlendirilmesini kapsayan ayrı bir zemin vardır. Kişisel veriler, işlem ‘gerekli’ olduğu sürece bu gerekçelerle toplanabilir.

Fark etme

Faturanın önceki sürümleri, veri müdürlerine bildirimin bir parçası olarak kapsamlı bilgilerin sağlanmasını sağladı. Bu aşırıdı. Bu sürüm yalnızca iki şeyi kapsar: işlenecek kişisel veri türleri ve işleme amaçları. Bu bilgiler ayrıntılı bir şekilde sağlanmalıdır.

Çocuklar

Taslak fatura 18 yılda çocukların eşiğini koruyor. Küresel standartlar 16 yıla daha yakın olma eğiliminde olduğundan, bu çevrimiçi dünya için bir hayal kırıklığı olarak görülecektir.

Çocukların kişisel verilerinin toplanması için doğrulanabilir ebeveyn izni gereklidir. Tasarı ayrıca çocukların profilini veya davranışsal izlemeyi veya çocuklara hedeflenen reklamları yasaklıyor. Ancak, hükümetin bu gereksinimleri bildirim yoluyla muaf tutma yetkisine sahiptir.

Veri müdürlerinin hakları ve görevleri

Veri müdürlerinin (veri denekleri) çeşitli hakları vardır. Hangi kişisel verilerin işlendiğini ve yanlış kişisel verilerin düzeltilmesi hakkını öğrenme hakkını içerir. Bir veri müdürü, depolamasının artık toplandığı amaca hizmet etmemesi gerekçesiyle kişisel verilerin silinmesini isteyebilir.

İlginç bir şekilde, yasa tasarısı veri müdürlerinin görevlerini içerir; Esasen, yanlış bilgi vermemek ve anlamsız veya yanlış şikayetleri sağlamak için bir görev için

Kişisel Verilerin Depolanması

Taslak yasa, korunan kişisel verilerin doğru olmasını ve yasalara uymak için uygun organizasyonel ve teknik önlemleri kullanmasını sağlamak için veri güvene dayalı (veri denetleyicisi) gerektirir. Veri inançları, veri ihlallerini önlemek için makul güvenlik önlemlerini de kullanmalıdır. Bir veri güven, kişisel verileri yalnızca toplandığı amaca hizmet ettiği sürece veya yasal veya iş amaçlı olarak koruyabilir. Bundan sonra, kişisel verilerin silinmesi gerekiyor.

Kişisel veri ihlali

Taslak fatura, gizliliğini, bütünlüğünü veya kullanılabilirliğini tehlikeye atan kişisel verilerin yetkisiz işleme veya kazara açıklama, kullanımı, değiştirilmesi veya imha edilmesi anlamına gelen bir ‘kişisel veri ihlalini’ tanımlar.

Kişisel veri ihlali durumunda, veri güvene dayalı veya veri müdürü, Hükümet tarafından öngörülen bir şekilde DPBI’yı hem de etkilenen veri müdürünü bilgilendirmelidir. Kişisel veri ihlalinin geniş tanımı, hükümet ve veri müdürlerine bildirimin oldukça zahmetli göründüğü küçük veri ihlali örneklerini kapsayacaktır.

‘Önemli Veri Güvenilir’

Taslak yasa, Önemli veri güven (‘SDF’). Bu, hükümet tarafından belirlenen kriterleri yerine getiren bir veri güvene dayalıdır (denetleyici). Hükümet kimin SDF olacağını belirlerken, veri hacmi ve zarar riski gibi faktörleri dikkate alacaktır.

İlginç bir şekilde, bu faktörler ‘Hindistan’ın bütünlüğü ve egemenliği üzerinde potansiyel etki’ ve ‘Seçim Demokrasisi Riski’ de içerir. SDF’lerin, kuruluş kuruluna rapor vermesi gereken veri koruma görevlilerini ataması gerekmektedir. Ayrıca Gizlilik Yasası’na uyumu denetlemek için bağımsız bir veri denetçisi atamalıdır. Hükümet, SDF’lerin ne zaman gizlilik etkisi değerlendirmeleri yapması gerektiğinde de bilgilendirebilir.

Veri Koruma Görevlisi

Bir Veri Koruma Görevlisi atamak için yalnızca SDF’ler gereklidir. Bununla birlikte, her veri güvene dayalı, şikâyet yapmak isteyen herkes için temas noktası olarak hareket etmek için bir kişiyi atamalıdır. Şikayet Görevlisi’nin iletişim bilgileri yayınlanmalıdır.

Veri yerelleştirmesi ve transferleri

Taslak faturada doğrudan veri yerelleştirmesi hükümleri içermiyor. Önceki taslaklarda, kritik kişisel verilerin yalnızca Hindistan’da saklanması gerektiği veya hassas kişisel verilerin Hindistan dışına aktarılabileceği ancak Hindistan’da bir kopyanın korunması gerektiğinin gereksinimi kaldırıldı.

Tasarı, hükümetin kişisel verilerin aktarılabileceği ülkeleri bilgilendireceğini belirtiyor. Hükümet bu ülkeleri bilgilendirene kadar, kişisel veriler Hindistan dışına serbestçe devredilebilir, ancak belki de yasa yürürlüğe girdiğinde bildirim verilecektir. Yasa, standart sözleşmeye bağlı hükümler gibi veri transferlerine izin vermenin diğer yollarını kapsamaz (bu, şu anda AB’den Hindistan’a aktarıldığı yöntemidir).

Hükümet muafiyeti

Tasarı, hükümetin kendisini ve ajanslarını tasarının herhangi bir gerekliliğinden muaf tutma yetkisi verir. Hindistan’ın egemenliği ve bütünlüğü, devlet güvenliği vb. Gibi bahsedilen gerekçeler., Hindistan Anayasası’ndan alınır ve ayrıca Hindistan Yüksek Mahkemesi tarafından gizlilik haklarının kısıtlanabileceği gerekçeler olarak atıfta bulunulur. Bununla birlikte, bu gerekçeler oldukça geniş ve orantılılık ve mantıklılık temel bileşenler değildir.

Ceza

Taslak yeni yasa, uyumsuzluk için cezalar reçete ediyor. Belirli ihlaller için ceza sınırlarından bahseden bir program var. Örneğin, kişisel veri ihlalini önlemek için makul güvenlik önlemlerinin alınmaması 25 milyon INR’ye kadar bir ceza içerecektir (yaklaşık 30 milyon USD).

Genel olarak cezalar 50 milyon INR’ye kadar çıkabilir (yaklaşık. 60 milyon USD). İlginç bir şekilde, etkilenen veri konularına tazminat verilmesi için bir hüküm yok.

Analiz

Hükümet, bu mevzuatın hazırlanması için kesinlikle Hindistan bir yaklaşım benimsedi. Geçmiş sürümlerden çok daha basittir ve GDPR Gizlilik Mevzuat Modelinin mevcut eğilimine aykırıdır. Bu tür mevzuat, büyük, örgütlenmemiş büyük KOBİ sektörü göz önüne alındığında, Hindistan’da gizlilik uyum standartlarının oldukça düşük olduğu göz önüne alındığında Hindistan için oldukça uygundur.

Muhtemelen, mevzuatın AB’den bir yeterlilik kararını alamayacağı anlamına gelir. Her halükarda, hükümet gözetimi konusunda bağımsız bir gözetim yapmaması nedeniyle, Hindistan yasası tam olarak uymuyor Schrems II.

Bununla birlikte, yasalarda ele alınması gereken bir dizi sorun var. En önemlisi, gizlilik mevzuatının merkezinde olduğuna inandığımız meşru faiz türünü çevreleyen dili netleştirmektir. ‘Gereklilik’ kavramı, kişisel verilerin tahsilat ve işlenmesinin meşru durumlarıyla başa çıkmak için yeterli midir??

Bildirim gereksinimlerinin yalnızca onay alındığında geçerli olduğu görülüyor. Bu, kişisel verilerin diğer gerekçelerle işlendiğinde, bu rıza hükümleri kapsamına girdiğinde, herhangi bir bildirim gerekmediği anlamına gelir. Rızayı reçete etme ihtiyacı kendisi tartışmalıdır. Rızanın, özellikle veri konularında bir koruma aracı olmadığı bulunmuştur, çünkü çoğu durumda veri deneklerinin rıza vermekten başka seçeneği yoktur.

Başından beri, önerilen yaklaşımım hafif bir dokunuş mevzuatına sahip olmak ve DPA’nın devredilen mevzuat yoluyla yavaşça daha fazla düzenleme oluşturmasına izin vermek oldu. Bu taslak mevzuat bu yaklaşımı kısmen takip ediyor. DPBI’nın düzenlemeleri geçme yetkileri olsa da, sadece yasanın hükümlerini yerine getirme ile ilgilidir. Yasada belirtilmeyen konularda düzenlemeyi geçme yetkisine sahip olup olmadığı tartışmalıdır. Örneğin, veri taşınabilirliği, tasarımla gizlilik vb. Gibi sorunlar., faturada yer bulan. DPBI’ya verilen güçlerin daha ayrıntılı olarak açıklanması daha iyi olurdu.

İnternetteki çocukların aktivitesinin izlenmesi ve davranışsal reklamcılık biraz mantıksız görünüyor. Örneğin bir çevrimiçi video veya müzik kanalı, aktivitelerini izlemeden çocuklara zevklerine göre nasıl film veya müzik öneririz??

Tasarı ayrıca hükümete ajanslarından herhangi birini yasanın herhangi birinden muaf tutma yetkisi vermektedir. Bahsedilen makul ve orantılılık eşiği yok. Ancak belki de bu, Hindistan Yüksek Mahkemesi tarafından zaten yapılan açıklamalar verilen yasaya okunabilir. Hükümetin, artık toplandığı amaca hizmet etmeyen verileri silme ihtiyacı konusunda battaniye muafiyeti de talihsizdir.

DPBI kompozisyonunun yasada reçete edilmemesi de talihsiz bir durumdur, böylece istedikleri kişiyi atamak için hükümete bırakır. Hindistan’daki veri gizliliği düzenlemesini yönetmek için, özellikle yasanın bazı gereksinimlerinin daha sonra belirtilebileceği gibi ‘olacağı göz önüne alındığında, bir teknoloji meraklısı ve çevik DPA çok gereklidir.

Genel olarak, Hint ortamı göz önüne alındığında benimsenen yaklaşım mantıklıdır ve gelecekte daha kapsamlı gizlilikle ilgili düzenlemeler için bir fırlatma rampası sağlayabilir. Açıkçası boşluklar ve çizim hataları var, ancak bu da yeni bir yola çarpan ve gizlilik uzmanları olmayan insanlar tarafından hazırlanan daha basit mevzuatta beklenmelidir. Hükümetin bu sorunları çözmek ve bu belgeyi yürürlüğe koymak için gizlilik topluluğuyla birlikte çalışacağı umulmaktadır.

Bu makalenin içeriği, konuyla ilgili genel bir rehber sağlamayı amaçlamaktadır. Özel koşullarınız hakkında uzman tavsiyesi alınmalıdır.

Hindistan’ın veri gizlilik yasaları var mı?

23 Kasım 2022

Hindistan’S Yeni veri faturası gizlilik için karışık bir çantadır

Justin Sherman tarafından

Arama önerileri

Toplam Sonuçlar>/>

Son zamanlarda ilgili

Filtre Sonuçları

Hindistan’S Parlamentosu, hükümetin bu yılın başlarında kişisel veri koruma faturasını geri çektikten sonra kapsamlı bir veri gizlilik yasasında ikinci geçiş olan dijital kişisel veri koruma faturasını yayınladı. Mevcut taslak diğer faturadan daha kısadır, ancak aynı bileşenlerin çoğuna sahiptir.

Hintli politika yapıcılar, fatura hakkında kamuya açıklanmamış, ancak burada tartıştığım yorumları da yayınladılar. Önemli olarak, yeni fatura, şirketlerin bireysel alması için bazı gereksinimlerle gizlilik için karışık bir çanta sunuyor “onay,” Yanlış kişisel verileri doğrulayın ve hükümetin veri erişimine ilişkin hükümlerin yanı sıra veri haklarını koruyun. Bu analiz kapsamlı değildir, ancak mevzuatta küresel veri düzenlemesinde önemli bir gelişme oluşturacak bazı önemli noktaları vurgular.

In fikri ‘onay’

Eski faturada olduğu gibi, dijital kişisel veri koruma faturası, verileri işleyen kuruluşları gerektirir ( “Veri Maddeleri”) elde etmek üzere “onay” verileri işledikleri bireylerden. Bir kişi verdiğinde “onay,” Tasarıda, kuruluşun bu kişiyi vermesi gerektiğini söylüyor “açık ve sade bir dilde ayrıntılı bir bildirim” toplanan verileri ve işlendiği amacını tanımlar, “Makul bir şekilde uygulanabilir.” Tasarı ayrıca, bireylerin onları geri çekebilmelerini önermektedir “onay” Kuruluşların verilerini işlemesi için, söz konusu kuruluş bunu yapmayı bırakmalıdır.

Bu rıza kavramı bozuldu ve Hindistan’a özgü değil. ABD ve Avrupalı ​​şirketler ve politika yapıcılar aynı fikri zorladı. İnsanlar Hizmet Şartları Sözleşmeleri ve erişilemeyen yasal olan uzun bir belgeyi yanıp sönen şirketleri okumazlar – bireylerin sadece tıklamasını bekleyen “kabul etmek”-Kullanıcıların belgeyi ne okuduğunu veya anlamadığını bilin.

Bu rıza kavramına meydan okuyor.

Benzer şekilde, insanlar gizlilik politikalarını okumazlar, ancak birçok web sitesi ve uygulaması, web sitesini görüntülemenin veya uygulamayı kendi başına açmanın gizlilik politikası ile anlaşma oluşturduğunu iddia edecektir. Dahası, rıza, vatandaşların – Hint vatandaşları da dahil olmak üzere – kendilerini veri toplama işlemine tabi tutmadan temel hizmetlere erişebileceği bir dünyada tam ve özgürce verilmez. Yine de yeni fatura’rızadaki dil, Hindistan’ı nispeten aynı yöne koyar “onay” ABD Devlet Gizlilik Yasalarındaki Hükümler ve Avrupa Birliği’nde Genel Veri Koruma Yönetmeliği.

Hükümet veri toplama oymaları

Tasarı, Hindistan hükümeti için birçok istisna dahil olmak üzere birçok istisna belirleyerek bu rıza kavramını daha da zayıflatır. Bazıları tartışmasız daha makul olsa da, diğerleri Hindistan vatandaşları için gizlilik riskleri yaratıyor ve Hindistan’da faaliyet gösteren şirketler ve kuruluşlar için karmaşık yasal sorular üretiyor.

En son kamu faturası taslağında bireylerin, veri işlemesi varsa rıza verdikleri kabul edilir “gerekli” için “Hukuk kapsamındaki herhangi bir işlevin performansı,” “Herhangi bir yasa uyarınca verilen herhangi bir karar veya emre uyum için,” “[bireyin] veya başka bir bireyin sağlığına yönelik yaşam veya acil tehdit tehdidini içeren bir tıbbi acil duruma yanıt vermek için,” Ve “herhangi bir felaket sırasında herhangi bir kişiye güvenliği sağlamak veya yardım veya hizmet sağlamak için önlem almak veya kamu emrinin herhangi bir bozulması,” diğerlerinin yanı sıra. Ayrıca içinde olduğu durumları da muaf tutar “makul beklenen” birisinin kişisel verilerini bir kuruluşa gönüllü olarak sağlayacağını, “Herkese açık kişisel veriler,” ve kredi skoru.

Bu istisnalardan bazıları yüzlerinde makul görünse de (kredi puanlama gibi), birçoğu gizlilik ve sivil haklar perspektifinden büyük önem vermektedir. Hindistan Başbakanı Hükümeti Narendra Modi, sık sık kamu güvenliğine yönelik tehdit iddiaları ve protesto ve muhalefetle uğraşma emriyle ilgili iddialarda bulundu. Yetkililer de benzer şekilde şüpheli, ancak kamu düzeni çerçevesinde, yasal ve retorik olarak interneti, dünyadaki diğer tüm ülkelerden daha fazla kez kapatmayı haklı çıkardığını iddia ettiler. Benzer bir şekilde, fatura’S Mevcut dil, veri toplamasına izin verecektir “kamu yararı,” Hindistan’ın ilgisini içerecek şekilde son derece geniş bir şekilde tanımlandı’Sovereignity ve dürüstlük, devlet güvenliği, yabancı devletlerle dostça ilişkiler, kamu düzeni bakımı, yukarıda belirtilen faaliyetlerden herhangi birinin teşvik edilmesini önleme (kamu düzenini zayıflatmak gibi) ve yayılmasını önleme “gerçeklerin yanlış ifadeleri.”

Modi hükümeti, nominal olarak demokratik bir ülkede, açıkça demokratik olmayan uygulamalarla uğraşan tek hükümet değil. Yine de, Tasarı’ndaki inanılmaz derecede geniş hükümet veri oymaları önerisi, Hindistan vatandaşları pahasına devlet gözetimini güçlendirecek’ gizlilik ve sivil haklar. Ayrıca, Hindistan’da faaliyet gösteren şirketleri ve kuruluşları, hükümetin verilere genişletilmiş erişimiyle ilgili daha da karmaşık bir dizi yasal soru ile sürekli olarak uğraşmaya zorlayacaktır.

Bu, bu, Modi hükümetinin sadece bir bileşenidir’Şifrelemeyi zayıflatmaya ve teknoloji şirketlerini zorlama yeteneğini artırmaya yönelik daha geniş bir zorlama.

Veri yerelleştirmesi

Eski kişisel veri koruma faturasının en tartışmalı unsuru muhtemelen veri yerelleştirme gereksinimleriydi. Bu şartlar, ülkede depolanan bilgileri korumak için Hint vatandaşları hakkında kişisel verileri olan kuruluşlara, sadece bir kopyada ve diğer durumlarda, geri giden aktarımı tamamen önleyen kuruluşları gerektirecektir. Farklı Hintli politika yapıcılar, yabancı şirketlere maliyet uygulamak da dahil olmak üzere, bu gereksinimleri çeşitli nedenlerle yürürlüğe koydu, Hindistan’S veri depolama endüstrisi, Hindistan hükümetinin Hint vatandaşlarıyla ilgili verilerin depolanması konusunda gözetimini artırın ve bazıları gördüğü gibi, şu anda bozuk bir karşılıklı yasal yardım antlaşması süreci ile erişilebilen ABD şirketleri tarafından tutulan suçla ilgili verilere daha iyi Hint kolluk kuvvetleri erişimini sağlayın.

Yeni fatura, yerelleştirmeye yapılan bu vurgudan uzaklaşıyor. Verilerin yerel depolanmasını istemek yerine, Hindistan hükümetinin yabancı ülkeleri değerlendirmesine izin vermeyi öneriyor’ veri koruma rejimleri ve daha sonra Hint vatandaşları için hedef sağlamak için yeterli olanları onaylayın’ veri. Özellikle,, “Merkezi Hükümet, gerekli olabilecek bu tür faktörlerin değerlendirilmesinden sonra, bir veri güveninin, belirtilebilecek hüküm ve koşullara uygun olarak kişisel verileri aktarabileceği Hindistan dışındaki bu ülkeleri veya bölgeleri bilgilendirebilir.”

Yabancı işletmeler bu değişiklikten kesinlikle mutlu olacak. Çoğu zaman, veri yerelleştirmesi ile ilgili şikayetleri maliyetlere geri döndü – Hindistan’da yerel olarak veri depolamak için teknik değişiklikler ve teknik altyapı için ödeme yapmak istemiyor ve diğer yasal ve organizasyon maliyetleri. Ancak, veri yerelleştirmesinin sağladığı, yinelenen veri depolama altyapısı için iklim emisyonu maliyetleri ve daha önce daha az bilgi sahibi olduğunda başka bir bilgi kopyasını saklama siber güvenlik riskleri de dahil olmak üzere başka endişeler de vardır.

Bunlar, Hindistan hükümetinin yüksek kontrollü bir veri yerelleştirme rejiminden uzaklaşması için en az birkaç neden sunmaktadır.

Tartışma geçiren diğer fikirler

Hindistan Elektronik ve Bilgi Teknolojileri Bakanlığı için web sitesindeki faturanın mevcut sürümü için geçerli değildir “Kişisel verilerin otomatik olmayan işlenmesi,” “Çevrimdışı kişisel veriler,” “Herhangi bir kişisel veya iç amaç için bir kişi tarafından işlenen kişisel veriler,” Ve “En az 100 yıldır var olan bir kayıtta bulunan bir birey hakkında kişisel veriler.”

İlginç bir şekilde, incelendiğim faturanın-mevcut taslağa çevrimiçi olarak yansıtılmayan-işaretli bir versiyonu da muaf tutulması için bir öneride bulundu “Anonim kişisel veriler” yani “Verilerin ilgili olduğu konuya bağlı olarak Merkezi veya Eyalet Hükümeti’nin sahibi olduğu” faturadan. Ayrıca, ifadeyi açıkça kullanmak için bir düzenleme içeriyordu “Güvenle Veri Serbest Akış” Hindistan hükümeti hakkındaki hükümleri tanımlamak’Yabancı veri transferleri ve depolama için onay.

Ekonomik Zamanlar Bu damarda, tasarının bir sonraki yinelemesinin Hindistan hükümetinin tanımlanacağını bildiren raporlar “güvenilir” Veri güvenlerinin Hint vatandaşlarıyla ilgili verileri aktarabileceği ve saklayabileceği coğrafyalar.

Birincisi (burada) kötü bir öneri. Amerika Birleşik Devletleri’nde federal ve eyalet yasa koyucuları muaf tutmaya devam ediyor “anonim” veya “alçakgönüllü” Bu tür terimlerin teknik olarak anlamlı olduğuna dair yanlış inanç altındaki gizlilik yasalarından ve faturalardan alınan veriler. Çok sayıda çalışma, sözde bağlanmanın ne kadar kolay olduğunu göstermiştir “alçakgönüllü” veya “anonim” Gerçek insanlara veriler, istatistiksel veri analizinde ilerlemeler, bugün dünyadaki veri hacmi ve şirketler’ Coğrafi konum geçmişi veya cihaz gibi bireylere benzer şekilde benzersiz olan veri noktalarına erişim’S wi-fi bağlantı desenleri.

Yine de, yasa koyucular bu oyma çıkışlarını yasalara dahil etmeye devam ediyor, çünkü şirketler sahte hattı ittiği için “anonimleştirme” gerçek. Umarım Hindistan’Parlamento aynı tuzağa düşmez. Verilerin gizliliğini daha iyi koruyan yeni teknikler, kuruluşların farklı gizlilik gibi işleyebilmesini sağlar, değerlidir. İleri yol daha iyi yol, verileri adıyla veya başka bir net bireysel tanımlayıcı tarafından kişilere bağlamak için bir yetenek yelpazesi olduğunu ve bu toplamı kabul etmektir “anonimleştirme” bir efsane.

İncelediğim yayınlanmamış fatura işaretlemesinde ikinci öneri – ifade “Güvenle Veri Serbest Akış”-Osaka’daki 2019 G-20’de Japon hükümeti tarafından öncülük edilen güven girişimi ile veri serbest akışına bir referans. O zamanlar, ülkelerin birbirleri arasında serbest veri akışına izin vermekle ilgilendiklerine dair genel bir inancı tanımladı, ancak bazı önlemler mevcut. Yeni Delhi, 2020’de güven anlaşmasıyla ilk veri serbest akışını imzalamayı reddetti – “Güvenle Veri Serbest Akış” Çerçeve-çünkü çabayı yüksek kaynaklı ülkeler tarafından çok yönlendirdi. Hindistan’Ticari ve Sanayi Bakanı bunu söylemişti “Ülkeler arasındaki büyük dijital bölünme göz önüne alındığında, dijital ticaret ve veriler etrafında yasaları kesinleştirmek zorunda olan gelişmekte olan ülkeler için politika alanına ihtiyaç vardır. Veriler, geliştirme ve verilerin adil erişimi için güçlü bir araçtır.”

Hükümetler veri akışı düzenlemelerini genişlettikçe, Hindistan’Yerelleştirmeye ve güvenilir coğrafyalara odaklanmaya doğru bu kadar vurgudan uzaklaşarak Hindistan’ı bu çabaların bazılarıyla hizalıyor-yine de politika yapıcıların küresel Güney ülkelerine yönelik dördüncü bir veri yönetişimi yönlendirmesi için yer bırakıyor. Hindistan da G-20 Başkanlığı’nı devralıyor, bu da güven türü yaklaşımıyla veri içermeyen bir akışın, ülkeyi gelecek yıl küresel veri konuşmalarını yönlendirmek için etkili bir konuma getirebileceği anlamına geliyor.

Çözüm

Hindistan’daki Hintli politika yapıcılar, ABD’li politika yapıcılar, ABD teknoloji şirketleri ve Hindistan’daki sivil toplum paydaşları da dahil olmak üzere Hindistan’daki kapsamlı veri düzenlemesine yönelik son girişim hakkında yoğun tartışmalar vardı. Kuşkusuz, yeni mevzuat çevresinde bu tür tartışmalar devam edecek.

Ayrıca, daha derin analiz ve tartışmayı hak eden teklifin ortaya koyduğu çok sayıda başka sorun ve soru da vardır – bu makalede ele alındığından daha fazlası. Şimdilik, o’Hindistan’ın bayrağını veri düzenlemesi üzerine dikmeye niyetli olduğu ve nerede “Güvenilir coğrafyalar” endişe duyuyorlar, ABD hükümetinin verimli bir şekilde etkileşime geçmesi için çok fazla alan var.

Justin Sherman (@Jshermcyber) Atlantik Konseyi’nde bir adam’S Siber Statecraft Girişimi. Ayrıca AC Güney Asya Merkezi’nin bir üyesiydi’ABD-Hindistan dijital ekonomisi görev gücü ve çalışma Grubu ABD-Hindistan veri politikası üzerine.

Güney Asya Merkezi Atlantik Konseyi olarak hizmet ediyor’Bölge üzerindeki çalışmaların yanı sıra bu ülkeler, komşu bölgeler, Avrupa ve Amerika Birleşik Devletleri arasındaki ilişkiler için odak noktası.

Hindistan – Kapsamlı bir veri koruma yasasını geçmek için yeni bir girişim

Kasım 2022’de Hindistan hükümeti, Dijital Kişisel Veri Koruma Yasası, 2022 (“Fatura”), kapsamlı bir veri koruma rejimi oluşturmak için yeni bir girişimde.

Tasarı, 2023’ün ilk yarısında Hindistan Parlamentosu’ndan önce masaya yatırılması önerildi. Tasarının temel hükümlerini tartışıyoruz.

Reform Yolu

Hindistan henüz veri koruması konusunda kapsamlı bir mevzuat çıkarmadı. Mevcut düzenleyici çerçeve, 2000 Bilgi Teknolojisi Yasası’nın 43A bölümünden türetilmiştir (“OYUN”) ve bilgi teknolojisi (makul güvenlik uygulamaları ve prosedürleri ve hassas kişisel veriler veya bilgiler) kuralları, 2011 (“SPDI kuralları”belirli ve sınırlı yükümlülükleri uygulayan. Sektörel yasalar, finansal hizmetler ve telekomünikasyon gibi düzenlenmiş sektörlerdeki kuruluşlar için de geçerli olabilir . Hindistan’daki veri koruma rejiminin ayrıntılı bir özeti için lütfen buraya bakın.

Hindistan Hükümeti, kapsamlı bir veri koruma yasası getirme girişiminde bulundu. Örneğin, daha önce bir veri koruma faturası, 2021 (“2021 Taslak Fatura”genel veri koruma düzenlemesiyle bazı benzerlikleri olan (“GDPR”).

Bu 2021 taslak faturası şimdi geri çekildi ve yerini yeni fatura aldı. Bu yasa tasarısı tamamen yeni bir yasa olarak hazırlanmıştır ve hem hükümet hem de iş dostu gibi görünmektedir; 2021 taslak faturasının bir yinelemesi değil. Tasarı, BT Yasası ve SPDI kurallarının 43A Bölümünün yerini alacak.

Faturanın taslağı

Tasarı, GDPR’dekilere büyük ölçüde benzeyen bir dizi kavramla başlar. Veri güvenlerini yönetir (i.e., veri denetleyicileri), veri işlemcileri ve veri prensipleri (i.e., veri konuları).

Dijital kişisel verilerin işlenmesi için geçerlidir, i.e., Verilerin çevrimiçi olarak toplandığı veya çevrimdışı olarak toplandıktan sonra sayısallaştırıldığı bir kişiyi tanımlayabilen bir kişiyle ilgili bilgiler.

2021 taslak faturası, kişisel verilerin hassas veya kritik kişisel verilere karmaşık bir şekilde tanımlanmasını ve bir veri güveninin hiyerarşizasyonunu içeriyordu’İşlenen kişisel veri türüne göre yükümlülükler. Bu ile yapıldı. bunlara ek olarak, ‘Kişisel olmayan veriler’ hoş bir değişiklik olan faturanın ambitinden kaldırıldı.

İşleme gerekçeleri – yasal amaç ve rıza

Kişisel verilerin işlenmesi, yasal bir amaç için faturaya uygun olmalıdır, i.e., Kanun tarafından açıkça yasaklanmayan bir amaç.

Onay, kişisel verilerin işlenmesi için önemli bir zemin olmaya devam ediyor, ancak aşağıda belirtildiği gibi, GDPR kapsamında onam için çok farklı bir kavram. Veri inançları, ilgili veri müdürlerine açık ve ayrıntılı bir bildirim (aranan kişisel verilerin bir açıklaması ve bu verileri toplamanın amacıyla) sağlamalıdır.

Tasarının geniş bir rıza anlayışı var. Ekspres/ olumlu rızaya ek olarak, ‘ kabul edilen rıza’, Ambit çok geniş görünüyor. Olumlu rızası özgür, spesifik, bilgilendirilmiş ve net olmalı ve geri çekilebilir, ‘kabul edilen rıza’ Bireyleri gerektirmez’ olumlu eylem ve herhangi bir bildirim yükümlülüğü çekmez. Ayrıca nasıl geri çekilmesinin ‘kabul edilen rıza’ çalışırdı.

Faturada durumları listeler ‘kabul edilen rıza’ aşağıdakileri dahil etmeye güvenilebilir:

• Verilerin gönüllü olarak verildiği, verilerin söz konusu amaç için sağlanması gerektiği konusunda makul beklenti;
• yasal veya adli amaçlarla ilgili veriler;
• tıbbi acil durumlar ve sağlık hizmetleri ile ilgili veriler;
• kamu düzeninin bozulmasına göre verilen veriler;
• Kurumsal casusluğun önlenmesini, gizliliğin sürdürülmesini, işe alım ve fesih ve performansın değerlendirilmesini içeren istihdamla ilgili veriler; Ve
• Veriler kamu yararına işlendiğinde. Bu, M&A ve kurumsal yeniden yapılandırma işlemleri, kredi puanlama, sahtekarlık önleme vb. İle ilgili olarak işlenen verileri içerir. veya herhangi bir adil ve makul amaç için ‘reçete edilebileceği gibi’.

Veri Koşullarının Yükümlülükleri

Veri inançlarının temel yükümlülükleri şunları içerir:

• faturaya uymak için önlemler kullanmak;
• kişisel verilerin doğruluğunu ve bütünlüğünü sağlamak;
• veri ihlallerini önlemek için makul güvenlik önlemlerinin kullanılması;
• Tutma yasal olarak gerekmedikçe, amaç yerine getirildikten sonra kişisel verilerin kayıtlardan kaldırılması; Ve
• Şikayet düzeltme mekanizması kullanma.

Tasarı, çocukları 18 yaşın altındaki herkes olarak tanımlar ve çocukların kişisel verilerini işlemek için doğrulanabilir ebeveyn rızası gerektirir.

Şirketler olarak belirlenebilir ‘Önemli Veri Koşulları’, İşlenen kişisel verilerin hacmi ve hassasiyeti, veri müdürlerine zarar verme riski ve Hindistan üzerindeki potansiyel etki gibi faktörlere dayanarak’S güvenlik ve kamu siparişi. Bunlar ‘Önemli Veri Koşulları’ periyodik denetimler ve veri koruma etki değerlendirmeleri ve bağımsız bir veri denetçisi ve bir veri koruma görevlisi atama gibi ek yükümlülüklere tabidir.

Büyük miktarda kişisel veri (bankalar, telekom şirketleri, sigorta şirketleri, hastaneler) ile rutin olarak ilgilenen kuruluşların bu kategoriye girmesi muhtemeldir, ancak 2021 taslak faturasının aksine, sosyal medya platformları özel olarak tanımlanmamıştır ‘Önemli Veri Koşulları’ .

Veri müdürlerinin hakları ve görevleri

• Kişisel verilerin işleme durumu, işlenen verilerin özeti ve kişisel verilerinin paylaşıldığı şirketlerin adları;
• ölüm veya yetersizlik durumunda başka bir bireyin aday gösterilmesi;
• veri güvenini içeren düzeltme ve silme hakkı’yanlış/ yanıltıcı verileri düzeltme, eksik verileri tamamlama, kişisel verileri güncelleme ve amaç yerine getirildikten sonra verileri silme; Ve
• Hindistan Veri Koruma Kurulu veya Veri Kaçırmalarından Önce Şikayet Düzenleme Hakkı.

Alışılmadık bir şekilde, fatura ayrıca veri müdürlerine (bireyler) görevler getiriyor. Karşılıksız şikayetleri önlemek için benzersiz bir hüküm olan uyumsuzluk için 10.000 INR’ye kadar cezalara tabi olabilirler .

Veri yerelleştirmesi ve sınır ötesi veri transferleri

Fatura, dijital kişisel verilerin Hindistan’da depolanmasını özellikle zorunlu kılmazken, diğer yasalar altında veri yerelleştirme gereksinimleri (e.G., Hindistan Rezerv Bankası tarafından bankalar ve diğer ödeme hizmeti sağlayıcılarına dayatılan) başvurmaya devam edecektir.

Ayrıca, fatura uyarınca, Hindistan Hükümeti’nin yargı bölgelerine sınır ötesi veri transferlerine izin verilir ‘reçete edebilir’. Bu nedenle, veri transferlerine yalnızca bir hükümet beyaz listesine giren ülkelere izin verilecek gibi görünüyor.

A ‘Tasarımla Dijital’ ve devlet tarafından atanmış olmasına rağmen, bir başkan, bir genel müdür, üyeler ve diğer memurlar ve çalışanlardan oluşan bağımsız bir Hindistan Veri Koruma Kurulu, bir hükümet bildirimi ile uyum sağlamak ve uyumsuzluğu cezalandırmak için kurulacak.

Kurulun soruşturma esasına göre yapma yetkisine sahiptir, diğerleri, Suo Moto Etkilenen bireylerden gelen şikayetler veya şikayetler/ hükümetten gelen referanslar ve emirler. Bu tür siparişler Kurul tarafından daha fazla incelenebilir veya ilgili yüksek mahkemelerden önce temyiz edilebilir. Kurul ayrıca alternatif uyuşmazlık çözme süreçleri önerebilir ve gönüllü teşebbüsleri ihlal etmekten kabul ederek işlemlerini durdurabilir.

B’ye ulaşma ve faturanın uymaması için penaltıların kuantumu yüksek olsa da (yaklaşık 60m Euro olan 500 INR ile sınırlıdır), cezalar GDPR ve 2021 Taslak Faturası durumunda olduğu gibi, işletmenin dünya çapında ciro ile bağlantılı değildir. Başka bir hoş geldiniz değişikliği, cezai yaptırımların kaldırılması oldu. Etkilenen veri müdürlerinin tazminat talep etme yeteneği de kaldırıldı.

Devlet kuruluşları, amaç yerine getirildikten sonra bile verileri tutma yükümlülüğünden muaftır ve ayrıca Devletin çıkarları için Hindistan Hükümeti tarafından tasarının hükümlerinden de muaf tutulabilir’S güvenlik, egemenlik ve bütünlük veya kamu düzenini korumak için .

Bazı şirketler, Hindistan hükümeti tarafından belirli yükümlülüklerden de muaf tutulabilir. Ayrıca, işleme gerektiğinde (i) mahkemeler veya mahkemeler tarafından yargı/ yarı yargısız amaçlar için, (ii) yasal hak/ talebin uygulanması için veya (iii) bir suçun önlenmesi ile ilgili olarak birçok veri inancı yükümlülüğü uygulanmaz.

Sırada ne var

Tasarı, 2023 bütçe oturumunda Hindistan Parlamentosu’ndan önce masaya yatırılması öneriliyor ve Hint Parlamentosu’nun her iki evi tarafından da aktarılması ve yasa haline gelmeden önce resmi gazetede bilgilendirilmesi gerekecek. Yürürlükten sonra bile, tasarının belirli bir süre boyunca aşamalı bir şekilde uygulanması muhtemeldir. Hindistan hükümeti ayrıca tasarının hükümlerini yerine getirmek için kurallar koyacaktır.

Faturada önerilen temel değişikliklerin özeti hakkında ayrıntılı bir makale için lütfen buraya bakın.

Deepa Christopher, Ortak ve Anindita Dutta, Ortak, önde gelen bir Hint Hukuk Firması Talwar Thakore & Associates’de.