जैसा कि GDPR ट्रिगर की समय सीमा लगभग अपने कगार पर है, कंपनियों द्वारा पागलपन भरी तैयारियाँ अभी समाप्त हो रही हैं। बड़ी संख्या में डेटा उल्लंघनों को देखते हुए, यूरोपीय संघ ने उपयोगकर्ता गोपनीयता को संगठनों के लिए सर्वोच्च प्राथमिकता बनाने के लिए एक कदम आगे बढ़ाया।
डेटा सुरक्षा और सुरक्षा के लिए इस नए ढाँचे ने संगठनों के लिए विभिन्न मजबूरियों को बढ़ा दिया है। हालाँकि कई कंपनियां पहले ही GDPR का अनुपालन कर चुकी हैं, फिर भी कुछ कंपनियाँ हैं जो इस नियमन को सक्षम बनाने के लिए संघर्ष कर रही हैं।
जीडीपीआर लागू करना एक दिन या एक महीने की बात नहीं है। लेकिन इसके चलते कंपनियों को जीडीपीआर अनुपालन की आवश्यकता को पूरा करने के लिए अपनी संपूर्ण आंतरिक नीतियों, प्रक्रियाओं और प्रक्रियाओं को संशोधित करना पड़ता है।
जीडीपीआर, इसके प्रभाव और जीडीपीआर अनुपालन की मांग को पूरा करने के लिए व्यवसाय क्या कर रहे हैं, इसके बारे में पूरी जानकारी प्राप्त करने के लिए हमारे पिछले लेख पढ़ें।
यहां उन सभी प्रमुख चुनौतियों को सूचीबद्ध किया गया है जो जीडीपीआर अपने साथ लाती हैं!
अनुकूलनशीलता
25 मई सिर्फ एक शुरुआती बिंदु है। जीडीपीआर में इस्तेमाल की जाने वाली भाषा काफी अस्पष्ट है, जो कंपनियों के लिए प्रक्रियाओं को समझने में समस्या पैदा कर रही है। रिपोर्टों के अनुसार केवल 25% व्यवसायों को ही इस नियमन के बारे में गंभीर जानकारी है। इसके अलावा, प्रमुख चिंता उस तक पहुंचने की लागत है- आंतरिक नीतियों में परिवर्तन और अद्यतनों की अंतहीन संख्या के लिए भारी निवेश और प्रयास की आवश्यकता होती है।
साथ ही, ये नियम और नियम नए हैं इसलिए कंपनियों को नए बदलावों के अनुकूल होने में कुछ समय लग सकता है। लेकिन संगठित समाधान निश्चित रूप से उन्हें उन लोगों की तुलना में बेहतर समायोजित करने में मदद करेंगे जो बाद में अनुकूलन करने का प्रयास करेंगे।
छोटे व्यवसायों के लिए एक बड़ी चुनौती
बड़े पैमाने के संगठनों से लेकर मध्यम आकार के व्यवसायों से लेकर छोटे पैमाने की कंपनियों तक, सभी के पास संवेदनशील डेटा होता है जिसकी उन्हें रक्षा करने की आवश्यकता होती है। जीडीपीआर के तहत संकलित होने के दौरान, छोटी कंपनियों को जिन प्रमुख मुद्दों का सामना करना पड़ता है वे हैं:
- उच्च निवेश उच्च तकनीकी सुरक्षा कार्यक्रम ला सकता है
- उसी के लिए डीपीओ (डेटा सुरक्षा अधिकारी) की नियुक्ति।
- डेटा उल्लंघन की स्थिति में कर्मचारियों को 72 घंटों के भीतर रिपोर्ट करने का प्रशिक्षण देना।
- आपूर्ति श्रृंखला के साथ गुणवत्ता नियंत्रण बनाए रखना- यह मान्य करना कि आपके व्यवसाय से जुड़े सभी आपूर्तिकर्ता और ठेकेदार जीडीपीआर के अनुरूप होने चाहिए।
- डेटा पोर्टेबिलिटी के लिए तैयार रहें- यदि कोई ग्राहक अपने डेटा की कॉपी मांगता है।
- नियुक्ति सदस्य जो डेटा विषय अनुरोधों तक पहुँचने के लिए पूरी तरह से जिम्मेदार हैं।
छोटे पैमाने की कंपनियों के पास इन चुनौतियों से निपटने के लिए कम संसाधन होते हैं और कोई त्रुटि होने पर कम मार्जिन होता है (जो होना काफी सामान्य है)
नियमित डेटा विषय अनुरोध
यह संगठन के लिए सबसे बड़ा बदलाव और चुनौती है। उन्हें सभी डेटा विषय अनुरोधों से तुरंत निपटना होगा। चूंकि जीडीपीआर व्यक्तियों और उपयोगकर्ताओं को अधिकार प्रदान करता है:
– यह पूछने के लिए कि कंपनी कौन सा डेटा संग्रहीत करती है
– उनका डेटा कैसे इस्तेमाल किया जा रहा है
– किस प्रकार के व्यक्तिगत डेटा का संबंध है
– उनकी संवेदनशील जानकारी को संसाधित करने का उद्देश्य
– जब भी वे चाहें उनका डेटा मिटा दें, और
- पर्यवेक्षी प्राधिकरण के पास शिकायत दर्ज करें
यह स्पष्ट है कि पूछताछ दैनिक आधार पर चालू होगी। चूँकि कोई भी कंपनी उपयोगकर्ताओं के इस अधिकार का उल्लंघन नहीं कर सकती है, इसलिए उन्हें ऐसी प्रक्रियाएँ स्थापित करनी चाहिए जो हर बार डेटा विषय अनुरोध आने पर टीम के आवश्यक सदस्यों को सचेत करें। दी गई जानकारी उपयोगकर्ताओं के लिए पारदर्शी, निष्पक्ष और संक्षिप्त होनी चाहिए। संगठन उपभोक्ताओं को गुमराह करने और भ्रमित करने के लिए और अधिक जटिल भाषा का उपयोग नहीं कर सकते।
डीपीओ अनिवार्य है
यूरोपीय संघ के देशों में डेटा संरक्षण सामंजस्य के उद्देश्य से, डेटा सुरक्षा अधिकारी (DPO) की नियुक्ति को व्यवसायों पर एक महान GDPR प्रभाव के रूप में देखा जा सकता है। जीडीपीआर के अनुच्छेद 37 के अनुसार, प्रत्येक सार्वजनिक प्राधिकरण के लिए एक डीपीओ तय करना जहां डेटा की निरंतर निगरानी और प्रसंस्करण अनिवार्य है।
GDPR नौकरी के नए अवसर लाता है। डीपीओ वह है जिसे डेटा संरक्षण कानूनों के बारे में विशेषज्ञ ज्ञान होना चाहिए। जीडीपीआर ने विशेषज्ञता के स्तर के बारे में स्पष्ट रूप से व्यक्त नहीं किया है कि एक डीपीओ को क्या करना चाहिए, लेकिन मूल रूप से डेटा के प्रसंस्करण की जटिलता के अनुसार एक डीपीओ के पास अधिक प्रवीणता आती है।
ए डीपीओ कर्तव्यों और जिम्मेदारियों को पूरा करना चाहिए जैसे:
- आंतरिक डेटा सुरक्षा मामले प्रबंधित करें
- व्यक्ति के अधिकारों और सहमति का ध्यान रखें
- अनुपालन और अन्य सुरक्षा कानूनों की निगरानी
- अनुपालन आवश्यकताओं के महत्व के बारे में कर्मचारियों को प्रशिक्षण देना
- कंट्रोलर्स और प्रोसेसर्स के साथ मिलकर काम करना
डेटा हैक्स में वृद्धि
जैसा कि संगठन नए डेटा संरक्षण विनियमन का पालन करने की कोशिश कर रहे हैं, उसी समय रिपोर्टें आ रही हैं कि साइबर अपराधी उन संगठनों के लिए जीडीपीआर पेनल्टी से थोड़ा कम फिरौती मांग रहे हैं जिन्होंने पहले से अनुपालन नहीं किया है। जैसे-जैसे अधिक लोग ऑनलाइन दुनिया में शामिल होते जा रहे हैं, वैसे-वैसे यह संभावना बढ़ गई है कि वे बढ़े हुए रैंसमवेयर, बीईसी (बिजनेस ईमेल समझौता) जबरन वसूली के हमलों और क्रिप्टोकरंसी माइनिंग से संक्रमित हो सकते हैं।
हालांकि यह विनियमन हमारे सभी डेटा को सुरक्षित बनाने में मदद करेगा, फिर भी हैकर्स हैक करने जा रहे हैं।
इसलिए, क्रॉस-जेनरेशनल सुरक्षा विधियों को अपनाने की आवश्यकता है जो डेटा हैक के जोखिम को कम करने में मदद करेगी।
आधिकारिक संस्थाओं पर बोझ
यहां शामिल प्रमुख खिलाड़ी नियंत्रक और प्रोसेसर हैं।
नियंत्रक वे हैं जो "क्या", "क्यों" और "कैसे" प्रश्नों का उत्तर देने के लिए जिम्मेदार हैं, व्यक्तियों के व्यक्तिगत डेटा का प्रसंस्करण हो रहा है। यह कोई भी संस्था, सार्वजनिक प्राधिकरण, व्यक्ति या कोई संगठन या एजेंसी हो सकता है।
नियंत्रक की मुख्य भूमिका किसी व्यक्ति के डेटा उपयोग के बारे में तस्वीर को स्पष्ट रखना है और यदि उपयोगकर्ता से कोई सहमति प्राप्त होती है (जिसे उचित रूप से नियंत्रित नहीं किया जाता है) तो कंपनी को जुर्माना देना होगा (जीडीपीआर के अनुसार)।
प्रोसेसर वे हैं जो उपयोगकर्ताओं की व्यक्तिगत जानकारी को संसाधित करते हैं। जीडीपीआर के संदर्भ में, एक प्रोसेसर एक कानूनी व्यक्ति या एजेंसी है जो नियंत्रकों की ओर से डेटा संसाधित करता है। सरल शब्दों में, एक नियंत्रक वह होता है जो प्रसंस्करण गतिविधियों के बारे में निर्णय लेता है या निर्णय लेता है और प्रोसेसर उन कार्यों को करता है।
नियंत्रक वह है जो आगे के उपचार के लिए प्रोसेसर का चयन करता है- इसलिए डेटा को सही और सही दिशा में निष्पादित करने के लिए यह दोनों पर समान बोझ बन जाता है। साथ ही, प्रोसेसिंग पूरा होने के बाद डेटा को मिटाना प्रोसेसर की जिम्मेदारी है।
विपणक के लिए प्रमुख खतरा
विपणक बड़े पैमाने पर या पूरी तरह से उपभोक्ताओं के डेटा पर निर्भर हैं। सूत्रों के मुताबिक, केवल 20% यूजर्स का मानना है कि इस डेटा प्रोटेक्शन रेगुलेशन के लागू होने के बाद भी कंपनियां अपने डेटा का सख्ती से इस्तेमाल, प्रबंधन और सुरक्षा नहीं कर पाएंगी।
डेटा अनुमति लेने से लेकर डेटा एक्सेस करने तक, विपणक की यह ज़िम्मेदारी बन जाती है कि वह इस बात का ध्यान रखे कि उपयोगकर्ता आसानी से उस डेटा तक पहुँच सके जो लाभ कमाने के लिए उपयोग किया जा रहा है या तीसरे पक्ष को बेचा जा रहा है। जैसा कि विपणक यह समझने के लिए सर्वोत्कृष्ट हो जाता है कि आप कितना डेटा एकत्र कर रहे हैं और अपने पृष्ठ से जुड़ने के लिए सहमत होने से पहले अपने आप से पूछें कि क्या आपको वास्तव में वैवाहिक जानकारी या पसंदीदा व्यंजन वरीयता की आवश्यकता है।
कुछ क्षेत्र जहां जीडीपीआर आपकी मार्केटिंग गतिविधियों को प्रभावित करेगा:
- वेबसाइट कुकीज़- आपके लाभ के लिए विज़िटर के खोज पैटर्न को एकत्रित करना अब स्वीकार नहीं किया जाएगा! अब विपणक को आपकी साइट पर कुकीज़ के लिए सहमति लेने की आवश्यकता है जो पारदर्शी और स्पष्ट होनी चाहिए। साथ ही, आपको उन्हें एक अलग रास्ता देना होगा जिसके माध्यम से वे चाहें तो अपनी सहमति वापस ले सकते हैं।
- ग्राहक डेटा प्रबंधन पर प्रमुख प्रभाव- विपणक को इस बात पर पुनर्विचार करना होगा कि वे किस प्रकार का डेटा संग्रहीत करते हैं, वे कैसे संग्रहीत करते हैं, वे इसे कैसे संसाधित करते हैं, जिसे वे साझा और स्थानांतरित करते हैं, और अंत में इसे कैसे एक्सेस किया जाता है।
- ई-मेल मार्केटिंग पर प्रभाव- विपणक को अपने उपयोगकर्ताओं के बारे में एक स्पष्ट दस्तावेज रखना होगा, जिन्होंने आपसे ईमेल प्राप्त करने की सहमति दी है कि आप इसे कैसे बाजार में लाने जा रहे हैं। यदि आप किसी तीसरे पक्ष से उपयोगकर्ताओं की सूची प्राप्त कर रहे हैं तो आपको यह सुनिश्चित करना होगा कि उनके पास समान दस्तावेज हैं।
जीडीपीआर उल्लंघन के परिणाम
चूंकि, यदि आपकी कंपनी ने संकलित होने के लिए कोई उपाय नहीं किया है, तो यह विनियमन प्रत्येक संगठन को प्रभावित करेगा चाहे वह कहीं भी रहता हो। व्यवसायों पर GDPR का प्रभाव काफी गहरा है क्योंकि उल्लंघन की प्रकृति के आधार पर दंड संरचना को दो स्तरों में विभाजित किया गया है।
<ओल>– व्यक्तिगत अधिकार
– उपयोगकर्ता की सहमति
– डेटा ट्रांसफर
– डेटा का संसाधन (जब यह एक निश्चित समय के लिए सीमित था)
यदि ये लेख अपवित्र हैं तो कंपनी के टर्नओवर का 4% या €20 मिलियन तक का जुर्माना - जो भी अधिक हो, वसूल किया जाएगा।
<ओल प्रारंभ ="2"> – अगर किसी बच्चे का निजी डेटा बिना सहमति के हासिल और प्रोसेस किया जाता है
– यदि पर्यवेक्षी अधिकारियों को डेटा उल्लंघन के 72 घंटे के भीतर सूचित नहीं किया जाता है
- अगर जिन यूजर्स या ग्राहकों का डेटा लीक हो रहा है, उन्हें दी गई समय सीमा के भीतर सूचित किया जाता है और,
- निगरानी निकायों, डीपीओ (डेटा सुरक्षा अधिकारी) और प्रमाणन निकायों आदि पर अन्य दायित्व।
यदि इन लेखों को अपवित्र किया जाता है तो कंपनी के टर्नओवर का 2% या € 10 मिलियन तक का जुर्माना लगाया जाएगा - जो भी अधिक हो, शुल्क लिया जाएगा।
हालांकि जीडीपीआर कई महत्वपूर्ण बदलाव कर रहा है, यह मौजूदा सिद्धांतों और प्रणाली का पूर्ण प्रस्थान नहीं है। यह विनियमन अपनी सभी चुनौतियों और कमियों के साथ रहेगा, साथ ही संगठनों को रोना बंद करना चाहिए और इसके अवसरों को भी समझना चाहिए। यह क्रांतिकारी डेटा संरक्षण विनियमन अपनी क्षमता पर कायम रहेगा या यह लालफीताशाही को डगमगाएगा 25 मई, 2018 को इसके प्रवर्तन पर निर्णय लिया जाएगा।