Hindistan Devlet Başkanı Droupadi Murmu Cuma günü onay verdi Dijital Kişisel Verileri Koruma Yasası (DPDPB), geçen hafta parlamentonun her iki kanadı tarafından oybirliğiyle kabul edildikten sonra, insanların bilgilerini güvence altına alma yolunda önemli bir adım oldu.
“Tasarı, dijital kişisel verilerin, hem bireylerin kişisel verilerini koruma haklarını hem de bu tür kişisel verilerin yasal amaçlarla ve bunlarla bağlantılı veya arızi meseleler için işlenmesi ihtiyacını tanıyan bir şekilde işlenmesini sağlar.” dedi hükümet.
Uzun zamandır beklenen veri koruma yasası, Elektronik ve Bilgi Teknolojileri Bakanlığı’nın (MeitY) Kasım 2022’de yasa taslağını yayınlamasından aylar sonra gelir. İlk taslağı Temmuz 2018’de yayınlanan yasa beş yılı aşkın bir süredir yapım aşamasındadır. • Bir yıl önce, Hindistan Yüksek Mahkemesi mahremiyeti temel bir hak olarak onayladı.
Hindistan içinde ve dışında hem çevrimiçi hem de çevrimdışı toplanan (ve daha sonra sayısallaştırılan) kişisel veriler için geçerli olan yasal çerçeve, bilgilerin “yalnızca bir bireyin rızası üzerine yasal bir amaç için” işlenmesini ve yalnızca amaç için gerekli olanın saklanmasını gerektirir. tanımlanmış.
Kullanıcılardan gelen açık rıza taleplerine, kişisel verilerin hangi amaçla işlenmesinin teklif edildiğini bildiren bir bildirim eşlik etmeli veya öncesinde bir bildirim bulunmalıdır. “Kişisel veriler”, “bu tür verilerle veya bu tür verilerle ilişkili olarak kimliği belirlenebilen bir kişi hakkında herhangi bir veri” anlamına gelir.
Bununla birlikte, gönüllü olarak sağlandığında, örneğin e-posta yoluyla fatura göndermeyi seçerek, platformların kişisel kullanıcı verilerini işleyebileceği “belirli meşru kullanımlar” için onay gerekli değildir. Ayrıca, yeni başlayanlar gibi belirli veri mütevellileri için uyumluluk gerekliliklerinden feragat eder.
Bunun yanı sıra 18 yaşına kadar olan çocukların veya yasal vasisi bulunan engelli bir kişinin kişisel verilerinin işlenmesi, şirketlerin ebeveynlerinden veya vasilerinden doğrulanabilir onay almalarını gerektirmektedir.
Hükümet, “Tasarı, çocukların refahına zarar veren veya onların izlenmesini, davranışsal izlenmesini veya hedefli reklamları içeren işlemeye izin vermiyor” dedi.
Bununla birlikte, kapsanan bir kuruluşun çocukların kişisel verilerinin işlenmesinin hükümet tarafından “doğrulanabilir şekilde güvenli” kabul edilen bir şekilde yapıldığını yeterince kanıtlayıp kanıtlamadığının incelenmesi üzerine onay muaf tutulabilir.
Bilgilerden sorumlu kuruluşlar, verilerin doğruluğunu korumak, verileri güvende tutmak ve amacına ulaşıldığında verileri silmekle yükümlüdür. Ayrıca kullanıcılara bilgi edinme, düzeltme ve silme talebinde bulunma ve şikayette bulunma hakkı verir.
Ayrıca, KVKK Yasası, şikayetleri incelemek, veri ihlallerini araştırmak ve olayların ciddiyeti, süresi ve “tekrarlayan doğası” temelinde cezalar uygulamak üzere hükümet tarafından atanan üyelerden oluşan bir Veri Koruma Kurulu’nun (DPB) kurulmasını şart koşmaktadır.
BT Bakanı Rajeev Chandrasekhar, “Bir vatandaşın verilerinin ihlali durumunda, web sitesini ziyaret etmeleri, veri koruma kuruluna ayrıntıları sağlamaları yeterlidir ve kurul, ihlal eden platformlara cezalar uygulayarak bir soruşturma başlatır.” Dedi.
Bireylerin dijital verilerini kötüye kullanan veya korumakta başarısız olan ya da bir saldırıyı DPB’ye bildiren kuruluşlar, ₹ 250 crore’a (30,1 milyon $) varan para cezalarıyla karşı karşıya kalabilir. Kurulun kararları, 60 gün içinde incelenmek üzere Telekom Uyuşmazlıkların Çözümü ve Temyiz Mahkemesinde temyiz edilebilir.
Tasarının önceki taslağından bir rahatlama olarak, kişisel verileri işleyen şirketler, merkezi hükümet bu tür aktarımları açıkça yasaklamadığı sürece, artık bunları işlenmek üzere başka herhangi bir ülkeye aktarabilir. Önceden, sınır ötesi veri aktarımlarına yalnızca belirli ülke ve bölgelere izin veriliyordu.
Önemli bir anlaşmazlık noktası, “Hindistan’da yürürlükte olan herhangi bir yasaya aykırılığın veya herhangi bir suçun önlenmesi, tespiti, soruşturulması veya kovuşturulması” amacıyla yasanın hükümlerine bağlı kalmaktan devlet kurumlarına tanınan geniş muafiyettir.
DPB’nin özerk olmamasına rağmen, odak noktasının çoğu, muafiyetlerin potansiyel olarak gerekli görülenin ötesinde veri toplanması, işlenmesi ve tutulmasıyla sonuçlanabileceği ve böylece potansiyel olarak artan kitlesel gözetimi ve hükümet liderliğindeki mahremiyet ihlallerini kolaylaştırabileceği endişeleri etrafında toplandı. .
Eşit derecede endişe verici başka bir konu da, hükümetin “herhangi bir bilgisayar kaynağında üretilen, iletilen, alınan, depolanan veya barındırılan herhangi bir bilgiye” erişimi genel halkın çıkarları doğrultusunda kısıtlama yeteneğidir ve bu da “muhalif görüşlere yönelik dizginsiz bir sansüre” yol açar.
İnternet Özgürlüğü Vakfı yaptığı açıklamada, “Mevcut haliyle, DPDPB, 2023, Gizlilik Hakkını yeterince korumamaktadır ve yasalaştırılmamalıdır.” Dedi. “Birçok veri koruma endişesini ele almakta başarısız oluyor ve bunun yerine devlet ve özel sektör aktörlerinin veri işleme faaliyetlerini kolaylaştırmak için bir rejim uyguluyor.”