أخبار

دارشيل سورانا
شريك، كريستون أو بي آر أدفيزورز

Join دارشيل سورانا on LinkedIn

www.krestonopr.com

دارشيل سورانا هو محترف متمرس وشريك في OP Rathi & Co.، حيث كان له دور فعال في قيادة تحسينات العمليات التجارية وتنفيذ التحولات الرقمية الاستراتيجية منذ أبريل 2023. بفضل مجموعة المهارات المتنوعة التي تشمل عمليات التدقيق الداخلي، وتكنولوجيا المعلومات، والمحاسبة الإدارية، يشتهر دارشيل بخبرته في مجال الاستشارات المالية والتحليلات عبر سوق أحمد آباد الديناميكي.

قبل منصبه الحالي، كان دارشيل مالكًا لشركة Darshil Surana & Associates، مما يدل على روح المبادرة التي يتمتع بها وكفاءته في التخطيط الاستراتيجي والتحليل المالي والضرائب الشاملة. تتضمن خلفيته أيضًا أدوارًا محورية في Intech Systems، حيث قاد، بصفته رئيس SBU ورئيس التسليم، فرقًا متعددة الوظائف وأدار أداء وحدة الأعمال الإستراتيجية لـ MS Dynamics NAV/BC.

يعكس صعود دارشيل من مستشار وظيفي إلى مدير مشروع مهاراته القيادية وإدارة المشاريع الاستثنائية. تم وضع أسس حياته المهنية المبكرة في CA Pradeepkumar H. Shah & Co.، حيث صقل قدراته في مجال المحاسبة والتدقيق خلال فترة عمله. تعتبر مهنة دارشيل سورانا عبارة عن مزيج من الخبرات المهنية القوية والفهم العميق لتعقيدات الاستراتيجيات المالية والتجارية.

قانون حماية البيانات الشخصية الرقمية في الهند، 2023 (قانون DPDP)

November 3, 2023

تم إقرار قانون حماية البيانات الشخصية الرقمية لعام 2023 (قانون DPDP) في الهند في 11 أغسطس 2023. يسعى القانون إلى حماية البيانات الشخصية والخصوصية للأفراد في هذا العالم الرقمي. يعد هذا تشريعًا تاريخيًا يمكنه تمكين الأفراد والدولة من ضمان خصوصية البيانات. ويضع القانون إطارًا لضمان استخدام البيانات للأغراض المناسبة والمحددة وتجنب إساءة استخدامها. يشرح دارشيل سورانا من شركة Kreston OPR Advisors .

تعريفات قانون حماية البيانات الشخصية الرقمية

يؤكد القانون على “حماية البيانات الشخصية الرقمية”. ومن ثم، فإن بيانات أي شخص في العالم الرقمي تحتاج إلى الحماية من قبل المسؤولين عن جمعها وتخزينها ومعالجتها. أولاً، دعونا نحاول فهم بعض التعريفات الواردة في المادة 2 من القانون:

  1. البيانات – “تمثيل المعلومات أو الحقائق أو المفاهيم أو الآراء أو التعليمات بطريقة مناسبة للتواصل أو التفسير أو المعالجة من قبل البشر أو بالوسائل الآلية” – القسم 2 (ح).
  2. البيانات الشخصية – “أي بيانات عن فرد يمكن التعرف عليه من خلال هذه البيانات أو فيما يتعلق بها” – القسم 2 (ر).
  3. البيانات الشخصية الرقمية – “البيانات الشخصية في شكل رقمي” – القسم 2 (ن)

المجموعة الأولى من التعريفات بسيطة للغاية. لقد تم تعريف البيانات والبيانات الشخصية والبيانات الشخصية الرقمية بشكل واضح لإزالة أي لبس أو غموض. ومن الجدير بالذكر أن البيانات تم تعريفها على نطاق واسع على أنها تعني “… مناسبة للتواصل أو التفسير أو المعالجة بواسطة البشر أو بالوسائل الآلية”. ومن ثم، سواء تم التعامل مع البيانات بواسطة الذكاء البشري أو الذكاء الاصطناعي، فسيتم تغطيتهما بالقانون. بعض الأمثلة على البيانات الشخصية الرقمية هي:
• سجلات KYC مثل PAN وAadhaar ورخصة القيادة وما إلى ذلك.
• تفاصيل الاتصال مثل عنوان البريد الإلكتروني وأرقام الهواتف وما إلى ذلك.
• معرفات مستخدم وسائل التواصل الاجتماعي وملفات التعريف.
• الصوت – التعرف المرئي على الأفراد مثل لقطات الدوائر التلفزيونية المغلقة وصور كاميرا الويب والصور ومقاطع الفيديو على وسائل التواصل الاجتماعي وما إلى ذلك.
• القياسات الحيوية مثل بصمات الأصابع، ومسح قزحية العين، والتعرف على الوجه، وما إلى ذلك.

  1. مدير البيانات – “الفرد الذي تتعلق به البيانات الشخصية ومكان تواجد هذا الفرد –
    (ط) الطفل، ويشمل الوالدين أو الوصي القانوني لهذا الطفل؛
    (2) الشخص ذو الإعاقة، بما في ذلك ولي أمره الشرعي الذي ينوب عنها”
  • القسم 2(ي).
  1. الجهة الائتمانية للبيانات – “أي شخص يحدد بمفرده أو بالاشتراك مع أشخاص آخرين غرض ووسيلة معالجة البيانات الشخصية” – القسم 2(ط).
  2. معالج البيانات – “أي شخص يقوم بمعالجة البيانات الشخصية نيابة عن أمين البيانات” – القسم 2 (ك).

مدير البيانات

المجموعة التالية من التعريفات مهمة. إنهم يضعون الأساس لإطار حماية البيانات. يُطلق على الشخص الذي تتعلق به البيانات اسم “مدير البيانات”. إن مدير البيانات هو الذي يقع في مركز القانون. “موظف البيانات” يعني الشخص الذي سيقوم بجمع البيانات وتخزينها ومعالجتها إما بصفته الخاصة أو بالتعاون مع “معالج البيانات”. وقد تم تعريف هذين المصطلحين على نطاق واسع. دعونا نفهم التعاريف من خلال بضعة أمثلة:

المثال التوضيحي 1:
شركة A Limited هي وسيط في البورصة وترغب السيدة X في فتح حساب Demat معهم. تجمع شركة A Limited اسمها وعنوانها ورقم الاتصال وPAN وAadhaar وتستخدم خدمات B Limited، وهي مستودع بيانات، للتحقق من KYC. هنا، السيدة X هي مديرة البيانات، وA Limited هي الجهة الائتمانية للبيانات، وB Limited هي معالج البيانات.

المثال التوضيحي 2:
تدير السيدة X أكاديمية موسيقية حيث تقوم بتدريس الموسيقى الكلاسيكية. الطفلة Y (10 سنوات) هي إحدى طالباتها. تجمع السيدة X اسم الطفل Y وعنوانه وتفاصيل الاتصال به في سجلاتها. هنا، الطفلة Y ووالداها هما مديرو البيانات والسيدة X هي مسؤولة البيانات الائتمانية.

  1. المعالجة – “فيما يتعلق بالبيانات الشخصية، تعني عملية مؤتمتة كليًا أو جزئيًا أو مجموعة من العمليات التي يتم إجراؤها على البيانات الشخصية الرقمية، وتتضمن عمليات مثل التجميع أو التسجيل أو التنظيم أو الهيكلة أو التخزين أو التكيف أو الاسترجاع أو الاستخدام أو المواءمة أو الجمع أو الفهرسة أو المشاركة أو الكشف عن طريق النقل أو النشر أو الإتاحة بطريقة أخرى أو التقييد أو المحو أو التدمير” – القسم 2(خ).

تشمل معالجة البيانات جميع الأساليب والأساليب بدءًا من جمع البيانات وحتى تدمير البيانات. سيتم تغطية أي نشاط يتم إجراؤه بينهما باستخدام البيانات في تعريف المعالجة. وسيشمل أيضًا برامج وأدوات التعرف على الوجه أو التعرف على الصوت المستخدمة لتحديد هوية الأفراد.

تطبيق قانون حماية البيانات الشخصية الرقمية

ينطبق قانون حماية البيانات الشخصية الرقمية على معالجة البيانات الشخصية الرقمية داخل أراضي الهند حيث يتم جمع البيانات الشخصية – في شكل رقمي؛ أو في شكل غير رقمي ورقمنته لاحقًا. وينطبق أيضًا على معالجة البيانات الشخصية الرقمية خارج أراضي الهند، إذا كانت هذه المعالجة مرتبطة بأي نشاط متعلق بتقديم السلع أو الخدمات إلى مسؤولي البيانات داخل أراضي الهند.

إذا تم انتهاك بيانات مدير البيانات حتى خارج الهند، فسيظل القانون ساريًا إذا تم شراء السلع/الخدمات بواسطة مدير البيانات داخل الهند. ومن ثم، فقد وسع القانون نطاق التطبيق ولم يقتصر على حدود الهند.

توضيح:
السيدة X هي مبرمجة مقرها في بيون وتقوم بعمل مستقل من خلال بوابة (مسجلة في الولايات المتحدة الأمريكية) تعمل كمجمع لمقدمي الخدمات ومتلقي الخدمة ولهذا الغرض تجمع البيانات مثل الاسم والعنوان ومعلومات الاتصال والتفاصيل المصرفية وتفاصيل بطاقة الائتمان وما إلى ذلك. وفي هذه الحالة، ستخضع البوابة لأحكام القانون في حالة انتهاك البيانات الشخصية الرقمية للسيدة X.

ومع ذلك، لا ينطبق هذا القانون إذا تمت معالجة البيانات الشخصية من قبل فرد لأغراض شخصية وتم توفير البيانات من قبل مدير البيانات أو من قبل أي شخص آخر بموجب التزام القانون.

التزامات البيانات الائتمانية

  1. الموافقة – يضع القانون التزامات مختلفة على أمين البيانات فيما يتعلق بالطريقة التي ينبغي بها معالجة البيانات وحمايتها. الالتزام الأول والأهم هو الحصول على “الموافقة” من مدير البيانات. وفقًا للمادة 6 من القانون، يجب أن تكون الموافقة المقدمة من مدير البيانات “حرة ومحددة ومستنيرة وغير مشروطة ولا لبس فيها مع إجراء إيجابي واضح”. وينص أيضًا على أن “الموافقة يجب أن تعني اتفاقًا على معالجة البيانات الشخصية لغرض محدد وتقتصر على البيانات الشخصية الضرورية لهذا الغرض المحدد”. وهذا يعني أنه حتى لو أعطى مدير البيانات الموافقة على البيانات ذات الصلة وغير ذات الصلة، فإن الموافقة ستقتصر على البيانات ذات الصلة فقط وسيكون الجهة الائتمانية مسؤولة عن انتهاك الالتزام بالبيانات غير ذات الصلة.
    توضيح:
    تم تسجيل السيدة X كمشترية على بوابة التجارة الإلكترونية. طلبت بوابة التجارة الإلكترونية رقم هاتفها المحمول وعنوانها وقائمة الاتصال بهاتفها. السيدة X تعطي موافقتها على كليهما. ومع ذلك، فإن قائمة جهات الاتصال الهاتفية ليست ضرورية لتزويدها بالسلع/الخدمات. ومن ثم ستقتصر موافقتها على رقم هاتفها المحمول وعنوانها بغرض الاستفادة من السلع/الخدمات من بوابة التجارة الإلكترونية، على الرغم من أنها قد تكون وافقت صراحةً على تقديم قائمة جهات الاتصال أيضًا.
    وبالتالي، إذا قام مؤتمن البيانات بمعالجة البيانات التي لم يتم الحصول على الموافقة بشأنها أو اعتبر أنه لم يتم الحصول عليها وفقًا لأحكام القانون، فسيكون مسؤولاً عن خرق التزاماته.

علاوة على ذلك، يجب أن يكون كل طلب يتم تقديمه إلى مدير البيانات من قبل أمين البيانات مصحوبًا أو مسبوقًا بإشعار لإبلاغ مدير البيانات بما يلي:
• البيانات الشخصية والغرض الذي ستتم معالجتها من أجله.
• كيف يمكن لمدير البيانات سحب الموافقة وتقديم طلب لمعالجة التظلمات.
• كيف يمكن لمدير البيانات تقديم شكوى إلى مجلس حماية البيانات في الهند.
إذا تضمنت الموافقة أي شيء يخالف أحكام القانون أو القواعد الصادرة بموجبه، تعتبر الموافقة باطلة بقدر هذا الانتهاك.

توضيح:
يشتري X، وهو فرد، بوليصة تأمين باستخدام تطبيق الهاتف المحمول أو الموقع الإلكتروني لشركة Y، شركة التأمين. لقد أعطت لـ Y موافقتها على (ط) معالجة بياناتها الشخصية بواسطة Y بغرض إصدار السياسة، و (2) التنازل عن حقها في تقديم شكوى إلى مجلس حماية البيانات في الهند. جزء (2) الموافقة المتعلقة بالتنازل عن حقها في تقديم شكوى، تكون باطلة.
يحق لمدير البيانات أيضًا سحب الموافقة على البيانات الشخصية التي تم منح موافقة صالحة بشأنها مسبقًا. عند سحب الموافقة، سيتعين على الجهة الائتمانية للبيانات مسح البيانات من قاعدة البيانات الخاصة بها والتأكد من عدم استخدامها للمعالجة بعد الآن.

  1. استخدام مشروع معين للبيانات الشخصية – يجوز لأمين البيانات معالجة البيانات الشخصية الخاصة بالبيانات الرئيسية لأغراض مشروعة معينة مثل:
    أ. عندما يكون مدير البيانات قد قدم طوعًا بيانات شخصية ولم يشير صراحةً إلى عدم الموافقة على هذه البيانات.
    ب. البيانات التي تطلبها الدولة لأغراض أي قانون ساري المفعول في الوقت الحالي.
    ج. الامتثال للحكم أو المرسوم
    د. الاستجابة لحالات الطوارئ الطبية التي تنطوي على تهديد للحياة أو تهديد مباشر لصحة البيانات الرئيسية لأي فرد آخر
    ه. اتخاذ الإجراءات اللازمة لتقديم العلاج الطبي أو الخدمات الصحية
    F. اتخاذ التدابير اللازمة لتوفير السلامة لأي فرد أثناء وقوع كارثة أو انهيار النظام العام.
    ز. لأغراض التوظيف أو تلك المتعلقة بحماية صاحب العمل من الخسارة أو المسؤولية، مثل منع تجسس الشركات أو الحفاظ على سرية الأسرار التجارية أو الملكية الفكرية أو المعلومات السرية أو تقديم أي خدمة أو فائدة يطلبها مدير البيانات الذي يكون موظف.
  2. الالتزامات العامة لأمين البيانات – لدى أمين البيانات التزامات معينة يجب اتباعها للامتثال للقانون:
    أ. يكون أمين البيانات مسؤولاً عن الامتثال لأحكام القانون بغض النظر عن فشل مدير البيانات في تنفيذ واجباته بموجب القانون.
    ب. لا يجوز لمؤتمن البيانات الاستعانة بمعالج بيانات إلا بموجب عقد ساري المفعول.
    ج. التأكد من اكتمال ودقة واتساق البيانات.
    د. تنفيذ التدابير الفنية المناسبة لضمان الالتزام الفعال بأحكام القانون.
    ه. يجب أن يكون لديه ضمانات أمنية معقولة لحماية البيانات الشخصية التي في حوزته أو سيطرته بما في ذلك البيانات التي تتم معالجتها بصفته الخاصة أو بواسطة معالج البيانات.
    F. قم بإبلاغ مجلس حماية البيانات في الهند في حالة حدوث خرق للبيانات الشخصية.
    ز. يجب أن يمحو ويتسبب في قيام معالج البيانات بمسح البيانات الشخصية عند سحب الموافقة من قبل مدير البيانات أو الغرض المحدد إذا لم يعد يتم تقديمها.
  3. البيانات الشخصية للأطفال – يجب على الجهة الائتمانية للبيانات:
    أ. احصل على موافقة يمكن التحقق منها من ولي الأمر/الوصي القانوني للطفل قبل معالجة أي بيانات شخصية.
    ب. عدم القيام بتتبع أو مراقبة سلوك الأطفال أو الإعلانات الموجهة للأطفال.

حقوق وواجبات مدير البيانات

تم منح مدير البيانات حقوقًا وامتيازات مختلفة بموجب القانون من أجل الحفاظ على خصوصية بياناته الرقمية الشخصية. كما أنهم ملزمون بالامتثال لأحكام القانون.

  1. حقوق مدير البيانات:
    أ. الحق في الوصول إلى معلومات حول البيانات الشخصية: يحق لمدير البيانات الحصول على ملخص للبيانات الشخصية التي تتم معالجتها بواسطة الجهة الائتمانية للبيانات.
    ب. يحق لمدير البيانات تعديل البيانات الشخصية أو محوها عن طريق سحب الموافقة بموجب القانون.
    ج. في حالة الانتهاك من قبل أمين البيانات، سيكون لمدير البيانات الحق في معالجة التظلم من خلال أمين البيانات وكذلك مجلس حماية البيانات في الهند.
  2. واجبات مدير البيانات:
    أ. الالتزام بأحكام القانون.
    ب. عدم انتحال شخصية شخص آخر أثناء تقديم البيانات الشخصية لغرض محدد.
    ج. عدم حجب المعلومات الجوهرية أثناء تقديم البيانات الشخصية لأي وثيقة أو معرف فريد أو إثبات هوية أو إثبات عنوان صادر عن الدولة أو أي من أدواتها.
    د. عدم تسجيل تظلم أو شكوى كاذبة أو تافهة
    ه. تقديم معلومات يمكن التحقق منها وحقيقية.
    عقوبات مخالفة أحكام القانون
    يتضمن القانون أحكامًا صارمة للامتثال من قبل مؤتمنين البيانات. كما يفرض عقوبات صارمة على مخالفة أحكام القانون. دعونا نلقي نظرة على بعض العقوبات التي فرضها القانون:
    ريال سعودى. لا. عقوبة المخالفة
    1 قد يمتد خرق مراقبة التزام أمين البيانات باتخاذ ضمانات أمنية معقولة لمنع خرق البيانات الشخصية بموجب القسم الفرعي (5) من القسم 8 إلى 250 كرور روبية هندية.
    2 خرق في الالتزام بإعطاء مجلس الإدارة أو مدير البيانات المتأثر إشعارًا بخرق البيانات الشخصية بموجب القسم الفرعي (6) من القسم 8. قد يمتد إلى 200 كرور روبية هندية.
    3 قد يمتد خرق مراعاة الالتزامات الإضافية فيما يتعلق بالأطفال بموجب القسم 9 إلى 200 كرور روبية هندية.
    4 خرق لمراعاة الالتزامات الإضافية الخاصة بالبيانات المهمة الائتمانية بموجب القسم 10. قد يمتد إلى 150 كرور روبية هندية.
    5- مخالفة أي حكم آخر من أحكام هذا القانون أو القواعد الصادرة بموجبه. قد يمتد إلى 50 كرور روبية هندية.

كما ترون، يمكن أن تتراوح العقوبة من 50 كرور روبية هندية إلى 250 كرور روبية هندية اعتمادًا على نوع الانتهاك. وهذا يدعو جميع المنظمات التي تندرج تحت تعريف أمين البيانات أو معالج البيانات إلى اتخاذ تدابير لمعالجة الامتثال للقانون وقواعده في الوقت المناسب. ومن المتوقع أن توفر الحكومة فترة انتقالية للسماح بتنفيذ التدابير اللازمة لضمان الامتثال.

خاتمة

يجب على المنظمات إجراء تقييم تأثير حماية البيانات بشكل استباقي والحصول على قائمة بالإجراءات التي سيتم اعتمادها. وقد تغطي هذه المجالات التالية:

  1. آليات الموافقة على التصميم.
  2. اعتماد تدابير تكنولوجيا المعلومات/نظم المعلومات والأمن السيبراني.
  3. تعيين مسؤولي الامتثال المناسبين داخل المنظمة.
  4. تصميم تخزين البيانات وأرشفة البيانات وسياسات وأدوات تطهير البيانات لتنفيذها.
    يجب على الأفراد أيضًا تثقيف أنفسهم حول القانون ومعرفة حقوقهم وامتيازاتهم. لقد كشفوا عن كميات هائلة من البيانات عبر الإنترنت لبوابات متعددة. ويمكّنهم هذا القانون من التحكم في كيفية استخدام بياناتهم وحمايتها.

إذا كنت ترغب في معرفة المزيد عن قانون حماية البيانات الشخصية الرقمية في الهند، فيرجى الاتصال بنا .