'नियंत्रक' (Controller) क्या होता है और यह क्यों महत्वपूर्ण है?
PDPL के तहत, कोई भी संगठन जो यह निर्धारित करता है कि आपका व्यक्तिगत डेटा कैसे और किस उद्देश्य से संसाधित किया जाएगा, उसे नियंत्रक (Controller) कहा जाता है। यह आपका नियोक्ता, कोई अस्पताल, सरकारी विभाग, मकान मालिक की संपत्ति प्रबंधन कंपनी, या सऊदी अरब में आपके द्वारा व्यवहार किया जाने वाला कोई भी व्यवसाय हो सकता है।
प्रसंस्करक (Processor) वह तृतीय पक्ष होता है जो नियंत्रक की ओर से डेटा को संभालता है — उदाहरण के लिए, वेतन प्रबंधन कंपनी या क्लाउड स्टोरेज प्रदाता। नियंत्रक और प्रसंस्करक दोनों पर कानूनी दायित्व होते हैं, लेकिन जवाबदेही का प्राथमिक केंद्र नियंत्रक ही होता है।
---
संगठनों को जिन मूलभूत सिद्धांतों का पालन करना अनिवार्य है
PDPL यह अनिवार्य करता है कि व्यक्तिगत डेटा का संसाधन कड़े सिद्धांतों के अनुसार किया जाए:
- उद्देश्य सीमा (Purpose Limitation): डेटा केवल एक विशिष्ट, स्पष्ट और वैध उद्देश्य के लिए एकत्र किया जाना चाहिए। कोई कंपनी एक कारण से आपका डेटा एकत्र करके उसे किसी पूर्णतः भिन्न उद्देश्य के लिए उपयोग नहीं कर सकती।
- डेटा न्यूनीकरण (Data Minimization): निर्धारित उद्देश्य को पूरा करने के लिए केवल न्यूनतम आवश्यक डेटा ही एकत्र किया जा सकता है। संगठन अत्यधिक व्यक्तिगत जानकारी की मांग नहीं कर सकते।
- सटीकता (Accuracy): नियंत्रकों को यह सुनिश्चित करने के लिए उपाय करने होंगे कि संसाधन अवधि के दौरान आपका डेटा सटीक और अद्यतन बना रहे।
- भंडारण सीमा (Storage Limitation): डेटा को आवश्यकता से अधिक समय तक नहीं रखा जा सकता। उद्देश्य पूरा होने के बाद इसे सुरक्षित रूप से नष्ट किया जाना चाहिए।
- सुरक्षा (Security): संगठनों को आपके डेटा को हानि, अनधिकृत पहुंच या उल्लंघन से बचाने के लिए तकनीकी और संगठनात्मक उपाय लागू करने होंगे।
---
आपके डेटा के संसाधन के लिए वैध आधार
संगठनों को सामान्यतः आपका व्यक्तिगत डेटा संसाधित करने के लिए आपकी सहमति की आवश्यकता होती है। हालांकि, कानून कुछ विशेष परिस्थितियों में सहमति के बिना संसाधन की अनुमति देता है, जिनमें शामिल हैं:
- जब संसाधन महत्वपूर्ण हितों की रक्षा के लिए आवश्यक हो (उदाहरण: चिकित्सा आपातस्थिति)
- जब यह किसी वैध सार्वजनिक हित की पूर्ति करता हो
- जब किसी कानूनी दायित्व को पूरा करने के लिए आवश्यक हो
- जब किसी ऐसे अनुबंध को क्रियान्वित करने के लिए आवश्यक हो जिसमें आप एक पक्ष हों
एक प्रवासी के रूप में, आप इसे सबसे अधिक रोजगार संबंधी संदर्भों में अनुभव करेंगे — आपका नियोक्ता वेतन, वीजा, या कानूनी रिपोर्टिंग दायित्वों को पूरा करने के लिए प्रत्येक कार्रवाई के लिए अलग सहमति लिए बिना कुछ डेटा संसाधित कर सकता है।
---
डिज़ाइन और डिफ़ॉल्ट द्वारा डेटा संरक्षण
PDPL की अधिक दूरदर्शी आवश्यकताओं में से एक नियंत्रकों पर डिज़ाइन और डिफ़ॉल्ट द्वारा डेटा संरक्षण लागू करने का दायित्व है। इसका अर्थ है:
- गोपनीयता सुरक्षा को प्रणालियों और प्रक्रियाओं में शुरू से ही शामिल किया जाना चाहिए — बाद में नहीं जोड़ा जाना चाहिए
- किसी भी प्लेटफ़ॉर्म या सेवा की डिफ़ॉल्ट सेटिंग्स उपलब्ध सबसे अधिक गोपनीयता-सुरक्षात्मक विकल्प होनी चाहिए
- किसी भी ऐसे संसाधन को शुरू करने से पहले जो आपकी गोपनीयता के लिए महत्वपूर्ण जोखिम उत्पन्न कर सकता हो, संगठनों को डेटा संरक्षण प्रभाव आकलन (DPIA) करना अनिवार्य है
सऊदी अरब में ऐप्स, डिजिटल सरकारी सेवाओं और स्वास्थ्य सेवा प्लेटफ़ॉर्म से व्यवहार करते समय यह विशेष रूप से प्रासंगिक है।
---
डेटा संरक्षण अधिकारी (DPO)
SDAIA विनियमों द्वारा निर्दिष्ट कुछ मामलों में, संगठनों को डेटा संरक्षण अधिकारी (DPO) नियुक्त करना अनिवार्य है। DPO की भूमिका में शामिल हैं:
- अनुपालन पर आंतरिक मार्गदर्शन प्रदान करना
- PDPL के पालन की निगरानी करना
- डेटा विषयों और SDAIA के लिए संपर्क बिंदु के रूप में कार्य करना
- प्रशिक्षण और जागरूकता कार्यक्रम आयोजित करना
यदि आपको किसी कंपनी के संबंध में डेटा से जुड़ी कोई शिकायत है, तो यह पूछना कि क्या उनके पास DPO है — और उस व्यक्ति से सीधे संपर्क करना — एक व्यावहारिक पहला कदम है।
---
आपके डेटा का प्रकटीकरण और साझाकरण
संगठन आपकी सहमति के बिना आपका व्यक्तिगत डेटा तृतीय पक्षों को प्रकट नहीं कर सकते, जब तक कि कोई विशिष्ट कानूनी अपवाद लागू न हो। इसका अर्थ है:
- आपका नियोक्ता आपकी व्यक्तिगत जानकारी स्वतंत्र रूप से अन्य कंपनियों के साथ साझा नहीं कर सकता
- कोई अस्पताल आपकी जानकारी के बिना आपके चिकित्सा अभिलेख बीमाकर्ताओं को नहीं सौंप सकता
- कोई मकान मालिक आपके पहचान विवरण विपणन कंपनियों के साथ साझा नहीं कर सकता
यदि आपको पता चलता है कि आपका डेटा किसी वैध आधार के बिना साझा किया गया है, तो आपके पास SDAIA में शिकायत दर्ज करने का अधिकार है।
---
प्रवासियों के लिए व्यावहारिक कदम
- जब भी आप सऊदी अरब में किसी सेवा के लिए पंजीकरण करें या नई नौकरी शुरू करें, गोपनीयता सूचना (Privacy Notice) मांगें
- अत्यधिक डेटा अनुरोधों पर सवाल उठाएं — यदि कोई सेवा आवश्यकता से अधिक जानकारी मांगती है, तो आपको यह पूछने का पूरा अधिकार है कि इसकी आवश्यकता क्यों है
- यदि आपको संदेह है कि आपके डेटा का दुरुपयोग हो रहा है, तो लिखित रूप में अपना डेटा मांगें
- सब कुछ दस्तावेज़ीकृत करें: सहमति प्रपत्रों, गोपनीयता नीतियों और अपने डेटा के बारे में किसी भी पत्राचार का अभिलेख सुरक्षित रखें
- यदि कोई संगठन सहयोग करने से इनकार करता है या कानून का स्पष्ट उल्लंघन करता है, तो SDAIA में उल्लंघन की रिपोर्ट करें