Η Ινδία έχει νόμους περί ιδιωτικότητας δεδομένων?
Ινδία: Τι υπάρχει στο νέο λογαριασμό προστασίας δεδομένων της Ινδίας?
Οι κλήσεις για την εφαρμογή μέτρων μειώνοντας την ευπάθεια των δεδομένων και την πρόληψη της διάβρωσης της ιδιωτικής ζωής των χρηστών έχουν ακούσει παγκοσμίως.
Προσωπικά στοιχεία προσωπικών δεδομένων – Η Ινδία χρειάζεται κανονισμούς όπως το GDPR της Ευρώπης και το CCPA των ΗΠΑ
Ενώ όλοι μας θα συμφωνούσαν ότι “τα δεδομένα είναι το μετα-αξιοσημείωτο εμπόρευμα στην ψηφιακή εποχή”, η προστασία του και η εξασφάλιση της ιδιωτικής ζωής των δεδομένων γίνεται εξαιρετικά κρίσιμο. Είναι γνωστό ότι η Ινδία είναι το δεύτερο μεγαλύτερο ηλεκτρονικό οικοσύστημα στον κόσμο με πάνω από 900 εκατομμύρια χρήστες του Διαδικτύου. Με την αυξανόμενη διείσδυση στο Διαδίκτυο, ο αριθμός αυτός είναι υποχρεωμένος να αυξηθεί απότομα τα επόμενα 5 χρόνια. Η Ινδία αναφέρεται ότι ασχολείται με τον δεύτερο μεγαλύτερο αριθμό παραβιάσεων δεδομένων που αναφέρθηκαν παγκοσμίως. Αυτή τη στιγμή, είναι σημαντικό να εκπαιδεύουμε τους χρήστες σχετικά με τη συλλογή και την ιδιωτική ζωή των δεδομένων και επίσης να οικοδομήσουμε νόμους που προστατεύουν τα άτομα από την κατάχρηση των προσωπικών τους δεδομένων.
Με την ψηφιακή μετατόπιση και τις υπηρεσίες που μετακινούνται στο σύννεφο, υπάρχει μεγάλη ποσότητα εξαιρετικά ακριβών προσωπικών δεδομένων που ανταλλάσσονται όχι μόνο μέσω των ιστότοπων που περιηγούμε ή τις εφαρμογές που χρησιμοποιούν οι άνθρωποι στα κινητά τους τηλέφωνα αλλά και μέσω συσκευών όπως κάμερες ασφαλείας/επιτήρησης, ψηφιακές κουδούνι, θερμοκρασίες θερμοκρασίας, έξυπνοι οικιακοί, ψηφιακοί βοηθοί για να ονομάσουν μερικά. Η κύρια περίπτωση χρήσης της συλλογής δεδομένων είναι να βελτιώσει και να εξατομικεύσει τις προσφερόμενες υπηρεσίες, ωστόσο, μπορεί να χρησιμοποιηθεί κατάχρηση για να εισβάλει στην ιδιωτική ζωή, την ασφάλεια ενός ατόμου. Η ανάλυση αυτών των δεδομένων, όταν συλλέγεται για ένα χρονικό διάστημα, μπορεί να οδηγήσει στην αναγνώριση των ατόμων, υπάγοντας πληροφορίες σχετικά με τις πεποιθήσεις, τις προτιμήσεις, τη θρησκεία ή την υγεία ενός ατόμου. Μπορούν τελικά να χρησιμοποιηθούν για να επηρεάσουν, να προκαλέσουν απειλές για προσωπική ασφάλεια, στοχοθετημένη διαφήμιση, απάτη και πειρατεία. Για παράδειγμα, η ανάλυση των δεδομένων τοποθεσίας ενός ατόμου για τον προσδιορισμό των αποθηκών/θέσεων μεμονωμένων επισκέψεων και με ποια συχνότητα μπορεί να οδηγήσει στην αναγνώριση των συμφερόντων, της κοινωνικής συμπεριφοράς και της κοινωνικοοικονομικής κατάστασης.
Για τους οργανισμούς, ένα περιστατικό ασφάλειας δεδομένων θα μπορούσε να οδηγήσει σε νομικές και επιχειρηματικές επιπτώσεις και επίσης έλλειψη εμπιστοσύνης χρήστη. Το Facebook-Cambridge Analytica Fiasco είναι μία από τις περίφημες παραβιάσεις δεδομένων, το 2018 για περίπου 87 εκατομμύρια χρήστες του Facebook χρησιμοποιήθηκε χωρίς τη συγκατάθεσή τους και την κατανόησή τους. Τα δεδομένα που ελήφθησαν ακατάλληλα από το Facebook χρησιμοποιήθηκαν για τη δημιουργία προφίλ ψηφοφόρων και χρησιμοποιήθηκαν για πολιτική διαφήμιση (χωρίς συγκατάθεση). Αυτή ήταν η μεγαλύτερη διαρροή δεδομένων που αντιμετώπισε το Facebook. Αυτό οδήγησε την ευαισθητοποίηση των ζητημάτων ιδιωτικής ζωής των δεδομένων, τον τρόπο με τον οποίο η έννοια της ιδιωτικής ζωής αλλάζει και υπογραμμίζει το άγχος των πελατών για να συνηθίσει την τεχνολογική πρόοδο, αλλά δεν εξακολουθεί να έχει πλήρη επίγνωση της έκτασης της διάβρωσης της ιδιωτικής ζωής και των συμβιβασμών στην ποιότητα των υπηρεσιών έναντι των εξαίρετων που σχετίζονται με την προστασία της ιδιωτικής ζωής. Υπάρχουν ρυθμίσεις απορρήτου που εκτίθενται από εταιρείες. Ωστόσο, δεν είναι εύκολα κατανοητά και δεν υπάρχει επίσης σαφής σχετικά με τον αντίκτυπο στην εμπειρία των χρηστών στην απενεργοποίηση ορισμένων ειδών πρόσβασης δεδομένων. Για τις κυβερνήσεις, μια παραβίαση της ιδιωτικής ζωής θα μπορούσε να οδηγήσει σε κίνδυνο διαρροής εμπιστευτικών εθνικών πληροφοριών.
Οι αλλαγές στην τεχνολογία και τους νόμους που σχετίζονται με τα δεδομένα είναι μια παγκόσμια πρόκληση. Ο Γενικός Κανονισμός Προστασίας Δεδομένων της Ευρώπης (GDPR), η οποία τέθηκε σε ισχύ το 2018, ορίζει και ενοποιεί τους κανονισμούς απορρήτου με την Ευρωπαϊκή Ένωση (ΕΕ). Το GDPR όχι μόνο δίνει ελέγχους απορρήτου σε άτομα, αλλά και θέτει υποχρεώσεις σε οργανισμούς που κατέχουν τα δεδομένα τους. Η Κίνα ανακοίνωσε τους κανονισμούς για την προστασία της ιδιωτικής ζωής με τον νόμο περί προστασίας προσωπικών πληροφοριών (PIPL) το 2021. Αυτοί οι νόμοι περιγράφουν επίσης τις απαιτήσεις απορρήτου δεδομένων για εταιρείες που εδρεύουν εκτός της Κίνας/ΕΕ για τη διαχείριση και τη χρήση των δεδομένων των πολιτών τους. Οι ΗΠΑ δεν διαθέτουν ένα ενιαίο νόμο περί ιδιωτικού απορρήτου, αλλά ένα συνδυασμό νόμων για το κράτος ή τον τομέα, όπως ο νόμος περί απορρήτου των καταναλωτών της Καλιφόρνια (CCPA) που εισήχθη το 2018, ακολουθούμενη από τον νόμο περί δικαιωμάτων απορρήτου της Καλιφόρνια (CPRA) το 2020 και τον νόμο περί απορρήτου και φορητότητας στην υγεία (HIPAA).
Ωστόσο, σε αντίθεση με τον υπόλοιπο κόσμο που έχει νόμους και κανονισμούς για την προστασία της ιδιωτικής ζωής που αποσκοπούν στην προστασία της ιδιωτικής ζωής των πολιτών, η Ινδία εξακολουθεί να μην έχει νόμο περί ιδιωτικής ζωής για να προστατεύσει τους πολίτες της. Τον Αύγουστο του 2017, το Ανώτατο Δικαστήριο της Ινδίας κήρυξε το δικαίωμα στην ιδιωτική ζωή ως θεμελιώδες δικαίωμα για τους Ινδούς πολίτες που προστατεύονται από το ινδικό σύνταγμα. Μετά το δικαίωμα στην ιδιωτική ζωή, η Ινδία εισήγαγε το νομοσχέδιο για την προστασία της ιδιωτικής ζωής των δεδομένων το 2019. Ωστόσο, αποσύρθηκε το 2022 και μέχρι στιγμής δεν έχει προταθεί νέα νομοθεσία. Η Ινδία πρέπει να ενισχύσει τις προσπάθειές της και να έχει νόμους περί ιδιωτικής ζωής δεδομένων ευθυγραμμίζοντας με το παγκόσμιο όραμα γύρω από την ιδιωτικότητα των δεδομένων. Οι κανονισμοί παίρνουν το βάρος από τους πολίτες και καθορίζουν ένα σαφές όραμα για τους οργανισμούς να συμμορφώνονται με αυτούς.
Ινδία: Τι υπάρχει στο νέο λογαριασμό προστασίας δεδομένων της Ινδίας?
Η ινδική κυβέρνηση δημοσίευσε ένα νέο, απλοποιημένο σχέδιο του λογαριασμού της ψηφιακής προστασίας προσωπικών δεδομένων. Τι λέει?
Στις 18 Νοεμβρίου 2022, η κυβέρνηση της Ινδίας δημοσίευσε το πολυαναμενόμενο τέταρτο σχέδιο του προτεινόμενου νόμου περί προστασίας της ιδιωτικής ζωής της Ινδίας, που τώρα μετονομάστηκε ως το νομοσχέδιο για την ψηφιακή προστασία των προσωπικών δεδομένων («νομοσχέδιο»). Η κυβέρνηση ζήτησε ανατροφοδότηση σχετικά με το σχέδιο νομοσχεδίου 17 Δεκεμβρίου 2022.
Ινδία: Τι είναι στο νέο νομοσχέδιο προστασίας δεδομένων της Ινδίας
Οι κλήσεις για την εφαρμογή μέτρων μειώνοντας την ευπάθεια των δεδομένων και την πρόληψη της διάβρωσης της ιδιωτικής ζωής των χρηστών έχουν ακούσει παγκοσμίως.
Προσωπικά στοιχεία προσωπικών δεδομένων – Η Ινδία χρειάζεται κανονισμούς όπως η Ευρώπη’S GDPR και ΗΠΑ’S CCPA
Δρ. Η Preeti Goel έχει πάνω από 15 χρόνια επαγγελματικής εμπειρίας και έχει συμβάλει σε μερικές από τις κορυφαίες εταιρείες τεχνολογίας στον κόσμο όπως η Microsoft, η Google, η Adobe και η Amazon. Το Preeti Goel έχει πτυχίο τεχνολογίας στην επιστήμη των υπολογιστών, μεταπτυχιακό δίπλωμα από το IIT-Kanpur και ένα pH.ρε. από το Πανεπιστήμιο της Μελβούρνης, Αυστραλία. ΠΙΟ ΛΙΓΟ . ΠΕΡΙΣΣΟΤΕΡΟ
Οι κλήσεις για την εφαρμογή μέτρων μειώνοντας την ευπάθεια των δεδομένων και την πρόληψη της διάβρωσης της ιδιωτικής ζωής των χρηστών έχουν ακούσει παγκοσμίως.
Ενώ όλοι μας θα το συμφωνούσαν “Τα δεδομένα είναι το μετα-υψηλό εμπόρευμα στην ψηφιακή εποχή”, Η προστασία του και η εξασφάλιση της ιδιωτικής ζωής των δεδομένων γίνεται εξαιρετικά κρίσιμη. Είναι πολύ γνωστό ότι η Ινδία είναι το δεύτερο μεγαλύτερο ηλεκτρονικό οικοσύστημα στον κόσμο με πάνω από 900 εκατομμύρια χρήστες του Διαδικτύου. Με την αυξανόμενη διείσδυση στο Διαδίκτυο, ο αριθμός αυτός είναι βέβαιο ότι θα αυξηθεί απότομα τα επόμενα 5 χρόνια. Η Ινδία αναφέρεται ότι ασχολείται με τον δεύτερο μεγαλύτερο αριθμό παραβιάσεων δεδομένων που αναφέρθηκαν παγκοσμίως. Αυτή τη στιγμή, είναι ζωτικής σημασίας να εκπαιδεύουμε τους χρήστες σχετικά με τη συλλογή δεδομένων και την ιδιωτική ζωή και επίσης να οικοδομήσουμε νόμους που προστατεύουν τα άτομα από την κατάχρηση των προσωπικών τους δεδομένων.
Με την ψηφιακή μετατόπιση και τις υπηρεσίες που μετακινούνται στο σύννεφο υπάρχει μια μεγάλη ποσότητα εξαιρετικά ακριβών προσωπικών δεδομένων που ανταλλάσσονται όχι μόνο μέσω των ιστότοπων που περιηγούμε ή στις εφαρμογές που χρησιμοποιούν οι άνθρωποι στα κινητά τους τηλέφωνα, αλλά και μέσω συσκευών όπως κάμερες ασφαλείας/επιτήρησης, ψηφιακές πόρτες, θερμοστάτες ελέγχου θερμοκρασίας, έξυπνοι αυτοματοποίησης, ψηφιακοί βοηθοί για να ονομάσουν μερικές. Η συλλογή δεδομένων’Η υπόθεση πρωτοβάθμιας χρήσης είναι να βελτιώσει και να εξατομικεύσει τις προσφερόμενες υπηρεσίες, ωστόσο, μπορεί να χρησιμοποιηθεί κατάχρηση για να αποφύγει ένα άτομο’το απόρρητο, την ασφάλεια και την εμπιστοσύνη. Η ανάλυση αυτών των δεδομένων, όταν συλλέγεται για ένα χρονικό διάστημα, μπορεί να οδηγήσει στην ταυτοποίηση ατόμων, υπάγοντας πληροφορίες για ένα άτομο’πεποιθήσεις, προτιμήσεις, θρησκεία ή υγεία. Μπορούν τελικά να χρησιμοποιηθούν για να επηρεάσουν, να προκαλέσουν απειλές για την προσωπική ασφάλεια, τη στοχοθετημένη διαφήμιση, την απάτη και την πειρατεία. Για παράδειγμα, ανάλυση ενός ατόμου’Στοιχεία τοποθεσίας S για τον προσδιορισμό των αποθηκών/τοποθετεί μεμονωμένες επισκέψεις και με ποια συχνότητα μπορεί να οδηγήσει στην ταυτοποίηση των συμφερόντων, της κοινωνικής συμπεριφοράς και της κοινωνικοοικονομικής κατάστασης.
Για τους οργανισμούς, ένα περιστατικό ασφάλειας δεδομένων θα μπορούσε να οδηγήσει σε νομικές και επιχειρηματικές επιπτώσεις και επίσης έλλειψη εμπιστοσύνης χρήστη. Το Facebook-Cambridge Analytica Fiasco είναι μία από τις περίφημες παραβιάσεις δεδομένων, το 2018 για περίπου 87 εκατομμύρια χρήστες του Facebook χρησιμοποιήθηκε χωρίς τη συγκατάθεσή τους και την κατανόησή τους. Τα δεδομένα που ελήφθησαν ακατάλληλα από το Facebook χρησιμοποιήθηκαν για τη δημιουργία προφίλ ψηφοφόρων και χρησιμοποιήθηκαν για πολιτική διαφήμιση (χωρίς συγκατάθεση). Αυτή ήταν η μεγαλύτερη διαρροή δεδομένων που αντιμετώπισε το Facebook. Αυτό οδήγησε την ευαισθητοποίηση των ζητημάτων ιδιωτικής ζωής των δεδομένων, τον τρόπο με τον οποίο η έννοια της ιδιωτικής ζωής αλλάζει και υπογραμμίζει το άγχος των πελατών για να συνηθίσει την τεχνολογική πρόοδο, αλλά δεν έχει ακόμη πλήρη επίγνωση της έκτασης της διάβρωσης της ιδιωτικής ζωής και των συμβιβασμών στην ποιότητα των υπηρεσιών έναντι των opt-outs που σχετίζονται με την προστασία της ιδιωτικής ζωής. Υπάρχουν ρυθμίσεις απορρήτου που εκτίθενται από εταιρείες, ωστόσο δεν είναι εύκολα κατανοητές και δεν υπάρχει επίσης σαφής σχετικά με τον αντίκτυπο στην εμπειρία των χρηστών στην απενεργοποίηση ορισμένων ειδών πρόσβασης δεδομένων. Για τις κυβερνήσεις, μια παραβίαση της ιδιωτικής ζωής θα μπορούσε να οδηγήσει σε κίνδυνο διαρροής εμπιστευτικών εθνικών πληροφοριών.
Οι αλλαγές στην τεχνολογία και τους νόμους που σχετίζονται με τα δεδομένα είναι μια παγκόσμια πρόκληση. Ευρώπη’S Γενικά Δεδομένα Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR), ο οποίος τέθηκε σε ισχύ το 2018, ορίζει και ενοποιεί τους κανονισμούς απορρήτου με την Ευρωπαϊκή Ένωση (ΕΕ). Το GDPR όχι μόνο δίνει ελέγχους απορρήτου σε άτομα, αλλά και θέτει υποχρεώσεις σε οργανισμούς που κατέχουν τα δεδομένα τους. Η Κίνα ανακοίνωσε τους κανονισμούς για την προστασία της ιδιωτικής ζωής με τον νόμο περί προστασίας προσωπικών πληροφοριών (PIPL) το 2021. Αυτοί οι νόμοι περιγράφουν επίσης τις απαιτήσεις απορρήτου δεδομένων για εταιρείες που εδρεύουν εκτός της Κίνας/ΕΕ για τη διαχείριση και τη χρήση των δεδομένων των πολιτών τους. Οι ΗΠΑ δεν διαθέτουν έναν ενιαίο νόμο περί ιδιωτικότητας, αλλά ένας συνδυασμός νόμων για το κράτος ή τον τομέα, όπως ο νόμος περί ιδιωτικού για τους καταναλωτές της Καλιφόρνια (CCPA) που εισήχθη το 2018, ακολουθούμενη από τον νόμο περί δικαιωμάτων προστασίας της ιδιωτικής ζωής της Καλιφόρνια (CPRA) το 2020 και τον νόμο περί προστασίας της ιδιωτικής ζωής και φορητότητας στην υγεία (HIPAA).
Ωστόσο, σε αντίθεση με τον υπόλοιπο κόσμο που έχει νόμους και κανονισμούς για την προστασία της ιδιωτικής ζωής που αποσκοπούν στην προστασία της ιδιωτικής ζωής των πολιτών, η Ινδία εξακολουθεί να μην διαθέτει νόμο για την προστασία της ιδιωτικής ζωής για να προστατεύσει τους πολίτες της. Τον Αύγουστο του 2017, το Ανώτατο Δικαστήριο της Ινδίας κήρυξε το δικαίωμα στην ιδιωτική ζωή ως θεμελιώδες δικαίωμα για τους Ινδούς πολίτες που προστατεύονται από το ινδικό σύνταγμα. Μετά το δικαίωμα στην ιδιωτική ζωή, η Ινδία εισήγαγε το νομοσχέδιο για την προστασία της ιδιωτικής ζωής των δεδομένων το 2019, ωστόσο αποσύρθηκε το 2022 και μέχρι στιγμής δεν έχει προταθεί νέα νομοθεσία. Η Ινδία πρέπει να ενισχύσει τις προσπάθειές της και να έχει νόμους περί ιδιωτικής ζωής δεδομένων ευθυγραμμίζοντας με το παγκόσμιο όραμα γύρω από την ιδιωτικότητα των δεδομένων. Οι κανονισμοί παίρνουν το βάρος από τους πολίτες και καθορίζουν ένα σαφές όραμα για τους οργανισμούς να συμμορφώνονται με αυτούς.
Ινδία: Τι υπάρχει στο νέο λογαριασμό προστασίας δεδομένων της Ινδίας?
Η ινδική κυβέρνηση δημοσίευσε ένα νέο, απλοποιημένο σχέδιο του λογαριασμού της ψηφιακής προστασίας προσωπικών δεδομένων. Τι λέει?
Στις 18 Νοεμβρίου 2022, η κυβέρνηση της Ινδίας δημοσίευσε το πολυαναμενόμενο τέταρτο σχέδιο του προτεινόμενου νόμου περί προστασίας της ιδιωτικής ζωής της Ινδίας, που μετονομάστηκε τώρα ως νομοσχέδιο για την ψηφιακή προστασία των προσωπικών δεδομένων («νομοσχέδιο»). Η κυβέρνηση έχει επιδιώξει για ανατροφοδότηση σχετικά με το σχέδιο λογαριασμού 17 Δεκεμβρίου 2022.
Με την πρώτη ματιά, το νομοσχέδιο είναι πολύ έκπληξη. Πρόκειται για ένα εντελώς νέο σχέδιο και όχι μια αναδιατύπωση προηγούμενων εκδόσεων και είναι πολύ μικρότερη και απλούστερη. Αναχωρεί ουσιαστικά από το μοντέλο GDPR των νόμων περί ιδιωτικής ζωής που είναι αρκετά συνηθισμένο σήμερα.
Εφαρμοστέο
Ο νόμος ισχύει μόνο για τα προσωπικά δεδομένα που συλλέγονται στο διαδίκτυο ή τα οποία συλλέγονται εκτός σύνδεσης, αλλά τα οποία ψηφιοποιούνται. Ο νόμος θα ισχύει για την επεξεργασία προσωπικών δεδομένων εκτός της Ινδίας εάν η επεξεργασία αυτή σχετίζεται με οποιαδήποτε προφίλ των διευθυντών στην Ινδία ή οποιαδήποτε δραστηριότητα προσφοράς αγαθών ή υπηρεσιών εντός της Ινδίας. Ο νόμος απαλλάσσει επίσης την επεξεργασία δεδομένων στην Ινδία των ατόμων που βρίσκονται εκτός της Ινδίας υπό διασυνοριακή συμβατική ρύθμιση: αυτό ουσιαστικά καλύπτει την offshore/outsourcing βιομηχανία.
Ορισμοί
Ο λογαριασμός χρησιμοποιεί παρόμοια ορολογία με τις προηγούμενες εκδόσεις. Ένα υποκείμενο δεδομένων αναφέρεται ως “Δεδομένου και ένας ελεγκτής δεδομένων αναφέρεται ως “ΔΕΔΟΜΕΝΑ ΕΠΙΧΕΙΡΗΣΗ ». Δεν υπάρχει ιδέα ή ορισμός των ευαίσθητων προσωπικών δεδομένων. Το DPA αναφέρεται ως Συμβούλιο Προστασίας Δεδομένων της Ινδίας («DPBI»).
Λόγοι συλλογής και επεξεργασίας
Η συγκατάθεση εξακολουθεί να αποτελεί το κύριο έδαφος για την επεξεργασία προσωπικών δεδομένων. Πρέπει να είναι «ελεύθερα», «συγκεκριμένα», «ενημερωμένα» και «ξεκάθαρα ένδειξη της συγκατάθεσης» μέσω μιας «σαφούς καταφατικής δράσης».
Φαίνεται σαφές ότι ρητή συγκατάθεση θα χρειαζόταν. Η συγκατάθεση μπορεί επίσης να αποσυρθεί, οι συνέπειες των οποίων θα βαρύνουν το υποκείμενο των δεδομένων. Το σχέδιο νομοσχεδίου περιλαμβάνει επίσης προφανείς λόγους για την επεξεργασία προσωπικών δεδομένων, όπως η συμμόρφωση με τους νόμους και τις δικαστικές εντολές, τις ενέργειες που αφορούν επιδημίες ή καταστάσεις νόμου και τάξης.
Η έννοια του νόμιμου ενδιαφέροντος φαίνεται να συλλαμβάνεται με διαφορετικούς τρόπους. Αναφέρονται αρκετές καταστάσεις όπου η συγκατάθεση θεωρείται ότι έχει δοθεί. Αυτά περιλαμβάνουν την επεξεργασία προσωπικών δεδομένων «σε δημόσιο συμφέρον», συμπεριλαμβανομένης της πρόληψης ή της ανίχνευσης απάτης, για την ασφάλεια δικτύου και πληροφοριών, τη βαθμολόγηση των πιστωτικών, την επεξεργασία των διαθέσιμων στο κοινό προσωπικά δεδομένα και για την ανάκτηση του χρέους.
Φαίνεται όμως ασαφές αν οι ιδιωτικές επιχειρήσεις μπορούν να χρησιμοποιήσουν αυτούς τους λόγους, δεδομένου ότι η επεξεργασία πρέπει να είναι «σε δημόσιο συμφέρον». Υπάρχει επίσης ο λόγος του «δίκαιου και λογικού σκοπού», αλλά σε αυτή την περίπτωση, η κυβέρνηση πρέπει να ειδοποιήσει τι είναι ένας δίκαιος και λογικός σκοπός. Με αυτόν τον τρόπο, η κυβέρνηση μπορεί να εξετάσει τα νόμιμα συμφέροντα του καταπιστευματοδόχου.
Ένα βασικό έδαφος είναι όπου η επεξεργασία των προσωπικών δεδομένων είναι «απαραίτητη» και όπου τα προσωπικά δεδομένα παρέχονται οικειοθελώς και «αναμένεται λογικά ότι το υποκείμενο των δεδομένων θα παρέχει τέτοια προσωπικά δεδομένα». Κάποιος θα πρέπει να δείξει ότι η επεξεργασία είναι «απαραίτητη» και τα προσωπικά δεδομένα παρέχονται «εθελοντικά» και ο κύριος δεδομένων θα αναμένεται λογικά να παράσχει τέτοια δεδομένα.
Ενδεχομένως αυτή η διάταξη θα μπορούσε να έχει συνταχθεί καλύτερα, υποθέτοντας ότι αυτό προορίζεται να είναι ένας νόμιμος τύπος τόκου εδάφους. Είναι πιθανό να γίνει η πιο σημαντική διάταξη του νέου καταστατικού για επιχειρήσεις που δεν επιθυμούν να μειωθούν στη διαδρομή συγκατάθεσης.
Εργασία
Υπάρχει ξεχωριστό έδαφος για την επεξεργασία προσωπικών δεδομένων που σχετίζονται με την απασχόληση που καλύπτει την πρόληψη της κατασκοπείας, τη διατήρηση της εμπιστευτικότητας των εμπορικών μυστικών και της IP, της πρόσληψης, της τερματισμού της απασχόλησης, της παροχής υπηρεσιών ή των παροχών σε έναν υπάλληλο, την επαλήθευση της συμμετοχής και της αξιολόγησης της απόδοσης. Τα προσωπικά δεδομένα μπορούν να συλλεχθούν για αυτούς τους λόγους, εφόσον η επεξεργασία είναι «απαραίτητη».
Ειδοποίηση
Οι προηγούμενες εκδόσεις του νομοσχεδίου προέβλεπαν εκτεταμένες πληροφορίες που θα παρέχονται ως μέρος της ειδοποίησης προς τους διευθυντές δεδομένων. Αυτό ήταν υπερβολικό. Αυτή η έκδοση καλύπτει μόνο δύο πράγματα: τους τύπους προσωπικών δεδομένων που πρόκειται να υποβληθούν σε επεξεργασία και τους σκοπούς της επεξεργασίας. Αυτές οι πληροφορίες πρέπει να παρέχονται με αναλυτικό τρόπο.
Παιδιά
Το σχέδιο νομοσχέδιο διατηρεί το όριο για τα παιδιά στα 18 χρόνια. Αυτό θα θεωρηθεί ως απογοήτευση για τον ηλεκτρονικό κόσμο, καθώς τα παγκόσμια πρότυπα τείνουν να είναι πιο κοντά σε 16 χρόνια.
Απαιτείται επαληθεύσιμη γονική συγκατάθεση για τη συλλογή των προσωπικών δεδομένων των παιδιών. Το νομοσχέδιο απαγορεύει επίσης τη δημιουργία προφίλ παιδιών ή παρακολούθησης συμπεριφοράς ή στοχευμένης διαφήμισης σε παιδιά. Ωστόσο, η κυβέρνηση έχει την εξουσία να απαλλάσσει αυτές τις απαιτήσεις μέσω ειδοποίησης.
Δικαιώματα και καθήκοντα των διευθυντών δεδομένων
Οι διευθυντές δεδομένων (υποκείμενα δεδομένων) έχουν διάφορα δικαιώματα. Περιλαμβάνουν το δικαίωμα να γνωρίζουν ποια προσωπικά δεδομένα υποβάλλονται σε επεξεργασία και το δικαίωμα να έχουν διορθωθεί ανακριβή προσωπικά δεδομένα διορθώθηκαν. Ένας κύριος δεδομένων μπορεί επίσης να ζητήσει τη διαγραφή προσωπικών δεδομένων με το σκεπτικό ότι η αποθήκευση του δεν εξυπηρετεί πλέον το σκοπό για τον οποίο συλλέχθηκε.
Είναι ενδιαφέρον ότι το νομοσχέδιο περιλαμβάνει καθήκοντα διευθυντών δεδομένων. ουσιαστικά σε καθήκον να μην παράσχει ψευδείς πληροφορίες και να μην καταθέσει επιπόλαιες ή ψευδή παράπονα
Αποθήκευση προσωπικών δεδομένων
Το σχέδιο νόμου απαιτεί από τον καταπιστευματοδόχο δεδομένων (ελεγκτής δεδομένων) για να διασφαλίσει ότι τα προσωπικά δεδομένα που διατηρούνται είναι ακριβή και η χρήση κατάλληλων οργανωτικών και τεχνικών μέτρων για να συμμορφωθεί με το νόμο. Οι καταπιστευματοδόχοι δεδομένων πρέπει επίσης να χρησιμοποιούν εύλογα μέτρα ασφαλείας για την πρόληψη παραβιάσεων δεδομένων. Ένας καταπιστευματοδόχος δεδομένων μπορεί να διατηρήσει προσωπικά δεδομένα μόνο εφόσον εξυπηρετεί το σκοπό για τον οποίο συλλέχθηκε ή για νομικό ή επιχειρηματικό σκοπό. Μετά από αυτό, τα προσωπικά δεδομένα πρέπει να διαγραφούν.
Παραβίαση προσωπικών δεδομένων
Το σχέδιο νομοσχεδίου ορίζει μια «παραβίαση προσωπικών δεδομένων» που σημαίνει οποιαδήποτε μη εξουσιοδοτημένη επεξεργασία ή τυχαία αποκάλυψη, χρήση, μεταβολή ή καταστροφή προσωπικών δεδομένων, που θέτει σε κίνδυνο την εμπιστευτικότητα, την ακεραιότητα ή τη διαθεσιμότητα του.
Σε περίπτωση παραβίασης προσωπικών δεδομένων, ο καταπιστευματοδόχος των δεδομένων ή ο κύριος δεδομένων πρέπει να ενημερώνουν τόσο το DPBI όσο και τον επικεφαλής δεδομένων, με τρόπο που ορίζεται από την κυβέρνηση. Ο ευρύς ορισμός μιας παραβίασης προσωπικών δεδομένων θα κάλυπτε μικρές περιπτώσεις παραβιάσεων δεδομένων για τις οποίες η κοινοποίηση προς την κυβέρνηση και τους διευθυντές δεδομένων φαίνεται αρκετά επαχθή.
«Σημαντικό εμπιστευτικό στοιχείο δεδομένων»
Το σχέδιο νόμου διατηρεί την έννοια του α Σημαντικό εμπιστευματοδόχο δεδομένων (‘Sdf’). Πρόκειται για εμπιστευτικό δεδομένων (ελεγκτής) που πληροί τα κριτήρια που καθορίζονται από την κυβέρνηση. Κατά τον προσδιορισμό του ποιος θα ήταν SDF, η κυβέρνηση θα εξετάσει παράγοντες όπως ο όγκος των δεδομένων και ο κίνδυνος βλάβης.
Είναι ενδιαφέρον ότι αυτοί οι παράγοντες περιλαμβάνουν επίσης «πιθανές επιπτώσεις στην ακεραιότητα και την κυριαρχία της Ινδίας» και «κίνδυνος για την εκλογική δημοκρατία». Οι SDF υποχρεούνται να διορίσουν υπεύθυνους προστασίας δεδομένων, οι οποίοι πρέπει να αναφέρουν στο Διοικητικό Συμβούλιο του Οργανισμού. Πρέπει επίσης να διορίσουν έναν ανεξάρτητο ελεγκτή δεδομένων για να ελέγξουν τη συμμόρφωση με τον νόμο περί ιδιωτικού απορρήτου. Η κυβέρνηση μπορεί επίσης να ειδοποιήσει πότε η SDF πρέπει να διεξάγει αξιολογήσεις επιπτώσεων απορρήτου.
Υπεύθυνος προστασίας δεδομένων
Απαιτείται μόνο SDFs για να διορίσει έναν υπεύθυνο προστασίας δεδομένων. Ωστόσο, κάθε καταπιστευματοδόχος δεδομένων πρέπει να διορίσει ένα άτομο για να ενεργήσει ως το σημείο επαφής για όποιον θέλει να υποβάλει παράπονο. Πρέπει να δημοσιευθούν τα στοιχεία επικοινωνίας του αξιωματικού παράπονα.
Εντοπισμός δεδομένων και μεταφορές
Το σχέδιο λογαριασμού δεν περιλαμβάνει άμεσα διατάξεις σχετικά με τον εντοπισμό δεδομένων. Η απαίτηση σε προηγούμενα σχέδια ότι τα κρίσιμα προσωπικά δεδομένα πρέπει να αποθηκευτούν μόνο στην Ινδία ή ότι τα ευαίσθητα προσωπικά δεδομένα μπορούν να μεταφερθούν εκτός της Ινδίας, αλλά ένα αντίγραφο πρέπει να διατηρηθεί στην Ινδία έχει αφαιρεθεί.
Το νομοσχέδιο αναφέρει ότι η κυβέρνηση θα ειδοποιήσει τις χώρες στις οποίες μπορούν να μεταφερθούν τα προσωπικά δεδομένα. Φαίνεται ότι έως ότου η κυβέρνηση ειδοποιήσει αυτές τις χώρες, τα προσωπικά δεδομένα μπορούν να μεταφερθούν ελεύθερα εκτός της Ινδίας, αν και ίσως η κοινοποίηση θα εκδοθεί τη στιγμή που θα τεθεί σε ισχύ ο νόμος. Ο νόμος δεν καλύπτει άλλα μέσα για να επιτρέπεται οι μεταφορές δεδομένων, όπως μέσω τυπικών συμβατικών ρήτρες (αυτό είναι μετά από όλη τη μέθοδο με την οποία τα προσωπικά δεδομένα μεταφέρονται επί του παρόντος από την ΕΕ στην Ινδία).
Απαλλαγή από την κυβέρνηση
Το νομοσχέδιο παρέχει την εξουσία στην κυβέρνηση να απαλλάσσει τον εαυτό του και τους οργανισμούς της από οποιαδήποτε απαίτηση του λογαριασμού. Οι λόγοι που αναφέρθηκαν, όπως η κυριαρχία και η ακεραιότητα της Ινδίας, η ασφάλεια του κράτους κ.λπ., λαμβάνονται από το Σύνταγμα της Ινδίας και επίσης αναφέρθηκαν από το Ανώτατο Δικαστήριο της Ινδίας ως λόγοι για τους οποίους τα δικαιώματα ιδιωτικής ζωής μπορούν να περιορισθούν. Αυτοί οι λόγοι είναι, ωστόσο, αρκετά ευρεία και η αναλογικότητα και η λογικότητα δεν είναι βασικά συστατικά.
Ποινικές ρήτρες
Το σχέδιο νέου νόμου προβλέπει κυρώσεις για μη συμμόρφωση. Υπάρχει ένα πρόγραμμα που αναφέρει τα ανώτατα όρια ποινής για συγκεκριμένες παραβιάσεις. Για παράδειγμα, η αποτυχία λήψης εύλογων εγγυήσεων ασφαλείας για την πρόληψη της παραβίασης των προσωπικών δεδομένων θα συνεπάγεται ποινή έως 25 εκατομμυρίων INR (περίπου 30 εκατομμύρια δολάρια ΗΠΑ).
Οι κυρώσεις γενικά μπορούν να ανεβαίνουν σε 50 εκατομμύρια INR (περίπου. 60 εκατομμύρια δολάρια ΗΠΑ). Είναι ενδιαφέρον ότι δεν υπάρχει πρόβλεψη για την απονομή αποζημίωσης σε υποκείμενα δεδομένων.
Ανάλυση
Η κυβέρνηση έχει υιοθετήσει μια αποφασιστικά ινδική προσέγγιση για τη σύνταξη αυτής της νομοθεσίας. Είναι πολύ απλούστερο από τις προηγούμενες εκδόσεις και έρχεται σε αντίθεση με την τρέχουσα τάση του μοντέλου GDPR της νομοθεσίας για την προστασία της ιδιωτικής ζωής. Αυτός ο τύπος νομοθεσίας είναι αρκετά κατάλληλος για την Ινδία, δεδομένου του τεράστιου, μη οργανωμένου τομέα των ΜΜΕ και δεδομένου ότι τα πρότυπα συμμόρφωσης της ιδιωτικής ζωής είναι αρκετά χαμηλά στην Ινδία.
Πιθανότατα σημαίνει ότι η νομοθεσία δεν θα λάβει απόφαση επάρκειας από την ΕΕ. Σε κάθε περίπτωση, λόγω της μη ανεξάρτητης εποπτείας για την επιτήρηση της κυβέρνησης, ο ινδικός νόμος δεν συμμορφώνεται πλήρως με Schrems II.
Ωστόσο, υπάρχουν πολλά ζητήματα που πρέπει να αντιμετωπιστούν στο νόμο. Το πιο σημαντικό είναι να διευκρινιστεί η γλώσσα που περιβάλλει το νόμιμο είδος ενδιαφέροντος που πιστεύουμε ότι βρίσκεται στο επίκεντρο της νομοθεσίας για την προστασία της ιδιωτικής ζωής. Είναι η έννοια της «αναγκαιότητας» επαρκής για την αντιμετώπιση των νόμιμων καταστάσεων συλλογής και επεξεργασίας προσωπικών δεδομένων?
Φαίνεται επίσης ότι οι απαιτήσεις ειδοποίησης ισχύουν μόνο όταν λαμβάνεται η συγκατάθεση. Αυτό σημαίνει ότι όταν τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία με άλλους λόγους, τα οποία εμπίπτουν σε διατάξεις συγκατάθεσης, δεν απαιτείται ειδοποίηση. Η ανάγκη να συνταγογραφηθεί η συγκατάθεση είναι η ίδια αμφισβητήσιμη. Η συγκατάθεση έχει βρεθεί ότι δεν είναι πραγματικά ένα μέσο προστασίας στα υποκείμενα των δεδομένων, ειδικά επειδή στις περισσότερες περιπτώσεις, τα υποκείμενα των δεδομένων δεν έχουν άλλη επιλογή παρά να δώσουν συγκατάθεση.
Όλος ο καιρός, η συνιστώμενη προσέγγισή μου ήταν να έχω μια νομοθεσία για την ελαφριά αφής και να επιτρέψω στην DPA να οικοδομήσει περαιτέρω ρύθμιση αργά μέσω της εξουσιοδοτημένης νομοθεσίας. Αυτό το σχέδιο νομοθεσίας ακολουθεί εν μέρει αυτήν την προσέγγιση. Ενώ το DPBI έχει εξουσίες για να περάσει κανονισμούς, σχετίζονται μόνο με την εκτέλεση των διατάξεων του νόμου. Είναι αμφισβητήσιμο εάν έχει εξουσίες να περάσει ρύθμιση σε θέματα που δεν αναφέρονται στο νόμο. Για παράδειγμα, ζητήματα όπως η φορητότητα δεδομένων, η ιδιωτική ζωή από το σχεδιασμό κ.λπ., Βρείτε καμία θέση στο λογαριασμό. Θα ήταν καλύτερο για τις εξουσίες που δόθηκαν στο DPBI να έχουν διευκρινιστεί λεπτομερέστερα.
Η απαγόρευση της κουβέρτας για την παρακολούθηση της δραστηριότητας των παιδιών στο Διαδίκτυο και η διαφήμιση συμπεριφοράς φαίνεται κάπως παράλογη. Πώς θα συνιστούσε ένα ηλεκτρονικό βίντεο ή μουσικό κανάλι για παράδειγμα ταινίες ή μουσική σε παιδιά με βάση τα γούστα τους χωρίς να παρακολουθεί τη δραστηριότητά τους?
Το νομοσχέδιο δίνει επίσης στην κυβέρνηση την εξουσία να απαλλάσσει οποιονδήποτε από τους οργανισμούς της από οποιαδήποτε από τις διατάξεις του νόμου. Δεν υπάρχει καμία λογική ή αναλογικότητα που αναφέρεται. Ίσως, ωστόσο, αυτό μπορεί να διαβαστεί στο νόμο που δίνεται δηλώσεις που έχουν ήδη γίνει από το Ανώτατο Δικαστήριο της Ινδίας. Η απαλλαγή από την κυβέρνηση σχετικά με την ανάγκη διαγραφής δεδομένων που δεν εξυπηρετούν πλέον το σκοπό για τον οποίο συλλέχθηκε είναι επίσης ατυχής.
Είναι επίσης ατυχές το γεγονός ότι η σύνθεση του DPBI δεν έχει συνταγογραφηθεί στο νόμο, αφήνοντας έτσι στην κυβέρνηση να διορίσει όποιον θέλει. Απαιτείται πολύ απαραίτητη ένα τεχνολογικό και ευκίνητο DPA για τη διαχείριση του κανονισμού για την προστασία της ιδιωτικής ζωής στην Ινδία, ιδίως δεδομένου ότι ορισμένες από τις απαιτήσεις του νόμου θα είναι «όπως μπορεί να προβλεφθεί» αργότερα ».
Συνολικά, η υιοθετημένη προσέγγιση έχει νόημα δεδομένου του ινδικού περιβάλλοντος και μπορεί να προσφέρει ένα μαξιλάρι εκτόξευσης για πιο εκτεταμένη ρύθμιση που σχετίζεται με την προστασία της ιδιωτικής ζωής στο μέλλον. Υπάρχουν προφανώς κενά και σύνταξη σφαλμάτων, αλλά αυτό πρέπει να αναμένεται σε απλούστερη νομοθεσία που επίσης επιτυγχάνει ένα νέο μονοπάτι και συντάσσεται από ανθρώπους που δεν είναι εμπειρογνώμονες απορρήτου. Ελπίζουμε ότι η κυβέρνηση θα συνεργαστεί με την κοινότητα απορρήτου για να εξαλείψει αυτά τα θέματα και να λάβει αυτό το έγγραφο για να θέσει.
Το περιεχόμενο αυτού του άρθρου αποσκοπεί στην παροχή ενός γενικού οδηγού για το θέμα. Θα πρέπει να αναζητηθούν ειδικές συμβουλές σχετικά με τις συγκεκριμένες περιστάσεις σας.
Η Ινδία έχει νόμους περί ιδιωτικότητας δεδομένων?
23 Νοεμβρίου 2022
Ινδία’Το νέο λογαριασμό δεδομένων είναι μια μικτή τσάντα για ιδιωτικότητα
Από τον Justin Sherman
Προτάσεις αναζήτησης
Συνολικά αποτελέσματα>/>
Πρόσφατος σχετικός
Αποτελέσματα φίλτρου
Ινδία’Το S του Κοινοβουλίου δημοσίευσε το ψηφιακό νομοσχέδιο για την προστασία των προσωπικών δεδομένων, το δεύτερο δελτίο σε έναν ολοκληρωμένο νόμο περί ιδιωτικής ζωής των δεδομένων, αφού η κυβέρνηση απέσυρε το νομοσχέδιο για την προστασία των προσωπικών δεδομένων νωρίτερα αυτό το έτος. Το τρέχον σχέδιο είναι μικρότερο από το άλλο νομοσχέδιο, αν και έχει πολλά από τα ίδια στοιχεία.
Οι Ινδοί υπεύθυνοι για τη χάραξη πολιτικής έχουν επίσης κυκλοφορήσει σχόλια για το νομοσχέδιο που δεν έχουν διατεθεί δημόσια, αλλά τα οποία συζητώ εδώ. Είναι σημαντικό ότι το νέο νομοσχέδιο προσφέρει μια μικτή τσάντα για ιδιωτικότητα – με ορισμένες απαιτήσεις για τις εταιρείες να λαμβάνουν άτομο “συγκατάθεση,” Διορθώστε τα ανακριβή προσωπικά δεδομένα και προστατεύετε τα δικαιώματα δεδομένων παράλληλα με τις διατάξεις για την πρόσβαση σε κυβερνητικά δεδομένα. Η ανάλυση αυτή δεν είναι περιεκτική, αλλά υπογραμμίζει ορισμένα βασικά σημεία σημείωσης στη νομοθεσία που θα αποτελούσε σημαντική εξέλιξη της παγκόσμιας ρύθμισης των δεδομένων.
Η ιδέα του ‘συγκατάθεση’
Όπως και με το παλιό νομοσχέδιο, το νομοσχέδιο προστασίας ψηφιακών προσωπικών δεδομένων απαιτεί από τους οργανισμούς επεξεργασίας δεδομένων (τα οποία καλεί “Δεδομένα”) αποκτώ “συγκατάθεση” από άτομα για τα οποία επεξεργάζονται δεδομένα. Όταν ένα άτομο δίνει το δικό του “συγκατάθεση,” λέει το νομοσχέδιο, ο οργανισμός πρέπει να παρέχει αυτό το άτομο “μια αναλυτική ειδοποίηση σε σαφή και απλή γλώσσα” που περιγράφει τα δεδομένα που συλλέγονται και τον σκοπό για τον οποίο επεξεργάζεται, “Μόλις είναι λογικά εφικτό.” Το νομοσχέδιο προτείνει επίσης ότι τα άτομα μπορούν να αποσύρουν “συγκατάθεση” Για τους οργανισμούς να επεξεργάζονται τα δεδομένα τους, οπότε ο εν λόγω οργανισμός πρέπει να σταματήσει να το πράξει.
Αυτή η έννοια της συγκατάθεσης είναι σπασμένη και δεν είναι συγκεκριμένη για την Ινδία. Οι αμερικανικές και ευρωπαϊκές εταιρείες και οι υπεύθυνοι χάραξης πολιτικής προωθούν την ίδια ιδέα. Οι άνθρωποι δεν διαβάζουν συμφωνίες παροχής υπηρεσιών και εταιρείες που αναβοσβήνουν ένα μακρύ έγγραφο με απρόσιτο νόμιμο – που αναμειγνύουν τα άτομα να κάνουν κλικ στο μόνο “αποδέχομαι”- γνωρίζετε ότι οι χρήστες δεν διαβάζουν ούτε κατανοούν το έγγραφο.
Αυτό αψηφεί την ίδια την έννοια της συγκατάθεσης.
Ομοίως, οι άνθρωποι δεν διαβάζουν πολιτικές απορρήτου, όμως πολλοί ιστότοποι και εφαρμογές θα υποστηρίξουν κυριολεκτικά ότι η προβολή του ιστότοπου ή το άνοιγμα της αίτησης συνιστά συμφωνία με την πολιτική απορρήτου της. Επιπλέον, η συγκατάθεση δεν παρέχεται πλήρως και ελεύθερα σε έναν κόσμο στον οποίο οι πολίτες – συμπεριλαμβανομένων των ινδικών πολιτών – δεν έχουν πρόσβαση σε βασικές υπηρεσίες χωρίς να υποβληθούν στη συλλογή δεδομένων. Παρ ‘όλα αυτά, ο νέος λογαριασμός’Η γλώσσα της συγκατάθεσης θέτει την Ινδία σχετικά προς την ίδια κατεύθυνση με “συγκατάθεση” Διατάξεις των νόμων περί ιδιωτικής ζωής των ΗΠΑ και του γενικού κανονισμού για την προστασία των δεδομένων στην Ευρωπαϊκή Ένωση.
Κυβερνητική συλλογή δεδομένων
Το νομοσχέδιο αποδυναμώνει αυτή την έννοια της συγκατάθεσης ακόμη περισσότερο, καθορίζοντας πολλές εξαιρέσεις, συμπεριλαμβανομένων πολλών εξαιρέσεων για την ινδική κυβέρνηση. Ενώ μερικοί είναι αναμφισβήτητα πιο λογικοί, άλλοι δημιουργούν κινδύνους απορρήτου για τους Ινδούς πολίτες και δημιουργούν σύνθετα νομικά ερωτήματα για εταιρείες και οργανισμούς που λειτουργούν στην Ινδία.
Τα άτομα, στο πιο πρόσφατο σχέδιο δημόσιου νομοσχεδίου, θεωρούνται ότι έχουν δώσει συγκατάθεση εάν η επεξεργασία δεδομένων “είναι απαραίτητο” Για “την εκτέλεση οποιασδήποτε λειτουργίας σύμφωνα με το νόμο,” “για συμμόρφωση με οποιαδήποτε απόφαση ή διάταξη που εκδίδεται σύμφωνα με οποιοδήποτε νόμο,” “για την ανταπόκριση σε ιατρική κατάσταση έκτακτης ανάγκης που περιλαμβάνει απειλή για τη ζωή ή την άμεση απειλή για την υγεία του ατόμου ή οποιουδήποτε άλλου ατόμου,” και “για τη λήψη μέτρων για την εξασφάλιση της ασφάλειας ή της παροχής βοήθειας ή υπηρεσιών σε οποιοδήποτε άτομο κατά τη διάρκεια οποιασδήποτε καταστροφής ή οποιαδήποτε κατανομή της δημόσιας τάξης,” μεταξύ άλλων. Θα απαλλάσσει επίσης καταστάσεις στις οποίες είναι “λογικά αναμενόμενο” ότι κάποιος θα παρέχει τα προσωπικά του δεδομένα σε έναν οργανισμό εθελοντικά, την επεξεργασία του “Διατίθενται δημόσια προσωπικά δεδομένα,” και βαθμολογία πίστωσης.
Ενώ ορισμένες από αυτές τις εξαιρέσεις μπορεί να φαίνονται λογικές στο πρόσωπό τους (όπως η βαθμολογία πίστωσης), πολλοί αφορούν ιδιαίτερα την προοπτική της ιδιωτικής ζωής και των πολιτικών δικαιωμάτων. Η κυβέρνηση του πρωθυπουργού της Ινδίας Narendra Modi έχει κάνει συχνά ψευδείς ισχυρισμούς για απειλές για δημόσια ασφάλεια και διαταγή για να σπάσει τη διαμαρτυρία και τη διαφωνία. Οι αρχές έχουν επίσης αντλήσει παρόμοια αμφίβολη, αλλά δημόσια τάξη, ισχυρίζονται ότι νομικά και ρητορικά δικαιολογούν το κλείσιμο του Διαδικτύου περισσότερες φορές από οποιαδήποτε άλλη χώρα στη Γη. Σε παρόμοια μορφή, ο λογαριασμός’Η τρέχουσα γλώσσα θα επέτρεπε τη συλλογή δεδομένων με βάση το “δημόσιο ενδιαφέρον,” καθορίζεται εξαιρετικά ευρέως για να συμπεριλάβει το ενδιαφέρον της Ινδίας’Η κυριαρχία και η ακεραιότητα, η κρατική ασφάλεια, οι φιλικές σχέσεις με τα ξένα κράτη, η διατήρηση της δημόσιας τάξης, η πρόληψη της υποκίνησης οποιασδήποτε από τις προαναφερθείσες δραστηριότητες (όπως υπονομεύουν τη δημόσια τάξη) και την πρόληψη της διάδοσης “ψευδείς δηλώσεις.”
Η κυβέρνηση Modi δεν είναι σχεδόν η μόνη κυβέρνηση σε μια ονομαστικά δημοκρατική χώρα που ασχολείται με τελείες αντιδημοκρατικές πρακτικές. Ωστόσο, η πρόταση για απίστευτα ευρεία κυβερνητικά δεδομένα εξάγει στο νομοσχέδιο θα ενισχύσει την κρατική επιτήρηση σε βάρος των ινδικών πολιτών’ ιδιωτικότητα και πολιτικά δικαιώματα. Θα αναγκάσει επίσης τις εταιρείες και τους οργανισμούς που λειτουργούν στην Ινδία να αντιμετωπίζουν συνεχώς ένα ακόμη πιο περίπλοκο σύνολο νομικών ερωτήσεων γύρω από την εκτεταμένη κυβερνητική πρόσβαση στα δεδομένα.
Όσον αφορά, αυτό είναι μόνο ένα στοιχείο της κυβέρνησης Modi’Η ευρύτερη ώθηση για να υπονομεύσει την κρυπτογράφηση και να αυξήσει την ικανότητά της να εξαναγκάζει τις εταιρείες τεχνολογίας.
Εντοπισμός δεδομένων
Το πιο αμφισβητούμενο στοιχείο του παλαιού λογαριασμού προστασίας προσωπικών δεδομένων ήταν πιθανώς οι απαιτήσεις εντοπισμού δεδομένων του. Αυτές οι διατάξεις θα απαιτούσαν οργανισμούς με προσωπικά δεδομένα για τους Ινδούς πολίτες να διατηρούν αυτές τις πληροφορίες αποθηκευμένες στη χώρα, σε ορισμένες περιπτώσεις απλώς ένα αντίγραφο και σε άλλες περιπτώσεις εμποδίζοντας εξ ολοκλήρου τη μεταφορά. Διαφορετικοί ινδοί υπεύθυνοι για τη χάραξη πολιτικής ήθελαν αυτές τις απαιτήσεις για διάφορους λόγους, συμπεριλαμβανομένων των δαπανών σε ξένες εταιρείες, ενισχύουν την Ινδία’S Storage Storage Industry S, αυξήστε την εποπτεία της ινδικής κυβέρνησης σχετικά με την αποθήκευση δεδομένων που σχετίζονται με τους Ινδούς πολίτες και, όπως ορισμένοι το είδαν, επιτρέπουν την καλύτερη πρόσβαση στην επιβολή του νόμου της Ινδίας σε στοιχεία που σχετίζονται με το έγκλημα που κατέχουν οι αμερικανικές εταιρείες, οι οποίες είναι επί του παρόντος λιγότερο από προσβάσιμες μέσω μιας σπασμένης διαδικασίας αμοιβαίας συνθήκης νομικής βοήθειας.
Το νέο νομοσχέδιο απομακρύνεται από αυτή την έμφαση στον εντοπισμό. Αντί να απαιτεί την τοπική αποθήκευση δεδομένων per se, προτείνει να επιτρέψει στην ινδική κυβέρνηση να αξιολογήσει τις ξένες χώρες’ καθεστώτα προστασίας δεδομένων και στη συνέχεια πιστοποιήστε αυτά ως επαρκή για την παροχή προορισμών για τους Ινδούς πολίτες’ δεδομένα. Συγκεκριμένα, δηλώνει, “Η κεντρική κυβέρνηση μπορεί, μετά από αξιολόγηση τέτοιων παραγόντων που μπορεί να θεωρήσει αναγκαία, να ειδοποιήσει τέτοιες χώρες ή εδάφη εκτός της Ινδίας στις οποίες ένας καταπιστευματοδόχος μπορεί να μεταφέρει προσωπικά δεδομένα, σύμφωνα με τους όρους και τις προϋποθέσεις που προορίζονται.”
Οι ξένες επιχειρήσεις θα είναι σίγουρα ευχαριστημένοι με αυτήν την αλλαγή. Τις περισσότερες φορές, οι καταγγελίες τους σχετικά με τον εντοπισμό των δεδομένων επέστρεψαν στο κόστος – δεν θέλουν να πληρώσουν για τις τεχνικές αλλαγές και την τεχνική υποδομή για την αποθήκευση δεδομένων σε τοπικό επίπεδο στην Ινδία, καθώς και άλλων νομικών και οργανωτικών εξόδων. Υπάρχουν όμως και άλλες ανησυχίες που προκύπτουν από τον εντοπισμό των δεδομένων, συμπεριλαμβανομένου του κόστους των εκπομπών του κλίματος για τη διπλή υποδομή αποθήκευσης δεδομένων και τους κινδύνους στον κυβερνοχώρο για την αποθήκευση ενός άλλου αντιγράφου πληροφοριών όταν υπήρχαν προηγουμένως λιγότερο.
Αυτά παρέχουν τουλάχιστον διάφορους λόγους για την ινδική κυβέρνηση να απομακρυνθεί από ένα πολύ ελεγχόμενο καθεστώς εντοπισμού δεδομένων.
Άλλες ιδέες που υποβάλλονται σε συζήτηση
Η τρέχουσα έκδοση του λογαριασμού στον ιστότοπο για το Ινδικό Υπουργείο Ηλεκτρονικών και Πληροφορικής δεν ισχύει για “Μη αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων,” “Προσωπικά δεδομένα εκτός σύνδεσης,” “Προσωπικά δεδομένα που υποβάλλονται σε επεξεργασία από ένα άτομο για κάθε προσωπικό ή εγχώριο σκοπό,” και “Προσωπικά δεδομένα για ένα άτομο που περιέχεται σε ένα αρχείο που υπάρχει για τουλάχιστον 100 χρόνια.”
Είναι ενδιαφέρον ότι μια έκδοση του νομοσχεδίου που εξέτασα-των οποίων οι αλλαγές δεν αντικατοπτρίζονται στο τρέχον σχέδιο σε απευθείας σύνδεση-περιόρισε μια πρόταση για απαλλαγή επίσης “ανώνυμες προσωπικά δεδομένα” αυτό είναι “ανήκει στην κεντρική ή κρατική κυβέρνηση, ανάλογα με το θέμα στο οποίο αφορά τα δεδομένα” από το λογαριασμό. Περιείχε επίσης μια επεξεργασία για να χρησιμοποιήσει ρητά τη φράση “Δεδομένα ελεύθερη ροή με εμπιστοσύνη” Για να περιγράψουμε τις διατάξεις της ινδικής κυβέρνησης’Έγκριση για μεταφορές ξένων δεδομένων και αποθήκευση.
ο Οικονομικός χρόνος αναφέρει, σε αυτό το πνεύμα, ότι η επόμενη επανάληψη του νομοσχεδίου θα έχει την ινδική κυβέρνηση να ορίσει “έμπιστος” Γεωγραφίες στις οποίες οι καταπιστευματοδόχοι δεδομένων μπορούν να μεταφέρουν και να αποθηκεύουν δεδομένα που σχετίζονται με τους Ινδούς πολίτες.
Το πρώτο είναι (εδώ, ήταν) μια κακή πρόταση. Στις Ηνωμένες Πολιτείες, οι ομοσπονδιακοί και οι κρατικοί νομοθέτες εξακολουθούν να απαλλάσσονται “ανώνυμα” ή “αποσπασμένος” Τα δεδομένα από τους νόμους περί προστασίας της ιδιωτικής ζωής και τους λογαριασμούς υπό την ψευδή πεποίθηση ότι οι όροι αυτοί έχουν τεχνικά νόημα. Πολλές μελέτες έχουν δείξει πόσο εύκολο είναι να συνδεθείτε δήθεν “αποσπασμένος” ή “ανώνυμα” Δεδομένα σε πραγματικούς ανθρώπους, δεδομένης της ανάλυσης στατιστικών δεδομένων, του τεράστιου όγκου των δεδομένων στον κόσμο σήμερα, και των εταιρειών’ Πρόσβαση σε σημεία δεδομένων που είναι εξαιρετικά μοναδικά για τα άτομα, όπως το ιστορικό γεωγραφικής κατανομής ή μια συσκευή’Σχέδια σύνδεσης Wi-Fi.
Ωστόσο, οι νομοθέτες εξακολουθούν να περιλαμβάνουν αυτές τις εξελίξεις σε νόμους, συμπεριλαμβανομένων επειδή οι εταιρείες ωθούν τη γραμμή ψευδών “ανωνυμία” είναι αληθινό. Ας ελπίσουμε ότι, η Ινδία’Το κοινοβούλιο δεν εμπίπτει στην ίδια παγίδα. Οι νέες τεχνικές για την καλύτερη προστασία της εμπιστευτικότητας των δεδομένων, επιτρέποντας στους οργανισμούς να το επεξεργαστούν, όπως η διαφορική ιδιωτικότητα, είναι πολύτιμες. Το καλύτερο μονοπάτι προς τα εμπρός είναι να αναγνωρίσουμε ότι υπάρχει ένα φάσμα δυνατοτήτων για τη σύνδεση δεδομένων με τα άτομα με το όνομα ή από ένα άλλο σαφές μεμονωμένο αναγνωριστικό – και αυτό το σύνολο “ανωνυμία” είναι ένας μύθος.
Η δεύτερη πρόταση στο μη δημοσιευμένο νομοσχέδιο που επανεξέτασα – η φράση “Δεδομένα ελεύθερη ροή με εμπιστοσύνη”-Α είναι μια αναφορά στην πρωτοβουλία Free Flow Data With With Frust με επικεφαλής την ιαπωνική κυβέρνηση στο 2019 G-20 στην Οσάκα. Εκείνη την εποχή, περιέγραψε μια γενική πεποίθηση ότι οι χώρες έχουν ενδιαφέρον να επιτρέψουν την ελεύθερη ροή δεδομένων μεταξύ τους, αλλά με ορισμένες διασφαλίσεις στη θέση του. Το Νέο Δελχί αρνήθηκε να υπογράψει την αρχική ελεύθερη ροή δεδομένων με συμφωνία εμπιστοσύνης το 2020 – μια αόριστη διακήρυξη για να συνεχίσει τη συνεργασία για ένα “Δεδομένα ελεύθερη ροή με εμπιστοσύνη” Πλαίσιο-Επειδή είδε την προσπάθεια ως υπερβολικά οδηγείται από χώρες υψηλού πόρου. Ινδία’Ο υπουργός Εμπορίου και Βιομηχανίας του είπε τότε “Λόγω του τεράστιου ψηφιακού χάσματος μεταξύ των χωρών, υπάρχει ανάγκη για χώρο πολιτικής για τις αναπτυσσόμενες χώρες που εξακολουθούν να πρέπει να ολοκληρώσουν τους νόμους γύρω από το ψηφιακό εμπόριο και τα δεδομένα. Τα δεδομένα είναι ένα ισχυρό εργαλείο για την ανάπτυξη και η δίκαιη πρόσβαση των δεδομένων είναι μια κρίσιμη πτυχή για εμάς.”
Καθώς οι κυβερνήσεις επεκτείνουν τους κανονισμούς ροής δεδομένων, η Ινδία’Η απομάκρυνση από μια τέτοια έμφαση στον εντοπισμό και προς την εστίαση στις αξιόπιστες γεωγραφικές περιοχές ευθυγραμμίζει την Ινδία με ορισμένες από αυτές τις προσπάθειες-ενώ εξακολουθεί να αφήνει χώρο για τους υπεύθυνους για τη χάραξη πολιτικής να χαράξουν έναν λεγόμενο τέταρτο τρόπο διακυβέρνησης δεδομένων που απευθύνεται σε παγκόσμιες χώρες του Νότου. Σημαντικά, η Ινδία αναλαμβάνει επίσης την προεδρία της G-20, που σημαίνει ότι μια προσέγγιση ελεύθερης ροής δεδομένων με τύπο εμπιστοσύνης θα μπορούσε να θέσει τη χώρα σε επιρροή για να οδηγήσει τις παγκόσμιες συνομιλίες δεδομένων τον επόμενο χρόνο.
συμπέρασμα
Υπήρξε έντονη συζήτηση σχετικά με την τελευταία προσπάθεια ολοκληρωμένης ρύθμισης δεδομένων στην Ινδία, μεταξύ των οποίων οι Ινδοί υπεύθυνοι χάραξης πολιτικής, οι αμερικανοί υπεύθυνοι για τη χάραξη πολιτικής, οι εταιρείες τεχνολογίας των ΗΠΑ και οι ενδιαφερόμενοι της κοινωνίας των πολιτών στην Ινδία. Αναμφισβήτητα, αυτές οι συζητήσεις θα συνεχίσουν να συμβαίνουν γύρω από τη νέα νομοθεσία.
Υπάρχουν επίσης πολλά άλλα ζητήματα και ερωτήματα που προκύπτουν από την πρόταση που αξίζει βαθύτερη ανάλυση και συζήτηση – περισσότερο από ό, τι καλύπτεται σε αυτό το άρθρο. Προς το παρόν, όμως, αυτό’είναι σαφές ότι η Ινδία έχει πρόθεση να φύτεψει τη σημαία της στη ρύθμιση των δεδομένων και εκεί που πού “αξιόπιστες γεωγραφίες” αφορά, υπάρχει αρκετός χώρος για την αμερικανική κυβέρνηση να εμπλακούν παραγωγικά.
Justin Sherman (@Jshermcyber) είναι συνάδελφος στο Συμβούλιο του Ατλαντικού’S Cyber Statecraft Πρωτοβουλία. Ήταν επίσης μέλος του Κέντρου AC South Asia’S US-India Digital Economy Task Force και οδήγησε το δικό της ομάδα εργασίας στην πολιτική δεδομένων των ΗΠΑ-Ινδίας.
ο Κέντρο Νότιας Ασίας χρησιμεύει ως Συμβούλιο του Ατλαντικού’S Focal Point για εργασία στην περιοχή, καθώς και σχέσεις μεταξύ αυτών των χωρών, γειτονικών περιοχών, Ευρώπης και Ηνωμένων Πολιτειών.
Ινδία – μια νέα προσπάθεια να περάσει ένας ολοκληρωμένος νόμος περί προστασίας δεδομένων
Τον Νοέμβριο του 2022, η ινδική κυβέρνηση δημοσίευσε ένα σχέδιο του νομοσχεδίου ψηφιακής προστασίας προσωπικών δεδομένων, 2022 (“Νομοσχέδιο”), σε μια νέα προσπάθεια δημιουργίας ενός περιεκτικού καθεστώτος προστασίας δεδομένων.
Το νομοσχέδιο προτείνεται να κατατεθεί ενώπιον του Κοινοβουλίου της Ινδίας το πρώτο εξάμηνο του 2023. Συζητάμε τις βασικές διατάξεις του λογαριασμού.
Το μονοπάτι για τη μεταρρύθμιση
Η Ινδία δεν έχει ακόμη θεσπίσει μια ολοκληρωμένη νομοθεσία για την προστασία των δεδομένων. Το τρέχον ρυθμιστικό πλαίσιο προέρχεται από το άρθρο 43Α του νόμου περί τεχνολογίας της πληροφορίας, 2000 (“Ενεργεί”) και την τεχνολογία των πληροφοριών (λογικές πρακτικές ασφαλείας και διαδικασίες και ευαίσθητα προσωπικά δεδομένα ή πληροφορίες), 2011 (“Κανόνες SPDI”) που εφαρμόζουν συγκεκριμένες και περιορισμένες υποχρεώσεις. Οι τομεακοί νόμοι ενδέχεται επίσης να ισχύουν για οντότητες σε ρυθμιζόμενους τομείς όπως οι χρηματοπιστωτικές υπηρεσίες και οι τηλεπικοινωνίες . Δείτε εδώ για λεπτομερή περίληψη του καθεστώτος προστασίας δεδομένων στην Ινδία.
Η ινδική κυβέρνηση έχει κάνει αρκετές προσπάθειες να εισαγάγει έναν ολοκληρωμένο νόμο περί προστασίας δεδομένων. Για παράδειγμα, προηγουμένως πρότεινε ένα νομοσχέδιο για την προστασία δεδομένων, 2021 (“2021 Σχέδιο λογαριασμού”) που είχε κάποιες ομοιότητες με τον γενικό κανονισμό προστασίας δεδομένων (“GDPR”·.
Αυτό το σχέδιο του 2021 έχει πλέον αποσυρθεί και έχει αντικατασταθεί από το νέο λογαριασμό. Αυτό το νομοσχέδιο έχει συνταχθεί ως εντελώς νέος νόμος και φαίνεται να είναι τόσο κυβερνητική όσο και φιλική προς τις επιχειρήσεις. Δεν είναι μια επανάληψη του σχεδίου λογαριασμού 2021. Το νομοσχέδιο θα αντικαταστήσει την ενότητα 43Α του νόμου περί πληροφορικής και των κανόνων SPDI.
Περίγραμμα του λογαριασμού
Ο λογαριασμός ξεκινά με μια σειρά από έννοιες που είναι ευρέως παρόμοιες με εκείνες του GDPR. Διέπει τους καταπιστευματοδόχους δεδομένων (i.μι., ελεγκτές δεδομένων), επεξεργαστές δεδομένων και διευθυντές δεδομένων (i.μι., θέματα δεδομένων).
Ισχύει για την επεξεργασία ψηφιακών προσωπικών δεδομένων, i.μι., Πληροφορίες σχετικά με ένα άτομο που μπορεί να εντοπίσει ένα τέτοιο άτομο, όπου τα δεδομένα είτε συλλέγονται στο διαδίκτυο είτε ψηφιοποιούνται μετά τη συλλογή του εκτός σύνδεσης.
Το νομοσχέδιο του 2021 περιείχε μια σύνθετη οριοθέτηση προσωπικών δεδομένων σε ευαίσθητα ή κρίσιμα προσωπικά δεδομένα και μια ιεραρχία ενός καταπιστευματοδόχου δεδομένων’οι υποχρεώσεις S με βάση τον τύπο των προσωπικών δεδομένων που υποβλήθηκαν σε επεξεργασία. Αυτό έχει καταργηθεί. Επιπροσθέτως, ‘μη προσωπικά δεδομένα’ έχει αφαιρεθεί από το πεδίο του λογαριασμού, το οποίο είναι μια ευπρόσδεκτη αλλαγή.
Λόγοι επεξεργασίας – νόμιμος σκοπός και συγκατάθεση
Η επεξεργασία των προσωπικών δεδομένων πρέπει να είναι σύμφωνη με το νομοσχέδιο για νόμιμο σκοπό, i.μι., ένας σκοπός που δεν απαγορεύεται ρητά από το νόμο.
Η συγκατάθεση παραμένει ένα βασικό έδαφος για την επεξεργασία προσωπικών δεδομένων, αλλά, όπως ορίζεται παρακάτω, είναι μια πολύ διαφορετική έννοια για τη συγκατάθεση στο πλαίσιο του GDPR. Οι καταπιστευματοδόχοι δεδομένων πρέπει να παρέχουν μια σαφή και αναλυτική ειδοποίηση (με περιγραφή των επιδιωκόμενων προσωπικών δεδομένων και τον σκοπό της συλλογής τέτοιων δεδομένων) σε ενδιαφερόμενους διευθυντές δεδομένων για να αναζητήσουν τη συγκατάθεσή τους.
Το νομοσχέδιο έχει μια ευρεία αντίληψη της συγκατάθεσης. Εκτός από τη ρητή/ θετική συγκατάθεση, αναγνωρίζει ‘ θεωρείται συγκατάθεση’, το πεδίο του οποίου φαίνεται να είναι πολύ ευρύ. Ενώ η καταφατική συγκατάθεση πρέπει να είναι ελεύθερη, συγκεκριμένη, ενημερωμένη και σαφής και μπορεί να αποσυρθεί, ‘θεωρείται συγκατάθεση’ δεν απαιτεί άτομα’ καταφατική δράση και δεν προσελκύει υποχρεώσεις ειδοποίησης. Δεν είναι επίσης ασαφές ως προς τον τρόπο απόσυρσης ‘θεωρείται συγκατάθεση’ θα δούλευε.
Ο λογαριασμός παραθέτει καταστάσεις όπου ‘θεωρείται συγκατάθεση’ μπορεί να βασιστεί στη συμπεριφορά:
- όπου τα δεδομένα παρέχονται οικειοθελώς με τη λογική προσδοκία ότι τα δεδομένα πρέπει να παρέχονται για τον εν λόγω σκοπό
- στοιχεία που παρέχονται σε σχέση με νομικούς ή δικαστικούς σκοπούς ·
- δεδομένα που παρέχονται σε σχέση με ιατρικές καταστάσεις έκτακτης ανάγκης και υπηρεσίες υγείας ·
- δεδομένα που παρέχονται σε σχέση με την κατανομή της δημόσιας τάξης ·
- Τα στοιχεία που παρέχονται σε σχέση με την απασχόληση, τα οποία περιλαμβάνουν την πρόληψη της εταιρικής κατασκοπείας, τη συντήρηση της εμπιστευτικότητας, την πρόσληψη και τον τερματισμό και τη συμμετοχή και την αξιολόγηση της απόδοσης · και
- Όταν τα δεδομένα υποβάλλονται σε επεξεργασία σε δημόσιο συμφέρον. Αυτό περιλαμβάνει δεδομένα που υποβάλλονται σε επεξεργασία σε σχέση με συναλλαγές εξαγορών και εξαγορών και εταιρικών αναδιάρθρωσης, βαθμολόγηση πίστωσης, πρόληψη απάτης κ.λπ. ή για οποιονδήποτε δίκαιο και λογικό σκοπό ‘όπως μπορεί να συνταγογραφηθεί’.
Υποχρεώσεις των εμπιστευτικών δεδομένων
Οι βασικές υποχρεώσεις των εμπιστευτικών δεδομένων περιλαμβάνουν:
- χρησιμοποιώντας μέτρα για τη συμμόρφωση με το νομοσχέδιο ·
- εξασφαλίζοντας την ακρίβεια και την πληρότητα των προσωπικών δεδομένων ·
- Χρησιμοποιώντας εύλογες διασφαλίσεις ασφαλείας για την πρόληψη παραβιάσεων δεδομένων ·
- την κατάργηση των προσωπικών δεδομένων από τα αρχεία μόλις εκπληρωθεί ο σκοπός, εκτός εάν απαιτείται νόμιμη διατήρηση. και
- Χρησιμοποιώντας μηχανισμό αποκατάστασης παράπονα.
Το νομοσχέδιο ορίζει τα παιδιά ως οποιονδήποτε κάτω των 18 ετών και απαιτεί επαληθεύσιμη γονική συγκατάθεση για την επεξεργασία των προσωπικών δεδομένων των παιδιών.
Οι εταιρείες μπορούν να οριστούν ως ‘Σημαντικά εμπιστευματοδόχοι δεδομένων’, Με βάση παράγοντες όπως ο όγκος και η ευαισθησία των επεξεργασμένων προσωπικών δεδομένων, ο κίνδυνος βλάβης των διευθυντών δεδομένων και οι δυνητικές επιπτώσεις στην Ινδία’Ασφάλεια και δημόσια εντολή. Αυτά τα ‘Σημαντικά εμπιστευματοδόχοι δεδομένων’ υπόκεινται σε πρόσθετες υποχρεώσεις όπως η διεξαγωγή περιοδικών ελέγχων και αξιολογήσεων επιπτώσεων προστασίας δεδομένων και ο διορισμός ανεξάρτητου ελεγκτή δεδομένων και υπεύθυνος προστασίας δεδομένων.
Οι οργανισμοί που ασχολούνται συνήθως με μεγάλους όγκους προσωπικών δεδομένων (τράπεζες, εταιρείες τηλεπικοινωνιών, ασφαλιστικές εταιρείες, νοσοκομεία) είναι πιθανό να εμπίπτουν στην κατηγορία αυτή, αν και σε αντίθεση με το σχέδιο του 2021, οι πλατφόρμες κοινωνικών μέσων δεν αναγνωρίζονται ειδικά ως ‘Σημαντικά εμπιστευματοδόχοι δεδομένων’ .
Δικαιώματα και καθήκοντα των διευθυντών δεδομένων
- Το δικαίωμα των πληροφοριών, όπως η κατάσταση της επεξεργασίας των προσωπικών δεδομένων, η περίληψη των δεδομένων που έχουν υποβληθεί σε επεξεργασία και τα ονόματα των εταιρειών με τα προσωπικά τους δεδομένα έχουν μοιραστεί
- το δικαίωμα υποψηφιότητας οποιουδήποτε άλλου ατόμου, σε περίπτωση θανάτου ή ανικανότητας
- το δικαίωμα διόρθωσης και διαγραφής, που περιλαμβάνει καταπιστευματοδόμα δεδομένων’το καθήκον να διορθώνει ανακριβή/ παραπλανητικά δεδομένα, να ολοκληρώσει τα ελλιπή δεδομένα, να ενημερώσει τα προσωπικά δεδομένα και να διαγράψει δεδομένα μετά την εκπλήρωση του σκοπού. και
- Το δικαίωμα αποκατάστασης των παραπόνων ενώπιον του Συμβουλίου Προστασίας Δεδομένων της Ινδίας ή των Δεδομένων Καταπίνων.
Ασυνήθιστα, το νομοσχέδιο επιβάλλει επίσης καθήκοντα στους διευθυντές δεδομένων (άτομα). Μπορούν να υποβληθούν σε κυρώσεις μέχρι 10.000 INR για μη συμμόρφωση, μια μοναδική διάταξη που φαίνεται να έχει εισαχθεί για να αποτρέψει τις επιπόλαιες καταγγελίες .
Εντοπισμός δεδομένων και διασυνοριακές μεταφορές δεδομένων
Ενώ το νομοσχέδιο δεν αναφέρει συγκεκριμένα την αποθήκευση ψηφιακών προσωπικών δεδομένων στην Ινδία, οι απαιτήσεις εντοπισμού δεδομένων σύμφωνα με άλλους νόμους (Ε.σολ., που επιβάλλεται από την Reserve Bank of India σε τράπεζες και άλλους παρόχους υπηρεσιών πληρωμών) θα συνεχίσουν να ισχύουν.
Επιπλέον, σύμφωνα με το νομοσχέδιο, επιτρέπεται σε διασυνοριακές μεταφορές δεδομένων σε δικαιοδοσίες ότι η ινδική κυβέρνηση ‘μπορεί να συνταγογραφήσει’. Ως εκ τούτου, φαίνεται ότι οι μεταφορές δεδομένων θα επιτρέπονται μόνο σε χώρες που εμπίπτουν σε μια κυβερνητική λευκή λίστα.
ΕΝΑ ‘Ψηφιακό από το σχεδιασμό’ και ένα ανεξάρτητο, αν και η κυβέρνηση, το Συμβούλιο Προστασίας Δεδομένων της Ινδίας, το οποίο αποτελείται από έναν πρόεδρο, διευθύνοντα σύμβουλο, μέλη και άλλους υπαλλήλους και υπαλλήλους, θα δημιουργηθεί με κοινοποίηση της κυβέρνησης, για να εξασφαλίσει τη συμμόρφωση και να τιμωρήσει τη μη συμμόρφωση.
Το διοικητικό συμβούλιο έχει την εξουσία να διεξάγει έρευνες βάση, μεταξύ άλλων, σιγουριά καταγγελίες ή καταγγελίες από άτομα που επηρεάζονται/ αναφορές από την κυβέρνηση και εκδίδουν παραγγελίες. Τέτοιες εντολές μπορούν να επανεξεταστούν περαιτέρω από το διοικητικό συμβούλιο ή να προσβληθούν πριν από τα σχετικά υψηλά δικαστήρια. Το Διοικητικό Συμβούλιο μπορεί επίσης να συστήσει εναλλακτικές διαδικασίες επίλυσης διαφορών και μπορεί να σταματήσει τη διαδικασία του, αποδεχόμενοι εθελοντικές επιχειρήσεις από παραβίαση οντοτήτων.
Ενώ το κβαντικό των κυρώσεων για το Β φτάνει και η μη συμμόρφωση του νομοσχεδίου είναι υψηλή (που καλύπτεται σε 500 crores INR, η οποία είναι περίπου 60 εκατομμύρια ευρώ), οι κυρώσεις δεν συνδέονται με τον παγκόσμιο κύκλο εργασιών της οντότητας, όπως στην περίπτωση του GDPR και του σχεδίου του 2021. Μια άλλη αλλαγή καλωσορίσματος ήταν η απομάκρυνση των εγκληματικών κυρώσεων. Η ικανότητα των προσβεβλημένων διευθυντών δεδομένων να διεκδικήσουν αποζημίωση έχει επίσης αφαιρεθεί.
Οι κρατικές οντότητες απαλλάσσονται από την υποχρέωση να μην διατηρούν δεδομένα ακόμη και μετά την εκπλήρωση του σκοπού και μπορούν επίσης να εξαιρηθούν από τις διατάξεις του νομοσχεδίου από την ινδική κυβέρνηση προς το συμφέρον του κράτους’Ασφάλεια, κυριαρχία και ακεραιότητα ή για τη διατήρηση της δημόσιας τάξης .
Ορισμένες εταιρείες μπορούν επίσης να εξαιρούνται από την ινδική κυβέρνηση από ορισμένες συγκεκριμένες υποχρεώσεις. Επιπλέον, πολλές υποχρεώσεις των εμπιστευτικών δεδομένων δεν ισχύουν όταν η επεξεργασία είναι απαραίτητη (i) για δικαστικά/ οιονεί δικαστικά σκοπούς από δικαστήρια ή δικαστήρια, (ii) για την επιβολή του νόμιμου δικαιώματος/ αξίωσης ή (iii) σε σχέση με την πρόληψη ενός αδικήματος.
Ποιο είναι το επόμενο
Το νομοσχέδιο προτείνεται να κατατεθεί ενώπιον του Κοινοβουλίου της Ινδίας κατά τη σύνοδο του προϋπολογισμού του 2023 και θα πρέπει να περάσει και από τα δύο σπίτια του Ινδικού Κοινοβουλίου και να ειδοποιηθεί στην επίσημη εφημερίδα πριν γίνει ο νόμος. Ακόμη και μετά τη θέσπιση, το νομοσχέδιο είναι πιθανό να εφαρμοστεί σε φάση για μια συγκεκριμένη χρονική περίοδο. Η ινδική κυβέρνηση θα θέσει επίσης κανόνες για την εκτέλεση των διατάξεων του λογαριασμού.
Δείτε εδώ για ένα λεπτομερές άρθρο σχετικά με τη σύνοψη των βασικών τροποποιήσεων που προτάθηκαν στο λογαριασμό.
Από την Deepa Christopher, Partner, και Anindita Dutta, συνεργάτη, στο Talwar Thakore & Associates, μια κορυφαία ινδική δικηγορική εταιρεία.