قانون حماية البيانات الشخصية الرقمية في الهند لعام 2023: معلم للخصوصية الرقمية

نشرت: 2023-09-21

ينطبق قانون حماية البيانات الشخصية الرقمية الجديد في الهند لعام 2023 على أي منظمة أو شركة تشارك في جمع البيانات الشخصية أو إدارتها. لا يغطي القانون معالجة البيانات داخل الهند فقط؛ كما أن لديها سلطة على معالجة البيانات التي تتم خارج الهند.

حقق المشهد التكنولوجي سريع التطور في الهند إنجازًا هامًا من خلال تقديم مشروع قانون حماية البيانات الشخصية الرقمية (DPDP) وإقراره لاحقًا في عام 2022. وقد حصل هذا التشريع المحوري على موافقة مجلس الوزراء الاتحادي في 5 يوليو وتم تقديمه خلال جلسة البرلمان الموسمية. ، والتي بدأت في 20 يوليو 2023. وانتقلت بسرعة عبر العملية التشريعية، وحصلت على موافقة كل من مجلس النواب (لوك سابها) في 7 أغسطس ومجلس الشيوخ (راجيا سابها) في 9 أغسطس.

مع الحصول على موافقة الرئيس الرسمية في 11 أغسطس 2023، كما هو موضح في إشعار الجريدة الرسمية لحكومة الهند، تحول مشروع قانون حماية البيانات الشخصية الرقمية لعام 2022 رسميًا إلى قانون حماية البيانات الشخصية الرقمية لعام 2023.

ويمتد نطاق قانون حماية البيانات الشخصية الرقمية لعام 2023 إلى ما هو أبعد من حدود الهند، ليشمل معالجة البيانات الشخصية الرقمية حتى عند إجرائها في الخارج.

قام السيد راجارشي بهاتاشاريا، رئيس مجلس الإدارة والعضو المنتدب لشركة ProcessIT Global ، بمقارنة القانون باللائحة العامة الحالية لحماية البيانات (GDPR) للاتحاد الأوروبي (EU). وقال: "إنها أكثر تقدمًا لأن اللائحة العامة لحماية البيانات (GDPR) صدرت منذ بعض الوقت. هذه السياسة أكثر تقدما وشمولا، الأمر الذي سيعزز تقدم الهند.

راجارشي بهاتاشاريا: المرونة السيبرانية، والسياسة الحكومية، ورؤى أمن البيانات
احصل على رؤى قيمة من Rajarshi Bhattacharyya من ProcessIT Global وهو يتعمق في مجالات المرونة السيبرانية، والآثار المترتبة على السياسات الحكومية، والجوانب الحاسمة لأمن البيانات في المشهد الرقمي اليوم.
سايانتان موندال StartupTalky

وفقًا لتقرير تعاوني صادر عن منظمة الصناعة IAMAI وشركة تحليلات بيانات السوق Kantar، المعروفة باسم "تقرير الإنترنت في الهند 2022"، تم الكشف عن أن أكثر من نصف سكان الهند، البالغ عددهم 759 مليون فرد، يستخدمون الإنترنت بنشاط، الوصول إليه مرة واحدة على الأقل شهريًا خلال عام 2022. ويسلط التقرير الضوء أيضًا على أنه من بين هؤلاء المستخدمين النشطين، يقيم 399 مليونًا في المناطق الريفية في الهند، وهو ما يتجاوز 360 مليون مستخدم في المناطق الحضرية. يشير هذا إلى أن التوسع في الإنترنت في البلاد يتم دفعه بشكل أساسي من خلال المناطق الريفية في الهند.

قانون حماية البيانات الجديد يؤكد على أخلاقيات الذكاء الاصطناعي والوصول العالمي
التزامات الجهات
حقوقك وواجباتك فيما يتعلق ببياناتك الشخصية
قطاع الرعاية الصحية يستعد للتأثير

قانون حماية البيانات الجديد يؤكد على أخلاقيات الذكاء الاصطناعي والوصول العالمي

قالت ديبيكا لوغاناثان، الرئيس التنفيذي لشركة HaiVE : “يسعدنا أن نرحب بإصدار قانون حماية البيانات الشخصية الرقمية لعام 2023 (DPDPA-2023) من قبل البرلمان الهندي. يتوافق هذا التشريع التاريخي تمامًا مع التزامنا الطويل الأمد بالذكاء الاصطناعي الأخلاقي وحماية البيانات. ويسعدنا أن نعلن أن إطارنا الحالي لحلول الذكاء الاصطناعي المحلية يلتزم بالفعل بشكل وثيق بالمبادئ والالتزامات السبعة المنصوص عليها في القانون."

وينطبق القانون على أي منظمة أو شركة تشارك في جمع أو إدارة البيانات الشخصية. ويصنف هذه المنظمات إلى مجموعتين: تلك التي تحدد أسباب وطرق المعالجة (يشار إليها باسم الجهات المؤتمنة على البيانات ) وتلك التي تنفذ المعالجة بناءً على تعليمات الجهات المؤتمنة على البيانات (يشار إليها باسم معالجي البيانات ).

لا يغطي القانون معالجة البيانات داخل الهند فقط؛ كما أن لديها سلطة على معالجة البيانات التي تتم خارج الهند، وخاصة فيما يتعلق بالسلع والخدمات المقدمة للأفراد في الهند. وهذا يعني أن أي شركة تقدم سلعًا أو خدمات للمقيمين الهنود، بغض النظر عن موقعهم الفعلي، ستقع ضمن اختصاصها القضائي.

قال السيد ناجين كومو، الرئيس التنفيذي لشركة Digitap ، "في Digitap، نعتبر أنفسنا معالجي بيانات. نحن لا نقوم بتخزين البيانات. نقوم بمعالجتها نيابة عن عملائنا، الذين هم مؤتمنو البيانات. على الرغم من أنه قد لا تكون هناك إرشادات محددة لمعالجي البيانات، إلا أننا نعتمد طوعًا نفس السياسات والإجراءات التي يتبعها مؤتمنو البيانات. إذا رغب العميل في إلغاء الموافقة، فإننا نضمن حذف البيانات، بما يتوافق مع متطلبات القانون."

وذكر أيضًا أن القانون يتناول أيضًا أمن البيانات أثناء التخزين والنقل، وأن Digitap لديها بالفعل آليات أمنية قوية مطبقة، حيث تتعامل مع معايير الاستعانة بمصادر خارجية لـ RBI، والتي تفرض توطين البيانات داخل الهند.

التزامات الجهات

يحدد القانون العديد من الالتزامات التي يجب على الكيانات الالتزام بها عندما يتعلق الأمر بالتعامل مع البيانات الشخصية. بعض المسؤوليات الرئيسية تشمل ما يلي:

  1. إعلام الأفراد قبل جمع بياناتهم الشخصية، وتحديد البيانات التي سيتم جمعها، والأغراض التي سيتم استخدامها من أجلها، والحقوق التي يتمتع بها الأفراد.
  2. الحصول على الموافقة أو الاعتماد على الأسباب المشروعة عند الضرورة.
  3. جمع البيانات الشخصية المطلوبة للغرض المعلن فقط.
  4. الاحتفاظ بالبيانات الشخصية فقط طالما كانت هناك حاجة إليها للغرض المقصود وحذفها بعد ذلك.
  5. إنشاء آلية لمعالجة التظلمات والمخاوف التي يثيرها الأفراد.
  6. تنفيذ التدابير الأمنية الفنية والتنظيمية المناسبة.
  7. إخطار مجلس حماية البيانات والأفراد المتضررين في حالة حدوث خرق للبيانات الشخصية.
  8. طلب موافقة الوالدين أو الوصي والامتناع عن أنشطة مثل مراقبة السلوك أو التتبع أو المعالجة التي قد تضر الأطفال أو الأفراد ذوي الإعاقة.
  9. الحد من نقل البيانات الشخصية خارج الهند إلى مناطق محددة.
  10. إجراء تقييمات تأثير حماية البيانات، وتدقيق البيانات الدورية، وتعيين مسؤول حماية البيانات ومدققي الحسابات لأمناء البيانات المهمة.
  11. الامتثال للمتطلبات المتعلقة بنقل البيانات الشخصية عبر الحدود وطلب الإعفاءات المعمول بها.

لمزيد من المواءمة مع التزامات قانون حماية البيانات الشخصية الرقمية لعام 2023، ذكر لوغاناثان أن شركة HaiVE بصدد تحسين سياسات الشركة وعملياتها. "نحن نعمل على تطوير قانون حماية البيانات الشخصية الرقمية لعام 2023، وهو إطار امتثال سيكون بمثابة دليل شامل لفريقنا وعملائنا. وأضافت: "سينطبق هذا الإطار تلقائيًا على جميع ارتباطاتنا المستقبلية في الهند، مما يضمن الامتثال السلس لأحكام القانون".

حقوقك وواجباتك فيما يتعلق ببياناتك الشخصية

تم منح الأفراد حقوقًا محددة بموجب القانون فيما يتعلق بكيفية التعامل مع بياناتهم الشخصية. تشمل هذه الحقوق:

  • حق الوصول : يحق للأفراد أن يتم إعلامهم إذا كانت بياناتهم الشخصية قيد المعالجة. يمكنهم طلب ملخص للبيانات التي تتم معالجتها، وتفاصيل حول أنشطة المعالجة (مثل استخدامها للإعلانات المستهدفة)، وهويات الكيانات التي تمت مشاركة بياناتهم معها (مثل المعالجين أو الأطراف الثالثة)، وأنواع البيانات المشتركة .
  • الحق في التصحيح والمحو : يمتلك الأفراد الحق في تصحيح البيانات غير الدقيقة أو المضللة، وإكمال البيانات غير المكتملة، وتحديث بياناتهم الشخصية، لا سيما عند مشاركة هذه البيانات مع كيانات أخرى أو استخدامها لاتخاذ القرار. ويمكنهم أيضًا طلب حذف بياناتهم الشخصية (أو سحب الموافقة إذا كانت الموافقة هي الأساس)، على الرغم من أنه يجوز للكيانات الاحتفاظ بها إذا لزم الأمر للامتثال القانوني.
  • الحق في معالجة التظلمات والترشيح : يقدم القانون آلية لمعالجة التظلمات تسمح للأفراد بتقديم شكاوى إلى الكيانات فيما يتعلق بالامتثال للقانون. يجب على الكيانات الرد خلال إطار زمني محدد. إذا لم يكن الأفراد راضين عن الرد، فيمكنهم تصعيد الأمر إلى مجلس حماية البيانات. علاوة على ذلك، يمكن للأفراد ترشيح شخص ما لممارسة حقوقهم فيما يتعلق بالبيانات الشخصية في حالة عجزهم أو وفاتهم.
  • الواجبات : يحدد القانون أيضًا مسؤوليات معينة للأفراد، مثل تقديم معلومات دقيقة، أو الامتناع عن انتحال الشخصية، أو حجب معلومات جوهرية، أو تقديم شكاوى كاذبة إلى مجلس حماية البيانات.

مشاريع القوانين والقوانين: قانون حماية البيانات الشخصية الرقمية، 2023 | 19 أغسطس 2023

قطاع الرعاية الصحية يستعد للتأثير

أثار كابيل كومار، الرئيس التنفيذي للتكنولوجيا في المعلوماتية الطبية، بمستشفيات Artemis Gurugram، مخاوف بشأن آثارها في قطاع الرعاية الصحية. وقال: "نظرًا للإقبال المتزايد على تقنيات الصحة الرقمية مثل السجلات الصحية الإلكترونية والتطبيب عن بعد، سيكون لقانون حماية البيانات الشخصية الرقمية لعام 2023 تأثير كبير على قطاع الرعاية الصحية".

ووفقا للسيد كومار، يهدف هذا الإجراء إلى تنظيم جمع وتخزين وتوزيع بيانات المرضى الحساسة، وبالتالي حماية حقوق الخصوصية للأفراد. وأشار أيضًا إلى الحوادث السابقة التي تؤكد أهميتها. على سبيل المثال، في عام 2019، حدث اختراق غير مصرح به للوصول إلى السجلات الصحية لما يقرب من 6.8 مليون مريض وطبيب. وبالمثل، في عام 2021، كشف اختراق مواقع الحكومة الهندية عن نتائج مختبر كوفيد-19 لأكثر من 1500 مقيم. وفي ولاية كيرالا، تم الكشف عن معلومات شخصية لأكثر من 200 ألف مريض عن غير قصد. تبرز هذه اللائحة كبطل لخصوصية البيانات في قطاع الرعاية الصحية.

ويختلف القانون بشكل كبير عن القانون الحالي، الذي يوفر حماية محدودة، خاصة في حالات الخروقات الأمنية، ولأنواع محددة فقط من البيانات (البيانات الشخصية الحساسة). وفي المقابل، يوفر القانون ضمانات واسعة النطاق للبيانات الشخصية من خلال فرض المسؤوليات ومنح الأفراد قدرًا أكبر من السيطرة والوعي بمعلوماتهم الشخصية.

في حين أن القانون يمثل بلا شك تقدمًا كبيرًا في حماية الحقوق الرقمية للأفراد، فإن الجهود اللاحقة التي يبذلها مجلس حماية البيانات في مجال وضع القواعد والدعوة ستلعب دورًا حاسمًا ليس فقط في تعزيز هذه الحقوق ولكن أيضًا في إنشاء إطار منظم لمعالجة البيانات.