Bagaimana Nasib Rekomendasi TRAI Dan Surat Edaran RBI Setelah RUU PDP Disahkan?

Sekitar 10 hari yang lalu, Komite Ahli yang diketuai oleh Hakim Srikrishna (Komite Srikrishna), yang ditunjuk oleh Kementerian Elektronika dan Teknologi Informasi (MeitY) tahun lalu, merilis rekomendasi terakhirnya tentang seperti apa seharusnya kerangka perlindungan data India. Ia juga merilis RUU Perlindungan Data Pribadi 2018, (RUU PDP).

Dalam bagian ini, saya menyandingkan RUU PDP dengan rekomendasi Otoritas Regulasi Telekomunikasi India (TRAI) tentang privasi dan kepemilikan data dan diktat Reserve Bank of India (RBI) tentang pelokalan data sistem pembayaran. (Lihat di sini dan di sini untuk kumpulan artikel tentang aspek lain dari RUU PDP).

Jadi, menurut Anda, apa yang akan terjadi pada edaran RBI dan rekomendasi TRAI ketika (versi apapun) RUU PDP disahkan? Mari kita mulai dengan beberapa sejarah baru-baru ini.

Pada Juli 2017, pemerintah India menugaskan Komite Srikrishna untuk mengembangkan undang-undang perlindungan data yang komprehensif untuk India. Komite kemudian merilis buku putih untuk komentar publik, dan kemudian, pada Januari 2018, melakukan empat konsultasi publik – masing-masing di Delhi, Bangalore, Hyderabad, dan Mumbai. Enam bulan kemudian, mengakhiri semua spekulasi seputar waktu pembebasan mereka, Komite keluar dengan rekomendasi akhir dan RUU PDP. Sementara itu, pada Agustus 2017, TRAI memulai konsultasinya sendiri tentang privasi, keamanan data, dan kepemilikan data di sektor telekomunikasi. Pertimbangan TRAI berjalan paralel dengan latihan Komite Srikrishna sendiri, dan memuncak dengan regulator telekomunikasi merilis rekomendasi privasinya pada 16 Juli 2018, kurang dari dua minggu sebelum Komite Srikrishna merilisnya sendiri.

TRAI bukan satu-satunya regulator yang ikut-ikutan dalam perlindungan data, sambil menunggu rilis rekomendasi akhir Komite Srikrishna. Pada bulan April, awal tahun ini, regulator keuangan negara - RBI - mengamanatkan bahwa data sistem pembayaran dilokalkan, yang berarti harus disimpan hanya di India. Sementara rekomendasi TRAI hanya itu — rekomendasi — mandat RBI segera berlaku. Penyedia sistem pembayaran memiliki waktu hingga 15 Oktober 2018, untuk mematuhi norma dan memberi tahu RBI tentang kepatuhan mereka.

Tindakan TRAI dan RBI tidak sejalan dengan Komite Srikrishna. Segera setelah TRAI merilis rekomendasinya, dilaporkan bahwa Komite kecewa dengan waktu langkah regulator telekomunikasi, karena akan menunda rilis rekomendasi akhirnya sendiri. Mengenai langkah RBI, pada konferensi pers untuk merilis rekomendasi akhir Komite, Hakim Srikrishna berpendapat bahwa regulator keuangan telah melompat pistol dengan surat edarannya. Ketidaksenangan Komite dengan TRAI dan RBI samping, regulator sektoral akan memainkan peran kunci dalam memajukan kerangka perlindungan data India. Hakim Srikrishna sendiri sebelumnya telah mengakui hal ini.

Direkomendasikan untukmu:

Berita

Pengusaha Tidak Dapat Menciptakan Startup yang Berkelanjutan dan Skalabel Melalui 'Jugaad': Cit...

Jaspreet K.

31 Juli 2022

Sumber daya

Bagaimana Metaverse Akan Mengubah Industri Otomotif India

Vaibhav S.

31 Juli 2022

Sumber daya

Apa Arti Ketentuan Anti-Profiteering Bagi Startup India?

Charnya L.

31 Juli 2022

Sumber daya

Bagaimana Startup Edtech Membantu Tenaga Kerja India Meningkatkan Keterampilan & Menjadi Siap Masa Depan...

Ankush S.

31 Juli 2022

Berita

Saham Teknologi Zaman Baru Minggu Ini: Masalah Zomato Berlanjut, EaseMyTrip Posting Stro...

Tapanjana R.

31 Juli 2022

Fitur

Startup India Mengambil Jalan Pintas Dalam Mengejar Pendanaan

Nikhil S.

31 Juli 2022

RUU PDP hanyalah langkah pertama menuju pengembangan kerangka kerja perlindungan data yang komprehensif untuk India. Regulator sektoral, termasuk TRAI dan RBI, tidak diragukan lagi akan memainkan peran kunci dalam mengoperasionalkan RUU PDP dan mengembangkan prinsip dan norma privasi untuk sektor masing-masing. Sementara RUU PDP membayangkan pembentukan otoritas baru — Otoritas Perlindungan Data — untuk mengawasi pelaksanaan undang-undang tersebut, RUU ini juga mengharuskan otoritas ini untuk berkonsultasi dan bekerja dengan regulator sektoral lainnya.

Mengingat RUU PDP akan menjadi undang-undang induk, tindakan apa pun yang dilakukan TRAI, RBI, atau regulator lainnya dalam perlindungan data harus sesuai dengan ketentuannya. Setiap tindakan oleh regulator yang tidak sesuai dengan undang-undang induk ketika mulai berlaku harus ditinjau kembali. Dengan pemikiran ini, tidak mungkin bahwa rekomendasi privasi TRAI yang luas, yang memperluas yurisdiksinya ke luar telekomunikasi, akan diterjemahkan ke dalam peraturan konkret dalam bentuknya saat ini. “Ekosistem digital” yang dibicarakan oleh regulator telekomunikasi tentang pengaturan akan, dalam hal apa pun, tunduk pada undang-undang perlindungan data negara tersebut.

Apakah TRAI Memperluas Yurisdiksinya?

Upaya TRAI untuk memperluas yurisdiksinya bukanlah hal baru, dan dapat ditelusuri kembali setidaknya hingga 2008, ketika pertama kali mencoba mengatur “layanan bernilai tambah”. Dalam dekade terakhir, upaya untuk mengatur lebih dari sekadar telekomunikasi terus berlanjut, meskipun terminologinya telah berubah — “layanan bernilai tambah” telah menjadi “layanan aplikasi”, “layanan over-the-top”, dan sekarang, “layanan digital ekosistem”.

Rekomendasi privasi TRAI - upaya terbarunya untuk mengatur secara berlebihan - berbeda dari RUU PDP di bidang-bidang utama tertentu.

Dalam pandangan TRAI, pengguna memiliki informasi pribadi mereka, dan pengontrol data (disebut fidusia data di bawah RUU PDP) adalah “penjaga belaka” dari data ini. RUU PDP tidak memberikan hak kepemilikan kepada pengguna, tetapi menciptakan hubungan fidusia antara fidusia data dan pengguna, sehingga yang pertama diharuskan untuk bertindak demi kepentingan terbaik yang terakhir.

Lebih lanjut, sementara RUU PDP hanya meminta pertanggungjawaban fidusia data berdasarkan undang-undang, dan pemroses data hanya dalam kondisi tertentu, TRAI berpandangan bahwa pengontrol dan pemroses harus bertanggung jawab. Rekomendasi TRAI dan RUU PDP juga berbeda dalam hal lokalisasi data. Regulator telekomunikasi belum membuat rekomendasi konkrit tentang masalah ini, dan telah menunda Komite Srikrishna.

Di sisi lain, RUU PDP menetapkan tingkat pelokalan data yang berbeda untuk kategori data yang berbeda, dan mengamanatkan bahwa data pribadi yang penting akan disimpan dan diproses hanya di India. Menariknya, rancangan undang-undang tersebut tidak merinci apa itu data pribadi penting, dan menyerahkannya kepada pemerintah pusat untuk mendefinisikannya. Kemungkinan pemerintah akan menetapkan data telekomunikasi sebagai data pribadi yang penting.

Berbeda dengan rekomendasi TRAI, edaran RBI tampaknya secara garis besar sejalan dengan RUU PDP. Namun, kurangnya kejelasan tentang apa yang dimaksud dengan data pribadi penting juga merupakan masalah untuk informasi keuangan. Sama seperti data telekomunikasi, kemungkinan besar pemerintah akan menetapkan data keuangan sebagai data pribadi yang penting. Jika demikian halnya, maka semua data keuangan, dan bukan hanya data sistem pembayaran, perlu disimpan dan diproses secara lokal hanya di India.

RUU PDP kemungkinan akan diubah sebelum disahkan menjadi undang-undang. Bagaimanapun bentuk final dari undang-undang tersebut, fakta bahwa regulator sektoral memiliki peran penting dalam membentuk undang-undang perlindungan data India tetap tidak berubah.