האם בהודו יש חוקי פרטיות נתונים?
הודו: מה בחשבון ההגנה על נתונים חדש בהודו?
קריאות ליישום אמצעים הפחתת פגיעות הנתונים ומניעת שחיקת פרטיות המשתמשים הדהדו ברחבי העולם.
פרטיות נתונים אישיים – האם הודו זקוקה לתקנות כמו GDPR של אירופה ו- CCPA של ארה”ב
בעוד שכולנו היינו מסכימים כי “נתונים הם הסחורה שלאחר הניתוח בעידן הדיגיטלי”, הגנה עליהם ומבטיחה כי פרטיות הנתונים הופכת להיות קריטית ביותר. עובדה ידועה היא שהודו היא המערכת האקולוגית המקוונת השנייה בגודלה בעולם עם למעלה מ- 900 מיליון משתמשי אינטרנט. עם חדירת האינטרנט העולה, המספר הזה צפוי לעלות בחדות בחמש השנים הבאות. על פי הדיווחים, הודו מתמודדת עם המספר השני בגודלו של הפרות נתונים שדווחו ברחבי העולם. נכון לעכשיו, חשוב לחנך משתמשים לגבי איסוף נתונים ופרטיות וגם לבנות חוקים המגנים על אנשים מפני שימוש לרעה בנתונים האישיים שלהם.
עם המשמרת הדיגיטלית והשירותים העוברים לענן, ישנה כמות גדולה של נתונים אישיים מדויקים מאוד המוחלפים לא רק דרך אתרי האינטרנט שאנו גולשים או האפליקציות שאנשים משתמשים בהן בטלפונים הניידים שלהם, אלא גם באמצעות מכשירים כמו מצלמות אבטחה/מעקב, פעמוני דלת דיגיטליים, תרמוסטטים לבקרת טמפרטורה, אוטומציה בית חכם, עוזרים דיגיטליים כדי לציין כמה פעמוני דלת. מקרה השימוש העיקרי של איסוף הנתונים הוא לשפר ולהתאים אישית את השירותים המוצעים, עם זאת, ניתן להשתמש לרעה כדי לפלוש לפרטיותו, האבטחה והאמון של האדם של האדם. ניתוח נתונים אלה, כאשר הם נאספים במרווח זמן, יכול להוביל לזיהוי של אנשים, להסיק מידע על אמונותיו, העדפותיו, הדת או הבריאות של האדם. בסופו של דבר הם יכולים לשמש כדי להשפיע, לגרום לאיומים על בטיחות אישית, פרסום ממוקד, הונאה ופריצה. לדוגמה, ניתוח נתוני המיקום של האדם כדי לקבוע את החנויות/מציב אינדיבידואל ובאיזה תדירות יכולה להוביל לזיהוי תחומי עניין, התנהגות חברתית וגם מעמד סוציו-אקונומי.
עבור ארגונים, אירוע אבטחת מידע עלול להוביל להשלכות משפטיות ועסקיות וגם לחוסר אמון משתמשים. פייסבוק-קמברידג ‘אנליטיקה פיאסקו היא אחת מפרות הנתונים הידועות לשמצה, בשנת 2018 שימשו נתונים עבור כמעט 87 מיליון משתמשי פייסבוק ללא הסכמתם והבנתם. הנתונים שהושגו באופן לא הולם מפייסבוק שימשו ליצירת פרופילי בוחרים ומשמשים לפרסום פוליטי (ללא הסכמה). זו הייתה דליפת הנתונים הגדולה ביותר שעומדת בפני פייסבוק. זה הניע את המודעות לנושאי פרטיות נתונים, כיצד מושג הפרטיות משתנה ומדגיש את חרדת הלקוחות מהתרגלות להתקדמות הטכנולוגית, אך עדיין אינו מודע לחלוטין למידת שחיקת הפרטיות ולסחר באיכות השירות לעומת הסכמה הקשורה לפרטיות. ישנן הגדרות פרטיות שנחשפות על ידי חברות; עם זאת, הם לא מובנים בקלות, וגם אין ברור לגבי ההשפעה על חווית המשתמש על השבתת סוגים מסוימים של גישה לנתונים. עבור ממשלות, הפרת פרטיות עלולה להוביל לסיכון לדלוף מידע לאומי חסוי.
שינויים בחוקים הקשורים לטכנולוגיה ולנתונים הם אתגר גלובלי. תקנת פרטיות הנתונים הכללית של אירופה (GDPR) שנכנסה לתוקף בשנת 2018, מגדירה ומאחדת תקנות פרטיות עם האיחוד האירופי (האיחוד האירופי). GDPR לא רק נותן בקרות פרטיות ליחידים, אלא גם מציב חובות על ארגונים המחזיקים בנתונים שלהם. סין הודיעה על תקנות פרטיות נתונים עם חוק הגנת המידע האישי (PIPL) בשנת 2021. חוקים אלה מתארים גם את דרישות פרטיות הנתונים עבור חברות המבוססות מחוץ לסין/האיחוד האירופי לניהול ושימוש בנתוני אזרחיהן. לארה”ב אין חוק פרטיות אחד אלא שילוב של חוקים ממלכתיים או ספציפיים למגזר כמו חוק פרטיות צרכנים בקליפורניה (CCPA) שהוצג בשנת 2018, ואחריו חוק זכויות הפרטיות בקליפורניה (CPRA) בשנת 2020 וחוק פרטיות וניידות מידע בריאותי (HIPAA).
עם זאת, בניגוד לשאר העולם שיש לו חוקי פרטיות ותקנות שמטרתם להגן על פרטיותם של אזרחים, הודו עדיין אין חוק פרטיות להגן על אזרחיה. באוגוסט 2017 הכריז בית המשפט העליון בהודו על הזכות לפרטיות כזכות בסיסית לאזרחים הודים המוגנים על ידי החוקה ההודית. בעקבות הזכות לפרטיות, הודו הציגה את הצעת החוק לפרטיות הנתונים בשנת 2019; עם זאת, היא נמשכה בשנת 2022, ולא הוצעה עד כה חקיקה חדשה. הודו צריכה להגביר את מאמציה ולקבל חוקי פרטיות נתונים המתאימים לחזון הגלובלי סביב פרטיות הנתונים. התקנות מוציאות את הנטל מאזרחים ומבססות חזון ברור לארגונים לעמוד בהם.
הודו: מה בחשבון ההגנה על נתונים חדש בהודו?
ממשלת הודו פרסמה טיוטה חדשה ופשוטה של הצעת חוק הגנת המידע האישי הדיגיטלי שלה. מה זה אומר?
ב- 18 בנובמבר 2022, ממשלת הודו פרסמה את הטיוטה הרביעית המיוחלת לחוק הפרטיות המוצעת בהודו, שכעת שונה לשם הצעת החוק להגנת המידע האישי הדיגיטלי (‘הצעת חוק’). הממשלה ביקשה משוב על הצעת החוק על ידי 17 בדצמבר 2022.
הודו: מה S בהודו הצעת חוק הגנת נתונים חדשה
קריאות ליישום אמצעים הפחתת פגיעות הנתונים ומניעת שחיקת פרטיות המשתמשים הדהדו ברחבי העולם.
פרטיות נתונים אישיים – האם הודו זקוקה לתקנות כמו אירופה’S GDPR וארה”ב’S CCPA
ד”ר. לפריטי גואל ניסיון של למעלה מ -15 שנות ניסיון מקצועי ותרם לחלק מחברות הטכנולוגיה המובילות בעולם כמו מיקרוסופט, גוגל, אדובי ואמזון. לפריטי גואל יש תואר ראשון במדעי המחשב, תואר שני מ- IIT-Kanpur ו- PH.ד. מאוניברסיטת מלבורן, אוסטרליה. פָּחוֹת . יותר
קריאות ליישום אמצעים הפחתת פגיעות הנתונים ומניעת שחיקת פרטיות המשתמשים הדהדו ברחבי העולם.
בעוד שכולנו היינו מסכימים זאת “הנתונים הם הסחורה שלאחר הניתוח בעידן הדיגיטלי”, הגנה עליו והבטחת פרטיות הנתונים הופכת להיות קריטית ביותר. עובדה ידועה שהודו היא המערכת האקולוגית המקוונת השנייה בגודלה בעולם עם למעלה מ- 900 מיליון משתמשי אינטרנט. עם חדירת האינטרנט העולה מספר זה צפוי לגדול בחדות בחמש השנים הבאות. על פי הדיווחים, הודו מתמודדת עם המספר השני בגודלו של הפרות נתונים שדווחו ברחבי העולם. נכון לעכשיו, חשוב לחנך משתמשים לגבי איסוף נתונים ופרטיות וגם לבנות חוקים המגנים על אנשים מפני שימוש לרעה בנתונים האישיים שלהם.
עם המשמרת הדיגיטלית והשירותים העוברים לענן ישנה כמות גדולה של נתונים אישיים מדויקים מאוד המוחלפים לא רק דרך אתרי האינטרנט שאנו גולשים או האפליקציות שאנשים משתמשים בהן בטלפונים הניידים שלהם, אלא גם באמצעות מכשירים כמו מצלמות אבטחה/פיקוח, פעמוני דלת דיגיטליים, תרמוסטטים לבקרת טמפרטורה, אוטומציה ביתית חכמה, עוזרים דיגיטליים כדי להזכיר כמה פעמוני דלת. איסוף הנתונים’מקרה השימוש העיקרי הוא לשפר ולהתאים אישית את השירותים המוצעים, עם זאת, ניתן להשתמש לרעה כדי להתחמק מאינדיבידואל’S פרטיות, אבטחה ואמון. ניתוח נתונים אלה, כאשר הם נאספים במרווח זמן, יכול להוביל לזיהוי של אנשים, להסיק מידע על אדם’אמונות, העדפות, דת או בריאות. בסופו של דבר הם יכולים לשמש כדי להשפיע, לגרום לאיומים על בטיחות אישית, פרסום ממוקד, הונאה ופריצה. לדוגמה, ניתוח אדם’נתוני המיקום לקביעת החנויות/מציב ביקורים בודדים ובאיזו תדירות יכולה להוביל לזיהוי תחומי עניין, התנהגות חברתית וגם מעמד סוציו-אקונומי.
עבור ארגונים, אירוע אבטחת מידע עלול להוביל להשלכות משפטיות ועסקיות וגם לחוסר אמון משתמשים. פייסבוק-קמברידג ‘אנליטיקה פיאסקו היא אחת מפרות הנתונים הידועות לשמצה, בשנת 2018 שימשו נתונים עבור כמעט 87 מיליון משתמשי פייסבוק ללא הסכמתם והבנתם. הנתונים שהושגו באופן לא הולם מפייסבוק שימשו ליצירת פרופילי בוחרים ומשמשים לפרסום פוליטי (ללא הסכמה). זו הייתה דליפת הנתונים הגדולה ביותר שעומדת בפני פייסבוק. זה הניע את המודעות לנושאי פרטיות נתונים, כיצד מושג הפרטיות משתנה ומדגיש את חרדת הלקוחות מהתרגלות להתקדמות הטכנולוגית, אך עדיין אינו מודע לחלוטין למידת שחיקת הפרטיות ולסחר באיכות השירות לעומת הפרטיות הקשורות לפרטיות. ישנן הגדרות פרטיות שנחשפות על ידי חברות, אולם הן אינן מובנות בקלות וגם אין ברור לגבי ההשפעה על חווית המשתמש על השבתת סוגים מסוימים של גישה לנתונים. עבור ממשלות, הפרת פרטיות עלולה להוביל לסיכון לדלוף מידע לאומי חסוי.
שינויים בחוקים הקשורים לטכנולוגיה ובנתונים הוא אתגר גלובלי. אֵירוֹפָּה’S רגולציה כללית לפרטיות נתונים (GDPR) שנכנסה לתוקף בשנת 2018, מגדירה ומאחדת תקנות פרטיות עם האיחוד האירופי (האיחוד האירופי). GDPR לא רק נותן בקרות פרטיות ליחידים, אלא גם מציב חובות על ארגונים המחזיקים בנתונים שלהם. סין הודיעה על תקנות פרטיות נתונים עם חוק הגנת המידע האישי (PIPL) בשנת 2021. חוקים אלה מתארים גם את דרישות פרטיות הנתונים עבור חברות המבוססות מחוץ לסין/האיחוד האירופי לניהול ושימוש בנתוני אזרחיהן. לארה”ב אין חוק פרטיות אחד אלא שילוב של חוקים ספציפיים למדינה או מגזרים כמו חוק פרטיות צרכנים בקליפורניה (CCPA) שהוצג בשנת 2018, ואחריו חוק זכויות הפרטיות בקליפורניה (CPRA) בשנת 2020 וחוק פרטיות וניידות מידע בריאותי (HIPAA).
עם זאת, בניגוד לשאר העולם שיש לו חוקי פרטיות ותקנות שמטרתם להגן על פרטיותם של אזרחים, הודו עדיין אין חוק פרטיות להגן על אזרחיה. באוגוסט 2017 הכריז בית המשפט העליון בהודו על הזכות לפרטיות כזכות בסיסית לאזרחים הודים המוגנים על ידי החוקה ההודית. בעקבות הזכות לפרטיות, הודו הציגה את הצעת החוק לפרטיות הנתונים בשנת 2019, אולם היא נמשכה בשנת 2022 ולא הוצעה עד כה חקיקה חדשה. הודו צריכה להגביר את מאמציה ולקבל חוקי פרטיות נתונים המתאימים לחזון הגלובלי סביב פרטיות הנתונים. התקנות מוציאות את הנטל מאזרחים ומבססות חזון ברור לארגונים לעמוד בהם.
הודו: מה בחשבון ההגנה על נתונים חדש בהודו?
ממשלת הודו פרסמה טיוטה חדשה ופשוטה של הצעת חוק הגנת המידע האישי הדיגיטלי שלה. מה זה אומר?
ב- 18 בנובמבר 2022, ממשלת הודו פרסמה את הטיוטה הרביעית המיוחלת לחוק הפרטיות המוצעת בהודו, ששמו כעת שם הצעת החוק להגנת המידע האישי הדיגיטלי (‘הצעת חוק’). הממשלה חיפשה משוב על הצעת החוק על ידי 17 בדצמבר 2022.
במבט ראשון, הצעת החוק היא די מפתיעה. זוהי טיוטה חדשה לחלוטין ולא חרטה מחדש של גרסאות קודמות והיא קצרה ופשוטה בהרבה. זה יוצא באופן משמעותי ממודל ה- GDPR של חוקי הפרטיות שהוא די נפוץ כיום.
יָשִׂימוּת
החוק חל רק על נתונים אישיים שנאספים באופן מקוון או שנאסף במצב לא מקוון, אך שהוא דיגיטציה. החוק יחול על עיבוד נתונים אישיים מחוץ להודו אם עיבוד זה בקשר לפרופיל של מנהלים בהודו או כל פעילות של הצעת סחורות או שירותים בהודו. החוק גם פוטר עיבוד נתונים בהודו של אנשים שנמצאים מחוץ להודו תחת הסדר חוזי חוצה גבולות: זה בעיקר מכסה את ענף החוץ/מיקור חוץ.
הגדרות
הצעת החוק משתמשת במינוח דומה כמו הגרסאות הקודמות. נבדק מכונה ”מנהל נתונים ‘ ובקר נתונים מכונה ”אמון נתונים ‘. אין מושג או הגדרה של נתונים אישיים רגישים. ה- DPA מכונה מועצת הגנת המידע של הודו (‘DPBI’).
עילות לאיסוף ועיבוד
ההסכמה ממשיכה להיות הקרקע העיקרית לעיבוד נתונים אישיים. זה חייב להיות ‘לתת בחופשיות’, ” ספציפיים ‘,’ מושכלים ‘ו’אינדיקציה חד משמעית להסכמה’ באמצעות ‘פעולה מתקנת ברורה’.
נראה ברור ש הסכמה מפורשת יידרש. ניתן גם למשוך את ההסכמה, שההשלכות שלהן יישאו על ידי הנבדק. טיוטת הצעת החוק כוללת גם עילה ברורה לעיבוד נתונים אישיים, כגון עמידה בחוקים וצווי בית משפט, פעולות העוסקות במגפות או בחוק וסדר מצבים.
נראה כי מושג העניין הלגיטימי נלכד בדרכים שונות. מוזכרים מספר מצבים בהם ניתנת הסכמה. אלה כוללים עיבוד של נתונים אישיים ‘באינטרס ציבורי’, כולל למנוע או לאתר הונאה, לאבטחת רשת ומידע, ציון אשראי, עיבוד נתונים אישיים זמינים לציבור ולשחזור חוב.
נראה כי לא ברור אם מפעלים פרטיים יכולים להשתמש בעילות אלה, בהתחשב בעובדה שהעיבוד צריך להיות ‘אינטרס ציבורי’. יש גם את הקרקע של ‘מטרה הוגנת וסבירה’, אך במקרה זה, הממשלה צריכה להודיע מהי מטרה הוגנת וסבירה. בכך, הממשלה יכולה לשקול את האינטרסים הלגיטימיים של הנתונים הנאמנים.
קרקע מרכזית אחת היא שבה עיבוד נתונים אישיים הוא ‘הכרחי’ ושם ניתנים נתונים אישיים מרצון ו”צפוי סביר כי הנבדק יספק נתונים אישיים כאלה “. צריך להראות שהעיבוד הוא ‘הכרחי’ והנתונים האישיים נמסרו ‘מרצון’ ומנהל הנתונים היה צפוי לספק נתונים כאלה.
יתכן שניתן היה לנסח הוראה זו טוב יותר, בהנחה שזו מיועדת להיות סוג אינטרס לגיטימי של קרקע. סביר להניח שזה יהפוך לאקמה החשובה ביותר של החוק החדש לעסקים שאינם רוצים לרדת בדרך ההסכמה.
תעסוקה
ישנה עילה נפרדת לעיבוד נתונים אישיים הקשורים לתעסוקה המכסה מניעת ריגול, שמירה על סודיות סודות מסחריים ו- IP, גיוס, סיום עבודה, מתן שירותים או הטבות לעובד, אימות נוכחות והערכת הביצועים. ניתן לאסוף נתונים אישיים מטעמים אלה כל עוד העיבוד ‘הכרחי’.
הודעה
הגרסאות הקודמות של הצעת החוק שנמסרה למידע נרחב שיסופק כחלק מההודעה למנהלי נתונים. זה היה מוגזם. גרסה זו מכסה רק שני דברים: סוגי הנתונים האישיים שיש לעבד אותם ומטרות העיבוד. יש לספק מידע זה בצורה מפורטת.
יְלָדִים
הצעת החוק לטיוטה שומרת על סף ילדים בגיל 18 שנה. זה ייחשב כאכזבה לעולם המקוון, שכן הסטנדרטים העולמיים נוטים להיות קרובים יותר ל -16 שנים.
הסכמת הורים ניתנת לאמת נדרשת לאיסוף נתונים אישיים של ילדים. הצעת החוק אוסרת גם על פרופיל של ילדים או ניטור התנהגותי או פרסום ממוקד לילדים. עם זאת, לממשלה יש את הכוח לפטור דרישות אלה באמצעות הודעה.
זכויות וחובות של מנהלי נתונים
למנהלי נתונים (נבדקים) יש כמה זכויות. הם כוללים את הזכות לדעת אילו נתונים אישיים מעובדים והזכות לתקן נתונים אישיים לא מדויקים. מנהל נתונים יכול גם לבקש נתונים אישיים שיימחקו בטענה כי אחסוןו כבר לא משרת את המטרה שלשמה נאספה.
מעניין, הצעת החוק כוללת חובות של מנהלי נתונים; בעיקרו של דבר לחובה שלא למסור מידע כוזב ולא להגיש תלונות קלות דעת או שווא
אחסון נתונים אישיים
טיוטת החוק מחייבת את אמון הנתונים (בקר נתונים) להבטיח כי נתונים אישיים המוחזקים יהיו מדויקים ולהשתמש באמצעים ארגוניים וטכניים מתאימים כדי לעמוד בחוק. על נאמני נתונים להשתמש גם במדדי אבטחה סבירים כדי למנוע הפרות נתונים. אמון נתונים עשוי לשמור על נתונים אישיים רק כל עוד הוא משרת את המטרה שלשמה נאספה או למטרה משפטית או עסקית. לאחר מכן, יש למחוק את הנתונים האישיים.
הפרת נתונים אישיים
טיוטת הצעת החוק מגדירה ‘הפרת נתונים אישיים’ כמשמעותה כל עיבוד לא מורשה או גילוי מקרי, שימוש, שינוי או הרס של נתונים אישיים, הפוגעים בסודיות, ביושרו או בזמינותו.
במקרה של הפרת נתונים אישיים, על אמון הנתונים או מנהל הנתונים ליידע הן את ה- DPBI והן את מנהל הנתונים המושפע, באופן שנקבע על ידי הממשלה. ההגדרה הרחבה של הפרת נתונים אישיים תכסה מקרים קטנים של הפרות נתונים שעבורם ההודעה לממשלה ולמנהלי הנתונים נראית די מכבידה.
‘אמון נתונים משמעותי’
טיוטת החוק שומרת על הרעיון של א אמון נתונים משמעותי (‘SDF’). זהו אמון נתונים (בקר) העומד בקריטריונים שנקבעו על ידי הממשלה. בקביעת מי יהיה SDF, הממשלה תשקול גורמים כמו נפח הנתונים והסיכון לפגיעה.
מעניין, גורמים אלה כוללים גם ‘השפעה פוטנציאלית על היושרה והריבונות של הודו’ ו’סיכון לדמוקרטיה בחירות ‘. SDF נדרשים למנות קציני הגנת נתונים, שחייבים להתייצב בפני מועצת הארגון. עליהם גם למנות מבקר נתונים עצמאי כדי לבקר את עמידה בחוק הפרטיות. הממשלה יכולה גם להודיע מתי SDF צריכות לערוך הערכות השפעה על פרטיות.
קצין הגנת נתונים
רק SDFs נדרשים למנות קצין הגנת נתונים. עם זאת, כל אמון נתונים חייב למנות אדם שישמש כנקודת הקשר לכל מי שרוצה להגיש טרוניות. יש לפרסם את פרטי הקשר של קצין הטרוניות.
לוקליזציה של נתונים והעברות
טיוטת הצעת החוק אינה כוללת ישירות הוראות על לוקליזציה של נתונים. הדרישה בטיוטות קודמות כי יש לאחסן נתונים אישיים קריטיים רק בהודו או שניתן להעביר נתונים אישיים רגישים מחוץ להודו, אך יש לשמור על עותק בהודו הוסרה.
הצעת החוק קובעת כי הממשלה תודיע למדינות על אילו נתונים אישיים ניתן להעביר. נראה כי עד שהממשלה תודיע למדינות אלה, ניתן להעביר נתונים אישיים בחופשיות מחוץ להודו, אם כי אולי ההודעה תינתן בזמן שהחוק ייכנס לתוקף. החוק אינו מכסה אמצעים אחרים לאפשר העברות נתונים כמו באמצעות סעיפים חוזיים סטנדרטיים (זה אחרי כל השיטה שבה נתונים אישיים מועברים כיום מהאיחוד האירופי להודו).
פטור ממשלתי
הצעת החוק מעניקה את הכוח לממשלה לפטור את עצמה ואת סוכנויותיה מכל דרישה של הצעת החוק. העילות שהוזכרו, כמו ריבונות ויושרה של הודו, ביטחון המדינה וכו ‘., נלקחים מחוקת הודו ומובאים גם על ידי בית המשפט העליון בהודו כטענה עליה ניתן להגביל זכויות פרטיות. עם זאת, עילות אלה הן די רחבות ומידתיות וסבירות אינן מרכיבים חיוניים.
עונשים
טיוטת החוק החדש קובעת עונשים על אי ציות. יש לוח זמנים שמזכיר כובעי עונש בגין הפרות ספציפיות. לדוגמה, אי קיום אמצעי אבטחה סבירים למניעת הפרת נתונים אישיים היה כרוך בעונש של עד 25 מיליון INR (כ- 30 מיליון דולר).
עונשים באופן כללי יכולים לעלות ל- 50 מיליון INR (בערך. 60 מיליון דולר). מעניין לציין כי אין הוראה להענקת פיצויים לנבדקים שנפגעו.
אָנָלִיזָה
הממשלה נקטה בגישה הודית בהחלט לניסוח חקיקה זו. זה הרבה יותר פשוט מגרסאות עבר ונוגד את המגמה הנוכחית של מודל ה- GDPR של חקיקת פרטיות. סוג זה של חקיקה מתאים למדי להודו בהתחשב בענף ה- SME העצום והלא מאורגן שלה ובהתחשב בכך שתקני תאימות הפרטיות הם די נמוכים בהודו.
זה כנראה אומר אם כי החקיקה לא תצליח להשיג פסק דין מיילוי מהאיחוד האירופי. בכל מקרה, בגלל אי פיקוח עצמאי על מעקב ממשלתי, החוק ההודי אינו עומד במלואו שרמס השני.
עם זאת ישנם שורה של סוגיות שצריך לטפל בחוק. החשוב ביותר הוא להבהיר את השפה סביב סוג האינטרס הלגיטימי של האדמה שלדעתנו היא בלב חקיקת הפרטיות. הוא הרעיון של ‘הכרח’ מספיק כדי להתמודד עם מצבים לגיטימיים של איסוף ועיבוד של נתונים אישיים?
נראה גם כי דרישות ההודעה חלות רק בעת קבלת הסכמה. המשמעות היא שכאשר מעובדים נתונים אישיים תחת עילות אחרות, הנמצאות תחת הוראות הסכמה נחשבות, אין צורך בהודעה. הצורך לקבוע הסכמה הוא עצמה ניתן להתלבט. ההסכמה לא באמת היא אמצעי הגנה לנבדקים במיוחד שכן ברוב המקרים, לנתונים אין ברירה אלא לתת הסכמה.
לאורך כל הדרך, הגישה המומלצת שלי הייתה להיות חקיקת מגע קל ולאפשר ל- DPA לבנות רגולציה נוספת לאט באמצעות חקיקה שהוסטה. טיוטת חקיקה זו נוקטת בחלקה בגישה זו. בעוד של- DPBI יש סמכויות להעביר תקנות, הם מתייחסים רק לביצוע הוראות החוק. ניתן להתווכח אם יש לו סמכויות להעביר רגולציה בעניינים שלא הוזכרו בחוק. לדוגמה, סוגיות כמו ניידות נתונים, פרטיות על ידי תכנון וכו ‘., לא מצא מקום בחשבון. היה עדיף שהסמכויות שניתנו ל- DPBI היו מופיעות ביתר פירוט.
איסור השמיכה על מעקב אחר פעילות הילדים באינטרנט ופרסום התנהגותי נראה מעט בלתי סביר. איך וידאו או ערוץ מוסיקה מקוונים, למשל, ממליצים על סרטים או מוזיקה לילדים על סמך טעמם מבלי לעקוב אחר הפעילות שלהם?
הצעת החוק מעניקה לממשלה את הכוח לפטור כל אחת מסוכנויותיה מכל אחת מהוראות החוק. אין סבירות או סף מידתיות המוזכרת. עם זאת, עם זאת, ניתן לקרוא את זה לחוק שניתן להצהרות שכבר הושמעו על ידי בית המשפט העליון של הודו. הפטור השמיכה עבור הממשלה על הצורך למחוק נתונים שכבר לא משרתים את המטרה שלשמה נאסף הוא גם מצער.
זה גם מצער כי הרכב ה- DPBI לא נקבע בחוק ובכך משאיר אותו לממשלה למנות את מי שהם רוצים. DPA מנוסה וזריזת טכנולוגית נדרשת מאוד על מנת לנהל את ויסות פרטיות הנתונים בהודו, במיוחד בהתחשב בכך שחלק מהדרישות של החוק יהיו ‘כפי שנקבע’ בהמשך.
בסך הכל, הגישה שננקטה הגיונית בהתחשב בסביבה ההודית ויכולה לספק כרית שיגור לוויסות נרחב יותר הקשורה לפרטיות בעתיד. יש כמובן פערים וניסוח שגיאות, אך יש לצפות בחקיקה פשוטה יותר שגם היא מכה בדרך חדשה ומגויסת על ידי אנשים שאינם מומחי פרטיות. יש לקוות שהממשלה תעבוד עם קהילת הפרטיות כדי לגהץ סוגיות אלה ולקחת מסמך זה לחקיקה.
תוכן מאמר זה נועד לספק מדריך כללי לנושא. יש לחפש ייעוץ מומחה לגבי הנסיבות הספציפיות שלך.
האם בהודו יש חוקי פרטיות נתונים?
23 בנובמבר 2022
הוֹדוּ’שטר נתונים חדשים הוא תיק מעורב לפרטיות
מאת ג’סטין שרמן
הצעות חיפוש
סך התוצאות>/>
לאחרונה רלוונטי
תוצאות סינון
הוֹדוּ’S הפרלמנט פרסמה את הצעת החוק להגנת המידע האישי הדיגיטלי שלה, המסירה השנייה בחוק פרטיות נתונים מקיף לאחר שהממשלה משכה את הצעת החוק להגנת המידע האישית שלה מוקדם יותר השנה. הטיוטה הנוכחית קצרה יותר מהצעת החוק האחרת, אם כי יש לה רבים מאותם רכיבים.
קובעי המדיניות ההודים גם הפילו הערות על הצעת החוק שלא הועמדו לרשות הציבור, אך אני דן כאן. חשוב לציין שהצעת החוק החדשה מציעה תיק מעורב לפרטיות – עם כמה דרישות לחברות לקבל אינדיבידואל “הַסכָּמָה,” נכון נתונים אישיים לא מדויקים, והגנה על זכויות נתונים לצד הוראות לגישה לנתונים ממשלתיים. ניתוח זה אינו מקיף, אך מדגיש כמה נקודות מפתח של הערה בחקיקה אשר יהווה פיתוח משמעותי בוויסות נתונים גלובלי.
הרעיון של ‘הַסכָּמָה’
בדומה להצעת החוק הישנה, הצעת החוק להגנת מידע אישי דיגיטלי מחייבת ארגונים המעבדים נתונים (שהם מכנה “נאמני נתונים”) להשיג “הַסכָּמָה” מאנשים עליהם הם מעבדים נתונים. כאשר אדם נותן את שלהם “הַסכָּמָה,” הצעת החוק אומרת, על הארגון לספק לאותו אדם “הודעה מפורטת בשפה ברורה ופשוטה” המתארים את הנתונים שנאספו ואת המטרה שלגביהם הם מעובדים, “ברגע שזה אפשרי באופן סביר.” הצעת החוק מציעה גם כי אנשים יוכלו למשוך את שלהם “הַסכָּמָה” כדי שארגונים יעבדו את הנתונים שלהם, בשלב זה הארגון המדובר צריך להפסיק לעשות זאת.
הרעיון הזה של הסכמה נשבר, וגם זה לא ספציפי להודו. חברות וקובעי מדיניות ארה”ב ואירופאים דוחפים את אותו רעיון. אנשים לא קוראים הסכמי שירותי שירות, וחברות שמבהירות מסמך ארוך עם משפטי בלתי נגיש – מחכה לאנשים פשוט ללחוץ על “לְקַבֵּל”- ידע שמשתמשים לא קוראים ולא מבינים את המסמך.
זה מתריס בעצם הרעיון של הסכמה.
באופן דומה, אנשים לא קוראים מדיניות פרטיות, ובכל זאת אתרים ויישומים רבים יטענו ממש כי הצגת האתר או פתיחת היישום כשלעצמו מהווה הסכמה עם מדיניות הפרטיות שלו. יתר על כן, ההסכמה אינה ניתנת באופן מלא וחופשי בעולם בו אזרחים – כולל אזרחים הודים – ניתן לגשת לשירותים בסיסיים מבלי להכניס את עצמם לאיסוף נתונים. עם זאת, הצעת החוק החדשה’שפה על הסכמה מציבה את הודו יחסית לאותו כיוון כמו “הַסכָּמָה” הוראות בחוקי פרטיות המדינה בארה”ב והתקנה הכללית להגנת המידע באיחוד האירופי.
איסוף הנתונים הממשלתי גילוי אאוטס
הצעת החוק מחלישה את הרעיון הזה של הסכמה עוד יותר על ידי ציון חריגים רבים, כולל חריגים רבים לממשלת הודו. בעוד שחלקם ככל הנראה סבירים יותר, אחרים יוצרים סיכוני פרטיות לאזרחים הודים ומייצרים שאלות משפטיות מורכבות לחברות וארגונים הפועלים בהודו.
פרטים, בטיוטת הצעת החוק הציבורית האחרונה, נחשבים כמסכימים אם עיבוד הנתונים “זה הכרחי” ל “הביצוע של כל פונקציה על פי חוק,” “לצורך עמידה בכל פסק דין או צו שהונפק על פי חוק כלשהו,” “לתגובה למצב חירום רפואי הכרוך באיום על החיים או האיום המיידי על בריאותו של [הפרט] או כל אדם אחר,” וכן “לנקוט בצעדים להבטיח בטיחות או לספק סיוע או שירותים לכל אדם במהלך כל אסון, או כל פירוט של הסדר הציבורי,” בין היתר. זה גם יפטר מצבים בהם הוא “צפוי באופן סביר” שמישהו יספק את הנתונים האישיים שלהם לארגון מרצון, עיבוד של “נתונים אישיים זמינים לציבור,” וניקוד אשראי.
בעוד שחלק מהחריגים הללו עשויים להראות סבירים על פניהם (כמו ציון אשראי), רבים נוגעים מאוד מנקודת מבט של פרטיות וזכויות אזרח. ממשלת ראש ממשלת הודו נרנדרה מודי טענה לעיתים קרובות טענות מזויפות על איומים על ביטחון הציבור ועל מנת להתפצח על מחאה והתנגדות. הרשויות נמשכו באותה מידה מפוקפקות באופן דומה, אך מסומנות צו ציבורי, טוענות כי מצדיקות מבחינה משפטית ורטורית כיבוי האינטרנט יותר פעמים מכל מדינה אחרת על כדור הארץ. בצורה דומה, הצעת החוק’השפה הנוכחית תאפשר איסוף נתונים על בסיס “עניין ציבורי,” מוגדר באופן נרחב במיוחד כדי לכלול את האינטרס של הודו’ריבונות ויושרה, ביטחון המדינה, יחסים ידידותיים עם מדינות זרות, שמירה על סדר ציבורי, מניעת הסתה מכל אחת מהפעילויות הנזכרות (כמו ערעור הסדר הציבורי) ומניעת הפצת “הצהרות עובדות כוזבות.”
ממשלת מודי היא בקושי הממשלה היחידה במדינה דמוקרטית נומינלית העוסקת בפרקטיקות לא דמוקרטיות על הסף. עם זאת, ההצעה לנתונים ממשלתיים רחבים להפליא מגולפים את הצעת החוק תעצור מעקב ממלכתי על חשבון האזרחים ההודים’ פרטיות וזכויות אזרח. זה גם יאלץ חברות וארגונים הפועלים בהודו להתמודד כל הזמן עם מערך מורכב עוד יותר של שאלות משפטיות סביב הגישה הממשלתית המורחבת לנתונים.
באופן מדויק, זהו רק מרכיב אחד בממשלת מודי’דחיפה רחבה יותר לערער את ההצפנה ולהגדיל את יכולתה לכפות חברות טכנולוגיות.
לוקליזציה של נתונים
המרכיב המחלוקת ביותר בחשבון ההגנה על המידע האישי הישן היה ככל הנראה דרישות לוקליזציה של הנתונים שלו. תנאים אלה היו מחייבים ארגונים עם נתונים אישיים על אזרחים הודים לשמור על מידע זה המאוחסן במדינה, במקרים מסוימים רק עותק ובמקרים אחרים מונעים העברה יוצאת לחלוטין. קובעי מדיניות הודים שונים רצו דרישות אלה במקום ממגוון סיבות, כולל להטיל עלויות על חברות זרות, לשפר את הודו’ענף אחסון הנתונים, מגביר את הפיקוח על הממשלה ההודית על אחסון נתונים הקשורים לאזרחים הודים, וכפי שחלקם ראו זאת, מאפשרים גישה טובה יותר לאכיפת החוק ההודית לנתונים הרלוונטיים לפשע המוחזקים על ידי חברות אמריקאיות, אשר כיום פחות נגישות באמצעות תהליך הסכם סיוע הדדי שבור הדדי.
הצעת החוק החדשה מתרחקת מאותה דגש על לוקליזציה. במקום לדרוש אחסון מקומי של נתונים כשלעצמו, היא מציעה לאפשר לממשלת הודו להעריך מדינות זרות’ משטרי הגנה על נתונים ואז אישרו את אלה המספיקים כדי לספק יעדים לאזרחים הודים’ נתונים. באופן ספציפי, זה קובע, “הממשלה המרכזית רשאית, לאחר הערכה של גורמים כפי שהיא עשויה לשקול נחוצה, להודיע על מדינות או שטחים כאלה מחוץ להודו שאליהן יכול להיות אמון נתונים להעביר נתונים אישיים, בהתאם לתנאים ולהגבלות כפי שצוין.”
עסקים זרים בהחלט ישמחו מהשינוי הזה. לרוב, תלונותיהם על לוקליזציה של נתונים חזרו לעלויות – לא לרצות לשלם עבור השינויים הטכניים והתשתית הטכנית לאחסון נתונים מקומיים בהודו, כמו גם עלויות משפטיות וארגוניות אחרות. אך ישנם גם חששות אחרים שנוצרו על ידי לוקליזציה של נתונים, כולל עלויות פליטת אקלים לתשתית אחסון נתונים כפולים והסיכונים של אבטחת הסייבר לאחסון עותק נוסף של מידע כאשר בעבר היה פחות פחות.
אלה מספקים לפחות כמה סיבות לממשלת הודו להתרחק ממשטר לוקליזציה של נתונים מבוקרים מאוד.
רעיונות אחרים העוברים דיון
הגרסה הנוכחית של הצעת החוק באתר של משרד האלקטרוניקה ההודי וטכנולוגיית המידע אינה חלה על “עיבוד לא אוטומטי של נתונים אישיים,” “נתונים אישיים לא מקוונים,” “נתונים אישיים שעובדו על ידי אדם לכל מטרה אישית או ביתית,” וכן “נתונים אישיים על אדם הכלול ברשומה שקיימת לפחות 100 שנה.”
מעניין לציין כי גרסה מסומנת אחת של הצעת החוק שסקרתי-שהשינויים אינם באים לידי ביטוי בטיוטה המקוונת הנוכחית-כדאי הצעה לפטור גם “נתונים אישיים אנונימיים” זה “בבעלות ממשלת מרכז או מדינה, תלוי בנושא שאליו הנתונים נוגעים” מהצעת החוק. הוא הכיל גם עריכה לשימוש מפורש בביטוי “זרימה חופשית לנתונים עם אמון” לתאר את ההוראות על ממשלת הודו’אישור להעברת נתונים ואחסון של נתונים זרים.
ה תקופות כלכליות דיווחים, בעורק זה, כי האיטרציה הבאה של הצעת החוק תביא לממשלת הודו להגדיר “מהימן” גיאוגרפיות שאליהן נאמני נתונים יכולים להעביר ולאחסן נתונים הקשורים לאזרחים הודים.
הראשון הוא (הנה, היה) הצעה רעה. בארצות הברית מחוקקים פדרליים ומדיניים ממשיכים לפטור “אנונימי” אוֹ “מאושר” נתונים מחוקי פרטיות והצעות חוק על פי האמונה השקרית שתנאים כאלה הם בעלי משמעות טכנית. מחקרים רבים הראו כמה קל לקשר כביכול “מאושר” אוֹ “אנונימי” נתונים לאנשים אמיתיים, בהתחשב בהתקדמות בניתוח נתונים סטטיסטיים, נפח הנתונים העצום בעולם כיום וחברות’ גישה לנקודות נתונים ייחודיות להפליא ליחידים, כמו היסטוריה של מיקום גיאוגרפי או מכשיר’דפוסי חיבור Wi-Fi.
עם זאת, המחוקקים ממשיכים לכלול את חוקי הגילוי הללו, כולל מכיוון שחברות דוחפות את קו הבוגוס את זה “אנונימיזציה” אמיתי. יש לקוות, הודו’הפרלמנט אינו נופל לאותה מלכודת. טכניקות חדשות להגן טוב יותר על סודיות הנתונים ובכל זאת מאפשרות לארגונים לעבד אותם, כמו פרטיות דיפרנציאלית, הן בעלות ערך. הנתיב הטוב יותר קדימה הוא להכיר בכך שיש ספקטרום של יכולות לקישור נתונים לאנשים בשם או על ידי מזהה אינדיבידואלי ברור אחר – וזה בסך הכל “אנונימיזציה” הוא מיתוס.
ההצעה השנייה בסימון הצעת החוק שלא פורסמה שסקרתי – הביטוי “זרימה חופשית לנתונים עם אמון”-הוא התייחסות לזרימה חופשית לנתונים עם יוזמת אמון שהובאה על ידי ממשלת יפן ב- G-20 2019 באוסאקה. באותה תקופה היא תיארה אמונה כללית שלמדינות יש אינטרס לאפשר זרימת נתונים חופשית זו בין זו, אך עם כמה אמצעי הגנה במקום. ניו דלהי סירבה לחתום על הזרימה החופשית הראשונית עם הסכם נאמנות בשנת 2020 – הכרזה מעורפלת כדי להמשיך בשיתוף פעולה עבור א “זרימה חופשית לנתונים עם אמון” מסגרת-מכיוון שהיא ראתה במאמץ מונע מדי על ידי מדינות משאבים גבוהים. הוֹדוּ’שר המסחר והתעשייה אמר אז את זה “לאור הפרש הדיגיטלי העצום בין המדינות, יש צורך במרחב מדיניות למדינות מתפתחות שעדיין צריכות לסיים חוקים סביב סחר דיגיטלי ונתונים. נתונים הם כלי חזק לפיתוח וגישה שוויונית של נתונים הם היבט קריטי עבורנו.”
כאשר ממשלות מרחיבות את תקנות זרימת הנתונים שלהן, הודו’S מתרחק מדגש כזה על לוקליזציה ולקראת התמקדות בגיאוגרפיות מהימנות מיישר את הודו עם חלק מהמאמצים הללו-בעוד שעדיין משאיר מקום לקובעי המדיניות לגלוש דרך כביכול דרך רביעית של ממשל נתונים שמטרתה למדינות דרום גלובליות. באופן משמעותי, הודו משתלטת גם על נשיאות ה- G-20, מה שאומר שזרימה חופשית לנתונים עם גישה מסוג אמון עשויה להכניס את המדינה למצב משפיע להניע שיחות נתונים גלובליות בשנה הבאה.
סיכום
היה ויכוח אינטנסיבי על הניסיון האחרון להסדרת נתונים מקיפה בהודו, כולל בקרב קובעי מדיניות הודים, קובעי מדיניות אמריקאיים, חברות טק אמריקאיות ובעלי עניין של החברה האזרחית בהודו. אין ספק, דיונים מסוג זה ימשיכו להתרחש סביב החקיקה החדשה.
ישנן גם סוגיות ושאלות רבות אחרות שהועלו על ידי ההצעה שמזכירות בניתוח ודיון עמוק יותר – יותר ממה שמכוסה במאמר זה. אולם לעת עתה, זה’ברור כי הודו מתכוונת לשתול את דגלו על ויסות נתונים, וכך היכן “גיאוגרפיות מהימנות” מודאגים, יש הרבה מקום לממשלת ארה”ב לעסוק באופן פרודוקטיבי.
ג’סטין שרמן ((@jshermcyber) הוא עמית במועצה האטלנטית’יוזמת StateCraft. הוא היה גם חבר במרכז AC דרום אסיה’S US-India Digital Econect קבוצת עבודה במדיניות הנתונים של ארה”ב-הודו.
ה מרכז דרום אסיה משמש כמועצה האטלנטית’נקודת המוקד לעבודה על האזור כמו גם ליחסים בין מדינות אלה, אזורים שכנים, אירופה וארצות הברית.
הודו – ניסיון טרי להעביר חוק הגנת נתונים מקיף
בנובמבר 2022 פרסמה ממשלת הודו טיוטה להצעת החוק הדיגיטלית להגנת המידע האישי, 2022 (“שטר כסף”), בניסיון רענן ליצור משטר הגנת נתונים מקיף.
הצעת החוק מוצעת להוגש לפני הפרלמנט של הודו במחצית הראשונה של 2023. אנו דנים בהוראות המפתח של הצעת החוק.
הדרך לרפורמה
הודו טרם חוקקה חקיקה מקיפה בנושא הגנת נתונים. המסגרת הרגולטורית הנוכחית נגזרת מסעיף 43 א לחוק טכנולוגיות המידע, 2000 ((2000 (“זה מעשה”) וטכנולוגיית המידע (נוהלי אבטחה ונהלים סבירים וכללי נתונים או מידע אישיים רגישים), 2011 (2011 (“כללי SPDI”) המיישמים חובות ספציפיות ומוגבלות. חוקים מגזריים עשויים להיות חלים גם על גופים במגזרים מוסדרים כמו שירותים פיננסיים וטלקומוניקציה . אנא עיין כאן לסיכום מפורט של משטר הגנת המידע בהודו.
ממשלת הודו עשתה מספר ניסיונות להציג חוק הגנת נתונים מקיף. לדוגמה, היא הציעה בעבר הצעת חוק להגנת נתונים, 2021 ((“2021 טיוטת הצעת חוק”) שהיו כמה קווי דמיון לתקנה הכללית להגנת המידע (“GDPR”).
הצעת החוק של טיוטת 2021 נמשכה כעת והוחלפה על ידי הצעת החוק החדשה. הצעת חוק זו גויסה כחוק חדש לחלוטין ונראה כי היא ממשלתית וידידותית לעסקים; זה לא איטרציה של הצעת החוק לשנת 2021. הצעת החוק תחליף את סעיף 43 א לחוק ה- IT וכללי SPDI.
מתווה את הצעת החוק
הצעת החוק מתחילה במספר מושגים הדומים באופן נרחב לאלה ב- GDPR. זה קובע נאמני נתונים (אני.ה., בקרי נתונים), מעבדי נתונים ומנהלי נתונים (i.ה., נושאי נתונים).
זה חל על עיבוד נתונים אישיים דיגיטליים, אני.ה., מידע הנוגע לאדם שיכול לזהות אדם כזה, כאשר הנתונים נאספים באופן מקוון או שמאוד דיגיטציה לאחר שנאסף באופן לא מקוון.
הצעת החוק טיוטת 2021 הכילה תיחום מורכב של נתונים אישיים לנתונים אישיים רגישים או קריטיים, והיררכיזציה של אמון נתונים’חובות S על בסיס סוג הנתונים האישיים המעובדים. זה נמסר עם. בנוסף, ‘נתונים לא אישיים’ הוסרה מהשגירה של הצעת החוק, שהיא שינוי מבורך.
עילה לעיבוד – מטרה והסכמה חוקית
עיבוד נתונים אישיים צריך להיות בהתאם להצעת החוק למטרה חוקית, אני.ה., מטרה שאינה אסורה במפורש על פי החוק.
ההסכמה נותרה קרקע מרכזית לעיבוד נתונים אישיים אך, כמפורט להלן, היא מושג שונה מאוד להסכמה תחת ה- GDPR. נאמני נתונים חייבים לספק הודעה ברורה ומפורטת (עם תיאור הנתונים האישיים המבוקשים ומטרת איסוף נתונים כאלה) למנהלי נתונים מודאגים לבקש את הסכמתם.
להצעת החוק יש תפיסה רחבה של הסכמה. בנוסף להסכמה מפורשת/ חיובית, היא מכירה ‘ הסכמה נחשבת’, נראה כי השגיאה שלו רחבה מאוד. אמנם הסכמה חיובית צריכה להיות חופשית, ספציפית, מושכלת וחד משמעית וניתן לסגת אותה, ‘הסכמה נחשבת’ אינו דורש אנשים’ פעולה מתקשרת ואינה מושכת כל התחייבויות הודעה. לא ברור גם כיצד הנסיגה של ‘הסכמה נחשבת’ יעבוד.
הצעת החוק מפרטת מצבים שבהם ‘הסכמה נחשבת’ ניתן לסמוך על הכללת:
- כאשר הנתונים מסופקים מרצון את הציפייה הסבירה כי יש לספק את הנתונים למטרה האמורה;
- נתונים המסופקים ביחס למטרות משפטיות או שיפוטיות;
- נתונים המסופקים ביחס למקרי חירום רפואיים ושירותי בריאות;
- נתונים המסופקים ביחס לפירוק הסדר הציבורי;
- נתונים הניתנים ביחס לתעסוקה, הכוללים מניעה של ריגול תאגידי, שמירה על סודיות, גיוס וסיום והשתתפות והערכת הביצועים; וכן
- כאשר הנתונים מעובדים באינטרס הציבורי. זה כולל נתונים שעובדו ביחס לעסקאות M&A ועסקאות ארגון מחדש של חברות, ציון אשראי, מניעת הונאה וכו ‘. או לכל מטרה הוגנת וסבירה ‘כפי שניתן לרשום’.
חובות של נאמני נתונים
חובות המפתח של נאמני נתונים כוללות:
- שימוש באמצעים כדי לעמוד בחשבון;
- הבטחת דיוק ושלמות נתונים אישיים;
- שימוש בהגנות אבטחה סבירות למניעת הפרות נתונים;
- הסרת נתונים אישיים מהרישומים לאחר מילוי המטרה, אלא אם כן נדרשת שמירה כחוק; וכן
- שימוש במנגנון פיצוי של טרוניות.
הצעת החוק מגדירה ילדים כמי שמתחת לגיל 18 שנה ודורשת הסכמת הורים הניתנת לאימות לעיבוד הנתונים האישיים של ילדים.
ניתן לייעד חברות ‘נאמני נתונים משמעותיים’, בהתבסס על גורמים כמו נפח ורגישות של נתונים אישיים שעובדו, סיכון לפגיעה במנהלי נתונים והשפעה פוטנציאלית על הודו’S אבטחה וסדר ציבורי. אלה ‘נאמני נתונים משמעותיים’ כפופים לחובות נוספות כמו ביצוע ביקורת תקופתית והערכות השפעה על הגנת נתונים ומינוי מבקר נתונים עצמאי וקצין הגנת נתונים.
ארגונים העוסקים באופן שגרתי בכמויות גדולות של נתונים אישיים (בנקים, חברות טלקום, חברות ביטוח, בתי חולים) עשויים לרדת תחת קטגוריה זו, אם כי בניגוד לחשבון הטיוטה של 2021, פלטפורמות המדיה החברתית אינן מזוהות באופן ספציפי ‘נאמני נתונים משמעותיים’ .
זכויות וחובות של מנהלי נתונים
- זכות המידע כגון מצב העיבוד של נתונים אישיים, סיכום הנתונים שעובדו ושמות החברות שהנתונים האישיים שלהם חולקו איתם;
- זכות המינוי של כל אדם אחר, במקרה של מוות או חוסר כושר;
- זכות התיקון והמחיקה, הכוללת נתונים אמוניים’חובה לתקן נתונים לא מדויקים/ מטעים, להשלים נתונים לא שלמים, לעדכן נתונים אישיים ולמחוק נתונים לאחר מילוי המטרה; וכן
- זכות פיצוי הטרוניות לפני לוח הגנת המידע של הודו או נאמני נתונים.
באופן יוצא דופן, הצעת החוק מטילה גם חובות על מנהלי נתונים (יחידים). הם יכולים להיות כפופים לעונשים עד 10,000 INR בגין אי-ציות, הוראה ייחודית שנראית כאילו הוכנסה למניעת תלונות קלות דעת .
לוקליזציה של נתונים והעברות נתונים חוצה גבולות
בעוד שהצעת החוק אינה מחייבת באופן ספציפי אחסון של נתונים אישיים דיגיטליים בהודו, דרישות לוקליזציה של נתונים על פי חוקים אחרים (ה.ז., המוטל על ידי בנק המילואים בהודו על בנקים וספקי שירותי תשלום אחרים) ימשיך להגיש בקשה.
יתר על כן, במסגרת הצעת החוק, העברות נתונים חוצה גבולות מותרות לתחומי שיפוט שהממשלה ההודית ‘רשאי לרשום’. לכן נראה כי העברות נתונים יורשו רק למדינות שנמצאות ברשימה לבנה ממשלתית.
א ‘דיגיטלי לפי עיצוב’ ומועצה עצמאית, אף שמוננה על ידי הממשלה, של הודו, המורכבת מיושב ראש, מנכ”ל, חברים וקצינים ועובדים אחרים, תוקם על ידי הודעה ממשלתית, כדי להבטיח ציות ולהעניש אי-ציות.
לדירקטוריון יש את הסמכות לערוך בסיס פניות, בֵּין הַיֵתֶר, סו מוטו תלונות או תלונות של אנשים/ הפניות מושפעים מהממשלה ומנפיקים הוראות. ניתן לבחון הוראות כאלה על ידי הדירקטוריון או לערער אותו לפני בתי משפט גבוהים רלוונטיים. הדירקטוריון יכול גם להמליץ על תהליכי יישוב סכסוכים חלופיים ויכול לעצור את הליכיה על ידי קבלת התחייבויות מרצון להפרת גורמים.
בעוד שכמות העונשים בגין טווחי B ואי-ציות של הצעת החוק גבוהה (מכוסה ב- INR 500 crores, שהם בערך 60 מ ‘אירו), העונשים אינם קשורים למחזור של הישות, כמו במקרה של ה- GDPR ולטיוטת שטר 2021. שינוי מבורך נוסף היה הסרת הסנקציות הפליליות. היכולת של מנהלי נתונים מושפעים לתבוע פיצויים הוסרה אף היא.
גורמים ממלכתיים פטורים מההתחייבות שלא לשמור על נתונים גם לאחר מילוי המטרה וניתן לפטור אותם גם מהוראות הצעת החוק על ידי ממשלת הודו לטובת המדינה’S אבטחה, ריבונות ויושרה או לשמור על הסדר הציבורי .
חברות מסוימות יכולות להיות פטורות גם על ידי ממשלת הודו מחובות מסוימות מוגדרות. יתרה מזאת, חובות רבות של נאמני נתונים אינן חלות בעת הצורך בעיבוד (i) למטרות שיפוטיות/ מעין שיפוטיות על ידי בתי משפט או בתי משפט, (ii) לאכיפת זכות/ תביעה חוקית, או (iii) ביחס למניעת עבירה.
מה הלאה
הצעת החוק מוצעת להוגש לפני הפרלמנט של הודו במושב התקציב שלה ב -2023 ותצטרך להעביר אותה על ידי שני בתי הפרלמנט ההודי ולהודיע לו בעיתון הרשמי לפני שהיא הופכת לחוק. גם לאחר החקיקה, הצעת החוק עשויה להיות מיושמת באופן שלב לאורך תקופה מסוימת. לאחר מכן גם ממשלת הודו תקנה כללים לביצוע הוראות הצעת החוק.
אנא עיין כאן במאמר מפורט על סיכום תיקוני המפתח המוצעים בהצעת החוק.
מאת דיפה כריסטופר, שותף ואנינדיטה דוטה, עמית, בטלוואר תאקור ושות ‘, משרד עורכי דין הודי מוביל.