जब UK ने जनवरी 2021 में औपचारिक रूप से EU डेटा संरक्षण कानून से अलग हुआ, तो कई संगठनों ने माना कि यह संक्रमण प्रशासनिक होगा। GDPR को रीब्रांड करें, एक स्थानीय प्रतिनिधि नियुक्त करें, गोपनीयता सूचना को अपडेट करें। जो हुआ वह कुछ अधिक मांग वाला था। Information Commissioner's Office ने कानून की शुरूआत के बाद के वर्षों में GDPR से संबंधित दंड में लगभग £65 मिलियन जारी किए। Capita को अक्टूबर 2025 में एकल दंड में £14 मिलियन मिला। ICO ने मार्च 2024 में अद्यतन जुर्माना मार्गदर्शन प्रकाशित किया जिसने उल्लंघन से अधिकतम दंड तक के मार्ग को अधिक व्यवस्थित बना दिया। और 19 जून 2025 को, Data (Use and Access) Act को Royal Assent प्राप्त हुआ, जो Brexit के बाद से UK डेटा संरक्षण कानून में सबसे महत्वपूर्ण संशोधन लाया: नई वैध रुचि श्रेणियां, सुधारित कुकी सहमति नियम, अद्यतन स्वचालित निर्णय लेने के प्रावधान, और मजबूत शिकायत निपटान दायित्व।
जबकि UK GDPR अपने EU समकक्ष को करीब से प्रतिबिंबित करता है, यह अपने स्वयं के पर्यवेक्षी प्राधिकरण, स्थानांतरण तंत्र और विकसित सुधार एजेंडा के साथ एक अलग नियामक ढांचा है। UK निवासियों के व्यक्तिगत डेटा को संसाधित करने वाले किसी भी संगठन के लिए, चाहे वह लंदन में हो या लॉस एंजिल्स में, यह समझना कि UK GDPR वास्तव में क्या आवश्यक है, यह किस पर लागू होता है, और व्यवहार में गैर-अनुपालन की लागत क्या है, अब वैकल्पिक पृष्ठभूमि पठन नहीं है। यह गाइड वह नींव प्रदान करती है।
UK GDPR किस पर लागू होता है?
UK GDPR किसी भी संगठन पर लागू होता है जो UK निवासियों के व्यक्तिगत डेटा को संसाधित करता है, चाहे वह संगठन कहीं भी स्थित हो। UK ग्राहकों वाली एक US सॉफ्टवेयर कंपनी को अनुपालन करना होगा। यूनाइटेड किंगडम में निवासी व्यक्तियों के डेटा को संसाधित करने वाले EU व्यवसाय को अनुपालन करना होगा। विनियमन डेटा नियंत्रकों पर लागू होता है, जो प्रसंस्करण के उद्देश्यों और साधनों को निर्धारित करते हैं, और डेटा प्रोसेसर पर, जो नियंत्रकों की ओर से डेटा संसाधित करते हैं। दोनों अलग-अलग दायित्व वहन करते हैं और दोनों पर जुर्माना लगाया जा सकता है।
क्षेत्रीय दायरा दो शर्तों द्वारा पुष्ट किया जाता है: प्रसंस्करण UK प्रतिष्ठान के संदर्भ में किया जाता है, या प्रसंस्करण UK डेटा विषयों को वस्तुओं या सेवाओं की पेशकश से संबंधित है, या UK में उनके व्यवहार की निगरानी से। UK के बाहर स्थित संगठन जो किसी भी शर्त को पूरा करते हैं, उन्हें UK प्रतिनिधि नियुक्त करना होगा जब तक कि वे छूट के लिए योग्य न हों। 2021 से, ICO ने गैर-UK संस्थाओं के खिलाफ प्रवर्तन जारी रखा है, जिसमें Clearview AI के खिलाफ £7.5 मिलियन का दंड और UK बाजारों में अनुपालन बुनियादी ढांचे के बिना काम करने वाले कई US डेटा ब्रोकरों के खिलाफ नियामक कार्रवाई शामिल है।
UK GDPR के सात मुख्य सिद्धांत
UK GDPR के अनुच्छेद 5 में सात सिद्धांत निर्धारित किए गए हैं जो सभी व्यक्तिगत डेटा प्रसंस्करण को नियंत्रित करते हैं। ये आकांक्षात्मक दिशानिर्देश नहीं हैं। मूल सिद्धांतों का उल्लंघन प्रशासनिक जुर्माने का उच्चतम स्तर वहन करता है: £17.5 मिलियन या वैश्विक वार्षिक कारोबार का 4 प्रतिशत तक, जो भी अधिक हो। किसी संगठन द्वारा की जाने वाली प्रत्येक डेटा प्रसंस्करण गतिविधि निम्नलिखित सभी सात सिद्धांतों के तहत रक्षात्मक होनी चाहिए।
| सिद्धांत | यह क्या आवश्यक है | व्यावसायिक जोखिम |
|---|---|---|
| वैधता, निष्पक्षता और पारदर्शिता | प्रसंस्करण के लिए स्पष्ट कानूनी आधार; कोई भ्रामक डेटा प्रथाएं नहीं | £17.5m / 4% वैश्विक कारोबार |
| उद्देश्य सीमा | डेटा केवल निर्दिष्ट, स्पष्ट, वैध उद्देश्यों के लिए उपयोग किया जाता है | ICO प्रवर्तन नोटिस + जुर्माना |
| डेटा न्यूनीकरण | केवल वही एकत्र करें जो पर्याप्त, प्रासंगिक और आवश्यक है | फटकार + अनुपालन आदेश |
| सटीकता | व्यक्तिगत डेटा को अद्यतन रखें; तुरंत मिटाएं या सुधारें | मुआवजा दावे + जुर्माना |
| भंडारण सीमा | आवश्यकता से अधिक समय तक डेटा रखें नहीं | ICO ऑडिट + प्रवर्तन |
| अखंडता और गोपनीयता | तकनीकी और संगठनात्मक सुरक्षा उपाय आवश्यक | £17.5m तक (Capita: £14m) |
| जवाबदेही | अनुपालन प्रदर्शित करें; ROPA बनाए रखें | ऑडिट विफलता = तत्काल जुर्माना |
जवाबदेही सिद्धांत विशेष ध्यान देने योग्य है क्योंकि यह वह तंत्र है जिसके माध्यम से सभी अन्य को लागू किया जाता है। UK GDPR के तहत जवाबदेही निष्क्रिय नहीं है: संगठनों को सक्रिय रूप से अनुपालन प्रदर्शित करना होगा, प्रसंस्करण गतिविधियों का रिकॉर्ड (ROPA) बनाए रखना होगा, उच्च जोखिम वाले प्रसंस्करण के लिए डेटा संरक्षण प्रभाव मूल्यांकन (DPIAs) करना होगा, और जहां आवश्यक हो एक डेटा संरक्षण अधिकारी (DPO) नियुक्त करना होगा। ICO किसी भी समय इन गतिविधियों के साक्ष्य का अनुरोध कर सकता है, और इसे प्रस्तुत करने में विफलता स्वतंत्र रूप से एक उल्लंघन का गठन करती है।
प्रसंस्करण के लिए वैध आधार
प्रत्येक प्रसंस्करण गतिविधि के लिए एक वैध आधार की आवश्यकता होती है। UK GDPR छह प्रदान करता है: सहमति, अनुबंध, कानूनी दायित्व, महत्वपूर्ण हित, सार्वजनिक कार्य, और वैध हित। वैध आधार का चुनाव विनिमेय नहीं है और प्रसंस्करण शुरू होने से पहले निर्धारित किया जाना चाहिए। तथ्य के बाद वैध आधार बदलने की अनुमति नहीं है।
UK GDPR के तहत सहमति स्वतंत्र रूप से दी गई, विशिष्ट, सूचित और स्पष्ट होनी चाहिए। पूर्व-चिह्नित बॉक्स, बंडल सहमति, और सेवा की शर्त के रूप में प्राप्त सहमति मानक को पूरा नहीं करती। सहमति को वापस लेना उतना ही आसान होना चाहिए जितना देना। Data (Use and Access) Act 2025 ने कुकी सहमति नियमों को अद्यतन किया है, पांच अपवाद पेश किए हैं जहां सहमति की आवश्यकता नहीं है, जिसमें उपयोगकर्ता द्वारा अनुरोध की गई सेवा के लिए सख्ती से आवश्यक कुकीज, सांख्यिकीय उद्देश्य, और आपातकालीन सहायता शामिल हैं। हालांकि, विज्ञापन, इन अपवादों से परे विश्लेषण, और वैयक्तिकरण कुकीज को स्पष्ट ऑप्ट-इन सहमति की आवश्यकता जारी रहती है।
वैध हितों को अक्सर गलत तरीके से लागू किया जाता है। इसके लिए तीन-भाग के मूल्यांकन की आवश्यकता होती है: एक वैध हित की पहचान करना, प्रदर्शित करना कि प्रसंस्करण उस हित के लिए आवश्यक है, और डेटा विषय के अधिकारों के खिलाफ इसे संतुलित करना। DUAA 2025 ने मान्यता प्राप्त वैध हितों की एक सूची पेश की जहां संतुलन परीक्षण संतुष्ट माना जाता है, जिसमें धोखाधड़ी रोकथाम, नेटवर्क सुरक्षा, और मौजूदा ग्राहकों को सीधे विपणन शामिल है। इन श्रेणियों के बाहर, एक प्रलेखित संतुलन परीक्षण अनिवार्य है।
UK GDPR के तहत व्यक्तिगत अधिकार
UK GDPR डेटा विषयों पर आठ लागू करने योग्य अधिकार प्रदान करता है। संगठनों को एक महीने के भीतर अनुरोधों का जवाब देना होगा, जटिल अनुरोधों के लिए दो महीने तक विस्तारयोग्य। जवाब देने में विफलता अपने आप में एक उल्लंघन है जो ICO शिकायतों और प्रवर्तन कार्रवाई को ट्रिगर कर सकता है।
पहुंच का अधिकार (DSAR): व्यक्ति उनके बारे में रखे गए सभी व्यक्तिगत डेटा का अनुरोध कर सकते हैं। संगठनों को अधिकांश परिस्थितियों में निःशुल्क एक प्रति प्रदान करनी होगी। DUAA 2025 ने 'घड़ी रोको' सिद्धांत को संहिताबद्ध किया: प्रतिक्रिया समयसीमा रुक जाती है जब डेटा विषय से स्पष्टीकरण का अनुरोध किया जाता है।
मिटाने का अधिकार: 'भुलाए जाने का अधिकार' भी कहा जाता है, यह व्यक्तियों को परिभाषित परिस्थितियों में व्यक्तिगत डेटा को हटाने का अनुरोध करने की अनुमति देता है, जिसमें सहमति वापस ली जाती है या डेटा अब आवश्यक नहीं है।
पोर्टेबिलिटी का अधिकार: व्यक्ति किसी अन्य नियंत्रक को स्थानांतरण के लिए मशीन-पठनीय प्रारूप में व्यक्तिगत डेटा का अनुरोध कर सकते हैं, जहां प्रसंस्करण सहमति या अनुबंध पर आधारित है।
आपत्ति का अधिकार: व्यक्ति वैध हितों या सीधे विपणन के आधार पर प्रसंस्करण पर आपत्ति कर सकते हैं। सीधे विपणन पर आपत्तियों को हमेशा तुरंत सम्मानित किया जाना चाहिए।
स्वचालित निर्णय लेने से संबंधित अधिकार: DUAA 2025 ने गैर-संवेदनशील डेटा के लिए वैध हितों के आधार पर AI-आधारित स्वचालित निर्णयों की अनुमति देने वाले नए नियम पेश किए, मानव हस्तक्षेप अधिकारों सहित सुरक्षा उपायों के साथ।
डेटा उल्लंघन अधिसूचना आवश्यकताएं
UK GDPR सख्त उल्लंघन रिपोर्टिंग दायित्व लागू करता है। जहां व्यक्तिगत डेटा उल्लंघन व्यक्तियों के अधिकारों और स्वतंत्रता के लिए जोखिम पैदा करता है, संगठन के उल्लंघन के बारे में जागरूक होने के 72 घंटों के भीतर ICO को सूचित किया जाना चाहिए। जहां उल्लंघन से व्यक्तियों को उच्च जोखिम होने की संभावना है, प्रभावित डेटा विषयों को भी बिना अनुचित देरी के सूचित किया जाना चाहिए।
72 घंटे की घड़ी तब शुरू होती है जब संगठन जागरूक हो जाता है, न कि जब उल्लंघन की पूरी तरह से जांच की जाती है। इसलिए संगठनों के पास इस समयसीमा को पूरा करने में सक्षम घटना का पता लगाने, वृद्धि और रिपोर्टिंग बुनियादी ढांचा होना चाहिए। Capita उल्लंघन, जिसके परिणामस्वरूप अक्टूबर 2025 में £14 मिलियन का जुर्माना हुआ, में अपर्याप्त सुरक्षा उपाय और विलंबित घटना प्रतिक्रिया दोनों शामिल थे: ICO ने स्पष्ट रूप से संयोजन को अपने दंड गणना में बढ़ाने वाले कारकों के रूप में उद्धृत किया।
अंतर्राष्ट्रीय डेटा स्थानांतरण
UK के बाहर व्यक्तिगत डेटा स्थानांतरित करने के लिए उचित सुरक्षा उपायों की आवश्यकता होती है। UK के पास अपना पर्याप्तता ढांचा है, और उसने EEA, EU सदस्य राज्यों और कई तीसरे देशों को कवर करते हुए पर्याप्तता निर्णय जारी किए हैं। अन्य गंतव्यों में स्थानांतरण के लिए, संगठनों को अंतर्राष्ट्रीय डेटा स्थानांतरण समझौतों (IDTAs), EU मानक संविदात्मक खंडों के लिए UK परिशिष्ट, या बाध्यकारी कॉर्पोरेट नियमों का उपयोग करना होगा। UK-US Data Bridge, 2023 में स्थापित, भाग लेने वाले US संगठनों को स्थानांतरण के लिए एक तंत्र प्रदान करता है। संगठनों को यह नहीं मानना चाहिए कि EU GDPR स्थानांतरण तंत्र स्वचालित रूप से UK GDPR आवश्यकताओं को पूरा करते हैं: ढांचे अलग हैं, और ICO मार्गदर्शन लागू होता है।
व्यावहारिक कार्यान्वयन के लिए, एक सहमति प्रबंधन मंच (CMP) जो अंतर्राष्ट्रीय सहमति समन्वयन को संभालता है और वैध स्थानांतरण तंत्र का दस्तावेजीकरण करता है, एक महत्वपूर्ण अनुपालन परत प्रदान करता है, यह सुनिश्चित करते हुए कि UK में दर्ज डेटा विषय सहमति गैर-पर्याप्त देशों में प्रोसेसर द्वारा डाउनस्ट्रीम प्रसंस्करण में ठीक से प्रतिबिंबित होती है।
UK GDPR गैर-अनुपालन की वास्तविक लागत
ICO ने 2019 और सितंबर 2025 के बीच लगभग £65 मिलियन के कुल 16 UK GDPR जुर्माने जारी किए। निम्नलिखित तालिका सबसे महत्वपूर्ण दंड और उन्हें ट्रिगर करने वाले उल्लंघनों को सारांशित करती है।
| संगठन | जुर्माना | वर्ष | उल्लंघन |
|---|---|---|---|
| Capita plc + Capita Pension Solutions | £14 मिलियन | अक्टूबर 2025 | रैंसमवेयर उल्लंघन; 6.6m डेटा विषय |
| Advanced Computer Software Group | £3.07 मिलियन | 2025 | रैंसमवेयर कमजोरियां; NHS डेटा |
| British Airways | £20 मिलियन | 2020 | डेटा उल्लंघन; 400,000 ग्राहक प्रभावित |
| Clearview AI | £7.5 मिलियन | 2022 | इंटरनेट से गैरकानूनी बायोमेट्रिक स्क्रैपिंग |
वित्तीय दंड केवल वास्तविक लागत का एक हिस्सा दर्शाते हैं। प्रसंस्करण प्रतिबंध, अनुपालन आदेश, और डेटा प्रवाह के निलंबन सहित गैर-वित्तीय प्रवर्तन उपाय जुर्माने की तुलना में संचालन को अधिक गंभीर रूप से बाधित कर सकते हैं। सार्वजनिक ICO प्रवर्तन नोटिस से प्रतिष्ठा क्षति ग्राहक मंथन, भागीदार संबंध बिगड़ना, और उद्यम अनुबंध हानि को चलाती है। Ponemon Institute के शोध में लगातार पाया गया है कि डेटा उल्लंघन की कुल लागत, जिसमें पहचान, अधिसूचना, नियामक प्रतिक्रिया और व्यापार व्यवधान शामिल है, नियामक जुर्माने से तीन से पांच के कारक से अधिक है।
2026 में UK GDPR अनुपालन बुनियादी ढांचा कैसा दिखता है
2026 में प्रभावी UK GDPR अनुपालन के लिए गोपनीयता नीति और कुकी बैनर से अधिक की आवश्यकता है। इसके लिए प्रलेखित प्रक्रियाओं, तकनीकी नियंत्रण और चल रही परिचालन क्षमता की आवश्यकता है। ICO की 2025 ऑनलाइन ट्रैकिंग रणनीति ने विशेष रूप से सहमति कार्यान्वयन की जांच बढ़ा दी है, इस पर ध्यान केंद्रित करते हुए कि क्या सहमति रिकॉर्ड वास्तव में व्यक्तिगत स्तर पर वैध सहमति प्रदर्शित कर सकते हैं।
एक सहमति प्रबंधन मंच (CMP) जो वैध सहमति से पहले गैर-आवश्यक कुकीज़ को ब्लॉक करता है, विस्तृत टाइमस्टैम्प सहमति रिकॉर्ड बनाए रखता है, और वेब और ऐप वातावरण में प्राथमिकताओं को समन्वयित करता है, अब ऑनलाइन व्यक्तिगत डेटा एकत्र करने वाले किसी भी UK संगठन के लिए आधारभूत बुनियादी ढांचा है। ICO ने जनवरी 2025 से IAB Tech Lab के साथ डेटा विलोपन अनुरोध ढांचे पर संलग्न किया है, यह मजबूत करते हुए कि सहमति वापसी केवल प्रथम-पक्ष नियंत्रक तक ही नहीं, बल्कि विज्ञापन तकनीक पारिस्थितिकी तंत्र में तीसरे पक्षों तक फैलनी चाहिए।
सहमति से परे, संगठनों को सभी प्रसंस्करण गतिविधियों को कवर करने वाला वर्तमान ROPA बनाए रखना होगा, जहां आवश्यक हो DPO नियुक्त करना होगा, उच्च जोखिम वाली परियोजनाओं के लिए DPIAs करना होगा, डेटा संरक्षण दायित्वों पर कर्मचारियों को प्रशिक्षित करना होगा, और एन्क्रिप्शन, पहुंच नियंत्रण, और उल्लंघन का पता लगाने की क्षमता सहित तकनीकी नियंत्रण लागू करना होगा। Cyber Security Breaches Survey 2025 में पाया गया कि 43 प्रतिशत UK व्यवसायों ने पिछले बारह महीनों में उल्लंघन या हमलों का अनुभव किया, जो लगभग 612,000 संगठनों के बराबर है जिन्हें उल्लंघन अधिसूचना मूल्यांकन की आवश्यकता है।
Data (Use and Access) Act 2025, 5 फरवरी 2026 से पूरी तरह से लागू, Brexit के बाद से UK डेटा संरक्षण कानून में सबसे महत्वपूर्ण अद्यतन का प्रतिनिधित्व करता है। जिन संगठनों ने DUAA 2025 परिवर्तनों के खिलाफ अपने अनुपालन कार्यक्रमों की समीक्षा नहीं की है, विशेष रूप से वैध हितों, कुकी सहमति अपवादों, स्वचालित निर्णय लेने, और शिकायत निपटान दायित्वों पर, उन्हें इसे एक तत्काल प्राथमिकता के रूप में मानना चाहिए। ICO का अद्यतन जुर्माना मार्गदर्शन, मार्च 2024 में प्रकाशित, उल्लंघन से अधिकतम दंड तक के मार्ग को अधिक व्यवस्थित बनाता है, और 2025 के माध्यम से प्रवर्तन रिकॉर्ड प्रदर्शित करता है कि प्राधिकरण क्षेत्रों में पर्याप्त दंड लगाने के लिए तैयार है।
जो संगठन UK GDPR को सबसे प्रभावी ढंग से नेविगेट करते हैं, वे वे हैं जो डेटा संरक्षण को कानूनी ओवरहेड के बजाय परिचालन बुनियादी ढांचे के रूप में मानते हैं। UK-निवासी डेटा विषयों के लिए, UK GDPR के साथ अनुपालन वैकल्पिक नहीं है; यह 67 मिलियन लोगों के बाजार में व्यापार करने की कीमत है जिनके डेटा अधिकार सक्रिय रूप से लागू किए जाते हैं। मजबूत सहमति प्रबंधन बुनियादी ढांचे को लागू करना, व्यापक दस्तावेज बनाए रखना, और उल्लंघन प्रतिक्रिया क्षमता का निर्माण करना अनुपालन लागत नहीं हैं; वे स्थायी डेटा संचालन की नींव हैं।
सहमति प्रौद्योगिकी और अनुपालन ढांचे पर आगे पढ़ने के लिए, देखें Marketing Compliance Technology: How Brands Are Navigating GDPR, Privacy Regulations and Brand Safety at Scale और Consent Management Platforms: GDPR, CCPA Compliance and the Technology of Consumer Choice।
