KAP Tasarısı Kapsamında Verilerin Sınıflandırılması: Yeni Başlayanlar İçin Etkileri
Yayınlanan: 2020-03-13Aralık 2019'da parlamentoya sunulan KAP Tasarısı, kişisel, hassas kişisel ve kritik kişisel verilerin sınıflandırılmasında netlikten yoksundur.
Bu kadar net olmayan bir kategorizasyon, kullanıcıları yalnızca daha büyük gizlilik risklerine maruz bırakmakla kalmıyor, aynı zamanda Hintli girişimlerin veri işleme faaliyetlerini de etkiliyor.
Tasarı şu anda parlamenterlerden oluşan ortak bir komite tarafından inceleniyor
11 Aralık 2019'da Parlamento'ya sunulan Kişisel Verilerin Korunması (KAP) Tasarısı, Hindistan'ın dijital ekonomisinin geleceği ve vatandaşları için mahremiyetin korunması için bir mihenk taşı olarak tasarlanmıştır.
Ancak, verileri kişisel veri (PD), hassas kişisel veri (SPD) ve kritik kişisel veri (CPD) olarak sınıflandırması bu beklenti ile tutarsızdır. Endişeler, her bir kategori altında hangi verilerin uygun olduğuna dair netliğin olmamasından kaynaklanıyor ve gerekli önlemleri almak için gerekli görünürlüğe sahip olmayan şirketler için belirsizlikler ve zorluklar yaratıyor.
Buna karşılık, verilerin net olmayan bir şekilde sınıflandırılması, veri koruması için uygun güvenlik kontrollerinin belirlenmesini engelleyerek kullanıcıları gizlilik risklerine maruz bırakır. Parlamenterlerden oluşan ortak bir komite tasarıyı incelerken, bu kategorizasyonun özellikle yeni kurulan şirketler üzerindeki etkileri dikkatle değerlendirilmelidir.
Hassas Kişisel Veriler İçin Geniş Bir Tanım
Kişisel veri SPD'nin bir alt kümesi, finansal veriler, sağlık verileri, biyometrik veriler, genetik veriler, dini/siyasi inançlar/cinsel yönelim veya kast/kabile durumunu gösteren verilerden oluşur. Bu listenin yarattığı düzenleyici belirsizlik, örneğin, kast veya dini ifşa eden tüm mali verileri/verileri SPD olarak ele almak, sınır ötesi aktarımlar ve verilerin işlenmesi konusunda ek kısıtlamalar getirebileceği gibi zorluklar yaratabilir.
'Finansal veriler', KAP Tasarısı kapsamında geniş bir şekilde tanımlanmaya devam etmektedir. Örneğin, finansal hizmet sunan şirketler tarafından toplanan isimler SPD olarak sınıflandırılabilir. Ayrıca, 'finansal veriler' kapsamında eşler arası işlemler için gerekli ödeme tanımlayıcılarının dahil edilmesi, kullanıcıların faturanın SPD yükümlülüklerine uymasını gerektirecektir. Ayrıca risk yönetimi ve dolandırıcılık tespiti gibi işlemler için de sorun teşkil etmesi kaçınılmazdır. Ayrıca, sağlık verilerinin ve biyometrik verilerin dahil edilmesi de sorunludur.
Görünüşte, biyometrik verilerin tanımı sesle etkinleştirilen yardımcı hizmetleri etkileyebilirken, sağlık verileri, diğerlerinin yanı sıra teşhis hizmetleri sunan ve aynı zamanda beslenme önerileri sunan girişimlerin uygulamalarını değiştirmek zorunda.
SPD sınıflandırması ayrıca, soyadlar gibi kamuya açık bilgilerin veya siyasi/dini bilgileri ortaya çıkaran herhangi bir bilginin günlük kullanımı için pratik olmayan bir etkiye sahip olabilir. Örneğin, şirketler, SPD'yi işlemek için bir kullanıcının açık rızasını gerektirir - yani, düzenli bildirim ve izin gereksinimlerine ek olarak, verilerinin işlenmesinin sonuçları hakkında onları bilgilendirmek zorunda kalacaklardır.
Sizin için tavsiye edilen:
RBI'nin Hesap Toplayıcı Çerçevesi Hindistan'da Fintech'i Dönüştürmek İçin Nasıl Ayarlandı?
Girişimciler 'Jugaad' Yoluyla Sürdürülebilir, Ölçeklenebilir Girişimler Yaratamaz: Cit...
Metaverse Hindistan Otomobil Endüstrisini Nasıl Dönüştürecek?
Anti-Profiteing Hükmü Hintli Startuplar İçin Ne Anlama Geliyor?
Edtech Startup'ları Hindistan'ın İşgücünün Becerilerini Geliştirmesine ve Geleceğe Hazır Olmasına Nasıl Yardımcı Oluyor?
Bu Hafta Yeni Çağ Teknoloji Hisseleri: Zomato'nun Sorunları Devam Ediyor, EaseMyTrip Gönderileri Stro...
Bu nedenle Hindistan gibi bir ülkede, kast/dini ortaya çıkaran bir kişinin adını toplayan şirketler, yasa tasarısı kapsamındaki tüm SPD gerekliliklerine uymak zorunda kalacaklar. Öte yandan, SPD listesini AB'nin GDPR'si doğrultusunda kısaltmak veya hatta SPD'yi işleme 'amacı' tarafından taşınan spesifik risk temelinde kategorize etmek bu endişeleri azaltabilir.
Düzenleyici Belirsizlik Uyumluluğu Zorlaştırabilir
KAP Tasarısı ne CPD'yi tanımlar ne de bu sınıflandırma için bir temel sağlar. Ayrıca, merkezi hükümete yeni SPD kategorilerini bildirme yetkisi verir. Bu hükümlerin her ikisi de düzenleyici belirsizlik yaratır ve uyumu zorlaştırır. Herhangi bir net kriterin olmaması, bu belirsizliği sadece daha da artırıyor - özellikle de kanunda tanımlanmamış olsa da buna bağlı olarak daha yüksek uyumluluğa sahip bir tür veriyi toplama konusunda endişeli olan küçük şirketler için.
Merkezi hükümetin belirli bir rehberlik olmaksızın CPD'yi belirlemesine izin vermek, onu gerçekleştirmek için gerekli uzmanlığa sahip olmayabileceği aşırı yetkilerle donatır. En endişe verici nokta, sınıflandırma sürecinde veri koruma yetkilisine (DPA) veya sektöre danışmak gerekmeyecek, bu da iş öngörülebilirliğini ciddi şekilde caydıracak ve kötüye kullanımla ilgili endişelere yol açacaktır.
Ancak, merkezi hükümetin CPD'yi (ve yeni SPD kategorilerini) bilgilendirmeden önce şeffaf DPA ve sektör danışmanlığı yürütmesini zorunlu kılmak bu endişeleri giderebilir. Meslektaşlarımın daha önce yazdığı gibi, yasa yapmada daha fazla şeffaflık, işletmelerin plan yapmasına ve geleceğe hazır olmasına olanak tanırken, şeffaf olmayan yasa yapma süreçleri, pahalı davalarla sonuçlanan pazara giriş engelleri olarak hareket etme eğilimindedir.
Sınır Ötesi Transferlere İlişkin Kısıtlamalar
SPD'nin geniş tanımı, pratik olarak Hindistan'da hemen hemen her türlü veriyi depolama gereksinimi ile sonuçlanır. Ayrıca, çoğu veri hem PD hem de SPD'den oluşan karma bir veri kümesi olarak toplanıp saklandığından, SPD veya PD'yi bu tür veri kümelerinden ayırmak pratik olmayacaktır. Bu kısıtlamalar, denizaşırı kuruluşlarla veri paylaşması gereken veya küresel olarak genişlemeyi planlayan, kâr marjlarını azaltabilecek, üretkenliği azaltabilecek ve rekabet gücünü zayıflatabilecek girişimlerin faaliyetlerini engelleyecektir.
Ancak, SPD'nin aktarımı zaten düzenlenmiş olduğundan, yerel depolama kısıtlamaları seyreltilebilir. Ayrıca, KAP Tasarısının 'izin verilen' ülkelere veri aktarımına izin verdiği göz önüne alındığında, ikili ve çok taraflı veri aktarım çerçeveleri teşvik edilmelidir.
Sonuç olarak, SPD ve CPD tanımlarındaki belirsizlik ve bu tanımlara dayalı kısıtlamalar, iş faaliyetlerini ve uyum önlemlerini planlayan şirketler için ciddi bir kısıt oluşturmakta ve bu da kullanıcı gizliliğinin sulanmasına neden olmaktadır. Bunun yerine, mevcut sınıflandırmanın açık uçlu yapısını azaltmak için, yasa tasarısı, sağlam endüstri danışmanlığına dayalı sınıflandırma için net kriterlerin geliştirilmesine olanak sağlamalıdır.
Ayrıca, ek SPD ve CPD kategorileri ancak paydaş girdileri alındıktan sonra bildirilmelidir. Danışmanlık yaklaşımlarının endüstri güvenini ve katılımı artırması, iyi bilgilendirilmiş bir düzenleyici kurum oluşturması ve çok yönlü hesap verebilirliği artırması muhtemeldir.