सन्दर्भ:
हाल ही में इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY) ने डिजिटल व्यक्तिगत डेटा संरक्षण (डीपीडीपी), 2023 (DPDP एक्ट) के तहत नियमों को औपचारिक रूप से अधिसूचित किया। यह भारत का पहला समर्पित कानून है जो डिजिटल व्यक्तिगत डेटा की सुरक्षा के लिए बनाया गया है। यह कदम देश में डेटा शासन, डिजिटल अधिकार और व्यक्तिगत डेटा प्रोसेस करने वाले संस्थानों की जवाबदेही को मजबूत करने की दिशा में महत्वपूर्ण है।
पृष्ठभूमि:
डीपीडीपी एक्ट अगस्त 2023 में संसद द्वारा पारित किया गया था, लेकिन यह तभी प्रभावी हो सकता था जब इसके नियम और प्रशासनिक प्रक्रियाएँ अधिसूचित हों। इस दिशा में जनवरी 2025 में MeitY ने नियमों का प्रारूप सार्वजनिक परामर्श के लिए जारी किया। इसके बाद जनता, उद्योग और विभिन्न मंत्रालयों से प्राप्त सुझावों की समीक्षा करने के बाद अंतिम नियम 14 नवंबर 2025 को औपचारिक रूप से अधिसूचित किए गए।
नियमों की मुख्य बातें:
1. डेटा फिड्यूशियरी और सहमति पर जिम्मेदारियाँ:
· संगठनों (डेटा फिड्यूशियरी) के लिए यह अनिवार्य होगा कि वे उपयोगकर्ताओं (डेटा प्रिंसिपल) को स्पष्ट रूप से यह जानकारी दें कि कौन-सा डेटा क्यों एकत्र किया जा रहा है तथा उसे कितने समय तक सुरक्षित रखा जाएगा।
· बच्चों और दिव्यांग व्यक्तियों के डेटा के संदर्भ में सहमति को प्रमाणित एवं सत्यापित करना आवश्यक होगा, ताकि उनकी संवेदनशील जानकारी की विशेष रूप से सुरक्षा सुनिश्चित की जा सके।
· साथ ही, उपयोगकर्ताओं को अपनी सहमति कभी भी वापस लेने का पूर्ण अधिकार प्रदान किया गया है।
2. डेटा संग्रह और मिटाने की अवधि:
· डेटा को केवल आवश्यक समय तक ही रखा जा सकता है। उद्देश्य पूरा होने या डेटा निष्क्रिय होने पर उसे मिटाना होगा।
· बड़े प्लेटफॉर्म्स (ई-कॉमर्स, गेमिंग, सोशल मीडिया) के लिए डेटा मिटाने की सख्त समय-सीमा तय की गई है।
3. डेटा उल्लंघन की सूचना:
· किसी भी डेटा उल्लंघन (breach) की स्थिति में फिड्यूशियरी को 72 घंटे के अंदर डेटा प्रिंसिपल और डेटा प्रोटेक्शन बोर्ड को सूचित करना होगा।
· सूचना में उल्लंघन का प्रकार, समय, परिणाम और बचाव/निवारक उपाय शामिल होने चाहिए।
4. डेटा प्रोटेक्शन बोर्ड की स्थापना:
· नियमों के तहत डेटा प्रोटेक्शन बोर्ड ऑफ इंडिया की स्थापना की गई है, जिसका मुख्यालय NCR में होगा।
· बोर्ड में चार सदस्य होंगे, जिनमें एक चेयरपर्सन शामिल होंगे। यह बोर्ड एक्ट के तहत विवादों का निपटारा करेगा।
5. संक्रमण/अनुपालन अवधि:
· नियम अधिसूचना के दिन से प्रभावी होंगे, लेकिन संस्थानों को पूर्ण अनुपालन के लिए 18 महीने का समय मिलेगा।
महत्व और प्रभाव:
· कानून का लागू होना: नियमों के अधिसूचित होने के साथ ही DPDP एक्ट अब केवल एक कानून नहीं, बल्कि पूर्ण रूप से लागू होने वाला कानून बन गया है। इसका अर्थ है कि डिजिटल व्यक्तिगत डेटा को प्रोसेस करने वाली संस्थाएँ अब कानूनी रूप से जवाबदेह होंगी।
· उपयोगकर्ता अधिकारों को सशक्त करना: डेटा प्रिंसिपल (उपयोगकर्ता) कानून के केंद्र में होंगे। उनके लिए सहमति देने, डेटा मिटाने, उल्लंघन की सूचना प्राप्त करने और पारदर्शिता सुनिश्चित करने के अधिकार कानूनी रूप से सुरक्षित होंगे।
· प्रवर्तन संरचना: डेटा प्रोटेक्शन बोर्ड का गठन एक महत्वपूर्ण कदम है। यह बोर्ड डेटा उल्लंघनों की जांच करेगा, विवादों का निपटारा करेगा और एक्ट के तहत आवश्यक कार्रवाई एवं दंड लगा सकेगा।
· वैश्विक स्तर पर भारत की स्थिति: भारत अब उन देशों की श्रेणी में शामिल हो गया है जिनके पास समर्पित डेटा संरक्षण कानून है। यह यूरोपीय GDPR से भिन्न है, लेकिन यह स्पष्ट संकेत देता है कि भारत डिजिटल डेटा की जवाबदेही और प्रवाह को नियंत्रित करने के प्रति गंभीर दृष्टिकोण रखता है।
निष्कर्ष:
DPDP एक्ट के नियमों का अधिसूचना भारत में डिजिटल डेटा सुरक्षा के क्षेत्र में एक महत्वपूर्ण कदम है। यह उपयोगकर्ताओं के अधिकार मजबूत करता है, कंपनियों की जवाबदेही सुनिश्चित करता है और डेटा प्रोटेक्शन बोर्ड के माध्यम से प्रभावी प्रवर्तन संभव बनाता है। यह भारत को वैश्विक स्तर पर डेटा संरक्षण के लिए जिम्मेदार देश के रूप में भी स्थापित करता है।
