यह लेख कलकत्ता विश्वविद्यालय के Oruj Aashna द्वारा लिखा गया है। यह लेख उन उल्लेखनीय चुनौतियों को संबोधित करता है जो एक संगठन (ऑर्गनाइजेशन) को सामान्य डेटा संरक्षण विनियमन (जनरल डेटा प्रोटेक्शन रेगुलेशन) और ऐसी चुनौतियों से निपटने के लिए कदमों का पालन करने के लिए सामना करना पड़ सकता है। गैर-अनुपालन (नॉन कंप्लायंस) के परिणामों को समझने के लिए इस लेख में कई मामलों के उदाहरण दिए गए हैं। इस लेख का अनुवाद Revati Magaonkar द्वारा किया गया है।

परिचय (इंट्रोडक्शन)

डेटा को एक संपत्ति माना जाता है और इसे ‘भविष्य की मुद्रा (करेंसी)’ भी कहा जाता है। सूचना प्रौद्योगिकी (इंफॉर्मेशन टेक्नोलॉजी) के विकास के साथ, व्यक्तिगत डेटा प्रसंस्करण (प्रोसेसिंग) अत्यधिक तरल (फ्लूइड) हो गया है और पहुंच में काफी आसान हो गया है। डेटा प्रवाह के प्रभाव के संबंध में, डेटा उल्लंघन के मामलों में काफी वृद्धि हुई है। डेटा उल्लंघनों ने व्यापक (एक्सटेंसिव) ध्यान आकर्षित किया है क्योंकि सभी आकार के व्यवसाय डिजिटल डेटा, क्लाउड कंप्यूटिंग और कार्यबल गतिशीलता पर ज्यादा निर्भर हो गए हैं।  

इस संदर्भ में, देश डिजिटल संस्थाओं पर डेटा सुरक्षा और गोपनीयता के उच्च मानकों (स्टैंडर्ड्स) को रखने की गति में हैं। इसके परिणामस्वरूप व्यवसायों को उनके कानूनी अनुपालन का मूल्यांकन (इवैल्यूएशन) करने के लिए प्रेरित किया गया है, विशेष रूप से एक अंतरराष्ट्रीय संबंध में।

यूरोपीय संसद ने जनरल डेटा प्रोटेक्शन रेगुलेशन (“जीडीपीआर“) पेश किया, जिसने दुनिया भर की कंपनियों को डेटा सुरक्षा और गोपनीयता के मामले में एक चुनौतीपूर्ण कार्य में खड़ा कर दिया। यूरोपीय संघ के अप्रवासियों (इमिग्रंट्स) के डेटा की सुरक्षा के लिए जीडीपीआर अब तक का सबसे कठोर कानून साबित हुआ है। इस डेटा विनियमन में सबसे उल्लेखनीय परिवर्तनों में से एक सेवा प्रदाता (सर्विस प्रोवाइडर) से उपभोक्ता (कंज्यूमर) के लिए “नियंत्रण की शक्ति (पॉवर ऑफ़ कंट्रोल)” का स्थानांतरण (शिफ्ट) है।

कानून दुनिया भर में लागू होता है, चाहे लेनदेन यूरोपीय संघ के सदस्य राज्य के भीतर या यूरोपीय संघ के बाहर हो। आवेदन के अपने व्यापक अंतरराष्ट्रीय दायरे के कारण, यूरोपीय संघ के बाहर की कंपनियां भी मानकों का पालन करने के लिए अपने मानकों का पुनर्मूल्यांकन (रिइवैल्यूएशन) कर रही हैं। गैर-अनुपालन के जोखिमों के बावजूद, कई संगठनों को अभी भी विनियमन का पालन करने की अपनी क्षमता पर संदेह है। यह विशेष रूप से जीडीपीआर की जटिलता (कॉम्प्लेक्सिटी) के कारण है जो व्याख्या के लिए बहुत कुछ छोड़ देता है।    

पृष्ठभूमि (बैकग्राउंड)

• वर्ष 1995 में, जब इंटरनेट अपनी प्रारंभिक अवस्था में था, यूरोपीय संघ ने व्यक्तिगत डेटा को संरक्षित करGDPR compliance challengesने के लिए, और डेटा प्रोसेसिंग और ऐसे डेटा के मुक्त संचलन (मूवमेंट) के संबंध में ज्यादा सटीक (प्रेसाइज) होने के लिए निर्देश (डायरेक्टिव) 95/45/ईसी को अपनाया। हालांकि यह निर्देश डेटा प्रोसेसिंग के संबंध में व्यक्तियों के मौलिक अधिकारों (फंडामेंटल राइट्स) के संरक्षण में सामंजस्य (हार्मनी) स्थापित करने की गारंटी देता है, लेकिन इसे कई यूरोपीय संघ के राज्यों से कार्यान्वयन रुकावट (इंप्लीमेंटेशन ब्लॉकेज) का सामना करना पड़ा। नतीजतन, इसकी स्वीकार्यता की पुष्टि (कंफर्म) करने के लिए निर्देश को संबंधित यूरोपीय संघ के राज्यों के राष्ट्रीय कानून में संशोधित (अमेंड) करना पड़ा। संक्षेप में, डेटा प्रोसेसिंग गतिविधियां यूरोपीय संघ के सभी राज्यों में लागू नहीं थीं। इसलिए, यह प्रभावकारिता (एफिकसी) और गैर-प्रभावकारिता के बीच झूल रहा था। 
• 2016 में, जीडीपीआर पुराने डेटा सुरक्षा निर्देश की जगह कार्यरित हुआ। 
• जीडीपीआर, एक महत्वपूर्ण उपलब्धि के रूप में, यूरोपीय संघ के सभी राज्यों से बड़ी स्वीकृति प्राप्त की और अब तक की सबसे व्यापक और मजबूत डेटा सुरक्षात्मक पहल (प्रोटेक्टिव इनिशिएटिव) के रूप में माना जाता है।  
• विनियमन लागू होने की तारीख से, व्यवसायों ने मूल्यांकन किया है और बड़े पैमाने पर इसके निहितार्थों (इंप्लिकेशंस) का सामना कर रहे हैं। विनियमन की प्रकृति, जटिलता और बहुपक्षीय (मल्टीलेटरल) व्याख्या के कारण मूल्यांकन को इसके अनुपालन के संबंध में और ज्यादासटीक होने के संबंध में कई चुनौतियों का सामना करना पड़ा। 
• विनियमन की जटिलता ने डेटा उल्लंघन और गैर-अनुपालन के कारण भारी जुर्माना का आकलन (एसेस) करने की गुंजाइश (स्कोप) खोली है।  
• 2018 में, जब जीडीपीआर लागू हुआ, तो यह काफी संभव था कि कंपनियों को विनियमन की अनुपालन आवश्यकता को पूरा करने में कठिनाई हो रही हो। जबकि कुछ कंपनियों ने पूरी तरह से अनुपालन महसूस किया, अन्य अभी भी इसके अनुपालन मापदंडों (पैरामीटर) के बारे में अनिश्चित (अनसर्टेन) हैं जो स्थायी (परमानेंट) और दीर्घकालिक (लॉन्ग टर्म) समाधान प्रदान कर सकते हैं। 
• हम देखते हैं कि फेसबुक, ट्विटर, गूगल जैसे बड़े टेक दिग्गजों को नियमन की स्वच्छंदता (वेवार्डनेस) के कारण दंड का सामना करना पड़ रहा है। प्रश्न “एक कंपनी किन चुनौतियों का सामना कर सकती है?” ज्यादा प्रासंगिक (रिलेवेंट) हो जाता है जब ये दिग्गज अपनी संज्ञानात्मक (कॉग्निजेंट) टीम के साथ विनियमन के संबंध में ठहराव (स्टॉपेज) का सामना करते हैं।
• मुद्दा सिर्फ जुर्माने के बारे में नहीं है बल्कि यह जीडीपीआर गैर-अनुपालन के कारण एक कंपनी की प्रतिष्ठा (स्टेटस) के नुकसान के बारे में है, जिसके परिणामस्वरूप भारी परिणाम होते हैं।  

चुनौतियों 

गैर-अनुपालन मामलों की सभी रिपोर्टों के साथ, नीचे उन चुनौतियों के कुछ अंश (एक्सट्रैक्ट) दिए गए हैं जिनका सामना एक कंपनी यूरोपीय संघ के डेटा से निपटने के दौरान कर सकती है। 

सहमति का रिकॉर्ड (रिकॉर्ड ऑफ़ कंसेंट)

1. हाल ही में, कई कंपनियों को डेटा के रिकॉर्ड और संग्रहीत (रिकॉर्ड) डेटा के स्थान की मैपिंग के संबंध में जीडीपीआर अनुपालन के साथ तालमेल बिठाने में कठिनाई का सामना करना पड़ा है। ऐसी ही एक चुनौती ‘प्राप्त सहमति’ और ‘वापस ली गई सहमति’ के रिकॉर्ड को संग्रहीत (कलेक्ट) करने के संबंध में है। 
2. जीडीपीआर के अनुच्छेद 7(1) में कहा गया है कि नियंत्रक (कंट्रोलर), उपयोगकर्ताओं के डेटा के साथ व्यवहार करते समय, यह प्रदर्शित करने में सक्षम होगा कि डेटा विषय ने अपने डेटा को संसाधित (डेमोंस्ट्रेट) करने के लिए सहमति दी है। इसे तोड़ने के लिए, सहमति ऑडिट योग्य रूप में होनी चाहिए, जिसमें दिखाया गया हो कि सहमति मुक्त थी और सहमति अनुरोधों में भ्रामक (मिसलीडिंग)/गलत तरीके से प्रस्तुत या डराने वाले खंड (क्लॉज़) शामिल नहीं हैं।
3. सहमति के लिए अनुरोध स्पष्ट और सरल भाषा [अनुच्छेद 7(2)] का उपयोग करते हुए समझ आने वाली भाषा में होना चाहिए। इसके शीर्ष (टॉप) पर, व्यवसायों को डेटा विषय के लिए सहमति वापस लेने के लिए इसे सरल बनाना होगा क्योंकि इसे पहले स्थान पर देना था।  

शमन रणनीतियाँ (मिटिगेशन स्ट्रेटजिज)

• यदि अनुमति के साथ डेटा का उपयोग किया जाता है, तो पूरे सिस्टम में सहमति की स्थिति (उपभोक्ता द्वारा सहमति देना और सहमति वापस लेना) को रिकॉर्ड करने के लिए व्यवसाय के पास उचित भंडारण (स्टोरेज़) और प्रबंधन क्षमता (मैनेजिंग कैपेसिटी) होनी चाहिए।
• यदि डेटा किसी तीसरे पक्ष (जैसे विज्ञापन एजेंसी, प्रबंधन (मैनेजमेंट) टीम) के साथ साझा (शेयर) किया जाता है, तो उसे डेटा विषय से सूचित (इन्फॉर्म) और सहमति दी जाएगी। नियंत्रक या प्रोसेसर तीसरे पक्ष के उपयोग के लिए उपभोक्ता की सहमति की घोषणा को भी रिकॉर्ड करेगा। 
• सहमति का प्रबंधन एक कंपनी के सामने आने वाली चुनौतियों में से एक है, खासकर जब किसी तीसरे पक्ष के साथ जुड़ना हो। एक केंद्रीकृत रूप में आंतरिक (इंटर्नल) और बाहरी (एक्सटर्नल) प्रणाली से डेटा विषय द्वारा प्राप्त सहमति की सभी सूचनाओं को संग्रहीत करने पर विचार कर सकते हैं।

संयुक्त डेटा नियंत्रक (जॉइंट डेटा कंट्रोलर)

1. जॉइंट कंट्रोलरशिप कोई नई अवधारणा (कांसेप्ट) नहीं है, लेकिन यह आज के डेटा प्रोसेसिंग परिवेश (एन्वाइरन्मेंट) में ज्यादाशामिल हो गई है। इसकी चर्चा फेसबुक फैन पेज मामले के सामने आने के बाद हुई। फेसबुक मामले के अलावा, यहोवा के गवाह मामले और फैशन आईडी मामले जैसे अन्य मामले भी थे, जहां संयुक्त नियंत्रण के विषय को यूरोप की अदालतों में संबोधित किया गया था। 
2. संयुक्त नियंत्रण में जीडीपीआर की कोई उचित दिशा नहीं है। केवल तीन संक्षिप्त (ब्रीफ) अनुच्छेद (अनुच्छेद 26, 30, और 36) हैं जहां जीडीपीआर ने संयुक्त नियंत्रकों के बारे में बात की है। इसलिए नियंत्रक और उनके सहयोगियों को अपनी भूमिकाओं की व्याख्या करनी होगी और यह निर्धारित (डीटर्माईन) करना होगा कि क्या वे डेटा नियंत्रक के तहत आ रहे हैं। 

जॉइंट कंट्रोलरशिप का पता कैसे लगाएं?   

• जीडीपीआर के अनुच्छेद 26 में कहा गया है कि संयुक्त नियंत्रक वे हैं जो- “संयुक्त रूप से प्रसंस्करण (प्रोसेसिंग) के उद्देश्यों और साधनों को निर्धारित करते हैं। 
• सूचना आयुक्त के कार्यालय (आईसीओ) संगठन या व्यक्ति के संकेत निर्धारित कर सकते हैं कि क्या वे प्रदान की गई संयुक्त डेटा कंट्रोलरशिप है तहत हैं। य़ह कहता है:
  • यदि डेटा के प्रसंस्करण के पीछे पार्टियों का एक सामान्य उद्देश्य है, तो यह संयुक्त नियंत्रक को आकर्षित करेगा।
  • पार्टियां संयुक्त नियंत्रक हैं, अगर उन्होंने संयुक्त रूप से प्रक्रिया को डिजाइन किया है।
  • पार्टियां संयुक्त नियंत्रक हैं, यदि उनके पास एक दूसरे के साथ मानक डेटा प्रबंधन नियम हैं।
  • पार्टियां संयुक्त नियंत्रक हैं, यदि वे डेटाबेस के समान सेट और एक ही उद्देश्य के लिए साझा करते हैं।

शमन रणनीति

• आप एक संयुक्त नियंत्रक के रूप में कार्य कर रहे हैं यह सुनिश्चित करने के लिए कोई लिखित दस्तावेज नहीं हो सकता है। इस मामले में, किसी को गतिविधियों और उद्देश्य का आकलन करना चाहिए। स्थिति से संबंधित केंद्रीय नियंत्रक से सत्यापित (वेरिफाई) करना होता है कि कौन सा डेटा संसाधित किया जा रहा है। 
• अनुच्छेद 26(1) में संयुक्त नियंत्रकों को उत्तरदायित्वों (रिस्पांसिबिलिटी) के आवंटन (एलोकेट) के लिए अनुबंध (कॉन्ट्रैक्ट) करने की आवश्यकता है। अनुबंध को लिखित रूप में होना आवश्यक नहीं है, लेकिन एक लिखित दस्तावेज हर एक नियंत्रक की जिम्मेदारी और दायित्व का स्पष्ट दृष्टिकोण (व्यू) प्रदान करेगा। 
• उदाहरण के लिए, फेसबुक (आयरलैंड) ने हर एक फेसबुक यूजर को एक ‘नियंत्रक परिशिष्ट (एडेंडम)’ प्रदान किया है, जो जीडीपीआर के तहत दायित्वों को निर्धारित करता है, जिसमें संयुक्त प्रसंस्करण के लिए कानूनी आधार की आवश्यकता और व्यक्तिगत डेटा के संयुक्त प्रसंस्करण के बारे में जानकारी शामिल है।

भूल जाने का अधिकार

• 2014 में, यूरोपीय संघ के न्यायालय ने गूगल स्पेन एसएल, गूगल इंक. बनाम एईपीडी के मामले में भुलाए जाने के अधिकार (राइट टू फॉरगेट) को खारिज कर दिया। अदालत ने माना कि एक इंटरनेट सर्च इंजन ऑपरेटर उस प्रसंस्करण के लिए जवाबदेह है जो वह व्यक्तिगत डेटा से करता है, जो तीसरे पक्ष के वेब पेजों पर दिखाई देता है। 
• जीडीपीआर का अनुच्छेद 17 (2) डेटा विषयों को डेटा को मिटाने का अधिकार देता है, जब भी वे डेटा को संसाधित या संग्रहीत करना बंद करना चाहते हैं। डेटा मिटाने का अधिकार बैकअप में संग्रहीत डेटा तक फैला हुआ है। जीडीपीआर नियंत्रक को एक छोटी अवधि में संग्रहीत सभी डेटा, उसकी प्रतिकृति (रेप्लिका), या प्रतियों (कॉपी) को मिटाने के लिए बाध्य करता है। 

शमन रणनीतियाँ 

• नियंत्रक को प्रत्येक संग्रहीत प्रणाली से डेटा को स्थायी रूप से हटाने की प्रक्रिया को शुरू करने में प्रभावी होना चाहिए। इस प्रयोजन (पर्पज) के लिए, नियंत्रक को पता होना चाहिए कि डेटा कहाँ स्थित है।
• डेटा मैपिंग एक ऐसा तरीका है जिसके द्वारा कोई भी व्यक्ति विभिन्न स्वरूपों से डेटा को आसानी से मिटा सकता है। 
• भले ही विनियमन में डेटा मैपिंग के लिए कोई स्पष्ट आवश्यकता नहीं है, डेटा के नियंत्रक या प्रोसेसर को कानून का पालन करने के लिए डेटा मैपिंग का अभ्यास करना चाहिए। डेटा मैपिंग डेटा के स्थान, उसकी स्थिति और उसके अस्तित्व को आवंटित (एलोकेट) करने में मदद करेगी।
• विषय पहुंच अनुरोधों के बोझ को कम करने के लिए निम्नलिखित चरणों पर विचार करना चाहिए:

• अनावश्यक व्यक्तिगत डेटा संग्रहीत न करें;
• कोई भी डेटा मिटा दें जो आवश्यक नहीं है;
• व्यक्तिगत डेटा को आसानी से एक्सेस करने के लिए पर्याप्त (इनफ) रूप से व्यवस्थित रखें; तथा
• डेटा विषय अनुरोधों को पहचानने और संबंधित प्राधिकरण (अथॉरिटी) के साथ उनका जवाब देने के लिए स्टाफ प्रशिक्षण स्थापित करें। 

• यह महत्वपूर्ण है कि डेटा नियंत्रक/प्रोसेसर इस संबंध में केवल अनुबंध और कागजी कार्रवाई पर निर्भर न हों।

डेटा वर्गीकरण (क्लासिफिकेशन)

1. जीडीपीआर व्यक्तिगत जानकारी को दो श्रेणियों में वर्गीकृत करता है: व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) और संवेदनशील व्यक्तिगत जानकारी (एसपीआई)। स्वचालित (ऑटोमेटेड) या मैन्युअल परिवेशों के माध्यम से प्रवाहित होने पर दो प्रकार की सूचनाओं को सटीक रूप से पहचानने और उनकी रक्षा करने के लिए अलग-अलग तरीकों की आवश्यकता होती है। 
2. पहले वह जानकारी है जो किसी व्यक्ति की सीधे पहचान कर सकती है। यह हर एकजानकारी या “निर्दोष (इनोसेंट) डेटा” के समूह के रूप में हो सकता है। इसके विपरीत, और बाकी बचा हुआ उस जानकारी को संदर्भित करता है जो व्यक्ति की पहचान नहीं करता है, लेकिन एक व्यक्ति से संबंधित है जो सार्वजनिक रूप से व्यक्ति को संभावित रूप से नुकसान पहुंचा सकता है। पीपीआई की तुलना में एसपीआई को विनियमन का उच्च स्तर प्राप्त होता है। 
3. मानक और गोपनीयता की डिग्री के अनुसार इन डेटा को वर्गीकृत करने में कंपनियों को कठिन समय हो सकता है।

एसपीआई और पीपीआई के उदाहरण

• एसपीआई- बायोमेट्रिक डेटा, जेनेटिक डेटा, नस्लीय मूल (रेशियल ओरिजिन), स्वास्थ्य डेटा आदि।
• पीपीआई- संपर्क जानकारी, खाता संख्या, स्थान, आदि। इसके अलावा, अनुपालन ने पीआईआई की सीमा को आईपी पते, कुकी डेटा और ईमेल जैसी चीज़ों तक विस्तृत कर दिया है। 
• विनियमन कंपनियों से अलग-अलग आईपी पते और ईमेल आईडी के लिए समान सुरक्षा और सुरक्षा स्तर प्रदान करने की अपेक्षा करता है। कंपनियों को सुरक्षा शर्तों के संदर्भ में जीडीपीआर की नई अपेक्षा के साथ संरेखित (अलाइंड) करने के लिए अपनी नीतियों और अनुबंधों का पुनर्मूल्यांकन करने की आवश्यकता होगी। 

शमन रणनीतियाँ 

• कंपनियां अपने सुरक्षा कार्यक्रम में डेटा वर्गीकरण प्रक्रिया को लागू करके इस मुद्दे को हल करने पर विचार कर सकती हैं। डेटा वर्गीकरण डेटा को श्रेणियों में व्यवस्थित करने की प्रक्रिया है। यह कंपनियों को जीडीपीआर दिशानिर्देशों का अनुपालन करने और एक ही समय में गोपनीयता बनाए रखने में सक्षम बनाएगा। 
• डेटा प्रबंधन के लिए उपयोग किए जाने वाले उपकरण- डेटाबेस, व्यापार खुफिया (बिजनेस इंटेलिजेंस) सॉफ्टवेयर और मानक डेटा प्रबंधन प्रणाली। गूगल डेटा स्टूडियो, डेटाबॉक्स, विसमी, और एसएपी लुमिरा कुछ व्यावसायिक खुफिया सॉफ़्टवेयर हैं।

डेटा पोर्टेबिलिटी

• जीडीपीआर का अनुच्छेद 20 उपयोगकर्ता को निम्नलिखित अधिकार देता है: 
  • नियंत्रक से डेटा प्राप्त करने के लिए जो नियंत्रक/प्रोसेसर को प्रदान किया गया था; तथा 
  • उसी डेटा को किसी अन्य नियंत्रक को प्रेषित (ट्रांसमिट) करने के लिए।

यह अधिकार उपयोगकर्ताओं को अपना डेटा प्राप्त करने और फिर इसे विभिन्न नियंत्रकों के पास ले जाने में सक्षम बनाता है। 

• जीडीपीआर का अनुच्छेद 20 नीचे दिए गए पॉइंट्स को लागू होता है:
  • किसी व्यक्ति द्वारा डेटा नियंत्रक को साझा किए गए व्यक्तिगत डेटा के लिए;’
  • जब प्रसंस्करण स्वचालित होता है;
  • जब डेटा विषय की सहमति पर प्रसंस्करण किया जाता है। 

• यहां व्यक्तिगत डेटा का मतलब न केवल नाम और पते है जो उपयोगकर्ता प्रदान करता है बल्कि उन व्यक्तिगत डेटा से भी है जो कंपनी किसी व्यक्ति की गतिविधि को ट्रैक करते समय एकत्र करती है। यह भी शामिल है:
  • इतिहास खंगालना;
  • यातायात (ट्रैफिक) और स्थान (लोकेशन) डेटा; तथा
  • कनेक्टेड ऑब्जेक्ट, जैसे स्मार्ट मीटर और पहनने योग्य डिवाइस द्वारा संसाधित कच्चा (रॉ) डेटा।
• डेटा पोर्टेबिलिटी की सीमित आवश्यकता के बावजूद, विनियमन के इस क्षेत्र के साथ जीडीपीआर अनुपालन जटिल बना हुआ है। 
• “सब्जेक्ट एक्सेस रिक्वेस्ट” (एसएआर) का जवाब देने की समय सीमा कम है। इसी तरह, आईसीओ (सूचना आयुक्त कार्यालय) को 30 दिनों से कम की प्रतिक्रिया समय की उम्मीद है।

शमन रणनीतियाँ

• कानून का पालन करने के लिए, संगठन को पता होना चाहिए कि डेटा कहाँ स्थित है और आवश्यक जानकारी प्राप्त करने के साधन क्या हैं। 
• अपने आंतरिक (पर्सनल) बिखरे हुए डेटा परिदृश्य (सिनेरियो) में व्यक्तिगत डेटा के स्थान को जाने बिना, एक व्यावसायिक इकाई (एंटिटी) जीडीपीआर के अनुरूप नहीं हो सकती है। ज्यादातरसंगठन शासन रणनीतियों (गवर्नेंस स्ट्रेटजिज) को लागू करके या नए डेटा संरक्षण के साथ संरेखित करने के लिए मौजूदा नीतियों (पॉलिसीज) को संशोधित करके इसका समाधान करते हैं।    
• यह ध्यान रखना है कि विनियमन “तकनीकी रूप से व्यवहार्य (टेक्निकली फीजीबल)” के अर्थ के बारे में स्पष्ट नहीं है। “तकनीकी रूप से व्यवहार्य” की व्याख्या सुनिश्चित की जानी चाहिए। 

तृतीय-पक्ष अनुपालन (थर्ड पार्टी कंप्लायंस)

1. जीडीपीआर के तहत, डेटा नियंत्रक और डेटा प्रोसेसर किसी भी उल्लंघन के लिए समान रूप से जिम्मेदार होते हैं। सरल शब्दों में, यदि किसी संगठन का तृतीय-पक्ष भागीदार अनुपालन नहीं कर रहा है, तो इसका अर्थ है कि संगठन अनुपालन नहीं कर रहा है। सुरक्षा मानकों के संदर्भ में तीसरे भाग को बोर्ड पर लाना महत्वपूर्ण है।
2. संगठन को यह साबित करना होगा कि तृतीय-पक्ष उसी डेटा सुरक्षा मानकों को लागू कर रहा है जैसे संगठन करते हैं। बड़ी संख्या में ग्राहक डेटा के शामिल होने की संभावना को देखते हुए, संगठन को काफी स्वचालन की आवश्यकता हो सकती है और/या ऐसी प्रथाएँ हो सकती हैं जो संगठनों को किसी तीसरे पक्ष से डेटा को तुरंत याद करने की अनुमति देती हैं।

शमन रणनीतियाँ 

• संगठन को तृतीय-पक्ष विक्रेता (वेंडर) के साथ एक अनुबंध करना चाहिए, जिसमें यह खंड शामिल होना चाहिए:
  • बताएं कि विक्रेता संगठन के निर्देश के अनुसार कार्य करेगा। 
  • उन क्षेत्रों को ठीक से परिभाषित करें जहां जीडीपीआर लागू होगा और विक्रेता को विनियमों की आवश्यकताओं का पालन करना होगा। 
  • शामिल करें कि विक्रेता पूर्व सहमति लिए बिना अन्य संगठनों के साथ जीडीपीआर के दायरे के तहत किसी भी सेवा को उप-अनुबंध (सब कॉन्ट्रैक्ट) या आउटसोर्स नहीं करेगा, और 
  • विक्रेता अनुबंध की समाप्ति पर संगठन का सभी डेटा हटा देगा और उसे वापस कर देगा।
• एक अनुबंध पर हस्ताक्षर करने के अलावा, तीसरे पक्ष से जुड़े संगठन को नियमित रूप से तीसरे पक्ष की प्रक्रिया का ऑडिट करना चाहिए। 

जीडीपीआर जुर्माना 

जीडीपी रेगुलेशन का उल्लंघन करने पर कंपनियों पर काफी बड़ी रकम का जुर्माना लगाया जाता है। उल्लंघन के दो स्तर हैं, उन्हें उल्लंघन की गंभीरता के अनुसार वर्गीकृत किया गया है जिस पर जुर्माना लगाया गया है: 

• स्तर एक : 10 मिलियन पाउंड का जुर्माना या निचले स्तर के उल्लंघन में विक्रेताओं के वार्षिक राजस्व (रेवेन्यू) का 2%, जो भी अधिक हो; तथा 
• स्तर दो : गंभीर उल्लंघन के मामले में 20 मिलियन पाउंड का जुर्माना, या उल्लंघनकर्ता के वार्षिक राजस्व का 4% (जो भी अधिक हो) लगाया जाता है। 

जीडीपीआर का अनुच्छेद 83 बताता है कि उल्लंघनकर्ता (वॉयलेटर) को दंड लगाने से पहले जुर्माना कैसे निर्धारित किया जाएगा। उल्लंघनकर्ता पर प्रशासनिक (एडमिनिस्ट्रेटिव) जुर्माना लगाने से पहले निम्नलिखित बातों पर ध्यान दिया जाता है:

1. डेटा विषयों की संख्या को प्रभावित करने वाले उल्लंघन की प्रकृति, गंभीरता और अवधि;
2. उल्लंघन का इरादा;
3. क्या डेटा विषयों को हुए नुकसान को कम करने के लिए नियंत्रक/प्रोसेसर द्वारा कोई कार्रवाई की गई थी;
4. उनके द्वारा निष्पादित (सफर्ड) तकनीकी और संगठनात्मक (ऑर्गेनाइज़ेशनल) मानकों को ध्यान में रखते हुए नियंत्रक या प्रोसेसर के कर्तव्य का स्तर अनुच्छेद 25 और 32;
5. नियामक (रेग्युलेटरी) अनुपालन से संबंधित नियंत्रक या प्रोसेसर द्वारा कोई पिछला उल्लंघन;
6. व्यक्तिगत डेटा की प्रकृति और श्रेणियां जो उल्लंघन से प्रभावित हुईं;
7. उल्लंघन को दूर करने और उल्लंघन के संभावित प्रतिकूल प्रभावों को कम करने के लिए पर्यवेक्षी प्राधिकरण के साथ सहयोग की डिग्री;
8. पर्यवेक्षी (सुपरवाइजरी) प्राधिकरण को उल्लंघन के बारे में कैसे पता चला और किस हद तक नियंत्रक या प्रोसेसर ने उल्लंघन को अधिसूचित (मिटीगेट) किया;
9. अनुच्छेद 58(2) के संदर्भ में उपाय अनुपालन है या नहीं, यदि एक ही विषय वस्तु के संदर्भ में नियंत्रक या प्रोसेसर के खिलाफ कोई आदेश है;
10. अनुच्छेद 40 के अनुसार स्वीकृत आचार संहिता (कोड्स ऑफ़ कंडक्ट) का पालन या अनुच्छेद 42 के तहत स्वीकृत प्रमाणीकरण (सर्टिफिकेशन) तंत्र (मैकेनिज्म); और
11. मामले की परिस्थितियों के लिए प्रासंगिक कोई अन्य उत्तेजक (अग्रावेटिंग) या कम करने वाला कारक (फैक्टर), जैसे उल्लंघन से प्रत्यक्ष या अप्रत्यक्ष रूप से प्राप्त वित्तीय (फाइनेंशियल) लाभ या नुकसान।

मामले का अध्ययन (केस स्टडी)

गूगल का गैर-अनुपालन मामला 

• मई 2018 में, दो डिजिटल अधिकार वकालत समूहों, नन ऑफ़ युअर बिजनेस (“एनओवाईबी”) और ला क्वाड्रेचर डु नेट (“एलक्यूडीएन।”) ने मूल रूप से ईयू जीडीपी विनियमन का पालन नहीं करने के लिए गूगल के खिलाफ शिकायत दर्ज की। फ्रेंच डेटा सुरक्षा प्राधिकरण ( “सीएनआईएल”) ने आरोप लगाया कि गूगल दो तरह से विफल (फेल) रहा है:
  • सबसे पहले, गूगल ने एंड्रॉयड उपयोगकर्ताओं को अपनी डेटा प्रोसेसिंग कार्रवाइयों, जैसे डेटा प्रतिधारण (रिटेंशन), डेटा संग्रह और डेटा साझाकरण के बारे में सटीक जानकारी प्रदान नहीं की। प्रदान की गई जानकारी स्पष्ट और अन एंबिग्युअस भाषा में नहीं थी और उपयोगकर्ताओं के समझने के लिए बहुत सामान्य थी।
  • दूसरे, सीएनआईएल ने निर्धारित किया कि गूगल ने अपने एंड्रॉयड उपयोगकर्ताओं से विज्ञापन लक्ष्यीकरण (टार्गेटिंग) के लिए उनके व्यक्तिगत डेटा को संसाधित करने के लिए वैध सहमति प्राप्त नहीं की थी।
• गंभीर उल्लंघन श्रेणी के तहत फ्रांसीसी डेटा संरक्षण प्राधिकरण द्वारा गूगल पर 50 मिलियन यूरो का जुर्माना लगाया गया है और यह अब तक का सबसे बड़ा जुर्माना है।

भूल जाने का अधिकार (फिनलैंड) 

• सर्वोच्च प्रशासनिक न्यायालय ने गूगल को दोषी व्यक्ति के व्यक्तिगत डेटा को उसके यूआरएल लिंक से स्थायी रूप से मिटाने का फैसला सुनाया। सत्तारूढ़ (रूलिंग) जीडीपीआर के “भूलने का अधिकार” कानूनों के समर्थन में था। 
• अदालत ने माना कि पिछले मामले में हत्या के दोषी व्यक्ति को निजता का अधिकार है, और उसकी जानकारी को हटाने का अनुरोध (रिक्वेस्ट) किसी महत्वपूर्ण व्यक्ति पर सूचना के अधिकार का उल्लंघन नहीं करता है। 
• अदालत ने पाया कि दोषी ने अपनी स्वास्थ्य स्थिति के कारण हत्या की जिम्मेदारी कम कर दी थी। इसलिए, आदमी के बारे में व्यक्तिगत डेटा को संवेदनशील (सेंसिटिव) और निजी डेटा माना जाता था।

फेसबुक “फैन पेज” मामला

• 5 जून, 2018 को, यूरोपीय संघ के न्यायालय ने फैसला सुनाया कि फेसबुक फैन पेज के उपयोगकर्ताओं को फेसबुक आयरलैंड के साथ संयुक्त रूप से डेटा नियंत्रक माना जाएगा।  इस रूलिंग ने डेटा नियंत्रक की सीमा को चौड़ा कर दिया है। 
• यह मामला तब सामने आया जब एक निजी प्रशिक्षण अकादमी ने अपनी व्यावसायिक गतिविधि को बढ़ावा देने के लिए फेसबुक पर एक फैन पेज बनाया। एल्गोरिथम के अनुसार, फेसबुक ने अकादमी को फैन पेज पर जाने वाले उपयोगकर्ता के डेटा का संकलन (कंपाईलेशन) प्रदान किया। 
• डेटा प्रोटेक्शन अथॉरिटी ने संगठन को खाते को निष्क्रिय (डीएक्टीवेट) करने या जुर्माना लगाने का आदेश दिया।   
• आरोप था; पेज के विजीटर्स को कुकीज़ के माध्यम से सहायक माध्यमों (ऑक्सिलरी मींस) से अपना डेटा एकत्र करने की सूचना नहीं दी गई थी।  

आईसीएएनएन बनाम ईपीएजी

• बहस यह थी कि क्या उपयोगकर्ता का प्रशासनिक और तकनीकी डेटा एकत्र करना जीडीपीआर के अनुरूप है। 
• आईसीएएनएन एक गैर-लाभकारी संगठन है जो डोमेन नाम प्रणाली का समन्वय करता है। जीडीपीआर के प्रारंभ होने पर, ईपीएजी नाम की इकाई तकनीकी और प्रशासनिक संपर्क एकत्र करने पर रोक लगाने वाले दूसरे स्तर के डोमेन को पंजीकृत करने के लिए जिम्मेदार है। 25 मई, 2018 को आईसीएएनएन ने ईपीएजी के खिलाफ शिकायत दर्ज की। आईसीएएनएन ने आरोप लगाया कि प्रतिवादी (रेस्पोंडेंट), सूचना प्रदान नहीं करके, अनुबंध का उल्लंघन कर रहा है। प्रतिवादी ने तर्क दिया कि आईसीएएनएन द्वारा मांगे गया ज्यादातरडेटा अनावश्यक था।  
• जर्मन अदालत ने तीन आधार पर आवेदक की याचिका को खारिज कर दिया:
  • पार्टियों के बीच समझौते की आवश्यक जानकारी प्रदर्शित नहीं की;
  • अतिरिक्त जानकारी एकत्र करना जो आवश्यक नहीं है, डोमेन के पीछे वास्तविक व्यक्ति की पहचान कर सकता है; [जीडीपीआर का अनुच्छेद 5(1)]
  • कुलसचिवों (रजिस्ट्रंट्स) से परे जानकारी एकत्र करना आवश्यक नहीं है।
• अदालत ने इस प्रकार 30 मई,2018 को आवेदक द्वारा दायर निषेधाज्ञा (इंजंक्शन) राहत को खारिज कर दिया। 

विश्लेषण 

• डेटा सुरक्षा विफलता छोटे संगठनों को केवल गैर-अनुपालन की प्रकृति और/या इससे निपटने की लागत से चकनाचूर कर सकती है। बड़े निगमों (कॉर्पोरेशन) को संगठन की प्रतिष्ठा को नुकसान पहुंचाते हुए भारी जुर्माना और वर्ग कार्रवाई झेलनी पड़ सकती है।   
• जीडीपीआर के अनुसार, सभी कंपनियां, चाहे उनकी व्यावसायिक उपस्थिति कुछ भी हो, जो यूरोपीय संघ के भीतर व्यक्तिगत डेटा को संग्रहीत या संसाधित करती हैं, वह गैर-अनुपालन में परिणाम भुगतेंगी।
• प्रोपेलर इनसाइट्स की सर्वेक्षण (सर्वे) रिपोर्ट के अनुसार, प्रौद्योगिकी सबसे अधिक प्रभावित क्षेत्र होगा, इसके बाद ऑनलाइन खुदरा विक्रेता (रिटेलर), सॉफ्टवेयर कंपनियां, वित्तीय सेवाएं, एसएएएस और खुदरा पैकेज्ड सामान होंगे।
• सभी विफलताओं में, सबसे उल्लेखनीय बाधा जिनका संगठनों को सामना करना पड़ता है और उनका पालन करने में विफल रहता है वह है- डेटा विषय के अनुरोधों को संबोधित करना। लगभग 70% व्यवसाय जीडीपीआर का अनुपालन करने में विफल रहे, जब एक महीने की समय सीमा (वरिष्ठ निदेशक (डायरेक्टर) डेटा गवर्नेंस के अनुसार) के भीतर अंतिम-उपयोगकर्ताओं के अनुरोधों को पूरा करने की बात आई।   
• यूरोपीय डेटा सुरक्षा प्राधिकरण समूह के अनुसार, आर्टिफिशियल इंटेलिजेंस और एल्गोरिदम के उपयोग से स्वचालित तरीके से चलाई जा रही प्रौद्योगिकी कंपनियों के जीडीपीआर के तहत डेटा गोपनीयता के उल्लंघन के लिए जिम्मेदार बनने की अधिक संभावना है। अपने जटिल सिस्टम प्रोग्राम के साथ एक एल्गोरिथम एक “ब्लैक-बॉक्स” बनाता है, जो यह पता लगाने की कम से कम गुंजाइश देता है कि एल्गोरिथम के अंदर क्या हो रहा है। डेटा प्रोसेसर या नियंत्रक को अपनी स्वचालन प्रक्रिया की निर्णय लेने की प्रक्रिया के बारे में डेटा विषय की व्याख्या करने की स्थिति में होना चाहिए। हालांकि, इसका मतलब यह नहीं है कि उन्हें स्वचालित निर्णय लेने में लागू अपने स्रोत (सोर्स) कोड और सूत्र का खुलासा करना होगा। 
• जीडीपीआर अनुपालन में प्रमुख सामग्रियों में से एक है: पारदर्शिता के स्तर को बनाए रखना। इसका मतलब है कि डेटा प्रोसेसिंग को इतना पारदर्शी (ट्रांसपेरेंट) होना चाहिए कि कोई कंपनी जीडीपीआर का अनुपालन कर सके। 

निष्कर्ष (कंक्लूज़न)

जीडीपीआर सिद्धांतों (प्रिंसीपल) को 6 डेटा सुरक्षा स्तंभों के साथ बनाया गया है:

• वैधता, निष्पक्षता (फेयरनेस), पारदर्शिता, 
• उद्देश्य सीमा (पर्पज लिमिटेशन),
• डेटा न्यूनीकरण (मिनिमाईजेशन), 
• शुद्धता, 
• भंडारण सीमा, 
• ईमानदारी, गोपनीयता, जवाबदेही (अकाउंटेबिलिटी) और अनुपालन। 

जीडीपीआर अनुपालन के साथ आगे बढ़ने के लिए एक अच्छा प्रारंभिक बिंदु यह स्थापित करना है कि आपका व्यवसाय और टीम जीडीपीआर के सिद्धांतों का पालन करती है। जीडीपीआर का अनुपालन सुनिश्चित करने और प्रासंगिक कानूनों का आदेश देने के लिए एक संगठन को व्यावहारिक रूप से रणनीतियों और योजनाओं का एक पूरा सेट निर्धारित करना चाहिए। इसमें शासन, प्रबंधन संरचना (स्ट्रक्चर), भूमिकाएं और जिम्मेदारी, जोखिम प्रबंधन, अनुपालन और आश्वासन (एश्योरेंस) कार्यक्रम के आसपास के दस्तावेज शामिल हैं। यह निर्धारित करने के लिए ये महत्वपूर्ण उपाय हैं कि सिद्धांत और संबद्ध (एसोसिएटेड) प्रोटोकॉल व्यवसाय में पूरी तरह से अंतर्निहित (एंबेब्ड) हैं। 

दूसरी ओर, किसी को यह भी देखना चाहिए कि डेटा विषय के अनुरोधों का जवाब देने के लिए कंपनियों को लागत प्रभावी और कुशल योजनाओं को अपनाने की आवश्यकता है। प्रौद्योगिकी यहां एक महत्वपूर्ण भूमिका निभाती है, विशेष रूप से डेटा पोर्टेबिलिटी, प्रबंधन और मैपिंग दायित्व में। सही तकनीक स्थापित करने से न केवल जोखिम कम करने में मदद मिलेगी बल्कि कंपनियों को अधिक कुशल तरीके से उत्तरदायी होने में भी मदद मिलेगी। जीडीपीआर के विकास के कारण, कई संगठनों ने अपने कार्यप्रवाह को बेहतर बनाने के लिए पहले से ही प्रौद्योगिकी समर्थन को अपनाया है। अन्य संगठनों ने भी जीडीपीआर अनुपालन में सहायता के लिए नई तकनीक को अपनाने की प्राथमिकता को बढ़ाने की आवश्यकता महसूस की है। अब तक यह स्पष्ट हो गया है कि जीडीपीआर अनुपालन को संबोधित करने के लिए कार्यप्रवाहों और प्रक्रियाओं के ओपन-एंडेड संशोधन की आवश्यकता होगी। 

संदर्भ (रेफरेंसेस)

• ईयू जनरल डेटा प्रोटेक्शन रेगुलेशन – आईटी गवर्नेंस प्राइवेसी टीम 

• https://जीडीपीआर-info.eu/

• https://bdkadvokati.com/german-court-rules-against-icann-on-data-protection-grounds/

• https://www.intelisecure.com/जीडीपीआर-approaches-for-protecting-personally-identifiable-information-पीआईआई-and-संवेदनशील-व्यक्तिगत-सूचना-spi/