Mikro, Küçük ve Orta Ölçekli İşletmeler (MSME'ler) Hindistan ekonomisinin önemli bir parçası haline geldi. Daha fazla istihdam ve girişimcilik fırsatlarına, inovasyona ve ihracata katkıda bulunarak ve ülkedeki ekonomik eşitsizliği azaltarak Hindistan'ı daha fazla kendine yetmeye zorluyorlar. Hindistan ekonomisindeki önemli rolleri göz önüne alındığında, Hindistan'ın veri koruma yasası, Dijital Kişisel Verilerin Korunması Kanunu (DPDPA) kapsamında ortaya çıkabilecek zorlukların ve fırsatların analiz edilmesi, Dijital Kişisel Verilerin Korunması Kuralları 2025'in (Kurallar) yakın tarihli bildirimiyle yürürlüğe girmesi önem kazanmaktadır. 2023 yılında yürürlüğe giren DPDPA, kişisel verilerin toplanmasını, kullanımını, daha fazla aktarılmasını, saklanmasını, saklanmasını, güvenliğini ve bireysel hakları düzenlemektedir. Uygulama hala bir sırdır ve DPDPA ile uyumlu yeni veya revize edilmiş SOP'lara ve politikalara sahip olmaları gerekeceğinden özellikle MSME'leri etkilemesi beklenmektedir.
DPDPA uyarınca, kişisel veriler yalnızca rızaya dayalı olarak veya aşağıdakiler gibi listelenen diğer belirli meşru amaçlarla toplanabilir: B. kişisel bilgiler gönüllü olarak, istihdam amacıyla, yasaya veya mahkeme kararına uymak için sağlandığında. Nitelikleri ve boyutlarının yanı sıra önceden düzenleyici gerekliliklerin bulunmaması nedeniyle, MSME'ler kişisel veri toplama ve kullanmanın hukuka uygunluğunu belgeleyecek sistematik bir sürece sahip olmayabilir. Kişisel verilerin yaşam döngüsünü anlamak ve kaydetmek, DPDPA kapsamındaki yükümlülükleri belirlemenin ilk adımıdır. İşleme faaliyetlerine ilişkin kayıtların oluşturulması, çoğu MSME'nin sınırlı kapasitesini ve kaynaklarını aşan MSME'ler için potansiyel operasyonel genel gider maliyetleriyle sonuçlanabilir.
DPDPA, bireylere, veri sahiplerine, verilerine erişme, bunları düzeltme ve silme hakkı ve şikayette bulunma hakkı gibi, verileriyle ilgili haklar verir. Bu, veri emanetçileri olarak MSME'lerin bu konuyu ele almak için kurumsal kapasite geliştirmeleri gerektiği ve bireylerden gelen soru ve şikayetlerle ilgilenecek bir iç mekanizma kurmayı dahil etmeleri gerekebileceği anlamına gelir. MSME'lerin bu süreçlerin basit ve bireyler için kolayca erişilebilir olmasını sağlamaları ve aynı zamanda bu talepleri incelemek, doğru yanıtı vermek ve talep veya şikayetleri verimli bir şekilde çözümlemek için arka uç süreçlerine ve kaynaklara sahip olmalarını sağlamaları gerekmektedir.
DPDPA kapsamındaki temel uyumluluk gerekliliklerinden biri, kuruluşların işledikleri kişisel verileri ihlallerden koruma sorumluluğudur. Kuralların gerektirdiği teknik önlemler arasında kişisel verilerin gizlenmesi, erişim günlüklerinin tutulması vb. yer alır. Birçok MKOBİ'nin uyum sağlayacak bütçesi veya kaynakları olmayabilir. Örneğin, küçük bir perakende mağazasının müşteri verilerini toplaması ve bunları şifrelenmemiş tablolara kaydetmesi yaygındır. Bu mağazaların artık öngörülen güvenlik önlemlerini de uygulaması gerekiyor. Bu yeni yasal yükümlülüklerin MSME'ler arasındaki etkisine ilişkin farkındalık eksikliği de endişe kaynağıdır.
MSME'ler, çalışmak için bulut depolama sağlayıcıları ve e-posta pazarlama platformları gibi harici sağlayıcılara güvenmektedir. MSME'ler adına veri işleyen sağlayıcıların veri ihlali veya uyumsuzluk durumunda, MSME'ler DPDPA kapsamında cezalara tabi olan veri mutemetleri olacaktır. Riskleri azaltmak için, MSME'lerin işe başlamadan önce durum tespiti yapması, iyi müzakere edilmiş sorumluluk paylaşımı anlaşmaları yapması ve düzenli denetimler yapması gerekecektir. Buradaki zorluk, MSME'lerin bu dış sağlayıcılarla anlaşma müzakere etme konusunda fazla bir güce sahip olmayabilmeleridir. Tedarikçilerin durum tespiti ve incelemesi de pahalı bir girişimdir.
Sonra ne olacak? Birleşik Krallık ve Kanada gibi birçok ülkedeki veri koruma yetkilileri, daha küçük kuruluşların uyumluluklarını yönetmelerine yardımcı olacak ücretsiz ve kolayca erişilebilen kaynaklara ve araçlara sahiptir. Ayrıca düzenli olarak basit ve pratik talimatlar da veriyorlar. Piyasadaki çeşitli uygun maliyetli uyumluluk araçları da MSME'ler için özel çözümler sağlayabilir. Bu tür kaynak ve araçların yardımıyla, MKOBİ'ler için uyumluluğa giden yol daha kolay hale gelecektir.
Bir diğer parlak nokta ise DPDPA'nın bazı gerekliliklerinden muafiyet olasılığıdır. Merkezi hükümet, belirli veri mutemetleri kategorilerini, MSME'leri de içerebilecek bazı belirli yükümlülüklerden muaf tutma yetkisine sahiptir. Yasal istisnalar dışında piyasadan farklı talepler görebiliyorduk. Veriye verilen önem ve veriyi korumanın dünya çapında artan önemi göz önüne alındığında, bireylerin ve müşterilerin yasal muafiyetlere rağmen sağlam bir veri koruma duruşuna sahip bir kuruluşla çalışmayı tercih edeceğini varsayabiliriz.
DPDPA uyumluluğu yalnızca cezalardan kaçınmakla ilgili değildir. İyi düzeyde veri koruma ve veri koruma, müşteri güvenini güçlendirir, ortaklıklar veya büyük müşteriler kazanmada rekabet avantajı sağlar ve itibarın zarar görmesi riskini en aza indirir. MSME'ler yalnızca riskleri azaltmakla kalmaz, aynı zamanda veri koruma uygulamalarını günlük operasyonlarına entegre ederek yeni iş fırsatlarının kilidini açabilir.
Bu makale Ortak Akshaya Suresh ve JSA Advocates & Solicitors Ortağı Tharusha Selvanambi tarafından yazılmıştır.
Bir yanıt yazın