GDPR बाह्य क्षेत्रमा लागू हुने अवस्थामा के गर्ने? समाधानको उपायहरूको व्याख्या
GDPR भनेको EU (युरोपेली संघ) ले तोकेको व्यक्तिगत जानकारीको संरक्षण र यसको व्यवस्थापनसम्बन्धी नियम हो। EU क्षेत्रभित्र सामान वा सेवा विस्तार गर्दा, GDPR लागू हुन सक्छ। तर, आफ्नो कम्पनी GDPR को लागू क्षेत्रभित्र पर्छ कि पर्दैन, र परेमा के गर्नुपर्छ भन्ने कुरा थाहा नहुन सक्छ।
यस लेखमा, GDPR को लागू क्षेत्र र लागू भएको अवस्थामा गर्नुपर्ने कार्यहरू, र आवश्यक प्रतिक्रिया बारे व्याख्या गरिएको छ। GDPR लागू सम्बन्धी प्रश्नोत्तर पनि समावेश गरिएको छ, त्यसैले यसलाई अवश्य सन्दर्भको रूपमा प्रयोग गर्नुहोस्।
GDPRको जापानमा लागू हुने दायरा
GDPR लागू हुने सर्तहरू GDPRको धारा 3 “भौगोलिक लागू हुने दायरा” मा निर्दिष्ट गरिएको छ। GDPRको लागू हुने दायरा, EU भित्र कार्यालय भएको अवस्थामा र नभएको अवस्थामा दुई भागमा विभाजित छ।
EU भित्र कार्यालय भएको अवस्थामा निर्दिष्ट गरिएको सामग्री यस प्रकार छ:
“त्यो प्रक्रिया EU भित्र गरिन्छ वा गरिँदैन भन्ने कुरामा निर्भर नगरी, EU भित्रको व्यवस्थापक वा प्रशोधनकर्ताको कार्यालयको गतिविधिको क्रममा व्यक्तिगत डाटा प्रशोधनमा लागू हुन्छ।”
सन्दर्भ: व्यक्तिगत जानकारी संरक्षण समिति|「सामान्य डाटा संरक्षण नियमावली (GDPR) अस्थायी जापानी अनुवाद[ja]」
अर्थात्, EU भित्र व्यवस्थापक वा प्रशोधनकर्ताको कार्यालय भएको अवस्थामा, GDPR लागू हुन्छ भन्ने कुरा देखाउँछ।
| व्यवस्थापक | व्यक्तिगत डाटा प्रशोधनको उद्देश्य र साधन निर्धारण गर्ने व्यक्ति |
| प्रशोधनकर्ता | व्यवस्थापकको तर्फबाट व्यक्तिगत डाटा प्रशोधन गर्ने व्यक्ति |
EU भित्र कार्यालय नभएको अवस्थामा लागू हुने दायरा निम्न दुई अवस्थामा लागू हुन्छ:
- EU भित्रका व्यक्तिहरूलाई सामान वा सेवा प्रदान गरिरहेको अवस्थामा
- EU भित्रका व्यक्तिहरूको गतिविधि निगरानी गरिरहेको अवस्थामा
GDPRले भित्रका विभिन्न देशहरूमा कडा प्रतिबन्ध लगाएको छ, र डाटा स्थानान्तरण स्वतन्त्र रूपमा गर्न “पर्याप्तता मान्यता” आवश्यक छ। पर्याप्तता मान्यता भनेको, युरोपियन आयोगको परामर्शपछि निर्णय गरिने मान्यता हो, जसले व्यक्तिगत डाटाको पर्याप्त सुरक्षा स्तर सुनिश्चित गरेको देश वा क्षेत्रलाई मान्यता दिन्छ।
पर्याप्तता मान्यता नभएका देश वा क्षेत्रहरूले EU बाहिर डाटा स्थानान्तरणका लागि SCC वा BCR जस्ता प्रक्रियाहरू गर्नुपर्छ।
| SCC (मानक सम्झौता खण्डहरू) | सूचना स्थानान्तरण सम्झौतामा समावेश गर्नुपर्ने अनिवार्य विषयहरू |
| BCR (बाध्यकारी कम्पनी नियमावली) | युरोपियन आर्थिक क्षेत्र (EEA) बाट प्राप्त व्यक्तिगत डाटालाई सुरक्षा गर्ने नीति र EEA बाहिरका सम्बन्धित कम्पनीहरूमा साझा गर्ने नियमहरू |
पर्याप्तता मान्यताले SCC वा BCR जस्ता प्रक्रियाहरू गर्नुपर्ने आवश्यकता हटाउँछ।
जापानमा पर्याप्तता मान्यता, 2018 जुलाईको EU-जापान नियमित शिखर सम्मेलनमा व्यक्तिगत डाटा स्थानान्तरणको ढाँचालाई सञ्चालन गर्न सक्ने प्रयासहरू अघि बढाउने घोषणा गरियो। त्यसपछि, 2019 जनवरी 23 मा पर्याप्तता मान्यता प्राप्त गरियो, र “EU र जापानले व्यक्तिगत डाटासम्बन्धी सुरक्षा स्तरलाई परस्पर समान मान्यता दिने निर्णयलाई स्वागत गर्दछ” भन्ने घोषणा गरियो।
जापानमा GDPR लागू हुने कम्पनीहरूले के गर्नुपर्छ
GDPR लागू हुने अवस्थामा, कम्पनीहरूले निम्न दुई कुराहरू गर्नुपर्छ:
- EU/UK मा अवस्थित प्रतिनिधिको नियुक्ति
- गोपनीयता नीतिमा स्पष्ट उल्लेख
यहाँ, प्रत्येकको विवरण व्याख्या गरिन्छ।
EU/UK मा अवस्थित प्रतिनिधिको नियुक्ति
GDPR को धारा 27 अनुसार, GDPR को बाह्य क्षेत्रीय लागू हुने अवस्थामा, EU वा UK मा कार्यालय भएको प्रतिनिधि नियुक्त गर्नुपर्ने बाध्यता छ।
यहाँ उल्लेख गरिएको प्रतिनिधि भनेको, व्यवस्थापक वा प्रशोधनकर्ताद्वारा लिखित रूपमा नियुक्त गरिने व्यक्ति हो, जसले GDPR अन्तर्गत व्यवस्थापक वा प्रशोधनकर्ताको दायित्वमा व्यवस्थापक वा प्रशोधनकर्ताको प्रतिनिधित्व गर्छ।
EU भित्र व्यापार गर्ने सबै कम्पनीहरूले प्रतिनिधि नियुक्त गर्नुपर्छ भन्ने छैन। प्रतिनिधि नियुक्त गर्ने बाध्यता नभएका कम्पनीहरू निम्न अवस्थामा छन् (GDPR धारा 27):
- GDPR लागू हुने कार्यहरू अस्थायी नभएको, र “विशेष प्रकारको डेटा” वा “दोषी ठहर र अपराध कार्यसँग सम्बन्धित व्यक्तिगत डेटा” को ठूलो मात्रामा समावेश नगर्ने, र त्यसको प्रकृति, प्रक्रिया, दायरा र उद्देश्यलाई ध्यानमा राख्दै, प्राकृतिक व्यक्तिको अधिकार वा स्वतन्त्रतामा खतरा उत्पन्न हुने सम्भावना कम भएको प्रक्रिया भएको अवस्थामा।
- सार्वजनिक निकाय वा सार्वजनिक संगठन नभएको अवस्थामा।
सन्दर्भ: व्यक्तिगत जानकारी संरक्षण आयोग|「सामान्य डेटा संरक्षण नियम (GDPR) अस्थायी जापानी अनुवाद[ja]」
गोपनीयता नीतिमा स्पष्ट उल्लेख
GDPR लागू हुने कम्पनीहरूले गोपनीयता नीतिमा प्रतिनिधि नियुक्त गरिएको कुरा स्पष्ट रूपमा उल्लेख गर्नुपर्छ।
जापानमा代理人 नियुक्त नगर्दा लाग्ने दण्ड
GDPR को जापानमा लागू हुने क्षेत्राधिकारमा भए तापनि,代理人 नियुक्त नगरेको खण्डमा दण्डको विषय बन्न सक्छ, त्यसैले ध्यान दिनु आवश्यक छ। दण्डको रकम अधिकतम 1,000 युरो वा विश्वव्यापी बिक्रीको 2% भन्दा कम नभएको ठुलो रकम हुन सक्छ (GDPR धारा 84, उपधारा 4)।
जापानमा代理 व्यक्तिले गर्नुपर्ने कार्यहरू
यदि GDPR को लागू क्षेत्राधिकारमा पर्छ भने, सामान्यतया代理 व्यक्तिलाई नियुक्त गर्नैपर्छ। त्यसो भए,代理 व्यक्तिले गर्नुपर्ने कार्यहरू के-के हुन् त? यहाँ,代理 व्यक्तिको कार्यहरूलाई विस्तृत रूपमा व्याख्या गरिन्छ।
जापानमा 30 धारा अन्तर्गतको रेकर्ड प्रक्रिया
EU का विभिन्न देशहरूमा代理 व्यक्ति राख्ने व्यवस्थापक वा प्रोसेसरले आफ्नो प्रक्रिया रेकर्ड代理 व्यक्तिसँग साझा गर्नैपर्छ। साथै,代理 व्यक्तिले व्यवस्थापक वा प्रोसेसर जस्तै ती रेकर्डहरू सुरक्षित राख्नुपर्छ (GDPR धारा 30)।
रेकर्ड गर्नुपर्ने सामग्रीमा निम्न कुराहरू समावेश छन्:
- व्यवस्थापक, DPO (डेटा सुरक्षा अधिकारी) जस्ता व्यक्तिहरूको नाम र सम्पर्क विवरण
- प्रयोगको उद्देश्य
- डेटा विषयको विशेषता र प्रयोग गरिने डेटा प्रकार
- सुरक्षित राख्ने अवधि
- मेटाउने समय
डेटा विषय भनेको पहिचान गरिएको वा पहिचान गर्न सकिने प्राकृतिक व्यक्ति हो, जसको व्यक्तिगत डेटा सम्बन्धित हुन्छ।
यदि निरीक्षण निकायबाट अनुरोध आएमा, यी प्रक्रिया रेकर्डहरू उपलब्ध गराउन सक्नुपर्छ।
जापानमा डेटा विषय वा निरीक्षण निकायबाटको सोधपुछको जवाफ
डेटा विषय वा निरीक्षण निकायबाट सोधपुछ आएमा,代理 व्यक्तिले व्यवस्थापक वा प्रोसेसरको सट्टामा डेटा विषय र निरीक्षण निकायलाई जवाफ दिनुपर्छ (GDPR धारा 27 धारा 3)। उदाहरणका लागि, डेटा विषयबाट अनुरोध प्राप्त भएमा, व्यवस्थापकले एक महिनाभित्र जानकारी उपलब्ध गराउनुपर्छ (GDPR धारा 12 धारा 3)। साथै,代理 व्यक्तिले निरीक्षण निकायको अनुरोधमा सहकार्य गर्नुपर्छ (GDPR धारा 31)।
GDPRको जापानी कानुन अन्तर्गत लागू हुने सम्बन्धी प्रश्नोत्तर
GDPRको जापानमा लागू हुने सम्बन्धमा प्रायः सोधिने प्रश्नहरूको उत्तर तल दिइएको छ।
जापानमा GDPR को आवश्यकता के हो जब विदेशमा विस्तार गर्ने योजना छैन?
आधारभूत रूपमा, यदि विदेशमा विस्तार गर्ने योजना छैन भने GDPR को पालना आवश्यक छैन। तर, विदेशमा विस्तार नगरे पनि, यदि EU क्षेत्रभित्रका व्यक्तिहरूबाट डेटा प्राप्त गर्ने सम्भावना छ भने ध्यान दिनु आवश्यक छ।
उदाहरणका लागि, तलका जस्ता अवस्थाहरू विचार गर्न सकिन्छ।
- ई-कमर्स साइट सञ्चालन गर्दै हुनुहुन्छ र EU क्षेत्रभित्रका व्यक्तिहरूबाट सोधपुछ वा अर्डर प्राप्त भएको छ
- साइटको ब्राउजिङबाट, EU क्षेत्रभित्रका व्यक्तिहरूको अनलाइन पहिचानकर्ता (जस्तै IP ठेगाना वा कुकीहरू) प्राप्त भएको छ
- EU क्षेत्रभित्रका व्यक्तिहरूको सोधपुछको उत्तरमा इमेल ठेगाना प्राप्त भएको छ
अनायासै EU क्षेत्रभित्रका व्यक्तिगत डेटा प्राप्त भए पनि, यो भौगोलिक लागू क्षेत्रको अन्तर्गत पर्दैन, त्यसैले GDPR को पालना नगरे पनि समस्या छैन।
याद राख्नुहोस्, EU क्षेत्रभित्र कार्यालय भएको अवस्थामा, वा EU क्षेत्रभित्र कार्यालय नभए पनि तलका दुई अवस्थाहरूमा पर्दा GDPR को पालना आवश्यक हुन्छ।
- EU क्षेत्रभित्रका व्यक्तिहरूलाई सामान वा सेवा प्रदान गरिरहेको अवस्थामा
- EU क्षेत्रभित्रका व्यक्तिहरूको गतिविधि निगरानी गरिरहेको अवस्थामा
EU क्षेत्रभित्र समेटिएको क्रस-बोर्डर ई-कमर्स साइट सुरु गर्दा जापानमा आवश्यक कदमहरू के हुन्?
EU क्षेत्रभित्र समेटिएको क्रस-बोर्डर ई-कमर्स साइट सुरु गर्दा, EU क्षेत्रभित्रका व्यक्तिगत जानकारीहरू प्राप्त गर्ने सम्भावना हुन्छ। प्राप्त गरिने जानकारीहरूमा निम्न समावेश हुन सक्छन्:
- नाम
- इमेल ठेगाना
- ठेगाना
- क्रेडिट कार्ड जानकारी
- खरिद जानकारी
- स्थान जानकारी
- IP ठेगाना र कुकी आईडी
यी जानकारीहरू प्राप्त गर्दा, GDPR अन्तर्गत व्यक्तिगत डाटा मानिन्छ, त्यसैले GDPR का नियमहरू अनुसार यसको व्यवस्थापन गर्नुपर्छ।
पहिलो चरणमा, GDPR अनुरूप गोपनीयता नीति पुनरावलोकन गर्नुहोस् र गोपनीयता सूचना परिमार्जन तथा प्रकाशन गर्नुहोस्।
सम्बन्धित लेख: GDPR अनुरूप गोपनीयता नीति तयार गर्दा ध्यान दिनुपर्ने बुँदाहरूको व्याख्या![ja]
त्यसपछि, निम्न चरणहरू अनुसरण गर्नुहोस्:
- कुकी नीति स्थापना गर्नुहोस् र ई-कमर्स साइटको पहिलो आगन्तुकहरूलाई कुकी प्रयोगको सहमति प्राप्त गर्नुहोस्
- व्यक्तिगत जानकारी प्राप्त गर्दा, “व्यक्तिगत डाटा व्यवस्थापन” को सहमति प्राप्त गर्नुहोस्
- व्यक्तिगत डाटाको सुरक्षा र चुहावट रोकथामका लागि सुरक्षा उपायहरू गर्नुहोस्
- प्रतिनिधि नियुक्त गर्नुहोस्
त्यसैगरी, आवश्यक परेमा आन्तरिक नियमहरू पुनरावलोकन गर्नुहोस्, GDPR अनुरूप म्यानुअल तयार गर्नुहोस् र बाह्य सेवा प्रदायकहरूसँगको सम्झौता सामग्री पुनरावलोकन गर्नुहोस्।
GDPR र UK GDPR मा के फरक छ?
UK GDPR भनेको बेलायतको सामान्य डेटा संरक्षण नियम हो। UK GDPR, बेलायतको EU बाट बहिर्गमनसँगै, 2021 जनवरी 1 (सन् 2021) मा लागू भएको थियो। GDPR भनेको EU को नियम हो र यो बेलायतमा लागू हुँदैन।
UK GDPR निम्न अवस्थामा लागू हुन्छ:
- बेलायत भित्रका व्यक्तिहरूलाई सामान वा सेवा प्रदान गरिरहेको अवस्थामा
- बेलायत भित्रका व्यक्तिहरूको गतिविधि निगरानी गरिरहेको अवस्थामा
बेलायत र EU क्षेत्रभित्र व्यवसाय सञ्चालन गर्दा, GDPR र UK GDPR दुवैको पालना गर्न आवश्यक हुन्छ।
सारांश: जापानी कानूनी प्रणाली अन्तर्गत GDPR को लागू क्षेत्रको समस्यामा विशेषज्ञसँग परामर्श गर्नुहोस्
यदि तपाईंसँग EU क्षेत्रभित्र कार्यालय छ, वा EU क्षेत्रभित्र कार्यालय नभए पनि “EU क्षेत्रभित्रका व्यक्तिहरूलाई सामान वा सेवा प्रदान गर्नुहुन्छ” वा “व्यक्तिको गतिविधि निगरानी गर्नुहुन्छ” भने, तपाईँ GDPR को लागू क्षेत्रमा पर्नुहुन्छ। GDPR अन्तर्गत पर्ने कम्पनीहरूले EU मा कार्यालय भएको प्रतिनिधि नियुक्त गर्नुपर्छ र गोपनीयता नीतिमा यसबारे स्पष्ट उल्लेख गर्नुपर्छ।
प्रतिनिधि नियुक्त नगरेमा ठूलो मात्रामा जरिवाना तिर्नुपर्ने हुन सक्छ। EU क्षेत्रभित्र व्यापार विस्तार गरिरहेका वा भविष्यमा विस्तार गर्ने सोचमा रहेका कम्पनीहरूले GDPR को पालना गर्न प्रतिनिधि नियुक्त गर्नु आवश्यक छ।
यदि तपाईँलाई थाहा छैन कि तपाईँको कम्पनी GDPR को लागू क्षेत्रमा पर्छ कि पर्दैन भने, अन्तर्राष्ट्रिय कानूनी मामिलामा जानकार विशेषज्ञसँग परामर्श गर्नु उपयुक्त हुन्छ।
हाम्रो कार्यालयद्वारा प्रदान गरिने उपायहरूको जानकारी
मोनोलिथ कानूनी फर्म एक यस्तो कानूनी फर्म हो जसले IT, विशेष गरी इन्टरनेट र कानूनी पक्षमा व्यापक अनुभव राख्दछ। हालका वर्षहरूमा, विश्वव्यापी व्यवसायहरू तीव्र रूपमा विस्तार भइरहेका छन्, जसले गर्दा विशेषज्ञद्वारा कानूनी जाँचको आवश्यकता बढ्दै गएको छ। हाम्रो कार्यालयले जापानी अन्तर्राष्ट्रिय कानूनी मामिलाहरूमा समाधानहरू प्रदान गर्दछ।
मोनोलिथ कानूनी फर्मको कार्यक्षेत्र: अन्तर्राष्ट्रिय कानूनी मामिला र विदेशी व्यवसाय[ja]
Related Articles
औषधि र चिकित्सा उपकरण ऐन अन्तर्गत सौन्दर्य र डाइट विज्ञापनका अघि-पछिका तस्वीरहरू अनुमति छैनन्?
General Corporate
व्यवस्थापकहरूले परिवार शासनमा के डिजाइन गर्नुपर्छ? निर्माण र सञ्चालन व्यवस्थापन विधिहरूको विस्तृ.
General Corporate
सम्पत्ति उत्तराधिकारी र व्यवसाय उत्तराधिकारीमा आउन सक्ने समस्याहरू रोक्नका लागि व्यवस्थापकहरूले .
General Corporate
