Apakah India memiliki undang -undang privasi data?
India: Apa yang ada di RUU Perlindungan Data Baru India?
Panggilan untuk menerapkan langkah -langkah pengurangan kerentanan data dan mencegah erosi privasi pengguna telah bergema di seluruh dunia.
Privasi Data Pribadi – Apakah India membutuhkan peraturan seperti GDPR Eropa dan CCPA AS
Sementara kita semua akan sepakat bahwa “data adalah komoditas pasca-harga di era digital”, melindunginya dan memastikan privasi data menjadi sangat kritis. Ini adalah fakta yang terkenal bahwa India adalah ekosistem online terbesar kedua di dunia dengan lebih dari 900 juta pengguna internet. Dengan meningkatnya penetrasi internet, angka ini pasti akan meningkat tajam dalam 5 tahun ke depan. India dilaporkan berurusan dengan jumlah pelanggaran data terbesar kedua yang dilaporkan secara global. Pada saat ini, sangat penting untuk mendidik pengguna tentang pengumpulan data dan privasi dan juga untuk membangun undang -undang yang melindungi individu dari penyalahgunaan data pribadi mereka.
With the digital shift and services moving to the cloud, there is a large amount of highly precise personal data being exchanged not just through the websites we browse or the apps people use on their mobile phones but also through appliances such as security/surveillance cameras, digital doorbells, temperature control thermostats, smart home automation, digital assistants to name a few. Kasus penggunaan utama pengumpulan data adalah untuk meningkatkan dan mempersonalisasikan layanan yang ditawarkan, namun, dapat disalahgunakan untuk menyerang privasi, keamanan, dan kepercayaan seseorang. Analisis data ini, ketika dikumpulkan selama interval waktu, dapat mengarah pada identifikasi individu, menyimpulkan informasi tentang keyakinan, preferensi, agama, atau kesehatan seseorang. Mereka pada akhirnya dapat digunakan untuk mempengaruhi, menyebabkan ancaman terhadap keselamatan pribadi, iklan yang ditargetkan, penipuan, dan peretasan. Misalnya, menganalisis data lokasi individu untuk menentukan penyimpanan/menempatkan kunjungan individu dan dengan frekuensi apa yang dapat mengarah pada identifikasi minat, perilaku sosial, dan juga status sosial-ekonomi.
Untuk organisasi, insiden keamanan data dapat menyebabkan implikasi hukum dan bisnis dan juga kurangnya kepercayaan pengguna. Facebook-Cambridge Analytica Fiasco adalah salah satu pelanggaran data yang terkenal, pada tahun 2018 data untuk hampir 87 juta pengguna Facebook digunakan tanpa persetujuan dan pemahaman mereka. Data yang diperoleh secara tidak tepat dari Facebook digunakan untuk membuat profil pemilih dan digunakan untuk iklan politik (tanpa persetujuan). Ini adalah kebocoran data terbesar yang dihadapi oleh Facebook. Ini mendorong kesadaran akan masalah privasi data, bagaimana konsep privasi berubah dan menyoroti kecemasan pelanggan tentang terbiasa dengan kemajuan teknologi tetapi tidak sepenuhnya menyadari tingkat erosi privasi dan pertukaran dalam kualitas layanan vs yang terkait dengan privasi yang terkait dengan privasi dan terkait privasi yang terkait dengan privasi dan terkait privasi vs privasi vs yang terkait dengan privasi. Ada pengaturan privasi yang diekspos oleh perusahaan; Namun, mereka tidak mudah dipahami, dan juga tidak jelas tentang dampak pada pengalaman pengguna pada menonaktifkan jenis akses data tertentu. Bagi pemerintah, pelanggaran privasi dapat menyebabkan risiko bocor informasi nasional rahasia.
Perubahan pada undang-undang yang berhubungan dengan teknologi dan data adalah tantangan global. Peraturan Privasi Data Umum Eropa (GDPR) yang mulai berlaku pada tahun 2018, mendefinisikan dan menyatukan peraturan privasi dengan Uni Eropa (UE). GDPR tidak hanya memberikan kontrol privasi kepada individu tetapi juga menempatkan kewajiban pada organisasi yang memegang data mereka. China mengumumkan peraturan privasi data dengan Undang -Undang Perlindungan Informasi Pribadi (PIPL) pada tahun 2021. Undang -undang ini juga menguraikan persyaratan privasi data untuk perusahaan yang berbasis di luar China/UE untuk mengelola dan menggunakan data warganya. AS tidak memiliki undang-undang privasi tunggal tetapi kombinasi undang-undang khusus negara bagian atau sektor seperti California Privacy Privacy Act (CCPA) yang diperkenalkan pada tahun 2018, diikuti oleh California Privacy Rights Act (CPRA) pada tahun 2020 dan Undang-Undang Privasi Informasi Kesehatan dan Portabilitas (HIPAA).
Namun, tidak seperti dunia lain yang memiliki undang -undang dan peraturan privasi yang bertujuan untuk melindungi privasi warga negara, India masih tidak memiliki undang -undang privasi untuk melindungi warganya. Pada Agustus 2017, Mahkamah Agung India menyatakan hak privasi sebagai hak mendasar bagi warga negara India yang dilindungi oleh Konstitusi India. Mengikuti hak untuk privasi, India memperkenalkan RUU Privasi Data pada tahun 2019; Namun, itu ditarik pada tahun 2022, dan sejauh ini tidak ada undang -undang baru yang diusulkan. India perlu meningkatkan upayanya dan memiliki undang -undang privasi data yang selaras dengan visi global seputar privasi data. Peraturan mengambil beban dari warga dan menetapkan visi yang jelas bagi organisasi untuk mematuhi mereka.
India: Apa yang ada di RUU Perlindungan Data Baru India?
Pemerintah India telah menerbitkan rancangan tagihan perlindungan data pribadinya yang disederhanakan. Apa yang dikatakan?
Pada 18 November 2022, Pemerintah India merilis draft keempat yang telah lama ditunggu-tunggu dari undang-undang privasi yang diusulkan India, yang sekarang dinamai sebagai RUU Perlindungan Data Pribadi Digital (‘RUU’). Pemerintah telah meminta umpan balik tentang rancangan RUU tersebut 17 Desember 2022.
India: Apa yang ada di tagihan perlindungan data baru India
Panggilan untuk menerapkan langkah -langkah pengurangan kerentanan data dan mencegah erosi privasi pengguna telah bergema di seluruh dunia.
Privasi Data Pribadi – Apakah India membutuhkan peraturan seperti Eropa’S GDPR dan USA’S CCPA
Dr. Preeti Goel memiliki lebih dari 15 tahun pengalaman profesional dan telah berkontribusi pada beberapa perusahaan teknologi top dunia seperti Microsoft, Google, Adobe dan Amazon. Preeti Goel Memiliki Sarjana Teknologi dalam Ilmu Komputer, Gelar Master dari IIT-Kanpur, dan PH.D. dari University of Melbourne, Australia. LEBIH SEDIKIT . LAGI
Panggilan untuk menerapkan langkah -langkah pengurangan kerentanan data dan mencegah erosi privasi pengguna telah bergema di seluruh dunia.
Sementara kita semua akan setuju itu “Data adalah komoditas pasca-harga di era digital”, melindunginya dan memastikan privasi data menjadi sangat kritis. Ini adalah fakta yang terkenal bahwa India adalah ekosistem online terbesar kedua di dunia dengan lebih dari 900 juta pengguna internet. Dengan meningkatnya penetrasi internet, jumlah ini pasti akan meningkat tajam dalam 5 tahun ke depan. India dilaporkan berurusan dengan jumlah pelanggaran data terbesar kedua yang dilaporkan secara global. Pada saat ini, sangat penting untuk mendidik pengguna tentang pengumpulan data dan privasi dan juga untuk membangun undang -undang yang melindungi individu dari penyalahgunaan data pribadi mereka.
With the digital shift and services moving to the cloud there is a large amount of highly precise personal data being exchanged not just through the websites we browse or the apps people use on their mobile phones but also through appliances such as security/surveillance cameras, digital doorbells, temperature control thermostats, smart home automation, digital assistants to name a few. Pengumpulan data’S Kasus penggunaan utama adalah untuk meningkatkan dan mempersonalisasikan layanan yang ditawarkan, namun, dapat disalahgunakan untuk menghindari seseorang’s Privasi, Keamanan dan Kepercayaan. Analisis data ini, ketika dikumpulkan selama interval waktu, dapat mengarah pada identifikasi individu, menyimpulkan informasi tentang seseorang’Keyakinan, preferensi, agama, atau kesehatan. Mereka pada akhirnya dapat digunakan untuk mempengaruhi, menyebabkan ancaman terhadap keselamatan pribadi, iklan yang ditargetkan, penipuan dan peretasan. Misalnya, menganalisis seseorang’S Lokasi data untuk menentukan penyimpanan/menempatkan kunjungan individu dan dengan frekuensi apa yang dapat mengarah pada identifikasi minat, perilaku sosial dan juga status sosial-ekonomi.
Untuk organisasi, insiden keamanan data dapat menyebabkan implikasi hukum dan bisnis dan juga kurangnya kepercayaan pengguna. Facebook-Cambridge Analytica Fiasco adalah salah satu pelanggaran data yang terkenal, pada tahun 2018 data untuk hampir 87 juta pengguna Facebook digunakan tanpa persetujuan dan pemahaman mereka. Data yang diperoleh secara tidak tepat dari Facebook digunakan untuk membuat profil pemilih dan digunakan untuk iklan politik (tanpa persetujuan). Ini adalah kebocoran data terbesar yang dihadapi oleh Facebook. Hal ini mendorong kesadaran akan masalah privasi data, bagaimana konsep privasi berubah dan menyoroti kecemasan pelanggan tentang terbiasa dengan kemajuan teknologi tetapi tidak sepenuhnya menyadari tingkat erosi privasi dan pertukaran dalam kualitas layanan vs privasi terkait privasi. Ada pengaturan privasi yang diekspos oleh perusahaan namun mereka tidak mudah dipahami dan juga tidak jelas tentang dampak pada pengalaman pengguna pada menonaktifkan jenis akses data tertentu. Bagi pemerintah, pelanggaran privasi dapat menyebabkan risiko bocor informasi nasional rahasia.
Perubahan undang -undang terkait teknologi dan data adalah tantangan global. Eropa’S General Data Privacy Regulation (GDPR) yang mulai berlaku pada tahun 2018, mendefinisikan dan menyatukan peraturan privasi dengan Uni Eropa (UE). GDPR tidak hanya memberikan kontrol privasi kepada individu tetapi juga menempatkan kewajiban pada organisasi yang memegang data mereka. China mengumumkan peraturan privasi data dengan Undang -Undang Perlindungan Informasi Pribadi (PIPL) pada tahun 2021. Undang -undang ini juga menguraikan persyaratan privasi data untuk perusahaan yang berbasis di luar China/UE untuk mengelola dan menggunakan data warganya. AS tidak memiliki undang -undang privasi tunggal tetapi kombinasi undang -undang spesifik negara bagian atau sektor seperti California Privacy Act (CCPA) yang diperkenalkan pada tahun 2018, diikuti oleh California Privacy Rights Act (CPRA) pada tahun 2020 dan Privasi Informasi Kesehatan dan Portability Act (HIPAA).
Namun, tidak seperti dunia lain yang memiliki undang -undang dan peraturan privasi yang bertujuan untuk melindungi privasi warga negara, India masih tidak memiliki hukum privasi untuk melindungi warganya. Pada Agustus 2017, Mahkamah Agung India menyatakan hak privasi sebagai hak mendasar bagi warga negara India yang dilindungi oleh Konstitusi India. Mengikuti hak untuk privasi, India memperkenalkan RUU Privasi Data pada tahun 2019, namun ditarik pada tahun 2022 dan tidak ada undang -undang baru yang telah diusulkan sejauh ini. India perlu meningkatkan upayanya dan memiliki undang -undang privasi data yang selaras dengan visi global seputar privasi data. Peraturan mengambil beban dari warga dan menetapkan visi yang jelas bagi organisasi untuk mematuhi mereka.
India: Apa yang ada di RUU Perlindungan Data Baru India?
Pemerintah India telah menerbitkan rancangan tagihan perlindungan data pribadinya yang disederhanakan. Apa yang dikatakan?
Pada 18 November 2022, Pemerintah India merilis draft keempat yang telah lama ditunggu -tunggu dari undang -undang privasi yang diusulkan India, yang sekarang diubah namanya sebagai RUU Perlindungan Data Pribadi Digital (‘RUU’). Pemerintah telah mencari umpan balik atas rancangan RUU tersebut 17 Desember 2022.
Sekilas, tagihannya cukup mengejutkan. Ini adalah draf yang benar -benar baru dan bukan redraft versi sebelumnya dan jauh lebih pendek dan lebih sederhana. Itu berangkat secara substansial dari model hukum privasi GDPR yang cukup umum saat ini.
Penerapan
Undang -undang hanya berlaku untuk data pribadi yang dikumpulkan secara online atau yang dikumpulkan secara offline, tetapi yang didigitalkan. Undang -undang akan berlaku untuk pemrosesan data pribadi di luar India jika pemrosesan ini sehubungan dengan profil kepala sekolah di India atau aktivitas apa pun yang menawarkan barang atau jasa di India. Undang-undang ini juga membebaskan pemrosesan data di India individu yang berlokasi di luar India di bawah pengaturan kontrak lintas batas: ini pada dasarnya mencakup industri lepas pantai/outsourcing.
Definisi
RUU tersebut menggunakan terminologi yang sama seperti versi sebelumnya. Subjek data disebut sebagai ‘Kepala Sekolah Data ‘ dan pengontrol data disebut sebagai ‘fidusia data ‘. Tidak ada konsep atau definisi data pribadi yang sensitif. DPA disebut sebagai Dewan Perlindungan Data India (‘DPBI’).
Alasan untuk pengumpulan dan pemrosesan
Persetujuan terus menjadi landasan utama untuk memproses data pribadi. Itu harus ‘diberikan secara bebas’, ” spesifik ‘,’ diinformasikan ‘dan’ indikasi persetujuan yang tidak ambigu ‘melalui’ tindakan afirmatif yang jelas ‘.
Tampak jelas itu persetujuan eksplisit akan diperlukan. Persetujuan juga dapat ditarik, konsekuensinya akan ditanggung oleh subjek data. Rancangan RUU ini juga mencakup alasan yang jelas untuk memproses data pribadi, seperti kepatuhan terhadap undang -undang dan perintah pengadilan, tindakan yang berhubungan dengan epidemi atau situasi hukum dan ketertiban.
Konsep minat yang sah tampaknya ditangkap dengan cara yang berbeda. Beberapa situasi disebutkan di mana persetujuan dianggap telah diberikan. Ini termasuk pemrosesan data pribadi ‘untuk kepentingan publik’ termasuk untuk mencegah atau mendeteksi penipuan, untuk keamanan jaringan dan informasi, penilaian kredit, pemrosesan data pribadi yang tersedia untuk umum dan untuk pemulihan hutang.
Tampaknya tidak jelas apakah perusahaan swasta dapat menggunakan alasan ini, mengingat bahwa pemrosesan harus ‘untuk kepentingan publik’. Ada juga dasar ‘tujuan yang adil dan masuk akal’ tetapi dalam hal ini, pemerintah harus memberi tahu apa tujuan yang adil dan masuk akal. Dengan melakukan itu, pemerintah dapat mempertimbangkan kepentingan fidusia data yang sah.
Salah satu dasar utama adalah di mana pemrosesan data pribadi ‘diperlukan’ dan di mana data pribadi disediakan secara sukarela dan ‘secara wajar diharapkan bahwa subjek data akan memberikan data pribadi tersebut’. Orang harus menunjukkan bahwa pemrosesan ‘diperlukan’ dan data pribadi disediakan ‘secara sukarela’ dan kepala sekolah akan secara wajar diharapkan untuk memberikan data tersebut.
Mungkin ketentuan ini bisa direkrut lebih baik, dengan asumsi ini dimaksudkan untuk menjadi jenis tanah yang sah. Ini kemungkinan akan menjadi ketentuan terpenting dari undang -undang baru untuk bisnis yang tidak ingin pergi ke rute persetujuan.
Pekerjaan
Ada dasar terpisah untuk pemrosesan data pribadi yang terkait dengan pekerjaan yang mencakup pencegahan spionase, pemeliharaan kerahasiaan rahasia dagang dan IP, perekrutan, penghentian pekerjaan, penyediaan layanan atau manfaat kepada karyawan, verifikasi kehadiran dan penilaian kinerja. Data pribadi dapat dikumpulkan dengan alasan ini selama pemrosesan ‘diperlukan’.
Melihat
Versi RUU sebelumnya yang disediakan untuk informasi luas yang akan diberikan sebagai bagian dari pemberitahuan kepada kepala sekolah. Itu berlebihan. Versi ini hanya mencakup dua hal: jenis data pribadi yang akan diproses dan tujuan pemrosesan. Informasi ini harus disediakan secara terperinci.
Anak-anak
Rancangan RUU menjaga ambang batas untuk anak -anak pada 18 tahun. Ini akan dilihat sebagai kekecewaan bagi dunia online, karena standar global cenderung mendekati 16 tahun.
Persetujuan orang tua yang dapat diverifikasi diperlukan untuk pengumpulan data pribadi anak -anak. RUU ini juga melarang profil anak -anak atau pemantauan perilaku atau iklan yang ditargetkan untuk anak -anak. Namun, pemerintah memiliki kekuatan untuk membebaskan persyaratan ini melalui pemberitahuan.
Hak dan Tugas Kepala Sekolah Data
Prinsipal Data (Subjek Data) memiliki beberapa hak. Mereka termasuk hak untuk mengetahui data pribadi apa yang sedang diproses dan hak untuk membuat data pribadi yang tidak akurat diperbaiki. Kepala sekolah data juga dapat meminta data pribadi untuk dihapus dengan alasan bahwa penyimpanannya tidak lagi melayani tujuan yang dikumpulkan.
Menariknya, RUU tersebut mencakup tugas -tugas kepala sekolah; Pada dasarnya tugas untuk tidak memberikan informasi palsu dan tidak mengajukan keluhan sembrono atau keliru
Penyimpanan Data Pribadi
Draf undang -undang mensyaratkan fidusia data (pengontrol data) untuk memastikan bahwa data pribadi yang dipertahankan akurat dan menggunakan langkah -langkah organisasi dan teknis yang sesuai untuk mematuhi hukum. Fidusia data juga harus menggunakan langkah -langkah keamanan yang wajar untuk mencegah pelanggaran data. Fidusia data dapat memelihara data pribadi hanya selama itu melayani tujuan yang dikumpulkan atau untuk tujuan hukum atau bisnis. Setelah itu, data pribadi perlu dihapus.
Pelanggaran data pribadi
Draf RUU mendefinisikan ‘pelanggaran data pribadi’ untuk berarti pemrosesan yang tidak sah atau pengungkapan, penggunaan, perubahan, atau penghancuran data pribadi yang tidak disengaja, yang membahayakan kerahasiaan, integritas, atau ketersediaannya.
Dalam hal terjadi pelanggaran data pribadi, fidusia data atau kepala sekolah harus menginformasikan baik DPBI dan kepala sekolah yang terpengaruh, dengan cara yang ditentukan oleh pemerintah. Definisi luas dari pelanggaran data pribadi akan mencakup contoh kecil pelanggaran data yang pemberitahuan kepada pemerintah dan kepala sekolah tampaknya cukup berat.
‘Fidusia data yang signifikan’
Rancangan hukum mempertahankan konsep a Fidusia data yang signifikan (‘Sdf’). Ini adalah fidusia data (pengontrol) yang memenuhi kriteria yang ditetapkan oleh pemerintah. Dalam menentukan siapa yang akan menjadi SDF, pemerintah akan mempertimbangkan faktor -faktor seperti volume data dan risiko bahaya.
Menariknya, faktor -faktor ini juga termasuk ‘dampak potensial pada integritas dan kedaulatan India’ dan ‘risiko terhadap demokrasi pemilihan’. SDF diharuskan untuk menunjuk petugas perlindungan data, yang harus melapor kepada dewan organisasi. Mereka juga harus menunjuk auditor data independen untuk mengaudit kepatuhan dengan hukum privasi. Pemerintah juga dapat memberi tahu kapan SDF harus melakukan penilaian dampak privasi.
Petugas Perlindungan Data
Hanya SDF yang diperlukan untuk menunjuk petugas perlindungan data. Namun, setiap fidusia data harus menunjuk seseorang untuk bertindak sebagai titik kontak bagi siapa saja yang ingin mengajukan keluhan. Rincian Kontak Petugas Keluhan harus dipublikasikan.
Lokalisasi Data dan Transfer
Draf RUU tidak secara langsung memasukkan ketentuan tentang lokalisasi data. Persyaratan dalam draft sebelumnya bahwa data pribadi yang kritis perlu disimpan hanya di India atau bahwa data pribadi yang sensitif dapat ditransfer di luar India tetapi salinannya harus disimpan di India telah dihapus.
RUU tersebut menyatakan bahwa Pemerintah akan memberi tahu negara -negara tentang data pribadi mana yang dapat ditransfer. Tampaknya sampai pemerintah memberi tahu negara -negara ini, data pribadi dapat ditransfer secara bebas di luar India, meskipun mungkin pemberitahuan akan dikeluarkan pada saat undang -undang tersebut mulai berlaku. Undang -undang tidak mencakup cara lain untuk memungkinkan transfer data seperti melalui klausa kontrak standar (ini adalah metode yang dengannya data pribadi saat ini ditransfer dari UE ke India).
Pengecualian Pemerintah
RUU tersebut memberikan kekuasaan kepada pemerintah untuk membebaskan dirinya dan agen -agennya dari persyaratan RUU tersebut. Alasan yang disebutkan, seperti kedaulatan dan integritas India, keamanan negara, dll., diambil dari Konstitusi India dan juga dikutip oleh Mahkamah Agung India sebagai alasan di mana hak privasi dapat dibatasi. Namun, alasan ini cukup luas dan proporsionalitas dan kewajaran bukanlah bahan penting.
Penalti
Draf undang-undang baru menetapkan hukuman karena ketidakpatuhan. Ada jadwal yang menyebutkan topi penalti untuk pelanggaran khusus. Misalnya, kegagalan untuk mengambil perlindungan keamanan yang wajar untuk mencegah pelanggaran data pribadi akan melibatkan hukuman hingga INR 25 juta (sekitar USD 30 juta).
Hukuman pada umumnya dapat naik ke INR 50 juta (kira -kira. USD 60 juta). Menariknya, tidak ada ketentuan untuk memberikan kompensasi kepada subjek data yang terpengaruh.
Analisis
Pemerintah telah mengambil pendekatan India yang jelas untuk menyusun undang -undang ini. Ini jauh lebih sederhana daripada versi sebelumnya dan bertentangan dengan tren saat ini dari model GDPR dari undang -undang privasi. Jenis undang -undang ini cukup tepat untuk India mengingat sektor UKM yang besar dan tidak terorganisir dan mengingat bahwa standar kepatuhan privasi cukup rendah di India.
Itu mungkin berarti bahwa undang -undang akan gagal mendapatkan keputusan kecukupan dari UE. Dalam kasus apa pun, karena tidak memiliki pengawasan independen atas pengawasan pemerintah, hukum India tidak sepenuhnya mematuhi Schrems II.
Namun ada sejumlah masalah yang perlu ditangani dalam hukum. Yang paling penting adalah mengklarifikasi bahasa seputar jenis minat yang sah yang kami yakini adalah jantung dari undang -undang privasi. Adalah konsep ‘kebutuhan’ yang cukup untuk menangani situasi pengumpulan dan pemrosesan data pribadi yang sah?
Juga akan muncul bahwa persyaratan pemberitahuan hanya berlaku saat persetujuan diperoleh. Ini berarti bahwa ketika data pribadi sedang diproses dengan alasan lain, yang termasuk dalam ketentuan persetujuan yang dianggap, tidak ada pemberitahuan yang diperlukan. Kebutuhan untuk meresepkan persetujuan itu sendiri bisa diperdebatkan. Persetujuan telah ditemukan tidak benar -benar menjadi alat perlindungan terhadap subjek data terutama karena dalam kebanyakan kasus, subjek data tidak punya pilihan selain memberikan persetujuan.
Selama ini, pendekatan yang saya rekomendasikan adalah memiliki undang -undang sentuhan ringan dan untuk memungkinkan DPA membangun peraturan lebih lanjut secara perlahan melalui undang -undang yang didelegasikan. Rancangan undang -undang ini sebagian mengikuti pendekatan itu. Sementara DPBI memang memiliki kekuatan untuk mengesahkan peraturan, mereka hanya berhubungan dengan melaksanakan ketentuan hukum. Dapat diperdebatkan apakah memiliki kekuatan untuk mengesahkan peraturan tentang hal -hal yang tidak disebutkan dalam hukum. Misalnya, masalah seperti portabilitas data, privasi berdasarkan desain, dll., tidak menemukan tempat dalam tagihan. Akan lebih baik bagi kekuatan yang diberikan kepada DPBI untuk dijabarkan secara lebih rinci.
Larangan selimut untuk melacak aktivitas anak -anak di internet dan iklan perilaku tampaknya agak tidak masuk akal. Bagaimana video atau saluran musik online misalnya merekomendasikan film atau musik kepada anak -anak berdasarkan selera mereka tanpa melacak aktivitas mereka?
RUU tersebut juga memberi pemerintah kekuatan untuk membebaskan lembaga -lembaga mana pun dari ketentuan hukum salah satu. Tidak ada ambang kewajaran atau proporsionalitas yang disebutkan. Mungkin, bagaimanapun, ini dapat dibaca ke dalam undang -undang yang diberikan pernyataan yang sudah dibuat oleh Mahkamah Agung India. Pengecualian selimut bagi pemerintah tentang perlunya menghapus data yang tidak lagi melayani tujuan yang dikumpulkannya juga sangat disayangkan.
Sangat disayangkan bahwa komposisi DPBI belum ditentukan dalam hukum sehingga menyerahkannya kepada pemerintah untuk menunjuk siapa pun yang mereka inginkan. DPA yang cerdas teknologi dan gesit sangat diperlukan untuk mengelola peraturan privasi data di India, terutama mengingat bahwa beberapa persyaratan hukum akan ‘sebagaimana ditentukan’.
Secara keseluruhan, pendekatan yang diadopsi masuk akal mengingat lingkungan India dan dapat memberikan landasan peluncuran untuk peraturan terkait privasi yang lebih luas di masa depan. Jelas ada kesalahan dan kesalahan penyusunan, tetapi itu harus diharapkan dalam undang -undang yang lebih sederhana yang juga menyerang jalan baru dan disusun oleh orang -orang yang bukan ahli privasi. Diharapkan bahwa pemerintah akan bekerja dengan komunitas privasi untuk menyelesaikan masalah ini dan mengambil dokumen ini untuk diberlakukan.
Isi artikel ini dimaksudkan untuk memberikan panduan umum untuk materi pelajaran. Saran spesialis harus dicari tentang keadaan spesifik Anda.
Apakah India memiliki undang -undang privasi data?
23 November 2022
India’S Bill Data Baru adalah tas campuran untuk privasi
Oleh Justin Sherman
Saran pencarian
Total Hasil>/>
Relevan terbaru
Hasil filter
India’S Parlemen telah merilis RUU Perlindungan Data Pribadi Digital, pass kedua pada undang -undang privasi data yang komprehensif setelah pemerintah menarik RUU Perlindungan Data pribadinya awal tahun ini. Draf saat ini lebih pendek dari tagihan lainnya, meskipun memiliki banyak komponen yang sama.
Pembuat kebijakan India juga telah mengedarkan komentar tentang RUU yang belum tersedia untuk umum, tetapi yang saya diskusikan di sini. Yang penting, RUU baru ini menawarkan tas campuran untuk privasi – dengan beberapa persyaratan bagi perusahaan untuk menerima individu “izin,” Benar data pribadi yang tidak akurat, dan melindungi hak data bersama dengan ketentuan untuk akses data pemerintah. Analisis ini tidak komprehensif, tetapi menyoroti beberapa poin penting dalam undang -undang yang merupakan pengembangan utama dalam regulasi data global.
Gagasan tentang ‘izin’
Seperti tagihan lama, RUU Perlindungan Data Pribadi Digital mensyaratkan organisasi yang memproses data (yang disebutnya “Fidusia data”) untuk memperoleh “izin” dari individu tentang siapa mereka memproses data. Saat seseorang memberikan mereka “izin,” RUU itu mengatakan, organisasi harus memberi orang itu “Pemberitahuan terperinci dalam bahasa yang jelas dan sederhana” yang menggambarkan data yang dikumpulkan dan tujuan yang sedang diproses, “Segera dapat dipraktikkan secara wajar.” RUU itu juga mengusulkan agar individu dapat menariknya “izin” Agar organisasi memproses data mereka, pada titik mana organisasi yang dimaksud harus berhenti melakukannya.
Gagasan persetujuan ini rusak, dan juga tidak spesifik untuk India. Perusahaan dan pembuat kebijakan AS dan Eropa mendorong ide yang sama. Orang tidak membaca ketentuan perjanjian layanan, dan perusahaan yang mem -flash dokumen panjang dengan legalese yang tidak dapat diakses – menunggu individu untuk hanya mengklik “menerima”—Tahu pengguna tidak membaca atau memahami dokumen.
Ini menentang gagasan persetujuan.
Demikian juga, orang tidak membaca kebijakan privasi, namun banyak situs web dan aplikasi akan secara harfiah menyatakan bahwa melihat situs web atau membuka aplikasi di dalam dan dengan sendirinya merupakan perjanjian dengan kebijakan privasinya. Selain itu, persetujuan tidak sepenuhnya dan bebas diberikan di dunia di mana warga negara – termasuk warga negara India – tidak dapat mengakses layanan dasar tanpa menundukkan diri pada pengumpulan data. Meskipun demikian, tagihan baru’bahasa atas persetujuan menempatkan India relatif ke arah yang sama seperti “izin” Ketentuan dalam undang -undang privasi negara bagian AS dan Peraturan Perlindungan Data Umum di Uni Eropa.
Pengumpulan data pemerintah mengukir
RUU tersebut melemahkan gagasan persetujuan ini lebih jauh dengan menentukan banyak pengecualian, termasuk banyak pengecualian untuk pemerintah India. Sementara beberapa orang bisa dibilang lebih masuk akal, yang lain menciptakan risiko privasi bagi warga negara India dan menghasilkan pertanyaan hukum yang kompleks untuk perusahaan dan organisasi yang beroperasi di India.
Individu, dalam draft tagihan publik terbaru, dianggap telah memberikan persetujuan jika pemrosesan data “diperlukan” untuk “kinerja fungsi apa pun di bawah hukum,” “untuk kepatuhan dengan penilaian atau perintah apa pun yang dikeluarkan berdasarkan undang -undang apa pun,” “untuk menanggapi keadaan darurat medis yang melibatkan ancaman terhadap kehidupan atau ancaman langsung terhadap kesehatan [individu] atau individu lain,” Dan “untuk mengambil langkah -langkah untuk memastikan keselamatan, atau memberikan bantuan atau layanan kepada individu mana pun selama bencana apa pun, atau rincian ketertiban umum,” diantara yang lain. Itu juga akan membebaskan situasi di mana itu “secara wajar diharapkan” bahwa seseorang akan memberikan data pribadi mereka kepada organisasi secara sukarela, pemrosesan “Data pribadi yang tersedia untuk umum,” dan skor kredit.
Sementara beberapa pengecualian ini mungkin tampak masuk akal di wajah mereka (seperti penilaian kredit), banyak yang sangat memprihatinkan dari perspektif privasi dan hak -hak sipil. Pemerintah Perdana Menteri India Narendra Modi sering membuat klaim palsu ancaman terhadap keselamatan publik dan memerintahkan untuk menindak protes dan perbedaan pendapat. Pihak berwenang juga telah menarik pada yang sama meragukannya, tetapi berbingkai ketertiban umum, mengklaim secara legal dan retoris membenarkan mematikan internet lebih dari negara lain di dunia lain di dunia mana pun di dunia mana pun di dunia mana pun di dunia mana pun. Dalam bentuk yang sama, tagihan’S bahasa saat ini akan memungkinkan pengumpulan data berdasarkan pada “kepentingan umum,” didefinisikan secara luas untuk memasukkan minat India’kedaulatan dan integritas, keamanan negara, hubungan persahabatan dengan negara -negara asing, pemeliharaan ketertiban umum, mencegah penghasutan dari salah satu kegiatan yang disebutkan di atas (seperti merusak ketertiban umum), dan mencegah penyebaran dari “pernyataan fakta yang salah.”
Pemerintahan Modi bukan satu -satunya pemerintahan di negara yang secara nominal demokratis yang terlibat dalam praktik langsung yang tidak demokratis. Namun, proposal untuk data pemerintah yang sangat luas diukir dalam RUU tersebut akan memberdayakan pengawasan negara dengan mengorbankan warga negara India’ Privasi dan Hak Sipil. Ini juga akan memaksa perusahaan dan organisasi yang beroperasi di India untuk terus -menerus bergulat dengan serangkaian pertanyaan hukum yang lebih kompleks seputar akses pemerintah yang diperluas ke data.
Mengenai, ini hanyalah salah satu komponen dari pemerintah Modi’dorongan yang lebih luas untuk merusak enkripsi dan meningkatkan kemampuannya untuk memaksa perusahaan teknologi.
Lokalisasi Data
Elemen paling kontroversial dari tagihan perlindungan data pribadi lama mungkin adalah persyaratan lokalisasi data. Ketentuan -ketentuan ini akan mengharuskan organisasi dengan data pribadi tentang warga negara India untuk menyimpan informasi tersebut di negara tersebut, dalam beberapa kasus hanyalah salinan dan dalam kasus lain yang mencegah transfer keluar sepenuhnya. Pembuat kebijakan India yang berbeda menginginkan persyaratan ini untuk berbagai alasan, termasuk untuk membebankan biaya pada perusahaan asing, meningkatkan India’S Industri penyimpanan data, meningkatkan pengawasan pemerintah India atas penyimpanan data yang terkait dengan warga negara India, dan, seperti yang dilihat beberapa orang, memungkinkan akses penegakan hukum India yang lebih baik ke data yang relevan dengan kejahatan yang dipegang oleh perusahaan AS, yang saat ini kurang dapat diakses melalui proses perjanjian bantuan hukum timbal balik yang rusak.
RUU baru ini menjauh dari penekanan pada lokalisasi itu. Alih -alih membutuhkan penyimpanan data lokal semata, ia mengusulkan untuk mengizinkan pemerintah India untuk mengevaluasi negara -negara asing’ Rezim Perlindungan Data dan kemudian mensertifikasi mereka yang cukup untuk menyediakan tujuan bagi warga negara India’ data. Secara khusus, itu menyatakan, “Pemerintah Pusat dapat, setelah penilaian faktor -faktor yang dianggap perlu, memberi tahu negara atau wilayah tersebut di luar India yang dapat mentransfer data pribadi data, sesuai dengan syarat dan ketentuan yang dapat ditentukan sebagaimana ditentukan.”
Bisnis asing pasti akan senang dengan perubahan ini. Paling sering, keluhan mereka tentang lokalisasi data kembali ke biaya – tidak ingin membayar perubahan teknis dan infrastruktur teknis untuk menyimpan data secara lokal di India, serta biaya hukum dan organisasi lainnya. Tetapi ada juga kekhawatiran lain yang dihasilkan oleh lokalisasi data, termasuk biaya emisi iklim untuk infrastruktur penyimpanan data duplikat dan risiko keamanan siber menyimpan salinan informasi lain ketika sebelumnya ada satu lebih sedikit.
Ini memberikan setidaknya beberapa alasan bagi pemerintah India untuk beralih dari rezim lokalisasi data yang sangat terkontrol.
Gagasan lain yang mengalami perdebatan
Versi tagihan saat ini di situs web untuk Kementerian Elektronik dan Teknologi Informasi India tidak berlaku untuk “pemrosesan data pribadi yang tidak automasi,” “data pribadi offline,” “Data pribadi yang diproses oleh individu untuk tujuan pribadi atau domestik,” Dan “Data pribadi tentang seorang individu yang terkandung dalam catatan yang telah ada selama setidaknya 100 tahun.”
Menariknya, satu versi yang ditandai dari tagihan yang saya ulas-yang perubahannya tidak tercermin dalam draft online saat ini-memiliki saran untuk juga dibebaskan “Data pribadi yang dianonimkan” itu adalah “dimiliki oleh pemerintah pusat atau negara bagian, tergantung pada materi pelajaran yang berkaitan dengan data tersebut” dari tagihan. Itu juga berisi edit untuk menggunakan frasa secara eksplisit “Data Free Flow dengan Kepercayaan” untuk menggambarkan ketentuan tentang pemerintah India’Persetujuan untuk transfer dan penyimpanan data asing.
Itu Waktu Ekonomi Laporan, dalam nada ini, bahwa iterasi RUU berikutnya akan membuat pemerintah India mendefinisikan “tepercaya” Geografi yang dapat ditransfer oleh fidusia data dan menyimpan data yang terkait dengan warga India.
Yang pertama adalah (di sini, adalah saran yang buruk. Di Amerika Serikat, legislator federal dan negara bagian terus dibebaskan “dianonimkan” atau “Diidentifikasi” Data dari undang -undang dan tagihan privasi di bawah keyakinan palsu bahwa istilah -istilah tersebut secara teknis bermakna. Banyak penelitian telah menunjukkan betapa mudahnya menghubungkan “Diidentifikasi” atau “dianonimkan” Data kepada orang sungguhan, diberikan kemajuan dalam analisis data statistik, volume data yang belaka di dunia saat ini, dan perusahaan’ Akses ke titik data yang sangat unik bagi individu, seperti riwayat geolokasi atau perangkat’Pola koneksi s wi-fi.
Namun, legislator terus memasukkan ukiran ini dalam undang -undang ini, termasuk karena perusahaan mendorong garis palsu itu “anonimisasi” adalah nyata. Semoga, India’Parlemen tidak jatuh ke dalam perangkap yang sama. Teknik baru untuk lebih melindungi kerahasiaan data sambil tetap memungkinkan organisasi untuk memprosesnya, seperti privasi diferensial, sangat berharga. Jalur yang lebih baik adalah untuk mengenali bahwa ada spektrum kemampuan untuk menghubungkan data dengan nama orang atau oleh pengidentifikasi individu yang jelas – dan total itu “anonimisasi” adalah mitos.
Saran kedua dalam markup tagihan yang tidak diterbitkan yang saya ulas – frasa “Data Free Flow dengan Kepercayaan”—Apakah referensi ke Data Free Flow dengan Trust Initiative yang dipelopori oleh Pemerintah Jepang di 2019 G-20 di Osaka. Pada saat itu, ia menggambarkan keyakinan umum bahwa negara -negara memiliki minat untuk mengizinkan aliran data yang bebas satu sama lain, tetapi dengan beberapa perlindungan di tempatnya. New Delhi menolak untuk menandatangani aliran bebas data awal dengan perjanjian kepercayaan pada tahun 2020 – proklamasi yang tidak jelas untuk mengejar kerja sama untuk a “Data Free Flow dengan Kepercayaan” Kerangka kerja-Karena ia melihat upaya itu terlalu didorong oleh negara-negara yang beralasan tinggi. India’Menteri Perdagangan dan Industri kemudian mengatakan itu “Mengingat kesenjangan digital yang sangat besar di antara negara -negara, ada kebutuhan akan ruang kebijakan untuk negara -negara berkembang yang masih harus menyelesaikan undang -undang di sekitar perdagangan dan data digital. Data adalah alat yang kuat untuk pengembangan dan akses data yang adil adalah aspek penting bagi kami.”
Ketika pemerintah memperluas peraturan aliran data mereka, India’s shift away from such an emphasis on localization and toward a focus on trusted geographies aligns India with some of these efforts—while still leaving space for policymakers to carve out a so-called fourth way of data governance aimed at global south countries. Secara signifikan, India juga mengambil alih kepresidenan G-20, yang berarti aliran bebas data dengan pendekatan tipe kepercayaan dapat menempatkan negara itu dalam posisi yang berpengaruh untuk mendorong percakapan data global di tahun depan.
Kesimpulan
Ada perdebatan intens tentang upaya terakhir dalam regulasi data komprehensif di India, termasuk di antara para pembuat kebijakan India, pembuat kebijakan AS, perusahaan teknologi AS, dan pemangku kepentingan masyarakat sipil di India. Tidak diragukan lagi, debat semacam itu akan terus terjadi di sekitar undang -undang baru.
Ada juga banyak masalah dan pertanyaan lain yang diajukan oleh proposal yang pantas dianalisis dan diskusi yang lebih dalam – jauh lebih dari yang dicakup dalam artikel ini. Untuk saat ini, bagaimanapun, itu’jelas bahwa India berniat menanam benderanya pada regulasi data, dan di mana “Geografi tepercaya” prihatin, ada banyak ruang bagi pemerintah AS untuk terlibat secara produktif.
Justin Sherman (@jshermcyber) adalah rekan di Dewan Atlantik’S cyber statecraft initiative. Dia juga anggota AC South Asia Center’Surfek Tugas Ekonomi Digital AS-India dan memimpinnya kelompok kerja tentang kebijakan data AS-India.
Itu Pusat Asia Selatan berfungsi sebagai Dewan Atlantik’Titik fokus untuk bekerja di wilayah serta hubungan antara negara -negara ini, daerah tetangga, Eropa, dan Amerika Serikat.
India – Upaya baru untuk mengesahkan undang -undang perlindungan data yang komprehensif
Pada bulan November 2022, pemerintah India merilis rancangan RUU Perlindungan Data Pribadi Digital, 2022 (“Tagihan”), dalam upaya baru untuk membuat rezim perlindungan data yang komprehensif.
RUU ini diusulkan untuk diajukan sebelum Parlemen India pada paruh pertama tahun 2023. Kami membahas ketentuan utama RUU tersebut.
Jalan menuju reformasi
India belum memberlakukan undang -undang yang komprehensif tentang perlindungan data. Kerangka peraturan saat ini berasal dari Bagian 43A dari Undang -Undang Teknologi Informasi, 2000 (“Itu bertindak”) dan Teknologi Informasi (Praktik dan Prosedur Keamanan yang Wajar dan Aturan Data atau Informasi Pribadi yang Sensitif), 2011 (“Aturan SPDI”) yang menerapkan kewajiban spesifik dan terbatas. Undang -undang sektoral juga dapat berlaku untuk entitas di sektor yang diatur seperti jasa keuangan dan telekomunikasi . Silakan lihat di sini untuk ringkasan terperinci dari rezim perlindungan data di India.
Pemerintah India telah melakukan sejumlah upaya untuk memperkenalkan undang -undang perlindungan data yang komprehensif. Misalnya, sebelumnya mengusulkan tagihan perlindungan data, 2021 (“2021 Draft Bill”) yang memiliki beberapa kesamaan dengan Peraturan Perlindungan Data Umum (“GDPR”).
RUU rancangan 2021 sekarang telah ditarik dan telah digantikan oleh RUU baru. RUU ini telah dirancang sebagai undang -undang yang sama sekali baru dan tampaknya ramah pemerintah dan bisnis; Ini bukan iterasi dari tagihan rancangan 2021. RUU tersebut akan menggantikan bagian 43A dari Undang -Undang TI dan aturan SPDI.
Garis besar tagihan
RUU ini dimulai dengan sejumlah konsep yang secara luas mirip dengan yang ada di GDPR. Itu mengatur fidusia data (i.e., pengontrol data), pemroses data dan kepala sekolah (i.e., subjek data).
Ini berlaku untuk pemrosesan data pribadi digital, saya.e., Informasi yang berkaitan dengan individu yang dapat mengidentifikasi individu tersebut, di mana data dikumpulkan secara online atau didigitalkan setelah dikumpulkan secara offline.
RUU rancangan 2021 berisi penggambaran data pribadi yang kompleks menjadi data pribadi yang sensitif atau kritis, dan hierarkisasi fidusia data’S kewajiban berdasarkan jenis data pribadi yang diproses. Ini telah dihilangkan dengan. Selain itu, ‘Data non-pribadi’ telah dihapus dari ambisi RUU, yang merupakan perubahan yang disambut baik.
Alasan untuk Pemrosesan – Tujuan dan Persetujuan Sah
Pemrosesan data pribadi harus sesuai dengan RUU tersebut untuk tujuan yang sah, saya.e., Tujuan yang tidak secara tegas dilarang oleh hukum.
Persetujuan tetap menjadi dasar utama untuk memproses data pribadi tetapi, seperti yang ditetapkan di bawah ini, adalah konsep yang sangat berbeda untuk disetujui di bawah GDPR. Fidusia data harus memberikan pemberitahuan yang jelas dan terperinci (dengan deskripsi data pribadi yang dicari dan tujuan mengumpulkan data tersebut) kepada prinsip -prinsip data yang bersangkutan untuk mencari persetujuan mereka.
RUU ini memiliki konsepsi persetujuan yang luas. Selain persetujuan ekspres/ afirmatif, ia mengakui ‘ dianggap persetujuan’, Ambit yang tampaknya sangat luas. Sementara persetujuan afirmatif harus gratis, spesifik, terinformasi dan tidak ambigu dan dapat ditarik, ‘dianggap persetujuan’ tidak membutuhkan individu’ tindakan afirmatif dan tidak menarik kewajiban pemberitahuan. Juga tidak jelas bagaimana penarikan ‘dianggap persetujuan’ akan berhasil.
RUU tersebut mencantumkan situasi di mana ‘dianggap persetujuan’ dapat diandalkan termasuk:
- di mana data diberikan secara sukarela dengan harapan yang wajar bahwa data harus disediakan untuk tujuan tersebut;
- data yang disediakan sehubungan dengan tujuan hukum atau peradilan;
- data yang disediakan sehubungan dengan keadaan darurat medis dan layanan kesehatan;
- data yang disediakan sehubungan dengan rincian ketertiban umum;
- Data yang disediakan sehubungan dengan pekerjaan, yang mencakup pencegahan spionase perusahaan, pemeliharaan kerahasiaan, perekrutan dan penghentian dan kehadiran dan penilaian kinerja; Dan
- Saat data diproses untuk kepentingan publik. Ini termasuk data yang diproses sehubungan dengan M&A dan transaksi restrukturisasi perusahaan, penilaian kredit, pencegahan penipuan, dll. atau untuk tujuan yang adil dan masuk akal ‘seperti yang ditentukan’.
Kewajiban fidusia data
Kewajiban utama fidusia data meliputi:
- menggunakan langkah -langkah untuk mematuhi tagihan;
- memastikan keakuratan dan kelengkapan data pribadi;
- menggunakan perlindungan keamanan yang wajar untuk mencegah pelanggaran data;
- Menghapus data pribadi dari catatan setelah tujuan terpenuhi, kecuali retensi diperlukan secara hukum; Dan
- menggunakan mekanisme pemulihan keluhan.
RUU ini mendefinisikan anak -anak sebagai siapa pun di bawah usia 18 tahun dan membutuhkan persetujuan orang tua yang dapat diverifikasi untuk memproses data pribadi anak -anak.
Perusahaan dapat ditetapkan sebagai ‘Fidusia data yang signifikan’, Berdasarkan faktor -faktor seperti volume dan sensitivitas data pribadi yang diproses, risiko bahaya terhadap prinsip data dan dampak potensial di India’s keamanan dan ketertiban umum. Ini ‘Fidusia data yang signifikan’ tunduk pada kewajiban tambahan seperti melakukan audit berkala dan penilaian dampak perlindungan data dan menunjuk auditor data independen dan petugas perlindungan data.
Organisasi yang secara rutin menangani volume besar data pribadi (bank, perusahaan telekomunikasi, perusahaan asuransi, rumah sakit) cenderung berada di bawah kategori ini, meskipun tidak seperti rancangan tagihan 2021, platform media sosial tidak secara khusus diidentifikasi sebagai sebagai secara khusus sebagai diidentifikasi secara khusus sebagai sebagai sebagai secara khusus diidentifikasi sebagai sebagai sebagai diidentifikasi secara khusus sebagai secara khusus diidentifikasi sebagai sebagai secara khusus diidentifikasi sebagai sebagai diidentifikasi sebagai sebagai diidentifikasi secara khusus sebagai sebagai diidentifikasi sebagai sebagai diidentifikasi secara khusus sebagai sebagai diidentifikasi sebagai sebagai diidentifikasi secara khusus sebagai secara khusus diidentifikasi sebagai sebagai diidentifikasi sebagai sebagai diidentifikasi secara khusus sebagai secara khusus diidentifikasi sebagai sebagai diidentifikasi secara khusus sebagai secara khusus diidentifikasi secara khusus sebagai tidak diidentifikasi secara khusus sebagai tidak diidentifikasi secara khusus secara khusus secara khusus secara khusus yang secara khusus diidentifikasi secara khusus ‘Fidusia data yang signifikan’ .
Hak dan Tugas Kepala Sekolah Data
- Hak informasi seperti, status pemrosesan data pribadi, ringkasan data yang diproses, dan nama -nama perusahaan data pribadi mereka telah dibagikan;
- hak pencalonan individu lain, jika terjadi kematian atau ketidakmampuan;
- Hak koreksi dan penghapusan, yang mencakup fidusia data’S kewajiban untuk memperbaiki data yang tidak akurat/ menyesatkan, menyelesaikan data yang tidak lengkap, memperbarui data pribadi, dan menghapus data setelah tujuan terpenuhi; Dan
- Hak atas pemulihan keluhan di hadapan Dewan Perlindungan Data India atau fidusia data.
Tidak seperti biasanya, RUU ini juga membebankan tugas pada kepala sekolah (individu). Mereka dapat dikenakan hukuman hingga INR 10.000 untuk ketidakpatuhan, ketentuan unik yang tampaknya telah diperkenalkan untuk mencegah keluhan sembrono .
Lokalisasi Data dan Transfer Data Lintas Batas
Sementara RUU tersebut tidak secara khusus mengamanatkan penyimpanan data pribadi digital di India, persyaratan lokalisasi data berdasarkan undang -undang lain (e.G., Dipaksakan oleh Reserve Bank of India pada bank dan penyedia layanan pembayaran lainnya) akan terus melamar.
Lebih lanjut, di bawah RUU tersebut, transfer data lintas batas diizinkan ke yurisdiksi bahwa pemerintah India ‘mungkin meresepkan’. Oleh karena itu, tampaknya transfer data hanya akan diizinkan ke negara -negara yang termasuk dalam daftar putih pemerintah.
A ‘digital berdasarkan desain’ dan dewan perlindungan data independen, meskipun ditunjuk pemerintah, yang terdiri dari ketua, kepala eksekutif, anggota dan pejabat dan karyawan lainnya, akan ditetapkan oleh pemberitahuan pemerintah, untuk memastikan kepatuhan dan menghukum ketidakpatuhan.
Dewan memiliki kekuatan untuk melakukan pertanyaan pertanyaan, antara lain, Suo Moto keluhan atau keluhan dari individu/ referensi yang terkena dampak dari pemerintah dan mengeluarkan perintah. Perintah tersebut dapat ditinjau lebih lanjut oleh Dewan atau diajukan banding ke pengadilan tinggi yang relevan. Dewan juga dapat merekomendasikan proses penyelesaian sengketa alternatif dan dapat menghentikan prosesnya dengan menerima usaha sukarela untuk melanggar entitas.
Sementara kuantum hukuman untuk B mencapai dan ketidakpatuhan terhadap RUU ini tinggi (dibatasi pada INR 500 crores, yang kira-kira Euro 60m), hukuman tidak terkait dengan omset di seluruh dunia entitas, seperti dalam kasus GDPR dan rancangan rancangan 2021 Draft 2021. Perubahan sambutan lainnya adalah penghapusan sanksi pidana. Kemampuan kepala sekolah yang terkena dampak untuk mengklaim kompensasi juga telah dihapus.
Entitas negara dibebaskan dari kewajiban untuk tidak menyimpan data bahkan setelah tujuan dipenuhi dan juga dapat dibebaskan dari ketentuan RUU oleh pemerintah India untuk kepentingan negara’s keamanan, kedaulatan dan integritas atau untuk menjaga ketertiban umum .
Perusahaan tertentu juga dapat dibebaskan oleh pemerintah India dari kewajiban tertentu. Lebih lanjut, banyak kewajiban fidusia data tidak berlaku ketika pemrosesan diperlukan (i) untuk tujuan yudisial/ kuasi-yudisial oleh pengadilan atau pengadilan, (ii) untuk penegakan hak/ klaim hukum, atau (iii) sehubungan dengan pencegahan pelanggaran.
Apa selanjutnya
RUU ini diusulkan untuk diajukan di hadapan Parlemen India dalam sesi anggaran tahun 2023 dan harus disahkan oleh kedua Gedung Parlemen India dan diberitahu dalam Lembaran Resmi sebelum menjadi hukum. Bahkan setelah diberlakukan, RUU tersebut kemungkinan akan diterapkan secara bertahap selama periode waktu tertentu. Pemerintah India juga akan membuat aturan untuk melaksanakan ketentuan RUU tersebut.
Silakan lihat di sini untuk artikel terperinci tentang ringkasan amandemen kunci yang diusulkan dalam tagihan.
Oleh Deepa Christopher, Mitra, dan Anindita Dutta, Associate, di Talwar Thakore & Associates, sebuah firma hukum terkemuka India terkemuka.