जोखिम एक जोखिम खतरा है, चाहे कोई कंपनी बड़ी हो या छोटी। चूंकि जीडीपीआर अब पूरी तरह से लागू हो गया है, इसलिए संगठनों को उन सर्वोत्तम प्रथाओं का पालन करना चाहिए जो आज्ञाकारी हैं।
इनमें आपकी कंपनी के जोखिम जोखिम को पहचानने, ट्रैक करने और निगरानी में मदद करने के लिए एक मजबूत विक्रेता जोखिम प्रबंधन कार्यक्रम शामिल है। जीडीपीआर के तहत, आपके संगठन को दंड, जुर्माना और अन्य संभावित कानूनी परिणामों का सामना करना पड़ सकता है।
 |
| विक्रेता जोखिम प्रबंधन और GDPR का अनुपालन |
ईयू जनरल डेटा प्रोटेक्शन रेगुलेशन (GDPR) इस बात पर विचार कर रहा है कि सभी ई-कॉमर्स साइबर अपराधियों के संपर्क में है। लगभग हर दिन उपभोक्ताओं की गोपनीय जानकारी के डेटा उल्लंघनों की सूचना दी जाती है। यद्यपि उपभोक्ता डेटा गोपनीयता चिंताओं को सबसे अधिक उद्धृत किया जाता है, GDPR के तहत नागरिक डेटा का दायरा पेरोल या स्वास्थ्य देखभाल डेटा को समायोजित करने के लिए भी बढ़ाया जाता है।
GDPR की तैयारी
जीडीपीआर के लिए तैयार होने के लिए, कंपनियों को कुछ महत्वपूर्ण व्यवसाय संचालन ओवरहाल करने की आवश्यकता होगी, और उनके विक्रेता जोखिम प्रबंधन कार्यक्रम उनमें से हैं। डेटा प्रोसेसर और नियंत्रकों पर जीडीपीआर में व्यक्त की गई भाषा स्पष्ट रूप से बताती है कि यदि आप ग्राहक डेटा के समावेश का अनुभव करते हैं तो आप कानूनी रूप से जवाबदेह हैं।
अनुच्छेद 28।
जीडीपीआर में कई लेख हैं जो प्रोसेसर और कंट्रोलर दोनों से डेटा प्रोसेसिंग को प्रभावित करते हैं। विशिष्ट होने के लिए, अनुच्छेद 28 बताता है कि नियंत्रकों को पर्याप्त व्यावहारिक और अनंतिम गारंटी के साथ प्रोसेसर का उपयोग करना चाहिए। इसके अलावा, उनके पास उपयुक्त संगठन और तकनीकी उपाय होने चाहिए जो विषय डेटा अधिकारों की रक्षा करते हैं।
इसका मतलब है कि आपको उचित परिश्रम के साथ आवेदन करना होगा और अपने तीसरे पक्ष के विक्रेताओं को यह सत्यापित करने के लिए परीक्षण करना होगा कि वे जीडीपीआर अनुपालन आवश्यकताओं को पूरा करते हैं। साथ ही, सत्यापन की पूरी प्रक्रिया का दस्तावेजीकरण किया जाना है।
अपने विक्रेता जोखिम प्रबंधन कार्यक्रम को समझने में मदद करने के लिए कि GDPR अनुपालन कैसे प्रभावित होता है, पहले खुद से कुछ प्रश्न पूछें:
आप और आपके विक्रेता किस तरह के व्यक्तिगत डेटा एकत्र करते हैं, प्रक्रिया या स्टोर करते हैं?
आपकी ओर से व्यक्तिगत जानकारी की प्रक्रिया कौन करता है?
आप अपना डेटा कहाँ संग्रहीत करते हैं?
इस डेटा से कैसे और कब निपटा जाता है?
यह डेटा यूरोपीय संघ के निवासियों या नागरिकों के लिए है?
आप किस व्यक्तिगत डेटा को संसाधित करते हैं?
यह डेटा किस प्रयोजन के लिए संसाधित किया गया है?
ऐसी जानकारी को कौन एक्सेस कर सकता है?
आपकी ओर से व्यक्तिगत जानकारी की प्रक्रिया कौन करता है?
आप अपना डेटा कहाँ संग्रहीत करते हैं?
इस डेटा से कैसे और कब निपटा जाता है?
यह डेटा यूरोपीय संघ के निवासियों या नागरिकों के लिए है?
आप किस व्यक्तिगत डेटा को संसाधित करते हैं?
यह डेटा किस प्रयोजन के लिए संसाधित किया गया है?
ऐसी जानकारी को कौन एक्सेस कर सकता है?
क्या आपके पास अपने डेटा संग्रह, उपयोग और अनुपालन को नियंत्रित करने के लिए नीतियां और प्रक्रियाएं हैं?
आपके कर्मचारियों / ग्राहकों की व्यक्तिगत जानकारी की सुरक्षा के लिए नियंत्रण और एहतियाती उपाय करने के लिए कौन से नियंत्रक और प्रोसेसर हैं?
ब्रीच सूचनाओं के लिए आपकी प्रक्रियाएँ क्या हैं?
यदि आप प्रमुख जोखिम क्षेत्रों की पहचान करना चाहते हैं, तो अपने आप से ये महत्वपूर्ण प्रश्न पूछें:
आपके कर्मचारियों / ग्राहकों की व्यक्तिगत जानकारी की सुरक्षा के लिए नियंत्रण और एहतियाती उपाय करने के लिए कौन से नियंत्रक और प्रोसेसर हैं?
ब्रीच सूचनाओं के लिए आपकी प्रक्रियाएँ क्या हैं?
यदि आप प्रमुख जोखिम क्षेत्रों की पहचान करना चाहते हैं, तो अपने आप से ये महत्वपूर्ण प्रश्न पूछें:
क्या आपने अपने यूरोपीय संघ के नागरिकों को सूचित किया है कि आप उनकी जानकारी तीसरे पक्ष के साथ साझा कर रहे हैं?
क्या आप आश्वस्त हैं कि आपके बिचौलिए पर्याप्त स्तर की सुरक्षा का आश्वासन देते हैं? आप इसे कैसे मान्य कर सकते हैं?
क्या आप GDPR के प्रभाव का पता लगाने के लिए विक्रेता जोखिम मूल्यांकन करते हैं और यह आपको और आपके विक्रेताओं को कैसे प्रभावित करता है?
क्या आप नए सिस्टम या विक्रेताओं को बोर्ड पर लाने से पहले डेटा गोपनीयता प्रभाव आकलन करते हैं?
क्या आप आश्वस्त हैं कि आपके बिचौलिए पर्याप्त स्तर की सुरक्षा का आश्वासन देते हैं? आप इसे कैसे मान्य कर सकते हैं?
क्या आप GDPR के प्रभाव का पता लगाने के लिए विक्रेता जोखिम मूल्यांकन करते हैं और यह आपको और आपके विक्रेताओं को कैसे प्रभावित करता है?
क्या आप नए सिस्टम या विक्रेताओं को बोर्ड पर लाने से पहले डेटा गोपनीयता प्रभाव आकलन करते हैं?
क्या आपने विक्रेताओं की ऑनबोर्डिंग / समापन, निगरानी और नियमित रूप से उनके अनुपालन का आकलन करने के लिए नीतियां और प्रक्रियाएं विकसित की हैं?
यदि आप एक उच्च जोखिम वाले विक्रेता हैं, तो क्या आप विक्रेताओं द्वारा परिवर्तित किए गए या हटाए जा रहे डेटा से बचने के लिए आंतरिक डेटा स्रोतों और साइट की समीक्षाओं का नियंत्रण परीक्षण कर रहे हैं?
क्या आपने अपने विक्रेता प्रबंधन कार्यक्रम को केंद्रीकृत किया है?
यदि आप एक उच्च जोखिम वाले विक्रेता हैं, तो क्या आप विक्रेताओं द्वारा परिवर्तित किए गए या हटाए जा रहे डेटा से बचने के लिए आंतरिक डेटा स्रोतों और साइट की समीक्षाओं का नियंत्रण परीक्षण कर रहे हैं?
क्या आपने अपने विक्रेता प्रबंधन कार्यक्रम को केंद्रीकृत किया है?
जीडीपीआर विनियम
GDPR के तहत, 72 घंटों के भीतर किसी भी डेटा उल्लंघनों की सूचना अधिकारियों को दी जानी चाहिए। यदि संगठनों और तृतीय-पक्ष विक्रेताओं के बीच अविश्वास का सबूत है जो आपके डेटा उल्लंघन के अपने ग्राहकों को सूचित करने के लिए अनिच्छुक हैं, तो आप जीडीपीआर के तहत।
यदि आप जीडीपीआर से आच्छादित हैं, तो अपनी नीतियों और कार्यक्रमों को अपडेट करें क्योंकि यह कानूनी, अनुपालन और तीसरे पक्ष के जोखिम को प्रभावित करता है। अनुत्पादक प्रभाव मौद्रिक जुर्माना, नियामक दबाव और ग्राहक अविश्वास से प्रतिष्ठित नुकसान का कारण बन सकता है।
अपनी आंतरिक नीतियों और कार्यक्रमों को अपडेट करते समय, इसमें आपके तृतीय-पक्ष विक्रेताओं को भी शामिल करना चाहिए। आपके संगठन के आकार के आधार पर, आपके द्वारा एकत्र किए जाने वाले डेटा की मात्रा निर्धारित करेगी कि आपका डेटा गोपनीयता अधिकारी औपचारिक रूप से आपकी डेटा सुरक्षा का प्रबंधन कर सकता है या नहीं। यह आपके मामले को मजबूत बनाएगा और विनियमन के अनुपालन के लिए आपके विक्रेताओं के पालन को समझेगा।
जल्द ही आपको अपना जीडीपीआर अनुपालन और विक्रेता प्रबंधन दिखाने की आवश्यकता होगी। ऑडिट आयोजित किए जाएंगे, और वे आपके विक्रेता जोखिम प्रबंधन व्यवहार का मूल्यांकन, पूछताछ और परीक्षण करेंगे।
Comments
Post a Comment