الحوار - إعداد الشركات الهندية الناشئة لمشروع قانون حماية البيانات الشخصية
نشرت: 2018-09-28نظم Ikigai Law ، بالتعاون مع Inc42 'The Dialogue'
كانت هذه مناقشة مائدة مستديرة حول تأثير قانون حماية البيانات الشخصية
وركزت المناقشة على القضايا الرئيسية في إطار مشروع القانون ، وبالتحديد متطلبات الإشعار والموافقة الجديدة ؛ معالجة البيانات الشخصية الحساسة ؛ و اكثر
في أوائل هذا العام في أبريل ، أصدر بنك الاحتياطي الهندي (RBI) تعميمًا يوجه جميع مشغلي أنظمة الدفع في البلاد لتخزين بياناتهم حصريًا في الهند. مع اقتراب الموعد النهائي 15 أكتوبر للامتثال لتوجيهات بنك الاحتياطي الهندي ، من الواضح أن الشركات الهندية ستضطر قريبًا إلى تجديد ممارسات جمع البيانات ومعالجتها. مع إصدار قانون حماية البيانات الشخصية ، 2018 (مشروع قانون) في أغسطس ، أصبح من المهم الآن لأصحاب المصلحة توقع التغييرات التي سيتعين عليهم تنفيذها مسبقًا. ستتأثر الشركات الناشئة ، على وجه الخصوص ، بشكل كبير بهذه التغييرات ، لأن الامتثال لمتطلبات الخصوصية الجديدة سيتطلب استثمارات كبيرة من الوقت والمال.
من أجل إعداد الشركات الناشئة لنظام الخصوصية الجديد ، نظم Ikigai Law ، بالاشتراك مع Inc42 ، The Dialogue - جلسة مائدة مستديرة تفاعلية لمناقشة تأثير قانون حماية البيانات الشخصية مع الشركات الناشئة. المناقشة ، بقيادة أنيرود راستوجي ، مؤسس إيكيغاي لو ؛ ركز نيها تشودري ، رئيس السياسة ، Ikigai Law و Vaibhav Agrawal ، المؤسس والرئيس التنفيذي ، Inc42 على القضايا الرئيسية بموجب مشروع القانون بما في ذلك الإشعار الجديد ومتطلبات الموافقة ؛ معالجة البيانات الشخصية الحساسة ؛ تحديد الغرض والتحصيل ؛ وتوطين البيانات.
متطلبات الإشعار والموافقة: أشياء يجب الانتباه إليها
مناقشة الإشعار الجديد وممارسات الموافقة المطلوبة بموجب قانون حماية البيانات الشخصية ، في الحوار ، أكد أنيروده أنه في وقت سابق ، كان يتم التعامل مع سياسات الخصوصية باستخفاف إلى حد ما. ومع ذلك ، فإن متطلبات الإشعار الجديدة بموجب قانون حماية البيانات الشخصية محددة للغاية. يجب تقديم المعلومات للمستخدم بطريقة بسيطة وشاملة ، حتى في حالة اللغات المحلية . بالنسبة للشركات الناشئة العاملة في مجال إنترنت الأشياء ("IoT") ، ستحتاج الأجهزة إلى شاشات لتقديم إشعار ، أو يجب إرسال بريد إلكتروني في الوقت الفعلي. قد يأتي هذا في طريق تجربة المستخدم لبعض الأجهزة ويمكن أن يستلزم ذهابًا وإيابًا بين الفرق القانونية وفرق UX / UI للشركات أثناء تطوير المنتج.
عبر أحد المشاركين عن مخاوفه بشأن متطلبات الموافقة ، وشرح كيف يمكن للتعرف على الوجه أن يخلق تحديات. بالنسبة للتقنيات التي تستخدم التعرف على الوجه لتتبع الإدارة وحضور المجموعة ، فإن قواعد الموافقة غير واضحة. في حين أنه من السهل الحصول على الموافقة على أساس فردي ، فإن التقاط مئات الوجوه في حشد من الناس هو لعبة كرة أخرى كاملة. يبدو الحصول على الموافقة لهذا الأمر شبه مستحيل في هذه المرحلة.
استجاب أنيروده بالاقتراح الذي مفاده أنه ربما يمكنهم الاعتماد على أساس "الغرض المعقول" بموجب قانون حماية البيانات الشخصية ، بينما حذر من أنه سيكون معيارًا عاليًا إلى حد ما للوفاء به ، نظرًا لأن سلطة حماية البيانات هي فقط المخولة بإدراج ما يهم كغرض معقول ، والشركات ليست حرة في تحديد الأغراض المعقولة لأنفسهم. رد أحد أعضاء الجمهور على هذه الملاحظة قائلاً: "من المهم جدًا مراعاة تكاليف الامتثال. أخشى أن يتم تعريف المعايير بموجب هذا القانون بشكل فضفاض. كيف تقوم شركة يبلغ حجم مبيعاتها السنوية مليون دولار بتخصيص الأموال للامتثال؟ كيف تأخذ هذه التكلفة حيز التنفيذ في الأعمال التجارية؟ "
البيانات الشخصية الحساسة: تلبية معايير أعلى
تخضع معالجة البيانات التي تُعتبر "بيانات شخصية حساسة" (SPD) بموجب قانون حماية البيانات الشخصية إلى حد أعلى للموافقة من البيانات الشخصية. جميع كلمات المرور والبيانات المالية والبيانات الصحية والمعرفات الرسمية وبيانات القياسات الحيوية والبيانات الجينية والبيانات التي تشير إلى المعتقدات الدينية أو السياسية أو التوجه الجنسي أو حالة الطائفة / القبيلة تعتبر SPD بموجب قانون حماية البيانات الشخصية.
موصى به لك:
لا يمكن لرواد الأعمال إنشاء شركات ناشئة مستدامة وقابلة للتطوير من خلال 'Jugaad': المواطنون ...
كيف ستحول Metaverse صناعة السيارات الهندية
ماذا يعني توفير مكافحة الربح بالنسبة للشركات الهندية الناشئة؟
كيف تساعد الشركات الناشئة في تكنولوجيا التعليم في تطوير مهارات القوى العاملة في الهند وتصبح جاهزة للمستقبل ...
الأسهم التقنية في العصر الجديد هذا الأسبوع: مشاكل Zomato مستمرة ، EaseMyTrip تنشر Stro ...
تتخذ الشركات الهندية الناشئة اختصارات في مطاردة للتمويل
ستحتاج الشركات التي تجمع هذه البيانات أو تستخدمها إلى الحصول على موافقة صريحة من مستخدميها من أجل معالجة تلك البيانات - مما يعني أنه سيتعين عليهم إبلاغ المستخدمين بعواقب معالجة بياناتهم بالإضافة إلى الإشعار العادي ومتطلبات الموافقة.
وأوضح أنيروده أن هذا قد يكون له آثار غير عملية - إذا نشر المستخدمون على منصات التواصل الاجتماعي معلومات تكشف عن حياتهم الجنسية أو معتقداتهم الدينية أو معتقداتهم السياسية ، فسيتم اعتبار ذلك SPD ، وسيتعين أخذ الموافقة الصريحة لاستخدام تلك المعلومات. حتى المعلومات المتاحة مجانًا مثل الألقاب التي تكشف عن الطبقة الاجتماعية سيتم تسميتها SPD تحت هذا القانون.
تحديد الغرض والتحصيل: قيود على كيفية استثمار الشركات الناشئة للبيانات
بمجرد أن يدخل مشروع قانون حماية البيانات الشخصية حيز التنفيذ كقانون ، لن تتمكن الشركات الناشئة من جمع البيانات الشخصية إلا لأغراض واضحة ومحددة وقانونية ويتم إبلاغها مسبقًا. يمكنهم فقط جمع تلك البيانات الضرورية للمعالجة. وعلق نيها موضحًا الآثار المترتبة على هذا المطلب ، "يجب أن تكون الموافقة محددة الغرض. لا يمكنك إعادة غرض البيانات لاستخدام آخر دون إبلاغ المستخدم بهذا التغيير. " وافق أنيروده وأشار إلى أن هذا يمكن أن يكون ذا صلة خاصة بالمشاريع التجريبية التي تجمع البيانات دون غرض محدد ، على أمل تحقيق الدخل من تلك البيانات في وقت ما.
بموجب نظام الخصوصية الجديد ، يتعين على الشركات الناشئة توقع حالات الاستخدام وأغراض جمع البيانات وإبلاغ المستهلكين بها مسبقًا قبل معالجة أي بيانات ، للتأكد من أن موافقة المستخدم التي يحصلون عليها صالحة.
توطين البيانات: الآثار المحتملة
عند سؤالهم عن عدد الشركات التي قامت بتخزين البيانات على السحابة ، أجاب جميع الحاضرين تقريبًا بالإيجاب. اعتمد العديد من المشاركين على منصات الحوسبة السحابية العالمية مثل Google Cloud و Microsoft Azure و Amazon's AWS. وأوضحوا أن اختيارهم للمنصات السحابية تم تحديده من خلال استجابة الخدمة وزمن انتقال الخدمة السحابية وتوافر مراكز التعافي من الكوارث والكفاءة العامة. تسمح هذه الخدمات للشركات الناشئة بخفض التكاليف بشكل كبير حيث لا يتعين عليهم الاستثمار في كميات كبيرة من الأجهزة لتخزين بياناتهم.
قد يتأثر الوصول المجاني إلى منصات الحوسبة السحابية العالمية التي تتمتع بها الشركات الهندية الناشئة حاليًا بمتطلبات توطين البيانات بموجب قانون حماية البيانات الشخصية. كما أوضحت نيها ، فإن التوطين في مشروع القانون له جانبان. أولاً ، يجب تخزين نسخة واحدة على الأقل من جميع البيانات الشخصية في الهند. قد يكون من الصعب تفعيل هذا. ثانيًا ، هناك اقتطاع لـ "البيانات الشخصية الهامة" ، والتي لا يمكن تخزينها ومعالجتها إلا في الهند. البيانات الشخصية الهامة غير محددة حاليًا ، يتعين على الحكومة المركزية إخطار أنواع البيانات التي ستندرج تحت هذه الفئة. إحدى النظريات هي أن أنواعًا معينة من SPD ستُعتبر بيانات شخصية مهمة ، لكنها غير واضحة حتى الآن.
أشار أحد المشاركين ، وهو عالم بيانات يعمل مع شركة لتحليل البيانات ، إلى أن متطلبات تخزين البيانات الصارمة تؤدي إلى تكاليف كبيرة حتى بالنسبة للشركات الكبيرة ، وبالتالي ستتأثر الشركات الناشئة بشكل خاص بهذا الإجراء. فيما يتعلق بالعقوبات الصارمة والمسؤولية الجنائية المنصوص عليها في حالة عدم الامتثال لأحكام مشروع القانون ، أكد فيكاس تشوهان من 1MG أنه لا يمكننا أن يكون لدينا نظام يخشى فيه رواد الأعمال في مجال الصحة الرقمية من إدارة أعمال صحية رقمية والابتكار ، خوفًا من الملاحقة الجنائية. بالنسبة له ، يجب أن تكون العقوبة مالية ويجب أن تكون هناك مستويات مختلفة من المسؤولية للشركات التي تنتهك نفس الحكم بشكل متكرر. سيضمن ذلك ألا يواجه رواد الأعمال تهديدًا وجوديًا بسبب الجرائم الصغيرة.
كيف تتعامل الشركات الناشئة مع فاتورة حماية البيانات الشخصية؟
من الواضح أن نظام حماية البيانات الجديد سيكون له عواقب وخيمة على الشركات الناشئة والشركات التي ستستفيد من المشاركة في صياغة قانون حماية البيانات الشخصية. لحسن الحظ ، أطلقت وزارة الإلكترونيات وتكنولوجيا المعلومات (MeitY) دعوة عامة للتعليقات ، مع اقتراب الموعد النهائي سريعًا في 30 سبتمبر. نوصي جميع الشركات الناشئة التي تمتلك بيانات كبيرة بالرد بتعليقاتهم ، للتأكد من أن مخاوف الشركة الناشئة يتم تمثيل النظام البيئي على النحو الواجب أمام الوزارة.