اقترحت الحكومة يوم الجمعة قانونًا جديدًا لخصوصية البيانات يسمح بنقل وتخزين البيانات الشخصية في بعض البلدان مع زيادة العقوبة على الانتهاكات.
ستكون مسودة قانون حماية البيانات الشخصية الرقمية (DPDP) لعام 2022 مصدر ارتياح كبير لشركة Google و Amazon و Facebook وغيرها من الشركات العالمية لأنها تحل محل إصدار سابق أثار قلق شركات التكنولوجيا الكبرى بشأن قيودها الصارمة على تدفقات البيانات عبر الحدود.
وفقًا للمسودة التي تم الكشف عنها يوم الجمعة لإبداء الرأي العام ، ستقوم الحكومة “بإخطار هذه البلدان أو الأقاليم خارج الهند التي قد يقوم وكيل البيانات بنقل البيانات الشخصية إليها”.
سيصبح المشروع الجديد قانونًا بمجرد موافقة البرلمان عليه.
ينص التشريع المقترح على الموافقة قبل جمع البيانات الشخصية وينص على عقوبات صارمة تصل إلى روبية. 500 كرور روبية على الأشخاص والشركات التي تفشل في منع انتهاكات البيانات بما في ذلك الإفصاح العرضي أو مشاركة البيانات الشخصية أو تغييرها أو إتلافها.
يسمح للشركات بتخزين البيانات المجمعة لفترات محددة فقط.
كما تمنح المسودة صلاحيات للحكومة المركزية لإعفاء وكالات الدولة من أحكام القانون “لصالح سيادة وسلامة الهند” والحفاظ على النظام العام.
مع أكثر من 750 مليون مستخدم للإنترنت وثاني أكبر منزل للهواتف المحمولة ، تعد الهند سوقًا كبيرة ومتنامية لعمالقة التكنولوجيا ، لكن قواعد الخصوصية السابقة أثارت غضبهم.
يغطي مشروع القانون البيانات الشخصية التي تم جمعها عبر الإنترنت والبيانات الرقمية غير المتصلة بالإنترنت. وسينطبق أيضًا على معالجة البيانات الشخصية في الخارج إذا كانت هذه البيانات تتضمن تحديد سمات المستخدمين الهنود أو بيع الخدمات لهم.
“لقد بسط مشروع قانون 2022 DPDP نظام حماية البيانات المقترح وألغى بعض البنود المثيرة للجدل التي تسببت في تراجع الصناعة في الإصدارات السابقة. وعلى وجه الخصوص ، يبدو أن النسخ المتطابق للبيانات ومتطلبات توطين البيانات والامتثال العام محدود مقارنة بمشروع القانون السابق ،” قال روبيندر مالك ، شريك في شركة محاماة JSA.
وقال إن القصد التشريعي يبدو أنه ملائم للأعمال التقنية وتكنولوجيا المعلومات ، ويركز على تسهيل تدفق البيانات عبر الحدود. “بعض الجوانب التي تم تخفيفها يمكن أن تقلل من الحماية الشاملة الممنوحة لحقوق الخصوصية الفردية. الشيء الإيجابي هو أن مشروع القانون تمت صياغته بطريقة أبسط ، مع قدر أقل من الغموض.” يأتي مشروع القانون الجديد محل مشروع قانون حماية البيانات ، الذي سحبه الحكومة في أغسطس من هذا العام. المسودة مفتوحة للتعليق العام حتى 17 ديسمبر.
يتطلب مشروع القانون إنشاء “مجلس حماية البيانات” لضمان الامتثال. سيستمع المجلس أيضًا إلى شكاوى المستخدمين.
يتطلب الأمر من شركات مثل Google و Facebook أن تكون مسؤولة أمام “مدير الموافقة” لتوفير “منصة يسهل الوصول إليها وشفافة وقابلة للتشغيل المتبادل” لإعطاء الموافقة وإدارتها ومراجعتها وسحبها.
يحق للمستخدمين تصحيح ومسح بياناتهم الشخصية.
بينما لا يمكن الحصول على البيانات الشخصية للأطفال أو معالجتها دون موافقة الوالدين ، ينص مشروع القانون على أن الإعلان لا يمكن أن يستهدف الأطفال.
يتعين على الشركات ذات الحجم “الكبير” – بناءً على عوامل مثل حجم البيانات التي تعالجها – تعيين مدقق بيانات مستقل لتقييم الامتثال لأحكام القانون.
الحكم في الإصدار السابق الذي منح الحكومة صلاحيات مطالبة الشركة بتقديم بيانات شخصية مجهولة المصدر وبيانات غير شخصية للمساعدة في استهداف تقديم الخدمات أو صياغة السياسات ، غير موجود في المسودة الجديدة.
ترفع المسودة الجديدة عقوبة تصل إلى روبية. 500 كرور روبية لانتهاك الأحكام. اقترح مشروع قانون حماية البيانات الشخصية ، الصادر في عام 2019 ، عقوبة قدرها روبية. 15 كرور روبية أو 4 في المائة من حجم التداول العالمي لكيان ما ، أيهما أعلى.
“الغرض من مشروع القانون هذا هو توفير معالجة البيانات الشخصية الرقمية بطريقة تعترف بحق الأفراد في حماية بياناتهم الشخصية ، والحاجة إلى معالجة البيانات الشخصية لأغراض قانونية ولأغراض عرضية أخرى ،” مذكرة توضيحية من مشروع القانون قال.
يقترح المشروع إنشاء مجلس حماية البيانات في الهند ، والذي سيتولى وظائف وفقًا لأحكام مشروع القانون.
“إذا قرر المجلس في ختام التحقيق أن عدم امتثال شخص ما يعد أمرًا مهمًا ، فيجوز له ، بعد منح الشخص فرصة معقولة لسماع صوته ، أن يفرض مثل هذه العقوبة المالية على النحو المحدد في الجدول 1 ، بما لا يتجاوز خمسة روبيات مائة كرور روبية في كل حالة “.
لقد اقترحت نظام عقوبات متدرج لمؤمني البيانات ومعالجي البيانات في حالة حدوث أي انتهاك بموجب التشريع المقترح.
وكلاء البيانات هم تلك الكيانات التي ستعالج البيانات الشخصية ، إما من تلقاء نفسها أو بمساعدة معالجي البيانات.
اقترح المشروع عقوبة تصل إلى روبية. 250 كرور روبية في حالة فشل وكيل البيانات أو معالج البيانات في الحماية من انتهاكات البيانات الشخصية التي في حوزته أو تحت سيطرته.
اقترحت المسودة أيضًا عقوبة تصل إلى روبية. 200 كرور روبية في حالة فشل وكيل البيانات أو معالج البيانات في إبلاغ مجلس الإدارة ومالك البيانات بشأن خرق البيانات.
إلى جانب ذلك ، يقترح مشروع القانون فرض عقوبة روبية. 10،000 على الأفراد الذين يقدمون معلومات غير مؤكدة أو خاطئة أثناء التقدم بطلب للحصول على أي مستند أو خدمة أو إثبات هوية أو عنوان وما إلى ذلك ولتسجيل شكوى كاذبة أو تافهة مع وكيل البيانات أو مجلس الإدارة.
يحتوي مشروع القانون على حكم يسمح للكيانات بنقل البيانات الشخصية لمواطن خارج الدولة في الحالات التي تكون فيها معالجة البيانات الشخصية ضرورية لفرض أي حق أو مطالبة قانونية ، أو أداء أي وظيفة قضائية أو شبه قضائية ، أو تحقيق أو الملاحقة القضائية لأي جريمة أو إذا لم يكن مالك البيانات داخل أراضي الهند وأبرم أي عقد مع أي شخص خارج البلاد.
“يجوز للحكومة المركزية ، بعد إجراء تقييم للعوامل التي قد تراها ضرورية ، إخطار تلك البلدان أو الأقاليم خارج الهند التي يجوز لمؤتمن البيانات نقل البيانات الشخصية إليها” ، وفقًا للمسودة.
أوردت المذكرة التفسيرية الصادرة عن وزارة الإلكترونيات وتكنولوجيا المعلومات سبعة مبادئ يستند إليها مشروع القانون.
يتضمن ذلك استخدام البيانات الشخصية من قبل المؤسسات بطريقة قانونية وشفافة وعادلة للأفراد المعنيين ويتم استخدام البيانات الشخصية للأغراض التي تم جمعها من أجلها.
تحتوي المسودة أيضًا على شرط لضمان عدم جمع سوى عناصر البيانات الشخصية المطلوبة لتحقيق غرض معين ويجب تخزينها بشكل دائم بشكل افتراضي.
وجاء في المذكرة التفسيرية: “قانون حماية البيانات الشخصية الرقمية هو تشريع يحدد حقوق وواجبات المواطن (Digital Nagrik) من ناحية والالتزامات باستخدام البيانات المجمعة بشكل قانوني من Fiduciary من ناحية أخرى”.
يمكن تقديم التعليقات على مشروع القانون حتى 17 ديسمبر.
