General Corporate

GDPR क्या है? व्यक्तिगत जानकारी संरक्षण कानून के साथ तुलना और जापानी कंपनियों को ध्यान में रखने योग्य बिंदुओं की व्याख्या

2024.04.09

2024.04.30

GDPR क्या है? व्यक्तिगत जानकारी संरक्षण कानून के साथ तुलना और जापानी कंपनियों को ध्यान में रखने योग्य बिंदुओं की व्याख्या

यदि आप EU क्षेत्र में अपना व्यापार विस्तार करने की सोच रहे हैं, तो आपको GDPR (जनरल डेटा प्रोटेक्शन रेगुलेशन) के बारे में व्यापक जानकारी होनी चाहिए। EU क्षेत्र में कोई आधार न होने पर भी जापानी कंपनियों पर GDPR लागू हो सकता है। GDPR और व्यक्तिगत जानकारी संरक्षण कानून के बारे में मूल ज्ञान प्राप्त करें और उचित डेटा प्रबंधन करें।

इस लेख में, हम GDPR के बारे में जापानी व्यक्तिगत जानकारी संरक्षण कानून के साथ तुलना करते हुए, और जापानी कंपनियों को किन बिंदुओं पर ध्यान देना चाहिए, इस पर चर्चा करेंगे। यदि आप ‘डेटा संरक्षण के नियमों में परिवर्तन करने की आवश्यकता है या नहीं, इसका विचार कर रहे हैं’ या ‘EU में व्यापार विस्तार के लिए किन कानूनों की जानकारी होनी चाहिए’, तो कानूनी मामलों के प्रभारी व्यक्ति इस लेख को अवश्य पढ़ें।

GDPR（EU一般データ保護規則）とは

「GDPR（General Data Protection Regulation）」या “जनरल डेटा प्रोटेक्शन रेगुलेशन” यूरोपीय संघ (EU) द्वारा निर्धारित व्यक्तिगत डेटा हैंडलिंग (व्यक्तिगत सूचना संरक्षण) से संबंधित नियम है, जिसे जापान में “जनरल डेटा प्रोटेक्शन रेगुलेशन” के नाम से भी जाना जाता है।

यह EU क्षेत्र के भीतर व्यक्तिगत डेटा के हैंडलिंग के लिए कठोर मानकों को स्थापित करता है और व्यक्तिगत गोपनीयता की सुरक्षा को मजबूत करने का उद्देश्य रखता है।

व्यक्तिगत सूचना की सुरक्षा के दृष्टिकोण से, यह नियम यह निर्धारित करता है कि कंपनियां और संगठन डेटा को कैसे हैंडल करें और व्यक्ति अपनी जानकारी को कैसे सुरक्षित रख सकते हैं।

संदर्भ: जापानी पर्सनल इनफॉर्मेशन प्रोटेक्शन कमीशन | ‘जनरल डेटा प्रोटेक्शन रेगुलेशन (GDPR) का प्रारंभिक जापानी अनुवाद[ja]‘

GDPR के मूल सिद्धांत निम्नलिखित हैं:

कानूनीता, निष्पक्षता और पारदर्शिता
उद्देश्य की सीमा
डेटा का न्यूनतमीकरण
सटीकता
रिकॉर्ड संग्रहण की सीमा
संपूर्णता और गोपनीयता

मूल सिद्धांतों के प्रत्येक के बारे में, हम नीचे विस्तार से बताएंगे।

वैधता, निष्पक्षता और पारदर्शिता

GDPR के मूल सिद्धांतों में सबसे ऊपर वैधता, निष्पक्षता और पारदर्शिता को रखा गया है।

जब व्यवसायी व्यक्तिगत डेटा एकत्रित और संसाधित करते हैं, तो यह आवश्यक है कि उनके पास कानूनी रूप से वैध आधार हो और उन्हें संबंधित पक्ष को यह स्पष्ट रूप से समझाना चाहिए कि उनका डेटा किस प्रकार संसाधित किया जा रहा है।

इसके अतिरिक्त, व्यवसायियों को प्राइवेसी से संबंधित जानकारी स्पष्ट रूप से प्रदान करनी चाहिए और पारदर्शिता बनाए रखनी चाहिए ताकि संबंधित पक्ष यह समझ सकें और नियंत्रण कर सकें कि उनका डेटा कैसे संभाला जा रहा है।

उपयोग के उद्देश्य की सीमा

उपयोग के उद्देश्य की सीमा का अर्थ है कि डेटा का संग्रहण और प्रक्रिया विशेष और स्पष्ट उद्देश्यों के लिए किया जाना चाहिए।

व्यक्तिगत डेटा प्राप्त करने वाले व्यापारी को उस उद्देश्य को सटीक और विशिष्ट रूप से संबंधित पक्ष के सामने प्रस्तुत करना चाहिए और स्पष्ट सहमति प्राप्त करनी चाहिए। इसके अलावा, व्यापारियों को संग्रहित डेटा के संबंध में, डेटा सब्जेक्ट से प्राप्त सहमति के उद्देश्यों के अलावा अन्य उपयोगों को सीमित करने और कठोरता से प्रबंधन करने की आवश्यकता होती है।

व्यक्तिगत डेटा का न्यूनीकरण

व्यक्तिगत डेटा का संग्रहण उस सीमा तक सीमित (न्यूनीकृत) होना चाहिए जो उद्देश्य की प्राप्ति के लिए आवश्यक हो। केवल उसी सीमा में व्यक्तिगत डेटा एकत्रित करें जो अनुरोधित उद्देश्य के अनुकूल हो, और अतिरिक्त व्यक्तिगत जानकारी का संग्रहण न करें।

इससे रखे गए व्यक्तिगत डेटा की मात्रा न्यूनतम सीमा तक सीमित रहेगी, और व्यक्तियों की गोपनीयता की रक्षा होगी।

सटीकता

जीडीपीआर (GDPR) के मूल सिद्धांतों के अनुसार, व्यक्तिगत डेटा सटीक होना चाहिए। असटीक व्यक्तिगत डेटा को संशोधित किया जाना चाहिए, और नवीनतम तथा सटीक जानकारी को बनाए रखने के लिए उपाय किए जाने चाहिए।

इससे व्यक्तियों के अधिकार और हितों की रक्षा होती है, और व्यक्तिगत डेटा का प्रसंस्करण सटीक जानकारी के आधार पर किया जाता है।

रिकॉर्ड संरक्षण की सीमाएँ

GDPR के मूल सिद्धांतों में रिकॉर्ड संरक्षण की सीमा की अवधारणा शामिल है। जिन व्यक्तिगत डेटा की आवश्यकता नहीं रही और जिनका उद्देश्य पूरा हो चुका है, उन्हें तत्काल हटा देना चाहिए।

अनावश्यक व्यक्तिगत डेटा को न संग्रहित करके, हम व्यक्तिगत डेटा का उचित प्रबंधन और गोपनीयता की सुरक्षा सुनिश्चित करते हैं।

पूर्णता और गोपनीयता

व्यक्तिगत डेटा पूर्ण होना चाहिए और उसकी गोपनीयता की रक्षा की जानी चाहिए। व्यक्तिगत डेटा को बदलाव या नुकसान से बचाया जाना चाहिए, और अनधिकृत पहुँच से सुरक्षित रखने के लिए उचित उपाय किए जाने चाहिए।

इससे व्यक्तिगत डेटा की विश्वसनीयता में वृद्धि होगी।

क्या केवल EU क्षेत्र की कंपनियों पर ही लागू होता है GDPR का दायरा?

GDPR केवल EU क्षेत्र की कंपनियों पर ही लागू नहीं होता। जापानी कंपनियां भी इसके दायरे में आ सकती हैं। GDPR के अंतर्गत आने वाली कंपनियों के लिए निम्नलिखित चार बिंदुओं का वर्णन किया गया है।

GDPR के अंतर्गत आने वाली कंपनियां	सारांश
EU क्षेत्र में आधारित कंपनियां \| ‘प्रबंधक’	डेटा प्रोसेसिंग के उद्देश्य और साधनों को निर्धारित करने वाले और डेटा के स्वामित्व वाले संगठन को ‘प्रबंधक’ कहा जाता है। उदाहरण के लिए, EU में मुख्यालय या शाखा वाली कंपनियां इसमें शामिल होती हैं। प्रबंधक को डेटा की वैध और पारदर्शी प्रोसेसिंग सुनिश्चित करने की जिम्मेदारी होती है।
EU कंपनियों से व्यक्तिगत डेटा प्रोसेसिंग का काम सौंपा गया कंपनियां \| ‘प्रोसेसर’	जब EU क्षेत्र की कंपनियां अन्य कंपनियों को डेटा प्रोसेसिंग का काम सौंपती हैं, तो सौंपी गई कंपनियां ‘प्रोसेसर’ के रूप में GDPR के दायरे में आती हैं। प्रोसेसर भी डेटा की सुरक्षा और वैध प्रोसेसिंग सुनिश्चित करने की जिम्मेदारी उठाते हैं।
EU क्षेत्र के व्यक्तियों को माल या सेवाएं प्रदान करने वाली कंपनियां	ऑनलाइन शॉप या वेब सेवाएं प्रदान करने वाली कंपनियां इसमें शामिल होती हैं। प्रदान किए गए माल या सेवाओं से संबंधित डेटा की हैंडलिंग GDPR के मानकों के अनुरूप होनी चाहिए।
EU क्षेत्र के व्यक्तियों की निगरानी करने वाली कंपनियां	निगरानी से तात्पर्य विशेष व्यक्तियों के व्यवहार या स्थिति का दीर्घकालिक अनुसरण करना है। उदाहरण के लिए, सुरक्षा कैमरों या ऑनलाइन व्यवहार ट्रैकिंग करने वाली कंपनियां इसमें शामिल होती हैं, और डेटा की वैध हैंडलिंग की आवश्यकता होती है।

GDPR के अंतर्गत आने वाली कंपनियों को डेटा की वैध और पारदर्शी प्रोसेसिंग, सुरक्षा की गारंटी, और GDPR के मानकों का पालन करने की आवश्यकता होती है।

संबंधित लेख: GDPR का क्षेत्र के बाहर लागू होने पर क्या करें? उपायों की व्याख्या[ja]

GDPR के अंतर्गत व्यक्तिगत डेटा का प्रबंधन

GDPR व्यक्तिगत डेटा के प्रबंधन के लिए गोपनीयता संरक्षण और डेटा संचार की एक ढांचा प्रदान करता है।

इस नियम का उद्देश्य और सिद्धांत मूलभूत अधिकारों और स्वतंत्रताओं की रक्षा करना है, विशेषकर व्यक्तियों की गोपनीयता का सम्मान करना और व्यक्तिगत डेटा के स्वतंत्र प्रवाह को बढ़ावा देना (GDPR अनुच्छेद 4)।

GDPR डेटा के नियंत्रण और सम्मान की सुरक्षा करते हुए, डेटा संचार को प्रोत्साहित करता है और उचित प्रबंधन के माध्यम से विश्वसनीयता सुनिश्चित करता है।

इसके लिए, डेटा प्रक्रिया की पारदर्शिता और कंपनियों की जवाबदेही महत्वपूर्ण है, और कंपनियों को नियमों के अनुसार डेटा को उचित रूप से संभालने की आवश्यकता होती है।

GDPR में निम्नलिखित जैसे अन्य अनुच्छेद भी हैं।

GDPR के अधीन आने वाली कंपनियों को, व्यक्तिगत डेटा के ‘प्रबंधन’ के लिए, सामान्यतः व्यक्ति की सहमति की आवश्यकता होती है (GDPR अनुच्छेद 6, खंड 1(a))।

प्रबंधक को, व्यक्तिगत डेटा के प्रबंधन के लिए व्यक्ति की सहमति का प्रमाण प्रदान करने में सक्षम होना चाहिए (GDPR अनुच्छेद 7, खंड 1)।

इसके अलावा व्यक्ति किसी भी समय व्यक्तिगत डेटा के प्रबंधन के लिए दी गई सहमति को वापस ले सकता है (GDPR अनुच्छेद 7, खंड 3)।

ध्यान दें, व्यक्ति की सहमति के बिना भी, व्यक्तिगत डेटा के ‘प्रबंधन’ को मान्यता दी जा सकती है। इसके कुछ विशिष्ट उदाहरण निम्नलिखित हैं:

जब व्यक्ति किसी अनुबंध का पक्षकार हो और उस अनुबंध के निष्पादन के लिए आवश्यक हो
व्यक्ति के अनुरोध पर अनुबंध संपन्न करने से पहले, आवश्यक कदम उठाने के लिए जरूरी हो
प्रबंधक को कानूनी दायित्वों का पालन करने के लिए आवश्यक हो
व्यक्ति या अन्य किसी के जीवन से जुड़े हितों की रक्षा के लिए जरूरी हो
सार्वजनिक हित के लिए या सार्वजनिक कार्य के निष्पादन के लिए आवश्यक हो
प्रबंधक या तीसरे पक्ष के वैध हितों के लिए जरूरी हो (इसमें व्यक्ति के अधिकारों, हितों और स्वतंत्रता के साथ तुलनात्मक मूल्यांकन आवश्यक है)

GDPR में व्यक्तिगत डेटा से संबंधित मुख्य अधिकार

GDPR में, व्यक्तिगत डेटा के स्वामी को मुख्यतः निम्नलिखित अधिकार प्रदान किए गए हैं।

व्यक्तिगत डेटा तक पहुँचने का अधिकार
व्यक्तिगत डेटा के सुधार या मिटाने का अधिकार
व्यक्तिगत डेटा के उपयोग पर प्रतिबंध लगाने का अधिकार
व्यक्तिगत डेटा के प्रबंधन पर आपत्ति जताने का अधिकार

व्यक्तिगत डेटा के स्वामी को यह अधिकार है कि वे समझें कि उनकी जानकारी का प्रदाता किस प्रकार उपयोग कर रहा है। यदि जानकारी गलत या अनुचित तरीके से उपयोग की जा रही हो, तो वे सुधार या मिटाने की मांग कर सकते हैं, साथ ही उपयोग को अस्थायी रूप से रोकने या आपत्ति दर्ज करने का भी विकल्प है।

GDPR के अंतर्गत व्यक्तिगत डेटा से संबंधित मुख्य जिम्मेदारियां

जहां व्यक्तिगत डेटा सब्जेक्ट को उपरोक्त अधिकार प्रदान किए गए हैं, वहीं व्यक्तिगत डेटा एकत्रित और प्रोसेस करने वाली कंपनियों को मुख्यतः निम्नलिखित जिम्मेदारियां निभानी होती हैं:

GDPR के अनुरूप व्यक्तिगत डेटा हैंडलिंग सिस्टम और मानवीय संरचना को स्थापित करने की जिम्मेदारी
व्यक्तिगत डेटा हैंडलिंग के संबंध में रिकॉर्ड रखने की जिम्मेदारी
व्यक्तिगत डेटा उल्लंघन के समय प्रतिक्रिया देने की जिम्मेदारी

व्यक्तिगत डेटा की उचित सुरक्षा सुनिश्चित करने के लिए, कंपनियों द्वारा निभाई जाने वाली ये जिम्मेदारियां महत्वपूर्ण हैं।

इसके अलावा, व्यक्तिगत डेटा के संबंध में, सभी डेटा प्रोसेसिंग गतिविधियों का उचित रूप से रिकॉर्ड किया जाना, समीक्षा करने के लिए जरूरी होता है, जब भी आवश्यकता हो।

यदि व्यक्तिगत डेटा का उल्लंघन होता है, तो कंपनी की जिम्मेदारी होती है कि वह उचित कदम उठाए और संबंधित पक्षों को सूचित करे।

GDPR का उल्लंघन करने पर

यदि प्रबंधक या प्रोसेसर GDPR का उल्लंघन करते हैं और डेटा सब्जेक्ट को हानि पहुँचाते हैं, तो उन्हें हर्जाने की मांग का सामना करना पड़ सकता है (GDPR अनुच्छेद 82 खंड 1)।

इसके अलावा, GDPR के उल्लंघन से कठोर परिणाम आ सकते हैं। उदाहरण के लिए, उल्लंघन के लिए GDPR अनुच्छेद 83 के आधार पर यूरोपीय संघ से जुर्माना लगाया जा सकता है (GDPR अनुच्छेद 83)।

GDPR और व्यक्तिगत जानकारी संरक्षण कानून के बीच के अंतर

GDPR और व्यक्तिगत जानकारी संरक्षण कानून के बीच के मुख्य अंतर निम्नलिखित हैं:

संरक्षण के अधीन डेटा
व्यक्तिगत डेटा का उल्लंघन होने पर प्रतिक्रिया
प्रतिनिधि की नियुक्ति
उल्लंघन करने पर दंड

नीचे हम इन्हें विस्तार से समझाएंगे।

संरक्षण के अधीन डेटा

GDPR और व्यक्तिगत जानकारी संरक्षण कानून में, संरक्षित डेटा के प्रकार में अंतर होता है। GDPR, EU क्षेत्र के भीतर संसाधित होने वाले व्यक्तिगत डेटा को व्यापक रूप से संरक्षित करता है। यह केवल EU क्षेत्र में स्थित कंपनियों के लिए ही नहीं, बल्कि EU क्षेत्र के व्यक्तियों को माल या सेवाएं प्रदान करने वाली कंपनियों के लिए भी लागू होता है।

दूसरी ओर, व्यक्तिगत जानकारी संरक्षण कानून का संरक्षण लक्ष्य देश या क्षेत्र के अनुसार भिन्न होता है।

उदाहरण के लिए, जापानी व्यक्तिगत जानकारी संरक्षण कानून देश के भीतर संसाधित होने वाली व्यक्तिगत जानकारी को लक्षित करता है, और संरक्षण का लक्ष्य मूल रूप से देश के भीतर ही सीमित होता है।

व्यक्तिगत डेटा का उल्लंघन होने पर प्रतिक्रिया

GDPR और व्यक्तिगत जानकारी संरक्षण कानून में, व्यक्तिगत डेटा के उल्लंघन होने पर प्रतिक्रिया में अंतर होता है।

GDPR के अनुसार, डेटा उल्लंघन होने पर, कंपनियों को 72 घंटों के भीतर निगरानी संस्था को सूचित करने की अनिवार्यता होती है। साथ ही, व्यक्तिगत डेटा के मालिक को भी तुरंत और स्पष्ट रूप से सूचित करने की जिम्मेदारी होती है।

व्यक्तिगत जानकारी संरक्षण कानून के तहत भी, डेटा उल्लंघन होने पर तत्काल सूचना देने की मांग की जाती है, लेकिन रिपोर्टिंग की अनिवार्यता की समय सीमा और सूचना की सामग्री देश या क्षेत्र के अनुसार भिन्न होती है।

प्रतिनिधि की नियुक्ति

GDPR और व्यक्तिगत जानकारी संरक्षण कानून में, प्रतिनिधि की नियुक्ति से संबंधित नियमों में अंतर होता है।

GDPR के तहत, बच्चों के व्यक्तिगत डेटा के संसाधन के लिए, माता-पिता या कानूनी प्रतिनिधि की सहमति आवश्यक होती है। इसके अलावा, ऑनलाइन सेवाएं प्रदान करने वाली कंपनियां जब 16 वर्ष से कम उम्र के बच्चों के व्यक्तिगत डेटा को संभालती हैं, तो उन्हें माता-पिता की सहमति की आवश्यकता होती है।

व्यक्तिगत जानकारी संरक्षण कानून भी इसी तरह, बच्चों के व्यक्तिगत जानकारी के संचालन के लिए कानूनी प्रतिनिधि की सहमति की आवश्यकता होती है, लेकिन उम्र की सीमा और सहमति प्राप्ति की विधि कानून के अनुसार भिन्न होती है।

उल्लंघन करने पर दंड

GDPR और व्यक्तिगत जानकारी संरक्षण कानून के बीच के अंतरों में से एक, उल्लंघन करने पर दंड का अंतर भी है।

GDPR के तहत, उल्लंघन के लिए, कंपनी पर कंपनी के कुल वार्षिक टर्नओवर का 4% या 20 मिलियन यूरो तक का जुर्माना लग सकता है।

व्यक्तिगत जानकारी संरक्षण कानून के तहत दंड देश या क्षेत्र के अनुसार भिन्न होते हैं, लेकिन आमतौर पर जुर्माना या कानूनी जिम्मेदारी लगाई जाती है। जुर्माने की राशि उल्लंघन की प्रकृति और गंभीरता के अनुसार बदलती है।

GDPR के लिए जापानी कंपनियों को किन बिंदुओं पर ध्यान देना चाहिए

निम्नलिखित मामलों में आने वाली कंपनियों को GDPR के लिए उपाय करने की आवश्यकता है।

EU क्षेत्र के अंदर अपनी सहायक कंपनियां, शाखाएं या व्यापारिक कार्यालय रखने वाली कंपनियां
जापान से EU क्षेत्र के अंदर उत्पाद या सेवाएं प्रदान करने वाली कंपनियां
EU क्षेत्र की कंपनियों आदि से व्यक्तिगत डेटा के प्रसंस्करण के लिए अनुबंध प्राप्त करने वाली कंपनियां

कंपनियों में विशिष्ट उपायों के उदाहरण के रूप में, GDPR के अनुच्छेद 32 और प्रस्तावना (83) में, डेटा सुरक्षा तकनीक के रूप में एन्क्रिप्शन की सिफारिश की गई है।

इसलिए, क्लाइंट PC, HDD, USB मेमोरी जैसे रिकॉर्डिंग मीडिया, साझा फोल्डर आदि में व्यक्तिगत डेटा का एन्क्रिप्शन आवश्यक हो जाता है।

इसके अलावा, प्राइवेसी पॉलिसी को GDPR के अनुरूप सामग्री में बदलने की जरूरत है। GDPR के अनुरूप प्राइवेसी पॉलिसी के बारे में, निम्नलिखित लेख में विस्तार से समझाया गया है।

संबंधित लेख: GDPR के अनुरूप प्राइवेसी पॉलिसी बनाते समय के बिंदुओं की व्याख्या[ja]

सारांश: GDPR उपायों के लिए विशेषज्ञ से परामर्श लें

GDPR, यूरोपीय संघ (EU) क्षेत्र के भीतर संसाधित होने वाले व्यक्तिगत डेटा की व्यापक सुरक्षा करता है, और डेटा के वैध और पारदर्शी प्रसंस्करण, सुरक्षा की गारंटी की मांग करता है। GDPR और जापानी व्यक्तिगत जानकारी सुरक्षा कानून (Personal Information Protection Law) के बीच के अंतर में सुरक्षा के उद्देश्य, व्यक्तिगत डेटा उल्लंघन के समय की प्रतिक्रिया, प्रतिनिधि की नियुक्ति, और उल्लंघन के समय की सजा आदि शामिल हैं।

मुख्य रूप से यूरोपीय संघ (EU) क्षेत्र में आधारित कंपनियां, यूरोपीय संघ (EU) क्षेत्र के व्यक्तियों को माल या सेवाएं प्रदान करने वाली कंपनियां, या यूरोपीय संघ (EU) क्षेत्र की कंपनियों से व्यक्तिगत डेटा के प्रसंस्करण के लिए अनुबंधित कंपनियां GDPR के अनुपालन के लिए जिम्मेदार होती हैं। GDPR का उल्लंघन करने पर हर्जाने की मांग या जुर्माना लगाया जा सकता है, इसलिए इसके प्रति पूरी सावधानी बरतनी चाहिए।

अपनी कंपनी के डेटा सुरक्षा नियमों को GDPR के अनुरूप बदलने की आवश्यकता है या नहीं, इस पर विचार करने के लिए विशेषज्ञ से परामर्श लेना सुझावित है।

हमारे कानूनी फर्म द्वारा उपायों की जानकारी

मोनोलिस कानूनी फर्म IT के क्षेत्र में, विशेषकर इंटरनेट और कानून के दोनों पहलुओं में व्यापक अनुभव रखने वाली एक कानूनी फर्म है। हाल के वर्षों में, वैश्विक व्यापार तेजी से बढ़ रहा है, और विशेषज्ञों द्वारा कानूनी जांच की आवश्यकता भी बढ़ रही है। हमारी फर्म अंतर्राष्ट्रीय कानूनी मामलों पर समाधान प्रदान करने का कार्य करती है।

मोनोलिस कानूनी फर्म के कार्यक्षेत्र: अंतर्राष्ट्रीय कानूनी मामले और विदेशी व्यापार[ja]

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag: General Corporate Personal Information Protection