این لایحه برای بررسی و ارائه پیشنهاد به کمیته مشترک دو مجلس مجلس (JPC) ارجاع شد که پس از گذراندن بحثها و بحثهای فراوان در یک دوره حدود دو ساله، گزارش خود را در دسامبر 2021 ارائه کرد که اصلاحات زیادی را پیشنهاد میکرد.
این گزارش در مورد برخی از مخالفان ارائه شده توسط برخی از اعضا صحبت می کند. در شکل فعلی با توجه به توصیههای پیشنهادی JPC (که ممکن است توسط پارلمان تصویب شود یا نشود)، شباهتهای خاصی با GDPR وجود دارد که در زیر فهرست شدهاند. این فهرست جامعی نیست، اما جنبه های مهم و مشابه بین این دو مقررات را در بر می گیرد.
شباهت های بین GDPR و لایحه حفاظت از داده های شخصی
در لایحه اصلی حفاظت از داده های شخصی در سال 2019 و توصیه های ارائه شده توسط JPC، برخی از مفاهیم مانند امانتداری داده، پردازشگر داده و اصول داده مشابه کنترل کننده، پردازشگر و افراد داده در GDPR هستند. JPC همچنین به تعاریفی مانند “کنترل کننده” در GDPR اشاره کرده است که به معنای شخص حقیقی یا حقوقی، مقام عمومی، آژانس یا ارگان دیگری به تنهایی یا مشترکاً با دیگران است. JPC توصیه کرده است که سازمان های غیردولتی (NGO) را اضافه کنید تا به عنوان امانت دار داده ها رفتار شود و تحت حیطه قانون قرار گیرند. تعریف امانتداری داده برای مطابقت با GDPR گسترده شده است.
GDPR یک دوره انتقال دو ساله برای اجرا داشت و JPC همچنین یک دوره دو ساله را برای اجرای مقررات PDP توصیه کرده است.
به طور مشابه، اصطلاح “ریسک” در GDPR جنبه های گسترده تری از آسیب فیزیکی، مادی یا غیر مادی را با توجه به داده های شخصی پوشش می دهد. JPC توصیه کرده است که اصطلاح “آسیب” را برای گنجاندن دستکاری روانشناختی که استقلال فرد را مختل می کند، در نظر بگیرید.
GDPR رضایت آگاهانه افراد در مورد نحوه پردازش دادههایشان را با گزینهای برای انتخاب یا حذف پوشش میدهد. JPC همچنین روشی منصفانه و شفاف برای پردازش داده ها را برای اطمینان از شفافیت و حفظ حریم خصوصی توصیه کرد. JPC همچنین تعریف جامعی از Consent Manager را توصیه کرده است که به یک مدیر داده امکان می دهد رضایت خود را از طریق یک پلتفرم قابل دسترس، شفاف و قابل همکاری ارائه، پس گرفتن، بررسی و مدیریت کند.
در لایحه حفاظت از داده های شخصی 2019، بند 16 در مورد پردازش داده های شخصی و داده های شخصی حساس کودکان وجود دارد. GDPR بند مشابهی دارد، اما فقط داده های شخصی کودکان را ذکر می کند. JPC توصیه کرده است عبارت “داده های شخصی حساس” حذف شود و “داده های شخصی کودکان” حفظ شود.
در بند مربوط به “حق پاک کردن”، GDPR تعهد کنترل کننده را برای پاک کردن داده ها در صورتی که موضوع داده رضایت مربوط به پردازش داده ها را پس بگیرد، بیان می کند. JPC مشاهده کرد که در لایحه اولیه PDP، اصطلاح پردازش به صراحت در بند مربوط به “حق فراموش شدن” ذکر نشده است و توصیه کرده است که “پردازش” را به عنوان یک اصطلاح صریح اضافه کنید.
GDPR بیان میکند که هرگونه نقض دادههای شخصی باید ظرف 72 ساعت پس از آگاهی کنترلکننده به مقام نظارتی گزارش شود. به طور مشابه، JPC یک بازه زمانی گزارش تخلف مشابه را توصیه کرده است.
علاوه بر شباهتها، حوزههای خاصی وجود دارد که JPC نظرات متفاوتی دارد یا در مقایسه با GDPR در توصیههای خود دقیقتر بوده است.
آیا تغییر نام کمکی خواهد کرد؟
GDPR با دادههای شخصی سروکار دارد و اصول حفاظت از دادهها در مورد اطلاعات ناشناس اعمال نمیشود، با این حال JPC پیشنهاد کرده است که لایحه حفاظت از دادههای شخصی را به لایحه حفاظت از داده تغییر نام دهید، زیرا باید با دادههای شخصی و غیرشخصی سروکار داشته باشد.
در GDPR آمده است که این مقررات در مورد داده های شخصی افراد متوفی اعمال نمی شود و کشورهای عضو آزادی ارائه چنین قوانینی را دارند. JPC خاطرنشان کرد: در لایحه PDP هیچ اشاره ای به حقوق فرد متوفی نشده است و توصیه کرده است بندهایی مربوط به حقوق موضوع داده ها برای اعمال حقوق خود در صورت فوت اضافه شود. در چنین شرایطی، موضوع داده باید گزینه هایی برای معرفی نماینده قانونی یا وارث یا حق فراموشی داشته باشد.
برای انتصاب یک افسر حفاظت از داده ها (DPO)، GDPR بیان می کند که DPO باید دانش تخصصی قانون حفاظت از داده ها را علاوه بر سایر تجربیات مرتبط داشته باشد. JPC مشاهده کرد که PDPB اصلی هیچ اشاره ای به صلاحیت یا موقعیت خاص DPO در شرکت ندارد. JPC توصیه کرده است که DPO علاوه بر صلاحیت ها و تجربیات فنی مورد نیاز برای یک DPO، باید یک افسر سطح ارشد در پرسنل مدیریتی ایالتی یا کلیدی شرکت باشد.
در مورد مجازات ها، GDPR هیچ شرایط زندانی را بیان نمی کند، اما جریمه هایی تا 20 میلیون یورو، یا در صورت تعهد، تا 4 درصد از کل گردش مالی جهانی سال مالی قبل را بیان می کند. JPC مجازاتهای شدیدتر بیشتری را در حدود مدت حبس تا سه سال، جریمه شخصی 2 میلیون روپیه یا هر دو علاوه بر جریمههای بزرگتر و مجازاتهای مطابق با GDPR توصیه کرده است.
JPC توصیه های بسیاری را ارائه کرده است که کل PDPB اصلی سال 2019 را پوشش می دهد. فقط می توان حدس زد که چه توصیه هایی در قانون تصویب می شود. با این حال، پس از تصویب این لایحه، قرار است بر تمام صنایع تأثیر بگذارد. به نظر میرسد آخرین توصیههای JPC به نفع شهروندان هندی است، شرکتها باید فعالانه اطمینان حاصل کنند که فرآیندهای تجاری آنها با بهترین شیوهها در مورد مدیریت دادههای شخصی همسو میشود.
(نویسنده، مدیر عامل ارشد – هند، گروه مشاوره آنکورا) است.