डेटा गोपनीयता कानून को समझना

17/06/2021

Choose language:

पर्सनल डेटा और उसकी सुरक्षा

2019 में भारतीय संसद में पेश किए गए पर्सनल डेटा प्रोटेक्शन बिल ने सभी बिज़नेसों के लिए व्यक्तियों के पर्सनल डेटा की सुरक्षा पर जोर देना ज़रूरी बना दिया है। एक छोटे या मध्यम बिज़नेस के मालिक के रूप में, क्या आप अभी भी यह समझने की कोशिश कर रहे हैं कि पर्सनल डेटा क्या है? इसका सरलता से उत्तर देने के लिए, पर्सनल डेटा किसी भी जानकारी को संदर्भित करता है जिसका उपयोग किसी व्यक्ति की पहचान को फिर से बनाने के लिए किया जा सकता है। दूसरे शब्दों में कहा जाये तो, कोई भी जानकारी जो किसी व्यक्ति की पहचान को रेखांकित कर सकती है, उसे पर्सनल डेटा कहा जा सकता है। इसमें एक अन्य व्यक्ति के बारे में कोई विशेष जानकारी शामिल है।

अब, एक ज़रूरी प्रश्न यह हो सकता है कि कौन सी जानकारी पर्सनल डेटा का गठन करती है? सूचना प्रौद्योगिकी अधिनियम, 2000 के अनुसार, "पर्सनल जानकारी" का अर्थ है कोई भी जानकारी जो किसी प्राकृतिक व्यक्ति से संबंधित है, जो प्रत्यक्ष या परोक्ष रूप से, अन्य जानकारी के संयोजन में उपलब्ध है या एक निकाय निगमित के पास उपलब्ध होने की संभावना है, इस तरह एक व्यक्ति पहचान करने में सक्षम है । यहां कुछ जानकारी दी गई है जिसे आमतौर पर या तो अन्य डेटा के संयोजन में या अपने दम पर पर्सनल माना जाता है:

नाम और उपनाम
संपर्क संख्या और ई-मेल पते
बैंक खाते का विस्तार जानकारी
जन्म तिथि और स्थान
उपस्थिति विस्तार जानकारी, जैसे ऊंचाई, वजन, रेटिना रूपरेखा , और चेहरे की ज्यामिति
उपयोगकर्ता नाम, पासवर्ड, आईपी पता और सामाजिक मीडिया गतिविधियां
स्थान इतिहास, खरीद इतिहास, ब्राउज़िंग इतिहास, प्राथमिकताएं और श्रेणी
कुकीज
चेहरे की तस्वीरें, वैवाहिक स्थिति और परिवार के सदस्यों के बारे में जानकारी
कार्यस्थल की जानकारी, जैसे नौकरी का शीर्षक, कार्यालय का पता, वेतन विस्तार जानकारी, कर विस्तार जानकारी
विषयपरक निजी डेटा , जैसे धार्मिक विश्वास, यौन रुझान और राजनीतिक राय

डेटा सुरक्षा के सिद्धांत

संदर्भ यह तय करने की कुंजी है कि जानकारी के एक टुकड़े को पर्सनल डेटा माना जा सकता है या नहीं। कुछ जानकारी तब तक पर्सनल डेटा की श्रेणी में नहीं आ सकती जब तक कि अन्य संबंधित जानकारी के साथ संयुक्त न हो। उदाहरण के लिए, किसी व्यक्ति का नाम, नौकरी का शीर्षक, या कार्यस्थल जैसी जानकारी को पर्सनल रूप से पर्सनल डेटा नहीं कहा जा सकता है क्योंकि यह संभव है कि कई व्यक्तियों का एक ही नाम हो या एक ही नौकरी का शीर्षक हो और काम का एक ही स्थान हो। इसलिए, केवल लोगों का नाम, उनकी नौकरी के शीर्षक, या उनके कार्यस्थल को जानने से किसी विशेष व्यक्ति की पहचान करने में मदद नहीं मिल सकती है। हालांकि, संयुक्त होने पर, ऐसी जानकारी किसी व्यक्ति को इंगित कर सकती है। इसके बाद ही जानकारी पर्सनल डेटा बन जाती है।

डेटा सुरक्षा में सुरक्षित भंडारण और पर्सनल डेटा का उपयोग शामिल है। यह किसी भी पर्सनल डेटा के ग़लत उपयोग और दुरुपयोग को भी रोकता है। डेटा सुरक्षा एक कंपनी के लिए फायदेमंद है क्योंकि यह कंपनी में उपभोक्ताओं यानी कंस्यूमर्स का विश्वास बढ़ाती है और उन्हें डेटा समझौता के डर के बिना सामग्री खरीदने के लिए प्रोत्साहित करती है। यह, बदले में, संभावित रूप से ग्राहक रूपांतरण यानी कन्वर्शन दरों, बिक्री और मुनाफे को बढ़ाता है। दोषपूर्ण डेटा प्रबंधन यानी मैनेजमेंट एक कंपनी को प्रतिद्वंदीयों या अन्य दुर्भावनापूर्ण एजेंटों द्वारा डेटा चोरी के लिए आसान बनाता है। प्रभावी डेटा सुरक्षा जोखिम और वित्तीय यानी धन से जुड़े नुकसान को भी कम करती है, और कंपनी को अपने प्रतिद्वंदीयों पर एक लाभ प्रदान करती है।

2019 का भारतीय डेटा संरक्षण विधेयक

डिजिटल युग के आगमन के बाद से, भारत में डेटा गोपनीयता एक बहुत ही चिंता का विषय रहा है। वास्तव में, लगभग 43% भारतीयों को लगता है कि उनका पर्सनल डेटा ऑनलाइन लीक हो सकता है। हालांकि, भारतीय डेटा संरक्षण विधेयक की उत्पत्ति 2017 के न्यायमूर्ति केएस पुट्टस्वामी बनाम भारत संघ मामले में निहित है। इस मामले के फैसले में, भारत के सर्वोच्च न्यायालय ने फैसला सुनाया कि गोपनीयता एक मौलिक अधिकार है। मामले के दौरान, अदालत ने भारत में डेटा गोपनीयता के मुद्दों का विचार करने के लिए एक समिति गठित करने का आदेश दिया था। इस समिति ने एक विस्तार जानकारी और एक मसौदा विधेयक प्रस्तुत किया। 2018 में, सुप्रीम कोर्ट ने भारत सरकार को मजबूत डेटा गोपनीयता कानून बनाने का निर्देश दिया और वही मसौदा बिल वर्तमान बिल का आदर्श बन गया। भारतीय संसद ने 11 दिसंबर, 2019 को डेटा संरक्षण विधेयक पारित किया और इस विधेयक का उद्देश्य है:

पर्सनल डेटा के भंडारण और प्रसंस्करण के लिए नियम तय करना
पर्सनल डेटा के साझाकरण को मैनिज करना
दूसरों द्वारा अपने पर्सनल डेटा के उपयोग पर लोगों के अधिकार का निर्णय करना
छूट के आधारों को रेखांकित करना
डेटा संरक्षण प्राधिकरण (डीपीए) की स्थापना - कानून को लागू करने के लिए एक नियामक निकाय

विधेयक में सोच विचार किया जा रहा है और कुछ प्रावधान यानी पॉंट्स बदल सकते हैं या संशोधित किए जा सकते हैं। जब भी डेटा संरक्षण विधेयक एक प्रवर्तनीय अधिनियम बन जाएगा, सभी बिज़नेसों के लिए इन नियमों का पालन करना अनिवार्य होगा:

सभी बिज़नेसों को अपना पर्सनल डेटा एकत्र करने और उपयोग करने से पहले अपने उपभोक्ताओं यानी कंस्यूमर्स की सहमति लेनी होगी। उन्हें अपने डेटा संग्रह प्रथाओं पर ग्राहकों को सटीकता प्रदान करने की भी ज़रूरी होगा।
उपभोक्ताओं यानी कंस्यूमर्स को किसी भी समय अपनी सहमति वापस लेने का अधिकार होगा। इसलिए, बिज़नेसों को निसाँकोज सहमति निकासी आश्वत करने के लिए प्रणाली स्थापित करने की भी ज़रूरी होगी।
यह उपभोक्ताओं यानी कंस्यूमर्स को अपने पर्सनल डेटा तक पहुंच को मिटाने या सही करने के लिए सशक्त करेगा। इस प्रकार बिज़नेसों को यह आश्वत करने के लिए तरीके तैयार करने की ज़रूरीता होगी कि उपभोक्ता यानी यूज़र आसानी से ऐसा कर सकें।
बेहतर डेटा सुरक्षा आश्वत करने के लिए सभी बिज़नेसों को ज़रूरी संगठनात्मक परिवर्तन करने और अपने सुरक्षा ढांचे में सुधार करने की ज़रूरत होगी।
उपभोक्ताओं यानी कंस्यूमर्स के सभी महत्वपूर्ण पर्सनल डेटा को भारत के भीतर संग्रहीत और उपयोग करना होगा। भारत के बाहर इस तरह के डेटा के किसी भी हस्तांतरण को ग़लत माना जाएगा। संवेदनशील पर्सनल डेटा (डेटा जिसके लिए अतिरिक्त सुरक्षा की ज़रूरीता होती है, जैसे कि आनुवंशिक और बायोमेट्रिक डेटा) को भारत के भीतर संग्रहीत करना होगा, लेकिन अगर इसे सरकार द्वारा अनुमति दी जाती है या इसे स्वास्थ्य और आपातकालीन उद्देश्यों के लिए स्थानांतरित किया जा रहा है, तो इसे विदेशों में स्थानांतरित किया जा सकता है।
कंपनियों को डेटा सहायक नियुक्त करने की ज़रूरत होगी (वे लोग जो आश्वत करेंगे कि ग्राहकों के सभी पर्सनल डेटा संग्रहीत यानी एकठा और सुरक्षित रूप से उपयोग किए जाते हैं)।
सरकार उपभोक्ताओं यानी कंस्यूमर्स के गैर-पर्सनल डेटा को साझा करने की मांग कर सकती है।
यदि कोई कंपनी या व्यक्ति पर्सनल डेटा को जानबूझकर नुकसान पहुंचाने के लिए बेचता है, स्थानांतरित करता है या संग्रहीत यानी एकठा करता है या ज़रूरी सहमति के बिना पर्सनल डेटा को फिर से पहचानने और संसाधित करने का प्रयास करता है, तो इसे ग़लत माना जाएगा और जुर्माना लगाया जाएगा।
नियमों का पालन नहीं करने पर अधिकतम लगभग 15 करोड़ रुपये का जुर्माना या कंपनी के वैश्विक वार्षिक कारोबार का 4% जुर्माना लगाया जाएगा।
छोटे बिज़नेस, जो अपने ग्राहकों के पर्सनल डेटा को दस्ती रूप से संभालते हैं, उन्हें छूट दी जाएगी। डीपीए तय करेगा कि किन कंपनियों को छूट दी गई है।

डिजिटल डेटा प्रबंधन यानी मैनेजमेंट और उल्लंघन जोखिम

अधिकांश उपभोक्ताओं यानी कंस्यूमर्स का डेटा डिजिटल मंच पर संग्रहीत होता है और यह अपने साथ काफी डिजिटल जोखिम लाता है जिसे प्रबंधित करने की ज़रूरत होती है। 2016 में लगभग 3.2 मिलियन डेबिट और क्रेडिट कार्ड विस्तार जानकारी कथित तौर पर चोरी हो गई थी। समाज में प्रौद्योगिकी की जड़ें गहरी होने के साथ, बिज़नेस डिजिटल डेटा उल्लंघन जोखिमों के सबसे कमजोर टार्गेट के रूप में उभरे हैं। आज, बिज़नेसों के लिए लगातार बढ़ती प्रतिद्वंदी में तकनीकी सहायता के बिना जीवित रहना बहुत कठिन है। यह अनुमान है कि डिजिटल परिवर्तन आश्वत करने के लिए 2023 तक दुनिया भर में 2.3 ट्रिलियन अमरीकी डालर का निवेश यानी धन-राशि को डाला जाएगा जाएगा।

इसलिए बिज़नेसों के लिए मजबूत डिजिटल डेटा प्रबंधन यानी मैनेजमेंट आश्वत करना और उल्लंघन के जोखिमों को नकारना सर्वोपरि यानी ज़रूरी है। डिजिटल डेटा उल्लंघन जोखिम किसी भी खतरनाक परिणाम यानी रिज़ल्ट को संदर्भित करता है जो डेटा जमा करने के लिए प्रौद्योगिकी को अपनाने के साथ-साथ रेंगता है। डिजिटल डेटा उल्लंघन के गंभीर परिणामों के कारण, इसके प्रबंधन यानी मैनेजमेंट को 21वीं सदी के प्रत्येक उद्यम यानी एंटेरप्रेनेर का तत्काल ध्यान आकर्षित करना चाहिए।

उपभोक्ताओं यानी कंस्यूमर्स की बेहतर डेटा गोपनीयता आश्वत करने के लिए बिज़नेस निम्नलिखित कुछ कदम उठा सकते हैं:

कंपनियों को अपने उपभोक्ताओं यानी कंस्यूमर्स से एकत्रित यानी एकठा की जाने वाली जानकारी को सीमित करने का प्रयास करना चाहिए। केवल वही जानकारी एकत्र की जानी चाहिए जो उद्यम यानी बिज़नेस के लिए ज़रूरी है।
उपभोक्ताओं यानी कंस्यूमर्स के पर्सनल डेटा को संग्रहीत करने पर अधिक जोर दिया जाना चाहिए। सभी संवेदनशील और महत्वपूर्ण पर्सनल डेटा को पूरी तरह से कूटरूप में किया जाना चाहिए। पर्सनल डेटा तक सही पहुंच के किसी भी दुरुपयोग को रोकने के लिए एक मजबूत साइबर-भौतिक सुरक्षा प्रतिरूप को नियोजित किया जाना चाहिए।
उपभोक्ता डेटा एकत्र करते समय पारदर्शिता यानी ट्रैन्स्पेरेन्सी बनाए रखी जानी चाहिए। गोपनीयता नीतियों को ग्राहकों को सरल भाषा में समझाया जाना चाहिए। उन्हें एकत्रित की जा रही जानकारी, इसके उपयोग और इसके भंडारण की ज़रूरीता के बारे में सूचित किया जाना चाहिए। ग्राहक की सहमति के बिना कोई डेटा एकत्र, उपयोग, संग्रहीत या स्थानांतरित नहीं किया जाना चाहिए।
यह आश्वत करना महत्वपूर्ण है कि ग्राहक अपने डेटा गोपनीयता के बारे में चिंता या प्रश्न होने पर बिज़नेसों के साथ आसानी से संवाद कर सकें।
कर्मचारियों को डिजिटल डेटा उल्लंघन के बारे में सूचित किया जाना चाहिए और इसे रोकने के लिए प्रशिक्षित किया जाना चाहिए।
डेटा सुरक्षा कार्यक्रमों के समय पर अद्यतन आश्वत करना महत्वपूर्ण है।

Digital Data Management and Infringement Risks

निष्कर्ष

अपने डेटा प्रबंधन यानी मैनेजमेंट प्रणालियों में कुछ बदलावों के साथ, कंपनियां भारतीय डेटा संरक्षण विधेयक के नए प्रावधानों यानी रूल्ज़ का बहुत आसानी से पालन कर सकती हैं। यदि आप एक ऐसे ई-सेलर हैं जो अभी भी अनुपालन को लेकर चिंतित हैं, तो अमेज़न की प्रभावी डेटा सुरक्षा नीति द्वारा डेटा सुरक्षा और जोखिम प्रबंधन यानी मैनेजमेंट आश्वत करने के लिए डेटा पर एक सेलर के रूप में रेजिस्ट्रेशन करें।

Disclaimer: Whilst Amazon Seller Services Private Limited ("Amazon") has used reasonable endeavours in compiling the information provided, Amazon provides no assurance as to its accuracy, completeness or usefulness or that such information is error-free. In certain cases, the blog is provided by a third-party seller and is made available on an "as-is" basis. Amazon hereby disclaims any and all liability and assumes no responsibility whatsoever for consequences resulting from use of such information. Information provided may be changed or updated at any time, without any prior notice. You agree to use the information, at your own risk and expressly waive any and all claims, rights of action and/or remedies (under law or otherwise) that you may have against Amazon arising out of or in connection with the use of such information. Any copying, redistribution or republication of the information, or any portion thereof, without prior written consent of Amazon is strictly prohibited.