सऊदी कानून के तहत डेटा उल्लंघन क्या माना जाता है?
PDPL के अंतर्गत व्यक्तिगत डेटा उल्लंघन वह कोई भी घटना है जिसके परिणामस्वरूप व्यक्तिगत डेटा तक अनधिकृत पहुँच, हानि, विनाश, परिवर्तन या प्रकटीकरण होता है — या होने की संभावना है। इसमें शामिल हो सकते हैं:
- किसी कंपनी के डेटाबेस को हैक किया जाना
- किसी कर्मचारी द्वारा गलती से आपकी व्यक्तिगत जानकारी गलत व्यक्ति को ईमेल कर देना
- अनएन्क्रिप्टेड व्यक्तिगत डेटा युक्त किसी उपकरण का खो जाना
- आपके अभिलेखों तक अनधिकृत आंतरिक पहुँच
निर्णायक सीमा आपको, डेटा विषय के रूप में, हानि की संभावना है। प्रत्येक तकनीकी घटना स्वतः अधिसूचना दायित्व उत्पन्न नहीं करती, परंतु जो भी घटना यथार्थ रूप से आपके हितों को नुकसान पहुँचा सकती है, वह इस दायित्व को जन्म देती है।
---
72 घंटे की अधिसूचना नियम
डेटा विषयों के लिए PDPL का एक सबसे महत्वपूर्ण प्रावधान 72 घंटे की उल्लंघन अधिसूचना आवश्यकता है। अनुच्छेद 13 के अंतर्गत:
- जब कोई उल्लंघन होता है जिससे हानि की संभावना हो, तो नियंत्रक (Controller) को उसकी जानकारी होने के 72 घंटे के भीतर SDAIA को सूचित करना अनिवार्य है
- यदि उल्लंघन से गंभीर हानि होने की संभावना हो, तो नियंत्रक को प्रभावित डेटा विषयों — जिनमें आप भी शामिल हैं — को भी बिना अनुचित विलंब के सूचित करना होगा
इसका अर्थ यह है कि यदि आपका डेटा से समझौता हुआ है, तो जिम्मेदार संगठन की ओर से आपको अधिसूचना प्राप्त होनी चाहिए। उस अधिसूचना में शामिल होना चाहिए:
- उल्लंघन की प्रकृति का विवरण
- प्रभावित डेटा की श्रेणियाँ और अनुमानित मात्रा
- उल्लंघन के संभावित परिणाम
- संगठन द्वारा उसे दूर करने के लिए उठाए जा रहे कदम
- आप अपनी सुरक्षा के लिए क्या कर सकते हैं
---
उल्लंघन के बाद संगठनों के दायित्व
उल्लंघन के पश्चात नियंत्रक का दायित्व है कि वह:
- उल्लंघन को रोके और आगे की अनधिकृत पहुँच या हानि को रोके
- प्रभावित व्यक्तियों के लिए जोखिम का मूल्यांकन करे
- 72 घंटे के भीतर SDAIA को सूचित करे
- यदि उल्लंघन से उनके अधिकारों और हितों को गंभीर खतरा हो, तो प्रभावित व्यक्तियों को सूचित करे
- उल्लंघन का दस्तावेजीकरण करे — जिसमें क्या हुआ, कौन प्रभावित हुआ, और क्या उपचारात्मक कदम उठाए गए, यह सब शामिल हो
- किसी भी जाँच के दौरान SDAIA के साथ सहयोग करे
सूचित करने या सहयोग करने में विफलता के परिणामस्वरूप उल्लंघन के लिए निर्धारित दंड से परे अतिरिक्त महत्वपूर्ण दंड लगाया जा सकता है।
---
यदि आपको संदेह हो कि आपका डेटा उल्लंघित हुआ है तो क्या करें
यदि आपको लगता है कि सऊदी अरब में किसी संगठन में आपके डेटा से जुड़ा उल्लंघन हुआ है:
1. सीधे संगठन से संपर्क करें
नियंत्रक से संपर्क करें — या यदि कोई डेटा संरक्षण अधिकारी नियुक्त किया गया हो तो उनसे — और पूछें:
- क्या कोई उल्लंघन हुआ है
- क्या आपका डेटा प्रभावित हुआ
- क्या कदम उठाए जा रहे हैं
लिखित उत्तर की माँग करें और उसकी एक प्रति अपने पास सुरक्षित रखें।
2. अपने खातों की निगरानी करें
- अपने बैंक खातों, क्रेडिट कार्ड और ईमेल पर असामान्य गतिविधि पर नज़र रखें
- पहचान की चोरी के संकेतों के प्रति सतर्क रहें, विशेषकर यदि आपका पहचान पत्र संख्या या वित्तीय विवरण जैसी संवेदनशील जानकारी शामिल हो
- उल्लंघित सेवा से जुड़े खातों के पासवर्ड बदलने पर विचार करें
3. SDAIA में शिकायत दर्ज करें
यदि संगठन आपको उस उल्लंघन के बारे में सूचित करने में विफल रहता है जिसे रिपोर्ट करना उसका कानूनी दायित्व है, या यदि वह आपके हितों की रक्षा के लिए पर्याप्त कदम नहीं उठाता, तो आप:
- SDAIA के आधिकारिक माध्यमों से सीधे शिकायत दर्ज कर सकते हैं
- SDAIA से अनुरोध कर सकते हैं कि वह जाँच करे कि संगठन ने अधिसूचना और सुरक्षा संबंधी दायित्वों का पालन किया या नहीं
4. कानूनी सलाह लें
यदि उल्लंघन के परिणामस्वरूप आपको वास्तविक हानि हुई है — वित्तीय हानि, प्रतिष्ठा को नुकसान, या मानसिक पीड़ा — तो किसी अधिवक्ता से परामर्श करने से आपको यह समझने में मदद मिल सकती है कि आपके पास आगे की कार्रवाई का कोई आधार है या नहीं।
---
उल्लंघन को उचित तरीके से प्रबंधित न करने वाले संगठनों पर दंड
जो संगठन उल्लंघन अधिसूचना आवश्यकताओं का पालन करने में विफल रहते हैं या पर्याप्त सुरक्षा उपाय नहीं अपनाते, उन्हें निम्नलिखित का सामना करना पड़ सकता है:
- SAR 50 लाख तक का जुर्माना
- यदि संवेदनशील डेटा शामिल हो तो दोगुना जुर्माना
- व्यक्तिगत डेटा के जानबूझकर या दुर्भावनापूर्ण प्रकटीकरण के लिए 2 वर्ष तक के कारावास सहित आपराधिक दंड
- दंड का प्रकाशन — जो किसी कंपनी की प्रतिष्ठा को गंभीर रूप से नुकसान पहुँचा सकता है
---
प्रवासियों के लिए व्यावहारिक सुरक्षा सुझाव
- संगठनों के साथ केवल वही व्यक्तिगत डेटा साझा करें जो कि अत्यंत आवश्यक हो
- सऊदी ऑनलाइन सरकारी पोर्टल और सेवा खातों के लिए मजबूत और अद्वितीय पासवर्ड का उपयोग करें
- जहाँ भी संभव हो द्वि-कारक प्रमाणीकरण (Two-Factor Authentication) सक्षम करें
- फिशिंग प्रयासों से सावधान रहें — धोखेबाज उल्लंघन का फायदा उठाकर वैध सऊदी संगठनों का रूप धारण करने का प्रयास कर सकते हैं
- उन संगठनों का रिकॉर्ड रखें जिनके पास आपका डेटा है, ताकि आपातकाल में आप जान सकें कि किससे संपर्क करना है