डेटा हमारे जीवन के लिए पहले से कहीं अधिक महत्वपूर्ण है। लोगों द्वारा उपयोग की जाने वाली ऑनलाइन सेवाओं से लेकर मॉल तक, डेटा के महासागर हैं, जब अनुचित तरीके से प्रबंधित होने पर, लोगों की गोपनीयता भंग हो सकती है और उनके जीवन की गुणवत्ता कम हो सकती है।
यही कारण है कि जीडीपीआर (सामान्य डेटा सुरक्षा विनियमन) जैसे डेटा सुरक्षा नियम इतने महत्वपूर्ण हैं।
जीडीपीआर पेश किए गए बड़े बदलावों में से एक यह है कि वेबसाइटें पॉपअप का उपयोग कैसे करती हैं। अगर आप सोच रहे हैं कि जीडीपीआर क्या है और वेबसाइटों पर आपको अपने डेटा से संबंधित पॉपअप क्यों दिखाई देते हैं, तो यह लेख आपके लिए है।
GDPR क्या है?
यूरोपीय आयोग ने पहली बार 2016 में जीडीपीआर का मसौदा तैयार किया था। यह नियम 2018 में सक्रिय हो गया था, जो यूरोपीय संघ के नागरिकों को उनके व्यक्तिगत डेटा पर अधिक नियंत्रण देने के लिए बनाए गए नियम प्रदान करता है। तब से, GDPR का प्रभाव बढ़ गया है क्योंकि यूरोपीय संघ के बाहर के अधिक देश इसे अपने क्षेत्रों में लागू करते हैं।
जीडीपीआर के सिद्धांत
GDPR का उद्देश्य यह सुनिश्चित करना है कि नागरिक और व्यवसाय दोनों डिजिटल अर्थव्यवस्था से लाभान्वित हो सकें। ईयू के अनुसार, जीडीपीआर को अपने सदस्य राज्यों में डेटा गोपनीयता कानूनों को "सामंजस्यपूर्ण" बनाने और व्यक्तियों को अधिक डेटा सुरक्षा और गोपनीयता अधिकार प्रदान करने के लिए डिज़ाइन किया गया है।
जीडीपीआर सात सिद्धांतों पर आधारित है, जिनमें से कुछ पिछले डेटा सुरक्षा नियमों में मौजूद थे। GDPR के सात सिद्धांतों में शामिल हैं:
- वैधता, निष्पक्षता और पारदर्शिता
- उद्देश्य सीमा
- डेटा न्यूनीकरण
- शुद्धता
- संग्रहण सीमा
- सत्यनिष्ठा और गोपनीयता (सुरक्षा)
- जवाबदेही
डेटा के नियंत्रक और प्रोसेसर
GDPR का मतलब डेटा कंट्रोलर और प्रोसेसर द्वारा पालन किया जाना है। नियंत्रक ऐसे संगठन हैं जो व्यक्तिगत डेटा के प्रसंस्करण के उद्देश्यों और साधनों पर नियंत्रण रखते हैं। GDPR नियंत्रकों को उन कंपनियों के रूप में वर्गीकृत करता है जो यह तय करती हैं कि व्यक्तिगत डेटा को क्यों और कैसे संसाधित किया जाना चाहिए।
कुछ मामलों में, एक संगठन को एक संयुक्त नियंत्रक माना जा सकता है यदि वह संयुक्त रूप से यह निर्धारित करता है कि एक या अधिक संगठनों के साथ व्यक्तिगत डेटा को क्यों और कैसे संसाधित किया जाना चाहिए।
एक संयुक्त डेटा नियंत्रक का एक उदाहरण पाया जा सकता है जहां दो कंपनियां अपने उत्पादों को बेचने और क्लाइंट डेटा साझा करने के लिए एक वेबसाइट बनाती हैं। दोनों कंपनियों को संयुक्त नियंत्रक के रूप में वर्गीकृत किया जा सकता है क्योंकि उनके द्वारा प्रदान की जाने वाली संयुक्त सेवाओं और उनके द्वारा डिजाइन और उपयोग किए जाने वाले सामान्य प्लेटफॉर्म के कारण।
डेटा के प्रोसेसर वे लोग या संगठन हैं जो नियंत्रकों के लिए व्यक्तिगत डेटा को संसाधित करते हैं। प्रोसेसर का एक उदाहरण एक प्रिंटिंग कंपनी है जो अपने निर्देशों पर डिजिटल मार्केटिंग सामग्री बनाने के लिए क्लाइंट के ग्राहकों के व्यक्तिगत डेटा का उपयोग करती है।
जीडीपीआर के तहत, नियंत्रकों और प्रोसेसर को नियमों का पालन करना पड़ता है क्योंकि नियमों का पालन करने में विफलता के कारण उन्हें भारी जुर्माना देना पड़ सकता है या प्रतिष्ठा की क्षति हो सकती है। विनियम इस बात के इर्द-गिर्द घूमते हैं कि कैसे नियंत्रक और प्रोसेसर व्यक्तिगत डेटा एकत्र और उपयोग करते हैं।
व्यक्तिगत डेटा
किसी व्यक्ति की पहचान करने के लिए इस्तेमाल किया जाने वाला डेटा जीडीपीआर के तहत व्यक्तिगत डेटा बनाता है। अक्सर, व्यक्तिगत डेटा एक ऑनलाइन पहचानकर्ता के रूप में या विशेष विशेषताओं के साथ आता है जो शारीरिक, मनोवैज्ञानिक, आनुवंशिक, मानसिक, वाणिज्यिक, सांस्कृतिक या सामाजिक पहचान को व्यक्त करते हैं।
व्यक्तिगत डेटा GDPR का एक प्रमुख तत्व है। ऐसा इसलिए है क्योंकि GDPR केवल व्यक्तिगत डेटा के उपयोग पर लागू होता है। मौजूदा कानून के तहत, व्यक्तिगत डेटा के रूप में वर्गीकृत किए जा सकने वाले डेटा के प्रकारों में शामिल हैं:
- नाम
- पहचान संख्या
- स्थान
- पता
- क्रेडिट कार्ड नंबर
- खाता डेटा
- नंबर प्लेट
- ग्राहक संख्या
व्यक्तिगत डेटा की विशेष श्रेणियां
व्यक्तिगत डेटा की विशेष श्रेणियों के लिए सुरक्षा के मानक सामान्य व्यक्तिगत डेटा के मानकों की तुलना में बहुत अधिक हैं। डेटा की विशेष श्रेणियों में शामिल हैं:
- आनुवंशिक डेटा
- बायोमेट्रिक डेटा
- स्वास्थ्य डेटा
- राजनीतिक राय
- धार्मिक या वैचारिक विश्वास
- ट्रेड यूनियन सदस्यता
- व्यक्तिगत डेटा जो नस्लीय और जातीय मूल का खुलासा करता है
जीडीपीआर पारदर्शिता पर बहुत जोर देता है। इस कारण से, वेबसाइट ऑपरेटरों को अपने संरक्षित डेटा का उपयोग करने के लिए उपयोगकर्ताओं से सहमति प्राप्त करने की आवश्यकता होती है।
मुझे डेटा और कुकी अनुरोध पॉपअप क्यों दिखाई देते हैं?
जब भी आप किसी वेबसाइट पर जाते हैं, तो आपके डिवाइस पर एक कुकी फ़ाइल सहेजी जा सकती है। इस फ़ाइल में वेबसाइट और आपके बारे में जानकारी है। वेबसाइट आपके बारे में सहेजी गई जानकारी का उपयोग करके आपके अनुभव को अनुकूलित करने के लिए जानकारी का उपयोग कर सकती है।
कुकी फ़ाइल की जानकारी में व्यक्तिगत रूप से पहचान योग्य जानकारी शामिल हो सकती है जो जीडीपीआर के तहत सुरक्षित हो सकती है। नतीजतन, वेबसाइटों को कुकीज़ के साथ आपका डेटा एकत्र करने से पहले आपकी सहमति लेनी होगी।
कुछ वेबसाइटों के लिए उपयोगकर्ताओं को वेबसाइट का उपयोग जारी रखने से पहले सभी कुकीज़ को स्वीकार करने की आवश्यकता होती है। कुछ मामलों में, उपयोगकर्ताओं को उनके द्वारा अनुमत कुकी के प्रकारों पर अधिक विकल्प दिए जाते हैं, जबकि अन्य वेबसाइटें जानकारी एकत्र नहीं करने का विकल्प चुनती हैं या उपयोगकर्ताओं को कुकी बैनर का जवाब देने के लिए बाध्य करती हैं।
GDPR यूके पर लागू क्यों नहीं होता?
यूके द्वारा ब्रेक्सिट संक्रमण अवधि (ईयू से अलग होने की प्रक्रिया के हिस्से के रूप में) को पूरा करने के बाद, जीडीपीआर अब राष्ट्र पर लागू नहीं हुआ। चूंकि यूके अब ईयू का हिस्सा नहीं है, जीडीपीआर सीधे राष्ट्र पर लागू नहीं होता है। हालांकि, विनियम यूके में डेटा सुरक्षा को अप्रत्यक्ष रूप से प्रभावित करना जारी रखता है।
DPPEC (डेटा सुरक्षा, गोपनीयता और इलेक्ट्रॉनिक संचार) विनियम 2019 का उपयोग GDPR की कुछ आवश्यकताओं को यूके के डेटा संरक्षण अधिनियम 2018 (DPA 2018) में लागू करने के लिए किया गया था। यूके ने "यूके जीडीपीआर" के रूप में ज्ञात डेटा सुरक्षा नियमों का एक नया सेट बनाने के लिए ईयू जीडीपीआर की आवश्यकताओं को डीपीए 2018 के साथ विलय कर दिया।
GDPR और अन्य क्षेत्रीय विनियम
जीडीपीआर के समान प्रावधानों वाले डेटा गोपनीयता कानूनों को दुनिया के विभिन्न हिस्सों में लागू किया जाना जारी है। परिणामस्वरूप, पहले से कहीं अधिक क्षेत्रों (विशेषकर यूरोप में) में स्थानीय कानून और विनियम हैं जो GDPR के अनुकूल हैं।
ब्राज़ील का Lei Geral de Proteçao de Dados (LGPD) सीधे GDPR के बाद तैयार किया गया है। इस विनियमन के लिए उन कंपनियों की आवश्यकता है जो ब्राजील में अपने डेटा सुरक्षा नियमों का पालन करने या जुर्माना अदा करने के लिए व्यापार करना चाहती हैं। LGPD में व्यक्तिगत जानकारी की परिभाषा GDPR की परिभाषा के समान है। जबकि GDPR व्यक्तिगत जानकारी को इस प्रकार परिभाषित करता है,
संयुक्त राज्य अमेरिका में, प्रत्येक राज्य के अपने गोपनीयता कानून हैं। कैलिफ़ोर्निया कंज्यूमर प्राइवेसी एक्ट (CCPA) में संयुक्त राज्य अमेरिका में सबसे सख्त डेटा गोपनीयता नियम शामिल हैं। इसके बहुत सारे प्रावधान GDPR के साथ ओवरलैप करते हैं। जबकि जीडीपीआर के लिए व्यवसायों को अपनी वेबसाइट पर उपयोगकर्ताओं को कुकीज़ और अन्य ट्रैकिंग तकनीकों को स्वीकार करने के लिए प्रेरित करने की आवश्यकता होती है, सीसीपीए के लिए व्यवसायों को "मेरी जानकारी न बेचें" या "मेरी व्यक्तिगत जानकारी न बेचें" लिंक की आवश्यकता होती है।
जीडीपीआर की शुरुआत से पहले भी, कई यूरोपीय संघ के राज्यों में समान नियमों वाले नियम थे। कई यूरोपीय संघ के देशों में, जवाबदेही ही एकमात्र सिद्धांत है जो जीडीपीआर लागू करने से पहले उनके डेटा सुरक्षा नियमों में नहीं था।
व्यक्तिगत अधिकारों की रक्षा करना
99 अलग-अलग लेखों के साथ, GDPR को दुनिया में डेटा सुरक्षा नियमों का सबसे मजबूत सेट माना जाता है।
जब अन्य क्षेत्रीय नियमों से तुलना की जाती है, तो इसका कारण स्पष्ट होता है। यह पहले से मौजूद नियमों पर आधारित है, जिसमें व्यक्तियों के अधिकारों की रक्षा के लिए और नियम जोड़े गए हैं। जीडीपीआर ने डेटा गोपनीयता की रक्षा करने की प्रक्रिया को इतना सरल कर दिया है कि फेसलेस वेबसाइटें भी कुकीज़ के साथ अपना डेटा एकत्र करने से पहले उपयोगकर्ता की सहमति प्राप्त करने के लिए पॉपअप का उपयोग कर रही हैं।