Representatief beeld | Fotocredits: Getty Images/iStockphoto
De regering van de Unie heeft op vrijdagavond (3 januari 2025) de conceptregels voor de bescherming van digitale persoonsgegevens (DPDP) voor 2025 vrijgegeven, die zullen afdwingen bepalingen van de Wet bescherming persoonsgegevens, 2023. Hoewel de wet ruim een jaar geleden werd aangenomen, zijn de regels die zullen resulteren in de handhaving ervan tot nu toe in ontwikkeling en worden ze nu pas ter openbare raadpleging voorgelegd. De DPDP Act biedt een juridisch kader voor ‘data fiduciaires’ – entiteiten die persoonlijke gegevens verzamelen van ‘dataprincipals’ of gebruikers – om die gegevens te beschermen tegen misbruik en om bedrijven te bestraffen die de beginselen van gegevensbescherming schenden.
De ontwerpregels staan tot 18 februari open voor publieke feedback. “De inzendingen zullen als fiduciaire hoedanigheid worden bewaard in MeitY en zullen op geen enkel moment aan iemand worden bekendgemaakt”, zei het ministerie van Elektronica en Informatietechnologie op het MyGov-portaal, waar het accepteert inzendingen van belanghebbenden.
De ontwerpregels specificeren de aard van de kennisgeving die datafiduciaires aan gebruikers moeten geven bij het verzamelen van hun gegevens: welke gegevens ze verzamelen, waarom ze die verzamelen, en “een eerlijk verslag van de details die nodig zijn om de Data Principal in staat te stellen specifieke en geïnformeerde toestemming voor de verwerking van haar persoonsgegevens”.
Toestemmingsmanagers
Het ontwerp voorziet ook in de registratie van zogenaamde toestemmingsmanagers, die samenwerken met gegevensfiduciaires voor het verzamelen van toestemming onder het gespecificeerde formaat van gebruikers. Afhankelijk van bepaalde ‘normen’ kunnen de overheid en haar ‘instrumenten’ gegevens verzamelen met het doel subsidies en voordelen te verstrekken, aldus de ontwerpregels. Gegevens verzameld voor “statistische” doeleinden zijn ook vrijgesteld.
Een datafiduciair “zal persoonlijke gegevens in zijn bezit of onder zijn controle beschermen … door redelijke veiligheidsmaatregelen te nemen om inbreuken op persoonlijke gegevens te voorkomen”, zeggen de regels, door te voorzien in technische en operationele veiligheidsmaatregelen. Binnen 72 uur na een datalek moet de nog op te richten Data Protection Board of India (DPBI) op de hoogte worden gesteld, aldus de regels.
In bepaalde gevallen waarin een gebruiker gedurende langere tijd geen gebruik meer maakt van een e-commerceprovider, socialemediaplatform of onlinespeldienst, moeten volgens de regels zijn gegevens worden verwijderd, nadat hij dit 48 uur van tevoren heeft aangegeven. om het verwijderen te stoppen. De contactgegevens van een functionaris voor gegevensbescherming moeten op de website van de gegevensbeschermingsorganisatie worden vermeld. ‘Belangrijke’ datafiduciaires moeten periodiek een ‘Data Protection Impact Assessment’ en een audit uitvoeren om de effectieve naleving van de bepalingen van deze wet te garanderen, zeggen de regels.
Gegevens van kinderen
Voor minderjarigen “moeten passende technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat verifieerbare toestemming van de ouder wordt verkregen voordat de persoonlijke gegevens van een kind worden verwerkt”, zeggen de regels.
Voor dit doel moeten gegevensfiduciaires vertrouwen op “vrijwillig verstrekte details over identiteit en leeftijd of een virtueel token dat daaraan is toegewezen, dat is uitgegeven door een entiteit die door de wet of door de centrale overheid of een deelstaatregering is belast met het bijhouden van dergelijke gegevens of een persoon die door een dergelijke entiteit is aangesteld of toegestaan voor een dergelijke uitgifte, en dergelijke gegevens of tokens bevat die zijn geverifieerd en beschikbaar zijn gesteld door een Digital Locker-serviceprovider”, of “betrouwbare” gegevens over de gebruiker die zij al in bezit hebben.
De verwerking van de gegevens van Indiërs in het buitenland is onderworpen aan “vereisten” die de overheid in toekomstige bevelen kan “specificeren”, zeggen de regels.
Gepubliceerd – 3 januari 2025 22:24 uur IST
Source link
