Draf Perlindungan Data Pribadi Digital Pemerintah Usulkan Persetujuan Orang Tua untuk Akses Media Sosial ke Anak di Bawah Umur | Citra:
Pexels
Aturan Perlindungan Data: Pemerintah telah merilis draf Aturan Perlindungan Data Pribadi Digital yang telah lama ditunggu-tunggu yang mengusulkan untuk mewajibkan persetujuan dan identifikasi orang tua yang dapat diverifikasi untuk pembuatan akun pengguna anak di platform online atau media sosial, dan juga memperdebatkan kemungkinan persyaratan lokalisasi data untuk data pribadi tertentu.
Khususnya, rancangan aturan – yang merupakan kunci untuk operasionalisasi Undang-Undang Perlindungan Data – berusaha membuat anggukan orang tua penting untuk pemrosesan data pribadi anak-anak. Selanjutnya, identitas dan usia orang tua juga harus divalidasi dan diverifikasi melalui bukti identitas yang diberikan secara sukarela “dikeluarkan oleh entitas yang dipercayakan oleh hukum atau pemerintah”, kata rancangan peraturan.
Kesimpulan utama – dan kejutan – dari rancangan aturan, menurut pakar industri, adalah aspek lokalisasi dan pengawasan tambahan pada berbagi data lintas batas dalam kasus-kasus tertentu.
Tentang pemrosesan data pribadi anak, rancangan aturan menyatakan: “Fidusia Data harus mengadopsi langkah-langkah teknis dan organisasi yang sesuai untuk memastikan bahwa persetujuan yang dapat diverifikasi dari orang tua diperoleh sebelum pemrosesan data pribadi anak dan harus mengamati uji tuntas, untuk memeriksa bahwa individu yang mengidentifikasi dirinya sebagai orang tua adalah orang dewasa yang dapat diidentifikasi jika diperlukan sehubungan dengan kepatuhan terhadap hukum apa pun untuk saat ini berlaku di India…”
Ini harus dirujuk ke rincian identitas dan usia yang dapat diandalkan yang tersedia dengan platform atau entitas itu sendiri, atau melalui rincian identitas dan usia yang diberikan secara sukarela atau token virtual yang dipetakan ke yang sama, yang dikeluarkan oleh entitas yang dipercayakan oleh hukum atau pemerintah.
Mengutip contoh bagaimana ini akan bekerja, aturan tersebut mengatakan jika akun anak dicari untuk dibuat di platform online, entitas tersebut akan dengan merujuk pada rincian identitas dan usia (dikeluarkan oleh entitas yang dipercayakan oleh hukum atau Pemerintah) memeriksa bahwa orang tua tersebut memang orang dewasa yang dapat diidentifikasi.
“Orang tua dapat secara sukarela membuat rincian tersebut tersedia menggunakan layanan penyedia layanan Digital Locker,” katanya.
Sesuai aturan, entitas akan dapat menggunakan dan memproses data pribadi hanya jika individu telah memberikan persetujuan mereka kepada manajer persetujuanyang akan menjadi entitas yang dipercayakan untuk mengelola catatan persetujuan orang.
Ketentuan terkait lokalisasi data juga menarik perhatian industri. Pengamat industri menunjukkan bahwa sementara Undang-Undang DPDP sebagian besar mengizinkan berbagi data lintas batas, kecuali untuk yurisdiksi yang masuk daftar hitam, rancangan aturan mengisyaratkan kemungkinan pengawasan tambahan.
Ini, karena rancangan aturan menyatakan bahwa: “Fidusia Data Signifikan harus melakukan langkah-langkah untuk memastikan bahwa data pribadi yang ditentukan oleh Pemerintah Pusat berdasarkan rekomendasi komite yang dibentuk olehnya diproses dengan tunduk pada pembatasan bahwa data pribadi dan data lalu lintas yang berkaitan dengan alirannya tidak ditransfer ke luar wilayah India.”
Sederhananya, ‘fidusia data’ adalah entitas yang menentukan data pribadi mana yang akan dikumpulkan dan tujuannya untuk diproses. Fidusia data yang signifikan, sesuai dengan Undang-Undang DPDP, harus ditentukan berdasarkan volume dan sensitivitas data pribadi yang diproses, risiko terhadap hak-hak individu (prinsipal data), dan dampak potensial terhadap kedaulatan dan integritas India, keamanan negara dan ketertiban umum.
“Fidusia Data Signifikan harus, sekali dalam setiap periode dua belas bulan sejak tanggal diberitahukan seperti itu atau termasuk dalam kelas Fidusia Data yang diberitahukan seperti itu, melakukan Penilaian Dampak Perlindungan Data dan audit untuk memastikan kepatuhan yang efektif terhadap ketentuan Undang-Undang ini dan aturan yang dibuat di bawahnya, ” kata rancangan aturan.
Fidusia Data Signifikan juga harus mengamati uji tuntas untuk memverifikasi bahwa perangkat lunak algoritmik yang digunakan olehnya untuk menghosting, menampilkan, mengunggah, memodifikasi, menerbitkan, mengirimkan, menyimpan, memperbarui, atau berbagi data pribadi yang diproses olehnya tidak mungkin menimbulkan risiko terhadap hak-hak individu.
Tentang pemrosesan data pribadi di luar India, aturan mengusulkan bahwa “transfer ke negara atau wilayah mana pun di luar India data pribadi yang diproses oleh Data Fidusia… tunduk pada pembatasan bahwa Data Fidusia harus memenuhi persyaratan seperti yang mungkin dilakukan oleh Pemerintah Pusat, secara umum atau spesifikl memerintahkan, menentukan sehubungan dengan membuat data pribadi tersebut tersedia untuk Negara asing mana pun, atau untuk setiap orang atau entitas di bawah kendali atau lembaga mana pun dari Negara tersebut”.
Shreya Suri, Partner di IndusLaw mencatat bahwa “perkembangan yang menarik” adalah pengenalan kewajiban potensial untuk fidusia data yang signifikan terkait berbagi data lintas batas.
“Sementara Undang-Undang sebagian besar mengizinkan transfer semacam itu, terlepas dari yurisdiksi yang masuk daftar hitam, rancangan aturan mengisyaratkan kemungkinan pengawasan tambahan. Komite yang diusulkan dapat merekomendasikan agar data pribadi tertentu dibatasi agar tidak ditransfer ke luar India, yang menambah dimensi baru pada lanskap peraturan yang akan menjadi penting untuk dipertimbangkan oleh para pemangku kepentingan,” katanya.
Jika terjadi pelanggaran data, entitas harus segera menghubungi individu yang terkena dampak memberikan deskripsi tentang pelanggaran tersebut, termasuk sifat, luas, dan waktu serta lokasi kejadiannya; konsekuensi yang mungkin timbul dari pelanggaran; dan langkah-langkah mitigasi risiko yang diterapkan.
