India Memperkenalkan RUU Perlindungan PD Baru - Analog ke GDPR lainnya?

Di blog kami, kami sudah menulis tentang GDPR , " korbannya " dan situasi dengan pengetatan regulasi sektor TI secara keseluruhan. Pada artikel ini kita akan berbicara tentang perlindungan PD di India.

Secara khusus, kami akan membahas RUU baru yang diajukan pada akhir Juli tahun ini.

Pertimbangkan poin utama dan bicarakan kritik di komunitas.


/ foto ruben alexander CC

Poin-Poin Utama

RUU Perlindungan Data Pribadi (2018) telah dirancang selama hampir setahun oleh anggota Komite Keadilan. Shrikrishna (Komite Srikrishna Keadilan). Dokumen tersebut disiapkan dengan mempertimbangkan kekhasan regulasi TI di India, tetapi pengalaman asing juga diperkenalkan. Karena itu, mereka yang membaca dokumen segera mencatat bahwa sebagian besar mengingatkan pada GDPR.

Pertimbangkan ketentuan kunci yang dijabarkan dalam dokumen:

Warga akan mendapatkan kontrol lebih besar atas PD

Pemilik pribadi dalam dokumen disebut Data Principal (dan bukan Subjek Data seperti dalam GDPR). Dan mereka memiliki hak-hak berikut ( halaman 14, bab 6 ):

• hak untuk mengetahui apakah operator memproses PD tertentu;
• hak untuk mengubah data jika itu salah atau ketinggalan zaman;
• hak untuk menuntut penyediaan data mereka dalam format elektronik;
• hak untuk melupakan / membatasi publisitas atau berhenti menggunakan PD.

Perlu dicatat bahwa Komite juga merawat anak-anak: bab terpisah dikhususkan untuk perlindungan data mereka, yang menjabarkan tanggung jawab operator PD ( halaman 13, bab 5 ). Misalnya, menyatakan bahwa operator berkewajiban untuk mengatur mekanisme untuk memeriksa usia, serta membatasi pelacakan perilaku dan tampilan iklan yang ditargetkan di situs.

Persyaratan baru untuk operator PD

Setiap orang yang mengumpulkan dan memproses data pribadi penduduk India disebut Data Fiduciary dalam teks dokumen - orang yang dipercayakan dengan data (pengacara menyebutnya "fiduciary" atau "fiduciary": ia bertanggung jawab atas properti orang lain - dalam hal ini, properti adalah data subjek. )

Dan sejumlah persyaratan dikenakan padanya saat memproses PD ( halaman 17, bab 7 ). Misalnya, mereka diharuskan untuk mematuhi konsep Privasi oleh Desain. Ini berarti bahwa semua teknologi yang berlaku, kebijakan keamanan, dan manajemen bisnis harus “dipertajam” untuk menjaga integritas PD dan mencegah kemungkinan konsekuensi yang tidak menyenangkan bagi pemiliknya (misalnya, kebocoran data).

Selain itu, pemegang fidusia diharuskan untuk menunjuk petugas perlindungan data ( DPO ) di perusahaan mereka, untuk menyimpan informasi tentang semua transaksi dengan PD, serta untuk menjalani audit dan memberitahukan kebocoran data dalam tenggat waktu yang ditetapkan oleh otoritas pengawas khusus.

Omong-omong, tentang pengawas

Untuk memantau kepatuhan terhadap hukum, Otoritas Perlindungan Data India (DPA) akan dibuat di negara tersebut. Jumlah denda karena ketidakpatuhan terhadap persyaratan hukum kira-kira sama dengan apa yang ditetapkan oleh undang-undang Eropa. Misalnya, operator PD menghadapi pemulihan hingga $ 2 juta (atau 4% dari omset tahunan) untuk memungkinkan basis data diretas.

Pada saat yang sama, pasal 10 ( halaman 29 dokumen ) mengatakan bahwa anggota DPA haruslah orang-orang dengan pengalaman lebih dari sepuluh tahun di bidang perlindungan data dan bidang terkait. Oleh karena itu, kita dapat mengasumsikan bahwa orang-orang dengan pengetahuan teknis yang mendalam dan pemahaman tentang prinsip-prinsip pekerjaan teknologi akan menempati posisi.

Salinan PD perlu disimpan di server di India

Ini dinyatakan dalam artikel 8 ( halaman 23 ). Ini semua tentang kebijakan "kedaulatan dunia maya", yang diputuskan pihak berwenang untuk diikuti. RUU itu melarang perusahaan untuk memindahkan data ke luar negara kecuali jika izin telah diperoleh dari entitas PD, DPA, atau negara bagian dan seluk beluk lainnya tidak dihormati. Secara potensial, persyaratan ini dapat menciptakan kesulitan tambahan bagi perusahaan lokal dan penyedia cloud asing.

PD dapat disimpan tanpa syarat di luar negeri hanya dalam keadaan darurat (keadaan kesehatan pemilik PD, ancaman terhadap nyawanya, dll., Ketika Anda harus bertindak segera).

Bagaimana Anda lulus tagihan?

Bersama dengan rancangan undang-undang, Komite Kehakiman dinamai Shrikrishny memberikan alasan untuk semua ketentuan dan rekomendasinya untuk melindungi PD di negara ini. Para penulis menjelaskan bahwa ketika mengembangkan dokumen, mereka menggunakan konsep segitiga , yang puncaknya adalah kepentingan warga negara India, dan alasannya adalah kepentingan bisnis dan negara. Dengan ini, mereka mungkin ingin menekankan bahwa RUU memperhitungkan hak-hak semua orang yang disentuhnya.

Namun, tidak semua "simpul segitiga" setuju dengan mereka. Sejumlah ketentuan RUU tersebut telah dikritik.

Ketua Yayasan Mozilla, Mitchell Baker menyatakan keprihatinannya tentang pengecualian untuk negara yang disebutkan dalam dokumen ( bab 9 ) - alasan dan tugas untuk memproses PD oleh lembaga pemerintah (misalnya, pengarsipan atau analisis statistik) tidak jelas.

Larangan melakukan studi "identifikasi ulang" dikritik serius, ketika identitas pemiliknya ditentukan oleh data anonim. Studi semacam itu membantu meningkatkan teknologi perlindungan PD dan menyediakan statistik kebocoran atau tingkat keamanan data di perusahaan.

Menurut teks dari RUU yang baru, tes tersebut sekarang dapat dilakukan hanya dengan persetujuan dari operator PD (jika tidak, denda 3 ribu dolar akan dikenakan). Ini akan membantu untuk menghindari kemungkinan "kesedihan" dari database dengan PD penduduk India. Di sisi lain, para pakar keamanan informasi menekankan bahwa larangan identifikasi ulang tidak menyelesaikan masalah.

Semua ini dapat mengarah pada fakta bahwa perusahaan yang memproses data pribadi akan menolak untuk melakukan tes jika mereka tidak yakin tentang "kualitas" deanonimisasi mereka. Ketika meretas sistem perusahaan seperti itu oleh peretas (yang jelas tidak membutuhkan izin untuk meretas), konsekuensinya bisa serius.

Sebagai contoh, pada 2017 di Inggris mereka juga mengusulkan untuk melarang studi identifikasi ulang, tetapi berpikir dua kali tentang hal itu untuk alasan keamanan.

Apa selanjutnya

RUU baru perlu melalui sejumlah contoh: dari Kementerian IT dan Komunikasi ke majelis tinggi Parlemen India, Rajya Sabha, dan mendapatkan persetujuan mereka. Kemungkinan karena kritik dalam bentuknya saat ini tidak akan diterima, karena waktu mulai berlaku masih dipertanyakan.

---

PS Apa lagi yang kita miliki tentang topik di blog IaaS:

• Cara menangani PD di cloud
• Apa yang harus dipertimbangkan PD dari sudut pandang regulator Rusia
• PD di cloud: area tanggung jawab pelanggan dan penyedia cloud

---

Arah utama aktivitas kami adalah penyediaan layanan cloud:

Infrastruktur Virtual (IaaS) | Hosting PCI DSS | Cloud FZ-152 | SAP hosting | Penyimpanan Virtual | Enkripsi Data di Awan | Penyimpanan cloud