जीडीपीआर (General Data Protection Regulation) क्या है?
ऐतिहासिक पृष्ठभूमि
मुख्य प्रावधान
13 points- 1.
भूल जाने का अधिकार, जिसे मिटाने का अधिकार भी कहते हैं, लोगों को ये हक देता है कि वो अपना पर्सनल डेटा मिटाने के लिए कह सकते हैं अगर उसे रखने का कोई खास कारण न हो। जैसे, अगर कोई अपना ऑनलाइन अकाउंट बंद कर देता है और नहीं चाहता कि उसका डेटा रखा जाए, तो वो उसे मिटाने के लिए कह सकता है।
- 2.
एक्सेस का अधिकार लोगों को ये जानने का हक देता है कि उनका पर्सनल डेटा प्रोसेस हो रहा है या नहीं, कहां हो रहा है और क्यों हो रहा है। वो अपने डेटा की कॉपी भी मांग सकते हैं, ज्यादातर मामलों में मुफ्त में।
- 3.
ठीक करने का अधिकार लोगों को ये हक देता है कि वो अपने गलत डेटा को ठीक करवा सकते हैं या अधूरा डेटा पूरा करवा सकते हैं। जैसे, अगर किसी का पता गलत है तो वो उसे ठीक करवा सकता है।
- 4.
डेटा पोर्टेबिलिटी का अधिकार लोगों को ये हक देता है कि वो अपना डेटा एक कंपनी से दूसरी कंपनी में आसानी से ले जा सकें।
- 5.
डेटा मिनिमाइजेशन का मतलब है कि जितना जरूरी हो उतना ही डेटा इकट्ठा किया जाए।
- 6.
पर्पस लिमिटेशन का मतलब है कि डेटा सिर्फ उसी काम के लिए इस्तेमाल किया जाए जिसके लिए उसे इकट्ठा किया गया था।
- 7.
कंसेंट का मतलब है कि डेटा इस्तेमाल करने से पहले लोगों से उनकी मर्जी पूछी जाए।
- 8.
डेटा प्रोटेक्शन ऑफिसर (डीपीओ) उन कंपनियों में जरूरी हैं जो बहुत ज्यादा डेटा प्रोसेस करती हैं।
- 9.
क्रॉस-बॉर्डर डेटा ट्रांसफर के नियम बताते हैं कि ईयू के बाहर डेटा कैसे भेजा जा सकता है।
- 10.
जीडीपीआर कंट्रोलर और प्रोसेसर दोनों पर लागू होता है। कंट्रोलर वो है जो तय करता है कि डेटा कैसे इस्तेमाल होगा, और प्रोसेसर वो है जो कंट्रोलर के लिए डेटा प्रोसेस करता है।
- 11.
जीडीपीआर ईयू के बाहर की कंपनियों पर भी लागू होता है अगर वो ईयू के लोगों का डेटा प्रोसेस करती हैं।
- 12.
जीडीपीआर में डेटा लीक होने पर 72 घंटे के अंदर बताना जरूरी है।
- 13.
जीडीपीआर में अकाउंटेबिलिटी का मतलब है कि कंपनियों को ये दिखाना होगा कि वो नियमों का पालन कर रही हैं।
दृश्य सामग्री
GDPR: Key Principles
Explores the key principles of GDPR, including the right to be forgotten, right to access, and data minimization.
GDPR
- ●Individual Rights
- ●Data Processing Principles
- ●Accountability
हालिया विकास
8 विकासIn 2021, the European Commission proposed a new Data Governance Act to promote data sharing across the EU and facilitate the development of AI. This act aims to build trust in data sharing and reuse.
In 2023, the European Commission approved the EU-US Data Privacy Framework, which aims to facilitate data transfers between the EU and the US while ensuring adequate protection of personal data. This framework addresses concerns raised by the Court of Justice of the European Union regarding US surveillance laws.
Several high-profile GDPR fines have been issued in recent years. In 2022, Meta (Facebook) was fined €405 million by the Irish Data Protection Commission for violations related to children's data on Instagram.
The implementation of the GDPR has led to increased awareness of data privacy rights among individuals. Many organizations have updated their privacy policies and implemented new data protection measures to comply with the regulation.
The GDPR has influenced data protection laws around the world. Many countries, including India, have drawn inspiration from the GDPR when drafting their own data protection legislation.
In 2024, the European Data Protection Board (EDPB) issued guidelines on the use of AI in data processing, emphasizing the need for transparency, fairness, and accountability.
The ongoing debate about the balance between data protection and innovation continues to shape the interpretation and enforcement of the GDPR. Some argue that the GDPR stifles innovation, while others maintain that it is essential for protecting fundamental rights.
In 2025, the EU is considering further amendments to the GDPR to address emerging challenges, such as the use of AI and biometric data. These amendments aim to ensure that the GDPR remains relevant and effective in the face of technological advancements.
विभिन्न समाचारों में यह अवधारणा
1 विषयसामान्य प्रश्न
121. GDPR क्यों लाया गया – इसने 95/46/EC वाले पुराने डेटा प्रोटेक्शन डायरेक्टिव से अलग, कौन सी खास समस्या हल की?
1995 का डेटा प्रोटेक्शन डायरेक्टिव 95/46/EC, EU के अलग-अलग देशों में अलग-अलग तरीके से लागू किया गया था। इससे कानूनों में एकरूपता नहीं थी और कानूनी तौर पर भी चीजें साफ नहीं थीं। GDPR ने पूरे EU में डेटा सुरक्षा के लिए एक जैसा कानून बनाया, जिससे ये पक्का हुआ कि कानून सब जगह एक तरह से लागू होगा। जैसे, GDPR से पहले, अगर कोई कंपनी कई EU देशों में काम कर रही है, तो उसे अलग-अलग नियमों का पालन करना पड़ता था; GDPR ने इस प्रक्रिया को आसान बना दिया।
2. GDPR के दायरे को लेकर MCQ में सबसे आम गलती क्या होती है?
सबसे आम गलती ये मान लेना है कि GDPR सिर्फ उन कंपनियों पर लागू होता है जो EU में हैं। GDPR किसी भी उस संगठन पर लागू होता है जो EU के लोगों का डेटा प्रोसेस करता है, चाहे वो संगठन कहीं भी हो। जैसे, अगर कोई अमेरिकी ई-कॉमर्स साइट EU के ग्राहकों को सामान बेचती है, तो उसे GDPR का पालन करना होगा।
परीक्षा युक्ति
याद रखें: GDPR 'जगह' से नहीं, बल्कि 'निवास' से लागू होता है।
3. 'राइट टू बी फॉरगॉटन' को एक ऐसे उदाहरण से समझाइए जो इसकी कमियों को भी बताए।
'राइट टू बी फॉरगॉटन' लोगों को ये हक देता है कि वो अपना डेटा हटाने के लिए कह सकते हैं अगर उसे रखने का कोई खास कारण न हो। लेकिन, ये हक पूरी तरह से नहीं है। जैसे, अगर कोई न्यूज़ वेबसाइट किसी व्यक्ति के अपराध के बारे में खबर छापती है, तो वो व्यक्ति उसे हटाने के लिए नहीं कह सकता सिर्फ इसलिए कि वो अपनी पुरानी बातों को मिटाना चाहता है। ऐसे मामलों में, बोलने की आजादी का हक 'राइट टू बी फॉरगॉटन' से ज़्यादा ज़रूरी माना जाता है।
4. GDPR 'डेटा मिनिमाइजेशन' की बात करता है। UPSC की तैयारी करने वाला कोई छात्र अनजाने में इस नियम को कैसे तोड़ सकता है?
UPSC की तैयारी करने वाला छात्र बहुत ज़्यादा गैर-ज़रूरी स्टडी मटीरियल, पर्सनल नोट्स और ऑनलाइन रिसोर्स इकट्ठा करके और उन्हें स्टोर करके डेटा मिनिमाइजेशन के नियम को तोड़ सकता है। जैसे, पूरी वेबसाइट डाउनलोड करना या सैकड़ों आर्टिकल सिर्फ 'शायद काम आ जाए' सोचकर सेव करना, बिना किसी खास मकसद के, डेटा जमाखोरी है, जो सिर्फ ज़रूरी डेटा इकट्ठा करने के नियम के खिलाफ है।
5. GDPR और ePrivacy डायरेक्टिव में क्या बड़ा अंतर है, और ये अंतर कारोबारों के लिए क्यों ज़रूरी है?
GDPR आम तौर पर पर्सनल डेटा के प्रोसेसिंग को कंट्रोल करता है, जबकि ePrivacy डायरेक्टिव (जल्द ही ePrivacy रेगुलेशन से बदला जाएगा) खास तौर पर इलेक्ट्रॉनिक कम्युनिकेशन पर ध्यान देता है। ePrivacy डायरेक्टिव में कुकीज़, ईमेल मार्केटिंग और कम्युनिकेशन की गोपनीयता जैसी चीजें शामिल हैं। ये अंतर ज़रूरी है क्योंकि अगर कोई कारोबार इलेक्ट्रॉनिक मार्केटिंग करता है या ऑनलाइन यूज़र्स को ट्रैक करता है, तो उसे दोनों कानूनों का पालन करना होगा। ePrivacy रेगुलेशन में GDPR से ज़्यादा सख्त नियम हो सकते हैं कुकीज़ के लिए सहमति को लेकर।
6. GDPR के तहत डेटा प्रोटेक्शन ऑफिसर्स (DPOs) का क्या काम है, और किन संगठनों को उन्हें नियुक्त करना ज़रूरी है?
डेटा प्रोटेक्शन ऑफिसर्स (DPOs) किसी संगठन के अंदर डेटा सुरक्षा रणनीति और नियमों का पालन करवाने के लिए ज़िम्मेदार होते हैं। वो डेटा सुरक्षा अधिकारियों और लोगों के लिए संपर्क का काम करते हैं। जिन संगठनों को DPOs नियुक्त करना ज़रूरी है, उनमें वो शामिल हैं जो बड़ी मात्रा में संवेदनशील डेटा प्रोसेस करते हैं या लोगों की लगातार और व्यवस्थित निगरानी करते हैं। जैसे, एक अस्पताल जो मरीज़ों के मेडिकल रिकॉर्ड प्रोसेस करता है या एक सोशल मीडिया कंपनी जो यूज़र्स के व्यवहार को ट्रैक करती है, उन्हें शायद एक DPO की ज़रूरत होगी।
7. MCQ में, एग्जामिनर GDPR के उल्लंघन पर लगने वाले जुर्माने को लेकर क्या चाल चलते हैं?
एक आम चाल ये है कि अलग-अलग जुर्माने की रकम दी जाती है, जो अक्सर सालाना ग्लोबल टर्नओवर के प्रतिशत या एक तय रकम के तौर पर बताई जाती है। एग्जामिनर ये देख सकते हैं कि आपको ज़्यादा से ज़्यादा जुर्माना पता है या नहीं: €20 मिलियन तक, या संगठन के पिछले वित्तीय वर्ष के कुल दुनिया भर के सालाना टर्नओवर का 4%, जो भी ज़्यादा हो। वो ऐसे हालात भी दे सकते हैं जहाँ एक छोटी कंपनी पर भी उतना ही जुर्माना लगाया जाता है जितना एक मल्टीनेशनल कंपनी पर, जो कि गलत है क्योंकि प्रतिशत के हिसाब से जुर्माना ज़्यादा सही होगा।
परीक्षा युक्ति
ज़्यादा से ज़्यादा जुर्माने के लिए तय रकम (€20 मिलियन) और प्रतिशत (4%) दोनों याद रखें।
8. EU-US डेटा प्राइवेसी फ्रेमवर्क 2023 में मंजूर किया गया था। इसका मकसद क्या समस्या हल करना है, और ये क्यों ज़रूरी था?
EU-US डेटा प्राइवेसी फ्रेमवर्क का मकसद EU और US के बीच डेटा ट्रांसफर को आसान बनाना है, साथ ही ये भी पक्का करना है कि पर्सनल डेटा की सुरक्षा ठीक से हो। ये इसलिए ज़रूरी था क्योंकि पहले के समझौते, जैसे कि सेफ हार्बर और प्राइवेसी शील्ड, को यूरोपीय संघ के कोर्ट ने US के निगरानी कानूनों और EU के नागरिकों के डेटा पर उनके असर को लेकर रद्द कर दिया था। नया फ्रेमवर्क इन चिंताओं को दूर करने और डेटा ट्रांसफर के लिए ज़्यादा स्थिर कानूनी आधार देने की कोशिश करता है।
9. GDPR ने EU के बाहर, खासकर भारत में डेटा सुरक्षा कानूनों को कैसे प्रभावित किया है?
GDPR ने दुनिया भर में डेटा सुरक्षा कानूनों पर काफी असर डाला है, जिसमें भारत भी शामिल है। भारतीय पर्सनल डेटा प्रोटेक्शन बिल (अब डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023) GDPR से कई मामलों में प्रेरित है, जैसे कि सहमति पर ज़ोर देना, डेटा मिनिमाइजेशन और डेटा सुरक्षा प्राधिकरण की स्थापना। लेकिन, कुछ बड़े अंतर भी हैं, जैसे कि सरकारी प्रोसेसिंग के लिए छूट का दायरा और उल्लंघन के लिए खास जुर्माने।
10. GDPR के खिलाफ आलोचक सबसे बड़ा तर्क क्या देते हैं, और आप उसका जवाब कैसे देंगे?
आलोचकों का कहना है कि GDPR छोटे और मध्यम आकार के उद्यमों (SMEs) पर बहुत ज़्यादा बोझ डालता है, जिससे इनोवेशन और प्रतिस्पर्धा कम होती है। उनका कहना है कि छोटे व्यवसायों के लिए नियमों का पालन करने की लागत बहुत ज़्यादा है। इसके जवाब में, कोई ये कह सकता है कि नियमों का पालन करना मुश्किल हो सकता है, लेकिन GDPR आखिर में विश्वास और पारदर्शिता को बढ़ावा देता है, जो एक प्रतिस्पर्धात्मक फायदा हो सकता है। इसके अलावा, SMEs को नियमों का पालन करने में मदद करने के लिए कई संसाधन और उपकरण मौजूद हैं, और डेटा सुरक्षा के लंबे समय के फायदे कम समय के नुकसान से ज़्यादा हैं।
11. डेटा गवर्नेंस एक्ट 2021 में प्रस्तावित किया गया था। ये GDPR को कैसे पूरा करता है, और ये किन नई चुनौतियों का सामना करता है?
डेटा गवर्नेंस एक्ट (DGA) डेटा शेयरिंग और रीयूज पर ध्यान देकर GDPR को पूरा करता है, खासकर पब्लिक सेक्टर के डेटा के लिए। जहाँ GDPR पर्सनल डेटा की सुरक्षा पर ध्यान देता है, वहीं DGA का मकसद इनोवेशन और रिसर्च के लिए डेटा की उपलब्धता को बढ़ावा देना है। ये डेटा शेयरिंग में विश्वास, डेटा की इंटरऑपरेबिलिटी और डेटा इंटरमीडियरीज की स्थापना से जुड़ी चुनौतियों का सामना करता है। DGA GDPR द्वारा रखी गई नींव पर EU के अंदर सुरक्षित और भरोसेमंद डेटा शेयरिंग के लिए एक फ्रेमवर्क बनाना चाहता है।
12. GDPR के अनुभव को देखते हुए, भारत के डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 को आगे कैसे सुधारा या मज़बूत किया जाना चाहिए?
GDPR के अनुभव को देखते हुए, भारत के डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 को इन तरीकों से मज़बूत किया जा सकता है: answerPoints_hi: * ज़्यादा जवाबदेही तय करने के लिए सरकारी प्रोसेसिंग के लिए छूट कम करना। * ज़्यादा ताकतों वाली एक स्वतंत्र और सशक्त डेटा प्रोटेक्शन बोर्ड की स्थापना करना। * कारोबारों के लिए ज़्यादा निश्चितता लाने के लिए क्रॉस-बॉर्डर डेटा ट्रांसफर से जुड़े नियमों को साफ करना। * नियमों का पालन आसान बनाने के लिए SMEs के लिए जागरूकता बढ़ाना और संसाधन देना। * बच्चों के डेटा सुरक्षा से जुड़े नियमों को मज़बूत करना। इन सुधारों से भारतीय कानून ग्लोबल बेस्ट प्रैक्टिसेज के ज़्यादा करीब आएगा और नागरिकों के लिए डेटा सुरक्षा बढ़ेगी।