مقررات عمومی حفاظت از داده ها (GDPR) چند سالی است که برای حفاظت از حریم خصوصی شهروندان اتحادیه اروپا وجود دارد. در آسیای جنوب شرقی، کشورهایی مانند سنگاپور و فیلیپین قوانین مربوط به حریم خصوصی و حفاظت از داده های خود را دارند. در هند، لایحه حفاظت از داده های شخصی در دسامبر 2019 برای محافظت از داده های شخصی افراد و پیشنهادی برای ایجاد سازمان حفاظت از داده ها در پارلمان ارائه شد.

این لایحه برای بررسی و ارائه پیشنهاد به کمیته مشترک دو مجلس مجلس (JPC) ارجاع شد که پس از گذراندن بحث‌ها و بحث‌های فراوان در یک دوره حدود دو ساله، گزارش خود را در دسامبر 2021 ارائه کرد که اصلاحات زیادی را پیشنهاد می‌کرد.

این گزارش در مورد برخی از مخالفان ارائه شده توسط برخی از اعضا صحبت می کند. در شکل فعلی با توجه به توصیه‌های پیشنهادی JPC (که ممکن است توسط پارلمان تصویب شود یا نشود)، شباهت‌های خاصی با GDPR وجود دارد که در زیر فهرست شده‌اند. این فهرست جامعی نیست، اما جنبه های مهم و مشابه بین این دو مقررات را در بر می گیرد.

شباهت های بین GDPR و لایحه حفاظت از داده های شخصی
در لایحه اصلی حفاظت از داده های شخصی در سال 2019 و توصیه های ارائه شده توسط JPC، برخی از مفاهیم مانند امانتداری داده، پردازشگر داده و اصول داده مشابه کنترل کننده، پردازشگر و افراد داده در GDPR هستند. JPC همچنین به تعاریفی مانند “کنترل کننده” در GDPR اشاره کرده است که به معنای شخص حقیقی یا حقوقی، مقام عمومی، آژانس یا ارگان دیگری به تنهایی یا مشترکاً با دیگران است. JPC توصیه کرده است که سازمان های غیردولتی (NGO) را اضافه کنید تا به عنوان امانت دار داده ها رفتار شود و تحت حیطه قانون قرار گیرند. تعریف امانتداری داده برای مطابقت با GDPR گسترده شده است.

GDPR یک دوره انتقال دو ساله برای اجرا داشت و JPC همچنین یک دوره دو ساله را برای اجرای مقررات PDP توصیه کرده است.

به طور مشابه، اصطلاح “ریسک” در GDPR جنبه های گسترده تری از آسیب فیزیکی، مادی یا غیر مادی را با توجه به داده های شخصی پوشش می دهد. JPC توصیه کرده است که اصطلاح “آسیب” را برای گنجاندن دستکاری روانشناختی که استقلال فرد را مختل می کند، در نظر بگیرید.

GDPR رضایت آگاهانه افراد در مورد نحوه پردازش داده‌هایشان را با گزینه‌ای برای انتخاب یا حذف پوشش می‌دهد. JPC همچنین روشی منصفانه و شفاف برای پردازش داده ها را برای اطمینان از شفافیت و حفظ حریم خصوصی توصیه کرد. JPC همچنین تعریف جامعی از Consent Manager را توصیه کرده است که به یک مدیر داده امکان می دهد رضایت خود را از طریق یک پلتفرم قابل دسترس، شفاف و قابل همکاری ارائه، پس گرفتن، بررسی و مدیریت کند.

در لایحه حفاظت از داده های شخصی 2019، بند 16 در مورد پردازش داده های شخصی و داده های شخصی حساس کودکان وجود دارد. GDPR بند مشابهی دارد، اما فقط داده های شخصی کودکان را ذکر می کند. JPC توصیه کرده است عبارت “داده های شخصی حساس” حذف شود و “داده های شخصی کودکان” حفظ شود.

در بند مربوط به “حق پاک کردن”، GDPR تعهد کنترل کننده را برای پاک کردن داده ها در صورتی که موضوع داده رضایت مربوط به پردازش داده ها را پس بگیرد، بیان می کند. JPC مشاهده کرد که در لایحه اولیه PDP، اصطلاح پردازش به صراحت در بند مربوط به “حق فراموش شدن” ذکر نشده است و توصیه کرده است که “پردازش” را به عنوان یک اصطلاح صریح اضافه کنید.

GDPR بیان می‌کند که هرگونه نقض داده‌های شخصی باید ظرف 72 ساعت پس از آگاهی کنترل‌کننده به مقام نظارتی گزارش شود. به طور مشابه، JPC یک بازه زمانی گزارش تخلف مشابه را توصیه کرده است.

علاوه بر شباهت‌ها، حوزه‌های خاصی وجود دارد که JPC نظرات متفاوتی دارد یا در مقایسه با GDPR در توصیه‌های خود دقیق‌تر بوده است.

آیا تغییر نام کمکی خواهد کرد؟
GDPR با داده‌های شخصی سروکار دارد و اصول حفاظت از داده‌ها در مورد اطلاعات ناشناس اعمال نمی‌شود، با این حال JPC پیشنهاد کرده است که لایحه حفاظت از داده‌های شخصی را به لایحه حفاظت از داده تغییر نام دهید، زیرا باید با داده‌های شخصی و غیرشخصی سروکار داشته باشد.

در GDPR آمده است که این مقررات در مورد داده های شخصی افراد متوفی اعمال نمی شود و کشورهای عضو آزادی ارائه چنین قوانینی را دارند. JPC خاطرنشان کرد: در لایحه PDP هیچ اشاره ای به حقوق فرد متوفی نشده است و توصیه کرده است بندهایی مربوط به حقوق موضوع داده ها برای اعمال حقوق خود در صورت فوت اضافه شود. در چنین شرایطی، موضوع داده باید گزینه هایی برای معرفی نماینده قانونی یا وارث یا حق فراموشی داشته باشد.

برای انتصاب یک افسر حفاظت از داده ها (DPO)، GDPR بیان می کند که DPO باید دانش تخصصی قانون حفاظت از داده ها را علاوه بر سایر تجربیات مرتبط داشته باشد. JPC مشاهده کرد که PDPB اصلی هیچ اشاره ای به صلاحیت یا موقعیت خاص DPO در شرکت ندارد. JPC توصیه کرده است که DPO علاوه بر صلاحیت ها و تجربیات فنی مورد نیاز برای یک DPO، باید یک افسر سطح ارشد در پرسنل مدیریتی ایالتی یا کلیدی شرکت باشد.

در مورد مجازات ها، GDPR هیچ شرایط زندانی را بیان نمی کند، اما جریمه هایی تا 20 میلیون یورو، یا در صورت تعهد، تا 4 درصد از کل گردش مالی جهانی سال مالی قبل را بیان می کند. JPC مجازات‌های شدیدتر بیشتری را در حدود مدت حبس تا سه سال، جریمه شخصی 2 میلیون روپیه یا هر دو علاوه بر جریمه‌های بزرگ‌تر و مجازات‌های مطابق با GDPR توصیه کرده است.

JPC توصیه های بسیاری را ارائه کرده است که کل PDPB اصلی سال 2019 را پوشش می دهد. فقط می توان حدس زد که چه توصیه هایی در قانون تصویب می شود. با این حال، پس از تصویب این لایحه، قرار است بر تمام صنایع تأثیر بگذارد. به نظر می‌رسد آخرین توصیه‌های JPC به نفع شهروندان هندی است، شرکت‌ها باید فعالانه اطمینان حاصل کنند که فرآیندهای تجاری آنها با بهترین شیوه‌ها در مورد مدیریت داده‌های شخصی همسو می‌شود.

(نویسنده، مدیر عامل ارشد – هند، گروه مشاوره آنکورا) است.