Ashwini Vaishnaw, de IT-minister van India, heeft donderdag opnieuw een bijgewerkte wet op de privacy van gegevens ingediend in het lagerhuis van het Indiase parlement, maanden na de introductie van het laatste ontwerp en de abrupte intrekking van een eerder voorstel vorig jaar na terugdringing van technische reuzen, zelfs zoveel leden protesteerden tegen het nieuwe wetsvoorstel en beweerden dat het het recht op privacy schond.
De wet, getiteld de Digital Personal Data Protection Bill, beoogt substantiële beslissingsbevoegdheden te verlenen aan de door premier Narendra Modi geleide regering. Deze bevoegdheden omvatten de mogelijkheid om bepaalde gegevensbeheerders, inclusief startups, af te zien van naleving als dat nodig is. Ze kunnen ook toestaan dat er met gegevens van kinderen wordt omgegaan, op voorwaarde dat de vertrouwenspersoon adequate beschermingsmaatregelen kan aantonen.
De overheid heeft verder de bevoegdheid om landen aan te wijzen waarnaar de doorgifte van persoonsgegevens van gebruikers verboden is. Deze bepaling wijzigt het eerdere ontwerp van het wetsvoorstel, waarin werd voorgesteld om gegevensoverdracht naar “aangemelde landen en gebieden” toe te staan.
Daarnaast biedt de wetgeving rechtsbescherming voor de Rijksoverheid, de Raad voor de Gegevensbescherming en haar leden, waaronder de voorzitter, door hen te beschermen tegen rechtszaken.
De wet schrijft voor dat de rijksoverheid verantwoordelijk is voor het instellen van het College Bescherming Persoonsgegevens. De regering benoemt ook de leden en de voorzitter van de raad, elk voor een eerste termijn van twee jaar. Het wetsvoorstel schetst dat een lid van de raad voor gegevensbescherming alleen kan aftreden door middel van een schriftelijke kennisgeving aan de regering. Dit ontslag wordt van kracht drie maanden na indiening, na goedkeuring door de regering, of zodra een nieuwe opvolger is benoemd of de bestaande termijn afloopt.
De wetgeving stelt personen in staat hun problemen met gegevensbescherming voor te leggen aan het bestuur als ze binnen de vastgestelde periode van zeven dagen geen adequaat antwoord van de gegevensbeheerder ontvangen. Het is ook een vereiste voor het publiek om alleen echte persoonlijke informatie te verstrekken en zich niet voor te doen als anderen. Niet-naleving van de in de wet vermelde taken kan leiden tot boetes voor individuen, met boetes die kunnen oplopen tot $121 (10.000 Indiase roepies). Voor een gegevensbeheerder die de wet overtreedt, kunnen boetes oplopen tot $ 30 miljoen (250 crores Indiase roepie).
Tegen beslissingen van de gegevensbeschermingsraad kan binnen 60 dagen beroep worden aangetekend bij de Telecom Disputes Settlement and Appellate Tribunal voor herziening, aldus het wetsvoorstel.
Bedrijven die gebruikersgegevens verzamelen om expliciete toestemming van gebruikers te verkrijgen, volgens de rekening. De verzoeken om toestemming moeten in eenvoudige taal worden meegedeeld. Consumenten kunnen hun toestemming ook later weer intrekken. Verder bevat het wetsvoorstel een voorziening voor het instellen van een klachtenherstelmechanisme via toestemmingsmanagers die gebruikers kunnen helpen hun toestemming te geven, beheren, beoordelen en intrekken.
Het wetsvoorstel bevat echter “bepaald legitiem gebruik” als vrijstelling van de vereiste om toestemming van de gebruiker te vragen. Dit is een update van de bepaling “deemed consent” die beschikbaar was in de laatste versie van het wetsvoorstel. Hiermee kunnen platforms persoonlijke gebruikersgegevens verzamelen wanneer deze vrijwillig worden verstrekt, bijvoorbeeld bij toegang tot openbare diensten. De overheid kan ook toegang krijgen tot persoonsgegevens van platforms in deze voorziening voor het verstrekken van subsidies of het uitvoeren van wettelijk verplichte functies.
Kamlesh Shekhar, een programmamanager bij The Dialogue, een denktank op het gebied van openbaar beleid in New Delhi, vertelde TechCrunch, hoewel de afwijking van veronderstelde toestemming positief is, het belangrijk is om redenen van noodzaak vast te stellen en het bestaan van legitiem belang te waarborgen. Een toetsing van de balans tussen de belangen van de verantwoordelijke voor de verwerking en de grondrechten van de gegevensprincipaal moet worden opgenomen in de regels die de rijksoverheid voorschrijft, voegde hij eraan toe. Bovendien moeten de regels met betrekking tot het verstrekken van toestemmingsmanagers in overeenstemming zijn met de voorschriften voor toestemmingsmanagers in andere industrieën om misbruik van mazen in het systeem te voorkomen, zei hij.
India’s benadering van gegevensprivacy verschilt van de Europese AVG en de Amerikaanse CCPA (California Consumer Privacy Act), aangezien de wetgeving geen forse boetes bevat en de federale overheid de bevoegdheid geeft om regels in specifieke gevallen te wijzigen.
In een openbaar videoadres uitgegeven Nadat het wetsvoorstel in het parlement was ingediend, noemde Rajeev Chandrasekhar, een IT-minister in de regering, de stap een “zeer belangrijke mijlpaal in de evolutie van het wereldwijde standaardkader voor cyberwetgeving”. De minister zei dat het wetsvoorstel het verplicht stelt voor bedrijven die persoonlijke gegevens verzamelen en gebruiken om zich aan de wet te houden en niet om “vreemde informatie” mogen vragen die niet relevant is voor de dienst of het product dat de gebruiker ontvangt. Het wetsvoorstel bevat ook de principes van gegevensminimalisatie, gegevensbescherming en verantwoording, nauwkeurige gegevensopslag en verplichte melding van inbreuken.
De Zuid-Aziatische natie begon in 2017 met het bekijken van gegevensbescherming. Twee jaar later ontving het Indiase parlement in 2019 de eerste wet op de bescherming van persoonsgegevens. Deze werd vorig jaar echter ingetrokken na kritiek en kritiek van privacyadvocaten en technologiebedrijven, waaronder Amazon. , Google en Meta over het verstrekken van vrijstellingen aan overheidsdiensten en het beperken van de reikwijdte van het beschermen van gebruikersgegevens.
“Het is al vele, vele jaren bekend, en het is geen geheim dat veel platforms en veel bedrijven of veel gegevensbeheerders persoonlijke gegevens van individuele burgers verzamelen. Het is niet alleen in India, maar over de hele wereld, en ze hebben die persoonlijke gegevens uitgebuit voor hun eigen bedrijfsmodellen, algoritmen en vele andere manieren,’ zei Chandrasekhar. “Narendra Modiji de regering kwam in actie om een wetgevingskader te creëren dat de rechten van de burgers beschermt, een omgeving creëert waarin het innovatie-ecosysteem en startups kunnen blijven werken met vangrails die in dat soort kaders verder gaan.
Hoewel de wet op de privacy van gegevens moet worden goedgekeurd door het hogerhuis van het parlement en de Indiase president om een wet te worden, heeft het enige kritiek gekregen van de politieke oppositiepartijen. Een van hun zorgen is het toekennen van “buitensporige” bevoegdheden aan de centrale overheid. Deskundigen op het gebied van overheidsbeleid hebben dat ook bekritiseerd de regering wegens het niet openbaar maken van de reacties op de openbare raadpleging over het ontwerp van de wet inzake gegevensbescherming.
Shashi Tharoor, een leider van de belangrijkste congrespartij van de oppositie, voerde aan dat het wetsvoorstel verschillende keren was gewijzigd en voor een alomvattende beoordeling naar de vaste parlementaire commissie moest worden gestuurd.
Belangenbehartigingsgroep voor digitale rechten Internet Freedom Foundation gezegd de wet inzake gegevensbescherming voldoet niet aan belangrijke principes, zoals de uitspraak van justitie KS Puttaswamy, waarin werd vastgesteld dat informationele privacy een cruciaal aspect is van het recht op privacy. De groep zei dat het wetsvoorstel de vrijstellingen voor overheidsinstanties die kunnen leiden tot meer staatstoezicht verder uitbreidt en duidelijke bepalingen mist over essentiële kwesties “die zijn overgelaten aan toekomstige uitvoerende regelgeving”. De wetgevende stap zal ook de Right to Information Act, 2005, aanzienlijk verzwakken, voegde het eraan toe.
“De DPDPB (Wet op de bescherming van digitale persoonsgegevens), 2023 herhaalt de tekortkomingen van de DPDPB, 2022 en slaagt er niet in om een aantal van de zinvolle aanbevelingen die tijdens het raadplegingsproces zijn gedaan, die vervolgens door de relevante belanghebbenden openbaar zijn gemaakt, in te prenten. We dringen er bij de regering van de Unie sterk op aan om de talrijke terugkerende problemen aan te pakken met opeenvolgende iteraties die door belanghebbenden uit het maatschappelijk middenveld naar voren zijn gebracht. In zijn huidige vorm biedt de DPDPB 2023 onvoldoende bescherming van het recht op privacy en mag het niet worden uitgevoerd”, aldus de groep.
Source link: https://techcrunch.com/2023/08/03/india-digital-personal-data-protection-bill-2023/
