यूरोपीय संघ के बाजार को हर दिन विकसित किया जाता है, जिसके परिणामस्वरूप यह इंटरनेट के उपयोग सहित सीमा पार व्यक्तिगत डेटा प्रवाह को बढ़ाता है। ऊपर उल्लिखित व्यक्तिगत डेटा की सुरक्षा के साथ बड़ी समस्याओं का कारण बनता है। इस प्रकार, GDPR का मुख्य उद्देश्य व्यक्तिगत डेटा और व्यक्तिगत डेटा विषयों की सुरक्षा करना है। 25 मई 2018 से सामान्य डेटा संरक्षण विनियमन लागू होगा।
जीडीपीआर को स्वतंत्रता, सुरक्षा, न्याय और आर्थिक संघ के स्थान के विकास को बढ़ावा देने के लिए बनाया गया है; आर्थिक और सामाजिक प्रगति; कानून के शासन को मजबूत करना और घरेलू बाजार के भीतर अर्थव्यवस्थाओं के अभिसरण के साथ-साथ यूरोपीय संघ के सदस्य देशों में व्यक्तियों की सामान्य भलाई।
GDPR सभी EU सदस्य राष्ट्रों के लिए आवश्यक है। सीआईएस देशों सहित यूरोपीय संघ की गैर-निवासी कंपनियों के लिए, निम्नलिखित मामलों में आवश्यकताएं लागू होती हैं:
- कंपनियां जो यूरोपीय संघ में व्यक्तियों को अपना सामान या सेवाएं प्रदान करती हैं। उदाहरण के लिए, ऑनलाइन स्टोर, टूर ऑपरेटर, परिवहन कंपनियां जो यूक्रेन में हैं और यूरोपीय संघ के निवासियों के डेटा की प्रक्रिया करते हैं।
- यूरोपीय संघ के उपभोक्ताओं को कवर करने वाली मार्केटिंग रिसर्च करने वाली कंपनियां।
- कंपनियां, जो अपनी गतिविधियों के दौरान, यूरोपीय संघ में विषयों के व्यक्तिगत डेटा तक पहुंच प्राप्त करती हैं। यह किसी भी यूक्रेनी कंपनियों हो सकता है, उदाहरण के लिए, यूरोपीय संघ से कर्मचारियों के डेटा तक पहुंच है।
GDPR के मुख्य महत्वपूर्ण नवाचार, जो सीआईएफ देशों को प्रभावित करेंगे, वे हैं:
- कंपनी में एक नई स्थिति शुरू करने की आवश्यकता – डेटा सुरक्षा कार्यालय
उस व्यक्ति की एक अनिवार्य नियुक्ति है जो व्यक्तिगत डेटा की एक महत्वपूर्ण राशि के साथ या ऐसे डेटा की “विशेष” श्रेणियों के साथ काम करने वाले सभी कंपनियों द्वारा कर्मचारी के व्यक्तिगत डेटा की सुरक्षा के लिए जिम्मेदार है। वह एक रोजगार अनुबंध और एक नागरिक कानून के तहत अपने कर्तव्यों का पालन कर सकता है
व्यक्तिगत डेटा सुरक्षा के क्षेत्र में अधिकारी के पास उचित स्तर का ज्ञान होना चाहिए। यदि समूह के प्रत्येक सदस्य की गतिविधियों पर अप्रतिबंधित पहुँच सुनिश्चित करता है, तो कंपनियों के एक समूह के पास एक जिम्मेदार हो सकता है। इसके अलावा, वह कंपनी में काम के मुख्य स्थान पर या अंशकालिक रूप से काम कर सकता है।
- यूरोपीय संघ में प्रतिनिधि (प्रतिनिधित्व) की आवश्यकता
यदि आपकी कंपनी GDPR के अंतर्गत आती है और वह EU में स्थित नहीं है, तो EU में कंपनी के आधिकारिक प्रतिनिधि की उपस्थिति आवश्यक है। प्रतिनिधि को प्राधिकृत अधिकारियों के लिए यूरोपीय संघ के नागरिकों के व्यक्तिगत डेटा की सुरक्षा के सभी मुद्दों पर संपर्क व्यक्ति के रूप में नियुक्त किया जाना चाहिए। यह भौतिक और कानूनी इकाई दोनों हो सकता है।
एक प्रतिनिधि के लिए अनिवार्य आवश्यकताओं में से एक (कानूनी संस्थाओं के लिए) या उन देशों में से एक में (व्यक्तियों के लिए) होना है जिनके नागरिक ऐसे व्यक्ति हैं जिनके व्यक्तिगत डेटा पर कार्रवाई की जाती है या जिनके व्यवहार की जांच की जा रही है।
इस नियम का अपवाद है: यदि डेटा प्रोसेसिंग स्थायी नहीं है; यदि संसाधित किया गया व्यक्तिगत डेटा “विशेष” श्रेणियों से संबंधित नहीं है (जैसा कि पहले ही ऊपर उल्लेख किया गया है, विशेष रूप से, आनुवंशिक, बायोमेट्रिक डेटा सहित), आपराधिक कार्यवाही या आरोपों से संबंधित;
यदि डेटा का चरित्र इंगित करता है कि उनके रिसाव के मामले में व्यक्ति के अधिकारों का गंभीर रूप से उल्लंघन करना असंभव है (यह मान लेना मुश्किल नहीं है कि बाजार प्रतिभागी जो एक कारण या किसी अन्य के लिए जीडीपीआर की इस आवश्यकता को पूरा करने का इरादा नहीं रखते हैं इससे बचने के लिए इस तरह के अनुमान तैयार करने की कोशिश करेंगे)।
- GDPR आवश्यकताओं के अनुपालन का प्रमाण
GDPR नई आवश्यकताओं के साथ कंपनी के अनुपालन को साबित करने के लिए कर्तव्य स्थापित करता है। अनुपालन साबित करने के लिए, नियंत्रकों को व्यक्तिगत डेटा (नियंत्रक, डेटा स्थानांतरण संचालन, आदि के बारे में) के साथ गतिविधि से संबंधित सभी जानकारी संग्रहीत करनी चाहिए।
- व्यक्तिगत डेटा सुरक्षा का स्तर बढ़ाना
जीडीपीआर सुरक्षा आवश्यकताओं के अनुपालन के स्तर का आकलन करने के लिए स्पष्ट मानदंड निर्धारित नहीं करता है। इसके बजाय, यह रेटिंग श्रेणियों के साथ संचालित होता है, जिसका अर्थ है कि नियंत्रक और प्रोसेसर को उनके लिए सूचना सुरक्षा का उच्चतम संभव स्तर प्रदान करना चाहिए, जिसमें उच्च स्तर की सूचना सुरक्षा सुनिश्चित करने के लिए उपयुक्त तकनीकी और संगठनात्मक उपायों का कार्यान्वयन शामिल है।
सुरक्षा उपाय बहुत अलग हो सकते हैं। यह इस बात पर निर्भर करता है कि लीकेज की संभावना के आधार पर डेटा को किस मात्रा में संसाधित किया जाता है, आदि कदम उठाए जा सकने वाले कदमों के एक उदाहरण के रूप में, GDPR छद्म नामकरण और एन्क्रिप्शन प्रदान करता है।
- व्यक्तिगत डेटा की नियुक्ति के लिए क्लाउड स्टोरेज के उपयोग की सीमा
जीडीपीआर के अनुसार, क्लाउड स्टोरेज में व्यक्तिगत डेटा का प्लेसमेंट तीसरे पक्ष के लिए हस्तांतरणीय माना जाता है। सुरक्षा के निम्न स्तर के साथ भंडारण से सावधान रहना आवश्यक है, साथ ही उन पर व्यक्तिगत डेटा की नियुक्ति को सीमित करना चाहिए। इस मामले में, यदि क्लाउड स्टोरेज के माध्यम से डेटा ट्रांसफर यूरोपीय संघ के बाहर पर्याप्त सुरक्षा के बिना होता है, तो इस तरह की कार्रवाई यूरोपीय संघ के कानून का उल्लंघन है।
- यूरोपीय आर्थिक क्षेत्र के बाहर व्यक्तिगत डेटा के हस्तांतरण पर नियंत्रण की शुरूआत
सामान्य नियम के अनुसार, व्यक्तिगत डेटा संरक्षण के उच्च मानकों के साथ देश के अनुपालन के बारे में यूरोपीय आयोग से सकारात्मक निष्कर्ष होने पर ही व्यक्तिगत डेटा को तीसरे देश में स्थानांतरित किया जा सकता है। यूक्रेन के लिए सबसे स्वीकार्य अनुबंध की मानक शर्तों का उपयोग होगा, जो यूरोपीय आयोग द्वारा अनुमोदित हैं।
- कुल मिलाकर निजता की वृद्धि
विनियमन वृद्धि की गोपनीयता की आवश्यकता के लिए प्रदान करता है। डिफ़ॉल्ट रूप से गोपनीयता के उच्चतम स्तर के मानक के अलावा (उदाहरण के लिए, सामाजिक नेटवर्क में), विषय की सहमति को इकट्ठा करने के लिए आवश्यक हो सकता है कि वह जानकारी के प्रत्येक व्यक्तिगत आइटम को संभालने के लिए।
व्यक्तिगत डेटा के विषयों के मूल अधिकार (उदाहरण के लिए, स्वयं के बारे में डेटा तक पहुंचने का अधिकार या व्यक्तिगत डेटा के प्रसंस्करण की समाप्ति की मांग करने का अधिकार) को निर्देश द्वारा प्रदान किया गया था। विनियमन, उदाहरण के लिए, डेटा पोर्टेबिलिटी के अधिकार के रूप में ऐसे अधिकार।
व्यक्तिगत डेटा का विषय अपने व्यक्तिगत डेटा को एक संगठन से दूसरे संगठन में स्थानांतरित करने के लिए कह सकता है, उदाहरण के लिए, चिकित्सा संस्थान को बदलते समय जिसमें वह परोसा जाता है।
विनियमन एक नया अधिकार भी प्रस्तुत करता है – भूल जाने का अधिकार, जो विषय को सभी कंपनी डेटाबेस से अपने बारे में डेटा को हटाने की आवश्यकता की अनुमति देता है। यह ध्यान रखना महत्वपूर्ण है कि ऐसा अधिकार पूर्ण नहीं है और केवल सीधे स्थापित मामलों में लागू होता है। उदाहरण के लिए, यदि प्रसंस्करण कानून के अनुरोध पर किया जाता है, तो विषय गुमनामी के उनके अधिकार का उपयोग नहीं कर सकता है।
विशेष रूप से, व्यक्ति को अपने संग्रह के चरण में पहले से ही व्यक्तिगत डेटा को संसाधित करने का उद्देश्य जानना चाहिए। यदि डेटा संग्रह किसी व्यक्ति की इच्छा का परिणाम है, तो नियंत्रक को यह दिखाना होगा कि वह अपना व्यक्तिगत डेटा यहां और वहां प्रस्तुत कर रहा है।
हालांकि वर्तमान में यूक्रेन में इसी तरह के नियम हैं, यूरोपीय संघ के वकीलों से संकेत मिलता है कि उपयोगकर्ताओं की जागरूकता का वर्तमान स्तर पर्याप्त नहीं है, और सामाजिक नेटवर्क, जीडीपीआर को अपनाने के साथ-साथ अनजाने में बदल जाएंगे।
इस संबंध में, विनियमन के दिलचस्प प्रावधान हैं, जिसमें कहा गया है कि यूरोपीय संघ के सदस्य राज्यों को कार्यस्थल की गोपनीयता सुनिश्चित करनी चाहिए। विशेष रूप से, यदि नियोक्ता कैमरों को स्थापित करके श्रमिकों की निगरानी करता है, तो कार्यकर्ता को व्यक्तिगत डेटा के प्रसंस्करण के लिए पता होना चाहिए और सहमति होनी चाहिए। इस तरह का नियम यूक्रेन में भी लागू होगा यदि कर्मचारी ईयू का नागरिक है।
व्यक्तिगत परामर्श के लिए, कृपया हमारे विशेषज्ञ से संपर्क करें। यदि आपके पास व्यक्तिगत डेटा या जीडीपीआर के संरक्षण के बारे में कोई प्रश्न या सलाह है, तो हमें वेबसाइट पर दिए गए नंबरों पर कॉल करें या भरें और पृष्ठ के निचले भाग में हमें एक फॉर्म भेजें।