Dlaczego organ ochrony danych zgodnie z ustawą o ochronie danych osobowych 2019 musi być gotowy od samego początku?
Opublikowany: 2020-06-06Urząd Ochrony Danych jest raczej nadrzędnym regulatorem niż regulatorem sektorowym
Decyzja rządu indyjskiego o wydaniu ustawy o ochronie danych osobowych jest mile widzianym posunięciem
Ważne jest, aby każdy proponowany organ ds. danych był dostępny dla osób ze wszystkich środowisk
Ustawa o ochronie danych osobowych z 2019 r., jak sama nazwa wskazuje, ma na celu ochronę prywatności obywateli poprzez zabezpieczenie ich danych osobowych przed wykorzystaniem przez jakikolwiek podmiot, czy to prywatna firma, czy państwo. Ustawa ma ambitny charakter i ma na celu zapewnienie jednostce większej kontroli nad jej danymi osobowymi i metodami korzystania z ich praw cyfrowych.
Dla kraju takiego jak Indie przejście od fatalnych przepisów i praktyk dotyczących ochrony danych do tak rozbudowanych ram nie będzie łatwym zadaniem. Proponowane prawo prawdopodobnie wpłynie w drastyczny sposób na sposób, w jaki firmy cyfrowe lub jakiekolwiek inne firmy w tym zakresie funkcjonują. Sposób, w jaki te firmy gromadzą dane od osób fizycznych i co robią z tymi danymi, będzie podlegać pewnym wymogom i ograniczeniom po wejściu w życie ram.
Ustawa ma na celu osiągnięcie wielu celów, od ochrony praw użytkowników, monitorowania transgranicznego przepływu danych po ustanowienie regulatora i stworzenie piaskownicy w celu promowania innowacji, żeby wymienić tylko kilka. Jednak w centrum wszystkich celów, które ma osiągnąć, znajduje się jeden w dużej mierze upoważniony organ – organ ochrony danych (DPA) lub proponowany regulator zgodnie z ustawą.
Urząd Ochrony Danych (DPA) będzie musiał w nadchodzących latach wypełnić zadanie bycia podstawą wszystkich ram ochrony danych w Indiach, a także odegra kluczową rolę w fazie przejściowej prawodawstwa.
Biorąc pod uwagę ogromną odpowiedzialność, jaką będzie ponosić organ ochrony danych (DPA), pierwsze obawy, które pojawiają się w związku z proponowanym organem zgodnie z ustawą, dotyczą jego niezależności. Obecnie w skład komisji specjalnej odpowiedzialnej za wybór członków DPA wchodzą wyłącznie członkowie władzy wykonawczej. Obecna wersja projektu ustawy odbiega od wcześniejszego projektu, w którym proponowano włączenie sędziego do komisji w celu zapewnienia pozorów nadzoru sądowego.
Włączenie członka wymiaru sprawiedliwości lub interesariuszy spoza władzy wykonawczej promowałoby przejrzystość, a także powstrzymywałoby wszelkie obawy przed stronniczością lub kontrolą rządu. Potrzeba niezależności jest niezbędna, ponieważ proponowany organ ochrony danych reguluje nie tylko podmioty prywatne, ale także rząd, który jest największym powiernikiem danych.
Rząd ma już znaczącą interakcję z funkcjonowaniem organu ochrony danych poprzez kontrolę budżetową i uprawnienia do kształtowania polityki, która będzie wiążąca dla organu ochrony danych. W takiej sytuacji mile widzianym posunięciem byłoby nałożenie na organ ochrony danych obowiązku przejrzystości wraz ze środkami umożliwiającymi nadzór sądowy nad selekcją.
Urząd Ochrony Danych jest raczej nadrzędnym regulatorem niż regulatorem sektorowym. Podmioty podlegające jego kompetencji obejmują różne sektory, takie jak zdrowie, finanse, bezpieczeństwo narodowe itp. Nawet funkcje, które ma pełnić organ ochrony danych, mieszczą się w szerokim spektrum, od orzeczniczych, ustawodawczych, wykonawczych po doradcze.
Polecany dla Ciebie:
Jak platforma agregacji kont RBI ma przekształcić fintech w Indiach
Przedsiębiorcy nie mogą tworzyć zrównoważonych, skalowalnych start-upów poprzez „Jugaad”: Cit...
Jak Metaverse zmieni indyjski przemysł motoryzacyjny?
Co oznacza przepis anty-profitowy dla indyjskich startupów?
W jaki sposób start-upy Edtech pomagają indyjskim pracownikom podnosić umiejętności i być gotowym na przyszłość...
Akcje New Age Tech w tym tygodniu: Kłopoty Zomato nadal, EaseMyTrip publikuje Stro...
Taka władza, która zajmuje się tak różnorodnymi sektorami, jest bezprecedensowa w historii indyjskiej regulacji. Poprzedni regulatorzy w dużej mierze zajmowali się podmiotami z ograniczoną odpowiedzialnością. Taki mandat podkreśla konieczność posiadania przez taki organ najnowocześniejszej wiedzy technicznej.
Kwestie związane z regulacją ram danych często wiążą się z kwestiami, które wymagają specjalistycznej wiedzy technicznej na wysokim poziomie, powołanie członków technicznych oprócz członków zwyczajnych byłoby pożądanym krokiem w kierunku wzmocnienia zdolności organu. Zdolność regulatora do pełnienia funkcji sędziowskich jest również jedną z jego kluczowych funkcji, w takim przypadku ważne jest istnienie wymogu wcześniejszego doświadczenia sędziowskiego lub jakiejś formy przeszkolenia w takich sprawach.
Chociaż liczba funkcji powierzonych organowi ochrony danych (DPA) została zmniejszona w porównaniu z poprzednią wersją projektu, nadal stoi przed nim ogromne zadanie. Funkcje organu ochrony danych obejmują monitorowanie przestrzegania prawa, udzielanie pomocy pokrzywdzonym obywatelom, stanowienie prawa oraz uświadamianie społeczeństwa. Ponadto wiele zasad określonych w ustawie zostanie w nadchodzących dniach skodyfikowanych przez organ ochrony danych.
W takim przypadku istnieje ryzyko przeciążenia proponowanego organu, co ograniczy jego skuteczność. Taka kwestia w połączeniu z jednopoziomową strukturą proponowanego organu może okazać się w przyszłości w dużej mierze problematyczna. Wielopoziomowa struktura, z organem uprawnionym w Centrum i podległymi mu władzami stanowymi lub regionalnymi, zmniejszyłaby ciężar organu ochrony danych, a także rezonowałaby ze strukturą federalną Indii.
Oczywiste jest, że Urząd Ochrony Danych (DPA) ma trochę do zrobienia. Dlatego ważne jest, aby prawodawcy uznali znaczenie, jakie solidna struktura będzie odgrywać w zapewnieniu, że organ ochrony danych jest skutecznym organem.
Rozmawiając o urzędzie ochrony danych (IOD), często zapominamy wspomnieć o jednym z kluczowych wymagań, które musi spełnić, aby być naprawdę skutecznym – dostępności. Ponieważ dane mają tak wszechobecny charakter, że należą do każdego, kto używa narzędzi do łączenia się z Internetem lub nawiązywania połączeń, konieczne jest wzmocnienie pozycji interesariuszy z różnych grup społecznych w odniesieniu do ich praw do danych.
Ważne jest, aby każdy proponowany organ ds. danych był dostępny dla osób ze wszystkich środowisk. Idealnie platforma do interakcji z organem ochrony danych powinna być wielojęzyczna, bardziej graficzna i mniej tekstowa, aby dotrzeć do szerokiego grona odbiorców. Musi być ogólnie mniej zależny od umiejętności czytania i pisania (i alfabetyzacji cyfrowej), aby szersza część społeczeństwa, ponad podziałami ekonomicznymi, mogła zgłaszać swoje obawy władzom.
Decyzja rządu indyjskiego o wydaniu ustawy o ochronie danych osobowych jest pożądanym posunięciem i w dużej mierze przyczyni się do wzmocnienia indyjskiej gospodarki cyfrowej. Jednak rząd nie uznał jeszcze bezpośredniego obciążenia, które spadłoby na Urząd Ochrony Danych (DPA), aby pomóc rządowi w przejściu przez przejście i wdrożenie tego prawa.
Aby osiągnąć tego rodzaju szerokie cele zaproponowane w tym prawodawstwie, rząd musi zapewnić, że od samego początku posiada silny, niezależny i wystarczająco umocowany organ. Jeśli taki autorytet, który idealnie tworzy fundament takich ram, jest na początku chwiejny, może obalić całą strukturę.
[Ten artykuł był współautorami Kazima Rizvi i Shefali Mehty, koordynatora ds. zaangażowania strategicznego i badań w The Dialogu]