സ്വകാര്യവിവരങ്ങള് ശേഖരിക്കുന്നതിനും പ്രോസസ് ചെയ്യുന്നതിലും നിയന്ത്രണം ഏര്പ്പെടുത്തിക്കൊണ്ട് യൂറോപ്യന് യൂണിയന് കൊണ്ടുവന്ന ജിഡിപിആര് നിയമങ്ങള് യൂറോപ്യന് യൂണിയനിലെമ്പാടും പ്രാബല്യത്തിലായിട്ടുണ്ട്. ജിഡിപിആറിനെപ്പറ്റി റിയാദ് എം ആര് എഴുതുന്നു
ഈയടുത്ത കാലത്തായി കേട്ടിട്ടുള്ള ഏറ്റവും പരിചിതമായ വാക്കായിരിക്കും ജിഡിപിആര് (GDPR -General Data Protection Regulation). വ്യക്തികളുടെ സ്വകാര്യവിവരങ്ങള് ശേഖരിക്കുന്നതിനും പ്രോസസ് ചെയ്യുന്നതിലും നിയന്ത്രണം ഏര്പ്പെടുത്തിക്കൊണ്ട് യൂറോപ്യന് യൂണിയന് കൊണ്ടുവന്ന ഒരു കൂട്ടം നിയമങ്ങളാണു ജെനറല് ഡാറ്റ പ്രൊട്ടക്ഷന് റെഗുലേഷന് എന്നറിയപ്പെടുന്നത്. മേയ് 25 മുതല് ഈ നിയമം പ്രാബല്യത്തില് വന്നിട്ടുണ്ട്.
2012 ജനുവരി മാസമാണു യൂറോപ്യന് കമ്മീഷന് ഡിജിറ്റല് ഏജിലേക്ക് യൂറോപ്യന് യൂണിയനെ സജ്ജമാക്കുന്നതിനു വേണ്ടി നിയമ നിര്മ്മാണം നടത്താന് തീരുമാനിക്കുന്നത്. നാലു വര്ഷത്തിനു ശേഷം യൂറോപ്യന് യൂണിയനിലെ രാജ്യങ്ങള് എന്തെല്ലാമായിരിക്കണം ഈ നിയമങ്ങള് എന്നും ഇതെങ്ങനെ നടപ്പിലാക്കും എന്നും ഒരു തീരുമാനത്തിലെത്തുകയുണ്ടായി .
യൂറോപ്യന് യൂണിയനിലെ അംഗരാജ്യങ്ങളിലെ ( അതിനപ്പുറത്തേക്കും) പൌരന്മാര്ക്ക് അവരുടെ വ്യക്തിഗത വിവരങ്ങളുടെ മുകളില് നിയന്ത്രണം നല്കുക എന്നതിലാണു ജിഡിപിആര് മുഖ്യമായും ലക്ഷ്യം വെക്കുന്നത് . ഡിജിറ്റല് ഏജില് ഒരു തരത്തിലല്ലങ്കില് മറ്റൊരു തരത്തില് വ്യക്തികളുടെ വിവരങ്ങള് കളക്റ്റ് ചെയ്യപ്പെടുകയും അവ ഓര്ഗനൈസേഷനുകള് നിരവധി ആവശ്യങ്ങള്ക്കായി സുക്ഷിച്ച് വെക്കുകയും ചെയ്യുന്നു. ഇതിനു ഒരു പരിധി വരെ തടയിടുകയും അത് ദുരുപയോഗം ചെയ്യപ്പെടുന്നില്ല എന്നുറപ്പ് വരുത്തുകയുമാണു ജിഡിപിആര് കൊണ്ട് പ്രധാനമായും ലക്ഷ്യമിടുന്നത്. അതുകൊണ്ട് തന്നെ യൂറോപ്യന് യൂണിയനിലുള്ളില് ഓപ്പറേറ്റ് ചെയ്യുന്ന എല്ലാ കമ്പനികളും ജിഡിപിആര് നിയമങ്ങള്ക്കുള്ളില് നിന്ന് പ്രവര്ത്തിക്കേണ്ടതാണു. യൂറോപ്യന് യൂണിയനു പുറത്ത് നിന്ന് ഓപ്പറേറ്റ് ചെയ്യുന്ന കമ്പനികളായാലും അവ യൂറൊപ്യന് യൂണിയനിലെ പൌരന്മാരുമായി എന്തെങ്കിലും തരത്തിലുള്ള ഇടപാടുകള് നടക്കുന്നുണ്ടങ്കില് അത് ജിഡിപിആറിനു അനുസൃതമായി വേണം പ്രവര്ത്തിക്കേണ്ടത്.
ജിഡിപിആര് ടേംസ് പ്രകാരം വ്യക്തിഗത വിവരങ്ങള് കളക്റ്റ് ചെയ്യുന്ന ഓര്ഗനൈസേഷനുകള്/ കമ്പനികള്/ ബാങ്കിംഗ് ഇന്സ്റ്റിറ്റ്യുഷനുകള്/ സര്വീസ് പ്രൊവൈഡര്മാര് / മറ്റു ഏതെങ്കിലും തരത്തില് പ്രവര്ത്തിക്കുന്നവര് ഇവരെല്ലാം തന്നെ ഈ വ്യക്തിഗത വിവരങ്ങള് കളക്റ്റ് ചെയ്യുന്നത് നിയമാനുസൃതമായ രീതിയില് കര്ശനമായ നിയന്ത്രണങ്ങളോടെയായിരിക്കണം. എന്ന് മാത്രമല്ല ഈ വിവരങ്ങള് കളക്റ്റ് ചെയ്യുന്നവര് ഇതെല്ലാം സുരക്ഷിതമായ രീതിയില് സൂക്ഷിച്ച് വെക്കേണ്ടതും അവ ചോര്ത്തപ്പെടുന്നില്ല എന്ന് ഉറപ്പ് വരുത്തേണ്ടതുമാണ്. ഏറ്റവും പ്രധാനമായി ഈ വിവരങ്ങളുടെ മേല് വ്യക്തികള്ക്കുള്ള അവകാശത്തെ അംഗികരിച്ച് കൊടുക്കേണ്ടതുമാണ്. ഇത് ലംഘിക്കപ്പെട്ടാല് കനത്ത പിഴയും യുറോപ്യന് യൂണിയനില് പ്രവര്ത്തിക്കാനുള്ള ലൈസന്സും റദ്ദാക്കപ്പെടാം. ആറു വര്ഷമാണു പരമാവധി ഒരു വ്യക്തിയുടെ വിവരങ്ങള് കമ്പനികള്ക്ക് സൂക്ഷിച്ച് വെക്കാന് സാധിക്കുക, അതിനു ശേഷം ഈ വിവരങ്ങള് തിരിച്ചെടുക്കാനാവാത്ത വിധം ഡിസ്കാര്ഡ് ചെയ്യേണ്ടതാണു എന്നും ജിഡിപിആര് നിയമം അനുശാസിക്കുന്നു.
രണ്ട് തരത്തിലാണു ജിഡിപിആര് വ്യക്തിഗത വിവരങ്ങളെ കൈകാര്യം ചെയ്യുന്നവരെ ഡിഫൈന് ചെയ്തിരിക്കുന്നത്. വ്യക്തിഗത വിവരങ്ങളെ നിയന്ത്രിക്കുന്നവരും ( Controllers), അതിനെ വിശകലനം ചെയ്യുന്നവരും ( Processors).അത് ഓര്ഗനൈസേഷനുകളാവാം, ഗവണ്മെന്റ് ഏജന്സികളാവാം, മറ്റേതെങ്കിലും തരത്തില് ഈ വിവരങ്ങളെ കണ്ട്രോള് ചെയ്യുന്നവരൊ പ്രോസസ് ചെയ്യുന്നവരൊ ആവാം. ഏത് വിഭാഗത്തില് പെടുന്നവരായാലും വ്യക്തിഗത വിവരങ്ങള് വ്യക്തികളുടെ സമ്മതമില്ലാതെ ശേഖരിക്കുകയൊ പ്രോസസ് ചെയ്യുകയൊ ചെയ്താല് നിയമപരമായ നടപടികള് നേരിടേണ്ടി വരും. കൂടാതെ ശേഖരിക്കപ്പെട്ട വിവരങ്ങള് എതെങ്കിലും കാരണവശാല് പുറത്ത് പോവുകയുണ്ടായാല് അതിന്റെ ഉത്തരവാദിത്വം കണ്ട്രോളേഴ്സിനായിരിക്കും. എന്നാല് ഈ വിവരങ്ങള് എന്തെങ്കിലും തരത്തില് പ്രോസസ് ചെയ്യപ്പെട്ടാല് ജിഡിപിആര് നിയമപ്രകാരം കൂടുതല് ഉത്തരവാദിത്വം ഇത് പ്രോസസ് ചെയ്യുന്നവര്ക്കായിരിക്കും. അവരായിരിക്കും നിയമനടപടികള് കൂടുതലായി നേരിടേണ്ടി വരിക
വ്യക്തികളെ തിരിച്ചറിയാനുപയോഗിക്കുന്ന പേരുകള്, വിലാസങ്ങള്, ചിത്രങ്ങള് ഇതെല്ലാം പെഴ്സണല് വിവരങ്ങളായി ജിഡിപിആര് ഡിഫൈന് ചെയ്തിരിക്കുന്നു. എന്നാല് ഇതിനുമപ്പുറത്തേക്ക് മാറി വ്യക്തികള് ഉപയോഗിക്കുന്ന ഇന്റര്നെറ്റ് കണക്ഷനുകളുടെ ഐപി അഡ്രസടക്കം , ജനിതക വിവരങ്ങള്, ബയോ മെട്രിക് വിവരങ്ങള് തുടങ്ങി വ്യക്തികളെ ഏതെങ്കിലും വിധത്തില് തിരിച്ചറിയാനുപയോഗിക്കുന്ന എന്ത് വിവരങ്ങളെയും ജിഡിപിആര് പെഴ്സണല് ഡാറ്റയായി ഡിഫൈന് ചെയ്തിട്ടുണ്ട്. പെഴ്സണലി ഐഡന്റിഫയബിള് ഇന്ഫര്മേഷനെ (PII) ഒന്ന് കൂടി വ്യക്തമായി ജിഡിപിആര് വിഭാവനം ചെയ്തിട്ടുണ്ട്.
കഴിഞ്ഞ ദിവസം മുതല് ജിഡിപിആര് നിയമങ്ങള് യൂറോപ്യന് യൂണിയനിലെമ്പാടും പ്രാബല്യത്തിലായിട്ടുണ്ട്. അംഗരാജ്യങ്ങള് അവരവരുടെ പാര്ലമെന്റില് ഇത് നിയമമായി അംഗികരിക്കേണ്ടത് മേയ് 6 നായിരുന്നു.
ജിഡിപിആര് നിയമപ്രകാരം ഒരു വ്യക്തിക്ക് ഏതെങ്കിലും തരത്തില് അവരുടെ വിവരങ്ങള് ശേഖരിക്കപ്പെട്ടിരിക്കുന്ന ഇടങ്ങളില് നിന്ന് പുറത്ത് ലഭ്യമായിട്ടുണ്ടങ്കില് ( ഉദാഹരണത്തിനു ഡാറ്റാ ബ്രീച്ച്/ ഹാക്കിംഗ് മുതലായവ) എന്ന് , എങ്ങനെ, എപ്പോള് എന്ത് വിവരങ്ങള് പുറത്തായി എന്ന് നിയമപരമായി തന്നെ ചോദ്യം ചെയ്യാന് അനുവദിക്കുന്നു, അത് മൂലമുണ്ടായ കഷ്ടനഷ്ടങ്ങള്ക്ക് കമ്പനികളില് നിന്ന് നഷ്ടപരിഹാരം തേടാനും പൌരനെ ജിഡിപിആര് അനുവദിക്കുന്നുണ്ട്. കൂടാതെ കളക്റ്റ് ചെയ്യുന്ന വിവരങ്ങള് ഏതൊക്കെ തരത്തിലാണു പ്രോസസ് ചെയ്യുന്നത് എന്ന് അറിയാനുള്ള അവകാശവും വകവെച്ച് കൊടുക്കുന്നു, കമ്പനികള് വളരെ കൃത്യമായി ലളിതമായ ഭാഷയില് എങ്ങനെയാണു വിവരങ്ങള് പ്രോസസ് ചെയ്യുന്നത് എന്നതും അറിയിക്കേണ്ടതാണ്..
“ Right to Forgot" ഓപ്ഷനാണു ജിഡിപിആര് നല്കിയിരിക്കുന്ന മറ്റൊരു സൌകര്യം. ഈ ഓപ്ഷന് മുഖേന ഉപഭോക്താക്കള്ക്ക് അവരുടെ വിവരങ്ങള് എന്നന്നേക്കുമായി സര്വീസ് പ്രൊവൈഡര്മാരുടെ സെര്വറുകളില് നിന്ന് നീക്കം ചെയ്യാന് ആവശ്യപ്പെടാവുന്നതാണ്, എന്നാണൊ റിക്വസ്റ്റ് ചെയ്തത് അതിനു ശേഷം ഇവരുടെ വിവരങ്ങള് യാതൊരു കാരണവശാലും സെര്വറുകളിലോ ബാക്കപ്പ് സെന്ററുകളിലോ പ്രോസസര്മാരുടെ കൈവശമൊ ഉണ്ടായിരിക്കാന് പാടുള്ളതല്ല എന്ന് ജിഡിപിആര് പറയുന്നു.
ജിഡിപിആര് പ്രാബല്യത്തിലായതിനു ശേഷം യൂറോപ്യന് യൂണിയന്റെ പരിധിക്കുള്ളില് പ്രവര്ത്തിക്കുന്ന ഓര്ഗനൈസേഷനുകള് അവരുടെ പ്രൈവസി പോളിസികള് അപ്ഡേറ്റ് ചെയ്യുകയും യൂസേഴ്സിനെ അറിയിക്കുകയും ചെയ്യുന്നുണ്ട്, എന്നാല് ഇതിനെ മുതലെടുത്ത് ഫിഷിംഗ് സന്ദേശങ്ങളും ഇതിന്റെ കൂട്ടത്തില് പരക്കെ അയക്കപ്പെടുന്നുണ്ട്. ഉപയോക്താക്കള്ക്ക് ജിഡിപിആര് സംബന്ധമായ ഫിഷിംഗ് സന്ദേശങ്ങള് അയക്കുകയും ഇത്തരം സന്ദേശങ്ങളില് നല്കിയിരിക്കുന്ന ലിങ്കുകളില് ക്ലിക്ക് ചെയ്ത് അവരുടെ യൂസര് നെയിമുകള് / പാസ് വേഡുകള് മുതലാവയ അപ്ഡേറ്റ് ചെയ്യാനും ആവശ്യപ്പെടുന്നു. എന്നാല് ജിഡിപിആറുമായി ബന്ധപ്പെട്ട് കമ്പനികള് പാസ് വേഡുകളൊ ഒന്നും തന്നെ ആവശ്യപ്പെടുന്നില്ല എന്ന് പ്രത്യേകം ശ്രദ്ധിക്കേണ്ടത്.
മറ്റൊരു സംഗതി ജിഡിപിആര് നിലവില് വന്നതിനു ശേഷം, സര്വീസ് പ്രൊവൈഡര്മാര് ഇതിനെ മറികടക്കുന്നതിനായി ഉപയോക്താക്കളൊട് നിര്ബന്ധപൂര്വ്വം അവരുടെ ടേംസ് ഓഫ് കണ്ടീഷന് അക്സപ്റ്റ് ചെയ്യുവാനായി ഫോഴ്സ് ചെയ്യുന്നതായി പരാതികള് ലഭിച്ച് തുടങ്ങിയിട്ടുണ്ട്. കമ്പനികളുടെ ടേംസ് ഓഫ് കണ്ടിഷനുകള് അക്സപ്റ്റ് ചെയ്യാതിരിക്കുന്നവര്ക്ക് സേവനങ്ങള് നിഷേധിക്കുകയും ഇങ്ങനെ നിഷേധിക്കപ്പെട്ടാല് അത് ജിഡിപിആറിന്റെ വയലേഷനായി കണക്ക് കൂട്ടൂകയും ചെയ്യും. അത് കൊണ്ട് ഏതെങ്കിലും സര്വീസ് പ്രൊവൈഡര്മാര് ഈ വിവരങ്ങള് നിര്ബന്ധപൂര്വ്വം നല്കാന് ആവശ്യപ്പെടുകയാണെങ്കില് ഉപഭോക്താക്കള്ക്ക് യൂറോപ്യന് കമ്മീഷനു പരാതി നല്കാവുന്നതാണു . നിയമം നിലവില് രണ്ട് ദിവസത്തിനുള്ളില് തന്നെ ഗൂഗിളും, ഫേസ്ബുക്ക് അടക്കമുള്ളവരും അവരുടേ ടേംസ് ഓഫ് കണ്ടീഷന് അംഗീകരിക്കുന്നതിനായി ഉപയോക്താക്കളെ നിര്ബന്ധിക്കുന്നതായി പരാതി യൂറോപ്യന് കമ്മിഷനു ലഭിച്ചതായി ബി ബി സി റിപ്പോര്ട്ട് ചെയ്യുന്നുണ്ട്.
എന്താണു PII
ഒരു വ്യക്തിയെ തിരിച്ചറിയാനുപയോഗിക്കുന്ന വിവരങ്ങളുടെ കൂട്ടത്തെയാണു സാധാരണ PII എന്ന് പറയുന്നത്. PII രണ്ട് തരത്തിൽ ഡിഫൈൻ ചെയ്തിട്ടുണ്ട്, സെൻസിറ്റിവ് ഇൻഫർമേഷനും നോൺ സെൻസിറ്റീവ് ഇൻഫർമേഷനും. എൻക്രിപ്റ്റഡ് അല്ലാത്ത ഒരു സോഴ്സിൽ നിന്നും ഒരു വ്യക്തിയെ തിരിച്ചറിയാനുപയോഗിക്കുന്ന വിവരങ്ങളെ നോൺ സെൻസിറ്റീവ് ഇൻഫർമേഷനെന്ന് വിളിക്കാം. ഫേസ്ബുക്കിൽ നിന്ന് (പബ്ലിക്കായി) ലഭിക്കുന്ന വിവരങ്ങൾ നോൺ സെൻസിറ്റീവ് PII ക്ക് ഉദാഹരണമാണു. ഫോൺ ഡയറക്റ്ററികൾ, വെബ്സൈറ്റുകൾ ഇതെല്ലാം നോൺസെൻസിറ്റീവ് ഇൻഫർമേഷനുകളാണ്.
സെൻസിറ്റീവ് ഇൻഫർമേഷനുകൾ കുറച്ച് കൂടി കോമ്പ്ലക്സായ വിവരങ്ങളാണു, ഒരു വ്യക്തിയുടെ വിവരങ്ങൾ ഡിസ്ക്ലോസ് ചെയ്യപ്പെട്ടാൽ അത് അവരുടെ സ്വകാര്യതയെ ലംഘിക്കുന്നതാണെങ്കിൽ സെൻസിറ്റീവ് ഇൻഫർമേഷനുകളുടെ കൂട്ടത്തില് പെടുത്താൻ സാധിക്കും. ഉദാഹരണത്തിനു ഒരു വ്യക്തിയുടെ ബയോമെട്രിക്, മെഡിക്കൽ, ബാങ്കിംഗ് ഡാറ്റകൾ, യൂണിക്കായ മറ്റു ചില ഡാറ്റകൾ ഉദാഹരണത്തിനു യുണിക് ഐഡന്റിഫിക്കേഷൻ നമ്പർ, പാസ്പോർട്ട് ഇവയെല്ലാം വളരെ സെൻസിറ്റീവ് ആയ വിവരങ്ങളൂടെ കൂട്ടത്തിൽ വരും. ഇത്തരം ഡാറ്റകൾ യാതൊരു കാരണവശാലും പബ്ലിക്കായ ഒരു പ്ലാറ്റ്ഫോമിൽ പബ്ലിഷ് ചെയ്യപ്പെടാൻ പാടില്ല എന്നാണു നിയമം. അങ്ങനെ പബ്ലിഷ് ചെയ്യപ്പെട്ടാൽ അതിനെ ഡോക്സിംഗ് ( Doxing) എന്നറിയപ്പെടുന്നു.പല രാജ്യങ്ങളും ഇത്തരം വിവരങ്ങൾക്ക് കടുത്ത നിയന്ത്രണങ്ങൾ നിയമം മൂലം ഏർപ്പെടുത്തിയിട്ടുണ്ട്.
(ലേഖകന് അബുദാബിയിലെ ഒരു റിസ്ക് അനാലിസിസ് & ഓഡിറ്റിംഗ് കമ്പനിയിലെ ഇന്ഫര്മേഷന് ടെക്നോളജി സെക്യൂരിറ്റി ഓഡിറ്റിംഗ് & റിസ്ക് കണ്ട്രോള് ടീമില് പ്രവര്ത്തിയ്ക്കുന്നു.)
ദേശാഭിമാനി വാർത്തകൾ ഇപ്പോള് വാട്സാപ്പിലും ടെലഗ്രാമിലും ലഭ്യമാണ്.
വാട്സാപ്പ് ചാനൽ സബ്സ്ക്രൈബ് ചെയ്യുന്നതിന് ക്ലിക് ചെയ്യു..
ടെലഗ്രാം ചാനൽ സബ്സ്ക്രൈബ് ചെയ്യുന്നതിന് ക്ലിക് ചെയ്യു..