தரவுப் பகிர்வு என்பது நவீன வர்த்தகத்தின் உயிர்நாடி. நீங்கள் ஒரு புதிய கிளவுட் வழங்குநரை வேலைக்கு அமர்த்தினாலும், ஒரு சந்தைப்படுத்தல் நிறுவனத்துடன் ஒத்துழைத்தாலும், அல்லது மூன்றாம் தரப்பு மனிதவள அமைப்பை ஒருங்கிணைத்தாலும், தனிப்பட்ட தரவு நிறுவனங்களுக்கு இடையே தொடர்ந்து பரவுகிறது. ஆனால் இங்கே சங்கடமான உண்மை என்னவென்றால்: பெரும்பாலான வணிகங்கள் பொது தரவு பாதுகாப்பு ஒழுங்குமுறை (GDPR) இன் கீழ் தரவுப் பகிர்வு பிரதிநிதித்துவப்படுத்தும் சட்டப்பூர்வ கண்ணிவெடிப் புலத்தை குறைத்து மதிப்பிடுகின்றன.
இந்த பங்குகள் உண்மையானவை. அபராதங்கள் €20 மில்லியன் அல்லது உலகளாவிய வருடாந்திர வருவாயில் 4% ஐ அடையலாம் - எது அதிகமாக இருக்கிறதோ அது. நிதி அபராதங்களுக்கு அப்பால், பாதிக்கப்பட்ட நபர்களிடமிருந்து நற்பெயர் சேதம், ஒழுங்குமுறை ஆய்வு மற்றும் சிவில் பொறுப்பு உரிமைகோரல்களுக்கு நீங்கள் ஆபத்தை விளைவிப்பீர்கள். டச்சு தரவு பாதுகாப்பு ஆணையம் (Autoriteit Persoonsgegevens, அல்லது AP) தெளிவுபடுத்தியுள்ளது: அறியாமை ஒரு பாதுகாப்பு அல்ல.
தனிப்பட்ட தரவைப் பகிரும்போது ஏற்படும் ஏழு முக்கியமான GDPR அபாயங்கள் குறித்து இந்தக் கட்டுரை உங்களுக்கு விளக்குகிறது. ஒவ்வொரு அபாயமும் குறிப்பிட்ட GDPR விதிகளில் அடிப்படையாகக் கொண்டது, நிஜ உலக விளைவுகளுடன் விளக்கப்பட்டுள்ளது, மேலும் நீங்கள் இணக்கமாக இருக்க உதவும் நடைமுறை வழிகாட்டுதலுடன் இணைக்கப்பட்டுள்ளது. நீங்கள் ஒரு வணிக உரிமையாளராக இருந்தாலும், இணக்க அதிகாரியாக இருந்தாலும் அல்லது நெதர்லாந்தில் செயல்படும் சட்ட நிபுணராக இருந்தாலும், இந்த ஆபத்துகளைப் புரிந்துகொள்வது அவசியம்.
1. செல்லுபடியாகும் சட்ட அடிப்படை இல்லாமல் தரவைப் பகிர்தல் (பிரிவு 6 GDPR)
ஆபத்து: தனிப்பட்ட தரவு வசதியானது அல்லது நன்மை பயக்கும் என்பதற்காக மட்டும் அதைப் பகிர முடியாது. GDPR பிரிவு 6 இன் கீழ் ஒவ்வொரு தரவு பகிர்வுக்கும் செல்லுபடியாகும் சட்ட அடிப்படை தேவைப்படுகிறது.
நிறுவனங்கள் ஏன் தவறாகப் புரிந்து கொள்கின்றன: பல நிறுவனங்கள் தரவைப் பகிர வணிக ரீதியான காரணம் இருந்தால் போதும் என்று கருதுகின்றன. அது இல்லை. GDPR செயலாக்கத்திற்கான ஆறு சட்டப்பூர்வ அடிப்படைகளை வழங்குகிறது: ஒப்புதல், ஒப்பந்தத் தேவை, சட்டப்பூர்வ கடமை, முக்கிய நலன்கள், பொதுப் பணி மற்றும் சட்டப்பூர்வமான நலன்கள். ஒவ்வொன்றும் குறிப்பிட்ட தேவைகள் மற்றும் வரம்புகளைக் கொண்டுள்ளன.
உதாரணமாக, கூட்டாளர்கள் அல்லது சேவை வழங்குநர்களுடன் தரவுப் பகிர்வை நியாயப்படுத்த "சட்டபூர்வமான ஆர்வங்கள்" பெரும்பாலும் பயன்படுத்தப்படுகின்றன. ஆனால் இந்த அடிப்படையில் கவனமாக சமநிலைப்படுத்தும் சோதனை தேவைப்படுகிறது: உங்கள் ஆர்வங்கள் நீங்கள் செயலாக்கும் தரவுகளின் தனிநபர்களின் உரிமைகள் மற்றும் சுதந்திரங்களை மீறக்கூடாது. மேலும் இந்த மதிப்பீட்டை நீங்கள் ஆவணப்படுத்த வேண்டும்.
சட்டப்பூர்வ அடிப்படை: பிரிவு 6 GDPR சட்டப்பூர்வ அடிப்படைகளின் முழுமையான பட்டியலை அமைக்கிறது. பிரிவு 5(1)(a) GDPR அனைத்து செயலாக்கமும் சட்டப்பூர்வமாகவும், நியாயமாகவும், வெளிப்படையாகவும் இருக்க வேண்டும் என்று கட்டளையிடுகிறது.
நிஜ உலக விளைவு: முறையான சட்ட அடிப்படை இல்லாமல் சந்தைப்படுத்தல் நோக்கங்களுக்காக வாடிக்கையாளர் தரவை மூன்றாம் தரப்பினருடன் பகிர்ந்து கொண்ட நிறுவனங்களுக்கு AP அபராதம் விதித்துள்ளது. தரவு அநாமதேயமாக்கப்பட்டாலும் அல்லது ஒருங்கிணைக்கப்பட்டாலும், மீண்டும் அடையாளம் காண முடிந்தால், அது தனிப்பட்ட தரவாகவே இருக்கும், மேலும் அதற்கு சட்டப்பூர்வ அடிப்படை தேவைப்படுகிறது.
நடைமுறை எடுத்துச் செல்லுதல்: எந்தவொரு தனிப்பட்ட தரவையும் பகிர்வதற்கு முன், எந்த சட்ட அடிப்படை பொருந்தும் என்பதைக் கண்டறிந்து ஆவணப்படுத்தவும். சட்டப்பூர்வமான நலன்களை நம்பியிருந்தால், ஒரு சட்டப்பூர்வமான நலன் மதிப்பீட்டை (LIA) நடத்தி பதிவு செய்யவும். ஒப்புதலைப் பயன்படுத்தினால், அது சுதந்திரமாக வழங்கப்படுவதையும், குறிப்பிட்டதையும், தகவலறிந்ததையும், தெளிவற்றதையும் உறுதிசெய்யவும்.
2. பாத்திரங்கள் குறித்த குழப்பம்: கட்டுப்படுத்தி vs. செயலி (கட்டுரை 4(7)–(8) GDPR)
ஆபத்து: GDPR கட்டுப்படுத்திகளை (செயலாக்கத்தின் நோக்கங்கள் மற்றும் வழிமுறைகளைத் தீர்மானிக்கும்) மற்றும் செயலிகளை (ஒரு கட்டுப்படுத்தியின் சார்பாக தரவைச் செயலாக்கும்) வேறுபடுத்துகிறது. உங்கள் பங்கை அல்லது உங்கள் கூட்டாளியின் பங்கை தவறாக அடையாளம் காண்பது கடுமையான இணக்க இடைவெளிகளை உருவாக்குகிறது.
நிறுவனங்கள் ஏன் தவறாகப் புரிந்து கொள்கின்றன: நடைமுறையில், பாத்திரங்கள் தெளிவற்றதாக இருக்கலாம். நீங்கள் ஒரு SaaS வழங்குநருடன் தரவைப் பகிர்ந்து கொண்டால், அவர்கள் ஒரு கட்டுப்படுத்தியா அல்லது செயலியா? அவர்கள் உங்கள் தரவைப் பயன்படுத்தி அவர்களின் வழிமுறைகளை மேம்படுத்தினால் என்ன செய்வது? பல வணிகங்கள் உறவை சரியாக பகுப்பாய்வு செய்யாமல் ஒவ்வொரு விற்பனையாளரையும் "செயலி" என்று அழைப்பதை வழக்கமாகக் கொண்டுள்ளன.
கட்டுப்படுத்திகளும் செயலிகளும் வெவ்வேறு கடமைகளைக் கொண்டிருப்பதால் தவறான வகைப்படுத்தல் முக்கியமானது. கட்டுப்படுத்திகள் செயலிகள் இணக்கத்திற்கு போதுமான உத்தரவாதங்களை வழங்குவதை உறுதி செய்ய வேண்டும் (பிரிவு 28 GDPR). கூட்டுக் கட்டுப்படுத்திகள் தங்கள் பொறுப்புகளில் உடன்பட வேண்டும் (பிரிவு 26 GDPR). தவறாகப் புரிந்து கொள்ளுங்கள், மேலும் நீங்கள் அறிந்திராத மீறல்களுக்கு நீங்கள் பொறுப்பேற்கப்படலாம்.
சட்டப்பூர்வ அடிப்படை: பிரிவு 4(7) மற்றும் (8) GDPR “கட்டுப்படுத்தி” மற்றும் “செயலி” ஆகியவற்றை வரையறுக்கின்றன. பிரிவு 24 GDPR கட்டுப்படுத்தியின் பொறுப்புக்கூறல் கடமைகளை கோடிட்டுக் காட்டுகிறது.
நிஜ உலக விளைவு: ஐரோப்பிய நீதிமன்றம் தீர்ப்பளித்தது ஃபேஷன் ஐடி (C-40/17) நோக்கங்களை ஓரளவு தீர்மானிப்பது கூட உங்களை ஒரு கூட்டுக் கட்டுப்பாட்டாளராக மாற்றும். இதன் பொருள் GDPR மீறல்களுக்கு, மற்றொரு தரப்பினர் காரணமாக இருந்தாலும் கூட, நீங்கள் கூட்டாகப் பொறுப்பேற்க முடியும்.
நடைமுறை எடுத்துச் செல்லுதல்: தரவு ஓட்டங்களை வரைபடமாக்கி, யார் முடிவு செய்கிறார்கள் என்பதைத் தீர்மானிக்கவும். ஏன் மற்றும் எப்படி தரவு செயலாக்கப்படுகிறது. இதை எழுத்துப்பூர்வமாக ஆவணப்படுத்தி, ஒவ்வொரு தரப்பினரும் தங்கள் பங்கு மற்றும் கடமைகளைப் புரிந்துகொள்வதை உறுதிசெய்யவும்.
3. தரவு செயலாக்க ஒப்பந்தம் விடுபட்டுள்ளது அல்லது போதுமானதாக இல்லை (பிரிவு 28 GDPR)
ஆபத்து: உங்கள் சார்பாக தனிப்பட்ட தரவைக் கையாள ஒரு செயலியை நீங்கள் ஈடுபடுத்தினால், சட்டப்பூர்வமாக உங்களிடம் எழுத்துப்பூர்வ தரவு செயலாக்க ஒப்பந்தம் (DPA) இருக்க வேண்டும். விதிவிலக்குகள் இல்லை.
நிறுவனங்கள் ஏன் தவறாகப் புரிந்து கொள்கின்றன: குறிப்பாக நம்பகமான அல்லது நீண்டகால கூட்டாளர்களுடன், ஆவணங்களைத் தவிர்ப்பது தூண்டுதலாக இருக்கும். ஆனால் இணக்கமான DPA இல்லாமல், நீங்கள் முதல் நாளிலிருந்தே பிரிவு 28 GDPR ஐ மீறுகிறீர்கள் - உண்மையில் எந்தத் தீங்கும் ஏற்படாவிட்டாலும் கூட.
ஒரு முறையான DPA குறிப்பிட்ட கட்டாய உட்பிரிவுகளைக் கொண்டிருக்க வேண்டும்: செயலாக்கத்தின் பொருள் மற்றும் கால அளவு, செயலாக்கத்தின் தன்மை மற்றும் நோக்கம், தனிப்பட்ட தரவின் வகை, தரவு பாடங்களின் வகைகள் மற்றும் கட்டுப்படுத்தியின் கடமைகள் மற்றும் உரிமைகள். இது துணை செயலாக்கம், தரவு பாதுகாப்பு மற்றும் மீறல் அறிவிப்பையும் கருத்தில் கொள்ள வேண்டும்.
சட்டப்பூர்வ அடிப்படை: பிரிவு 28(3) GDPR, DPA-வின் கட்டாய உள்ளடக்கத்தைப் பட்டியலிடுகிறது. பிரிவு 28(4) GDPR, துணைச் செயலிகளுக்கு வெளிப்படையான அங்கீகாரத்தைக் கோருகிறது.
நிஜ உலக விளைவு: போதுமான DPAக்கள் இல்லாமல் செயலிகளை ஈடுபடுத்தும் நிறுவனங்களுக்கு AP அனுமதி அளித்துள்ளது. செயலியே இணக்கமாக இருந்தாலும், முறையான ஒப்பந்தத்தில் நுழையத் தவறியதற்காக கட்டுப்படுத்திக்கு அபராதம் விதிக்கப்படலாம்.
நடைமுறை எடுத்துச் செல்லுதல்: பிரிவு 28(3) இன் அனைத்துத் தேவைகளையும் உள்ளடக்கிய ஒரு தரப்படுத்தப்பட்ட DPA டெம்ப்ளேட்டைப் பயன்படுத்தவும். ஏற்கனவே உள்ள ஒப்பந்தங்கள் GDPR-இணக்கமாக இருப்பதை உறுதிசெய்ய அவற்றை மதிப்பாய்வு செய்யவும். கையொப்பமிடப்பட்ட DPA இல்லாமல் எந்த புதிய செயலியையும் பயன்படுத்த வேண்டாம்.
4. EEA க்கு வெளியே உள்ள மூன்றாம் நாடுகளுக்கு சட்டவிரோதமான இடமாற்றம் (கட்டுரைகள் 44–49 GDPR & Schrems II)
ஆபத்து: ஐரோப்பிய பொருளாதாரப் பகுதிக்கு (EEA) வெளியே தனிப்பட்ட தரவை மாற்றுவது கடுமையாக கட்டுப்படுத்தப்பட்டுள்ளது. சேருமிட நாடு போதுமான அளவிலான பாதுகாப்பை வழங்கினால் அல்லது நீங்கள் பொருத்தமான பாதுகாப்பு நடவடிக்கைகளைச் செயல்படுத்தினால் மட்டுமே நீங்கள் அவ்வாறு செய்ய முடியும்.
நிறுவனங்கள் ஏன் தவறாகப் புரிந்து கொள்கின்றன: பல வணிகங்கள், அமெரிக்கா அல்லது ஆசியாவில் ஹோஸ்ட் செய்யப்பட்ட கிளவுட் சேவைகள், கட்டணச் செயலிகள் அல்லது பகுப்பாய்வுக் கருவிகளைப் பயன்படுத்துகின்றன, அவை சர்வதேச பரிமாற்ற விதிகளைத் தூண்டுகின்றன என்பதை உணராமலேயே. உங்கள் ஒப்பந்தம் EU நிறுவனத்துடன் இருந்தாலும், தரவு EEAக்கு வெளியே சேமிக்கப்பட்டாலோ அல்லது அணுகப்பட்டாலோ, பரிமாற்ற விதிகள் பொருந்தும்.
தி ஷ்ரெம்ஸ் II (வழக்கு C-311/18) தீர்ப்பு EU-US தனியுரிமைக் கவசத்தை செல்லாததாக்கியது மற்றும் நிலையான ஒப்பந்த உட்பிரிவுகள் (SCCs) மட்டும் போதாது என்பதை வலுப்படுத்தியது. சேருமிட நாட்டின் சட்டங்கள் SCCs ஆல் உத்தரவாதம் அளிக்கப்படும் பாதுகாப்பை குறைமதிப்பிற்கு உட்படுத்துகின்றனவா என்பதை மதிப்பிடுவதற்கு நீங்கள் பரிமாற்ற தாக்க மதிப்பீட்டை (TIA) நடத்த வேண்டும்.
சட்டப்பூர்வ அடிப்படை: பிரிவுகள் 44–49 GDPR சர்வதேச பரிமாற்றங்களை நிர்வகிக்கிறது. அத்தியாயம் V GDPR போதுமான முடிவுகள் (பிரிவு 45) அல்லது SCCகள் போன்ற பொருத்தமான பாதுகாப்புகளை (பிரிவு 46) கோருகிறது.
நிஜ உலக விளைவு: போதுமான பாதுகாப்பு நடவடிக்கைகள் இல்லாவிட்டால், மூன்றாம் நாடுகளுக்கு தரவு பரிமாற்றங்களை இடைநிறுத்தவோ அல்லது தடை செய்யவோ AP உங்களுக்கு உத்தரவிடலாம். TIA பின்தொடர்பை மேற்கொள்ளாமல் அமெரிக்காவிற்கு தரவை மாற்றியதற்காக நிறுவனங்கள் அமலாக்க நடவடிக்கை மற்றும் நற்பெயருக்கு சேதம் விளைவித்துள்ளன-ஷ்ரெம்ஸ் II.
நடைமுறை எடுத்துச் செல்லுதல்: உங்கள் தரவு ஓட்டங்களில் உள்ள அனைத்து மூன்றாம் நாடு பரிமாற்றங்களையும் அடையாளம் காணவும். போதுமான முடிவு உள்ளதா எனச் சரிபார்க்கவும். இல்லையென்றால், SCC-களை செயல்படுத்தி TIA-வை நடத்தவும். தேவைப்பட்டால் துணை நடவடிக்கைகளை ஆவணப்படுத்தவும் (எ.கா., குறியாக்கம், புனைப்பெயர்).
5. தரவு பாதுகாப்பு தாக்க மதிப்பீட்டை நடத்தத் தவறுதல் (பிரிவு 35 GDPR)
ஆபத்து: தரவுப் பகிர்வு தனிநபர்களின் உரிமைகள் மற்றும் சுதந்திரங்களுக்கு அதிக ஆபத்தை ஏற்படுத்த வாய்ப்புள்ளபோது, தரவுப் பாதுகாப்பு தாக்க மதிப்பீடு (DPIA) கட்டாயமாகும். இதில் சிறப்பு வகை தரவுகளின் பெரிய அளவிலான செயலாக்கம், முறையான கண்காணிப்பு அல்லது புதிய தொழில்நுட்பங்களைப் பயன்படுத்துதல் ஆகியவை அடங்கும்.
நிறுவனங்கள் ஏன் தவறாகப் புரிந்து கொள்கின்றன: பல நிறுவனங்கள் DPIA-க்களை விருப்பத்தேர்வாகவோ அல்லது "பெரிய" திட்டங்களுக்கு மட்டுமே பொருத்தமானதாகவோ கருதுகின்றன. உண்மையில், மூன்றாம் தரப்பு பகுப்பாய்வு தளத்துடன் சுகாதாரத் தரவைப் பகிர்வது, AI-இயக்கப்படும் விவரக்குறிப்பு கருவிகளைப் பயன்படுத்துவது அல்லது பல மூலங்களிலிருந்து தரவுத்தொகுப்புகளை இணைப்பது அனைத்தும் DPIA தேவையைத் தூண்டும்.
DPIA என்பது வெறும் பாக்ஸ்-டிக் செய்யும் பயிற்சி அல்ல. இது அபாயங்களை அடையாளம் காணவும், அவற்றின் தீவிரத்தை மதிப்பிடவும், அவற்றைத் தணிப்பதற்கான நடவடிக்கைகளைத் தீர்மானிக்கவும் ஒரு கட்டமைக்கப்பட்ட செயல்முறையாகும். மீதமுள்ள அபாயங்கள் அதிகமாக இருந்தால், தொடர்வதற்கு முன் நீங்கள் AP-ஐ அணுக வேண்டும்.
சட்டப்பூர்வ அடிப்படை: பிரிவு 35 GDPR, அதிக ஆபத்துள்ள செயலாக்கத்திற்கு DPIAக்களை கட்டாயமாக்குகிறது. DPIA எப்போது தேவைப்படுகிறது என்பது குறித்த வழிகாட்டுதல்களை AP வெளியிட்டுள்ளது.
நிஜ உலக விளைவு: தேவைப்படும்போது DPIA-வை நடத்தத் தவறுவது GDPR மீறலாகும். உண்மையான தரவு மீறல் எதுவும் நிகழாதபோதும், DPIA-வை முடிக்காமல் அதிக ஆபத்துள்ள தரவுப் பகிர்வைத் தொடர்ந்ததற்காக AP நிறுவனங்களுக்கு அபராதம் விதித்துள்ளது.
நடைமுறை எடுத்துச் செல்லுதல்: DPIA தூண்டுதல்களுக்கான அனைத்து தரவு பகிர்வு நடவடிக்கைகளையும் சரிபார்க்கவும். சந்தேகம் இருந்தால், ஒன்றை மேற்கொள்ளவும். உங்கள் தரவு பாதுகாப்பு அதிகாரியை (DPO) ஈடுபடுத்தி மதிப்பீட்டு செயல்முறையை முழுமையாக ஆவணப்படுத்தவும்.
6. தரவுப் பொருள்களுக்குப் போதுமான தகவல் இல்லாதது (கட்டுரைகள் 13 & 14 GDPR)
ஆபத்து: வெளிப்படைத்தன்மை என்பது GDPR இன் ஒரு அடிப்படைக் கொள்கையாகும். நீங்கள் தனிப்பட்ட தரவைச் சேகரிக்கும்போதோ அல்லது பகிரும்போதோ, யார் தங்கள் தரவைப் பெறுவார்கள், எந்த நோக்கத்திற்காக, எந்த சட்ட அடிப்படையில் என்பது குறித்து தரவுப் பொருள்களுக்குத் தெரிவிக்க வேண்டும்.
நிறுவனங்கள் ஏன் தவறாகப் புரிந்து கொள்கின்றன: தனியுரிமை அறிவிப்புகள் பெரும்பாலும் தெளிவற்றதாகவோ அல்லது காலாவதியானதாகவோ இருக்கும். “உங்கள் தரவை நம்பகமான கூட்டாளர்களுடன் நாங்கள் பகிர்ந்து கொள்ளலாம்” போன்ற சொற்றொடர்கள் அதைக் குறைக்காது. பெறுநர்களின் வகைகளை (எ.கா., “கிளவுட் ஹோஸ்டிங் வழங்குநர்கள்,” “மார்க்கெட்டிங் ஏஜென்சிகள்”) நீங்கள் குறிப்பிட வேண்டும், மேலும் பொருத்தமான இடங்களில் அவற்றைப் பெயரிட வேண்டும்.
தரவு மறைமுகமாகப் பெறப்படும்போது - எடுத்துக்காட்டாக, ஒரு தரவு தரகர் அல்லது மற்றொரு கட்டுப்பாட்டாளரிடமிருந்து - பிரிவு 14 GDPR தரவின் மூலத்தையும் சேர்த்து கூடுதல் தகவல் கடமைகளை விதிக்கிறது.
சட்டப்பூர்வ அடிப்படை: தரவுப் பொருள்களுக்கு வழங்கப்பட வேண்டிய தகவல்களை GDPR பிரிவுகள் 13 மற்றும் 14 பட்டியலிடுகின்றன. பிரிவு 5(1)(a) GDPR அனைத்து செயலாக்க நடவடிக்கைகளிலும் வெளிப்படைத்தன்மையைக் கோருகிறது.
நிஜ உலக விளைவு: தனிநபர்களின் தரவு மூன்றாம் தரப்பினருடன் பகிரப்படுவதைத் தெரிவிக்கத் தவறிய நிறுவனங்களுக்கு ஆந்திர அரசு தடை விதித்துள்ளது. பகிர்வு சட்டப்பூர்வமாக இருந்தாலும், போதுமான வெளிப்படைத்தன்மை இல்லாதது முழுமையான மீறலாகும்.
நடைமுறை எடுத்துச் செல்லுதல்: தரவு பகிர்வு நடைமுறைகளை தெளிவாக விவரிக்க உங்கள் தனியுரிமை அறிவிப்புகளை மதிப்பாய்வு செய்து புதுப்பிக்கவும். அறிவிப்புகள் எளிதில் அணுகக்கூடியதாகவும், எளிய மொழியில் எழுதப்பட்டதாகவும் இருப்பதை உறுதிசெய்யவும். புதிய கூட்டாளர்களுடன் தரவைப் பகிரும்போது, பகிர்வு தொடங்குவதற்கு முன்பு உங்கள் அறிவிப்புகளைப் புதுப்பிக்கவும்.
7. தவறான பாதுகாப்பு உணர்வாகப் புனைப்பெயர் சூட்டுதல்
ஆபத்து: நேரடி அடையாளங்காட்டிகளை குறியீடுகள் அல்லது டோக்கன்களால் மாற்றும் போலிப் பெயர் மாற்றம் GDPR இன் கீழ் ஒரு பாதுகாப்பு நடவடிக்கையாக ஊக்குவிக்கப்படுகிறது. ஆனால் இது தரவை அநாமதேயமாக வழங்காது. தரவை இன்னும் ஒரு தனிநபருடன் இணைக்க முடிந்தால், அது தனிப்பட்ட தரவாகவே இருக்கும், மேலும் GDPR இன் முழு நோக்கத்திற்கும் உட்பட்டது.
நிறுவனங்கள் ஏன் தவறாகப் புரிந்து கொள்கின்றன: வணிகங்கள் பெரும்பாலும் புனைப்பெயர் தரவு கட்டுப்பாடுகள் இல்லாமல் பகிர்வது "பாதுகாப்பானது" என்று கருதுகின்றன. நடைமுறையில், புனைப்பெயர் ஆபத்தை மட்டுமே குறைக்கிறது; அது அதை அகற்றாது. சாவியை அணுகக்கூடிய ஒரு கூட்டாளருடன் அல்லது மறு அடையாளத்தை செயல்படுத்தும் பிற தரவுத்தொகுப்புகளுடன் நீங்கள் புனைப்பெயர் தரவைப் பகிர்ந்து கொண்டால், நீங்கள் இன்னும் தனிப்பட்ட தரவைச் செயலாக்குகிறீர்கள்.
சட்டப்பூர்வ அடிப்படை: பிரிவு 4(5) GDPR புனைப்பெயர் மாற்றத்தை வரையறுக்கிறது. மறுபரிசீலனை 26 GDPR, புனைப்பெயர் மாற்றப்பட்ட தரவு உண்மையிலேயே அநாமதேயமாக்கப்படாவிட்டால் அது தனிப்பட்ட தரவாகவே இருக்கும் என்பதை தெளிவுபடுத்துகிறது (அதாவது, எந்தவொரு நியாயமான வழிமுறைகளாலும் மறு அடையாளம் காண முடியாது).
நிஜ உலக விளைவு: புனைப்பெயர் சூட்டுதல் என்பது "சிறையிலிருந்து வெளியேறுவதற்கான" அட்டை அல்ல என்று AP வழிகாட்டுதலில் தெளிவுபடுத்தியுள்ளது. மறு அடையாளம் காணல் சாத்தியமானால், சட்ட அடிப்படையைக் கொண்டிருப்பது, DPIAக்களை நடத்துவது மற்றும் போதுமான பாதுகாப்பை உறுதி செய்வது உள்ளிட்ட அனைத்து GDPR கடமைகளும் பொருந்தும்.
நடைமுறை எடுத்துச் செல்லுதல்: நிபுணர்களால் சரிபார்க்கப்பட்ட கடுமையான அநாமதேயமாக்கல் செயல்முறைக்கு உட்படுத்தப்படாவிட்டால், புனைப்பெயர் சூட்டப்பட்ட தரவை தனிப்பட்ட தரவாகக் கருதுங்கள். மீண்டும் அடையாளம் காணப்படுவதைத் தடுக்க நடைமுறையில் உள்ள தொழில்நுட்ப மற்றும் நிறுவன நடவடிக்கைகளை ஆவணப்படுத்தவும்.
அடிக்கடி கேட்கப்படும் கேள்விகள்
GDPR இன் கீழ் தரவுப் பகிர்வு எப்போது அனுமதிக்கப்படுகிறது?
பிரிவு 6 GDPR இன் கீழ் உங்களிடம் செல்லுபடியாகும் சட்ட அடிப்படை இருந்தால் மட்டுமே தரவு பகிர்வு சட்டப்பூர்வமானது. ஆறு சட்ட அடிப்படைகள்: ஒப்புதல், ஒப்பந்தத் தேவை, சட்டப்பூர்வ கடமை, முக்கிய நலன்கள், பொதுப் பணி மற்றும் சட்டப்பூர்வ நலன்கள். சட்டபூர்வமான தன்மை, நியாயத்தன்மை, வெளிப்படைத்தன்மை, நோக்க வரம்பு, தரவு குறைப்பு, துல்லியம், சேமிப்பக வரம்பு, ஒருமைப்பாடு மற்றும் ரகசியத்தன்மை (பிரிவு 5 GDPR) ஆகிய கொள்கைகளையும் நீங்கள் பின்பற்ற வேண்டும். நடைமுறையில், இதன் பொருள் நீங்கள் தரவை ஏன் பகிர்கிறீர்கள் என்பதை தெளிவாக ஆவணப்படுத்துதல், நோக்கம் நீங்கள் முதலில் ஏன் சேகரித்தீர்கள் என்பதோடு ஒத்துப்போகிறது என்பதை உறுதி செய்தல் மற்றும் தரவு பாடங்களுக்கு பகிர்வு பற்றித் தெரிவித்தல்.
கட்டுப்படுத்திக்கும் செயலிக்கும் என்ன வித்தியாசம்?
A கட்டுப்படுத்தி தனிப்பட்ட தரவை செயலாக்குவதற்கான நோக்கங்கள் மற்றும் வழிமுறைகளைத் தீர்மானிக்கிறது. அ செயலி குறிப்பிட்ட வழிமுறைகளின் கீழ் கட்டுப்படுத்தியின் சார்பாக தரவை செயலாக்குகிறது. இந்த வேறுபாடு முக்கியமானது, ஏனெனில் கட்டுப்படுத்திகள் முதன்மையாக GDPR இணக்கத்திற்கு பொறுப்பாவார்கள், அதே நேரத்தில் செயலிகள் அதிக வரையறுக்கப்பட்ட கடமைகளைக் கொண்டுள்ளன (முக்கியமாக பாதுகாப்பு மற்றும் ரகசியத்தன்மையை உறுதி செய்தல்). உங்கள் அறிவுறுத்தல்களின்படி அதைச் செயலாக்கும் ஒரு சப்ளையருடன் நீங்கள் தரவைப் பகிர்கிறீர்கள் என்றால் - எடுத்துக்காட்டாக, ஒரு ஊதிய வழங்குநர் அல்லது கிளவுட் சேமிப்பக சேவை - அவர்கள் பொதுவாக ஒரு செயலி. அவர்கள் தங்கள் சொந்த நோக்கங்களுக்காக தரவை எவ்வாறு பயன்படுத்துவது என்பதையும் முடிவு செய்தால், அவர்கள் ஒரு (கூட்டு) கட்டுப்படுத்தியாக இருக்கலாம். பாத்திரங்களை தவறாக அடையாளம் காண்பது பொறுப்புக்கூறலில் இடைவெளிகளுக்கும் மீறல்களுக்கான கூட்டுப் பொறுப்பிற்கும் வழிவகுக்கும்.
தரவு செயலாக்க ஒப்பந்தம் (DPA) எப்போது கட்டாயமாகும்?
உங்கள் சார்பாக தனிப்பட்ட தரவைக் கையாள ஒரு செயலியை நீங்கள் ஈடுபடுத்தும் போதெல்லாம் ஒரு DPA கட்டாயமாகும் (பிரிவு 28 GDPR). உங்கள் நிறுவனத்தின் அளவு அல்லது சம்பந்தப்பட்ட தரவின் அளவைப் பொருட்படுத்தாமல் இது பொருந்தும். DPA எழுத்துப்பூர்வமாக இருக்க வேண்டும் மற்றும் செயலாக்கத்தின் பொருள் மற்றும் கால அளவு, தன்மை மற்றும் நோக்கம், தரவு வகைகள் மற்றும் தரவு பாடங்களின் வகைகள் மற்றும் பாதுகாப்பு, மீறல் அறிவிப்பு மற்றும் துணை செயலாக்கம் தொடர்பான இரு தரப்பினரின் கடமைகள் போன்ற குறிப்பிட்ட கட்டாய உட்பிரிவுகளை உள்ளடக்கியிருக்க வேண்டும். இணக்கமான DPA இல்லாமல், எந்தத் தீங்கும் ஏற்படாவிட்டாலும், செயலி செயலாக்கத் தொடங்கும் தருணத்திலிருந்து நீங்கள் மீறலில் இருக்கிறீர்கள்.
ஐரோப்பிய ஒன்றியத்திற்கு வெளியே உள்ள ஒரு தரப்பினருடன் வாடிக்கையாளர் தரவைப் பகிர முடியுமா?
ஆம், ஆனால் கடுமையான நிபந்தனைகள் பூர்த்தி செய்யப்பட்டால் மட்டுமே. GDPR பிரிவுகள் 44–49 இன் கீழ், நீங்கள் தரவை மூன்றாவது நாட்டிற்கு மாற்றலாம்: (அ) ஐரோப்பிய ஆணையம் அந்த நாட்டிற்கு போதுமான முடிவை வெளியிட்டிருந்தால், அல்லது (ஆ) நிலையான ஒப்பந்த உட்பிரிவுகள் (SCCs) போன்ற பொருத்தமான பாதுகாப்புகளை நீங்கள் வைத்திருந்தால். ஷ்ரெம்ஸ் II தீர்ப்பின்படி, சேருமிட நாட்டின் சட்டங்கள் (எ.கா., அரசாங்க கண்காணிப்பு) SCC களால் உத்தரவாதம் அளிக்கப்பட்ட பாதுகாப்பை குறைமதிப்பிற்கு உட்படுத்துகின்றனவா என்பதை மதிப்பிடுவதற்கு நீங்கள் ஒரு பரிமாற்ற தாக்க மதிப்பீட்டை (TIA) நடத்த வேண்டும். அபாயங்கள் தொடர்ந்தால், குறியாக்கம் அல்லது தரவு குறைப்பு போன்ற துணை நடவடிக்கைகளை நீங்கள் செயல்படுத்த வேண்டும். போதுமான பாதுகாப்புகள் இல்லாத இடமாற்றங்கள் AP ஆல் அமலாக்க நடவடிக்கைக்கு வழிவகுக்கும், இதில் பரிமாற்றத்தை நிறுத்தி வைப்பது உட்பட.
தரவு பகிர்வுக்கு எப்போது DPIA தேவைப்படுகிறது?
தனிநபர்களின் உரிமைகள் மற்றும் சுதந்திரங்களுக்கு அதிக ஆபத்தை விளைவிக்கும் போது, GDPR பிரிவு 35 இன் கீழ் DPIA கட்டாயமாகும். இதில் அடங்கும்: சிறப்பு வகை தரவுகளின் பெரிய அளவிலான செயலாக்கம் (எ.கா., சுகாதாரம், பயோமெட்ரிக், மரபணு தரவு), பொதுவில் அணுகக்கூடிய பகுதிகளை முறையாக கண்காணித்தல், சட்ட அல்லது இதே போன்ற குறிப்பிடத்தக்க விளைவுகளுடன் தானியங்கி முடிவெடுத்தல் மற்றும் புதிய தொழில்நுட்பங்களைப் பயன்படுத்துதல். தரவைப் பகிரும்போது, தரவுத்தொகுப்புகளை இணைத்தல், முக்கியமான தகவல்களைப் பகிர்தல் அல்லது சுயவிவரம் அல்லது AI-இயக்கப்படும் பகுப்பாய்வுகளுக்கு தரவைப் பயன்படுத்துதல் போன்ற செயல்களில் DPIA பெரும்பாலும் தேவைப்படுகிறது. DPIA தேவைப்படும் செயலாக்க செயல்பாடுகளின் பட்டியலை AP வெளியிட்டுள்ளது. சந்தேகம் இருந்தால், ஒன்றைச் செய்யுங்கள் - வருந்துவதை விட பாதுகாப்பாக இருப்பது நல்லது.
GDPR ஐ மீறியதற்காக நிறுவனங்கள் என்ன அபராதங்களை எதிர்கொள்ளலாம்?
GDPR இரண்டு அடுக்கு அபராதங்களை வழங்குகிறது. கீழ் அடுக்கு - €10 மில்லியன் அல்லது உலகளாவிய வருடாந்திர வருவாயில் 2% வரை - பொருத்தமான பாதுகாப்பு நடவடிக்கைகளைச் செயல்படுத்தத் தவறியது அல்லது தேவைப்படும்போது DPIA ஐ நடத்தாதது போன்ற மீறல்களுக்குப் பொருந்தும். உயர் அடுக்கு - €20 மில்லியன் அல்லது உலகளாவிய வருடாந்திர வருவாயில் 4% வரை - செயலாக்கத்திற்கான சட்டப்பூர்வ அடிப்படை இல்லாதது, சட்டவிரோத சர்வதேச பரிமாற்றங்கள் அல்லது தரவு பாடங்களின் உரிமைகளை மீறுதல் உள்ளிட்ட மிகவும் கடுமையான மீறல்களுக்குப் பொருந்தும். மீறலின் தன்மை மற்றும் தீவிரம், அது வேண்டுமென்றே அல்லது அலட்சியமாக இருந்ததா, பாதிக்கப்பட்ட நபர்களின் எண்ணிக்கை மற்றும் எடுக்கப்பட்ட எந்தவொரு தணிப்பு நடவடிக்கைகள் உள்ளிட்ட காரணிகளின் அடிப்படையில் AP அபராதத் தொகையை தீர்மானிக்கிறது. சமீபத்திய அமலாக்கம், AP கணிசமான அபராதங்களை விதிக்கத் தயாராக இருப்பதைக் காட்டுகிறது, குறிப்பாக முறையான அல்லது வேண்டுமென்றே மீறல்களுக்கு.
புனைப்பெயர் சூட்டப்பட்ட தரவு எப்போதும் பகிர்வது பாதுகாப்பானதா?
இல்லை. புனைப்பெயர் மாற்றுதல் ஆபத்தை குறைக்கிறது ஆனால் அதை நீக்குவதில்லை. பிரிவு 4(5) GDPR இன் கீழ், புனைப்பெயர் மாற்றுதல் என்பது நேரடி அடையாளங்காட்டிகளை (பெயர்கள் போன்றவை) குறியீடுகள் அல்லது புனைப்பெயர்களால் மாற்றுவதாகும். இருப்பினும், தரவை இன்னும் ஒரு தனிநபருடன் இணைக்க முடிந்தால் - எடுத்துக்காட்டாக, நீங்கள் அல்லது பெறுநர் வைத்திருக்கும் கூடுதல் தகவல்களைப் பயன்படுத்துவதன் மூலம் - அது தனிப்பட்ட தரவாகவே உள்ளது மற்றும் GDPR க்கு முழுமையாக உட்பட்டது. இதன் பொருள் உங்களுக்கு இன்னும் சட்டப்பூர்வ அடிப்படை தேவை, தரவு பாடங்களுக்குத் தெரிவிக்க வேண்டும், மேலும் போதுமான பாதுகாப்பை உறுதி செய்ய வேண்டும். உண்மையான அநாமதேயமாக்கல் மட்டுமே - எந்த நியாயமான வழிமுறைகளாலும் மறு அடையாளம் காண முடியாத இடத்தில் - GDPR இன் நோக்கத்திலிருந்து தரவை நீக்குகிறது. நடைமுறையில், உண்மையான அநாமதேயமாக்கலை அடைவது கடினம் மற்றும் நிபுணர் சரிபார்ப்பு தேவைப்படுகிறது.
சட்டவிரோத தரவுப் பகிர்வு காரணமாக எனது வணிகத்தில் தரவு மீறல் ஏற்பட்டால் நான் என்ன செய்ய வேண்டும்?
சட்டவிரோத தரவுப் பகிர்வால் ஏற்பட்ட ஒன்று உட்பட, தனிப்பட்ட தரவு மீறலை நீங்கள் கண்டறிந்தால், உங்களுக்கு 72 மணி பிரிவு 33 GDPR இன் கீழ் AP-க்கு அறிவிக்க (மீறல் தனிநபர்களின் உரிமைகள் மற்றும் சுதந்திரங்களுக்கு ஆபத்தை ஏற்படுத்த வாய்ப்பில்லை என்றால் தவிர). மீறல் அவர்களுக்கு அதிக ஆபத்தை ஏற்படுத்த வாய்ப்புள்ளதா என்பதை நீங்கள் தேவையற்ற தாமதமின்றி பாதிக்கப்பட்ட நபர்களுக்கும் தெரிவிக்க வேண்டும் (பிரிவு 34 GDPR). உடனடி படிகளில் பின்வருவன அடங்கும்: மீறலைக் கட்டுப்படுத்துதல், அதன் நோக்கம் மற்றும் தாக்கத்தை மதிப்பிடுதல், என்ன நடந்தது மற்றும் அதைப் பற்றி நீங்கள் என்ன செய்கிறீர்கள் என்பதை ஆவணப்படுத்துதல் மற்றும் AP-க்கு அவர்களின் ஆன்லைன் போர்டல் மூலம் தெரிவித்தல். அறிவிக்கத் தவறினால் தனி அபராதம் விதிக்கப்படலாம். மீறலின் தீவிரம் மற்றும் உங்கள் பதிலின் அடிப்படையில் அமலாக்க நடவடிக்கை தேவையா என்பதை AP மதிப்பிடும்.
உங்கள் வணிகத்தைப் பாதுகாக்கவும்—நிபுணர் சட்ட வழிகாட்டுதலைப் பெறுங்கள்
தரவுப் பகிர்வு தவிர்க்க முடியாதது, ஆனால் GDPR மீறல்கள் அப்படி இருக்க வேண்டிய அவசியமில்லை. மேலே குறிப்பிட்டுள்ள ஏழு அபாயங்களும் தத்துவார்த்தமானவை அல்ல - அவை உண்மையான அமலாக்க வழக்குகள், நீதிமன்ற தீர்ப்புகள் மற்றும் ஒழுங்குமுறை வழிகாட்டுதல்களிலிருந்து பெறப்படுகின்றன. அவை ஒவ்வொன்றும் அபராதங்கள், பொறுப்பு உரிமைகோரல்கள் மற்றும் நற்பெயருக்கு சேதம் விளைவிக்கும்.
நல்ல செய்தி என்ன? சரியான சட்ட கட்டமைப்பு, தெளிவான ஆவணங்கள் மற்றும் முன்னெச்சரிக்கை இணக்க நடவடிக்கைகள் மூலம், நீங்கள் தரவை நம்பிக்கையுடனும் சட்டப்பூர்வமாகவும் பகிர்ந்து கொள்ளலாம். ஆனால் அதைச் சரியாகப் பெறுவதற்கு பொதுவான ஆலோசனையை விட அதிகமாக தேவைப்படுகிறது - இதற்கு உங்கள் வணிகம், உங்கள் தரவு ஓட்டங்கள் மற்றும் நீங்கள் எதிர்கொள்ளும் குறிப்பிட்ட அபாயங்களைப் புரிந்துகொள்ளும் தனிப்பயனாக்கப்பட்ட சட்ட ஆதரவு தேவைப்படுகிறது.
AP வரும் வரை காத்திருக்க வேண்டாம். உங்கள் தரவுப் பகிர்வு நடைமுறைகள் GDPR-க்கு இணங்குமா என்பது உங்களுக்குத் தெரியாவிட்டால், அல்லது DPA-க்களை உருவாக்குதல், DPIA-களை நடத்துதல் அல்லது சர்வதேச பரிமாற்றங்களை நிர்வகித்தல் ஆகியவற்றில் உங்களுக்கு உதவி தேவைப்பட்டால், ஒரு சிறப்பு தனியுரிமை வழக்கறிஞரைத் தொடர்பு கொள்ளுங்கள். உங்கள் வணிகமும் உங்கள் வாடிக்கையாளர்களும் இதற்குக் குறைவான தகுதியற்றவர்கள்.
