Hindistan hükümeti, kamuoyunun katılımı için Dijital Kişisel Verilerin Korunması (DPDP) Kurallarının taslak versiyonunu yayınladı.
Hindistan Basın Bilgi Bürosu (PIB) Pazar günü yayınlanan bir bildiride, “Veri emanetçileri, kişisel verilerin nasıl işlendiğine ilişkin açık ve erişilebilir bilgiler sağlamalı ve bilgilendirilmiş rızaya olanak sağlamalıdır.” dedi.
“Vatandaşlar, verilerinin silinmesini talep etme, dijital adaylar atama ve verilerini yönetmek için kullanıcı dostu mekanizmalara erişme haklarıyla güçlendirildi.”
2023 Sayılı Dijital Kişisel Verilerin Korunması Yasası’nın işler hale getirilmesini amaçlayan kurallar aynı zamanda vatandaşlara verileri üzerinde daha fazla kontrol sağlıyor ve onlara bilgilerinin işlenmesi için bilgilendirilmiş onay verme seçeneklerinin yanı sıra dijital platformlar ve adreslerle silme hakkı da sunuyor. şikayetler.
Hindistan’da faaliyet gösteren şirketlerin ayrıca kişisel verileri korumak ve gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamak için şifreleme, erişim kontrolü ve veri yedekleme gibi güvenlik önlemlerini uygulaması gerekmektedir.
Veri mutemetlerinin uyması beklenen DPDP Kanunu’nun diğer önemli hükümlerinden bazıları aşağıda listelenmiştir:
- İhlalleri tespit etmek ve ele almak ve günlüklerin bakımını yapmak için mekanizmalar uygulayın
- Veri ihlali durumunda, olaya yol açan olayların sırası, tehdidi azaltmak için alınan önlemler ve biliniyorsa kişinin/kişilerin kimliği hakkında 72 saat içinde (veya gerekiyorsa daha fazla) ayrıntılı bilgi sağlayın. İzin verilen) Veri Koruma Kuruluna (DPB)
- Üç yıllık bir sürenin sonunda artık ihtiyaç duyulmayan kişisel verileri silin ve bu bilgileri silmeden 48 saat önce bireyleri bilgilendirin
- Kullanıcıların kişisel verileri işlemesine ilişkin her türlü soruyu yanıtlamaktan sorumlu olan belirlenmiş bir Veri Koruma Görevlisinin (DPO) iletişim bilgilerini web sitelerinde/uygulamalarında açıkça gösterin
- 18 yaşın altındaki çocukların veya engelli kişilerin kişisel verilerini işlemeden önce ebeveynlerden veya yasal vasilerden doğrulanabilir onay alın (muafiyetler sağlık profesyonellerini, eğitim kurumlarını ve çocuk bakımı sağlayıcılarını içerir, ancak yalnızca sağlık hizmetleri, eğitim faaliyetleri, güvenlik izleme gibi belirli faaliyetlerle sınırlıdır) ve nakliye takibi)
- Yılda bir kez bir Veri Koruma Etki Değerlendirmesi (DPIA) ve kapsamlı bir denetim gerçekleştirin ve sonuçları DPB’ye rapor edin (yalnızca “önemli” kabul edilen veri mutemetleriyle sınırlıdır)
- Sınır ötesi veri aktarımları söz konusu olduğunda federal hükümetin belirlediği gereksinimlere uyun (Hindistan sınırları içinde kalması gereken kişisel verilerin kesin kategorileri uzman bir komite tarafından belirlenecektir)
Taslak kurallar ayrıca, verilerinin federal ve eyalet hükümet kurumları tarafından işlenmesi sırasında vatandaşlar için belirli koruma önlemleri öneriyor; bu tür işlemlerin yasal, şeffaf ve “yasal ve yasal düzenlemelere uygun” bir şekilde gerçekleşmesini gerektiriyor.
politika standartları.”
Bireylerin dijital verilerini kötüye kullanan veya korumayı başaramayan ya da bir güvenlik ihlali konusunda DPB’yi bilgilendiren kuruluşlar, 250 crore’ye (yaklaşık 30 milyon $) kadar parasal cezalarla karşı karşıya kalabilir.
Elektronik ve Bilgi Teknolojileri Bakanlığı (MeitY), 18 Şubat 2025 tarihine kadar taslak düzenlemeler hakkında kamuoyundan geri bildirim istiyor. Ayrıca başvuruların hiçbir tarafa açıklanmayacağını da belirtti.
DPDP Yasası, 2018’den bu yana birkaç kez yeniden çalışıldıktan sonra resmi olarak Ağustos 2023’te kabul edildi. Veri koruma düzenlemesi, Hindistan yüksek mahkemesinin 2017 yılında gizlilik hakkını Hindistan Anayasası kapsamında temel bir hak olarak yeniden onaylayan kararının ardından ortaya çıktı.
Bu gelişme, Telekomünikasyon Bakanlığı’nın, iletişim ağlarını güvence altına almak ve katı veri ihlali açıklama yönergelerini uygulamak için 2023 Telekomünikasyon Yasası kapsamında Telekomünikasyon (Telekom Siber Güvenliği) Kurallarını (2024) yayınlamasından bir ay sonra gerçekleşti.
Yeni kurallara göre, bir telekomünikasyon kurumu, ağını veya hizmetlerini etkileyen herhangi bir güvenlik olayını, bundan haberdar olduktan sonraki altı saat içinde federal hükümete bildirmek zorunda; etkilenen şirket de 24 saat içinde ek ilgili bilgileri paylaşacak.
Buna ek olarak, telekomünikasyon şirketlerinin Hindistan vatandaşı ve Hindistan’da ikamet etmesi gereken bir Baş Telekomünikasyon Güvenlik Görevlisi (CTSO) ataması ve mesaj içeriği hariç trafik verilerini federal hükümetle belirli bir formatta paylaşması gerekiyor. Telekomünikasyon siber güvenliğini sağlamak.”
Ancak İnternet Özgürlüğü Vakfı (IFF), “aşırı geniş ifadelerin” ve “trafik verileri” tanımının taslaktan çıkarılmasının kötüye kullanıma kapı açabileceğini söyledi.