GDPR का क्षेत्र के बाहर अनुप्रयोग होने पर क्या करें? अनुपालन के तरीकों की व्याख्या

GDPR क्या है, यह यूरोपीय संघ (EU) द्वारा निर्धारित व्यक्तिगत जानकारी की सुरक्षा और उसके प्रबंधन के लिए बनाए गए नियम हैं। यदि आप EU क्षेत्र के भीतर उत्पाद या सेवाएँ प्रदान कर रहे हैं, तो GDPR लागू हो सकता है। हालांकि, कुछ लोगों को यह नहीं पता हो सकता है कि उनकी कंपनी GDPR के दायरे में आती है या नहीं, और यदि आती है, तो उन्हें क्या करना चाहिए।

इस लेख में, हम GDPR के अनुप्रयोग क्षेत्र, इसके लागू होने पर क्या करना चाहिए, और आवश्यक प्रतिक्रियाओं की व्याख्या करेंगे। GDPR अनुप्रयोग से संबंधित Q&A भी उपलब्ध हैं, इसलिए कृपया इसे अवश्य देखें।

GDPR का अनुप्रयोग क्षेत्र

GDPR के अनुप्रयोग की शर्तें GDPR के अनुच्छेद 3 ‘भौगोलिक अनुप्रयोग क्षेत्र’ में निर्धारित हैं। GDPR का अनुप्रयोग क्षेत्र दो भागों में बंटा हुआ है: जब EU क्षेत्र के भीतर आधार होता है और जब नहीं होता है।

EU क्षेत्र के भीतर आधार होने पर निर्धारित सामग्री निम्नलिखित है:

“चाहे उस डेटा का संचालन EU क्षेत्र के भीतर हो या न हो, EU क्षेत्र के भीतर के प्रबंधक या प्रोसेसर के आधार की गतिविधियों के दौरान व्यक्तिगत डेटा के संचालन पर लागू होता है।”

संदर्भ: जापानी व्यक्तिगत जानकारी संरक्षण आयोग | ‘जनरल डेटा प्रोटेक्शन रेगुलेशन (GDPR) का अस्थायी जापानी अनुवाद[ja]‘

यानी, अगर EU क्षेत्र के भीतर प्रबंधक या प्रोसेसर का आधार है, तो GDPR लागू होता है।

EU क्षेत्र के बाहर आधार न होने पर अनुप्रयोग क्षेत्र में निम्नलिखित दो बिंदु शामिल हैं:

1. EU क्षेत्र के भीतर व्यक्तियों को उत्पाद या सेवाएं प्रदान करने की स्थिति में।
2. EU क्षेत्र के भीतर व्यक्तियों के व्यवहार की निगरानी करने की स्थिति में।

GDPR अन्य देशों पर कठोर प्रतिबंध लगाता है और डेटा स्थानांतरण को स्वतंत्र रूप से करने के लिए ‘पर्याप्तता मान्यता’ की आवश्यकता होती है। पर्याप्तता मान्यता यूरोपीय आयोग की चर्चा के बाद निर्णय लिया जाता है, जो व्यक्तिगत डेटा के पर्याप्त संरक्षण स्तर को सुनिश्चित करने वाले देशों या क्षेत्रों को मान्यता देता है।

पर्याप्तता मान्यता न होने वाले देशों या क्षेत्रों को EU क्षेत्र के बाहर डेटा स्थानांतरण के लिए SCC या BCR जैसी प्रक्रियाओं को अपनाना अनिवार्य है।

पर्याप्तता मान्यता के साथ बदलने वाली बात यह है कि SCC या BCR जैसी प्रक्रियाओं को अपनाने की आवश्यकता नहीं होती है।

जापान के लिए पर्याप्तता मान्यता की घोषणा 2018 जुलाई (2018年7月) में जापान-EU नियमित शिखर सम्मेलन में व्यक्तिगत डेटा स्थानांतरण के ढांचे को संचालन योग्य बनाने के लिए प्रयासों को आगे बढ़ाने की घोषणा के साथ हुई थी। उसके बाद, 2019 जनवरी 23 (2019年1月23日) को पर्याप्तता मान्यता प्राप्त हुई, और ‘EU और जापान ने व्यक्तिगत डेटा के संरक्षण स्तर को आपस में समकक्ष मानते हुए निर्णय लिया है’ की घोषणा की गई।

GDPR के अनुपालन वाली कंपनियों को क्या करना चाहिए?

जब किसी कंपनी पर GDPR लागू होता है, तो उसे निम्नलिखित दो मुख्य कार्य करने चाहिए:

• EU/UK में स्थित प्रतिनिधि की नियुक्ति
• प्राइवेसी पॉलिसी में स्पष्ट उल्लेख

आइए हम इन प्रत्येक की विस्तार से व्याख्या करते हैं।

EU/UK में स्थित प्रतिनिधि की नियुक्ति

GDPR के अनुच्छेद 27 के अनुसार, यदि GDPR का क्षेत्र के बाहर अनुपालन होता है, तो EU या UK में एक व्यावसायिक स्थान के साथ प्रतिनिधि को नियुक्त करने की अनिवार्यता है।

यहाँ प्रतिनिधि से तात्पर्य उस व्यक्ति से है जिसे प्रशासक या प्रोसेसर द्वारा लिखित रूप में नामित किया गया है और जो GDPR के अनुसार प्रशासक या प्रोसेसर के कर्तव्यों के संबंध में उनका प्रतिनिधित्व करता है।

हर उस कंपनी को जो EU क्षेत्र में व्यापार करती है, प्रतिनिधि नियुक्त करना आवश्यक नहीं है। प्रतिनिधि नियुक्ति की अनिवार्यता नहीं होने वाली कंपनियाँ निम्नलिखित हैं (GDPR अनुच्छेद 27 के अनुसार):

• GDPR के अनुपालन वाली गतिविधियाँ अस्थायी नहीं हैं, और ‘विशेष प्रकार के डेटा’ या ‘दोषी ठहराए गए निर्णय और अपराध से संबंधित व्यक्तिगत डेटा के बड़े पैमाने पर संभालने’ को शामिल नहीं करती हैं, और जब उसके प्रक्रिया की प्रकृति, दौरानी, दायरा और उद्देश्य को देखते हुए, व्यक्तिगत अधिकारों या स्वतंत्रता पर खतरा उत्पन्न होने की संभावना कम हो।
• यदि वे सार्वजनिक प्राधिकरण या सार्वजनिक संगठन नहीं हैं।

संदर्भ: जापानी व्यक्तिगत जानकारी संरक्षण आयोग | ‘जनरल डेटा प्रोटेक्शन रेगुलेशन (GDPR) का अस्थायी जापानी अनुवाद[ja]‘

प्राइवेसी पॉलिसी में स्पष्ट उल्लेख

GDPR के अनुपालन वाली कंपनियों को अपनी प्राइवेसी पॉलिसी में प्रतिनिधि की नियुक्ति का स्पष्ट उल्लेख करना आवश्यक है।

प्रतिनिधि की नियुक्ति न करने पर दंडात्मक प्रावधान

यदि GDPR के अंतर्गत आने के बावजूद आपने प्रतिनिधि की नियुक्ति नहीं की है, तो आपको दंडात्मक कार्रवाई का सामना करना पड़ सकता है। दंड की राशि अधिकतम 1,000 यूरो या वैश्विक बिक्री का 2% तक, इनमें से जो भी अधिक हो, उसके अनुसार निर्धारित की जा सकती है (GDPR अनुच्छेद 84 की धारा 4)।

एजेंट के लिए आवश्यक कार्य

यदि GDPR का अनुप्रयोग क्षेत्र में आता है, तो सिद्धांततः एक एजेंट की नियुक्ति आवश्यक है। तो, एजेंट से किस प्रकार के कार्य की अपेक्षा की जाती है? यहाँ हम एजेंट के कार्यों की विस्तार से व्याख्या करेंगे।

अनुच्छेद 30 के अनुसार रिकॉर्ड प्रक्रिया

EU के बाहरी देशों में एजेंट रखने वाले प्रबंधक या प्रोसेसर को अपने प्रोसेसिंग रिकॉर्ड्स एजेंट के साथ साझा करने चाहिए। इसके अलावा, एजेंट को भी प्रबंधक या प्रोसेसर की तरह उन रिकॉर्ड्स को संग्रहित करना होगा (GDPR अनुच्छेद 30)।

रिकॉर्ड में दर्ज करने योग्य जानकारी में निम्नलिखित शामिल हैं:

• प्रबंधक, DPO (डेटा संरक्षण अधिकारी) आदि के नाम और संपर्क जानकारी
• डेटा हैंडलिंग के उद्देश्य
• डेटा सब्जेक्ट की विशेषताएँ और हैंडल किए जाने वाले डेटा के प्रकार
• संग्रहण अवधि
• डेटा मिटाने की तिथि

डेटा सब्जेक्ट से तात्पर्य उस पहचान योग्य या पहचान संभव व्यक्ति से है, जिससे व्यक्तिगत डेटा संबंधित होता है।

निगरानी संस्था से अनुरोध प्राप्त होने पर, इन प्रोसेसिंग रिकॉर्ड्स को उपलब्ध कराना होगा।

डेटा सब्जेक्ट या निगरानी संस्था से प्रश्नों का उत्तर देना

यदि डेटा सब्जेक्ट या निगरानी संस्था से कोई प्रश्न आता है, तो एजेंट को प्रबंधक या प्रोसेसर की जगह डेटा सब्जेक्ट या निगरानी संस्था के साथ संवाद करने की आवश्यकता होती है (GDPR अनुच्छेद 27 की तीसरी धारा)। उदाहरण के लिए, यदि डेटा सब्जेक्ट से कोई अनुरोध प्राप्त होता है, तो प्रबंधक को एक महीने के भीतर जानकारी प्रदान करनी होगी (GDPR अनुच्छेद 12 की तीसरी धारा)। इसके अलावा, एजेंट को निगरानी संस्था के अनुरोध का जवाब देने और निगरानी संस्था के साथ सहयोग करने की आवश्यकता होती है (GDPR अनुच्छेद 31)।

GDPR (जनरल डेटा प्रोटेक्शन रेगुलेशन) के अनुप्रयोग से संबंधित प्रश्नोत्तरी

GDPR के अनुप्रयोग को लेकर अक्सर पूछे जाने वाले प्रश्नों के उत्तर हम नीचे दे रहे हैं।

क्या GDPR के अनुपालन की आवश्यकता है यदि विदेश में विस्तार की योजना नहीं है?

मूल रूप से, यदि आपकी कंपनी का विदेश में विस्तार करने का कोई इरादा नहीं है, तो GDPR के अनुपालन की आवश्यकता नहीं होती है। हालांकि, यदि आप विदेश में विस्तार नहीं भी कर रहे हैं और फिर भी EU क्षेत्र के व्यक्तियों से डेटा प्राप्त करने की संभावना है, तो सावधानी बरतनी चाहिए।

उदाहरण के लिए, निम्नलिखित परिस्थितियाँ हो सकती हैं:

• आप एक EC साइट का संचालन कर रहे हैं और EU क्षेत्र के व्यक्तियों से पूछताछ या ऑर्डर प्राप्त होते हैं
• साइट की ब्राउज़िंग के दौरान, EU क्षेत्र के व्यक्तियों के ऑनलाइन पहचानकर्ता (IP पते या कुकीज़ आदि) प्राप्त होते हैं
• EU क्षेत्र के व्यक्तियों से पूछताछ के जवाब में ईमेल पते प्राप्त होते हैं

यदि आपने अनजाने में EU क्षेत्र के व्यक्तियों का डेटा प्राप्त कर लिया है, तो भी यदि आप भौगोलिक रूप से लागू क्षेत्र में नहीं आते हैं, तो GDPR के अनुपालन की आवश्यकता नहीं होती है।

यह याद रखना महत्वपूर्ण है कि केवल यदि आपके पास EU क्षेत्र में एक आधार है, या यदि आपके पास EU क्षेत्र में कोई आधार नहीं है लेकिन निम्नलिखित दो मामलों में से एक में आते हैं, तो GDPR के अनुपालन की आवश्यकता होती है:

1. यदि आप EU क्षेत्र के व्यक्तियों को सामान या सेवाएँ प्रदान कर रहे हैं
2. यदि आप EU क्षेत्र के व्यक्तियों के व्यवहार की निगरानी कर रहे हैं

EU क्षेत्र को लक्षित करने वाली अंतरराष्ट्रीय ई-कॉमर्स वेबसाइट शुरू करते समय क्या आवश्यक कदम हैं?

जब आप EU क्षेत्र को लक्षित करने वाली अंतरराष्ट्रीय ई-कॉमर्स वेबसाइट शुरू करते हैं, तो आप EU क्षेत्र के व्यक्तिगत जानकारी प्राप्त कर सकते हैं। प्राप्त की जाने वाली जानकारी में निम्नलिखित शामिल हो सकते हैं:

• नाम
• ईमेल पता
• घर का पता
• क्रेडिट कार्ड की जानकारी
• खरीदारी की जानकारी
• स्थान जानकारी
• IP पता और कुकी ID

जब आप ये जानकारी प्राप्त करते हैं, तो यह GDPR द्वारा निर्धारित व्यक्तिगत डेटा के अंतर्गत आता है, इसलिए आपको GDPR के नियमों के अनुसार इसे संभालना होगा।

सबसे पहले, GDPR के अनुरूप प्राइवेसी पॉलिसी की समीक्षा करना और प्राइवेसी नोटिस को संशोधित करना और प्रकाशित करना उचित होगा।
संबंधित लेख: GDPR के अनुरूप प्राइवेसी पॉलिसी बनाते समय के महत्वपूर्ण बिंदुओं की व्याख्या![ja]

इसके बाद, निम्नलिखित चरणों का पालन करें।

1. कुकी पॉलिसी की स्थापना करें और ई-कॉमर्स साइट पर पहली बार आने वाले विजिटर्स से कुकी के उपयोग की सहमति प्राप्त करें
2. जब व्यक्तिगत जानकारी प्राप्त करें, तो ‘व्यक्तिगत डेटा के संचालन’ के लिए सहमति प्राप्त करें
3. व्यक्तिगत डेटा की सुरक्षा और लीक से बचाव के लिए सुरक्षा उपाय करें
4. प्रतिनिधि की नियुक्ति करें

इसके अलावा, जरूरत के अनुसार आंतरिक नियमों की समीक्षा करें, GDPR के अनुरूप मैनुअल बनाने और बाहरी सेवा प्रदाताओं के साथ कॉन्ट्रैक्ट की सामग्री की समीक्षा करें।

GDPR और UK GDPR में क्या अंतर है?

UK GDPR, यूनाइटेड किंगडम के सामान्य डेटा संरक्षण नियमों को संदर्भित करता है। UK GDPR को यूनाइटेड किंगडम के EU से अलग होने के बाद, 2021 जनवरी 1 (2021) को लागू किया गया था। GDPR एक EU नियम है, और यह यूनाइटेड किंगडम में लागू नहीं होता है।

UK GDPR निम्नलिखित परिस्थितियों में लागू होता है:

1. जब आप यूनाइटेड किंगडम के निवासियों को उत्पाद या सेवाएं प्रदान कर रहे हों
2. जब आप यूनाइटेड किंगडम के निवासियों के व्यवहार की निगरानी कर रहे हों

यदि आप यूनाइटेड किंगडम और EU क्षेत्र में व्यापार कर रहे हैं, तो आपको GDPR और UK GDPR दोनों के अनुरूप होने की आवश्यकता है।

सारांश: GDPR के अनुप्रयोग क्षेत्र में समस्या होने पर विशेषज्ञ से परामर्श लें

यदि आपका आधार EU क्षेत्र के भीतर है, या यदि आपका आधार EU क्षेत्र के बाहर है लेकिन आप “EU क्षेत्र के व्यक्तियों को उत्पाद या सेवाएँ प्रदान कर रहे हैं” या “व्यक्तियों के व्यवहार की निगरानी कर रहे हैं”, तो आप GDPR के अनुप्रयोग क्षेत्र में आते हैं। GDPR के अनुप्रयोग वाली कंपनियों को EU में एक प्रतिनिधि को मान्यता देनी होगी और अपनी प्राइवेसी पॉलिसी में इसका स्पष्ट उल्लेख करना होगा।

प्रतिनिधि को मान्यता न देने पर आपको भारी जुर्माना भरना पड़ सकता है। EU क्षेत्र में व्यापार विस्तार कर रहे हैं या भविष्य में प्रवेश करने का विचार कर रहे कंपनियों को GDPR के अनुरूप एक प्रतिनिधि को मान्यता देनी चाहिए।

यदि आपको यह नहीं पता कि आपकी कंपनी GDPR के अनुप्रयोग क्षेत्र में आती है या नहीं, तो हम आपको अंतर्राष्ट्रीय कानूनी मामलों में अनुभवी विशेषज्ञ से परामर्श लेने की सलाह देते हैं।

हमारे कानूनी फर्म द्वारा उपायों का परिचय

मोनोलिस कानूनी फर्म IT के क्षेत्र में, विशेषकर इंटरनेट और कानून के दोनों पहलुओं में विपुल अनुभव रखने वाली एक कानूनी फर्म है। हाल के वर्षों में, वैश्विक व्यापार तेजी से विस्तार पा रहा है, और विशेषज्ञों द्वारा कानूनी जांच की आवश्यकता बढ़ती जा रही है। हमारी फर्म अंतर्राष्ट्रीय कानूनी मामलों पर समाधान प्रदान करने का कार्य करती है।

मोनोलिस कानूनी फर्म के विशेषज्ञता के क्षेत्र: अंतर्राष्ट्रीय कानूनी मामले और विदेशी व्यापार[ja]