Hindistan hükümeti, ülke içindeki ve dışındaki şirketlerin vatandaşlarının veri gizliliğini nasıl ele alması gerektiğini tanımlayacak kurallar taslağı hazırladı.
Bir buçuk yıl önce Hindistan, ilk kapsamlı ulusal veri koruma yasasını yürürlüğe koydu: Dijital Kişisel Verilerin Korunması (DPDP) Yasası. Kanun, Hint vatandaşlarının verilerine erişme, bunları güncelleme, düzeltme, sorgulama, taşıma ve silme gibi temel gizlilik haklarını ve ayrıca çocuk verilerine yönelik ek korumaları tanımladı ve veri sorumlularının kullanıcı verilerini güvence altına alma, doğruluğunu koruma, veri aktarımını sınırlama gibi çeşitli yükümlülüklerini tanımladı. kullanılır ve daha fazlası.
Kanun açıkça tanımlanmış bir dizi uygulama kuralını beklediğinden, kuruluşlar henüz veri ticareti uygulamalarını ayarlamak zorunda kalmadı. 3 Ocak’ta Hindistan Elektronik ve Bilgi Teknolojileri Bakanlığı (MeitY) şunları yayınladı: DPDP’yi işlevsel hale getirmek için tasarlanmış taslak kurallar. DPDP Kuralları, 22 hüküm ve yedi programla işletmelere, hükümet yasayı uygulamaya başladığında yasaya uymaları için bir çerçeve sağlıyor.
Sequretek’in CEO’su ve kurucu ortağı Pankit Desai, bu noktaya gelene kadar geçen yıllarda, “Hindistan’daki dijital altyapı katlanarak büyüdükçe, bireylere yönelik güvenlik mekanizmalarının yokluğu vatandaşları savunmasız bıraktı” diyor. Bu, DPDP’yi “çoktan gecikmiş, dönüm noktası niteliğinde bir düzenleme haline getiriyor. Bu yalnızca düzenleyici bir çerçeve değil; Hindistan’ın dijital çağda vatandaşların refahına öncelik vermeye hazır olduğunun bir sinyali.”
Hindistan’ın Veri Gizliliğine Giden Uzun Yolu
1941’de Hindistan’ın kuzeyindeki Uttar Pradesh eyaletinin vatandaşı olan Khrarak Singh, çete soygunu (dacoity) nedeniyle yargılandı. Delil yetersizliğinden dolayı serbest bırakıldı, ancak polis yine de ona göz kulak oldu. Geceleri evini ziyaret ettiler, hareketlerini takip ettiler ve kişisel hayatının çeşitli yönlerini izlediler: örneğin işi, sosyal hayatı ve alışkanlıkları.
Sonunda Singh, gözetlemenin anayasal haklarını ihlal ettiğini ileri sürerek bir dilekçe sundu. 18 Aralık 1962’de Hindistan Yüksek Mahkemesi’nin altı yargıcı, polisin bazı taktiklerinin taciz anlamına gelmesine rağmen, gözetleme tedbirlerinin çoğunun yasal olarak caiz olduğuna karar verdi. Mahremiyetin ülke anayasasına göre temel bir hak olmadığını savundular.
Bu durum, Hindistan hükümetinin tüm vatandaşlara çeşitli demografik ve biyometrik verilerle desteklenen kimlik numaraları veren “Aadhaar” projesini önerdiği 2017 yılına kadar devam etti. Aadhaar’a yönelik bir meydan okumayı denetleyen Hindistan Başyargıcı JS Khehar, Kharak Singh davasına atıfta bulunarak şunları söyledi: “Hindistan Anayasasında mahremiyete ilişkin temel bir hakkın olup olmadığını belirlemek bizim için çok önemli.” Ağustos 2017’de dokuz yargıçtan oluşan bir Bench, mahremiyetin Hindistan vatandaşlarına anayasa kapsamında verilen bir hak olduğunu açıkladı.
Kararları, başta önerilen 2019 Kişisel Verilerin Korunması Kanunu olmak üzere, veri koruma mevzuatının kapısını açtı. Ancak tasarının hem kapsamlı hem de kısıtlayıcı olduğu kanıtlandı. Tasarı hem kişisel hem de kişisel olmayan verileri kapsıyordu, ancak hassas kişisel verilerin ülke sınırlarını aşmamasını zorunlu kılmak konusunda katıydı, ancak aynı zamanda hükümetin çeşitli nedenlerle kendisini muaf tutmasına izin verme konusunda da hoşgörülüydü. Ne olursa olsun, tasarı Ağustos 2022’de geri çekildi. Bunu, önerilen en son kurallar kesinleştiğinde nihayet faaliyete geçecek olan daha tarafsız DPDP takip etti.
Yolun Yeni Kuralları
DPDP kuralları çoğunlukla endüstri standardıdır: Şirketler, müşterilerini topladıkları veriler hakkında bilgilendirmeli ve bu veriler ihlal edilirse, bunları kullanımda değilken ve aktarılırken şifrelemeli, üç yıl işlem yapılmaması durumunda silmeli ve bu şekilde devam etmelidir.
Müşteri başarısı başkanı Rama Krishna Gudipati, “En önemlisi, verilerinin ne zaman, nasıl, nerede ve hangi amaçla kullanılacağını belirleme yeteneği de dahil olmak üzere, veri sorumlusuna (bireysel) kişisel verileri üzerinde önemli bir kontrol sağlıyor” diyor. CloudSEK’te. “Ayrıca, uyumsuzluk için cezaların getirilmesi, önemli bir sorumluluk katmanı ekliyor.” başarısız Müşterileri bir ihlal konusunda bilgilendirmekÖrneğin, çocuklara ait verilerle ilgili yükümlülüklere ihanet etmek, şirketlere 200 milyar INR’ye (yaklaşık 23 milyon dolar) kadar maliyet getirebilir.
Bununla birlikte, devlet kurumlarına sağlanan sürekli istisnalar gibi bazı hükümler daha tartışmalıdır. Sequretek’ten Desai, “Hükümete bu kurallardan muafiyet tanınması, özellikle hükümetin bir hizmet sağlayıcı olarak önemli rolü göz önüne alındığında, adalet ve hesap verebilirlik konusunda soruları gündeme getiriyor” diyor Sequretek’ten Desai. “Hindistan’ın dijital altyapısı, özel girişimlerin hakim olduğu Batı’nın aksine, hükümet öncülüğündeki girişimlerden büyük ölçüde etkileniyor” ve bu da kuralı diğer ülkelere göre daha etkili hale getiriyor.
Yeni taslak kurallarla ilgili geri bildirim göndermek için son tarih 18 Şubat. Kurallar etkinleştirildikten sonra MeitY, bir açıklamada bulundu. 5 Ocak basın açıklaması“Küçük işletmelerden büyük şirketlere kadar tüm paydaşların yeni yasaya uyum sağlamak üzere sorunsuz bir şekilde geçiş yapabilmeleri için yeterli süre sağlanacaktır.”