Virginia’s New Data Protection Law

Keywords : In DepthIn Depth,SecuritySecurity

वर्जीनिया कैलिफ़ोर्निया उपभोक्ता गोपनीयता अधिनियम (सीसीपीए) और कैलिफ़ोर्निया गोपनीयता राइट एक्ट (सीपीआरए) की ऊँची एड़ी के बाद, कानून में व्यापक डेटा गोपनीयता कानून पर हस्ताक्षर करने पर कर्षण करने का नवीनतम राज्य है। चूंकि अतिरिक्त राज्य प्रस्तावित गोपनीयता बिलों और सांसदों को व्यापक संघीय विनियमन की संभावना पर चर्चा करते हैं, इसलिए कई संगठन आश्चर्यचकित हैं कि इस तेजी से बदलते माहौल में अनुपालन कैसे स्थापित और बनाए रखना है।

मार्च में, वर्जीनिया ने उपभोक्ता डेटा प्रोटेक्शन एक्ट (सीडीपीए) को मंजूरी दी, जो जनवरी 2023 में शुरू हो जाएगा। कानून के तहत बाध्य संगठन सीडीपीए के दायरे, आवश्यकताओं और प्रवर्तन का मूल्यांकन कर रहे हैं, और कानून उनके वर्तमान व्यवसाय को कैसे प्रभावित करेगा और डेटा प्रोसेसिंग प्रथाओं। कई संगठनों के लिए, अनुपालन में मौजूदा जीडीपीआर, सीसीपीए, या एचआईपीएए कार्यक्रमों के साथ सीडीपीए आवश्यकताओं को शामिल किया जाएगा। अन्य पहली बार डेटा संरक्षण विनियमन का सामना करेंगे और इस प्रकार अपने अनुपालन कार्यक्रमों को खरोंच से डिजाइन करेंगे। सभी मामलों में, संगठन इस सवाल की तलाश में हैं कि क्षितिज पर अतिरिक्त डेटा गोपनीयता कानूनों के तहत आवश्यकताओं के साथ इन प्रयासों को कैसे कम किया जाएगा।

हालांकि सीडीपीए का दायरा और आवेदन जीडीपीआर और सीसीपीए / सीपीआरए से कुछ हद तक भिन्न होता है, फिर भी सीडीपीए आवश्यकताओं में से कई मौजूदा कानूनों के भीतर उन लोगों को दर्पण करते हैं। उदाहरण के लिए, इसमें सीसीपीए जैसे बिक्री ऑप्ट-आउट दायित्व शामिल हैं और जीडीपीआर की तरह प्रोफाइलिंग के ऑप्ट-आउट के अधिकार के साथ डेटा विषयों को प्रदान करता है। मौजूदा गोपनीयता कार्यक्रम वाले संगठनों के लिए, सीडीपीए या अन्य नए गोपनीयता कानूनों को संचालित करने में केंद्रीय कठिनाई पहले से ही स्थापित गोपनीयता प्रक्रियाओं से भिन्नताओं की पहचान, मूल्यांकन और उपचार में निहित है। ऐसा करने के लिए, चाहे अब सीडीपीए या भविष्य में अतिरिक्त क्षेत्रीय नियमों के लिए, संगठन पांच प्रमुख चरणों का पालन कर सकते हैं। इन चरणों को आवश्यकतानुसार गोपनीयता कार्यक्रमों को अनुकूलित करने के लिए दोहराया जा सकता है, और इसमें शामिल हैं:

चरण 1: आवश्यकताओं को पहचानें




सीडीपीए का दायरा उन इकाइयों पर दायित्वों को लागू करता है जो वर्जीनिया में व्यवसाय करते हैं या वर्जीनिया निवासियों को लक्षित उत्पादों या सेवाओं का उत्पादन करते हैं, और कैलेंडर वर्ष के दौरान कम से कम 100,000 उपभोक्ताओं के व्यक्तिगत डेटा को नियंत्रित या संसाधित करते हैं; या कम से कम 25,000 उपभोक्ताओं के व्यक्तिगत डेटा को नियंत्रित या संसाधित करें और व्यक्तिगत डेटा की बिक्री से कम से कम 50% सकल राजस्व प्राप्त करें। उल्लेखनीय अपवाद- I.E। कंपनियां सीडीपीए विनियमन के अधीन नहीं हैं- जीएलबीए और हेल्थ केयर उद्योग संगठनों द्वारा शासित वित्तीय संगठन शामिल हैं जो कर्मचारी से संबंधित डेटा या प्रशासनिक जानकारी के लाभ के लिए एचआईपीएएए के अधीन हैं। सीडीपीए में प्राथमिक आवश्यकताओं में शामिल हैं:
नोटिस: § 59.1-574। संगठनों को उपभोक्ताओं को प्रसंस्करण के उद्देश्य के बारे में सूचित करने की आवश्यकता है।
पसंद और सहमति: § 59.1-574। ए। 5. संवेदनशील जानकारी एकत्र करने से पहले संगठनों को सकारात्मक सहमति प्राप्त करने की आवश्यकता है।
उपभोक्ता अधिकार: § 59.1-573। उपभोक्ताओं को अपने डेटा की एक प्रति तक पहुंचने, सुधारने, हटाने, प्राप्त करने का अधिकार है, और लक्षित विज्ञापन, व्यक्तिगत डेटा की बिक्री, या प्रोफाइलिंग से ऑप्ट-आउट करने का अधिकार है।
तीसरे पक्ष के प्रकटीकरण: § 59.1-575। नियंत्रकों को यह सुनिश्चित करना चाहिए कि व्यक्तिगत डेटा को संभालने वाले प्रोसेसर के साथ उचित संविदात्मक आवश्यकताएं हों।
डेटा संरक्षण आकलन: § 59.1-576। नियंत्रकों को विशिष्ट डेटा प्रोसेसिंग गतिविधियों के लिए डेटा सुरक्षा आकलन करना चाहिए, जिनमें शामिल हैं, दूसरों के बीच, लक्षित विज्ञापन, व्यक्तिगत डेटा की बिक्री, या प्रोफाइलिंग के प्रयोजनों के लिए।
सुरक्षा: § 59.1-574। ए 3. संगठनों को उचित प्रशासनिक, तकनीकी और भौतिक डेटा सुरक्षा प्रथाओं को बनाए रखना चाहिए।
छूट: § 59.1-577। डी-पहचाने गए डेटा सेट को कुछ परिस्थितियों में सीडीपीए आवश्यकताओं से मुक्त किया जाता है। चरण 2: निर्धारित करें कि सीडीपीए लागू होता है


सीडीपीए के दायरे के आधार पर, संगठनों को कानून के संपर्क में निर्धारित करने के लिए एक व्यावसायिक प्रभाव मूल्यांकन करना चाहिए। एक संपूर्ण व्यावसायिक प्रभाव मूल्यांकन में डेटा मानचित्र समीक्षा होती है यह निर्धारित करने के लिए कि संगठन वर्जीनिया निवासी व्यक्तिगत जानकारी और उस प्रसंस्करण में किसी भी अंतर्निहित जोखिमों को संसाधित करता है या नहीं। डेटा मानचित्र को व्यावसायिक उद्देश्य और डेटा प्रवाह को निर्धारित करने के लिए व्यक्तिगत जानकारी को संभालने वाले व्यावसायिक प्रक्रिया गतिविधियों, प्रणालियों, उत्पादों और सेवा प्रदाताओं की पहचान करनी चाहिए।

चरण 3: सीडीपीए में भिन्नताओं का आकलन करें



चरण दो में पूरा डेटा मैप समीक्षा के आधार पर, संगठन अपने विशिष्ट व्यवसाय, प्रथाओं और गोपनीयता नियंत्रण डोमेन पर सीडीपीए नियम लागू होने के तरीके में मौजूद भिन्नताओं की जांच कर सकते हैं। नीचे, सीडीपीए की आवश्यकताओं को आम तौर पर स्वीकार्य गोपनीयता सिद्धांतों (जीएपीपी) के खिलाफ वर्गीकृत किया गया है और सीसीपीए के खिलाफ विचलन के उदाहरणों को उल्लेख किया गया है।
गैप नियंत्रण डोमेन सीसीपीए के खिलाफ विचलन
नोटिस लक्षित से ऑप्ट-आउट करने के अधिकार पर जानकारीविज्ञापन।
विकल्प% 26AMP; सहमति संवेदनशील जानकारी के लिए सकारात्मक सहमति प्राप्त करें।

लक्षित विज्ञापन के प्रयोजनों के लिए एक ऑप्ट-आउट बटन प्रदान करें।
पहुंच (या उपभोक्ता अधिकार) लक्षित विज्ञापन के प्रयोजनों के लिए ऑप्ट-आउट करने की क्षमता।
निगरानी& प्रवर्तन कुछ प्रक्रियाओं के लिए डेटा संरक्षण आकलन करें।
तीसरे पक्ष के लिए प्रकटीकरण नियंत्रक बनाम प्रोसेसर भूमिका निर्धारित करें।

नियंत्रक प्रोसेसर के ऑडिट कर सकता है।

चरण 4: गोपनीयता नियंत्रण जोड़ें या जोड़ें



मूल्यांकन विचलन आपके गोपनीयता नियंत्रण डोमेन के क्षेत्रों की समझ प्रदान करता है जिसे अद्यतन करने की आवश्यकता हो सकती है। विचार करने के लिए महत्वपूर्ण क्षेत्र हैं:
कंपनी की गोपनीयता सूचना और संभावित भाषा अपडेट की एक समीक्षा
मौजूदा नीतियों और गोपनीयता से संबंधित प्रशिक्षण के लिए अद्यतन
डेटा विषय पहुंच अनुरोध प्रक्रिया
सहमति और ऑप्ट-आउट प्रक्रियाएं
तृतीय-पक्ष अनुबंध भाषा
गोपनीयता प्रभाव मूल्यांकन प्रक्रियाएं

नोट यह है कि सीडीपीए पूरी तरह से वर्जीनिया निवासी व्यक्तिगत जानकारी के लिए लागू होता है, सीडीपीए एक जांच के दौरान "किसी भी डेटा संरक्षण आकलन को लागू करने वाले किसी भी डेटा संरक्षण आकलन" का अनुरोध करने की क्षमता में अटॉर्नी सामान्य विवेक को भी प्रदान करता है। वर्जीनिया में होस्ट किए गए उत्पादों, संपत्तियों या प्रसंस्करण गतिविधियों को प्रासंगिक के रूप में माना जा सकता है, और इसलिए इन डेटा केंद्रों को शामिल करने वाली प्रक्रियाओं या उत्पादों पर किए गए डेटा गोपनीयता प्रभाव आकलन को अतिरिक्त जांच की आवश्यकता हो सकती है।

चरण 5: नए और बदलते गोपनीयता कानूनों के लिए तैयार करें



एक संगठन के बाद भी सीडीपीए के तहत अपने जोखिम को संबोधित करने के बाद, यह सुनिश्चित करने के तरीके का सवाल यह सुनिश्चित करने के लिए कि नए गोपनीयता कानूनों के बीच लगातार पोषित किया जाता है। उदाहरण के लिए, सीपीआरए भी जनवरी 2023 में प्रभावी हो जाता है और सीसीपीए नियंत्रण के अलावा-सीसीपीए नियंत्रणों के अतिरिक्त-सभी व्यवसायों के भीतर कैलिफ़ोर्निया में उपस्थिति के साथ, उस तारीख से पहले। एक अंतरराष्ट्रीय पदचिह्न के साथ संगठनों को वैश्विक गोपनीयता कानूनों के एक विकसित स्पेक्ट्रम को अनुकूलित करने की आवश्यकता होगी। इसके प्रकाश में, आने वाली आवश्यकताओं की पहचान करने के लिए एक दस्तावेज की गई प्रक्रिया के साथ सक्रिय और सुसंगत होना महत्वपूर्ण है, उन्हें वर्तमान गोपनीयता नियंत्रणों के विरुद्ध वर्गीकृत करना, अंतराल की पहचान करना, और उपचार और कार्यान्वयन के लिए नियंत्रण और स्वामित्व को परिभाषित करना महत्वपूर्ण है। इसके लिए डेटा गोपनीयता गतिविधियों के लिए एक मजबूत डेटा सूची नींव और कुंजी हितधारक समर्थन की आवश्यकता होगी। उभरते कानूनों के अनुसार कार्यक्रमों को लगातार जोड़ने और संशोधित करने और नई नीतियों के साथ कर्मचारी सहयोग सुनिश्चित करने के लिए एक मजबूत परिवर्तन प्रबंधन प्रक्रिया भी महत्वपूर्ण है।

लक्ष्यों को अभी भी अपने बचपन में है जब यह मजबूत डेटा गोपनीयता विनियमन की बात आती है। लेकिन परिवर्तन दूर है। हम व्यक्तिगत डेटा सुरक्षा को मजबूत करने और व्यक्तिगत डेटा हैंडलिंग को लागू करने के तरीके के साथ दांतों को जोड़ने के लक्ष्य के साथ, अधिकांश राज्यों और उद्योग केंद्रित शासित शव निकायों में सांसदों के बीच एक गंभीरता देख रहे हैं। वर्जीनिया में यह हालिया विकास उन कानूनों के प्रकारों का एक अच्छा उदाहरण है जो आने वाले वर्षों में पेश किए गए और अनुमोदित किए जाएंगे। संगठनों को नई आवश्यकताओं का मूल्यांकन और कार्यान्वित करने के लिए एक लचीली डेटा गोपनीयता नींव और दोहराने योग्य प्रक्रियाओं के साथ तैयार होने की आवश्यकता होगी। लेखक के बारे में

डीएएनए यूएचएल एफटीआई प्रौद्योगिकी अभ्यास में एक प्रबंध निदेशक है। वह सूचना प्रशासन, डेटा गोपनीयता, डेटा सुरक्षा, और ई-डिस्कवरी कार्यक्रमों के लिए परिवर्तन प्रबंधन को डिजाइन, कार्यान्वयन और सक्षम करने पर ध्यान केंद्रित करने के साथ कॉर्पोरेट ग्राहकों से परामर्श प्रदान करती है।

साइमन गिलार्ड एफटीआई प्रौद्योगिकी अभ्यास में एक वरिष्ठ परामर्शदाता हैं। वह संगठनों को टिकाऊ गोपनीयता कार्यक्रमों का निर्माण करने और जीडीपीआर, सीसीपीए, एचआईपीएए और अन्य डेटा नियमों के अनुरूप अपने डेटा को अधिक सुरक्षित और प्रभावी तरीके से प्रबंधित करने में सहायता करता है।

पोस्ट वर्जीनिया का नया डेटा संरक्षण कानून आज कानून प्रौद्योगिकी पर पहली बार दिखाई दिया।

Read Also:

Latest MMM Article

Arts & Entertainment

Health & Fitness