privacy-and-online-law
अधिग्रहण के दौरान डेटा गोपनीयता कानूनों के अनुपालन को सुनिश्चित करने के लिए कैसे
Table of Contents
Evolving नियामक लैंडस्केप और इसके प्रभाव पर सौदा संरचनाओं
डेटा गोपनीयता कानून समान नहीं हैं; वे अधिकार क्षेत्र में भिन्न होते हैं और अक्सर ओवरलैप करते हैं। यह समझना कि कौन कानून लक्ष्य कंपनी पर लागू होते हैं - और अधिग्रहणकर्ता के लिए - किसी भी अनुपालन रणनीति में पहला कदम है। सबसे प्रभावशाली ढांचे में ] General Data Protection Regulation (GDPR) ], यूरोपीय आर्थिक क्षेत्र में California Consumer गोपनीयता अधिनियम (CCCPA) ]]]], जैसे कि [FLT:]]], [FLT], [FLT], [FLT], [F]], [FLT], [F]]]], [FLT, [F, [FLT]]]]], [FLT [FLT]]]]]]]], [FLT [F[F[FLT]]]]]]]]]]]]]]]]]]]]]], [FLT [FLT [FLT [FLT [FLT [F[F[FLT [F[F[[[[[FLT]]
यह नियामक पैचवर्क सीधे सौदा संरचना को प्रभावित करता है। अधिग्रहणकर्ताओं को यह विचार करना चाहिए कि लक्ष्य की डेटा प्रथाएं अधिग्रहणकर्ता के मौजूदा अनुपालन ढांचे के साथ संरेखित हैं। महत्वपूर्ण असमानताएं - जैसे कि सहमति पर निर्भरता जो आसानी से स्थानांतरित नहीं होती - खरीद मूल्य के पुनर्गोपन की आवश्यकता होती है, क्षतिपूर्ति एस्क्रो का निर्माण, या यहां तक कि अधिग्रहण को कुछ डेटा परिसंपत्तियों को अलग करने के लिए स्टॉक खरीद के बजाय संपत्ति खरीद के रूप में भी तैयार करना चाहिए। नियामकों जैसे UK सूचना आयुक्त कार्यालय (ICO) ] और फ्रेंच CNIL] ने किसी भी कानून के हस्तांतरण के लिए कोई भी अधिकार प्रदान किया है।
प्रमुख कानून के पार प्रमुख सिद्धांत
गुंजाइश और प्रवर्तन में मतभेदों के बावजूद, अधिकांश डेटा गोपनीयता व्यवस्था उन मूलभूत सिद्धांतों को साझा करती है जिन्हें अधिग्रहणकर्ता को संबोधित करने की आवश्यकता होती है:
- Lawability, निष्पक्षता, और पारदर्शिता - व्यक्तिगत डेटा को वैध कानूनी आधार पर संसाधित किया जाना चाहिए, और व्यक्तियों को यह सूचित किया जाना चाहिए कि उनका डेटा कैसे उपयोग किया जाता है। पोस्ट-अर्जन, नए नियंत्रक को यह आश्वस्त करना चाहिए कि मौजूदा कानूनी आधार मान्य हैं या यदि ताजा सहमति की आवश्यकता है।
- Purposeसीमा - डेटा केवल निर्दिष्ट, स्पष्ट और वैध उद्देश्यों के लिए एकत्र किया जाना चाहिए। अधिग्रहण के बाद डेटा को फिर से लागू करना - उदाहरण के लिए, एक पूरी तरह से नए उत्पाद लाइन में एक वफादारी कार्यक्रम से ग्राहक डेटा का उपयोग करना - मूल प्रसंस्करण उद्देश्य के तहत सावधानीपूर्वक आकलन को नष्ट करना।
- डेटा न्यूनतमकरण - केवल इच्छित उद्देश्य के लिए आवश्यक न्यूनतम डेटा एकत्र किया जा सकता है और बनाए रखा जा सकता है। एकीकरण अक्सर अतिरिक्त डेटा के पूल बनाता है जिसे शुद्ध या अनामित किया जाना चाहिए।
- Accuracy and Storage Limit - डेटा को सटीक रखा जाना चाहिए और आवश्यक से अधिक समय तक बनाए रखा जाना चाहिए। अधिग्रहण डेटा सेटों की लेखा परीक्षा और सफाई के लिए एक आदर्श क्षण है।
- Integrity and गोपनीयता – सुरक्षा उपायों को अनधिकृत पहुँच, दुर्घटनाग्रस्त हानि या विनाश के खिलाफ डेटा की रक्षा करनी चाहिए। सिस्टम के बीच प्रवास एक उच्च जोखिम अवधि है।
- Accountability - डेटा नियंत्रक को प्रलेखन, प्रशिक्षण और निरीक्षण के माध्यम से अनुपालन का प्रदर्शन करना चाहिए। एक संयुक्त इकाई को एक एकीकृत जवाबदेही ढांचे की आवश्यकता होती है।
इन सिद्धांतों को लक्षित कंपनी की मौजूदा नीतियों और प्रथाओं के लिए मैपिंग एक गहन अनुपालन लेखा परीक्षा का आधार बनाता है। यूरोपीय डेटा संरक्षण बोर्ड (EDPB) ने डेटा संरक्षण और M& के बीच अंतर-खेल पर विशिष्ट दिशानिर्देश जारी किए हैं;ए, यह ध्यान देते हुए कि देय परिश्रम को नए उच्च जोखिम प्रसंस्करण गतिविधियों की क्षमता को संबोधित करना चाहिए।
पूर्व अधिग्रहण देय परिश्रम: एक दीप डाइव
नियत परिश्रम अनुपालन का आधार है। गोपनीयता नीतियों की एक सतही समीक्षा अपर्याप्त है; अधिग्रहणकर्ता को यह सत्यापित करना चाहिए कि लक्ष्य कंपनी की डेटा प्रोसेसिंग गतिविधियों को कानूनी आवश्यकताओं के साथ संरेखित करें और यह कि कोई छिपे हुए देयता इसके डेटा पारिस्थितिकी तंत्र में नहीं है। एक संरचित कारण परिश्रम प्रक्रिया आम तौर पर पांच डोमेन को कवर करती है: डेटा प्रशासन, सहमति और अधिकार, सुरक्षा, तीसरे पक्ष के रिश्ते और पूर्व प्रवर्तन कार्रवाई।
डाटा प्रशासन और प्रलेखन
लक्ष्य कंपनी के अनुरोध से शुरू ]प्रोसेसिंग क्रियाकलापों (ROPA) के संबंध में , गोपनीयता नीतियां, आंतरिक डेटा हैंडलिंग प्रक्रियाएं, और किसी भी डेटा संरक्षण प्रभाव आकलन (DPIA) का आयोजन किया गया। ये दस्तावेज प्रसंस्करण के दायरे को प्रकट करते हैं, कानूनी आधार पर निर्भर करते हैं, और संगठन के भीतर डेटा प्रवाहित होते हैं। यह मानते हैं कि क्या ROPA पूरी तरह से और तारीख तक है - जीपीएस लाल झंडे हैं जो बिना बंद प्रसंस्करण या खराब डेटा प्रबंधन संस्कृति को इंगित कर सकते हैं। विशेष श्रेणी डेटा (स्वास्थ्य, बॉयोमीट्रिक, राजनीतिक राय) या आपराधिक निषेध ऊंचाई से संबंधित डेटा की आवश्यकता होती है।
सहमति और डेटा विषय अधिकार
यह जांचें कि लक्ष्य कंपनी कैसे प्राप्त करती है और दस्तावेजों की सहमति, विशेष रूप से विपणन, प्रोफाइलिंग, या तीसरे पक्षों के साथ साझा करने के लिए। GDPR के तहत, सहमति को स्वतंत्र रूप से दिया जाना चाहिए, विशिष्ट, सूचित और अस्पष्ट होना चाहिए। किसी भी सहमति की आयु को सत्यापित करें-पुराने सहमति अब मौजूदा व्याख्याओं के तहत "असभ्य" या "मुक्त रूप से" के मानक को पूरा नहीं कर सकती है। यदि अधिग्रहण में नियंत्रण या स्वामित्व में बदलाव शामिल है, तो मौजूदा सहमति स्वचालित रूप से हस्तांतरण नहीं हो सकती है। व्यक्तियों को नए नियंत्रक की जानकारी दी जानी चाहिए और सहमति वापस लेने का अवसर दिया जाना चाहिए। इसी तरह, सत्यापित करें कि लक्ष्य कैसे विषय अभिगम अनुरोध (SARs), तत्काल सहमति, और डेटा समर्थन करने की संभावना है।
सुरक्षा मुद्रा और ब्रीच इतिहास
डेटा उल्लंघन को फिर से ध्यान देने की लागत होती है और अधिग्रहण को रोकने में सक्षम होती है। लक्ष्य की सुरक्षा नीतियों, घटना प्रतिक्रिया योजना और पिछले तीन से पांच वर्षों में दायर किसी भी उल्लंघन की अधिसूचना की समीक्षा करें। प्रवेश परीक्षण और कमजोरी आकलन करने के लिए स्वतंत्र सुरक्षा आकलनकर्ता को संलग्न करें यदि लक्ष्य संवेदनशील डेटा को संसाधित करता है। अपने एन्क्रिप्शन प्रथाओं, एक्सेस कंट्रोल और डेटा लाइफसाइकल प्रबंधन की परिपक्वता का मूल्यांकन करें। असुरक्षित कमजोरियों या बार-बार उल्लंघनों का इतिहास अक्सर संगठनीय मुद्दों को इंगित करता है जो जल्दी से तय नहीं किया जा सकता है। इसके अलावा यह जांचें कि लक्ष्य एक कमजोरी प्रकटीकरण कार्यक्रम को बनाए रखता है और कैसे सक्रिय रूप से वे अज्ञात दोषों का उपयोग करते हैं।
तृतीय-पक्ष और विक्रेता जोखिम
अधिकांश कंपनियां क्लाउड स्टोरेज, एनालिटिक्स, पेरोल या ग्राहक संबंध प्रबंधन के लिए तीसरे पक्ष के विक्रेताओं पर निर्भर करती हैं। प्रत्येक विक्रेता एक संभावित डेटा प्रवाह का प्रतिनिधित्व करता है जिसे कानूनी रूप से ध्वनि होना चाहिए। मौजूदा डेटा प्रोसेसिंग एग्रीमेंट्स (DPAs) के साथ सभी डेटा प्रोसेसर और उप-प्रोसेसरों की सूची का अनुरोध करें। कृपया पुष्टि करें कि DPAs में विक्रेता के लिए एक अनुबंध के साथ छोड़ दिया गया है। [Fegal-interesting] एक सामान्य अनुपालन अंतराल है।
पूर्व प्रवर्तन कार्रवाई और मुकदमेबाजी
किसी भी पूर्व प्रवर्तन क्रियाओं, जुर्माना या सहमति के लिए सार्वजनिक रिकॉर्ड और नियामक डेटाबेस खोजें जिसमें लक्ष्य शामिल है। भले ही किसी मामले को देयता के प्रवेश के बिना बसाया गया हो, अंतर्निहित प्रथाओं को जारी रखा जा सकता है। किसी भी चल रहे जांच या डेटा विषय शिकायतों के बारे में साक्षात्कार आंतरिक कानूनी और अनुपालन टीमों। डेटा उल्लंघन से संबंधित वर्ग-क्रिया मुकदमा अमेरिका में तेजी से आम हैं, और अंततः खारिज होने पर भी उनकी लागत काफी हद तक हो सकती है।
अनुबंधित सुरक्षा गार्ड
कारण परिश्रम जोखिम प्रकट करता है; अनुबंधित सुरक्षा उन्हें आवंटित करती है। अधिग्रहण समझौते में डेटा गोपनीयता के बारे में विशिष्ट प्रतिनिधित्व और वारंटी शामिल होना चाहिए, साथ ही साथ उन विक्रेताओं को शामिल करना चाहिए जिन्हें संकेत और समापन के बीच अंतरिम अवधि के दौरान अनुपालन बनाए रखने के लिए लक्ष्य की आवश्यकता होती है। आम प्रावधानों में शामिल हैं:
- ]Privacy Retrivance and Warranties – बयान कि लक्ष्य सभी लागू गोपनीयता कानूनों के अनुरूप है, किसी भी unclosed उल्लंघन का अनुभव नहीं किया है, सभी आवश्यक सहमति प्राप्त की है, और सटीक ROPA बनाए रखने के लिए।
- ]Indemnification Clauses – प्रावधान जो अधिग्रहण को पूर्व बंद गोपनीयता उल्लंघन के लिए हानिरहित रखते हैं, जिसमें जुर्माना, दंड, उपचार लागत और तीसरे पक्ष के दावे शामिल हैं। विशिष्ट कैप्स और टोकरी को ध्यान में रखते हुए कि GDPR जुर्माना वैश्विक वार्षिक कारोबार का 4% तक पहुंच सकता है - संभावित रूप से अन्य क्षतिपूर्ति को नष्ट कर सकता है।
- पोस्ट क्लोजिंग कोवेनेंट्स [ - डेटा एकीकरण में सहयोग करने के लिए लक्ष्य की आवश्यकता, गोपनीयता नोटिस अद्यतन करने के लिए, और डेटा को हटाने या अज्ञात करने के लिए जो अब आवश्यक नहीं है। इसके अलावा, नियामक के लिए डेटा को संरक्षित करने के लिए एक सुविधाजनक शामिल है यदि कोई जांच लंबित है।
- Escrow या Holdback व्यवस्था - खरीद मूल्य का एक हिस्सा बंद होने के बाद संभावित गोपनीयता से संबंधित नुकसान को कवर करने के लिए वापस आयोजित किया जा सकता है। यह देखते हुए कि गोपनीयता उल्लंघन के महीनों या वर्षों बाद, गोपनीयता प्रतिनिधि के लिए विस्तारित अस्तित्व अवधि उचित है।
- डेटा ट्रांसफर तंत्र - यदि क्रॉस-बॉर्डर ट्रांसफर शामिल हैं, तो अनुबंध के लिए वैध हस्तांतरण तंत्र (मानक अनुबंधात्मक क्लॉज या बाध्यकारी कॉर्पोरेट नियमों) को बनाए रखने के लक्ष्य की आवश्यकता होती है और स्थानांतरण प्रभाव आकलन के बाद बंद में सहयोग करने के लिए।
इसके अतिरिक्त, अगर अधिग्रहणकर्ता सिस्टम में डेटा को एकीकृत करने या संयोजित करने का इरादा रखता है, तो अनुबंध को डेटा सुरक्षा प्रभाव आकलन (DPIA) के लिए किसी भी नए प्रसंस्करण गतिविधियों के लिए, जिसके परिणामस्वरूप व्यक्तियों को उच्च जोखिम हो सकता है। यूरोपीय संघ के GDPR पाठ]]] और यूरोपीय डेटा संरक्षण बोर्ड ]] तनाव जो DPIA कई M& में अनिवार्य हैं; एक परिदृश्य, खासकर जब संवेदनशील डेटा या बड़े पैमाने पर प्रोफाइलिंग शामिल है।
एकीकरण योजना और सुरक्षित डेटा माइग्रेशन
एक बार सौदा बंद हो जाता है, वास्तविक काम शुरू होता है। अनुपालन को बनाए रखने के दौरान दो अलग-अलग डेटा परिवेशों को एकीकृत करना सावधानीपूर्वक ऑर्केस्ट्रेशन की आवश्यकता होती है। आम नुकसान में कानूनी आधारों को फिर से स्थापित किए बिना डेटाबेस को विलय करना, गोपनीयता नोटिस को अद्यतन करने में विफल होना और प्रवास के दौरान अनधिकृत पक्षों को डेटा को अनजाने में उजागर करना शामिल है।
डेटा मैपिंग और मिनिमाइज़ेशन
किसी भी तकनीकी एकीकरण से पहले, एक विस्तृत डेटा मैपिंग व्यायाम करें जो दोनों संस्थाओं, इसकी संवेदनशीलता स्तर, इसके प्रतिधारण अनुसूची और प्रसंस्करण के लिए कानूनी आधार से प्रत्येक डेटासेट की पहचान करता है। इस मानचित्र का उपयोग एक डेटा मिनिमाइज़ेशन योजना स्थापित करने के लिए करें - यह निर्धारित करें कि डेटा को बनाए रखा जाना चाहिए, जिसे अनामित या छद्म नामित किया जा सकता है, और जिसे हटा दिया जाना चाहिए। उद्देश्य सीमा सिद्धांतों के तहत, एक कारण के लिए लक्ष्य द्वारा एकत्रित डेटा को स्वचालित रूप से अधिग्रहणकर्ता द्वारा बिना किसी नए सहमति प्राप्त किये या किसी अन्य वैध आधार को ढूंढे बिना किसी संबंधित प्रयोजनों के लिए पुन: उपयोग नहीं किया जा सकता है।
तकनीकी सुरक्षा नियंत्रण
डेटा उल्लंघन अक्सर एकीकरण के दौरान होते हैं क्योंकि सुरक्षा नियंत्रण अस्थायी रूप से कमजोर हो जाते हैं। सुनिश्चित करें कि दो वातावरणों के बीच सभी डेटा ट्रांसमिशन एन्क्रिप्टेड (दूरस्थ और पारगमन में) है। भूमिका आधारित अनुमतियों के साथ मजबूत पहुंच नियंत्रण लागू करें, और संक्रमण के दौरान सभी डेटा पहुंच के पूरी तरह से लॉगिंग का संचालन करें। अनधिकृत निर्यात की निगरानी के लिए डेटा हानि की रोकथाम (डीएलपी) टूल का उपयोग करें। यदि लक्ष्य विरासत प्रणालियों का उपयोग करता है जो अधिग्रहणकर्ता के सुरक्षा मानकों को पूरा नहीं कर सकता है, तो सिस्टम को अपग्रेड करने तक उस डेटा की चरणबद्ध प्रवास या संगरोध की योजना बना सकती है।
क्रॉस-बॉर्डर ट्रांसफर जोखिम
यदि अधिग्रहण एक अलग देश या क्षेत्र में काम करता है, तो डेटा हस्तांतरण प्रतिबंध महत्वपूर्ण हो जाता है। उदाहरण के लिए, एक अमेरिकी आधारित अधिग्रहणकर्ता को डेटा स्थानांतरित करने वाला यूरोपीय संघ-आधारित लक्ष्य एक अनुमोदित हस्तांतरण तंत्र पर निर्भर होना चाहिए - अब गोपनीयता शील्ड के अवैधकरण और मानक अनुबंधित क्लॉस की वर्तमान जांच के बाद Schrems II निर्णय. कानूनी सलाह के साथ काम करें हस्तांतरण प्रभाव आकलन (TIAs) और पूरक उपायों जैसे एन्क्रिप्शन (मुख्य प्रबंधन के साथ यह सुनिश्चित करना कि अधिग्रहण करने वाला सादे पाठ तक नहीं पहुंच सकता), छद्महीनता, या अनुबंधात्मक प्रतिबद्धता केवल घरेलू खर्चों के तहत डेटा को नियंत्रित करने की आवश्यकता है।
पोस्ट-अधिग्रहण अवधि में डेटा प्रतिधारण और निपटान
एकीकरण का एक अक्सर अनदेखा पहलू डुप्लिकेट, अप्रचलित या अनावश्यक डेटा का संचय है। दोनों अधिग्रहणकर्ता और लक्ष्य ग्राहक रिकॉर्ड को ओवरलैप कर सकते हैं, विपणन सूचियों में संपर्कों को अब संलग्न नहीं किया गया है, या विरासत बैकअप जिन्हें साल पहले हटा दिया जाना चाहिए। एक व्यवस्थित डेटा निपटान कार्यक्रम भंडारण सीमा सिद्धांतों के भीतर रहने के लिए आवश्यक है। सभी प्रतिधारण अवधियों की समीक्षा करने के लिए एक संयुक्त कार्य बल बनाएं, उस डेटा की पहचान करें जो अपने अधिकृत जीवनकाल से अधिक है, और सुरक्षित रूप से इसे उद्योग मानकों के अनुरूप तरीकों का उपयोग करके हटा दें (उदाहरण के लिए, एनआईएसएसपी 800-88 मीडिया स्वच्छता के लिए)। एक निपटान लॉग को बनाए रखें जो कि क्या हटा दिया गया था, कब और किस अधिकार के तहत।
पोस्ट-अधिग्रहण अनुपालन प्रबंधन
अनुपालन एक बार की घटना नहीं है; इसे संयुक्त संगठन के चल रहे संचालन में एम्बेडेड होना चाहिए। एक सक्रिय प्रशासन ढांचा यह सुनिश्चित करता है कि गोपनीयता व्यापार प्राथमिकताओं के रूप में भी प्राथमिकता बनी हुई है।
गोपनीयता नीति और नोटिस अद्यतन करना
अधिग्रहण के तुरंत बाद, सभी गोपनीयता नीतियों को अद्यतन करें- वेबसाइटों पर और ग्राहक-अनुकूलन सामग्री में दोनों। नियंत्रक में परिवर्तन के डेटा विषयों को सूचित करें (यदि लागू हो) और स्पष्ट जानकारी प्रदान करें कि उनका डेटा कैसे आगे चल रहा है। यह केवल पारदर्शिता दायित्वों के तहत कानूनी आवश्यकता नहीं है बल्कि ट्रस्ट-बिल्डिंग माप भी है। कई नियामकों की उम्मीद है कि नोटिस को समय पर, समझने योग्य तरीके से वितरित किया जाए; एक नई नीति के लिए एक लिंक के साथ एक बड़े पैमाने पर ईमेल यह नहीं हो सकता है कि यदि परिवर्तन महत्वपूर्ण हैं। लेयर्ड नोटिस पर विचार करें जो अनुरोध पर उपलब्ध विवरणों के साथ प्रमुख सूचना प्रदान करते हैं।
प्रशिक्षण और संस्कृति
अधिग्रहित कंपनी से कर्मचारी- और मौजूदा कर्मचारी- संयुक्त इकाई की गोपनीयता नीतियों, डेटा हैंडलिंग प्रक्रियाओं और घटना प्रतिक्रिया प्रोटोकॉल पर प्रशिक्षण की जरूरत है। गोपनीयता जागरूकता नए कर्मचारी को ऑनबोर्डिंग का हिस्सा होना चाहिए और वार्षिक रिफ्रेशर्स के माध्यम से प्रबलित होना चाहिए। प्रत्येक व्यवसाय इकाई के भीतर डेटा सुरक्षा अधिकारी (डीपीओ) या गोपनीयता चैंपियन को नामित करने पर विचार करें ताकि दिन-प्रतिदिन के सवालों के लिए संपर्क के बिंदु के रूप में सेवा की जा सके। प्रतिक्रिया प्रभावशीलता का परीक्षण करने के लिए एकीकरण के दौरान एक डेटा उल्लंघन का अनुकरण करने वाले टेबलटॉप अभ्यास करें।
ऑनगोइंग मॉनिटरिंग और ऑडिट
नियमित आंतरिक लेखा परीक्षा अनुसूची - मुख्य रूप से पहले वर्ष के लिए, फिर वार्षिक रूप से - गोपनीयता नीतियों, अनुबंधात्मक दायित्वों और नियामक परिवर्तनों के अनुपालन का आकलन करने के लिए। डेटा एक्सेस पैटर्न, अनधिकृत ट्रांसमिशन प्रयासों और सहमति समाप्ति तिथियों की निगरानी के लिए स्वचालित उपकरणों का उपयोग करें। सभी प्रसंस्करण गतिविधियों का केंद्रीय रजिस्टर रखें, और इसे अद्यतन करें जब भी नई प्रक्रियाएं शुरू की जाती हैं या पुराने लोग सेवानिवृत्त हो जाते हैं। नियामकों ने संगठनों को अनुरोध पर मौजूदा आरओपीए का उत्पादन करने में सक्षम होने की उम्मीद की है, और किसी को बनाए रखने में विफलता भी जुर्माना नहीं ले सकती है। इसके अलावा, विकसित नियामक पर्यावरण-न्यू कानूनों जैसे कि यूरोपीय संघ डेटा अधिनियम या प्रस्तावित अमेरिकी संघीय गोपनीयता कानून को एकीकृत करने के लिए अतिरिक्त दायित्वों को लागू करने की आवश्यकता है।
निष्कर्ष
अधिग्रहण के दौरान डेटा गोपनीयता अनुपालन एक बहु-स्तरित चुनौती है जो कानूनी, तकनीकी और परिचालन समन्वय की मांग करती है। इसे व्यवस्थित रूप से संपर्क करके - मजबूत देय परिश्रम से शुरू होकर, मजबूत अनुबंधात्मक सुरक्षा को बातचीत करना, देखभाल के साथ एकीकरण की योजना बनाना और चल रहे शासन की स्थापना करना -संगठन खुद को महत्वपूर्ण वित्तीय और प्रतिष्ठात्मक नुकसान से बचा सकता है। इसे गलत होने की लागत बहुत अधिक है, लेकिन जोखिम से बचने के बाद इसे सही विस्तार करने का लाभ। ग्राहकों, नियामकों और बाजार के लिए एक अच्छी तरह से प्रबंधित गोपनीयता एकीकरण संकेत जो अधिग्रहण संगठन व्यक्तिगत डेटा का जिम्मेदार स्टीवर्ड है - एक ऐसे युग में एक प्रतिस्पर्धी लाभ जहां स्थायी अधिग्रहण होता है।