• Beranda
  • Artikel
  • Pemasaran
  • Undang-Undang Perlindungan Data Pribadi Digital India, 2023: Sebuah Tonggak Penting bagi Privasi Digital

Undang-Undang Perlindungan Data Pribadi Digital India, 2023: Sebuah Tonggak Penting bagi Privasi Digital

Diterbitkan: 2023-09-21

Undang-Undang Perlindungan Data Pribadi Digital India yang baru, tahun 2023, berlaku untuk organisasi atau bisnis mana pun yang terlibat dalam pengumpulan atau pengelolaan data pribadi. Undang-undang ini tidak hanya mencakup penanganan data di India; ia juga memiliki wewenang atas pemrosesan data yang terjadi di luar India.

Lanskap teknologi India yang berkembang pesat telah mencapai tonggak sejarah yang signifikan dengan diperkenalkannya dan disahkannya RUU Perlindungan Data Pribadi Digital (DPDP) pada tahun 2022. Undang-undang penting ini mendapat persetujuan dari Kabinet Persatuan pada tanggal 5 Juli dan dipresentasikan pada Sesi Parlemen Musim Hujan , yang dimulai pada tanggal 20 Juli 2023. Proses ini dengan cepat melewati proses legislatif dan mendapatkan persetujuan di majelis rendah (Lok Sabha) pada tanggal 7 Agustus dan majelis tinggi (Rajya Sabha) pada tanggal 9 Agustus.

Dengan persetujuan resmi Presiden yang diberikan pada tanggal 11 Agustus 2023, sebagaimana tercantum dalam pemberitahuan Lembaran Negara India, RUU Perlindungan Data Pribadi Digital tahun 2022 secara resmi dialihkan menjadi Undang-Undang Perlindungan Data Pribadi Digital tahun 2023.

Jangkauan Undang-Undang Perlindungan Data Pribadi Digital tahun 2023 melampaui batas negara India, mencakup pemrosesan data pribadi digital bahkan ketika dilakukan di luar negeri.

Bapak Rajarshi Bhattacharyya, Ketua dan Direktur Pelaksana ProcessIT Global , membandingkan Undang-undang tersebut dengan Peraturan Perlindungan Data Umum (GDPR) Uni Eropa (UE) yang ada. Katanya, “Lebih maju karena GDPR keluar beberapa waktu lalu. Kebijakan ini lebih maju dan komprehensif, yang akan memajukan kemajuan India.”

Rajarshi Bhattacharyya: Ketahanan Siber, Kebijakan Pemerintah, dan Wawasan Keamanan Data
Dapatkan wawasan berharga dari Rajarshi Bhattacharyya dari ProcessIT Global saat ia mempelajari bidang ketahanan siber, implikasi kebijakan pemerintah, dan aspek penting keamanan data dalam lanskap digital saat ini.
Sayantan Mondal StartupTalky

Berdasarkan laporan kolaboratif dari organisasi industri IAMAI dan perusahaan analisis data pasar Kantar, yang dikenal sebagai 'Laporan Internet di India 2022', terungkap bahwa lebih dari separuh penduduk India, yang berjumlah 759 juta orang, aktif menggunakan internet, mengaksesnya setidaknya sebulan sekali selama tahun 2022. Laporan ini juga menyoroti bahwa dari pengguna aktif ini, 399 juta berada di pedesaan India, melampaui 360 juta pengguna di wilayah perkotaan. Hal ini menunjukkan bahwa ekspansi internet di negara ini terutama didorong oleh daerah pedesaan di India.

Undang-Undang Perlindungan Data Baru Menekankan AI yang Etis dan Jangkauan Global
Kewajiban untuk Entitas
Hak dan Kewajiban Anda Terkait Data Pribadi Anda
Sektor Kesehatan Bersiap Menghadapi Dampak

Undang-Undang Perlindungan Data Baru Menekankan AI yang Etis dan Jangkauan Global

Deepika Loganathan, CEO HaiVE , berkata, “Kami sangat senang menyambut pemberlakuan Undang-Undang Perlindungan Data Pribadi Digital, 2023 (DPDPA-2023) oleh Parlemen India. Undang-undang penting ini selaras dengan komitmen jangka panjang kami terhadap etika AI dan perlindungan data. Kami dengan bangga mengumumkan bahwa kerangka kerja kami yang ada untuk solusi AI lokal telah mematuhi tujuh prinsip dan kewajiban yang digariskan dalam Undang-undang tersebut.”

Undang-undang ini berlaku untuk organisasi atau bisnis mana pun yang terlibat dalam pengumpulan atau pengelolaan data pribadi. Ini mengkategorikan organisasi-organisasi ini menjadi dua kelompok: organisasi yang menentukan alasan dan metode pemrosesan (disebut sebagai Data Fidusia ) dan organisasi yang melakukan pemrosesan berdasarkan instruksi dari Data Fiduciaries (disebut sebagai Pemroses Data ).

Undang-undang ini tidak hanya mencakup penanganan data di India; ia juga memiliki wewenang atas pemrosesan data yang terjadi di luar India, khususnya mengenai barang dan jasa yang ditawarkan kepada individu di India. Artinya, setiap bisnis yang menawarkan barang atau jasa kepada penduduk India, terlepas dari lokasi fisiknya, akan berada di bawah yurisdiksinya.

Bapak Nageen Kommu, CEO Digitap , berkata, “Di Digitap, kami menganggap diri kami sebagai pemroses data. Kami tidak menyimpan data; kami memprosesnya atas nama klien kami, yang merupakan pemegang fidusia data. Meskipun mungkin tidak ada pedoman khusus untuk pemroses data, kami secara sukarela mengadopsi kebijakan dan prosedur yang sama dengan yang diikuti oleh pemegang fidusia data. Jika pelanggan ingin mencabut persetujuannya, kami memastikan bahwa datanya dihapus, sesuai dengan persyaratan Undang-undang."

Dia juga menyebutkan bahwa undang-undang tersebut juga membahas keamanan data selama penyimpanan dan transmisi dan Digitap sudah memiliki mekanisme keamanan yang kuat, karena mekanisme tersebut sesuai dengan norma outsourcing RBI, yang mengamanatkan lokalisasi data di India.

Kewajiban untuk Entitas

Undang-undang tersebut menguraikan beberapa kewajiban yang harus dipatuhi oleh entitas ketika menangani data pribadi. Beberapa tanggung jawab utama meliputi:

  1. Memberi tahu individu sebelum mengumpulkan data pribadinya, menentukan data apa yang akan dikumpulkan, tujuan penggunaannya, dan hak yang dimiliki individu.
  2. Memperoleh persetujuan atau mengandalkan alasan yang sah bila diperlukan.
  3. Hanya mengumpulkan data pribadi yang diperlukan untuk tujuan yang disebutkan.
  4. Menyimpan data pribadi hanya selama diperlukan untuk tujuan yang dimaksudkan dan menghapusnya setelahnya.
  5. Membangun mekanisme untuk mengatasi keluhan dan kekhawatiran yang diajukan oleh individu.
  6. Menerapkan langkah-langkah keamanan teknis dan organisasi yang tepat.
  7. Memberi tahu Dewan Perlindungan Data dan individu yang terkena dampak jika terjadi pelanggaran data pribadi.
  8. Meminta persetujuan orang tua atau wali dan menahan diri dari aktivitas seperti pemantauan, pelacakan, atau pemrosesan perilaku yang dapat membahayakan anak-anak atau individu penyandang disabilitas.
  9. Membatasi transfer data pribadi di luar India ke wilayah tertentu.
  10. Melakukan penilaian dampak perlindungan data, audit data berkala, dan menunjuk Petugas Perlindungan Data dan auditor untuk Fidusia Data Penting.
  11. Mematuhi persyaratan terkait transfer data pribadi lintas batas dan mengupayakan pengecualian yang berlaku.

Untuk lebih menyelaraskan dengan kewajiban Undang-Undang Perlindungan Data Pribadi Digital tahun 2023, Loganathan menyatakan bahwa HaiVE sedang dalam proses menyempurnakan kebijakan dan proses perusahaan. “Kami sedang mengembangkan Undang-Undang Perlindungan Data Pribadi Digital, 2023, kerangka kepatuhan yang akan berfungsi sebagai panduan komprehensif untuk tim kami dan klien kami. Kerangka kerja ini secara otomatis akan berlaku untuk semua keterlibatan kami di masa depan di India, memastikan kepatuhan terhadap ketentuan Undang-undang,” tambahnya.

Hak dan Kewajiban Anda Terkait Data Pribadi Anda

Individu telah diberikan hak khusus berdasarkan undang-undang mengenai cara penanganan data pribadi mereka. Hak-hak ini meliputi:

  • Hak Akses : Individu mempunyai hak untuk diberitahu jika data pribadinya sedang diproses. Mereka dapat meminta ringkasan data yang sedang diproses, detail tentang aktivitas pemrosesan (seperti penggunaannya untuk iklan bertarget), identitas entitas yang datanya dibagikan (seperti pemroses atau pihak ketiga), dan jenis data yang dibagikan .
  • Hak atas Koreksi & Penghapusan : Individu mempunyai hak untuk mengoreksi data yang tidak akurat atau menyesatkan, melengkapi data yang tidak lengkap, dan memperbarui data pribadinya, terutama ketika data tersebut dibagikan kepada entitas lain atau digunakan untuk pengambilan keputusan. Mereka juga dapat meminta penghapusan data pribadi mereka (atau menarik persetujuan jika izin menjadi dasarnya), meskipun entitas dapat menyimpannya jika diperlukan untuk kepatuhan hukum.
  • Hak atas Penyelesaian Keluhan & Nominasi : Undang-undang ini memperkenalkan mekanisme penyelesaian keluhan yang memungkinkan individu untuk mengajukan keluhan kepada entitas mengenai kepatuhan terhadap Undang-undang. Entitas harus merespons dalam jangka waktu tertentu. Jika tidak puas dengan tanggapan yang diberikan, individu dapat meneruskan masalah tersebut ke Dewan Perlindungan Data. Selain itu, individu dapat mencalonkan seseorang untuk menggunakan haknya terkait data pribadi jika orang tersebut tidak mampu atau meninggal dunia.
  • Tugas : Undang-undang ini juga menguraikan tanggung jawab tertentu bagi individu, seperti memberikan informasi yang akurat, tidak melakukan peniruan identitas, menyembunyikan informasi penting, atau menyampaikan keluhan palsu kepada Dewan Perlindungan Data.

Tagihan dan Tindakan: Undang-Undang Perlindungan Data Pribadi Digital, 2023 | 19 Agustus 2023

Sektor Kesehatan Bersiap Menghadapi Dampak

Kapil Kumar, Chief Technology Officer- Medical Informatics, Artemis Hospitals Gurugram telah menyuarakan keprihatinan tentang implikasinya pada sektor perawatan kesehatan. Dia berkata, “Karena meningkatnya penggunaan teknologi kesehatan digital seperti catatan kesehatan elektronik dan telemedis, Undang-Undang Perlindungan Data Pribadi Digital tahun 2023 akan berdampak signifikan pada sektor kesehatan.”

Menurut Bapak Kumar, tindakan ini bertujuan untuk mengatur pengumpulan, penyimpanan, dan distribusi data sensitif pasien, sehingga menjaga hak privasi individu. Dia juga merujuk pada insiden-insiden sebelumnya yang menggarisbawahi signifikansinya. Misalnya, pada tahun 2019, terjadi pelanggaran akses tidak sah yang membahayakan catatan kesehatan hampir 6,8 juta pasien dan dokter. Hal serupa terjadi pada tahun 2021, pembobolan situs web pemerintah India mengungkap hasil laboratorium COVID-19 dari lebih dari 1.500 penduduk. Di Kerala, informasi pribadi lebih dari 200.000 pasien diungkapkan secara tidak sengaja. Peraturan ini muncul sebagai pendukung privasi data di sektor kesehatan.

Undang-undang ini sangat berbeda dengan undang-undang yang ada, yang menawarkan perlindungan terbatas, terutama jika terjadi pelanggaran keamanan, dan hanya untuk jenis data tertentu (data pribadi sensitif). Sebaliknya, Undang-undang ini menawarkan perlindungan ekstensif terhadap data pribadi dengan membebankan tanggung jawab dan memberikan kontrol dan kesadaran yang lebih besar kepada individu atas informasi pribadi mereka.

Meskipun Undang-Undang ini jelas menandai kemajuan besar dalam melindungi hak-hak digital individu, upaya advokasi dan pembuatan peraturan selanjutnya dari Dewan Perlindungan Data akan memainkan peran penting tidak hanya dalam memperkuat hak-hak ini tetapi juga membangun kerangka kerja terstruktur untuk pemrosesan data.