De Indiase wet op de gegevensbescherming moet worden gewijzigd om meer te dekken dan alleen persoonlijke gegevens, en strikte deadlines op te leggen aan bedrijven om datalekken te melden, adviseerde een parlementaire commissie in een langverwacht rapport dat op 16 december 2021 werd gepubliceerd.
De Gemengde Commissie voor de Wet Bescherming Persoonsgegevens, 2019, heeft twee jaar besteed aan het bestuderen van de voorgestelde wetgeving die op 11 december 2019 voor het eerst aan het parlement werd voorgelegd. Gezien de lange vertraging – en haar mening dat het wetsvoorstel meer moet bevatten dan alleen persoonlijke informatie – commissie aanbevolen om de resulterende wetgeving te hernoemen tot de Wet op de gegevensbescherming, 2021.
Het 542-pagina’s tellende rapport van de commissie bevat 93 aanbevelingen aan wetgevers over het opstellen van het wetsvoorstel, waarin de rechten worden uiteengezet van gegevensprincipals (degenen die de gegevens beschrijven) en de verplichtingen van gegevensverwerkers en gegevensfiduciairs (degenen die de gegevens bewaren).
Als het wetsvoorstel en de aanbevelingen van de commissie wet worden, zullen bedrijven nieuwe verplichtingen moeten nakomen, waaronder het plaatsen van een gedetailleerde privacyverklaring op hun website, het aannemen van een privacy by design-beleid, het bijhouden van verschillende records met betrekking tot gegevensverwerkingsactiviteiten, het aantonen van de eerlijkheid van de gebruikte algoritmen , en het uitvoeren van gegevensbeschermingseffectbeoordelingen, naast andere maatregelen op het gebied van verantwoording en transparantie.
Betekenis
De commissie beveelt aan dat bedrijven die grote hoeveelheden persoonlijke gegevens verwerken, of waarvan de bedrijven, door hun aard, het potentieel hebben om een groot aantal mensen te beïnvloeden, of die anderszins als riskant worden beschouwd, worden bestempeld als ‘belangrijke gegevensfiduciairs’, waardoor ze moeten implementeren aanvullende controles en procedures.
De gevolgen voor degenen die de voorgestelde regels niet respecteren, zouden op zijn zachtst gezegd ernstig zijn. Boetes voor ernstige overtredingen of niet-naleving kunnen oplopen tot ₹ 15 crores of 4% van de wereldwijde omzet, terwijl boetes voor een lichte overtreding of niet-naleving tot ₹ 5 crores of 2% van de wereldwijde omzet kunnen bedragen.
Het wetsvoorstel creëert ook een groot aantal kleinere overtredingen die lagere boetes en straffen zouden opleveren.
De commissie adviseerde om de reikwijdte van het wetsvoorstel uit te breiden tot niet alleen de bescherming van persoonlijke gegevens, maar ook het verzamelen en opslaan van niet-persoonlijke gegevens, aangezien het onmogelijk is om duidelijk onderscheid te maken tussen de twee, en als privacy een punt van zorg is, dan moeten alle gegevens moet worden beschermd.
Om de noodzaak van aanvullende wetgeving te voorkomen, heeft het daarom voorgesteld dat de Gegevensbeschermingsautoriteit (DPA) belast met de verdediging van persoonsgegevens van burgers in het wetsvoorstel ook bevoegd is om toezicht te houden op niet-persoonsgebonden gegevens.
Twee jaar om te implementeren, drie dagen om te rapporteren
Het wetsvoorstel zelf biedt geen tijdschema voor de implementatie van de bepalingen ervan, dus de commissie beveelt aan dat, zodra het wet wordt, gegevensfiduciairs en gegevensverwerkers ongeveer twee jaar de tijd krijgen om de wijzigingen aan te brengen in hun beleid, infrastructuur en processen die nodig zijn om ze in overeenstemming te brengen .
De commissie was minder genereus in haar suggestie hoe lang bedrijven datalekken zouden moeten melden. Het adviseerde dat gegevensfiduciairs elke inbreuk op persoonlijke gegevens binnen 72 uur nadat ze zich bewust werden van de inbreuk aan de DPA moesten melden en een logboek bij moesten houden van alle gegevensinbreuken, of dit nu persoonlijke gegevens zijn of niet.
Een andere door de commissie voorgestelde deadline zou van kracht worden wanneer de data-principals de meerderheid bereiken. Bedrijven die gegevens van minderjarigen verwerken, zouden volgens de commissie drie maanden voor hun 18e verjaardag contact met hen moeten opnemen om opnieuw toestemming te vragen.
Zoals het er nu uitziet, stelt het wetsvoorstel gegevensprincipals in staat om hun persoonlijke gegevens te ontvangen waar deze automatisch zijn verwerkt, maar niet als dit bedrijfsgeheimen zou onthullen of technisch niet haalbaar is. De commissie stelt dat het onthullen van bedrijfsgeheimen geen reden mag zijn voor bedrijven om te weigeren hun persoonsgegevens aan data-principals te verstrekken.
Locatie, locatie, locatie
In het wetsvoorstel zijn bepalingen opgenomen over waar gegevens mogen worden opgeslagen of verwerkt. Gevoelige persoonlijke gegevens kunnen voor verwerking buiten India worden verzonden als het individu zijn uitdrukkelijke toestemming heeft gegeven en aan bepaalde aanvullende voorwaarden is voldaan, staat er.
Wanneer gegevens naar het buitenland worden verzonden, adviseerde de commissie om een kopie in India te bewaren, om het eventuele opnieuw toewijzen van gegevensverwerkingsactiviteiten te vergemakkelijken. Het riep de regering ook op ervoor te zorgen dat India een sterk AI-software- en dienstenecosysteem zou ontwikkelen om de binnenlandse verwerking van persoonsgegevens van Indiërs te ondersteunen.
Het pleitte ook voor een raamwerk om toezicht te houden op hardwarebedrijven die gegevens verzamelen, en pleitte voor een certificeringssysteem voor alle digitale en internet of things (IOT) apparaten.
Snelle vergelding
Het Comité merkte op dat “gegevensbescherming in de financiële sector wereldwijd een punt van oprechte zorg is, vooral wanneer via het SWIFT-netwerk de privacy op grote schaal is aangetast.” Indiase burgers, zo merkte het op, zijn grote gebruikers van de internationale SWIFT-betalingsdienst en het zou dus een impuls kunnen geven aan de binnenlandse economie als India zijn eigen alternatief voor SWIFT zou ontwikkelen.
Maar andere instanties zouden volgens de regels van de commissie vrijgesteld blijven van vergelding voor privacyschendingen. Het rapport beveelt niet aan om een controversiële clausule te verwijderen die de regering de bevoegdheid geeft om een van haar instanties vrij te stellen van de gegevensbeschermingswetten.
Het is vermeldenswaard dat de aanbevelingen van de commissie niet juridisch bindend zijn. Het wetsvoorstel wordt vervolgens aangeboden aan het kabinet, dat beslist of de aanbevelingen van de commissie worden overgenomen. Pas dan wordt het wetsvoorstel ter goedkeuring aan de Tweede Kamer aangeboden. De verwachting is dat het in de begrotingszitting 2022 aan het parlement wordt voorgesteld.
