ביום 11.08.2023, נתן נשיא הודו את הסכמתו לחוק הגנה על נתונים אישיים דיגיטליים, 2023 ( THE DIGITAL PERSONAL DATA PROTECTION ACT, 2023 ), הידוע גם כ- DPDP Act. ערב החקיקה לא היה להודו חוק עצמאי העוסק בנושא הגנת מידע, זאת על אף שבית המשפט העליון של המדינה הכיר בזכות זו כבר בשנת 2017.
מטרת החוק היא הגנה על הפרטיות של התושבים בהודו באמצעות הסדרת עיבוד המידע האישי שלהם. החוק מכיר בזכותם של נושאי מידע להגנה על המידע האישי שלהם ובצורך לעבד מידע אישי כזה למטרות חוקיות. מידע אישי מוגדר כ"כל מידע שניתן להשתמש בו כדי לזהות אדם, במישרין או בעקיפין" וחל הן על עיבוד מידע אישי על ידי סוכנויות ממשלתיות והן על-ידי גופים פרטיים.
החוק יחול ביחס לעיבוד מידע אישי דיגיטלי בתוך הודו, כאשר זה נאסף באופן מקוון או נאסף באופן שאינו מקוון ועובר תהליך של "דיגיטציה", וכן ביחס לעיבוד מידע אישי מחוץ להודו, ככול והעיבוד מיועד למטרת הצעת סחורות או שירותים בהודו. מכוח החוק תקום רשות להגנת מידע (DPA) שתפקח על יישום החוק, תהיה אחראית לאכיפתו, הוצאת הנחיות ופתרון תלונות.
ה- DPDP Act מורכב מ- 6 פרקים אשר כוללים 33 סעיפים ולוח זמנים אחד, המפרט עונשים על אי ציות.
לחוק כמה מאפיינים בולטים הכוללים, בין היתר, כדלקמן:
- חובות של נאמני מידע(data fiduciaries): נאמני מידע הם הגורם הקובע את מטרות ואמצעי עיבוד המידע. החוק מטיל עליהם מספר חובות: עליהם לעשות מאמצים סבירים כדי להבטיח את דיוק ושלמות המידע, לבנות אמצעי הגנה סבירים למניעת פרצות אבטחה, ליידע את מועצת הגנת המידע ואת האנשים המושפעים במקרה של פרצת אבטחה ולמחוק מידע אישי כאשר הושגה מטרת עיבודו ושמירתו אינה הכרחית למטרות משפטיות. נאמני מידע רשאים לעבד מידע במיקור חוץ באמצעות מעבד מידע מטעמם (data processor) ויהיו אחראים לעיבודו, לרבות דיוק ושלמות המידע וכול פעולה המתבצעת בידי מעבד המידע.
- זכויות וחובות של נושאי מידע (data principal): לאדם שנתוניו מעובדים תהיה הזכות: לקבל מידע על העיבוד, לבקש תיקון ומחיקה של מידע אישי, למנות אדם אחר למימוש זכויות במקרה של מוות או אי כושר ותיקון תלונה. כמו כן לנושאי המידע מספר חובות כגון; איסור על רישום תלונות שווא או רישום בקלות דעת, איסור מסירת פרטים כוזבים כלשהם או התחזות לאדם אחר במקרים מוגדרים. הפרת חובת תידרש לעונש של עד כ-120 דולר.
- העברת מידע מחוץ להודו: החוק מאפשר העברת מידע אישי מחוץ להודו. הממשלה רשאית להגביל העברת מידע אל מחוץ למדינה באמצעות הודעה.
- הסכמה: מידע אישי ניתן לעיבוד רק למטרה חוקית ולאחר קבלת הסכמת נושא המידע. על ההסכמה להיות מושכלת, ספציפית ומרצון חופשי וניתנת לביטול בידי נושא המידע בכול זמן נתון.
- הגבלת מטרה: יש לעבד מידע אישי רק למטרות הספציפיות שלשמן נאספו.
- צמצום מידע: יש לאסוף רק את המידע הנדרש למטרה הספציפית שלשמה נאסף.
- אבטחת מידע: חובה לנקוט בכול הצעדים הסבירים כדי להגן על מידע אישי מפני גישה בלתי מורשית, שימוש, חשיפה, שינוי או השמדה.
- הודעה על אירועי אבטחה: במצב של אירוע אבטחה, חובה להודיע לרשות הגנת המידע ולאנשים שנפגעו מאירוע האבטחה בתוך 72 שעות מרגע הידיעה.
- ניידות מידע: זכותם של יחדים לקבל עותק של המידע האישי שלהם בפורמט נפוץ.
- הזכות להישכח: זכותם של נושאי מידע לבקש מחיקה של המידע האישי שלהם בנסיבות מסוימות כגון חזרה מהסכמתם או כאשר הם אינם עוד נחוצים למטרה לשמה נאסף.
- הערכת השפעה על הגנת מידע: נאמני המידע חייבים לערוך הערכת השפעה על הגנת המידע(DPIA) טרם עיבוד מידע אישי בנסיבות מסוימות, כגון בעת עיבוד מידע בקנה מידה גדול או עיבוד מידע אישי רגיש.
- עונשים: החוק מפרט עונשים על עבירות שונות כגון;
- אי מניעת פרצת אבטחה: קנס של עד 250 מיליון רופי (כ- 30 מיליון דולר).
- אי הודעה על פרצת אבטחה: קנס של עד 200 מיליון רופי (כ- 24 מיליון דולר).
- אי מילוי התחייבויות בזמן עיבוד מידע אישי של קטינים: קנס של עד 200 מיליון רופי (כ- 24 מיליון דולר).
- אי מילוי התחייבויות של נאמן מידע משמעותי: עד 150 מיליון רופי (כ- 18 מיליון דולר).
- הפרה של התחייבות מרצון של דירקטוריון החברה: קנס עד לגובה הקנס הניתן על ההפרה.
- אי ציות להוראות שונות בחוק: קנס של עד 50 מיליון רופי (כ- 6 מיליון דולר).
קישור למסמך הצעת החוק: https://egazette.gov.in/WriteReadData/2023/248045.pdf