Dialog — Mempersiapkan Startup India Untuk RUU Perlindungan Data Pribadi
Diterbitkan: 2018-09-28Ikigai Law, bekerja sama dengan Inc42 menyelenggarakan 'The Dialogue'
Ini adalah diskusi meja bundar tentang dampak RUU Perlindungan Data Pribadi
Diskusi difokuskan pada isu-isu kunci di bawah RUU, yaitu pemberitahuan baru dan persyaratan persetujuan; perlakuan terhadap data pribadi yang sensitif; dan banyak lagi
Awal tahun ini di bulan April, Reserve Bank of India (RBI) merilis surat edaran yang mengarahkan semua operator sistem pembayaran di negara itu untuk menyimpan data mereka secara eksklusif di India. Ketika batas waktu 15 Oktober untuk kepatuhan terhadap arahan RBI semakin dekat, jelas bahwa perusahaan India harus segera mengubah praktik pengumpulan dan pemrosesan data mereka. Dengan dikeluarkannya RUU Perlindungan Data Pribadi 2018 (RUU) pada bulan Agustus, kini menjadi penting bagi para pemangku kepentingan untuk mengantisipasi perubahan yang harus mereka terapkan jauh hari sebelumnya. Startup, khususnya, akan sangat terpengaruh oleh perubahan ini, karena mematuhi persyaratan privasi baru akan membutuhkan investasi waktu dan uang yang cukup besar.
Dalam rangka mempersiapkan startup untuk rezim privasi baru, Ikigai Law, bekerja sama dengan Inc42 telah menyelenggarakan The Dialogue – sesi meja bundar interaktif untuk membahas dampak RUU Perlindungan Data Pribadi dengan startup. Diskusi yang dipimpin oleh Anirudh Rastogi, Founder Ikigai Law; Nehaa Chaudhari, Pemimpin Kebijakan, Hukum Ikigai dan Vaibhav Agrawal, Pendiri dan CEO, Inc42 berfokus pada isu-isu utama di bawah RUU termasuk pemberitahuan baru dan persyaratan persetujuan; perlakuan terhadap data pribadi yang sensitif; tujuan dan batasan koleksi; dan lokalisasi data.
Persyaratan pemberitahuan dan persetujuan: Hal-hal yang harus diperhatikan
Membahas pemberitahuan dan praktik persetujuan baru yang diperlukan di bawah Undang-Undang Perlindungan Data Pribadi, dalam Dialog, Anirudh menekankan bahwa sebelumnya, kebijakan privasi biasanya dianggap enteng. Namun, persyaratan pemberitahuan baru di bawah RUU Perlindungan Data Pribadi sangat spesifik. Informasi harus diberikan kepada pengguna dengan cara yang sederhana dan komprehensif, bahkan dalam kasus bahasa daerah . Untuk startup yang terlibat dengan Internet of Things (“IoT”), perangkat akan membutuhkan layar untuk memberikan pemberitahuan, atau email harus dikirim secara real time. Ini mungkin menghalangi pengalaman pengguna untuk beberapa perangkat dan dapat memerlukan bolak-balik antara tim hukum dan UX/UI perusahaan selama pengembangan produk.
Menyuarakan keprihatinannya tentang persyaratan persetujuan, seorang peserta menjelaskan bagaimana pengenalan wajah dapat menciptakan tantangan. Untuk teknologi yang menggunakan pengenalan wajah untuk melacak manajemen dan kehadiran grup, aturan untuk persetujuan diburamkan. Meskipun mudah untuk mengambil persetujuan secara individu, menangkap ratusan wajah di tengah kerumunan adalah permainan bola lainnya. Menangkap persetujuan untuk ini tampaknya hampir mustahil pada tahap ini.
Anirudh menanggapi dengan saran bahwa mungkin mereka dapat mengandalkan dasar 'tujuan yang masuk akal' di bawah RUU Perlindungan Data Pribadi, sambil memperingatkan bahwa itu akan menjadi standar yang cukup tinggi untuk dipenuhi, karena hanya Otoritas Perlindungan Data yang diberdayakan untuk mencantumkan apa yang penting. sebagai tujuan yang wajar, dan bisnis tidak bebas menentukan tujuan yang wajar untuk diri mereka sendiri. Seorang anggota audiens menanggapi pengamatan ini dengan mengatakan, “Sangat penting untuk mempertimbangkan biaya kepatuhan. Saya khawatir standar di bawah RUU ini didefinisikan secara longgar. Bagaimana sebuah perusahaan dengan omset tahunan satu juta dolar menyisihkan uang untuk kepatuhan? Bagaimana Anda menerapkan biaya ini dalam bisnis?”
Data pribadi sensitif: Memenuhi standar yang lebih tinggi
Pemrosesan data yang dianggap 'data pribadi sensitif' (SPD) di bawah RUU Perlindungan Data Pribadi tunduk pada ambang batas persetujuan yang lebih tinggi daripada data pribadi. Semua kata sandi, data keuangan, data kesehatan, pengidentifikasi resmi, data biometrik, data genetik, data yang menunjukkan keyakinan agama atau politik, orientasi seksual atau status kasta/suku dianggap SPD berdasarkan RUU Perlindungan Data Pribadi.
Direkomendasikan untukmu:
Pengusaha Tidak Dapat Menciptakan Startup yang Berkelanjutan dan Skalabel Melalui 'Jugaad': Cit...
Bagaimana Metaverse Akan Mengubah Industri Otomotif India
Apa Arti Ketentuan Anti-Profiteering Bagi Startup India?
Bagaimana Startup Edtech Membantu Tenaga Kerja India Meningkatkan Keterampilan & Menjadi Siap Masa Depan...
Saham Teknologi Zaman Baru Minggu Ini: Masalah Zomato Berlanjut, EaseMyTrip Posting Stro...
Startup India Mengambil Jalan Pintas Dalam Mengejar Pendanaan
Perusahaan yang mengumpulkan atau menggunakan data ini perlu mendapatkan persetujuan eksplisit dari penggunanya untuk memproses data tersebut – artinya mereka harus memberi tahu pengguna tentang konsekuensi pemrosesan data mereka selain pemberitahuan reguler dan persyaratan persetujuan.
Anirudh menjelaskan bahwa ini dapat memiliki implikasi yang tidak praktis – jika pengguna di platform media sosial memposting informasi yang mengungkapkan seksualitas, keyakinan agama, atau keyakinan politik mereka, itu akan dianggap sebagai SPD, dan persetujuan eksplisit harus diambil untuk penggunaan informasi tersebut. Bahkan informasi yang tersedia secara bebas seperti nama keluarga yang mengungkapkan kasta akan diberi label SPD di bawah RUU ini.
Batasan tujuan dan pengumpulan: Batasan cara startup dapat memonetisasi data
Setelah RUU Perlindungan Data Pribadi berlaku sebagai undang-undang, perusahaan rintisan hanya dapat mengumpulkan data pribadi untuk tujuan yang jelas, spesifik, sah, dan dikomunikasikan sebelumnya. Mereka hanya dapat mengumpulkan data yang diperlukan untuk diproses. Menjelaskan implikasi dari persyaratan ini, Nehaa berkomentar, “Persetujuan harus memiliki tujuan yang spesifik. Anda tidak dapat menggunakan kembali data untuk penggunaan lain tanpa memberi tahu pengguna tentang perubahan itu.” Anirudh setuju dan menunjukkan bahwa ini bisa sangat relevan untuk proyek percontohan yang mengumpulkan data tanpa tujuan yang pasti, dengan harapan dapat memonetisasi data tersebut pada suatu saat.
Di bawah rezim privasi baru, perusahaan rintisan harus mengantisipasi dan memberi tahu konsumen tentang kasus penggunaan dan tujuan pengumpulan data terlebih dahulu sebelum memproses data apa pun, untuk memastikan bahwa persetujuan pengguna yang mereka peroleh adalah valid.
Lokalisasi data: Kemungkinan efek
Saat ditanya berapa banyak perusahaan yang menyimpan data di cloud, hampir semua orang yang hadir menjawab setuju. Banyak peserta mengandalkan platform komputasi awan global seperti Google Cloud, Microsoft Azure, dan AWS Amazon. Mereka menjelaskan bahwa pilihan platform cloud mereka ditentukan oleh respons layanan, latensi layanan cloud, ketersediaan pusat pemulihan bencana, dan efisiensi secara keseluruhan. Layanan ini memungkinkan perusahaan rintisan untuk memangkas biaya secara signifikan karena mereka tidak perlu berinvestasi dalam jumlah besar perangkat keras untuk menyimpan data mereka.
Akses gratis ke platform komputasi awan global yang saat ini dinikmati oleh perusahaan rintisan India mungkin terpengaruh oleh persyaratan pelokalan data berdasarkan RUU Perlindungan Data Pribadi. Seperti yang dijelaskan Nehaa, lokalisasi dalam RUU tersebut memiliki dua aspek. Pertama, setidaknya satu salinan dari semua data pribadi harus disimpan di India. Ini mungkin sulit untuk dioperasionalkan. Kedua, ada pengukiran untuk 'data pribadi kritis', yang hanya dapat disimpan dan diproses di India. Data pribadi penting saat ini belum ditentukan, Pemerintah Pusat harus memberi tahu jenis data yang termasuk dalam kategori ini. Satu teori adalah bahwa jenis SPD tertentu akan dianggap sebagai data pribadi yang penting, tetapi masih belum jelas.
Salah satu peserta, seorang ilmuwan data yang bekerja dengan perusahaan analitik data, menunjukkan bahwa persyaratan penyimpanan data yang ketat menyebabkan biaya yang signifikan bahkan untuk perusahaan besar, sehingga perusahaan rintisan akan sangat terpengaruh oleh tindakan ini. Mengenai hukuman berat dan pertanggungjawaban pidana yang ditentukan untuk ketidakpatuhan terhadap ketentuan RUU, Vikas Chauhan dari 1MG menekankan bahwa kita tidak dapat memiliki sistem di mana pengusaha kesehatan digital takut untuk mengoperasikan bisnis kesehatan digital dan berinovasi, karena takut akan tuntutan pidana. Menurutnya, hukuman harus bersifat finansial dan harus ada tingkat tanggung jawab yang berbeda bagi perusahaan yang melanggar ketentuan yang sama berulang kali. Ini akan memastikan bahwa pengusaha tidak menghadapi ancaman eksistensial untuk pelanggaran kecil.
Bagaimana startup terlibat dengan RUU Perlindungan Data Pribadi?
Jelas bahwa rezim perlindungan data baru akan memiliki konsekuensi signifikan bagi perusahaan rintisan dan bisnis akan mendapat manfaat dari keterlibatan dalam pembentukan RUU Perlindungan Data Pribadi. Untungnya, Kementerian Elektronika dan Teknologi Informasi (MeitY) telah membuat panggilan publik untuk memberikan komentar, dengan tenggat waktu yang semakin dekat pada 30 September. Kami menyarankan semua startup yang banyak data untuk menanggapi dengan komentar mereka, untuk memastikan bahwa kekhawatiran startup ekosistem sepatutnya terwakili sebelum MeitY.