بر اساس پیشنویسی که روز جمعه برای بازخورد عمومی منتشر شد، دولت به کشورهای یا مناطقی در خارج از هند که یک امانتدار داده ممکن است دادههای شخصی را به آنها منتقل کند، اطلاع خواهد داد.
این پیش نویس همچنین جریمه ای تا سقف روپیه پیشنهاد کرده است. 200 کرور در صورتی که امانتدار یا پردازشگر داده به هیئت مدیره و صاحب داده در مورد نقض داده ها اطلاع ندهد.
هند با بیش از 750 میلیون کاربر اینترنت و دومین خانه بزرگ تلفن های همراه، بازار بزرگ و رو به رشدی برای غول های فناوری است، اما قوانین قبلی حفظ حریم خصوصی آنها را آزار داده بود.
در حالی که اطلاعات شخصی کودکان را نمی توان بدون رضایت والدین به دست آورد یا پردازش کرد، پیش نویس قانون مقرر می دارد که تبلیغات نمی تواند کودکان را هدف قرار دهد.
پیش نویس جدید پس از تصویب مجلس به قانون تبدیل می شود.
این پیش نویس جریمه ای تا سقف روپیه پیشنهاد کرده است. 250 کرور در صورتی که امانتدار داده یا پردازشگر داده نتواند از نقض اطلاعات شخصی در اختیار یا تحت کنترل خود محافظت کند.
علاوه بر این، در این لایحه پیشنهادی برای اعمال جریمه ای معادل 100 میلیون ریال پیشنهاد شده است. 10000 در مورد افرادی که هنگام درخواست هرگونه سند، خدمات، مدرک هویت یا آدرس و غیره و برای ثبت شکایت نادرست یا بیهوده نزد یک Data Fiduciary یا هیئت مدیره اطلاعات غیرقابل تأیید یا نادرست ارائه می دهند.
این پیش نویس همچنین مقرراتی دارد که تضمین می کند فقط آن دسته از داده های شخصی مورد نیاز برای دستیابی به یک هدف خاص باید جمع آوری شوند و به طور پیش فرض باید دائماً ذخیره شوند.
پیش نویس لایحه داده های شخصی جمع آوری شده آنلاین و داده های دیجیتالی آفلاین را پوشش می دهد. در صورتی که چنین داده هایی شامل نمایه سازی کاربران هندی یا فروش خدمات به آن ها باشد، در مورد پردازش داده های شخصی در خارج از کشور نیز اعمال خواهد شد.
شرکت ها مجاز هستند داده های جمع آوری شده را فقط برای دوره های مشخص ذخیره کنند.
نظرات در مورد پیش نویس لایحه تا 17 دسامبر قابل ارائه است.
«اگر هیأت در پایان یک تحقیق تشخیص دهد که عدم رعایت یک شخص قابل توجه است، میتواند پس از دادن فرصت معقول برای شنیدن، چنین جریمهای مالی را که در جدول 1 مشخص شده است، حداکثر از 5 روپیه اعمال کند. در این پیش نویس آمده است که صد کرور در هر مورد.
قانون پیشنهادی رضایت قبل از جمعآوری دادههای شخصی را شرط میکند و جریمههای سختی را تا سقف روپیه در نظر میگیرد. 500 کرور برای افراد و شرکت هایی که از نقض داده ها از جمله افشای تصادفی، به اشتراک گذاری، تغییر یا از بین بردن داده های شخصی شکست می خورند.
امانتداران داده آن دسته از نهادهایی هستند که داده های شخصی را خود یا با کمک پردازشگر داده پردازش می کنند.
این کشور یک سیستم مجازات درجه بندی شده برای امانتداران داده و پردازشگر داده در صورت هرگونه تخلف تحت قانون پیشنهادی پیشنهاد کرده است.
در یادداشت توضیحی وزارت الکترونیک و فناوری اطلاعات هفت اصل ذکر شده که این لایحه بر اساس آن است.
پیشنویس لایحه حفاظت از دادههای شخصی دیجیتال (DPDP) 2022 تسکین بزرگی برای گوگل، آمازون، فیسبوک و سایر شرکتهای جهانی خواهد بود، زیرا جایگزین نسخه قبلی میشود که شرکتهای بزرگ فناوری را به خاطر محدودیتهای سختگیرانهاش در جریان دادههای فرامرزی نگران کرده بود.
این پیش نویس پیشنهاد می کند که یک هیئت حفاظت از داده ها در هند تشکیل شود که طبق مفاد لایحه وظایف خود را انجام خواهد داد.
شرکتهایی با اندازه «قابل توجه» – بر اساس عواملی مانند حجم دادههایی که پردازش میکنند – ملزم به تعیین یک حسابرس مستقل برای ارزیابی انطباق با مفاد قانون هستند.
پیش نویس جدید میزان جریمه را تا سقف روپیه افزایش می دهد. 500 کرور برای نقض مقررات پیش نویس لایحه حفاظت از داده های شخصی که در سال 2019 صادر شد، جریمه ای معادل روپیه را پیشنهاد کرده بود. 15 کرور یا 4 درصد از گردش مالی جهانی یک واحد تجاری، هر کدام بیشتر باشد.
“لایحه DPDP 2022، رژیم پیشنهادی حفاظت از داده ها را ساده کرده است و برخی از بندهای بحث برانگیز را که باعث عقب نشینی صنعت در نسخه های قبلی شده است، حذف کرده است. به ویژه، انعکاس داده ها، الزامات محلی سازی داده ها، و انطباق کلی به نظر می رسد در مقایسه با لایحه قبلی محدود است.” Rupinder Malik، شریک در شرکت حقوقی JSA گفت.
در یادداشت توضیحی آمده است: «لایحه حفاظت از دادههای شخصی دیجیتال قانونی است که از یک سو حقوق و وظایف شهروندی (دیجیتال ناگریک) و از سوی دیگر تعهدات استفاده از دادههای جمعآوریشده به صورت قانونی از امانتداری دادهها را تعیین میکند.
به گفته او، هدف قانونگذاری، به نظر می رسد که فناوری و فناوری اطلاعات برای تجارت دوستانه باشد و بر تسهیل جریان داده های فرامرزی متمرکز باشد. “برخی جنبه هایی که کمرنگ شده اند به طور بالقوه می توانند حفاظت کلی از حقوق حریم خصوصی افراد را کاهش دهند. نکته مثبت این است که این لایحه به شیوه ای ساده تر و با ابهامات کمتری تهیه شده است.” پیش نویس قانون جدید به جای لایحه حفاظت از داده ها آمده است که در ماه اوت سال جاری توسط دولت پس گرفته شد. این پیش نویس تا 17 دسامبر برای اظهار نظر عمومی باز است.
این پیشنویس همچنین به دولت مرکزی اختیاراتی میدهد تا سازمانهای دولتی را از مفاد لایحه «به نفع حاکمیت و تمامیت هند» مستثنی کند و نظم عمومی را حفظ کند.
مادهای در نسخه قبلی که به دولت این اختیار را میداد که از یک شرکت بخواهد دادههای شخصی ناشناس و دادههای غیرشخصی را برای کمک به ارائه خدمات یا تدوین سیاستها ارائه دهد، در پیشنویس جدید وجود ندارد.
اینها شامل استفاده از داده های شخصی توسط سازمان ها است که به روشی قانونی، شفاف و منصفانه برای افراد مربوطه انجام می شود و داده های شخصی برای اهدافی که برای آنها جمع آوری شده است استفاده می شود.
پیش نویس لایحه مستلزم ایجاد یک “هیئت حفاظت از داده ها” برای اطمینان از انطباق است. هیئت مدیره همچنین شکایات کاربران را خواهد شنید.
در این لایحه مقرر شده است که در مواردی که پردازش دادههای شخصی برای اجرای هر حق یا ادعای قانونی، انجام هر گونه عملکرد قضایی یا شبه قضایی، تحقیقات یا تحقیقات ضروری است، به نهادها اجازه میدهد اطلاعات شخصی یک شهروند را به خارج از کشور منتقل کنند. پیگرد قانونی برای هر گونه تخلف یا اگر صاحب داده در قلمرو هند نباشد و با هر شخصی در خارج از کشور قراردادی منعقد کرده باشد.
طبق این پیشنویس، «دولت مرکزی میتواند پس از ارزیابی عواملی که ممکن است ضروری بداند، به کشورها یا سرزمینهایی خارج از هند که یک امانتدار داده میتواند دادههای شخصی را به آنها منتقل کند، اطلاع دهد».
کاربران حق دارند اطلاعات شخصی خود را تصحیح و پاک کنند.
دولت روز جمعه قانون جدیدی را برای حفظ حریم خصوصی داده ها پیشنهاد کرد که به انتقال و ذخیره داده های شخصی در برخی کشورها اجازه می دهد و در عین حال مجازات تخلفات را افزایش می دهد.
در یادداشت توضیحی آمده است: «هدف این لایحه پیشبینی پردازش دادههای شخصی دیجیتال به شیوهای است که حق افراد برای حفاظت از دادههای شخصی خود، نیاز به پردازش دادههای شخصی برای مقاصد قانونی و سایر مقاصد اتفاقی را به رسمیت بشناسد». از پیش نویس لایحه گفته شده است.
شرکتهایی مانند گوگل و فیسبوک را ملزم میکند که در برابر «مدیر رضایت» پاسخگو باشند تا «پلتفرم قابل دسترس، شفاف و قابل همکاری» را برای ارائه، مدیریت، بررسی و لغو رضایت فراهم کنند.