यह लेख Adv. Komal Arora द्वारा लिखा गया है। इस लेख में जी.डी.पी.आर. क्या है, इसका उद्देश्य, सिद्धांत, अधिकार, जी.डी.पी.आर. किस पर लागू होता है, जी.डी.पी.आर. के तहत गोपनीयता नीति की आवश्यकताएं, डाटा नियंत्रक और अन्य नियामक निकायों की भूमिका, जी.डी.पी.आर. चेकलिस्ट, जी.डी.पी.आर. के तहत दंड, और अक्सर पूछे जाने वाले प्रश्न पर चर्चा की गई है। यदि आपको जी.डी.पी.आर. के जटिल कानूनों को समझना मुश्किल हो रहा है, तो यह लेख जी.डी.पी.आर. अनुपालन की आसान व्याख्या देकर आपकी मदद करेगा। इस लेख का अनुवाद Divyansha Saluja के द्वारा किया गया है।

परिचय

वर्तमान डिजिटल युग में डाटा पर अत्यधिक निर्भरता है और हमारा दैनिक जीवन इसके इर्द-गिर्द घूमता है। हमारे दिन ऑनलाइन उपस्थिति से भरे हुए हैं, ऑनलाइन समाचार पढ़ने से लेकर, ईमेल लिखने, किसी भी वेबसाइट से किराने का सामान या उत्पाद ऑर्डर करने, वेबसाइट ब्राउज़ करने से लेकर हमारे बिलों का ऑनलाइन भुगतान करने तक, ये सभी गतिविधियाँ, कार्य करने के लिए हमारे व्यक्तिगत डाटा का उपयोग करती हैं। कोई भी यह पूछने से नहीं रुकता कि कंपनियां इस डाटा का उपयोग कैसे कर रही हैं और यह उनके लिए कितना सुरक्षित है। गोपनीयता और पहचान योग्य जानकारी के उल्लंघन का मुद्दा जोर पकड़ रहा था और इसे प्रभावी ढंग से विनियमित करने के लिए एक कानून की आवश्यकता पैदा हुई। इस प्रकार, जी.डी.पी.आर. आया, जिसे व्यक्तियों की गोपनीयता के अधिकार को नियंत्रित करने वाला सबसे कठिन कानून माना जाता है। जी.डी.पी.आर. के लिए सभी कंपनियों को पुनर्मूल्यांकन करने की आवश्यकता है कि वे अपने उपयोगकर्ताओं की गोपनीयता को कैसे विनियमित करते थे और अब कुछ सिद्धांतों को ध्यान में रखते हैं।

जी.डी.पी.आर. क्या है

जी.डी.पी.आर. का मतलब सामान्य डाटा संरक्षण विनियमन (रेगुलेशन) है। जी.डी.पी.आर. डाटा का उपयोग कर रहे व्यक्तियों के डाटा संरक्षण से संबंधित है, और यह यूरोपीय संघ के प्रत्येक सदस्य को बाध्य करता है, चाहे वह इसके सदस्य देश हों, दुनिया भर की कंपनियों, व्यक्तियों और अन्य देशों को प्रभावित करते हैं। पूरे यूरोप में डाटा सुरक्षा और गोपनीयता कानूनों में सामंजस्य स्थापित करने के उद्देश्य से, इसे अक्सर एक लंबा और जटिल कानून माना जाता है। विनियमन 14 अप्रैल 2016 को बनाया गया था, और यह 25 मई, 2018 को प्रभावी हुआ। यह एक बहुत व्यापक और जटिल विनियमन है, जिसमें 11 अध्याय, 99 अनुच्छेद और 173-खंड प्रस्तावना या पाठ शामिल हैं। यह ध्यान रखना उचित है कि यदि कंपनियां यूरोप के भीतर व्यापार करना चाहती हैं तो इन नियमों का अनुपालन अनिवार्य कर दिया गया है। इसके अलावा, कंपनियों पर यह दिखाने का दायित्व है कि उन्होंने जी.डी.पी.आर. का अनुपालन किया है। इन विनियमों के लिए इसके द्वारा लगाई गई आवश्यकताओं का कड़ाई से पालन करना आवश्यक है। 

जी.डी.पी.आर. का इतिहास

• गोपनीयता के अधिकार को आधिकारिक तौर पर 1948 में मान्यता मिली जब मानव अधिकारों की सार्वभौम (यूनिवर्सल) घोषणा ((इसके बाद यू.डी.एच.आर के रूप में संदर्भित) को अधिनियमित किया गया था । इन वाचाओ (कॉवेनेंट) में गोपनीयता के अधिकार को औपचारिक रूप से स्वीकार किया गया है: मानव अधिकारों की सार्वभौम घोषणा के अनुच्छेद 12 में प्रावधान है कि किसी को भी उसकी गोपनीयता, परिवार, घर या पत्राचार में मनमाने ढंग से हस्तक्षेप नहीं किया जाएगा। एक समान अधिकार नागरिक और राजनीतिक अधिकारों पर अंतर्राष्ट्रीय वाचा, 1976 (इसके बाद आई.सी.सी.पी.आर. के रूप में संदर्भित) द्वारा प्रदान किया गया है। आई.सी.सी.पी.आर. के अनुच्छेद 17 में कहा गया है कि किसी को भी उसकी गोपनीयता, परिवार, घर या पत्राचार में गैरकानूनी हस्तक्षेप के अधीन नहीं किया जाएगा। मानवाधिकार पर यूरोपीय सम्मेलन, 1950 (इसके बाद ई.सी.एच.आर के रूप में संदर्भित) अपने अनुच्छेद 8 के माध्यम से निजी और पारिवारिक जीवन, घर और पत्राचार के सम्मान के अधिकार की आवश्यकता बताते हुए समान अधिकार प्रदान करता है। आइए यूरोपीय संघ में गोपनीयता अधिकारों के विकास पर एक नज़र डालें:

• ई.सी.एच.आर को 1950 में तैयार किया गया था और फिर ई.सी.एच.आर इंटरनेट विशेष रूप से डाटा सुरक्षा के मुद्दे के लिए बनाया गया था। परिणामस्वरूप, 24 अक्टूबर 1995 को, निर्देश 95/96/इसी को यूरोपीय परिषद द्वारा अपनाया गया था। इसका उद्देश्य व्यक्तिगत डाटा के प्रसंस्करण (प्रोसेसिंग) और उनके डाटा की आवाजाही (मूवमेंट) के लिए प्रावधान तैयार करके यूरोपीय संघ में व्यक्तियों की गोपनीयता की रक्षा करना है। 
• 25 जनवरी 2012 को, यूरोपीय आयोग ने प्रस्ताव दिया कि एक मजबूत गोपनीयता ढांचा विकसित करने के लिए 1995 के निर्देश में सुधार की सख्त जरूरत है। 
• फिर 23 मार्च 2012 को, अनुच्छेद 29 कार्यकारी दल ने डाटा संरक्षण सुधार प्रस्ताव पर एक राय अपनाई। 
• बाद में, 12 मार्च 2014 को, यूरोपीय संसद ने 621 से 10 वोटों के साथ जी.डी.पी.आर. के पक्ष में मतदान करके एक मजबूत गोपनीयता ढांचे के निर्माण के प्रति अपना उत्साह दिखाया।
• फिर 15 जून 2015 को, यह सहमति हुई कि यूरोपीय डाटा संरक्षण बोर्ड अनुच्छेद 29 कार्यकारी दल का स्थान लेगा। डाटा सुरक्षा बोर्ड की मुख्य भूमिका पूरे संघ में जी.डी.पी.आर. के साथ एकरूपता और अनुपालन सुनिश्चित करना था।
• वर्षों के प्रयास और विचार-विमर्श के बाद, सामान्य डाटा संरक्षण विनियमन 2016 में पेश किया गया था। 
• 2 फरवरी 2016 को, अनुच्छेद 29 कार्यकारी दल ने जी.डी.पी.आर. के प्रभावी कार्यान्वयन (इंप्लीमेंटेशन) को सुनिश्चित करने के लिए एक कार्य योजना जारी की। 
• बाद में, 27 जुलाई 2015 को, यूरोपीय डाटा संरक्षण पर्यवेक्षक (सुपरवाइजर) ने जी.डी.पी.आर. के प्रावधानों को अंतिम रूप देने में मदद करने के लिए विधायकों को सिफारिशें प्रकाशित कीं।
• इसे यूरोपीय संसद द्वारा पारित किया गया था लेकिन इसे दो साल के अंतराल के साथ लागू किया गया था। 25 मई 2018 तक, यह अनिवार्य था कि सभी संगठनों को जी.डी.पी.आर. का अनुपालन करना होगा। 

यह याद रखना चाहिए कि जी.डी.पी.आर. की सुंदरता इस तथ्य में निहित है कि यह हर कंपनी या व्यवसाय पर लागू होता है, भले ही वह यूरोपीय संघ में स्थापित न हो। यह तथ्य कि कंपनी यूरोपीय नागरिकों या निवासियों के डाटा से निपटती है, जी.डी.पी.आर. की प्रयोज्यता (एप्लीकेबिलिटी) के लिए पर्याप्त है।

जी.डी.पी.आर. का उद्देश्य

हमने पहले उन घटनाओं की श्रृंखला का पता लगाया है जिन्होंने जी.डी.पी.आर. के विकास में योगदान दिया है। अब, जी.डी.पी.आर. को अपनाने के पीछे की प्रेरक शक्तियों की जांच करना महत्वपूर्ण है। वे कौन से बाध्यकारी कारण थे जिनके कारण देशों को यह विश्वास हुआ कि डाटा विनियमन अनिवार्य था? इन पूछताछों को व्यापक रूप से संबोधित करने के लिए, आइए इन नियामक उपायों की स्थापना के उद्देश्य और अंतर्निहित आवश्यकता पर गौर करें।

यह दावा कि किसी व्यक्ति की गोपनीयता की रक्षा करना एक आवश्यक मानव अधिकार है, निर्विवाद है और इसके लिए किसी अतिरिक्त स्पष्टीकरण की आवश्यकता नहीं है। व्यक्तिगत गोपनीयता के इस अधिकार की स्वीकृति मानव अधिकारों पर यूरोपीय सम्मेलन (इसके बाद ई.सी.एच.आर के रूप में संदर्भित) के अनुच्छेद 8 में भी स्पष्ट है। इसके अलावा, मौलिक अधिकारों पर यूरोपीय संघ संधि का अनुच्छेद 7 भी इस अधिकार की पुष्टि करता है। जी.डी.पी.आर. लोगों के व्यक्तिगत डाटा की सुरक्षा के लिए प्रावधान करके इन अधिकारों को आगे बढ़ाता है। इसमें ऐसे प्रावधान शामिल हैं जो इस डाटा को संभालने वाले व्यवसायों पर डाटा सुरक्षा की गारंटी देने का दायित्व लगाते हैं, साथ ही गैर-अनुपालन के लिए दंड का भी प्रावधान करते हैं।

ऐसा करने से, उन व्यवसायों की जवाबदेही बढ़ जाती है जो अपने उपयोगकर्ताओं के डाटा की सुरक्षा के लिए डाटा एकत्र करते हैं और इसे किसी तीसरे पक्ष को हस्तांतरित नहीं करते हैं। इस तरह यह उपयोगकर्ताओं को यह सुनिश्चित करता है कि वे इन कंपनियों के साथ जो भी जानकारी साझा करते हैं वह सुरक्षित है और व्यक्तिगत लाभ या व्यावसायिक शोषण के लिए उनकी गोपनीयता का उल्लंघन नहीं किया जाएगा। जी.डी.पी.आर. का अनुपालन सुनिश्चित करता है कि लोगों और कंपनियों के लेनदेन में पारदर्शिता और विश्वास है। इसके अलावा, यह लोगों के गोपनीयता अधिकारों के लिए एक सरल और व्यापक कानूनी ढांचा प्रदान करता है। जी.डी.पी.आर. में ऐसे प्रावधान हैं जिन्हें हम नीचे देखेंगे जो उपभोक्ताओं को कुछ अधिकार प्रदान करते हैं जैसे कि यह सूचित करने का अधिकार कि क्या डाटा एकत्र किया जा रहा है, उनका डाटा क्यों एकत्र किया जा रहा है और यह भी कि उनका डाटा कैसे एकत्र किया जा रहा है। उन्हें किसी भी गलत डाटा को सुधारने का अधिकार, डाटा पोर्टेबिलिटी का अधिकार, भूल जाने का अधिकार, सहमति वापस लेने का अधिकार, डाटा प्रसंस्करण पर आपत्ति करने का अधिकार, आदि है।

यह ध्यान रखना उचित है कि जी.डी.पी.आर. ने 1995 में डाटा सुरक्षा निर्देश में निर्धारित नियमों को आधुनिक बनाया और उन्हें आधुनिक डिजिटल समाज के लिए अद्यतन (अपडेट) किया। जी.डी.पी.आर. ने वैश्विक स्तर पर लोगों को उनके डाटा के अधिकारों और उनकी सुरक्षा के बारे में जागरूक करके एक बड़ा और बेहतर उद्देश्य पूरा किया है। यूरोपीय संघ द्वारा जी.डी.पी.आर. के बाद, संयुक्त राज्य अमेरिका जैसे अन्य देशों ने भी अपने डाटा गोपनीयता कानून लाना शुरू कर दिया। हाल ही में, भारत ने भी अपना स्वयं का डाटा गोपनीयता अधिनियम तैयार किया है जिसे डिजिटल व्यक्तिग्त डाटा संरक्षण अधिनियम, 2023 कहा जाता है।

जी.डी.पी.आर. के सिद्धांत 

अनुच्छेद 5, जी.डी.पी.आर. के लिए सात सिद्धांत निर्धारित करता है। इन सिद्धांतों को जी.डी.पी.आर. अनुपालन का सार माना जा सकता है, क्योंकि जी.डी.पी.आर. कानून का पूरा पाठ इन सिद्धांतों पर आधारित है। जी.डी.पी.आर. अनुपालन इन सात सिद्धांतों से शुरू होता है: 

1. वैधानिकता, निष्पक्षता और पारदर्शिता (ट्रांसपेरेंसी)
2. उद्देश्य सीमा
3. डाटा न्यूनीकरण (मिनिमाइजेशन)
4. यथार्थता (एक्यूरेसी)
5. भंडारण सीमा
6. सत्यनिष्ठा (इंटीग्रिटी) और निजता
7. डाटा नियंत्रकों की जवाबदेही

वैधानिकता निष्पक्षता और पारदर्शिता

अनुच्छेद 5 में प्रावधान है कि व्यक्तिगत डाटा को डाटा का उपयोग कर रहे व्यक्तियों के संबंध में कानूनी, निष्पक्ष और पारदर्शी तरीके से प्रसंस्करण किया जाएगा। इस सिद्धांत में तीन घटक शामिल हैं:

• वैधानिकता: यह संगठनों या कंपनियों को डाटा एकत्र करने और उसे वैध तरीके से प्रसंस्करण करने का आदेश देता है।
• निष्पक्षता: यह इंगित करता है कि व्यक्तिगत डाटा को डाटा का उपयोग कर रहे व्यक्तियों के सर्वोत्तम हित में एकत्र और प्रसंस्करण किया जाना चाहिए।
• पारदर्शिता: इस शब्द का अर्थ है कि व्यक्तिगत जानकारी के संग्रह, प्रसंस्करण और भंडारण की प्रक्रिया हितधारकों को सूचित की जाती है।

उद्देश्य सीमा

अनुच्छेद 5(1)(b) आगे प्रावधान करता है कि व्यक्तिगत डाटा केवल निर्दिष्ट, स्पष्ट और वैध उद्देश्यों के लिए एकत्र किया जाएगा। इसे जी.डी.पी.आर. के साथ असंगत किसी अन्य गैरकानूनी उद्देश्य के लिए प्रसंस्करण नहीं किया जाना चाहिए। यह यह भी बताता है कि सार्वजनिक हित, वैज्ञानिक या ऐतिहासिक अनुसंधान उद्देश्य या सांख्यिकीय उद्देश्य जो अनुच्छेद 89(1) के अनुसार हैं, उन्हें असंगत नहीं माना जाता है। सिद्धांत कहता है कि डाटा को उस उद्देश्य को ध्यान में रखते हुए प्रसंस्करण किया जाना चाहिए जिसके लिए यह मूल रूप से अभिप्रेत था। कंपनियों को एक डाटा प्रतिधारण (रिटेंशन) नीति बनानी चाहिए जिसमें यह बताया जाए कि जानकारी किस उद्देश्य से एकत्र की गई है, वे व्यक्तिगत जानकारी को कितने समय तक बनाए रखेंगे और इसे कब हटा दिया जाएगा क्योंकि इससे उन्हें व्यक्तिगत जानकारी एकत्र करने के उद्देश्य को परिभाषित करने में मदद मिलेगी।

डाटा न्यूनीकरण

इस सिद्धांत का सीधा सा मतलब है कि डाटा कम से कम किया जाना चाहिए। उद्देश्य को पूरा करने के लिए आवश्यक से अधिक व्यक्तिगत डाटा एकत्र करने की कोई आवश्यकता नहीं है। डाटा न्यूनीकरण को एक बहुत ही मौलिक सिद्धांत माना जाता है क्योंकि कोई भी संगठन अपने ग्राहकों के बारे में व्यक्तिगत डाटा को स्थायी रूप से एकत्र, प्रसंस्करण और संग्रहीत नहीं कर सकता है। यह व्यक्ति की गोपनीयता और डाटा सुरक्षा के अधिकार के अनुपालन पर केंद्रित है। 

डाटा न्यूनीकरण क्यों फायदेमंद है?

केवल उसी डाटा को प्रसंस्करण करना महत्वपूर्ण है जो प्रसंस्करण के निर्दिष्ट आधारों के लिए आवश्यक और प्रासंगिक है। डाटा न्यूनीकरण अनावश्यक व्यक्तिगत जानकारी को प्रसंस्करण करने या बनाए रखने से जुड़े किसी भी संभावित जोखिम को कम करने का एक सीधा तरीका है। कंपनियों को यह याद रखना चाहिए कि यदि कोई उल्लंघन होता है, तो इससे संबंधित व्यक्तियों को असीमित नुकसान होगा। डाटा न्यूनीकरण यह सुनिश्चित करता है कि सीमित डाटा के साथ, आवश्यकता पड़ने पर डाटा का पता लगाना सुविधाजनक है। डाटा न्यूनीकरण से लागत में भी कमी आ सकती है क्योंकि कम डाटा के साथ इसे प्रबंधित करने में कम निवेश होता है।

डाटा संग्रह को सीमित करने के लिए कुछ कारकों का पता लगाने की आवश्यकता है, जैसे:

• कौन सा डाटा ज़रूरी है और कौन सा नहीं?
• डाटा को प्रभावी ढंग से कैसे प्रबंधित करें?
• डाटा को हटाने के लिए अपनाई जाने वाली विधियाँ, जिसका मूल रूप से मतलब यह है कि डाटा को उसी क्रम में नष्ट किया जाता है जिस क्रम में वह पुराना हो जाता है। 

कैसे तय करें कि एकत्र किया गया डाटा आवश्यक है या नहीं:

एकत्र किया गया डाटा इच्छित उद्देश्य को पूरा करता है या नहीं, यह इन प्रासंगिक प्रश्नों पर निर्णय लेने पर निर्भर करता है-

• डाटा का उपयोग कैसे किया जाएगा?
• क्या डाटा का उपयोग किए जा रहे व्यक्ति एकत्र किए जा रहे डाटा से अवगत है?
• क्या डाटा के उद्देश्य और एकत्र किए गए वास्तविक डाटा के बीच कोई सीधा संबंध है?
• इस डाटा की जरूरत कब तक पड़ेगी?

यथार्थता

इसका मतलब यह है कि डाटा यथासंभव सटीक होना चाहिए, यह सुनिश्चित करते हुए कि यह अद्यतित है और सही ढंग से फीड किया गया है। डाटा की यथार्थता सुनिश्चित करने के लिए उचित उपाय करना डाटा नियंत्रक का कर्तव्य माना जाता है।

भंडारण सीमाएँ

यह सिद्धांत बताता है कि व्यक्तिगत डाटा को तब हटा देना चाहिए जब इसकी आवश्यकता न रह जाए। यह सिद्धांत डाटा न्यूनीकरण सिद्धांत को पूरक (कॉम्प्लीमेंट) करता है क्योंकि दोनों डाटा नियंत्रकों को एकत्रित डाटा को न्यूनतम तक नियंत्रित करने और फिर नगण्य (डिस्पेंसेबल) डाटा को सुरक्षित तरीके से नष्ट करने के लिए मार्गदर्शन करने के लिए मिलकर काम करते हैं। तो, डाटा विनाश का अर्थ है जब उपकरणों में संग्रहीत डाटा इस हद तक नष्ट हो जाता है कि इसका उपयोग किसी भी अनधिकृत व्यक्ति द्वारा नहीं किया जा सकता है।

यह कैसे सुनिश्चित करें कि डाटा पूरी तरह से नष्ट हो गया है

डाटा विनाश नीति लागू करना संभवतः सबसे अच्छा समाधान है। एक नीति जो यह बताती है कि डाटा को कैसे नष्ट करना है, और कब हटाना है, बहुत सारी परेशानी से बचा सकती है। डाटा नष्ट करने के लिए जी.डी.पी.आर. के तहत कोई विधि प्रदान नहीं की गई है, लेकिन पुराने डाटा को सही तरीके से हटाने के तरीके के बारे में अधिक जानने के लिए यहां क्लिक करें। डाटा विनाश नीति तैयार करने के लिए निम्नलिखित प्रश्नों के उत्तर खोजने की आवश्यकता है: 

• डाटा कहां संग्रहीत किया जाता है, क्या यह यूएसबी, क्लाउड इत्यादि जैसे उपकरणों में संग्रहीत किया जाता है?
• उस डाटा तक किसकी पहुंच है?
• डाटा कितना संवेदनशील है?
• डाटा की प्रकृति क्या है?
• डाटा नष्ट होने और उसकी विफलता के लिए कौन जिम्मेदार है?

सत्यनिष्ठा और निजता

सत्यनिष्ठा का अर्थ है कि किसी भी व्यक्तिगत डाटा में हेरफेर नहीं किया जाना चाहिए। निजता का अर्थ है कि एकत्र किया गया डाटा केवल उन अधिकारियों के पास ही रहता है जिनके पास उस तक पहुंच है। इसकी पहुंच अन्य अनधिकृत लोगों तक नही होनी चाहिए।

जवाबदेही

यह सिद्धांत बताता है कि डाटा नियंत्रकों को डाटा प्रसंस्करण की जिम्मेदारी लेनी चाहिए। उन्हें यह सुनिश्चित करने के लिए जवाबदेह बनाया गया है कि व्यक्तिगत डाटा सही ढंग से प्रसंस्करण किया गया है और जी.डी.पी.आर. नियमों का अनुपालन किया गया है।

वे आधार जिन पर व्यक्तिगत डाटा एकत्र किया जा सकता है

अनुच्छेद 6 के आधार पर जी.डी.पी.आर. कुछ विशिष्ट आधार निर्धारित करता है जिसके लिए व्यक्तिगत डाटा एकत्र किया जा सकता है। ये हैं:

1. डाटा का उपयोग किए जा रहे व्यक्ति की सहमति
2. अनुबंध का निष्पादन
3. कानूनी दायित्व
4. डाटा का उपयोग किए जा रहे व्यक्ति या अन्य प्राकृतिक व्यक्ति की महत्वपूर्ण रुचि
5. वैध हित 
6. सार्वजनिक हित 

जब भी डाटा एकत्र किया जाता है, डाटा का उपयोग कर रहे व्यक्तियों को यह जानने का अधिकार है कि किस प्रकार का व्यक्तिगत डाटा एकत्र किया गया है, यह किस उद्देश्य को पूरा करता है, उनके डाटा का उपयोग और प्रसंस्करण कैसे किया जाएगा, कंपनी उनके डाटा को कितने समय तक बनाए रखेगी, डाटा का उपयोग कर रहे व्यक्तियों के रूप में उनके अपने एकत्र किए गए डेटा पर क्या अधिकार हैं आदि। डाटा का उपयोग छद्म (कैमोफ्लाज), दुर्भावनापूर्ण उद्देश्यों के लिए नहीं किया जाना चाहिए।

सहमति

सहमति पहला वैध आधार है जिसके लिए व्यक्तिगत डाटा एकत्र किया जा सकता है। अनुच्छेद 7 सहमति की शर्तों से संबंधित है।

डाटा सुरक्षा लोकपाल (ओंबड्समैन) का कार्यालय सहमति को कानूनी रूप से वैध बनाने के लिए कुछ आवश्यक चीजें प्रदान करता है। इन आवश्यकताओं में शामिल हैं:

• मुक्त

सहमति मुक्त होनी चाहिए, अर्थात इसे बिना किसी दबाव, अनुचित प्रभाव या धमकी के प्राप्त किया जाना चाहिए। यदि सहमति किसी भी प्रकार के दबाव और धमकी से मुक्त है, तो इसे वैध माना जाता है। डाटा का उपयोग कर रहे व्यक्तियों को सहमति से इनकार करने और बिना किसी परिणाम के इसे वापस लेने का अधिकार दिया जाना चाहिए।

• सूचित 

जब डाटा का उपयोग किए जा रहे व्यक्ति से सहमति ली जाती है, तो उसे एक विशिष्ट, वैध उद्देश्य के संबंध में होना चाहिए। ऐसे मामले में जहां व्यक्तिगत डाटा को प्रसंस्करण करने के लिए उल्लिखित आधार बदल जाता है या कोई नया आधार उत्पन्न होता है, सहमति फिर से प्राप्त करनी पड़ती है और पिछली सहमति अप्रचलित हो जाती है।

• स्पष्ट 

व्यक्तिगत डाटा के आधार के बारे में जानकारी दिए जाने के बाद, जब सहमति स्वतंत्र रूप से दी जाती है तो वह भी सर्वसम्मत होनी चाहिए, जिसका अर्थ है कि यह स्पष्ट और सटीक होनी चाहिए। इसमें गलत व्याख्या की कोई गुंजाइश नहीं रहनी चाहिए। मौन से सहमति नहीं मिलनी चाहिए। यह एक पुष्टिकरण कोड, एसएमएस, या मेल का उत्तर आदि के माध्यम से हो सकता है। हमारी आभासी दुनिया में, यह सुनिश्चित करके सहमति स्पष्ट है कि गोपनीयता नीति का वह हिस्सा जो सहमति मांगता है वह नीतियों की अन्य शर्तों से अलग है। सहमति का दावा या खंडन करने का वास्तविक अवसर प्रत्येक डाटा का उपयोग किए जा रहे व्यक्ति का अधिकार है। 

सहमति को प्रभावी ढंग से कैसे लिया जाए

डाटा का उपयोग कर रहे व्यक्तियों को इसके बारे में सूचित किया जाना चाहिए:

• जिन्हें उनके निजी डाटा तक पहुंच मिलेगी
• विशिष्ट और वैध उद्देश्य जिनके लिए सहमति ली जा रही है
• सहमति से इनकार करने या वापस लेने का डाटा का उपयोग किए जा रहे व्यक्ति का अधिकार
• डाटा दूसरे देशों में स्थानांतरित होने का ख़तरा

अनुबंध का निष्पादन

यदि डाटा का उपयोग किए जा रहे व्यक्ति किसी अनुबंध का पक्ष है, तो उस स्थिति में, उनके व्यक्तिगत डाटा को उस अनुबंध के निष्पादन के लिए प्रसंस्करण किया जा सकता है। इसका एक सरल उदाहरण एक ऑनलाइन शॉपिंग वेबसाइट है, जिसे ऑर्डर लेने और उसे सफलतापूर्वक वितरित करने के लिए ग्राहक के व्यक्तिगत डाटा की आवश्यकता होती है। ऐसे मामलों में आवश्यकता अनुबंध में व्यक्तिगत डाटा एकत्र करने के आधार को यथासंभव सीमित करने की है।

कानूनी दायित्व

व्यक्तिगत डाटा को कानूनी रूप से प्रसंस्करण करने का एक अन्य कारण कानूनी दायित्वों का अनुपालन करना है। उदाहरण के तौर पर, किसी भी वित्तीय संदिग्ध लेनदेन के मामले में कानूनी बाध्यता मौजूद हो सकती है, जिसके लिए वित्तीय संस्थान उस कंपनी के डाटा की खोज कर सकता है। किसी खतरे या जोखिम में होने पर डाटा का उपयोग कर रहे व्यक्तियों की रुचि भी उनके व्यक्तिगत डाटा को प्रसंस्करण करने का एक अच्छा कारण है। ये स्थितियाँ स्वास्थ्य आपात्कालीन परिस्थितियाँ, प्राकृतिक आपदाएँ आदि हो सकती हैं।

डाटा का उपयोग किए जा रहे व्यक्ति या अन्य प्राकृतिक व्यक्ति की महत्वपूर्ण हित 

पाठ 46 में कहा गया है कि महत्वपूर्ण हित शब्द का अर्थ कुछ ऐसा है जो डाटा का उपयोग किए जा रहे व्यक्ति या किसी अन्य प्राकृतिक व्यक्ति के जीवन के लिए आवश्यक है, उदाहरण के लिए, उस मामले में जहां डाटा का उपयोग किए जा रहे व्यक्ति आपातकालीन चिकित्सा उपचार की आवश्यकता है, उसके व्यक्तिगत डाटा को तदनुसार प्रसंस्करण किया जा सकता है।

सार्वजनिक हित

सार्वजनिक हित और सार्वजनिक प्राधिकरण के प्रयोग के लिए व्यक्तिगत डाटा के प्रसंस्करण की भी अनुमति दी जा सकती है। कारण वैध होना चाहिए, उदाहरण के लिए, देश के विकास और प्रगति के लिए आवश्यक कोई भी शोध (रिसर्च)।

वैध हित

डाटा नियंत्रक के वैध हितों के लिए व्यक्तिगत डाटा के प्रसंस्करण की अनुमति है। यह निर्धारित करने के लिए एक परीक्षण होता है कि डाटा नियंत्रक का कोई वैध हित है या नहीं, इसे संतुलन परीक्षण कहा जाता है। इसमें एक ओर डाटा का उपयोग कर रहे व्यक्तियों के मौलिक अधिकारों के विरुद्ध नियंत्रकों के हितों को तौलना शामिल है। यदि पैमाना नियंत्रक के हित की ओर झुकता है, तो इसे वैध हित के रूप में परिभाषित किया जाता है।

जी.डी.पी.आर. किस पर लागू होता है

जी.डी.पी.आर. का अनुच्छेद 3, जी.डी.पी.आर. के क्षेत्रीय दायरे से संबंधित है। सीधे शब्दों में कहें तो, जी.डी.पी.आर. निम्नलिखित संस्थाओं पर लागू होता है:

• एक कंपनी जो यूरोपीय संघ के नागरिकों के व्यक्तिगत डाटा को यूरोपीय संघ में प्रसंस्करण करती है या यूरोपीय संघ के नागरिकों के व्यवहार की निगरानी करती है।
• एक कंपनी जो यूरोपीय संघ के बाहर स्थापित है और यूरोपीय संघ में व्यक्तियों को सामान या सेवाएँ प्रदान करती है या यूरोपीय संघ के नागरिकों के व्यवहार की निगरानी करती है।

शब्द “वस्तुओं और सेवाओं की पेशकश” का अर्थ ऐसी कंपनी से है जो यूरोपीय संघ के किसी भी सदस्य देश से संबंधित है, या यूरोपीय संघ के किसी भी सदस्य की भाषा का उपयोग करती है और यूरोपीय संघ को सामान वितरित करती है। शब्द “यूरोपीय संघ के नागरिकों के व्यवहार पर नज़र रखता है” का अर्थ है कि यदि कोई कंपनी कुकीज़ का उपयोग करती है या किसी भी तरह से यूरोपीय संघ में स्थित नागरिकों के आईपी पते को ट्रैक करती है तो वह भी जी.डी.पी.आर. अनुपालन के दायरे में आती है।

जी.डी.पी.आर. किस पर लागू होता है, इस पर अक्सर पूछे जाने वाले प्रश्न

1.क्या जी.डी.पी.आर. किसी व्यक्ति पर लागू होता है?

जी.डी.पी.आर. में प्रावधान है कि यह किसी प्राकृतिक व्यक्ति पर लागू नहीं होता है जो व्यक्तिगत या घरेलू गतिविधि कर रहा है और जिसका किसी व्यावसायिक गतिविधि से कोई संबंध नहीं है।

2. क्या जी.डी.पी.आर. यूरोपीय संघ के बाहर लागू होता है?

कोई भी संगठन या कंपनी, चाहे वह ई.यू. में हो या ई.यू. के बाहर, ई.यू. के नागरिकों को सामान और सेवाएं प्रदान करता है या ई.यू. नागरिकों के व्यवहार की निगरानी करता है।

3. क्या जी.डी.पी.आर. अमेरिका पर लागू होता है?

जी.डी.पी.आर. केवल यूरोपीय संघ के नागरिकों के व्यक्तिगत डाटा की सुरक्षा के लक्ष्य को पूरा करता है। यह अमेरिका और अमेरिका में रहने वाले यूरोपीय संघ के नागरिकों पर लागू नहीं होता है। लेकिन कृपया ध्यान दें कि यदि कोई अमेरिकी कंपनी यूरोपीय संघ के नागरिकों को सामान या सेवाएँ प्रदान करती है या यूरोपीय संघ के नागरिकों के व्यवहार पर नज़र रखती है तो उसे जी.डी.पी.आर. का अनुपालन करना होगा।

4. क्या जी.डी.पी.आर. अमेरिकी नागरिकों पर लागू होता है?

हां, जब तक अमेरिकी नागरिक यूरोपीय संघ के किसी भी सदस्य राज्य में रह रहे हैं, जी.डी.पी.आर. डाटा विनियमन कानून है जिसका उन्हें पालन करना होगा।

5. क्या जी.डी.पी.आर. सार्वजनिक और निजी कंपनियों पर लागू होता है?

हाँ, जी.डी.पी.आर. डाटा सुरक्षा और गोपनीयता के लिए एक सामान्य विनियमन है। यह सभी कंपनियों पर लागू होता है, चाहे वह सार्वजनिक हो या निजी, जब तक वे यूरोपीय संघ के नागरिकों के डाटा के प्रसंस्करण से संबंधित हैं।

6. क्या इन नियमों का कोई अपवाद है?

हाँ, जी.डी.पी.आर. के अनुच्छेद 30 में कहा गया है कि इन सामान्य नियमों के दो अपवाद हैं:

• घरेलू या व्यक्तिगत गतिविधियों के लिए व्यक्तिगत डाटा एकत्र करना।
• क्लाउड द्वारा प्रस्तुत कंपनियां, जिनमे 250 से कम कर्मचारी हैं।

7. क्या इसका मतलब यह है कि 250 से कम कर्मचारियों वाले सभी छोटे और मध्यम आकार के उद्यमों को जी.डी.पी.आर. के तहत छूट दी गई है?

नहीं, 250 कर्मचारियों का अपवाद तब लागू होता है जब व्यक्तिगत डाटा का प्रसंस्करण उस कंपनी का प्रमुख हिस्सा नहीं होता है या उनके द्वारा की गई गतिविधि किसी के लिए कोई खतरा या जोखिम पैदा नहीं करती है।

जी.डी.पी.आर. के तहत व्यक्तिगत डाटा

जी.डी.पी.आर. का अनुच्छेद 4 महत्वपूर्ण शब्दों की परिभाषाओं को शामिल करता है जैसे: प्रक्रमक (प्रसंस्करणकर्ता), नियंत्रक, सहमति, प्रसंस्करण और तृतीय पक्ष आदि। यह अनुच्छेद 4 (1) के तहत व्यक्तिगत डाटा को उस जानकारी या डाटा के रूप में परिभाषित करता है जो प्रत्यक्ष या अप्रत्यक्ष रूप से एक प्राकृतिक व्यक्ति की पहचान से संबंधित है। इस व्यक्तिगत डाटा में प्राकृतिक व्यक्ति का नाम, पहचान संख्या, स्थान डाटा, शारीरिक, मनोवैज्ञानिक, आनुवंशिक (जेनेटिक), मानसिक, आर्थिक, सांस्कृतिक या सामाजिक पहचान जैसे विवरण शामिल हो सकते हैं। इसमें कोई भी डाटा शामिल है जो किसी व्यक्ति के स्वास्थ्य से संबंधित है जैसे मानसिक और शारीरिक स्वास्थ्य की जानकारी भी जी.डी.पी.आर. के तहत व्यक्तिगत डाटा में शामिल है। 

यह निर्धारित करने के लिए कि जानकारी व्यक्तिगत डाटा है या नहीं, ऊपर दी गई परिभाषा को इन तत्वों में विभाजित किया जा सकता है:

• कोई भी जानकारी- इसका मतलब है कि यह शब्द वस्तुनिष्ठ (ऑब्जेक्टिव) और व्यक्तिपरक (सब्जेक्टिव) जानकारी को सम्मिलित करता है।
• से संबंधित- यह इंगित करता है कि डाटा किसी भी व्यक्ति के संबंध में होना चाहिए जिसे उस डाटा से पहचाना जा सके।
• पहचान योग्य या पहचाने जाने योग्य- यह शब्द दर्शाता है कि जानकारी ऐसी प्रकृति की होनी चाहिए कि उसके आधार पर व्यक्ति की पहचान की जा सके।
• प्राकृतिक व्यक्ति- जी.डी.पी.आर. उन व्यक्तियों की सुरक्षा करता है जो प्राकृतिक व्यक्ति हैं न कि कंपनियों की तरह कृत्रिम व्यक्ति।

यह हमेशा याद रखना चाहिए कि जी.डी.पी.आर. केवल किसी प्राकृतिक व्यक्ति के व्यक्तिगत डाटा की सुरक्षा के लिए लागू होता है। जी.डी.पी.आर. लागू होता है चाहे जानकारी सार्वजनिक डोमेन में हो या नहीं। इसके अलावा, जी.डी.पी.आर. निगमों, फाउंडेशनों और संस्थानों जैसे किसी अप्राकृतिक व्यक्ति के अधिकारों की रक्षा नहीं करता है। साथ ही, व्यक्तिगत डाटा तय करने का मुख्य मानदंड पहचान योग्यता का कारक है। तो, जो कुछ भी किसी व्यक्ति से लिंक करने के लिए उपयोग किया जा सकता है वह व्यक्तिगत डाटा है। इसमें टेलीफोन नंबर, क्रेडिट कार्ड नंबर, पहचान संख्या, पता, उपस्थिति, नंबर प्लेट, अंगुलांक (फिंगरप्रिंट) आदि भी शामिल हैं।

व्यक्तिगत डाटा की परिभाषा बहुत व्यापक है। यूरोपीय न्यायालय द्वारा एक निर्णय दिया गया है जहां यह निर्णय लिया गया कि जब कोई कर्मचारी अपना काम शुरू करता है और समाप्त करता है तो कार्य रिकॉर्डिंग भी व्यक्तिगत डाटा के दायरे में आती है। परीक्षा के समय उम्मीदवार द्वारा दिए गए लिखित उत्तर भी व्यक्तिगत डाटा माने जाते हैं, यहां जांचें। अपने मनोरोग मूल्यांकन के एक भाग के रूप में एक बच्चे का अपने परिवार का चित्र बनाना भी व्यक्तिगत डाटा है। आईपी ​​एड्रेस, किसी व्यक्ति का कुकी पहचानकर्ता, को किसी व्यक्ति का व्यक्तिगत डाटा भी कहा जाता है। गौरतलब है कि यह जरूरी नहीं है कि व्यक्तिगत जानकारी में केवल वस्तुनिष्ठ डाटा जैसे फोन नंबर और ईमेल आईडी ही शामिल हों, बल्कि कोई भी जानकारी जो व्यक्तिपरक हो जैसे कि किसी की राय, निर्णय और अनुमान, उसे भी व्यक्तिगत डाटा के रूप में शामिल किया जाता है। अनुच्छेद 4 के अलावा, जी.डी.पी.आर. का अनुच्छेद 9 व्यक्तिगत डाटा की विशेष श्रेणियों के प्रसंस्करण के प्रावधान को शामिल करता है। कोई भी डाटा जो नस्लीय, या जातीय मूल, राजनीतिक राय, धार्मिक या दार्शनिक विश्वास या ट्रेड यूनियन सदस्यता, आनुवंशिक डाटा, बायोमेट्रिक डाटा, या स्वास्थ्य से संबंधित डाटा से संबंधित है, संवेदनशील व्यक्तिगत डाटा है और केवल जी.डी.पी.आर. के अनुच्छेद 9 के अनुसार प्रसंस्करण किया जाएगा। इसलिए, इसमें विभिन्न प्रकार का डाटा शामिल है, हालाँकि, नीचे दी गई जानकारी को व्यक्तिगत डाटा नहीं माना जाता है:

• कंपनी की पंजीकरण संख्या
• सार्वजनिक ईमेल पता 
• अज्ञात डाटा

जी.डी.पी.आर. के तहत संवेदनशील डाटा का प्रबंधन

जी.डी.पी.आर. व्यक्तिगत डाटा और संवेदनशील व्यक्तिगत डाटा के बीच अंतर को पहचानता है। इसे जी.डी.पी.आर. के अनुच्छेद 9 के तहत निपटाया गया है। संवेदनशील डाटा व्यक्तिगत डाटा है जिसमें कुछ गोपनीय जानकारी शामिल हो सकती है जैसे: वित्तीय रिकॉर्ड, नस्ल, जातीयता, लिंग, राजनीतिक राय, स्वास्थ्य जानकारी, रिश्ते आदि। जैसा कि नाम से पता चलता है यह डाटा संवेदनशील है और इसे अनधिकृत व्यक्तियों के गलत हाथों में नहीं पड़ना चाहिए। . जी.डी.पी.आर. के अनुच्छेद 9 (1) में प्रावधान है कि किसी भी संवेदनशील व्यक्तिगत जानकारी का प्रसंस्करण निषिद्ध है। अनुच्छेद 9 (2) में आगे कहा गया है कि इन मामलों में निषेध लागू नहीं होगा:

1. डाटा का उपयोग किए जा रहे व्यक्ति ने स्पष्ट सहमति दी है
2. अधिकारों और दायित्वों का प्रयोग करने के लिए प्रसंस्करण आवश्यक है
3. डाटा का उपयोग कर रहे व्यक्तियों के महत्वपूर्ण हित के लिए प्रसंस्करण आवश्यक है
4. सुरक्षा उपायों के साथ वैध गतिविधियों के लिए प्रसंस्करण किया गया
5. प्रसंस्करण किए जाने वाले व्यक्तिगत डाटा को डाटा का उपयोग किए जा रहे व्यक्ति द्वारा सार्वजनिक किया जाता है
6. पर्याप्त सार्वजनिक हित
7. निवारक या व्यावसायिक चिकित्सा
8. सार्वजनिक हित और स्वास्थ्य
9. सार्वजनिक हित, ऐतिहासिक या वैज्ञानिक उद्देश्य

तो, ऐसे डाटा को जी.डी.पी.आर. के अनुरूप कैसे संभाला जाना चाहिए? आइए नीचे दिए गए बिंदुओं के माध्यम से इस प्रश्न का उत्तर दें।

• यदि आप कोई संवेदनशील डाटा एकत्र कर रहे हैं, तो पहले डाटा का उपयोग किए जा रहे व्यक्ति से स्पष्ट और सूचित सहमति प्राप्त करना सुनिश्चित करें।
• संवेदनशील जानकारी एकत्र करने के उद्देश्य के पीछे एक वैध कारण होना चाहिए
• अप्रचलित डाटा को समय रहते हटाएं
• जितना आवश्यक हो उतना न्यूनतम डाटा एकत्र करें
• संवेदनशील डाटा को अन्य डाटा से अलग संग्रहित करें
• हैकिंग या फ़िशिंग जैसे साइबर हमलों के प्रति सतर्क रहें
• इस डाटा को सुरक्षित पासवर्ड से सेव करें
• उपयोगकर्ताओं की पहचान छिपाने के लिए छद्मनाम का उपयोग करें 

जी.डी.पी.आर. के महत्वपूर्ण अनुच्छेद 

जी.डी.पी.आर. में कुल 99 अनुच्छेद हैं। इन सभी अनुच्छेदो को पढ़ना और यह समझना कि वे क्या प्रदान करते हैं, एक श्रमसाध्य (लेबोरियस) कार्य है, इसलिए, यहां हम जी.डी.पी.आर. में सभी महत्वपूर्ण अनुच्छेदो का संक्षिप्त सारांश प्रदान कर रहे हैं।

चूंकि जी.डी.पी.आर. के अनुच्छेद 1 में कहा गया है कि ये नियम सभी प्राकृतिक व्यक्तियों के व्यक्तिगत डाटा के प्रसंस्करण के अधिकारों की सुरक्षा से संबंधित हैं। तथ्य यह है कि जी.डी.पी.आर. न केवल यूरोपीय संघ के नागरिकों बल्कि निवासियों की भी सुरक्षा करता है, इस पर और जोर देने की जरूरत है। एक नागरिक यूरोपीय संघ का कानूनी रूप से मान्यता प्राप्त निवासी है, भले ही वह वर्तमान में यूरोपीय संघ में नहीं रह रहा हो। इसलिए, जी.डी.पी.आर. यूरोपीय संघ के नागरिकों पर लागू होता है, भले ही उनका डाटा संघ के बाहर मौजूद हो। हालाँकि, निवासी वह व्यक्ति है जो यूरोपीय संघ में कहीं रहता है। जी.डी.पी.आर. का अनुपालन उस निवासी के लिए भी करना होगा, जो किसी अन्य देश से संबंधित हो सकता है लेकिन यूरोपीय संघ में रह रहा है। बहुत से व्यवसायों को अब संचालन के लिए किसी भौतिक स्थान की आवश्यकता नहीं है क्योंकि वे संचालन के लिए अपनी वेबसाइटों पर निर्भर हैं। इन वेबसाइटों की यूरोपीय संघ में वास्तविक वास्तविक उपस्थिति नहीं है, उन्हें भी जी.डी.पी.आर. का पालन करने की आवश्यकता है। भले ही वे विशेष रूप से यूरोपीय संघ के लोगों को न बेचते हों। 

जी.डी.पी.आर. का अनुच्छेद 2 जी.डी.पी.आर. के भौतिक दायरे का वर्णन करता है। इसमें कहा गया है कि जी.डी.पी.आर. व्यक्तिगत डाटा के प्रसंस्करण पर लागू नहीं होता है:

• किसी ऐसी गतिविधि के दौरान जो संघ कानून के दायरे से बाहर हो
• सदस्य देशों द्वारा जब वे ऐसी गतिविधियाँ चला रहे हों जो यूरोपीय संघ की संधि के दायरे में आती हों
• विशुद्ध रूप से व्यक्तिगत या घरेलू गतिविधि के दौरान एक प्राकृतिक व्यक्ति द्वारा
• आपराधिक अपराधों की रोकथाम, जांच, पता लगाने या अभियोजन या आपराधिक दंड के निष्पादन के उद्देश्य से सक्षम अधिकारियों द्वारा, जिसमें सार्वजनिक सुरक्षा के लिए खतरों की सुरक्षा और रोकथाम शामिल है।

विनियमन का अनुच्छेद 3 जी.डी.पी.आर. के क्षेत्रीय दायरे को शामिल करता है। यह संघ में नियंत्रक या प्रसंस्करणकर्ता की स्थापना की गतिविधियों के संदर्भ में व्यक्तिगत डाटा के प्रसंस्करण पर लागू होता है, भले ही प्रसंस्करण संघ में होता है या नहीं। यह उन डाटा का उपयोग कर रहे व्यक्तियों के व्यक्तिगत डाटा के प्रसंस्करण पर लागू होता है जो एक नियंत्रक या एक प्रसंस्करणकर्ता द्वारा संघ में हैं जो उस संघ में स्थापित नहीं है जहां प्रसंस्करण गतिविधियां संबंधित हैं:

• संघ में डाटा का उपयोग कर रहे व्यक्तियों के लिए डाटा का उपयोग किए जा रहे व्यक्ति का भुगतान आवश्यक है या नहीं, इसके बावजूद वस्तुओं और सेवाओं की पेशकश
• उनके आचरण की निगरानी संघ के भीतर ही होती है।

जी.डी.पी.आर. एक व्यापक रूप से मनाया जाने वाला दस्तावेज़ है क्योंकि यह अपनी तरह का पहला दस्तावेज़ है। यह पहला कानून है जिसने व्यक्तिगत डाटा, डाटा प्रसंस्करण, डाटा का उपयोग किए जा रहे व्यक्ति, डाटा नियंत्रक, डाटा प्रसंस्करणकर्ता इत्यादि जैसे शब्दों की परिभाषा दी है।

अनुच्छेद 5 व्यक्तिगत डाटा के प्रसंस्करण से संबंधित सिद्धांतों को शामिल करता है। इसमें कहा गया है कि डाटा का प्रसंस्करण वैध, निष्पक्ष और पारदर्शी होना चाहिए। डाटा को निर्दिष्ट, स्पष्ट और वैध उद्देश्यों के लिए एकत्र किया जाना चाहिए। व्यक्तिगत डाटा पर्याप्त, प्रासंगिक और उद्देश्य के संबंध में आवश्यक तक ही सीमित होगा। डाटा सटीक होना चाहिए और अद्यतन रखा जाना चाहिए। अनुच्छेद 6 उन स्थितियों को बताता है जहां व्यक्तिगत डाटा का प्रसंस्करण वैध माना जाएगा। ये इस प्रकार हैं:

• जब डाटा का उपयोग किए जा रहे व्यक्ति ने अपने व्यक्तिगत डाटा के प्रसंस्करण के लिए सहमति दी है
• जब किसी अनुबंध के निष्पादन के लिए प्रसंस्करण आवश्यक हो
• जब नियंत्रक के अधीन कानूनी दायित्व के अनुपालन के लिए प्रसंस्करण आवश्यक हो
• जब डाटा का उपयोग किए जा रहे व्यक्ति के महत्वपूर्ण हितों की रक्षा के लिए प्रसंस्करण आवश्यक है
• जब नियंत्रक द्वारा जनहित में किए गए किसी कार्य के निष्पादन के लिए प्रसंस्करण आवश्यक हो।

जी.डी.पी.आर. के अनुच्छेद 7 के अनुसार सहमति स्वतंत्र रूप से दी जानी चाहिए, यह स्पष्ट, सकारात्मक होनी चाहिए और आसानी से वापस ली जानी चाहिए। अनुच्छेद 9 प्रदान करता है कि व्यक्तिगत डाटा की विशेष श्रेणियां जैसे किसी की जाति, राजनीतिक विचार, धार्मिक विश्वास, यौन जीवन, आनुवंशिक, बायोमेट्रिक या स्वास्थ्य डाटा होना चाहिए बहुत विशिष्ट परिस्थितियों में प्रसंस्करण किया गया, अन्यथा नहीं। ये असाधारण स्थितियाँ तब होती हैं जब संबंधित व्यक्ति ने डाटा के प्रसंस्करण के लिए अपनी सहमति दी है, वह भी उस विशिष्ट उद्देश्य के लिए जब उसका जीवन खतरे में हो या जब इसमें कोई अन्य वैध हित शामिल हो। यदि डाटा आपराधिक दोषसिद्धि और अपराधों से संबंधित है तो अनुच्छेद 10, के अनुसार प्रसंस्करण की अनुमति केवल तभी दी जाती है जब यह किसी आधिकारिक प्राधिकारी के नियंत्रण में किया जाता है या यह यूरोपीय संघ के सदस्य राज्य के जी.डी.पी.आर. अनुपालन कानून के तहत अधिकृत है।

निस्संदेह जी.डी.पी.आर. का सबसे महत्वपूर्ण मूलमंत्र यह है कि यह डाटा का उपयोग किए जा रहे व्यक्ति को कुछ अधिकार प्रदान करता है। अनुच्छेद 12 में कहा गया है कि डाटा नियंत्रक को डाटा का उपयोग कर रहे व्यक्तियों को व्यक्तिगत डाटा के प्रसंस्करण के बारे में स्पष्ट, संक्षिप्त और पारदर्शी तरीके से सूचित करना चाहिए। डाटा का उपयोग कर रहे व्यक्तियों को डाटा का उपयोग कर रहे व्यक्तियों के अनुरोधों और प्रश्नों का उत्तर देना चाहिए। जहां भी डाटा का उपयोग किए जा रहे व्यक्ति से जानकारी एकत्र की जाती है, उसे इसके बारे में अवगत कराया जाना चाहिए। कंपनी को जानकारी प्रदान करनी होगी जैसे कि कंपनी का संपर्क विवरण, जानकारी कैसे और क्यों एकत्र की जा रही है और उनके डाटा से संबंधित डाटा का उपयोग कर रहे व्यक्तियों के क्या अधिकार हैं। इसका उल्लेख अनुच्छेद 13 में किया गया है। इसी तरह, यदि उपयोगकर्ता से कोई जानकारी नहीं ली गई है, तो उसे स्पष्ट रूप से उल्लेख करना होगा कि जानकारी स्वयं डाटा का उपयोग किए जा रहे व्यक्ति से नहीं ली गई है। डाटा का उपयोग किए जा रहे व्यक्ति को दिए गए अधिकारों में से एक डाटा तक पहुंच का अधिकार है। डाटा का उपयोग कर रहे व्यक्तियों को डाटा नियंत्रक से जानकारी का अनुरोध करने का अधिकार है कि कौन सा व्यक्तिगत डाटा एकत्र किया गया है, इसका उपयोग कैसे किया जाता है या प्रसंस्करण किया जाता है आदि। यह अनुच्छेद 15 के आधार पर प्रदान किया गया है। जी.डी.पी.आर. अनुच्छेद 16 के माध्यम से डाटा का उपयोग कर रहे व्यक्तियों को अपने डाटा को सुधारने का अधिकार प्रदान करता है। यदि एकत्र किया गया डाटा गलत है तो डाटा का उपयोग किए जा रहे व्यक्ति इसके सुधार के लिए कह सकता है। कानून द्वारा प्रदान किया गया एक और आवश्यक अधिकार मिटाने का अधिकार है। जी.डी.पी.आर. के अनुच्छेद 17 के तहत प्रतिष्ठापित, भूल जाने के अधिकार के रूप में प्रसिद्ध, यह डाटा का उपयोग कर रहे व्यक्तियों को अपने व्यक्तिगत डाटा को मिटाने की अनुमति देता है जब इसकी अब आवश्यकता नहीं है या जब सहमति वापस ले ली गई हो या डाटा को गैरकानूनी तरीके से प्रसंस्करण किया जा रहा हो। अनुच्छेद 18 डाटा का उपयोग कर रहे व्यक्तियों को व्यक्तिगत डाटा के प्रसंस्करण को प्रतिबंधित करने का अधिकार देता है।

इसमें एक अन्य अधिकार को डाटा पोर्टेबिलिटी का अधिकार कहा जाता है। जी.डी.पी.आर. का अनुच्छेद 20 सुनिश्चित करता है कि लोगों को अपने व्यक्तिगत डाटा की एक प्रति का अनुरोध करने का अधिकार है जो डाटा नियंत्रक को प्रदान किया गया है। प्रदान किया गया डाटा पठनीय प्रारूप में होना चाहिए। जी.डी.पी.आर. का अनुच्छेद 21 आपत्ति का अधिकार देता है। इसमें कहा गया है कि उपयोगकर्ताओं को अपने डाटा के प्रसंस्करण पर आपत्ति करने का अधिकार है। अनुच्छेद 22 स्वचालित व्यक्तिगत निर्णय लेने का प्रावधान करता है। उपयोगकर्ता स्वचालित निर्णयों पर आपत्ति कर सकते हैं। कुछ स्थितियों में, आपत्ति को नजरअंदाज करने के लिए चुना जा सकता है जैसे कि जब प्रसंस्करण अनुबंध के तहत आवश्यक हो, जब यह यूरोपीय सदस्य राज्य के जी.डी.पी.आर. शिकायत कानून में अधिकृत हो या जब प्रसंस्करण के लिए सहमति दी गई हो।

अनुच्छेद 24 कहता है कि जी.डी.पी.आर. का अनुपालन सुनिश्चित करने की जिम्मेदारी डाटा नियंत्रक की है। अनुच्छेद 25 डाटा नियंत्रक पर यह सुनिश्चित करने का कर्तव्य लगाता है कि वह डाटा का उपयोग कर रहे व्यक्तियों के डाटा की सुरक्षा के लिए पर्याप्त डाटा सुरक्षा उपायों और सुरक्षा उपायों का उपयोग करता है। अनुच्छेद 27 में कहा गया है कि ऐसे मामलों में जब डाटा नियंत्रक या डाटा प्रसंस्करणकर्ता यूरोपीय संघ के बाहर स्थित है, तो उन्हें किसी को अपने प्रतिनिधि के रूप में नामित करना होगा यूरोपीय संघ। जी.डी.पी.आर. के अनुच्छेद 30 के अनुसार प्रत्येक डाटा नियंत्रक या डाटा प्रसंस्करणकर्ता अपनी डाटा प्रसंस्करण गतिविधियों का रिकॉर्ड बनाए रखने के लिए जी.डी.पी.आर. के तहत बाध्य है। इस रिकॉर्ड में कंपनी का विवरण, प्रसंस्करण किया जा रहा व्यक्तिगत डाटा, प्रसंस्करण का उद्देश्य, डाटा की सुरक्षा के लिए नियोजित सुरक्षा उपाय शामिल होंगे। यदि कंपनी में 250 से कम कर्मचारी हैं तो उसे ऐसे डाटा प्रसंस्करण रिकॉर्ड बनाए रखने की आवश्यकता नहीं है।

अनुच्छेद 31 डाटा नियंत्रकों और डाटा प्रसंस्करणकर्ता को पर्यवेक्षी अधिकारियों के साथ सहयोग करने का आदेश देता है। अनुच्छेद 31 मांग करता है कि डाटा नियंत्रकों और प्रसंस्करणकर्ताों को कुछ सुरक्षा उपायों को लागू करना चाहिए जैसे कि उपयोगकर्ताओं के व्यक्तिगत डाटा को एन्क्रिप्ट करना, उपयोगकर्ता के डाटा की गोपनीयता सुनिश्चित करना और यह सुनिश्चित करने के लिए कि डाटा सुरक्षित है, उनकी सुरक्षा प्रणालियों का बार-बार परीक्षण करना। यदि किसी मामले में डाटा सुरक्षा का उल्लंघन होता है, तो अनुच्छेद 34 के अनुसार यह डाटा नियंत्रक पर है कि वह उस डाटा का उपयोग किए जा रहे व्यक्ति को सूचित करे जिसका डाटा लीक हुआ है। जी.डी.पी.आर. में सबसे महत्वपूर्ण लेखों में से एक है अनुच्छेद 35 जो डाटा सुरक्षा प्रभाव मूल्यांकन प्रदान करता है। यदि कोई व्यवसाय कोई ऐसा कार्य करता है जिसमें डाटा गोपनीयता के लिए उच्च जोखिम शामिल है तो उन्हें डाटा सुरक्षा प्रभाव मूल्यांकन करने की आवश्यकता है। यह प्रभाव मूल्यांकन अनिवार्य है यदि व्यवसाय स्वचालित निर्णय लेने में शामिल है, या विशेष श्रेणी या आपराधिक रिकॉर्ड डाटा प्रसंस्करण कर रहा है या सार्वजनिक क्षेत्र में निगरानी कर रहा है।

जी.डी.पी.आर. का अनुच्छेद 37 कंपनियों से एक डाटा सुरक्षा अधिकारी नियुक्त करने का आह्वान करता है। अनुच्छेद 39 के अनुसार, यह डाटा सुरक्षा अधिकारी डाटा सुरक्षा कानूनों के अनुपालन के संबंध में संगठन को सलाह देने के लिए जिम्मेदार है, उन्हें अनुपालन की निगरानी करनी होगी और सहयोग करना होगा पर्यवेक्षी प्राधिकारी भी. जी.डी.पी.आर. का अध्याय 5 व्यक्तिगत डाटा को अन्य देशों या अंतर्राष्ट्रीय संगठनों में स्थानांतरित करने से संबंधित है। जी.डी.पी.आर. के अनुच्छेद 45 के अनुसार, व्यक्तिगत डाटा का प्रत्येक हस्तांतरण यूरोपीय आयोग द्वारा अनुमोदित होने के बाद ही होना चाहिए। मंजूरी देने से पहले, यूरोपीय आयोग को विभिन्न कारकों की जांच करनी होगी जैसे कि मानवाधिकारों पर देश का रिकॉर्ड, पर्यवेक्षी प्राधिकरण का अस्तित्व और प्रभावशीलता, और क्या देश डाटा संरक्षण पर अंतरराष्ट्रीय समझौतों का एक पक्ष है या नहीं।

भले ही देश को अनुच्छेद 45 के अनुसार मंजूरी न दी गई हो, तब भी स्थानांतरण (ट्रांसफर) ऐसी स्थितियों में किया जा सकता है:

1. देशों के बीच कानूनी रूप से बाध्यकारी समझौता मौजूद है
2. यदि जी.डी.पी.आर. के अनुच्छेद 47 के अनुसार कॉर्पोरेट नियम हैं
3. जी.डी.पी.आर. के अनुच्छेद 40 के अनुसार एक अनुमोदित आचार संहिता है।

उपरोक्त प्रावधान के संबंध में, अनुच्छेद 47 कॉर्पोरेट नियमों को बाध्यकारी बनाने का प्रावधान करता है। इसमें कहा गया है कि यदि देश को यूरोपीय आयोग द्वारा अनुमोदित नहीं किया गया है तो संबंधित देशों के बीच बाध्यकारी कॉर्पोरेट कानून होने चाहिए। इन नियमों में यह शामिल होगा कि डाटा के स्थानांतरण से कौन प्रभावित होगा, कौन सा डाटा स्थानांतरण किया जाएगा और संचार कैसे किया जाएगा। यहां तक ​​कि ऐसे मामले जो किसी तीसरे देश में स्थानांतरण के उपरोक्त दो मामलों के अंतर्गत नहीं आते हैं, स्थानांतरण तीसरे मामले में किया जा सकता है जो अनुच्छेद 49 के अंतर्गत आता है। इसमें उल्लेख है कि स्थानांतरण कुछ स्थितियों में हो सकता है जैसे:

1. जिस व्यक्ति का डाटा स्थानांतरित किया जा रहा है उसने स्थानांतरण के लिए विशेष रूप से सहमति दी है
2. कानूनी दावे के दौरान स्थानांतरण आवश्यक है
3. डाटा का उपयोग किए जा रहे व्यक्ति और नियंत्रक के बीच एक अनुबंध के दौरान स्थानांतरण आवश्यक है
4. संबंधित व्यक्ति को बचाने के लिए स्थानांतरण आवश्यक है। 

जी.डी.पी.आर. का अनुच्छेद 51 पर्यवेक्षी (सुपरवाइजरी) प्राधिकरण के गठन का प्रावधान करता है। इसमें प्रावधान है कि एक सार्वजनिक निकाय होगा जो जी.डी.पी.आर. के अनुप्रयोग की निगरानी करेगा। अनुच्छेद 52 के अनुसार यह पर्यवेक्षी प्राधिकरण एक स्वतंत्र निकाय होगा। इस प्राधिकरण के सदस्यों की नियुक्ति राज्य संस्थानों द्वारा की जाएगी। साथ ही, जी.डी.पी.आर. के अनुच्छेद 54 के अनुसार, इस प्राधिकरण का सदस्य बनने के लिए आवश्यक योग्यताएं प्रदान करने के लिए कानून होने चाहिए, इन कानूनों को प्रदान करना चाहिए नियुक्ति के लिए और प्राधिकरण के सदस्यों की नियुक्ति में अपनाई जाने वाली प्रक्रिया, सदस्यों के रूप में उनके कार्यकाल की संख्या, उनका निष्कासन आदि। अनुच्छेद 57 के अनुसार पर्यवेक्षी प्राधिकरण को जी.डी.पी.आर. अनुपालन की निगरानी और कार्यान्वयन (इंप्लीमेंटेशन) करना चाहिए, इसे अच्छी डाटा सुरक्षा प्रथाओं को बढ़ावा देना चाहिए और लोगों द्वारा दर्ज की गई शिकायतों को संभालना चाहिए।

अनुच्छेद 58 में बताया गया है कि प्राधिकरण की शक्तियां क्या हैं। इस पर्यवेक्षी प्राधिकरण के पास जाँच शक्तियाँ, सुधारात्मक शक्तियाँ और सलाहकार शक्तियाँ हैं। यदि कोई आपात स्थिति लोगों के व्यक्तिगत डाटा के लिए महत्वपूर्ण जोखिम पैदा करती है तो इस पर्यवेक्षी प्राधिकरण के पास अस्थायी कानून पारित करने की भी शक्ति है। इसी प्रकार,अनुच्छेद 68 एक यूरोपीय डाटा संरक्षण बोर्ड की स्थापना का प्रावधान करता है, जो स्वतंत्र भी है और जी.डी.पी.आर. में संशोधन पर यूरोपीय आयोग को सलाह देगा। 

अनुच्छेद 77 व्यक्ति को पर्यवेक्षी प्राधिकारी के पास शिकायत दर्ज करने का अधिकार देता है। अनुच्छेद 82 प्रावधान करता है कि प्रत्येक व्यक्ति जिसके गोपनीयता के अधिकार का उल्लंघन हुआ है, वह वित्तीय मुआवजे का दावा कर सकता है। अनुच्छेद 85 प्रावधान करता है कि यूरोपीय संघ के सदस्यों को डाटा सुरक्षा और अभिव्यक्ति की स्वतंत्रता के बीच संतुलन बनाना होगा। अनुच्छेद 94 में उल्लेख है कि जी.डी.पी.आर. पुराने यूरोपीय संघ निर्देश 95/46/ईसी का स्थान लेता है। अंतिम अनुच्छेद, अनुच्छेद 99 में कहा गया है कि जी.डी.पी.आर. 25 मई 2018 से लागू होगा।

जी.डी.पी.आर. के तहत अधिकार

जी.डी.पी.आर. के अध्याय 3 में आठ अधिकार उल्लिखित हैं:

1. सूचित होने का अधिकार
2. पहुंच का अधिकार
3. सुधार का अधिकार
4. भूल जाने का अधिकार
5. डाटा पोर्टेबिलिटी का अधिकार
6. प्रसंस्करण को प्रतिबंधित करने का अधिकार
7. आपत्ति करने का अधिकार
8. स्वचालित (ऑटोमेटेड) प्रसंस्करण पर आपत्ति करने का अधिकार 

सूचित होने का अधिकार

यह अधिकार जी.डी.पी.आर. के अनुच्छेद 13 और 14 के तहत निहित है। अनुच्छेद 13 में कहा गया है कि जब डाटा का उपयोग कर रहे व्यक्तियों से व्यक्तिगत डाटा एकत्र किया जाता है तो उन्हें निम्नलिखित के बारे में सूचित किया जाना चाहिए:

• नियंत्रक की पहचान और संपर्क विवरण
• डाटा सुरक्षा अधिकारी का संपर्क विवरण
• डाटा प्रसंस्करण के कानूनी आधार की व्याख्या करना
• वह देश जहां डाटा प्रसंस्करण किया जाता है
• प्रसंस्करणकर्ताों और तीसरे पक्षों का वैध हित

• व्यक्तिगत डाटा के प्राप्तकर्ता
• अन्य देशों में डाटा स्थानांतरित करने की संभावना जो यूरोपीय संघ में शामिल नहीं हैं
• डाटा प्रतिधारण नीति
• प्रसंस्करण और पोर्टेबिलिटी को सुधारने, मिटाने, प्रतिबंधित करने के अधिकार की व्याख्या की जानी चाहिए
• सहमति वापस लेने के अधिकार की व्याख्या
• संबंधित प्राधिकारी से शिकायत करने का अधिकार
• अनुबंध द्वारा आवश्यक होने पर व्यक्तिगत डाटा साझा करने से इनकार करने के परिणाम
• स्वचालित निर्णय लेना

पहुंच का अधिकार

इसके अलावा, अनुच्छेद 15 पहुंच के अधिकार की रूपरेखा बताता है। डाटा का उपयोग कर रहे व्यक्तियों को अपने व्यक्तिगत डाटा तक पहुंचने का अधिकार है, इसे कहां और कैसे प्रसंस्करण किया जाता है, व्यक्तिगत डाटा की श्रेणियां, डाटा तक किसकी पहुंच है आदि। डाटा का उपयोग कर रहे व्यक्तियों को पूरी तरह से निःशुल्क एकत्र किए गए व्यक्तिगत डाटा की एक प्रति का अनुरोध करने का अधिकार है।

सुधार का अधिकार 

अनुच्छेद 16 कहता है कि डाटा का उपयोग कर रहे व्यक्तियों को सुधार का अधिकार है। इस अधिकार के तहत, डाटा का उपयोग किए जा रहे व्यक्ति के पास डाटा गलत या अधूरा होने पर उसे सुधारने का अधिकार है। यह अधिकार आम तौर पर डाटा सटीकता के सिद्धांत के साथ पढ़ा जाता है। डाटा के सटीक होने के लिए, व्यक्तिगत डाटा में कोई भी परिवर्तन होने पर इसे संशोधित या सुधारा जाना चाहिए। 

भूल जाने का अधिकार

फिर, भूल जाने का अधिकार आता है जो अनुच्छेद 17 के अंतर्गत मिटाने के अधिकार के रूप में शामिल है। यह डाटा का उपयोग कर रहे व्यक्तियों को इन परिस्थितियों में अपने व्यक्तिगत डाटा को मिटाने का अनुरोध करने का अधिकार प्रदान करता है:

• जब व्यक्तिगत डाटा उस उद्देश्य के लिए आवश्यक नहीं है जिसके लिए इसे एकत्र किया गया था
• डाटा का विषय अनुच्छेद 21(1) के अनुसार डाटा के प्रसंस्करण पर आपत्ति करता है और इसे अतिव्यापी (ओवरराइड) करने का कोई वैध आधार नहीं है।
• डाटा का उपयोग किए जा रहे व्यक्ति सहमति वापस ले लेता है
• व्यक्तिगत डाटा को गैरकानूनी तरीके से प्रसंस्करण किया जाता है
• कानूनी बाध्यता के अनुसार व्यक्तिगत डाटा को मिटाना आवश्यक है

प्रसंस्करण को प्रतिबंधित करने का अधिकार 

अनुच्छेद 18 अपने डाटा के प्रसंस्करण पर प्रतिबंध के अनुरोध के अधीन डाटा के अधिकार को शामिल करता है। प्रसंस्करण पर प्रतिबंध का मतलब है कि कंपनियों या डाटा नियंत्रकों को व्यक्तिगत डाटा के किसी भी प्रसंस्करण को तुरंत बंद कर देना चाहिए यदि प्रतिबंधित करने का अनुरोध इन श्रेणियों के अंतर्गत आता है:

• डाटा का उपयोग किए जा रहे व्यक्ति डाटा की सटीकता का विरोध कर रहा है
• डाटा का उपयोग किए जा रहे व्यक्ति डाटा के गैरकानूनी प्रसंस्करण पर आपत्ति जताता है
• डाटा नियंत्रक को प्रसंस्करण के लिए डाटा की आवश्यकता नहीं होती है, बल्कि इसे कानूनी दावे की स्थापना, अभ्यास या बचाव के लिए रखा जाता है

अनुच्छेद 18 में यह भी प्रावधान है कि यदि प्रतिबंध हटाया जाना है तो डाटा का उपयोग किए जा रहे व्यक्ति को इसके बारे में विधिवत सूचित किया जाना चाहिए।

डाटा पोर्टेबिलिटी का अधिकार

डाटा पोर्टेबिलिटी का अधिकार अनुच्छेद 20 के अंतर्गत आता है, इसमें कहा गया है कि डाटा का उपयोग किए जा रहे व्यक्ति को अपने से संबंधित व्यक्तिगत डाटा प्राप्त करने का अधिकार है डाटा नियंत्रक को आमतौर पर उपयोग किए जाने वाले, मशीन पठनीय प्रारूप में और इसे किसी अन्य नियंत्रक को भेजें या अपने स्वयं के उद्देश्य के लिए उपयोग करें।

यह अधिकार केवल दो स्थितियों में लागू किया जा सकता है:

• डाटा का प्रसंस्करण सहमति या अनुबंध पर आधारित है
• डाटा का प्रसंस्करण स्वचालित माध्यमों से किया जाता है

आपत्ति करने का अधिकार 

आपत्ति का अधिकार एक अत्यंत आवश्यक अधिकार है जो अनुच्छेद 21 के अंतर्गत निहित है। यह प्रदान करता है कि जब डाटा प्रसंस्करण के अधीन वस्तु यदि व्यक्तिगत डाटा वैध आधारों पर आधारित है, तो नियंत्रक का दायित्व है कि वह इसका तब तक प्रसंस्करण न करे जब तक कि नियंत्रक यह दिखाने में सक्षम न हो जाए कि प्रसंस्करण के लिए कोई बाध्यकारी वैध आधार है। वैध आधार इस प्रकार का होना चाहिए कि यह डाटा का उपयोग किए जा रहे व्यक्ति की स्वतंत्रता, अधिकारों और हितों पर हावी हो जाए। जी.डी.पी.आर. यह स्पष्ट करता है कि आपत्ति का अधिकार बहुत महत्वपूर्ण है और ग्राहकों के साथ संवाद करने वाली प्रत्येक कंपनी को उन्हें आपत्ति के अधिकार के बारे में जागरूक करना चाहिए। 

स्वचालित निर्णय लेना

अंतिम अधिकार अनुच्छेद 22 के अंतर्गत आता है जो स्वचालित निर्णय लेने की प्रक्रिया है। इसमें कहा गया है कि डाटा का उपयोग कर रहे व्यक्तियों को केवल स्वचालित प्रसंस्करण के कारण निर्णय के अधीन नहीं होने का अधिकार होगा जिसमें प्रोफाइलिंग भी शामिल है। इस अधिकार के कुछ अपवाद हैं:

• जब किसी अनुबंध के लिए स्वचालित निर्णय लेना आवश्यक हो
• यूरोपीय संघ या सदस्य राज्य से प्राधिकरण
• डाटा का उपयोग किए जा रहे व्यक्ति की सहमति

डाटा का उपयोग किए जा रहे व्यक्ति पहुंच अनुरोध (डी.एस.ए.आर.)

जी.डी.पी.आर. के तहत डाटा का उपयोग कर रहे व्यक्तियों को संगठनों और कंपनियों द्वारा एकत्र किए गए उनसे संबंधित व्यक्तिगत डाटा तक पहुंचने का अधिकार है। डाटा का उपयोग कर रहे व्यक्तियों के लिए अपने डाटा के बारे में जागरूक होना और कंपनी द्वारा किए गए प्रसंस्करण की वैधता को सत्यापित करना इस अधिकार का एक हिस्सा है। यह इस बात का उत्कृष्ट उदाहरण है कि कैसे जी.डी.पी.आर. डाटा का उपयोग कर रहे व्यक्तियों को गोपनीयता के उनके मौलिक अधिकार की रक्षा करने की अनुमति देता है।

डी.एस.ए.आर. कौन जमा कर सकता है?

कोई भी व्यक्ति, जिसका व्यक्तिगत डाटा संगठन या कंपनी द्वारा एकत्र, इसका प्रसंस्करण और इसे संग्रहीत किया जा रहा है, अपने व्यक्तिगत डाटा तक पहुंच प्राप्त करने का अनुरोध कर सकता है। इसे उस व्यक्ति के किसी अधिकृत एजेंट, माता-पिता या अभिभावक द्वारा भी बनाया जा सकता है।

डी.एस.ए.आर. के लिए समय अवधि

जी.डी.पी.आर. के तहत, कंपनियों को 30 दिनों की अवधि के भीतर ऐसे अनुरोधों का जवाब देना आवश्यक है। अनुरोध जटिल होने पर कुछ निश्चित परिस्थितियों में इस समयावधि को बढ़ाया जा सकता है।

डी.एस.ए.आर. का प्रारूप

यह ध्यान रखना महत्वपूर्ण है कि डी.एस.ए.आर. का जवाब देने के लिए जी.डी.पी.आर. के तहत कोई सीधा सा प्रारूप नहीं दिया गया है। प्रारूप मूल रूप से इस बात पर निर्भर करता है कि किस प्रकार की जानकारी के लिए पहुंच का अनुरोध किया गया है। अनुरोध डाटा को संपादित करने, डाटा को हटाने, व्यक्तिगत डाटा के प्रसंस्करण के लिए पुष्टि, डाटा को बनाए रखने, व्यक्तिगत डाटा साझा करने से बाहर निकलने आदि के लिए हो सकता है।

डी.एस.ए.आर. का जवाब देना अनिवार्य है

डी.एस.ए.आर. को जवाब देना निश्चित रूप से आवश्यक है, हालांकि, कुछ अपवाद हैं: यदि जानकारी के लिए अनुरोध जी.डी.पी.आर. के तहत निर्धारित सीमा से अधिक है या डाटा का उपयोग किए जा रहे व्यक्ति की पहचान सत्यापित नहीं की जा सकती है। यह ध्यान रखना महत्वपूर्ण है कि यह दावा करने से पहले कि डी.एस.ए.आर. एक दिखावा है, व्यक्ति की पहचान की पुष्टि करना बहुत महत्वपूर्ण है।

डी.एस.ए.आर. का पालन न करने के दुष्परिणाम

सुरक्षा चिंताओं को बढ़ाने और प्रतिष्ठा को नुकसान पहुंचाने के अलावा, जब डी.एस.ए.आर. प्रावधानों का पालन नहीं किया जाता है तो जी.डी.पी.आर. जुर्माना लगाता है।

जी.डी.पी.आर. के अनुपालन में डाटा गोपनीयता नीति के लिए आवश्यकताएँ

गोपनीयता नीति प्रत्येक कंपनी या संगठन के लिए अनिवार्य है क्योंकि यह डाटा का उपयोग कर रहे व्यक्तियों की गोपनीयता के मौलिक अधिकार की रक्षा करती है। जी.डी.पी.आर. ने एक अच्छी गोपनीयता नीति के महत्व पर विचार किया है और गोपनीयता नीति के वैध होने के लिए कुछ आवश्यकताएँ बनाई हैं। अनुच्छेद 12 में कहा गया है कि डाटा प्रसंस्करण के संचार के लिए कुछ आवश्यकताएँ हैं, ये हैं:

• भाषा स्पष्ट एवं सटीक होनी चाहिए
• पारदर्शी संचार
• समझदार संचार
• यह आसानी से सुलभ होना चाहिए
• गोपनीयता नीति निःशुल्क होनी चाहिए

इसके अलावा, अन्य अनुच्छेद मिलकर गोपनीयता नीतियों के लिए कुछ आवश्यक चीजें बनाते हैं। गोपनीयता नीतियों को जी.डी.पी.आर. के अनुरूप कैसे बनाया जा सकता है, इसकी एक चेकलिस्ट यहां दी गई है:

कंपनी की पहचान और संपर्क विवरण

अनुच्छेद 13(1)(a) के अनुसार, गोपनीयता नीति में नियंत्रक की पहचान और संपर्क विवरण जैसे विवरण शामिल होने चाहिए डाटा का उपयोग कर रहे व्यक्तियों के व्यक्तिगत डाटा का प्रसंस्करण कर रहा है। इन विवरणों में कंपनी का नाम, पता और संपर्क जानकारी शामिल है। कुछ मामलों में जहां डाटा सुरक्षा अधिकारी है, डीपीओ से संपर्क करने के तरीके के बारे में उनका विवरण भी शामिल किया जाना चाहिए।

उद्देश्य और कानूनी आधार जिसके लिए व्यक्तिगत डाटा का प्रसंस्करण किया जाता है

अनुच्छेद 13(1)(c) के लिए आवश्यक है कि जिन उद्देश्यों के लिए डाटा का उपयोग कर रहे व्यक्तियों का व्यक्तिगत डाटा एकत्र किया जाता है और प्रसंस्करण के लिए कानूनी आधार शामिल किया जाना चाहिए। व्यक्तिगत डाटा के प्रसंस्करण के कानूनी आधार पर पहले उन सिद्धांतों के तहत चर्चा की गई है जो अनुच्छेद 5 और 6 में शामिल हैं। सबसे आम कानूनी आधार सहमति है, इसलिए, उदाहरण के लिए, कंपनी को यह बताना होगा कि हम व्यक्तिगत डाटा को इसके आधार पर प्रसंस्करण करते हैं अनुच्छेद 6 के तहत प्रदान की गई सहमति के अनुसार, ग्राहकों को अपनी सहमति देने या अस्वीकार करने का पूरा अधिकार है। सहमति पर आधारित इन निर्णयों को बाद में बदला या वापस लिया जा सकता है। व्यक्तिगत डाटा के प्रसंस्करण के पीछे के उद्देश्यों को संप्रेषित करने की आवश्यकता इसे स्पष्ट, समझने में आसान और व्यापक बनाना है।

प्रसंस्करण व्यक्तिगत डाटा का प्रकार

सिर्फ यह लिखना कि व्यक्तिगत डाटा गोपनीयता नीति में एकत्र किया जाता है, जी.डी.पी.आर. के तहत अब पर्याप्त नहीं है। किस प्रकार का व्यक्तिगत डाटा प्रसंस्करण किया जा रहा है इसका विवरण गोपनीयता नीतियों में शामिल किया जाना चाहिए। अधिकतर, इसे अधिक सुलभ और समझने में आसान बनाने के लिए कंपनियां अब व्यक्तिगत डाटा के प्रकार और जिस उद्देश्य के लिए इसे एकत्र किया जा रहा है, उसके सारणीबद्ध प्रतिनिधित्व का उपयोग कर रही हैं।

व्यक्तिगत डाटा कौन प्राप्त करता है

अनुच्छेद 13(1)(e) में कहा गया है कि व्यक्तिगत डाटा के प्राप्तकर्ता कौन हैं यह महत्वपूर्ण जानकारी है जिसे डाटा का उपयोग कर रहे व्यक्तियों को सूचित किया जाना चाहिए।

तीसरे देशों में डाटा का स्थानांतरण

अनुच्छेद 13(1)(f) में कहा गया है कि व्यक्तिगत डाटा को किसी तीसरे देश या किसी अंतरराष्ट्रीय संगठन में स्थानांतरित करने के नियंत्रक के इरादे की जानकारी गोपनीयता नीति में डाली जानी चाहिए।

डाटा का प्रतिधारण (रिटेंशन)

अनुच्छेद 12 में प्रावधान है कि अधिकतम समय अवधि जिसके लिए व्यक्तिगत डाटा संग्रहीत किया जाएगा, स्पष्ट रूप से बताया जाएगा। यदि ऐसी कोई अवधि निर्धारित नहीं की जा सकती है, तो यह तय करने के लिए किस मानदंड का उपयोग किया जाता है कि उस समय अवधि को शामिल किया जाना चाहिए? उल्लिखित समयावधि उचित होनी चाहिए।

डाटा का उपयोग कर रहे व्यक्तियों के अधिकार

अनुच्छेद 13(2)(b) में कहा गया है कि डाटा का उपयोग कर रहे व्यक्तियों के अधिकारों को भी शामिल किया जाना चाहिए। अधिकारों पर पहले भी चर्चा हो चुकी है।

याद रखें कि जी.डी.पी.आर. में छिपाने के लिए कानूनी जटिल शब्दों का उपयोग करने का कोई तरीका नहीं है। गोपनीयता नीति यथासंभव सरल और आसानी से सुलभ होनी आवश्यक है। यूरोपीय देशों के एक अध्ययन से पता चला है कि लगभग 33% लोग ऑनलाइन सेवाओं का उपयोग करते समय नियम और शर्तों को नहीं पढ़ते हैं। कंपनियां अभी भी अपनी नीतियों को बिल्कुल स्पष्ट और ढूंढने में आसान बनाने के लिए बाध्य हैं।

जी.डी.पी.आर. अनुपालन सुनिश्चित करने के लिए कौन जिम्मेदार है?

जी.डी.पी.आर. अनुपालन के लिए कुछ निकाय हैं जो डाटा सुरक्षा और गोपनीयता के लिए जिम्मेदार हैं। अंतिम जिम्मेदारी डाटा नियंत्रक की है।

डाटा नियंत्रक

जी.डी.पी.आर. के तहत एक डाटा नियंत्रक को एक व्यक्ति, प्राकृतिक या कानूनी, सार्वजनिक प्राधिकरण, एजेंसी या अन्य निकाय के रूप में परिभाषित किया गया है, जो अकेले या दूसरों के साथ संयुक्त रूप से, व्यक्तिगत डाटा को प्रसंस्करण करने के उद्देश्य और साधन को निर्धारित करता है। डाटा नियंत्रक को प्राथमिक दायित्वों का पालन करना होगा, जैसे:

• जी.डी.पी.आर. का अनुपालन
• डाटा का उपयोग कर रहे व्यक्तियों से वैध सहमति प्राप्त करना
• डाटा की सटीकता बनाए रखना
• डाटा का सुरक्षित रिकॉर्ड रखना 
• अनुरोध किए जाने पर डाटा को सुधारना या हटाना
• व्यक्तिगत डाटा की सुरक्षा के लिए उचित देखभाल करना
• यह सुनिश्चित करना कि तृतीय पक्ष डाटा प्रसंस्करणकर्ता जी.डी.पी.आर. का अनुपालन करते हैं

जी.डी.पी.आर.ई.यू. डाटा नियंत्रकों के लिए एक चेकलिस्ट प्रदान करता है, अधिक जानने के लिए यहां पर क्लिक करें।

डाटा का प्रसंस्करणकर्ता

जी.डी.पी.आर. के तहत डाटा प्रसंस्करणकर्ता को एक प्राकृतिक व्यक्ति, सार्वजनिक प्राधिकरण, एजेंसी या अन्य निकाय के रूप में परिभाषित किया गया है जो नियंत्रक की ओर से व्यक्तिगत डाटा को प्रसंस्करण करता है। डाटा प्रसंस्करणकर्ता की प्रमुख जिम्मेदारियों में शामिल हैं:

• डाटा नियंत्रक के निर्देशानुसार व्यक्तिगत डाटा प्रसंस्करण करना
• किसी भी डाटा उल्लंघन के मामले में डाटा नियंत्रक को सूचित करना
• प्रसंस्करण गतिविधियों का उचित रिकॉर्ड बनाना
• डाटा की सुरक्षा के लिए तकनीकी और संगठनात्मक उपाय लागू करना

डाटा संरक्षण प्राधिकरण (डी.पी.ए.)

पर्यवेक्षी (सुपरवाइजरी) प्राधिकरण या डाटा संरक्षण प्राधिकरण एक स्वतंत्र सार्वजनिक प्राधिकरण है जो यूरोपीय संघ में जी.डी.पी.आर. अनुपालन और प्रवर्तन सुनिश्चित करता है। इन्हें 2004 के डाटा संरक्षण अधिनियम द्वारा स्थापित किया गया था। ईयू के प्रत्येक सदस्य राज्य का अपना डीपीए है और इसकी भूमिका है: 

• डाटा सुरक्षा और गोपनीयता पर यूरोपीय संघ के सदस्य राज्यों को विशेषज्ञ मार्गदर्शन प्रदान करें
• डाटा उल्लंघन को संभालें
• डाटा संरक्षण कानूनों का प्रवर्तन (एनफोर्समेंट)
• आवश्यकता पड़ने पर जी.डी.पी.आर. कानून की व्याख्या करना 
• अनुपालन न करने के मामलों में जुर्माने का प्रबंधन करना 

डाटा सुरक्षा अधिकारी (डीपीओ)

उन कंपनियों के लिए एक डाटा सुरक्षा अधिकारी नियुक्त किया जाता है जहां मुख्य प्रसंस्करण गतिविधियों में व्यक्तिगत डाटा एकत्र करना और प्रसंस्करण करना शामिल होता है। यह कंपनी का आकार नहीं बल्कि उनके द्वारा किए गए कार्य का प्रकार है जो डीपीओ की नियुक्ति के लिए निर्णायक कारक है। यूरोपीय संघ में अदालतों को छोड़कर प्रत्येक सरकारी निकाय में एक डीपीओ होता है। डीपीओ कंपनी का कोई भी कर्मचारी या डीपीओ के रूप में नियुक्त कोई बाहरी व्यक्ति हो सकता है। डीपीओ की भूमिका को संक्षेप में इस प्रकार प्रस्तुत किया जा सकता है:

• डाटा सुरक्षा मुद्दों पर नियंत्रक या प्रसंस्करणकर्ता को सूचित करना और सलाह देना
• कंपनी में जी.डी.पी.आर. का अनुपालन सुनिश्चित करना
• डीपीए और व्यक्तियों के साथ संचार का माध्यम बनना
• प्रबंधन में सर्वोच्च अधिकारी को सीधे रिपोर्ट करना।

डाटा नियंत्रक और डाटा प्रसंस्करणकर्ता के बीच अंतर

जी.डी.पी.आर. ने इस तथ्य को उजागर करने के लिए डाटा प्रसंस्करणकर्ता और नियंत्रकों के लिए अलग-अलग भूमिकाएँ बनाई हैं कि प्रत्येक कंपनी या संगठन समान स्तर की बाध्यता साझा नहीं करता है। इन दोनों निकायों की जिम्मेदारियों में कुछ अंतर है लेकिन यह याद रखना महत्वपूर्ण है कि अंततः वे एक-दूसरे के पूरक हैं और डाटा का उपयोग कर रहे व्यक्तियों के व्यक्तिगत डाटा और गोपनीयता की रक्षा के लिए मिलकर काम करते हैं।

• यह सुनिश्चित करने की प्राथमिक जिम्मेदारी डाटा नियंत्रक पर आती है कि संगठन जी.डी.पी.आर. के अनुरूप है। साथ ही, वह यह सुनिश्चित करने के लिए भी ज़िम्मेदार है कि डाटा प्रसंस्करणकर्ता जी.डी.पी.आर. का पालन करता है।
• डाटा नियंत्रक पर निश्चित रूप से अधिक दायित्व हैं, लेकिन डाटा प्रसंस्करणकर्ता को डाटा नियंत्रक का समर्थन करने के लिए संगठनात्मक उपाय करने होंगे।
• आम तौर पर इन दो नियामक निकायों के बीच संबंध को परिभाषित करने वाला एक अनुबंध होता है।
• डाटा नियंत्रक डाटा का उपयोग कर रहे व्यक्तियों से व्यक्तिगत डाटा एकत्र करता है और जी.डी.पी.आर. अनुरूप गोपनीयता नीति बनाता है। यदि डाटा प्रसंस्करणकर्ता नियंत्रक के इन कार्यों को कर रहा है तो वह तदनुसार जिम्मेदार होगा।
• डाटा नियंत्रक डाटा प्रसंस्करणकर्ता को निर्देश देने के लिए जिम्मेदार है।
• डाटा नियंत्रक डाटा सुरक्षा प्रभाव मूल्यांकन डी.पी.आई.ए का संचालन करता है और डाटा प्रसंस्करणकर्ता को उसकी सहायता करनी होती है।
• डाटा नियंत्रक और डाटा प्रसंस्करणकर्ता दोनों को जी.डी.पी.आर. नियमों का पालन करना होगा।
• डाटा नियंत्रक के कर्तव्य में निम्नलिखित की रिपोर्ट रखना शामिल है:

1. नियंत्रक सूचना
2. डाटा का प्रकार और प्रकृति
3. डाटा कब और किसे स्थानांतरण किया जाता है 
4. डाटा सुरक्षा उपाय

डाटा प्रसंस्करणकर्ता नियंत्रकों द्वारा की गई प्रसंस्करण का रिकॉर्ड भी रखता है।

• किसी भी डाटा उल्लंघन के मामले में, डाटा नियंत्रक को 72 घंटों में वरिष्ठ अधिकारियों को सूचित करना होगा और ऐसे मामले में डाटा प्रसंस्करणकर्ता को डाटा नियंत्रक को सूचित करना होगा।

डाटा सुरक्षा प्रभाव आकलन क्या है?

डाटा सुरक्षा प्रभाव आकलन (डी.पी.आई.ए) व्यक्तिगत डाटा प्रसंस्करण को रिकॉर्ड करने और व्यक्तिगत डाटा प्रसंस्करण के जोखिमों का पता लगाने और प्राकृतिक व्यक्तियों पर इसके प्रभाव की संभावना पर विचार करके ऐसे जोखिमों को कम करने के लिए शुरू की गई एक औपचारिक प्रक्रिया है। डी.पी.आई.ए जी.डी.पी.आर. का एक महत्वपूर्ण पहलू है और इसके प्रावधान व्यक्तिगत जानकारी के प्रसंस्करण के लिए संगठन पर जवाबदेही बनाते हैं। इसमें कहा गया है कि जहां प्रसंस्करण तकनीक, विशेष रूप से नई प्रौद्योगिकियों का उपयोग करते हुए, प्रसंस्करण की प्रकृति, दायरे, संदर्भ और उद्देश्य पर विचार करते हुए, यदि इसके परिणामस्वरूप प्राकृतिक व्यक्तियों के अधिकारों और स्वतंत्रता के लिए उच्च जोखिम होने की संभावना है, तो नियंत्रक, इसके प्रभाव का आकलन करें। यदि नियंत्रक डी.पी.आई.ए का पालन नहीं करता है, तो उस पर उस संगठन के वार्षिक वैश्विक कारोबार का 2% या €10 मिलियन जो भी अधिक हो, का जुर्माना लग सकता है। यह समझना महत्वपूर्ण है कि डी.पी.आई.ए कुछ वर्षों में एक बार होने वाली गतिविधि नहीं है। यह सुनिश्चित करने के लिए कि डाटा का उपयोग कर रहे व्यक्तियों के व्यक्तिगत डाटा के लिए कोई स्पष्ट जोखिम नहीं है, इसे बार-बार संचालित करना संगठन के लाभ के लिए है।

डी.पी.आई.ए आयोजित करने के लाभ

डी.पी.आई.ए का संचालन किसी संगठन के लिए निम्नलिखित तरीकों से बहुत फायदेमंद है:

• जी.डी.पी.आर. अनुपालन सुनिश्चित करना
• डाटा सुरक्षा अधिकारों के उल्लंघन के जोखिमों को कम करना
• अनावश्यक डाटा के प्रबंधन की लागत को कम करना
• अप्रचलित डाटा को हटाना
• प्रारंभिक चरण में डाटा सुरक्षा और गोपनीयता शुरू करके डाटा सुरक्षा सुनिश्चित करना

डी.पी.आई.ए कब आयोजित किया जाता है

डी.पी.आई.ए को उन मामलों में अनिवार्य माना जाता है जहां डाटा प्रसंस्करण के परिणामस्वरूप डाटा का उपयोग कर रहे व्यक्तियों के डाटा सुरक्षा अधिकारों के लिए “उच्च जोखिम होने की संभावना है”। डी.पी.आई.ए से संबंधित पाठ 90 भी है। हालाँकि, जी.डी.पी.आर. इस उच्च जोखिम को परिभाषित नहीं करता है। उदाहरण के लिए, जी.डी.पी.आर. के तहत, अनुच्छेद 35(3) ऐसे तीन प्रदान करता है मामले:

• महत्वपूर्ण प्रभावों के साथ व्यवस्थित और व्यापक प्रोफ़ाइलिंग
• संवेदनशील डाटा का बड़े पैमाने पर उपयोग
• सार्वजनिक निगरानी

जहां व्यक्तिगत डाटा विशेष श्रेणी के अंतर्गत आता है जैसा कि अनुच्छेद 9 के तहत प्रदान किया गया है, या अनुच्छेद 10 के तहत प्रदान किए गए आपराधिक दोषसिद्धि से संबंधित डाटा को प्रसंस्करण किया जा रहा है, डाटा संरक्षण प्रभाव मूल्यांकन करवाना महत्वपूर्ण है। इसी तरह, यदि डाटा का उपयोग कर रहे व्यक्तियों के व्यक्तिगत डाटा का मूल्यांकन स्वचालित प्रसंस्करण जैसे प्रोफाइलिंग, कानूनी चिंताएं पैदा करने के आधार पर किया जा रहा है, तो डीपीआईए की आवश्यकता है।

डी.पी.आई.ए की आवश्यकता कब नहीं होती

डी.पी.आई.ए की आम तौर पर कुछ मामलों में आवश्यकता नहीं होती है, जैसे:

• जब व्यक्तिगत डाटा के प्रसंस्करण के परिणामस्वरूप डाटा का उपयोग किए जा रहे व्यक्ति के अधिकारों और स्वतंत्रता के लिए उच्च जोखिम होने की संभावना नहीं है अनुच्छेद 35।
• यदि एक समान डी.पी.आई.ए आयोजित किया गया है और उस प्रसंस्करण की प्रकृति, दायरा और उद्देश्य वर्तमान प्रसंस्करण के समान है।
• यदि प्रसंस्करण वैकल्पिक है।

जैसा कि जी.डी.पी.आर. के अनुच्छेद 35(1), 35 (10), पाठ 90 और 93 के तहत प्रदान किया गया है, डी.पी.आई.ए व्यक्तिगत डाटा के प्रसंस्करण से पहले किया जाना चाहिए। इसे यथाशीघ्र डी.पी.आई.ए को अंजाम देने के लिए एक एहतियाती कदम माना जाता है। डी.पी.आई.ए आयोजित करने से पहले यह पता लगाना महत्वपूर्ण है कि व्यक्तिगत डाटा की क्या आवश्यकता है और इसका कैसे प्रसंस्करण और संग्रहीत किया जा रहा है, इसमें संभावित जोखिम क्या शामिल हैं।

कौन जिम्मेदार है

डाटा नियंत्रक यह सुनिश्चित करने के लिए ज़िम्मेदार है कि डी.पी.आई.ए प्रभावी ढंग से और नियत समय में किया जाता है। अनुच्छेद 35 के आधार पर, डाटा नियंत्रक के लिए यह आवश्यक है कि वह डाटा सुरक्षा अधिकारी डीपीओ से सलाह ले और इसे डी.पी.आई.ए प्रक्रिया का हिस्सा बनाए। इसी प्रकार, यदि डाटा प्रसंस्करणकर्ता प्रसंस्करण भाग में शामिल है, तो उसे डी.पी.आई.ए प्रक्रिया में काम करना चाहिए जो अनुच्छेद 28 के तहत प्रदान किया गया है। 

विशेषताएँ

जी.डी.पी.आर. का अनुच्छेद 35(7), डी.पी.आई.ए की कुछ आवश्यक विशेषताओं का विवरण देता है, जैसे:

• इसमें प्रसंस्करण संचालन और प्रसंस्करण के उद्देश्य का वर्णन होना चाहिए।
• इसे प्रसंस्करण की आवश्यकता और आनुपातिकता का आकलन करना चाहिए।
• इसे डाटा का उपयोग कर रहे व्यक्तियों के डाटा सुरक्षा अधिकारों के संभावित जोखिम या खतरे का भी आकलन करना चाहिए।
• इसमें शामिल जोखिम को कम करने और जी.डी.पी.आर. का अनुपालन सुनिश्चित करने के लिए क्या कदम उठाए गए हैं?

एक सफल डी.पी.आई.ए के तत्व

डी.पी.आई.ए को सफल बनाने के लिए आपको कुछ तत्वों का पालन करना होगा:

1. प्रसंस्करण के पीछे का उद्देश्य: इसमें व्यक्तिगत डाटा के प्रसंस्करण के पीछे के उद्देश्य और डाटा का उपयोग कर रहे व्यक्तियों के डाटा प्रसंस्करण के संदर्भ पर चर्चा होनी चाहिए।
2. व्यक्तिगत डाटा की प्रकृति: इसके बाद, डी.पी.आई.ए को इस बात का विवरण देना चाहिए कि व्यक्तिगत डाटा का कैसे प्रसंस्करण किया जाएगा, उस व्यक्तिगत डाटा को एकत्र करने की आवश्यकता क्या है, उद्देश्य की आनुपातिकता और व्यक्तिगत डाटा, डाटा तक किसकी पहुंच है, तीसरे पक्ष के साथ डाटा साझा करना, व्यक्तिगत डाटा कितने समय तक रखा जाएगा, आदि।
3. व्यक्तिगत डाटा का दायरा: फिर, डी.पी.आई.ए को व्यक्तिगत डाटा के दायरे पर चर्चा करनी चाहिए जिसे संगठन प्रसंस्करण कर रहा है, जैसे प्रसंस्करण में कितना समय लगेगा, क्या इसमें कोई संवेदनशील व्यक्तिगत डाटा शामिल है, प्रसंस्करण की आवृत्ति, आदि।
4. जोखिमों की पहचान करना: डी.पी.आई.ए को उन जोखिमों या क्षति की पहचान करनी चाहिए जो प्रसंस्करण से डाटा का उपयोग कर रहे व्यक्तियों को हो सकती हैं, जैसे, भेदभाव, शारीरिक या प्रतिष्ठित क्षति, अधिकारों से इनकार, पहचान की चोरी, आदि।
5. जोखिमों का समाधान: अंत में, उन उपायों पर चर्चा की जानी चाहिए जो संगठन इन जोखिमों को कम करने के लिए कर सकता है। उदाहरण के लिए, किसी भी व्यक्तिगत डाटा को एकत्र करना बंद करें जो नुकसान पहुंचा रहा हो, तकनीकी सुरक्षा उपायों को आगे बढ़ाना आदि।

जी.डी.पी.आर. अनुपालन सुनिश्चित करने के लिए कदम

जी.डी.पी.आर. अनुपालन कंपनी बनने के लिए यहां कुछ जांच सूचियां दी गई हैं जिनका पालन करना होगा:

आपके द्वारा एकत्र किए जाने वाले डाटा के प्रकार को समझें

जी.डी.पी.आर. के अनुरूप होने के लिए, पहला कदम यह विचार करना है कि संगठन किस प्रकार का डाटा एकत्र करता है और किस उद्देश्य से एकत्र करता है। इस प्रक्रिया को निम्नलिखित प्रश्नों का उत्तर देना चाहिए:

• किस प्रकार का डाटा लक्षित किया जा रहा है,
• क्या इस डाटा में कोई संवेदनशील डाटा शामिल है, यदि हाँ तो इसे सुरक्षित रूप से प्रसंस्करण करने का क्या तरीका है,
• क्या बच्चों/नाबालिगों से डाटा एकत्र किया जा रहा है, ऐसे डाटा एकत्र करने का सही तरीका क्या है,
• आप इसे कैसे एकत्र करते हैं,
• डाटा के पीछे का उद्देश्य, 
• आप इसे कहां संग्रहीत करते हैं,
• इस तक पहुंच किसके पास है,
• क्या किसी तीसरे पक्ष के पास इस डाटा तक पहुंच है, जिसमें यूरोपीय संघ के बाहर के तीसरे पक्ष भी शामिल हैं?
• वह समय अवधि क्या है जिसके लिए यह डाटा बनाए रखा जा सकता है और कैसे, और
• डाटा को हटाने या सही करने का प्रावधान।

वेबसाइट सुरक्षा

वेबसाइटों पर हैकर्स और अन्य कंपनियों द्वारा दुर्भावनापूर्ण इरादे से व्यक्तिगत डाटा मांगने का खतरा रहता है। इसलिए, इसे यथासंभव आक्रमणकारी और हैक-प्रूफ होना चाहिए। उसके लिए, डाटा न्यूनीकरण और अप्रचलित डाटा को हटाने का सिद्धांत पूरी तरह से काम करता है। अपनी वेबसाइट पर अनावश्यक डाटा संग्रहीत न रखें जब यह आपके लिए उपयोगी न हो, क्योंकि यह अन्य अनधिकृत लोगों के हाथों में स्थानांतरित हो सकता है। सुरक्षा की अतिरिक्त परतें जोड़ने, सुरक्षा में सुधार करने, डाटा को एन्क्रिप्ट करने और एंटी-वायरस सॉफ़्टवेयर का उपयोग करने का प्रयास करें।

गोपनीयता नीति

हमने चर्चा की है कि गोपनीयता नीति को जी.डी.पी.आर. के अनुरूप कैसे बनाया जा सकता है। उपयोगकर्ताओं और आगंतुकों (विजिटर) को यह सूचित करने के लिए एक गोपनीयता नीति आसानी से उपलब्ध होनी चाहिए कि आप उनके व्यक्तिगत डाटा की सुरक्षा कैसे कर रहे हैं। इसमें उपयोगकर्ता के अधिकार और दायित्व शामिल हैं। यह जी.डी.पी.आर. का एक महत्वपूर्ण पहलू है और इसे उचित महत्व दिया जाना चाहिए।

सहमति लें

हमने जी.डी.पी.आर. के तहत वैध सहमति की अनिवार्यताओं पर चर्चा की है। जी.डी.पी.आर. के तहत कानूनी रूप से व्यवहार्य सहमति होना मौलिक है और याद रखें कि एक बार ली गई सहमति का उपयोग अन्य गतिविधियों के लिए अस्पष्ट रूप से नहीं किया जा सकता है। उपयोगकर्ताओं से ध्वनि और स्पष्ट सहमति सक्षम करने का एक सामान्य तरीका सत्यापन कोड भेजकर ईमेल के माध्यम से अनुमति या सहमति लेना है। इसे डबल ऑप्ट-इन विधि कहा जाता है। आजकल कंपनियाँ इस बात पर ध्यान दे रही हैं कि सहमति को यूं ही नहीं माना जा सकता। उपयोगकर्ताओं को स्वतंत्र रूप से सहमति देने और ऑप्ट-इन विधि चुनने की अनुमति देना महत्वपूर्ण है। वहीं, अगर आप उपयोगकर्ता से उनके ईमेल पर भेजे गए न्यूजलेटर के जरिए संपर्क करते हैं तो अनसब्सक्राइब करने के विकल्प को भी उतना ही पारदर्शी बनाएं।

कुकीज़ का बुद्धिमानी से उपयोग करना

आपको आगंतुकों को यह बताना होगा कि आपकी वेबसाइट कुकीज़ के माध्यम से डाटा कैसे एकत्र करती है। यह उल्लेख करना महत्वपूर्ण है कि आवश्यक कुकीज़ और गैर आवश्यक कुकीज़ हैं और आगंतुकों को गैर आवश्यक कुकीज़ से बाहर निकलने का विकल्प दिया जाना चाहिए। इसे कुकी बैनर कहा जाता है।

जोखिम मूल्यांकन का संचालन करें

नियमित जोखिम मूल्यांकन करना और जोखिमों को कम करने के लिए प्रभावी उपाय करना जी.डी.पी.आर. का एक महत्वपूर्ण हिस्सा है। कंपनी के लिए यह महत्वपूर्ण है कि होने वाले नुकसान को कम किया जाए। जी.डी.पी.आर. के उल्लंघन के मामले में भारी जुर्माना लगाने की संभावना कंपनियों को लगातार जोखिम मूल्यांकन करने के लिए प्रेरित कर सकती है।

एक डाटा सुरक्षा अधिकारी नियुक्त करें

डाटा का उपयोग कर रहे व्यक्तियों के अधिकारों की सुरक्षा सुनिश्चित करने के लिए जी.डी.पी.आर. के तहत डीपीओ जैसे नियामक निकायों की आवश्यकता होती है। अनुच्छेद 37 के तहत प्रत्येक संगठन के लिए एक अनिवार्य निकाय के रूप में डीपीओ की भूमिका की चर्चा की गई है।

डाटा उल्लंघन की रिपोर्टिंग

जी.डी.पी.आर. के लिए आवश्यक है कि किसी कंपनी में प्रत्येक उल्लंघन की सूचना 72 घंटे की अवधि के भीतर दी जानी चाहिए। कंपनी को ऐसे उल्लंघनों पर प्रभावी ढंग से प्रतिक्रिया देनी चाहिए और तत्काल उपाय करना चाहिए। 

जी.डी.पी.आर. अनुरूप सेवाओं का उपयोग करें

आपकी कंपनी या संगठन में शुरुआत में ही जी.डी.पी.आर. अनुरूप सेवाओं का उपयोग करना वास्तव में उपयोगी हो सकता है। इसका कारण यह है कि यह उपयोगकर्ताओं का विश्वास बनाता है, जो लंबे समय में फायदेमंद होगा। साथ ही, यह डाटा का उपयोग कर रहे व्यक्तियों के डाटा को प्रबंधित करना सुविधाजनक बनाता है। सामान्य सेवाओं के कुछ प्रसिद्ध विकल्प जो वास्तव में जी.डी.पी.आर. के अनुरूप हैं, उनमें शामिल हैं:

ईमेल

कुछ सामान्य विकल्प जो जी.डी.पी.आर. का पालन करते हुए ईमेल सेवा प्रदान कर रहे हैं उनमें निम्नलिखित शामिल हैं: 

• प्रोटॉन मेल: यह दुनिया की सबसे बड़ी एन्क्रिप्टेड ईमेल कंपनी है। यूरोपीय देशों में इसका व्यापक रूप से उपयोग किया जाता है। यह बताया गया है कि यूरोपीय आयोग ने उनकी सेवा सुरक्षा सुनिश्चित करने के लिए प्रोटॉन मेल के समर्पण को मान्यता दी है।
• हशमेल: एक अन्य विकल्प हशमेल है, जिसे दुनिया की पहली एंड टू एंड एन्क्रिप्टेड मेल सेवा माना जाता है।

वर्चुअल पर्सनल नेटवर्क (वीपीएन)

वीपीएन का उपयोग मूल रूप से आपके आईपी पते को उजागर न करके उपयोगकर्ता के इंटरनेट को एन्क्रिप्ट करने और ऑनलाइन पहचान छिपाने के लिए किया जाता है। यह उपयोगकर्ता की गोपनीयता की सुरक्षा के लिए उपयोग किया जाने वाला एक उत्कृष्ट उपकरण है। वीपीएन के लिए सबसे अच्छा विकल्प जो जी.डी.पी.आर. के अनुरूप है:

• प्रोटॉन वीपीएन: प्रोटॉन में वीपीएन सेवाएं भी हैं। असुरक्षित इंटरनेट कनेक्शन का उपयोग करने वाली कंपनियों पर जी.डी.पी.आर. बहुत सख्त है जिससे भारी जुर्माना या जुर्माना हो सकता है। इसे सुरक्षित कोर तकनीक प्रदान करने वाली एकमात्र वीपीएन सेवा कंपनी कहा जाता है।
• एयर वीपीएन: यह एक इतालवी कंपनी द्वारा विकसित एक वीपीएन सेवा है, जो अपने उपयोगकर्ताओं की गोपनीयता की रक्षा करने के एकमात्र इरादे से बनाई गई है। यह पारदर्शिता के साथ कुछ सुविधाएँ प्रदान करता है और यह अपने उपयोगकर्ताओं से कोई भी व्यक्तिगत डाटा एकत्र नहीं करता है।

मैसेज

मैसेजिंग के लिए, जी.डी.पी.आर. अनुरूप सेवा के लिए कुछ विकल्प हैं, इनमें शामिल हैं:

• सिग्नल: यह एक मैसेजिंग ऐप है जो डाटा और गोपनीयता की सुरक्षा के लिए जाना जाता है। सभी संचार शुरू से अंत तक एन्क्रिप्टेड हैं। मैसेजिंग के लिए सुरक्षित ऐप्स की ओर यह एक बेहतरीन बदलाव है।
• व्हाट्सएप: व्हाट्सएप एंड टू एंड एन्क्रिप्टेड मैसेजिंग ऐप प्रदान करता है। इसे दुनिया में सेवाएं देने वाला सबसे बड़ा मैसेजिंग ऐप माना जाता है। यह मैसेजिंग के लिए एक अच्छा विकल्प है जो जी.डी.पी.आर. शिकायत भी है।

क्लाउड संग्रहण 

क्लाउड संग्रहण आजकल कंपनियों के लिए बेहद जरूरी सेवा बन गई है। ऐसी क्लाउड आधारित सेवा चुनना आवश्यक है जो जी.डी.पी.आर. का अनुपालन करती हो। यहां इसके लिए एक विकल्प दिया गया है:

• ट्रेसोरिट: यह एक क्लाउड संग्रहण कंपनी है जो जी.डी.पी.आर. के अनुरूप है और उपयोगकर्ताओं को अनुमति सेटिंग्स प्रबंधित करने की अनुमति देती है। यह स्विट्जरलैंड स्थित एक कंपनी का है।

जी.डी.पी.आर. का उल्लंघन करने पर दंड और जुर्माना क्या हैं? 

जी.डी.पी.आर. में ऐसे प्रावधान भी शामिल हैं जो इसकी प्रवर्तनीयता में सहायता करते हैं। जी.डी.पी.आर. का अनुच्छेद 58 पर्यवेक्षी अधिकारियों को कुछ शक्तियां प्रदान करता है। इन शक्तियों को आम तौर पर जांच शक्तियों और सुधारात्मक शक्तियों के रूप में वर्गीकृत किया गया है। जांच शक्तियां पर्यवेक्षी प्राधिकरण को जी.डी.पी.आर. के तहत उल्लंघनों की जांच के उद्देश्य से आवश्यक जानकारी, पहुंच और ऑडिट प्राप्त करने की अनुमति देती हैं। सुधारात्मक शक्तियां पर्यवेक्षी प्राधिकरण को अनुच्छेद 83 के अनुसार डाटा प्रसंस्करणकर्ता और नियंत्रकों को चेतावनी जारी करने, फटकार जारी करने, अनुपालन का आदेश देने, प्रसंस्करण पर प्रतिबंध जैसी अस्थायी या निश्चित सीमाएं जारी करने, प्रमाणन वापस लेने या डाटा प्रवाह के निलंबन का आदेश देने और उल्लंघन पर प्रशासनिक जुर्माना लगाने की अनुमति देती हैं।

जी.डी.पी.आर. के अनुच्छेद 70 में बोर्ड के कार्यों की सूची का उल्लेख है। बोर्ड की सभी जिम्मेदारियों के बीच, बोर्ड अनुच्छेद 58 के उपायों और अनुच्छेद 83 के तहत प्रशासनिक जुर्माने की स्थापना के संबंध में पर्यवेक्षी अधिकारियों के लिए दिशानिर्देश बनाने के लिए भी जिम्मेदार है। अनुच्छेद 83 के अनुसार, उल्लंघन पर लागू जुर्माना प्रभावी और आनुपातिक होना चाहिए। गलत किये जाने पर. उन्हें अत्यधिक ऊंचा या नीचा नहीं किया जाना चाहिए और मामले के तथ्यों और परिस्थितियों और प्रासंगिक कारकों को ध्यान में रखते हुए लगाया जाना चाहिए। लगाए गए जुर्माने की मात्रा तय करने के लिए कोई मनमाना मानदंड नहीं है, कितना जुर्माना लगाया जाना है यह तय करने के लिए एक वैधानिक तरीका है। अनुच्छेद 83 के अनुसार कुछ कारक हैं जिनके परिणामस्वरूप अधिक मात्रा में जुर्माना हो सकता है जैसे कि:

• प्रकृति, गुरुत्वाकर्षण और उल्लंघन की अवधि
• जानबूझकर या लापरवाही से किया गया उल्लंघन
• डाटा का उपयोग कर रहे व्यक्तियों को होने वाले नुकसान को कम करने के लिए डाटा नियंत्रक या प्रसंस्करणकर्ता द्वारा की गई कार्रवाई
• तकनीकी और संगठनात्मक उपायों को ध्यान में रखते हुए डाटा नियंत्रक या प्रसंस्करणकर्ता की जिम्मेदारी की डिग्री
• डाटा नियंत्रक या प्रसंस्करणकर्ता द्वारा प्रासंगिक पिछले उल्लंघन
• अधिकारियों के साथ सहयोग की कमी
• उल्लंघन से प्रभावित व्यक्तिगत डाटा की श्रेणियाँ
• वह तरीका जिससे उल्लंघन के बारे में पर्यवेक्षी प्राधिकारी को पता चला
• क्या समान विषय वस्तु के संबंध में डाटा नियंत्रक या प्रसंस्करणकर्ता के खिलाफ समान उपायों का आदेश दिया गया है
• क्या उन्होंने अनुच्छेद 40 के अनुसार अनुमोदित आचार संहिता का पालन किया है
• कोई अन्य उत्तेजक या कम करने वाले कारक जो मामले के तथ्यों और परिस्थितियों को प्रभावित कर सकते हैं

जुर्माने की राशि कितनी है

जी.डी.पी.आर. में स्पष्ट रूप से यह उल्लेख नहीं है कि लगाए गए जुर्माने की मात्रा क्या होगी। अनुच्छेद 83 प्रशासनिक जुर्माना लगाने के लिए सामान्य शर्तें देता है। लगाया गया जुर्माना व्यक्तिपरक है और प्रत्येक मामले के तथ्यों और परिस्थितियों पर निर्भर करता है। जी.डी.पी.आर. प्रावधानों के उल्लंघन की गंभीरता के आधार पर दो स्तर हैं:

1. जी.डी.पी.आर. के अनुच्छेद 83 (4) में जगह पाने वाले उल्लंघनों के लिए, जुर्माने की मात्रा 10 मिलियन यूरो या उपक्रम (अंडरटेकिंग) के कुल वैश्विक कारोबार का 2%, जो भी अधिक हो, तक हो सकती है।
2. जी.डी.पी.आर. के अनुच्छेद 83 (5) में जगह पाने वाले उल्लंघनों के लिए, जुर्माने की मात्रा 20 मिलियन यूरो या उपक्रम के कुल वैश्विक कारोबार का 4%, जो भी अधिक हो, तक हो सकती है।

यहां ‘उपक्रम’ शब्द का तात्पर्य इकाई की कानूनी स्थिति की परवाह किए बिना आर्थिक गतिविधि में लगी किसी भी इकाई से है। तो, इसमें एक कंपनी और एक समूह के रूप में काम करने वाली कंपनियों का एक समूह भी शामिल हो सकता है।

क्या जुर्माना पूरे यूरोपीय संघ में एक समान है?

हालाँकि जी.डी.पी.आर. पूरे यूरोप में लागू होता है, लेकिन लगाया गया जुर्माना अलग-अलग हो सकता है। विभिन्न राज्यों में कैसे और क्या जुर्माना लगाया जाता है, इसे कैसे लागू किया जाता है, आदि में अंतर है। अनुच्छेद 83 के अनुसार, प्रत्येक सदस्य राज्य के पास नियम बनाने की शक्ति है कि उनके राज्य में स्थापित सार्वजनिक प्राधिकरणों और निकायों पर कब और क्या प्रशासनिक जुर्माना लगाया जा सकता है।

अनुच्छेद 84 दंड के पहलू को शामिल करता है। इसमें कहा गया है कि सदस्य राज्य जी.डी.पी.आर. के उल्लंघन पर लागू होने वाले अन्य दंडों पर नियम बनाएंगे, विशेष रूप से उन उल्लंघनों के लिए जो अनुच्छेद 83 के तहत प्रशासनिक जुर्माने के अधीन नहीं हैं और इसके कार्यान्वयन को सुनिश्चित करने के लिए आवश्यक सभी उपाय करेंगे। उन परिस्थितियों पर नज़र डालना महत्वपूर्ण है जहां जुर्माना लगाया जा सकता है। ये इस प्रकार हैं:

• जी.डी.पी.आर. के अनुच्छेद 5, 6 और 9 के तहत निहित डाटा प्रसंस्करण के बुनियादी सिद्धांतों का उल्लंघन।
• अप्रभावी और अनुचित सुरक्षा उपाय
• जी.डी.पी.आर. के अनुच्छेद 7 के तहत वैध सहमति प्राप्त करने में विफलता
• जी.डी.पी.आर. के अनुच्छेद 17-22 से डाटा का उपयोग कर रहे व्यक्तियों को दिए गए अधिकारों का उल्लंघन
• जी.डी.पी.आर. द्वारा अनिवार्य डाटा सुरक्षा अधिकारी नियुक्त करने में लापरवाही
• डाटा गोपनीयता के उल्लंघन की रिपोर्ट करने में विफलता
• बुनियादी डाटा सुरक्षा सिद्धांतों का पालन करने में विफलता
• अनुच्छेद 44-49 के अनुसार उचित सुरक्षा उपायों के बिना यूरोपीय संघ के बाहर व्यक्तिगत डाटा का स्थानांतरण।

यह जुर्माना राष्ट्रीय अधिकारियों द्वारा लगाया जाता है। हालाँकि, यह ध्यान दिया जाना चाहिए कि जुर्माना ही एकमात्र शक्ति नहीं है जिसका प्रयोग जी.डी.पी.आर. के अनुपालन को सुनिश्चित करने के लिए किया जा सकता है। जुर्माना और जुर्माना यह सुनिश्चित करने के लिए एक अतिरिक्त उपकरण है कि डाटा नियंत्रक जी.डी.पी.आर. द्वारा अनिवार्य अपने दायित्वों का पालन करते हैं। डाटा सुरक्षा अधिकारियों का जी.डी.पी.आर. के प्रावधानों के उल्लंघन के लिए डाटा नियंत्रकों और प्रसंस्करणकर्ताों पर भारी जुर्माना और दंड लगाने का इतिहास रहा है, इसलिए कानून का खामियाजा भुगतने से बेहतर है कि कानून का अनुपालन सुनिश्चित किया जाए।

2023 में सबसे बड़ा जी.डी.पी.आर. जुर्माना

जी.डी.पी.आर. वास्तव में एक लंबा दस्तावेज़ है और इसका मूल रूप से पालन करना उतना आसान नहीं है जितना लगता है। यही कारण है कि पिछले कुछ वर्षों में जी.डी.पी.आर. का पालन करना एक कठिन काम बन गया है और कंपनियों को हमेशा भारी जुर्माना भरने का खतरा बना रहता है। हर साल कुछ वैश्विक नेताओं पर कानून का पालन न करने पर जुर्माना लगाया जाता है। यहां कुछ कंपनियों पर 2023 में भारी जुर्माना लगाया गया है। पूरी सूची के लिए यहां देखें।

कंपनी का नाम	जी.डी.पी.आर. जुर्माना	कारण
मेटा प्लेटफ़ॉर्म आयरलैंड लिमिटेड (दो बार)	€1.2 बिलियन €390 मिलियन	डाटा का गैरकानूनी प्रसंस्करण और भंडारण
वीरांगना	€ 746 मिलियन	लक्षित विज्ञापन के लिए सहमति नहीं लेना
व्हाट्सएप	€ 225 मिलियन	फेसबुक कंपनियों के साथ डाटा साझा करने में पारदर्शिता नहीं
गूगल एलएलसी	€90 मिलियन	उपयोगकर्ताओं को कुकीज़ अस्वीकार करने का विकल्प नहीं देना
क्राईटेरियो	€ 40 मिलियन	कुकीज़ के लिए उचित सहमति नहीं लेना

जी.डी.पी.आर. पर अक्सर पूछे जाने वाले प्रश्न (एफएक्यू)

जी.डी.पी.आर. कब लागू हुआ?

जी.डी.पी.आर. 14 अप्रैल 2016 को बनाया गया था और यह 25 मई 2018 को लागू हुआ।

जी.डी.पी.आर. किसने बनाया?

इसे यूरोपीय संसद और यूरोपीय संघ की परिषद द्वारा बनाया गया था।

क्या जी.डी.पी.आर. ई.यू. के बाहर लागू होता है?

हां, जी.डी.पी.आर. यूरोपीय संघ के निवासियों के लिए एक “सामान्य” डाटा सुरक्षा विनियमन है। जी.डी.पी.आर. के अनुच्छेद 3 में यह भी प्रावधान है कि यदि किसी दूसरे देश में स्थापित कोई कंपनी किसी यूरोपीय संघ के नागरिकों से डाटा एकत्र कर रही है, तो उसे भी जी.डी.पी.आर. का पालन करना आवश्यक है।

जी.डी.पी.आर. के तहत किन सिद्धांतों का पालन किया जाता है?

जी.डी.पी.आर. के तहत सात सिद्धांत हैं:

• वैधानिकता, निष्पक्षता और पारदर्शिता
• उद्देश्य सीमा
• डाटा न्यूनीकरण
• शुद्धता
• भंडारण सीमा
• सत्यनिष्ठा और गोपनीयता
• जवाबदेही

जी.डी.पी.आर. के तहत व्यक्तिगत डाटा क्या है?

जी.डी.पी.आर. का पूरा पाठ व्यक्तिगत डाटा शब्द पर केंद्रित है, जिसे अनुच्छेद 4 के तहत किसी भी जानकारी के रूप में परिभाषित किया गया है जो किसी पहचाने गए या से संबंधित है। पहचान योग्य प्राकृतिक व्यक्ति (जिसे डाटा का उपयोग किए जा रहे व्यक्ति कहा जाता है)। यह जानकारी विशेष रूप से पहचानकर्ताओं जैसे नाम, स्थान, डाटा, या किसी प्राकृतिक व्यक्ति की शारीरिक, आनुवंशिक, शारीरिक, मानसिक, आर्थिक, सांस्कृतिक या सामाजिक पहचान जैसे कारकों के संदर्भ में हो सकती है।

क्या हर कंपनी में डाटा सुरक्षा अधिकारी का होना अनिवार्य है?

एक डाटा सुरक्षा अधिकारी (डीपीओ) हर कंपनी के लिए एक अनिवार्य अधिकारी नहीं है। डाटा सुरक्षा अधिकारी की आवश्यकता केवल तभी होती है जब संगठन एक सार्वजनिक निकाय हो या बड़े पैमाने पर काम करता हो और बड़ी मात्रा में डाटा प्रसंस्करण करता हो।

जी.डी.पी.आर. के तहत डाटा का उपयोग कर रहे व्यक्तियों के क्या अधिकार हैं?

प्रत्येक डाटा का उपयोग किए जा रहे व्यक्ति को कुछ मौलिक अधिकारों से सशक्त बनाया गया है, जैसे:

• सूचित होने का अधिकार
• उनके व्यक्तिगत डाटा तक पहुंच पाने का अधिकार
• व्यक्तिगत डाटा गलत या अधूरा पाए जाने पर उसे सुधारने का अधिकार
• अप्रचलित डाटा को मिटाने का अधिकार
• आपत्ति करने का अधिकार
• डाटा पोर्टेबिलिटी का अधिकार
• व्यक्तिगत डाटा के प्रसंस्करण को प्रतिबंधित करने का अधिकार
• स्वचालित निर्णय लेने और प्रोफ़ाइलिंग से संबंधित अधिकार

क्या कंपनियों को जी.डी.पी.आर. के अनुपालन में अपनी गोपनीयता नीतियों को अद्यतन (अपडेट) करना चाहिए?

संक्षेप में, हाँ. जी.डी.पी.आर. के क्षेत्रीय दायरे में आने वाली सभी कंपनियों को जी.डी.पी.आर. में निर्धारित आवश्यकताओं का पालन करने के लिए अपनी गोपनीयता नीतियों को तैयार करने और उनकी समीक्षा करने की आवश्यकता है। गोपनीयता नीति, उपयोगकर्ता नियम और शर्तें, और कुकीज़ नीतियां कंपनी का पहला हिस्सा हैं जो सीधे डाटा का उपयोग कर रहे व्यक्तियों को प्रभावित करती हैं और इन्हें मूल रूप से जी.डी.पी.आर. के सिद्धांतों का पालन करना चाहिए।

जी.डी.पी.आर. के तहत डाटा उल्लंघन की रिपोर्ट करने की समय सीमा क्या है?

जी.डी.पी.आर. के तहत, यदि कोई डाटा उल्लंघन होता है, तो संबंधित अधिकारियों को घटना के 72 घंटे की अवधि में पर्यवेक्षी अधिकारियों को ऐसे उल्लंघन के बारे में सूचित करना आवश्यक है।

जी.डी.पी.आर. का अनुपालन न करने पर अधिकतम जुर्माना क्या है?

जी.डी.पी.आर. का अनुपालन न करने वाली कंपनी के लिए अधिकतम जुर्माना अनुच्छेद 83(5) के तहत प्रदान किया जाता है, जो कि 20 मिलियन या वार्षिक वैश्विक कारोबार का 4%, जो भी अधिक हो का जुर्माना है।

क्या जी.डी.पी.आर. अनुरूप होने का कोई लाभ है?

सिस्को की रिपोर्ट के अनुसार, गोपनीयता में निवेश करने वाली कंपनियों को इस पर सकारात्मक रिटर्न मिल रहा है। गोपनीयता जवाबदेही और जी.डी.पी.आर. के उल्लंघन की कम दर के बीच भी सीधा संबंध है।

संदर्भ

• https://www.cookieyes.com/blog/gdpr-checklist-for-websites/

• https://www.osano.com/Articles/data-subject-access-requests-guide#what-is-dsar

• https://sprinto.com/blog/who-does-gdpr-apply-to/#Who_Does_GDPR_Apply_To

• https://sprinto.com/blog/gdpr-fines/

• https://www.digitalguardian.com/blog/what-data-protection-officer-dpo-learn-about-new-role-required-gdpr-compliance

• https://www.onetrust.com/blog/gdpr-compliance/

• https://www.cyberpilot.io/cyberpilot-blog/less-is-more-with-data-minimisation

• https://www.wired.co.uk/Article/what-is-gdpr-uk-eu-legislation-compliance-summary-fines-2018

• https://sprinto.com/blog/gdpr-fines/#:~:text=Level%2Dtwo%20Fines%20(Article