GDPR: All you need to know about EU's data regulation law

सवाल पूछें
General Data Protection Regulation को यूरोपीय संघ यानी EU के नेतृत्व में पूरी तरह से लागू कर दिया गया. ऐलान किया गया कि यूरोपीय संघ के नागरिकों का डाटा इस्तेमाल करने वाली कंपनियों सहित सभी कंपनियों के लिए जनरल डाटा प्रोटेक्शन रेगुलेशन का पालन करना अनिवार्य है. जेनरल डाटा प्रोटेक्शन रेगुलेशन एक ऐसी नियंत्रण व्यवस्था है जिसके तहत समूचे यूरोपीय संघ में नागरिकों के डाटा प्रोटेक्शन अधिकारों को मजबूत बनाया गया है और इसे मानकीकृत‍ किया गया है. इसके तहत माना जाता है कि उपभोक्ता ही अपनी निजी जानकारियों का असली हकदार है. किसी भी संगठन को उपभोक्ता से स्वीकृति लेनी होगी तभी वे उपभोक्ता के निजी डाटा का प्रयोग कर सकते हैं, या फिर उपभोक्ता की सहमति के बाद ही निजी डाटा को डिलीट किया जा सकता है. पहले जो कंपनियां उपभोक्ता के निजी डाटा को कलेक्ट करती थी, उन पर उन्हीं का नियंत्रण होता था.


ध्यान दें: ये कानून यूरोपीय संघ या ईयू और यूरोपीय इकोनॉमिक एरिया या ईईए में लागू होता है. इन दोनों में अंतर ये है कि यूरोपीय संघ की कंपनियां जरूरी नहीं कि यूरोपीय इकोनॉमिक एरिया की भी सदस्य हों.



GDPR क्या है

जेनरल डाटा प्रोटेक्शन रेगुलशन यानी GDPR निजी डाटा की सुरक्षा और उसकी निजता से जुड़ा यूरोपीय संघ का नियम है. इसके दो भाग हैं, जीडीपीआर और Data Protection Directive.

संक्षिप्त में GDPR

जीडीपीआर ने 1995 के डाटा प्रोटेक्शन डायरेक्टिव 95/46/EC की जगह ली है. यह ईयू के नागरिकों के पर्सनल आइडेंटिफिएबल इनफॉरमेशन यानी पीआईआई से जुड़ी समस्याओं को दूर करता है। डाटा प्रोटेक्शन डायरेक्टिव के निर्माण में हमारे तकनीकी माहौल की जटिलता शामिल है. 1995 के डाटा प्रोटेक्शन डायरेक्टिव में आधुनिक फोन और सोशल मीडिया शामिल नहीं हैं.

GDPR की आवश्यकताएं

GDPR किसी भी कॉरपोरेशन की जिम्मेदारी और उत्तरदायित्वों को निर्धारित करता है. वो साफ लकीर खींचता है कि कंपनियां कौन सी निजी जानकारियों का लाभ उठा सकती हैं, और कौन सी निजी जानकारियों का लाभ नहीं उठा सकतीं. इसमें नियम है कि डाटा से जुड़ी कोई भी धोखाधड़ी का मामला हो तो उसे 72 घंटो के भीतर रिपोर्ट किया जाए. ये एनक्रिप्शन का मानक तय करती हैं, कंज्यूमर से स्पष्ट सहमित लेना जरूरी है. निर्धारित करती हैं कि डाटा को कितने दिनों तक रखा जा सकता है और इसमें डाटा की सुरक्षा की जरूरत उसके डिजाइन के अनुसार होती है. जीडीपीआर में खास संगठनों को डाटा प्रोटेक्शन ऑफिसर चुनने की जरूरत होती है. किसी खास संस्था में डाटा प्रबंधन के लिए ये सारी जानकारियां जिम्मेदार होती हैं. अब जो नई जरूरतें सामने आई है वे कंपनियों पर बड़ा प्रभाव डालने वाली हैं. अब इस बात पर गंभीर रूप से जोर दिया जा रहा है कि ये कंपनियां कैसे अपने ग्राहकों से संवाद बनाती हैं और उनकी जितनी भी जानकारियां कंपनियों के पास हैं वे उनको कैसे संभालती हैं.


जीडीपीआर के मुताबिक यूरोपीय संघ में मौजूद सभी उपभोक्ता अपने निजी डाटा के असली स्वामी हैं. नए कानून के तहत डाटा में- नाम, आईपी ऐड्रेस (लोकेशन), पिक्पचर, ईमेल ऐड्रेस, घर का पता, सोशल मीडिया एक्टिविटी, बैंक से जुड़ी जानकारियां और मेडिकल से जुड़ी सारी बातें शामिल हैं. रेगुलेशन के तहत अब उपभोक्ता को अपने डाटा की कॉपी मांगने, कभी भी इससे बाहर निकलने का अधिकार है. इसके अलावा वे अपने निजी डाटा को डिलीट करने का भी अनुरोध कर सकते हैं. हालांकि अंतिम वाला यूनिवर्सल अधिकार नहीं है.

GDPR का पालन

जीडीपीआर के नियमों को यूरोपीय यूनियन अपने डाटा प्रोटेक्शन डायरेक्टिव के अनुसार लागू करेगी. डायरेक्टिव लाए गए सुधार को समर्थन देने के लिए कानूनी आधारभूत संरचनाएं मुहैया कराता है. साथ ही ये उपभोक्ताओं को आश्वासन देता है कि उनके डाटा से जुड़े अधिकार सुरक्षित हैं और इसमें किसी तरह की धोखाधड़ी होने पर दोषी को सजा दी जाएगी. T

रेगुलेशन

वैसी कोई भी संस्था जो यूरोपी संघ के नागरिकों के निजी डाटा की देख-रेख करती है, पर रेगुलेशन लागू होगा. इनमें अमेरिका और यूरोपीय इकोनॉमिक एरिया से बाहर के देशों की वैसी कंपनियां शामिल हैं जो यूरोपीय उपभोक्ताओं के डाटा को एक्सेस करती हैं.

2018 की जीडीपीआर एक व्यापक रेगुलेशन है. यह यूरोपीय यूनियन और यूरोपीय इकोनॉमिक एरिया के नियमों को सुसंगत बनाता है. यह कंपनियों के लिए रेगुलेटरी से जुड़ी बातों को सरल बनाता है और अनुपालन में आने वाली लागत को कम करता है. कुछ जानकारों के मुताबिक, इससे यूरोपीय संघ अब एक अधिक प्रतिस्पर्धी बाजार बन सकता है. (कुछ दूसरे विश्लेषक मानते हैं कि ये नियम बहुत बाधा पैदा करने वाला साबित होगा और इससे विश्व की अर्थव्यवस्था में यूरोपीय संघ पीछे रह जाने की संभावना है.)

GDPR का आधिकारिक टेक्स्ट

GDPR का अधिकारक टेक्स्ट को इस लिंक पर पढ़ा जा सकता है.

लागू करने की अंतिम तिथि

25 मई, 2018 सभी कंपनियों के लिए अपने यहां रेगुलेशन लागू करने की अंतिम तारीख थी.. हालांकि कई कंपनियां ऐसा करने में विफल रहीं क्योंकि इसके लिए उन्हें अपने यहां कई जरूरी बदलाव करने थें. कुछ कंपनियों के ऑपरेटिंग मॉडल पर नए रेगुलेशन का असर काफी हद तक प्रभावकारी रहा. गूगल, फेसबुक और अमेजन जैसी टेक दिग्गज संस्थाओं को नए सुधारों को अपनाने के लिए कई चुनौतियों का सामना करना पड़ेगा.

ब्रिटेन में डाटा सुरक्षा

ब्रिटेन ने ब्रेक्सिट जनमत संग्रह के दौरान यूरोपीय संघ से बाहर रहने का फैसला किया है. इसलिए यहां की संसद ने इसी से मिलता जुलता कानून डाटा प्रोटेक्शन एक्ट 2018 बनाया है.

अमेरिका में डाटा सुरक्षा

अमेरिका में जेडीपीआर को लागू कर दिया गया है. इसने यहां की कंपनियों की गतिविधियों को काफी प्रभावित किया है. चूंकि यहां के अधिकांश संगठन ईयू डाटा की देख-रेख करते हैं, इसलिए अधिकतर अमेरिकी कंपनियां इस रेगुलेशन का पालन करने के लिए बाध्य हैं.

वो कंपनियां जो जेडीपीआर की नीतियों के अनुसार नहीं चलना चाहतीं, जैसे कि पिनइंटरेस्ट स्वामित्व वाली कंपनी इंस्टापेपर, उन्हें यूरोपीय संघ के उपभोक्ताओं तक उनकी पहुंच को अस्थायी तौर पर रोक दिया गया है. क्योंकि ऐसा नहीं करने पर इन कंपनियों को जुर्माना देना पड़ सकता है. दूसरी कंपनियां नए कानून के अनुसार अपनी तैयारी कर रही हैं. उन्होंने अपनी साइट पर पहुंचने पर क्लिक-थ्रू का प्रावधान रखा है. इसके जरिए यूजर्स को निजी डाटा के इस्तेमाल के बारे में सहमति देने के लिए प्रोत्साहित किया जा रहा है.

कानून का उल्लंघन करने पर जुर्माना

नए रेगुलेशन के मुताबिक जो कंपनियां इसका पालन नहीं करती उन्हें जुर्माना देना होगा. हालांकि पहली बार गलती करने पर चेतावनी देकर छोड़ दिया जाएगा. अपराध की प्रकृति के अनुसार जुर्माने की रकम तय होगी. जीडीपीआर का पालन नहीं करने वाली कंपनियों को अधिकतम 10 मिलियन अमेरीकी डॉलर या उनके वैश्विक आमदनी का 4 फीसद, इनमें से जो भी ज्यादा हो, देना होगा.

Facebook GDPR

फेसबुक वो पहली कंपनी है जिसे जीडीपीआर का पालन नहीं करने के लिए रीव्यू के तहत रखा गया है. इसके लिए फेसबुक को अच्छा-खासा जुर्माना देना पड़ सकता है. फेसबुक और इंस्टाग्राम जैसे सोशल मीडिया प्लेटफार्म प्री-सलेक्टेड तरीके से सहमति लेते हैं. जबकि जीडीपीआर में निजी डाटा की शेयरिंग होने के पहले यूजर्स के पास ऑप्ट-इन करने का पूरा मौका होता है.

फेसबुक का कहना है कि नये नियम में यूजर्स को पारदर्शी तरीके से बताया गया है कि उनकी जानकारियों का कैसे इस्तेमाल किया जाएगा, और उन्हें इस पर पूरा नियंत्रण भी दिया गयाहै. फेसबुक का ये भी कहना है कि उसके प्रतिनिधि रेगुलेटर्स, पॉलिसीमेकर्स, प्राइवेसी एक्सपर्ट और एकेडमिक्स से मिल रहे हैं ताकि जीडीपीआर और इसके जैसे दूसरे प्राइवेसी लॉ का अनुपालन सुनिश्चित किया जा सके.

Google GDPR

फेसबुक की ही तरह गूगल भी यूजर्स की सहमति के लिए प्री-सलेक्टेड चेकबॉक्स का इस्तेमाल करता है. गूगल को भी जीडीपीआर के उल्लंघन का दोषी पाया गया है. इस पर 4 बिलियन अमरीकी डॉलर का जुर्माना लग सकता है.

हालांकि गूगल का कहना है कि उसके सारे काम कानून के अनुरूप हैं. उसने अपने ऑडिट का हवाला दिया. इसके अलावा जानकारियां निकालने वाली थर्ड पार्टी साइट्स के लिए सर्टिफिकेशन प्रोसेस की भी जानकारी दी है. गूगल का कहना है कि वो "यूजर ट्रांसपेरेंसी" का पालन करता है, विज्ञापनों के लिए यूजर्स की जानकारियों का इस्तेमाल करने के तरीके के बारे में भी उन्हें बताता है.


Image: Tatyana Merkusheva - 123RF.com
Jean-François Pillou

जीन फ़्रांसवा पिलाओ - संस्थापक, CCM
जीन फ़्रांसवा पिलाओ को हमारी टीम जेफ नाम से जानती है. उन्होंने फ्रांस की नंबर वन हाईटेक साइट CommentCaMarche.net की शुरुआत की. जेफ सीसीएम बेंचमार्क ग्रुप के मुख्य कार्यकारी अधिकारी होने के साथ फिगरो ग्रुप के डिजिटल डायरेक्टर भी हैं.

CCM टीम के बारे में और जानिए