सामान्य डेटा संरक्षण विनियमन (जीडीपीआर), यूरोपीय संघ का मील का पत्थर गोपनीय आँकड़ा कानून, 2018 में प्रभावी हुआ। फिर भी कई संगठन अभी भी अनुपालन आवश्यकताओं को पूरा करने के लिए संघर्ष करते हैं, और यूरोपीय संघ डेटा संरक्षण अधिकारी दंड देने में संकोच नहीं करते हैं।

यहां तक ​​कि दुनिया के सबसे बड़े व्यवसाय भी जीडीपीआर संकट से मुक्त नहीं हैं। आयरिश नियामक मेटा पर 1.2 बिलियन यूरो का जुर्माना लगाया 2023 में। इतालवी अधिकारी हैं OpenAI की जांच संदिग्ध उल्लंघनों के लिए, यहां तक ​​कि चैटजीपीटी पर कुछ समय के लिए प्रतिबंध भी लगा दिया गया।

कई व्यवसायों को जीडीपीआर आवश्यकताओं को लागू करना कठिन लगता है क्योंकि कानून न केवल जटिल है बल्कि विवेक पर भी बहुत कुछ छोड़ देता है। यूरोप के अंदर और बाहर के संगठन यूरोपीय संघ के निवासियों के व्यक्तिगत डेटा को कैसे संभालते हैं, इसके लिए जीडीपीआर कई नियम बताता है। हालाँकि, यह व्यवसायों को उन नियमों को लागू करने में कुछ छूट देता है।

किसी भी संगठन की पूरी तरह से जीडीपीआर के अनुरूप बनने की योजना का विवरण संगठन द्वारा एकत्र किए गए डेटा और उस डेटा के साथ क्या करता है, उसके आधार पर अलग-अलग होगा। जैसा कि कहा गया है, जीडीपीआर लागू करते समय कुछ प्रमुख कदम हैं जो सभी कंपनियां उठा सकती हैं: 

• इन्वेंटरी व्यक्तिगत डेटा
• विशेष श्रेणी के डेटा को पहचानें और सुरक्षित रखें 
• ऑडिट डेटा प्रोसेसिंग गतिविधियाँ
• उपयोगकर्ता सहमति प्रपत्र अपडेट करें  
• एक रिकॉर्डकीपिंग प्रणाली बनाएं
• अनुपालन नेतृत्व नामित करें
• डेटा गोपनीयता नीति का मसौदा तैयार करें
• सुनिश्चित करें कि तृतीय-पक्ष भागीदार अनुपालन कर रहे हैं
• डेटा सुरक्षा प्रभाव आकलन के लिए एक प्रक्रिया बनाएं
• डेटा उल्लंघन प्रतिक्रिया योजना लागू करें
• डेटा विषयों के लिए अपने अधिकारों का प्रयोग करना आसान बनाएं
• जानकारी तैनात करें सुरक्षा के उपाय

क्या मुझे जीडीपीआर लागू करने की आवश्यकता है? 

जीडीपीआर किसी भी संगठन पर लागू होता है जो इसे संसाधित करता है व्यक्तिगत डेटा यूरोपीय निवासियों की, चाहे वह संगठन कहीं भी स्थित हो। डिजिटल अर्थव्यवस्था की परस्पर और अंतर्राष्ट्रीय प्रकृति को देखते हुए, इसमें आज कई-शायद अधिकांश-व्यवसाय भी शामिल हैं। यहां तक ​​कि जो संगठन जीडीपीआर के दायरे में नहीं आते हैं वे डेटा सुरक्षा को मजबूत करने के लिए इसकी आवश्यकताओं को अपना सकते हैं।

अधिक विशेष रूप से, जीडीपीआर यूरोपीय आर्थिक क्षेत्र (ईईए) में स्थित सभी डेटा नियंत्रकों और डेटा प्रोसेसर पर लागू होता है। ईईए में सभी 27 यूरोपीय संघ के सदस्य देशों के अलावा आइसलैंड, लिकटेंस्टीन और नॉर्वे शामिल हैं। 

A डेटा नियंत्रक कोई संगठन, समूह या व्यक्ति है जो व्यक्तिगत डेटा एकत्र करता है और यह निर्धारित करता है कि इसका उपयोग कैसे किया जाए। सोचिए: एक ऑनलाइन रिटेलर जो ऑर्डर अपडेट भेजने के लिए ग्राहकों के ईमेल पते संग्रहीत करता है।

A डेटा का प्रोसेसर कोई संगठन या समूह है जो डेटा प्रोसेसिंग गतिविधियाँ संचालित करता है। जीडीपीआर मोटे तौर पर "प्रसंस्करण" को डेटा पर की गई किसी भी क्रिया के रूप में परिभाषित करता है: इसे संग्रहीत करना, इसका विश्लेषण करना, इसे बदलना, इत्यादि। प्रोसेसर में तीसरे पक्ष शामिल होते हैं जो नियंत्रक की ओर से व्यक्तिगत डेटा को संसाधित करते हैं, जैसे एक मार्केटिंग फर्म जो किसी व्यवसाय को प्रमुख ग्राहक जनसांख्यिकी को समझने में मदद करने के लिए उपयोगकर्ता डेटा का विश्लेषण करती है।

जीडीपीआर उन नियंत्रकों और प्रोसेसरों पर भी लागू होता है जो ईईए के बाहर स्थित हैं यदि वे निम्नलिखित में से कम से कम एक शर्त को पूरा करते हैं: 

• कंपनी ईईए निवासियों को नियमित रूप से सामान और सेवाएं प्रदान करती है, भले ही कोई पैसा न बदले।
• कंपनी नियमित रूप से ईईए निवासियों की गतिविधि पर नज़र रखती है, जैसे ट्रैकिंग कुकीज़ का उपयोग करके। 
• कंपनी ईईए में नियंत्रकों की ओर से व्यक्तिगत डेटा संसाधित करती है। 
• कंपनी के कर्मचारी EEA में हैं।

जीडीपीआर के दायरे के बारे में ध्यान देने योग्य कुछ और बातें हैं। सबसे पहले, यह केवल प्राकृतिक व्यक्तियों के व्यक्तिगत डेटा से संबंधित है, जिसे भी कहा जाता है डेटा विषय जीडीपीआर की भाषा में. ए प्राकृतिक व्यक्ति एक जीवित इंसान है. जीडीपीआर निगमों या मृतकों जैसे कानूनी व्यक्तियों के डेटा की सुरक्षा नहीं करता है।

दूसरा, किसी व्यक्ति को जीडीपीआर सुरक्षा प्राप्त करने के लिए यूरोपीय संघ का नागरिक होने की आवश्यकता नहीं है। उन्हें केवल ईईए का औपचारिक निवासी होना चाहिए।

अंत में, जीडीपीआर वस्तुतः किसी भी कारण से व्यक्तिगत डेटा के प्रसंस्करण पर लागू होता है: वाणिज्यिक, शैक्षणिक, सरकारी और अन्य। व्यवसाय, अस्पताल, स्कूल और सार्वजनिक प्राधिकरण सभी जीडीपीआर के अधीन हैं। जीडीपीआर से छूट प्राप्त एकमात्र प्रसंस्करण संचालन राष्ट्रीय सुरक्षा और कानून प्रवर्तन गतिविधियाँ और डेटा के विशुद्ध रूप से व्यक्तिगत उपयोग हैं।

जीडीपीआर कार्यान्वयन चरण 

सभी के लिए एक ही आकार में फिट होने वाली जीडीपीआर अनुपालन योजना जैसी कोई चीज नहीं है, लेकिन कुछ मूलभूत प्रथाएं हैं जिनका उपयोग संगठन जीडीपीआर कार्यान्वयन प्रयासों को निर्देशित करने के लिए कर सकते हैं।

प्रमुख जीडीपीआर आवश्यकताओं की सूची के लिए, देखें जीडीपीआर अनुपालन चेकलिस्ट. 

इन्वेंटरी व्यक्तिगत डेटा  

जबकि जीडीपीआर को स्पष्ट रूप से डेटा इन्वेंट्री की आवश्यकता नहीं है, कई संगठन दो कारणों से यहां शुरुआत करते हैं। सबसे पहले, यह जानना कि कंपनी के पास क्या डेटा है और इसे कैसे संसाधित किया जाता है, संगठन को अपने अनुपालन बोझ को बेहतर ढंग से समझने में मदद करता है। उदाहरण के लिए, उपयोगकर्ता स्वास्थ्य डेटा एकत्र करने वाले व्यवसाय को केवल ईमेल पते एकत्र करने वाले व्यवसाय की तुलना में अधिक मजबूत सुरक्षा की आवश्यकता होती है।

दूसरा, एक व्यापक इन्वेंट्री उपयोगकर्ता के डेटा को साझा करने, अपडेट करने या हटाने के अनुरोधों का अनुपालन करना आसान बनाती है। 

एक डेटा इन्वेंट्री जैसे विवरण रिकॉर्ड कर सकती है:

• एकत्र किए गए डेटा के प्रकार (उपयोगकर्ता नाम, ब्राउज़िंग डेटा)
• डेटा आबादी (ग्राहक, कर्मचारी, छात्र)
• डेटा कैसे एकत्र किया जाता है (इवेंट पंजीकरण, लैंडिंग पृष्ठ)
• जहां डेटा संग्रहीत किया जाता है (ऑन-प्रिमाइसेस सर्वर, क्लाउड सेवाएं)
• डेटा संग्रह का उद्देश्य (विपणन अभियान, व्यवहार विश्लेषण)
• डेटा कैसे संसाधित किया जाता है (स्वचालित स्कोरिंग, एकत्रीकरण)
• डेटा तक पहुंच किसके पास है (कर्मचारी, विक्रेता)
• मौजूदा सुरक्षा उपाय (एन्क्रिप्शन, बहु-कारक प्रमाणीकरण) 

व्यक्तिगत डेटा को ट्रैक करना मुश्किल हो सकता है जो संगठन के नेटवर्क में विभिन्न वर्कफ़्लो, डेटाबेस, एंडपॉइंट और यहां तक ​​​​कि बिखरे हुए हैं। छाया आईटी संपत्ति। डेटा सूची को अधिक प्रबंधनीय बनाने के लिए, संगठन डेटा सुरक्षा समाधानों का उपयोग करने पर विचार कर सकते हैं जो स्वचालित रूप से डेटा की खोज और वर्गीकरण करते हैं। 

जानें कि कैसे आईबीएम गार्डियम® डेटा प्रोटेक्शन स्वचालित रूप से AWS, DBaaS और ऑन-प्रिमाइसेस मेनफ्रेम जैसे प्रमुख रिपॉजिटरी में संवेदनशील डेटा की खोज, वर्गीकरण और सुरक्षा करता है।

विशेष श्रेणी के डेटा को पहचानें और सुरक्षित रखें 

डेटा की सूची बनाते समय, संगठनों को किसी भी विशेष रूप से संवेदनशील डेटा को नोट करना चाहिए जिसके लिए अतिरिक्त सुरक्षा की आवश्यकता होती है। जीडीपीआर में विशेष रूप से तीन प्रकार के डेटा के लिए सावधानियां जोड़ी गई हैं: विशेष श्रेणी डेटा, आपराधिक सजा डेटा और बच्चों का डेटा।  

• विशेष श्रेणी डेटा इसमें बायोमेट्रिक्स, स्वास्थ्य रिकॉर्ड, नस्ल, जातीयता और अन्य अत्यधिक व्यक्तिगत जानकारी शामिल है। संगठनों को आमतौर पर विशेष श्रेणी के डेटा को संसाधित करने के लिए उपयोगकर्ता की स्पष्ट सहमति की आवश्यकता होती है। 

• आपराधिक सजा डेटा इसे केवल सार्वजनिक प्राधिकारियों द्वारा नियंत्रित किया जा सकता है और उनके निर्देश पर कार्रवाई की जा सकती है। 

• बच्चों का डेटा माता-पिता की सहमति के बिना संसाधित नहीं किया जा सकता है, और संगठनों को डेटा विषयों की उम्र और उनके माता-पिता की पहचान को सत्यापित करने के लिए तंत्र की आवश्यकता होती है। प्रत्येक ईईए राज्य जीडीपीआर के तहत "बच्चे" की अपनी परिभाषा निर्धारित करता है। कट-ऑफ 13 वर्ष से कम और 16 वर्ष से कम आयु तक होती है। कंपनियों को इन विभिन्न परिभाषाओं का अनुपालन करने के लिए तैयार रहना चाहिए। 

ऑडिट डेटा प्रोसेसिंग गतिविधियाँ 

डेटा इन्वेंट्री के दौरान, संगठन डेटा से गुजरने वाले किसी भी प्रसंस्करण संचालन को रिकॉर्ड करते हैं। फिर, संगठनों को यह सुनिश्चित करना होगा कि ये संचालन जीडीपीआर प्रसंस्करण नियमों का अनुपालन करते हैं। कुछ सबसे महत्वपूर्ण जीडीपीआर सिद्धांतों में निम्नलिखित शामिल हैं:

• सभी प्रसंस्करणों का एक स्थापित कानूनी आधार होना चाहिए: डेटा प्रोसेसिंग केवल तभी स्वीकार्य है जब संगठन के पास उस प्रोसेसिंग के लिए अनुमोदित कानूनी आधार हो। सामान्य कानूनी आधारों में उपयोगकर्ता की सहमति प्राप्त करना, उपयोगकर्ता के साथ अनुबंध निष्पादित करने के लिए डेटा संसाधित करना और सार्वजनिक हित के लिए डेटा संसाधित करना शामिल है। संगठनों को शुरुआत से पहले प्रत्येक प्रसंस्करण ऑपरेशन के लिए कानूनी आधार का दस्तावेजीकरण करना होगा।

अनुमोदित कानूनी आधारों की पूरी सूची के लिए, देखें जीडीपीआर अनुपालन पृष्ठ।

• उद्देश्य सीमा: डेटा एकत्र किया जाना चाहिए और एक विशेष परिभाषित उद्देश्य के लिए उपयोग किया जाना चाहिए। 

• डेटा न्यूनीकरण: संगठनों को अपने निर्दिष्ट उद्देश्य के लिए आवश्यक न्यूनतम मात्रा में डेटा एकत्र करना चाहिए। 

• शुद्धता: संगठनों को यह सुनिश्चित करना चाहिए कि उनके द्वारा एकत्र किया गया डेटा सही और नवीनतम है। 

• भंडारण सीमा: संगठनों को अपना उद्देश्य पूरा होते ही डेटा का सुरक्षित निपटान करना चाहिए। 

जीडीपीआर प्रसंस्करण सिद्धांतों की पूरी सूची के लिए, देखें जीडीपीआर अनुपालन चेकलिस्ट.

उपयोगकर्ता सहमति प्रपत्र अपडेट करें  

उपयोगकर्ता की सहमति प्रसंस्करण के लिए एक सामान्य कानूनी आधार है। हालाँकि, सहमति जीडीपीआर के तहत केवल तभी मान्य है जब यह सूचित, सकारात्मक और स्वतंत्र रूप से दी गई हो। संगठनों को इन आवश्यकताओं को पूरा करने के लिए सहमति प्रपत्रों को अद्यतन करने की आवश्यकता हो सकती है।

• यह सुनिश्चित करने के लिए कि सहमति सूचित है, संगठन को स्पष्ट रूप से बताना चाहिए कि वह क्या एकत्र करता है और डेटा संग्रह के बिंदु पर उस डेटा का उपयोग कैसे करेगा।

• यह सुनिश्चित करने के लिए कि सहमति सकारात्मक है, संगठनों को एक ऑप्ट-इन दृष्टिकोण अपनाना चाहिए, जहां उपयोगकर्ताओं को सहमति का संकेत देने के लिए सक्रिय रूप से एक बॉक्स को चेक करना होगा या एक बयान पर हस्ताक्षर करना होगा। सहमति को बंडल भी नहीं किया जा सकता. उपयोगकर्ताओं को प्रत्येक प्रसंस्करण गतिविधि के लिए व्यक्तिगत रूप से सहमत होना होगा।  

• यह सुनिश्चित करने के लिए कि सहमति मुफ़्त है, संगठनों को केवल डेटा प्रोसेसिंग गतिविधियों के लिए सहमति की आवश्यकता हो सकती है जो वास्तव में किसी सेवा का अभिन्न अंग हैं। दूसरे शब्दों में, कोई व्यवसाय उपयोगकर्ताओं को टी-शर्ट खरीदने के लिए अपनी राजनीतिक राय प्रकट करने के लिए बाध्य नहीं कर सकता है। उपयोगकर्ताओं को किसी भी समय सहमति रद्द करने में सक्षम होना चाहिए।  

एक रिकॉर्डकीपिंग प्रणाली बनाएं 

250 से अधिक कर्मचारियों वाले संगठन, और किसी भी आकार की कंपनियां जो नियमित रूप से डेटा संसाधित करती हैं या उच्च जोखिम वाले डेटा को संभालती हैं, उन्हें अपनी प्रसंस्करण गतिविधियों का लिखित इलेक्ट्रॉनिक रिकॉर्ड रखना होगा। 

हालाँकि, सभी संगठन ऐसे रिकॉर्ड रखना चाह सकते हैं। यह न केवल गोपनीयता और सुरक्षा प्रयासों को ट्रैक करने में मदद करता है, बल्कि ऑडिट या उल्लंघन होने पर अनुपालन भी प्रदर्शित कर सकता है। कंपनियां दंड को कम कर सकती हैं या उससे बच सकती हैं यदि वे यह साबित कर सकें कि उन्होंने अनुपालन के लिए सद्भावनापूर्वक प्रयास किया है।  

डेटा नियंत्रक विशेष रूप से मजबूत रिकॉर्ड रखना चाह सकते हैं, क्योंकि जीडीपीआर उन्हें अपने भागीदारों और विक्रेताओं के अनुपालन के लिए जवाबदेह रखता है। 

जीडीपीआर अनुपालन लीड नामित करें  

सभी सार्वजनिक प्राधिकरण और कोई भी संगठन जो नियमित रूप से विशेष श्रेणी के डेटा को संसाधित करते हैं या बड़े पैमाने पर विषयों की निगरानी करते हैं, उन्हें एक नियुक्ति करनी होगी डेटा संरक्षण अधिकारी (डीपीओ). डीपीओ जीडीपीआर अनुपालन का प्रभारी एक स्वतंत्र कॉर्पोरेट अधिकारी है। सामान्य जिम्मेदारियों में जोखिम मूल्यांकन की देखरेख करना, डेटा सुरक्षा सिद्धांतों पर कर्मचारियों को प्रशिक्षण देना और सरकारी अधिकारियों के साथ काम करना शामिल है।

जबकि केवल कुछ संगठनों को डीपीओ नियुक्त करने की आवश्यकता होती है, सभी ऐसा करने पर विचार करना चाह सकते हैं। एक निर्दिष्ट जीडीपीआर अनुपालन लीड होने से कार्यान्वयन को सुव्यवस्थित करने में मदद मिल सकती है।

डीपीओ किसी व्यवसाय के कर्मचारी या बाहरी सलाहकार हो सकते हैं जो अनुबंध पर अपनी सेवाएं प्रदान करते हैं। डीपीओ को सीधे प्रबंधन के उच्चतम स्तर को रिपोर्ट करना होगा। कंपनी अपने कर्तव्य निभाने के लिए किसी डीपीओ के खिलाफ जवाबी कार्रवाई नहीं कर सकती। 

ईईए के बाहर के संगठनों को ईईए के भीतर एक प्रतिनिधि नियुक्त करना होगा यदि वे नियमित रूप से ईईए निवासियों के डेटा को संसाधित करते हैं या अत्यधिक संवेदनशील डेटा को संभालते हैं। ईईए प्रतिनिधि मुख्य कर्तव्य जांच के दौरान कंपनी की ओर से डेटा सुरक्षा अधिकारियों के साथ समन्वय करना है। प्रतिनिधि एक कर्मचारी, एक संबद्ध कंपनी, या एक किराये की सेवा हो सकता है। 

डीपीओ और ईईए प्रतिनिधि अलग-अलग जिम्मेदारियों के साथ अलग-अलग भूमिकाएँ निभाते हैं। विशेष रूप से, प्रतिनिधि संगठन के निर्देश पर कार्य करता है, जबकि डीपीओ को एक स्वतंत्र अधिकारी होना चाहिए। एक संगठन किसी एक पार्टी को नियुक्त नहीं कर सकते डीपीओ और ईईए प्रतिनिधि दोनों के रूप में काम करने के लिए।

यदि कोई संगठन कई ईईए राज्यों में काम करता है, तो उसे इसकी पहचान करनी होगी नेतृत्व पर्यवेक्षी प्राधिकारी. प्रमुख पर्यवेक्षी प्राधिकरण पूरे यूरोप में उस कंपनी के लिए जीडीपीआर अनुपालन की देखरेख करने वाला मुख्य डेटा संरक्षण प्राधिकरण (डीपीए) है। 

आमतौर पर, प्रमुख पर्यवेक्षी प्राधिकरण सदस्य राज्य में डीपीए होता है जहां संगठन का मुख्यालय होता है या अपनी मुख्य प्रसंस्करण गतिविधियों का संचालन करता है। 

डेटा गोपनीयता नीति का मसौदा तैयार करें 

जीडीपीआर के लिए आवश्यक है कि संगठन लोगों को इस बारे में सूचित रखें कि वे अपने डेटा का उपयोग कैसे करते हैं। कंपनियां गोपनीयता नीतियों का मसौदा तैयार करके इस आवश्यकता को पूरा कर सकती हैं जो स्पष्ट रूप से उनके प्रसंस्करण कार्यों का वर्णन करती हैं, जिसमें कंपनी क्या एकत्र करती है, प्रतिधारण और विलोपन नीतियां, उपयोगकर्ता अधिकार और अन्य प्रासंगिक विवरण शामिल हैं।

गोपनीयता नीतियों में सरल भाषा का उपयोग होना चाहिए जिसे कोई भी समझ सके। सघन शब्दजाल के पीछे महत्वपूर्ण जानकारी छिपाना जीडीपीआर का उल्लंघन हो सकता है। संगठन यह सुनिश्चित कर सकते हैं कि उपयोगकर्ता डेटा संग्रह के बिंदु पर गोपनीयता नोटिस साझा करके उनकी नीतियों को देखें। संगठन अपनी गोपनीयता नीतियों को अपनी वेबसाइटों पर सार्वजनिक, आसानी से मिलने वाले पृष्ठों पर भी होस्ट कर सकते हैं। 

सुनिश्चित करें कि तृतीय-पक्ष भागीदार अनुपालन कर रहे हैं 

नियंत्रक अंततः उस व्यक्तिगत डेटा के लिए जिम्मेदार होते हैं जो वे एकत्र करते हैं, जिसमें उनके प्रोसेसर, विक्रेता और अन्य तृतीय पक्ष इसका उपयोग कैसे करते हैं। यदि भागीदार अनुपालन नहीं करते हैं, तो नियंत्रकों को दंडित किया जा सकता है। 

संगठनों को किसी तीसरे पक्ष के साथ अपने अनुबंधों की समीक्षा करनी चाहिए जिनके पास उनके डेटा तक पहुंच है। इन अनुबंधों में कानूनी रूप से बाध्यकारी तरीके से जीडीपीआर के संबंध में सभी पक्षों के अधिकारों और जिम्मेदारियों को स्पष्ट रूप से बताया जाना चाहिए।

यदि कोई संगठन ईईए के बाहर प्रोसेसर के साथ काम करता है, तो उन प्रोसेसर को अभी भी जीडीपीआर आवश्यकताओं को पूरा करना होगा। वास्तव में, ईईए के बाहर डेटा स्थानांतरण सख्त मानकों के अधीन हैं। ईईए में नियंत्रक केवल ईईए के बाहर के प्रोसेसर के साथ डेटा साझा कर सकते हैं यदि निम्नलिखित मानदंडों में से एक पूरा हो:

• यूरोपीय आयोग ने देश के गोपनीयता कानूनों को पर्याप्त माना है
• यूरोपीय आयोग ने प्रोसेसर को पर्याप्त डेटा सुरक्षा वाला माना है
• नियंत्रक ने यह सुनिश्चित करने के लिए कदम उठाए हैं कि डेटा सुरक्षित है

यह सुनिश्चित करने का एक तरीका है कि सभी साझेदारियाँ और डेटा स्थानांतरण जीडीपीआर का अनुपालन करते हैं, मानक अनुबंध शर्तों का उपयोग करना है। ये पूर्वलिखित खंड यूरोपीय आयोग द्वारा पूर्व-अनुमोदित हैं और किसी भी संगठन के उपयोग के लिए स्वतंत्र रूप से उपलब्ध हैं। इन खंडों को अनुबंध में सम्मिलित करने से यह जीडीपीआर के अनुरूप हो जाता है, बशर्ते प्रत्येक पक्ष उनका पालन करे। मानक संविदा शर्तों पर अधिक जानकारी के लिए, यूरोपीय आयोग की वेबसाइट देखें (लिंक iBM.com के बाहर मौजूद है)।

डेटा सुरक्षा प्रभाव आकलन के लिए एक प्रक्रिया बनाएं

जीडीपीआर के लिए संगठनों को किसी भी उच्च जोखिम वाले प्रसंस्करण से पहले डेटा सुरक्षा प्रभाव आकलन (डीपीआईए) करने की आवश्यकता होती है। जबकि जीडीपीआर कुछ उदाहरण पेश करता है - नई प्रौद्योगिकियों का उपयोग करना, संवेदनशील डेटा का बड़े पैमाने पर प्रसंस्करण - यह हर उच्च जोखिम वाली गतिविधि को विस्तृत रूप से सूचीबद्ध नहीं करता है।

संगठन सुरक्षित होने के लिए किसी भी नए प्रसंस्करण ऑपरेशन से पहले डीपीआईए आयोजित करने पर विचार कर सकते हैं। अन्य लोग यह निर्धारित करने के लिए सरलीकृत प्री-स्क्रीनिंग का उपयोग कर सकते हैं कि जोखिम डीपीआईए की गारंटी देने के लिए पर्याप्त है या नहीं।

कम से कम, डीपीआईए को प्रसंस्करण और उसके उद्देश्य का वर्णन करना चाहिए, प्रसंस्करण की आवश्यकता का आकलन करना चाहिए, डेटा विषयों के जोखिमों का मूल्यांकन करना चाहिए और शमन उपायों की पहचान करनी चाहिए। यदि जोखिम कम करने के बाद भी जोखिम अधिक रहता है, तो संगठन को आगे बढ़ने से पहले डेटा सुरक्षा प्राधिकरण से परामर्श करना चाहिए। 

जानें कि आईबीएम गार्डियम® इनसाइट्स जीडीपीआर, सीसीपीए और अन्य प्रमुख नियमों के लिए पूर्व-कॉन्फ़िगर वर्कफ़्लो के साथ अनुपालन रिपोर्टिंग को सुव्यवस्थित करने में कैसे मदद कर सकता है।

डेटा उल्लंघन प्रतिक्रिया योजना लागू करें 

संगठनों को सबसे व्यक्तिगत रिपोर्ट करनी होगी डेटा उल्लंघन 72 घंटे के भीतर एक पर्यवेक्षी प्राधिकारी को। यदि उल्लंघन डेटा विषयों के लिए जोखिम पैदा करता है, जैसे पहचान की चोरी, तो कंपनी को विषयों को भी सूचित करना होगा। जब तक ऐसा करना संभव न हो, सूचनाएं सीधे पीड़ितों को भेजी जानी चाहिए। उस स्थिति में, सार्वजनिक सूचना ही पर्याप्त है।

संगठनों को प्रभावी चाहिए घटना की प्रतिक्रिया ऐसी योजनाएं जो चल रहे उल्लंघनों की तेजी से पहचान करती हैं, खतरों को खत्म करती हैं और अधिकारियों को सूचित करती हैं। घटना प्रतिक्रिया योजनाओं में सिस्टम को पुनर्प्राप्त करने और पुनर्स्थापित करने के लिए उपकरण और रणनीति शामिल होनी चाहिए सूचना सुरक्षा. जितनी तेजी से कोई संगठन नियंत्रण हासिल करता है, उतनी ही कम संभावना होती है कि उसे गंभीर नियामक कार्रवाई का सामना करना पड़ेगा।

संगठन भी इस अवसर का उपयोग मजबूत करने के लिए कर सकते हैं डाटा सुरक्षा पैमाने। यदि किसी उल्लंघन से उपयोगकर्ताओं को नुकसान होने की संभावना नहीं है - उदाहरण के लिए, यदि चुराया गया डेटा इतना भारी एन्क्रिप्टेड है कि हैकर इसका उपयोग नहीं कर सकते हैं - तो कंपनी को डेटा विषयों को सूचित करने की आवश्यकता नहीं है। इससे डेटा उल्लंघन के बाद होने वाली प्रतिष्ठा और राजस्व क्षति से बचने में मदद मिल सकती है।

डेटा विषयों के लिए अपने अधिकारों का प्रयोग करना आसान बनाएं 

जीडीपीआर डेटा विषयों को यह अधिकार देता है कि संगठन अपने डेटा का उपयोग कैसे करते हैं। उदाहरण के लिए, सुधार का अधिकार उपयोगकर्ताओं को गलत या पुराने डेटा को सही करने देता है। मिटाने का अधिकार उपयोगकर्ताओं को अपना डेटा हटाने की सुविधा देता है।

सामान्यतया, संगठनों को 30 दिनों के भीतर डेटा विषयों के अनुरोधों का अनुपालन करना होगा। अनुरोधों को अधिक प्रबंधनीय बनाने के लिए, संगठन स्वयं-सेवा पोर्टल बना सकते हैं जहां विषय अपने डेटा तक पहुंच सकते हैं, परिवर्तन कर सकते हैं और इसके उपयोग को प्रतिबंधित कर सकते हैं। पोर्टल में विषयों की पहचान सत्यापित करने का एक तरीका शामिल होना चाहिए। जीडीपीआर संगठनों पर यह सत्यापित करने का बोझ डालता है कि अनुरोधकर्ता वही हैं जो वे कहते हैं।

स्वचालित निर्णय और प्रोफ़ाइलिंग 

स्वचालित प्रसंस्करण के संबंध में डेटा विषयों के पास विशेष अधिकार हैं। विशेष रूप से, संगठन उपयोगकर्ता की सहमति के बिना महत्वपूर्ण निर्णय लेने के लिए स्वचालन का उपयोग नहीं कर सकते हैं। उपयोगकर्ताओं को स्वचालित निर्णयों का विरोध करने और किसी मानव द्वारा निर्णय की समीक्षा करने का अनुरोध करने का अधिकार है। 

संगठन डेटा विषयों को स्वचालित निर्णयों का मुकाबला करने का तरीका देने के लिए स्वयं-सेवा पोर्टल का उपयोग कर सकते हैं। कंपनियों को आवश्यकतानुसार मानव समीक्षक नियुक्त करने के लिए भी तैयार रहना चाहिए। 

डेटा पोर्टेबिलिटी 

डेटा विषयों को अपने डेटा को अपनी इच्छानुसार कहीं भी स्थानांतरित करने का अधिकार है, और संगठनों को उन स्थानांतरणों को सुविधाजनक बनाना होगा। 

उपयोगकर्ताओं के लिए स्थानांतरण का अनुरोध करना आसान बनाने के अलावा, संगठनों को डेटा को साझा करने योग्य प्रारूप में संग्रहीत करना चाहिए। स्वामित्व प्रारूपों का उपयोग स्थानांतरण को कठिन बना सकता है और उपयोगकर्ताओं के अधिकारों को बाधित कर सकता है। 

डेटा विषय अधिकारों की पूरी सूची के लिए, जीडीपीआर अनुपालन पृष्ठ देखें.

सूचना सुरक्षा उपाय तैनात करें

जीडीपीआर के लिए आवश्यक है कि संगठन सिस्टम की कमजोरियों को बंद करने और अनधिकृत पहुंच या अवैध उपयोग को रोकने के लिए उचित डेटा सुरक्षा उपायों का उपयोग करें। जीडीपीआर विशिष्ट उपायों को अनिवार्य नहीं करता है, लेकिन यह बताता है कि संगठनों को तकनीकी और संगठनात्मक नियंत्रण दोनों की आवश्यकता है।

तकनीकी सुरक्षा नियंत्रणों में सॉफ़्टवेयर, हार्डवेयर और अन्य तकनीकी उपकरण शामिल हैं कल्मष और डेटा हानि निवारण समाधान. जीडीपीआर एन्क्रिप्शन और छद्मनामकरण को अत्यधिक प्रोत्साहित करता है, इसलिए संगठन विशेष रूप से इन नियंत्रणों को लागू करना चाह सकते हैं। 

संगठनात्मक उपायों में कर्मचारियों को जीडीपीआर नियमों पर प्रशिक्षण और औपचारिक कार्यान्वयन जैसी प्रक्रियाएं शामिल हैं डेटा शासन नीतियों। 

जीडीपीआर कंपनियों को डिज़ाइन और डिफ़ॉल्ट रूप से डेटा सुरक्षा के सिद्धांत को अपनाने का भी निर्देश देता है। "डिज़ाइन द्वारा" का अर्थ है कि कंपनियों को शुरू से ही सिस्टम और प्रक्रियाओं में डेटा गोपनीयता का निर्माण करना चाहिए। "डिफ़ॉल्ट रूप से" का अर्थ है कि किसी भी सिस्टम के लिए डिफ़ॉल्ट सेटिंग वह होनी चाहिए जो उपयोगकर्ता की सबसे अधिक गोपनीयता बनाए रखे। 

जानें कि कैसे आईबीएम डेटा सुरक्षा और संरक्षण समाधान हाइब्रिड क्लाउड में डेटा सुरक्षित करते हैं और अनुपालन आवश्यकताओं को सरल बनाते हैं।

जीडीपीआर अनुपालन क्यों मायने रखता है 

कोई भी संगठन जो यूरोपीय आर्थिक क्षेत्र (ईईए) में काम करना चाहता है, उसे जीपीडीआर का अनुपालन करना होगा। अनुपालन न करने पर गंभीर परिणाम हो सकते हैं. सबसे महत्वपूर्ण उल्लंघनों के परिणामस्वरूप EUR 20,000,000 या पिछले वर्ष में संगठन के विश्वव्यापी राजस्व का 4%, जो भी अधिक हो, जुर्माना हो सकता है।

परंतु डेटा अनुपालन यह केवल परिणामों से बचने के बारे में नहीं है। इसके फायदे भी हैं. इस तथ्य के अलावा कि जीडीपीआर अनुपालन संगठनों को दुनिया के सबसे बड़े बाजारों में से एक तक पहुंचने की अनुमति देता है, जीडीपीआर सिद्धांत डेटा सुरक्षा उपायों को महत्वपूर्ण रूप से मजबूत कर सकते हैं। संगठन अधिक डेटा उल्लंघनों को होने से पहले ही रोक सकते हैं, औसत लागत से बच सकते हैं प्रति उल्लंघन 4.45 मिलियन अमेरिकी डॉलर।

जीडीपीआर अनुपालन किसी व्यवसाय की प्रतिष्ठा को भी बढ़ा सकता है और उपभोक्ताओं के बीच विश्वास पैदा कर सकता है। लोग आम तौर पर ऐसे संगठनों के साथ व्यापार करना पसंद करते हैं ग्राहक डेटा की सार्थक सुरक्षा करें.

जीडीपीआर ने अन्य क्षेत्रों में भी इसी तरह के डेटा संरक्षण कानूनों को प्रेरित किया है कैलिफोर्निया उपभोक्ता गोपनीयता अधिनियम और भारत का डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम। जीडीपीआर को अक्सर इन कानूनों में सबसे सख्त में से एक माना जाता है, इसलिए इसका अनुपालन करने से संगठन अन्य नियमों का भी अनुपालन कर सकते हैं।

अंत में, यदि कोई कंपनी जीडीपीआर का उल्लंघन करती है, तो कुछ स्तर के अनुपालन का प्रदर्शन करने से नतीजों को कम करने में मदद मिल सकती है। नियामक निकाय मौजूदा जैसे कारकों को तौलते हैं साइबर सुरक्षा नियंत्रण और दंड निर्धारित करते समय पर्यवेक्षी अधिकारियों के साथ सहयोग।

आईबीएम गार्डियम डेटा प्रोटेक्शन का अन्वेषण करें