• Beranda
  • Artikel
  • Tech
  • 'Dialog' Oleh Inc42 & Hukum Ikigai: RUU PDP Menandai Pemisahan yang Jelas Antara Pola Pikir Pembuat Kebijakan & Startup

'Dialog' Oleh Inc42 & Hukum Ikigai: RUU PDP Menandai Pemisahan yang Jelas Antara Pola Pikir Pembuat Kebijakan & Startup

Diterbitkan: 2018-09-09

'The Dialogue' membahas RUU PDP secara rinci, termasuk perubahan yang harus dilakukan oleh startup dalam praktik pengumpulan dan pemrosesan data

Itu juga membahas bagaimana mandat pelokalan data RUU akan mempengaruhi efisiensi biaya dan operasi startup

Ini membahas bagaimana perusahaan rintisan dapat mengendalikan biaya sambil memenuhi mandat untuk mengambil persetujuan pengguna dan mengklasifikasikan data pribadi mereka

Sedangkan Kementerian Elektronika dan Informatika (MeitY) telah mengundang tanggapan publik atas RUU Perlindungan Data Pribadi 2018, (RUU PDP) paling lambat 30 September Inc42, terkait dengan UU Ikigai (Sebelumnya TRA) , pada 7 September. menyelenggarakan sesi interaktif meja bundar dengan perusahaan rintisan untuk membahas dampak RUU tersebut pada bisnis mereka setelah disahkan di Parlemen.

Dimoderatori oleh Vaibhav Agrawal, pendiri dan CEO, Inc42, Anirudh Rastogi, pendiri, Ikigai Law, dan Nehaa Chaudhari, Pemimpin Kebijakan di Ikigai Law, 'The Dialogue' membahas poin-poin utama RUU PDP — pelokalan data, kekritisan data, pemberitahuan persetujuan kepada pengguna, dan persyaratan persetujuan antara lain. Roundtable khusus undangan ini dihadiri oleh para pendiri startup yang mengangkat sejumlah tantangan yang belum terjawab atau terjawab dalam RUU yang ada.

Tagihan Perlindungan Data Pribadi: Poin Utama

Pengumpulan data

Baik offline maupun online, praktik pendataan startup perlu diubah setelah RUU itu disahkan. RUU tersebut mengamanatkan fidusia data (entitas yang mengumpulkan atau memproses data) untuk mengeluarkan pemberitahuan kepada penggunanya tentang data yang ingin mereka kumpulkan, tujuan pengumpulan, apakah data akan ditransfer ke pihak ketiga atau di luar negeri, bagaimana data tersebut akan disimpan, berapa lama disimpan, dan sebagainya.

Dengan demikian, rancangan tersebut membuat pengumpulan data pribadi terbatas dan tunduk pada pemberitahuan dan persetujuan. Oleh karena itu, perusahaan rintisan harus memberi tahu pengguna yang ada tentang praktik pengumpulan dan penggunaan data mereka dan mendapatkan persetujuan pengguna baru. Startup di meja bundar menyatakan keprihatinan bahwa sebagian besar basis pengguna mereka mungkin tidak memberikan persetujuan lagi dan dengan cara yang diperlukan, sehingga menyebabkan gangguan dalam bisnis mereka. “Masalah ini diperkuat di India mengingat rata-rata pengguna India tidak terlalu melek teknologi dan mungkin tidak memberikan persetujuan terperinci,” kata Vivek Jain, CEO InteractiveMedia, yang menyediakan platform interaktif untuk profesional manajemen, hukum, dan keuangan.

RUU ini terutama berlaku untuk “data pribadi”, yaitu data yang dapat digunakan untuk mengidentifikasi individu. Namun, data pribadi tidak terbatas pada nama, alamat, dll. Bisa berupa data apa pun yang dapat digabungkan dengan data lain — bahkan informasi yang tersedia untuk umum — untuk mengidentifikasi individu tersebut. Misalnya, jika perusahaan taksi mengetahui bahwa seseorang pergi ke kedai kopi tertentu setiap hari, kumpulan data tersebut dapat digunakan untuk mengidentifikasi individu yang unik dan akan menjadi informasi pribadi, jelas Anirudh Rastogi dari Ikigai Law.

Sementara beberapa startup yang hadir merasa bahwa klausul data pribadi ini dapat menjadi salah satu rintangan utama bagi mereka, beberapa berpandangan bahwa RUU PDP India tidak memprioritaskan 'Hak Untuk Bisnis' seperti Peraturan Perlindungan Data Umum (GDPR). ) telah melakukan.

Lokalisasi Data

Untuk setiap fidusia data yang secara langsung atau tidak langsung terlibat dalam pengumpulan atau pemrosesan data milik prinsipal data India, rancangan RUU PDP membuatnya penting untuk menyimpan setidaknya salinan data di server atau pusat data yang berlokasi di India. Selanjutnya, data tertentu seperti data "kritis", yang akan ditentukan oleh pemerintah dalam hubungannya dengan Otoritas Perlindungan Data (DPA) yang diusulkan, hanya akan disimpan di server yang berbasis di India.

Dengan demikian, mandat pelokalan data mengharuskan fidusia data untuk menyiapkan server mereka di India juga. Namun, di meja bundar, pendiri startup menunjukkan bahwa memilih server data di India lebih mahal daripada memiliki server data yang berbasis di AS dan Singapura; mandat tersebut juga membatasi pilihan startup, membebankan beban administrasi yang lebih tinggi, dan merugikan dari sudut pandang keamanan data, kata mereka. Yang lain mengatakan bahwa berbagai layanan berbasis cloud tidak tersedia di server India hari ini dan tidak perlu dilokalkan karena pasar India untuk banyak layanan semacam itu kecil dibandingkan dengan pasar global.

Direkomendasikan untukmu:

Bagaimana Kerangka Agregator Akun RBI Ditetapkan Untuk Mengubah Fintech Di India
Sumber daya

Bagaimana Kerangka Kerja Agregator Akun RBI Ditetapkan Untuk Mengubah Fintech Di India

Pengusaha Tidak Dapat Menciptakan Startup yang Berkelanjutan dan Terukur Melalui 'Jugaad': CEO CitiusTech
Berita

Pengusaha Tidak Dapat Menciptakan Startup yang Berkelanjutan dan Skalabel Melalui 'Jugaad': Cit...

Bagaimana Metaverse Akan Mengubah Industri Otomotif India
Sumber daya

Bagaimana Metaverse Akan Mengubah Industri Otomotif India

Apa Arti Ketentuan Anti-Profiteering Bagi Startup India?
Sumber daya

Apa Arti Ketentuan Anti-Profiteering Bagi Startup India?

Bagaimana Startup Edtech Membantu Meningkatkan Keterampilan & Mempersiapkan Tenaga Kerja untuk Masa Depan
Sumber daya

Bagaimana Startup Edtech Membantu Tenaga Kerja India Meningkatkan Keterampilan & Menjadi Siap Masa Depan...

Berita

Saham Teknologi Zaman Baru Minggu Ini: Masalah Zomato Berlanjut, EaseMyTrip Posting Stro...

Oleh karena itu, mandat seperti pelokalan data, pemberitahuan persetujuan, hak akses menghibur pengguna dan hak untuk dilupakan tidak hanya akan meningkatkan biaya startup dan mengurangi margin keuntungan mereka, tetapi juga akan berdampak buruk pada operasi, efisiensi, dan daya saing global mereka.

Para peserta juga menyoroti bahwa bukan hanya RUU PDP yang harus dipatuhi oleh para startup. Mereka harus mematuhi beberapa undang-undang terkait data, yang dapat berupa undang-undang perlindungan data sektoral maupun khusus negara, dan ini akan menambah beban mereka.

Banyak yang berpandangan bahwa ketentuan lokalisasi data telah dimasukkan dalam RUU karena lobi yang sangat kuat mendukung isu tersebut. Hukuman berat yang ditentukan hingga Rs 15 Cr dan pertanggungjawaban pidana akan menghambat bisnis startup pada umumnya, tambah mereka.

Data Pribadi Sensitif

Rancangan RUU PDP juga mengacu pada konsep Data Pribadi Sensitif (SPD). Data pribadi yang sensitif mencakup informasi seperti data kesehatan, pengenal resmi (ID Aadhaar, SIM, dll), data biometrik, keyakinan agama atau politik, dan data terkait kasta.

Namun, tidak ada kejelasan apakah “data kritis” merupakan bagian dari SPD atau bukan. Definisi “data kritis” belum digariskan oleh pemerintah.

Mengambil Persetujuan Prinsipal Data

Sejalan dengan GDPR, RUU PDP juga telah dengan jelas mendefinisikan bahwa informasi yang terkait dengan mencari persetujuan harus bebas, komprehensif, tidak ambigu, dan ditunjukkan melalui tindakan afirmatif. Tidak disarankan bagi perusahaan untuk menawarkan kotak "Saya setuju" yang telah dicentang sebelumnya kepada pengguna di awal kebijakan privasi, tetapi pengguna harus secara aktif mencentang kotak yang hanya muncul di akhir kebijakan privasi untuk menentukan bahwa mereka telah setidaknya menggulir ke bawah kebijakan untuk benar-benar membacanya. Dalam kasus seperti itu, penting bagi tim produk untuk bekerja sama dengan pengacara untuk mencapai keseimbangan antara praktik pengumpulan data yang baik dan pengalaman pengguna, jelas Rastogi.

Selain persetujuan, RUU juga telah memberikan hak tertentu kepada prinsip-prinsip data yang fidusia data akan terikat untuk menghibur dalam jangka waktu tertentu. Ini termasuk hak untuk mengakses, hak untuk dilupakan, dll.

RUU PDP: Tantangan ke Depan

Konferensi meja bundar mencantumkan sejumlah tantangan yang tetap ambigu, tidak terjawab, dan harus ditangani sebelum RUU tersebut diperkenalkan di Parlemen. Beberapa tantangan yang diperhitungkan adalah:

  • Di India, sejumlah besar data masih ditangani secara offline tetapi RUU PDP tidak menyebutkan mode persetujuan dalam pengumpulan data offline. Bagaimana fidusia data seharusnya mengirimkan pemberitahuan persetujuan kepada prinsipal data saat mengumpulkan data mereka?
  • Standar yang ditetapkan dalam RUU didefinisikan secara longgar atau tidak didefinisikan sama sekali.
  • Pengumpulan data untuk transaksi berulang atau menggunakan teknologi baru seperti perangkat IoT atau pengenalan wajah akan menjadi lebih sulit untuk diterapkan, jelas Nehaa Chaudhari dari Ikigai Law.
  • Berbagi data lintas batas untuk penelitian di bidang-bidang seperti kemanjuran obat, dll akan terpengaruh oleh RUU tersebut.
  • Biaya kepatuhan akan melonjak secara signifikan bagi perusahaan dan terutama akan membebani perusahaan rintisan.
  • Kepatuhan bagi perusahaan rintisan yang ingin menawarkan layanan secara global akan menjadi lebih bermasalah karena mereka harus mematuhi standar berbeda yang ditentukan di bawah undang-undang yang berbeda.
  • Peserta juga menunjukkan bahwa ponsel orang berisi data pribadi kontak mereka dan dapat hilang; orang sering bertukar kartu nama tanpa menyebutkan secara spesifik tujuannya. Mereka mempertanyakan bagaimana RUU itu akan mempengaruhi skenario seperti itu di masa depan? Apa yang terjadi jika seseorang kehilangan ponselnya? Apakah dia bertanggung jawab untuk litigasi di bawah rancangan RUU saat ini?

Rancangan RUU PDP juga menguraikan bahwa perusahaan hanya dapat mengumpulkan data tertentu yang terkait dengan tujuan tertentu yang ditentukan oleh Otoritas Perlindungan Data. Bagi para pemula, ini bisa menjadi hambatan besar. Misalnya, sejumlah proyek percontohan dilakukan di mana tujuan pengumpulan data masih bersifat agnostik. Rancangan RUU saat ini tidak memberikan kejelasan tentang kasus-kasus tersebut. Para peserta menambahkan bahwa jika RUU tersebut disahkan dalam bentuknya yang sekarang, itu akan berdampak negatif pada kemajuan teknologi yang mengganggu yang biasanya dicapai melalui proyek percontohan yang dijalankan oleh perusahaan rintisan.

RUU PDP: Dialog Harus Berlanjut

Inc42 dan 'The Dialogue' dari Ikigai Law menampilkan diskusi yang hangat dan mendalam dengan partisipasi aktif dari semua peserta. Intinya, percakapan tersebut menyoroti kesenjangan yang jelas antara pola pikir pembuat kebijakan dan perusahaan rintisan yang digerakkan oleh teknologi . Kesenjangan ini perlu dijembatani untuk menjaga momentum ekosistem startup India. Dialog harus terus berlanjut.

MeitY terbuka untuk komentar, umpan balik tentang RUU PDP hingga 30 September 2018. Jangan lupa untuk membuat suara Anda didengar sebelum terlambat dan menjadi lebih sulit untuk memperbaiki bug!

Pembaruan 1: 9 September 2018, 21.46

Tanggal pengiriman untuk umpan balik pada rancangan RUU Perlindungan Data Pribadi India, 2018, telah diperpanjang hingga 30 September 2018.