[ad_1]
Pemerintah pada hari Jumat mengusulkan undang-undang privasi data baru yang memungkinkan transfer dan penyimpanan data pribadi di beberapa negara sambil menaikkan hukuman untuk pelanggaran.
Draf RUU Perlindungan Data Pribadi Digital (DPDP) 2022 akan sangat melegakan Google, Amazon, Facebook dan perusahaan global lainnya karena menggantikan versi sebelumnya yang telah mengkhawatirkan perusahaan teknologi besar atas pembatasan ketat pada aliran data lintas batas.
Pemerintah akan “memberi tahu negara atau wilayah di luar India di mana fidusia data dapat mentransfer data pribadi”, menurut draf yang diluncurkan pada hari Jumat untuk umpan balik publik.
Rancangan baru akan menjadi undang-undang setelah Parlemen menyetujuinya.
Undang-undang yang diusulkan menetapkan persetujuan sebelum mengumpulkan data pribadi dan menyediakan dengan sanksi tegas sebesar Rp. 500 crore pada orang dan perusahaan yang gagal mencegah pelanggaran data termasuk pengungkapan yang tidak disengaja, berbagi, mengubah, atau menghancurkan data pribadi.
Perusahaan diizinkan untuk menyimpan data yang dikumpulkan hanya untuk periode tertentu.
Rancangan tersebut juga memberikan kewenangan kepada pemerintah pusat untuk membebaskan badan-badan negara dari ketentuan RUU “demi kepentingan kedaulatan dan keutuhan India” dan untuk menjaga ketertiban umum.
Dengan lebih dari 750 juta Internet pengguna dan rumah terbesar kedua untuk ponselIndia adalah pasar yang besar dan berkembang untuk raksasa teknologi, tetapi aturan privasi sebelumnya telah membuat mereka gusar.
Rancangan undang-undang tersebut mencakup data pribadi yang dikumpulkan secara online dan data offline digital. Ini juga akan berlaku untuk pemrosesan data pribadi di luar negeri jika data tersebut melibatkan pembuatan profil pengguna India atau menjual layanan kepada mereka.
“RUU DPDP 2022 telah menyederhanakan rezim perlindungan data yang diusulkan dan menghilangkan beberapa klausul kontroversial yang menyebabkan penolakan industri pada versi sebelumnya. Khususnya, pencerminan data, persyaratan lokalisasi data, dan kepatuhan keseluruhan tampaknya terbatas dibandingkan dengan RUU sebelumnya,” kata Rupinder Malik, Partner di firma hukum JSA.
Niat legislatif, katanya, tampaknya ramah teknologi dan TI, berfokus pada memfasilitasi aliran data lintas batas. “Beberapa aspek yang diperlunak berpotensi mengurangi perlindungan menyeluruh yang diberikan pada hak privasi individu. Hal positifnya adalah bahwa RUU tersebut telah disusun dengan cara yang lebih sederhana, dengan lebih sedikit ambiguitas.” Rancangan undang-undang baru menggantikan RUU Perlindungan Data, yang ditarik oleh pemerintah pada Agustus tahun ini. Draf terbuka untuk komentar publik hingga 17 Desember.
Rancangan undang-undang tersebut memerlukan pengaturan ‘Dewan Perlindungan Data’ untuk memastikan kepatuhan. Dewan juga akan mendengar keluhan pengguna.
Ini mengharuskan perusahaan seperti Google dan Facebook untuk bertanggung jawab kepada ‘pengelola persetujuan’ untuk menyediakan “platform yang dapat diakses, transparan, dan dapat dioperasikan” untuk memberikan, mengelola, meninjau, dan menarik persetujuan.
Pengguna berhak untuk memperbaiki dan menghapus data pribadi mereka.
Meskipun data pribadi anak-anak tidak dapat diperoleh atau diproses tanpa persetujuan orang tua, rancangan undang-undang menetapkan bahwa iklan tidak dapat menargetkan anak-anak.
Perusahaan dengan ukuran ‘signifikan’ — berdasarkan faktor-faktor seperti volume data yang mereka proses — akan diminta untuk menunjuk auditor data independen untuk mengevaluasi kepatuhan terhadap ketentuan undang-undang.
Ketentuan di versi sebelumnya yang memberikan kewenangan kepada pemerintah untuk meminta perusahaan memberikan data pribadi dan non-pribadi yang dianonimkan untuk membantu menargetkan pemberian layanan atau merumuskan kebijakan, tidak ada dalam draf baru.
Draf baru menaikkan jumlah denda hingga Rs. 500 crore karena melanggar ketentuan. Draf RUU Perlindungan Data Pribadi yang dikeluarkan pada 2019 telah mengusulkan denda sebesar Rs. 15 crore atau 4 persen dari omset global suatu entitas, mana yang lebih tinggi.
“Tujuan dari RUU ini adalah untuk menyediakan pemrosesan data pribadi digital dengan cara yang mengakui hak individu untuk melindungi data pribadi mereka, kebutuhan untuk memproses data pribadi untuk tujuan yang sah dan untuk tujuan insidental lainnya,” sebuah catatan penjelasan kata draf RUU tersebut.
Rancangan tersebut mengusulkan untuk membentuk Dewan Perlindungan Data India, yang akan menjalankan fungsi sesuai dengan ketentuan RUU tersebut.
“Jika Dewan menentukan pada akhir penyelidikan bahwa ketidakpatuhan oleh seseorang adalah signifikan, setelah memberikan orang tersebut kesempatan yang wajar untuk didengar, dapat mengenakan hukuman keuangan seperti yang ditentukan dalam Lampiran 1, tidak melebihi lima rupee. ratus crore dalam setiap contoh,” kata draf tersebut.
Ini telah mengusulkan sistem hukuman bertingkat untuk Fidusia Data dan Pemroses Data jika terjadi pelanggaran berdasarkan undang-undang yang diusulkan.
Fidusia Data adalah entitas yang akan memproses data pribadi, baik sendiri atau dengan bantuan Pemroses Data.
Rancangan tersebut mengusulkan denda hingga Rs. 250 crore jika Fidusia Data atau Pemroses Data gagal melindungi dari pelanggaran data pribadi yang dimilikinya atau di bawah kendalinya.
Rancangan itu juga mengusulkan denda hingga Rs. 200 crore jika Fidusia Data atau Pemroses Data gagal memberi tahu Dewan dan pemilik data tentang pelanggaran data.
Selain itu, RUU tersebut mengusulkan untuk mengenakan denda sebesar Rs. 10.000 untuk individu yang memberikan informasi yang tidak dapat diverifikasi atau palsu saat mengajukan dokumen, layanan, bukti identitas atau alamat, dll. dan untuk mendaftarkan keluhan palsu atau sembrono dengan Fidusia Data atau Dewan.
RUU tersebut memiliki ketentuan untuk mengizinkan entitas mentransfer data pribadi warga negara ke luar negeri jika pemrosesan data pribadi diperlukan untuk menegakkan hak atau klaim hukum apa pun, kinerja fungsi yudisial atau kuasi-yudisial, investigasi atau penuntutan atas pelanggaran apa pun atau jika pemilik data tidak berada di dalam wilayah India dan telah mengadakan kontrak apa pun dengan siapa pun di luar negara tersebut.
“Pemerintah Pusat dapat, setelah menilai faktor-faktor yang dianggap perlu, memberi tahu negara atau wilayah di luar India tempat Fidusia Data dapat mentransfer data pribadi,” menurut draf tersebut.
Catatan penjelasan yang dikeluarkan oleh Kementerian Elektronika dan TI mencantumkan tujuh prinsip yang menjadi dasar RUU tersebut.
Ini termasuk penggunaan data pribadi oleh organisasi yang dilakukan dengan cara yang sah, transparan, dan adil bagi individu yang bersangkutan dan data pribadi digunakan untuk tujuan pengumpulannya.
Draf tersebut juga memiliki ketentuan untuk memastikan bahwa hanya item data pribadi yang diperlukan untuk mencapai tujuan tertentu yang harus dikumpulkan dan harus disimpan terus-menerus secara default.
“RUU Perlindungan Data Pribadi Digital adalah undang-undang yang membingkai hak dan kewajiban warga negara (Nagrik Digital) di satu sisi dan kewajiban untuk menggunakan data yang dikumpulkan secara sah dari Data Fiduciary di sisi lain,” bunyi catatan penjelasan tersebut.
Komentar atas draf RUU dapat diajukan hingga 17 Desember.
