डेटा नियंत्रक कौन होता है?
कतर के डेटा संरक्षण कानून के अंतर्गत, नियंत्रक वह व्यक्ति या संगठन होता है जो व्यक्तिगत डेटा के प्रसंस्करण के उद्देश्यों और साधनों का निर्धारण करता है। व्यावहारिक दृष्टि से, यह हो सकता है:
- आपका नियोक्ता, जो आपके मानव संसाधन और वेतन संबंधी अभिलेख रखता है
- कोई अस्पताल या क्लिनिक, जो आपके स्वास्थ्य अभिलेखों का प्रबंधन करता है
- कोई बैंक या वित्तीय संस्था, जो आपके खाते का विवरण रखती है
- कोई दूरसंचार कंपनी, जो आपके अभिदान डेटा का प्रबंधन करती है
- कोई मकान मालिक, जो आपके पासपोर्ट और क्यूआईडी की प्रतियाँ रखता है
- कोई ऑनलाइन व्यवसाय या ऐप, जो आपके उपयोग संबंधी डेटा संग्रहीत करता है
प्रसंस्करणकर्ता वह पक्ष होता है जो नियंत्रक की ओर से डेटा का प्रसंस्करण करता है — उदाहरण के लिए, कोई तृतीय-पक्ष वेतन कंपनी या क्लाउड स्टोरेज प्रदाता।
सहमति की आवश्यकता
अनुच्छेद 4 एक मूलभूत नियम स्थापित करता है: किसी नियंत्रक को आपका व्यक्तिगत डेटा संसाधित करने से पहले आपकी पूर्व सहमति प्राप्त करनी होगी, जब तक कि प्रसंस्करण किसी विधिसम्मत उद्देश्य की पूर्ति के लिए आवश्यक न हो। इसका अर्थ है कि संगठन आपकी जानकारी या सहमति के बिना आपका डेटा एकत्र और उपयोग नहीं कर सकते।
प्रवासियों के लिए यह विशेष रूप से प्रासंगिक है जब:
- ऐसे रोजगार अनुबंधों पर हस्ताक्षर किए जाएं जिनमें डेटा साझाकरण खंड शामिल हों
- ऐसी सेवाओं के लिए पंजीकरण किया जाए जो आपके पासपोर्ट या क्यूआईडी की प्रतियाँ माँगती हों
- ऐसे ऐप्स या प्लेटफॉर्म की सदस्यता ली जाए जो स्थान या व्यवहार संबंधी डेटा संग्रहीत करते हों
प्रसंस्करण आरंभ होने से पूर्व पारदर्शिता संबंधी दायित्व
अनुच्छेद 9 के अंतर्गत, प्रसंस्करण शुरू होने से पहले नियंत्रक को आपको निम्नलिखित के बारे में सूचित करना होगा:
- नियंत्रक का पूर्ण विवरण और संपर्क जानकारी
- वे विधिसम्मत उद्देश्य जिनके लिए आपका डेटा उपयोग किया जाएगा
- कोई भी अन्य पक्ष जो आपका डेटा प्राप्त या संसाधित कर सकते हैं
- उस डेटा के संबंध में आपके अधिकार
इसका अर्थ है कि आपका व्यक्तिगत डेटा माँगने वाले किसी भी संगठन को यह स्पष्ट रूप से बताना होगा कि उन्हें इसकी आवश्यकता क्यों है और वे इसके साथ क्या करने का इरादा रखते हैं। अस्पष्ट या अत्यधिक व्यापक प्रकटीकरण इस आवश्यकता को पूरा नहीं कर सकते।
डेटा गुणवत्ता और सटीकता मानक
अनुच्छेद 10 के अंतर्गत नियंत्रकों को यह सत्यापित करना आवश्यक है कि वे जो डेटा एकत्र करते हैं वह:
- घोषित विधिसम्मत उद्देश्य के लिए प्रासंगिक हो
- उस उद्देश्य की पूर्ति के लिए पर्याप्त हो
- सटीक, पूर्ण और अद्यतन हो
नियंत्रक बिना औचित्य के बड़ी मात्रा में व्यक्तिगत डेटा संचित नहीं कर सकते। उन्हें डेटा के अशुद्ध या अनावश्यक होने पर उसे हटाना या अद्यतन करना भी आवश्यक है।
सुरक्षा और संरक्षण संबंधी दायित्व
सबसे महत्वपूर्ण दायित्वों में से एक अनुच्छेद 13 के अंतर्गत आता है, जो नियंत्रकों और प्रसंस्करणकर्ताओं दोनों को व्यक्तिगत डेटा को निम्नलिखित से बचाने के लिए सभी आवश्यक सावधानियाँ बरतने का निर्देश देता है:
- हानि या क्षति
- अनधिकृत परिवर्तन या फेरबदल
- अवैध प्रकटीकरण या अनधिकृत पहुँच
- आकस्मिक या अवैध उपयोग
ये सावधानियाँ संबंधित डेटा की प्रकृति और संवेदनशीलता के अनुपात में होनी चाहिए। स्वास्थ्य डेटा, वित्तीय डेटा या बच्चों के डेटा को संभालने वाले संगठनों पर सुरक्षा दायित्व का उच्चतर मानक लागू होता है।
डेटा उल्लंघन अधिसूचना की आवश्यकताएँ
अनुच्छेद 14 नियंत्रकों को यह अनिवार्य करता है कि यदि कोई डेटा उल्लंघन होता है जो आपके व्यक्तिगत डेटा या गोपनीयता को गंभीर नुकसान पहुँचा सकता है, तो वे आपको व्यक्तिगत रूप से और सक्षम विभाग दोनों को सूचित करें। प्रवासियों के लिए यह एक महत्वपूर्ण अधिकार है — यदि आपके नियोक्ता या सेवा प्रदाता को कोई डेटा उल्लंघन होता है, तो वे चुप नहीं रह सकते।
यदि आप किसी उल्लंघन के बारे में जानते हैं लेकिन आपको इसकी सूचना नहीं दी गई है, तो यह कानून का उल्लंघन हो सकता है।
आंतरिक शासन संबंधी आवश्यकताएँ
अनुच्छेद 11 नियंत्रकों को आंतरिक प्रणालियाँ स्थापित करने के लिए बाध्य करता है, जिनमें शामिल हैं:
- नई डेटा प्रसंस्करण गतिविधियाँ शुरू करने से पहले गोपनीयता संरक्षणों की समीक्षा करना
- व्यक्तिगत डेटा संरक्षण के लिए विशिष्ट कर्मचारियों को नियुक्त करना
- व्यक्तिगत डेटा संभालने वाले कर्मचारियों को प्रशिक्षित करना
- स्पष्ट डेटा संरक्षण नीतियाँ विकसित करना
इसका अर्थ है कि प्रवासियों के लिए यह अपेक्षा करना उचित है कि उनके नियोक्ता और सेवा प्रदाताओं के पास दस्तावेजीकृत गोपनीयता नीतियाँ और उनके डेटा का प्रबंधन करने वाले प्रशिक्षित कर्मचारी हों।
अनुपालन न करने पर दंड
अपने दायित्वों को पूरा करने में विफल रहने वाले संगठनों पर भारी वित्तीय दंड लगाया जा सकता है:
- सहमति, पारदर्शिता, डेटा गुणवत्ता और उल्लंघन अधिसूचना सहित मूलभूत दायित्वों के उल्लंघन के लिए QR 10,00,000 तक (अनुच्छेद 23)
- डेटा सुरक्षा और विशेष श्रेणी के डेटा संरक्षण से संबंधित चूक के लिए QR 50,00,000 तक (अनुच्छेद 24)
- उनकी ओर से किए गए उल्लंघनों के लिए उत्तरदायी पाई गई विधिक संस्थाओं (कंपनियों) के लिए QR 10,00,000 तक (अनुच्छेद 25)
इन प्रावधानों का उल्लंघन करने वाला कोई भी अनुबंध या करार अनुच्छेद 28 के अंतर्गत शून्य और अप्रवर्तनीय माना जाता है।
एक प्रवासी के रूप में आपको क्या करना चाहिए
- नई नौकरी में शामिल होने पर अपने नियोक्ता की डेटा संरक्षण नीति की एक प्रति माँगें
- हस्ताक्षर करने से पहले किसी भी सहमति प्रपत्र की ध्यानपूर्वक समीक्षा करें, विशेष रूप से तृतीय पक्षों के साथ आपका डेटा साझा करने संबंधी खंडों की
- यदि आपको लगता है कि आपका डेटा उजागर हुआ है और आपको सूचित नहीं किया गया है, तो सक्षम विभाग को संदिग्ध उल्लंघन की सूचना दें
- अपने नियोक्ता से पूछें कि आपके व्यक्तिगत डेटा के प्रबंधन के लिए कौन जिम्मेदार है और क्या सुरक्षा उपाय लागू हैं