ડેટા શેરિંગ એ આધુનિક વાણિજ્યનો પાયો છે. ભલે તમે નવા ક્લાઉડ પ્રદાતા સાથે જોડાઈ રહ્યા હોવ, માર્કેટિંગ એજન્સી સાથે સહયોગ કરી રહ્યા હોવ, અથવા તૃતીય-પક્ષ HR સિસ્ટમનું સંકલન કરી રહ્યા હોવ, વ્યક્તિગત ડેટા સંસ્થાઓ વચ્ચે સતત વહેતો રહે છે. પરંતુ અહીં અસ્વસ્થતાભર્યું સત્ય છે: મોટાભાગના વ્યવસાયો જનરલ ડેટા પ્રોટેક્શન રેગ્યુલેશન (GDPR) હેઠળ ડેટા શેરિંગ જે કાનૂની માઇનફિલ્ડ રજૂ કરે છે તેને ઓછો અંદાજ આપે છે.

દાવ ખરેખર છે. દંડ €20 મિલિયન અથવા વૈશ્વિક વાર્ષિક ટર્નઓવરના 4% સુધી પહોંચી શકે છે - જે પણ વધારે હોય. નાણાકીય દંડ ઉપરાંત, તમે અસરગ્રસ્ત વ્યક્તિઓ તરફથી પ્રતિષ્ઠાને નુકસાન, નિયમનકારી ચકાસણી અને નાગરિક જવાબદારીના દાવાઓનું જોખમ લો છો. ડચ ડેટા પ્રોટેક્શન ઓથોરિટી (ઓટોરાઇટીટ પર્સૂનસેગેવેન્સ, અથવા એપી) એ સ્પષ્ટ કર્યું છે: અજ્ઞાનતા બચાવ નથી.

આ લેખ તમને વ્યક્તિગત ડેટા શેર કરતી વખતે ઉદ્ભવતા સાત મહત્વપૂર્ણ GDPR જોખમો વિશે જણાવે છે. દરેક જોખમ ચોક્કસ GDPR જોગવાઈઓ પર આધારિત છે, વાસ્તવિક પરિણામો સાથે દર્શાવવામાં આવ્યું છે, અને તમને પાલન કરવામાં મદદ કરવા માટે વ્યવહારુ માર્ગદર્શન સાથે જોડાયેલું છે. ભલે તમે વ્યવસાય માલિક હો, પાલન અધિકારી હો, અથવા નેધરલેન્ડ્સમાં કાર્યરત કાનૂની વ્યાવસાયિક હો, આ મુશ્કેલીઓને સમજવી જરૂરી છે.

૧. માન્ય કાનૂની આધાર વિના ડેટા શેર કરવો (કલમ ૬ GDPR)

જોખમ: તમે ફક્ત એટલા માટે વ્યક્તિગત ડેટા શેર કરી શકતા નથી કારણ કે તે અનુકૂળ અથવા ફાયદાકારક છે. ડેટા શેરિંગના દરેક ઉદાહરણ માટે કલમ 6 GDPR હેઠળ માન્ય કાનૂની આધાર જરૂરી છે.

કંપનીઓ કેમ ખોટી પડે છે: ઘણી સંસ્થાઓ માને છે કે ડેટા શેર કરવા માટે વ્યાપારી કારણ હોવું પૂરતું છે. એવું નથી. GDPR પ્રક્રિયા માટે છ કાયદેસર આધાર પૂરા પાડે છે: સંમતિ, કરારની આવશ્યકતા, કાનૂની જવાબદારી, મહત્વપૂર્ણ હિતો, જાહેર કાર્ય અને કાયદેસર હિતો. દરેકની ચોક્કસ જરૂરિયાતો અને મર્યાદાઓ હોય છે.

ઉદાહરણ તરીકે, ભાગીદારો અથવા સેવા પ્રદાતાઓ સાથે ડેટા શેરિંગને વાજબી ઠેરવવા માટે ઘણીવાર "કાયદેસર હિતો" નો ઉપયોગ કરવામાં આવે છે. પરંતુ આ આધાર માટે કાળજીપૂર્વક સંતુલન પરીક્ષણની જરૂર છે: તમારા હિતો તે વ્યક્તિઓના અધિકારો અને સ્વતંત્રતાઓને ઓવરરાઇડ ન કરવા જોઈએ જેમના ડેટા પર તમે પ્રક્રિયા કરી રહ્યા છો. અને તમારે આ મૂલ્યાંકનનું દસ્તાવેજીકરણ કરવું આવશ્યક છે.

કાનૂની આધાર: કલમ 6 GDPR કાયદેસર આધારોની સંપૂર્ણ યાદી દર્શાવે છે. કલમ 5(1)(a) GDPR આદેશ આપે છે કે બધી પ્રક્રિયા કાયદેસર, ન્યાયી અને પારદર્શક હોય.

વાસ્તવિક દુનિયાનું પરિણામ: AP એ એવી સંસ્થાઓને દંડ ફટકાર્યો છે જેમણે યોગ્ય કાનૂની આધાર વિના માર્કેટિંગ હેતુઓ માટે તૃતીય પક્ષો સાથે ગ્રાહક ડેટા શેર કર્યો હતો. જો ડેટા અનામી અથવા એકત્રિત કરવામાં આવ્યો હોય, તો પણ જો ફરીથી ઓળખ શક્ય હોય, તો તે વ્યક્તિગત ડેટા રહે છે અને તેને કાયદેસર આધારની જરૂર છે.

વ્યવહારુ ટેકઅવે: કોઈપણ વ્યક્તિગત ડેટા શેર કરતા પહેલા, કયો કાનૂની આધાર લાગુ પડે છે તે ઓળખો અને દસ્તાવેજ કરો. જો કાયદેસર હિતો પર આધાર રાખતા હોવ, તો કાયદેસર હિતો મૂલ્યાંકન (LIA) કરો અને રેકોર્ડ કરો. જો સંમતિનો ઉપયોગ કરી રહ્યા છો, તો ખાતરી કરો કે તે મુક્તપણે આપવામાં આવે છે, ચોક્કસ, જાણકાર અને સ્પષ્ટ છે.

2. ભૂમિકાઓ અંગે મૂંઝવણ: કંટ્રોલર વિરુદ્ધ પ્રોસેસર (લેખ 4(7)-(8) GDPR)

જોખમ: GDPR નિયંત્રકો (જેઓ પ્રક્રિયાના હેતુઓ અને માધ્યમો નક્કી કરે છે) અને પ્રોસેસર્સ (જેઓ નિયંત્રક વતી ડેટા પ્રક્રિયા કરે છે) વચ્ચે તફાવત કરે છે. તમારી ભૂમિકા - અથવા તમારા ભાગીદારની ભૂમિકા - ખોટી રીતે ઓળખવાથી ગંભીર પાલન અંતર સર્જાય છે.

કંપનીઓ કેમ ખોટી પડે છે: વ્યવહારમાં, ભૂમિકાઓ અસ્પષ્ટ હોઈ શકે છે. જો તમે SaaS પ્રદાતા સાથે ડેટા શેર કરો છો, તો શું તેઓ નિયંત્રક છે કે પ્રોસેસર? જો તેઓ તમારા ડેટાનો ઉપયોગ તેમના અલ્ગોરિધમ્સને સુધારવા માટે કરે તો શું? ઘણા વ્યવસાયો સંબંધનું યોગ્ય રીતે વિશ્લેષણ કર્યા વિના દરેક વિક્રેતાને "પ્રોસેસર" કહેવાનું ભૂલ કરે છે.

ખોટું વર્ગીકરણ મહત્વપૂર્ણ છે કારણ કે નિયંત્રકો અને પ્રોસેસર્સની જવાબદારીઓ અલગ અલગ હોય છે. નિયંત્રકોએ ખાતરી કરવી જોઈએ કે પ્રોસેસર્સ પાલનની પૂરતી ગેરંટી આપે છે (કલમ 28 GDPR). સંયુક્ત નિયંત્રકોએ તેમની સંબંધિત જવાબદારીઓ પર સંમત થવું જોઈએ (કલમ 26 GDPR). ભૂલ કરો, અને તમને એવા ભંગ માટે જવાબદાર ઠેરવવામાં આવી શકે છે જે તમને ખબર પણ ન હતી કે થઈ રહ્યા છે.

કાનૂની આધાર: કલમ 4(7) અને (8) GDPR "નિયંત્રક" અને "પ્રોસેસર" ને વ્યાખ્યાયિત કરે છે. કલમ 24 GDPR નિયંત્રકની જવાબદારીની જવાબદારીઓની રૂપરેખા આપે છે.

વાસ્તવિક દુનિયાનું પરિણામ: યુરોપિયન કોર્ટ ઓફ જસ્ટિસે ચુકાદો આપ્યો ફેશન આઈડી (C-40/17) મુજબ, હેતુઓના આંશિક નિર્ધારણથી પણ તમે સંયુક્ત નિયંત્રક બની શકો છો. આનો અર્થ એ છે કે GDPR ભંગ માટે તમને સંયુક્ત રીતે જવાબદાર ઠેરવી શકાય છે, ભલે તે અન્ય પક્ષ દ્વારા કરવામાં આવ્યા હોય.

વ્યવહારુ ટેકઅવે: ડેટા ફ્લોનું નકશા બનાવો અને કોણ નિર્ણય લે છે તે નક્કી કરો શા માટે અને કેવી રીતે ડેટા પર પ્રક્રિયા કરવામાં આવે છે. આ લેખિતમાં દસ્તાવેજ કરો અને ખાતરી કરો કે દરેક પક્ષ તેમની ભૂમિકા અને જવાબદારીઓ સમજે છે.

૩. ખૂટતો અથવા અપૂરતો ડેટા પ્રોસેસિંગ કરાર (કલમ ૨૮ GDPR)

જોખમ: જો તમે તમારા વતી વ્યક્તિગત ડેટા હેન્ડલ કરવા માટે પ્રોસેસરને રોકો છો, તો તમારે કાયદેસર રીતે લેખિત ડેટા પ્રોસેસિંગ કરાર (DPA) હોવો જરૂરી છે. કોઈ અપવાદ નથી.

કંપનીઓ કેમ ખોટી પડે છે: ખાસ કરીને વિશ્વસનીય અથવા લાંબા સમયથી ચાલતા ભાગીદારો સાથે, કાગળકામ છોડી દેવાનું આકર્ષણ થાય છે. પરંતુ સુસંગત DPA વિના, તમે પહેલા દિવસથી જ કલમ 28 GDPR નું ઉલ્લંઘન કરી રહ્યા છો - ભલે કોઈ વાસ્તવિક નુકસાન ન થાય.

યોગ્ય DPA માં ચોક્કસ ફરજિયાત કલમો શામેલ હોવા જોઈએ: વિષયવસ્તુ અને પ્રક્રિયાનો સમયગાળો, પ્રક્રિયાની પ્રકૃતિ અને હેતુ, વ્યક્તિગત ડેટાનો પ્રકાર, ડેટા વિષયોની શ્રેણીઓ અને નિયંત્રકની જવાબદારીઓ અને અધિકારો. તેમાં સબ-પ્રોસેસિંગ, ડેટા સુરક્ષા અને ભંગ સૂચનાને પણ સંબોધિત કરવી જોઈએ.

કાનૂની આધાર: કલમ 28(3) GDPR માં DPA ની ફરજિયાત સામગ્રીની યાદી આપવામાં આવી છે. કલમ 28(4) GDPR માં સબ-પ્રોસેસર્સ માટે સ્પષ્ટ અધિકૃતતાની જરૂર છે.

વાસ્તવિક દુનિયાનું પરિણામ: AP એ પૂરતા DPA વગર પ્રોસેસર્સને જોડવા બદલ સંસ્થાઓને મંજૂરી આપી છે. જો પ્રોસેસર પોતે પાલન કરે તો પણ, યોગ્ય કરાર કરવામાં નિષ્ફળ રહેવા બદલ નિયંત્રકને દંડ થઈ શકે છે.

વ્યવહારુ ટેકઅવે: કલમ 28(3) ની બધી આવશ્યકતાઓને આવરી લેતા પ્રમાણિત DPA ટેમ્પ્લેટનો ઉપયોગ કરો. હાલના કરારોની સમીક્ષા કરો જેથી ખાતરી કરી શકાય કે તે GDPR-અનુરૂપ છે. સહી કરેલ DPA વિના કોઈપણ નવા પ્રોસેસરને ઓનબોર્ડ કરશો નહીં.

4. EEA બહારના ત્રીજા દેશોમાં ગેરકાયદેસર ટ્રાન્સફર (લેખ 44–49 GDPR અને શ્રમ્સ II)

જોખમ: યુરોપિયન ઇકોનોમિક એરિયા (EEA) ની બહાર વ્યક્તિગત ડેટા ટ્રાન્સફર કરવા પર ભારે પ્રતિબંધ છે. તમે ફક્ત ત્યારે જ આમ કરી શકો છો જો ગંતવ્ય દેશ પર્યાપ્ત સ્તરનું રક્ષણ પૂરું પાડે - અથવા જો તમે યોગ્ય સલામતીના પગલાં અમલમાં મૂકશો.

કંપનીઓ કેમ ખોટી પડે છે: ઘણા વ્યવસાયો યુએસ અથવા એશિયામાં હોસ્ટ કરેલી ક્લાઉડ સેવાઓ, ચુકવણી પ્રોસેસર્સ અથવા એનાલિટિક્સ ટૂલ્સનો ઉપયોગ કરે છે, પરંતુ તેમને ખ્યાલ નથી હોતો કે તેઓ આંતરરાષ્ટ્રીય ટ્રાન્સફર નિયમોને ટ્રિગર કરી રહ્યા છે. જો તમારો કરાર EU એન્ટિટી સાથે હોય, તો પણ જો ડેટા EEA ની બહાર સંગ્રહિત અથવા ઍક્સેસ કરવામાં આવે છે, તો ટ્રાન્સફર નિયમો લાગુ પડે છે.

આ સ્ક્રમ્સ II ચુકાદા (કેસ C-311/18) એ EU-US ગોપનીયતા શીલ્ડને અમાન્ય ઠેરવ્યું અને મજબૂત બનાવ્યું કે ફક્ત માનક કરાર કલમો (SCCs) પૂરતી નથી. ગંતવ્ય દેશના કાયદા SCCs દ્વારા ગેરંટીકૃત રક્ષણને નબળી પાડે છે કે કેમ તેનું મૂલ્યાંકન કરવા માટે તમારે ટ્રાન્સફર ઇમ્પેક્ટ એસેસમેન્ટ (TIA) પણ કરાવવું આવશ્યક છે.

કાનૂની આધાર: કલમ 44-49 GDPR આંતરરાષ્ટ્રીય ટ્રાન્સફરનું સંચાલન કરે છે. પ્રકરણ V GDPR ને પર્યાપ્તતા નિર્ણયો (કલમ 45) અથવા યોગ્ય સલામતી (કલમ 46) ની જરૂર છે, જેમ કે SCC.

વાસ્તવિક દુનિયાનું પરિણામ: જો પૂરતા સુરક્ષા પગલાં ન હોય તો AP તમને ત્રીજા દેશોમાં ડેટા ટ્રાન્સફરને સ્થગિત અથવા પ્રતિબંધિત કરવાનો આદેશ આપી શકે છે. TIA પછી યુએસમાં ડેટા ટ્રાન્સફર કરવા બદલ કંપનીઓએ અમલીકરણ કાર્યવાહી અને પ્રતિષ્ઠાને નુકસાનનો સામનો કરવો પડ્યો છે.સ્ક્રમ્સ II.

વ્યવહારુ ટેકઅવે: તમારા ડેટા ફ્લોમાં બધા તૃતીય-દેશ ટ્રાન્સફર ઓળખો. પર્યાપ્તતા નિર્ણય અસ્તિત્વમાં છે કે નહીં તે તપાસો. જો ન હોય, તો SCC લાગુ કરો અને TIA કરો. જો જરૂરી હોય તો પૂરક પગલાં દસ્તાવેજ કરો (દા.ત., એન્ક્રિપ્શન, ઉપનામીકરણ).

5. ડેટા પ્રોટેક્શન ઇમ્પેક્ટ એસેસમેન્ટ કરવામાં નિષ્ફળતા (કલમ 35 GDPR)

જોખમ: જ્યારે ડેટા શેરિંગ વ્યક્તિઓના અધિકારો અને સ્વતંત્રતાઓ માટે ઉચ્ચ જોખમમાં પરિણમવાની શક્યતા હોય ત્યારે ડેટા પ્રોટેક્શન ઇમ્પેક્ટ એસેસમેન્ટ (DPIA) ફરજિયાત છે. આમાં ખાસ શ્રેણીના ડેટાની મોટા પાયે પ્રક્રિયા, વ્યવસ્થિત દેખરેખ અથવા નવી તકનીકોનો ઉપયોગ શામેલ છે.

કંપનીઓ કેમ ખોટી પડે છે: ઘણી સંસ્થાઓ DPIA ને વૈકલ્પિક અથવા ફક્ત "મોટા" પ્રોજેક્ટ્સ માટે સંબંધિત માને છે. વાસ્તવમાં, તૃતીય-પક્ષ એનાલિટિક્સ પ્લેટફોર્મ સાથે આરોગ્ય ડેટા શેર કરવા, AI-સંચાલિત પ્રોફાઇલિંગ ટૂલ્સનો ઉપયોગ કરવા, અથવા બહુવિધ સ્ત્રોતોમાંથી ડેટાસેટ્સને જોડવાથી DPIA ની જરૂરિયાત ઊભી થઈ શકે છે.

DPIA એ ફક્ત એક પ્રકારની તપાસ નથી. તે જોખમોને ઓળખવા, તેમની ગંભીરતાનું મૂલ્યાંકન કરવા અને તેમને ઘટાડવા માટેના પગલાં નક્કી કરવા માટે એક સંરચિત પ્રક્રિયા છે. જો શેષ જોખમો ઊંચા રહે છે, તો આગળ વધતા પહેલા તમારે AP ની સલાહ લેવી જોઈએ.

કાનૂની આધાર: કલમ 35 GDPR DPIA ને ઉચ્ચ-જોખમ પ્રક્રિયા માટે ફરજિયાત બનાવે છે. AP એ DPIA ક્યારે જરૂરી છે તે અંગે માર્ગદર્શિકા પ્રકાશિત કરી છે.

વાસ્તવિક દુનિયાનું પરિણામ: જરૂર પડ્યે DPIA કરવામાં નિષ્ફળતા એ GDPR ભંગ છે. AP એ DPIA પૂર્ણ કર્યા વિના ઉચ્ચ-જોખમવાળા ડેટા શેરિંગ સાથે આગળ વધવા બદલ સંસ્થાઓને દંડ ફટકાર્યો છે, જ્યારે કોઈ વાસ્તવિક ડેટા ભંગ થયો ન હતો.

વ્યવહારુ ટેકઅવે: DPIA ટ્રિગર્સ માટે બધી ડેટા-શેરિંગ પ્રવૃત્તિઓની તપાસ કરો. જ્યારે શંકા હોય, ત્યારે એક કરો. તમારા ડેટા પ્રોટેક્શન ઓફિસર (DPO) ને સામેલ કરો અને મૂલ્યાંકન પ્રક્રિયાનું સંપૂર્ણ દસ્તાવેજીકરણ કરો.

૬. ડેટા વિષયો માટે અપૂરતી માહિતી (લેખ ૧૩ અને ૧૪ GDPR)

જોખમ: પારદર્શિતા એ GDPR નો પાયો છે. જ્યારે પણ તમે વ્યક્તિગત ડેટા એકત્રિત કરો છો અથવા શેર કરો છો, ત્યારે તમારે ડેટા વિષયોને જાણ કરવી જોઈએ કે તેમનો ડેટા કોણ, કયા હેતુ માટે અને કયા કાનૂની આધાર પર પ્રાપ્ત કરશે.

કંપનીઓ કેમ ખોટી પડે છે: ગોપનીયતા સૂચનાઓ ઘણીવાર અસ્પષ્ટ અથવા જૂની હોય છે. "અમે તમારો ડેટા વિશ્વસનીય ભાગીદારો સાથે શેર કરી શકીએ છીએ" જેવા શબ્દસમૂહો તેમાં કાપ મૂકતા નથી. તમારે પ્રાપ્તકર્તાઓની શ્રેણીઓ (દા.ત., "ક્લાઉડ હોસ્ટિંગ પ્રદાતાઓ," "માર્કેટિંગ એજન્સીઓ") સ્પષ્ટ કરવી આવશ્યક છે અને, જ્યાં સંબંધિત હોય, ત્યાં તેમના નામ આપવા જોઈએ.

જ્યારે ડેટા પરોક્ષ રીતે મેળવવામાં આવે છે - ઉદાહરણ તરીકે, ડેટા બ્રોકર અથવા અન્ય નિયંત્રક પાસેથી - કલમ 14 GDPR ડેટાના સ્ત્રોત સહિત વધારાની માહિતી જવાબદારીઓ લાદે છે.

કાનૂની આધાર: કલમ ૧૩ અને ૧૪ GDPR એ માહિતીની યાદી આપે છે જે ડેટા વિષયોને પૂરી પાડવી આવશ્યક છે. કલમ ૫(૧)(a) GDPR બધી પ્રક્રિયા પ્રવૃત્તિઓમાં પારદર્શિતાની જરૂર છે.

વાસ્તવિક દુનિયાનું પરિણામ: AP એ કંપનીઓને વ્યક્તિઓને જાણ કરવામાં નિષ્ફળ રહેવા બદલ મંજૂરી આપી છે કે તેમનો ડેટા તૃતીય પક્ષો સાથે શેર કરવામાં આવી રહ્યો છે. ભલે શેરિંગ પોતે કાયદેસર હોય, અપૂરતી પારદર્શિતા એ એક સ્વતંત્ર ઉલ્લંઘન છે.

વ્યવહારુ ટેકઅવે: ડેટા-શેરિંગ પ્રથાઓનું સ્પષ્ટ વર્ણન કરવા માટે તમારી ગોપનીયતા સૂચનાઓની સમીક્ષા કરો અને અપડેટ કરો. ખાતરી કરો કે સૂચનાઓ સરળતાથી સુલભ અને સરળ ભાષામાં લખેલી હોય. નવા ભાગીદારો સાથે ડેટા શેર કરતી વખતે, શેરિંગ શરૂ થાય તે પહેલાં તમારી સૂચનાઓને અપડેટ કરો.

૭. સુરક્ષાની ખોટી ભાવના તરીકે ઉપનામકરણ

જોખમ: સુરક્ષા માપદંડ તરીકે, GDPR હેઠળ ઉપનામીકરણ - સીધા ઓળખકર્તાઓને કોડ અથવા ટોકન્સથી બદલવા - ને પ્રોત્સાહન આપવામાં આવે છે. પરંતુ તે ડેટાને અનામી બનાવતું નથી. જો ડેટા હજુ પણ વ્યક્તિ સાથે લિંક કરી શકાય છે, તો તે વ્યક્તિગત ડેટા રહે છે અને GDPR ના સંપૂર્ણ અવકાશને આધીન છે.

કંપનીઓ કેમ ખોટી પડે છે: વ્યવસાયો ઘણીવાર ધારે છે કે છુપનામિત ડેટા પ્રતિબંધો વિના શેર કરવા માટે "સુરક્ષિત" છે. વ્યવહારમાં, છુપનામિત ડેટા ફક્ત જોખમ ઘટાડે છે; તે તેને દૂર કરતું નથી. જો તમે છુપનામિત ડેટા એવા ભાગીદાર સાથે શેર કરો છો જેની પાસે કી અથવા અન્ય ડેટાસેટ્સનો ઍક્સેસ છે જે ફરીથી ઓળખને સક્ષમ કરે છે, તો તમે હજી પણ વ્યક્તિગત ડેટા પર પ્રક્રિયા કરી રહ્યા છો.

કાનૂની આધાર: કલમ 4(5) GDPR ઉપનામને વ્યાખ્યાયિત કરે છે. પાઠ 26 GDPR સ્પષ્ટ કરે છે કે ઉપનામિત ડેટા વ્યક્તિગત ડેટા રહે છે જ્યાં સુધી તે ખરેખર અનામી ન હોય (એટલે ​​કે, કોઈપણ વાજબી માધ્યમથી ફરીથી ઓળખ શક્ય નથી).

વાસ્તવિક દુનિયાનું પરિણામ: AP એ માર્ગદર્શિકામાં સ્પષ્ટતા કરી છે કે ઉપનામ એ "જેલમાંથી મુક્તિ મેળવો" કાર્ડ નથી. જો ફરીથી ઓળખ શક્ય હોય, તો તમામ GDPR જવાબદારીઓ લાગુ પડે છે, જેમાં કાનૂની આધાર હોવો, DPIAs હાથ ધરવા અને પૂરતી સુરક્ષા સુનિશ્ચિત કરવાનો સમાવેશ થાય છે.

વ્યવહારુ ટેકઅવે: છુપાયેલા ડેટાને વ્યક્તિગત ડેટા તરીકે ગણો, સિવાય કે તમે નિષ્ણાતો દ્વારા માન્ય કરાયેલી સખત અનામીકરણ પ્રક્રિયામાંથી પસાર થયા હોવ. ફરીથી ઓળખ અટકાવવા માટે અમલમાં મુકાયેલા ટેકનિકલ અને સંગઠનાત્મક પગલાંનું દસ્તાવેજીકરણ કરો.

વારંવાર પૂછાતા પ્રશ્નો

GDPR હેઠળ ડેટા શેરિંગ ક્યારે માન્ય છે?

ડેટા શેરિંગ ફક્ત ત્યારે જ કાયદેસર છે જો તમારી પાસે કલમ 6 GDPR હેઠળ માન્ય કાનૂની આધાર હોય. છ કાનૂની આધારો છે: સંમતિ, કરારની આવશ્યકતા, કાનૂની જવાબદારી, મહત્વપૂર્ણ હિતો, જાહેર કાર્ય અને કાયદેસર હિતો. તમારે કાયદેસરતા, ન્યાયીતા, પારદર્શિતા, હેતુ મર્યાદા, ડેટા ન્યૂનતમકરણ, ચોકસાઈ, સંગ્રહ મર્યાદા, અખંડિતતા અને ગુપ્તતાના સિદ્ધાંતોનું પણ પાલન કરવું આવશ્યક છે (કલમ 5 GDPR). વ્યવહારમાં, આનો અર્થ એ છે કે તમે ડેટા કેમ શેર કરી રહ્યા છો તેનું સ્પષ્ટપણે દસ્તાવેજીકરણ કરવું, ખાતરી કરવી કે હેતુ તમે મૂળ રૂપે તે શા માટે એકત્રિત કર્યો હતો તેની સાથે સુસંગત છે, અને ડેટા વિષયોને શેરિંગ વિશે જાણ કરવી.

કંટ્રોલર અને પ્રોસેસર વચ્ચે શું તફાવત છે?

A નિયંત્રક વ્યક્તિગત ડેટાની પ્રક્રિયા કરવાના હેતુઓ અને માધ્યમો નક્કી કરે છે. A પ્રોસેસર ચોક્કસ સૂચનાઓ હેઠળ નિયંત્રક વતી ડેટા પર પ્રક્રિયા કરે છે. આ તફાવત મહત્વપૂર્ણ છે કારણ કે નિયંત્રકો મુખ્યત્વે GDPR પાલન માટે જવાબદાર હોય છે, જ્યારે પ્રોસેસર્સની જવાબદારીઓ વધુ મર્યાદિત હોય છે (મુખ્યત્વે સુરક્ષા અને ગુપ્તતા સુનિશ્ચિત કરવી). જો તમે કોઈ સપ્લાયર સાથે ડેટા શેર કરી રહ્યા છો જે તમારી સૂચનાઓ પર તેને પ્રક્રિયા કરે છે - ઉદાહરણ તરીકે, પેરોલ પ્રદાતા અથવા ક્લાઉડ સ્ટોરેજ સેવા - તો તેઓ સામાન્ય રીતે પ્રોસેસર હોય છે. જો તેઓ પોતાના હેતુઓ માટે ડેટાનો ઉપયોગ કેવી રીતે કરવો તે પણ નક્કી કરે છે, તો તેઓ (સંયુક્ત) નિયંત્રક હોઈ શકે છે. ભૂમિકાઓની ખોટી ઓળખ કરવાથી જવાબદારીમાં અંતર અને ભંગ માટે સંયુક્ત જવાબદારી થઈ શકે છે.

ડેટા પ્રોસેસિંગ એગ્રીમેન્ટ (DPA) ક્યારે ફરજિયાત છે?

જ્યારે પણ તમે તમારા વતી વ્યક્તિગત ડેટાને હેન્ડલ કરવા માટે પ્રોસેસરને જોડો છો ત્યારે DPA ફરજિયાત છે (કલમ 28 GDPR). આ તમારી સંસ્થાના કદ અથવા તેમાં સામેલ ડેટાના જથ્થાને ધ્યાનમાં લીધા વિના લાગુ પડે છે. DPA લેખિતમાં હોવો જોઈએ અને તેમાં ચોક્કસ ફરજિયાત કલમો શામેલ હોવી જોઈએ, જેમ કે વિષય અને પ્રક્રિયાનો સમયગાળો, પ્રકૃતિ અને હેતુ, ડેટાના પ્રકારો અને ડેટા વિષયોની શ્રેણીઓ, અને સુરક્ષા, ભંગ સૂચના અને સબ-પ્રોસેસિંગ સંબંધિત બંને પક્ષોની જવાબદારીઓ. સુસંગત DPA વિના, પ્રોસેસર પ્રક્રિયા શરૂ કરે તે ક્ષણથી તમે ઉલ્લંઘનમાં છો, ભલે કોઈ નુકસાન ન થાય.

શું હું EU ની બહારના પક્ષ સાથે ગ્રાહક ડેટા શેર કરી શકું છું?

હા, પણ જો કડક શરતો પૂરી થાય તો જ. કલમ 44–49 GDPR હેઠળ, તમે ડેટા ત્રીજા દેશમાં ટ્રાન્સફર કરી શકો છો જો: (a) યુરોપિયન કમિશને તે દેશ માટે પર્યાપ્તતા નિર્ણય જારી કર્યો હોય, અથવા (b) તમે યોગ્ય સલામતીના પગલાં લીધા હોય, જેમ કે માનક કરાર કલમો (SCCs). નીચેના સ્ક્રમ્સ II નિર્ણય મુજબ, તમારે ટ્રાન્સફર ઇમ્પેક્ટ એસેસમેન્ટ (TIA) પણ કરાવવું પડશે જેથી મૂલ્યાંકન કરી શકાય કે શું ગંતવ્ય દેશના કાયદાઓ (દા.ત., સરકારી દેખરેખ) SCC દ્વારા ગેરંટીકૃત સુરક્ષાને નબળી પાડે છે. જો જોખમો રહે છે, તો તમારે પૂરક પગલાં અમલમાં મૂકવા જોઈએ, જેમ કે એન્ક્રિપ્શન અથવા ડેટા ન્યૂનતમકરણ. પર્યાપ્ત સુરક્ષા વગર ટ્રાન્સફર AP દ્વારા અમલીકરણ કાર્યવાહીમાં પરિણમી શકે છે, જેમાં ટ્રાન્સફરને સસ્પેન્ડ કરવાનો સમાવેશ થાય છે.

ડેટા શેરિંગ માટે DPIA ક્યારે જરૂરી છે?

કલમ 35 GDPR હેઠળ DPIA ફરજિયાત છે જ્યારે પ્રક્રિયા કરવાથી વ્યક્તિઓના અધિકારો અને સ્વતંત્રતાઓ માટે ઉચ્ચ જોખમ હોવાની શક્યતા હોય છે. આમાં શામેલ છે: ખાસ શ્રેણીના ડેટા (દા.ત., આરોગ્ય, બાયોમેટ્રિક, આનુવંશિક ડેટા) ની મોટા પાયે પ્રક્રિયા, જાહેરમાં સુલભ ક્ષેત્રોનું વ્યવસ્થિત દેખરેખ, કાનૂની અથવા સમાન રીતે નોંધપાત્ર અસરો સાથે સ્વચાલિત નિર્ણય લેવાનું અને નવી તકનીકોનો ઉપયોગ. ડેટા શેર કરતી વખતે, જો તમે ડેટાસેટ્સને સંયોજિત કરી રહ્યા હોવ, સંવેદનશીલ માહિતી શેર કરી રહ્યા હોવ, અથવા પ્રોફાઇલિંગ અથવા AI-સંચાલિત વિશ્લેષણ માટે ડેટાનો ઉપયોગ કરી રહ્યા હોવ તો DPIA ઘણીવાર જરૂરી બને છે. AP એ DPIA ની જરૂર હોય તેવી પ્રોસેસિંગ કામગીરીની સૂચિ પ્રકાશિત કરી છે. જો શંકા હોય, તો એક કરો - માફ કરવા કરતાં સલામત રહેવું વધુ સારું છે.

GDPR ના ભંગ બદલ કંપનીઓને કયા દંડનો સામનો કરવો પડી શકે છે?

GDPR બે સ્તરના દંડની જોગવાઈ કરે છે. નીચલું સ્તર - €10 મિલિયન સુધી અથવા વૈશ્વિક વાર્ષિક ટર્નઓવરના 2% સુધી - યોગ્ય સુરક્ષા પગલાં લાગુ કરવામાં નિષ્ફળ જવા અથવા જરૂર પડ્યે DPIA ન કરવા જેવા ઉલ્લંઘનો પર લાગુ પડે છે. ઉચ્ચ સ્તર - €20 મિલિયન સુધી અથવા વૈશ્વિક વાર્ષિક ટર્નઓવરના 4% સુધી - વધુ ગંભીર ઉલ્લંઘનો પર લાગુ પડે છે, જેમાં પ્રક્રિયા માટે કાયદેસર આધારનો અભાવ, ગેરકાયદેસર આંતરરાષ્ટ્રીય ટ્રાન્સફર અથવા ડેટા વિષયોના અધિકારોનું ઉલ્લંઘન શામેલ છે. AP દંડની રકમ ઉલ્લંઘનની પ્રકૃતિ અને ગંભીરતા, તે ઇરાદાપૂર્વક હતું કે બેદરકારી, અસરગ્રસ્ત વ્યક્તિઓની સંખ્યા અને લેવામાં આવેલા કોઈપણ ઘટાડાના પગલાં સહિતના પરિબળોના આધારે નક્કી કરે છે. તાજેતરના અમલીકરણ દર્શાવે છે કે AP નોંધપાત્ર દંડ લાદવા તૈયાર છે, ખાસ કરીને પ્રણાલીગત અથવા ઇરાદાપૂર્વકના ઉલ્લંઘનો માટે.

શું છુપાયેલા ડેટા હંમેશા શેર કરવા માટે સલામત છે?

ના. ઉપનામકરણ જોખમ ઘટાડે છે પણ તેને દૂર કરતું નથી. કલમ 4(5) GDPR હેઠળ, ઉપનામકરણનો અર્થ એ છે કે સીધા ઓળખકર્તાઓ (જેમ કે નામો) ને કોડ અથવા ઉપનામ સાથે બદલવા. જો કે, જો ડેટા હજુ પણ કોઈ વ્યક્તિ સાથે લિંક કરી શકાય છે - ઉદાહરણ તરીકે, તમારી અથવા પ્રાપ્તકર્તા દ્વારા રાખવામાં આવેલી વધારાની માહિતીનો ઉપયોગ કરીને - તો તે વ્યક્તિગત ડેટા રહે છે અને GDPR ને સંપૂર્ણપણે આધીન છે. આનો અર્થ એ છે કે તમારે હજુ પણ કાનૂની આધારની જરૂર છે, ડેટા વિષયોને જાણ કરવી જોઈએ અને પર્યાપ્ત સુરક્ષા સુનિશ્ચિત કરવી જોઈએ. ફક્ત સાચું અનામીકરણ - જ્યાં કોઈપણ વાજબી માધ્યમથી ફરીથી ઓળખ શક્ય નથી - GDPR ના કાર્યક્ષેત્રમાંથી ડેટા દૂર કરે છે. વ્યવહારમાં, વાસ્તવિક અનામીકરણ પ્રાપ્ત કરવું મુશ્કેલ છે અને નિષ્ણાત માન્યતાની જરૂર છે.

જો મારા વ્યવસાયમાં ગેરકાયદેસર ડેટા શેરિંગને કારણે ડેટા ભંગ થાય તો મારે શું કરવું જોઈએ?

જો તમને કોઈ વ્યક્તિગત ડેટા ભંગ - જેમાં ગેરકાયદેસર ડેટા શેરિંગને કારણે થયેલો ભંગ પણ શામેલ છે - તો તમારી પાસે 72 કલાક કલમ 33 GDPR હેઠળ AP ને સૂચિત કરવા (જ્યાં સુધી ભંગથી વ્યક્તિઓના અધિકારો અને સ્વતંત્રતાઓ માટે જોખમ ન હોય). જો ભંગથી તેમના માટે ઉચ્ચ જોખમ હોવાની શક્યતા હોય તો તમારે અસરગ્રસ્ત વ્યક્તિઓને પણ અનુચિત વિલંબ કર્યા વિના સૂચિત કરવા જોઈએ (કલમ 34 GDPR). તાત્કાલિક પગલાંમાં શામેલ છે: ભંગને રોકવો, તેના અવકાશ અને અસરનું મૂલ્યાંકન કરવું, શું થયું અને તમે તેના વિશે શું કરી રહ્યા છો તેનું દસ્તાવેજીકરણ કરવું અને AP ને તેમના ઓનલાઈન પોર્ટલ દ્વારા સૂચિત કરવું. સૂચિત કરવામાં નિષ્ફળતા અલગ દંડમાં પરિણમી શકે છે. AP મૂલ્યાંકન કરશે કે ઉલ્લંઘનની ગંભીરતા અને તમારા પ્રતિભાવના આધારે અમલીકરણ કાર્યવાહી જરૂરી છે કે નહીં.

તમારા વ્યવસાયને સુરક્ષિત કરો - નિષ્ણાત કાનૂની માર્ગદર્શન મેળવો

ડેટા શેરિંગ અનિવાર્ય છે, પરંતુ GDPR ભંગ હોવા જરૂરી નથી. ઉપર દર્શાવેલ સાત જોખમો સૈદ્ધાંતિક નથી - તે વાસ્તવિક અમલીકરણ કેસો, કોર્ટના ચુકાદાઓ અને નિયમનકારી માર્ગદર્શનમાંથી લેવામાં આવ્યા છે. તેમાંથી દરેક દંડ, જવાબદારીના દાવા અને પ્રતિષ્ઠાને નુકસાન પહોંચાડી શકે છે.

સારા સમાચાર? યોગ્ય કાનૂની માળખા, સ્પષ્ટ દસ્તાવેજીકરણ અને સક્રિય પાલન પગલાં સાથે, તમે વિશ્વાસપૂર્વક અને કાયદેસર રીતે ડેટા શેર કરી શકો છો. પરંતુ તેને યોગ્ય રીતે મેળવવા માટે સામાન્ય સલાહ કરતાં વધુની જરૂર છે - તેને તમારા વ્યવસાય, તમારા ડેટા પ્રવાહ અને તમે જે ચોક્કસ જોખમોનો સામનો કરો છો તે સમજે તેવા કાનૂની સમર્થનની જરૂર છે.

AP આવે તેની રાહ ન જુઓ. જો તમને ખાતરી ન હોય કે તમારી ડેટા-શેરિંગ પ્રથાઓ GDPR-અનુરૂપ છે કે નહીં, અથવા જો તમને DPA તૈયાર કરવામાં, DPIA હાથ ધરવા અથવા આંતરરાષ્ટ્રીય ટ્રાન્સફરનું સંચાલન કરવામાં મદદની જરૂર હોય, તો નિષ્ણાત ગોપનીયતા વકીલનો સંપર્ક કરો. તમારો વ્યવસાય - અને તમારા ગ્રાહકો - કંઈ ઓછા લાયક નથી.