सामान्य डेटा संरक्षण विनियमन (ईयू 2016/679) 25 मई 2018 को लागू हुआ, जिसमें मौजूदा डेटा संरक्षण व्यवस्था में नए तत्व और महत्वपूर्ण सुधार जोड़े गए।
डेटा प्रोटेक्शन एक्ट (डीपीए) 2018, जो 23 मई 2018 को लागू हुआ, ने जीडीपीआर को लागू किया, साथ ही इसमें यूके कानून के लिए जीडीपीआर को सुरक्षा सेवाओं और सरकारी निकायों जैसे क्षेत्रों तक विस्तारित करने का प्रावधान भी जोड़ा गया, जो अकेले जीडीपीआर के अंतर्गत नहीं आते थे।
ब्रेक्सिट के बाद (1 जनवरी 2021 से ब्रेक्सिट संक्रमण अवधि की समाप्ति के बाद), यूके जीडीपीआर यूरोपीय संघ (निकासी) अधिनियम 2018 की धारा 3 के तहत और डेटा संरक्षण, गोपनीयता और इलेक्ट्रॉनिक संचार (संशोधन आदि) (ईयू निकास) विनियम 2020 द्वारा संशोधित रूप में यूरोपीय संघ विनियमन का बरकरार रखा गया संस्करण है।
यूके का GDPR यूके के नागरिकों के डेटा संबंधी अधिकारों की रक्षा करता है, जबकि यूरोपीय संघ का GDPR यूरोपीय संघ के नागरिकों के अधिकारों की रक्षा करता है। यूके और यूरोपीय संघ दोनों के नागरिकों के डेटा को संभालने वाले संगठनों पर दोनों GDPR लागू होते हैं।
ब्रेक्सिट के बाद के संस्करण के साथ, यूरोपीय संघ के जीडीपीआर के सिद्धांत और आवश्यकताएं ब्रिटेन में भी लागू होती रहेंगी और यहां हम इसके प्रमुख कार्यक्षेत्रों और कुछ परिभाषाओं पर नज़र डालेंगे।
नियंत्रक और प्रोसेसर
GDPR डेटा नियंत्रकों और संसाधकों दोनों पर लागू होता है। नियंत्रक यह बताते हैं कि व्यक्तिगत डेटा को कैसे और क्यों संसाधित किया जाता है। संसाधक नियंत्रक की ओर से डेटा को संसाधित करने का कार्य करता है। आपका संगठन डेटा संसाधक, डेटा नियंत्रक या दोनों हो सकता है।
नियंत्रकों और संसाधकों दोनों पर विशिष्ट कानूनी दायित्व हैं:
- नियंत्रकों को विशेष रूप से यह सुनिश्चित करना होगा कि प्रोसेसर के साथ अनुबंध जीडीपीआर का अनुपालन करते हैं; और
- नियंत्रकों और संसाधक निकायों के लिए व्यक्तिगत डेटा और प्रसंस्करण गतिविधियों का रिकॉर्ड बनाए रखने की अलग-अलग, लेकिन स्पष्ट आवश्यकताएं हैं।
- प्रोसेसर किसी भी सुरक्षा उल्लंघन के लिए कानूनी रूप से जिम्मेदार और उत्तरदायी भी होते हैं।
दस्तावेज़ीकरण संबंधी आवश्यकताओं के बारे में अधिक विस्तृत जानकारी के लिए कृपया हमारी संबंधित तथ्यपत्रिका 'डेटा सुरक्षा - सामान्य डेटा संरक्षण विनियमन - अनुपालन सुनिश्चित करना' देखें।
डेटा सुरक्षा सिद्धांत
व्यक्तिगत डेटा में निम्नलिखित शामिल होंगे:
- विधिवत, निष्पक्ष और पारदर्शी तरीके से संसाधित किया गया
- निर्दिष्ट, स्पष्ट और वैध उद्देश्यों के लिए एकत्रित किया गया
- पर्याप्त, प्रासंगिक और उद्देश्य के लिए आवश्यक तक सीमित।
- सटीक और अद्यतन रखा जाना चाहिए। गलत डेटा को मिटाया या सुधारा जाना चाहिए।
- आवश्यकता से अधिक समय तक किसी पहचान योग्य प्रारूप में न रखें।
- सुरक्षित रूप से संसाधित किया गया और अनधिकृत या गैरकानूनी प्रसंस्करण, आकस्मिक हानि, विनाश या क्षति से सुरक्षित रखा गया।
व्यक्तियों के लिए GDPR अधिकार
सूचित होने का अधिकार
व्यक्तियों को यह जानने का अधिकार है कि उनके व्यक्तिगत डेटा को कैसे संसाधित किया जाएगा। GDPR गोपनीयता सूचना के माध्यम से प्रसंस्करण में पारदर्शिता को बढ़ावा देता है, जिसमें (अन्य बातों के अलावा) नियंत्रक, डेटा का स्रोत, डेटा प्राप्तकर्ता, यूरोपीय संघ के बाहर किए गए डेटा स्थानांतरण और डेटा की प्रतिधारण अवधि का विवरण शामिल होता है।
पहुँच का अधिकार (विषय पहुँच अनुरोध)
व्यक्तियों को यह पुष्टि प्राप्त करने का अधिकार है कि उनके डेटा को संसाधित किया जा रहा है, उनके व्यक्तिगत डेटा तक पहुंच प्राप्त करने का अधिकार है, और अन्य जानकारी प्राप्त करने का अधिकार है, जैसे कि गोपनीयता सूचना में प्रदान की गई जानकारी।
विषय-संबंधी जानकारी प्राप्त करने के अनुरोध पर कार्रवाई करने के लिए अधिकतम 30 दिनों की समय सीमा निर्धारित है और विषय-संबंधी जानकारी प्राप्त करने के लिए शुल्क लेने का अधिकार समाप्त कर दिया गया है, जब तक कि अनुरोध निराधार, अत्यधिक या बार-बार न किया गया हो।
सुधार का अधिकार
व्यक्तियों को अपनी गलत या अपूर्ण व्यक्तिगत जानकारी को सुधारने का अधिकार है। इसमें वह व्यक्तिगत जानकारी भी शामिल होनी चाहिए जो तीसरे पक्षों के साथ साझा की गई हो या उन्हें दी गई हो।
मिटाने का अधिकार
यदि व्यक्तिगत डेटा को संसाधित करने का कोई ठोस कारण नहीं है, तो व्यक्तियों को इसे हटाने या मिटाने का अनुरोध करने का अधिकार है। इसमें वह व्यक्तिगत डेटा भी शामिल होना चाहिए जो तीसरे पक्षों के साथ साझा किया जाता है या उन्हें दिया जाता है।
यह ध्यान रखना महत्वपूर्ण है कि जब अनुरोध किसी बच्चे से संबंधित हो तो अतिरिक्त आवश्यकताएं होती हैं।
डेटा को मिटाने के अधिकार के कुछ अपवाद हैं, जैसे कि जहां डेटा को किसी कानूनी दायित्व का पालन करने के लिए रखा जाता है।
प्रसंस्करण को प्रतिबंधित करने का अधिकार
व्यक्तियों को व्यक्तिगत डेटा के प्रसंस्करण को प्रतिबंधित करने का अधिकार है। इन परिस्थितियों में व्यक्तिगत डेटा को संग्रहित किया जा सकता है, लेकिन संसाधित नहीं किया जा सकता है।
डेटा पोर्टेबिलिटी का अधिकार
व्यक्तियों को विभिन्न सेवाओं में अपने व्यक्तिगत डेटा को प्राप्त करने और पुनः उपयोग करने का अधिकार है। यह उन्हें व्यक्तिगत डेटा को स्थानांतरित करने, कॉपी करने या ट्रांसफर करने की अनुमति देता है। व्यक्तिगत डेटा को संरचित, मशीन-पठनीय प्रारूप (जैसे .csv) में प्रदान किया जाना चाहिए।
आपत्ति जताने का अधिकार
व्यक्तियों को व्यक्तिगत डेटा के प्रसंस्करण पर आपत्ति जताने का अधिकार है। प्रसंस्करण को तत्काल रोक देना चाहिए, जब तक कि प्रसंस्करण के लिए कोई 'मजबूत' वैध आधार न हो, या यदि प्रसंस्करण कानूनी दावों की स्थापना, प्रयोग या बचाव के लिए न हो।
स्वचालित निर्णय लेने और प्रोफाइलिंग से संबंधित अधिकार
व्यक्तियों को यह सुनिश्चित करने का अधिकार है कि मानवीय हस्तक्षेप के बिना लिए जाने वाले हानिकारक निर्णयों के जोखिम से बचाव के लिए सुरक्षा उपाय मौजूद हों। इसमें प्रोफाइलिंग उद्देश्यों के लिए उपयोग किए जाने वाले व्यक्तिगत डेटा की सुरक्षा भी शामिल है।
जवाबदेही और शासन
जवाबदेही के सिद्धांत के अनुसार, अनुपालन को दस्तावेज़ित करने के लिए उचित शासन उपाय लागू होने चाहिए। इसलिए संगठनों को निम्नलिखित करने की आवश्यकता है:
- डेटा सुरक्षा के सिद्धांतों को पूरा करने वाले उपायों को लागू करें
- व्यक्तिगत डेटा के भंडारण और प्रसंस्करण से संबंधित नीतियों और प्रक्रियाओं का दस्तावेजीकरण करें।
- अनुपालन सुनिश्चित करने और प्रदर्शित करने के लिए तकनीकी और संगठनात्मक उपाय लागू करें।
- आवश्यकता पड़ने पर डेटा सुरक्षा अधिकारी नियुक्त करें।
अधिक विस्तृत जानकारी के लिए कृपया हमारी संबंधित फैक्टशीट 'डेटा सुरक्षा - डेटा संरक्षण अनुपालन सुनिश्चित करना' देखें।
प्रसंस्करण की वैधता
आपके डेटा प्रोसेसिंग के कानूनी आधार को समझना और दस्तावेज़ में दर्ज करना महत्वपूर्ण है। इसके छह आधार हैं:
- सहमति
- अनुबंधातम्क दायित्व
- कानूनी दायित्व
- महत्वपूर्ण हित
- जनहित
- वैध हित।
सहमति के मुद्दे पर, यह स्पष्ट, असंदिग्ध और स्वेच्छा से दी जानी चाहिए। निष्क्रियता, जैसे कि ऑनलाइन 'अनसब्सक्राइब' बॉक्स पर क्लिक न करना, या पहले से चिह्नित बॉक्स का उपयोग करने से सकारात्मक सहमति नहीं मानी जा सकती। व्यवसायों को यह सुनिश्चित करना होगा कि वे सहमति प्राप्त करने के लिए उपयोग की गई तिथि, समय, विधि और वास्तविक शब्दों को रिकॉर्ड करें, इसलिए यह सुनिश्चित करना महत्वपूर्ण है कि आपके व्यवसाय के पास ऐसी जानकारी को रिकॉर्ड और दस्तावेज़ करने के साधन हों।
वैध हित आपको व्यक्तियों के डेटा को संसाधित करने की क्षमता प्रदान करेगा, लेकिन केवल उन सीमाओं के भीतर जिनकी वे अपेक्षा करते हैं। यदि आप वैध हितों पर निर्भर करते हैं, तो आपको यह सुनिश्चित करने की जिम्मेदारी लेनी होगी कि:
- वैध हित का उपयोग करने का एक आधार है
- डेटा का प्रसंस्करण उस हित तक सीमित है और इसे प्रदर्शित किया जा सकता है।
- संतुलन प्रक्रिया में व्यक्ति के अधिकारों पर विचार किया गया है।
- व्यक्ति को आपकी गोपनीयता नीतियों में निहित वैध हितों के बारे में सूचित किया जाता है।
उल्लंघनों की सूचना
व्यक्तिगत डेटा का उल्लंघन व्यक्तिगत डेटा का आकस्मिक या गैरकानूनी विनाश, हानि, परिवर्तन, अनधिकृत प्रकटीकरण या उस तक पहुंच है।
ब्रिटेन के नियामक निकाय, आई.सी.ओ. के पास एक ऑनलाइन स्व-मूल्यांकन उपकरण है जो उल्लंघन की गंभीरता का निर्धारण करने और यह तय करने में मदद करता है कि इसकी रिपोर्ट करना आवश्यक है या नहीं। कुछ उल्लंघनों की सूचना संबंधित पर्यवेक्षी प्राधिकरण को 72 घंटों के भीतर देनी होती है। उल्लंघन का पता चलते ही मूल्यांकन करना अत्यंत महत्वपूर्ण है।
आईओसी व्यक्तिगत डेटा उल्लंघन मूल्यांकन मार्गदर्शन
डेटा का स्थानांतरण
28 जून 2021 को यूरोपीय संघ आयोग ने ब्रिटेन के लिए पर्याप्तता निर्णय अपनाया, जिसका अर्थ है कि अधिकांश डेटा अतिरिक्त सुरक्षा उपायों की आवश्यकता के बिना ब्रिटेन और यूरोपीय संघ के ईईए देशों के बीच पहले की तरह ही आदान-प्रदान किया जा सकता है। (इसका अपवाद आव्रजन नियंत्रण के उद्देश्यों के लिए डेटा है।)
जब डेटा को किसी 'तीसरे देश' में स्थानांतरित किया जाता है, तो मानक संविदात्मक खंड या बाध्यकारी कॉर्पोरेट नियम जैसे अतिरिक्त सुरक्षा उपाय लागू हो सकते हैं। नीचे दिया गया पहला लिंक यूके के नियामक - आईओसी का है। दूसरा लिंक यूरोपीय आयोग का है।
आईओसी डेटा ट्रांसफर समझौते संबंधी दिशानिर्देश
यूरोपीय संघ के बाहर स्थानांतरण के लिए नियम
स्रोत और लिंक
संगठनों के लिए ICO होम पेज
ईयू जीडीपीआर पोर्टल - www.gdpreu.org
