कौन पूछ रहा है? लातविया के DVI ने सार्वजनिक डेटा संग्रह के लिए पारदर्शिता नियमों को स्पष्ट किया

क्या आपने कभी अपने सोशल मीडिया फीड को स्क्रॉल करते हुए किसी ऐसी प्रतियोगिता या इवेंट पंजीकरण को देखा है जो थोड़ा अस्पष्ट लगा हो? शायद यह एक स्थानीय फोटोग्राफी प्रतियोगिता थी या किसी नए तकनीकी गैजेट के लिए गिवअवे था, लेकिन इसे पोस्ट करने वाली प्रोफाइल गुमनाम थी, या संगठन का नाम इतना संक्षिप्त था कि उसे पहचाना नहीं जा सकता था। एक पत्रकार के रूप में जो अपना दिन गोपनीयता नीतियों के बारीक विवरणों का विश्लेषण करने में बिताता है, ये वे क्षण होते हैं जहाँ मेरी आंतरिक खतरे की घंटी बजने लगती है। डेटा सुरक्षा की दुनिया में, स्पष्ट पहचान के बिना व्यक्तिगत डेटा जमा करने का निमंत्रण केवल खराब मार्केटिंग नहीं है—यह एक नियामक रेड फ्लैग (चेतावनी) है।

19 मार्च, 2026 को, लातवियाई डेटा संरक्षण प्राधिकरण (DVI) ने इसी सटीक मुद्दे को संबोधित किया। एक नए मार्गदर्शन लेख में, DVI ने उन संगठनों के लिए पारदर्शिता दायित्वों को स्पष्ट किया जो सार्वजनिक घोषणाएं जारी करते हैं और व्यक्तियों को व्यक्तिगत डेटा जमा करने के लिए आमंत्रित करते हैं। यह कदम उन व्यक्तियों की बढ़ती शिकायतों की सीधी प्रतिक्रिया के रूप में आया है जिन्हें लगा कि उन्हें "भूतों" के साथ अपनी जानकारी साझा करने के लिए लुभाया जा रहा है। अनुपालन के दृष्टिकोण से, DVI हमें याद दिला रहा है कि भले ही डिजिटल दुनिया क्षणभंगुर महसूस होती है, लेकिन डेटा की जिम्मेदारी स्थायी है।

सार्वजनिक घोषणाओं में पहचान का संकट

सामान्य डेटा संरक्षण विनियमन (GDPR) के ढांचे के तहत, पारदर्शिता केवल एक सुझाव नहीं है; यह एक मौलिक स्तंभ है। अनुच्छेद 12, 13 और 14 यह निर्देश देते हैं कि व्यक्तियों को हमेशा पता होना चाहिए कि उनके डेटा को कौन संसाधित कर रहा है और उन तक कैसे पहुँचा जाए। मजे की बात यह है कि कई संगठन अभी भी इस धारणा के तहत काम करते हैं कि एक आकर्षक पोस्टर या सोशल मीडिया कैप्शन उन्हें इन सख्त आवश्यकताओं से छूट देता है।

DVI का हालिया मार्गदर्शन इस अस्पष्टता को दूर करता है। प्राधिकरण ने नोट किया कि कई सार्वजनिक घोषणाएं वर्तमान में गैर-अनुपालनकारी हैं क्योंकि उनमें बुनियादी पहचानकर्ताओं की कमी है। चाहे वह अधूरा नाम हो या किसी ऐसी प्रोफाइल से पोस्ट हो जिसका किसी कानूनी इकाई से कोई स्पष्ट संबंध न हो, ये प्रथाएं एक अपारदर्शी वातावरण बनाती हैं जहाँ डेटा विषय (व्यक्ति) असुरक्षित रह जाता है। दूसरे शब्दों में, अपनी पहचान बताए बिना डेटा मांगना किसी नकाबपोश व्यक्ति को अपने घर की चाबियाँ सौंपने के लिए कहने जैसा है।

वास्तव में कौन सी जानकारी आवश्यक है?

DVI की घोषणा से सबसे व्यावहारिक निष्कर्षों में से एक यह स्पष्टीकरण है कि संगठनों को अपने सार्वजनिक पोस्ट में विशिष्ट शब्द "नियंत्रक" (controller) का उपयोग करने की आवश्यकता नहीं है। हालांकि GDPR एक मजबूत कानूनी दस्तावेज है, सार्वजनिक सामग्री में इसका अनुप्रयोग सूक्ष्म और सुलभ होना चाहिए।

कठोर शब्दावली के बजाय, DVI दो महत्वपूर्ण जानकारियों के स्पष्ट रूप से दिखाई देने की अपेक्षा करता है:

1. पूर्ण कानूनी नाम: संगठन को अपना पूरा, आधिकारिक नाम बताना चाहिए। संक्षिप्त नाम या "ट्रेडिंग एज़" नाम जिन्हें आसानी से ट्रैक नहीं किया जा सकता, अपर्याप्त हैं।
2. संपर्क विवरण: व्यक्ति के लिए अधिक जानकारी प्राप्त करने का एक स्पष्ट मार्ग होना चाहिए। इसमें पंजीकरण संख्या, कानूनी पता, या व्यापक गोपनीयता नीति का सीधा लिंक शामिल हो सकता है।

एक संपादक के रूप में अपने काम में, मैं अक्सर उन सामग्रियों पर डिजिटल स्वच्छता का सिद्धांत लागू करता हूँ जिनकी मैं समीक्षा करता हूँ। यदि मैं तीन क्लिक के भीतर डेटा अनुरोध के स्रोत को सत्यापित नहीं कर सकता, तो वह अनुरोध मौलिक रूप से त्रुटिपूर्ण है। संगठन इवेंट के नियमों के सीधे लिंक या गोपनीयता-संरक्षण वाले लैंडिंग पेज को शामिल करके अपने पारदर्शिता दायित्वों को पूरा कर सकते हैं जिसमें संग्रह-पूर्व की सभी आवश्यक जानकारी मौजूद हो।

गुमनाम डेटा संग्रह का खतरा

DVI ने कई अनुचित प्रथाओं पर प्रकाश डाला जो अब नियामक जांच के दायरे में हैं। गुमनाम प्रोफाइल से पोस्ट करना शायद सबसे गंभीर उल्लंघन है। नियामक संदर्भ में, एक गुमनाम प्रोफाइल जवाबदेही में बाधा के रूप में कार्य करती है। यदि डेटा उल्लंघन होता है—जिसे मैं अक्सर तेल रिसाव (oil spill) के समान मानता हूँ—तो प्रभावित व्यक्तियों के पास यह जानने का कोई तरीका नहीं होगा कि किसे जिम्मेदार ठहराया जाए या वे भूल जाने के अपने अधिकार (right to be forgotten) का प्रयोग कहाँ करें।

मुझे "पॉप-अप" वेबिनार की एक श्रृंखला की जांच याद है जो पेशेवर संपर्क विवरण एकत्र कर रहे थे। इनमें से कई आयोजकों ने बिना किसी अंतर्निहित कानूनी इकाई के "ग्लोबल टेक इनसाइट्स" जैसे सामान्य नामों का उपयोग किया। जब मैंने गहराई से जांच की, तो मुझे पता चला कि डेटा को सेकेंडरी मार्केट में भेजा जा रहा था। यही कारण है कि DVI का रुख इतना महत्वपूर्ण है: यह डेटा एकत्र करने वाले को संपर्क के पहले बिंदु से ही पारदर्शी होने के लिए मजबूर करता है।

एक दिशा सूचक यंत्र के रूप में अनुपालन

संगठनों के लिए, अनुपालन को बाधा के बजाय दिशा सूचक यंत्र (कंपस) के रूप में देखना महत्वपूर्ण प्रतिष्ठा क्षति को बचा सकता है। जब कोई कंपनी अपनी पहचान के बारे में पारदर्शी होती है, तो वह विश्वास की नींव बनाती है। इसके विपरीत, डेटा संग्रह प्रयास के पीछे कौन है, इस बारे में अस्पष्ट होना संगठन को ऐसा दिखाता है जैसे उसके पास छिपाने के लिए कुछ है। अनिवार्य रूप से, DVI बिजनेस कार्ड के डिजिटल समकक्ष की मांग कर रहा है।

अंतरराष्ट्रीय डेटा हस्तांतरण या क्षेत्रातीत पहुंच की जटिलताओं के बावजूद, इस मार्गदर्शन का मूल सरल है: आप कौन हैं, इस बारे में ईमानदार रहें। यदि आप रीगा में एक प्रतियोगिता या जुर्मला में एक कार्यक्रम चला रहे हैं, तो आपके दर्शकों को यह जानने का अधिकार है कि उनका डेटा वास्तव में किसके हाथों में जा रहा है।

आपकी अगली घोषणा के लिए व्यावहारिक चेकलिस्ट

यह सुनिश्चित करने के लिए कि आपका संगठन DVI की अपेक्षाओं के अनुरूप बना रहे, अपने अगले सार्वजनिक डेटा अनुरोध के लिए इस व्यवस्थित दृष्टिकोण पर विचार करें:

• नाम सत्यापित करें: क्या घोषणा में एंटरप्राइज रजिस्टर के साथ पंजीकृत पूर्ण कानूनी नाम का उपयोग किया गया है?
• लिंक का परीक्षण करें: यदि आप गोपनीयता नीति के लिंक का उपयोग कर रहे हैं, तो क्या यह मोबाइल उपकरणों पर काम करता है जहाँ अधिकांश सोशल मीडिया ब्राउज़िंग होती है?
• प्रोफाइल की जाँच करें: क्या सोशल मीडिया अकाउंट सत्यापित है या आपकी आधिकारिक वेबसाइट से स्पष्ट रूप से जुड़ा हुआ है?
• अनुरोध को न्यूनतम करें: डेटा न्यूनीकरण (data minimization) लागू करें। क्या आपको वास्तव में न्यूज़लेटर साइन-अप के लिए उनके फोन नंबर की आवश्यकता है, या ईमेल ही पर्याप्त है?

अंततः, DVI का मार्गदर्शन एक अनुस्मारक के रूप में कार्य करता है कि गोपनीयता एक मौलिक मानवाधिकार है, न कि किसी परियोजना के अंत में टिक किया जाने वाला चेकबॉक्स। स्पष्ट पहचान प्रदान करके, संगठन अनिश्चित डेटा प्रथाओं से दूर होकर एक अधिक परिष्कृत, भरोसेमंद डिजिटल पारिस्थितिकी तंत्र की ओर बढ़ते हैं।

स्रोत:

• Latvian State Data Inspectorate (Datu valsts inspekcija - DVI) Official Article, March 2026.
• General Data Protection Regulation (GDPR), Articles 12, 13, and 14.
• Official Guidance on Transparency and Controller Identification in Public Space.