Pemerintah India telah menerbitkan versi rancangan Peraturan Perlindungan Data Pribadi Digital (DPDP) untuk konsultasi publik.
“Pemilik data harus memberikan informasi yang jelas dan dapat diakses tentang bagaimana data pribadi diproses, memungkinkan persetujuan berdasarkan informasi,” kata Biro Informasi Pers India (PIB) dalam sebuah pernyataan yang dirilis Minggu.
“Warga negara diberi hak untuk meminta penghapusan data, menunjuk nominasi digital, dan mengakses mekanisme yang mudah digunakan untuk mengelola data mereka.”
Peraturan tersebut, yang berupaya untuk mengoperasionalkan Undang-Undang Perlindungan Data Pribadi Digital, tahun 2023, juga memberikan warga negara kontrol yang lebih besar atas data mereka, memberi mereka pilihan untuk memberikan persetujuan untuk memproses informasi mereka, serta hak untuk menghapus dengan platform dan alamat digital. keluhan.
Perusahaan yang beroperasi di India selanjutnya diwajibkan untuk menerapkan langkah-langkah keamanan, seperti enkripsi, kontrol akses, dan pencadangan data, untuk melindungi data pribadi, dan memastikan kerahasiaan, integritas, dan ketersediaannya.
Beberapa ketentuan penting lainnya dalam Undang-Undang DPDP yang harus dipatuhi oleh pemegang fidusia data tercantum di bawah ini –
- Menerapkan mekanisme untuk mendeteksi dan mengatasi pelanggaran dan pemeliharaan log
- Jika terjadi pelanggaran data, berikan informasi rinci tentang rangkaian peristiwa yang menyebabkan insiden tersebut, tindakan yang diambil untuk mengurangi ancaman, dan identitas individu, jika diketahui, dalam waktu 72 jam (atau lebih, jika diizinkan) kepada Dewan Perlindungan Data (DPB)
- Hapus data pribadi yang tidak diperlukan lagi setelah jangka waktu tiga tahun dan beri tahu individu 48 jam sebelum menghapus informasi tersebut
- Tampilkan dengan jelas di situs web/aplikasi mereka rincian kontak Petugas Perlindungan Data (DPO) yang ditunjuk yang bertanggung jawab untuk menjawab pertanyaan apa pun terkait pemrosesan data pribadi pengguna
- Dapatkan persetujuan yang dapat diverifikasi dari orang tua atau wali sah sebelum memproses data pribadi anak-anak di bawah 18 tahun atau penyandang disabilitas (pengecualian mencakup profesional kesehatan, lembaga pendidikan, dan penyedia penitipan anak, namun hanya terbatas pada aktivitas tertentu seperti layanan kesehatan, aktivitas pendidikan, pemantauan keselamatan , dan pelacakan transportasi)
- Melakukan Penilaian Dampak Perlindungan Data (DPIA) dan audit komprehensif setiap tahun sekali, dan melaporkan hasilnya kepada DPB (terbatas hanya pada pemegang fidusia data yang dianggap “signifikan”)
- Mematuhi persyaratan yang ditetapkan pemerintah federal terkait transfer data lintas batas (kategori data pribadi yang harus tetap berada di dalam wilayah India akan ditentukan oleh komite khusus)
Rancangan peraturan tersebut juga mengusulkan perlindungan tertentu bagi warga negara ketika data mereka diproses oleh lembaga pemerintah federal dan negara bagian, yang mengharuskan pemrosesan tersebut dilakukan dengan cara yang sah, transparan, dan “sejalan dengan hukum dan
standar kebijakan.”
Organisasi yang menyalahgunakan atau gagal melindungi data digital individu atau memberi tahu DPB tentang pelanggaran keamanan dapat menghadapi sanksi moneter hingga ₹250 crore (hampir $30 juta).
Kementerian Elektronika dan Teknologi Informasi (MeitY) sedang meminta masukan dari masyarakat mengenai rancangan peraturan tersebut hingga 18 Februari 2025. Kementerian juga menyatakan bahwa masukan tersebut tidak akan diungkapkan kepada pihak mana pun.
Undang-undang DPDP secara resmi disahkan pada bulan Agustus 2023 setelah didesain ulang beberapa kali sejak tahun 2018. Peraturan perlindungan data ini muncul setelah keputusan pengadilan tinggi India pada tahun 2017 yang menegaskan kembali hak privasi sebagai hak mendasar berdasarkan Konstitusi India.
Perkembangan ini terjadi sebulan setelah Departemen Telekomunikasi mengeluarkan Peraturan Telekomunikasi (Keamanan Siber Telekomunikasi), 2024, berdasarkan Undang-Undang Telekomunikasi, 2023, untuk mengamankan jaringan komunikasi dan menerapkan pedoman pengungkapan pelanggaran data yang ketat.
Menurut aturan baru, entitas telekomunikasi harus melaporkan setiap insiden keamanan yang memengaruhi jaringan atau layanannya kepada pemerintah federal dalam waktu enam jam setelah menyadarinya, dan perusahaan yang terkena dampak juga membagikan informasi tambahan yang relevan dalam waktu 24 jam.
Selain itu, perusahaan telekomunikasi diharuskan menunjuk Chief Telecommunication Security Officer (CTSO) yang harus warga negara India dan penduduk India, dan berbagi data lalu lintas – tidak termasuk konten pesan – dengan pemerintah federal dalam format tertentu untuk “melindungi dan memastikan keamanan siber telekomunikasi.”
Namun, Internet Freedom Foundation (IFF) mengatakan “pengucapan yang berlebihan” dan penghapusan definisi “data lalu lintas” dari rancangan tersebut dapat membuka pintu untuk penyalahgunaan.
