23 June Wednesday

ജിഡിപിആര്‍:പുതിയ സ്വകാര്യതാ നിയമവുമായി യൂറോപ്പ്

റിയാദ് എം ആര്‍ Updated: Saturday May 26, 2018

റിയാദ് എം ആര്‍

റിയാദ് എം ആര്‍

സ്വകാര്യവിവരങ്ങള്‍ ശേഖരിക്കുന്നതിനും പ്രോസസ് ചെയ്യുന്നതിലും നിയന്ത്രണം ഏര്‍പ്പെടുത്തിക്കൊണ്ട് യൂറോപ്യന്‍ യൂണിയന്‍ കൊണ്ടുവന്ന ജിഡിപിആര്‍ നിയമങ്ങള്‍ യൂറോപ്യന്‍ യൂണിയനിലെമ്പാടും പ്രാബല്യത്തിലായിട്ടുണ്ട്. ജിഡിപിആറിനെപ്പറ്റി റിയാദ് എം ആര്‍ എഴുതുന്നു

ഈയടുത്ത കാലത്തായി കേട്ടിട്ടുള്ള ഏറ്റവും പരിചിതമായ വാക്കായിരിക്കും ജിഡിപിആര്‍ (GDPR -General Data Protection Regulation). വ്യക്തികളുടെ സ്വകാര്യവിവരങ്ങള്‍ ശേഖരിക്കുന്നതിനും പ്രോസസ് ചെയ്യുന്നതിലും നിയന്ത്രണം ഏര്‍പ്പെടുത്തിക്കൊണ്ട് യൂറോപ്യന്‍ യൂണിയന്‍ കൊണ്ടുവന്ന ഒരു കൂട്ടം നിയമങ്ങളാണു ജെനറല്‍ ഡാറ്റ  പ്രൊട്ടക്ഷന്‍ റെഗുലേഷന്‍ എന്നറിയപ്പെടുന്നത്. മേയ്  25 മുതല്‍ ഈ നിയമം പ്രാബല്യത്തില്‍ വന്നിട്ടുണ്ട്.

2012 ജനുവരി മാസമാണു യൂറോപ്യന്‍ കമ്മീഷന്‍ ഡിജിറ്റല്‍ ഏജിലേക്ക് യൂറോപ്യന്‍ യൂണിയനെ സജ്ജമാക്കുന്നതിനു വേണ്ടി നിയമ നിര്‍മ്മാണം നടത്താന്‍ തീരുമാനിക്കുന്നത്. നാലു വര്‍ഷത്തിനു ശേഷം യൂറോപ്യന്‍ യൂണിയനിലെ രാജ്യങ്ങള്‍ എന്തെല്ലാമായിരിക്കണം ഈ നിയമങ്ങള്‍  എന്നും ഇതെങ്ങനെ നടപ്പിലാക്കും എന്നും  ഒരു തീരുമാനത്തിലെത്തുകയുണ്ടായി .

യൂറോപ്യന്‍ യൂണിയനിലെ അംഗരാജ്യങ്ങളിലെ ( അതിനപ്പുറത്തേക്കും) പൌരന്മാര്‍ക്ക് അവരുടെ വ്യക്തിഗത വിവരങ്ങളുടെ മുകളില്‍ നിയന്ത്രണം നല്‍കുക എന്നതിലാണു ജിഡിപിആര്‍ മുഖ്യമായും ലക്ഷ്യം വെക്കുന്നത് . ഡിജിറ്റല്‍ ഏജില്‍ ഒരു തരത്തിലല്ലങ്കില്‍ മറ്റൊരു തരത്തില്‍ വ്യക്തികളുടെ വിവരങ്ങള്‍ കളക്റ്റ് ചെയ്യപ്പെടുകയും അവ ഓര്‍ഗനൈസേഷനുകള്‍ നിരവധി ആവശ്യങ്ങള്‍ക്കായി സുക്ഷിച്ച് വെക്കുകയും ചെയ്യുന്നു. ഇതിനു ഒരു പരിധി വരെ തടയിടുകയും അത് ദുരുപയോഗം ചെയ്യപ്പെടുന്നില്ല എന്നുറപ്പ് വരുത്തുകയുമാണു ജിഡിപിആര്‍ കൊണ്ട് പ്രധാനമായും ലക്ഷ്യമിടുന്നത്. അതുകൊണ്ട് തന്നെ യൂറോപ്യന്‍ യൂണിയനിലുള്ളില്‍ ഓപ്പറേറ്റ് ചെയ്യുന്ന എല്ലാ കമ്പനികളും  ജിഡിപിആര്‍ നിയമങ്ങള്‍ക്കുള്ളില്‍ നിന്ന് പ്രവര്‍ത്തിക്കേണ്ടതാണു. യൂറോപ്യന്‍ യൂണിയനു പുറത്ത് നിന്ന് ഓപ്പറേറ്റ് ചെയ്യുന്ന കമ്പനികളായാലും അവ യൂറൊപ്യന്‍ യൂണിയനിലെ പൌരന്മാരുമായി എന്തെങ്കിലും തരത്തിലുള്ള ഇടപാടുകള്‍ നടക്കുന്നുണ്ടങ്കില്‍ അത് ജിഡിപിആറിനു  അനുസൃതമായി വേണം പ്രവര്‍ത്തിക്കേണ്ടത്.

ജിഡിപിആര്‍ ടേംസ് പ്രകാരം വ്യക്തിഗത വിവരങ്ങള്‍ കളക്റ്റ് ചെയ്യുന്ന ഓര്‍ഗനൈസേഷനുകള്‍/ കമ്പനികള്‍/ ബാങ്കിംഗ് ഇന്‍സ്റ്റിറ്റ്യുഷനുകള്‍/ സര്‍വീസ് പ്രൊവൈഡര്‍മാര്‍ / മറ്റു ഏതെങ്കിലും തരത്തില്‍ പ്രവര്‍ത്തിക്കുന്നവര്‍ ഇവരെല്ലാം തന്നെ ഈ വ്യക്തിഗത വിവരങ്ങള്‍ കളക്റ്റ് ചെയ്യുന്നത് നിയമാനുസൃതമായ രീതിയില്‍ കര്‍ശനമായ നിയന്ത്രണങ്ങളോടെയായിരിക്കണം. എന്ന് മാത്രമല്ല ഈ വിവരങ്ങള്‍ കളക്റ്റ് ചെയ്യുന്നവര്‍ ഇതെല്ലാം സുരക്ഷിതമായ രീതിയില്‍ സൂക്ഷിച്ച് വെക്കേണ്ടതും അവ ചോര്‍ത്തപ്പെടുന്നില്ല എന്ന് ഉറപ്പ് വരുത്തേണ്ടതുമാണ്. ഏറ്റവും പ്രധാനമായി ഈ വിവരങ്ങളുടെ മേല്‍ വ്യക്തികള്‍ക്കുള്ള അവകാശത്തെ അംഗികരിച്ച് കൊടുക്കേണ്ടതുമാണ്. ഇത് ലംഘിക്കപ്പെട്ടാല്‍ കനത്ത പിഴയും യുറോപ്യന്‍ യൂണിയനില്‍ പ്രവര്‍ത്തിക്കാനുള്ള ലൈസന്‍സും റദ്ദാക്കപ്പെടാം. ആറു വര്‍ഷമാണു പരമാവധി ഒരു വ്യക്തിയുടെ വിവരങ്ങള്‍ കമ്പനികള്‍ക്ക് സൂക്ഷിച്ച് വെക്കാന്‍ സാധിക്കുക, അതിനു ശേഷം ഈ വിവരങ്ങള്‍ തിരിച്ചെടുക്കാനാവാത്ത വിധം ഡിസ്കാര്‍ഡ് ചെയ്യേണ്ടതാണു എന്നും ജിഡിപിആര്‍ നിയമം അനുശാസിക്കുന്നു.

രണ്ട് തരത്തിലാണു ജിഡിപിആര്‍ വ്യക്തിഗത വിവരങ്ങളെ കൈകാര്യം ചെയ്യുന്നവരെ ഡിഫൈന്‍ ചെയ്തിരിക്കുന്നത്. വ്യക്തിഗത വിവരങ്ങളെ നിയന്ത്രിക്കുന്നവരും ( Controllers), അതിനെ വിശകലനം ചെയ്യുന്നവരും ( Processors).അത് ഓര്‍ഗനൈസേഷനുകളാവാം, ഗവണ്മെന്റ് ഏജന്‍സികളാവാം, മറ്റേതെങ്കിലും തരത്തില്‍ ഈ വിവരങ്ങളെ കണ്ട്രോള്‍ ചെയ്യുന്നവരൊ പ്രോസസ് ചെയ്യുന്നവരൊ ആവാം. ഏത് വിഭാഗത്തില്‍ പെടുന്നവരായാലും  വ്യക്തിഗത വിവരങ്ങള്‍ വ്യക്തികളുടെ സമ്മതമില്ലാതെ ശേഖരിക്കുകയൊ  പ്രോസസ് ചെയ്യുകയൊ ചെയ്താല്‍ നിയമപരമായ നടപടികള്‍ നേരിടേണ്ടി വരും. കൂടാതെ ശേഖരിക്കപ്പെട്ട വിവരങ്ങള്‍ എതെങ്കിലും കാരണവശാല്‍ പുറത്ത് പോവുകയുണ്ടായാല്‍ അതിന്റെ ഉത്തരവാദിത്വം കണ്ട്രോളേഴ്സിനായിരിക്കും. എന്നാല്‍ ഈ വിവരങ്ങള്‍  എന്തെങ്കിലും തരത്തില്‍ പ്രോസസ് ചെയ്യപ്പെട്ടാല്‍ ജിഡിപിആര്‍ നിയമപ്രകാരം കൂടുതല്‍ ഉത്തരവാദിത്വം ഇത് പ്രോസസ് ചെയ്യുന്നവര്‍ക്കായിരിക്കും. അവരായിരിക്കും നിയമനടപടികള്‍ കൂടുതലായി നേരിടേണ്ടി വരിക

 വ്യക്തികളെ തിരിച്ചറിയാനുപയോഗിക്കുന്ന പേരുകള്‍, വിലാസങ്ങള്‍, ചിത്രങ്ങള്‍ ഇതെല്ലാം പെഴ്സണല്‍ വിവരങ്ങളായി ജിഡിപിആര്‍ ഡിഫൈന്‍ ചെയ്തിരിക്കുന്നു. എന്നാല്‍ ഇതിനുമപ്പുറത്തേക്ക് മാറി വ്യക്തികള്‍ ഉപയോഗിക്കുന്ന ഇന്റര്‍നെറ്റ് കണക്ഷനുകളുടെ ഐപി അഡ്രസടക്കം , ജനിതക വിവരങ്ങള്‍, ബയോ മെട്രിക് വിവരങ്ങള്‍ തുടങ്ങി വ്യക്തികളെ ഏതെങ്കിലും വിധത്തില്‍ തിരിച്ചറിയാനുപയോഗിക്കുന്ന എന്ത് വിവരങ്ങളെയും   ജിഡിപിആര്‍ പെഴ്സണല്‍ ഡാറ്റയായി ഡിഫൈന്‍ ചെയ്തിട്ടുണ്ട്.  പെഴ്സണലി ഐഡന്റിഫയബിള്‍ ഇന്‍ഫര്‍മേഷനെ (PII) ഒന്ന് കൂടി വ്യക്തമായി ജിഡിപിആര്‍ വിഭാവനം ചെയ്തിട്ടുണ്ട്.

കഴിഞ്ഞ ദിവസം മുതല്‍ ജിഡിപിആര്‍ നിയമങ്ങള്‍ യൂറോപ്യന്‍ യൂണിയനിലെമ്പാടും പ്രാബല്യത്തിലായിട്ടുണ്ട്. അംഗരാജ്യങ്ങള്‍ അവരവരുടെ പാര്‍ലമെന്റില്‍ ഇത് നിയമമായി അംഗികരിക്കേണ്ടത് മേയ് 6 നായിരുന്നു.

ജിഡിപിആര്‍ നിയമപ്രകാരം ഒരു വ്യക്തിക്ക് ഏതെങ്കിലും തരത്തില്‍ അവരുടെ വിവരങ്ങള്‍ ശേഖരിക്കപ്പെട്ടിരിക്കുന്ന ഇടങ്ങളില്‍ നിന്ന് പുറത്ത് ലഭ്യമായിട്ടുണ്ടങ്കില്‍ ( ഉദാഹരണത്തിനു ഡാറ്റാ ബ്രീച്ച്/ ഹാക്കിംഗ്  മുതലായവ) എന്ന് , എങ്ങനെ, എപ്പോള്‍ എന്ത് വിവരങ്ങള്‍ പുറത്തായി എന്ന് നിയമപരമായി തന്നെ ചോദ്യം ചെയ്യാന്‍ അനുവദിക്കുന്നു, അത് മൂലമുണ്ടായ കഷ്ടനഷ്ടങ്ങള്‍ക്ക് കമ്പനികളില്‍ നിന്ന് നഷ്ടപരിഹാരം തേടാനും പൌരനെ ജിഡിപിആര്‍ അനുവദിക്കുന്നുണ്ട്. കൂടാതെ കളക്റ്റ് ചെയ്യുന്ന വിവരങ്ങള്‍ ഏതൊക്കെ തരത്തിലാണു പ്രോസസ് ചെയ്യുന്നത് എന്ന് അറിയാനുള്ള അവകാശവും വകവെച്ച് കൊടുക്കുന്നു, കമ്പനികള്‍ വളരെ കൃത്യമായി ലളിതമായ ഭാഷയില്‍ എങ്ങനെയാണു വിവരങ്ങള്‍ പ്രോസസ് ചെയ്യുന്നത് എന്നതും അറിയിക്കേണ്ടതാണ്..

“ Right to Forgot" ഓപ്ഷനാണു ജിഡിപിആര്‍ നല്‍കിയിരിക്കുന്ന മറ്റൊരു സൌകര്യം. ഈ ഓപ്ഷന്‍ മുഖേന ഉപഭോക്താക്കള്‍ക്ക് അവരുടെ വിവരങ്ങള്‍ എന്നന്നേക്കുമായി സര്‍വീസ് പ്രൊവൈഡര്‍മാരുടെ സെര്‍വറുകളില്‍ നിന്ന് നീക്കം ചെയ്യാന്‍ ആവശ്യപ്പെടാവുന്നതാണ്, എന്നാണൊ റിക്വസ്റ്റ് ചെയ്തത് അതിനു ശേഷം ഇവരുടെ വിവരങ്ങള്‍ യാതൊരു കാരണവശാലും സെര്‍വറുകളിലോ ബാക്കപ്പ് സെന്ററുകളിലോ പ്രോസസര്‍മാരുടെ കൈവശമൊ ഉണ്ടായിരിക്കാന്‍ പാടുള്ളതല്ല എന്ന് ജിഡിപിആര്‍ പറയുന്നു.

ജിഡിപിആര്‍ പ്രാബല്യത്തിലായതിനു ശേഷം യൂറോപ്യന്‍ യൂണിയന്റെ പരിധിക്കുള്ളില്‍ പ്രവര്‍ത്തിക്കുന്ന ഓര്‍ഗനൈസേഷനുകള്‍ അവരുടെ പ്രൈവസി പോളിസികള്‍ അപ്ഡേറ്റ് ചെയ്യുകയും യൂസേഴ്സിനെ അറിയിക്കുകയും ചെയ്യുന്നുണ്ട്, എന്നാല്‍ ഇതിനെ മുതലെടുത്ത് ഫിഷിംഗ് സന്ദേശങ്ങളും ഇതിന്റെ കൂട്ടത്തില്‍ പരക്കെ അയക്കപ്പെടുന്നുണ്ട്. ഉപയോക്താക്കള്‍ക്ക് ജിഡിപിആര്‍ സംബന്ധമായ ഫിഷിംഗ് സന്ദേശങ്ങള്‍ അയക്കുകയും ഇത്തരം സന്ദേശങ്ങളില്‍ നല്‍കിയിരിക്കുന്ന ലിങ്കുകളില്‍ ക്ലിക്ക് ചെയ്ത് അവരുടെ യൂസര്‍ നെയിമുകള്‍ / പാസ് വേഡുകള്‍ മുതലാവയ അപ്ഡേറ്റ് ചെയ്യാനും ആവശ്യപ്പെടുന്നു. എന്നാല്‍ ജിഡിപിആറുമായി ബന്ധപ്പെട്ട് കമ്പനികള്‍ പാസ് വേഡുകളൊ ഒന്നും തന്നെ ആവശ്യപ്പെടുന്നില്ല എന്ന് പ്രത്യേകം ശ്രദ്ധിക്കേണ്ടത്.

മറ്റൊരു സംഗതി ജിഡിപിആര്‍ നിലവില്‍ വന്നതിനു ശേഷം, സര്‍വീസ് പ്രൊവൈഡര്‍മാര്‍ ഇതിനെ മറികടക്കുന്നതിനായി ഉപയോക്താക്കളൊട് നിര്‍ബന്ധപൂര്‍വ്വം അവരുടെ ടേംസ് ഓഫ് കണ്ടീഷന്‍ അക്സപ്റ്റ് ചെയ്യുവാനായി ഫോഴ്സ് ചെയ്യുന്നതായി പരാതികള്‍ ലഭിച്ച് തുടങ്ങിയിട്ടുണ്ട്. കമ്പനികളുടെ ടേംസ് ഓഫ് കണ്ടിഷനുകള്‍ അക്സപ്റ്റ് ചെയ്യാതിരിക്കുന്നവര്‍ക്ക് സേവനങ്ങള്‍ നിഷേധിക്കുകയും ഇങ്ങനെ നിഷേധിക്കപ്പെട്ടാല്‍ അത് ജിഡിപിആറിന്റെ വയലേഷനായി കണക്ക് കൂട്ടൂകയും ചെയ്യും. അത് കൊണ്ട് ഏതെങ്കിലും സര്‍വീസ് പ്രൊവൈഡര്‍മാര്‍ ഈ വിവരങ്ങള്‍ നിര്‍ബന്ധപൂര്‍വ്വം നല്‍കാന്‍ ആവശ്യപ്പെടുകയാണെങ്കില്‍ ഉപഭോക്താക്കള്‍ക്ക് യൂറോപ്യന്‍ കമ്മീഷനു പരാതി നല്‍കാവുന്നതാണു . നിയമം നിലവില്‍ രണ്ട് ദിവസത്തിനുള്ളില്‍ തന്നെ ഗൂഗിളും, ഫേസ്ബുക്ക് അടക്കമുള്ളവരും അവരുടേ ടേംസ് ഓഫ് കണ്ടീഷന്‍ അംഗീകരിക്കുന്നതിനായി ഉപയോക്താക്കളെ നിര്‍ബന്ധിക്കുന്നതായി പരാതി യൂറോപ്യന്‍ കമ്മിഷനു ലഭിച്ചതായി ബി ബി സി റിപ്പോര്‍ട്ട് ചെയ്യുന്നുണ്ട്.

എന്താണു PII

ഒരു വ്യക്തിയെ തിരിച്ചറിയാനുപയോഗിക്കുന്ന വിവരങ്ങളുടെ കൂട്ടത്തെയാണു സാധാരണ PII എന്ന് പറയുന്നത്. PII രണ്ട് തരത്തിൽ ഡിഫൈൻ ചെയ്തിട്ടുണ്ട്, സെൻസിറ്റിവ് ഇൻഫർമേഷനും നോൺ സെൻസിറ്റീവ് ഇൻഫർമേഷനും. എൻക്രിപ്റ്റഡ് അല്ലാത്ത ഒരു സോഴ്സിൽ നിന്നും ഒരു വ്യക്തിയെ തിരിച്ചറിയാനുപയോഗിക്കുന്ന വിവരങ്ങളെ നോൺ സെൻസിറ്റീവ് ഇൻഫർമേഷനെന്ന് വിളിക്കാം. ഫേസ്ബുക്കിൽ നിന്ന് (പബ്ലിക്കായി) ലഭിക്കുന്ന വിവരങ്ങൾ നോൺ സെൻസിറ്റീവ് PII ക്ക് ഉദാഹരണമാണു. ഫോൺ ഡയറക്റ്ററികൾ, വെബ്സൈറ്റുകൾ ഇതെല്ലാം നോൺസെൻസിറ്റീവ് ഇൻഫർമേഷനുകളാണ്.

സെൻസിറ്റീവ് ഇൻഫർമേഷനുകൾ കുറച്ച് കൂടി കോമ്പ്ലക്സായ വിവരങ്ങളാണു, ഒരു വ്യക്തിയുടെ വിവരങ്ങൾ ഡിസ്ക്ലോസ് ചെയ്യപ്പെട്ടാൽ അത് അവരുടെ സ്വകാര്യതയെ ലംഘിക്കുന്നതാണെങ്കിൽ സെൻസിറ്റീവ് ഇൻഫർമേഷനുകളുടെ കൂട്ടത്തില്‍ പെടുത്താൻ സാധിക്കും. ഉദാഹരണത്തിനു ഒരു വ്യക്തിയുടെ ബയോമെട്രിക്, മെഡിക്കൽ, ബാങ്കിംഗ് ഡാറ്റകൾ, യൂണിക്കായ മറ്റു ചില ഡാറ്റകൾ ഉദാഹരണത്തിനു യുണിക് ഐഡന്റിഫിക്കേഷൻ നമ്പർ, പാസ്പോർട്ട് ഇവയെല്ലാം വളരെ സെൻസിറ്റീവ് ആയ വിവരങ്ങളൂടെ കൂട്ടത്തിൽ വരും. ഇത്തരം ഡാറ്റകൾ യാതൊരു കാരണവശാലും പബ്ലിക്കായ ഒരു പ്ലാറ്റ്ഫോമിൽ പബ്ലിഷ് ചെയ്യപ്പെടാൻ പാടില്ല എന്നാണു നിയമം. അങ്ങനെ പബ്ലിഷ് ചെയ്യപ്പെട്ടാൽ അതിനെ ഡോക്സിംഗ് ( Doxing) എന്നറിയപ്പെടുന്നു.പല രാജ്യങ്ങളും ഇത്തരം വിവരങ്ങൾക്ക് കടുത്ത നിയന്ത്രണങ്ങൾ നിയമം മൂലം ഏർപ്പെടുത്തിയിട്ടുണ്ട്.

(ലേഖകന്‍ അബുദാബിയിലെ ഒരു റിസ്ക് അനാലിസിസ് & ഓഡിറ്റിംഗ് കമ്പനിയിലെ ഇന്‍ഫര്‍മേഷന്‍ ടെക്നോളജി സെക്യൂരിറ്റി ഓഡിറ്റിംഗ് & റിസ്ക് കണ്ട്രോള്‍ ടീമില്‍ പ്രവര്‍ത്തിയ്ക്കുന്നു.)
 


ദേശാഭിമാനി വാർത്തകൾ ഇപ്പോള്‍ വാട്സാപ്പിലും ടെലഗ്രാമിലും ലഭ്യമാണ്‌.

വാട്സാപ്പ് ചാനൽ സബ്സ്ക്രൈബ് ചെയ്യുന്നതിന് ക്ലിക് ചെയ്യു..
ടെലഗ്രാം ചാനൽ സബ്സ്ക്രൈബ് ചെയ്യുന്നതിന് ക്ലിക് ചെയ്യു..



----
പ്രധാന വാർത്തകൾ
-----
-----
 Top