Hindistan Veri Koruma Kurallarını Kamuoyunun Geri Bildirimine Açtı

Coğrafi Odak: Asya, Coğrafi Özel, Yönetişim ve Risk Yönetimi

Hükümet, Şirketlere Yönelik Katı İhlal Raporları ve Veri Saklama Kuralları Öneriyor

Jayant Chakravarti (@JayJay_Tech) •
8 Ocak 2025

Hindistan Elektronik ve Bilgi Teknolojileri Bakanlığı, parlamentonun vatandaşların veri güvenliği ve mahremiyet hakkını korumaya yönelik ülkenin ilk dijital kişisel veri koruma yasasını yürürlüğe koymasından bir buçuk yıl sonra, 2025 Dijital Kişisel Veri Koruma Kurallarını kamuoyunun geri bildirimine açtı.

Ayrıca bakınız: Netskope FERPA Haritalama Kılavuzu

Hükümet, 18 Şubat’a kadar kamuoyunun yorumuna açık olan taslak belgenin, 2023 Dijital Kişisel Verilerin Korunması Yasası’nın uygulanmasını kolaylaştıracak bir çerçeve görevi göreceğini söyledi. Çerçeve, diğer hususların yanı sıra, çocukların kişisel verilerinin işlenmesi, veri mutemetlerinin görevleri, kuruluşlar tarafından “rıza yöneticileri”nin atanması ve rolü ve bireylerin veri koruma kanunu kapsamındaki haklarından nasıl yararlanabileceğine ilişkin yönergeler belirliyor.

Yayın, Hindistan Parlamentosu’nun her iki meclisinin de Ağustos 2023’te kabul ettiği DPDP Yasasını takip ediyor; vatandaşlara şirketlerin kendileri hakkında sakladığı bilgilere erişim hakkı, kişisel verileri düzeltme ve silme hakkı ve suçlulara karşı şikayette bulunma hakkı veriyor (bkz: Hindistan) Parlamento Dijital Veri Koruma Tasarısını Geçirdi).

Kanun ayrıca, gizlilik ihlalleri için her ihlalin ciddiyetine bağlı olarak maksimum 30 milyon dolara kadar para cezası öneriyor. Aynı zamanda yerelleştirmeyi yalnızca ödeme verileriyle sınırlandırarak ve kişisel verilerin belirli bölgelere ve belirli bölgelerden serbest akışına izin vererek veri yerelleştirme gereksinimlerini de kolaylaştırır. Hükümet, “DPDPA, ilerleyen teknolojik gelişme, ticari büyüme ve temel gizlilik hakkı arasında adil bir dengeyi temsil ediyor” dedi.

İşletmelere Yük

Taslak veri koruma kuralları, müşteri verilerini saklayan ve işleyen kuruluşların izin yöneticileri atamasını gerektiriyor. Rıza yöneticisi gerekliliği, Hindistan’da kurulmuş ve minimum net değeri 233.000 ABD Doları olan şirketler için geçerli olacak ve bu kuruluşların, vatandaşların verilerinin işlenmesi için rıza gösterebilecekleri platformlar sağlaması gerekiyor.

Bu rıza platformları, rıza yöneticilerinin yalnızca kullanıcılar tarafından verilen, reddedilen veya geri çekilen rızaların yanı sıra şirketler tarafından yapılan rıza taleplerinin kayıtlarını tutabilmesini, ancak kişisel verileri görüntüleyememesini sağlamak için yeterli güvenliğe sahip olmalıdır.

Kurallar ayrıca, izin yöneticilerinin geçmiş izin kayıtlarını kullanıcılarla paylaşması gerektiğini ve bu amaçla geliştirilen web sitesi veya uygulamanın, kullanıcının hizmetlere erişebileceği birincil araç olarak hizmet etmesi gerektiğini söylüyor. Onay yöneticileri, her kaydı en az yedi yıl veya veri sorumlusu tarafından kararlaştırılan bir süre boyunca saklamalıdır ve yükümlülüklerini üçüncü taraflara devredemez.

Taslak kurallarda ayrıca vatandaşların kişisel verilerini toplayan kuruluşların ihlalleri önlemek için “makul güvenlik önlemlerine” sahip olmaları gerektiği belirtildi. Bu korumalar, kişisel verileri korumak için şifreleme algoritmalarının, maskeleme araçlarının veya sanal belirteçlerin kullanımını içerebilir; veri görünürlüğünü ve erişim kontrolünü optimize eden araçlar; ve yetkisiz erişimi tespit eden veya veri ihlalinin kontrol altına alınmasına yardımcı olan çözümler.

Taslak kurallarda veri mutemetleri olarak adlandırılan kuruluşların da kişisel veri ihlallerini etkilenen kullanıcılara hızlı, kısa ve net bir şekilde bildirmeleri gerekecek. Bildirimler, olayın meydana geldiği zamanı ve yeri, olayın tanımını, ihlal olayının sonuçlarını ve riski en aza indirmek için alınan önlemleri içerecektir. Kurallar, daha önce veri ihlallerini yalnızca düzenleyici kurumlara bildirmekle yükümlü olan kuruluşlara ek yük getiriyor.

Kişisel veri ihlalinin farkına varılması durumunda kuruluşlara, olayla ilgili ayrıntıları kurula bildirmek için maksimum 72 saat süre tanınacak. Ayrıntılar, ihlalin nasıl ve ne zaman gerçekleştiğini, etkisini azaltmak için alınan önlemleri ve etkilenen müşterilere verilen bildirimlerin kayıtlarını kapsamalıdır.

Kuruluşlar ayrıca kullanıcılar hakkında toplanan kişisel verileri, kullanıcının silme talebinde bulunmasından en geç 48 saat sonra silmelidir. Kullanıcılara ayrıca kişisel verilerinin kullanımı veya yayılmasıyla ilgili soruları yanıtlayabilecek belirli şirket çalışanlarının ayrıntıları da sağlanmalıdır.

Her Kullanıcının Kimlik Doğrulaması

Çocuklara ait verileri toplayan kuruluşların, ebeveynlerin veya velilerin doğrulanabilir rızasını almaları ve doğru kişilerden rıza aldıklarını doğrulamaları gerekecektir. Kurala uymak için kuruluşların API’lerini Hindistan hükümetinin kimlik belgeleri aracılığıyla vatandaşların kimliğini doğrulayan Digital Locker hizmetine bağlaması gerekebilir.

Taslak kurallara göre, eğitim kurumları, sağlık klinikleri, ruh sağlığı kurumları, sağlık çalışanları, çocuk bakım merkezleri ve kreşlerin, çocuk verilerini belirli amaçlarla işlemeden önce ebeveyn veya vasi izni alması gerekmeyecek.

İnternet Özgürlüğü Vakfı’na göre, hükümetin kuruluşlara ebeveynlerinin ve velilerinin kimlik doğrulamasını zorunlu tutması, çevrimiçi kullanıcıların, çevrimiçi platformlarda devlet kimlik bilgileri aracılığıyla yaşlarını doğrulamak zorunda kalabileceği anlamına geliyor. Vakıf, “Bu, her kullanıcının çevrimiçi kimlik bilgileriyle bağlantılı devlet kimlikleriyle kitlesel gözetim potansiyelini barındırıyor. Bu hükümler aynı zamanda veri minimizasyonu veya saklama sınırlamaları ilkelerini ve kişisel verilerin aşırı toplanması ve uzun süre saklanması riskini de ihlal ediyor” dedi.

Elektronik ve Bilgi Teknolojileri Bakanlığı, önerilen kuralları resmileştirmeden önce halkın geri bildirimlerini dikkate alacağını söyledi.

Mumbai merkezli V4WEB Siber Güvenlik’in kurucusu Ritesh Bhatia’ya göre, taslak veri koruma kurallarının parlak yönlerinden biri, ortalama İnternet kullanıcısı için veri gizliliğini ve güvenliğini ön planda tutması ve kuruluşları her kullanıcıdan belgelenmiş ve doğrulanabilir onay almaya zorlaması. , veri silme taleplerine uyun ve hafifletici önlemler ve bir olayın kullanıcının güvenliği ve gizliliği üzerindeki etkisi de dahil olmak üzere veri ihlali olaylarına ilişkin ayrıntılı raporlar sağlayın.