Quốc hội Ấn Độ thông qua Dự luật bảo vệ dữ liệu cá nhân kỹ thuật số

Thư viện

Copy

Hôm thứ Tư (9/8), Rajya Sabha (Thượng viện) đã thông qua Dự luật bảo vệ dữ liệu cá nhân kỹ thuật số (PDPB), năm 2023, với một cuộc bỏ phiếu bằng miệng sau cuộc bãi công của các thành viên phe đối lập về vấn đề Manipur. Lok Sabha (Hạ viện) đã thông qua dự luật này vào ngày 7 tháng 8.

03:00 10-08-2023 Trung tâm Nghiên cứu Ấn Độ

Dự luật này được đưa ra sau 6 năm khi Tòa án Tối cao tuyên bố "Quyền riêng tư" là quyền cơ bản, trong đó có các điều khoản để hạn chế việc lạm dụng dữ liệu của cá nhân bởi các nền tảng trực tuyến.

Sau khi Dự luật được thông qua, Bộ trưởng liên bang về điện tử và công nghệ thông tin Ashwini Vaishnaw cho biết: "140 nghìn công dân sử dụng các phương tiện kỹ thuật số để truy cập rất nhiều dịch vụ sẽ được Quốc hội bảo vệ dữ liệu ... Với dự luật này, thế giới kỹ thuật số sẽ trở thành an toàn hơn, đáng tin cậy hơn và nó sẽ có tác động đáng kể đến cuộc sống của người dân thông thường."

Bộ trưởng Bộ Điện tử và CNTT Rajeev Chandrasekhar cho biết: "Dự luật bảo vệ dữ liệu cá nhân kỹ thuật số được Quốc hội thông qua hôm nay... Sự tham gia của tôi vào vấn đề quyền riêng tư bắt đầu vào năm 2010 và dẫn đến việc tôi nộp đơn kiện lên Tòa án tối cao với tư cách là người khởi kiện nhằm đấu tranh và thành công để Quyền riêng tư được một quyền cơ bản".

Dự luật này là một nỗ lực nhằm tạo ra một luật bảo mật dữ liệu toàn diện. Nó là một phần của một nhóm các luật, bao gồm Chính sách khung quản trị CNTT quốc gia và Đạo luật Ấn Độ kỹ thuật số mới.

Theo luật này, mục đích của PDPB "là cung cấp việc xử lý dữ liệu cá nhân kỹ thuật số theo cách công nhận cả quyền của cá nhân để bảo vệ dữ liệu cá nhân của họ và nhu cầu xử lý dữ liệu cá nhân cho các mục đích hợp pháp và cho các vấn đề liên quan kèm theo hoặc ngẫu nhiên kèm theo."

"PDPB áp dụng cho dữ liệu cá nhân kỹ thuật số được xử lý ở Ấn Độ và loại trừ mọi dữ liệu cá nhân không được số hóa và dữ liệu cá nhân ngoại tuyến."

"Nó cũng áp dụng cho bất kỳ thực thể nào xử lý dữ liệu cá nhân bên ngoài Ấn Độ nhưng liên quan đến bất kỳ thực thể dữ liệu nào bên trong Ấn Độ."

Dự luật này có một điều khoản về việc thành lập Ban bảo vệ dữ liệu của Ấn Độ (DPB), đây sẽ là cơ quan quản lý đầu tiên ở Ấn Độ tập trung vào việc bảo vệ quyền riêng tư của dữ liệu cá nhân.

"DPB sẽ giám sát việc tuân thủ và áp dụng hình phạt đối với các tổ chức không tuân thủ."

Luật mới cũng thiết lập nhiều quyền của công dân, được gọi là Nguyên tắc dữ liệu:

Quyền đối với thông tin: Điều này trao cho chủ sở hữu dữ liệu quyền đối với thông tin về việc xử lý dữ liệu cá nhân của họ và bản tóm tắt dữ liệu cá nhân của họ
Quyền rút lại sự đồng ý: Người quản lý dữ liệu có quyền rút lại sự đồng ý nếu họ quyết định không muốn dữ liệu của mình được xử lý. Họ cũng có quyền biết liệu dữ liệu của họ có bị chia sẻ với bên thứ ba hay không.
Quyền sửa đổi và xóa: Người quản lý dữ liệu có quyền sửa những điểm không chính xác trong dữ liệu cá nhân của họ và quyền yêu cầu xóa dữ liệu cá nhân của họ.
Quyền giải quyết khiếu nại: Điều này cho phép người quản lý dữ liệu có quyền đăng ký khiếu nại với người được ủy thác dữ liệu. Nếu người được ủy thác không phản hồi hoặc đưa ra phản hồi không thỏa đáng, người quản lý dữ liệu có quyền khiếu nại lên Ban bảo vệ dữ liệu.

Dự luật liệt kê một số nghĩa vụ của Người quản lý dữ liệu, bao gồm không cung cấp thông tin sai lệch, gửi khiếu nại sai.

Trong khi đó, các công ty nắm giữ dữ liệu có nhiều trách nhiệm theo luật mới:

Họ phải giải thích rõ ràng cho người quản lý dữ liệu về dữ liệu cá nhân mà người được ủy thác dữ liệu muốn thu thập và mục đích của việc thu thập dữ liệu
Có được sự đồng ý có hiểu biết để thu thập dữ liệu cá nhân của một cá nhân
Cho phép người quản lý dữ liệu rút lại sự đồng ý bất cứ lúc nào Cho phép người quản lý dữ liệu sửa, cập nhật hoặc yêu cầu xóa dữ liệu cá nhân khi không còn cần thiết
Thực hiện các bước để đảm bảo rằng dữ liệu được xử lý là chính xác và đầy đủ Thực hiện các biện pháp bảo mật thích hợp để ngăn chặn vi phạm dữ liệu cá nhân
Chỉ giữ lại dữ liệu của một cá nhân miễn là nó cần thiết cho mục đích mà nó được thu thập
Thông báo cho Ban bảo vệ dữ liệu và tất cả các nguyên tắc dữ liệu bị ảnh hưởng nếu xảy ra vi phạm dữ liệu
Thực hiện hợp đồng trước khi chia sẻ hoặc chuyển dữ liệu sang bên được ủy thác khác hoặc bên xử lý dữ liệu

Ngoài ra, một số tổ chức dữ liệu lớn hơn cũng sẽ được yêu cầu chỉ định một nhân viên bảo vệ dữ liệu và một kiểm toán viên độc lập để tiến hành kiểm tra định kỳ nhằm đảm bảo tuân thủ liên tục.

Nguồn:

Trung tâm Nghiên cứu Ấn Độ