संबंधित पाठ्यक्रम
सामान्य अध्ययन-2: सरकारी नीतियों और विभिन्न क्षेत्रों में विकास के लिये हस्तक्षेप और उनके अभिकल्पन तथा कार्यान्वयन के कारण उत्पन्न विषय।
संदर्भ:
केंद्र सरकार ने डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) अधिनियम के तहत नियमों को अधिसूचित किया है, जिससे भारत के पहले समर्पित डिजिटल निजता कानून के कार्यान्वयन की औपचारिक शुरुआत हो गई है।
अन्य संबंधित जानकारी
- नियमों की अधिसूचना, डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम (DPDP अधिनियम) को अगस्त 2023 में राष्ट्रपति की स्वीकृति मिलने के दो वर्ष बाद आई है।
- यद्यपि कानून अब लागू हो चुका है, लेकिन वर्तमान में केवल चुनिंदा प्रावधान ही प्रभावी हैं, तथा नागरिकों से जुड़े प्रमुख सुरक्षा उपाय अगले 12 से 18 महीनों में चरणबद्ध रूप से लागू किए जाने की उम्मीद है।
DPDP नियम 2025 की मुख्य विशेषताएं
- भारतीयडेटा संरक्षण बोर्ड: इन नियमों के लागू होने से बोर्ड औपचारिक रूप से कार्यशील हो जाता है। यह वह प्रमुख न्यायिक निकाय होगा जो यह सुनिश्चित करेगा कि सभी संस्थाएँ कानून का पूर्ण पालन करें।
- बोर्ड में चार सदस्य होंगे और इसका मुख्यालय नई दिल्ली में होगा ।
- स्पष्ट और सूचित सहमति मानक: डेटा फिड्यूशरी —यानी वे निजी या सार्वजनिक संस्थाएँ जो उपयोगकर्ता का डेटा एकत्र और प्रोसेस करती हैं—को उपयोगकर्ताओं से स्पष्ट, सूचित और सरल भाषा में सहमति लेनी होगी।
इससे यह सुनिश्चित होगा कि उपयोगकर्ता समझें कि कौन-सा डेटा, किस उद्देश्य के लिए लिया जा रहा है, और सहमति वापस लेने का सरल विकल्प भी उपलब्ध हो। - अनिवार्य डेटा उल्लंघन रिपोर्टिंग: नियमों के अनुसार डेटा फिड्यूशरी को किसी भी डेटा ब्रीच (उल्लंघनों) की जानकारी, निर्धारित समयसीमा के भीतर, उपयोगकर्ताओं और डेटा संरक्षण बोर्ड, दोनों को देनी होगी। साथ ही, उन्हें सभी लॉग और सुधारात्मक कार्रवाई का रिकॉर्ड भी बनाए रखना होगा।
- बच्चों और विकलांग व्यक्तियों की सुरक्षा: बच्चों के व्यक्तिगत डेटा को प्रोसेस करने से पहले माता-पिता की सख्त सहमति आवश्यक है, जिसमें व्यवहार संबंधी ट्रैकिंग पर प्रतिबंध भी शामिल हैं। विकलांग व्यक्तियों के लिए विशिष्ट सुलभ सहमति तंत्र अनिवार्य हैं।
- डेटा फिड्यूशियरी के लिए दायित्व: डेटा फिड्यूशरी को व्यक्तिगत डेटा की सुरक्षा के लिए उचित सुरक्षा उपायों को लागू करना होगा, जिसमें एन्क्रिप्शन, एक्सेस कंट्रोल, अनधिकृत पहुंच की निगरानी और डेटा बैकअप शामिल हैं।
- महत्वपूर्ण डेटा फिड्युशरीज़ (SDF) के लिए दायित्व: SDF को हर वर्ष ऑडिट, इम्पैक्ट असेसमेंट करना होगा और यह सुनिश्चित करना होगा कि उनके एल्गोरिद्म तथा तकनीकी प्रणालियाँ किसी भी प्रकार का अनावश्यक जोखिम उत्पन्न न करें। यह उच्च स्तर की अनुपालन आवश्यकताओं को दर्शाता है।
- SDF का निर्धारण इस आधार पर किया जाएगा कि वे कितनी मात्रा में और कितना संवेदनशील व्यक्तिगत डेटा प्रोसेस करते हैं, तथा उनका प्रभाव राष्ट्रीय सुरक्षा, चुनावी लोकतंत्र, और सार्वजनिक व्यवस्था पर किस हद तक पड़ सकता है।
- डेटा प्रतिधारण और विलोपन आवश्यकताएँ: संस्थाओं को डेटा-मिनिमाइज़ेशन के सिद्धांतों का पालन करना होगा—निर्धारित अवधि के बाद निष्क्रिय उपयोगकर्ताओं का डेटा हटाना होगा और डेटा केवल उतनी ही अवधि तक रखा जा सकेगा, जितनी अवधि तक वह वास्तविक रूप से आवश्यक हो।
- सीमापार डेटा स्थानांतरण ढांचा: व्यक्तिगत डेटा को डिफ़ॉल्ट रूप से विदेश में स्थानांतरित किया जा सकता है, सिवाय उन क्षेत्राधिकारों के जिन्हें सरकार द्वारा सुरक्षा या सार्वजनिक हित के आधार पर प्रतिबंधित किया गया हो।
DPDP नियमों का महत्व
- व्यक्तियों को सशक्त बनाना: ये नियम लोगों को यह अधिकार देते हैं कि वे अपनी सहमति वापस ले सकें, अपने डेटा में संशोधन या उसे हटाने का अनुरोध कर सकें, और समयबद्ध व पारदर्शी तरीके से अपनी शिकायतों का समाधान पा सकें।
- विनियामक स्पष्टता: नियम महत्वपूर्ण शब्दों की स्पष्ट परिभाषाएँ, डेटा फिड्यूशियरी के लिए निश्चित दायित्व, और सुव्यवस्थित अनुपालन तंत्र प्रदान करते हैं। इससे व्यवसायों के लिए नियामकीय अनिश्चितता कम होती है और कानूनी पूर्वानुमान क्षमता बढ़ती है।
- वैश्विक मानकों से सामंजस्य: इन नियमों से भारत का ढाँचा अंतरराष्ट्रीय मानकों—जैसे EU के जनरल डेटा प्रोटेक्शन रेगुलेशन (GDPR)—के अनुरूप होता है, जिससे वैश्विक स्तर पर इंटरऑपरेबिलिटी को बढ़ावा मिलता है।
- भारत की डिजिटल अर्थव्यवस्था को प्रोत्साहन: डेटा संरक्षण के लिए विश्वसनीय व्यवस्था बनाकर ये नियम नवाचार को बढ़ावा देने, उपयोगकर्ताओं का भरोसा मजबूत करने और भारत को वैश्विक डिजिटल व्यवसायों के लिए एक आकर्षक गंतव्य बनाए रखने का लक्ष्य रखते हैं।
DPDP अधिनियम 2023 के बारे में
- DPDP अधिनियम भारत के नागरिकों के डिजिटल व्यक्तिगत डेटा की सुरक्षा के लिए पहला व्यापक कानून है।
- यह ऐसा कानूनी ढाँचा स्थापित करता है जो व्यक्तियों के डेटा संरक्षण के अधिकार को स्वीकार करता है, साथ ही संगठनों को वैध उद्देश्यों के लिए डेटा प्रोसेस करने की आवश्यकता को भी मान्यता देता है।
- यह अधिनियम आईटी अधिनियम, 2000 की धारा 43A को प्रतिस्थापित करता है और साथ ही SPDI नियम, 2011 को भी प्रतिस्थापित करता है, जिससे DPDP अधिनियम भारत में डिजिटल व्यक्तिगत डेटा को नियंत्रित करने वाला प्रमुख कानूनी प्रावधान बन जाता है।
- सहमति-केंद्रित और अधिकार-आधारित रूपरेखा:
- यह अधिनियम डिजिटल व्यक्तिगत डेटा के प्रोसेस के लिए विशिष्ट, सूचित और स्पष्ट सहमति को अनिवार्य बनाता है।
- व्यक्तियों (डेटा प्रिंसिपल) को अपने डेटा तक पहुंचने, उसे संशोधित करने, हटाने तथा शिकायत निवारण का अधिकार प्रदान किया गया है।
- डेटा फ़िड्युशरीज़ पर दायित्व और विशेष सुरक्षा उपाय:
- डेटा फिड्यूशरी को यह सुनिश्चित करना होता है कि डेटा का उपयोग केवल निर्धारित उद्देश्य तक सीमित रहे, आवश्यकतानुसार ही न्यूनतम डेटा एकत्र किया जाए, उचित सुरक्षा उपाय लागू हों, और किसी भी डेटा उल्लंघन की सूचना समय पर प्रदान की जाए।
- बच्चों से संबंधित डेटा के लिए अतिरिक्त सुरक्षा प्रावधान लागू होते हैं, जिनमें प्रोफाइलिंग या लक्षित विज्ञापन पर प्रतिबंध शामिल है।
- शासन, प्रवर्तन और एवं सीमापार डेटा-हस्तांतरण नियम:
- यह अनुपालन लागू करने और मौद्रिक दंड लगाने के लिए भारतीय डेटा संरक्षण बोर्ड की स्थापना करता है।
- यह डिफ़ॉल्ट रूप से सीमा पार डेटा स्थानांतरण की अनुमति देता है, तथा सरकार को सुरक्षा या सार्वजनिक हित के लिए कुछ क्षेत्राधिकारों को प्रतिबंधित करने का अधिकार प्रदान करता है।
- दंड: अधिनियम में बच्चों के डेटा से संबंधित उल्लंघनों, सुरक्षा विफलताओं और निर्धारित दायित्वों के अनुपालन न करने की स्थिति में भारी वित्तीय दंड (₹250 करोड़ तक) का प्रावधान है।