Yüksek Mahkemenin mahremiyeti temel bir hak olarak kabul etmesinden yaklaşık altı yıl sonra, hükümet verileri korumak için yasalar hazırlamak için ikinci bir şans veriyor. İlk olarak Kasım ayında önerilen Dijital Kişisel Verilerin Korunması Yasası 2022, 20 Temmuz’da başlayacak olan Parlamento Muson Oturumunda sunulacak.
Birlik Kabinesi bu ayın başlarında yasa tasarısını onayladı. Tasarının belirli ayrıntıları, Parlamento’da resmen tanıtılıncaya kadar hâlâ gizli olsa da, tartışmalara katılan uzmanlar, Kasım taslağındaki bazı çekişmeli konuların saklandığını ortaya çıkardı. Bu hususlar arasında, Merkez ve acenteleri için kapsamlı muafiyetlerin yanı sıra veri koruma kurulunun yetkilerinin azaltılması yer almaktadır.
Bu Tasarı yasalaştığında, Hindistan’ın diğer ülkelerle, özellikle de Genel Veri Koruma Kuralları (GDPR) kapsamında katı gizlilik yasalarına sahip Avrupa Birliği gibi bölgelerle yaptığı ticaret müzakerelerinde önemli bir öneme sahip olacak.
İlgili Makaleler
Kişisel Verileri Koruma Yasası, şirketlerin kullanıcıların verilerine erişmesini istiyor
Firstpost Podcast: Kişisel Verileri Koruma Kanunu Nedir?
Neden bir Kişisel Verileri Koruma Kanununa ihtiyacımız var?
Mevcut durum itibariyle, Hindistan’ın özel olarak veri korumaya adanmış kapsamlı bir mevzuatı yoktur. Bunun yerine, kişisel veri kullanımına ilişkin düzenleme, 2000 tarihli Bilgi Teknolojisi (BT) Yasasına tabidir. Ancak, bu çerçevenin, kişisel verilerin etkili bir şekilde korunmasında yetersiz olduğu kabul edilmiştir.
2017’de Hindistan hükümeti, ülke içindeki veri koruma endişelerini ele almak için Yargıç BN Srikrishna liderliğinde bir Veri Koruma Uzmanları Komitesi kurdu. Komite raporunu Temmuz 2018’de sunmuştur.
Komitenin tavsiyelerinin ardından, 2019 Kişisel Verileri Koruma Yasası Aralık 2019’da Lok Sabha’da tanıtıldı. Tasarı, Aralık 2021’de raporunu sunan Ortak Parlamento Komisyonu tarafından incelemeye tabi tutuldu. Ancak, Yasa Tasarısı Ağustos 2022’de Parlamento’dan çekildi.
Kasım 2022’de, 2022 Sayılı Dijital Kişisel Verileri Koruma Yasa Tasarısı taslağı, genel halktan geri bildirim toplamak için Elektronik ve Bilgi Teknolojileri Bakanlığı tarafından kamuoyuna sunuldu. 5 Temmuz’da, Tasarı taslağı Birlik Kabinesinden onay aldı.
2022 tarihli Dijital Kişisel Verileri Koruma Yasası, Merkez tarafından geliştirilmekte olan kapsamlı teknoloji düzenleme çerçevesinin çok önemli bir unsurudur. Bu çerçeve aynı zamanda 2000 tarihli Bilgi Teknolojisi Kanunu’nun, 2022 tarihli Hindistan Telekomünikasyon Kanunu taslağının ve kişisel olmayan veri yönetişimine yönelik bir politikanın yerini alması amaçlanan Dijital Hindistan Kanunu’nu da içermektedir.
Bir önceki yılın Ağustos ayında hükümet, yaklaşık dört yıllık bir geliştirme, birden çok revizyon ve Parlamento Ortak Komisyonu tarafından gözden geçirme sürecinden geçen veri koruma Yasa Tasarısının önceki bir versiyonunu Parlamentodan geri çekmişti. Teknoloji şirketleri ve mahremiyet aktivistleri dahil olmak üzere çeşitli paydaşların muhalefetiyle karşılaştı.
Teklif edilen yasa, Hindistan’da dijital kişisel verilerin işlenmesine ve Hindistan’daki kişilere mal veya hizmet sunulmasını veya kişilerin profillerinin çıkarılmasını içeriyorsa, ülke dışında veri işlemeye uygulanacaktır.
Veri mutemetleri olarak bilinen kişisel verileri toplayan kuruluşların, veri doğruluğunu sürdürmesi, veri güvenliğini sağlaması ve amacı yerine getirildikten sonra verileri silmesi gerekecektir.
Tasarının, hükümlerini ihlal eden kuruluşların veri koruma kuruluna başvurmasına izin veren bir “gönüllü taahhüt” seçeneği sunması bekleniyor. Kurul, uzlaşma ücretinin kabul edilmesi halinde kuruluşa karşı takibattan feragat etmeye karar verebilir. Resmi bir açıklamaya göre, aynı nitelikteki tekrarlanan suçlar daha yüksek mali cezalara neden olabilir.
Örnek başına 250 Rs olarak belirlenen en yüksek ceza, bir veri ihlalini önleyememek için uygulanacaktır. Devlet yetkililerinin resmi olmayan görüşmelerde açıkladığı gibi, “örnek başına” tanımı özneldir. Tek bir veri ihlali örneğine atıfta bulunabilir veya etkilenen bireylerin sayısını 250 Rs ile çarparak hesaba katabilir.
Veri koruma kurulu, bu hükümleri olay bazında yorumlama yetkisine sahip olacaktır.
Taslak Dijital Kişisel Verileri Koruma Yasası, 2022 ile ilgili sorunlar
Kabine tarafından onaylanan Tasarının, özellikle gizlilik uzmanları tarafından vurgulananlar olmak üzere, Kasım 2022’de önerilen orijinal versiyonla çoğunlukla aynı hükümleri koruduğuna inanılıyor.
Merkezi hükümet ve onun kurumları için geniş çapta eleştirilen muafiyetler, Tasarıda değişmeden kaldı. Merkezi hükümetin, diğer nedenlerin yanı sıra ulusal güvenlik, yabancı devlet ilişkileri ve kamu düzenini sağlama gerekçeleriyle “devletin her türlü aracını” veri koruma hükümlerine bağlı kalmaktan muaf tutabileceği anlaşılmaktadır.
Ayrıca, mahremiyetle ilgili şikayet ve ihtilaflarda yargı organı olarak görev yapan veri koruma kurulunun üyelerinin atanmasında merkezi hükümetin kontrolü de korunmuştur. Merkezi hükümet, yönetim kurulu başkanını atayacak ve hizmet şartlarını ve koşullarını belirleyecektir.
Yeni yasanın, hükümet yetkililerinin kişisel verilerini koruyabileceği ve bu tür bilgilerin bir RTI başvuru sahibiyle paylaşılmasını zorlaştıracağı için Bilgi Edinme Hakkı (RTI) Yasasını zayıflatabileceğine dair endişeler var.
2023 sürümündeki değişiklikler
Tasarının son taslağında, uluslararası yargı bölgelerine sınır ötesi veri akışının ele alınmasına ilişkin önemli bir değişiklik getirildi. Yaklaşım, ‘beyaz liste’ mekanizmasından ‘kara liste’ yaklaşımına geçmiştir.
Daha önce önerilen versiyonda, veriler, belirli bir ‘negatif listede’ listelenen ülkeler dışında, esasen veri aktarımlarının yasaklanacağı ulusların kara listesinde yer alan ülkeler dışında, varsayılan olarak tüm yetki alanlarına küresel olarak aktarılabilir. Ancak Kasım ayında kamuoyunun görüşüne sunulan taslakta, merkezi hükümetin Hindistan vatandaşlarının kişisel verilerinin aktarılabileceği bir ‘beyaz liste’deki ülke veya bölgeleri bilgilendireceği, yani aktarımların yalnızca belirtilen yargı bölgelerine izin verileceği belirtildi.
Bir diğer dikkat çekici değişiklik ise bir önceki taslakta yer alan “rıza sayılan” hükmüyle ilgili. Bu hükmün yeniden ifade edilmesinin, devlet dairelerinin ulusal güvenlik ve kamu yararı gerekçesiyle kişisel verilerin işlenmesi için onay almasına izin verirken, özel kuruluşlara daha katı gereklilikler getirmesi beklenmektedir.
Hindistan vs dünyanın geri kalanı
Hindistan, kendi kişisel veri koruma yasalarına sahip olmak için gelişmekte olan ve üçüncü dünya ülkeleri de dahil olmak üzere diğer birçok ülkeye katılacak. Diğer birçok ülkenin temeli gibi görünen üç büyük yasa tasarısı ABD, AB ve Çin’e aitti.
Hindistan’daki Kişisel Verileri Koruma Yasası taslağı, son kullanıcılara veya Hintli nüfusa odaklanırken üç ülkenin bir dengesi gibi görünüyor. Hintli şirketlerin yabancılara göre verilere bir dereceye kadar daha fazla erişimi ve hareket alanı olduğunu söyledikten sonra.
Çin Modeli: Çin, yakın zamanda, Kasım 2021’de yürürlüğe giren Kişisel Bilgileri Koruma Yasası (PIPL) dahil olmak üzere yeni veri gizliliği ve güvenliği yasalarını uygulamaya koydu. PIPL, Çinli veri sahiplerine yeni haklar veriyor ve kişisel verilerin kötüye kullanılmasını önlemeyi amaçlıyor.
Eylül 2021’de yürürlüğe giren Veri Güvenliği Kanunu (DSL), işletmeler için bazı temel gereklilikler getirmektedir. Hükümlerden biri, iş verilerinin önem düzeyine göre sınıflandırılmasını zorunlu kılar. Ek olarak, DSL, sınır ötesi veri aktarımlarına yeni kısıtlamalar getirir. Bu önlemler, veri güvenliğini artırmayı ve ülke içinde ve dışında hassas bilgileri korumayı amaçlamaktadır.
AB Modeli: GDPR, kişisel verilerin işlenmesini düzenleyen kapsamlı bir veri koruma yasasıdır. Bazı eleştirmenler bunun aşırı derecede katı olduğunu ve veri işleyen kuruluşlara önemli yükümlülükler yüklediğini iddia etse de, dünya çapındaki veri koruma mevzuatı için birincil model olarak hizmet ediyor.
ABD Modeli: ABD mahremiyet koruma modeli, bireylerin kişisel alanlarını hükümetin izinsiz girişinden korumaya odaklanarak “özgürlüğün korunmasını” vurgular. Ancak, kişisel bilgilerin toplanmasına ve kullanılmasına ilişkin bilgi sahibi olunduğu müddetçe izin verildiği için daha dar bir kapsama sahip olarak algılanmaktadır.
