• โฮมเพจ
  • บทความ
  • การตลาด
  • พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลทางดิจิทัลของอินเดีย ปี 2023: จุดสังเกตสำหรับความเป็นส่วนตัวทางดิจิทัล

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลทางดิจิทัลของอินเดีย ปี 2023: จุดสังเกตสำหรับความเป็นส่วนตัวทางดิจิทัล

เผยแพร่แล้ว: 2023-09-21

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลดิจิทัลฉบับใหม่ของอินเดียปี 2023 ใช้กับองค์กรหรือธุรกิจใดๆ ที่เกี่ยวข้องกับการรวบรวมหรือการจัดการข้อมูลส่วนบุคคล พระราชบัญญัตินี้ไม่เพียงครอบคลุมถึงการจัดการข้อมูลภายในอินเดียเท่านั้น แต่ยังมีอำนาจในการประมวลผลข้อมูลที่เกิดขึ้นนอกประเทศอินเดียด้วย

ภูมิทัศน์ทางเทคโนโลยีที่พัฒนาอย่างรวดเร็วของอินเดียได้บรรลุความสำเร็จครั้งสำคัญด้วยการเปิดตัวและการผ่านร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลทางดิจิทัล (DPDP) ในปี 2565 กฎหมายสำคัญนี้ได้รับการอนุมัติจากคณะรัฐมนตรีของสหภาพเมื่อวันที่ 5 กรกฎาคม และนำเสนอในช่วงมรสุมเซสชันของรัฐสภา ซึ่งเริ่มเมื่อวันที่ 20 กรกฎาคม พ.ศ. 2566 เคลื่อนผ่านกระบวนการนิติบัญญัติอย่างรวดเร็ว โดยได้รับการอนุมัติทั้งในสภาผู้แทนราษฎร (โลกสภา) เมื่อวันที่ 7 สิงหาคม และสภาสูง (รัชยาสภา) เมื่อวันที่ 9 สิงหาคม

จากการอนุมัติอย่างเป็นทางการของประธานาธิบดีเมื่อวันที่ 11 สิงหาคม 2023 ตามที่ระบุไว้ในประกาศราชกิจจานุเบกษาของรัฐบาลอินเดีย ร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลทางดิจิทัลปี 2022 ได้เปลี่ยนไปสู่กฎหมายคุ้มครองข้อมูลส่วนบุคคลทางดิจิทัลปี 2023 อย่างเป็นทางการ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลทางดิจิทัลปี 2023 ขยายขอบเขตออกไปเกินขอบเขตของอินเดีย ครอบคลุมการประมวลผลข้อมูลส่วนบุคคลดิจิทัลแม้ว่าจะดำเนินการในต่างประเทศก็ตาม

Mr. Rajarshi Bhattacharyya ประธานและกรรมการผู้จัดการของ ProcessIT Global เปรียบเทียบกฎหมายดังกล่าวกับกฎระเบียบคุ้มครองข้อมูลทั่วไป (GDPR) ที่มีอยู่ของสหภาพยุโรป (EU) เขากล่าวว่า “มันก้าวหน้าไปกว่านี้เพราะ GDPR ออกมาเมื่อไม่นานมานี้ นโยบายนี้มีความก้าวหน้าและครอบคลุมมากขึ้น ซึ่งจะช่วยส่งเสริมความก้าวหน้าของอินเดีย”

Rajarshi Bhattacharyya: ความสามารถในการฟื้นตัวทางไซเบอร์ นโยบายของรัฐบาล และข้อมูลเชิงลึกด้านความปลอดภัยของข้อมูล
รับข้อมูลเชิงลึกอันมีค่าจาก Rajarshi Bhattacharyya จาก ProcessIT Global ในขณะที่เขาเจาะลึกขอบเขตของความสามารถในการฟื้นตัวทางไซเบอร์ ผลกระทบจากนโยบายของรัฐบาล และแง่มุมที่สำคัญของความปลอดภัยของข้อมูลในภูมิทัศน์ดิจิทัลในปัจจุบัน
Sayantan Mondal StartupTalky

ตามรายงานความร่วมมือจากองค์กรอุตสาหกรรม IAMAI และบริษัทวิเคราะห์ข้อมูลตลาด Kantar หรือที่รู้จักกันในชื่อ "รายงานอินเทอร์เน็ตในอินเดียปี 2022" เปิดเผยว่าประชากรมากกว่าครึ่งหนึ่งของอินเดียหรือคิดเป็น 759 ล้านคนใช้อินเทอร์เน็ตอย่างแข็งขัน เข้าถึงได้อย่างน้อยเดือนละครั้งในช่วงปี 2022 รายงานยังเน้นย้ำว่าในบรรดาผู้ใช้งานเหล่านี้ 399 ล้านคนอาศัยอยู่ในชนบทของอินเดีย ซึ่งเกินกว่า 360 ล้านคนในเขตเมือง สิ่งนี้ชี้ให้เห็นว่าการขยายตัวทางอินเทอร์เน็ตในประเทศนั้นขับเคลื่อนโดยชนบทของอินเดียเป็นหลัก

พระราชบัญญัติคุ้มครองข้อมูลฉบับใหม่เน้นย้ำถึงจริยธรรมของ AI และการเข้าถึงทั่วโลก
ภาระผูกพันสำหรับนิติบุคคล
สิทธิและหน้าที่ของคุณเกี่ยวกับข้อมูลส่วนบุคคลของคุณ
ภาคการดูแลสุขภาพเตรียมรับผลกระทบ

พระราชบัญญัติคุ้มครองข้อมูลฉบับใหม่เน้นย้ำถึงจริยธรรมของ AI และการเข้าถึงทั่วโลก

Deepika Loganathan ซีอีโอของ HaiVE กล่าวว่า "เรามีความยินดีเป็นอย่างยิ่งที่ได้ต้อนรับการตรากฎหมายคุ้มครองข้อมูลส่วนบุคคลทางดิจิทัลปี 2023 (DPDPA-2023) โดยรัฐสภาอินเดีย กฎหมายสำคัญนี้สอดคล้องอย่างสมบูรณ์แบบกับความมุ่งมั่นที่มีมายาวนานของเราในเรื่อง AI และการปกป้องข้อมูลอย่างมีจริยธรรม เรามีความยินดีที่จะแจ้งให้ทราบว่ากรอบการทำงานที่มีอยู่ของเราสำหรับโซลูชัน AI ในองค์กรนั้นได้ปฏิบัติตามหลักการและพันธกรณีทั้ง 7 ประการที่ระบุไว้ในพระราชบัญญัติอย่างใกล้ชิดแล้ว”

พระราชบัญญัตินี้ใช้กับองค์กรหรือธุรกิจใด ๆ ที่เกี่ยวข้องกับการรวบรวมหรือการจัดการข้อมูลส่วนบุคคล โดยจัดหมวดหมู่องค์กรเหล่านี้ออกเป็นสองกลุ่ม: องค์กรที่กำหนดเหตุผลและวิธีการในการประมวลผล (เรียกว่า Data Fiduciaries ) และองค์กรที่ดำเนินการประมวลผลตามคำแนะนำของ Data Fiduciaries (เรียกว่า Data Processing )

พระราชบัญญัตินี้ไม่เพียงครอบคลุมถึงการจัดการข้อมูลภายในอินเดียเท่านั้น นอกจากนี้ยังมีอำนาจในการประมวลผลข้อมูลที่เกิดขึ้นนอกประเทศอินเดีย โดยเฉพาะอย่างยิ่งเกี่ยวกับสินค้าและบริการที่เสนอให้กับบุคคลในอินเดีย ซึ่งหมายความว่าธุรกิจใดๆ ที่เสนอสินค้าหรือบริการแก่ผู้อยู่อาศัยในอินเดีย โดยไม่คำนึงถึงสถานที่ตั้งทางกายภาพ จะอยู่ภายใต้เขตอำนาจศาลของตน

นาย Nageen Kommu ซีอีโอของ Digitap กล่าวว่า “ที่ Digitap เราถือว่าเราเป็นผู้ประมวลผลข้อมูล เราไม่เก็บข้อมูล เราดำเนินการในนามของลูกค้าของเราซึ่งเป็นผู้ไว้วางใจข้อมูล แม้ว่าอาจไม่มีแนวทางปฏิบัติเฉพาะสำหรับผู้ประมวลผลข้อมูล แต่เราสมัครใจนำนโยบายและขั้นตอนเดียวกันกับที่ผู้ไว้วางใจข้อมูลปฏิบัติตาม หากลูกค้าต้องการเพิกถอนความยินยอม เรารับรองว่าข้อมูลจะถูกลบตามข้อกำหนดของพระราชบัญญัติ"

นอกจากนี้เขายังกล่าวอีกว่าการกระทำดังกล่าวยังกล่าวถึงความปลอดภัยของข้อมูลในระหว่างการจัดเก็บและการส่งผ่าน และ Digitap ก็มีกลไกการรักษาความปลอดภัยที่แข็งแกร่งอยู่แล้ว เนื่องจากพวกเขาจัดการกับบรรทัดฐานเอาท์ซอร์สของ RBI ซึ่งกำหนดการแปลข้อมูลภายในอินเดีย

ภาระผูกพันสำหรับนิติบุคคล

พระราชบัญญัตินี้สรุปพันธกรณีหลายประการที่หน่วยงานต้องปฏิบัติตามเมื่อต้องจัดการข้อมูลส่วนบุคคล ความรับผิดชอบหลักบางประการ ได้แก่:

  1. แจ้งให้บุคคลทราบก่อนที่จะเก็บรวบรวมข้อมูลส่วนบุคคล ระบุว่าข้อมูลใดที่จะเก็บรวบรวม วัตถุประสงค์ที่จะใช้ และสิทธิ์ที่บุคคลมี
  2. การได้รับความยินยอมหรืออาศัยเหตุผลอันชอบด้วยกฎหมายเมื่อจำเป็น
  3. รวบรวมเฉพาะข้อมูลส่วนบุคคลที่จำเป็นสำหรับวัตถุประสงค์ที่ระบุไว้
  4. เก็บข้อมูลส่วนบุคคลไว้นานเท่าที่จำเป็นตามวัตถุประสงค์ที่ตั้งใจไว้เท่านั้น แล้วจึงลบทิ้งในภายหลัง
  5. สร้างกลไกในการจัดการกับข้อร้องทุกข์และข้อกังวลที่เกิดขึ้นจากบุคคล
  6. การใช้มาตรการทางเทคนิคและความปลอดภัยขององค์กรที่เหมาะสม
  7. แจ้งคณะกรรมการคุ้มครองข้อมูลและบุคคลที่ได้รับผลกระทบในกรณีมีการละเมิดข้อมูลส่วนบุคคล
  8. การขอความยินยอมจากผู้ปกครองหรือผู้ปกครอง และละเว้นจากกิจกรรมต่างๆ เช่น การติดตาม การติดตาม หรือการประมวลผลพฤติกรรมที่อาจเป็นอันตรายต่อเด็กหรือบุคคลทุพพลภาพ
  9. การจำกัดการถ่ายโอนข้อมูลส่วนบุคคลนอกประเทศอินเดียไปยังดินแดนที่ระบุ
  10. ดำเนินการประเมินผลกระทบของการปกป้องข้อมูล การตรวจสอบข้อมูลเป็นระยะ และการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลและผู้ตรวจสอบสำหรับความไว้วางใจข้อมูลที่สำคัญ
  11. ปฏิบัติตามข้อกำหนดเกี่ยวกับการถ่ายโอนข้อมูลส่วนบุคคลข้ามพรมแดนและการแสวงหาข้อยกเว้นที่เกี่ยวข้อง

เพื่อให้สอดคล้องกับพันธกรณีของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลทางดิจิทัลปี 2023 Loganathan ระบุว่า HaiVE อยู่ในกระบวนการปรับแต่งนโยบายและกระบวนการของบริษัทอย่างละเอียด “เรากำลังพัฒนากรอบกฎหมายคุ้มครองข้อมูลส่วนบุคคลดิจิทัลปี 2023 ซึ่งจะทำหน้าที่เป็นแนวทางที่ครอบคลุมสำหรับทีมของเราและลูกค้าของเรา กรอบการทำงานนี้จะนำไปใช้กับการมีส่วนร่วมในอนาคตทั้งหมดของเราในอินเดียโดยอัตโนมัติ เพื่อให้มั่นใจว่าจะปฏิบัติตามบทบัญญัติของพระราชบัญญัติได้อย่างราบรื่น” เธอกล่าวเสริม

สิทธิและหน้าที่ของคุณเกี่ยวกับข้อมูลส่วนบุคคลของคุณ

บุคคลได้รับสิทธิเฉพาะภายใต้กฎหมายเกี่ยวกับวิธีการจัดการข้อมูลส่วนบุคคลของตน สิทธิเหล่านี้รวมถึง:

  • สิทธิ์ในการเข้าถึง : บุคคลมีสิทธิที่จะได้รับแจ้งหากมีการประมวลผลข้อมูลส่วนบุคคลของตน พวกเขาสามารถขอสรุปข้อมูลที่กำลังประมวลผล รายละเอียดเกี่ยวกับกิจกรรมการประมวลผล (เช่น การใช้งานสำหรับการโฆษณาแบบกำหนดเป้าหมาย) ตัวตนของหน่วยงานที่ได้รับการแบ่งปันข้อมูลด้วย (เช่น ผู้ประมวลผลหรือบุคคลที่สาม) และประเภทของข้อมูลที่แบ่งปัน .
  • สิทธิ์ในการแก้ไขและลบ : บุคคลมีสิทธิ์ในการแก้ไขข้อมูลที่ไม่ถูกต้องหรือทำให้เข้าใจผิด ข้อมูลที่ไม่สมบูรณ์ และข้อมูลส่วนบุคคลของพวกเขาได้รับการอัปเดต โดยเฉพาะอย่างยิ่งเมื่อมีการแบ่งปันข้อมูลนี้กับหน่วยงานอื่นหรือใช้เพื่อการตัดสินใจ พวกเขายังสามารถขอลบข้อมูลส่วนบุคคลของตนได้ (หรือถอนความยินยอมหากได้รับความยินยอมเป็นพื้นฐาน) แม้ว่าหน่วยงานอาจเก็บรักษาข้อมูลดังกล่าวไว้หากจำเป็นสำหรับการปฏิบัติตามกฎหมาย
  • สิทธิในการได้รับการเยียวยาและการเสนอชื่อ : พระราชบัญญัตินี้ได้แนะนำกลไกการเรียกร้องค่าสินไหมทดแทนที่ช่วยให้บุคคลสามารถยื่นเรื่องร้องเรียนกับหน่วยงานที่เกี่ยวข้องกับการปฏิบัติตามพระราชบัญญัติได้ หน่วยงานจะต้องตอบสนองภายในกรอบเวลาที่กำหนด หากไม่พอใจกับคำตอบ บุคคลสามารถแจ้งเรื่องต่อคณะกรรมการคุ้มครองข้อมูลได้ นอกจากนี้ บุคคลสามารถเสนอชื่อบุคคลเพื่อใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคลได้ในกรณีที่บุคคลไร้ความสามารถหรือเสียชีวิต
  • หน้าที่ : พระราชบัญญัติยังระบุความรับผิดชอบบางประการสำหรับบุคคล เช่น การให้ข้อมูลที่ถูกต้อง การละเว้นจากการแอบอ้างบุคคลอื่น การระงับข้อมูลที่เป็นสาระสำคัญ หรือการยื่นเรื่องร้องเรียนอันเป็นเท็จไปยังคณะกรรมการคุ้มครองข้อมูล

ร่างกฎหมายและพระราชบัญญัติ: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลทางดิจิทัล พ.ศ. 2566 | 19 สิงหาคม 2566

ภาคการดูแลสุขภาพเตรียมรับผลกระทบ

Kapil Kumar ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีฝ่ายสารสนเทศการแพทย์ Artemis Hospitals Gurugram ได้หยิบยกข้อกังวลเกี่ยวกับผลกระทบที่มีต่อภาคการดูแลสุขภาพ เขากล่าวว่า "เนื่องจากการใช้เทคโนโลยีด้านสุขภาพดิจิทัลที่เพิ่มมากขึ้น เช่น บันทึกสุขภาพอิเล็กทรอนิกส์และการแพทย์ทางไกล พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลดิจิทัลปี 2023 จะมีผลกระทบอย่างมีนัยสำคัญต่อภาคการดูแลสุขภาพ"

นาย Kumar กล่าว มาตรการนี้มีเป้าหมายเพื่อควบคุมการรวบรวม การจัดเก็บ และการแจกจ่ายข้อมูลผู้ป่วยที่มีความละเอียดอ่อน ดังนั้นจึงเป็นการปกป้องสิทธิความเป็นส่วนตัวของแต่ละบุคคล นอกจากนี้เขายังอ้างถึงเหตุการณ์ก่อนหน้านี้ที่เน้นย้ำถึงความสำคัญของเหตุการณ์ดังกล่าว ตัวอย่างเช่น ในปี 2019 มีการละเมิดการเข้าถึงโดยไม่ได้รับอนุญาต ซึ่งส่งผลกระทบต่อบันทึกสุขภาพของผู้ป่วยและแพทย์เกือบ 6.8 ล้านคน ในทำนองเดียวกันในปี 2021 การละเมิดเว็บไซต์ของรัฐบาลอินเดียได้เปิดเผยผลการตรวจจากห้องปฏิบัติการเกี่ยวกับโควิด-19 ของผู้อยู่อาศัยมากกว่า 1,500 คน ในเกรละ ข้อมูลส่วนบุคคลของผู้ป่วยมากกว่า 200,000 รายถูกเปิดเผยโดยไม่ได้ตั้งใจ กฎระเบียบนี้ถือเป็นแชมป์ด้านความเป็นส่วนตัวของข้อมูลในภาคการดูแลสุขภาพ

พระราชบัญญัตินี้แตกต่างอย่างมากจากกฎหมายที่มีอยู่ ซึ่งมีการคุ้มครองที่จำกัด โดยส่วนใหญ่ในกรณีที่มีการละเมิดความปลอดภัย และสำหรับข้อมูลบางประเภทเท่านั้น (ข้อมูลส่วนบุคคลที่ละเอียดอ่อน) ในทางตรงกันข้าม พระราชบัญญัตินี้มีการป้องกันข้อมูลส่วนบุคคลอย่างกว้างขวางโดยกำหนดความรับผิดชอบและให้แต่ละบุคคลสามารถควบคุมและตระหนักรู้เกี่ยวกับข้อมูลส่วนบุคคลของตนได้มากขึ้น

แม้ว่าพระราชบัญญัตินี้ถือเป็นความก้าวหน้าที่สำคัญในการปกป้องสิทธิ์ดิจิทัลของบุคคลอย่างไม่ต้องสงสัย แต่ความพยายามในการออกกฎและการสนับสนุนในภายหลังของคณะกรรมการคุ้มครองข้อมูลจะมีบทบาทสำคัญในไม่เพียงแต่เป็นการเสริมสิทธิ์เหล่านี้เท่านั้น แต่ยังสร้างกรอบการทำงานที่มีโครงสร้างสำหรับการประมวลผลข้อมูลด้วย