सामान्य डेटा संरक्षण विनियमन का आगमन

जीडीपीआर क्या है और वेबसाइटों और ई-कॉमर्स साइटों के लिए व्यक्तिगत डेटा की सुरक्षा के लिए इसका क्या मतलब है

सामान्य डेटा संरक्षण विनियमन के उद्देश्य

यूरोपीय संघ द्वारा पारित इस कानून की उपयोगिता को बेहतर ढंग से समझने के लिए, जीडीपीआर के उद्देश्यों को सूचीबद्ध करना आवश्यक है। इस नए विनियमन के साथ, उपयोगकर्ताओं को सबसे पहले अपने व्यक्तिगत डेटा के भाग्य के बारे में अधिक जागरूक होना चाहिए और सबसे पहले स्पष्ट सहमति प्रदान करनी होगी। फिर उसी डेटा का उपयोग अत्यधिक कंजूसी के साथ किया जाना चाहिए, उन्हें यूरोपीय समुदाय के बाहर संसाधित करने की अनुमति देने के लिए सख्त नियम निर्धारित किए जाने चाहिए, और अंत में सामान्य डेटा संरक्षण विनियमन के प्रावधानों का उल्लंघन करने वालों के लिए गंभीर दंड होना चाहिए। ये वे बिंदु हैं जिन पर यह नया गोपनीयता विनियमन आधारित है, लेकिन इसके जारी होने के कुछ ही समय बाद, सामान्य डेटा संरक्षण विनियमन पहले से ही कुछ खामियां प्रस्तुत करता है।

सदस्य देशों और इतालवी दलदल का "अनुपात"।

सामान्य डेटा संरक्षण विनियमन ने खुद को नियमों की एक प्रणाली के रूप में प्रस्तुत किया है जो गोपनीयता के नाम पर एक महत्वपूर्ण कार्रवाई की गारंटी देता है। हालाँकि, कानून के समय, यूरोपीय संघ ने सदस्य देशों को इस नए दस्तावेज़ में निहित नियमों की "व्याख्या" करने में सक्षम होने की संभावना छोड़ दी। इसका मतलब यह है कि बहुप्रतीक्षित कठोरता शुरू होने से पहले ही खत्म हो गई है, और उदाहरण के लिए, फ्रांसीसी और स्पेनिश उपयोगकर्ता अपने व्यक्तिगत डेटा को पुर्तगाली या जर्मन उपयोगकर्ताओं की तुलना में अलग तरीके से व्यवहार करते हुए देख सकते हैं। इटालियन मामला और भी अनोखा है: आज तक, हमारी सरकार ने सामान्य डेटा संरक्षण विनियमन से संबंधित विधायी डिक्री जारी नहीं की है, इसलिए यूरोपीय विनियमन अभी भी हमारे देश में मान्य है। इस चीज़ के अपने आप में सकारात्मक पहलू भी हो सकते हैं, अगर ऐसा न होता कि विधायी डिक्री के अभाव में गोपनीयता पर इस नए दस्तावेज़ के प्रावधानों का उल्लंघन करने वालों पर मुकदमा चलाना और दंडित करना संभव नहीं है।

"व्यक्तिगत डेटा" से क्या तात्पर्य है?

शब्द "व्यक्तिगत डेटा" का उपयोग रोजमर्रा की जिंदगी के विभिन्न क्षेत्रों में किया जाता है (और दुरुपयोग किया जाता है), लेकिन यह सभी गैर-विशेषज्ञों के लिए एक भ्रामक अवधारणा है। साथ ही, यह देखते हुए कि हम गोपनीयता के उल्लंघन के खिलाफ संवेदनशील डेटा और नियमों की सुरक्षा के बारे में बात कर रहे हैं, "व्यक्तिगत डेटा" का स्पष्ट विचार होना आवश्यक है। वह सभी जानकारी किसी व्यक्ति को स्पष्ट रूप से पहचानने की अनुमति देती है दूसरों से। "व्यक्तिगत डेटा": इसलिए इस श्रेणी में नाम, उपनाम, टैक्स कोड, जन्म तिथि, पता, टेलीफोन नंबर और बहुत कुछ शामिल है। हालाँकि, जब हम वेब पोर्टल पर गोपनीयता के बारे में बात करते हैं तो ऐसे अन्य तत्व भी होते हैं जो विशिष्ट रूप से किसी विषय की पहचान करते हैं, भले ही वे उन उपकरणों के लिए अधिक जिम्मेदार हों जिनका उपयोग वही करता है: आईपी पते, ई-मेल पते, कुकीज़ और आदि।

इस परिभाषा के प्रकाश में, एक प्रश्न उठता है: लेकिन उपयोगकर्ता अपना संवेदनशील डेटा किसी वेबसाइट को सौंपने का निर्णय कब लेते हैं? अधिकांश मामलों में यह कार्रवाई पोर्टल पर पंजीकरण चरण के दौरान होती है, चाहे इसका उद्देश्य एक आरक्षित क्षेत्र बनाना हो या सिर्फ एक समाचार पत्र की सदस्यता लेना हो। विशेष रूप से, फिर, बहुत सारे ई-कॉमर्स साइट उनके पास अन्य प्रकार के डेटा तक भी पहुंच है जिन्हें "संवेदनशील" के रूप में परिभाषित किया जा सकता है: सबसे पहले, वित्तीय प्रकृति (बैंक कोड, आईबीएएन और कर अधिवास) के डेटा, जो ऑनलाइन लेनदेन करने में सक्षम होने के लिए स्पष्ट रूप से आवश्यक हैं। कम विचार किया गया लेकिन फिर भी व्यक्तिगत डेटा की श्रेणी के लिए उपभोग की आदतें भी जिम्मेदार हैं: आप किस सोशल नेटवर्क का उपयोग करते हैं? आपका पसंदीदा पेय क्या है? आपके द्वारा ऑनलाइन खरीदा गया अंतिम आइटम क्या है? ये प्रतीत होने वाले तुच्छ प्रश्न एक उपभोक्ता प्रोफ़ाइल बनाते हैं, ताकि उपयोगकर्ता को केवल उन वस्तुओं और सेवाओं की पेशकश की जाए जो वास्तव में उसकी जिज्ञासा को बढ़ा सकें। व्यावसायिक उद्देश्यों के लिए इस डेटा का उपयोग भी उपयोगकर्ता को स्पष्ट रूप से समझाया जाना चाहिए, हमेशा सामान्य डेटा संरक्षण विनियमन के प्रावधानों के अनुसार।

नए सामान्य डेटा संरक्षण विनियमन के साथ क्या करें

के पीछे के सैद्धांतिक पहलुओं को गहरा करें व्यक्तिगत डेटा की सुरक्षा यह आवश्यक है, लेकिन वे सभी जो वेब पोर्टल और ई-कॉमर्स साइटों का प्रबंधन करते हैं, मूल रूप से यह समझना चाहते हैं कि इस नए गोपनीयता कानून के संबंध में क्या नए कार्य किए जाने हैं।

गोपनीयता नीति के साथ संयुक्त संपर्क प्रपत्र

जैसा कि हमने पहले लिखा था, उपयोगकर्ताओं को पता होना चाहिए कि उनके व्यक्तिगत डेटा को कुछ उद्देश्यों के लिए एकत्र और संसाधित किया जा सकता है। और इसलिए यह आवश्यक है कि उपयोगकर्ता, ई-कॉमर्स साइटों पर पंजीकरण करते समय या इंटरनेट पोर्टल पर जाते समय स्पष्ट रूप से अपनी सहमति का प्रयोग करे। यही कारण है कि सामान्य डेटा संरक्षण विनियमन सभी को बाध्य करता है इंटरनेट साइटों एक होना Privacy Policy, या एक दस्तावेज़ जिसमें उपयोगकर्ताओं को समझाया जाता है कि किस प्रकार का डेटा एकत्र किया जाता है, वह विषय कौन है जो उन्हें एकत्र करता है और वे ऐसा क्यों करते हैं, लेकिन सबसे ऊपर यह स्पष्ट करना चाहिए कि क्या इन्हें तीसरे पक्ष को स्थानांतरित किया जाता है और कितने समय तक रखा जाता है। पोर्टल डेटाबेस. यह देखते हुए कि ऐसा दस्तावेज़ अक्सर विशेष रूप से लंबा और उबाऊ होता है, और वेब उपयोगकर्ता (अपनी व्यक्तिगत सुरक्षा के बावजूद) उन इंटरनेट साइटों से बचते हैं जहां पढ़ने के लिए लंबे पाठ होते हैं, यह स्थापित किया गया है कि गोपनीयता नीतियों को संयोजित करना होगा उन रूपों के साथ जिनमें उपयोगकर्ता भौतिक रूप से अपना व्यक्तिगत डेटा दर्ज करता है। यही कारण है कि जब, उदाहरण के लिए, आप किसी वेबसाइट न्यूज़लेटर की सदस्यता लेते हैं, तो अपना नाम, उपनाम और ईमेल पता दर्ज करने के अलावा, उपयोगकर्ता को व्यक्तिगत डेटा के प्रसंस्करण के प्राधिकरण से संबंधित बॉक्स को "टिक" करना होगा।

डेटा लॉगिंग और Google Analytics

यह नया कानून, अन्य बातों के अलावा, व्यक्तिगत डेटा की सुरक्षा को विनियमित करने के अलावा, ई-कॉमर्स साइटों और वेब पोर्टलों के प्रबंधकों को संवेदनशील उपयोगकर्ता संदर्भों को पंजीकृत करने और रखने के लिए भी बाध्य करता है। इतना ही नहीं, यहां तक ​​कि जिस तारीख को उपयोगकर्ता ने अपने व्यक्तिगत डेटा के प्रसंस्करण के लिए सहमति दी थी, उसे भी आसानी से सत्यापित किया जाना चाहिए। इसलिए वेबसाइटों को किसी भी समय उपयोग करने के लिए एक वास्तविक डेटाबेस की आवश्यकता होती है, जिसे डेटा लॉगिंग टूल के साथ जोड़ा जाना चाहिए। उत्तरार्द्ध एक सॉफ्टवेयर है जो उस डिवाइस का आईपी पता रिकॉर्ड करता है जिसके साथ उपयोगकर्ता पोर्टल तक पहुंचता है, और इस तरह किसी भी समय दी गई सहमति की उत्पत्ति, तिथि और समय को सत्यापित करना संभव है।

उन्हें डेटा लॉगिंग टूल का सहारा लेना होगा, उदाहरण के लिए, वे सभी पोर्टल जिनमें उपयोगकर्ताओं का अपना "आरक्षित क्षेत्र" है, जहां वे न केवल किसी भी समय अपने संवेदनशील डेटा की जांच कर सकते हैं, बल्कि यदि आवश्यक हो तो वे इसे संशोधित भी कर सकते हैं और/या उन्हें हटाओ। दुनिया में सबसे प्रसिद्ध डेटा लॉगिंग टूल में से एक Google Analytics है, जो इसी नाम की माउंटेन व्यू कंपनी का सॉफ्टवेयर है जिसका उपयोग उपयोगकर्ता अपनी वेबसाइट के प्रदर्शन की जांच करने के लिए करते हैं। Google Analytics प्रत्येक उपयोगकर्ता के आईपी पते, देखे गए पृष्ठों, बिताए गए समय और कई अन्य डेटा को रिकॉर्ड करता है। इस सॉफ़्टवेयर का उपयोग करने वाली वेबसाइटों के प्रबंधकों को, हमेशा सामान्य डेटा संरक्षण विनियमन के प्रावधानों के अनुपालन में, अपने पोर्टल के भीतर Google Analytics जैसे कार्यक्रमों के उपयोग को स्पष्ट करना चाहिए।

यहां डेटा संरक्षण अधिकारी आता है

के लिए नये नियम व्यक्तिगत डेटा की सुरक्षा एक विशिष्ट पेशेवर व्यक्ति प्रदान करें जिसे उपयोगकर्ताओं द्वारा वेब पोर्टलों को सौंपी गई चीज़ों के प्रबंधन और सुरक्षा की ज़िम्मेदारी लेनी होगी। इस आंकड़े को डेटा प्रोटेक्शन ऑफिसर या के नाम से जाना जाता है डेटा सुरक्षा अधिकारी (संक्षिप्त रूप में डीपीओ)। डेटा सुरक्षा प्रबंधक को सबसे पहले न केवल सामान्य डेटा सुरक्षा विनियमन, बल्कि गोपनीयता पर लागू अन्य सभी नियमों, चाहे अतीत, वर्तमान या भविष्य, का गहन ज्ञान होना चाहिए। फिर उसे वेबसाइट के स्वामित्व के संबंध में एक बिल्कुल स्वतंत्र व्यक्ति होना चाहिए, जो किसी से आदेश प्राप्त नहीं करता है और जिसे कंपनी के संगठन चार्ट के शीर्ष प्रबंधन से सीधे बात करनी चाहिए। साथ ही, अंततः, इसे वित्तीय और मानव संसाधनों का उपयोग करने में सक्षम होना चाहिए जो इसे व्यक्तिगत डेटा की सुरक्षा के लिए नए नियमों द्वारा स्थापित कार्यों को सर्वोत्तम संभव तरीके से पूरा करने की अनुमति देता है। वास्तव में, के आंकड़े के पीछे भी DPO इसमें कई खामियां और पहलू हैं जिन्हें स्पष्ट किया जाना जरूरी है। सबसे ऊपर, डेटा सुरक्षा अधिकारी के कौशल की चिंता है: वास्तव में इस व्यक्ति के पास न केवल गोपनीयता नियमों के संबंध में सही कौशल होना चाहिए, बल्कि वेब पोर्टल द्वारा निपटाए जाने वाले मुद्दों में भी सक्षम होना चाहिए, खासकर यदि वे एक निश्चित महत्व के हों (चिकित्सा-वैज्ञानिक प्रकृति के विषयों से निपटने वाले पोर्टलों के बारे में सोचें)। यह कहने की जरूरत नहीं है कि इन सभी कौशलों को एक ही आंकड़े में ढूंढना असंभव नहीं तो अक्सर मुश्किल होता है।

सामान्य डेटा संरक्षण विनियमन का उल्लंघन करने का जोखिम क्या है?

जैसा कि हमने ऊपर भी उल्लेख किया है, इस नए गोपनीयता कानून से संबंधित मंजूरी ढांचा अभी भी अधूरा है, खासकर यहां इटली में जहां एक विशिष्ट विधायी डिक्री की अनुपस्थिति अपराधियों को, कम से कम कागज पर, अभियोजन के लिए उत्तरदायी नहीं बनाती है। हालाँकि, उन लोगों द्वारा लगाए गए जुर्माने का एक संक्षिप्त सारांश देना चाहते हैं जो उपयोगकर्ताओं के व्यक्तिगत डेटा की सुरक्षा को पहले नहीं रखते हैं, हम उन्हें दो व्यापक क्षेत्रों में विभाजित कर सकते हैं: