പൊന്നപ്പൻ ദി ഏലിയൻ
ഡാറ്റയാണല്ലോ ഇപ്പോഴത്തെ നമ്മുടെ സൂപ്പർ സ്റ്റാർ. ഡാറ്റയുടെ ഗുണഗണങ്ങളെപ്പറ്റിയും ബേജാറുകളെപ്പറ്റിയും നാടു മുഴുവൻ സംസാരിക്കുമ്പോൾ കുറച്ച് ഡാറ്റാപുരാണം ആകാന്ന് വച്ചു. ആദ്യം തന്നെ ഒരു ഡിസ്ക്ലൈമർ പറയാം. ഇനി താഴോട്ട് വായിക്കാൻ പോകുന്ന ഭാഗങ്ങളിൽ വിവരസാങ്കേതികവിദ്യയുമായും നിയമരീതികളുമായും ബന്ധപ്പെട്ട സാങ്കേതികപദങ്ങൾ യഥേഷ്ടം ഉണ്ടായിരിക്കും. ഒരല്പം മുൻകരുതൽ ഉണ്ടായിരിക്കുന്നത് നല്ലതാണ്. എന്നെ തല്ലാനോ തെറി വിളിക്കാനോ ഉള്ള ചോദനകൾ തികച്ചും സ്വാഭാവികം മാത്രം.
അപ്പോൾ, ഈ “ഡാറ്റ” എന്നു വച്ചാലെന്താണ്? – വിവരം.. അല്ലേ? അടിസ്ഥാനവിവരം എന്ന് പറയുന്നതാവും കുറച്ചു കൂടി എളുപ്പം. ഏതൊരു വിവരത്തിനേയും കെട്ടിയുണ്ടാക്കുന്ന ഇഷ്ടികക്കൂട്ടം എന്നും പറയാം. ഈ ഡാറ്റ കുറച്ചു നാളു മുൻപ് വരെ ആർക്കും വല്യ പ്രശ്നം ‘ഉണ്ടാക്കാത്ത ഒന്നായിരുന്നു. പക്ഷേ ഇപ്പോ പ്രശ്നക്കാരനായിത്തുടങ്ങുകയും ചെയ്തു. അതെന്തു കൊണ്ടാവും?
കാര്യം വളരെ ലളിതമാണ്. ഡാറ്റയുടെ കൈവശാവകാശത്തിൽ ഉള്ള ചില ആശയക്കുഴപ്പങ്ങൾ ഈയടുത്ത കാലത്താണ് കൂടുതൽ ശക്തി പ്രാപിച്ചത്. അതു തന്നെ കാര്യം. പണ്ടു മുതലേ ഡാറ്റ ആളൊരു പുലിയാണ്. പക്ഷേ ഈ പുലിയെ പ്രധാനമായും കൈകാര്യം ചെയ്തിരുന്നത് ചില പ്രൊഫഷണൽ റിങ്ങ് മാസ്റ്റർമാരായിരുന്നു എന്ന് മാത്രം. ഗവണ്മെന്റുകൾ ആയിരുന്നു ആ റിങ്ങ് മാസ്റ്റർമാർ. അവർ അധികമാർക്കും ഡാറ്റയൊന്നും കൊടുക്കുമായിരുന്നില്ല. വളരെ വിലപിടിപ്പുള്ള സംഭവമാണേ.. ചുമ്മാതങ്ങനെ തുറന്നിടാൻ പറ്റുമോ? പിന്നെ ഈ ഡാറ്റ സംഘടിപ്പിക്കാനും കുറച്ച് ബുദ്ധിമുട്ടുകളുണ്ടായിരുന്നു. പക്ഷേ കാലം മാറി. ഡാറ്റ ചുമ്മാതങ്ങ് വളരാൻ തുടങ്ങി. ചുമ്മാതല്ല, ആധുനിക സാങ്കേതിക വിദ്യകൾ ഡാറ്റ വളർത്തുന്ന കൃഷിയിടങ്ങൾ തുടങ്ങി എന്ന് ആലങ്കാരികമായി പറയാം. ഇന്റർനെറ്റും, അനുബന്ധ സാങ്കേതികവിദ്യകളും ഒക്കെ വന്നപ്പോള് ഈ വളർച്ചാനിരക്ക് വളരെ വളരെ വളരെ കൂടാൻ തുടങ്ങി. ഇങ്ങനെ കുന്നു കൂടുന്ന ഡാറ്റ ഗവണ്മെന്റിന്റെ കയ്യിൽ മാത്രമല്ല മറ്റ് ഏജൻസികളുടെ കയ്യിലും എത്താൻ തുടങ്ങി. ഗവണ്മെന്റുകൾ കുന്നുകൂടുന്ന ഡാറ്റയ്ക്കിടയിൽ കിടന്ന് ശ്വാസം മുട്ടി സ്വമേധയാ ഡാറ്റ തുറന്നു കൊടുക്കാനും തയ്യാറായി. (ഓപ്പൺ ഡാറ്റയെന്നാണ് അതിനു പറയുന്നത്. അതിനെ പറ്റി പിന്നീട് സാവകാശം പറയാം.) എന്തായാലും ആളു കൂടുന്തോറും അളവ് കൂടുന്തോറും പ്രശ്നങ്ങളും കൂടാൻ തുടങ്ങി. അതിൽ എറ്റവും പ്രധാനപ്പെട്ട ഒരു പ്രശ്നമായിരുന്നു സ്വകാര്യ ഡാറ്റയുടെ പ്രശ്നം. വ്യക്തിപരമായ ഡാറ്റ ദുരുപയോഗം ചെയ്യപ്പെട്ടാലുള്ള ഭവിഷ്യത്തുകൾ എല്ലാർക്കും ഒരു പേടി സ്വപ്നമായിത്തുടങ്ങി. എന്തു ചെയ്യും എന്ന് ലോകം തലപുകഞ്ഞ് ആലോചിക്കാൻ തുടങ്ങി.
ഇതിൽ ഒരു വഴിത്തിരിവുണ്ടാകുന്നത് 1970-കളിലാണ്. അമേരിക്കൻ ഗവണ്മെന്റ് നിയമിച്ച HEW Committee (Advisory committee in the Department of Health, Education & Welfare)-യുടെ ചരിത്രപ്രസിദ്ധമായ ഒരു റിപ്പോർട്ട് പുറത്തിറങ്ങിയതായിരുന്നു അത്. “Records, Computers and the Rights of Citizens : Report of the secretary’s advisory committee on automated personal data systems” എന്ന ഈ റിപ്പോർട്ടിനെ അധികരിച്ച് Fair Information Practices Principles (FIPPS) എന്ന മാർഗ്ഗദർശകസംഹിത പുറത്തിറങ്ങി. ലോകമാകെയുള്ള ഡാറ്റാ സുരക്ഷാ നിയമങ്ങളുടെ അടിസ്ഥാനശില എന്നു തന്നെ പറയാവുന്ന ഒന്നാണ് ഈ നിയമം. ഇതിനെ തുടർന്ന് OECD നിർദ്ദേശങ്ങൾ എന്നറിയപ്പെടുന്ന “Organization for Economic Cooperation and Development Privacy Guidelines” 1980 ലും പുറത്തിറങ്ങി. FIPPS, OECD Guidelines എന്നീ രണ്ട് ഘഡാഗഡിയൻ നിയമങ്ങളെ പിൻപറ്റി European Directive 95/46/EC, 2004 Asia Pacific Economic Cooperation Framework (APEC Framework), ഓസ്ട്രേലിയയുടെ 1988 ലെ സ്വകാര്യതാ നിയമം, 1993 ലെ ന്യൂസിലാന്റിലെ സ്വകാര്യതാ നിയമം, ജപ്പാനിലെ സ്വകാര്യവിവരസുരക്ഷാ നിയമം (2003) ഒക്കെ നിലവിൽ വന്നു. എന്നാൽ കാലം ചെല്ലുമ്പോൾ ഈ ഓ ഇ സി ഡി നിർദ്ദേശങ്ങൾക്കും, FIPPS സങ്കല്പങ്ങൾക്കും ഒന്നും തന്നെ വളർന്നു വരുന്ന ഡാറ്റയുടെ സ്വഭാവമാറ്റങ്ങൾക്കനുസരിച്ച് അവയെ നിയന്ത്രിക്കാൻ കഴിയാതെയായി. വളരെ വലിയ ക്രമരഹിതമായ ബിഗ് ഡാറ്റയുടെ വരവ് സംഭവങ്ങളെ ആകെ ഗുലുമാലിലാക്കാൻ തുടങ്ങി. അതോടൊപ്പം ഇന്റർനെറ്റ് ഓഫ് തിങ്ങ്സ് (IoT), നിർമ്മിതബുദ്ധി (AI), ബ്ലോക്ക് ചെയിൻ, ഡാറ്റ അനലിറ്റിക്സ്, റോബോട്ടിക്സ്, ക്ലൌഡ് കമ്പ്യൂട്ടിങ്ങ്, കോഗ്നിറ്റീവ് കമ്പ്യൂട്ടിങ്ങ് ഒക്കെ പോലെയുള്ള പുതുയുഗ സാങ്കേതിക വിദ്യകളുടെ കടന്നു വരവും വളർച്ചയും കാര്യങ്ങൾ കൂടുതൽ കുഴയ്ക്കാൻ തുടങ്ങി. ഈ കാലഘട്ടത്തിലും ഡാറ്റാ പ്രൊട്ടക്ഷൻ നിയമങ്ങൾ ശക്തമായി തുടരുന്ന പലയിടങ്ങളും ഉണ്ടായിരുന്നു. അമേരിക്കയിൽ Federal Trade Commission Act (FTC Act), Financial Services Modernization Act (Gramm-Leach-Bliley Act -GLB Act), The Health Insurance Portability and Accountability Act (HIPAA), Children’s Online Privacy Protection Act (COPAA) എന്നിങ്ങനെയുള്ള അതിനിശിതമായ നിയമങ്ങളിലൂടെ സ്വകാര്യഡാറ്റയുടെ സംരക്ഷണം ഉറപ്പു വരുത്തുന്നുണ്ടായിരുന്നു. യൂറോപ്യൻ യൂണിയനും അധികം വൈകാതെ ആധുനിക ഡാറ്റാ ആവശ്യങ്ങൾക്കായി തയ്യാറെടുപ്പ് തുടങ്ങി. അങ്ങിനെയാണ് ജി ഡി പി ആർ (ജനറൽ ഡാറ്റാ പ്രൊട്ടക്ഷൻ റെഗുലേഷൻ) ഉണ്ടാവുന്നത്.
ഇനിയുള്ള ഭാഗം ജി ഡി പി ആർ അടിസ്ഥാനപ്പെടുത്തി ഇന്ത്യൻ സാഹചര്യങ്ങളെ മനസ്സിലാക്കാനുള്ള ഒരു ശ്രമമാണ്. ഇന്ത്യയുടെ ഡാറ്റാ സുരക്ഷാ കാഴ്ചപ്പാടുകളുടെ ചരിത്രം മറ്റൊരു ഭാഗത്തിൽ വിശദമായി തന്നെ പരാമർശിക്കും.
2018 ലാണ് യൂറോപ്യൻ യൂണിയൻ ജി ഡി പി ആർ (ജനറൽ ഡാറ്റാ പ്രൊട്ടക്ഷൻ റെഗുലേഷൻ) എന്ന യൂറോപ്പ് മുഴുവൻ ബാധകമാവുന്ന ഡാറ്റാ സുരക്ഷാ നിയമം പുറത്തിറക്കുന്നത്. ഇതിനു മുൻപ് 1995 ലെ ഡാറ്റാ പ്രൊട്ടക്ഷൻ ഡയറക്റ്റീവ് ആയിരുന്നു അവിടെ നിലനിന്നിരുന്നത്.
ഇരുപത്തൊന്നാം നൂറ്റാണ്ടിലെ ഡാറ്റാവിനിമയവും സുരക്ഷയും കേന്ദ്രബിന്ദുവാക്കി രൂപപ്പെടുത്തിയ ഒരു നിയമമാണിത്. അംഗരാജ്യങ്ങൾക്ക് പരിമിതമായ തോതിൽ ചില മാറ്റങ്ങൾ വരുത്താനുള്ള സ്വാതന്ത്ര്യവും ഈ നിയമം ഉറപ്പു വരുത്തുന്നുണ്ട്. അയർലണ്ട് ഈ സൗകര്യങ്ങൾ ഉപയോഗപ്പെടുത്തി അവരുടേതായ ഡാറ്റാ സുരക്ഷാ നിയമം ഇപ്പോൾ തന്നെ രൂപപ്പെടുത്തിയിട്ടുണ്ട് (Data protection act 2018). ഇതുപോലെ വേണമെന്നു വച്ചാൽ മറ്റ് അംഗരാജ്യങ്ങൾക്കും ആ നിയന്ത്രിതമായ സ്വാതന്ത്ര്യം ഉപയോഗിച്ച് അവരുടേതായ ഡാറ്റ നിയമങ്ങൾ സൃഷ്ടിക്കാം എന്നർത്ഥം.
ഡാറ്റാസുരക്ഷ, ഡാറ്റാ സ്വകാര്യത എന്നൊക്കെ പറയുമ്പോൾ ഒരു പക്ഷേ ഏറ്റവും കൃത്യമായ ചില നിരീക്ഷണങ്ങൾ നടത്താൻ പറ്റുന്ന ഒരു നിയമം ജി ഡി പി ആർ ആയതിനാൽ അതിന്റെ അടിസ്ഥാനത്തിൽ സ്വകാര്യ ഡാറ്റ എന്താണെന്ന് ഒന്ന് പരിശോധിക്കാം.
ജി ഡി പി ആർ അടിസ്ഥാനപ്പെടുത്തി സ്വകാര്യഡാറ്റയുടെ നിർവ്വചനം
സ്വകാര്യഡാറ്റ എന്നു വച്ചാൽ തിരിച്ചറിഞ്ഞതോ, തിരിച്ചറിയപ്പെടാവുന്നതോ ആയ ഒരു സ്വാഭാവികവ്യക്തിയെ പറ്റിയുള്ള ഏതു തരം വിവരവുമാകാം.
എന്റമ്മോ.. കുടുങ്ങിയോ? എന്താണീ സ്വാഭാവികവ്യക്തി? എന്താണ് തിരിച്ചറിഞ്ഞതും തിരിച്ചറിയപ്പെടാവുന്നതും തമ്മിലുള്ള വ്യത്യാസം?
ആദ്യം നമുക്ക് ‘തിരിച്ചറിയപ്പെടാവുന്ന സ്വാഭാവിക വ്യക്തി’ ആരെന്ന് നോക്കാം – നേരിട്ടോ അല്ലാതെയോ തിരിച്ചറിയപ്പെടാവുന്ന ആരെയും ഈ വിഭാഗത്തിൽപ്പെടുത്താം. ഇത് ജീവിച്ചിരിക്കുന്ന വ്യക്തികൾക്ക് മാത്രം ബാധകമായ ഒരു നിർവ്വചനമാണ്. ഒരു വ്യക്തിയെ തിരിച്ചറിയാൻ സഹായിക്കുന്ന ഏത് തരം സൂചകങ്ങളും (പ്രധാനമായും പേര്, തിരിച്ചറിയൽ നമ്പർ, സ്ഥലവിവരം, ഓൺലൈൻ തിരിച്ചറിയൽ വിവരങ്ങൾ, ശാരീരികമോ, ശരീരശാസ്ത്രപരമോ, ജനിതകമോ, മാനസികമോ, സാമ്പത്തികമോ, സാംസ്കാരികമോ, സാമൂഹ്യമോ ആയ ഏതെങ്കിലും തനിമകളുടെ ഒന്നോ അതിലധികമോ ആയ വിവരങ്ങളൊക്കെ) ഇത്തരം തിരിച്ചറിയപ്പെടലിനു കാരണമാകാം. ചില സാഹചര്യങ്ങളിൽ ഒരാൾ ഉപയോഗികക്കുന്ന കമ്പൂട്ടറിന്റെ ഐപി വിവരങ്ങളോ, വെബ് സൈറ്റുകളിൽ ഉപയോഗിക്കുന്ന കുക്കികളോ, വർഗ്ഗ-വർണ്ണ വിവരങ്ങളോ, ലൈംഗിക താല്പര്യങ്ങളോ, തലമുടിയുടെ നിറമോ, ജോലിസംബന്ധമായ വിവരങ്ങളോ, രാഷ്ട്രീയ അഭിപ്രായങ്ങളോ, ആരോഗ്യവിവരങ്ങളോ ഒക്കെ സ്വകാര്യ ഡാറ്റ ആയി നിർവ്വചിക്കപ്പെടാം.
‘തിരിച്ചറിഞ്ഞ വ്യക്തി’ ആരെന്ന് പറയേണ്ടതില്ലല്ലോ. ഒരു വ്യക്തിയുടെ വിവരം അയാൾ ആരെന്ന് അറിഞ്ഞു കൊണ്ട് നമ്മൾ എടുത്താൽ അത് തിരിച്ചറിഞ്ഞ സ്വാഭാവികവ്യക്തിയാവും (Identified natural person)
എന്ന് വച്ച് എല്ലായ്പ്പോഴും എല്ലാ വിവരങ്ങളും സ്വകാര്യ ഡാറ്റയാണ് അതുകൊണ്ട് തൊടാൻ പാടില്ല എന്നൊന്നും പറയാനാവില്ല. സാഹചര്യം (context) ആണ് സ്വകാര്യഡാറ്റയെ നിർവ്വചിക്കുന്നത് എന്നാണ് പ്രാഥമികമായി പറയാനുള്ളത്.
ജി ഡി പി ആർ പ്രധാനമായും ആറ് ഡാറ്റാ സുരക്ഷാ മാർഗ്ഗരേഖകൾ ആണ് മുന്നോട്ട് വയ്ക്കുന്നത്.
1. നിയമവിധേയത, ന്യായയുക്തത, സ്പഷ്ടത (Lawfulness, Fairness & Transparency)
വളരെ ലളിതമായി പറഞ്ഞാൽ നിയമാനുസൃതമായി, ആരുടെ ഡാറ്റയാണോ ശേഖരിക്കുന്നത് അവരുടെ അനുവാദത്തോടു കൂടി നേരായ കാര്യങ്ങൾക്ക് ഉപയോഗിക്കാനായി മാത്രമേ ഏതു തരം വിവരങ്ങളും ശേഖരിക്കാൻ പാടുള്ളൂ. കുഞ്ഞപ്പനു കൊടുക്കാനെന്നും പറഞ്ഞ വാങ്ങിയ ഡാറ്റ വല്യപ്പന് കൊടുക്കരുതെന്ന് ചുരുക്കം.
2.ഉപയുക്തതയുടെ പരിമിതപ്പെടുത്തൽ (Purpose Limitation)
സ്വകാര്യവിവരങ്ങൾ ഏതെങ്കിലും ആവശ്യത്തിനായി ശേഖരിക്കുന്നുണ്ടെങ്കിൽ അത് ആ ആവശ്യത്തിനു വേണ്ടി മാത്രമേ ഉപയോഗിക്കാവൂ. അല്ലാതെ എന്തായാലും കിട്ടിയതല്ലേ എന്നാൽ പിന്നെ വേറേ രണ്ട് ആപ്ലിക്കേഷനുകൾക്ക് കൂടി ഉപയോഗിച്ചേക്കാം എന്ന് ആരും കരുതാൻ പാടില്ല.
3. ഡാറ്റാ ചുരുക്കൽ (Data minimization)
അത്യാവശ്യത്തിനുള്ള ഡാറ്റ മാത്രമേ ശേഖരിക്കാൻ പാടുള്ളൂ. വീട്ടിലൊക്കെ അമ്മമാർ പറയില്ലേ, തിന്നാനൊക്കുന്നതേ പാത്രത്തിലെടുക്കാവൂ എന്ന്, അതു തന്നെ. ഡാറ്റ ആരാണോ ശേഖരിക്കുന്നത്, അവരുടെ ആവശ്യം നടക്കുന്നതിന് എത്ര ചുരുങ്ങിയ അളവിലെ ഡാറ്റ വേണമോ, അതിൽ കൂടുതൽ ഒരു വിവരം പോലും അധികം എടുക്കാനോ ചോദിക്കാനോ പാടില്ല.
4. കൃത്യത (Accuracy)
തെറ്റുള്ളതോ, പൂർണ്ണമല്ലാത്തതോ ആയ ഡാറ്റ തീർച്ചയായും ഒഴിവാക്കപ്പെടണം. അതിനു വേണ്ട എല്ലാത്തരം മുൻകരുതലുകളും എടുക്കണം. ഇങ്ങനെ ഒരു വ്യക്തിയുടെ തെറ്റായ വിവരങ്ങൾ ശേഖരിക്കപ്പെട്ടിട്ടുണ്ടെങ്കിൽ 30 ദിവസത്തിനുള്ളിൽ അത് തിരുത്താനോ മായ്ക്കാനോ ഉള്ള അവകാശം ആ വ്യക്തിക്കുണ്ടായിരിക്കും. ഇത് ഡാറ്റ സുരക്ഷയുടെ കാര്യത്തിൽ വളരെ പ്രധാനപ്പെട്ട ഒരു വിഷയമാണ്.
5. സംഭരണത്തിന്റെ പരിമിതപ്പെടുത്തൽ (Storage Limitation)
ആവശ്യം കഴിയുമ്പോൾ സ്വകാര്യഡാറ്റ നീക്കം ചെയ്തിരിക്കണം. അപ്പോൾ അടുത്ത ചോദ്യം വരും – എപ്പോഴാണ് ആവശ്യം കഴിയുന്നതെന്ന്. അതിന് രണ്ടാമത്തെ മാർഗ്ഗനിർദ്ദേശം ഒന്ന് സൂക്ഷിച്ചു വായിച്ചാൽ മതി. ഏതൊരു തരം ഡാറ്റയും ശേഖരിക്കുന്നതിനു മുൻപ് തന്നെ അതെന്തിനു വേണ്ടി ശേഖരിക്കുന്നു എന്ന് അത് ശേഖരിക്കുന്ന ഏജൻസി സ്പഷ്ടമാക്കിയിരിക്കണം.
6. സമഗ്രത, ഔദ്യോഗികത
ജി ഡി പി ആർ പറയുന്നതനുസരിച്ചാണെങ്കിൽ ശേഖരിക്കപ്പെടുന്ന സ്വകാര്യവിവരങ്ങൾ പൂർണ്ണമായ സുരക്ഷ ഉറപ്പു വരുത്തി വേണം കൈകാര്യം ചെയ്യപ്പെടേണ്ടത്. അനൗദ്യോഗികമോ, നിയമവിരുദ്ധമോ ആയ ഒരു കാര്യത്തിനും അത്തരം ഡാറ്റ ഉപയോഗപ്പെടുത്തരുത്. ഇങ്ങനെ ശേഖരിക്കപ്പെടുന്ന ഡാറ്റ കേടുവരുത്തപ്പെടാനോ, തകർത്തുകളയാനോ, തെറ്റായ രീതിയിൽ തിരുത്തപ്പെടാനോ പാടില്ല. ഇതൊക്കെ ചുമ്മാ പറഞ്ഞാൽ പോരാ. അതിനാവശ്യമായ സാങ്കേതികസൗകര്യങ്ങൾ ഒരുക്കേണ്ടത് ഇത്തരം ഡാറ്റ കൈകാര്യം ചെയ്യുന്ന സ്ഥാപനങ്ങളുടെ ഉത്തരവാദിത്തമാണ്.
ജി ഡി പി ആർ ഏതെങ്കിലും തരത്തിലുള്ള സാങ്കേതികവിദ്യയിൽ അധിഷ്ഠിതമായ ഒരു നിയമമല്ല. ഏതു തരം ഡാറ്റ കൈമാറ്റ, സംഭരണ, പ്രക്രിയാ സാങ്കേതികവിദ്യയാണ് ഉപയോഗിക്കുന്നതെങ്കിലും ഈ നിയമപ്രകാരമുള്ള എല്ലാ നിർദ്ദേശങ്ങളും നടപ്പിലാക്കിയേ പറ്റൂ.
ജി ഡി പി ആർ ഒരു വ്യക്തിക്ക് ഒട്ടനവധി അവകാശങ്ങൾ നൽകുന്നുണ്ട്. വ്യക്തി എന്ന് പറയുമ്പോൾ സാങ്കേതിക ഭാഷയിൽ Data subject. ഇത്തരം ഡാറ്റാ സബ്ജക്ടുകളുടെ അവകാശങ്ങൾ ഒന്ന് നോക്കാം
- അറിയാനുള്ള അവകാശം (The right to be informed)
- പ്രാപ്യതയ്ക്കുള്ള അവകാശം (The right of access)
- തിരുത്തുവാനുള്ള അവകാശം (The right of rectification)
- മായ്ക്കുവാനുള്ള അവകാശം (The right to erasure)
- ഡാറ്റയുടെ ഉപയോഗിക്കൽ തടയുവാനുള്ള അവകാശം (The right to restrict processing)
- ഡാറ്റയുടെ വഹനീയതയ്ക്കുള്ള അവകാശം (The right to data portability)
- എതിർക്കുവാനുള്ള / നിഷേധിക്കുവാനുള്ള അവകാശം (The right to object)
- യന്ത്രവൽക്കരിക്കപ്പെട്ട തീരുമാനമെടുക്കലും ചിത്രീകരണങ്ങളുമായി ബന്ധപ്പെട്ട അവകാശങ്ങൾ (Rights in relation to automated decision making and profiling)
അതുപോലെ തന്നെ വ്യക്തിഗത ഡാറ്റയുടെ അനുമതിയ്ക്കും കൃത്യമായ മാർഗ്ഗരേഖകളുണ്ട്.
1. ഡാറ്റാ സബ്ജക്ടിൽ (അതായത് വ്യക്തിയിൽ) നിന്നുള്ള അനുമതി സ്വതന്ത്രമായതും (കൊങ്ങയ്ക്ക് കുത്തിപ്പിടിച്ചുള്ളതല്ല എന്നർത്ഥം), കൃത്യമായതും (നീയെന്താന്നു വച്ചാൽ ചെയ്തോ എന്ന രീതിയിലുള്ളതല്ല. കൃത്യമായ ആവശ്യത്തിനായി നൽകുന്നു എന്ന രീതിയിലാവണം), കാര്യം കൃത്യമായി അറിഞ്ഞതിനു ശേഷം നൽകുന്നതും (ലോഗരിതം ടേബിളിന്റെ കാലൊടിഞ്ഞു അതിനു പൈസ വേണം എന്ന രീതിയിലുള്ള ഉഡായിപ്പ് പറഞ്ഞ് വാങ്ങുന്നതല്ല എന്നർത്ഥം), അവ്യക്തതയില്ലാത്തതും ആയിരിക്കണം.
2.ഡാറ്റ ശേഖരിക്കാനും ഉപയോഗിക്കാനുമുള്ള അനുമതിക്കായി നൽകുന്ന അപേക്ഷ മനുഷ്യനു മനസ്സിലാവുന്ന ഭാഷയിൽ, ലളിതമായതും വ്യക്തമായതും ആയിരിക്കണം.
3.മുൻകൂട്ടി രേഖപ്പെടുത്തപ്പെട്ടതും, നിശബ്ദമായതുമായ ഒരു കാര്യവും അനുമതിക്കായുള്ള അപേക്ഷയിൽ ഉണ്ടാവരുത്. (‘നീയൊരു ഒപ്പിട്ടാൽ മതി ബാക്കി ഞമ്മളേറ്റ്’ എന്ന പരിപാടി പറ്റൂല്ല)
4. ഒരിക്കൽ നൽകി എന്നും പറഞ്ഞ് അനുമതി പിന്നെ പിൻവലിക്കാൻ ഒക്കില്ല എന്നൊന്നുമില്ല. എപ്പോൾ വേണമെങ്കിലും അനുമതി പിൻവലിക്കാനുള്ള അവസരം ഉണ്ടാവണം. (അല്ലേലും ഈ അഭിപ്രായം ഇരുമ്പുലക്കയൊന്നുമല്ലല്ലോ..)
5. 13 വയസ്സിനു താഴെ പ്രായമുള്ള കുട്ടികൾക്ക് ആവശ്യമായ ഓൺലൈൻ സേവനങ്ങൾക്കായുള്ള അനുമതി രക്ഷിതാക്കളുടെ അനുവാദത്തോടു കൂടിയാവണം
6. സ്ഥാപനങ്ങൾ അനുമതി ലഭിച്ചതിനും അത് പിൻവലിക്കപ്പെട്ടതിനും ഒക്കെയുള്ള തെളിവുകൾ ഹാജരാക്കാൻ ബാധ്യസ്ഥരാണ്.
പിന്നെ, ജി ഡി പി ആർ പറയുന്നത് സ്വകാര്യതയും സുരക്ഷയും ഒക്കെ, ചുമ്മാ അങ്ങ് സംഭവിക്കുന്നതല്ല എന്നാണ്. സുരക്ഷയും സ്വകാര്യതയും പരികല്പനയുടെ തന്നെ ഭാഗമാവണം. അതായത് Data protection by design , Privacy by design എന്നിവ. അതായത് വീടുണ്ടാക്കുമ്പോൾ തന്നെ ഒളിഞ്ഞുനോട്ടക്കാരേയും കള്ളന്മാരെയും ഒക്കെ കണക്കിലെടുക്കണം. അതിനുള്ള സുരക്ഷാമാനദണ്ഡങ്ങളും സ്വീകരിക്കണം.
അതു പോലെ തന്നെ, സ്വകാര്യവിവരങ്ങൾ ഉപയോഗിക്കുമ്പോൾ അത് എന്തിന്, എങ്ങിനെ ഉപയോഗിക്കുന്നു എന്ന വിവരങ്ങൾ ആ വ്യക്തിയെ കൃത്യമായി അറിയിച്ചിരിക്കണം. ഇനി എങ്ങാനും നേരിട്ടല്ല ഡാറ്റ ശേഖരിച്ചതെങ്കിൽ ഇത്തരം ഡാറ്റയുടെ കൈവശാവകാശമുള്ളയാൾക്കാർ (ഡാറ്റാ കൺട്രോളർമാർ) ഒരു മാസത്തിനുള്ളിൽ ആ വ്യക്തിയെ കൃത്യമായി വിവരം അറിയിച്ചിരിക്കണം. ഇങ്ങനെ നൽകുന്ന പ്രൈവസി നോട്ടീസുകളും മനുഷ്യന് മനസ്സിലാവുന്ന ഭാഷയിൽ ആയിരിക്കണം (പഴയ വക്കീൽ / ആധാരമെഴുത്ത് ഭാഷ ഇനി പറ്റില്ല)
ഇങ്ങനെയുള്ള സ്വകാര്യ വിവരങ്ങൾ ഉപയോഗിക്കാനും കൃത്യമായ മാനദണ്ഡങ്ങൾ ഉണ്ട്. ചില പ്രത്യേക സാഹചര്യങ്ങളിൽ അല്ലാതെ, താഴെപ്പറയുന്ന പ്രവർത്തനങ്ങൾക്ക് മാത്രമേ വ്യക്തിഗത ഡാറ്റ ഉപയോഗിക്കാൻ പാടുള്ളൂ.
- ഡാറ്റ സബ്ജക്ടിന്റെ കൃത്യമായ അനുമതിയോടെ
- കരാർപ്രകാരമുള്ള നിബന്ധനകൾ പാലിക്കുന്നതിന്
- നിയമപരമായ നിബന്ധനകൾ പാലിക്കുന്നതിന്
- ഡാറ്റാ സബ്ജക്ടിന്റെ ഉത്തമതാല്പര്യങ്ങളുടെ സംരക്ഷണത്തിന്
- പൊതുതാല്പര്യമുള്ള പ്രവർത്തികൾക്ക്
- സ്ഥാപനങ്ങളുടെ നിയമവിധേയമായ പ്രവർത്തനങ്ങൾക്ക്.
സംഭവം നിയമഭാഷയാണ്. ഒരുപാട് വ്യാഖ്യാനങ്ങളും തർക്കിക്കലും ഒക്കെ നടത്താം. പക്ഷേ സംഭവം മനസ്സിലായല്ലോ. നിയമവിരുദ്ധമായ ഒരു കാര്യത്തിനും ഒരാളുടേയും സ്വകാര്യഡാറ്റ ഉപയോഗിക്കാൻ പാടില്ല. എന്നാൽ പൊതു താല്പര്യങ്ങൾക്ക്, പൊതു സുരക്ഷയ്ക്ക് കൃത്യമായ മാനദണ്ഡങ്ങൾ ഉപയോഗിച്ച് ഡാറ്റ ഉപയോഗിക്കാനും കഴിയും.
ഇത്തരത്തിലുള്ള ഡാറ്റയുടെ ദുരുപയോഗം ശ്രദ്ധയിൽ പെട്ടാൽ എഴുപത്തിരണ്ട് മണിക്കൂറിനുള്ളിൽ ഡാറ്റ പ്രൊട്ടക്ഷൻ കമ്മീഷനെയും ഡാറ്റ സബ്ജക്ടുകളേയും വിവരമറിയിക്കുകയും വേണ്ട നടപടികൾ എടുക്കുകയും വേണം എന്നാണ് ജി ഡി പി ആർ കർശ്ശനമായി തന്നെ നിർദ്ദേശിക്കുന്നത്. ഡാറ്റ സുരക്ഷയിലുണ്ടാവുന്ന പ്രശ്നങ്ങൾ വളരെ വലിയ ഒരു നിയമപ്രശ്നം തന്നെയാണ്. അതു കൊണ്ട് തന്നെ പൊതു മേഖലയിൽ പ്രവർത്തിക്കുകയോ, വലിയ രീതിയിലുള്ള ഡാറ്റ കൈകാര്യം ചെയ്യുകയോ ഒക്കെ ചെയ്യുന്ന എല്ലാ സ്ഥാപനങ്ങളും ഡാറ്റ പ്രൊട്ടക്ഷൻ ഓഫീസർ എന്ന ഒരു ഉദ്യോഗസ്ഥനെ നിയമിക്കേണ്ടതും അത്യാവശ്യമാണ്.
ഇന്ത്യയുടെ നിലപാട്
ജി ഡി പി ആർ, ജസ്റ്റിസ് ശ്രീകൃഷ്ണ കമ്മിറ്റി റിപ്പോർട്ട്, ആധാർ കേസുമായി ബന്ധപ്പെട്ട സ്വകാര്യതയെ പറ്റിയുള്ള സുപ്രീം കോടതി വിധിന്യായം, പുട്ടസ്വാമി കേസിലെ വിധിന്യായം എന്നിവയെയൊക്കെ അടിസ്ഥനപ്പെടുത്തി കേന്ദ്രസർക്കാർ കൊണ്ടു വന്ന ഒരു കരടു നിയമമാണ് “പേഴ്സണൽ ഡാറ്റാ പ്രൊട്ടക്ഷൻ ബിൽ – 2019” (PDPB-19). സ്വകാര്യത ഇന്ത്യയിൽ ഒരു മൗലികാവകാശം ആണ്. അതുകൊണ്ട് തന്നെ ഈ നിയമത്തിലും അതിൻ പ്രകാരമുള്ള ചില നിയന്ത്രണങ്ങളാണ് കൊണ്ടു വന്നിരിക്കുന്നത്. ജി ഡി പി ആറിനെ വച്ചു നോക്കുമ്പോൾ ഇന്ത്യൻ നിയമത്തിന്റെ പരിധി അല്പം കൂടി വലുതാണ് എന്ന് പറയാം. സ്വകാര്യ ഡാറ്റ പ്രോസസ് ചെയ്യുന്ന എല്ലാ പ്രസ്ഥാനങ്ങളും ഇന്ത്യൻ നിയമത്തിന്റെ പരിധിയിൽ വരും. എന്നാൽ ഇത്തരത്തിലുള്ള സ്ഥാപനങ്ങളെ നിയമത്തിന്റെ പരിധിയിൽ നിന്ന് ഒഴിവാക്കാൻ കേന്ദ്രസർക്കാറിന് ചില സവിശേഷ അധികാരങ്ങളും ഈ നിയമത്തിലുണ്ട്. ഇതല്പം വിവാദപരമായ ചില അധികാരങ്ങളുമാണ്. ജി ഡി പി ആർ സർക്കാർ സംവിധാനങ്ങൾക്ക് പ്രത്യേക അവകാശങ്ങൾ നൽകുന്നില്ല. എന്നാൽ ഇന്ത്യൻ നിയമം സ്വകാര്യവിവരങ്ങൾ അല്ലാത്ത മറ്റു ഡാറ്റകൾ കൈവശപ്പെടുത്തിന്നുന്നതിന് കേന്ദ്രസർക്കാറിന് വിപുലമായ അധികാരങ്ങൾ നൽകുന്നുണ്ട്. ഇന്ത്യൻ നിയമപ്രകാരം, സ്വകാര്യ ഡാറ്റയുടെ നിർവ്വചനം കുറച്ചു കൂടി വിപുലമാണ്. ഉദാഹരണത്തിന് സാമ്പത്തിക ഡാറ്റ ഇന്ത്യൻ നിയമപ്രകാരം സ്വകാര്യമാണ്. അതു പോലെ ജാതിവിവരവും സ്വകാര്യ ഡാറ്റയുടെ പരിധിയിൽ വരും. കൂടുതൽ ഡാറ്റാ കാറ്റഗറികൾ സ്വകാര്യഡാറ്റയുടെ പരിധിയിൽ കൊണ്ടു വരാനുള്ള അധികാരവും സർക്കാരിനുണ്ട്. ഇന്ത്യൻ നിയമത്തിന്റെ പ്രകടമായ ഒരു വ്യതിയാനം അനുമതി എന്ന ഭാഗത്താണ്. ജി ഡി പി ആർ സ്വകാര്യ ഡാറ്റയുടെ ഉപയോഗത്തിനൂള്ള അനുമതി കൃത്യമായി എടുത്തു പറയുമ്പോൾ ഇന്ത്യൻ നിയമത്തിൽ അനുമതിയേക്കാൾ കൂടുതൽ ഊന്നൽ നൽകുന്നത് സുതാര്യതയ്ക്കാണ്. ഇന്ത്യൻ നിയമത്തിൽ സ്വകാര്യ ഡാറ്റയുടെ കൃത്യത കുറച്ചു കൂടി വിപുലമായി പരാമർശിക്കപ്പെട്ടിട്ടുണ്ട്.
ലഭ്യമായ സ്വകാര്യ ഡാറ്റ വസ്തുതയാണോ (fact), അഭിപ്രായമാണോ (opinion), അതോ വിശകലനമാണോ (assessment) എന്നിവയുൾപ്പെടുന്ന വിവിധ ഘടകങ്ങൾക്കനുസരിച്ച് അതിന്റെ കൃത്യത കണക്കാക്കണം എന്നാണ് ഇന്ത്യൻ നിയമം പറയുന്നത്.
അതു പോലെ, വ്യക്തികളെ തിരിച്ചറിയാൻ കഴിയാത്ത വിധം ഡാറ്റ സൂക്ഷിക്കാൻ ജി ഡി പി ആർ അനുവദിക്കുമ്പോൾ ഇന്ത്യൻ നിയമം ഡാറ്റ പൂർണ്ണമായും ഒഴിവാക്കണം എന്ന് കർശനമായി നിർദ്ദേശിക്കുന്നുണ്ട്. ഏതൊക്കെ ആവശ്യങ്ങൾക്ക് ഡാറ്റ സൂക്ഷിക്കാം എന്നതിലും ഇന്ത്യൻ നിയമത്തിൽ ചില വ്യവസ്ഥകളുണ്ട്. ന്യായമായ ആവശ്യങ്ങൾക്ക് സ്വകാര്യ ഡാറ്റ ഉപയോഗിക്കാം എന്ന വ്യവസ്ഥ ഉണ്ടെങ്കിൽ കൂടി അത് ഒരു റെഗുലേഷനിലൂടെ നിയന്ത്രിതമായിരിക്കും. ആരോഗ്യം, സുരക്ഷ, തൊഴിൽ ആവശ്യങ്ങൾ എന്നിവയ്ക്ക് സ്വകാര്യഡാറ്റ ഉപയോഗിക്കാനുള്ള അനുമതി ഈ നിയമപ്രകാരം ലഭ്യമാണ്. ഇന്ത്യൻ നിയമപ്രകാരമുള്ള “അനുമതി” ജി ഡി പി ആറിനേക്കാൾ കുറേക്കൂടി അയവുള്ളതാണ്. അതു പോലെ തന്നെ വിമർശിക്കപ്പെടുന്നതുമാണ്. വ്യത്യസ്തങ്ങളായ ആവശ്യങ്ങൾക്ക് ഉപയോഗിക്കപ്പെടുന്ന ഡാറ്റയുടെ പ്രത്യേകമായുള്ള അനുമതി ഇന്ത്യൻ നിയമത്തിൽ നിഷ്ക്കർഷിക്കുന്നില്ല. എന്നാൽ പി ഡി പി ബി, ഇത്തരം ഡാറ്റ കൈകാര്യം ചെയ്യുന്ന പ്രോസസർമാരുടെ കാര്യത്തിൽ വളരെ കർക്കശമായ ചില നിയന്ത്രണങ്ങൾ മുന്നോട്ട് വയ്ക്കുന്നുണ്ട്. മാർക്കറ്റിങ്ങ്, പ്രോഡക്ട് ഡെവലപ്മെന്റ് തുടങ്ങിയ ആവശ്യങ്ങൾക്ക് ജി ഡി പി ആർ ചില ഇളവുകളോടെ അനുമതി ലഭ്യമാക്കുമ്പോൾ, പി ഡി പി ബി ഇത്തരം ആനുകൂല്യങ്ങൾ ഒന്നും തന്നെ നൽകുന്നില്ല. സെൻസിറ്റീവ് ഡാറ്റയുടെ തൊഴിൽപരമായ ഉപയോഗങ്ങളുടെ നിയന്ത്രണങ്ങൾ തൊഴിൽ ദാതാക്കളിൽ കൂടുതൽ സമ്മർദ്ദം ഉണ്ടാക്കും എന്ന് വേണമെങ്കിൽ പറയാം. ജി ഡി പി ആറിൽ നിന്നുള്ള മറ്റൊരു പ്രകടമായ മാറ്റം, “കുട്ടി” എന്ന പദത്തിന്റെ നിർവ്വചനമാണ്. ജി ഡി പി ആർ അനുസരിച്ച് 16 വയസ്സിനു താഴെ ഉള്ള ഒരാളാണ് കുട്ടിയെങ്കിൽ പി ഡി പി ബി അനുസരിച്ച് അത് 18 വയസ്സിനു താഴെയുള്ളവരാണ്. അതുമായി ബന്ധപ്പെട്ട നിബന്ധനകളും കൂടുതൽ കർക്കശമാണ്. ഇങ്ങനെ ഒട്ടനവധി മേഖലകളിൽ പുതിയ ഇന്ത്യൻ നിയമം ജി ഡി പി ആറിനേക്കാൾ കൂടുതൽ കർക്കശവും ഗവണ്മെന്റിന് കൂടുതൽ അധികാരങ്ങൾ നൽകുന്നതുമാണ്. ഇതിന്റെ ഗുണദോഷങ്ങൾ ചിന്തിക്കുന്നതിനു മുൻപു തന്നെ നമ്മുടെ സമൂഹം ഇതിനു വേണ്ടി തയ്യാറെടുത്തിട്ടുണ്ടോ എന്ന് ചിന്തിക്കുന്നതു നന്നായിരിക്കും.
എഴുതിയെഴുതി ഞാൻ തളർന്നതിനാലും വായിച്ചു നിങ്ങളുടെ കിളി പോയിട്ടുള്ളതിനാലും ബാക്കി കാര്യങ്ങൾ അടുത്ത ലക്കത്തിൽ പറയാം
(ലേഖനത്തിന്റെ രണ്ടാം ഭാഗം – രഹസ്യമോ പരസ്യമോ? വായിക്കാം)
ഡാറ്റയാണ് താരം ലേഖനപരമ്പര | |
1 | ഡാറ്റയാണ് താരം ഭാഗം 1 |
2 | രഹസ്യമോ ? പരസ്യമോ ? ഭാഗം 2 |
3 | ഡാറ്റയുടെ ജനാധിപത്യം ഭാഗം 3 |
ലൂക്കയിലെ മറ്റു ലേഖനങ്ങള്