Cuma günü hükümet, bazı ülkelerde kişisel verilerin aktarılmasına ve saklanmasına izin verirken ihlallerin cezasını artıran yeni bir veri gizliliği yasası önerdi.
Dijital Kişisel Verileri Koruma (DPDP) Yasa Tasarısı 2022 taslağı, büyük teknoloji şirketlerini sınır ötesi veri akışları üzerindeki katı kısıtlamaları konusunda endişelendiren önceki bir sürümün yerini aldığı için Google, Amazon, Facebook ve diğer küresel şirketler için büyük bir rahatlama olacak.
Kamuoyunun geri bildirimi için Cuma günü açıklanan taslağa göre hükümet, “bir veri mütevelli heyetinin kişisel verileri aktarabileceği Hindistan dışındaki ülkeleri veya bölgeleri bilgilendirecek”.
Yeni taslak, Meclis onayından sonra yasalaşacak.
Önerilen mevzuat, kişisel verileri toplamadan önce rızayı şart koşuyor ve Rs’ye kadar sert cezalar sağlıyor. Yanlışlıkla ifşa, kişisel verilerin paylaşılması, değiştirilmesi veya yok edilmesi dahil olmak üzere veri ihlallerini önleyemeyen kişi ve şirketlere 500 crore.
Şirketlerin toplanan verileri yalnızca belirli süreler boyunca saklamasına izin verilir.
Taslak ayrıca merkezi hükümete, devlet kurumlarını “Hindistan’ın egemenliği ve bütünlüğü adına” yasa tasarısının hükümlerinden muaf tutma ve kamu düzenini koruma yetkisi veriyor.
750 milyondan fazla internet kullanıcısı ve cep telefonlarının en büyük ikinci evi olan Hindistan, teknoloji devleri için büyük ve büyüyen bir pazar, ancak önceki gizlilik kuralları onları kızdırmıştı.
Taslak, çevrimiçi toplanan kişisel verileri ve dijitalleştirilmiş çevrimdışı verileri kapsar. Bu tür veriler Hintli kullanıcıların profilini çıkarmayı veya onlara hizmet satmayı içeriyorsa, kişisel verilerin yurt dışında işlenmesi için de geçerli olacaktır.
“2022 DPDP Yasa Tasarısı, önerilen veri koruma rejimini basitleştirdi ve önceki sürümlerde endüstrinin geri çekilmesine neden olan bazı tartışmalı maddeleri ortadan kaldırdı. Özellikle, veri yansıtma, veri yerelleştirme gereksinimleri ve genel uyumluluklar, önceki Yasa Tasarısına kıyasla sınırlı görünüyor.” dedi JSA hukuk firmasının Ortağı Rupinder Malik.
Yasama amacının, sınır ötesi veri akışlarını kolaylaştırmaya odaklanan teknoloji ve BT iş dostu gibi göründüğünü söyledi. “Sulandırılan bazı yönler, bireysel mahremiyet haklarına tanınan genel korumayı potansiyel olarak azaltabilir. Olumlu yanı, Tasarının daha az belirsizlikle daha basit bir şekilde hazırlanmış olmasıdır.” Yeni yasa tasarısı, bu yıl Ağustos ayında hükümet tarafından geri çekilen Veri Koruma Yasası’nın yerine geliyor. Taslak, 17 Aralık’a kadar kamuoyunun görüşüne açık.
Tasarı taslağı, uyumluluğu sağlamak için bir ‘Veri Koruma Kurulu’ kurulmasını gerektiriyor. Kurul ayrıca kullanıcı şikayetlerini de dinleyecektir.
Onay vermek, yönetmek, incelemek ve geri çekmek için “erişilebilir, şeffaf ve birlikte çalışabilir bir platform” sağlamak üzere Google ve Facebook gibi firmaların bir “izin yöneticisine” karşı sorumlu olmasını gerektirir.
Kullanıcılar, kişisel verilerini düzeltme ve silme hakkına sahiptir.
Çocukların kişisel verileri, ebeveynlerinin izni olmadan elde edilemez veya işlenemezken, kanun taslağı reklamların çocukları hedef alamayacağını belirtmektedir.
İşledikleri veri hacmi gibi faktörlere dayalı olarak ‘önemli’ büyüklükteki şirketlerin, yasa hükümlerine uygunluğu değerlendirmek için bağımsız bir veri denetçisi ataması gerekecek.
Hükümete, bir şirketten hizmetlerin sunulmasını hedeflemeye veya politikalar oluşturmaya yardımcı olmak için anonimleştirilmiş kişisel verileri ve kişisel olmayan verileri sağlamasını isteme yetkisi veren önceki sürümdeki hüküm, yeni taslakta yok.
Yeni taslak, ceza miktarını Rs’ye kadar yükseltiyor. Hükümleri ihlal ettiği için 500 crore. 2019’da yayınlanan kişisel verilerin korunması yasa tasarısı, Rs’lik bir ceza önermişti. 15 crore veya bir kuruluşun küresel cirosunun yüzde 4’ü, hangisi daha yüksekse.
Açıklayıcı bir notta “Bu Tasarının amacı, dijital kişisel verilerin, bireylerin kişisel verilerini koruma hakkını, kişisel verilerin yasal amaçlar ve diğer arızi amaçlar için işlenmesi ihtiyacını tanıyan bir şekilde işlenmesini sağlamaktır.” yasa tasarısı dedi.
Taslak, yasa tasarısı hükümlerine göre işlevleri yerine getirecek bir Hindistan Veri Koruma Kurulu kurmayı öneriyor.
“Kurul, bir soruşturma sonucunda bir kişinin uygunsuzluğunun önemli olduğuna karar verirse, kişiye makul bir dinlenilme fırsatı verdikten sonra, Çizelge 1’de belirtilen beş rupiyi geçmeyecek şekilde bir mali ceza verebilir. her durumda yüz crore” dedi taslak.
Önerilen mevzuat kapsamında herhangi bir ihlal durumunda Veri Sorumluları ve Veri İşleyicileri için kademeli bir ceza sistemi önermiştir.
Veri Mutemetleri, kişisel verileri kendileri veya Veri İşleyenlerin yardımıyla işleyecek olan kuruluşlardır.
Taslak, Rs’ye kadar bir ceza önerdi. Veri Mutemetinin veya Veri İşleyicinin, mülkiyetinde veya kontrolünde bulunan kişisel veri ihlallerine karşı koruma sağlayamaması durumunda 250 crore.
Taslak ayrıca Rs’ye kadar bir ceza önerdi. Veri Mutemetinin veya Veri İşleyicisinin veri ihlali hakkında Kurula ve veri sahibine bilgi vermemesi durumunda 200 crore.
Ayrıca, yasa tasarısı Rs’lik bir ceza vermeyi teklif ediyor. Herhangi bir belge, hizmet, kimlik veya adres kanıtı vb. için başvururken ve bir Veri Mütevelli Heyeti veya Kurul’a yanlış veya anlamsız bir şikayette bulunurken doğrulanamayan veya yanlış bilgi veren kişiler hakkında 10.000.
Tasarıda, kişisel verilerin işlenmesinin herhangi bir yasal hak veya iddianın icrası, herhangi bir adli veya adli benzeri işlevin yerine getirilmesi, soruşturma veya herhangi bir suçun kovuşturulması veya veri sahibinin Hindistan sınırları içinde olmaması ve ülke dışındaki herhangi bir kişiyle herhangi bir sözleşme yapmış olması.
Taslağa göre, “Merkezi Hükümet, gerekli gördüğü bu tür faktörleri değerlendirdikten sonra, bir Veri Mütevelli Heyeti’nin kişisel verileri aktarabileceği Hindistan dışındaki ülkeleri veya bölgeleri bilgilendirebilir.”
Elektronik ve Bilişim Bakanlığı tarafından yayınlanan açıklayıcı notta, tasarının dayandığı yedi ilke sıralandı.
Bunlar, kişisel verilerin kuruluşlar tarafından ilgili kişiler için yasal, şeffaf ve adil bir şekilde kullanılması ve kişisel verilerin toplanma amaçları için kullanılmasıdır.
Taslakta ayrıca, yalnızca belirli bir amaca ulaşmak için gerekli olan kişisel verilerin toplanması ve varsayılan olarak sürekli olarak saklanması gerektiğine dair bir hüküm bulunmaktadır.
Açıklamada, “Dijital Kişisel Verilerin Korunması Yasası, bir yandan vatandaşın (Digital Nagrik) hak ve görevlerini, diğer yandan da Data Fiduciary’nin toplanan verileri hukuka uygun kullanma yükümlülüklerini çerçeveleyen bir mevzuattır.”
Tasarı taslağı hakkındaki görüşler 17 Aralık’a kadar sunulabilir.