तुमच्या कंपनीसाठी जनरल डेटा प्रोटेक्शन रेग्युलेशन (GDPR) चा अर्थ काय आहे

4 सप्टेंबर 2023 रोजी अपडेट केले

विशेषत: जगभरात मोठ्या प्रमाणावर डिजिटलायझेशन झाल्यापासून, आजकाल गोपनीयता ही खूप मोठी गोष्ट आहे. आमचा डेटा ज्या प्रकारे हाताळला जातो त्याचे पर्यवेक्षण आणि नियमन करणे आवश्यक आहे जेणेकरुन विशिष्ट व्यक्तींचा गैरवापर किंवा चोरी होऊ नये. तुम्हाला माहीत आहे का की गोपनीयता हा अगदी मानवी हक्क आहे? वैयक्तिक डेटा अत्यंत संवेदनशील आणि गैरवापरासाठी प्रवण आहे; म्हणून, बहुतेक देशांनी कायदे स्वीकारले आहेत जे (वैयक्तिक) डेटाचा वापर आणि प्रक्रिया कठोरपणे नियंत्रित करतात. राष्ट्रीय कायद्यांच्या पुढे, राष्ट्रीय कायद्यांवर प्रभाव टाकणारे व्यापक नियम देखील आहेत. युरोपियन युनियन (EU), उदाहरणार्थ, जनरल डेटा प्रोटेक्शन रेग्युलेशन (GDPR) लागू केले. हे नियम मे 2018 मध्ये अंमलात आले आणि EU मार्केटमध्ये वस्तू किंवा सेवा प्रदान करणार्‍या कोणत्याही संस्थेला लागू होते. तुमची कंपनी EU मध्ये नसली तरीही GDPR लागू होते, परंतु त्याच वेळी EU चे ग्राहक आहेत. GDPR नियमन आणि त्याच्या आवश्यकतांच्या तपशीलांमध्ये जाण्यापूर्वी, GDPR चे उद्दिष्ट काय साध्य करायचे आहे आणि ते तुमच्यासाठी उद्योजक म्हणून का महत्त्वाचे आहे हे प्रथम स्पष्ट करूया. या लेखात, आम्ही अशा प्रकारे GDPR काय आहे, आपण त्याचे पालन करण्यासाठी योग्य कृती का करावी आणि हे शक्य तितक्या कार्यक्षम मार्गाने कसे करावे हे स्पष्ट करू.

जीडीपीआर म्हणजे नेमके काय?

GDPR हे EU नियम आहे जे नैसर्गिक नागरिकांच्या वैयक्तिक डेटाचे संरक्षण कव्हर करते. म्हणूनच हे केवळ वैयक्तिक डेटाचे संरक्षण करण्यासाठी आहे आणि व्यावसायिक डेटा किंवा कंपन्यांच्या डेटाचे नाही. EU च्या अधिकृत वेबसाइटवर, त्याचे खालीलप्रमाणे वर्णन केले आहे:

“वैयक्तिक डेटाच्या प्रक्रियेच्या संदर्भात नैसर्गिक व्यक्तींच्या संरक्षणावर आणि अशा डेटाच्या मुक्त हालचालीवर नियमन (EU) 2016/679. या नियमनाचा दुरुस्त केलेला मजकूर 23 मे 2018 रोजी युरोपियन युनियनच्या अधिकृत जर्नलमध्ये प्रकाशित झाला होता. GDPR डिजिटल युगात नागरिकांचे मूलभूत अधिकार मजबूत करते आणि डिजिटल सिंगल मार्केटमधील व्यवसायांसाठी नियम स्पष्ट करून व्यापाराला प्रोत्साहन देते. नियमांच्या या सामान्य संचाने भिन्न राष्ट्रीय प्रणालींमुळे होणारे विखंडन दूर केले आणि लाल फिती टाळली. हा नियम 24 मे 2016 रोजी लागू झाला आणि 25 मे 2018 पासून लागू झाला आहे. कंपन्या आणि व्यक्तींसाठी अधिक माहिती.[1]"

हे मूलत: वैयक्तिक डेटा सुरक्षितपणे हाताळले जाते याची खात्री करण्यासाठी एक साधन आहे ज्यांना त्यांनी ऑफर केलेल्या वस्तू किंवा सेवांच्या स्वरूपामुळे डेटा हाताळण्याची आवश्यकता आहे. उदाहरणार्थ, तुम्ही EU नागरिक म्हणून वेबसाइटवर उत्पादन ऑर्डर केल्यास, तुमचा डेटा या नियमाद्वारे संरक्षित केला जातो कारण तुम्ही EU मध्ये आहात. आम्ही आधी थोडक्यात सांगितल्याप्रमाणे, या नियमाच्या कक्षेत येण्यासाठी कंपनीची स्वतः EU देशात स्थापना करण्याची आवश्यकता नाही. EU मधील ग्राहकांशी व्यवहार करणाऱ्या प्रत्येक कंपनीने सर्व EU नागरिकांचा वैयक्तिक डेटा संरक्षित आणि सुरक्षित असल्याची खात्री करून GDPR चे पालन करणे आवश्यक आहे. अशाप्रकारे, तुम्ही खात्री बाळगू शकता की कोणतीही कंपनी तुमचा डेटा विशेषत: नमूद केलेल्या आणि रेखांकित केलेल्या प्रयोजनांसाठी वापरणार नाही.

GDPR चा विशिष्ट उद्देश काय आहे?

GDPR चा मुख्य उद्देश वैयक्तिक डेटा संरक्षण आहे. GDPR नियमनात तुमच्यासह मोठ्या आणि लहान सर्व संस्थांनी ते वापरत असलेल्या वैयक्तिक डेटाबद्दल विचार करावा आणि ते का आणि कसे वापरतात याबद्दल खूप विचारशील आणि विचारशील असावे अशी इच्छा आहे. मूलत:, GDPR ची इच्छा आहे की उद्योजकांनी त्यांचे ग्राहक, कर्मचारी, पुरवठादार आणि ते व्यवसाय करत असलेल्या इतर पक्षांच्या वैयक्तिक डेटाबद्दल अधिक जागरूक असावे. दुसऱ्या शब्दांत, GDPR नियमन अशा संस्थांना संपवू इच्छित आहे जे केवळ व्यक्तींबद्दल डेटा गोळा करतात कारण ते पुरेसे कारण नसताना सक्षम आहेत. किंवा त्यांना विश्वास आहे की त्यांना आता किंवा भविष्यात याचा फायदा होऊ शकतो, जास्त लक्ष न देता आणि तुम्हाला माहिती न देता. तुम्ही खाली दिलेल्या माहितीमध्ये पाहाल त्याप्रमाणे, GDPR प्रत्यक्षात फारसे प्रतिबंधित करत नाही. तुम्ही अजूनही ईमेल मार्केटिंगमध्ये सहभागी होऊ शकता, तुम्ही अजूनही जाहिरात करू शकता आणि तरीही तुम्ही ग्राहकांचा वैयक्तिक डेटा विकू शकता आणि वापरू शकता, जोपर्यंत तुम्ही व्यक्तींच्या गोपनीयतेचा आदर कसा करता याबद्दल पारदर्शकता प्रदान करता. तुमच्या ग्राहकांना आणि इतर तृतीय पक्षांना तुमची विशिष्ट उद्दिष्टे आणि कृतींबद्दल माहिती मिळावी म्हणून तुम्ही डेटा वापरता त्याबद्दल पुरेशी माहिती प्रदान करण्याबद्दल नियमन अधिक आहे. अशा प्रकारे, प्रत्येक व्यक्ती तुम्हाला माहितीच्या संमतीच्या आधारे त्यांचा डेटा प्रदान करू शकते, अगदी कमीत कमी. इतकेच सांगणे पुरेसे आहे की, तुम्ही म्हणता तसे करणे आवश्यक आहे आणि तुम्ही जे सांगितले आहे त्यापेक्षा इतर हेतूंसाठी डेटा वापरू नये, कारण यामुळे खूप मोठा दंड आणि इतर परिणाम होऊ शकतात.

उद्योजक ज्यांना GDPR लागू होतो

तुम्ही स्वतःला विचारू शकता, "जीडीपीआर माझ्या कंपनीलाही लागू होतो का?" याचे उत्तर अगदी सोपे आहे: जर तुमच्याकडे EU मधील व्यक्तींसह ग्राहक आधार किंवा कर्मचारी प्रशासन असेल, तर तुम्ही वैयक्तिक डेटावर प्रक्रिया करता. आणि तुम्ही वैयक्तिक डेटावर प्रक्रिया करत असल्यास, तुम्ही जनरल डेटा प्रोटेक्शन रेग्युलेशन (GDPR) चे पालन करणे आवश्यक आहे. तुम्ही वैयक्तिक डेटाचे काय करू शकता आणि तुम्ही त्याचे संरक्षण कसे करावे हे कायदा ठरवतो. त्यामुळे तुमच्या संस्थेसाठी हे नेहमीच महत्त्वाचे असते, कारण EU व्यक्तींशी व्यवहार करणाऱ्या सर्व कंपन्यांनी GDPR नियमांचे पालन करणे अनिवार्य आहे. आमचे सर्व व्यावसायिक आणि वैयक्तिक संवाद अधिकाधिक डिजिटल होत आहेत, त्यामुळे व्यक्तींच्या गोपनीयतेचा विचार करणे ही फक्त योग्य गोष्ट आहे. ग्राहकांना अपेक्षा आहे की त्यांच्या प्रिय स्टोअरने त्यांनी प्रदान केलेला वैयक्तिक डेटा काळजीपूर्वक हाताळावा, त्यामुळे GDPR बाबत तुमचे स्वतःचे वैयक्तिक नियम व्यवस्थित असणे ही तुम्हाला अभिमान वाटेल अशी गोष्ट आहे. आणि, अतिरिक्त बोनस म्हणून, तुमच्या ग्राहकांना ते आवडेल.

तुम्ही वैयक्तिक डेटा हाताळता तेव्हा, GDPR नुसार, तुम्ही जवळजवळ नेहमीच या डेटावर प्रक्रिया करत असता. डेटा गोळा करणे, संग्रहित करणे, बदल करणे, पूरक करणे किंवा अग्रेषित करण्याचा विचार करा. तुम्ही निनावीपणे डेटा तयार केला किंवा हटवला तरीही तुम्ही त्यावर प्रक्रिया करत आहात. डेटा हा वैयक्तिक डेटा आहे जर तो लोकांशी संबंधित असेल की आपण इतर सर्व लोकांपासून वेगळे करू शकता. ओळखलेल्या व्यक्तीची हीच व्याख्या आहे, ज्याची आपण या लेखात नंतर तपशीलवार चर्चा करू. उदाहरणार्थ, तुम्हाला एखाद्या व्यक्तीचे नाव आणि आडनाव माहित असल्यास तुम्ही ओळखले आहे आणि हा डेटा त्यांच्या अधिकृतपणे जारी केलेल्या ओळखीच्या माध्यमांवरील डेटाशी देखील जुळतो. या प्रक्रियेत सहभागी एक व्यक्ती म्हणून, तुम्ही संस्थांना प्रदान करत असलेल्या वैयक्तिक डेटावर तुमचे नियंत्रण आहे. सर्व प्रथम, जीडीपीआर तुम्हाला संस्था वापरत असलेल्या विशिष्ट वैयक्तिक डेटाबद्दल माहिती मिळवण्याचा अधिकार देते आणि का. त्याच वेळी, या संस्था आपल्या गोपनीयतेची हमी कशी देतात याबद्दल आपल्याला माहिती देण्याचा अधिकार आहे. याव्यतिरिक्त, तुम्ही तुमच्या डेटाच्या वापरावर आक्षेप घेऊ शकता, संस्थेने तुमचा डेटा हटवण्याची विनंती करू शकता किंवा तुमचा डेटा प्रतिस्पर्धी सेवेकडे हस्तांतरित करण्याची विनंती देखील करू शकता.[2] तर, थोडक्यात, डेटा ज्याच्याशी संबंधित आहे ती व्यक्ती निवडते की तुम्ही डेटाचे काय करायचे. म्हणूनच तुम्ही मिळवलेल्या वैयक्तिक डेटाच्या अचूक वापराबाबत तुम्ही प्रदान केलेल्या माहितीसह एक संस्था म्हणून सावधगिरी बाळगणे आवश्यक आहे, कारण डेटा ज्या व्यक्तीशी संबंधित आहे त्यांच्या डेटावर प्रक्रिया करण्याच्या कारणांबद्दल माहिती देणे आवश्यक आहे. त्यानंतरच एखादी व्यक्ती तुम्ही डेटा योग्यरित्या वापरत आहात की नाही हे ठरवू शकेल.

नक्की कोणता डेटा समाविष्ट आहे?

GDPR मध्ये वैयक्तिक डेटा सर्वात महत्वाची भूमिका बजावतो. व्यक्तींच्या गोपनीयतेचे रक्षण करणे हा प्रारंभ बिंदू आहे. आम्ही GDPR मार्गदर्शक तत्त्वे काळजीपूर्वक वाचल्यास, आम्ही डेटा तीन श्रेणींमध्ये विभागू शकतो. पहिली श्रेणी विशेषतः वैयक्तिक डेटाबद्दल आहे. हे ओळखल्या जाणार्‍या किंवा ओळखल्या जाणार्‍या नैसर्गिक व्यक्तीबद्दल सर्व माहिती म्हणून वर्गीकृत केले जाऊ शकते. उदाहरणार्थ, त्याचे नाव आणि पत्ता तपशील, ई-मेल पत्ता, IP पत्ता, जन्मतारीख, वर्तमान स्थान, परंतु डिव्हाइस आयडी देखील. हा वैयक्तिक डेटा सर्व माहिती आहे ज्याद्वारे नैसर्गिक व्यक्ती ओळखली जाऊ शकते. लक्षात घ्या की या संकल्पनेचा अतिशय व्यापक अर्थ लावला जातो. हे निश्चितपणे आडनाव, नाव, जन्मतारीख किंवा पत्त्यापुरते मर्यादित नाही. काही डेटा - ज्याचा प्रथमदर्शनी वैयक्तिक डेटाशी काहीही संबंध नाही - तरीही काही माहिती जोडून GDPR अंतर्गत येऊ शकते. त्यामुळे सामान्यतः हे मान्य केले जाते की अगदी (डायनॅमिक) IP पत्ते, संगणक इंटरनेटवर एकमेकांशी संवाद साधणारे अद्वितीय क्रमांक संयोजन वैयक्तिक डेटा म्हणून ओळखले जाऊ शकतात. हे, अर्थातच, प्रत्येक विशिष्ट प्रकरणासाठी विशेषतः विचारात घेतले पाहिजे, परंतु आपण प्रक्रिया करत असलेल्या डेटाचा विचार करा.

दुसरी श्रेणी तथाकथित स्यूडो-अनामिक डेटाबद्दल आहे: वैयक्तिक डेटा अशा प्रकारे प्रक्रिया केला जातो की अतिरिक्त माहितीचा वापर केल्याशिवाय डेटा यापुढे शोधला जाऊ शकत नाही, परंतु तरीही एखाद्या व्यक्तीस अद्वितीय बनवते. उदाहरणार्थ, एन्क्रिप्ट केलेला ई-मेल पत्ता, वापरकर्ता आयडी किंवा ग्राहक क्रमांक जो केवळ चांगल्या-सुरक्षित अंतर्गत डेटाबेसद्वारे इतर डेटाशी जोडलेला आहे. हे देखील GDPR च्या कार्यक्षेत्रात येते. तिसर्‍या श्रेणीमध्ये पूर्णपणे निनावी डेटाचा समावेश आहे: डेटा जिथे ट्रेस बॅक करण्यास अनुमती देणारा सर्व वैयक्तिक डेटा हटविला गेला आहे. व्यवहारात, वैयक्तिक डेटा प्रथम स्थानावर शोधता येत नाही तोपर्यंत हे सिद्ध करणे कठीण असते. त्यामुळे हे GDPR च्या कक्षेच्या बाहेर आहे.

ओळखण्यायोग्य व्यक्ती म्हणून कोण पात्र आहे?

'ओळखण्यायोग्य व्यक्ती'च्या कक्षेत कोण येते हे ठरवणे कधीकधी थोडे कठीण असते. विशेषत: इंटरनेटवर अनेक बनावट प्रोफाइल असल्याने, जसे की बनावट सोशल मीडिया खाती असलेले लोक. सर्वसाधारणपणे, तुम्ही असे गृहीत धरू शकता की एखादी व्यक्ती ओळखण्यायोग्य आहे जेव्हा तुम्ही त्यांचा वैयक्तिक डेटा जास्त प्रयत्न न करता शोधू शकता. उदाहरणार्थ, तुम्ही खाते डेटाशी लिंक करू शकता अशा ग्राहक क्रमांकांचा विचार करा. किंवा एखादा फोन नंबर जो तुम्ही सहजपणे ट्रेस करू शकता आणि अशा प्रकारे तो कोणाचा आहे हे शोधू शकता. हा सर्व वैयक्तिक डेटा आहे. जर तुम्हाला एखाद्या व्यक्तीला ओळखण्यात समस्या येत असल्याचे दिसत असेल तर, थोडे अधिक संशोधन करणे आवश्यक आहे. तुम्ही कोणाशी व्यवहार करत आहात हे तुम्हाला माहीत आहे याची खात्री करण्यासाठी तुम्ही त्या व्यक्तीला वैध ओळखपत्रासाठी विचारू शकता. डिजिटल टेलिफोन बुक (जे प्रत्यक्षात अजूनही अस्तित्वात आहे) सारख्या एखाद्याच्या ओळखीसंबंधी माहिती मिळविण्यासाठी तुम्ही सत्यापित डेटाबेस देखील पाहू शकता. जर तुम्हाला खात्री नसेल की एखादा ग्राहक किंवा अन्य तृतीय पक्ष ओळखण्यायोग्य आहे की नाही, त्या ग्राहकाशी संपर्क साधण्याचा प्रयत्न करा आणि वैयक्तिक डेटा विचारा. जर त्या व्यक्तीने तुमच्या प्रश्नाचे उत्तर दिले नाही, तर तुमच्याकडे असलेला सर्व डेटा हटवणे आणि तुम्हाला प्रदान केलेली माहिती टाकून देणे सामान्यत: उत्तम आहे. शक्यता आहे, कोणीतरी बनावट ओळख वापरत आहे. GDPR चा उद्देश व्यक्तींचे संरक्षण करणे हा आहे, परंतु एक कंपनी म्हणून तुम्हाला फसवणुकीपासून स्वतःचे संरक्षण करण्यासाठी योग्य पावले उचलण्याची देखील आवश्यकता आहे. दुर्दैवाने, लोक बनावट ओळख वापरण्यास सक्षम आहेत, म्हणून लोक प्रदान करत असलेल्या माहितीबद्दल सावध राहणे महत्त्वाचे आहे. जेव्हा कोणीतरी दुसऱ्याची ओळख वापरते, तेव्हा कंपनी म्हणून तुमच्यावर याचे गंभीर परिणाम होऊ शकतात. प्रत्येक वेळी योग्य परिश्रम घेण्याचा सल्ला दिला जातो.

तृतीय-पक्ष डेटा वापरण्याची कायदेशीर कारणे

GDPR चा एक मुख्य घटक हा नियम आहे, की तुम्ही केवळ निर्दिष्ट आणि कायदेशीर हेतूंसाठी तृतीय-पक्ष डेटा वापरला पाहिजे. डेटा मिनिमायझेशनच्या आवश्यकतेवर आधारित, GDPR ने असे सुचवले आहे की तुम्ही केवळ नमूद केलेल्या आणि दस्तऐवजीकरण केलेल्या व्यावसायिक उद्देशासाठी वैयक्तिक डेटा वापरू शकता, ज्याला सहा उपलब्ध GDPR कायदेशीर आधारांपैकी एकाद्वारे समर्थित आहे. दुसऱ्या शब्दांत, वैयक्तिक डेटाचा तुमचा वापर नमूद केलेल्या उद्देश आणि कायदेशीर आधारापुरता मर्यादित आहे. तुम्ही करत असलेल्या वैयक्तिक डेटाची कोणतीही प्रक्रिया GDPR रजिस्टरमध्ये, त्याचा उद्देश आणि कायदेशीर आधारासह दस्तऐवजीकरण करणे आवश्यक आहे. हे दस्तऐवजीकरण तुम्हाला प्रत्येक प्रक्रियेच्या क्रियाकलापाबद्दल विचार करण्यास आणि त्यासाठी उद्देश आणि कायदेशीर आधार काळजीपूर्वक विचार करण्यास भाग पाडते. GDPR सहा कायदेशीर आधारांना सक्षम करते, ज्याची आम्ही खाली रूपरेषा करू.

1. कराराच्या जबाबदाऱ्या: करारामध्ये प्रवेश करताना, वैयक्तिक डेटावर प्रक्रिया करणे आवश्यक आहे. कराराचा वापर करताना वैयक्तिक डेटा देखील वापरला जाऊ शकतो.
2. संमती: वापरकर्ता त्याचा/तिचा वैयक्तिक डेटा वापरण्यासाठी किंवा कुकीज ठेवण्यासाठी स्पष्ट परवानगी देतो.
3. कायदेशीर स्वारस्य: नियंत्रक किंवा तृतीय पक्षाच्या कायदेशीर हितसंबंधांसाठी वैयक्तिक डेटावर प्रक्रिया करणे आवश्यक आहे. या प्रकरणात संतुलन महत्वाचे आहे, ते डेटा विषयाच्या वैयक्तिक स्वातंत्र्यांचे उल्लंघन करू नये.
4. महत्वाची आवड: जेव्हा जीवन किंवा मृत्यूची परिस्थिती उद्भवते तेव्हा डेटावर प्रक्रिया केली जाऊ शकते.
5. कायदेशीर दायित्वे: वैयक्तिक डेटावर कायद्यानुसार प्रक्रिया करणे आवश्यक आहे.
6. सार्वजनिक हितसंबंध: हे मुख्यतः सरकार आणि स्थानिक प्राधिकरणांशी संबंधित आहे, जसे की सार्वजनिक सुव्यवस्था आणि सुरक्षितता आणि सर्वसाधारणपणे जनतेचे संरक्षण यासंबंधी जोखीम.

हे कायदेशीर आधार आहेत जे तुम्हाला वैयक्तिक डेटा संचयित आणि प्रक्रिया करण्याची परवानगी देतात. बर्‍याचदा, यापैकी काही कारणे ओव्हरलॅप होऊ शकतात. जोपर्यंत तुम्ही स्पष्ट करू शकता आणि सिद्ध करू शकता की प्रत्यक्षात कायदेशीर आधार आहे तोपर्यंत ही सामान्यतः समस्या नाही. जेव्हा तुमच्याकडे वैयक्तिक डेटाचे संचयन आणि प्रक्रिया करण्यासाठी कायदेशीर आधार नसतो, तेव्हा तुम्ही कदाचित अडचणीत असाल. लक्षात ठेवा की GDPR मध्ये व्यक्तींच्या गोपनीयतेचे संरक्षण आहे, म्हणूनच केवळ मर्यादित कायदेशीर आधार आहेत. हे जाणून घ्या आणि लागू करा आणि तुम्ही एक संस्था किंवा कंपनी म्हणून सुरक्षित असले पाहिजे.

जीडीपीआर लागू होणारा डेटा

GDPR, त्याच्या मुळाशी, डेटाच्या प्रक्रियेवर लागू होतो जो एकतर पूर्ण किंवा किमान अंशतः स्वयंचलित असतो. यामध्ये डेटाबेस किंवा संगणकाद्वारे डेटा प्रोसेसिंग समाविष्ट आहे, उदाहरणार्थ. परंतु हे भौतिक फाइलमध्ये समाविष्ट असलेल्या वैयक्तिक डेटावर देखील लागू होते, जसे की संग्रहामध्ये संग्रहित केलेल्या फाइल्स. परंतु या फायली या अर्थाने महत्त्वपूर्ण असणे आवश्यक आहे की समाविष्ट केलेला डेटा काही ऑर्डर, फाइल किंवा व्यवसाय व्यवहाराशी जोडलेला आहे. तुमच्याकडे फक्त नाव असलेली हस्तलिखित नोट असल्यास, ती GDPR अंतर्गत डेटा म्हणून पात्र ठरत नाही. ही हस्तलिखित टीप तुमच्यामध्ये स्वारस्य असलेल्या एखाद्या व्यक्तीकडून असू शकते किंवा अन्यथा वैयक्तिक स्वरूपाची असू शकते. कंपन्यांद्वारे डेटावर प्रक्रिया करण्याच्या काही सामान्य मार्गांमध्ये ऑर्डर व्यवस्थापन, ग्राहक डेटाबेस, पुरवठादार डेटाबेस, कर्मचारी प्रशासन आणि अर्थातच थेट विपणन, जसे की वृत्तपत्रे आणि थेट मेलिंग यांचा समावेश होतो. ज्या व्यक्तीच्या वैयक्तिक डेटावर तुम्ही प्रक्रिया करता त्याला "डेटा विषय" म्हणतात. हा ग्राहक, वृत्तपत्र सदस्य, कर्मचारी किंवा संपर्क व्यक्ती असू शकतो. कंपन्यांशी संबंधित डेटा वैयक्तिक डेटा म्हणून पाहिला जात नाही, तर एकमेव मालकी किंवा स्वयंरोजगार असलेल्या व्यक्तींबद्दलचा डेटा आहे.[3]

ऑनलाइन मार्केटिंगचे नियम

ऑनलाइन मार्केटिंगच्या बाबतीत GDPR चा महत्त्वपूर्ण प्रभाव पडतो. तुम्हाला काही मूलभूत नियमांचे पालन करावे लागेल, जसे की ईमेल मार्केटिंगच्या बाबतीत नेहमी निवड रद्द करण्याचा पर्याय ऑफर करणे. याशिवाय, निविदाकाराला त्यांची प्राधान्ये दर्शविण्यास आणि समायोजित करण्यास सक्षम असणे आवश्यक आहे. याचा अर्थ असा की, तुम्ही सध्या हे पर्याय ऑफर करत नसल्यास, तुम्हाला ईमेल समायोजित करावे लागतील. अनेक संस्था पुनर्लक्ष्यीकरण यंत्रणा देखील वापरतात. हे साध्य केले जाऊ शकते, उदाहरणार्थ, Facebook किंवा Google जाहिरातींद्वारे, परंतु लक्षात ठेवा की हे करण्यासाठी तुम्हाला स्पष्ट परवानगीची विनंती करावी लागेल. तुमच्या वेबसाइटवर कदाचित तुमच्याकडे आधीपासूनच गोपनीयता आणि कुकी धोरण आहे. त्यामुळे या नियमांसोबत या कायदेशीर भागांमध्येही सुधारणा करणे आवश्यक आहे. जीडीपीआर आवश्यकता सांगते की हे दस्तऐवज अधिक व्यापक आणि पारदर्शक असणे आवश्यक आहे. या समायोजनांसाठी तुम्ही अनेकदा मॉडेल टेक्स्ट वापरू शकता, जे इंटरनेटवर मुक्तपणे उपलब्ध आहेत. तुमची गोपनीयता आणि कुकी धोरणांमध्ये कायदेशीर समायोजनाव्यतिरिक्त, डेटा प्रोसेसिंग अधिकारी नियुक्त करणे आवश्यक आहे. ही व्यक्ती डेटाच्या प्रक्रियेसाठी जबाबदार आहे आणि ती संस्था GDPR-अनुपालक आहे आणि राहील याची खात्री करते.

GDPR चे पालन करण्याच्या टिपा आणि मार्ग

अर्थातच, सर्वात महत्त्वाची गोष्ट म्हणजे तुम्ही, एक उद्योजक म्हणून, कायदेशीर नियम आणि नियमांचे पालन करता, जसे की GDPR. सुदैवाने, शक्य तितक्या कमी प्रयत्नांसह GDPR चे पालन करण्याचे मार्ग आहेत. आम्ही आधीच चर्चा केल्याप्रमाणे, GDPR स्वतःच काहीही प्रतिबंधित करत नाही, परंतु वैयक्तिक डेटावर प्रक्रिया करण्याच्या मार्गासाठी ते कठोर मार्गदर्शक तत्त्वे सेट करते. तुम्ही विशिष्ट मार्गदर्शक तत्त्वांचे पालन न केल्यास आणि GDPR मध्ये नमूद नसलेल्या कारणांसाठी डेटा वापरल्यास किंवा त्याच्या व्याप्तीच्या बाहेर पडल्यास, तुम्हाला दंड आणि आणखी वाईट परिणामांचा धोका आहे. त्यापुढे, लक्षात ठेवा की तुम्ही ज्या पक्षांसोबत काम करता ते सर्व पक्ष तुमचा व्यवसाय मालक म्हणून आदर करतील जेव्हा तुम्ही त्यांचा डेटा आणि गोपनीयतेचाही आदर करता. हे तुम्हाला सकारात्मक आणि विश्वासार्ह प्रतिमा प्रदान करेल, जी व्यवसायासाठी खरोखर चांगली आहे. आम्ही आता काही टिपांवर चर्चा करू ज्या GDPR चे अनुपालन एक सोपी आणि कार्यक्षम प्रक्रिया बनवेल.

1. प्रथम स्थानावर तुम्ही कोणत्या वैयक्तिक डेटावर प्रक्रिया करता याचा नकाशा तयार करा

आपल्याला कोणता अचूक डेटा आवश्यक आहे आणि कोणत्या उद्देशाने हे संशोधन करणे ही पहिली गोष्ट आहे. तुम्ही कोणती माहिती गोळा करणार आहात? तुमचे ध्येय साध्य करण्यासाठी तुम्हाला किती डेटा आवश्यक आहे? फक्त एक नाव आणि ईमेल पत्ता, किंवा तुम्हाला भौतिक पत्ता आणि फोन नंबर सारख्या अतिरिक्त डेटाची देखील आवश्यकता आहे? तुम्हाला एक प्रोसेसिंग रजिस्टर देखील तयार करणे आवश्यक आहे ज्यामध्ये तुम्ही कोणता डेटा ठेवता, तो कुठून येतो आणि तुम्ही ही माहिती कोणत्या पक्षांसोबत शेअर करता ते सूचीबद्ध करता. धारण कालावधी देखील विचारात घ्या, कारण GDPR असे सांगते की तुम्ही याबद्दल पारदर्शक असले पाहिजे.

2. सर्वसाधारणपणे तुमच्या व्यवसायासाठी प्रायव्हसीला प्राधान्य द्या

गोपनीयता हा एक अतिशय महत्त्वाचा विषय आहे आणि हे (अन) भविष्यातही असेच राहील, कारण तंत्रज्ञान आणि डिजिटलायझेशन केवळ प्रगती करत आहेत आणि वाढत आहेत. अशाप्रकारे, एक उद्योजक म्हणून तुम्ही सर्व आवश्यक गोपनीयता नियमांबद्दल स्वतःला माहिती देणे आणि व्यवसाय करत असताना याला प्राधान्य देणे अत्यंत महत्त्वाचे आहे. हे केवळ तुम्ही सर्व लागू कायद्यांचे पालन करत आहात याची खात्री करणार नाही तर तुमच्या कंपनीसाठी विश्वासाची प्रतिमा देखील तयार करेल. म्हणून, एक उद्योजक म्हणून, स्वतःला GDPR नियमांमध्ये बुडवून घ्या किंवा अन्यथा कायदेशीर तज्ञांचा सल्ला घ्या, जेणेकरून गोपनीयतेच्या बाबतीत तुम्ही कायदेशीररित्या व्यवसाय करत आहात याची तुम्ही खात्री बाळगू शकता. तुमच्‍या कंपनीने कोणत्‍या अचूक नियमांचे पालन करण्‍याची आवश्‍यकता आहे हे तुम्‍हाला शोधावे लागेल. डच अधिकारी दैनंदिन वापरासाठी अनेक माहिती, टिपा आणि साधनांसह तुम्हाला तुमच्या मार्गावर मदत करू शकतात.

3. वैयक्तिक डेटावर प्रक्रिया करण्यासाठी योग्य कायदेशीर आधार ओळखा

आम्ही आधीच चर्चा केल्याप्रमाणे, GDPR नुसार, फक्त सहा अधिकृत कायदेशीर तळ आहेत जे तुम्हाला वैयक्तिक डेटावर प्रक्रिया आणि संचयित करण्याची परवानगी देतात. जर तुम्ही डेटा वापरणार असाल, तर तुमचा वापर कोणता कायदेशीर आधार आहे हे तुम्हाला माहीत असणे महत्त्वाचे आहे. तद्वतच, तुम्ही तुमच्या कंपनीसोबत करत असलेल्या विविध प्रकारच्या डेटा प्रोसेसिंगचे दस्तऐवजीकरण करावे, उदाहरणार्थ, तुमच्या गोपनीयता धोरणामध्ये, जेणेकरून ग्राहक आणि तृतीय पक्ष ही माहिती वाचू शकतील आणि मान्य करू शकतील. त्यानंतर, प्रत्येक क्रियेसाठी योग्य कायदेशीर आधार स्वतंत्रपणे ओळखा. तुम्हाला नवीन हेतू किंवा कारणांसाठी वैयक्तिक डेटावर प्रक्रिया करण्याची आवश्यकता असल्यास, तुम्ही सुरू करण्यापूर्वी ही क्रियाकलाप जोडण्याची खात्री करा.

4. तुमचा डेटा वापर शक्य तितका कमी करण्याचा प्रयत्न करा

तुम्ही, एक संस्था म्हणून, निश्चित ध्येय साध्य करण्यासाठी तुम्ही फक्त किमान डेटा घटक गोळा करत आहात याची खात्री करणे आवश्यक आहे. उदाहरणार्थ, जर तुम्ही वस्तू किंवा सेवा ऑनलाइन विकत असाल, तर तुमच्या वापरकर्त्यांना नोंदणी प्रक्रिया सुरळीत चालण्यासाठी तुम्हाला फक्त ईमेल आणि पासवर्ड द्यावा लागतो. नोंदणी प्रक्रियेचा भाग म्हणून ग्राहकांना त्यांचे लिंग, जन्म ठिकाण किंवा त्यांचा पत्ता विचारण्याची गरज नाही. जेव्हा वापरकर्ते एखादी वस्तू खरेदी करणे सुरू ठेवतात आणि ती एखाद्या विशिष्ट पत्त्यावर पाठवायची असते तेव्हाच अधिक माहिती विचारणे आवश्यक होते. त्यानंतर तुम्हाला त्या टप्प्यावर वापरकर्त्याच्या पत्त्याची विनंती करण्याचा अधिकार आहे, कारण ही कोणत्याही शिपिंग प्रक्रियेसाठी आवश्यक माहिती आहे. गोळा केलेल्या डेटाचे प्रमाण कमी केल्याने संभाव्य गोपनीयता किंवा सुरक्षितता-संबंधित घटनांचा प्रभाव कमी होतो. डेटा मिनिमायझेशन ही GDPR ची मुख्य आवश्यकता आहे आणि तुमच्या वापरकर्त्यांच्या गोपनीयतेचे संरक्षण करण्यासाठी अत्यंत प्रभावी आहे कारण तुम्ही फक्त तुम्हाला आवश्यक असलेल्या माहितीवर प्रक्रिया करता आणि आणखी काही नाही.

5. तुम्ही ज्यांच्या डेटावर प्रक्रिया करता त्यांचे अधिकार जाणून घ्या

GDPR बद्दल जाणकार होण्याचा एक महत्त्वाचा भाग म्हणजे, तुमच्या ग्राहकांच्या आणि इतर तृतीय पक्षांच्या अधिकारांबद्दल स्वतःला माहिती देणे, ज्यांचा डेटा तुम्ही संग्रहित करता आणि त्यावर प्रक्रिया करता. त्यांचे अधिकार जाणून घेऊनच तुम्ही स्वतःचे रक्षण करू शकता आणि दंड टाळू शकता. हे खरे आहे की GDPR ने व्यक्तींसाठी अनेक महत्त्वाचे अधिकार सादर केले आहेत. जसे की त्यांच्या वैयक्तिक डेटाची तपासणी करण्याचा अधिकार, डेटा दुरुस्त करण्याचा किंवा हटवण्याचा अधिकार आणि त्यांच्या डेटाच्या प्रक्रियेवर आक्षेप घेण्याचा अधिकार. आम्ही खाली या अधिकारांची थोडक्यात चर्चा करू.

• प्रवेशाचा अधिकार

प्रवेशाचा पहिला अधिकार म्हणजे व्यक्तींना त्यांच्याबद्दल प्रक्रिया केलेला वैयक्तिक डेटा पाहण्याचा आणि सल्ला घेण्याचा अधिकार आहे. जर एखाद्या ग्राहकाने हे मागितले तर तुम्ही त्यांना ते देण्यास बांधील आहात.

• सुधारण्याचा अधिकार

दुरुस्त करणे हे दुरुस्त्यासारखेच आहे. त्यामुळे सुधारणा करण्याचा अधिकार व्यक्तींना वैयक्तिक डेटामध्ये बदल करण्याचा आणि जोडण्याचा अधिकार देतो ज्यावर संस्था त्यांच्याबद्दल प्रक्रिया करते की या डेटावर योग्यरित्या प्रक्रिया केली जाते याची खात्री करण्यासाठी.

• विसरून जाण्याचा अधिकार

विसरण्याचा अधिकार म्हणजे नेमके काय म्हणते: जेव्हा ग्राहक विशेषतः हे विचारतो तेव्हा 'विसरला' जाण्याचा अधिकार. त्यानंतर संस्था त्यांचा वैयक्तिक डेटा हटविण्यास बांधील आहे. लक्षात घ्या की कायदेशीर बंधने गुंतलेली असल्यास, एखादी व्यक्ती हा अधिकार मागू शकत नाही.

• प्रक्रिया प्रतिबंधित करण्याचा अधिकार

हा अधिकार एखाद्या व्यक्तीला डेटा विषय म्हणून त्याच्या वैयक्तिक डेटाच्या प्रक्रियेस प्रतिबंधित करण्याची संधी देतो, याचा अर्थ ते कमी डेटावर प्रक्रिया करण्यास सांगू शकतात. उदाहरणार्थ, जर एखाद्या कंपनीने प्रक्रियेसाठी आवश्यक त्यापेक्षा जास्त डेटा मागितला तर.

• डेटा पोर्टेबिलिटीचा अधिकार

या अधिकाराचा अर्थ असा आहे की एखाद्या व्यक्तीस त्यांचा वैयक्तिक डेटा दुसर्या संस्थेकडे हस्तांतरित करण्याचा अधिकार आहे. उदाहरणार्थ, एखादी व्यक्ती एखाद्या स्पर्धकाकडे गेली किंवा कर्मचारी सदस्य दुसर्‍या कंपनीत कामावर गेला आणि तुम्ही या कंपनीला डेटा ट्रान्सफर केला,

• आक्षेप घेण्याचा अधिकार

आक्षेप घेण्याच्या अधिकाराचा अर्थ असा आहे की एखाद्या व्यक्तीला त्यांच्या वैयक्तिक डेटाच्या प्रक्रियेवर आक्षेप घेण्याचा अधिकार आहे, उदाहरणार्थ, जेव्हा डेटा विपणन हेतूंसाठी वापरला जातो. विशिष्ट वैयक्तिक कारणांसाठी ते हा अधिकार वापरू शकतात.

• स्वयंचलित निर्णय घेण्याच्या अधीन नसण्याचा अधिकार

व्यक्तींना पूर्णतः स्वयंचलित निर्णय घेण्याच्या अधीन न राहण्याचा अधिकार आहे ज्यामुळे त्यांच्यासाठी महत्त्वपूर्ण परिणाम होऊ शकतात किंवा मानवी हस्तक्षेपाचे कायदेशीर परिणाम होऊ शकतात. स्वयंचलित प्रक्रियेचे उदाहरण म्हणजे क्रेडिट रेटिंग सिस्टम जी तुम्ही कर्जासाठी पात्र आहात की नाही हे पूर्णपणे स्वयंचलितपणे निर्धारित करेल.

• माहितीचा अधिकार

याचा अर्थ असा की जेव्हा एखादी व्यक्ती विचारते तेव्हा संस्थेने व्यक्तींना त्यांच्या वैयक्तिक डेटाच्या संकलन आणि प्रक्रियेबद्दल स्पष्ट माहिती प्रदान केली पाहिजे. जीडीपीआर तत्त्वांनुसार, संस्थेने कोणत्या डेटावर प्रक्रिया केली आणि का केली हे सूचित करण्यास सक्षम असणे आवश्यक आहे.

या अधिकारांशी स्वतःला परिचित करून, तुम्ही प्रक्रिया करत असलेल्या डेटाबद्दल ग्राहक आणि तृतीय पक्ष कधी चौकशी करतील याचा अंदाज तुम्ही अधिक चांगल्या प्रकारे पाहू शकता. त्यानंतर तुम्हाला ते विनंती करत असलेली माहिती पाठवणे आणि त्यांना पाठवणे सोपे जाईल, कारण तुम्ही तयार होता. नेहमी चौकशीसाठी तयार राहणे आणि डेटा हातात असणे आणि तयार असणे हे तुमचा बराच वेळ वाचवू शकते, उदाहरणार्थ, चांगल्या ग्राहक व्यवस्थापन प्रणालीमध्ये गुंतवणूक करून जी तुम्हाला आवश्यक डेटा जलद आणि कार्यक्षमतेने खेचू देते.

तुम्ही पालन न केल्यास काय होते?

आम्ही या विषयावर याआधीच थोडक्यात स्पर्श केला आहे: तुम्ही GDPR चे पालन न केल्यास त्याचे परिणाम होतात. पुन्‍हा, सूचना द्या की तुम्‍हाला पालन करण्‍यासाठी ईयूमध्‍ये आधारित कंपनी असण्‍याची आवश्‍यकता नाही. जर तुमच्याकडे EU मध्ये आधारित असा एक ग्राहक असेल ज्याच्या डेटावर तुम्ही प्रक्रिया करता, तर तुम्ही GDPR च्या कार्यक्षेत्रात येतो. दंडाचे दोन स्तर आहेत जे लादले जाऊ शकतात. प्रत्येक देशातील सक्षम डेटा संरक्षण प्राधिकरण दोन स्तरांवर प्रभावी दंड जारी करू शकते. ती पातळी विशिष्ट उल्लंघनाच्या आधारे निर्धारित केली जाते. लेव्हल वन दंडामध्ये पालकांच्या संमतीशिवाय अल्पवयीन मुलांच्या वैयक्तिक डेटावर प्रक्रिया करणे, डेटा उल्लंघनाचा अहवाल देण्यात अयशस्वी होणे आणि आवश्यक डेटा सुरक्षिततेच्या दृष्टीने पुरेशी हमी न देणाऱ्या प्रोसेसरला सहकार्य करणे यासारख्या उल्लंघनांचा समावेश होतो. या दंडाची रक्कम 10 दशलक्ष युरो पर्यंत किंवा कंपनीच्या बाबतीत, मागील आर्थिक वर्षापासून तुमच्या एकूण जागतिक वार्षिक उलाढालीच्या 2% पर्यंत असू शकते.

जर तुम्ही मूलभूत गुन्हे केले तर स्तर दोन लागू होते. उदाहरणार्थ, डेटा प्रोसेसिंग तत्त्वांचे पालन करण्यात अयशस्वी होणे किंवा एखादी संस्था डेटा प्रक्रियेला प्रत्यक्षात संमती दिली असल्याचे दाखवू शकत नसल्यास. जर तुम्ही लेव्हल टू दंडाच्या कक्षेत येत असाल, तर तुम्हाला जास्तीत जास्त 20 दशलक्ष युरो किंवा तुमच्या कंपनीच्या जागतिक उलाढालीच्या 4% पर्यंत दंड होऊ शकतो. लक्षात ठेवा की या रकमा वाढवल्या गेल्या आहेत आणि इतर घटकांसह तुमच्या वैयक्तिक परिस्थितीवर आणि तुमच्या व्यवसायाच्या वार्षिक कमाईवर अवलंबून आहेत. दंडाव्यतिरिक्त, राष्ट्रीय डेटा संरक्षण प्राधिकरण इतर निर्बंध देखील लागू करू शकते. हे चेतावणी आणि फटकारांपासून डेटा प्रक्रिया तात्पुरते (आणि कधीकधी कायमस्वरूपी) बंद होण्यापर्यंत असू शकते. अशा परिस्थितीत, तुम्ही यापुढे तुमच्या संस्थेद्वारे वैयक्तिक डेटावर तात्पुरते किंवा कायमस्वरूपी प्रक्रिया करू शकत नाही. उदाहरणार्थ, तुम्ही वारंवार फौजदारी गुन्हे केल्यामुळे. यामुळे तुमच्यासाठी व्यवसाय करणे अनिवार्यपणे अशक्य होईल. आणखी एक संभाव्य जीडीपीआर मंजूरी म्हणजे ज्या वापरकर्त्यांनी चांगली तक्रार दाखल केली आहे त्यांना नुकसान भरपाई देणे. थोडक्यात, असे गंभीर परिणाम टाळण्यासाठी व्यक्तींच्या गोपनीयतेबद्दल आणि वैयक्तिक डेटाबद्दल जागरुक रहा.

तुम्ही GDPR-अनुरूप आहात की नाही हे तुम्हाला जाणून घ्यायचे आहे का?

तुम्ही नेदरलँडमध्ये व्यवसाय सुरू करण्याचा विचार करत असल्यास, तुम्हाला GDPR चे पालन करावे लागेल. जर तुम्ही डच ग्राहकांसह किंवा इतर कोणत्याही EU देशात स्थित ग्राहकांसह व्यवसाय करत असाल तर, तुम्हाला या EU नियमांचे देखील पालन करावे लागेल. तुम्ही GDPR च्या कक्षेत येत आहात की नाही हे तुम्हाला निश्चितपणे माहित नसल्यास, तुम्ही नेहमी संपर्क करू शकता Intercompany Solutions विषयावरील सल्ल्यासाठी. तुमच्याकडे लागू अंतर्गत नियम आणि प्रक्रिया आहेत का आणि तुम्ही तृतीय पक्षांना दिलेली माहिती पुरेशी आहे का हे शोधण्यात आम्ही तुम्हाला मदत करू शकतो. काहीवेळा महत्त्वाच्या माहितीकडे दुर्लक्ष करणे खूप सोपे असू शकते, जे तुम्हाला कायद्याने अडचणीत आणू शकते. लक्षात ठेवा: गोपनीयता हा एक अत्यंत महत्त्वाचा विषय आहे, त्यामुळे नवीनतम नियम आणि बातम्यांबाबत तुम्ही नेहमी अद्ययावत असणे आवश्यक आहे. तुम्हाला या विषयाबद्दल काही प्रश्न असल्यास किंवा नेदरलँड्समधील व्यावसायिक आस्थापनांबद्दल अधिक माहिती हवी असल्यास, मोकळ्या मनाने संपर्क साधा Intercompany Solutions कधीही. तुमच्या कोणत्याही प्रश्नासाठी आम्ही तुम्हाला आनंदाने मदत करू किंवा तुम्हाला स्पष्ट कोट देऊ.

स्रोत:

https://gdpr-info.eu/

https://www.afm.nl/en/over-de-afm/organisatie/privacy

https://finance.ec.europa.eu/

---

[1] https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_nl#:~:text=The%20general%20regulation%20dataprotection%20(GDPR)&text=The%20AVG%20(also%20known%20under,digital%20unified%20market%20te%20.

[2] https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/documenten/brochures/2018/05/01/de-algemene-verordening-gegevensbescherming

[3] https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/documenten/brochures/2018/05/01/de-algemene-verordening-gegevensbescherming