Connect with us
https://southlive.in/wp-content/uploads/2018/08/728-x-90-pix.jpg

SPOTLIGHT

ജിഡിപിആര്‍: സ്വകാര്യതാ സംരക്ഷണ നിയമങ്ങളും നിയന്ത്രണങ്ങളും

, 12:22 pm

എം എ റിയാദ്

അടുത്ത കാലത്തായി കേട്ടിട്ടുള്ള ഏറ്റവും പരിചിതമായ വാക്കായിരിക്കും ജിഡിപിആര്‍ (GDPR -General Data Protection Regulation). വ്യക്തികളുടെ സ്വകാര്യവിവരങ്ങള്‍ ശേഖരിക്കുന്നതിനും പ്രോസസ് ചെയ്യുന്നതിലും നിയന്ത്രണം ഏര്‍പ്പെടുത്തിക്കൊണ്ട് യൂറോപ്യന്‍ യൂണിയന്‍ കൊണ്ടുവന്ന ഒരു കൂട്ടം നിയമങ്ങളാണു ജെനറല്‍ ഡാറ്റ പ്രൊട്ടക്ഷന്‍ റെഗുലേഷന്‍ എന്നറിയപ്പെടുന്നത്. മേയ് 25 മുതല്‍ ഈ നിയമം പ്രാബല്യത്തില്‍ വന്നിട്ടുണ്ട്.

2012 ജനുവരി മാസമാണു യൂറോപ്യന്‍ കമ്മീഷന്‍ ഡിജിറ്റല്‍ ഏജിലേക്ക് യൂറോപ്യന്‍ യൂണിയനെ സജ്ജമാക്കുന്നതിനു വേണ്ടി നിയമ നിര്‍മ്മാണം നടത്താന്‍ തീരുമാനിക്കുന്നത്. നാലു വര്‍ഷത്തിനു ശേഷം യൂറോപ്യന്‍ യൂണിയനിലെ രാജ്യങ്ങള്‍ എന്തെല്ലാമായിരിക്കണം ഈ നിയമങ്ങള്‍ എന്നും ഇതെങ്ങനെ നടപ്പിലാക്കും എന്നും ഒരു തീരുമാനത്തിലെത്തുകയുണ്ടായി .

യൂറോപ്യന്‍ യൂണിയനിലെ അംഗരാജ്യങ്ങളിലെ ( അതിനപ്പുറത്തേക്കും) പൗരന്മാര്‍ക്ക് അവരുടെ വ്യക്തിഗത വിവരങ്ങളുടെ മുകളില്‍ നിയന്ത്രണം നല്‍കുക എന്നതിലാണു ജിഡിപിആര്‍ മുഖ്യമായും ലക്ഷ്യം വെക്കുന്നത് . ഡിജിറ്റല്‍ ഏജില്‍ ഒരു തരത്തിലല്ലങ്കില്‍ മറ്റൊരു തരത്തില്‍ വ്യക്തികളുടെ വിവരങ്ങള്‍ കളക്റ്റ് ചെയ്യപ്പെടുകയും അവ ഓര്‍ഗനൈസേഷനുകള്‍ നിരവധി ആവശ്യങ്ങള്‍ക്കായി സുക്ഷിച്ച് വെക്കുകയും ചെയ്യുന്നു. ഇതിനു ഒരു പരിധി വരെ തടയിടുകയും അത് ദുരുപയോഗം ചെയ്യപ്പെടുന്നില്ല എന്നുറപ്പ് വരുത്തുകയുമാണു ജിഡിപിആര്‍ കൊണ്ട് പ്രധാനമായും ലക്ഷ്യമിടുന്നത്.

അതുകൊണ്ട് തന്നെ യൂറോപ്യന്‍ യൂണിയനിലുള്ളില്‍ ഓപ്പറേറ്റ് ചെയ്യുന്ന എല്ലാ കമ്പനികളും ജിഡിപിആര്‍ നിയമങ്ങള്‍ക്കുള്ളില്‍ നിന്ന് പ്രവര്‍ത്തിക്കേണ്ടതാണു. യൂറോപ്യന്‍ യൂണിയനു പുറത്ത് നിന്ന് ഓപ്പറേറ്റ് ചെയ്യുന്ന കമ്പനികളായാലും അവ യൂറൊപ്യന്‍ യൂണിയനിലെ പൌരന്മാരുമായി എന്തെങ്കിലും തരത്തിലുള്ള ഇടപാടുകള്‍ നടക്കുന്നുണ്ടങ്കില്‍ അത് ജിഡിപിആറിനു അനുസൃതമായി വേണം പ്രവര്‍ത്തിക്കേണ്ടത്.

ജിഡിപിആര്‍ ടേംസ് പ്രകാരം വ്യക്തിഗത വിവരങ്ങള്‍ കളക്റ്റ് ചെയ്യുന്ന ഓര്‍ഗനൈസേഷനുകള്‍/ കമ്പനികള്‍/ ബാങ്കിംഗ് ഇന്‍സ്റ്റിറ്റിയുഷനുകള്‍/ സര്‍വീസ് പ്രൊവൈഡര്‍മാര്‍ / മറ്റു ഏതെങ്കിലും തരത്തില്‍ പ്രവര്‍ത്തിക്കുന്നവര്‍ ഇവരെല്ലാം തന്നെ ഈ വ്യക്തിഗത വിവരങ്ങള്‍ കളക്റ്റ് ചെയ്യുന്നത് നിയമാനുസൃതമായ രീതിയില്‍ കര്‍ശനമായ നിയന്ത്രണങ്ങളോടെയായിരിക്കണം. എന്ന് മാത്രമല്ല ഈ വിവരങ്ങള്‍ കളക്റ്റ് ചെയ്യുന്നവര്‍ ഇതെല്ലാം സുരക്ഷിതമായ രീതിയില്‍ സൂക്ഷിച്ച് വെക്കേണ്ടതും അവ ചോര്‍ത്തപ്പെടുന്നില്ല എന്ന് ഉറപ്പ് വരുത്തേണ്ടതുമാണ്.

ഏറ്റവും പ്രധാനമായി ഈ വിവരങ്ങളുടെ മേല്‍ വ്യക്തികള്‍ക്കുള്ള അവകാശത്തെ അംഗീകരിച്ച് കൊടുക്കേണ്ടതുമാണ്. ഇത് ലംഘിക്കപ്പെട്ടാല്‍ കനത്ത പിഴയും യുറോപ്യന്‍ യൂണിയനില്‍ പ്രവര്‍ത്തിക്കാനുള്ള ലൈസന്‍സും റദ്ദാക്കപ്പെടാം. ആറു വര്‍ഷമാണു പരമാവധി ഒരു വ്യക്തിയുടെ വിവരങ്ങള്‍ കമ്പനികള്‍ക്ക് സൂക്ഷിച്ച് വെക്കാന്‍ സാധിക്കുക, അതിനു ശേഷം ഈ വിവരങ്ങള്‍ തിരിച്ചെടുക്കാനാവാത്ത വിധം ഡിസ്‌കാര്‍ഡ് ചെയ്യേണ്ടതാണു എന്നും ജിഡിപിആര്‍ നിയമം അനുശാസിക്കുന്നു.

രണ്ട് തരത്തിലാണു ജിഡിപിആര്‍ വ്യക്തിഗത വിവരങ്ങളെ കൈകാര്യം ചെയ്യുന്നവരെ ഡിഫൈന്‍ ചെയ്തിരിക്കുന്നത്. വ്യക്തിഗത വിവരങ്ങളെ നിയന്ത്രിക്കുന്നവരും ( Controllers), അതിനെ വിശകലനം ചെയ്യുന്നവരും ( Procesosrs).അത് ഓര്‍ഗനൈസേഷനുകളാവാം, ഗവണ്മെന്റ് ഏജന്‍സികളാവാം, മറ്റേതെങ്കിലും തരത്തില്‍ ഈ വിവരങ്ങളെ കണ്ട്രോള്‍ ചെയ്യുന്നവരൊ പ്രോസസ് ചെയ്യുന്നവരൊ ആവാം. ഏത് വിഭാഗത്തില്‍ പെടുന്നവരായാലും വ്യക്തിഗത വിവരങ്ങള്‍ വ്യക്തികളുടെ സമ്മതമില്ലാതെ ശേഖരിക്കുകയൊ പ്രോസസ് ചെയ്യുകയൊ ചെയ്താല്‍ നിയമപരമായ നടപടികള്‍ നേരിടേണ്ടി വരും.

 

കൂടാതെ ശേഖരിക്കപ്പെട്ട വിവരങ്ങള്‍ എതെങ്കിലും കാരണവശാല്‍ പുറത്ത് പോവുകയുണ്ടായാല്‍ അതിന്റെ ഉത്തരവാദിത്വം കണ്ട്രോളേഴ്‌സിനായിരിക്കും. എന്നാല്‍ ഈ വിവരങ്ങള്‍ എന്തെങ്കിലും തരത്തില്‍ പ്രോസസ് ചെയ്യപ്പെട്ടാല്‍ ജിഡിപിആര്‍ നിയമപ്രകാരം കൂടുതല്‍ ഉത്തരവാദിത്വം ഇത് പ്രോസസ് ചെയ്യുന്നവര്‍ക്കായിരിക്കും. അവരായിരിക്കും നിയമനടപടികള്‍ കൂടുതലായി നേരിടേണ്ടി വരിക

വ്യക്തികളെ തിരിച്ചറിയാനുപയോഗിക്കുന്ന പേരുകള്‍, വിലാസങ്ങള്‍, ചിത്രങ്ങള്‍ ഇതെല്ലാം പെഴ്‌സണല്‍ വിവരങ്ങളായി ജിഡിപിആര്‍ ഡിഫൈന്‍ ചെയ്തിരിക്കുന്നു. എന്നാല്‍ ഇതിനുമപ്പുറത്തേക്ക് മാറി വ്യക്തികള്‍ ഉപയോഗിക്കുന്ന ഇന്റര്‍നെറ്റ് കണക്ഷനുകളുടെ ഐപി അഡ്രസടക്കം , ജനിതക വിവരങ്ങള്‍, ബയോ മെട്രിക് വിവരങ്ങള്‍ തുടങ്ങി വ്യക്തികളെ ഏതെങ്കിലും വിധത്തില്‍ തിരിച്ചറിയാനുപയോഗിക്കുന്ന എന്ത് വിവരങ്ങളെയും ജിഡിപിആര്‍ പെഴ്‌സണല്‍ ഡാറ്റയായി ഡിഫൈന്‍ ചെയ്തിട്ടുണ്ട്. പെഴ്‌സണലി ഐഡന്റിഫയബിള്‍ ഇന്‍ഫര്‍മേഷനെ (PII) ഒന്ന് കൂടി വ്യക്തമായി ജിഡിപിആര്‍ വിഭാവനം ചെയ്തിട്ടുണ്ട്.

കഴിഞ്ഞ ദിവസം മുതല്‍ ജിഡിപിആര്‍ നിയമങ്ങള്‍ യൂറോപ്യന്‍ യൂണിയനിലെമ്പാടും പ്രാബല്യത്തിലായിട്ടുണ്ട്. അംഗരാജ്യങ്ങള്‍ അവരവരുടെ പാര്‍ലമെന്റില്‍ ഇത് നിയമമായി അംഗികരിക്കേണ്ടത് മേയ് ആറിനായിരുന്നു.

ജിഡിപിആര്‍ നിയമപ്രകാരം ഒരു വ്യക്തിക്ക് ഏതെങ്കിലും തരത്തില്‍ അവരുടെ വിവരങ്ങള്‍ ശേഖരിക്കപ്പെട്ടിരിക്കുന്ന ഇടങ്ങളില്‍ നിന്ന് പുറത്ത് ലഭ്യമായിട്ടുണ്ടങ്കില്‍ ( ഉദാഹരണത്തിനു ഡാറ്റാ ബ്രീച്ച്/ ഹാക്കിംഗ് മുതലായവ) എന്ന് , എങ്ങനെ, എപ്പോള്‍ എന്ത് വിവരങ്ങള്‍ പുറത്തായി എന്ന് നിയമപരമായി തന്നെ ചോദ്യം ചെയ്യാന്‍ അനുവദിക്കുന്നു, അത് മൂലമുണ്ടായ കഷ്ടനഷ്ടങ്ങള്‍ക്ക് കമ്പനികളില്‍ നിന്ന് നഷ്ടപരിഹാരം തേടാനും പൌരനെ ജിഡിപിആര്‍ അനുവദിക്കുന്നുണ്ട്. കൂടാതെ കളക്റ്റ് ചെയ്യുന്ന വിവരങ്ങള്‍ ഏതൊക്കെ തരത്തിലാണു പ്രോസസ് ചെയ്യുന്നത് എന്ന് അറിയാനുള്ള അവകാശവും വകവെച്ച് കൊടുക്കുന്നു, കമ്പനികള്‍ വളരെ കൃത്യമായി ലളിതമായ ഭാഷയില്‍ എങ്ങനെയാണു വിവരങ്ങള്‍ പ്രോസസ് ചെയ്യുന്നത് എന്നതും അറിയിക്കേണ്ടതാണ്..

” Right to Forgot’ ഓപ്ഷനാണു ജിഡിപിആര്‍ നല്‍കിയിരിക്കുന്ന മറ്റൊരു സൌകര്യം. ഈ ഓപ്ഷന്‍ മുഖേന ഉപഭോക്താക്കള്‍ക്ക് അവരുടെ വിവരങ്ങള്‍ എന്നന്നേക്കുമായി സര്‍വീസ് പ്രൊവൈഡര്‍മാരുടെ സെര്‍വറുകളില്‍ നിന്ന് നീക്കം ചെയ്യാന്‍ ആവശ്യപ്പെടാവുന്നതാണ്, എന്നാണൊ റിക്വസ്റ്റ് ചെയ്തത് അതിനു ശേഷം ഇവരുടെ വിവരങ്ങള്‍ യാതൊരു കാരണവശാലും സെര്‍വറുകളിലോ ബാക്കപ്പ് സെന്ററുകളിലോ പ്രോസസര്‍മാരുടെ കൈവശമൊ ഉണ്ടായിരിക്കാന്‍ പാടുള്ളതല്ല എന്ന് ജിഡിപിആര്‍ പറയുന്നു.

GDPR_-Southlive

ജിഡിപിആര്‍ പ്രാബല്യത്തിലായതിനു ശേഷം യൂറോപ്യന്‍ യൂണിയന്റെ പരിധിക്കുള്ളില്‍ പ്രവര്‍ത്തിക്കുന്ന ഓര്‍ഗനൈസേഷനുകള്‍ അവരുടെ പ്രൈവസി പോളിസികള്‍ അപ്‌ഡേറ്റ് ചെയ്യുകയും യൂസേഴ്‌സിനെ അറിയിക്കുകയും ചെയ്യുന്നുണ്ട്, എന്നാല്‍ ഇതിനെ മുതലെടുത്ത് ഫിഷിംഗ് സന്ദേശങ്ങളും ഇതിന്റെ കൂട്ടത്തില്‍ പരക്കെ അയക്കപ്പെടുന്നുണ്ട്. ഉപയോക്താക്കള്‍ക്ക് ജിഡിപിആര്‍ സംബന്ധമായ ഫിഷിംഗ് സന്ദേശങ്ങള്‍ അയക്കുകയും ഇത്തരം സന്ദേശങ്ങളില്‍ നല്‍കിയിരിക്കുന്ന ലിങ്കുകളില്‍ ക്ലിക്ക് ചെയ്ത് അവരുടെ യൂസര്‍ നെയിമുകള്‍ / പാസ് വേഡുകള്‍ മുതലാവയ അപ്‌ഡേറ്റ് ചെയ്യാനും ആവശ്യപ്പെടുന്നു. എന്നാല്‍ ജിഡിപിആറുമായി ബന്ധപ്പെട്ട് കമ്പനികള്‍ പാസ് വേഡുകളൊ ഒന്നും തന്നെ ആവശ്യപ്പെടുന്നില്ല എന്ന് പ്രത്യേകം ശ്രദ്ധിക്കേണ്ടത്.

മറ്റൊരു സംഗതി ജിഡിപിആര്‍ നിലവില്‍ വന്നതിനു ശേഷം, സര്‍വീസ് പ്രൊവൈഡര്‍മാര്‍ ഇതിനെ മറികടക്കുന്നതിനായി ഉപയോക്താക്കളൊട് നിര്‍ബന്ധപൂര്‍വ്വം അവരുടെ ടേംസ് ഓഫ് കണ്ടീഷന്‍ അക്‌സപ്റ്റ് ചെയ്യുവാനായി ഫോഴ്‌സ് ചെയ്യുന്നതായി പരാതികള്‍ ലഭിച്ച് തുടങ്ങിയിട്ടുണ്ട്. കമ്പനികളുടെ ടേംസ് ഓഫ് കണ്ടിഷനുകള്‍ അക്‌സപ്റ്റ് ചെയ്യാതിരിക്കുന്നവര്‍ക്ക് സേവനങ്ങള്‍ നിഷേധിക്കുകയും ഇങ്ങനെ നിഷേധിക്കപ്പെട്ടാല്‍ അത് ജിഡിപിആറിന്റെ വയലേഷനായി കണക്ക് കൂട്ടൂകയും ചെയ്യും.

അത് കൊണ്ട് ഏതെങ്കിലും സര്‍വീസ് പ്രൊവൈഡര്‍മാര്‍ ഈ വിവരങ്ങള്‍ നിര്‍ബന്ധപൂര്‍വ്വം നല്‍കാന്‍ ആവശ്യപ്പെടുകയാണെങ്കില്‍ ഉപഭോക്താക്കള്‍ക്ക് യൂറോപ്യന്‍ കമ്മീഷനു പരാതി നല്‍കാവുന്നതാണു . നിയമം നിലവില്‍ രണ്ട് ദിവസത്തിനുള്ളില്‍ തന്നെ ഗൂഗിളും, ഫേസ്ബുക്ക് അടക്കമുള്ളവരും അവരുടേ ടേംസ് ഓഫ് കണ്ടീഷന്‍ അംഗീകരിക്കുന്നതിനായി ഉപയോക്താക്കളെ നിര്‍ബന്ധിക്കുന്നതായി പരാതി യൂറോപ്യന്‍ കമ്മിഷനു ലഭിച്ചതായി ബി ബി സി റിപ്പോര്‍ട്ട് ചെയ്യുന്നുണ്ട്.

എന്താണു PII

ഒരു വ്യക്തിയെ തിരിച്ചറിയാനുപയോഗിക്കുന്ന വിവരങ്ങളുടെ കൂട്ടത്തെയാണു സാധാരണ PII എന്ന് പറയുന്നത്. PII രണ്ട് തരത്തില്‍ ഡിഫൈന്‍ ചെയ്തിട്ടുണ്ട്, സെന്‍സിറ്റിവ് ഇന്‍ഫര്‍മേഷനും നോണ്‍ സെന്‍സിറ്റീവ് ഇന്‍ഫര്‍മേഷനും. എന്‍ക്രിപ്റ്റഡ് അല്ലാത്ത ഒരു സോഴ്‌സില്‍ നിന്നും ഒരു വ്യക്തിയെ തിരിച്ചറിയാനുപയോഗിക്കുന്ന വിവരങ്ങളെ നോണ്‍ സെന്‍സിറ്റീവ് ഇന്‍ഫര്‍മേഷനെന്ന് വിളിക്കാം. ഫേസ്ബുക്കില്‍ നിന്ന് (പബ്ലിക്കായി) ലഭിക്കുന്ന വിവരങ്ങള്‍ നോണ്‍ സെന്‍സിറ്റീവ് ജകക ക്ക് ഉദാഹരണമാണു. ഫോണ്‍ ഡയറക്റ്ററികള്‍, വെബ്‌സൈറ്റുകള്‍ ഇതെല്ലാം നോണ്‍സെന്‍സിറ്റീവ് ഇന്‍ഫര്‍മേഷനുകളാണ്.

സെന്‍സിറ്റീവ് ഇന്‍ഫര്‍മേഷനുകള്‍ കുറച്ച് കൂടി കോമ്പ്‌ലക്‌സായ വിവരങ്ങളാണു, ഒരു വ്യക്തിയുടെ വിവരങ്ങള്‍ ഡിസ്‌ക്ലോസ് ചെയ്യപ്പെട്ടാല്‍ അത് അവരുടെ സ്വകാര്യതയെ ലംഘിക്കുന്നതാണെങ്കില്‍ സെന്‍സിറ്റീവ് ഇന്‍ഫര്‍മേഷനുകളുടെ കൂട്ടത്തില്‍ പെടുത്താന്‍ സാധിക്കും. ഉദാഹരണത്തിനു ഒരു വ്യക്തിയുടെ ബയോമെട്രിക്, മെഡിക്കല്‍, ബാങ്കിംഗ് ഡാറ്റകള്‍, യൂണിക്കായ മറ്റു ചില ഡാറ്റകള്‍ ഉദാഹരണത്തിനു യുണിക് ഐഡന്റിഫിക്കേഷന്‍ നമ്പര്‍, പാസ്‌പോര്‍ട്ട് ഇവയെല്ലാം വളരെ സെന്‍സിറ്റീവ് ആയ വിവരങ്ങളൂടെ കൂട്ടത്തില്‍ വരും.

ഇത്തരം ഡാറ്റകള്‍ യാതൊരു കാരണവശാലും പബ്ലിക്കായ ഒരു പ്ലാറ്റ്‌ഫോമില്‍ പബ്ലിഷ് ചെയ്യപ്പെടാന്‍ പാടില്ല എന്നാണു നിയമം. അങ്ങനെ പബ്ലിഷ് ചെയ്യപ്പെട്ടാല്‍ അതിനെ ഡോക്‌സിംഗ് ( Doxing) എന്നറിയപ്പെടുന്നു.പല രാജ്യങ്ങളും ഇത്തരം വിവരങ്ങള്‍ക്ക് കടുത്ത നിയന്ത്രണങ്ങള്‍ നിയമം മൂലം ഏര്‍പ്പെടുത്തിയിട്ടുണ്ട്.

Advertisement