Haberler

Darshil Surana
Ortak, Kreston OPR Advisors

Join Darshil Surana on LinkedIn

www.krestonopr.com

Darshil Surana, Nisan 2023’ten bu yana iş süreçlerinin iyileştirilmesinde ve stratejik dijital dönüşümlerin uygulanmasında etkili olduğu O. P. Rathi & Co. şirketinde deneyimli bir profesyonel ve Ortaktır. İç denetim, bilgi teknolojisi ve yönetim muhasebesini de içeren çok yönlü bir beceri setine sahip olan Darshil, Ahmedabad’ın dinamik pazarında finansal danışmanlık ve analitik alanındaki uzmanlığıyla tanınıyor.

Mevcut görevinden önce Darshil, girişimci ruhunun ve stratejik planlama, finansal analiz ve kapsamlı vergilendirme alanlarındaki yetkinliğinin bir kanıtı olarak Darshil Surana & Associates şirketinin sahibiydi. Geçmişinde ayrıca Intech Systems’da SBU Başkanı ve Teslimat Başkanı olarak çapraz fonksiyonlu ekiplere liderlik ettiği ve MS Dynamics NAV/BC için stratejik iş birimi performansını yönettiği önemli roller de bulunmaktadır.

Darshil’in Fonksiyonel Danışmanlıktan Proje Yöneticiliğine yükselişi, olağanüstü liderlik ve proje yönetimi becerilerini yansıtmaktadır. Kariyerinin ilk temellerini CA Pradeepkumar H. Shah & Co. şirketinde atmış ve burada muhasebe ve denetim yeteneklerini geliştirmiştir. Darshil Surana’nın kariyeri, güçlü profesyonel deneyimler ile finans ve iş stratejilerinin inceliklerini derinlemesine anlamanın bir karışımıdır.

Hindistan Dijital Kişisel Verilerin Korunması Yasası, 2023 (DPDP Yasası)

November 3, 2023

Dijital Kişisel Verilerin Korunması Yasası, 2023 (DPDP Yasası) 11 Ağustos 2023 tarihinde Hindistan’da kabul edilmiştir. Yasa, bu dijital dünyada Bireylerin kişisel verilerini ve mahremiyetini korumayı amaçlamaktadır. Bu, veri gizliliğini sağlamak için bireyleri ve Devleti güçlendirebilecek dönüm noktası niteliğinde bir mevzuattır. Yasa, verilerin uygun ve belirlenmiş amaçlar doğrultusunda kullanılmasını sağlamak ve kötüye kullanımı önlemek için bir çerçeve oluşturmaktadır. Kreston OPR Advisors ‘dan Darshil Surana açıklıyor.

Dijital Kişisel Verilerin Korunması Kanunu Tanımları

Kanun “Dijital Kişisel Verilerin Korunması” üzerinde durmaktadır. Bu nedenle, dijital dünyadaki herhangi bir kişinin verilerinin, bunları toplamak, saklamak ve işlemekten sorumlu olanlar tarafından korunması gerekir. İlk olarak, Kanunun 2. bölümünde yer alan bazı tanımları anlamaya çalışalım:

  1. Veri – “bilgi, olgu, kavram, görüş veya talimatların insanlar tarafından veya otomatik araçlarla iletilmeye, yorumlanmaya veya işlenmeye uygun bir şekilde temsili” – Bölüm 2(h).
  2. Kişisel Veriler – “bu verilerle veya bu verilerle ilişkili olarak tanımlanabilen bir birey hakkındaki her türlü veri” – Bölüm 2(t).
  3. Dijital Kişisel Veriler – “dijital formdaki kişisel veriler” – Bölüm 2(n)

İlk tanım kümesi oldukça basittir. Veri, kişisel veri ve dijital kişisel veri, her türlü karışıklığı ve belirsizliği ortadan kaldıracak şekilde açıkça tanımlanmıştır. Verinin “… insanlar tarafından veya otomatik araçlarla iletilmeye, yorumlanmaya veya işlenmeye uygun” olarak kapsamlı bir şekilde tanımlanmış olması dikkat çekicidir. Dolayısıyla, veriler ister insan zekası ister yapay zeka tarafından işlensin, her ikisi de Kanun kapsamına girecektir. Bazı dijital kişisel veri örnekleri şunlardır:
– PAN, Aadhaar, Ehliyet vb. gibi KYC kayıtları.
– E-posta adresi, telefon numaraları vb. gibi iletişim bilgileri.
– Sosyal medya kullanıcı kimlikleri ve profilleri.
– İşitsel – CCTV görüntüleri, web kamerası görüntüleri, sosyal medyadaki fotoğraflar ve videolar vb. gibi bireylerin görsel olarak tanımlanması.
– Parmak izi, iris taraması, yüz tanıma vb. gibi biyometrikler.

  1. Veri Sorumlusu – “kişisel verilerin ilgili olduğu birey ve bu bireyin-
    (i) bir çocuk, böyle bir çocuğun ebeveynlerini veya yasal vasisini içerir;
    (ii) engelli bir kişi, onun adına hareket eden yasal vasisini de içerir”
  • Bölüm 2(j).
  1. Veri Sorumlusu – “kişisel verilerin işlenme amaç ve yöntemlerini tek başına veya diğer kişilerle birlikte belirleyen herhangi bir kişi” – Bölüm 2(i).
  2. Veri İşleyen – “bir Veri Mütevellisi adına kişisel verileri işleyen herhangi bir kişi” – Bölüm 2(k).

Veri Müdürü

Bir sonraki tanımlar dizisi önemlidir. Veri koruma çerçevesinin temelini oluştururlar. Verilerin ilgili olduğu kişi ‘Veri Sahibi’ olarak adlandırılır. Kanunun merkezinde yer alan kişi Veri Sorumlusudur. ‘Veri Sorumlusu’, verileri kendi sıfatıyla veya ‘Veri İşleyen’ ile birlikte toplayacak, saklayacak, işleyecek kişi anlamına gelecektir. Bu iki terim de geniş bir şekilde tanımlanmıştır. Tanımları birkaç örnek üzerinden anlayalım:

Çizim 1:
A Limited bir borsa komisyoncusudur ve Bayan X kendilerinde bir Demat hesabı açmak istemektedir. A Limited onun Adını, Adresini, İletişim Numarasını, PAN ve Aadhaar’ını toplar ve KYC’yi doğrulamak için bir Veri Deposu olan B Limited’in hizmetlerinden yararlanır. Burada, Bayan X Veri Sorumlusu, A Limited Veri Emanetçisi ve B Limited Veri İşleyicisidir.

Çizim 2:
Bayan X, klasik müzik eğitimi verdiği bir müzik akademisi işletmektedir. Bebek Y (10 yaşında) onun öğrencilerinden biri. Bayan X, kayıtları için Bebek Y’nin Adını, Adresini ve İletişim bilgilerini toplar. Burada, Bebek Y ve ebeveynleri Veri Asili, Bayan X ise Veri Güvencesidir.

  1. İşleme – “kişisel verilerle ilgili olarak, dijital kişisel veriler üzerinde gerçekleştirilen tamamen veya kısmen otomatik bir işlem veya işlemler dizisi anlamına gelir ve toplama, kaydetme, düzenleme, yapılandırma, depolama, uyarlama, geri alma, kullanma, hizalama veya birleştirme, indeksleme, paylaşma, iletim yoluyla ifşa etme, yayma veya başka bir şekilde kullanıma sunma, kısıtlama, silme veya imha etme gibi işlemleri içerir” – Bölüm 2(x).

Veri işleme, veri toplamadan veri imhasına kadar tüm modları ve yöntemleri kapsar. Arada veri kullanılarak gerçekleştirilen her türlü faaliyet İşleme tanımı kapsamına girecektir. Ayrıca, yüz tanıma veya ses tanıma yazılımları ve kişileri tanımlamak için kullanılan araçları da içerecektir.

Dijital Kişisel Verilerin Korunması Yasasının Uygulanması

Dijital Kişisel Verilerin Korunması Yasası, kişisel verilerin dijital formda veya dijital olmayan formda toplandığı ve daha sonra dijitalleştirildiği Hindistan sınırları dahilinde dijital kişisel verilerin işlenmesi için geçerlidir. Söz konusu işleme faaliyetinin Hindistan sınırları dahilindeki Veri Sorumlularına mal veya hizmet sunulmasına ilişkin herhangi bir faaliyetle bağlantılı olması halinde, dijital kişisel verilerin Hindistan sınırları dışında işlenmesi için de geçerlidir.

Veri Sahibinin verilerinin Hindistan dışında bile ihlal edilmesi halinde, mallar/hizmetler Veri Sahibi tarafından Hindistan içinde tedarik edilmişse Kanun yine de geçerli olacaktır. Dolayısıyla, Kanun uygulanabilirlik kapsamını genişletmiştir ve Hindistan sınırları ile sınırlı değildir.

İllüstrasyon:
Bayan X, Pune’da yaşayan bir programcıdır ve hizmet sağlayıcılar ve hizmet alıcılar için bir toplayıcı görevi gören ve bu amaçla isim, adres, iletişim bilgileri, banka bilgileri, kredi kartı bilgileri vb. gibi verileri toplayan bir Portal (ABD’de kayıtlı) aracılığıyla serbest çalışma yapmaktadır. Bu durumda, Portal, Bayan X’in dijital kişisel verilerinin ihlal edilmesi durumunda Kanun hükümleri kapsamına girecektir.

Ancak, kişisel verilerin bir birey tarafından kişisel amaçlarla işlenmesi ve verilerin Veri Sorumlusu veya kanuni yükümlülük altındaki herhangi bir kişi tarafından kullanıma sunulması halinde bu Kanun uygulanmayacaktır.

Veri Sorumlusunun Yükümlülükleri

  1. Rıza – Kanun, verilerin işlenme şekli ve korunması konusunda Veri Sorumlusuna çeşitli yükümlülükler getirmektedir. İlk ve en önemli yükümlülük Veri Sahibinden ‘Rıza’ alınmasıdır. Kanunun 6. bölümüne göre, Veri Sorumlusu tarafından verilen rıza ‘özgür, belirli, bilgilendirilmiş, koşulsuz ve açık bir olumlu eylem ile net’ olmalıdır. Ayrıca, “rızanın, kişisel verilerin belirli bir amaç için ve söz konusu amaç için gerekli olan kişisel verilerle sınırlı olarak işlenmesine yönelik bir anlaşma anlamına geleceğini” belirtmektedir. Bu, veri sorumlusunun ilgili ve ilgisiz verilere rıza göstermiş olması halinde dahi, rızanın yalnızca ilgili verilerle sınırlı olacağı ve veri sorumlusunun ilgisiz veriler için yükümlülük ihlalinden sorumlu olacağı anlamına gelmektedir.
    İllüstrasyon:
    Bayan X, bir e-ticaret portalına alıcı olarak kaydoldu. E-ticaret portalı cep telefonu numarasını, adresini ve telefon irtibat listesini istedi. Bayan X her ikisine de rıza gösteriyor. Ancak, telefon irtibat listesi mal/hizmetlerini tedarik etmek için gerekli değildir. Bu nedenle rızası, e-Ticaret Portalından mal/hizmet almak amacıyla cep telefonu numarası ve adresiyle sınırlı olacaktır, ancak bir iletişim listesi sağlamaya da açıkça rıza göstermiş olabilir.
    Dolayısıyla, veri sorumlusu, Kanun hükümleri uyarınca rıza alınmayan veya alınmadığı kabul edilen verileri işlerse, yükümlülüklerini ihlal etmekten sorumlu olacaktır.

Ayrıca, veri sorumlusu tarafından Veri Sahibine yapılan her talep, veri sorumlusunu bilgilendiren bir bildirimle birlikte veya öncesinde yapılacaktır:
– Kişisel veri ve işlenme amacı.
– Veri sorumlusunun rızayı nasıl geri çekebileceği ve şikayetlerin giderilmesi için nasıl başvuruda bulunabileceği.
– Veri sorumlusunun Hindistan Veri Koruma Kuruluna nasıl şikayette bulunabileceği.
Muvafakatnamenin Yasa hükümlerini veya bu Yasa uyarınca yapılan kuralları ihlal eden herhangi bir şey içermesi halinde, muvafakatname bu ihlal ölçüsünde geçersiz olacaktır.

İllüstrasyon:
Bir birey olan X, bir sigortacı olan Y’nin mobil uygulamasını veya web sitesini kullanarak bir sigorta poliçesi satın alır. Y’ye aşağıdakiler için izin veriyor (i) poliçenin düzenlenmesi amacıyla kişisel verilerinin Y tarafından işlenmesi ve (ii) Hindistan Veri Koruma Kurulu’na şikayette bulunma hakkından feragat etmesi. Parça Şikayette bulunma hakkından feragat edilmesine ilişkin rızanın (ii) maddesi geçersiz olacaktır.
Veri sorumlusu ayrıca, daha önce geçerli bir onay verilmiş olan kişisel veriler için onayı geri çekme hakkına sahiptir. Rızanın geri çekilmesi üzerine, veri sorumlusu verilerin veri tabanından silinmesini ve artık işleme için kullanılmamasını sağlamak zorunda kalacaktır.

  1. Kişisel Verilerin Belirli Meşru Amaçlar İçin Kullanılması – Veri sorumlusu, veri sahibinin kişisel verilerini belirli meşru amaçlar için işleyebilir:
    a. Veri sahibinin gönüllü olarak kişisel veri sağladığı ve bu verilere ilişkin rızası olmadığını açıkça belirtmediği durumlar.
    b. Yürürlükte olan herhangi bir yasanın amaçları doğrultusunda Devlet tarafından talep edilen veriler.
    c. Yargı kararı veya kararnameye uygunluk
    d. Yaşam tehdidi veya başka herhangi bir bireyin veri sorumlusunun sağlığına yönelik acil bir tehdit içeren tıbbi bir acil duruma müdahale etmek
    e. Tıbbi tedavi veya sağlık hizmetleri sağlamak için önlemler almak
    f. Bir afet veya kamu düzeninin bozulması sırasında herhangi bir bireyin güvenliğini sağlamak için önlemler almak.
    g. Kurumsal casusluğun önlenmesi, ticari sırların, fikri mülkiyetin, gizli bilgilerin gizliliğinin korunması veya çalışan olan bir Veri Sorumlusu tarafından talep edilen herhangi bir hizmet veya faydanın sağlanması gibi istihdam amaçları veya işvereni kayıp veya sorumluluktan korumakla ilgili amaçlar için.
  2. Veri Sorumlusunun Genel Yükümlülükleri – Veri sorumlusunun Kanuna uymak için takip etmesi gereken belirli yükümlülükleri vardır:
    a. Veri sorumlusu, veri sorumlusunun Kanun kapsamındaki görevlerini yerine getirmemesine bakılmaksızın, Kanun hükümlerine uymaktan sorumlu olacaktır.
    b. Veri sorumlusu, yalnızca geçerli bir sözleşme kapsamında bir veri işleyenle çalışabilir.
    c. Verilerin eksiksizliğini, doğruluğunu ve tutarlılığını sağlayın.
    d. Kanun hükümlerine etkin bir şekilde uyulmasını sağlamak için uygun teknik tedbirleri uygulamak.
    e. Kendi kapasitesinde veya veri işleyen tarafından işlenen veriler de dahil olmak üzere, elinde veya kontrolünde bulunan kişisel verileri korumak için makul güvenlik önlemlerine sahip olmalıdır.
    f. Kişisel veri ihlali durumunda Hindistan Veri Koruma Kurulu’nu bilgilendirin.
    g. Veri sahibinin rızasını geri alması veya belirlenen amacın ortadan kalkması halinde kişisel verileri siler ve veri işleyene sildirir.
  3. Çocukların Kişisel Verileri – Veri sorumlusu şunları yapmalıdır:
    a. Herhangi bir kişisel veriyi işlemeden önce bir çocuğun ebeveyninin/yasal vasisinin doğrulanabilir onayını alın.
    b. Çocukların takibini veya davranışsal izlemesini veya çocuklara yönelik hedefli reklamları üstlenmemek.

Veri Sorumlusunun hak ve yükümlülükleri

Veri sorumlusuna, kişisel dijital verilerinin gizliliğini korumak için Kanun kapsamında çeşitli haklar ve ayrıcalıklar tanınmıştır. Ayrıca, Kanun hükümlerine uymakla da yükümlüdürler.

  1. Veri Sorumlusunun Hakları:
    a. Kişisel veriler hakkında bilgiye erişim hakkı: Veri sorumlusu, veri sorumlusu tarafından işlenen kişisel verilerin bir özetini alma hakkına sahiptir.
    b. Veri sahibi, Kanun kapsamında rızasını geri çekerek kişisel verilerini değiştirme veya sildirme hakkına sahiptir.
    c. Bir Veri Emanetçisinin ihlali durumunda, veri sorumlusu hem veri emanetçisi hem de Hindistan Veri Koruma Kurulu aracılığıyla şikayetlerini giderme hakkına sahip olacaktır.
  2. Veri Sorumlusunun Görevleri:
    a. Kanun hükümlerine uymak.
    b. Belirli bir amaç için kişisel veri sağlarken başka bir kişinin kimliğine bürünmemek.
    c. Devlet veya herhangi bir kuruluşu tarafından verilen herhangi bir belge, benzersiz tanımlayıcı, kimlik belgesi veya adres belgesi için kişisel veri sağlarken önemli bilgileri gizlememek.
    d. Sahte veya anlamsız şikayet veya ihbarda bulunmamak
    e. Doğrulanabilir ve gerçek olan bilgileri sağlayın.
    Kanun Hükümlerinin İhlali Halinde Uygulanacak Cezalar
    Yasa, veri mutemetlerinin uyum sağlaması için katı hükümler içermektedir. Ayrıca, Kanun hükümlerinin ihlali halinde ağır cezalar öngörmektedir. Kanun tarafından uygulanan bazı cezalara bir göz atalım:
    Sr. Hayır. İhlal Cezası
    1 Veri Sorumlusunun 8. bölümün (5) numaralı alt bölümü kapsamındaki kişisel veri ihlalini önlemek için makul güvenlik önlemleri alma yükümlülüğüne uyulmaması 250 Crore INR’ye kadar çıkabilir.
    2 8. bölümün (6) numaralı alt bölümü kapsamında bir kişisel veri ihlaline ilişkin olarak Kurula veya etkilenen Veri Sorumlusuna bildirimde bulunma yükümlülüğüne uyulmaması. 200 Crores INR’ye kadar uzanabilir.
    3 Bölüm 9 kapsamında çocuklarla ilgili ek yükümlülüklere uyulmaması 200 Crore INR’ye kadar çıkabilir.
    4 Bölüm 10 kapsamında Önemli Veri Sorumlusunun ek yükümlülüklerine uyulmaması. 150 Crores INR’ye kadar uzayabilir.
    5 Bu Yasanın veya bu Yasa uyarınca yapılan kuralların diğer herhangi bir hükmünün ihlali. INR 50 Crores’a kadar uzayabilir.

Gördüğünüz gibi ceza, ihlalin türüne bağlı olarak 50 Crore INR ile 250 Crore INR arasında değişebilmektedir. Bu durum, veri sorumlusu veya veri işleyen tanımına giren tüm kuruluşların Yasa ve kurallarına uyum konusunda zamanında önlem almasını gerektirmektedir. Hükümetin, uyumun sağlanmasına yönelik tedbirlerin uygulanmasına imkân vermek üzere bir geçiş dönemi sağlaması beklenmektedir.

Sonuç

Kuruluşlar proaktif olarak bir Veri Koruma Etki Değerlendirmesi yaptırmalı ve alınacak önlemlerin bir envanterini çıkarmalıdır. Bunlar aşağıdaki alanları kapsayabilir:

  1. Onay Mekanizmaları Tasarlayın.
  2. BT / IS ve Siber Güvenlik önlemlerini benimseyin.
  3. Kurum içinde uygun uyum görevlileri atayın.
  4. Veri depolama, veri arşivleme, veri temizleme politikaları ve bunları uygulamak için araçlar tasarlayın.
    Bireyler ayrıca Kanun hakkında kendilerini eğitmeli ve haklarını ve ayrıcalıklarını bilmelidir. Büyük miktarda veriyi çevrimiçi olarak birden fazla portala açmışlardır. Bu Yasa onlara, verilerinin nasıl kullanılacağı ve korunacağı konusunda kontrolü ele alma yetkisi vermektedir.

Hindistan’daki Dijital Kişisel Verilerin Korunması Yasası hakkında daha fazla bilgi edinmek isterseniz, lütfen iletişime geçin.