ईआरपी सिस्टम के लिए जीडीपीआर अनुपालन: पूर्ण कार्यान्वयन गाइड

एंटरप्राइज रिसोर्स प्लानिंग सिस्टम आधुनिक व्यवसाय संचालन के केंद्र में हैं - और आपकी जीडीपीआर अनुपालन चुनौती के केंद्र में हैं। ईआरपी प्लेटफ़ॉर्म एचआर, पेरोल, सीआरएम, खरीद और वित्त मॉड्यूल में एक साथ बड़ी मात्रा में व्यक्तिगत डेटा संसाधित करते हैं, जिससे वे ईयू डेटा सुरक्षा नियामकों के लिए सबसे अधिक जोखिम वाली प्रौद्योगिकी संपत्ति बन जाते हैं। एक गलत तरीके से कॉन्फ़िगर किया गया ईआरपी मॉड्यूल लाखों रिकॉर्ड को उजागर कर सकता है और €20 मिलियन या वैश्विक वार्षिक कारोबार का 4% तक का जुर्माना लगा सकता है।

यह मार्गदर्शिका आपको जीडीपीआर अनुपालन की हर परत के बारे में बताती है क्योंकि यह ईआरपी सिस्टम पर लागू होती है: वैध आधार, डेटा मैपिंग, डीपीआईए, डेटा विषय अधिकार, उल्लंघन प्रतिक्रिया और विक्रेता प्रबंधन। चाहे आप Odoo, SAP, Oracle NetSuite, या Microsoft Dynamics चला रहे हों, सिद्धांत समान रूप से लागू होते हैं।

मुख्य बातें

• जीडीपीआर प्रवर्तन कार्रवाइयों में ईआरपी सिस्टम प्राथमिक लक्ष्य हैं - किसी भी अन्य चीज़ से पहले प्रत्येक व्यक्तिगत डेटा प्रवाह को मैप करें
• आपको अपने ईआरपी में प्रत्येक प्रसंस्करण गतिविधि के लिए एक दस्तावेजी वैध आधार की आवश्यकता है
• डेटा न्यूनतमकरण ईआरपी कॉन्फ़िगरेशन पर लागू होता है: उन मॉड्यूल और फ़ील्ड को अक्षम करें जिनकी आपको आवश्यकता नहीं है
• नए ईआरपी मॉड्यूल तैनात करने से पहले डीपीआईए अनिवार्य हैं जो संवेदनशील डेटा को बड़े पैमाने पर संसाधित करते हैं
• डेटा विषय अधिकार (एक्सेस, इरेज़र, पोर्टेबिलिटी) आपके ईआरपी में तकनीकी रूप से लागू होने योग्य होने चाहिए
• प्रत्येक ईआरपी विक्रेता और क्लाउड होस्ट के साथ प्रोसेसर समझौते की आवश्यकता होती है
• प्रतिधारण शेड्यूल को ईआरपी में स्वचालित विलोपन या अज्ञातीकरण नियमों के रूप में कॉन्फ़िगर किया जाना चाहिए
• किसी घटना के घटित होने से पहले आपके ईआरपी को संदर्भित करने वाली एक दस्तावेजी उल्लंघन प्रतिक्रिया प्रक्रिया मौजूद होनी चाहिए

---

ईआरपी डेटा के लिए जीडीपीआर के दायरे को समझना

सामान्य डेटा संरक्षण विनियमन (ईयू) 2016/679 25 मई 2018 से लागू हो गया है और किसी भी संगठन को कवर करता है - चाहे वह कहीं भी स्थापित हो - जो ईयू/ईईए निवासियों के व्यक्तिगत डेटा को संसाधित करता है। ईआरपी उद्देश्यों के लिए, "व्यक्तिगत डेटा" अधिकांश आईटी टीमों की अपेक्षा अधिक व्यापक है।

ईआरपी व्यक्तिगत डेटा श्रेणियों में आम तौर पर शामिल हैं:

• कर्मचारी डेटा: नाम, राष्ट्रीय आईडी नंबर, वेतन, बैंक विवरण, मेडिकल रिकॉर्ड (बीमार छुट्टी के लिए), बायोमेट्रिक उपस्थिति डेटा, प्रदर्शन समीक्षा, अनुशासनात्मक रिकॉर्ड
• ग्राहक डेटा: नाम, पते, ईमेल, फोन, खरीद इतिहास, क्रेडिट शर्तें, संचार प्राथमिकताएं
• आपूर्तिकर्ता संपर्क डेटा: व्यक्तिगत आपूर्तिकर्ता प्रतिनिधियों के नाम, ईमेल, फोन
• सीआरएम मॉड्यूल में संभावना/लीड डेटा: ब्राउज़िंग व्यवहार, डील चरण, संचार लॉग
• पेरोल डेटा: टैक्स कोड, पेंशन योगदान, शुद्ध वेतन - अक्सर तीसरे पक्ष के पेरोल प्रोसेसर को प्रवाहित होता है

जीडीपीआर स्वास्थ्य डेटा, बायोमेट्रिक डेटा, नस्लीय या जातीय मूल, राजनीतिक राय और आपराधिक सजा से संबंधित डेटा को विशेष श्रेणियों के रूप में वर्गीकृत करता है जिसके लिए स्पष्ट सहमति या अन्य अनुच्छेद 9 शर्त की आवश्यकता होती है। ईआरपी सिस्टम में कई एचआर मॉड्यूल नियमित रूप से बीमारी की छुट्टी के कारणों और विकलांगता की जानकारी संग्रहीत करते हैं, जिससे दायित्व बढ़ जाते हैं।

क्षेत्रीय दायरा: यदि आप एक पाकिस्तानी, संयुक्त अरब अमीरात या अमेरिकी कंपनी हैं जो एक ईआरपी चला रही है जो ईयू ग्राहकों से ऑर्डर संसाधित करती है, या ईयू-निवासी कर्मचारियों को नियुक्त करती है, तो जीडीपीआर आप पर लागू होता है। अनुच्छेद 3 इस अलौकिक अनुप्रयोग को स्पष्ट करता है।

---

चरण 1 - आपके ईआरपी का डेटा मैपिंग

इससे पहले कि आप अनुपालन कर सकें, आपको पता होना चाहिए कि आपके ईआरपी में कौन सा व्यक्तिगत डेटा मौजूद है, यह कहां प्रवाहित होता है और इसे कौन छूता है। यह आपकी प्रसंस्करण गतिविधियों का रिकॉर्ड (आरओपीए) है, जो 250+ कर्मचारियों वाले संगठनों के लिए अनुच्छेद 30 के तहत आवश्यक है या जिनके प्रसंस्करण से डेटा विषयों के अधिकारों को जोखिम होने की संभावना है।

अपना ईआरपी डेटा मैप कैसे बनाएं:

1. उपयोग में आने वाले प्रत्येक ईआरपी मॉड्यूल की सूची बनाएं (एचआर, पेरोल, सीआरएम, अकाउंटिंग, इन्वेंट्री, हेल्पडेस्क, विनिर्माण)
2. प्रत्येक मॉड्यूल के लिए, उन डेटा फ़ील्ड की गणना करें जिनमें व्यक्तिगत डेटा शामिल है
3. डेटा स्रोतों की पहचान करें (वेब फॉर्म, आयात, एपीआई एकीकरण, मैन्युअल प्रविष्टि)
4. मानचित्र डेटा प्रवाह: प्रविष्टि के बाद डेटा कहाँ जाता है? (क्लाउड सिंक, थर्ड-पार्टी पेरोल, ईमेल मार्केटिंग टूल, रिपोर्टिंग डैशबोर्ड, मोबाइल ऐप्स)
5. दस्तावेज़ डेटा एक्सेस: कौन सी भूमिकाएँ, उपयोगकर्ता और बाहरी पक्ष प्रत्येक श्रेणी को पढ़ या संशोधित कर सकते हैं
6. रिकॉर्ड प्रतिधारण अवधि वर्तमान में कॉन्फ़िगर की गई बनाम कानूनी रूप से आवश्यक

RoPA न्यूनतम सामग्री (अनुच्छेद 30):

• नियंत्रक का नाम और संपर्क विवरण
• प्रसंस्करण उद्देश्य
• डेटा विषयों और व्यक्तिगत डेटा की श्रेणियाँ
• प्राप्तकर्ताओं की श्रेणियाँ
• तीसरे देश में स्थानांतरण और सुरक्षा उपाय
• अवधारण अवधि
• तकनीकी और संगठनात्मक सुरक्षा उपायों का विवरण

अधिकांश आधुनिक ईआरपी सिस्टम कस्टम फ़ील्ड और एक्सेस लॉग पर रिपोर्ट तैयार कर सकते हैं - केवल दस्तावेज़ीकरण पर निर्भर रहने के बजाय अपने डेटा मैप को मान्य करने के लिए इनका उपयोग करें।

---

चरण 2 - प्रत्येक प्रसंस्करण गतिविधि के लिए वैध आधार

अनुच्छेद 6 जीडीपीआर को प्रत्येक प्रसंस्करण गतिविधि के लिए एक दस्तावेजी वैध आधार की आवश्यकता होती है। ईआरपी सिस्टम के लिए, सबसे आम लागू आधार हैं:

बचने के लिए गंभीर गलती: कई संगठन ईआरपी डेटा प्रोसेसिंग के लिए "वैध हितों" पर भरोसा करते हैं। वैध हितों के लिए तीन-भागीय परीक्षण की आवश्यकता होती है: उद्देश्य परीक्षण (क्या कोई वैध हित है?), आवश्यकता परीक्षण (क्या प्रसंस्करण आवश्यक है?), और संतुलन परीक्षण (क्या डेटा विषयों के हित आपके हितों से अधिक हैं?)। प्रत्येक गतिविधि के लिए इस परीक्षण का दस्तावेजीकरण करें जहां आप इसे लागू करते हैं।

यदि आप जर्मनी में काम करते हैं, तो ध्यान दें कि बुंडेसडेटेंसचुट्ज़गेसेट्ज़ (बीडीएसजी) कार्य परिषद परामर्श दायित्वों सहित कर्मचारी डेटा प्रसंस्करण के लिए अतिरिक्त आवश्यकताएं लगाता है।

---

चरण 3 - डेटा सुरक्षा प्रभाव आकलन (डीपीआईए)

अनुच्छेद 35 किसी भी ऐसे प्रसंस्करण को शुरू करने से पहले डीपीआईए को अनिवार्य करता है जिसके परिणामस्वरूप व्यक्तियों के अधिकारों के लिए "उच्च जोखिम होने की संभावना" हो। जीडीपीआर ट्रिगर्स को सूचीबद्ध करता है जिसमें व्यवस्थित निगरानी, ​​​​विशेष श्रेणियों की बड़े पैमाने पर प्रसंस्करण और महत्वपूर्ण प्रभावों के साथ स्वचालित निर्णय लेना शामिल है।

जब आपके ईआरपी को डीपीआईए की आवश्यकता हो:

• एक नया एचआर मॉड्यूल तैनात करना जो बायोमेट्रिक उपस्थिति डेटा को संसाधित करता है
• एआई-संचालित प्रदर्शन स्कोरिंग या उम्मीदवार स्क्रीनिंग को एकीकृत करना
• एक नई कानूनी इकाई या देश में सीआरएम डेटा प्रोसेसिंग का विस्तार करना
• ग्राहक क्रेडिट सीमा के लिए स्वचालित क्रेडिट-स्कोरिंग जोड़ना
• ईआरपी डेटा को एक नए क्लाउड होस्टिंग वातावरण में स्थानांतरित करना

DPIA न्यूनतम संरचना:

1. प्रसंस्करण और उसके उद्देश्यों का विवरण
2. आवश्यकता एवं आनुपातिकता का आकलन
3. अधिकारों और स्वतंत्रता के लिए जोखिम की पहचान की गई
4. जोखिमों से निपटने के उपाय (तकनीकी+संगठनात्मक)
5. डीपीओ की राय (यदि कोई डीपीओ नियुक्त किया गया है)
6. पर्यवेक्षी प्राधिकारी परामर्श (यदि शमन के बाद भी अवशिष्ट जोखिम अधिक रहता है)

डीपीआईए को जीवित दस्तावेज़ के रूप में रखें - जब भी ईआरपी कॉन्फ़िगरेशन या प्रसंस्करण का दायरा महत्वपूर्ण रूप से बदलता है तो उन्हें अपडेट करें।

---

चरण 4 - डेटा विषय अधिकार कार्यान्वयन

जीडीपीआर व्यक्तियों को आठ अधिकार प्रदान करता है। आपका ईआरपी वैधानिक समय सीमा (आम तौर पर एक कैलेंडर माह, जटिल अनुरोधों के लिए तीन महीने तक बढ़ाया जा सकता है) के भीतर उन्हें पूरा करने में तकनीकी रूप से सक्षम होना चाहिए।

पहुँच का अधिकार (अनुच्छेद 15): आपको एक महीने के भीतर सभी ईआरपी मॉड्यूल - एचआर, सीआरएम, हेल्पडेस्क टिकट, ऑर्डर इतिहास - में किसी व्यक्ति के बारे में रखे गए सभी व्यक्तिगत डेटा को निर्यात करने में सक्षम होना चाहिए। इसे सक्षम करने के लिए ईआरपी रिपोर्ट कॉन्फ़िगर करें या अंतर्निहित निर्यात सुविधाओं का उपयोग करें। सब्जेक्ट एक्सेस रिक्वेस्ट (एसएआर) प्राप्त करने से पहले इसका परीक्षण करें।

मिटाने का अधिकार (अनुच्छेद 17): ईआरपी को किसी व्यक्ति के डेटा को हटाने या गुमनाम करने का समर्थन करना चाहिए, जहां किसी भी कानूनी दायित्व के लिए प्रतिधारण की आवश्यकता नहीं होती है। यह ईआरपी सिस्टम में तकनीकी रूप से जटिल है: वित्तीय रिकॉर्ड को ऑडिट उद्देश्यों के लिए बनाए रखा जाना चाहिए, जो मिटाने के अनुरोधों के साथ टकराव करता है। विकल्प के रूप में छद्मनामीकरण का उपयोग करें - वित्तीय रिकॉर्ड संरचना को बनाए रखते हुए पहचान वाले फ़ील्ड को टोकन से बदलें।

पोर्टेबिलिटी का अधिकार (अनुच्छेद 20): जहां प्रसंस्करण सहमति या अनुबंध पर आधारित है और स्वचालित माध्यमों से किया जाता है, आपको एक संरचित, आमतौर पर उपयोग किए जाने वाले, मशीन-पठनीय प्रारूप (सीएसवी या जेएसओएन स्वीकार्य हैं) में डेटा प्रदान करना होगा। इस उद्देश्य के लिए ईआरपी निर्यात टेम्पलेट कॉन्फ़िगर करें।

प्रतिबंध का अधिकार (अनुच्छेद 18): किसी विवाद के समाधान के दौरान आपको किसी व्यक्ति के डेटा के प्रसंस्करण को "फ्रीज" करने में सक्षम होना चाहिए। अपने ईआरपी में एक ध्वज लागू करें जो ध्वजांकित रिकॉर्ड के स्वचालित प्रसंस्करण को रोकता है।

वस्तु का अधिकार (अनुच्छेद 21): जहां प्रसंस्करण वैध हितों पर या प्रत्यक्ष विपणन पर आधारित है, वहां व्यक्ति आपत्ति कर सकते हैं। आपके सीआरएम को ऑप्ट-आउट फ़्लैग का समर्थन करना चाहिए जो मार्केटिंग सेंड और स्वचालित प्रोफ़ाइलिंग को तुरंत दबा देता है।

---

चरण 5 - प्रोसेसर अनुबंध और विक्रेता प्रबंधन

प्रत्येक कंपनी जो आपके निर्देशों के तहत आपकी ओर से व्यक्तिगत डेटा संसाधित करती है, जीडीपीआर के तहत एक प्रोसेसर है। अनुच्छेद 28 में प्रसंस्करण शुरू होने से पहले प्रत्येक प्रोसेसर के साथ एक लिखित डेटा प्रोसेसिंग समझौते (डीपीए) की आवश्यकता होती है।

ईआरपी-संबंधित प्रोसेसर में आम तौर पर शामिल हैं:

• आपका ईआरपी विक्रेता (यदि क्लाउड/सास का उपयोग कर रहा है - उदाहरण के लिए, Odoo.com, SAP क्लाउड, नेटसुइट)
• क्लाउड होस्टिंग प्रदाता (AWS, Azure, Google Cloud)
• पेरोल ब्यूरो
• ईमेल मार्केटिंग प्लेटफॉर्म सीआरएम के साथ एकीकृत
• ईआरपी डेटा से जुड़े बिजनेस इंटेलिजेंस/एनालिटिक्स टूल
• ईआरपी पहुंच वाले आईटी समर्थन ठेकेदार

डीपीए न्यूनतम सामग्री (अनुच्छेद 28(3)):

• केवल प्रलेखित नियंत्रक निर्देशों पर प्रसंस्करण
• अधिकृत कर्मियों पर गोपनीयता दायित्व
• उचित तकनीकी और संगठनात्मक उपायों का कार्यान्वयन (अनुच्छेद 32)
• उप-प्रोसेसर प्रतिबंध और अधिसूचना दायित्व
• डेटा विषय अधिकारों के साथ सहायता
• अनुबंध के अंत में डेटा को हटाना या वापस करना
• लेखापरीक्षा अधिकार

यदि आपका ईआरपी विक्रेता ईयू/ईईए के बाहर डेटा स्थानांतरित करता है (उदाहरण के लिए, यूएस-आधारित सहायता टीम या क्लाउड क्षेत्र में), तो आपको एक वैध स्थानांतरण तंत्र की आवश्यकता है: मानक संविदात्मक खंड (एससीसी), पर्याप्तता निर्णय, या बाध्यकारी कॉर्पोरेट नियम। ईयू-यूएस डेटा गोपनीयता फ्रेमवर्क (जुलाई 2023 को अपनाया गया) यूएस हस्तांतरण के लिए एक पर्याप्तता-आधारित तंत्र प्रदान करता है, लेकिन अपने विक्रेता की प्रमाणन स्थिति को सत्यापित करता है।

---

चरण 6 - अवधारण अनुसूचियां और स्वचालित विलोपन

अनुच्छेद 5(1)(ई) के लिए आवश्यक है कि व्यक्तिगत डेटा को "ऐसे रूप में रखा जाए जो आवश्यकता से अधिक समय तक डेटा विषयों की पहचान की अनुमति दे।" ईआरपी सिस्टम वर्षों तक डेटा जमा करते हैं; स्वचालित प्रवर्तन के बिना, प्रतिधारण नीतियां सर्वोत्तम रूप से आकांक्षी हैं।

विशिष्ट ईआरपी अवधारण अवधि:

अपने ईआरपी अनुसूचक में स्वचालित अभिलेखीय और विलोपन कार्य कॉन्फ़िगर करें। जहां हटाना संभव नहीं है (उदाहरण के लिए, वित्तीय लाइन आइटम), व्यक्तिगत पहचानकर्ताओं को टोकन से बदलने के लिए गुमनामीकरण को कॉन्फ़िगर करें।

---

चरण 7 - अनुच्छेद 32 के तहत सुरक्षा उपाय

जीडीपीआर को प्रसंस्करण की प्रकृति, दायरे, संदर्भ और उद्देश्यों के साथ-साथ व्यक्तियों के लिए जोखिमों पर विचार करते हुए "उचित तकनीकी और संगठनात्मक उपायों" की आवश्यकता होती है। ईआरपी सिस्टम के लिए, निम्नलिखित को आधारभूत माना जाता है:

तकनीकी उपाय:

• आराम और ट्रांज़िट में एन्क्रिप्शन (सभी एपीआई कनेक्शन के लिए टीएलएस 1.2+, डेटाबेस एन्क्रिप्शन के लिए एईएस-256)
• न्यूनतम विशेषाधिकार के सिद्धांत के साथ भूमिका-आधारित अभिगम नियंत्रण (आरबीएसी)।
• सभी ईआरपी व्यवस्थापक खातों के लिए बहु-कारक प्रमाणीकरण
• स्वचालित सत्र टाइमआउट
• ईआरपी इंटरफेस का नियमित प्रवेश परीक्षण
• सभी डेटा एक्सेस और संशोधनों की ऑडिट लॉगिंग
• विषम प्रश्नों के लिए डेटाबेस गतिविधि की निगरानी
• परीक्षणित पुनर्स्थापना प्रक्रियाओं के साथ स्वचालित बैकअप

संगठनात्मक उपाय:

• सभी ईआरपी उपयोगकर्ताओं के लिए जीडीपीआर प्रशिक्षण (भूमिका-विशिष्ट, प्रलेखित)
• ईआरपी पहुंच प्रदान करने और रद्द करने के लिए प्रलेखित प्रक्रिया
• नियमित पहुंच समीक्षाएँ (कम से कम वार्षिक)
• प्रोसेसर के लिए आपूर्तिकर्ता सुरक्षा आकलन
• ईआरपी उल्लंघनों को कवर करने वाली घटना प्रतिक्रिया योजना
• स्वच्छ डेस्क और स्क्रीन लॉक नीतियां

---

चरण 8 - ईआरपी घटनाओं के लिए उल्लंघन प्रतिक्रिया

अनुच्छेद 33 के तहत, व्यक्तिगत डेटा उल्लंघनों के बारे में जागरूक होने के 72 घंटों के भीतर सक्षम पर्यवेक्षी प्राधिकारी को सूचित किया जाना चाहिए, जब तक कि उल्लंघन के परिणामस्वरूप व्यक्तियों के अधिकारों के लिए जोखिम होने की संभावना न हो। अनुच्छेद 34 के तहत, जहां उल्लंघन के परिणामस्वरूप "उच्च जोखिम होने की संभावना है" प्रभावित व्यक्तियों को भी बिना किसी देरी के सूचित किया जाना चाहिए।

ईआरपी उल्लंघन प्रतिक्रिया चेकलिस्ट:

• उल्लंघन को नियंत्रित करें: समझौता किए गए खातों को रद्द करें, प्रभावित ईआरपी मॉड्यूल को अलग करें
• दायरे का आकलन करें: कौन सी डेटा श्रेणियां, कितने रिकॉर्ड, कौन से व्यक्ति
• जोखिम मूल्यांकन: नुकसान की संभावना और गंभीरता (वित्तीय हानि, पहचान की चोरी, भेदभाव)
• आंतरिक वृद्धि: 24 घंटे के भीतर डीपीओ, कानूनी, कार्यकारी
• 72 घंटों के भीतर पर्यवेक्षी प्राधिकारी अधिसूचना (राष्ट्रीय डीपीए के ऑनलाइन पोर्टल का उपयोग करें)
• उच्च जोखिम होने पर व्यक्तिगत अधिसूचना (ड्राफ्ट टेम्पलेट अग्रिम में)
• साक्ष्य संरक्षण: ईआरपी लॉग, एक्सेस रिकॉर्ड, घटनाओं की समयरेखा
• मूल कारण विश्लेषण और निवारण
• घटना के बाद डीपीआईए अद्यतन

---

ईआरपी टीमों के लिए जीडीपीआर अनुपालन चेकलिस्ट

अपनी वर्तमान स्थिति का आकलन करने के लिए इस चेकलिस्ट का उपयोग करें:

• RoPA प्रलेखित है और सभी ईआरपी मॉड्यूल को कवर करता है
• प्रत्येक प्रसंस्करण गतिविधि के लिए वैध आधार प्रलेखित
• ईआरपी विक्रेता, क्लाउड होस्ट और सभी एकीकृत प्रोसेसर के साथ डीपीए पर हस्ताक्षर किए गए
• सभी गैर-ईईए डेटा प्रवाह के लिए स्थानान्तरण तंत्र
• उच्च जोखिम वाली प्रसंस्करण गतिविधियों के लिए डीपीआईए पूरे किए गए
• डेटा विषय अधिकार वर्कफ़्लो का परीक्षण किया गया (एसएआर, विलोपन, पोर्टेबिलिटी, प्रतिबंध)
• रिटेंशन शेड्यूल को ईआरपी में स्वचालित नियमों के रूप में कॉन्फ़िगर किया गया है
• अभिगम नियंत्रण समीक्षा पिछले 12 महीनों में पूरी हुई
• एमएफए सभी ईआरपी व्यवस्थापक और विशेषाधिकार प्राप्त खातों के लिए लागू किया गया
• उल्लंघन अधिसूचना प्रक्रिया का दस्तावेजीकरण और परीक्षण किया गया
• ईआरपी प्रसंस्करण गतिविधियों को प्रतिबिंबित करने के लिए गोपनीयता नोटिस अपडेट किया गया
• स्टाफ जीडीपीआर प्रशिक्षण पूरा और प्रलेखित

---

दंड और प्रवर्तन वास्तविकता

यूरोपीय संघ के पर्यवेक्षी अधिकारियों ने 2018 और 2025 के बीच जीडीपीआर जुर्माने में €4.2 बिलियन जारी किए। हाई-प्रोफाइल ईआरपी-संबंधित प्रवर्तन कार्रवाइयों में शामिल हैं:

• मेटा (आयरलैंड, 2023): गैरकानूनी ईयू-यूएस डेटा ट्रांसफर के लिए €1.2 बिलियन - यह दर्शाता है कि ट्रांसफर तंत्र की विफलताएं सभी प्रौद्योगिकी स्टैक को प्रभावित करती हैं
• अमेज़ॅन (लक्ज़मबर्ग, 2021): वैयक्तिकरण प्रणालियों में अपर्याप्त सहमति तंत्र के लिए €746 मिलियन
• व्हाट्सएप (आयरलैंड, 2021): डेटा प्रोसेसिंग खुलासे में पारदर्शिता विफलताओं के लिए €225 मिलियन

जैसे-जैसे नियामक तकनीकी विशेषज्ञता विकसित कर रहे हैं, ईआरपी-विशिष्ट प्रवर्तन बढ़ रहा है। जर्मन डीपीए (बीएफडीआई) और फ्रेंच सीएनआईएल दोनों ने ईआरपी-विशिष्ट मार्गदर्शन प्रकाशित किया है। अनुच्छेद 83(5) (सबसे गंभीर उल्लंघन) के तहत जुर्माना €20 मिलियन या वैश्विक वार्षिक कारोबार का 4%, जो भी अधिक हो, तक पहुंच सकता है।

---

अक्सर पूछे जाने वाले प्रश्न

यदि हम ईयू से बाहर रहते हैं तो क्या जीडीपीआर हमारे ईआरपी पर लागू होता है?

हां, यदि आपका ईआरपी ईयू/ईईए निवासियों के व्यक्तिगत डेटा को संसाधित करता है - चाहे ग्राहक, कर्मचारी या उपयोगकर्ता के रूप में - जीडीपीआर लागू होता है, भले ही आपकी कंपनी कहीं भी शामिल हो। अनुच्छेद 3(2) विशेष रूप से जीडीपीआर को गैर-ईयू संगठनों तक विस्तारित करता है जो यूरोपीय संघ के निवासियों को सामान या सेवाएं प्रदान करते हैं या उनके व्यवहार की निगरानी करते हैं। आपको अनुच्छेद 27 के तहत एक यूरोपीय संघ प्रतिनिधि नियुक्त करने की भी आवश्यकता हो सकती है।

क्या हम कर्मचारी के चले जाने पर उनका डेटा अपने ईआरपी से हटा सकते हैं?

तुरंत नहीं और पूरी तरह से नहीं. अधिकांश रोजगार और कर कानूनों में रोजगार समाप्त होने के बाद 6-10 वर्षों तक पेरोल, कर और रोजगार रिकॉर्ड को बनाए रखने की आवश्यकता होती है (देश के अनुसार भिन्न होता है)। आप जीडीपीआर के डेटा न्यूनीकरण सिद्धांत और अपने कानूनी प्रतिधारण दायित्वों दोनों को पूरा करते हुए, वित्तीय रिकॉर्ड संरचना को बनाए रखते हुए व्यक्तिगत पहचानकर्ताओं को गुमनाम कर सकते हैं।

ईआरपी संदर्भ में डेटा नियंत्रक और डेटा प्रोसेसर के बीच क्या अंतर है?

आप (व्यवसाय) नियंत्रक हैं - आप प्रसंस्करण के उद्देश्य और साधन तय करते हैं। आपका ईआरपी विक्रेता, यदि आपके निर्देशों के तहत आपकी ओर से क्लाउड/सास समाधान प्रदान करता है और डेटा संसाधित करता है, तो वह एक प्रोसेसर है। यदि ईआरपी विक्रेता आपके डेटा का उपयोग अपने उद्देश्यों (उदाहरण के लिए, उत्पाद सुधार विश्लेषण) के लिए करता है, तो वे उन गतिविधियों के लिए नियंत्रक बन जाते हैं, जिनके लिए अलग कानूनी आधार और पारदर्शिता दायित्वों की आवश्यकता होती है।

हम एकाधिक ईआरपी मॉड्यूल में फैले डेटा विषय पहुंच अनुरोधों को कैसे संभालते हैं?

एसएआर को समन्वयित करने के लिए संपर्क का एक केंद्रीय बिंदु (आमतौर पर आपकी डीपीओ या गोपनीयता टीम) नामित करें। किसी नामित व्यक्ति के लिए सभी मॉड्यूल से डेटा निकालने के लिए एक ईआरपी रिपोर्ट बनाएं या अंतर्निहित निर्यात कार्यक्षमता का उपयोग करें। खुलासा करने से पहले अनुरोधकर्ता की पहचान सत्यापित करें। उस डेटा को बाहर रखें जो तीसरे पक्ष के अधिकारों का उल्लंघन करेगा। एक कैलेंडर माह के भीतर जवाब दें; यदि आप पहले महीने के भीतर व्यक्ति को सूचित करते हैं तो आप जटिल या अनेक अनुरोधों के लिए इसे तीन महीने तक बढ़ा सकते हैं।

क्या हमें डीपीओ की आवश्यकता है?

यदि आपका संगठन एक सार्वजनिक प्राधिकरण है, बड़े पैमाने पर व्यक्तियों की व्यवस्थित निगरानी करता है, या बड़े पैमाने पर डेटा की विशेष श्रेणियों को संसाधित करता है, तो एक डेटा सुरक्षा अधिकारी अनिवार्य है। मानव संसाधन या स्वास्थ्य सेवा क्षेत्रों में कई ईआरपी-भारी कंपनियां अर्हता प्राप्त करती हैं। भले ही अनिवार्य न हो, डीपीओ नियुक्त करना सर्वोत्तम अभ्यास माना जाता है। डीपीओ को डेटा संरक्षण कानून और अभ्यास का विशेषज्ञ ज्ञान होना चाहिए, और अपने कार्यों को करने के लिए उसे बर्खास्त या दंडित नहीं किया जा सकता है।

हमें अपने यूएस-होस्टेड ईआरपी के लिए किस स्थानांतरण तंत्र का उपयोग करना चाहिए?

यदि आपका ईआरपी विक्रेता यूएस-आधारित है और ईयू-यूएस डेटा प्राइवेसी फ्रेमवर्क (डीपीएफ) के तहत प्रमाणित है, तो आप जुलाई 2023 में अपनाए गए पर्याप्तता निर्णय पर भरोसा कर सकते हैं। यदि वे डीपीएफ-प्रमाणित नहीं हैं, तो आपको मानक अनुबंध खंड (एससीसी) का उपयोग करना होगा - 2021 ईयू एससीसी वर्तमान मानक हैं। हमेशा अपने डेटा पर अमेरिकी कानून के प्रभाव का मूल्यांकन करने वाले ट्रांसफर इम्पैक्ट असेसमेंट (टीआईए) के साथ एससीसी को पूरक करें। कुछ विक्रेता ईयू-होस्टेड परिनियोजन विकल्प प्रदान करते हैं जो सीमा पार स्थानांतरण से पूरी तरह बचते हैं।

हमें अपना RoPA कितनी बार अपडेट करना चाहिए?

RoPA एक जीवंत दस्तावेज़ होना चाहिए जिसकी कम से कम सालाना समीक्षा की जाती है और जब भी आप ईआरपी मॉड्यूल जोड़ते या हटाते हैं, नए तृतीय-पक्ष टूल को एकीकृत करते हैं, नए बाजारों या कानूनी संस्थाओं में विस्तार करते हैं, प्रसंस्करण उद्देश्यों को बदलते हैं, या संसाधित होने वाली नई डेटा श्रेणियों की पहचान करते हैं तो इसे अपडेट किया जाना चाहिए। कई डीपीए संगठनों से अपेक्षा करते हैं कि वे यह प्रदर्शित करें कि उनका RoPA वर्तमान और सटीक है - तब से महत्वपूर्ण ERP परिवर्तनों के साथ दो-वर्षीय RoPA की जांच की जाएगी।

---

अगले कदम

ईआरपी सिस्टम के लिए जीडीपीआर अनुपालन एक बार की परियोजना नहीं है - यह एक चालू कार्यक्रम है जिसमें तकनीकी कॉन्फ़िगरेशन, कानूनी दस्तावेज़ीकरण, कर्मचारी प्रशिक्षण और नियमित समीक्षा की आवश्यकता होती है। जटिलता आपके द्वारा संचालित ईआरपी मॉड्यूल, एकीकरण और न्यायक्षेत्रों की संख्या के आधार पर मापी जाती है।

ECOSIRE की टीम के पास जीडीपीआर-अनुपालक ईआरपी परिनियोजन को लागू करने का गहरा अनुभव है, विशेष रूप से ओडू 19 एंटरप्राइज के साथ। हम आपके वर्तमान ईआरपी कॉन्फ़िगरेशन का जीडीपीआर गैप मूल्यांकन कर सकते हैं, आपका RoPA बना सकते हैं, स्वचालित अवधारण और अनामीकरण नियमों को कॉन्फ़िगर कर सकते हैं, और डेटा विषय अधिकार वर्कफ़्लो स्थापित कर सकते हैं।

ईआरपी और लेखांकन अनुपालन दोनों की आवश्यकता वाले संगठनों के लिए, हमारी एकीकृत ओडू कार्यान्वयन सेवा पहले दिन से जीडीपीआर-दर-डिज़ाइन कॉन्फ़िगरेशन को कवर करती है।

आरंभ करें: ECOSIRE Odoo Services | लेखा एवं अनुपालन सेवाएँ

अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। जीडीपीआर अनुपालन आवश्यकताएँ क्षेत्राधिकार, उद्योग और प्रसंस्करण संदर्भ के अनुसार भिन्न होती हैं। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य कानूनी परामर्शदाता से परामर्श लें।