Hindistan'ın Dijital Kişisel Verileri Koruma Yasası, 2023: Dijital Gizlilik İçin Bir Dönüm Noktası

Hindistan'ın yeni Dijital Kişisel Verileri Koruma Yasası, 2023, kişisel verilerin toplanması veya yönetilmesiyle ilgilenen tüm kuruluş veya işletmeler için geçerlidir. Kanun yalnızca Hindistan'daki veri işlemeyi kapsamıyor; aynı zamanda Hindistan dışında gerçekleşen veri işleme konusunda da yetkiye sahiptir.

Hindistan'ın hızla gelişen teknoloji ortamı, Dijital Kişisel Verilerin Korunması (DPDP) Yasa Tasarısının 2022'de sunulması ve ardından kabul edilmesiyle önemli bir dönüm noktasına ulaştı. Bu önemli yasa, 5 Temmuz'da Birlik Kabinesi'nden onay aldı ve Parlamentonun Muson Oturumu sırasında sunuldu. 20 Temmuz 2023'te başladı. Yasama sürecinde hızla ilerleyerek hem 7 Ağustos'ta alt mecliste (Lok Sabha) hem de 9 Ağustos'ta üst mecliste (Rajya Sabha) onay aldı.

Hindistan Hükümeti'nin Gazete bildiriminde belirtildiği üzere, Başkanın 11 Ağustos 2023'te verilen resmi onayıyla, 2022 Dijital Kişisel Verilerin Korunması Kanunu resmi olarak 2023 Dijital Kişisel Verilerin Korunması Kanunu'na geçti.

2023 tarihli Dijital Kişisel Verilerin Korunması Yasası'nın kapsamı Hindistan sınırlarının ötesine uzanıyor ve yurtdışında yürütüldüğünde bile dijital kişisel verilerin işlenmesini de kapsıyor.

ProcessIT Global Yönetim Kurulu Başkanı ve Genel Müdürü Bay Rajarshi Bhattacharyya , Yasayı Avrupa Birliği'nin (AB) mevcut Genel Veri Koruma Yönetmeliği (GDPR) ile karşılaştırdı. “GDPR bir süre önce ortaya çıktığı için daha gelişmiş durumda. Bu politika daha ileri ve kapsamlı olup Hindistan'ın ilerlemesini daha da ileriye taşıyacaktır.”

Rajarshi Bhattacharyya: Siber Dayanıklılık, Hükümet Politikası ve Veri Güvenliği İçgörüleri

ProcessIT Global'den Rajarshi Bhattacharyya'nın siber dayanıklılık alanlarını, hükümet politikası sonuçlarını ve günümüzün dijital ortamında veri güvenliğinin önemli yönlerini araştırırken değerli içgörülerini edinin.

Sayantan Mondal StartupTalky

Endüstri kuruluşu IAMAI ve pazar veri analitiği şirketi Kantar'ın 'Hindistan'da İnternet Raporu 2022' olarak bilinen ortak raporuna göre, Hindistan nüfusunun yarısından fazlasının (759 milyon kişi) aktif olarak interneti kullandığı ortaya çıktı. Raporda ayrıca bu aktif kullanıcılardan 399 milyonunun Hindistan'ın kırsal kesimlerinde ikamet ettiği ve kentsel alanlardaki 360 milyon kullanıcıyı aştığı vurgulanıyor. Bu, ülkedeki internet genişlemesinin öncelikle kırsal Hindistan tarafından desteklendiğini gösteriyor.

Yeni Veri Koruma Yasası Etik Yapay Zeka ve Küresel Erişime Önem Veriyor
Kuruluşlara İlişkin Yükümlülükler
Kişisel Verilerinize İlişkin Haklarınız ve Görevleriniz
Sağlık Sektörü Etkiye Yönelik Destekler

Yeni Veri Koruma Yasası Etik Yapay Zeka ve Küresel Erişime Önem Veriyor

HaiVE CEO'su Deepika Loganathan şunları söyledi: "2023 Sayılı Dijital Kişisel Verilerin Korunması Yasası'nın (DPDPA-2023) Hindistan Parlamentosu tarafından kabul edilmesini memnuniyetle karşılıyoruz. Bu dönüm noktası niteliğindeki mevzuat, etik yapay zeka ve veri korumasına yönelik uzun süredir devam eden taahhüdümüzle mükemmel bir şekilde uyum sağlıyor. Şirket içi yapay zeka çözümlerine yönelik mevcut çerçevemizin, Kanunda belirtilen yedi ilke ve yükümlülüğe halihazırda yakından uyduğunu duyurmaktan memnuniyet duyuyoruz."

Kanun, kişisel verilerin toplanması veya yönetilmesiyle ilgilenen her türlü kuruluş veya işletme için geçerlidir. Bu kuruluşları iki gruba ayırmaktadır: İşlemenin nedenlerini ve yöntemlerini belirleyenler ( Veri Sorumluları olarak anılacaktır) ve Veri Sorumlularının talimatlarına göre işlemeyi gerçekleştirenler ( Veri İşleyicileri olarak anılacaktır).

Kanun yalnızca Hindistan'daki veri işlemeyi kapsamıyor; aynı zamanda Hindistan dışında gerçekleşen, özellikle Hindistan'daki bireylere sunulan mal ve hizmetlere ilişkin veri işleme konusunda da yetkisi vardır. Bu, fiziksel konumlarına bakılmaksızın Hindistan'da ikamet edenlere ürün veya hizmet sunan tüm işletmelerin, Hindistan'ın yetki alanına gireceği anlamına geliyor.

Digitap CEO'su Bay Nageen Kommu şunları söyledi: “Digitap olarak kendimizi veri işleyicileri olarak görüyoruz. Verileri saklamıyoruz; veri emanetçisi olan müşterilerimiz adına işleriz. Veri işleyiciler için özel yönergeler olmasa da, veri mutemetlerinin izlediği aynı politika ve prosedürleri gönüllü olarak benimseriz. Bir müşterinin onayı iptal etmek istemesi durumunda, Kanun gerekliliklerine uygun olarak verilerin silinmesini sağlıyoruz."

Ayrıca yasanın aynı zamanda depolama ve iletim sırasında veri güvenliğini de ele aldığını ve Digitap'in halihazırda güçlü güvenlik mekanizmalarına sahip olduğunu, çünkü RBI'nin Hindistan'da veri yerelleştirmesini zorunlu kılan dış kaynak kullanımı normlarıyla ilgilendiklerini belirtti.

Kuruluşlara İlişkin Yükümlülükler

Kanun, kişisel verilerin işlenmesi söz konusu olduğunda kuruluşların uyması gereken çeşitli yükümlülükleri özetlemektedir. Temel sorumluluklardan bazıları şunlardır:

1. Kişilerin kişisel verilerini toplamadan önce bilgilendirilmesi, hangi verilerin toplanacağını, hangi amaçlarla kullanılacağını ve kişilerin sahip olduğu hakları belirtmek.
2. Gerektiğinde rızanın alınması veya meşru sebeplere dayanılması.
3. Yalnızca belirtilen amaç için gerekli olan kişisel verileri toplamak.
4. Kişisel verileri yalnızca amaç için gerekli olduğu süre kadar muhafaza etmek ve daha sonra silmek.
5. Bireylerin dile getirdiği şikâyet ve kaygıların ele alınmasına yönelik bir mekanizmanın kurulması.
6. Uygun teknik ve organizasyonel güvenlik önlemlerinin uygulanması.
7. Kişisel verilerin ihlali durumunda Veri Koruma Kuruluna ve etkilenen kişilere bildirimde bulunmak.
8. Ebeveyn veya veli onayı almak ve çocuklara veya engelli bireylere zarar verebilecek davranış izleme, izleme veya işleme gibi faaliyetlerden kaçınmak.
9. Kişisel verilerin Hindistan dışına aktarımının belirli bölgelerle sınırlandırılması.
10. Veri koruma etki değerlendirmeleri, periyodik veri denetimleri yürütmek ve Önemli Veri Mütevelli Heyeti için bir Veri Koruma Görevlisi ve denetçiler atamak.
11. Kişisel verilerin sınır ötesi aktarımına ilişkin gerekliliklere uymak ve geçerli muafiyetleri aramak.

Loganathan, 2023 tarihli Dijital Kişisel Verilerin Korunması Yasası'nın yükümlülüklerine daha fazla uyum sağlamak amacıyla HaiVE'nin şirket politikaları ve süreçlerinde ince ayar yapma sürecinde olduğunu belirtti. “Ekibimiz ve müşterilerimiz için kapsamlı bir rehber görevi görecek bir 2023 Dijital Kişisel Veri Koruma Yasası uyumluluk çerçevesi geliştiriyoruz. Bu çerçeve, Hindistan'da gelecekte gerçekleştireceğimiz tüm faaliyetlere otomatik olarak uygulanarak Kanun hükümlerine kusursuz uyum sağlanacaktır" diye ekledi.

Kişisel Verilerinize İlişkin Haklarınız ve Görevleriniz

Kanun kapsamında bireylere, kişisel verilerinin nasıl işleneceğine ilişkin belirli haklar tanınmıştır. Bu haklar şunları kapsar:

• Erişim Hakkı : Kişiler, kişisel verileri işleniyorsa bilgilendirilme hakkına sahiptir. İşlenen verilerin bir özetini, işleme faaliyetlerine ilişkin ayrıntıları (hedefli reklam için kullanımı gibi), verilerinin paylaşıldığı kuruluşların kimliklerini (işleyiciler veya üçüncü taraflar gibi) ve paylaşılan veri türlerini talep edebilirler. .
• Düzeltme ve Silme Hakkı : Kişiler, özellikle bu verilerin başka kurumlarla paylaşılması veya karar alma amacıyla kullanılması halinde, hatalı veya yanıltıcı verileri düzelttirme, eksik verileri tamamlama ve kişisel verilerini güncelleştirme hakkına sahiptir. Ayrıca kişisel verilerinin silinmesini talep edebilirler (veya rıza esas alınıyorsa rızayı geri çekebilirler), ancak kuruluşlar yasal uyumluluk için gerekli olması halinde bu verileri saklayabilirler.
• Şikayetin Giderilmesi ve Aday Gösterilme Hakkı : Kanun, bireylerin Kanuna uyum konusunda kuruluşlara şikayette bulunmalarına olanak tanıyan bir şikayet giderme mekanizması sunmaktadır. Varlıkların belirli bir zaman dilimi içinde yanıt vermesi gerekir. Alınan yanıttan memnun kalınmayan kişiler konuyu Veri Koruma Kurulu'na iletebilir. Ayrıca bireyler, ehliyetsiz kalmaları veya vefat etmeleri halinde, kişisel verilere ilişkin haklarını kullanmak üzere birini aday gösterebilmektedir.
• Görevler : Kanun aynı zamanda bireylere yönelik doğru bilgi sağlamak, başkasının kimliğine bürünmekten kaçınmak, maddi bilgileri saklamak veya Veri Koruma Kurulu'na asılsız şikayetlerde bulunmak gibi belirli sorumlulukları da özetlemektedir.

Sağlık Sektörü Etkiye Yönelik Destekler

Artemis Hospitals Gurugram, Tıbbi Bilişimden Sorumlu Baş Teknoloji Sorumlusu Kapil Kumar, bunun sağlık sektörü üzerindeki etkilerine ilişkin endişelerini dile getirdi. "Elektronik sağlık kayıtları ve teletıp gibi dijital sağlık teknolojilerinin artan kullanımı nedeniyle, 2023 tarihli Dijital Kişisel Verilerin Korunması Kanununun sağlık sektörü üzerinde önemli bir etkisi olacaktır." dedi.

Bay Kumar'a göre bu tedbir, hassas hasta verilerinin toplanmasını, saklanmasını ve dağıtımını düzenlemeyi ve böylece bireylerin mahremiyet haklarını korumayı amaçlıyor. Ayrıca bunun önemini vurgulayan önceki olaylara da atıfta bulundu. Örneğin 2019 yılında yaklaşık 6,8 milyon hasta ve doktorun sağlık kayıtlarının ele geçirilmesine neden olan yetkisiz erişim ihlali yaşandı. Benzer şekilde, 2021'de Hindistan hükümetinin web sitelerinin ihlali, 1.500'den fazla sakinin COVID-19 laboratuvar sonuçlarını açığa çıkardı. Kerala'da 200.000'den fazla hastanın kişisel bilgileri yanlışlıkla ifşa edildi. Bu düzenleme, sağlık sektöründe veri gizliliğinin savunucusu olarak ortaya çıkıyor.

Kanun, esas olarak güvenlik ihlali durumlarında ve yalnızca belirli veri türleri (hassas kişisel veriler) için sınırlı koruma sağlayan mevcut yasadan önemli ölçüde farklıdır. Buna karşılık Kanun, sorumluluklar yükleyerek ve bireylere kişisel bilgileri üzerinde daha fazla kontrol ve farkındalık vererek kişisel veriler için kapsamlı korumalar sunmaktadır.

Kanun, bireylerin dijital haklarının korunmasında tartışmasız önemli bir ilerlemeye işaret etse de, Veri Koruma Kurulu'nun daha sonraki kural koyma ve savunuculuk çabaları, yalnızca bu hakların güçlendirilmesinde değil, aynı zamanda veri işleme için yapılandırılmış bir çerçeve oluşturulmasında da önemli bir rol oynayacaktır.