जीडीपीआर अनुपालन क्या है: आपके डेटा और इसका उपयोग कैसे किया जा रहा है, इसके बारे में आपको जो कुछ जानने की जरूरत है
25 मई 2018 तक, सामान्य डेटा संरक्षण विनियमन (जीडीपीआर) पूरे क्षेत्र में नियम पूरी तरह से लागू हो गए यूरोपीय संघ (ईयू). जीडीपीआर कानूनों ने व्यक्तिगत जानकारी कैसे एकत्रित, संसाधित और उपयोग की जाती है, इसके लिए दिशानिर्देश स्थापित किए, साथ ही जो उपयोग किया जाता है उसे नियंत्रित करने के अधिकार को भी नियंत्रित किया। Chrome खोज इतिहास हटाना यह एक बात है, लेकिन जीडीपीआर सिर्फ एक साधारण गोपनीयता विकल्प से कहीं अधिक है। जीडीपीआर भी सभी देशों को प्रभावित करता है जो यूरोपीय संघ के भीतर व्यक्तियों के व्यक्तिगत डेटा को संभालते हैं। जुर्माना भारी है उन लोगों के लिए जो जीडीपीआर का ठीक से पालन करने में विफल रहते हैं। लब्बोलुआब यह है कि जीडीपीआर यूरोपीय संघ के निवासियों की सुरक्षा करता है और उन्हें यह नियंत्रित करने का अधिकार देता है कि कोई व्यक्ति या कंपनी कौन सी जानकारी छिपाती है और उसका उपयोग करती है।
फेसबुक और कैम्ब्रिज एनालिटिका घोटाला 2018 में वैयक्तिकृत विज्ञापन और डेटा हार्वेस्टिंग की अवधारणाओं को सामने लाया गया और इसने ऐसी प्रथाओं के खतरों पर प्रकाश डाला। संक्षेप में, ब्रिटिश एनालिटिक्स फर्म, कैम्ब्रिज एनालिटिका पर लाखों लोगों का डेटा चुराने का आरोप लगाया गया था 2016 के राष्ट्रपति चुनाव में मतदान की आदतों को प्रभावित करने के लिए उपयोगकर्ताओं की सहमति और जानकारी के बिना फेसबुक अकाउंट बनाए गए चुनाव।
स्रोत: असंपादित, फ़्लिकर: पुस्तक सूची के जरिए www.shopcatalog.com, सीसी बाय-एसए 2.0
कैम्ब्रिज एनालिटिका घोटाला + फेसबुक ने ब्रेक्सिट वोट में भी भूमिका निभाई हो सकती है। फेसबुक ने कथित तौर पर विश्वास के साथ इस तरह के घोर विश्वासघात को संभव बनाने के लिए दरवाजा खोला।
व्यवसाय डेटा को कैसे प्रबंधित करते हैं, इसे प्रबंधित करने के लिए स्थापित किए जाने के बावजूद, जीडीपीआर का लक्ष्य वेब का उपयोग करने वाले किसी भी व्यक्ति की सुरक्षा करना है। यदि आप ऑनलाइन खरीदारी करते हैं, वेबसाइटों पर कुकीज़ की अनुमति देते हैं, सोशल नेटवर्क पर साइन अप करते हैं और यहां तक कि समाचार पत्रों की सदस्यता भी लेते हैं, तो नए नियम सीधे आप पर और आपके ब्राउज़ करने के तरीके को प्रभावित करते हैं। यदि आप कभी भी किसी अन्य व्यक्ति या कंपनी के साथ व्यक्तिगत डेटा साझा करते हैं, तो डेटा का उपयोग कैसे किया जाता है, इसमें जीडीपीआर एक भूमिका निभाता है।
यहां वह सब कुछ है जो आपको जानना आवश्यक है।
जीडीपीआर क्या है?
स्रोत: https://gdpr.eu/
ईयू का सामान्य डेटा संरक्षण विनियमन (जीडीपीआर) डेटा संरक्षण कानून को डेटा के उपयोग के नए, पहले से अप्रत्याशित तरीकों के अनुरूप लाने के लिए यूरोपीय संघ द्वारा किए गए चार वर्षों के काम का परिणाम है।
यूके पहले से ही डेटा प्रोटेक्शन एक्ट 1998 पर निर्भर है, जो 1995 ईयू डेटा प्रोटेक्शन डायरेक्टिव के बाद अधिनियमित हुआ, लेकिन नया कानून इसे खत्म कर देगा। जीडीपीआर गैर-अनुपालन और उल्लंघनों के लिए अधिक कठोर जुर्माना पेश करता है और लोगों को इस बारे में अधिक अधिकार देता है कि कंपनियां अपने डेटा के साथ क्या कर सकती हैं। यह पूरे यूरोपीय संघ में डेटा सुरक्षा नियमों को कमोबेश एक जैसा बनाता है।
जीडीपीआर का मसौदा क्यों तैयार किया गया था?
जीडीपीआर के पीछे चालक दोहरे हैं।
पहला, यूरोपीय संघ लोगों को इस बात पर अधिक नियंत्रण देना चाहता था कि उनके डेटा का उपयोग कैसे किया जाए। फेसबुक और गूगल जैसी कई कंपनियां अपनी सेवाओं के उपयोग के लिए लोगों के डेटा तक पहुंच की अदला-बदली करती हैं। वर्तमान कानून इंटरनेट और क्लाउड प्रौद्योगिकी द्वारा डेटा के दोहन के नए तरीके बनाने से पहले अधिनियमित हुआ था, और जीडीपीआर इसका समाधान करना चाहता है। डेटा संरक्षण कानून को मजबूत करने और सख्त प्रवर्तन उपायों को पेश करके, यूरोपीय संघ उभरती डिजिटल अर्थव्यवस्था में विश्वास में सुधार की उम्मीद करता है।
दूसरा, यूरोपीय संघ व्यवसायों को संचालित करने, डेटा बनाने के लिए अधिक सीधा, अधिक स्पष्ट कानूनी वातावरण देना चाहता है संरक्षण कानून पूरे एकल बाज़ार में समान है (ईयू का अनुमान है कि इससे कंपनियों को सामूहिक रूप से 2.6 बिलियन की बचत होगी एक साल)।
जीडीपीआर कब लागू हुआ?
जीडीपीआर 25 मई, 2018 को प्रभावी हुआ। क्योंकि जीडीपीआर एक विनियमन है, निर्देश नहीं, इसलिए यूके को नया कानून बनाने की आवश्यकता नहीं थी। इसके बजाय, कानून स्वचालित रूप से लागू होते थे। विनियमन वास्तव में 24 मई 2016 को शुरू हुआ, जब यूरोपीय संघ के सभी वर्ग अंतिम पाठ पर सहमत हुए। फिर भी, व्यवसायों और संगठनों के पास कानून लागू करने के लिए 25 मई, 2018 तक का समय था।
जीडीपीआर किस पर लागू होता है?
डेटा के "नियंत्रकों" और "प्रोसेसरों" को जीडीपीआर का पालन करना होगा। एक डेटा नियंत्रक बताता है कि व्यक्तिगत डेटा कैसे और क्यों संसाधित किया जाता है, जबकि एक प्रोसेसर डेटा की वास्तविक प्रसंस्करण करने वाली एक पार्टी है। इसलिए नियंत्रक कोई भी संगठन हो सकता है, लाभ चाहने वाली कंपनी से लेकर चैरिटी या सरकार तक। एक प्रोसेसर वास्तविक डेटा प्रोसेसिंग करने वाली एक आईटी फर्म हो सकती है।
जैसा कि पहले उल्लेख किया गया है, लेकिन बहुत महत्वपूर्ण है, यूरोपीय संघ के बाहर स्थित नियंत्रकों और प्रोसेसरों को यूरोपीय संघ के निवासियों से संबंधित डेटा से निपटने के दौरान अभी भी जीडीपीआर अनुपालन की आवश्यकता होगी।
यह सुनिश्चित करना नियंत्रक की ज़िम्मेदारी है कि उनका प्रोसेसर डेटा सुरक्षा कानून का पालन करता है, और प्रोसेसर को अपनी प्रसंस्करण गतिविधियों के रिकॉर्ड बनाए रखने के लिए नियमों का पालन करना चाहिए। यदि प्रोसेसर डेटा उल्लंघन में शामिल हैं, तो वे डेटा संरक्षण अधिनियम की तुलना में जीडीपीआर के तहत कहीं अधिक उत्तरदायी हैं।
मैं जीडीपीआर के तहत सहमति कैसे दूं?
सहमति डेटा विषय द्वारा एक सक्रिय, सकारात्मक कार्रवाई होनी चाहिए, न कि कुछ मौजूदा मॉडल के तहत निष्क्रिय स्वीकृति जो पहले से टिक किए गए बॉक्स या ऑप्ट-आउट की अनुमति देती है।
नियंत्रकों को यह रिकॉर्ड करना होगा कि किसी व्यक्ति ने कब और कैसे सहमति दी, और व्यक्ति जब चाहें अपनी सहमति वापस ले सकते हैं। यदि सहमति प्राप्त करने का आपका वर्तमान मॉडल इन नए नियमों को पूरा नहीं करता है, तो आपको इसे गति में लाना होगा या उस मॉडल के तहत डेटा एकत्र करना बंद करना होगा।
जीडीपीआर के तहत व्यक्तिगत डेटा के रूप में क्या गिना जाता है?
यूरोपीय संघ ने जीडीपीआर के तहत व्यक्तिगत डेटा की परिभाषा का काफी विस्तार किया है। उस प्रकार के डेटा को प्रतिबिंबित करने के लिए जिसे संगठन अब लोगों के बारे में एकत्र करते हैं, आईपी पते जैसे ऑनलाइन पहचानकर्ता व्यक्तिगत डेटा के रूप में योग्य हैं. अन्य डेटा, जैसे आर्थिक, सांस्कृतिक और मानसिक स्वास्थ्य संबंधी जानकारी को भी व्यक्तिगत पहचान योग्य जानकारी माना जाता है.
छद्म नाम वाला व्यक्तिगत डेटा भी जीडीपीआर नियमों के अधीन हो सकता है, यह इस बात पर निर्भर करता है कि यह पहचानना कितना आसान या कठिन है कि यह किसका डेटा है।
डेटा संरक्षण अधिनियम के तहत व्यक्तिगत डेटा के रूप में गिना जाने वाला कुछ भी जीडीपीआर के तहत व्यक्तिगत डेटा के रूप में योग्य है।
मैं अपने बारे में डेटा कंपनियों के स्टोर तक कब पहुंच सकता हूं?
आप "उचित अंतराल" पर पहुंच मांग सकते हैं और नियंत्रकों को आम तौर पर एक महीने के भीतर जवाब देना होगा। जीडीपीआर के लिए आवश्यक है कि नियंत्रक और प्रोसेसर इस बारे में पारदर्शी हों कि वे डेटा कैसे एकत्र करते हैं, वे इसके साथ क्या करते हैं और वे इसे कैसे संसाधित करते हैं। आपके लिए डेटा नीतियों और प्रक्रियाओं का वर्णन करते समय स्पष्टीकरण स्पष्ट (सादी भाषा का उपयोग करके) होना चाहिए।
आपके पास है किसी कंपनी द्वारा आपके बारे में रखी गई किसी भी जानकारी तक पहुंचने का अधिकार, और यह यह जानने का अधिकार है कि उस डेटा को क्यों संसाधित किया जा रहा है, यह कितने समय तक संग्रहीत है, और इसे कौन देख पाता है. जहां संभव हो, डेटा नियंत्रकों को लोगों को यह समीक्षा करने के लिए सुरक्षित, सीधी पहुंच प्रदान करनी चाहिए कि नियंत्रक उनके बारे में क्या जानकारी संग्रहीत करता है।
यदि आप चाहें तो उस डेटा को गलत या अपूर्ण होने पर सुधारने के लिए भी मांग सकते हैं।
जीडीपीआर का "भूल जाने का अधिकार" क्या है?
आपको यह मांग करने का अधिकार है कि आपका डेटा हटा दिया जाए यदि यह उस उद्देश्य के लिए आवश्यक नहीं रह गया है जिसे एकत्र किया गया था। इस परिदृश्य को "भूल जाने का अधिकार" के रूप में जाना जाता है। इस नियम के तहत आप कर सकते हैं मांग करें कि यदि आपने डेटा एकत्र करने की सहमति वापस ले ली है तो आपका डेटा मिटा दिया जाए, या जिस तरह से इसे संसाधित किया जाता है उस पर आपत्ति है।
नियंत्रक अन्य संगठनों (उदाहरण के लिए, Google) को डेटा की प्रतियों और स्वयं प्रतियों के किसी भी लिंक को हटाने के लिए कहने के लिए जिम्मेदार है।
यदि मैं अपना डेटा कहीं और ले जाना चाहूँ तो क्या होगा?
यदि व्यक्ति अनुरोध करता है तो नियंत्रकों को अब किसी व्यक्ति के डेटा को किसी अन्य संगठन में (निःशुल्क) स्थानांतरित करने के लिए लोगों की जानकारी को आमतौर पर उपयोग किए जाने वाले प्रारूपों (जैसे सीएसवी फ़ाइलें) में संग्रहीत करना होगा। नियंत्रकों को यह कार्य एक माह के भीतर करना होगा।
यदि किसी कंपनी को डेटा उल्लंघन का सामना करना पड़े तो क्या होगा?
यह कंपनी की ज़िम्मेदारी है कि वह किसी भी डेटा उल्लंघन के बारे में डेटा सुरक्षा प्राधिकरण को सूचित करे जो संगठन के अवगत होने के 72 घंटों के भीतर लोगों के अधिकारों और स्वतंत्रता को खतरे में डालता है। यूके प्राधिकरण सूचना आयुक्त कार्यालय है। सूचना आयुक्त एलिजाबेथ डेनहम का मानना है कि प्रशासन को जीडीपीआर की पुलिसिंग से निपटने और उल्लंघनों की सूचना देने वाले संगठनों को जवाब देने के लिए अधिक संसाधनों की आवश्यकता है। मार्च 2017 में, उन्होंने ईयू गृह मामलों की उप-समिति को बताया कि कुशल लोगों को भर्ती करने और बनाए रखने के लिए अधिक धन आवश्यक था।
यह समय सीमा इतनी कड़ी है कि इसका मतलब यह है कि कंपनियों को उल्लंघन का पता चलने तक शायद उसके बारे में हर विवरण पता नहीं चलेगा। हालाँकि, उनके डेटा-सुरक्षा प्राधिकरण के साथ उनके प्रारंभिक संपर्क की रूपरेखा तैयार होनी चाहिए प्रभावित होने वाले डेटा की प्रकृति, मोटे तौर पर कितने लोग प्रभावित हैं, उनके लिए परिणाम क्या हो सकते हैं, और वे पहले ही क्या उपाय कर चुके हैं या प्रतिक्रिया स्वरूप कार्रवाई करने की योजना बना रहे हैं.
इससे पहले कि आप डेटा सुरक्षा प्राधिकरण को कॉल करें, कंपनी को डेटा उल्लंघन से प्रभावित लोगों को बताना चाहिए। जो लोग 72 घंटे की समय सीमा को पूरा करने में विफल रहते हैं, उन्हें अपने वार्षिक विश्वव्यापी राजस्व का 2% या €10 मिलियन ($10) तक का जुर्माना भुगतना पड़ सकता है।11,305,550 12 जुलाई, 2020 तक, और मुद्रा में उतार-चढ़ाव के अधीन), जो भी अधिक हो।
ठीक है, जीडीपीआर का पालन न करने पर अन्य कौन से जुर्माने हैं?
यदि कोई कंपनी डेटा प्रसंस्करण के लिए बुनियादी सिद्धांतों का पालन नहीं करती है, जैसे सहमति, अपने डेटा पर व्यक्तियों के अधिकारों की अनदेखी करना, या डेटा को दूसरे देश में स्थानांतरित करना, तो जुर्माना बदतर है। डेटा सुरक्षा प्राधिकरण €20 मिलियन ($) तक का जुर्माना जारी कर सकता है22,611,500 12 जुलाई, 2020 तक, और मुद्रा में उतार-चढ़ाव के अधीन) या कंपनी के वैश्विक वार्षिक कारोबार का 4%, जो भी अधिक हो।
