हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंयूके डेटा प्रोटेक्शन पोस्ट-ब्रेक्सिट: जीडीपीआर बनाम यूके जीडीपीआर
ब्रेक्सिट ने यूके के डेटा सुरक्षा परिदृश्य को मौलिक रूप से बदल दिया। 1 जनवरी, 2021 से, यूके ने ईयू के कानूनी ढांचे को छोड़ दिया और ईयू जीडीपीआर सीधे लागू होना बंद हो गया। यूके ने घरेलू कानून में ईयू जीडीपीआर को "यूके जीडीपीआर" (यूरोपीय संघ (निकासी) अधिनियम 2018 के तहत) के रूप में बरकरार रखा है, जो डेटा संरक्षण अधिनियम 2018 (डीपीए 2018) द्वारा पूरक है। परिणाम एक ऐसा ढांचा है जो काफी हद तक ईयू जीडीपीआर के समान है लेकिन इसमें महत्वपूर्ण अंतर हैं - और यूके और ईयू के बीच एक नाजुक पर्याप्तता संबंध है जिसकी व्यवसायों को बारीकी से निगरानी करनी चाहिए।
यूके जीडीपीआर और ईयू जीडीपीआर के बीच सटीक अंतर को समझना, और दोनों न्यायक्षेत्रों में काम करने वाले व्यवसायों के लिए दोहरे अनुपालन का प्रबंधन करना, यूके-आधारित व्यवसायों और यूके और ईयू एक्सपोजर वाली अंतरराष्ट्रीय कंपनियों के लिए आवश्यक है।
मुख्य बातें
- यूके जीडीपीआर ईयू जीडीपीआर से लिया गया है लेकिन अब यह एक अलग घरेलू कानून है - ईयू जीडीपीआर अब यूके में सीधे लागू नहीं होता है
- ईयू ने जून 2021 में यूके को पर्याप्तता निर्णय दिए, ईयू→यूके डेटा प्रवाह की अनुमति दी - लेकिन वे एक सूर्यास्त खंड और आवधिक समीक्षा के अधीन हैं
- यूके→ईयू डेटा प्रवाह: यूके ने ईयू देशों को यूके कानून के तहत पर्याप्तता भी प्रदान की, जिससे ईयू→यूके को यूके जीडीपीआर के तहत प्रवाह की अनुमति मिल गई।
- मुख्य अंतर: यूके जीडीपीआर में अलग-अलग एससीसी, अलग-अलग स्थानांतरण तंत्र, आईसीओ (ईडीपीबी नहीं) पर्यवेक्षण और यूके-विशिष्ट स्थिति विकसित हो रही है।
- डेटा संरक्षण और डिजिटल सूचना (डीपीडीआई) अधिनियम 2025 ने यूके जीडीपीआर में सुधार किया - परिवर्तनों में वैध हितों में छूट, नए मान्यता प्राप्त वैध हित और सरलीकृत रिकॉर्ड-कीपिंग शामिल हैं।
- आईसीओ जुर्माना £17.5 मिलियन या वैश्विक कारोबार का 4% तक पहुंच गया - ईयू जीडीपीआर के समान संरचना
- यूके जीडीपीआर और ईयू जीडीपीआर दोनों के अधीन व्यवसायों को स्वतंत्र रूप से दोनों रूपरेखाओं को पूरा करना होगा
ब्रेक्सिट के बाद यूके डेटा प्रोटेक्शन फ्रेमवर्क
यूके जीडीपीआर और डेटा संरक्षण अधिनियम 2018
यूके के डेटा सुरक्षा ढांचे में दो प्राथमिक उपकरण शामिल हैं:
यूके जीडीपीआर: यूके कानून में बरकरार ईयू जीडीपीआर, डीपीए 2018 और उसके बाद के वैधानिक उपकरणों द्वारा संशोधित। यह कुछ यूके-विशिष्ट संशोधनों के साथ ईयू जीडीपीआर से छह वैध आधार, डेटा विषय अधिकार, नियंत्रक/प्रोसेसर ढांचे, डीपीआईए आवश्यकताओं और डीपीओ दायित्वों को संरक्षित करता है।
डेटा संरक्षण अधिनियम 2018: यूके जीडीपीआर का पूरक:
- यूके-विशिष्ट अपमानों को लागू करना (उदाहरण के लिए, कानून प्रवर्तन, राष्ट्रीय सुरक्षा, पत्रकारिता के लिए)
- ICO की शक्तियां और भूमिका स्थापित करना
- विशेष श्रेणियों के डेटा के प्रसंस्करण के लिए अतिरिक्त शर्तें प्रदान करना
- सार्वजनिक प्राधिकरणों के लिए डीपीओ आवश्यकताएँ निर्धारित करना
- आपराधिक अपराधों और प्रवर्तन के लिए रूपरेखा तैयार करना
डेटा संरक्षण और डिजिटल सूचना (डीपीडीआई) अधिनियम 2025: एक महत्वपूर्ण सुधार जिसने यूके जीडीपीआर में संशोधन किया, व्यापार प्रसंस्करण के लिए अधिक लचीले प्रावधान पेश किए, वैध हितों के प्रावधानों में ढील दी, "मान्यता प्राप्त वैध हित" (संतुलन परीक्षण से बचने वाली नई श्रेणी), सरलीकृत डीपीआईए आवश्यकताएं, और डिजिटल पहचान सेवाओं के लिए एक नया नियामक ढांचा।
मुख्य अंतर: यूके जीडीपीआर बनाम ईयू जीडीपीआर
| क्षेत्र | ईयू जीडीपीआर | यूके जीडीपीआर (डीपीडीआई द्वारा संशोधित) |
|---|---|---|
| पर्यवेक्षी प्राधिकारी | राष्ट्रीय डीपीए + ईडीपीबी समन्वय | ICO (एकमात्र यूके प्राधिकरण, कोई EDPB सदस्यता नहीं) |
| डीपीओ अनिवार्य सीमा | सार्वजनिक प्राधिकरण + बड़े पैमाने पर व्यवस्थित निगरानी या विशेष श्रेणियां | समान सीमा लेकिन "नामांकित व्यक्ति या टीम" स्वीकार्य |
| वैध हित | तीन भाग का परीक्षण आवश्यक (उद्देश्य, आवश्यकता, संतुलन) | वही, साथ ही पूर्ण संतुलन परीक्षण से बचने वाली नई "मान्यता प्राप्त वैध हित" श्रेणी |
| मान्यता प्राप्त वैध हित | कोई नहीं | विशिष्ट व्यावसायिक उद्देश्यों के लिए नई श्रेणी जिसमें शामिल हैं: प्रत्यक्ष विपणन, इंट्राग्रुप स्थानांतरण, नेटवर्क सुरक्षा, सुरक्षा के लिए कर्मचारी निगरानी |
| डीपीआईए आवश्यकता | उच्च जोखिम प्रसंस्करण (अनुच्छेद 35) | बरकरार रखा गया लेकिन डीपीडीआई अद्यतन मार्गदर्शन के साथ "उच्च जोखिम मूल्यांकन" अवधारणा बनाता है |
| रिकार्ड रखना | 250+ कर्मचारियों या उच्च जोखिम वाले प्रसंस्करण वाले सभी संगठन | छोटे संगठनों के लिए डीपीडीआई के तहत सरलीकृत आवश्यकताएं |
| स्थानांतरण तंत्र: एससीसी | ईयू एससीसी (जून 2021, तीन मॉड्यूल) | अंतर्राष्ट्रीय डेटा स्थानांतरण समझौते (आईडीटीए) - यूके-विशिष्ट एससीसी |
| स्थानांतरण तंत्र: टीआईए | स्थानांतरण प्रभाव आकलन आवश्यक | स्पष्ट रूप से आवश्यक नहीं है (लेकिन ICO जोखिम मूल्यांकन की अनुशंसा करता है) |
| पर्याप्तता निर्णय | ईडीपीबी/आयोग प्रक्रिया | आईसीओ मूल्यांकन + राज्य सचिव पदनाम |
| वन-स्टॉप-शॉप तंत्र | यूरोपीय संघ के संचालन के लिए अग्रणी पर्यवेक्षी प्राधिकारी | कोई समकक्ष नहीं - ICO का यूके-स्थापित संस्थाओं पर अधिकार क्षेत्र है |
| कुकी सहमति | ई-गोपनीयता निर्देश (जीडीपीआर से अलग) | पीईसीआर 2003 (यूके जीडीपीआर से अलग); डीपीडीआई के तहत सुधार |
यूके पर्याप्तता स्थिति और ईयू→यूके डेटा ट्रांसफर
यूके के लिए ईयू पर्याप्तता निर्णय (जून 2021)
यूरोपीय आयोग ने 28 जून, 2021 को यूके को दो पर्याप्तता निर्णय दिए:
- ईयू जीडीपीआर के तहत पर्याप्तता निर्णय: अतिरिक्त स्थानांतरण तंत्र की आवश्यकता के बिना ईयू/ईईए से यूके तक व्यक्तिगत डेटा के मुक्त प्रवाह की अनुमति देता है
- कानून प्रवर्तन निर्देश के तहत पर्याप्तता निर्णय: कानून प्रवर्तन डेटा साझा करने की अनुमति देता है
सनसेट क्लॉज: यूके के लिए यूरोपीय संघ के पर्याप्तता निर्णयों में चार साल का सनसेट क्लॉज शामिल है - वे 27 जून, 2025 को समाप्त हो रहे हैं, जब तक कि नवीनीकृत न किया जाए। यूरोपीय आयोग ने एक समीक्षा की और नवीनीकरण करने के अपने इरादे का संकेत दिया है, लेकिन नवीनीकरण प्रक्रिया और इससे जुड़ी कोई भी शर्तें राजनीतिक और कानूनी विकास के अधीन हैं।
ईयू→यूके पर्याप्तता संबंध के लिए जोखिम:
- जीडीपीआर से यूके डेटा संरक्षण कानून का विचलन (डीपीडीआई अधिनियम और भविष्य के सुधार के माध्यम से) आयोग की समीक्षा को गति दे सकता है
- यूके सरकार का निगरानी कानून और बड़े पैमाने पर डेटा संग्रह प्रथाएं यूरोपीय संघ की जांच के क्षेत्र रहे हैं
- यूके की कोई भी अदालत का निर्णय या विधायी परिवर्तन जो डेटा सुरक्षा मानकों को महत्वपूर्ण रूप से कम करता है, आयोग को पर्याप्तता को निलंबित करने के लिए प्रेरित कर सकता है
व्यावहारिक निहितार्थ: ईयू→यूके डेटा प्रवाह के लिए यूके की पर्याप्तता पर निर्भर व्यवसायों के पास एक आकस्मिक योजना (यूके आईडीटीए या बीसीआर) होनी चाहिए, पर्याप्तता को वापस ले लिया जाना चाहिए या निलंबित कर दिया जाना चाहिए, भले ही नवीनीकरण की संभावना दिखाई दे।
यूके→ईयू डेटा प्रवाह
यूके जीडीपीआर के अंतर्राष्ट्रीय स्थानांतरण प्रावधानों के तहत, यूके के राज्य सचिव ने ईयू/ईईए देशों के लिए पर्याप्तता नियम प्रदान किए हैं - जिसका अर्थ है कि व्यक्तिगत डेटा अतिरिक्त हस्तांतरण तंत्र के बिना यूके से ईयू/ईईए देशों में प्रवाहित हो सकता है।
अंतर्राष्ट्रीय डेटा स्थानांतरण समझौते (आईडीटीए)
यूके से यूके के पर्याप्तता निर्णयों के बिना देशों में स्थानांतरण के लिए, यूके जीडीपीआर को उचित सुरक्षा उपायों की आवश्यकता होती है। आईसीओ ने मार्च 2022 में इंटरनेशनल डेटा ट्रांसफर एग्रीमेंट (आईडीटीए) और ईयू एससीसी के लिए एक आईडीटीए परिशिष्ट प्रकाशित किया, जिसमें यूके ट्रांसफर के लिए पुराने मॉडल क्लॉज को बदल दिया गया।
मुख्य आईडीटीए विशेषताएं:
- यूके-विशिष्ट मानक संविदात्मक खंड एक ही दस्तावेज़ में सभी चार ईयू एससीसी मॉड्यूल परिदृश्यों (सी2सी, सी2पी, पी2पी, पी2सी) को कवर करते हैं।
- "जोखिम मूल्यांकन" ढांचा (ईयू एससीसी के अनिवार्य टीआईए के बजाय)
- यूके-विशिष्ट परिभाषाएँ और पर्यवेक्षी प्राधिकरण संदर्भ
- अनिवार्य शर्तें जिन्हें संशोधित नहीं किया जाना चाहिए; वैकल्पिक खंड उपलब्ध हैं
ईयू एससीसी में आईडीटीए परिशिष्ट: एक परिशिष्ट जोड़कर व्यवसायों को यूके हस्तांतरण के लिए आधार के रूप में ईयू एससीसी का उपयोग करने की अनुमति देता है जो उन्हें यूके के उद्देश्यों के लिए अनुकूलित करता है। यह कई बहुराष्ट्रीय व्यवसायों के लिए पसंदीदा दृष्टिकोण है जो पहले से ही ईयू एससीसी लागू कर चुके हैं और अलग दस्तावेज़ीकरण के बिना यूके हस्तांतरण को कवर करना चाहते हैं।
ईयू एससीसी से संक्रमण: आईसीओ ने पुराने ईयू एससीसी अनुबंधों को यूके आईडीटीए में अपडेट करने की समय सीमा बढ़ा दी है - जिन व्यवसायों ने 21 सितंबर, 2022 से पहले ईयू एससीसी अनुबंध में प्रवेश किया था, उन्हें यूके आईडीटीए (आईसीओ मार्गदर्शन द्वारा विस्तारित) के साथ बदलने के लिए 21 मार्च, 2024 तक का समय दिया गया था।
उचित स्थानांतरण तंत्र का चयन करना:
| परिदृश्य | यूके स्थानांतरण तंत्र |
|---|---|
| यूके→ईयू/ईईए | पर्याप्तता नियम - किसी अतिरिक्त तंत्र की आवश्यकता नहीं |
| यूके→यूएस | ईयू एससीसी में यूके आईडीटीए या आईडीटीए परिशिष्ट (कानून प्रवर्तन के लिए यूएस-यूके डेटा एक्सेस समझौता) |
| यूके→अन्य पर्याप्त देश | किसी अतिरिक्त तंत्र की आवश्यकता नहीं |
| यूके→गैर-पर्याप्त देश | यूके आईडीटीए या आईडीटीए परिशिष्ट |
| इंट्राग्रुप | यूके आईडीटीए, आईडीटीए परिशिष्ट, या बीसीआर |
आईसीओ प्रवर्तन शक्तियां और दृष्टिकोण
सूचना आयुक्त कार्यालय (आईसीओ) यूके का स्वतंत्र डेटा संरक्षण पर्यवेक्षी प्राधिकरण है। ब्रेक्सिट के बाद, ICO अब EDPB का हिस्सा नहीं है और सभी मामलों में स्वतंत्र रूप से कार्य करता है।
आईसीओ प्रवर्तन शक्तियां:
- संगठनों को जानकारी प्रदान करने के लिए आवश्यक सूचना नोटिस जारी करना
- मूल्यांकन नोटिस जारी करें (ऑडिट)
- प्रवर्तन नोटिस जारी करें (अनुपालन कार्रवाई की आवश्यकता)
- जुर्माना नोटिस जारी करें:
- निचला स्तर: £8.7 मिलियन तक या वैश्विक वार्षिक कारोबार का 2% (जो भी अधिक) - कम गंभीर उल्लंघनों के लिए
- ऊपरी स्तर: £17.5 मिलियन तक या वैश्विक वार्षिक कारोबार का 4% (जो भी अधिक) - सबसे गंभीर उल्लंघनों के लिए
- जानबूझकर किए गए डेटा अपराधों के लिए आपराधिक मुकदमा (डीपीए 2018 भाग 3 और अपराधों के तहत)
आईसीओ प्रवर्तन दृष्टिकोण: आईसीओ ने ऐतिहासिक रूप से जोखिम-आधारित, आनुपातिक दृष्टिकोण अपनाया है - जुर्माना लगाने से पहले फटकार और अनौपचारिक मार्गदर्शन के माध्यम से संगठनों के साथ जुड़ना। हालाँकि, ICO ने महत्वपूर्ण जुर्माना जारी किया है: ब्रिटिश एयरवेज़ को £20 मिलियन (बाद में अपील पर घटाकर £20 मिलियन कर दिया गया), मैरियट इंटरनेशनल को £18.4 मिलियन, और सार्वजनिक अधिकारियों को कई सात-अंकीय जुर्माना।
पोस्ट-डीपीडीआई अधिनियम: डीपीडीआई अधिनियम 2025 ने आईसीओ के ढांचे को संशोधित किया, डेटा सुरक्षा के साथ-साथ एक संपन्न डिजिटल अर्थव्यवस्था को बढ़ावा देने के लिए एक "मुख्य उद्देश्य" पेश किया, और जिम्मेदार एआई के लिए अभ्यास का एक वैधानिक कोड बनाया। यह पूर्व-डीपीडीआई की तुलना में कुछ हद तक अधिक नवाचार-समर्थक नियामक दृष्टिकोण का संकेत देता है।
दोहरा अनुपालन: यूके जीडीपीआर और ईयू जीडीपीआर
यूके जीडीपीआर और ईयू जीडीपीआर दोनों के अधीन व्यवसायों के लिए - ईयू संचालन वाले यूके-आधारित व्यवसायों के लिए सबसे आम स्थिति - दोहरे अनुपालन के प्रबंधन के लिए सावधानीपूर्वक कार्यक्रम डिजाइन की आवश्यकता होती है।
दोहरे अनुपालन के लिए संरचना:
-
अलग-अलग कानूनी संस्थाएं: यदि आपके यूके और ईयू संचालन अलग-अलग कानूनी संस्थाएं हैं, तो प्रत्येक का अपना पर्यवेक्षी प्राधिकरण (यूके के लिए आईसीओ, ईयू के लिए प्रासंगिक राष्ट्रीय डीपीए) है और उन्हें अलग-अलग अनुपालन कार्यक्रम बनाए रखने होंगे।
-
सामान्य नीति आधार: यूके जीडीपीआर और ईयू जीडीपीआर अपनी मूल आवश्यकताओं का ~95% साझा करते हैं। दोनों की सभी आवश्यकताओं को कवर करने वाला एक एकल व्यापक गोपनीयता कार्यक्रम बनाया जा सकता है, जिसके शीर्ष पर यूके-विशिष्ट और ईयू-विशिष्ट परतें होंगी
-
स्थानांतरण तंत्र: यूके→ईयू स्थानांतरण यूके पर्याप्तता नियमों का उपयोग करते हैं (वर्तमान में किसी तंत्र की आवश्यकता नहीं है)। ईयू→यूके हस्तांतरण यूके के लिए ईयू पर्याप्तता निर्णय का उपयोग करता है (वर्तमान में किसी तंत्र की आवश्यकता नहीं है)। यूके और अन्य देशों के बीच आंतरिक हस्तांतरण के लिए यूके आईडीटीए की आवश्यकता होती है। EU और अन्य देशों के बीच आंतरिक हस्तांतरण के लिए EU SCCs की आवश्यकता होती है
-
लीड पर्यवेक्षी प्राधिकरण: ईयू जीडीपीआर के तहत, ईयू संचालन वन-स्टॉप-शॉप तंत्र के माध्यम से सीमा पार ईयू प्रसंस्करण के लिए एक लीड पर्यवेक्षी प्राधिकरण को नामित कर सकता है। यह यूके में लागू नहीं होता है - ICO यूके में स्थापित सभी संस्थाओं की निगरानी करता है
-
गोपनीयता नोटिस: अलग-अलग गोपनीयता नोटिस बनाए रखें या यूके और ईयू कानूनी आधार, संपर्क जानकारी (डीपीओ, यूके प्रतिनिधि, ईयू प्रतिनिधि), और पर्यवेक्षी प्राधिकरण संदर्भों को स्पष्ट रूप से अलग करें।
-
डीपीओ नियुक्ति: यदि दोनों ढाँचों के तहत आवश्यक हो, तो एक ही डीपीओ दोनों न्यायक्षेत्रों में सेवा दे सकता है। यूके गोपनीयता नोटिस में डीपीओ संपर्क विवरण यूके के दायित्वों का संदर्भ होना चाहिए; EU नोटिस में EU दायित्वों का संदर्भ होना चाहिए
यूके-विशिष्ट डेटा सुरक्षा संबंधी विचार
पीईसीआर (गोपनीयता और इलेक्ट्रॉनिक संचार विनियम 2003)
यूके पीईसीआर कुकीज़, इलेक्ट्रॉनिक मार्केटिंग और ट्रैफ़िक/स्थान डेटा को नियंत्रित करता है। यह यूके जीडीपीआर से अलग है और डीपीडीआई अधिनियम द्वारा अद्यतन नहीं किया गया था, हालांकि सुधार जारी है। प्रमुख पीईसीआर आवश्यकताएँ:
- कुकी सहमति: गैर-आवश्यक कुकीज़ के लिए स्पष्ट रूप से सूचित सहमति आवश्यक है
- ईमेल/एसएमएस मार्केटिंग: व्यक्तियों के लिए ऑप्ट-इन सहमति आवश्यक; ऑप्ट-आउट (सॉफ्ट ऑप्ट-इन) वहां उपलब्ध है जहां मौजूदा ग्राहक संबंध और समान/समान उत्पाद हैं
- कोल्ड कॉलिंग: टेलीफोन वरीयता सेवा (टीपीएस) पर नंबरों पर निषिद्ध; व्यवसाय कॉर्पोरेट टीपीएस के लिए पंजीकरण कर सकते हैं
बायोमेट्रिक डेटा (यूके जीडीपीआर के तहत विशेष श्रेणी)
विशिष्ट पहचान वाले व्यक्तियों के लिए संसाधित बायोमेट्रिक डेटा यूके जीडीपीआर के तहत एक विशेष श्रेणी है। डीपीए 2018 अनुसूची 1 विशेष श्रेणियों के प्रसंस्करण के लिए विशिष्ट शर्तें प्रदान करता है, जिसमें स्पष्ट सहमति और रोजगार कानून की शर्तें शामिल हैं।
गैर-यूके स्थापित नियंत्रकों के लिए यूके प्रतिनिधि
यूके जीडीपीआर अनुच्छेद 27 के तहत, नियंत्रक और प्रोसेसर जो यूके में स्थापित नहीं हैं, लेकिन यूके जीडीपीआर के अधीन हैं (क्योंकि वे यूके के व्यक्तियों को सामान/सेवाएं प्रदान करते हैं या यूके के व्यक्तियों के व्यवहार की निगरानी करते हैं) को यूके प्रतिनिधि नियुक्त करना होगा। यह डीपीओ की एक स्टैंडअलोन भूमिका है और यह एक प्राकृतिक व्यक्ति या कानूनी इकाई हो सकती है।
यूके डेटा सुरक्षा अनुपालन चेकलिस्ट
- निर्धारित करें कि क्या यूके जीडीपीआर, ईयू जीडीपीआर, या दोनों आपके संगठन पर लागू होते हैं
- यदि गैर-यूके स्थापित है और यूके जीडीपीआर के अधीन है तो यूके प्रतिनिधि नियुक्त किया जाता है
- यूके जीडीपीआर, आईसीओ और यूके-विशिष्ट अधिकारों के संदर्भ में गोपनीयता नोटिस अपडेट किया गया
- यूके से गैर-पर्याप्त देशों में स्थानांतरण के लिए यूके आईडीटीए या आईडीटीए परिशिष्ट लागू किया गया है
- ईयू→यूके स्थानांतरण तंत्र की समीक्षा की गई (वर्तमान में यूके के लिए ईयू की पर्याप्तता पर निर्भर - परिवर्तनों की निगरानी)
- यूके जीडीपीआर के तहत जहां आवश्यक हो वहां डीपीओ नियुक्त किया गया; संपर्क जानकारी प्रकाशित
- प्रसंस्करण गतिविधियों का रिकॉर्ड बनाए रखा गया (यूके जीडीपीआर अनुच्छेद 30)
- उच्च जोखिम वाली प्रसंस्करण गतिविधियों के लिए आयोजित डीपीआईए
- वैध हितों का आकलन प्रलेखित किया गया है जहां वैध हित कानूनी आधार हैं
- पीईसीआर अनुपालन की समीक्षा की गई: कुकी सहमति, इलेक्ट्रॉनिक मार्केटिंग ऑप्ट-इन तंत्र
- यूके जीडीपीआर दायित्वों पर स्टाफ प्रशिक्षण पूरा हुआ
- उल्लंघन अधिसूचना प्रक्रिया: आईसीओ को 72 घंटे की अधिसूचना, उच्च जोखिम वाले उल्लंघनों के लिए व्यक्तिगत अधिसूचना
- डेटा विषय अधिकार प्रक्रियाएं लागू की गईं (यूके जीडीपीआर समयरेखा: एक महीना)
- लीगेसी ईयू एससीसी अनुबंधों की समीक्षा की गई और जहां आवश्यक हो, यूके आईडीटीए में अद्यतन किया गया
अक्सर पूछे जाने वाले प्रश्न
क्या ब्रेक्सिट के बाद भी ब्रिटेन में ईयू जीडीपीआर लागू है?
नहीं, ईयू जीडीपीआर 1 जनवरी, 2021 को यूके में सीधे लागू होना बंद हो गया। हालांकि, यूके ने ईयू जीडीपीआर को "यूके जीडीपीआर" के रूप में घरेलू कानून के रूप में बरकरार रखा, जो काफी हद तक समान है लेकिन अब एक अलग यूके क़ानून है। यदि आप ईयू/ईईए व्यक्तियों के व्यक्तिगत डेटा को संसाधित करते हैं या आपके पास ईयू-आधारित प्रतिष्ठान है, तो ईयू जीडीपीआर ब्रेक्सिट की परवाह किए बिना आपके व्यवसाय के उन पहलुओं पर लागू होता रहता है।
क्या मुझे यूके और ईयू संचालन के लिए अलग-अलग डीपीओ की आवश्यकता है?
एक एकल डीपीओ यूके और ईयू दोनों के दायित्वों को पूरा कर सकता है, बशर्ते उनके पास दोनों रूपरेखाओं का पर्याप्त ज्ञान हो और दोनों न्यायालयों में डेटा विषयों और पर्यवेक्षी अधिकारियों के लिए पहुंच योग्य हो। डीपीओ का संपर्क विवरण दोनों न्यायक्षेत्रों के लिए गोपनीयता नोटिस में प्रकाशित किया जाना चाहिए, और डीपीओ को ईयू दायित्वों के लिए ईडीपीबी मार्गदर्शन के साथ-साथ यूके-विशिष्ट आईसीओ मार्गदर्शन के बारे में पता होना चाहिए।
यदि यूरोपीय संघ ब्रिटेन की पर्याप्तता वापस ले लेता है तो क्या होगा?
ईयू→यूके डेटा प्रवाह के लिए एक वैकल्पिक स्थानांतरण तंत्र की आवश्यकता होगी - आमतौर पर ईयू एससीसी। व्यवसायों को EU→UK स्थानांतरण के लिए EU मानक संविदात्मक खंडों पर हस्ताक्षर करने और स्थानांतरण प्रभाव आकलन करने की आवश्यकता होगी। यह उन व्यवसायों के लिए परिचालन रूप से महत्वपूर्ण लेकिन प्रबंधनीय होगा जिन्होंने आकस्मिकताओं की योजना बनाई है। औपचारिक हस्तांतरण दस्तावेज के बिना अनौपचारिक डेटा प्रवाह (कर्मचारी डेटा, ईयू और यूके संस्थाओं के बीच साझा क्लाउड इंफ्रास्ट्रक्चर) पर निर्भर व्यवसायों के लिए व्यावहारिक व्यवधान सबसे बड़ा होगा।
डीपीडीआई अधिनियम के तहत "मान्यता प्राप्त वैध हित" क्या हैं?
डीपीडीआई अधिनियम 2025 ने "मान्यता प्राप्त वैध हितों" की शुरुआत की - प्रसंस्करण उद्देश्यों की एक नई श्रेणी जिसके लिए यूके जीडीपीआर के तहत पूर्ण तीन-भाग वैध हितों संतुलन परीक्षण की आवश्यकता नहीं है। मान्यता प्राप्त वैध हितों में शामिल हैं: डेटा एकत्र करने वाले संगठन द्वारा प्रत्यक्ष विपणन; प्रशासनिक उद्देश्यों के लिए इंट्राग्रुप स्थानांतरण; नेटवर्क और सूचना सुरक्षा उद्देश्य; सुरक्षा/कानूनी अनुपालन के लिए कर्मचारी निगरानी और प्रबंधन। व्यवसाय इन विशिष्ट उपयोग मामलों के अनुपालन को सरल बनाते हुए, औपचारिक संतुलन परीक्षण का दस्तावेजीकरण किए बिना इन पर भरोसा कर सकते हैं।
यूके डेटा सुरक्षा विदेश में रहने वाले यूके नागरिकों पर कैसे लागू होती है?
यूके जीडीपीआर यूके में व्यक्तियों की सुरक्षा करता है - यह यूके की नागरिकता या राष्ट्रीयता से बंधा नहीं है। यूके में रहने वाला यूरोपीय संघ का नागरिक यूके जीडीपीआर द्वारा संरक्षित है। फ़्रांस में रहने वाला ब्रिटेन का नागरिक फ़्रांस में लागू EU GDPR द्वारा संरक्षित है। कानून अपने प्राथमिक अनुप्रयोग में क्षेत्रीय हैं, नागरिकता-आधारित नहीं। यूके के नागरिकों का डेटा स्वाभाविक रूप से यूके जीडीपीआर के अधीन नहीं है, जब वे यूके के बाहर स्थित हों, जब तक कि नियंत्रक/प्रोसेसर यूके में स्थापित न हो या यूके के व्यक्तियों को लक्षित न कर रहा हो।
क्या यूके में कुकीज़ यूके जीडीपीआर या पीईसीआर द्वारा शासित हैं?
यूके में कुकीज़ मुख्य रूप से गोपनीयता और इलेक्ट्रॉनिक संचार विनियम 2003 (पीईसीआर) द्वारा शासित होती हैं, सीधे यूके जीडीपीआर द्वारा नहीं। पीईसीआर को कुकीज़ के बारे में स्पष्ट जानकारी और गैर-आवश्यक कुकीज़ के लिए सहमति की आवश्यकता होती है। यूके जीडीपीआर कुकीज़ के माध्यम से एकत्र किए गए व्यक्तिगत डेटा पर लागू होता है (जहां कुकीज़ व्यक्तिगत डेटा को संसाधित करती हैं)। दोनों रूपरेखाओं को एक साथ संतुष्ट किया जाना चाहिए - पीईसीआर कुकी प्लेसमेंट को नियंत्रित करता है; यूके जीडीपीआर एकत्र किए गए व्यक्तिगत डेटा के बाद के प्रसंस्करण को नियंत्रित करता है।
अगले चरण
यूके का ब्रेक्सिट के बाद का डेटा संरक्षण परिदृश्य कई व्यवसायों की अपेक्षा से अधिक जटिल है - विशेष रूप से यूके और ईयू क्षेत्राधिकार में एक साथ संचालित होने वाले व्यवसायों के लिए। ICO मार्गदर्शन, DPDI अधिनियम सुधारों और EU पर्याप्तता संबंधों के साथ तालमेल बनाए रखने के लिए निरंतर ध्यान देने की आवश्यकता है।
ECOSIRE व्यवसायों को दोहरे यूके/ईयू अनुपालन कार्यक्रमों को डिजाइन करने और बनाए रखने, उचित अंतरराष्ट्रीय डेटा ट्रांसफर तंत्र को लागू करने और उनके प्रौद्योगिकी प्लेटफार्मों में गोपनीयता-दर-डिज़ाइन बनाने में मदद करता है।
और जानें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। यूके डेटा संरक्षण कानून कानून और आईसीओ मार्गदर्शन के माध्यम से विकसित हो रहा है। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य यूके कानूनी सलाहकार से परामर्श लें।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE के साथ अपना व्यवसाय बढ़ाएं
ईआरपी, ईकॉमर्स, एआई, एनालिटिक्स और ऑटोमेशन में एंटरप्राइज समाधान।
संबंधित लेख
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.
रासायनिक उद्योग के लिए ईआरपी: सुरक्षा, अनुपालन और बैच प्रोसेसिंग
ईआरपी सिस्टम रासायनिक कंपनियों के लिए एसडीएस दस्तावेज़, पहुंच और जीएचएस अनुपालन, बैच प्रोसेसिंग, गुणवत्ता नियंत्रण, खतरनाक शिपिंग और फॉर्मूला प्रबंधन कैसे प्रबंधित करते हैं।
आयात/निर्यात व्यापार के लिए ईआरपी: बहु-मुद्रा, रसद और अनुपालन
ईआरपी सिस्टम ट्रेडिंग कंपनियों के लिए क्रेडिट पत्र, सीमा शुल्क दस्तावेज़ीकरण, इनकोटर्म्स, बहु-मुद्रा पी एंड एल, कंटेनर ट्रैकिंग और शुल्क गणना को कैसे संभालते हैं।
Compliance & Regulation से और अधिक
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.
ई-कॉमर्स के लिए साइबर सुरक्षा: 2026 में अपने व्यवसाय को सुरक्षित रखें
2026 के लिए पूर्ण ईकॉमर्स साइबर सुरक्षा गाइड। पीसीआई डीएसएस 4.0, डब्ल्यूएएफ सेटअप, बॉट सुरक्षा, भुगतान धोखाधड़ी की रोकथाम, सुरक्षा हेडर और घटना प्रतिक्रिया।
रासायनिक उद्योग के लिए ईआरपी: सुरक्षा, अनुपालन और बैच प्रोसेसिंग
ईआरपी सिस्टम रासायनिक कंपनियों के लिए एसडीएस दस्तावेज़, पहुंच और जीएचएस अनुपालन, बैच प्रोसेसिंग, गुणवत्ता नियंत्रण, खतरनाक शिपिंग और फॉर्मूला प्रबंधन कैसे प्रबंधित करते हैं।
आयात/निर्यात व्यापार के लिए ईआरपी: बहु-मुद्रा, रसद और अनुपालन
ईआरपी सिस्टम ट्रेडिंग कंपनियों के लिए क्रेडिट पत्र, सीमा शुल्क दस्तावेज़ीकरण, इनकोटर्म्स, बहु-मुद्रा पी एंड एल, कंटेनर ट्रैकिंग और शुल्क गणना को कैसे संभालते हैं।
ईआरपी के साथ स्थिरता और ईएसजी रिपोर्टिंग: अनुपालन गाइड 2026
ईआरपी सिस्टम के साथ 2026 में ईएसजी रिपोर्टिंग अनुपालन पर नेविगेट करें। सीएसआरडी, जीआरआई, एसएएसबी, स्कोप 1/2/3 उत्सर्जन, कार्बन ट्रैकिंग और ओडू स्थिरता को कवर करता है।
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.