भारतीय डेटा संरक्षण कानून : एक विश्लेषण

क्या है डीपीडीपी एक्ट?

21वीं सदी में तकनीक तथा तकनीकी उपकरण हमारे जीवन का अहम हिस्सा बन चुके हैं। इस अभिन्न अंग से जुड़ा एक कानून, भारत का डेटा संरक्षण नियम एक सुरक्षित डेटा गोपनीयता व्यवस्था स्थापित करने में सहायक होगा ऐसी आशा की जा रही है। डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, २०२३ (Digital Personal Data Protection Act, 2023) को 11 अगस्त, 2023 को महामहिम राष्ट्रपति द्वारा स्वीकृत किया गया था। इस अधिनियम के विभिन्न भागों के लिए मसौदा विधेयक (draft) तैयार किए गए हैं। इसका उद्देश्य यह सुनिश्चित करना है कि व्यक्तिगत डेटा प्रोसेसिंग पारदर्शी, सुरक्षित और कानूनी मानकों के अनुरूप हो, ताकि डेटा विषयों के हितों की रक्षा की जा सके।

निजी और सरकारी डेटा भंडारकों के लिए एक नियम

डीपीडीपी अधिनियम के तहत निजी संस्थाओं और सरकारी एजेंसियों के लिए समान नियम हैं। आतंकवाद और महामारी जैसी आपात स्थितियों को छोड़कर, व्यक्तिगत डेटा के हर उपयोग से पहले सहमति प्राप्त की जानी चाहिए। सीधे शब्दों में कहें तो वह संगठन या व्यक्ति जो आपका डेटा एकत्र करता है और उसका उपयोग करता है, वह डेटा फिड्यूशियरी कहलाएगा। जब आप ऐप, साइट या सेवाओं का उपयोग करते हैं, तो हम आपसे कुछ जानकारी एकत्र करते हैं (जैसे नाम, ईमेल, फोन नंबर, स्थान, आदि) ।

जो व्यक्ति यह जानकारी प्राप्त करता है उसे डेटा फिड्यूशियरी कहा जाता है। डेटा फ्रिडुशियरीज़ की ज़िम्मेदारी है कि वे आपके डेटा को सुरक्षित रखें और इसका उपयोग केवल उन उद्देश्यों के लिए करें जिनके लिए आपने सहमति दी है।

डेटा उल्लंघन होने पे भरना होगा जुर्माना?

यदि कोई संगठन डेटा संरक्षण कानूनों का उल्लंघन करता है, तो संबंधित व्यक्ति अपने डेटा के संग्रह, भंडारण और प्रसंस्करण के बारे में विवरण मांगने के लिए अदालत जा सकता है। कोई भी प्लेटफॉर्म जो व्यक्तिगत डेटा एकत्र करना चाहता है, उसे पहले संबंधित व्यक्ति या संस्थान से अनुमति लेनी होगी। इसके अलावा डेटा को स्टोर करने का कारण भी बताना होगा। एक्ट की विशेषता यह है कि डेटा उल्लंघन होने पर दंडनीय प्रावधान है। यदि डेटा फ़िडुशियरी नियमों का अनुपालन करने में विफल रहती है, तो 250 करोड़ रुपये तक का जुर्माना लगाया जा सकता है। उनमें से कुछ इस प्रकार हैं-

जैसे कि डेटा विषय कर्तव्यों का उल्लंघन करने पर 10,000 रुपये तक का जुर्माना हो सकता है।

व्यक्तिगत डेटा उल्लंघन की स्थिति में डेटा संरक्षण आयोग और प्रभावित डेटा विषयों को सूचित नहीं करने पर 200 करोड़ रुपये तक का जुर्माना लगाया जा सकता है। डीपीडीपी अधिनियम के तहत निजी संस्थाओं और सरकारी एजेंसियों के लिए समान नियम हैं। आतंकवाद और महामारी जैसी आपात स्थितियों को छोड़कर, व्यक्तिगत डेटा के प्रत्येक उपयोग से पहले सहमति प्राप्त की जानी चाहिए।

यदि डेटा उल्लंघन होता है, तो 72 घंटों के भीतर डेटा प्रोटेक्शन बोर्ड ऑफ़ इंडिया (DPBI) को सूचना दी जानी चाहिए। हालांकि अभी तक DPBI की स्थापना नहीं हुई है, यह आवश्यकता समय पर रिपोर्टिंग के महत्व पर जोर देती है। इसके अतिरिक्त, यदि कोई उपयोगकर्ता ई-कॉमर्स या सोशल मीडिया जैसे प्लेटफार्मों पर लंबे समय तक निष्क्रिय है, तो उनका डेटा 48 घंटे के नोटिस के बाद हटा दिया जाएगा ऐसा प्रस्ताव रखा गया है।

बच्चों के लिए डेटा के नियम

नियमों के अनुसार, किसी सरकारी आईडी या डिजिटल लॉकर सर्विस प्रोवाइडर द्वारा सत्यापित टोकन द्वारा बच्चों की आयु की पुष्टि की जाएगी। उदाहरण स्वरूप, यदि कोई बच्चा सोशल प्लेटफॉर्म पर अकाउंट बनाना चाहता है, पहले डेटा फिड्यूशियरी को माता-पिता की सहमति की जांच करनी होगी । 2023 में इस संदर्भ में बहुत विवाद हो चुके हैं। टेक कंपनियों ने बच्चों की परिभाषा को 18 वर्ष से घटाकर 14 वर्ष करने की मांग की थी। हालांकि, DPDP नियमों में सरकार ने कुछ डेटा फिड्यूशियरीज को बच्चों के डेटा प्रोसेसिंग पर लगे प्रतिबंधों से छूट दी है। इनमें मानसिक स्वास्थ्य संस्थान, स्वास्थ्य सेवा पेशेवर और शैक्षणिक संस्थान शामिल हैं।

देश के नागरिकों के सुझाव एवं फीडबैक

इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY) ने मसौदा नियमों पर हितधारकों से प्रतिक्रिया व टिप्पणियाँ आमंत्रित की थी। हितधारकों से फीडबैक प्राप्त करने के बाद नियमों को अंतिम रूप दिया जाएगा ऐसा ऐलान किया गया है। टिप्पणियां देने वाले हितधारकों का परिचय पूर्ण रूप से गुप्त रखा जाएगा। नियम को अंतिम रूप दिए जाने के बाद प्राप्त फीडबैक का एक सारांश प्रकाशित किया जाएगा यह भी घोषित किया गया है।

निष्कर्ष

दुनिया भर के लगभग 70% देशों में किसी न किसी प्रकार का डेटा संरक्षण कानून है। चीन और वियतनाम समेत कई देशों ने ऐसे कानूनों को लेके बहुत सख्त हैं। इस प्रकार का एक मजबूत गोपनीयता कानून का निर्माण न केवल व्यावसायिक जोखिमों को कम करेगा, अपितु यह भविष्य में एक स्पष्ट और टिकाऊ संगठन बनाने में सहायता करेगा।

भारत का डेटा संरक्षण अधिनियम डिजिटल युग में व्यक्तियों के अधिकारों को संरक्षित करने और कंपनियों को जिम्मेदार बनाने के लिए एक महत्वपूर्ण कदम है।

ग्रंथ सूची

1. https://www.ey.com/en_in/insights/cybersecurity/decoding-the-digital-personal-data-protection-act-2023

2. https://www.meity.gov.in/writereaddata/files/Explanatory-Note-DPDP-Rules-2025.pdf

3. https://www.indiatv.in/tech/tech-news/social-media-companies-have-to-completely-delete-user-data-and-account-away-from-3-years-2023-12-28-1011695

4. https://hindi.business-standard.com/legal-news/dpdp-digital-personal-data-protection-bill-became-an-act-approved-by-the-president