पर्सनल डेटा प्रोटेक्शन (पीडीपी) बिल, 2019 में यूरोपीय संघ के जनरल डेटा प्रोटेक्शन रेगुलेशन (जीपीआरपी) में महत्वपूर्ण समानताएं हैं।

इस सप्ताह लोकसभा में पेश किया गया पर्सनल डेटा प्रोटेक्शन (पीडीपी) विधेयक, 2019 को एक संयुक्त चयन समिति को भेजा गया है। इसमें यूरोपीय संघ के जनरल डेटा प्रोटेक्शन रेगुलेशन (GDPR) में महत्वपूर्ण समानताएं हैं। ये दो अतिव्यापी डेटा नियम एक-दूसरे को कुछ मायनों में आईना दिखाते हैं, लेकिन कुछ उल्लेखनीय विचलन भी प्रस्तुत करते हैं।

जहां ये अलग हैं

विदेश में डेटा ट्रांसफर: GDPR और PDP बिल के बीच एक महत्वपूर्ण अंतर यह तय करना है कि डेटा देश को छोड़ सकता है या नहीं। दोनों एक सरकारी प्राधिकरण को यह तय करने की शक्ति देते हैं कि क्या डेटा ट्रांसफर हो सकता है, लेकिन जीडीपीआर इस निर्णय के मापदंडों को अधिक स्पष्ट रूप से बताता है। उनका “पर्याप्तता निर्णय” देश के कानून, प्राधिकरणों और अन्य अंतरराष्ट्रीय प्रतिबद्धताओं के आधार पर बनाया गया है। यदि कानूनी रूप से बाध्यकारी नियम या इसके लिए अनुमति देने वाले अन्य आचार संहिता हैं, तो इस निर्णय के बिना स्थानांतरण किया जा सकता है। पीडीपी केवल यह बताता है कि प्राधिकरण को डेटा प्राप्त करने में दूसरे देश की “पर्याप्तता” के बारे में अधिक विवरण निर्दिष्ट किए बिना, विदेश में किसी भी संवेदनशील व्यक्तिगत डेटा के हस्तांतरण की मंजूरी लेनी होगी।

स्वचालित निर्णय: जीडीपीआर बहुत अधिक सीधे स्वचालित निर्णय लेने से व्यक्तिगत नुकसान को संबोधित करता है। पीडीपी विधेयक में बड़े पैमाने पर प्रोफाइलिंग के मामलों में एक मूल्यांकन की आवश्यकता होती है, लेकिन नागरिकों को बच्चों के मामलों को छोड़कर, प्रोफाइलिंग पर ऑब्जेक्ट करने का अधिकार नहीं देता है। इस निर्णय में शामिल है, उदाहरण के लिए, एक निगम आपके क्रेडिट स्कोर को तय करने के साथ-साथ एक व्यक्ति को विज्ञापन के साथ लक्षित करने के लिए प्रोफाइलिंग करता है जो अब डेटा अर्थव्यवस्था का आधार बन गया है। GDPR बताता है: “जहां व्यक्तिगत डेटा को सीधे विपणन के उद्देश्यों के लिए संसाधित किया जाता है, डेटा विषय को इस तरह के प्रसंस्करण पर आपत्ति करने का अधिकार होना चाहिए, जिसमें इस हद तक रूपरेखा शामिल है कि यह इस तरह के प्रत्यक्ष विपणन से संबंधित है,” चाहे प्रारंभिक या आगे की प्रक्रिया के संबंध में, किसी भी समय और नि: शुल्क। यह अधिकार स्पष्ट रूप से डेटा विषय के ध्यान में लाया जाना चाहिए और स्पष्ट रूप से और किसी भी अन्य जानकारी से अलग प्रस्तुत किया जाना चाहिए।”

व्यक्तिगत डेटा प्रकार: विशेष रूप से महत्वपूर्ण प्रकार के डेटा पर विशेष ध्यान देने के लिए, भारत का पीडीपी बिल व्यक्तिगत डेटा को अधिक स्पष्ट रूप से वर्गीकृत करता है। भारतीय विधेयक में, संवेदनशील व्यक्तिगत डेटा नामक व्यक्तिगत डेटा की एक उप-श्रेणी में स्वास्थ्य, वित्तीय, जाति और बायोमेट्रिक डेटा सहित एक पूर्व-निर्धारित सूची है। यह GDPR में “विशेष श्रेणियों” की सूची जैसा दिखता है, लेकिन GDPR में इस प्रकार के डेटा के लिए अलग-अलग स्थानीयकरण नियम नहीं हैं। दूसरी ओर, पीडीपी विधेयक, संवेदनशील व्यक्तिगत डेटा को विदेशों में संग्रहीत करने की अनुमति नहीं देता है और केवल प्राधिकारी अनुमोदन के साथ विदेशों में संसाधित किया जा सकता है। इसके अलावा, पीडीपी विधेयक “महत्वपूर्ण व्यक्तिगत डेटा” को एक खुली श्रेणी के रूप में वर्गीकृत करता है जिसमें सरकार समय-समय पर परिभाषित कर सकती है। पीडीपी के अनुसार, भंडारण या प्रसंस्करण के लिए महत्वपूर्ण व्यक्तिगत डेटा कभी भी देश को नहीं छोड़ सकता है। पीडीपी बिल, ड्राफ्ट बिल के विपरीत, भारत सरकार को “गैर-व्यक्तिगत डेटा”, या अज्ञात डेटा प्रदान करने के लिए डेटा को संभालने वाली किसी भी इकाई को निर्देशित करने की अनुमति दी है। दूसरी ओर जीडीपीआर में कहा गया है: “यह विनियमन इसलिए इस तरह की अनाम जानकारी के प्रसंस्करण की चिंता नहीं करता है, जिसमें सांख्यिकीय या अनुसंधान उद्देश्य शामिल है।”

पर्यवेक्षण और डेटा हैंडलिंग: GDPR बिल इस विषय की देखरेख करने के लिए US के प्रत्येक सदस्य राज्यों में बनाए गए “पर्यवेक्षी अधिकारियों” को व्यापक-विवेक प्रदान करता है। विधेयक के पहलू, जैसे दंड, इन प्राधिकरणों के लिए छोड़ दिए जाते हैं।

जहां वे एक समान हैं

अपवाद:भारतीय विधेयक और यूरोपीय संघ के विनियमन को दिए गए अपवाद समान दिखते हैं। दोनों आपराधिक अपराधों की रोकथाम, जांच, पहचान या अभियोजन के लिए डेटा प्रोसेसिंग की अनुमति देते हैं। दोनों “सार्वजनिक सुरक्षा”, “रक्षा” और “न्यायिक” कार्यवाही पर भी चर्चा करते हैं। जीडीपीआर में कहा गया है: “यह विनियमन मौलिक अधिकारों और स्वतंत्रता के संरक्षण या गतिविधियों से संबंधित व्यक्तिगत डेटा के मुक्त प्रवाह पर लागू नहीं होता है जो कि संघ कानून के दायरे से बाहर हैं, जैसे कि राष्ट्रीय सुरक्षा से संबंधित गतिविधियाँ। यह विनियमन सदस्य राज्यों द्वारा व्यक्तिगत डेटा के प्रसंस्करण पर लागू नहीं होता है जब संघ के सामान्य विदेशी और सुरक्षा के संबंध में गतिविधियों को पूरा करता है।”

सहमति: पीडीपी बिल और जीडीपीआर की स्थापना सहमति की अवधारणा पर की जाती है। दूसरे शब्दों में, जब व्यक्ति इसे अनुमति देता है तो डेटा प्रोसेसिंग की अनुमति दी जानी चाहिए। सहमति “समान”, “विशिष्ट” और “सूचित” जैसे शब्दों के साथ समान अर्थों को वहन करती है। “उचित अपेक्षाएँ” प्रसंस्करण के लिए एक पैरामीटर भी हैं, जैसा कि संग्रह के लिए और उद्देश्यों के संग्रह को सीमित कर रहा है। उन्होंने बच्चों को सहमति देने की क्षमता की कमी के कारण दोनों को विशेष सुरक्षा प्रदान की।

व्यक्तिगत अधिकार: दोनों को व्यक्ति के समान अधिकार दिए गए हैं, जिसमें सुधार का अधिकार, डेटा पोर्टेबिलिटी का अधिकार (आपके डेटा को किसी अन्य इकाई में स्थानांतरित करना), और भूल जाने का अधिकार (आपके डेटा के प्रकटीकरण को मिटाने का अधिकार) शामिल है। लेकिन, जैसा कि ऊपर उल्लेख किया गया है, प्रोफाइलिंग पर आपत्ति का अधिकार जीडीपीआर में है न कि पीडीपी बिल में।

अन्य समानताएँ: दोनों ही फ़िड्यूशरी पर जिम्मेदारी डालती हैं, जैसे उत्पादों का निर्माण करना जिसमें उनके डिजाइन से गोपनीयता और उनके डेटा से संबंधित मामलों के बारे में पारदर्शिता शामिल है। GDPR में यूरोपियन डेटा प्रोटेक्शन बोर्ड और PDP बिल में डेटा प्रोटेक्शन अथॉरिटी के कुछ समान कर्तव्य हैं, जैसे विवाद समाधान और आचार संहिता।

Source: The Indian Express

Relevant for GS Prelims & Mains Paper III; Science & Technology