15 November Friday

ജിഡിപിആര്‍:പുതിയ സ്വകാര്യതാ നിയമവുമായി യൂറോപ്പ്

റിയാദ് എം ആര്‍ Updated: Saturday May 26, 2018

റിയാദ് എം ആര്‍

റിയാദ് എം ആര്‍

സ്വകാര്യവിവരങ്ങള്‍ ശേഖരിക്കുന്നതിനും പ്രോസസ് ചെയ്യുന്നതിലും നിയന്ത്രണം ഏര്‍പ്പെടുത്തിക്കൊണ്ട് യൂറോപ്യന്‍ യൂണിയന്‍ കൊണ്ടുവന്ന ജിഡിപിആര്‍ നിയമങ്ങള്‍ യൂറോപ്യന്‍ യൂണിയനിലെമ്പാടും പ്രാബല്യത്തിലായിട്ടുണ്ട്. ജിഡിപിആറിനെപ്പറ്റി റിയാദ് എം ആര്‍ എഴുതുന്നു

ഈയടുത്ത കാലത്തായി കേട്ടിട്ടുള്ള ഏറ്റവും പരിചിതമായ വാക്കായിരിക്കും ജിഡിപിആര്‍ (GDPR -General Data Protection Regulation). വ്യക്തികളുടെ സ്വകാര്യവിവരങ്ങള്‍ ശേഖരിക്കുന്നതിനും പ്രോസസ് ചെയ്യുന്നതിലും നിയന്ത്രണം ഏര്‍പ്പെടുത്തിക്കൊണ്ട് യൂറോപ്യന്‍ യൂണിയന്‍ കൊണ്ടുവന്ന ഒരു കൂട്ടം നിയമങ്ങളാണു ജെനറല്‍ ഡാറ്റ  പ്രൊട്ടക്ഷന്‍ റെഗുലേഷന്‍ എന്നറിയപ്പെടുന്നത്. മേയ്  25 മുതല്‍ ഈ നിയമം പ്രാബല്യത്തില്‍ വന്നിട്ടുണ്ട്.

2012 ജനുവരി മാസമാണു യൂറോപ്യന്‍ കമ്മീഷന്‍ ഡിജിറ്റല്‍ ഏജിലേക്ക് യൂറോപ്യന്‍ യൂണിയനെ സജ്ജമാക്കുന്നതിനു വേണ്ടി നിയമ നിര്‍മ്മാണം നടത്താന്‍ തീരുമാനിക്കുന്നത്. നാലു വര്‍ഷത്തിനു ശേഷം യൂറോപ്യന്‍ യൂണിയനിലെ രാജ്യങ്ങള്‍ എന്തെല്ലാമായിരിക്കണം ഈ നിയമങ്ങള്‍  എന്നും ഇതെങ്ങനെ നടപ്പിലാക്കും എന്നും  ഒരു തീരുമാനത്തിലെത്തുകയുണ്ടായി .

യൂറോപ്യന്‍ യൂണിയനിലെ അംഗരാജ്യങ്ങളിലെ ( അതിനപ്പുറത്തേക്കും) പൌരന്മാര്‍ക്ക് അവരുടെ വ്യക്തിഗത വിവരങ്ങളുടെ മുകളില്‍ നിയന്ത്രണം നല്‍കുക എന്നതിലാണു ജിഡിപിആര്‍ മുഖ്യമായും ലക്ഷ്യം വെക്കുന്നത് . ഡിജിറ്റല്‍ ഏജില്‍ ഒരു തരത്തിലല്ലങ്കില്‍ മറ്റൊരു തരത്തില്‍ വ്യക്തികളുടെ വിവരങ്ങള്‍ കളക്റ്റ് ചെയ്യപ്പെടുകയും അവ ഓര്‍ഗനൈസേഷനുകള്‍ നിരവധി ആവശ്യങ്ങള്‍ക്കായി സുക്ഷിച്ച് വെക്കുകയും ചെയ്യുന്നു. ഇതിനു ഒരു പരിധി വരെ തടയിടുകയും അത് ദുരുപയോഗം ചെയ്യപ്പെടുന്നില്ല എന്നുറപ്പ് വരുത്തുകയുമാണു ജിഡിപിആര്‍ കൊണ്ട് പ്രധാനമായും ലക്ഷ്യമിടുന്നത്. അതുകൊണ്ട് തന്നെ യൂറോപ്യന്‍ യൂണിയനിലുള്ളില്‍ ഓപ്പറേറ്റ് ചെയ്യുന്ന എല്ലാ കമ്പനികളും  ജിഡിപിആര്‍ നിയമങ്ങള്‍ക്കുള്ളില്‍ നിന്ന് പ്രവര്‍ത്തിക്കേണ്ടതാണു. യൂറോപ്യന്‍ യൂണിയനു പുറത്ത് നിന്ന് ഓപ്പറേറ്റ് ചെയ്യുന്ന കമ്പനികളായാലും അവ യൂറൊപ്യന്‍ യൂണിയനിലെ പൌരന്മാരുമായി എന്തെങ്കിലും തരത്തിലുള്ള ഇടപാടുകള്‍ നടക്കുന്നുണ്ടങ്കില്‍ അത് ജിഡിപിആറിനു  അനുസൃതമായി വേണം പ്രവര്‍ത്തിക്കേണ്ടത്.

ജിഡിപിആര്‍ ടേംസ് പ്രകാരം വ്യക്തിഗത വിവരങ്ങള്‍ കളക്റ്റ് ചെയ്യുന്ന ഓര്‍ഗനൈസേഷനുകള്‍/ കമ്പനികള്‍/ ബാങ്കിംഗ് ഇന്‍സ്റ്റിറ്റ്യുഷനുകള്‍/ സര്‍വീസ് പ്രൊവൈഡര്‍മാര്‍ / മറ്റു ഏതെങ്കിലും തരത്തില്‍ പ്രവര്‍ത്തിക്കുന്നവര്‍ ഇവരെല്ലാം തന്നെ ഈ വ്യക്തിഗത വിവരങ്ങള്‍ കളക്റ്റ് ചെയ്യുന്നത് നിയമാനുസൃതമായ രീതിയില്‍ കര്‍ശനമായ നിയന്ത്രണങ്ങളോടെയായിരിക്കണം. എന്ന് മാത്രമല്ല ഈ വിവരങ്ങള്‍ കളക്റ്റ് ചെയ്യുന്നവര്‍ ഇതെല്ലാം സുരക്ഷിതമായ രീതിയില്‍ സൂക്ഷിച്ച് വെക്കേണ്ടതും അവ ചോര്‍ത്തപ്പെടുന്നില്ല എന്ന് ഉറപ്പ് വരുത്തേണ്ടതുമാണ്. ഏറ്റവും പ്രധാനമായി ഈ വിവരങ്ങളുടെ മേല്‍ വ്യക്തികള്‍ക്കുള്ള അവകാശത്തെ അംഗികരിച്ച് കൊടുക്കേണ്ടതുമാണ്. ഇത് ലംഘിക്കപ്പെട്ടാല്‍ കനത്ത പിഴയും യുറോപ്യന്‍ യൂണിയനില്‍ പ്രവര്‍ത്തിക്കാനുള്ള ലൈസന്‍സും റദ്ദാക്കപ്പെടാം. ആറു വര്‍ഷമാണു പരമാവധി ഒരു വ്യക്തിയുടെ വിവരങ്ങള്‍ കമ്പനികള്‍ക്ക് സൂക്ഷിച്ച് വെക്കാന്‍ സാധിക്കുക, അതിനു ശേഷം ഈ വിവരങ്ങള്‍ തിരിച്ചെടുക്കാനാവാത്ത വിധം ഡിസ്കാര്‍ഡ് ചെയ്യേണ്ടതാണു എന്നും ജിഡിപിആര്‍ നിയമം അനുശാസിക്കുന്നു.

രണ്ട് തരത്തിലാണു ജിഡിപിആര്‍ വ്യക്തിഗത വിവരങ്ങളെ കൈകാര്യം ചെയ്യുന്നവരെ ഡിഫൈന്‍ ചെയ്തിരിക്കുന്നത്. വ്യക്തിഗത വിവരങ്ങളെ നിയന്ത്രിക്കുന്നവരും ( Controllers), അതിനെ വിശകലനം ചെയ്യുന്നവരും ( Processors).അത് ഓര്‍ഗനൈസേഷനുകളാവാം, ഗവണ്മെന്റ് ഏജന്‍സികളാവാം, മറ്റേതെങ്കിലും തരത്തില്‍ ഈ വിവരങ്ങളെ കണ്ട്രോള്‍ ചെയ്യുന്നവരൊ പ്രോസസ് ചെയ്യുന്നവരൊ ആവാം. ഏത് വിഭാഗത്തില്‍ പെടുന്നവരായാലും  വ്യക്തിഗത വിവരങ്ങള്‍ വ്യക്തികളുടെ സമ്മതമില്ലാതെ ശേഖരിക്കുകയൊ  പ്രോസസ് ചെയ്യുകയൊ ചെയ്താല്‍ നിയമപരമായ നടപടികള്‍ നേരിടേണ്ടി വരും. കൂടാതെ ശേഖരിക്കപ്പെട്ട വിവരങ്ങള്‍ എതെങ്കിലും കാരണവശാല്‍ പുറത്ത് പോവുകയുണ്ടായാല്‍ അതിന്റെ ഉത്തരവാദിത്വം കണ്ട്രോളേഴ്സിനായിരിക്കും. എന്നാല്‍ ഈ വിവരങ്ങള്‍  എന്തെങ്കിലും തരത്തില്‍ പ്രോസസ് ചെയ്യപ്പെട്ടാല്‍ ജിഡിപിആര്‍ നിയമപ്രകാരം കൂടുതല്‍ ഉത്തരവാദിത്വം ഇത് പ്രോസസ് ചെയ്യുന്നവര്‍ക്കായിരിക്കും. അവരായിരിക്കും നിയമനടപടികള്‍ കൂടുതലായി നേരിടേണ്ടി വരിക

 വ്യക്തികളെ തിരിച്ചറിയാനുപയോഗിക്കുന്ന പേരുകള്‍, വിലാസങ്ങള്‍, ചിത്രങ്ങള്‍ ഇതെല്ലാം പെഴ്സണല്‍ വിവരങ്ങളായി ജിഡിപിആര്‍ ഡിഫൈന്‍ ചെയ്തിരിക്കുന്നു. എന്നാല്‍ ഇതിനുമപ്പുറത്തേക്ക് മാറി വ്യക്തികള്‍ ഉപയോഗിക്കുന്ന ഇന്റര്‍നെറ്റ് കണക്ഷനുകളുടെ ഐപി അഡ്രസടക്കം , ജനിതക വിവരങ്ങള്‍, ബയോ മെട്രിക് വിവരങ്ങള്‍ തുടങ്ങി വ്യക്തികളെ ഏതെങ്കിലും വിധത്തില്‍ തിരിച്ചറിയാനുപയോഗിക്കുന്ന എന്ത് വിവരങ്ങളെയും   ജിഡിപിആര്‍ പെഴ്സണല്‍ ഡാറ്റയായി ഡിഫൈന്‍ ചെയ്തിട്ടുണ്ട്.  പെഴ്സണലി ഐഡന്റിഫയബിള്‍ ഇന്‍ഫര്‍മേഷനെ (PII) ഒന്ന് കൂടി വ്യക്തമായി ജിഡിപിആര്‍ വിഭാവനം ചെയ്തിട്ടുണ്ട്.

കഴിഞ്ഞ ദിവസം മുതല്‍ ജിഡിപിആര്‍ നിയമങ്ങള്‍ യൂറോപ്യന്‍ യൂണിയനിലെമ്പാടും പ്രാബല്യത്തിലായിട്ടുണ്ട്. അംഗരാജ്യങ്ങള്‍ അവരവരുടെ പാര്‍ലമെന്റില്‍ ഇത് നിയമമായി അംഗികരിക്കേണ്ടത് മേയ് 6 നായിരുന്നു.

ജിഡിപിആര്‍ നിയമപ്രകാരം ഒരു വ്യക്തിക്ക് ഏതെങ്കിലും തരത്തില്‍ അവരുടെ വിവരങ്ങള്‍ ശേഖരിക്കപ്പെട്ടിരിക്കുന്ന ഇടങ്ങളില്‍ നിന്ന് പുറത്ത് ലഭ്യമായിട്ടുണ്ടങ്കില്‍ ( ഉദാഹരണത്തിനു ഡാറ്റാ ബ്രീച്ച്/ ഹാക്കിംഗ്  മുതലായവ) എന്ന് , എങ്ങനെ, എപ്പോള്‍ എന്ത് വിവരങ്ങള്‍ പുറത്തായി എന്ന് നിയമപരമായി തന്നെ ചോദ്യം ചെയ്യാന്‍ അനുവദിക്കുന്നു, അത് മൂലമുണ്ടായ കഷ്ടനഷ്ടങ്ങള്‍ക്ക് കമ്പനികളില്‍ നിന്ന് നഷ്ടപരിഹാരം തേടാനും പൌരനെ ജിഡിപിആര്‍ അനുവദിക്കുന്നുണ്ട്. കൂടാതെ കളക്റ്റ് ചെയ്യുന്ന വിവരങ്ങള്‍ ഏതൊക്കെ തരത്തിലാണു പ്രോസസ് ചെയ്യുന്നത് എന്ന് അറിയാനുള്ള അവകാശവും വകവെച്ച് കൊടുക്കുന്നു, കമ്പനികള്‍ വളരെ കൃത്യമായി ലളിതമായ ഭാഷയില്‍ എങ്ങനെയാണു വിവരങ്ങള്‍ പ്രോസസ് ചെയ്യുന്നത് എന്നതും അറിയിക്കേണ്ടതാണ്..

“ Right to Forgot" ഓപ്ഷനാണു ജിഡിപിആര്‍ നല്‍കിയിരിക്കുന്ന മറ്റൊരു സൌകര്യം. ഈ ഓപ്ഷന്‍ മുഖേന ഉപഭോക്താക്കള്‍ക്ക് അവരുടെ വിവരങ്ങള്‍ എന്നന്നേക്കുമായി സര്‍വീസ് പ്രൊവൈഡര്‍മാരുടെ സെര്‍വറുകളില്‍ നിന്ന് നീക്കം ചെയ്യാന്‍ ആവശ്യപ്പെടാവുന്നതാണ്, എന്നാണൊ റിക്വസ്റ്റ് ചെയ്തത് അതിനു ശേഷം ഇവരുടെ വിവരങ്ങള്‍ യാതൊരു കാരണവശാലും സെര്‍വറുകളിലോ ബാക്കപ്പ് സെന്ററുകളിലോ പ്രോസസര്‍മാരുടെ കൈവശമൊ ഉണ്ടായിരിക്കാന്‍ പാടുള്ളതല്ല എന്ന് ജിഡിപിആര്‍ പറയുന്നു.

ജിഡിപിആര്‍ പ്രാബല്യത്തിലായതിനു ശേഷം യൂറോപ്യന്‍ യൂണിയന്റെ പരിധിക്കുള്ളില്‍ പ്രവര്‍ത്തിക്കുന്ന ഓര്‍ഗനൈസേഷനുകള്‍ അവരുടെ പ്രൈവസി പോളിസികള്‍ അപ്ഡേറ്റ് ചെയ്യുകയും യൂസേഴ്സിനെ അറിയിക്കുകയും ചെയ്യുന്നുണ്ട്, എന്നാല്‍ ഇതിനെ മുതലെടുത്ത് ഫിഷിംഗ് സന്ദേശങ്ങളും ഇതിന്റെ കൂട്ടത്തില്‍ പരക്കെ അയക്കപ്പെടുന്നുണ്ട്. ഉപയോക്താക്കള്‍ക്ക് ജിഡിപിആര്‍ സംബന്ധമായ ഫിഷിംഗ് സന്ദേശങ്ങള്‍ അയക്കുകയും ഇത്തരം സന്ദേശങ്ങളില്‍ നല്‍കിയിരിക്കുന്ന ലിങ്കുകളില്‍ ക്ലിക്ക് ചെയ്ത് അവരുടെ യൂസര്‍ നെയിമുകള്‍ / പാസ് വേഡുകള്‍ മുതലാവയ അപ്ഡേറ്റ് ചെയ്യാനും ആവശ്യപ്പെടുന്നു. എന്നാല്‍ ജിഡിപിആറുമായി ബന്ധപ്പെട്ട് കമ്പനികള്‍ പാസ് വേഡുകളൊ ഒന്നും തന്നെ ആവശ്യപ്പെടുന്നില്ല എന്ന് പ്രത്യേകം ശ്രദ്ധിക്കേണ്ടത്.

മറ്റൊരു സംഗതി ജിഡിപിആര്‍ നിലവില്‍ വന്നതിനു ശേഷം, സര്‍വീസ് പ്രൊവൈഡര്‍മാര്‍ ഇതിനെ മറികടക്കുന്നതിനായി ഉപയോക്താക്കളൊട് നിര്‍ബന്ധപൂര്‍വ്വം അവരുടെ ടേംസ് ഓഫ് കണ്ടീഷന്‍ അക്സപ്റ്റ് ചെയ്യുവാനായി ഫോഴ്സ് ചെയ്യുന്നതായി പരാതികള്‍ ലഭിച്ച് തുടങ്ങിയിട്ടുണ്ട്. കമ്പനികളുടെ ടേംസ് ഓഫ് കണ്ടിഷനുകള്‍ അക്സപ്റ്റ് ചെയ്യാതിരിക്കുന്നവര്‍ക്ക് സേവനങ്ങള്‍ നിഷേധിക്കുകയും ഇങ്ങനെ നിഷേധിക്കപ്പെട്ടാല്‍ അത് ജിഡിപിആറിന്റെ വയലേഷനായി കണക്ക് കൂട്ടൂകയും ചെയ്യും. അത് കൊണ്ട് ഏതെങ്കിലും സര്‍വീസ് പ്രൊവൈഡര്‍മാര്‍ ഈ വിവരങ്ങള്‍ നിര്‍ബന്ധപൂര്‍വ്വം നല്‍കാന്‍ ആവശ്യപ്പെടുകയാണെങ്കില്‍ ഉപഭോക്താക്കള്‍ക്ക് യൂറോപ്യന്‍ കമ്മീഷനു പരാതി നല്‍കാവുന്നതാണു . നിയമം നിലവില്‍ രണ്ട് ദിവസത്തിനുള്ളില്‍ തന്നെ ഗൂഗിളും, ഫേസ്ബുക്ക് അടക്കമുള്ളവരും അവരുടേ ടേംസ് ഓഫ് കണ്ടീഷന്‍ അംഗീകരിക്കുന്നതിനായി ഉപയോക്താക്കളെ നിര്‍ബന്ധിക്കുന്നതായി പരാതി യൂറോപ്യന്‍ കമ്മിഷനു ലഭിച്ചതായി ബി ബി സി റിപ്പോര്‍ട്ട് ചെയ്യുന്നുണ്ട്.

എന്താണു PII

ഒരു വ്യക്തിയെ തിരിച്ചറിയാനുപയോഗിക്കുന്ന വിവരങ്ങളുടെ കൂട്ടത്തെയാണു സാധാരണ PII എന്ന് പറയുന്നത്. PII രണ്ട് തരത്തിൽ ഡിഫൈൻ ചെയ്തിട്ടുണ്ട്, സെൻസിറ്റിവ് ഇൻഫർമേഷനും നോൺ സെൻസിറ്റീവ് ഇൻഫർമേഷനും. എൻക്രിപ്റ്റഡ് അല്ലാത്ത ഒരു സോഴ്സിൽ നിന്നും ഒരു വ്യക്തിയെ തിരിച്ചറിയാനുപയോഗിക്കുന്ന വിവരങ്ങളെ നോൺ സെൻസിറ്റീവ് ഇൻഫർമേഷനെന്ന് വിളിക്കാം. ഫേസ്ബുക്കിൽ നിന്ന് (പബ്ലിക്കായി) ലഭിക്കുന്ന വിവരങ്ങൾ നോൺ സെൻസിറ്റീവ് PII ക്ക് ഉദാഹരണമാണു. ഫോൺ ഡയറക്റ്ററികൾ, വെബ്സൈറ്റുകൾ ഇതെല്ലാം നോൺസെൻസിറ്റീവ് ഇൻഫർമേഷനുകളാണ്.

സെൻസിറ്റീവ് ഇൻഫർമേഷനുകൾ കുറച്ച് കൂടി കോമ്പ്ലക്സായ വിവരങ്ങളാണു, ഒരു വ്യക്തിയുടെ വിവരങ്ങൾ ഡിസ്ക്ലോസ് ചെയ്യപ്പെട്ടാൽ അത് അവരുടെ സ്വകാര്യതയെ ലംഘിക്കുന്നതാണെങ്കിൽ സെൻസിറ്റീവ് ഇൻഫർമേഷനുകളുടെ കൂട്ടത്തില്‍ പെടുത്താൻ സാധിക്കും. ഉദാഹരണത്തിനു ഒരു വ്യക്തിയുടെ ബയോമെട്രിക്, മെഡിക്കൽ, ബാങ്കിംഗ് ഡാറ്റകൾ, യൂണിക്കായ മറ്റു ചില ഡാറ്റകൾ ഉദാഹരണത്തിനു യുണിക് ഐഡന്റിഫിക്കേഷൻ നമ്പർ, പാസ്പോർട്ട് ഇവയെല്ലാം വളരെ സെൻസിറ്റീവ് ആയ വിവരങ്ങളൂടെ കൂട്ടത്തിൽ വരും. ഇത്തരം ഡാറ്റകൾ യാതൊരു കാരണവശാലും പബ്ലിക്കായ ഒരു പ്ലാറ്റ്ഫോമിൽ പബ്ലിഷ് ചെയ്യപ്പെടാൻ പാടില്ല എന്നാണു നിയമം. അങ്ങനെ പബ്ലിഷ് ചെയ്യപ്പെട്ടാൽ അതിനെ ഡോക്സിംഗ് ( Doxing) എന്നറിയപ്പെടുന്നു.പല രാജ്യങ്ങളും ഇത്തരം വിവരങ്ങൾക്ക് കടുത്ത നിയന്ത്രണങ്ങൾ നിയമം മൂലം ഏർപ്പെടുത്തിയിട്ടുണ്ട്.

(ലേഖകന്‍ അബുദാബിയിലെ ഒരു റിസ്ക് അനാലിസിസ് & ഓഡിറ്റിംഗ് കമ്പനിയിലെ ഇന്‍ഫര്‍മേഷന്‍ ടെക്നോളജി സെക്യൂരിറ്റി ഓഡിറ്റിംഗ് & റിസ്ക് കണ്ട്രോള്‍ ടീമില്‍ പ്രവര്‍ത്തിയ്ക്കുന്നു.)
 

പ്രധാന വാർത്തകൾ
 Top