GDPR के तहत डेटा सुरक्षा अधिकारी कौन है?

सेवा

जीडीपीआर के रिकिटल 97 के अनुसार, डेटा सुरक्षा अधिकारी (डीपीओ) डेटा सुरक्षा कानून और प्रथाओं में विशेषज्ञता वाला व्यक्ति होता है, जिसे जीडीपीआर के प्रावधानों के आंतरिक अनुपालन में सहायता के लिए व्यक्तिगत डेटा नियंत्रक या प्रोसेसर द्वारा नियुक्त किया जाता है।

DPO का कार्य GDPR और व्यक्तिगत डेटा की सुरक्षा करने वाले अन्य प्रावधानों से उत्पन्न होने वाले दायित्वों के बारे में सूचित करना, व्यक्तिगत डेटा सुरक्षा के सिद्धांतों के अनुपालन की निगरानी करना, नीतियों को लागू करना और साथ ही डेटा सुरक्षा के क्षेत्र में कर्मचारियों को ऑडिट और प्रशिक्षित करना है। इसके अलावा, डीपीओ डेटा संरक्षण प्रभाव मूल्यांकन और इसके प्रदर्शन की निगरानी के लिए सिफारिशें प्रदान करता है। निरीक्षक पर्यवेक्षी प्राधिकरण के साथ सहयोग करता है और इस प्राधिकरण के लिए संपर्क बिंदु के रूप में कार्य करता है।

डेटा सुरक्षा अधिकारी को व्यक्तिगत डेटा की सुरक्षा से संबंधित सभी मामलों में शामिल होना चाहिए और व्यक्तिगत डेटा और प्रसंस्करण संचालन के साथ-साथ संसाधनों तक पहुंच होनी चाहिए जो उसे अपने कार्यों को करने में सक्षम बनाता है और उसकी विशेषज्ञता बनाए रखने के लिए आवश्यक है। वह एक स्वतंत्र इकाई है, यहां तक ​​कि जब वह कार्यरत है, और इसलिए निर्देश या आदेश प्राप्त नहीं कर सकता है, और सीधे कंपनी में शीर्ष प्रबंधन को रिपोर्ट करता है। वह अपने कार्यों के प्रदर्शन की गोपनीयता बनाए रखने और यह सुनिश्चित करने के लिए भी बाध्य है कि अपने कर्तव्यों के प्रदर्शन में हितों का टकराव नहीं है।

डेटा संरक्षण अधिकारी - नियुक्ति के लिए आधार

व्यक्तिगत डेटा के प्रसंस्करण और इस तरह के डेटा के मुक्त आंदोलन के संबंध में व्यक्तियों की सुरक्षा पर यूरोपीय संसद और परिषद के विनियमन (ईयू) 2016/679 से डेटा संरक्षण अधिकारी नियुक्त करने की संभावना या दायित्व (जर्नल ऑफ कानून यूई एल 2016 नंबर 119, पी। 1)।) (जीडीपीआर)। विनियमन में निहित यूरोपीय संघ के नियम सीधे पोलिश कानून पर लागू होते हैं और सीधे पोलिश उद्यमियों पर अधिकार और दायित्व लागू करते हैं।

हालांकि, वे डीपीओ के साथ सहयोग के रूप को विनियमित नहीं करते हैं। इसलिए, एक निरीक्षक को रोजगार अनुबंध के तहत नियुक्त करना या नियंत्रक / प्रोसेसर के कर्मचारियों में डीपीओ को शामिल करना भी आवश्यक नहीं है। प्रावधानों की सामग्री स्पष्ट रूप से बताती है कि इस क्षेत्र में सेवाओं की आउटसोर्सिंग की अनुमति है।

डेटा सुरक्षा अधिकारी की अनिवार्य नियुक्ति

GDPR के अनुसार, तीन मामलों में, नियंत्रक / प्रोसेसर को एक DPO नियुक्त करना चाहिए, अर्थात जब:

  • उनकी न्यायिक क्षमता में कार्य करने वाली अदालतों को छोड़कर, प्रसंस्करण एक सार्वजनिक प्राधिकरण या संस्था द्वारा किया जाता है;

  • नियंत्रक या प्रोसेसर की मुख्य गतिविधि में प्रसंस्करण संचालन शामिल होते हैं, जो उनकी प्रकृति, दायरे या उद्देश्यों से डेटा विषयों की नियमित और व्यवस्थित बड़े पैमाने पर निगरानी की आवश्यकता होती है; या

  • नियंत्रक या प्रोसेसर की मुख्य गतिविधि व्यक्तिगत डेटा की विशेष श्रेणियों और आपराधिक सजा और अपराधों से संबंधित व्यक्तिगत डेटा का बड़े पैमाने पर प्रसंस्करण है।

ऊपर उल्लिखित अंतिम दो कारक उद्यमियों से संबंधित हैं।

एक डीपीओ की अनुशंसित और स्वैच्छिक नियुक्ति

जीडीपीआर में डीपीओ की नियुक्ति के लिए कोई विरोधाभास नहीं है, अगर, विनियमन के अनुसार, नियंत्रक ऐसा करने के लिए बाध्य नहीं है। अनिवार्य डेटा सुरक्षा निरीक्षक के प्रावधान स्वैच्छिक डीपीओ की नियुक्ति और संचालन के सिद्धांतों के अनुसार लागू होंगे।

डीपीओ की स्वैच्छिक नियुक्ति उद्यमी के लिए बेहद मददगार साबित हो सकती है, क्योंकि ऐसी संस्था उसे जीडीपीआर के तहत दायित्वों के प्रदर्शन से मुक्त कर देगी। व्यक्तिगत डेटा सुरक्षा प्राधिकरण इस तथ्य के कारण भी डीपीओ की नियुक्ति को प्रोत्साहित करते हैं कि इस तरह के अभ्यास से व्यक्तिगत डेटा सुरक्षा की सुरक्षा का स्तर बढ़ जाता है।

कैसे आकलन करें कि दायित्व किससे संबंधित है?

तो कौन बाध्य है, और किसके पास केवल डीपीओ नियुक्त करने की संभावना है? यह सब विशिष्ट परिस्थितियों पर निर्भर करता है। यह जांच की जानी चाहिए कि क्या व्यवस्थापक के उद्यम में:

  • मुख्य गतिविधि डाटा प्रोसेसिंग है,

  • इस प्रसंस्करण में व्यक्तियों की व्यवस्थित निगरानी / संवेदनशील डेटा का प्रसंस्करण शामिल है,

  • इस तरह के प्रसंस्करण को बड़े पैमाने पर किया जाता है।

मुख्य गतिविधि को कंपनी के लक्ष्यों की उपलब्धि से अविभाज्य गतिविधि के रूप में समझा जाना चाहिए। यह एक ऐसी गतिविधि भी होगी जो उद्यम के मूल से नहीं, बल्कि निकटता से संबंधित है। इसका मतलब यह है कि डीपीओ नियुक्त करने की बाध्यता न केवल डेटा संसाधित करने वाली कंपनियों पर लागू होती है, बल्कि उन कंपनियों पर भी लागू होती है जो अन्य प्रकार की गतिविधियों के संचालन के लिए इस प्रसंस्करण का उपयोग करती हैं।

लेकिन बड़े पैमाने पर प्रसंस्करण क्या है? जीडीपीआर इस सवाल का जवाब नहीं देता है। वादन 91 में, यह केवल इंगित करता है कि ये प्रसंस्करण संचालन हैं जो क्षेत्रीय, राष्ट्रीय या सुपरनैशनल स्तर पर व्यक्तिगत डेटा की एक महत्वपूर्ण मात्रा को संसाधित करते हैं और जो बड़ी संख्या में डेटा विषयों को प्रभावित करने की संभावना रखते हैं और जिनमें एक उच्च जोखिम शामिल हो सकता है। यह अभ्यास है जो इस मूल्य की सीमाओं को आकार देगा।

पहले से ही अब, कला की सिफारिशों में। डेटा संरक्षण के 29, बड़े पैमाने पर प्रसंस्करण के निम्नलिखित उदाहरण सामने आए:

  • अस्पताल द्वारा रोगी डेटा का प्रसंस्करण,

  • सार्वजनिक परिवहन का उपयोग करने वाले लोगों के यात्रा डेटा का प्रसंस्करण,

  • फास्ट फूड चेन के लिए एक विशेष इकाई द्वारा रीयल-टाइम जियोलोकेशन डेटा प्रोसेसिंग,

  • बैंकों/बीमाकर्ताओं द्वारा ग्राहक डेटा का प्रसंस्करण,

  • खोज इंजन द्वारा व्यवहारिक विज्ञापन के प्रयोजनों के लिए डेटा प्रोसेसिंग,

  • टेलीफोन सेवा प्रदाताओं द्वारा स्थान जैसे डेटा का प्रसंस्करण।

व्यवस्थित डेटा निगरानी के आधार के कारण एक डीपीओ नियुक्त करने के दायित्व के मामले में, जीडीपीआर प्रस्तावना का पाठ 24 मददगार साबित हो सकता है, जो नियमित और व्यवस्थित ऑनलाइन निगरानी की समझ को परिभाषित करता है, यह बताते हुए कि प्रसंस्करण ऐसा है जब डेटा विषय हैं इंटरनेट पर देखा जाता है और संभावित रूप से उस व्यक्ति के बारे में निर्णय लेने या उनकी व्यक्तिगत प्राथमिकताओं का पूर्वानुमान लगाने के लिए बाद में प्रोफाइल किया जा सकता है।

इस प्रकार, उपरोक्त को एक व्यापक आधार पर स्थानांतरित करना - यह एक व्यापक व्यावसायिक रणनीति के एक तत्व के रूप में लोगों की निरंतर, आवर्ती, नियोजित और संगठित निगरानी के बारे में है। इसलिए, डेटा को संसाधित करने वाले उद्यमी पर डीपीओ नियुक्त करने का दायित्व नहीं लगाया जाएगा, लेकिन इसकी गतिविधि की विशेषताओं के लिए लोगों की नियमित रूप से बड़े पैमाने पर निगरानी की आवश्यकता नहीं होती है।

व्यक्तिगत डेटा की विशेष श्रेणियों के प्रसंस्करण के कारण डीपीओ की अनिवार्य नियुक्ति के मामले में, सबसे महत्वपूर्ण बात यह निर्धारित करना है कि क्या उद्यमी तथाकथित प्रक्रिया को संसाधित करता है या नहीं संवेदनशील जानकारी। ये, विशेष रूप से, नस्लीय और जातीय मूल, धार्मिक विश्वास, विश्वदृष्टि, ट्रेड यूनियनों या पार्टियों में सदस्यता, राजनीतिक विचार, स्वास्थ्य, आनुवंशिक कोड, बायोमेट्रिक डेटा या यौन अभिविन्यास पर डेटा हैं।

डीपीओ नियुक्त करने की बाध्यता या ऐसी बाध्यता के अभाव की प्रक्रिया

यदि आपकी कंपनी द्वारा व्यक्तिगत डेटा का प्रसंस्करण उपरोक्त किसी भी श्रेणी में नहीं आता है, तो आप एक डीपीओ नियुक्त करने के लिए बाध्य नहीं हैं। जीडीपीआर के अनुसार, ऐसे मामले में, हालांकि, आंतरिक प्रक्रिया जिसमें व्यवस्थापक द्वारा इन शर्तों के अनुपालन का परीक्षण किया गया था, का दस्तावेजीकरण किया जाना चाहिए। जवाबदेही के सिद्धांत के अनुरूप, इसलिए इस विषय पर उपयुक्त दस्तावेज तैयार करना आवश्यक है, जिसे नई प्रसंस्करण गतिविधियों की स्थिति में अद्यतन किया जाना चाहिए।