GDPR भनेको के हो? व्यक्तिगत जानकारी संरक्षण ऐनसँगको तुलना र जापानी कम्पनीहरूले ध्यान दिनुपर्ने बुँदाहरूको व्याख्या

EU क्षेत्रभित्र व्यवसाय विस्तार गर्नका लागि, GDPR (सामान्य डेटा संरक्षण नियम) को बारेमा व्यापक जानकारी राख्न आवश्यक छ। EU क्षेत्रभित्र आधार नभएका जापानी कम्पनीहरूमा पनि GDPR लागू हुन सक्छ। GDPR र व्यक्तिगत जानकारी संरक्षण कानूनको आधारभूत ज्ञान प्राप्त गरी, उपयुक्त डेटा व्यवस्थापन गरौं।

यस लेखमा, GDPR को बारेमा, जापानी व्यक्तिगत जानकारी संरक्षण कानूनसँगको तुलना र जापानी कम्पनीहरूले ध्यान दिनुपर्ने बुँदाहरू के हुन् भन्ने विषयमा व्याख्या गरिनेछ। “डेटा संरक्षण सम्बन्धी नियमहरू परिवर्तन गर्न आवश्यक छ कि छैन भनेर विचार गरिरहेका” वा “EU मा व्यवसाय विस्तार गर्नका लागि कुन कानूनहरूमा ध्यान दिनुपर्छ भनेर जान्न चाहने” कानूनी जिम्मेवारी भएका व्यक्तिहरूले यसलाई अवश्य सन्दर्भको रूपमा लिनुहोस्।

GDPR（EU सामान्य डेटा संरक्षण नियमावली）भन्ने के हो

GDPR（General Data Protection Regulation）भन्ने कुरा, जापानमा “सामान्य डेटा संरक्षण नियमावली” भनेर चिनिन्छ, जुन यूरोपियन यूनियन（EU）ले व्यक्तिगत डेटा व्यवस्थापन（व्यक्तिगत जानकारी संरक्षण）सम्बन्धी बनाएको नियम हो।

EU क्षेत्रभित्र व्यक्तिगत डेटा व्यवस्थापनमा कडा मापदण्ड राख्दै, व्यक्तिगत गोपनीयताको संरक्षणलाई सुदृढ पार्ने उद्देश्य राखेको छ।

व्यक्तिगत जानकारीको संरक्षणको दृष्टिकोणबाट, कम्पनीहरू र संगठनहरूले कसरी डेटा व्यवस्थापन गर्नुपर्छ, र व्यक्तिले आफ्नो जानकारीलाई कसरी सुरक्षित राख्न सक्छ भन्ने मापदण्ड प्रदान गर्दछ।

सन्दर्भ: व्यक्तिगत जानकारी संरक्षण समिति｜「सामान्य डेटा संरक्षण नियमावली（GDPR）अस्थायी जापानी अनुवाद[ja]」

GDPR का आधारभूत सिद्धान्तहरू निम्नानुसार छन्:

• वैधता・न्यायिकता・पारदर्शिता
• उद्देश्यको सीमांकन
• डेटाको न्यूनतमकरण
• सटीकता
• रेकर्ड राख्ने सीमितता
• सम्पूर्णता・गोपनीयता

प्रत्येक आधारभूत सिद्धान्तको बारेमा, तल व्याख्या गरिएको छ।

वैधता, निष्पक्षता, र पारदर्शिता

GDPR का आधारभूत सिद्धान्तहरूमा प्रमुख रूपमा उल्लेख गरिने तत्वहरू वैधता, निष्पक्षता, र पारदर्शिता हुन्।

व्यवसायहरूले व्यक्तिगत डेटा संकलन र प्रशोधन गर्दा, कानूनी रूपमा वैध आधार हुनु आवश्यक छ, र सम्बन्धित पक्षलाई यो प्रक्रिया कसरी गरिन्छ भन्ने कुरा स्पष्ट रूपमा बुझाउन आवश्यक छ।

साथै, व्यवसायहरूले गोपनीयतासँग सम्बन्धित जानकारी स्पष्ट रूपमा प्रदान गर्नुपर्छ, जसले गर्दा सम्बन्धित पक्षले डेटा कसरी हेरफेर गरिन्छ भन्ने कुरा बुझ्न र नियन्त्रण गर्न सकून्, र यसमा पारदर्शिता कायम राख्न विशेष ध्यान दिनुपर्छ।

प्रयोग उद्देश्यको सीमितता

प्रयोग उद्देश्यको सीमितता भन्नाले, डाटा सङ्कलन वा प्रशोधन विशेष र स्पष्ट उद्देश्यका लागि गरिनु पर्ने कुरा जनाउँछ।

व्यक्तिगत डाटा प्राप्त गर्ने जापानी व्यवसायले, उक्त उद्देश्यलाई सटीक र स्पष्ट रूपमा सम्बन्धित पक्षलाई देखाएर, स्पष्ट सहमति लिनु आवश्यक छ। साथै, व्यवसायले सङ्कलित डाटालाई सम्बन्धित पक्षबाट सहमति प्राप्त गरेको उद्देश्य बाहेक अन्य प्रयोजनमा प्रयोग नगर्ने र कडाइका साथ व्यवस्थापन गर्ने दायित्व राख्छ।

व्यक्तिगत डाटा न्यूनतमकरण

व्यक्तिगत डाटाको संकलन, उद्देश्य पूरा गर्न आवश्यक पर्ने दायरामा मात्र सीमित (न्यूनतम) गरिनु पर्छ। जापानमा, माग गरिएको उद्देश्यसँग मेल खाने दायरामा मात्र व्यक्तिगत डाटा संकलन गर्नुहोस् र अनावश्यक व्यक्तिगत जानकारी संकलन नगर्नुहोस्।

यसले गर्दा, राखिएको व्यक्तिगत डाटाको मात्रा न्यूनतम रहन्छ र व्यक्तिको गोपनीयता सुरक्षित रहन्छ।

सटीकता

GDPRको आधारभूत सिद्धान्तको रूपमा, व्यक्तिगत डेटा सटीक हुनुपर्छ। गलत व्यक्तिगत डेटा सच्याइनु पर्छ, र ताजा तथा सटीक जानकारी कायम राख्नका लागि उपायहरू अपनाइनु पर्छ।

यसले गर्दा, व्यक्तिको अधिकार र फाइदाहरू सुरक्षित रहन्छन्, र सटीक जानकारीको आधारमा व्यक्तिगत डेटा प्रशोधन गरिन्छ।

जापानमा रेकर्ड संरक्षणको सीमाहरू

GDPR का आधारभूत सिद्धान्तहरूमा रेकर्ड संरक्षणको सीमाहरूको अवधारणा समावेश छ। जब उद्देश्य पूरा हुन्छ र व्यक्तिगत डेटा अनावश्यक हुन्छ, त्यसलाई छिटो मेटाउनुपर्छ।

अनावश्यक व्यक्तिगत डेटा नजोगाएर, व्यक्तिगत डेटा को उचित व्यवस्थापन र गोपनीयताको सुरक्षा सुनिश्चित गरिन्छ।

पूर्णता र गोपनीयता

व्यक्तिगत डाटा पूर्ण हुनु पर्छ र यसको गोपनीयता सुरक्षित राखिनु पर्छ। व्यक्तिगत डाटालाई परिवर्तन वा क्षतिबाट जोगाउन र अनधिकृत पहुँचबाट बचाउनका लागि उपयुक्त उपायहरू अपनाइनु पर्छ।

यसले गर्दा व्यक्तिगत डाटाको विश्वासनीयता वृद्धि हुन्छ।

केवल EU भित्रका कम्पनीहरू मात्र होइन? GDPR को लागू क्षेत्र

GDPR केवल EU भित्रका कम्पनीहरूमा मात्र लागू हुँदैन। जापानका कम्पनीहरू पनि यसको लागू क्षेत्रभित्र पर्न सक्छन्। GDPR लागू हुने कम्पनीहरूको विषयमा तलका चार बुँदाहरूमा व्याख्या गरिएको छ।

GDPR लागू हुने कम्पनीहरूले डेटा कानूनी र पारदर्शी रूपमा प्रशोधन, सुरक्षा सुनिश्चितता, र GDPR का मापदण्डहरूमा पालना गर्नुपर्छ।

सम्बन्धित लेख: GDPR बाह्य लागू हुने अवस्थामा के गर्ने? समाधानको व्याख्या[ja]

GDPR अन्तर्गत जापानमा व्यक्तिगत डाटाको व्यवस्थापन

GDPR ले व्यक्तिगत डाटाको व्यवस्थापनका लागि गोपनीयता संरक्षण र डाटा प्रवाहको ढाँचा प्रदान गर्दछ।

GDPR ले व्यक्तिगत डाटाको नियन्त्रण र सम्मानलाई सुरक्षित राख्दै, डाटा प्रवाहलाई प्रवर्द्धन गर्छ र उचित व्यवस्थापनद्वारा विश्वसनीयता सुनिश्चित गर्छ।

यसका लागि, डाटा प्रशोधनको पारदर्शिता र कम्पनीहरूको जिम्मेवारी महत्त्वपूर्ण छ, र कम्पनीहरूले नियमको आधारमा डाटालाई उचित रूपमा व्यवस्थापन गर्नुपर्छ।

GDPR मा अन्य निम्नलिखित धारा पनि छन्।

यद्यपि, व्यक्तिको सहमति बिना पनि व्यक्तिगत डाटाको “व्यवस्थापन” मान्य हुने केही केसहरू छन्। विशेष उदाहरणहरू निम्नानुसार छन्:

• व्यक्ति अनुबन्धको पक्षकार भएको अनुबन्धको कार्यान्वयनका लागि आवश्यक भएको अवस्थामा
• व्यक्तिसँग अनुबन्ध गर्नुअघि, व्यक्तिको मागमा उपायहरू लिन आवश्यक भएको अवस्थामा
• प्रशासकले कानूनी दायित्व पालना गर्न आवश्यक भएको अवस्थामा
• व्यक्ति वा अन्य व्यक्तिको जीवनसँग सम्बन्धित हितको संरक्षणका लागि आवश्यक भएको अवस्थामा
• सार्वजनिक हितका लागि, वा सार्वजनिक कर्तव्यको कार्यान्वयनका लागि आवश्यक भएको अवस्थामा
• प्रशासक वा तेस्रो पक्षको वैध हितको उद्देश्यका लागि आवश्यक भएको अवस्थामा (व्यक्तिको अधिकार, हित, स्वतन्त्रताको तुलनात्मक मूल्याङ्कन आवश्यक)

GDPR अन्तर्गत जापानी कानूनमा व्यक्तिगत डाटासँग सम्बन्धित प्रमुख अधिकारहरू

GDPR अन्तर्गत, व्यक्तिगत डाटाका विषयहरूलाई मुख्यतया निम्न अधिकारहरू प्रदान गरिएका छन्।

• व्यक्तिगत डाटामा पहुँच गर्ने अधिकार
• व्यक्तिगत डाटाको संशोधन वा मेट्न माग गर्ने अधिकार
• व्यक्तिगत डाटाको प्रयोगमा सीमितता माग गर्ने अधिकार
• व्यक्तिगत डाटाको व्यवस्थापनमा आपत्ति जनाउने अधिकार

व्यक्तिगत डाटाका विषयहरूलाई आफ्नो जानकारी प्रदायकले कसरी प्रयोग गरिरहेको छ भन्ने बुझ्ने अधिकार छ। यदि जानकारी गलत वा अनुपयुक्त रूपमा प्रयोग भइरहेको महसुस भएमा, संशोधन वा मेट्न माग गर्न सकिन्छ, साथै प्रयोगको अस्थायी रोकथाम वा आपत्ति जनाउन सकिन्छ।

GDPR अन्तर्गत जापानी व्यक्तिगत डाटा सम्बन्धी मुख्य जिम्मेवारीहरू

व्यक्तिगत डाटा विषयलाई माथि उल्लिखित अधिकारहरू प्रदान गरिएका छन् भने, व्यक्तिगत डाटा संकलन र प्रशोधन गर्ने जापानी कम्पनीहरूले मुख्यतया तलका जिम्मेवारीहरू वहन गर्छन्।

• GDPR अनुसार व्यक्तिगत डाटा व्यवस्थापन प्रणाली र मानव संसाधनको व्यवस्था गर्ने जिम्मेवारी
• व्यक्तिगत डाटा व्यवस्थापन सम्बन्धी अभिलेख राख्ने जिम्मेवारी
• व्यक्तिगत डाटा उल्लङ्घन हुँदा प्रतिक्रिया दिने जिम्मेवारी

व्यक्तिगत डाटा उचित रूपमा सुरक्षित रहनका लागि, कम्पनीहरूले वहन गर्ने यी जिम्मेवारीहरू महत्त्वपूर्ण छन्।

साथै, व्यक्तिगत डाटासँग सम्बन्धित सबै डाटा प्रशोधन गतिविधिहरूको उचित अभिलेख राखिनु, आवश्यक परेमा समीक्षा गर्नका लागि अनिवार्य छ।

व्यक्तिगत डाटा उल्लङ्घन भएमा, कम्पनीहरूले उचित कदम चाल्न र सम्बन्धित पक्षहरूलाई सूचित गर्न जिम्मेवार हुन्छन्।

जापानमा GDPR उल्लङ्घन भएमा

यदि व्यवस्थापक वा प्रशोधनकर्ताले GDPR उल्लङ्घन गरेर डेटा विषयलाई क्षति पुर्‍याउँछन् भने, उनीहरूलाई क्षतिपूर्ति दाबी गरिने सम्भावना रहन्छ (GDPR धारा 82, उपधारा 1)।

थप रूपमा, GDPR को उल्लङ्घनले गम्भीर परिणामहरू निम्त्याउन सक्छ। उदाहरणका लागि, उल्लङ्घन कार्यहरूको लागि, GDPR को धारा 83 अन्तर्गत EU बाट जरिवाना लगाइने सम्भावना रहन्छ (GDPR धारा 83)।

GDPR र जापानी व्यक्तिगत जानकारी संरक्षण कानूनको भिन्नता

GDPR र जापानी व्यक्तिगत जानकारी संरक्षण कानूनको भिन्नता मुख्यतया निम्नानुसार छन्।

• संरक्षणको विषयवस्तु
• व्यक्तिगत डाटा उल्लङ्घन भएको बेला प्रतिक्रिया
• प्रतिनिधिको सेटिङ्गको बारेमा
• उल्लङ्घन भएमा सजाय

तल, विस्तृत रूपमा व्याख्या गरिन्छ।

संरक्षणको विषयवस्तु

GDPR र जापानी व्यक्तिगत जानकारी संरक्षण कानूनमा, संरक्षणको विषयवस्तु फरक हुन्छ। GDPR ले EU क्षेत्रभित्र प्रशोधन गरिने व्यक्तिगत डाटालाई व्यापक रूपमा संरक्षण गर्छ। EU क्षेत्रभित्र आधार भएका कम्पनीहरू मात्र नभई, EU क्षेत्रका व्यक्तिहरूलाई सामान वा सेवा प्रदान गर्ने कम्पनीहरू पनि यसमा समावेश छन्।

अर्कोतर्फ, व्यक्तिगत जानकारी संरक्षण कानूनको संरक्षणको विषयवस्तु देश वा क्षेत्र अनुसार फरक हुन्छ।

उदाहरणका लागि, जापानको व्यक्तिगत जानकारी संरक्षण कानूनले देशभित्र प्रशोधन गरिने व्यक्तिगत जानकारीलाई लक्षित गर्छ, र संरक्षणको विषयवस्तु मुख्यतया देशभित्र सीमित हुन्छ।

व्यक्तिगत डाटा उल्लङ्घन भएको बेला प्रतिक्रिया

GDPR र जापानी व्यक्तिगत जानकारी संरक्षण कानूनमा, व्यक्तिगत डाटा उल्लङ्घन भएको बेला प्रतिक्रियामा भिन्नता हुन्छ।

GDPR अन्तर्गत, डाटा उल्लङ्घन भएको अवस्थामा, कम्पनीहरूले 72 घण्टाभित्र निगरानी निकायलाई सूचित गर्नुपर्ने दायित्व हुन्छ। साथै, व्यक्तिगत डाटाको विषयलाई पनि छिटो र स्पष्ट रूपमा सूचित गर्नुपर्ने जिम्मेवारी हुन्छ।

जापानी व्यक्तिगत जानकारी संरक्षण कानूनमा पनि, डाटा उल्लङ्घन भएको बेला छिटो सूचित गर्नुपर्ने माग गरिन्छ, तर रिपोर्टिङको समयसीमा र सूचनाको सामग्री देश वा क्षेत्र अनुसार फरक हुन्छ।

प्रतिनिधिको सेटिङ्गको बारेमा

GDPR र जापानी व्यक्तिगत जानकारी संरक्षण कानूनमा, प्रतिनिधिको सेटिङ्ग सम्बन्धी नियमहरू फरक छन्।

GDPR अन्तर्गत, बालबालिकाको व्यक्तिगत डाटा प्रशोधन गर्दा, अभिभावक वा कानूनी प्रतिनिधिको सहमति आवश्यक हुन्छ। साथै, अनलाइन सेवा प्रदान गर्ने कम्पनीहरूले 16 वर्ष मुनिका बालबालिकाको व्यक्तिगत डाटा प्रशोधन गर्दा, अभिभावकको सहमति आवश्यक हुन्छ।

जापानी व्यक्तिगत जानकारी संरक्षण कानूनमा पनि, बालबालिकाको व्यक्तिगत जानकारीको प्रशोधनमा कानूनी प्रतिनिधिको सहमति आवश्यक हुन्छ, तर उमेरको सेटिङ्ग र सहमति प्राप्त गर्ने विधि कानून अनुसार फरक हुन्छ।

उल्लङ्घन भएमा सजाय

GDPR र जापानी व्यक्तिगत जानकारी संरक्षण कानूनको भिन्नता अन्तर्गत, उल्लङ्घन भएमा सजायको भिन्नता पनि उल्लेखनीय छ।

GDPR अन्तर्गत उल्लङ्घन कार्यमा, कम्पनीको वार्षिक बिक्रीको 4% वा 20 मिलियन युरो सम्मको जरिवाना लाग्न सक्छ।

जापानी व्यक्तिगत जानकारी संरक्षण कानूनको सजाय देश वा क्षेत्र अनुसार फरक हुन्छ, तर सामान्यतया जरिवाना वा कानूनी जिम्मेवारी लाग्ने विशेषता हुन्छ। जरिवानाको रकम उल्लङ्घनको सामग्री र गम्भीरतामा निर्भर गर्दछ।

GDPR अन्तर्गत जापानी कम्पनीहरूले ध्यान दिनुपर्ने बुँदाहरू

तलका शर्तहरूमा पर्ने जापानी कम्पनीहरूले GDPR अन्तर्गत उपायहरू अपनाउनु आवश्यक छ।

• EU क्षेत्रभित्र सहायक कम्पनी, शाखा, वा व्यापारिक कार्यालय भएका कम्पनीहरू
• जापानबाट EU क्षेत्रभित्र सामान वा सेवा प्रदान गरिरहेका कम्पनीहरू
• EU क्षेत्रभित्रका कम्पनीहरूबाट व्यक्तिगत डेटा प्रशोधनको लागि जिम्मेवारी लिएका कम्पनीहरू

कम्पनीहरूमा अपनाउन सकिने विशेष उपायहरूको उदाहरणको रूपमा, GDPR को धारा 32 र प्रस्तावना (83) मा डेटा सुरक्षा प्रविधिको रूपमा एन्क्रिप्शनको सिफारिस गरिएको छ।

त्यसैले, क्लाइन्ट PC, HDD, USB मेमोरी जस्ता रेकर्डिङ मिडिया, साझा फोल्डरहरूमा व्यक्तिगत डेटा एन्क्रिप्ट गर्न आवश्यक हुन्छ।

यसका अतिरिक्त, गोपनीयता नीति GDPR अनुरूप परिवर्तन गर्न आवश्यक छ। GDPR अनुरूपको गोपनीयता नीतिका बारेमा विस्तृत जानकारी निम्न लेखमा दिइएको छ।

सम्बन्धित लेख: GDPR अनुरूप गोपनीयता नीति तयार गर्दा ध्यान दिनुपर्ने बुँदाहरू[ja]

सारांश: GDPR को उपायहरूको लागि विशेषज्ञसँग परामर्श गर्नुहोस्

GDPR ले EU क्षेत्रभित्र प्रशोधन गरिने व्यक्तिगत डाटालाई व्यापक रूपमा सुरक्षा प्रदान गर्दछ र डाटाको वैध तथा पारदर्शी प्रशोधन, सुरक्षा सुनिश्चित गर्न माग गर्दछ। GDPR र जापानी व्यक्तिगत जानकारी संरक्षण कानुनको भिन्नतामा सुरक्षा लक्ष्य, व्यक्तिगत डाटा उल्लङ्घनको समयमा प्रतिक्रिया, प्रतिनिधिको नियुक्ति, उल्लङ्घनको समयमा दण्ड आदि समावेश छन्।

मुख्यतया EU क्षेत्रभित्र मुख्यालय भएका कम्पनीहरू, EU क्षेत्रभित्रका व्यक्तिहरूलाई सामान वा सेवा प्रदान गर्ने कम्पनीहरू, EU क्षेत्रभित्रका कम्पनीहरू आदि बाट व्यक्तिगत डाटा प्रशोधनको लागि जिम्मेवारी लिएका कम्पनीहरू GDPR को लागू हुने लक्ष्य हुन्। GDPR उल्लङ्घन गर्दा क्षतिपूर्ति दाबी वा दण्ड शुल्क लाग्न सक्ने सम्भावना हुन्छ, त्यसैले पर्याप्त ध्यान दिनुहोस्।

आफ्नो कम्पनीको डाटा सुरक्षा सम्बन्धी नियमहरूलाई GDPR अनुरूप परिवर्तन गर्न आवश्यक छ कि छैन भन्ने बारेमा विशेषज्ञसँग परामर्श गर्नु सिफारिस गरिन्छ।

हाम्रो कार्यालयद्वारा प्रदान गरिने उपायहरूको जानकारी

मोनोलिथ कानूनी फर्म एक यस्तो कानूनी फर्म हो जसले IT, विशेष गरी इन्टरनेट र कानूनी पक्षमा व्यापक अनुभव राख्दछ। हालका वर्षहरूमा, विश्वव्यापी व्यवसायहरू तीव्र रूपमा विस्तार भइरहेका छन्, र विशेषज्ञद्वारा कानूनी जाँचको आवश्यकता बढ्दो छ। हाम्रो कार्यालयले अन्तर्राष्ट्रिय कानूनी मामिलामा समाधानहरू प्रदान गर्दछ।

मोनोलिथ कानूनी फर्मको कार्यक्षेत्र: अन्तर्राष्ट्रिय कानूनी मामिला र विदेशी व्यवसाय[ja]