الهند تقدم قانون حماية PD جديد - تناظري آخر لـ GDPR؟

في مدونتنا ، كتبنا بالفعل عن اللائحة العامة لحماية البيانات ، و " ضحاياها " والوضع مع تشديد التنظيم لقطاع تكنولوجيا المعلومات ككل. في هذه المقالة سوف نتحدث عن حماية PD في الهند.

على وجه الخصوص ، سنناقش مشروع قانون جديد قدم في نهاية يوليو من هذا العام.

تأمل في نقاطه الرئيسية وتحدث عن النقد في المجتمع.


/ photo ruben alexander CC

النقاط الرئيسية

تمت صياغة مشروع قانون حماية البيانات الشخصية (2018) لمدة عام تقريبًا من قبل أعضاء لجنة العدل. Shrikrishna (لجنة العدل Srikrishna). تم إعداد الوثيقة مع مراعاة خصوصيات تنظيم تكنولوجيا المعلومات في الهند ، ولكن تم تقديم الخبرة الأجنبية أيضًا. لذلك ، لاحظ أولئك الذين قرأوا الوثيقة على الفور أنها تذكرنا إلى حد كبير باللائحة العامة لحماية البيانات.

خذ بعين الاعتبار الأحكام الرئيسية المنصوص عليها في الوثيقة:

سيكتسب المواطنون سيطرة أكبر على PD

يُطلق على أصحاب البيانات الشخصية في المستند مبدأ البيانات (وليس موضوع البيانات كما في اللائحة العامة لحماية البيانات). ولهم الحقوق التالية ( الصفحة 14 ، الفصل 6 ):

• الحق في معرفة ما إذا كان عامل التشغيل يعالج بعض PDs ؛
• الحق في تغيير البيانات إذا كانت غير صحيحة أو قديمة ؛
• الحق في طلب توفير بياناتهم في شكل إلكتروني ؛
• الحق في نسيان / تقييد الدعاية أو التوقف عن استخدام PD.

وتجدر الإشارة إلى أن اللجنة قامت أيضًا برعاية الأطفال: فقد تم تخصيص فصل منفصل لحماية بياناتهم ، والذي يوضح مسؤوليات العاملين في التطوير المهني ( الصفحة 13 ، الفصل 5 ). على سبيل المثال ، تنص على أن المشغل ملزم بتنظيم آليات للتحقق من العمر ، وكذلك للحد من تتبع السلوك وعرض الإعلانات المستهدفة على الموقع.

متطلبات جديدة لمشغلي PD

كل من يجمع ويعالج البيانات الشخصية للمقيمين في الهند يسمى Data Fiduciary في نص الوثيقة - الشخص الذي أوكل البيانات ( يطلق عليه المحامون "Fiduciary" أو "fiduciary": إنه مسؤول عن ممتلكات شخص آخر - في هذه الحالة ، الملكية هي بيانات الشخص )

ويفرض عليها عدد من المتطلبات عند معالجة PD ( الصفحة 17 ، الفصل 7 ). على سبيل المثال ، يُطلب منهم الامتثال لمفهوم الخصوصية حسب التصميم. وهذا يعني أن جميع التقنيات المعمول بها وسياسات الأمان وإدارة الأعمال يجب أن يتم "صقلها" للحفاظ على تكامل PD ومنع حدوث عواقب غير سارة محتملة لأصحابها (على سبيل المثال ، تسرب البيانات).

بالإضافة إلى ذلك ، يطلب من الوكيل تعيين مسؤول حماية البيانات ( DPO ) في شركته ، لتخزين المعلومات حول جميع المعاملات مع PD ، وكذلك الخضوع للتدقيق والإبلاغ عن تسرب البيانات في المواعيد النهائية التي تحددها هيئة إشرافية خاصة.

بالمناسبة ، عن المشرفين

لمراقبة الامتثال للقانون ، سيتم إنشاء هيئة حماية البيانات الهندية (DPA) في البلاد. مبلغ الغرامات لعدم الامتثال لمتطلبات القانون يساوي تقريبًا ما تنص عليه التشريعات الأوروبية. على سبيل المثال ، يواجه مشغلو PD استردادًا يصل إلى 2 مليون دولار (أو 4٪ من المبيعات السنوية) للسماح باختراق قاعدة البيانات.

في الوقت نفسه ، تنص المادة 10 ( الصفحة 29 من الوثيقة ) على أن أعضاء DPA يجب أن يكونوا أشخاصًا لديهم أكثر من عشر سنوات من الخبرة في مجال حماية البيانات والمجالات ذات الصلة. لذلك ، يمكننا أن نفترض أن الأشخاص الذين لديهم معرفة تقنية عميقة وفهم لمبادئ العمل التكنولوجي سيشغلون مناصب.

يجب تخزين نسخ PD على الخوادم في الهند

جاء ذلك في المادة 8 ( الصفحة 23 ). الأمر كله يتعلق بسياسة "السيادة الإلكترونية" ، التي قررت السلطات اتباعها. يحظر مشروع القانون على الشركات نقل البيانات خارج الدولة ما لم يتم الحصول على إذن من كيان PD ، أو DPA ، أو الدولة وغيرها من التفاصيل الدقيقة. من المحتمل أن يخلق هذا المتطلب صعوبات إضافية لكل من الشركات المحلية ومزودي الخدمات السحابية الأجنبية.

يمكن تخزين PD دون قيد أو شرط في الخارج فقط في حالة الطوارئ (الحالة الصحية لمالك PD ، والتهديد لحياته ، وما إلى ذلك ، عندما تحتاج إلى التصرف بسرعة).

كيف مررت الفاتورة؟

جنبا إلى جنب مع مشروع القانون ، سميت لجنة العدل بعد قدم Shrikrishny الأساس المنطقي لجميع الأحكام وتوصياته لحماية PD في البلاد. يشرح المؤلفون أنه عند تطوير الوثيقة ، استخدموا مفهوم المثلث ، الذي تمثل ذروة مصالح المواطنين الهنود ، والأسباب هي مصالح الأعمال والدولة. وبهذا ، ربما يريدون التأكيد على أن مشروع القانون يأخذ في الاعتبار حقوق جميع من يمسهم.

ومع ذلك ، لا تتفق معهم جميع "رؤوس المثلث". وقد تم انتقاد عدد من أحكام مشروع القانون.

أعربت رئيسة مؤسسة موزيلا ميتشيل بيكر عن مخاوفها بشأن الاستثناءات للدولة المذكورة في الوثيقة ( الفصل 9 ) - أسباب ومهام معالجة PD من قبل الوكالات الحكومية (على سبيل المثال ، الأرشفة أو التحليل الإحصائي) غير واضحة.

تم انتقاد الحظر المفروض على إجراء دراسات "إعادة تحديد الهوية" بشكل خطير ، عندما يتم تحديد هوية صاحبها من خلال بيانات مجهولة المصدر. تساعد هذه الدراسات على تحسين تقنيات حماية PD وتوفير إحصائيات حول التسريبات أو مستوى أمن البيانات في الشركة.

وفقًا لنص مشروع القانون الجديد ، لا يمكن إجراء هذه الاختبارات الآن إلا بموافقة مشغل PD (وإلا سيتم فرض غرامة قدرها 3 آلاف دولار). هذا من شأنه أن يساعد على تجنب "مقالب" محتملة لقواعد البيانات مع PDs من السكان الهنود. من ناحية أخرى ، يؤكد خبراء أمن المعلومات أن الحظر على إعادة تحديد الهوية لا يحل المشكلة.

كل هذا يمكن أن يؤدي إلى حقيقة أن الشركات التي تقوم بمعالجة البيانات الشخصية سترفض إجراء الاختبارات إذا لم تكن متأكدة من "جودة" تخصيصها. عند اختراق أنظمة مثل هذه الشركات من قبل قراصنة (من الواضح أنهم لا يحتاجون إلى إذن للاختراق) ، يمكن أن تكون العواقب خطيرة.

على سبيل المثال ، في عام 2017 في المملكة المتحدة ، اقترحوا أيضًا حظر دراسات إعادة تحديد الهوية ، لكنهم فكروا مرتين في ذلك لأسباب أمنية.

ما هي الخطوة التالية

يجب أن يمر مشروع القانون الجديد بعدد من الحالات: من وزارة تكنولوجيا المعلومات والاتصالات إلى مجلس الشيوخ في البرلمان الهندي ، راجيا سابها ، والحصول على موافقتهم. من المحتمل أنه لن يتم قبوله بسبب الانتقادات في شكله الحالي ، لأن توقيت دخوله لا يزال موضع تساؤل.

---

PS ماذا لدينا أيضًا حول هذا الموضوع في مدونة IaaS:

• كيفية التعامل مع PD في السحابة
• ما يمكن اعتباره PD من وجهة نظر المنظم الروسي
• PD في السحابة: مجالات مسؤولية العميل وموفر السحابة

---

الاتجاه الرئيسي لنشاطنا هو توفير الخدمات السحابية:

البنية التحتية الافتراضية (IaaS) | استضافة PCI DSS | كلاود FZ-152 | استضافة SAP | التخزين الظاهري | تشفير البيانات في السحابة | التخزين السحابي