Media Sosial | Citra:
Pixabay
Pakar DPDP: Rancangan aturan DPDP yang memperdebatkan persetujuan orang tua yang dapat diverifikasi untuk membuat akun pengguna anak di platform media sosial, dan menambahkan persyaratan lokalisasi untuk jenis data pribadi tertentu memiliki konsekuensi yang signifikan bagi perusahaan teknologi besar, kata para ahli, mencatat bahwa bisnis juga mungkin menghadapi “tantangan kompleks” dalam mengelola persetujuan yang merupakan inti dari norma perlindungan data.
Menurut Deloitte India, mempertahankan artefak persetujuan dan menawarkan opsi untuk menarik persetujuan untuk tujuan tertentu akan memerlukan perubahan pada tingkat desain dan arsitektur aplikasi dan platform.
Komentar itu muncul dengan latar belakang pemerintah merilis rancangan Aturan Perlindungan Data Pribadi Digital yang telah lama ditunggu-tunggu yang mengusulkan untuk membuat persetujuan dan identifikasi orang tua yang dapat diverifikasi wajib untuk pembuatan akun pengguna anak di platform online atau media sosial, dan juga memperdebatkan kemungkinan persyaratan lokalisasi data untuk data pribadi tertentu.
Ketentuan yang terkait dengan lokalisasi dan pengawasan tambahan pada berbagi data lintas batas dalam kasus-kasus tertentu dapat melihat penolakan dari industri, terutama perusahaan teknologi besar seperti Meta, Amazon dan Google, kata pengamat industri.
Menurut Probir Roy Chowdhury, Partner, JSA, Advokat & Pengacara, aspek-aspek tertentu dari aturan DPDP memprihatinkan.
“Misalnya, mereka memungkinkan pemerintah untuk memaksakan kewajiban lokalisasi data pada fidusia/pengontrol data yang signifikan – yang mungkin sulit untuk diterapkan,” kata Chowdhury menambahkan bahwa rancangan aturan keseluruhan memberikan kejelasan yang sangat dibutuhkan pada sejumlah aspek praktis yang berkaitan dengan kepatuhan terhadap Undang-Undang DPDP.
Draf aturan mengatakan: “Fidusia data yang signifikan harus mengambil langkah-langkah untuk memastikan bahwa data pribadi yang ditentukan oleh pemerintah pusat berdasarkan rekomendasi komite yang dibentuk olehnya diproses dengan tunduk pada pembatasan bahwa data pribadi dan data lalu lintas yang berkaitan dengan alirannya tidak ditransfer ke luar wilayah India, “
Khususnya, rancangan aturan – yang merupakan kunci untuk menegakkan dan mengoperasionalkan Undang-Undang Perlindungan Data – berusaha membuat anggukan orang tua penting untuk pemrosesan data pribadi anak-anak.
Selanjutnya, identitas dan usia orang tua juga harus divalidasi dan diverifikasi melalui bukti identitas yang diberikan secara sukarela yang dikeluarkan oleh entitas yang dipercayakan oleh hukum atau pemerintah.
“Kami memperkirakan bahwa bisnis akan menghadapi beberapa tantangan kompleks dalam mengelola persetujuan karena merupakan inti dari hukum. Mempertahankan artefak persetujuan dan menawarkan opsi untuk menarik persetujuan untuk tujuan tertentu dapat memerlukan perubahan pada tingkat desain dan arsitektur aplikasi dan platform,” kata Mayuran Palanisamy, Partner, Deloitte India.
Perusahaan perlu berinvestasi dalam infrastruktur teknis dan proses untuk memenuhi persyaratan ini secara efektif, kata Palanisamy menambahkan ini termasuk melihat kembali praktik pengumpulan data, menerapkan sistem manajemen persetujuan, menetapkan protokol siklus hidup data yang jelas dan benar-benar meresap praktik ini pada tingkat implementasi.
“Aturan DPDP cukup rinci dan memberikan arahan yang sangat dibutuhkan kepada bisnis di India dengan menguraikan kepatuhan yang akan dilakukan oleh mereka, seperti langkah-langkah kewajiban untuk fidusia data yang signifikan, pendaftaran dan kewajiban manajer persetujuan, pembentukan dan fungsi Dewan Perlindungan Data,” kata Deloitte India.
Shreya Suri, Partner di IndusLaw mengatakan meskipun rancangan aturan memberikan kejelasan tentang pembingkaian dan tampilan pemberitahuan di bawah Undang-Undang Perlindungan Data Pribadi Digital, mereka gagal dalam menawarkan panduan tentang cara pengiriman atau penerbitan, sesuatu yang didefinisikan dengan baik di bawah GDPR.
Dengan tidak adanya kejelasan lebih lanjut, sebagian besar dari ini kemungkinan akan diserahkan kepada praktik pasar dan kebijaksanaan pemangku kepentingan, menurut Suri.
Aspek lain yang diantisipasi adalah pengenalan ambang batas untuk pelaporan pelanggaran data, di mana pelanggaran kecil dapat memiliki kewajiban kepatuhan yang lebih sedikit. Draf saat ini memperlakukan semua pelanggaran secara seragam, memerlukan tingkat pelaporan dan pemberitahuan yang sama kepada Dewan Perlindungan Data dan prinsipal data yang terpengaruh, tanpa memberikan kebijaksanaan apa pun kepada fidusia data.
“Selain itu, sementara aturan menguraikan pertimbangan tertentu untuk praktik keamanan yang wajar, kurangnya panduan terperinci menyisakan ruang untuk interpretasi yang bervariasi. Kemungkinan pemangku kepentingan akan mengadopsi praktik yang selaras dengan sifat dan skala pemrosesan data mereka, tetapi lebih jauh Panduan dari pemerintah akan sangat penting untuk memastikan konsistensi dan kepatuhan di seluruh industri, katanya.
Dia mengatakan rancangan aturan menawarkan panduan terbatas tentang bagaimana anak-anak akan diidentifikasi untuk tujuan mencari persetujuan orang tua yang dapat diverifikasi dari orang tua / wali mereka.
“Tampaknya pendekatan ini mungkin bergantung pada deklarasi diri oleh pengguna, memungkinkan mereka untuk menunjukkan apakah mereka anak di bawah umur atau orang dewasa. Hal ini berpotensi mengarah pada pemrosesan data orang tua atau wali yang lebih luas, yang menimbulkan pertimbangan menarik mengenai skala dan ruang lingkup pengumpulan data tersebut,” katanya.
Sementara Undang-Undang tersebut mengacu pada pemrosesan data pribadi untuk penyandang disabilitas, aturan tersebut terutama ditujukan kepada anak-anak dan orang tua mereka. Masih ada beberapa ambiguitas seputar bagaimana deklarasi diri akan berlaku dalam kasus-kasus di mana individu mungkin tidak dapat mengungkapkan status mereka secara mandiri, tambahnya.
Selain itu, klasifikasi fidusia data dalam rancangan aturan, yang berfokus pada penentuan periode retensi untuk data, tampaknya saat ini hanya berlaku untuk tiga kategori fidusia, kata Suri.
“Namun, ada kekhawatiran di antara berbagai pemangku kepentingan mengenai perlunya kasus penggunaan tambahan, yang belum ditangani. Ini meninggalkan beberapa pertanyaan penting tentang praktik retensi data untuk jenis fidusia data tertentu masih belum terjawab,” katanya.
Sederhananya, fidusia data adalah entitas yang menentukan data pribadi mana yang akan dikumpulkan dan tujuannya untuk diproses.
