अधिकांश नियमों के साथ, GDPR नियमों की स्पष्ट सूची नहीं है कि क्या करना है और क्या नहीं। इसलिए, इसके बारे में प्रश्न अक्सर क्यू / ए साइट पर संभाल करने के लिए बहुत व्यापक होते हैं। विनियमन के आसपास कई मिथक और गलत सरलीकरण हैं, और एक संपूर्ण उद्योग विनियमन द्वारा लगाए गए प्रतिबंधों के डर पर आधारित है।
यह उत्तर विषय का व्यावहारिक अवलोकन देने का प्रयास करता है। मैं एक वकील नहीं हूं, लेकिन मैं इस विषय के आसपास काम कर रहा हूं, क्योंकि इसे शुरू किया गया था, पहले एक सूचना इकट्ठा करने के लिए प्रतीक्षा-और-देखने का दृष्टिकोण, और वर्तमान में एक और व्यावहारिक, प्राथमिकता और पुनरावृत्ति दृष्टिकोण के साथ।
हम नहीं जानते (अभी तक) जानते हैं कि विनियमन की व्याख्या अदालतों द्वारा कैसे की जाएगी, और कई कंपनियां अभी भी यह देखने के लिए इंतजार कर रही हैं कि अन्य क्या कार्रवाई कर रहे हैं। जैसा कि सर्वर दोष आईटी पेशेवरों के लिए है, हम वकील नहीं हैं जो विनियमन और अन्य कानूनों के साथ इसके संबंध की व्याख्या कर सकते हैं। यहां तक कि अगर हम कर सकते हैं, तो क्यू / ए शैली के सवालों के जवाब देने के लिए आवश्यक सभी विस्तृत जानकारी के लिए बहुत लंबा होगा: जीडीपीआर अनुपालन व्यक्तिगत कार्यों का मामला नहीं है, बल्कि आपकी कंपनी के अंदर एक पूरी रणनीति है। यदि आपको ऐसे प्रश्न पूछने की आवश्यकता है, तो आपको एक सलाहकार या यहां तक कि एक वकील को नियुक्त करने की आवश्यकता हो सकती है। हालांकि, कई इच्छाएं एक के बिना भी जीवित रहती हैं।
आपको अपनी खुद की रणनीति (संभवत: कुछ कानूनी सलाह के साथ) तैयार करनी होगी और उसके आधार पर तय करना होगा कि जीडीपीआर के अनुपालन के लिए आप क्या कार्य कर रहे हैं। जब आप एक वास्तविक सूचना प्रणाली में उन परिवर्तनों को लागू करने की कोशिश कर रहे हैं, तो आपको तकनीकी समस्याओं का सामना करना पड़ सकता है कि कैसे कुछ हासिल किया जाना चाहिए। जब कि सवाल सर्वर फाल्ट के दायरे में सीमित हो गया है!
आरंभ करने के लिए आपको पता होना चाहिए कि विनियमन क्या है। यह मूल रूप से यह सुनिश्चित करने के लिए एक कानूनी ढांचा है कि संग्रह से हटाए जाने तक व्यक्तिगत डेटा को उसके पूरे जीवनकाल के दौरान सावधानीपूर्वक नियंत्रित किया जाता है। GDPR अनुच्छेद 5 संक्षेप में, व्यक्तिगत डेटा को संसाधित करने के लिए सिद्धांतों का वर्णन करता है:
- वैधता, निष्पक्षता और पारदर्शिता
- उद्देश्य सीमा
- डेटा न्यूनतम
- शुद्धता
- भंडारण सीमा
- ईमानदारी और गोपनीयता।
GDPR डेटा विषयों को देता है अर्थात नागरिक अपने व्यक्तिगत डेटा पर नियंत्रण रखते हैं, और ये सुनिश्चित करने के लिए उपकरण इन सिद्धांतों का सम्मान किया गया है। इनमें किसी के स्वयं के डेटा तक पहुंचने, उसे सुधारने और स्थानांतरित करने के अधिकार और इसे मिटाने का अधिकार (यानी किसी अन्य कानून को इसके संरक्षण की आवश्यकता नहीं है) शामिल हैं। यह प्रतिबंधों की संभावना भी देता है, और आपकी कंपनी को डेटा सुरक्षा अधिकारी नामित करने की आवश्यकता हो सकती है ।
अधिकांश सिद्धांत पहले से ही राष्ट्रीय कानून ( डेटा संरक्षण निर्देश 95/46 / ईसी के कारण) में लागू किए गए हैं, जो यूरोपीय संघ के अंदर कंपनियों के लिए परिवर्तन को काफी सीमित कर देता है। यदि वे यूरोपीय संघ के नागरिकों के व्यक्तिगत डेटा को संसाधित करते हैं, तो ईयू के बाहर की कंपनियों के पास थोड़ा अधिक हो सकता है।
एक मुख्य बात यह है कि परिवर्तन जवाबदेही है , जो आपकी प्रक्रियाओं को अच्छी तरह से प्रलेखित करके व्यवहार में प्राप्त किया जाता है:
- कैसे और क्यों व्यक्तिगत डेटा एकत्र किया जाता है
- क्या प्रसंस्करण को वैध बनाता है ( सहमति कला से सिर्फ एक शर्त है । 6 )
- कैसे डेटा संग्रहीत और संसाधित किया जाता है
- जिनके पास डेटा तक पहुंच है और आप इसे कैसे नियंत्रित और ऑडिट करते हैं
- क्या यह हटा दिया जाता है (स्वचालित रूप से / मानक अभ्यास) जब भंडारण का कारण समाप्त हो जाता है
- आप शामिल जोखिमों को कैसे संभालते हैं अर्थात जोखिम विश्लेषण।
मेरी राय में, यदि आप इन चीजों के बारे में सावधानी से विचार कर रहे हैं, तो समस्याओं को ठीक किया है और आपके द्वारा खोजे गए जोखिमों को कम कर दिया है, और फिर यह सब दस्तावेज किया है, तो आपको प्रतिबंधों से दूर होना चाहिए - भले ही आप एक घुसपैठ पीड़ित हों। आपकी स्थिति और व्यवहार के प्रकार के बीच संभावित लापरवाह व्यवहार का एक महासागर होगा जो € 20 मिलियन / 4% टर्नओवर जुर्माना के लिए एक उत्तरदायी बनाता है ।