Artan dijitalleşme ve buna bağlı hasar göz önüne alındığında, Hindistan’da uzun süredir bir veri koruma yasası için çağrı yapılması şaşırtıcı değil. 2017 Puttaswamy kararının mahremiyet hakkını tanımasının ardından hükümet, 2019 ve 2022’de birden fazla girişimle bir mahremiyet yasası çıkarmaya çalıştı. 2022 yasası (Dijital Kişisel Verileri Koruma Yasası), 2019 tarihli muadili yasa tasarısından (Dijital Kişisel Verileri Koruma Yasası) aşağıdakiler gibi çeşitli şekillerde farklılık gösterir: B. kişisel verilerin sınıflandırılması, onay çerçeveleri ve veri yerelleştirme gereklilikleri. Ancak belki de en çarpıcı farklılık, yaptırıma yönelik farklı yaklaşımlardır.
Herhangi bir demokraside yasal rejimin en önemli yönlerinden biri, uygulama çerçevesidir. Hukukta hakların, görevlerin ve yükümlülüklerin ana hatlarını belirlemek bir şeydir, ancak etkili yasaların temeli, bunları kimin veya hangi organın uyguladığı ve bu organın nasıl oluştuğudur. Bu, özellikle veri işleme, anonimleştirme ve kullanımın hızla gelişen yönlerine uyum sağlayabilen kapsamlı teknik bilgi birikimi gerektiren veri koruma gibi bir alanda geçerlidir.
Bu nedenle, bir demokrasinin veri koruma çerçevesi, yalnızca uygulama kurumunun yetkilendirilmesi, özerkliği, uzmanlığı ve verimliliği kadar güçlüdür. Sektördeki gelişme hızı göz önüne alındığında böyle bir organın oluşturulması kolay bir iş değildir – merkezinde istişare bulunan kapsamlı bir süreç gerektirir. 2022 kanun taslağı kapsamında icra makamı olan Veri Koruma Kurulu’nun (KVK) bu özelliklere sahip olup olmadığı şüphelidir. Bir bakıma, 2019 yasa tasarısındaki muadili Veri Koruma Kurumu’ndan (DPA) geri adım attı. Hindistan’ın etkili bir uygulama yetkisine sahip olmasını sağlamak için – Kızılderililerin dijital ve veri haklarını yeni teknolojiler tarafından istismar edilmekten korumak için – hala hangi adımların gerekli olduğunu incelemek için ikisini karşılaştırmaya değer.
Veri Koruma Kurumu, 2019 yasa tasarısında bağımsız bir düzenleyici olarak öngörülmüş ve geniş kapsamlı sorumluluklar verilmiştir. Tasarı ayrıca, sayısal gücü ve gerekli teknik uzmanlık ve deneyim dahil olmak üzere DPA’nın bileşimi ile ilgili birçok hüküm içeriyordu. “Veri koruma, bilgi teknolojisi, veri yönetimi, veri bilimi, veri güvenliği, siber ve internet hukuku, kamu yönetimi veya ilgili alanlardan” bağımsız uzmanlar atanmalıdır.
Bununla birlikte, 2022 yasa tasarısı kapsamında, DPB’nin gücü, uzmanlığı, nitelikleri veya bileşimi yasada yer almamaktadır. Bunun yerine, bu koşullar ile atama ve görevden alma koşulları, merkezi yönetim tarafından bir kural olarak yazılır. Bu, DPB’nin bağımsızlığını ciddi şekilde zayıflatıyor ve önemli para cezalarına ve müzakerelere tabi olduğu için özel bir endişe kaynağı. Kodlanmış kuralların olmaması, yeterli mesleki yeterliliği sağlamayan gevşek nitelik gereksinimlerine de yol açabilir. Bu nedenle, 2022 yasa tasarısının DPB üyeleri için nitelik kriterleri belirlemesi ve bunu sadece devlet atamalarına bırakmaması önemlidir.
Ancak DPA ile DPB arasındaki belki de en önemli fark, uyguladıkları şeydir. 2019 yasa tasarısına göre DPA, yasa tasarısının hükümlerinin yorumlarını belirterek yönetmelik ve yönetmeliklerin oluşturulmasında aktif rol oynamalıdır. 2022 tasarısı bu yaklaşımdan ayrılıyor. DPB artık bir standardizasyon kurumu değildir, bu rol yine merkezi hükümete ayrılmıştır. Bunun yerine, DPB yalnızca uyumluluğu sağlamaktan sorumludur: uygunsuzluğu araştırarak, düzeltici eylem emri vererek ve merkezi hükümetin ihtiyaç duyabileceği diğer işlevleri yerine getirerek. Bu, ajansın hem yetkisini hem de özerkliğini sulandırıyor.
2022 yasa tasarısı kapsamında icra dairesinin bu kural koyma rolünü bir kenara bırakmanın artıları ve eksileri var. Bir yandan, DPB’nin yetkisinin daraltılması (geçerli sektörler ve veri türleri üzerindeki kısıtlamalarla birlikte gelir), Hindistan’da sistemik bir sorun olan düzenleyici çakışma ve tıkanıklığı hafifletmeye hizmet edebilir. Öte yandan, bu yaklaşım düzenleyici belirsizliği artırabilir – DPB artık düzenlemeleri yürürlüğe koyarken proaktif olmayacağından, endüstriyi ve diğer ilgili paydaşları fiili yorumlama, rehberlik ve sahada uygulamada ne ölçüde destekleyebileceği belirsizdir.
Kuralları koyanlar ile onlara uyması gerekenler arasındaki bu ilişki, genellikle herhangi bir uygulama mekanizmasının en kritik olanıdır. Kuralların hem etkili olmasını hem de aşırı külfetli olmamasını sağlamak için bir geri bildirim döngüsü sağlamaya yönelik sistemik bir yaklaşım olması gerekir. Paydaşların düzenlemelere onay vermesini sağladığı, ağlar arasında güven oluşturduğu ve belki de en önemlisi, sayısız zorluğu ele alan ve tüm alanda var olan süreçleri yansıtan kurallar ve standartlar oluşturduğu için dijital ekonominin ne kadar çeşitli ve hızlı bir şekilde değiştiği göz önüne alındığında bu önemlidir. . Anonimlik standartları, paylaşım amaçları ve zarar azaltma yöntemleri gibi konularda son derece teknik soruların çözülmesi, potansiyel düzenlemelerin sonuçlarını ilk elden anladıkları için bu süreçlerle düzenli olarak ilgilenen paydaşların girdilerini gerektirir. Özel, kamu, akademi, kullanıcılar ve çevrimdışı topluluklar arasındaki sürtüşme, sağlam düzenleme için gerekli yemdir.
Bu istişare seviyesinin uygun olduğundan emin olmak için süreçlerin açıkça ana hatlarıyla belirtilmesi önemlidir. Hindistan’da, bu yasa gerektirmedikçe, kurallar gibi alt yasaların hazırlanmasından önce halkın katılımı zorunlu değildir. Ne yazık ki ne 2019 yasa tasarısı ne de 2022 yasa tasarısı net bir istişare süreci veya zorunluluğu getirmiyor. Aslında, 2022 Yasası, merkezi hükümete, istişareye ihtiyaç duymadan bağlayıcı direktifler yayınlama yetkisi vererek, Hindistan’ın mahremiyet rejiminin en önemli hükümlerinin bazılarının tek taraflı olarak geçirilmesine izin veriyor. Mevzuat taslağında istişare ve paydaş katılımını düzenlemeye ihtiyaç vardır. Etkilenen daha geniş ekosistemin istişari tavsiyelerde bulunmak için bir araya gelmesi gerekir.
İlham alınacak pek çok istişare örneği var – IBBI, IRDA ve TRAI gibi bazı düzenleyiciler istişareleri bir dereceye kadar takip ediyor. Özellikle TRAI, Facebook Zero’ya yanıt olarak İnterneti Kurtar kampanyasının TRAI’ye otomatik e-postalar göndermesiyle en son kamuoyunun dikkatini çeken etkili bir danışma sürecinden yararlanır. 2022 yasa tasarısı, düzenleyicilerin şeffaf bir istişare süreci oluşturmak için izleyebilecekleri ayrıntılı gereklilikleri ortaya koyan Mali Sektör Yasama Reformları Komisyonu’nun (FSLRC) tavsiyelerini takip etse iyi olur.
Hindistan için veri koruma uzun vadeli bir yolculuktur ve bir Veri Koruma Yasası çok önemli bir ilk adım olacak ve düşünce ve özenle sağlam bir rejim oluşturmak için bir fırsat olacaktır. İdeal olarak, 2022 yasası, paydaşları bir araya getirerek ve işbirlikçi bir geleceğe zemin hazırlayarak oldukça parçalanmış ve silolara ayrılmış bir veri ekonomisini güçlendirmeli. Devletin mahremiyet düzenleyicileri (ve yasa koyucular) ile olan ilişkisi hakkında konuşmayı atlamanın bir yolu yoktur ve nihai yasanın ne ölçüde özerk, işbirlikçi bir ahlak getirdiği, ABD’deki Hindistan mahremiyetinin gelecek yıllara karar vermesiyle ilgili olabilir. .
Bu makale Aapti Enstitüsü Araştırma Analistleri Amrita Nanda ve Shefali Girish tarafından yazılmıştır.
Herhangi bir demokraside yasal rejimin en önemli yönlerinden biri, uygulama çerçevesidir. Hukukta hakların, görevlerin ve yükümlülüklerin ana hatlarını belirlemek bir şeydir, ancak etkili yasaların temeli, bunları kimin veya hangi organın uyguladığı ve bu organın nasıl oluştuğudur. Bu, özellikle veri işleme, anonimleştirme ve kullanımın hızla gelişen yönlerine uyum sağlayabilen kapsamlı teknik bilgi birikimi gerektiren veri koruma gibi bir alanda geçerlidir.
Bu nedenle, bir demokrasinin veri koruma çerçevesi, yalnızca uygulama kurumunun yetkilendirilmesi, özerkliği, uzmanlığı ve verimliliği kadar güçlüdür. Sektördeki gelişme hızı göz önüne alındığında böyle bir organın oluşturulması kolay bir iş değildir – merkezinde istişare bulunan kapsamlı bir süreç gerektirir. 2022 kanun taslağı kapsamında icra makamı olan Veri Koruma Kurulu’nun (KVK) bu özelliklere sahip olup olmadığı şüphelidir. Bir bakıma, 2019 yasa tasarısındaki muadili Veri Koruma Kurumu’ndan (DPA) geri adım attı. Hindistan’ın etkili bir uygulama yetkisine sahip olmasını sağlamak için – Kızılderililerin dijital ve veri haklarını yeni teknolojiler tarafından istismar edilmekten korumak için – hala hangi adımların gerekli olduğunu incelemek için ikisini karşılaştırmaya değer.
Veri Koruma Kurumu, 2019 yasa tasarısında bağımsız bir düzenleyici olarak öngörülmüş ve geniş kapsamlı sorumluluklar verilmiştir. Tasarı ayrıca, sayısal gücü ve gerekli teknik uzmanlık ve deneyim dahil olmak üzere DPA’nın bileşimi ile ilgili birçok hüküm içeriyordu. “Veri koruma, bilgi teknolojisi, veri yönetimi, veri bilimi, veri güvenliği, siber ve internet hukuku, kamu yönetimi veya ilgili alanlardan” bağımsız uzmanlar atanmalıdır.
Bununla birlikte, 2022 yasa tasarısı kapsamında, DPB’nin gücü, uzmanlığı, nitelikleri veya bileşimi yasada yer almamaktadır. Bunun yerine, bu koşullar ile atama ve görevden alma koşulları, merkezi yönetim tarafından bir kural olarak yazılır. Bu, DPB’nin bağımsızlığını ciddi şekilde zayıflatıyor ve önemli para cezalarına ve müzakerelere tabi olduğu için özel bir endişe kaynağı. Kodlanmış kuralların olmaması, yeterli mesleki yeterliliği sağlamayan gevşek nitelik gereksinimlerine de yol açabilir. Bu nedenle, 2022 yasa tasarısının DPB üyeleri için nitelik kriterleri belirlemesi ve bunu sadece devlet atamalarına bırakmaması önemlidir.
Ancak DPA ile DPB arasındaki belki de en önemli fark, uyguladıkları şeydir. 2019 yasa tasarısına göre DPA, yasa tasarısının hükümlerinin yorumlarını belirterek yönetmelik ve yönetmeliklerin oluşturulmasında aktif rol oynamalıdır. 2022 tasarısı bu yaklaşımdan ayrılıyor. DPB artık bir standardizasyon kurumu değildir, bu rol yine merkezi hükümete ayrılmıştır. Bunun yerine, DPB yalnızca uyumluluğu sağlamaktan sorumludur: uygunsuzluğu araştırarak, düzeltici eylem emri vererek ve merkezi hükümetin ihtiyaç duyabileceği diğer işlevleri yerine getirerek. Bu, ajansın hem yetkisini hem de özerkliğini sulandırıyor.
2022 yasa tasarısı kapsamında icra dairesinin bu kural koyma rolünü bir kenara bırakmanın artıları ve eksileri var. Bir yandan, DPB’nin yetkisinin daraltılması (geçerli sektörler ve veri türleri üzerindeki kısıtlamalarla birlikte gelir), Hindistan’da sistemik bir sorun olan düzenleyici çakışma ve tıkanıklığı hafifletmeye hizmet edebilir. Öte yandan, bu yaklaşım düzenleyici belirsizliği artırabilir – DPB artık düzenlemeleri yürürlüğe koyarken proaktif olmayacağından, endüstriyi ve diğer ilgili paydaşları fiili yorumlama, rehberlik ve sahada uygulamada ne ölçüde destekleyebileceği belirsizdir.
Kuralları koyanlar ile onlara uyması gerekenler arasındaki bu ilişki, genellikle herhangi bir uygulama mekanizmasının en kritik olanıdır. Kuralların hem etkili olmasını hem de aşırı külfetli olmamasını sağlamak için bir geri bildirim döngüsü sağlamaya yönelik sistemik bir yaklaşım olması gerekir. Paydaşların düzenlemelere onay vermesini sağladığı, ağlar arasında güven oluşturduğu ve belki de en önemlisi, sayısız zorluğu ele alan ve tüm alanda var olan süreçleri yansıtan kurallar ve standartlar oluşturduğu için dijital ekonominin ne kadar çeşitli ve hızlı bir şekilde değiştiği göz önüne alındığında bu önemlidir. . Anonimlik standartları, paylaşım amaçları ve zarar azaltma yöntemleri gibi konularda son derece teknik soruların çözülmesi, potansiyel düzenlemelerin sonuçlarını ilk elden anladıkları için bu süreçlerle düzenli olarak ilgilenen paydaşların girdilerini gerektirir. Özel, kamu, akademi, kullanıcılar ve çevrimdışı topluluklar arasındaki sürtüşme, sağlam düzenleme için gerekli yemdir.
Bu istişare seviyesinin uygun olduğundan emin olmak için süreçlerin açıkça ana hatlarıyla belirtilmesi önemlidir. Hindistan’da, bu yasa gerektirmedikçe, kurallar gibi alt yasaların hazırlanmasından önce halkın katılımı zorunlu değildir. Ne yazık ki ne 2019 yasa tasarısı ne de 2022 yasa tasarısı net bir istişare süreci veya zorunluluğu getirmiyor. Aslında, 2022 Yasası, merkezi hükümete, istişareye ihtiyaç duymadan bağlayıcı direktifler yayınlama yetkisi vererek, Hindistan’ın mahremiyet rejiminin en önemli hükümlerinin bazılarının tek taraflı olarak geçirilmesine izin veriyor. Mevzuat taslağında istişare ve paydaş katılımını düzenlemeye ihtiyaç vardır. Etkilenen daha geniş ekosistemin istişari tavsiyelerde bulunmak için bir araya gelmesi gerekir.
İlham alınacak pek çok istişare örneği var – IBBI, IRDA ve TRAI gibi bazı düzenleyiciler istişareleri bir dereceye kadar takip ediyor. Özellikle TRAI, Facebook Zero’ya yanıt olarak İnterneti Kurtar kampanyasının TRAI’ye otomatik e-postalar göndermesiyle en son kamuoyunun dikkatini çeken etkili bir danışma sürecinden yararlanır. 2022 yasa tasarısı, düzenleyicilerin şeffaf bir istişare süreci oluşturmak için izleyebilecekleri ayrıntılı gereklilikleri ortaya koyan Mali Sektör Yasama Reformları Komisyonu’nun (FSLRC) tavsiyelerini takip etse iyi olur.
Hindistan için veri koruma uzun vadeli bir yolculuktur ve bir Veri Koruma Yasası çok önemli bir ilk adım olacak ve düşünce ve özenle sağlam bir rejim oluşturmak için bir fırsat olacaktır. İdeal olarak, 2022 yasası, paydaşları bir araya getirerek ve işbirlikçi bir geleceğe zemin hazırlayarak oldukça parçalanmış ve silolara ayrılmış bir veri ekonomisini güçlendirmeli. Devletin mahremiyet düzenleyicileri (ve yasa koyucular) ile olan ilişkisi hakkında konuşmayı atlamanın bir yolu yoktur ve nihai yasanın ne ölçüde özerk, işbirlikçi bir ahlak getirdiği, ABD’deki Hindistan mahremiyetinin gelecek yıllara karar vermesiyle ilgili olabilir. .
Bu makale Aapti Enstitüsü Araştırma Analistleri Amrita Nanda ve Shefali Girish tarafından yazılmıştır.