Hindistan’ın Dijital Kişisel Verileri Koruma (DPDP) yasa tasarısının ülkenin iki meclisli Parlamentosunun alt meclisi Lok Sabha tarafından onaylanması bekleniyor, ancak yine de gizlilik hakları grupları ve Hindistan Bloku muhalefet partisinin muhalefetiyle karşı karşıya.
DPDP, bireylere bilgileri üzerinde daha fazla kontrol sağlamak, veri gizliliğini güçlendirmek ve bireylerin verilerine kimin erişebileceğini yönetme yetkisi vermek için kapsamlı yönergeler oluşturmayı amaçlamaktadır. Ayrıca, bir ihlale karşı makul güvenlik önlemlerinin alınmaması durumunda 30 milyon $ (250 crore INR) ceza öngörülüyor.
Ancak gelen haberlere göre, Hindistan Bloku tasarıya karşı çıktı, ancak görüşülmesi bekleniyor.
Tasarıda neler var?
Ground Labs CEO’su Stephen Cavey, bu yasa tasarısının 2019 tarihli orijinal Kişisel Verileri Koruma Yasa Tasarısı’nın yerine geçtiğini, ancak Elektronik ve Bilgi Teknolojileri Bakanlığı tarafından çok sayıda değişiklik önerilmesinin ardından düştüğü yorumunu yaptı. Yeni versiyonun olumlu ve olumsuz unsurları olduğunu ancak bunun kısa sürede gerçekleşeceğine inandığını söylüyor.
Cavey, “Hindistan en büyük demokrasi ve tüm yönlerin ele alındığından emin olmak için herhangi bir yasa tasarısını geçirmek kesinlikle zaman alıyor” diyor. “Onaylanması için Hindistan’ın yasama sürecinden geçmesi gerekiyor.
Teklifler, veri sorumlusunun ne olduğuna dair kapsamlı bir tanım içeriyor ve veri sorumlularının veri sorumlularına hangi kişisel verilerin toplanacağını ve bu tür kişisel verilerin hangi amaçlarla işleneceğini belirten bir bildirim sağlamasını gerektiriyor.
Tasarı ayrıca, veri sorumlularının kişisel verileri kişilerden alınan rızaya dayalı olarak işlemesine ve kişisel verilerin “kabul edilen rızaya” dayalı olarak işlenmesine de izin vermektedir. Veri mutemetlerinden, kendi adlarına işledikleri veya işlenmekte olan kişisel verilerin doğru ve eksiksiz olmasını sağlamak için makul çabayı göstermeleri istenecektir. DPDP ayrıca, her veri mutemetinin kişisel veri ihlallerini önlemek ve kendi mülkiyetinde veya kontrolünde bulunan kişisel verileri korumak için makul güvenlik önlemleri uygulamasını zorunlu kılar.
Kişisel veri ihlalleri, “kişisel verilerin gizliliğini, bütünlüğünü veya kullanılabilirliğini tehlikeye atacak şekilde, kişisel verilerin herhangi bir yetkisiz işlenmesi veya kişisel verilerin kazara ifşa edilmesi, edinilmesi, paylaşılması, kullanılması, değiştirilmesi, imha edilmesi veya bunlara erişim kaybı” olarak tanımlanır.
Gizlilik Endişeleri Nelerdir?
Tasarı özellikle, veri mutemetinin (kişisel verilerin işlenmesinin amacını ve araçlarını belirleyen kuruluş), veri sorumlusuna İngilizce veya Hindistan Anayasası’nın Sekizinci Çizelgesinde belirtilen herhangi bir dilde bu tür bir onay talebine erişme seçeneği sunacağını belirtir. .
Merkezi hükümet, bir veri mutemetinin kişisel verileri aktarabileceği Hindistan dışındaki ülkeleri veya bölgeleri bilgilendirebileceğinden, bir PwC içgörüsü bunu “çok tartışılan zorunlu yerelleştirme” olarak adlandırdığından, bu son bölümün aldatıcı bir nokta olduğu kanıtlandı.
Cavey, tasarıyla ilgili endişelerin, bu taslağın önceki taslağa göre daha rahat olması ve mutemetlerin veri sorumluları üzerinde daha fazla güce sahip olması olduğunu söylüyor. “Daha az koruma, düzenleyici kurum için tespit ve soruşturmanın daha zor olacağı anlamına gelir” diyor.
Tasarı ayrıca merkezi hükümetin Kişisel Verileri Koruma Kurulu üyelerini seçme yetkisine sahip olduğunu ve dolayısıyla bağımsızlığını tehlikeye attığını belirtiyor. Cavey, bunun Veri Koruma Kurulu’nun nasıl çalıştığı, ne kadar bağımsız olacağı ve hükümetle nasıl işbirliği içinde çalışacağıyla ilgili temel endişe olduğunu söylüyor.
Vatandaşların Mahremiyetine İlişkin Endişeler
Gizlilik savunucularını endişelendiren birkaç alan var. Gizlilik ve politika avukatı Raktima Roy, bir LinkedIn gönderisinde, tasarının hükümetin veri erişimini zorunlu kıldığını ve ona çok az veya hiç koruma olmaksızın içeriği kaldırma gücü verdiğini söyledi. Ve Hindistan’ın zaten sınırlı usuli güvencelerle müdahale, izleme ve içerik engellemeye ilişkin yasaları olduğu düşünüldüğünde, veri koruma tasarısındaki bu yeni hükümler çelişkili olabilir.
“Şimdiye kadar bu muafiyeti getiren yasa tasarısının her tekrarında yargıçlar, muhalefet üyeleri ve sivil toplum arasında bu konuda haklı muhalefet olmakla kalmıyor, aynı zamanda ticari olarak da sağlıklı değil, çünkü herhangi birinden bir yeterlilik kararı almayı zorlaştırabilir. Burada veri aktarımına izin vermeden önce Hindistan’da güçlü veri koruma yasalarının yürürlükte olduğunu görmesi gereken bir ülke,” dedi Roy.
Bir hüküm, Merkezi Hükümetin, bir veri mutemetinin kişisel verileri aktarabileceği Hindistan dışındaki ülkeleri veya bölgeleri bilgilendirebileceğini belirtir.
Ayrıca fatura tasarımı gereği dijitaldir, bu nedenle bir vatandaşın bilgiye ihtiyacı varsa sorularını veya şikayetlerini dijital olarak iletmesi gerekir. Benzer şekilde, bir kişi veya kuruluşun internet erişimi varsa ve kamuyla ilgili belirli bir bilgiye ihtiyacı varsa, hükümet mahremiyet ihlali kapsamında reddetmeyi seçebilir ve kişi veya kuruluşa para cezası verebilir.
Ayrıca, vatandaşlara hükümetlerden ve kamu yetkilileri tarafından tutulan alanlardan gelen veri veya bilgilere erişim hakkı veren 2005 Bilgi Edinme Hakkı (RTI) Yasası üzerinde potansiyel çelişkili bir etki vardır. Ancak DPDP, aranan bilgilerin herhangi bir kamu faaliyetiyle ilgisi olmadığını, herhangi bir kamu yararı ile bağlantısının bulunmadığını veya mahremiyetin yersiz ihlaline neden olacağını düşünürse, hükümetin bu bilgileri vermeyi reddedebileceğini söylüyor.