Hükümetin Adalet Srikrishna Komitesine bir veri koruma kanunu getirmekle görevlendirmesinden yaklaşık dört yıl sonra, Hindistan sonunda bunu başarmaya biraz daha yaklaşıyor. Karma Parlamento Komitesi ( JPC) geçtiğimiz günlerde Kişisel Verilerin Korunması Yasa Tasarısı, 2019 (2019 Tasarısı) hakkında uzun zamandır beklenen raporunu masaya yatırdı. Ayrıca, önerilen yasanın kendi versiyonunu formüle etti - buna Veri Koruma Yasası (DP Yasası) adını verdi. İsim değişikliği, JPC'nin yasanın kapsamını kişisel olmayan verileri kendi kapsamına dahil edecek şekilde genişletme kararını yansıtıyor.

Önerilen yasa, verileri işleyen tüm şirketler için yapılması ve yapılmaması gerekenleri ortaya koymaktadır. Bu nedenle, yasalara uymak için yeni başlayanlar, verileri nasıl topladıklarını, depoladıklarını, kullandıklarını ve paylaştıklarını yeniden düşünmelidir. 'Tasarım yoluyla gizlilik' yaklaşımını benimsemeleri, yani gizliliği sistem/sistemlerinin tasarımına yerleştirmeleri ve güvenliğini sağlamaları gerekir. Ayrıca, verileriyle ilgili belirli hakları kullanmak isteyen kullanıcılardan gelen talepleri işlemek için süreçler oluşturmaları gerekecektir. Buna ek olarak, diğer şeylerin yanı sıra, politika oluşturma amacıyla verileri hükümetle paylaşmak, donanım ve yazılımları için sertifika almak ve hassas verileri yerel olarak depolamak için teknik kapasite oluşturmayı gerektirir. Bu değişiklikler, şirketlerin hesaba katması gereken önemli uyum maliyetlerini beraberinde getiriyor ve yeni başlayanların önerilen yasaya uymak için yeterli zamana sahip olması çok önemli.

2019 Yasa Tasarısının metninde yapılan değişikliklere ek olarak, JPC, diğerlerinin yanı sıra sosyal medya platformlarını içerik yayıncıları olarak ele almak, sosyal medya kullanıcılarının zorunlu doğrulamasını zorunlu kılmak, katı bir veri yerelleştirme politikası formüle etmek gibi genel öneriler de sunmaktadır. Genel tavsiyeler, derhal düzenleyici eyleme dönüşmese de, uzun vadede hükümetin düşüncesini yönlendirebilir. Yeni başlayanların, düzenlemenin geleceğinin neler getirebileceğine dair bir fikre sahip olmaları için bu önerilerle ilgilenmeleri önemlidir.

Yeni başlayanların önerilen yasanın etkisini anlamasına yardımcı olmak için Ikigai Yasası, 24 Şubat 2022'de IST'de sanal bir yuvarlak masa tartışmasına ev sahipliği yapıyor - “ Unscramble: Hindistan'ın Veri Koruma Yasasının Yeni Başlayanlar Üzerindeki Etkisi ”. Oturum sırasında ele alınan temalardan bazıları, kişisel olmayan verilerin hükümetle zorunlu olarak paylaşılması, sınır ötesi veri akışındaki kısıtlamalar, algoritmaların adaletinin açıklanması ve yeni başlayanlar için genel uyum sorunudur.

Katılmak İçin Buraya Başvurun

Kişisel Olmayan Verilerin Gizlilik Yasasına Dahil Edilmesinin Etkisi

DP Yasası, kişisel veri koruma çerçevesi kapsamında kişisel olmayan verileri (NPD) düzenlemeyi amaçlamaktadır . Merkezi hükümete dijital ekonomiye yönelik politikaları formüle etmek için NPD'ye erişme konusunda geniş yetkiler verir ve Veri Koruma Otoritesine (DPA) NPD ihlallerini araştırma yetkisi verir.

Ama bu neden yeni başlayanlar için önemli olsun?

NPD'nin, kişisel olarak tanımlanabilir bilgilerden arındırılmış veriler, anonimleştirilmiş veriler ve hava durumu verileri, coğrafi veriler, telemetri verileri, seyahat verileri gibi kişisel verilerle hiçbir zaman bağlantısı olmayan veriler dahil olmak üzere çok çeşitli verileri içermesi öngörülmektedir. vb. Şirketler, NPD'yi işleme ve veri analitiği araçlarına tabi tutarak değer elde etmek için teknik ve finansal kaynaklara yatırım yaparlar. Bu tür veriler, ham verileri (kaynakta toplanan veriler), çıkarsanan verileri, temel iş anlayışlarını (doğası gereği tescilli olan) içerir.

Devletin özel verilere erişmesine izin vermek, şirketlerin veri kümeleri üzerindeki fikri mülkiyet (IP) haklarına müdahale edebilir. Bu, pazarda rekabet avantajı elde etmek için verilerden elde edilen içgörülere dayanan girişimleri de etkileyebilir. Şirketlerin NPD'den vazgeçmelerini istemek, onları veri toplama, toplama, depolama ve analitiklere yatırım yapmaktan caydırabilir. İnovasyonu engelleyebilir, veri pazarının gelişimini engelleyebilir ve şirketleri veri ve diğer verilerle ilgili varlıkları denemekten alıkoyabilir.

Kişisel verileri düzenlemenin amacı, bireysel mahremiyeti güvence altına almaktır ve NPD'yi düzenlemenin amacı ekonomik değer elde etmektir. Kişisel verileri ve NPD'yi tek bir çatı altında düzenlemek, muhtemelen her iki hedefi de sulandıracaktır.

Belirsizlik ve Uyum Zorlukları

DP Bill, 2019 Bill gibi, verileri hassas kişisel veriler ve kritik kişisel veriler olarak sınıflandırır. Hassas veriler, finansal veriler, sağlık verileri, genetik veriler ve daha fazlası gibi rutin olarak işlenen bilgilerin kapsamlı olmayan bir listesini içerir. Kritik kişisel veriler henüz hükümet tarafından tanımlanmadı. Hassas verilerin işlenmesi, kullanıcılardan açık rıza alma zorunluluğu da dahil olmak üzere daha katı uyumluluk yükümlülüklerini beraberinde getirir.

Hem hassas hem de kritik verilerin aşırı geniş yapısı ve hükümetin ek kategorileri bildirme yeteneği belirsizlik yaratabilir. Yeni başlayanların verileri nasıl sınıflandıracağını ve farklı kategoriler için uyumlulukları nasıl belirleyeceğini değerlendirmesini zorlaştırabilir.

Diğer yargı alanlarındaki veri koruma yasalarından farklı olarak, önerilen Hindistan yasası, verileri işlemek için yasal bir temel olarak büyük ölçüde kullanıcı onayına odaklanmaktadır . Önerilen yasa, şirketlerin ürün geliştirme, hata düzeltmeleri vb. gibi rutin işlemler için bile izin almalarını gerektirecek ve bu da kullanıcılar için aşırı bildirime ve izin yorgunluğuna yol açacaktır. Aynı zamanda, ikisi arasındaki farkın net bir açıklaması olmadan, belirsizliği artıran iki standart - rıza ve açık rıza - yaratır.

Önerilen veri düzenleyicisi, belirli kriterlere dayalı olarak herhangi bir veri emanetçisini (GDPR'nin “veri kontrolörleri” olarak adlandırdığı şeye eşdeğerimiz, veri toplama amacına ve araçlarına karar veren kuruluşlar) önemli bir veri emanetçisi (SDF) olarak belirleme yetkisine sahip olacaktır. . Bu, diğerlerinin yanı sıra işlenen verilerin hacmini ve hassasiyetini, yeni teknolojilerin kullanımını, çocuk verilerinin işlenmesini, belirli bir kullanıcı eşiğinin üzerindeki sosyal medya şirketlerini içerir.

SDF'ler, veri koruma etki değerlendirmeleri yapmak ve veri koruma görevlilerini atamak gibi yüksek uyumluluk gereksinimlerine sahiptir. Finansal verileri işleyen Fintech'ler ve yeni teknolojileri kullanan herhangi bir girişim, SDF olarak sınıflandırılma konusunda kenarda kalacak.

Ayrıca, çocukların verilerini korumak için ek güvenceler oluşturma çabası içinde, yasalar etkili bir şekilde tüm çevrimiçi işletmelerin hizmetlerini bir şekilde yaş sınırlamasına tabi tutmasını gerektirir. Ancak, yaş sınırlaması tekniklerinin standartlarına ilişkin rehberlik ancak daha sonraki bir aşamada düzenleyiciden gelecek ve bu da uyum için plan yapmayı zorlaştıracaktır.

Yerel Depolama Gereksinimleri Startup'ların Rekabet Edebilirliğini Etkileyebilir

Çok sayıda Hintli girişim, örneğin Hindistan dışında bulunan bulut hizmeti sağlayıcılarının hizmetlerini kullanmak için sınır ötesi veri aktarımlarına bağlıdır. Serbest veri akışını engelleyen hükümler, uygun maliyetli ve sınıfının en iyisi teknolojilere ve altyapıya erişemeyecek olan yeni başlayanlar için zorluklar yaratacaktır. Ek olarak, yerel depolama gereksinimleri , dünya çapındaki tüketicilere hitap etme tutkusu olan derin teknoloji (AI/ML, veri analitiği) girişimleri için engeller oluşturabilir.

2019 Tasarısı, sınır ötesi veri aktarımlarına zaten çeşitli kısıtlamalar getirdi. DP Yasa Tasarısında, JPC, bir sözleşme veya grup içi planlar uyarınca aktarımlar için merkezi hükümet onayının gerekli olması gibi, veri aktarımlarında ek bürokratik engeller önermiştir.

Serbest veri akışı bir dengeleyici görevi görerek yeni başlayanların büyüklüklerinden bağımsız olarak fiyat ve kalite konusunda küresel olarak rekabet etmelerine olanak tanır. Öte yandan, veri aktarımlarındaki orantısız kısıtlamalar, küresel bulut platformları ve yeni başlayanlar için uluslararası pazarlar tarafından sunulan daha ucuz hizmetlere ve en son teknolojiye erişimi engelleyebilir.

Algoritmaların ve Ticari Sırların 'Adil Olduğunu' Açıklamak, Startup'ların Fikri Mülkiyet Haklarını Etkileyebilir

Önerilen yasa, kurumların 'algoritmanın adaleti' hakkındaki bilgileri veri düzenleyici ile paylaşmalarını şart koşuyor. Bu, işlemede şeffaflığı sağlamak ve algoritmaların kötüye kullanılmasını önlemek içindir. 'Adaletin' ne anlama geldiği veya ifşa edilmesi için ne kadar bilginin gerekli olacağı belirsizdir. Ayrıca, özellikle algoritma düzenleyici tarafından algoritmik kaynak kodu anlamına gelecek şekilde yorumlanırsa, bir işletmenin fikri mülkiyet hakları üzerinde etkileri olabilir.

DP Yasası ayrıca bir kişinin şirketlerden kişisel verilerini kendilerine veya başka bir şirkete aktarmalarını istemesine izin verir. Aktarılabilecek kişisel verilerin kapsamı, kullanıcılara hizmet sunumu sırasında üretilen verileri ve herhangi bir kullanıcı profilinin bir parçasını oluşturan her türlü veriyi içerdiğinden geniştir. Bu, gizli ticari içgörüleri içerebilir.

2019 Yasası, şirketlerin bu talepleri reddetmesine izin verirken - ticari sırları korumak için gerekliyse - JPC, şirketin gizli ticari bilgilerini rakiplere ifşa ederek ticari sır muafiyetinin kaldırılmasını önerir. Yeni başlayanlar, rekabet gücünü korumak için veri hendeklerine önemli ölçüde güvendiğinden, bu onların büyüme beklentilerine zarar verebilir.

Diğer Sertifikalar

DP Yasası ayrıca, dijital cihazlarda veri sızıntısını veya ulusal güvenlik tehdidini önlemek için bilgi işlem cihazlarının yazılım ve donanımı için bir sertifikasyon ve test rejimi kurmayı teklif ediyor. Bu, mevcut yerel ve küresel standartlara ek olarak yeni donanım/yazılım standartlarının oluşturulmasına yol açabilir. Bu, üretim operasyonlarını kesintiye uğratabilir ve yalnızca donanım ve yazılım sistemlerini değiştirmek zorunda kalabilecek yeni başlayanlara yük getirerek maliyetlerin artmasına neden olur.

Peki Sırada Ne Var?

JPC'nin raporu, veri düzenleyicisinin yeniliği teşvik etmek için yeni başlayanların ve küçük işletmelerin çıkarlarını göz önünde bulundurmasını tavsiye etse de, diğer şeylerin yanı sıra belirsiz uyumluluklar, katı yerel depolama gereksinimleri bu amacı bozabilir. Bu nedenle, DP Tasarısı üzerinde tartışırken, girişimlerin endişelerini hükümete iletmek çok önemlidir.

Bu amaçla, Ikigai Yasası ekosistemdeki tüm paydaşları, önerilen kişisel veri koruma çerçevesinin etkisini sanal bir yuvarlak masada tartışmaya davet ediyor - Unscramble: Impact Of India's Startups için Veri Koruma Çerçevesi 24 Şubat 2022, saat 15.00'te IST.

Slotlarınızı Şimdi Ayırtın