Indijska vlada objavila je nacrt pravila o zaštiti digitalnih ličnih podataka (DPDP) za javne konsultacije.
“Fiducijari podataka moraju pružiti jasne i pristupačne informacije o tome kako se lični podaci obrađuju, omogućavajući informisani pristanak”, navodi se u priopćenju Indijskog ureda za informisanje (PIB) objavljenom u nedjelju.
“Građani imaju prava da zahtijevaju brisanje podataka, imenuju digitalne nominacije i pristupe mehanizmima prilagođenim korisnicima za upravljanje svojim podacima.”
Pravila, kojima se nastoji operacionalizirati Zakon o zaštiti digitalnih osobnih podataka iz 2023., takođe daju građanima veću kontrolu nad njihovim podacima, dajući im opcije za davanje informiranog pristanka za obradu svojih podataka, kao i pravo na brisanje pomoću digitalnih platformi i adresa. pritužbe.
Od kompanija koje posluju u Indiji se dalje traži da implementiraju sigurnosne mjere, kao što su šifriranje, kontrola pristupa i sigurnosne kopije podataka, kako bi zaštitile lične podatke i osigurale njihovu povjerljivost, integritet i dostupnost.
Neke od ostalih značajnih odredbi Zakona o DPDP-u kojih se očekuje da se pridržavaju fiducijari podataka su navedene u nastavku –
- Implementirati mehanizme za otkrivanje i rješavanje kršenja i održavanje dnevnika
- U slučaju povrede podataka, navedite detaljne informacije o redoslijedu događaja koji su doveli do incidenta, radnjama poduzetim za ublažavanje prijetnje i identitetu pojedinca(a), ako je poznat, u roku od 72 sata (ili više, ako dozvoljeno) Odboru za zaštitu podataka (DPB)
- Izbrišite lične podatke koji više nisu potrebni nakon perioda od tri godine i obavijestite pojedince 48 sati prije brisanja takvih informacija
- Jasno prikazati na svojim web stranicama/aplikacijama kontakt podatke ovlaštenog službenika za zaštitu podataka (DPO) koji je odgovoran za rješavanje bilo kakvih pitanja u vezi s obradom ličnih podataka korisnika
- Pribavite provjerljivu saglasnost od roditelja ili zakonskih staratelja prije obrade ličnih podataka djece mlađe od 18 godina ili osoba sa invaliditetom (izuzeci uključuju zdravstvene radnike, obrazovne ustanove i pružaoce usluga brige o djeci, ali su ograničeni samo na specifične aktivnosti kao što su zdravstvene usluge, obrazovne aktivnosti, nadzor sigurnosti i praćenje transporta)
- Provedite procjenu uticaja na zaštitu podataka (DPIA) i sveobuhvatnu reviziju jednom svake godine i prijavite rezultate DPB-u (ograničeno samo na pouzdane podatke koji se smatraju “važnim”)
- Pridržavajte se zahtjeva koje savezna vlada postavlja kada je riječ o prekograničnom prijenosu podataka (tačne kategorije ličnih podataka koje moraju ostati unutar granica Indije odredit će specijalizirana komisija)
Nacrt pravila takođe predlaže određene mjere zaštite za građane kada njihove podatke obrađuju agencije savezne i državne vlade, zahtijevajući da se takva obrada odvija na način koji je zakonit, transparentan i “u skladu sa pravnim i političkim standardima”.
Organizacije koje zloupotrebljavaju ili ne štite digitalne podatke pojedinaca ili obavještavaju DPB o kršenju sigurnosti mogu se suočiti s novčanim kaznama do 250 kruna (skoro 30 miliona dolara).
Ministarstvo elektronike i informacionih tehnologija (MeitY) traži povratne informacije od javnosti o nacrtima propisa do 18. februara 2025. Takođe je rečeno da podnesci neće biti otkriveni nijednoj strani.
Zakon o DPDP- u službeno je donesen u augustu 2023. nakon što je prepravljan nekoliko puta od 2018. Zakon o zaštiti podataka izašla je nakon presude najvišeg suda Indije iz 2017. kojom je pravo na privatnost potvrđeno kao osnovno pravo prema Ustavu Indije.
Razvoj dolazi više od mjesec dana nakon što je Odjeljenje za telekomunikacije izdalo Pravila o telekomunikacijama (Cyber sigurnost telekomunikacija) 2024, prema Zakonu o telekomunikacijama, 2023 , kako bi osigurala komunikacijske mreže i nametnula stroge smjernice za otkrivanje kršenja podataka.
Prema novim pravilima, telekom subjekt mora prijaviti svaki sigurnosni incident koji utječe na njegovu mrežu ili usluge saveznoj vladi u roku od šest sati nakon što je saznao za to, a pogođena kompanija takođe podijeli dodatne relevantne informacije u roku od 24 sata.
Osim toga, od telekomunikacijskih kompanija se traži da imenuju glavnog službenika za sigurnost telekomunikacija (CTSO) koji mora biti indijski državljanin i stanovnik Indije, te dijeliti podatke o prometu – isključujući sadržaj poruka – sa saveznom vladom u određenom formatu za „zaštitu i osiguravanje cyber sigurnosti telekomunikacija.”
Međutim, Fondacija za slobodu interneta (IFF) kaže da bi “preširoke fraze” i uklanjanje definicije “podataka o saobraćaju” iz nacrta mogle otvoriti vrata za zloupotrebu.
Izvor:The Hacker News