सामान्य डेटा संरक्षण नियमावली (GDPR) नीति
1. नीति बयान
हर दिन हमारे व्यापार को हमारे ग्राहक, आपूर्तिज, साक्षात्कार उम्मीदवार और सहजीवन से संबंधित व्यक्तियों के बारे में व्यक्तिगत जानकारी प्राप्त होगी, उसे उपयोग किया जाएगा और संयंत्रित किया जाएगा। यह अहम है कि यह जानकारी [डेटा संरक्षण अधिनियम २०१८] और सामान्य डेटा संरक्षण विनियमन (समूह रूप से ‘डेटा संरक्षण आवश्यकताएं’ कहे जाते हैं) की आवश्यकताओं के साथ वैध और उचित रूप से संभाली जाए।
हम अपने डेटा संरक्षण कर्तव्यों को गंभीरता से लेते हैं, क्योंकि हम सम्मान करते हैं जिस विश्वास को हम पर डेटा सही और जिम्मेदारी से उपयोग करने के लिए रखा जा रहा है।
2. इस नीति के बारे में
यह नीति, और इसमें संदर्भित किये गए किसी भी अन्य दस्तावेज, हमें किसी भी व्यक्तिगत डेटा को प्रसंस्करण करने के आधार को साफ़ करता है जो हम जुटाते हैं या प्रसंस्करण करते हैं।
यह नीति किसी भी कर्मचारी के रोजगार की अवधि का हिस्सा नहीं है और किसी भी समय संशोधन किया जा सकता है।
Alex Smit हमारे डेटा संरक्षण अधिकारी (DPO) हैं, और कंपनी को डेटा संरक्षण आवश्यकताओं और इस नीति के साथ अनुपालन सुनिश्चित करने के लिए जिम्मेदार हैं। इस नीति के कार्यान्वयन के बारे में किसी भी सवाल या यह नीति का पालन नहीं किया गया है ऐसा किसी भी संदर्भ में पहले स्थान पर DPO को संदेशित किया जाना चाहिए, या हमारी कंपनी की शिकायत नीति के अनुसार रिपोर्ट किया जाना चाहिए (कर्मचारी हैंडबुक पर संदर्भित करें)।
3. व्यक्तिगत डेटा क्या है?
व्यक्तिगत डेटा उस व्यक्ति से संबंधित डेटा को अर्थ है (चाहे वह इलेक्ट्रॉनिक रूप में स्टोर किया गया हो या कागजी रूप से) जिसे उस डेटा से सीधे या परोक्ष रूप से पहचाना जा सकता है (या उस डेटा और हमारे पास अन्य जानकारी से)।
प्रसंस्करण एक्टिविटी है जिसमें व्यक्तिगत डेटा का उपयोग शामिल है। यह डेटा प्राप्त करना, रेकॉर्डिंग या होल्डिंग करना, डेटा को आयोजित करना, सुधारना, पुनः प्राप्त करना, उपयोग करना, प्रकट करना, मिटाना या नष्ट करना शामिल है। प्रसंस्करण में व्यक्तिगत डेटा को तृतीय पक्षों को स्थानांतरित करना भी शामिल है।
संवेदनशील व्यक्तिगत डेटा में एक व्यक्ति की जाति या नस्ल के मुद्दे, राजनीतिक राय, धार्मिक या दार्शनिक विश्वास, व्यापार संघ की सदस्यता, आनुवांशिक, बायोमैट्रिक, शारीरिक या मानसिक स्वास्थ्य की स्थिति, लैंगिक ओरिएंटेशन या यौन जीवन के बारे में प्रासंगिक व्यक्तिगत डेटा शामिल है। इसमें अपराधिक अपराधों या दोषों के बारे में डेटा भी शामिल हो सकता है। संवेदनशील व्यक्तिगत डेटा केवल सख्त शर्तों के अधीन प्रसंस्करण किया जा सकता है, व्यक्ति की सहमति के साथ समावेशित।
4. डेटा संरक्षण सिद्धांत
कोई भी व्यक्ति व्यक्तिगत डेटा प्रसंस्करण करने वाले को यह सुनिश्चित करना चाहिए कि डेटा है:
a. उचित रूप से, वैधता से और पारदर्शी तरीके से प्रसंस्कृत किया गया।
b. निर्दिष्ट, स्पष्ट और वैध उद्देश्यों के लिए जुटाया गया और किसी भी आगे का प्रसंस्करण एक संगत उद्देश्य के लिए पूरा किया जाता है।
c. उद्देश्यों के लिए जरूरी मात्रा में पर्याप्त, संबंधित और सीमित।
d. सटीक है, और यदि आवश्यक है, तो अपडेट किया गया है।
e. उद्देश्यों के लिए जरूरी समय से अधिक पहचान की अनुमति देने वाले रूप में रखा गया है।
f. व्यक्ति के अधिकारों के साथ और उचित सुरक्षा सुनिश्चित करने वाले तरीके में प्रसंस्कृत किया जाता है, व्यक्तिगत डेटा के बिना अनधिकृत या अवैध प्रसंस्करण और अकस्मात नुकसान, नष्ट या हानि से सुरक्षा, उपयुक्त तकनीकी या संगठनात्मक मापदंडों के खिलाफ सुरक्षा सहित।
g. स्थिति बिना पर्याप्त सुरक्षा के किसी भी व्यक्तियों या संगठनों को स्थानांतरित नहीं किया गया है और पहले व्यक्ति को सलाह दी गई है।
5. उचित और वैध प्रसंस्करण
डेटा संरक्षण आवश्यकताएं व्यक्तिगत डेटा का प्रसंस्करण रोकने का उद्देश्य नहीं है, बल्कि यह सुनिश्चित करना है कि यह विवेकपूर्वक और व्यक्ति के अधिकारों को प्रभावित किए बिना किया जाता है।
डेटा संरक्षण आवश्यकताओं के अनुसार, हम केवल उस समय व्यक्तिगत डेटा का प्रसंस्करण करेंगे जब यह किसी वैध उद्देश्य के लिए आवश्यक हो। वैध उद्देश्यों में शामिल हैं (अन्यों में): क्या व्यक्ति ने अपनी सहमति दी है, क्या प्रसंस्करण व्यक्ति के साथ एक समझौते को पूरा करने के लिए आवश्यक है, क्या कानूनी दायित्व का पालन करने के लिए, या क्या व्यवसाय के उचित हित के लिए आवश्यक है। यदि संवेदनशील व्यक्तिगत डेटा प्रसंस्कृत किया जा रहा है, तो अतिरिक्त शर्तों का पालन किया जाना चाहिए।
6. सीमित उद्देश्यों के लिए प्रसंस्करण
हमारे व्यापार के कार्यक्रम के दौरान, हम व्यक्तिगत डेटा को जुटा सकते हैं और प्रसंस्कृत कर सकते हैं। इसमें वह डेटा शामिल हो सकता है जिसे हम सीधे एक डेटा विषय से प्राप्त करते हैं (उदाहरण के लिए, फॉर्म पूरा करके या हमारे साथ पत्र, फोन, ईमेल या अन्यत्र संवाद करके प्राप्त करने द्वारा) और हमें अन्य स्रोतों से प्राप्त होने वाले डेटा शामिल हो सकते हैं (जिनमें शामिल हो सकती है, उदाहरण के लिए, स्थान डेटा, व्यापारी साथी, तकनीकी, भुगतान और वितरण सेवाओं में उप-ठेकेदार, क्रेडिट संदर्भ एजेंसियाँ और अन्य लोगों)
हम केवल व्यक्तिगत डेटा को अनुसूची 1 में निर्धारित विशेष उद्देश्यों के लिए प्रसंस्कृत करेंगे या डेटा संरक्षण आवश्यकताओं द्वारा विशेषता से परमिट किए जाने वाले किसी अन्य उद्देश्यों के लिए। हम उन उद्देश्यों को डेटा विषय को सूचित करेंगे जब हम पहली बार डेटा को जुटाते हैं या इसके बाद जल्दी से जल्दी।
7. व्यक्तियों को सूचित करना
अगर हम किसी व्यक्ति से सीधे व्यक्तिगत डेटा जुटाते हैं, तो हम उन्हें इस बारे में सूचित करेंगे:
a. हम उस व्यक्तिगत डेटा का प्रसंस्कृत करने के लिए हमारे पास मकसद या मकसदों का उल्लेख है, साथ ही प्रसंस्कृत करने के लिए कानूनी आधार।
b. हम व्यक्तिगत डेटा को प्रसंस्कृत करने के लिए व्यापार के वैध हितों पर निर्भर रहते हैं, उसके पीछे के वैध हित।
c. तृतीय पक्ष के प्रकार, यदि कोई हो, जिसके साथ हम अपनी व्यक्तिगत डेटा साझा करेंगे या उसे खुलासा करेंगे।
d. व्यक्तियों कैसे हमारे उनकी व्यक्तिगत डेटा के उपयोग और खुलासे को सीमित कर सकते हैं।
e. उनकी जानकारी के लिए धारित जाएगा कि उनकी जानकारी कितने समय तक संचित रहेगी, या उस समय को निर्धारित करने के लिए इस्तेमाल की गई मानदंड।
f. उनका हमारे पार कंट्रोलर के रूप में पहुँचने का और प्रसंस्कृति का सीमित या मिटाने का या प्रसंस्करण की प्रतिबंधिती का अधिकार है।
g. प्रसंस्कृति के खिलाफ आपत्ति दर्ज करने और उनके डेटा पोर्टेबिलिटी का अधिकार।
h. अपनी सहमति को किसी भी समय वापस लेने का अधिकार (यदि सहमति दी गई थी) बिना सुनिश्चित किए प्रसंस्कृति की कानूनीता को प्रभावित किए हुए।
i. सूचना आयोग कार्यालय में एक शिकायत जमा करने का अधिकार।
j. उन अन्य स्रोतों कहाँ से व्यक्ति के संबंधित व्यक्तिगत डेटा प्रासंगिक हुआ और क्या यह सार्वजनिक रूप से पहुंचने योग्य स्रोतों से आया है।
k. क्या व्यक्तिगत डेटा का प्रावधान कानूनी या ठेटियों की आवश्यकता है, या एक ठेटिये या अन्य समझौते में प्रवेश के लिए आवश्यक योग्यता, साथ ही यह जानकारी प्रदान करने की अनिवार्यता है और डेटा प्रदान करने में घातक क्या है।
अगर हमें किसी व्यक्ति के बारे में व्यक्तिगत डेटा अन्य स्रोतों से प्राप्त होता है, तो हम उन्हें जल्द से जल्द इस जानकारी के साथ प्रदान करेंगे (उस व्यक्तिगत डेटा की प्रकारों के बारे में शीघ्रतम सूचना देने के अतिरिक्त) लेकिन अंतिम रूप से 1 महीने के भीतर।
हम उन डेटा सूज्क्ष्मों को भी सूचित करेंगे जिनका हम प्रसंस्करण करते हैं, कि हम उस डेटा कंट्रोलर हैं, हमारा संपर्क विवरण और डीपीओ कौन है।
8. उचित, संबंधित और अत्यधिक प्रसंस्करण
हम केवल व्यक्तिगत डेटा को वह मात्रा में जुटाएंगे जो उसे उस विशेष उद्देश्य के लिए जिसकी सूचना डेटा विषय को दी गई है, अनिवार्य है।
9. सटीक डेटा
हम सुनिश्चित करेंगे कि हमारे पास व्यक्तिगत डेटा सटीक है और अपडेट रखा गया है। हम व्यक्तिगत डेटा की सटीकता को नीचे डेटा के संविधान में जांचेंगे और नियमित अंतरालों पर। हम सभी संभावनी कदम उठाएंगे जो गलत या पुराने हुए डेटा को नष्ट करने या संशोधित करने के लिए।
10. समय पर प्रसंस्करण
हम उस उद्देश्य या उद्देश्यों के लिए व्यक्तिगत डेटा अधिक समय नहीं रखेंगे जिसके लिए इसे जुटाया गया था। हम सभी उनकी आवश्यकता न होने पर सभी उचित कदम उठाएंगे, या हमारे सिस्टम से हर डेटा को नष्ट करने या मिटाने का।
11. डेटा विषय के अधिकारों के अनुसार प्रसंस्कृति
हम सभी व्यक्तिगत डेटा को डेटा विषयों के अधिकारों के अनुसार प्रसंस्कृत करेंगे, विशेष रूप से उनके अधिकार के समर्थन में:
a. क्या व्यक्ति के बारे में प्रसंस्कृत किया गया व्यक्तिगत डेटा हो रहा है या नहीं की पुष्टि।
b. किसी डेटा कंट्रोलर द्वारा उनके बारे में रखी गई किसी भी डेटा तक पहुँच के लिए अनुरोध करें
c. अपने व्यक्तिगत डेटा की सुधार, मिटाने या प्रसंस्कृति पर प्रतिबंध के लिए अनुरोध करें।
d. एक पर्यवेक्षण प्राधिकरण के साथ शिकायत दर्ज करें।
e. सीधे विपणन के लिए प्रसंस्कृति के खिलाफ आपत्ति दर्ज करें।
12. डेटा सुरक्षा
हम व्यक्तिगत डेटा के अवैध या अस्वीकृत प्रसंस्कृति, तकनीकी या अवैध नष्टी, हानि, खो, परिवर्तन, अनधिकृत खुलासे या अधिगम के खिलाफ उचित सुरक्षा उपाय अधिग्रहण करेंगे जो व्यक्तिगत डेटा के प्रसारित, संग्रहीत या अन्यथा प्रसंस्कृत कृति के खिलाफ होंगे। अगर गलत्तीपूर्वक डेटा स्थानांतरण होता है, तो इसे उचित अधिकारी द्वारा जांचा जाएगा और कंपनी के शिष्टीय प्रक्रियाएं लागू होंगी।
हम उस प्रक्रिया और तकनिकताओं को स्थापित करेंगे जिससे सभी व्यक्तिगत डेटा की सुरक्षा बनाए रखा जा सके, प्रसंस्करण के लिए साधनों की निर्धारण से लेकर डेटा संग्रहण के समय तक नष्टि के समय के बीच। व्यक्तिगत डेटा केवल तभी एक डेटा प्रोसेसर को स्थानांतरित किया जाएगा अगर उसे उन प्रक्रियाओं और नीतियों का पालन करने से सहमति है, या अगर वह स्वयं उचित उपाय अधिकार करता है।
हम व्यक्तिगत डेटा की गोपनीयता, सत्यापन और उपलब्धता की रक्षा करके डेटा सुरक्षा को बनाए रखेंगे, जो इस प्रकार परिभाषित किया गया है:
a. गोपनीयता का मतलब है कि केवल उन लोगों को डेटा तक पहुंच करने की अनुमति है जिन्हें डेटा का उपयोग करने की अनुमति है।
b. अखंडता का मतलब है कि व्यक्तिगत डेटा सटीक और उस उद्देश्य के लिए उपयुक्त होना चाहिए जिसके लिए उसे प्रसंस्कृत किया जाता है।
c. उपलब्धता का मतलब है कि अधिकृत उपयोगकर्ताओं को यदि वे मान्यता प्राप्त कारणों के लिए आवश्यक हो तो डेटा तक पहुंचना चाहिए। इसलिए व्यक्तिगत डेटा को हमारी कंपनी के केंद्रीय कंप्यूटर सिस्टम पर भंडारित होना चाहिए न कि व्यक्तिगत पीसी पर।
सुरक्षा प्रक्रियाएं शामिल हैं:
a. प्रवेश नियंत्रण। प्रवेश-नियंत्रित क्षेत्रों में किसी भी अज्ञात व्यक्ति की चेतावनी दी जानी चाहिए।
b. सुरक्षित ताला लगने वाले मेज और अलमारियों। जब भी मेज और अलमारियों में किसी भी प्रकार की गोपनीय जानकारी हो, तो वे ताला लगे रहने चाहिए। (व्यक्तिगत जानकारी हमेशा गोपनीय मानी जाती है।)
c. डेटा संक्षेपण।
d. निष्क्रिय करने के तरीके। कागजी दस्तावेज टुकड़ों में काट दिए जाने चाहिए। डिजिटल स्टोरेज उपकरण को जब भी वे अब और आवश्यक नहीं होंगे, तो उनको भौतिक रूप से नष्ट किया जाना चाहिए।
e. उपकरण। कर्मचारी को सुनिश्चित करना चाहिए कि व्यक्तिगत मॉनिटर्स पासर्बाई को गोपनीय जानकारी प्रदर्शित नहीं करते हैं और जब तक उनकी पीसी अनगर्दित छोड़ दी जाती है, तब वे उससे लॉग ऑफ करें।
13. विषय उपस्थिति अनुरोध
व्यक्तियों को हमारे पास जो जानकारी है, उसके लिए एक सरकारी अनुरोध करना होगा। एक अनुरोध प्राप्त करने वाले कर्मचारी को तुरंत डीपीओ या मानव संसाधन के किसी सदस्य को तुरंत भेज देना चाहिए।
जब टेलीफोन जांचों को प्राप्त करें, हम केवल तब तक हमारे सिस्टम पर रखी व्यक्तिगत डेटा की जानकारी देंगे जब निम्नलिखित शर्तें पूरी हों:
a. हम कॉलर की पहचान की जांच करेंगे ताकि जानकारी केवल उस व्यक्ति को दी जाए जिसे इसका हक है।
b. अगर हम कॉलर की पहचान पर यकीन नहीं करते और जहाँ उनकी पहचान की जा सकती हो, वहाँ हम कॉलर से अपने अनुरोध को लिखित में पेश करने की सुझाव देंगे।
जहाँ एक अनुरोध इलेक्ट्रॉनिक ढंग से किया जाता है, उसकी व्यक्तिगत डेटा संभावन होने पर इलेक्ट्रोनिक रूप से प्रदान की जाएगी।
हमारे कर्मचारी कठिन स्थिति में सहायता के लिए अपने लाइन प्रबंधक को अनुरोध करेंगे।
14. इस नीति में परिवर्तन
हमें इस नीति में किसी भी समय पर परिवर्तन करने का अधिकार है। जहां उचित हो, हम वेबसाइट पर कुकी बैनर के माध्यम से परिवर्तनों की सूचना देंगे।