जनरल डेटा प्रोटेक्शन रेगुलेशन (GDPR) क्या है?
ऐतिहासिक पृष्ठभूमि
मुख्य प्रावधान
12 points- 1.
जानकारी पाने का हक (Right to be informed) का मतलब है कि कंपनियों को ये साफ-साफ बताना होगा कि वो कैसे पर्सनल डेटा इकट्ठा करते हैं, इस्तेमाल करते हैं और शेयर करते हैं। इसमें डेटा प्रोसेसिंग का मकसद, किस तरह का डेटा इकट्ठा किया जाता है, और डेटा किसके साथ शेयर किया जाता है, ये सब बताना होगा। सोचो एक बैंक आपसे आपकी जानकारी मांग रहा है; अब उन्हें ये साफ-साफ बताना होगा कि उन्हें आपके आधार नंबर की जरूरत क्यों है, वो इसका क्या करेंगे, और इसे और कौन देखेगा।
- 2.
GDPR के तहत सहमति (Consent) स्वतंत्र रूप से दी जानी चाहिए, खास होनी चाहिए, जानकारी के साथ होनी चाहिए और बिना किसी शक के होनी चाहिए। इसका मतलब है कि लोगों को अपने डेटा की प्रोसेसिंग के लिए एक्टिव रूप से सहमत होना होगा, और कंपनियां पहले से टिक किए गए बॉक्स या निहित सहमति पर भरोसा नहीं कर सकती हैं। उदाहरण के लिए, एक वेबसाइट ये नहीं मान सकती कि आप कुकीज़ से सहमत हैं सिर्फ इसलिए कि आपने साइट पर विजिट किया है; उन्हें आपकी स्पष्ट अनुमति चाहिए।
- 3.
एक्सेस का हक (Right to access) लोगों को ये हक देता है कि वो किसी कंपनी से अपने पर्सनल डेटा की कॉपी मांग सकें। इससे लोग अपने डेटा की सटीकता को वेरिफाई कर सकते हैं और ये सुनिश्चित कर सकते हैं कि इसे कानूनी रूप से प्रोसेस किया जा रहा है। अगर आप लोन के लिए अप्लाई करते हैं और उसे रिजेक्ट कर दिया जाता है, तो आपको बैंक से वो सारी जानकारी मांगने का हक है जिसकी वजह से ये फैसला लिया गया।
- 4.
सुधार का हक (Right to rectification) लोगों को गलत या अधूरी पर्सनल डेटा को सही करने का हक देता है। अगर किसी कंपनी के पास आपके बारे में गलत जानकारी है, तो आप उसे अपडेट करने के लिए कह सकते हैं। उदाहरण के लिए, अगर किसी कंपनी के पास आपका पुराना पता है, तो आप उनसे इसे बदलकर अपना मौजूदा पता करने के लिए कह सकते हैं।
- 5.
मिटाने का हक (Right to erasure), जिसे 'भूल जाने का हक' भी कहा जाता है, लोगों को कुछ खास हालात में अपने पर्सनल डेटा को हटाने के लिए कहने का हक देता है, जैसे कि जब डेटा अब उस मकसद के लिए जरूरी नहीं है जिसके लिए उसे इकट्ठा किया गया था। अगर आप किसी ऑनलाइन रिटेलर के साथ अपना अकाउंट बंद कर देते हैं, तो आप उनसे अपने सिस्टम से आपका सारा पर्सनल डेटा हटाने के लिए कह सकते हैं।
- 6.
प्रोसेसिंग को सीमित करने का हक (Right to restrict processing) लोगों को ये हक देता है कि वो ये तय कर सकें कि कोई कंपनी उनके पर्सनल डेटा का इस्तेमाल कैसे करती है। ये तब काम आ सकता है जब आपको लगता है कि आपका डेटा गलत है या गैरकानूनी तरीके से प्रोसेस किया जा रहा है। उदाहरण के लिए, आप किसी सोशल मीडिया कंपनी से कह सकते हैं कि वो आपके डेटा का इस्तेमाल टारगेटेड एडवरटाइजिंग के लिए न करे।
- 7.
डेटा पोर्टेबिलिटी का हक (Right to data portability) लोगों को ये हक देता है कि वो अपने पर्सनल डेटा को एक स्ट्रक्चर्ड, आमतौर पर इस्तेमाल किए जाने वाले और मशीन-रीडेबल फॉर्मेट में हासिल करें, और उस डेटा को किसी दूसरी कंपनी को भेज सकें। इससे सर्विस प्रोवाइडर को बदलना आसान हो जाता है। इसे ऐसे समझो जैसे आप अपना मोबाइल नंबर एक टेलीकॉम कंपनी से दूसरी में ट्रांसफर कर रहे हैं।
- 8.
डेटा प्रोटेक्शन ऑफिसर (DPOs) उन कंपनियों के लिए जरूरी हैं जो बड़ी मात्रा में पर्सनल डेटा प्रोसेस करती हैं या संवेदनशील डेटा प्रोसेस करती हैं। DPO डेटा प्रोटेक्शन कंप्लायंस की निगरानी करने और डेटा प्रोटेक्शन अथॉरिटी के लिए संपर्क के तौर पर काम करने के लिए जिम्मेदार होते हैं। उदाहरण के लिए, एक बड़े अस्पताल को ये सुनिश्चित करने के लिए एक DPO की जरूरत होगी कि मरीजों के डेटा को सही तरीके से हैंडल किया जाए।
- 9.
डेटा ब्रीच नोटिफिकेशन (Data breach notification) के लिए कंपनियों को डेटा प्रोटेक्शन अथॉरिटी और प्रभावित लोगों को डेटा ब्रीच के बारे में 72 घंटे के अंदर बताना जरूरी है, अगर ब्रीच से लोगों के अधिकारों और स्वतंत्रता को खतरा होने की संभावना है। अगर किसी कंपनी का कस्टमर डेटाबेस हैक हो जाता है, तो उन्हें तुरंत सभी को बताना होगा।
- 10.
GDPR का पालन न करने पर जुर्माना (Penalties for non-compliance) बहुत भारी हो सकता है, जिसमें €20 मिलियन तक या कंपनी के सालाना ग्लोबल टर्नओवर का 4% तक जुर्माना लग सकता है, जो भी ज्यादा हो। ये कंपनियों को डेटा प्रोटेक्शन को गंभीरता से लेने के लिए प्रोत्साहित करता है। उदाहरण के लिए, Google पर फ्रांसीसी अधिकारियों ने GDPR की पारदर्शिता आवश्यकताओं का उल्लंघन करने के लिए €50 मिलियन का जुर्माना लगाया था।
- 11.
GDPR किसी भी कंपनी पर लागू होता है जो EU के अंदर रहने वाले लोगों के पर्सनल डेटा को प्रोसेस करती है, चाहे कंपनी EU के अंदर हो या बाहर। इसका मतलब है कि EU के बाहर की कंपनियों को भी GDPR का पालन करना होगा अगर वो EU के लोगों को सामान या सर्विस ऑफर करती हैं या उनके व्यवहार पर नजर रखती हैं। जर्मनी में ग्राहकों को सामान बेचने वाली अमेरिका की एक ई-कॉमर्स साइट को GDPR का पालन करना होगा।
- 12.
GDPR 'पर्सनल डेटा' को व्यापक रूप से परिभाषित करता है ताकि इसमें किसी पहचाने गए या पहचाने जा सकने वाले व्यक्ति से जुड़ी कोई भी जानकारी शामिल हो। इसमें न केवल नाम और पते शामिल हैं, बल्कि IP एड्रेस, लोकेशन डेटा और ऑनलाइन पहचानकर्ता भी शामिल हैं। यहां तक कि आपके कंप्यूटर का IP एड्रेस भी GDPR के तहत पर्सनल डेटा माना जाता है।
दृश्य सामग्री
DPDP Act, 2023 vs. GDPR: A Comparison
Compares key aspects of the DPDP Act, 2023 and the General Data Protection Regulation (GDPR).
| Feature | DPDP Act, 2023 | GDPR |
|---|---|---|
| Scope | Applies to processing of digital personal data within India | Applies to processing of personal data within the EU and EEA, and to organizations processing data of EU residents |
| Consent | Requires explicit consent for processing personal data | Requires explicit consent for processing personal data |
| Data Localization | Allows cross-border data transfers to countries with similar data protection standards | Restricts data transfers to countries outside the EU unless adequate safeguards are in place |
| Penalties | Up to ₹250 crore for non-compliance | Up to €20 million or 4% of annual global turnover, whichever is higher |
| Data Protection Officer (DPO) | Not mandatory for all organizations | Mandatory for organizations processing large amounts of personal data or sensitive data |
हालिया विकास
10 विकासIn 2021, Amazon was fined a record €746 million by Luxembourg's data protection authority for alleged violations of the GDPR related to its advertising practices.
In 2022, Meta (Facebook) was fined €405 million by the Irish Data Protection Commission for violations related to the handling of children's data on Instagram.
In 2023, the European Data Protection Board (EDPB) issued guidelines on the calculation of administrative fines under the GDPR, providing more clarity on how fines are determined.
In 2024, the European Commission is expected to review the GDPR to assess its effectiveness and identify areas for improvement. This review will likely consider issues such as cross-border data transfers and the enforcement of the regulation.
Ongoing debates continue regarding the adequacy of data transfers between the EU and the United States, with the EU-US Data Privacy Framework aiming to address concerns raised by the Court of Justice of the European Union (CJEU) in the Schrems II case.
Several EU member states are actively increasing their enforcement efforts, leading to more investigations and fines for GDPR violations. Germany and France are particularly active in this area.
The rise of artificial intelligence (AI) is posing new challenges for GDPR compliance, particularly regarding the processing of personal data for AI training and deployment. New guidelines are being developed to address these challenges.
The European Parliament is considering proposals to strengthen the enforcement powers of data protection authorities and to provide individuals with more effective remedies for GDPR violations.
The GDPR is increasingly influencing data protection laws in other countries, with many jurisdictions adopting similar principles and requirements. Countries like Brazil, India, and South Africa have enacted or are considering comprehensive data protection laws inspired by the GDPR.
The European Court of Justice continues to issue important rulings on the interpretation of the GDPR, clarifying key concepts such as consent, legitimate interest, and data transfer mechanisms.
विभिन्न समाचारों में यह अवधारणा
1 विषयसामान्य प्रश्न
121. जीडीपीआर के दायरे को लेकर MCQ में सबसे ज़्यादा क्या ग़लती होती है?
अक्सर लोग सोचते हैं कि जीडीपीआर सिर्फ़ उन कंपनियों पर लागू होता है जो यूरोप में हैं. ग़लती ये है कि जीडीपीआर उन सभी कंपनियों पर लागू होता है जो यूरोप के लोगों का डेटा इस्तेमाल करती हैं, चाहे कंपनी कहीं भी हो. अगर कोई इंडियन कंपनी यूरोप के ग्राहकों को टारगेट करती है, तो जीडीपीआर उस पर भी लागू होगा.
परीक्षा युक्ति
याद रखें: 'रहने वाला', न कि 'जगह', जीडीपीआर को लागू करता है. सोचिए, यूरोप का कोई टूरिस्ट इंडिया के होटल की वेबसाइट इस्तेमाल कर रहा है - जीडीपीआर उसके डेटा पर लागू होगा.
2. 'राइट टू बी फॉरगॉटन' का मतलब है कि क्या मांगने पर सारा डेटा हमेशा के लिए मिटा दिया जाता है?
हमेशा नहीं. जीडीपीआर 'मिटाने का अधिकार' तो देता है, लेकिन कुछ मामलों में छूट है. डेटा रखा जा सकता है अगर कानूनी तौर पर ज़रूरी हो (जैसे, टैक्स के रिकॉर्ड), जनता के हित में किए गए काम के लिए, या कानूनी दावों के लिए. कंपनी को डेटा रखने का सही कारण बताना होगा.
परीक्षा युक्ति
MCQ में ध्यान दें: 'हमेशा' या 'कभी नहीं' जैसे शब्दों पर ध्यान दें जब 'राइट टू बी फॉरगॉटन' की बात हो. इसमें छूट है!
3. जीडीपीआर किस समस्या को हल करता है जिसे पहले के डेटा सुरक्षा कानून नहीं कर पाए?
जीडीपीआर ने पूरे यूरोप में डेटा सुरक्षा कानूनों को एक जैसा कर दिया, जो 1995 के डेटा प्रोटेक्शन डायरेक्टिव के तहत अलग-अलग तरीकों से लागू किए जा रहे थे. पहले, हर देश अपने हिसाब से नियम बनाता था, जिससे दिक्कत होती थी. जीडीपीआर पूरे यूरोप में एक जैसा कानून है, जिससे कंपनियों के लिए नियमों का पालन करना आसान हो गया और लोगों के अधिकार भी मज़बूत हुए.
4. जीडीपीआर 'सहमति' को कैसे परिभाषित करता है, और यह परिभाषा इतनी ज़रूरी क्यों है?
जीडीपीआर कहता है कि सहमति स्वतंत्र रूप से, स्पष्ट रूप से, जानकारी के साथ और बिना किसी संदेह के दी जानी चाहिए. इसका मतलब है कि पहले से टिक किए गए बॉक्स या छिपी हुई सहमति नहीं होनी चाहिए. लोगों को सक्रिय रूप से सहमत होना होगा. यह ज़रूरी है क्योंकि इससे शक्ति का संतुलन बदल जाता है, और कंपनियों को पारदर्शी होना पड़ता है और लोगों को अपने डेटा पर अधिकार देना होता है. इससे कंपनियां सहमति की शर्तों को लंबी-चौड़ी सेवा शर्तों में छिपा नहीं सकतीं.
5. जीडीपीआर के उल्लंघन पर क्या जुर्माना लग सकता है, और ये जुर्माना कैसे तय किए जाते हैं?
जीडीपीआर में 2 करोड़ यूरो तक या सालाना ग्लोबल टर्नओवर का 4%, जो भी ज़्यादा हो, जुर्माना लगाया जा सकता है. जुर्माना उल्लंघन की गंभीरता, कंपनी के अधिकारियों के साथ सहयोग, शामिल डेटा के प्रकार और नुकसान को कम करने के लिए उठाए गए कदमों के आधार पर तय किया जाता है. यूरोपियन डेटा प्रोटेक्शन बोर्ड (EDPB) जुर्माना तय करने के लिए गाइडलाइन देता है.
परीक्षा युक्ति
'4% या 2 करोड़ यूरो' का आंकड़ा याद रखें - यह परीक्षाओं में पूछा जाने वाला एक आम नंबर है.
6. डेटा प्रोटेक्शन ऑफिसर (DPO) क्या होता है, और किसी कंपनी को इसे कब नियुक्त करना ज़रूरी होता है?
एक DPO कंपनी के अंदर डेटा सुरक्षा का ध्यान रखता है. जीडीपीआर के अनुसार, DPO उन कंपनियों के लिए ज़रूरी है जो बड़ी मात्रा में पर्सनल डेटा प्रोसेस करती हैं, संवेदनशील डेटा (जैसे, स्वास्थ्य जानकारी) प्रोसेस करती हैं, या सरकारी संस्थाएं हैं. DPO डेटा सुरक्षा अधिकारियों के लिए संपर्क का काम करता है और कंपनी को जीडीपीआर के नियमों का पालन करने की सलाह देता है.
परीक्षा युक्ति
याद रखें: बड़े पैमाने पर प्रोसेसिंग, संवेदनशील डेटा और सरकारी संस्थाएं DPO की ज़रूरत के मुख्य कारण हैं.
7. जीडीपीआर यूरोप और यूरोप के बाहर के देशों, जैसे भारत, के बीच डेटा ट्रांसफर को कैसे प्रभावित करता है?
जीडीपीआर यूरोप के बाहर के देशों में डेटा ट्रांसफर को रोकता है, जब तक कि वे देश डेटा सुरक्षा का सही स्तर न दें. स्टैंडर्ड कॉन्ट्रैक्चुअल क्लॉज़ (SCCs) और बाइंडिंग कॉरपोरेट रूल्स (BCRs) जैसे तरीके डेटा को सुरक्षित रखने के लिए इस्तेमाल किए जाते हैं. यूरोपीय संघ-अमेरिका डेटा प्राइवेसी फ्रेमवर्क का उद्देश्य अमेरिका के साथ डेटा ट्रांसफर को आसान बनाना है.
8. जीडीपीआर की सबसे बड़ी आलोचनाएं क्या हैं, और आप उनका जवाब कैसे देंगे?
आलोचकों का कहना है कि जीडीपीआर व्यवसायों, खासकर छोटे और मध्यम आकार के उद्यमों (SMEs) पर नियमों का पालन करने का भारी बोझ डालता है. उनका यह भी कहना है कि यह इनोवेशन को रोकता है और अनावश्यक नौकरशाही बनाता है. हालांकि, जीडीपीआर के समर्थकों का कहना है कि डिजिटल युग में गोपनीयता और डेटा सुरक्षा के मौलिक अधिकारों की रक्षा करना ज़रूरी है. एक संतुलित दृष्टिकोण में SMEs को नियमों का पालन करने में मदद करने के लिए संसाधन और मार्गदर्शन देना शामिल है, साथ ही उल्लंघन को रोकने के लिए सख्त प्रवर्तन बनाए रखना भी शामिल है.
9. भारत को जीडीपीआर से सीख लेते हुए अपने डेटा सुरक्षा ढांचे में कैसे सुधार करना चाहिए?
भारत जीडीपीआर से सीख सकता है कि व्यक्तिगत अधिकारों को कैसे मज़बूत किया जाए, एक स्वतंत्र डेटा सुरक्षा प्राधिकरण कैसे बनाया जाए जिसके पास सख्त प्रवर्तन शक्तियां हों, और डेटा प्रोसेसिंग प्रथाओं को स्पष्ट और पारदर्शी कैसे बनाया जाए. ध्यान एक संतुलित ढांचा बनाने पर होना चाहिए जो नागरिकों की डेटा गोपनीयता की रक्षा करते हुए इनोवेशन को बढ़ावा दे. भारत के ढांचे को क्रॉस-बॉर्डर डेटा फ्लो और डेटा स्थानीयकरण आवश्यकताओं को भी संबोधित करना चाहिए.
10. जीडीपीआर के कार्यान्वयन की गति धीमी या असंगत क्यों रही है?
जीडीपीआर का कार्यान्वयन धीमा हो सकता है क्योंकि क्रॉस-बॉर्डर मामलों की जटिलता, अलग-अलग राष्ट्रीय डेटा सुरक्षा अधिकारियों द्वारा कानून की अलग-अलग व्याख्याएं और सीमित संसाधन हैं. असंगति इसलिए आती है क्योंकि प्रत्येक राष्ट्रीय प्राधिकरण को कानून लागू करने में कुछ छूट मिलती है, जिससे समान मामलों में अलग-अलग परिणाम आते हैं. यूरोपीय डेटा संरक्षण बोर्ड (EDPB) संगति को बढ़ावा देना चाहता है लेकिन प्रवर्तन प्रथाओं को सुसंगत बनाने में चुनौतियों का सामना करता है.
11. मेन्स उत्तर में, आप जीडीपीआर को डिजिटल संप्रभुता और डेटा स्थानीयकरण के व्यापक मुद्दों से प्रभावी ढंग से कैसे जोड़ सकते हैं?
जीडीपीआर को यूरोपीय संघ की डिजिटल संप्रभुता की अभिव्यक्ति के रूप में प्रस्तुत करें - अपनी सीमाओं के भीतर डेटा को विनियमित करने और अपने नागरिकों के डेटा को विश्व स्तर पर सुरक्षित रखने का उसका अधिकार. फिर, भारत जैसे देशों में डेटा स्थानीयकरण नीतियों के साथ इसकी तुलना करें, जिसके लिए डेटा को स्थानीय रूप से संग्रहीत करने की आवश्यकता होती है. ट्रेड-ऑफ पर चर्चा करें: जीडीपीआर डेटा सुरक्षा और मुफ्त प्रवाह को प्राथमिकता देता है, जबकि स्थानीयकरण राष्ट्रीय नियंत्रण को प्राथमिकता देता है लेकिन नवाचार को बाधित कर सकता है और लागत बढ़ा सकता है.
परीक्षा युक्ति
अपने उत्तर को संरचित करें: 1. जीडीपीआर को परिभाषित करें. 2. डिजिटल संप्रभुता की व्याख्या करें. 3. डेटा स्थानीयकरण पर चर्चा करें. 4. तनाव और तालमेल का विश्लेषण करें.
12. हाल ही में किन विवादों या चुनौतियों ने जीडीपीआर को खबरों में ला दिया है, और उनका क्या महत्व है?
जीडीपीआर के उल्लंघन के लिए अमेज़ॅन और मेटा जैसी कंपनियों पर हाल ही में लगाए गए बड़े जुर्माने ने विनियमन की प्रवर्तन शक्ति पर प्रकाश डाला है, लेकिन इसकी प्रभावशीलता के बारे में भी सवाल उठाए हैं. यूरोपीय संघ-अमेरिका डेटा हस्तांतरण और यूरोपीय संघ-अमेरिका डेटा गोपनीयता ढांचे की पर्याप्तता के बारे में चल रही बहसें महत्वपूर्ण बनी हुई हैं, जो अंतर्राष्ट्रीय डेटा प्रवाह और व्यावसायिक संचालन को प्रभावित करती हैं. ये मामले डेटा सुरक्षा और आर्थिक हितों के बीच चल रहे तनाव को दर्शाते हैं.