हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंभारत डीपीडीपी अधिनियम 2023: डिजिटल व्यक्तिगत डेटा संरक्षण अनुपालन
11 अगस्त, 2023 को अधिनियमित भारत का डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम 2023 (डीपीडीपी अधिनियम), गोपनीयता विनियमन के लिए भारत के दृष्टिकोण में एक ऐतिहासिक बदलाव का प्रतिनिधित्व करता है। लगभग एक दशक के विधायी विचार-विमर्श के बाद - जिसमें न्यायमूर्ति श्रीकृष्ण समिति की रिपोर्ट (2017), व्यक्तिगत डेटा संरक्षण विधेयक के कई मसौदे, और निजता को मौलिक अधिकार के रूप में पुष्टि करने वाला सर्वोच्च न्यायालय का फैसला (जस्टिस के.एस. पुट्टास्वामी बनाम भारत संघ, 2017) शामिल है - भारत के पास अब एक व्यापक, लागू करने योग्य डेटा सुरक्षा ढांचा है।
डीपीडीपी अधिनियम "डेटा प्रत्ययी," "डेटा प्रिंसिपल," और "सहमति प्रबंधक" जैसी अवधारणाओं का परिचय देता है, प्रवर्तन प्राधिकरण के रूप में डेटा प्रोटेक्शन बोर्ड ऑफ इंडिया (डीपीबीआई) की स्थापना करता है, और प्रति उल्लंघन ₹250 करोड़ (~$30 मिलियन अमरीकी डालर) तक का वित्तीय दंड निर्धारित करता है। अधिनियम अब लागू है, और इसके कार्यान्वयन नियमों को 2025-2026 में अंतिम रूप दिए जाने और अधिसूचित किए जाने की उम्मीद है।
मुख्य बातें
- डीपीडीपी अधिनियम 2023 भारत में डिजिटल व्यक्तिगत डेटा प्रोसेसिंग और भारतीय व्यक्तियों को दी जाने वाली सेवाओं के लिए बाह्य रूप से लागू होता है
- सहमति प्राथमिक कानूनी आधार है, जो विशिष्ट उद्देश्यों (रोजगार, कानूनी कार्यवाही, सार्वजनिक हित) के लिए "वैध उपयोग" द्वारा पूरक है।
- "महत्वपूर्ण डेटा प्रत्ययी" को डीपीआईए आवश्यकताओं और एक स्वतंत्र डेटा ऑडिटर की नियुक्ति सहित बढ़े हुए दायित्वों का सामना करना पड़ता है
- भारतीय डेटा संरक्षण बोर्ड (डीपीबीआई) प्रवर्तन प्राधिकारी है जिसके पास जांच करने, निर्णय लेने और जुर्माना लगाने की शक्तियां हैं।
- प्रति उल्लंघन अधिकतम जुर्माना ₹250 करोड़ (~$30 मिलियन) है; एकाधिक उल्लंघनों के लिए दंड संचयी हैं
- केंद्र सरकार की अधिसूचना द्वारा विशेष रूप से प्रतिबंधित देशों को छोड़कर सभी देशों में सीमा पार डेटा स्थानांतरण की अनुमति है
- डेटा प्रिंसिपलों (व्यक्तियों) को एक्सेस, सुधार, मिटाने, नामांकन और शिकायत निवारण का अधिकार है
- नियमों को लागू करना (अभी तक अंतिम रूप नहीं दिया गया है) सहमति नोटिस प्रारूप, प्रतिधारण अवधि और महत्वपूर्ण डेटा प्रत्ययी मानदंड सहित प्रमुख परिचालन आवश्यकताओं को निर्दिष्ट करेगा।
डीपीडीपी अधिनियम 2023: फ्रेमवर्क अवलोकन
प्रमुख शब्दावली
डीपीडीपी अधिनियम जीडीपीआर-प्रभावित ढांचे से अलग अपनी शब्दावली प्रस्तुत करता है:
- व्यक्तिगत डेटा: किसी व्यक्ति के बारे में कोई भी डेटा जो ऐसे डेटा द्वारा या उसके संबंध में पहचाना जा सकता है
- डिजिटल व्यक्तिगत डेटा: डिजिटल रूप में व्यक्तिगत डेटा, या गैर-डिजिटल व्यक्तिगत डेटा बाद में डिजिटलीकृत
- डेटा प्रिंसिपल: वह व्यक्ति जिससे व्यक्तिगत डेटा संबंधित है (जीडीपीआर के "डेटा विषय" के बराबर)
- डेटा प्रत्ययी: कोई भी व्यक्ति जो अकेले या दूसरों के साथ मिलकर प्रसंस्करण के उद्देश्य और साधन को निर्धारित करता है (जीडीपीआर के "डेटा नियंत्रक" के बराबर)
- डेटा प्रोसेसर: एक व्यक्ति जो डेटा प्रत्ययी की ओर से व्यक्तिगत डेटा संसाधित करता है
- महत्वपूर्ण डेटा प्रत्ययी (एसडीएफ): डेटा की मात्रा/संवेदनशीलता, डेटा प्रिंसिपलों के लिए जोखिम, राष्ट्रीय सुरक्षा विचार और अन्य मानदंडों के आधार पर केंद्र सरकार द्वारा नामित एक डेटा प्रत्ययी
दायरा
डीपीडीपी अधिनियम इस पर लागू होता है:
- भारत के भीतर डिजिटल व्यक्तिगत डेटा का प्रसंस्करण
- भारत के बाहर डिजिटल व्यक्तिगत डेटा का प्रसंस्करण - यदि यह भारत में डेटा प्रिंसिपलों को सामान या सेवाएं प्रदान करने के उद्देश्य से है
छूट: व्यक्तिगत या घरेलू उद्देश्यों के लिए प्रसंस्करण; व्यक्तिगत डेटा को डेटा प्रिंसिपल द्वारा स्वयं सार्वजनिक रूप से उपलब्ध कराया जाता है या जिसे डेटा प्रिंसिपल को सार्वजनिक करने के लिए कानूनी रूप से आवश्यक होता है।
आधार के रूप में सहमति
कई समान कानूनी आधारों वाले अधिकांश वैश्विक डेटा संरक्षण कानूनों के विपरीत, डीपीडीपी अधिनियम सहमति को प्राथमिक कानूनी आधार बनाता है, जो विशिष्ट प्रगणित श्रेणियों के लिए "वैध उपयोग" द्वारा पूरक है। यह महत्वपूर्ण व्यावहारिक निहितार्थों वाला एक मौलिक डिज़ाइन विकल्प है।
सहमति आवश्यकताएँ
डीपीडीपी अधिनियम के तहत सहमति होनी चाहिए:
- निःशुल्क: कोई जबरदस्ती या शर्त नहीं
- विशिष्ट: प्रत्येक वर्णित उद्देश्य के लिए
- सूचित: स्पष्ट सहमति नोटिस के आधार पर
- बिना शर्त: आवश्यकता से अधिक डेटा प्रदान करने पर निर्भर नहीं
- स्पष्ट: स्पष्ट सकारात्मक कार्रवाई
सहमति नोटिस आवश्यकताएँ (धारा 5 और 7): सहमति मांगने से पहले, डेटा प्रत्ययी को एक नोटिस प्रदान करना होगा जिसमें शामिल है:
- संसाधित किए जाने वाले व्यक्तिगत डेटा का विवरण
- प्रसंस्करण का उद्देश्य
- जिस तरीके से डेटा प्रिंसिपल अधिकारों का प्रयोग कर सकता है
- जिस तरह से शिकायतों को डेटा फिड्यूशियरी के साथ उठाया जा सकता है
- जिस तरीके से डीपीबीआई को शिकायत की जा सकती है
नोटिस अंग्रेजी और संविधान की आठवीं अनुसूची में निर्दिष्ट भाषाओं (22 आधिकारिक भाषाओं) में होना चाहिए - उपभोक्ता-सामना वाले व्यवसायों के लिए एक महत्वपूर्ण परिचालन आवश्यकता।
सहमति प्रबंधक: डीपीडीपी अधिनियम सहमति प्रबंधकों - पंजीकृत संस्थाओं का परिचय देता है जो डेटा प्रिंसिपलों की ओर से सहमति का प्रबंधन करने वाले मध्यस्थों के रूप में कार्य करते हैं। डेटा प्रिंसिपल एक ही सहमति प्रबंधक के माध्यम से कई डेटा फ़िडुशियरी में अपनी सहमति का प्रबंधन कर सकते हैं। यह भारत के ढांचे के लिए अद्वितीय एक अभिनव तंत्र है।
वैध उपयोग (धारा 7)
विशिष्ट "वैध उपयोगों" के लिए सहमति के बिना प्रसंस्करण की अनुमति है:
- राज्य के कार्य: सब्सिडी, लाभ, सेवाएँ, प्रमाणपत्र, लाइसेंस प्रदान करने के लिए राज्य उपकरणों द्वारा प्रसंस्करण
- चिकित्सा आपातकाल: जीवन या तत्काल स्वास्थ्य जोखिम को खतरे में डालने वाली चिकित्सा आपातकाल का उपचार
- महामारी/आपदा: महामारी, महामारी या आपदाओं पर प्रतिक्रिया
- रोजगार उद्देश्य: रोजगार के संबंध में कानून के तहत दायित्वों को पूरा करने या अधिकारों का प्रयोग करने के लिए प्रसंस्करण (रोजगार पूर्व जांच सहित)
- न्यायालय के आदेश: न्यायालय के आदेशों के अनुसार प्रसंस्करण आवश्यक है
- अनुसंधान और सांख्यिकी: धोखाधड़ी की रोकथाम/पता लगाने, क्रेडिट स्कोरिंग, कानूनी अनुसंधान, सांख्यिकीय उद्देश्यों के लिए प्रसंस्करण - निर्धारित मानकों के भीतर
- निष्पक्ष और उचित उद्देश्य: केंद्र सरकार द्वारा उचित और उचित के रूप में निर्दिष्ट उद्देश्यों के लिए प्रसंस्करण
डेटा प्रमुख अधिकार
डीपीडीपी अधिनियम डेटा प्रिंसिपलों को निम्नलिखित अधिकार प्रदान करता है (धारा 11-14):
| सही है | विवरण | तंत्र |
|---|---|---|
| पहुंच का अधिकार | संसाधित किए जा रहे व्यक्तिगत डेटा का सारांश प्राप्त करें, उन सभी डेटा फ़िडुशियरी की पहचान जिनके साथ डेटा साझा किया गया है, निर्धारित अन्य जानकारी | डेटा प्रत्ययी से अनुरोध |
| सुधार और मिटाने का अधिकार | गलत डेटा को सही करें; डेटा मिटाना अब मूल उद्देश्य पूरा नहीं कर रहा है या यदि सहमति वापस ले ली गई है | डेटा प्रत्ययी से अनुरोध |
| शिकायत निवारण का अधिकार | शिकायत निवारण के आसानी से उपलब्ध साधन; निर्धारित अवधि के भीतर प्रतिक्रिया | शिकायत अधिकारी संपर्क करें |
| नामांकित करने का अधिकार | मृत्यु या अक्षमता की स्थिति में अधिकारों का प्रयोग करने के लिए किसी व्यक्ति को नामांकित करें | नामांकन प्रक्रिया |
उल्लेखनीय अनुपस्थिति: डीपीडीपी अधिनियम में जीडीपीआर के समान पोर्टेबिलिटी, प्रतिबंध, या स्वचालित निर्णय लेने पर आपत्ति के स्पष्ट अधिकार शामिल नहीं हैं। केंद्र सरकार के कार्यान्वयन नियम इनमें से कुछ को निर्धारित मानकों के माध्यम से संबोधित कर सकते हैं।
प्रतिक्रिया समयसीमा: अधिनियम समयसीमा निर्दिष्ट नहीं करता है - इन्हें कार्यान्वयन नियमों में निर्धारित किए जाने की उम्मीद है। डेटा फ़िडुशियरीज़ को एक निर्धारित अवधि के भीतर शिकायतों को स्वीकार करना होगा और उन्हें अन्य निर्धारित अवधि के भीतर हल करना होगा।
डेटा प्रत्ययी दायित्व
सामान्य दायित्व (धारा 8)
सभी डेटा प्रत्ययी को यह करना होगा:
- डेटा सटीकता बनाए रखें (पूर्णता, सटीकता, उद्देश्य के साथ स्थिरता)
- एन्क्रिप्शन, एक्सेस नियंत्रण और घटना प्रतिक्रिया सहित डेटा सुरक्षा सुरक्षा उपायों को लागू करें
- उद्देश्य पूरा होने या सहमति वापस लेने पर व्यक्तिगत डेटा हटा दें (जब तक कि कानूनी दायित्व के लिए प्रतिधारण की आवश्यकता न हो)
- डेटा प्रमुख शिकायतों के लिए एक शिकायत अधिकारी (या अधिकारी/तंत्र) रखें
- सत्यापन योग्य माता-पिता की सहमति के बिना बच्चों के डेटा को संसाधित न करें (18 वर्ष से कम उम्र के बच्चों के लिए)
- बच्चों के व्यवहार पर नज़र न रखें या निगरानी न करें या बच्चों पर विज्ञापन लक्षित न करें
बच्चों की डेटा सुरक्षा
DPDP अधिनियम में बच्चों के डेटा (18 वर्ष से कम आयु के व्यक्ति) के लिए सख्त प्रावधान हैं:
- प्रसंस्करण के लिए सत्यापन योग्य माता-पिता की सहमति की आवश्यकता होती है
- बच्चों पर नज़र रखने, व्यवहार की निगरानी और लक्षित विज्ञापन पर प्रतिबंध
- बच्चों के डेटा का कोई प्रसंस्करण उनकी भलाई के लिए हानिकारक नहीं है
कार्यान्वयन नियम सत्यापन योग्य माता-पिता की सहमति के लिए तकनीकी तंत्र को निर्दिष्ट करेंगे - यह उपभोक्ता ऐप्स के लिए एक महत्वपूर्ण यूएक्स और तकनीकी चुनौती है।
महत्वपूर्ण डेटा प्रत्ययी (एसडीएफ)
केंद्र सरकार निम्नलिखित कारकों के आधार पर कुछ डेटा फ़िडुशियरीज़ को महत्वपूर्ण डेटा फ़िड्यूशियरीज़ के रूप में नामित करेगी:
- संसाधित व्यक्तिगत डेटा की मात्रा और संवेदनशीलता
- डेटा प्रिंसिपलों के अधिकारों के लिए जोखिम
- भारत की संप्रभुता और अखंडता पर संभावित प्रभाव
- चुनावी लोकतंत्र के लिए ख़तरा
- राज्य की सुरक्षा
- सार्वजनिक व्यवस्था
एसडीएफ को अतिरिक्त दायित्वों का सामना करना पड़ता है (धारा 10):
- डेटा सुरक्षा प्रभाव आकलन (DPIA): उच्च जोखिम वाली प्रसंस्करण गतिविधियों के लिए DPIA का संचालन और दस्तावेज़ीकरण
- डेटा ऑडिट: एक स्वतंत्र डेटा ऑडिटर द्वारा आवधिक ऑडिट
- डेटा सुरक्षा अधिकारी (डीपीओ): भारत में स्थित एक डीपीओ को प्रमुख प्रबंधकीय कार्मिक के रूप में नियुक्त करें
- अन्य उपाय: जैसा कि केंद्र सरकार द्वारा निर्धारित किया गया है
एसडीएफ पदनाम के मानदंडों को अभी तक अंतिम रूप नहीं दिया गया है - कार्यान्वयन नियम सीमाएं निर्दिष्ट करेंगे। अंतरराष्ट्रीय मिसालों के आधार पर, लाखों भारतीय उपयोगकर्ताओं वाली प्रौद्योगिकी कंपनियां, सोशल मीडिया प्लेटफॉर्म और बड़े ई-कॉमर्स व्यवसाय संभावित उम्मीदवार हैं।
सीमा पार डेटा स्थानांतरण
डीपीडीपी अधिनियम की धारा 16 एक उल्लेखनीय दृष्टिकोण अपनाती है: व्यक्तिगत डेटा को केंद्र सरकार की अधिसूचना द्वारा विशेष रूप से प्रतिबंधित देशों को छोड़कर **भारत के बाहर किसी भी देश में स्थानांतरित किया जा सकता है।
यह एक सकारात्मक सूची/नकारात्मक प्रतिबंध दृष्टिकोण है - डिफ़ॉल्ट यह है कि स्थानांतरण की अनुमति है, लेकिन सरकार राष्ट्रीय सुरक्षा, रणनीतिक या अन्य कारणों से विशिष्ट देशों में स्थानांतरण को प्रतिबंधित कर सकती है।
व्यावहारिक निहितार्थ:
- व्यवसाय प्रति-स्थानांतरण मूल्यांकन के बिना अंतरराष्ट्रीय स्तर पर डेटा स्थानांतरित कर सकते हैं (देश प्रतिबंधों के अधीन)
- केंद्र सरकार प्रतिबंधित देशों की एक सूची प्रकाशित करेगी - व्यवसायों को प्रतिबंधों की निगरानी और कार्यान्वयन करना होगा
- सेक्टर-विशिष्ट स्थानीयकरण आवश्यकताएं (आरबीआई के तहत वित्तीय डेटा, एनएमसी/स्वास्थ्य मंत्रालय के तहत स्वास्थ्य डेटा) डीपीडीपी अधिनियम के साथ लागू होती रहेंगी।
वर्तमान स्थिति: 2026 की शुरुआत तक, कोई देश-प्रतिबंध अधिसूचना जारी नहीं की गई है। कार्यान्वयन नियम प्रतिबंधित सूची को प्रकाशित करने और अद्यतन करने के लिए रूपरेखा स्थापित करेंगे।
भारतीय डेटा संरक्षण बोर्ड (DPBI)
धारा 18 डीपीबीआई को निम्नलिखित शक्तियों के साथ एक स्वतंत्र न्यायिक निकाय के रूप में स्थापित करती है:
- डेटा प्रिंसिपलों से शिकायतें प्राप्त करें और उनकी जांच करें
- कथित उल्लंघनों की जांच करें
- आर्थिक दंड सहित आदेश पारित करें
- डेटा फिड्यूशियरीज और प्रोसेसर्स को निर्देश जारी करें
- नीतिगत कार्रवाई के लिए मामलों को केंद्र सरकार को भेजें
डीपीबीआई संरचना: केंद्र सरकार द्वारा नियुक्त अध्यक्ष की अध्यक्षता में; सदस्यों में प्रौद्योगिकी, कानून और सार्वजनिक नीति के विशेषज्ञ शामिल हैं। डीपीबीआई का गठन अभी तक नहीं हुआ है - इसकी परिचालन तैयारी नियमों और सरकारी नियुक्तियों को लागू करने पर निर्भर करेगी।
जांच प्रक्रिया: डेटा प्रिंसिपल डेटा फिड्यूशियरी के आंतरिक शिकायत तंत्र को समाप्त करने के बाद डीपीबीआई से शिकायत कर सकते हैं। डीपीबीआई जांच कर सकती है, दस्तावेज़ मांग सकती है, गवाहों को बुला सकती है और कारण बताओ नोटिस जारी कर सकती है। दंड आदेश से पहले संस्थाओं को सुनवाई का अधिकार है।
दंड
डीपीडीपी अधिनियम एक दंड अनुसूची स्थापित करता है (डीपीबीआई की अनुसूची):
| उल्लंघन | अधिकतम जुर्माना |
|---|---|
| सुरक्षा उपायों को लागू करने में विफलता के कारण उल्लंघन होता है | ₹250 करोड़ (~$30M USD) |
| डीपीबीआई और डेटा प्रिंसिपलों को उल्लंघन के बारे में सूचित करने में विफलता | ₹200 करोड़ (~$24M USD) |
| अतिरिक्त एसडीएफ दायित्वों का अनुपालन न करना | ₹150 करोड़ (~$18M USD) |
| बच्चों की डेटा सुरक्षा का अनुपालन न करना | ₹200 करोड़ (~$24M USD) |
| डीपीबीआई आदेशों का अनुपालन न करना | ₹150 करोड़ (~$18M USD) |
| अन्य उल्लंघन | ₹50 करोड़ (~$6M USD) |
जुर्माना प्रति उल्लंघन है और संचयी हो सकता है - सुरक्षा विफलता और अधिसूचना विफलता से जुड़े एकल डेटा उल्लंघन पर सैद्धांतिक रूप से कुल ₹450 करोड़ लग सकते हैं।
उल्लंघन अधिसूचना
धारा 8 में डेटा फ़िडुशियरी को किसी भी व्यक्तिगत डेटा उल्लंघन के बारे में डीपीबीआई (और निर्धारित माध्यमों से डेटा प्रिंसिपलों) को सूचित करने की आवश्यकता होती है। जीडीपीआर की जोखिम-आधारित सीमा (केवल "उच्च जोखिम होने की संभावना") के विपरीत, डीपीडीपी अधिनियम में डिजिटल व्यक्तिगत डेटा को प्रभावित करने वाले सभी उल्लंघनों की अधिसूचना की आवश्यकता होती है। कार्यान्वयन नियम निर्दिष्ट करेंगे:
- अधिसूचना के लिए समयरेखा
- अधिसूचना का प्रपत्र और सामग्री
- प्रभावित डेटा प्रिंसिपलों को सूचित करने का तरीका
निर्दिष्ट समयसीमा के अभाव में, सर्वोत्तम अभ्यास डीपीबीआई अधिसूचना के लिए जीडीपीआर के 72-घंटे के मानक के साथ संरेखित करना और उच्च जोखिम वाले उल्लंघनों के लिए अनुचित देरी के बिना डेटा प्रिंसिपलों को सूचित करना है।
डीपीडीपी अधिनियम कार्यान्वयन समयरेखा
अगस्त 2023: डीपीडीपी अधिनियम अधिनियमित हुआ और राष्ट्रपति की सहमति प्राप्त हुई
2024: नियमों को लागू करने पर सरकारी परामर्श; हितधारक प्रतिक्रिया अवधि
2025–2026: कार्यान्वयन नियमों को अधिसूचित किए जाने की उम्मीद है, निर्दिष्ट करते हुए:
- सहमति सूचना प्रारूप और भाषा आवश्यकताएँ
- डेटा अवधारण अवधि
- एसडीएफ पदनाम मानदंड और सीमाएं
- सत्यापन योग्य अभिभावक सहमति तंत्र
- सहमति प्रबंधक पंजीकरण आवश्यकताएँ
- डीपीबीआई संविधान और परिचालन प्रक्रियाएं
- डेटा ऑडिटर योग्यता आवश्यकताएँ
वर्तमान स्थिति: अधिनियम लागू है लेकिन कई परिचालन आवश्यकताएं नियमों को लागू करने पर निर्भर करती हैं। व्यवसायों को नियम विकास की निगरानी करते समय जीडीपीआर-स्तर की कठोरता को ध्यान में रखते हुए अनुपालन कार्यक्रम डिजाइन करना चाहिए।
डीपीडीपी अधिनियम अनुपालन चेकलिस्ट
- प्रयोज्यता विश्लेषण पूरा हुआ (भारत में परिचालन, भारतीय ग्राहक)
- सभी प्रसंस्करण गतिविधियों के लिए व्यक्तिगत डेटा सूची पूरी हो गई है
- सहमति नोटिस धारा 5 और 7 आवश्यकताओं को पूरा करते हुए विकसित किया गया है
- सहमति तंत्र लागू किया गया (सकारात्मक, विशिष्ट, बिना शर्त)
- लागू भारतीय भाषाओं में सहमति सूचना अनुवाद की योजना बनाई गई है
- सहमति के बिना प्रसंस्करण के लिए वैध उपयोग विश्लेषण पूरा किया गया
- बच्चों की डेटा पहचान पूरी हो गई - माता-पिता की सहमति तंत्र की योजना बनाई गई
- डेटा प्रमुख अधिकार प्रक्रियाएं प्रलेखित (पहुंच, सुधार, मिटाना, नामांकन)
- शिकायत अधिकारी नामित और संपर्क जानकारी प्रकाशित
- सुरक्षा सुरक्षा उपाय लागू किए गए (एन्क्रिप्शन, पहुंच नियंत्रण, घटना प्रतिक्रिया)
- उल्लंघन अधिसूचना प्रक्रिया प्रलेखित (डीपीबीआई रिपोर्टिंग आवश्यकताओं के साथ संरेखित)
- डेटा प्रतिधारण और विलोपन प्रक्रियाएँ प्रलेखित और स्वचालित
- सीमा पार स्थानांतरण मूल्यांकन - प्रतिबंधित देश सूची निगरानी की योजना बनाई गई
- एसडीएफ पदनाम मूल्यांकन - यदि अर्हता प्राप्त करने की संभावना है तो अतिरिक्त दायित्वों के लिए तैयार रहें
- उच्च जोखिम वाले प्रसंस्करण के लिए डीपीआईए प्रक्रिया स्थापित की गई
- डीपीडीपी अधिनियम दायित्वों पर कर्मचारी प्रशिक्षण पूरा हुआ
अक्सर पूछे जाने वाले प्रश्न
क्या डीपीडीपी अधिनियम 2023 पूरी तरह से लागू है?
डीपीडीपी अधिनियम अधिनियमित किया गया था और अगस्त 2023 में राष्ट्रपति की सहमति प्राप्त हुई थी। हालाँकि, कई प्रावधान नियमों को लागू करने पर निर्भर करते हैं (जिन्हें अधिनियम के तहत नियम कहा जाता है) जो परिचालन आवश्यकताओं को निर्दिष्ट करते हैं। 2026 की शुरुआत तक, कार्यान्वयन नियमों को पूरी तरह से अधिसूचित नहीं किया गया है। अधिनियम स्वयं लागू है - जिसका अर्थ है कि इसके सिद्धांत और कुछ दायित्व लागू होते हैं - लेकिन विस्तृत अनुपालन आवश्यकताएं (सहमति नोटिस प्रारूप, एसडीएफ मानदंड, डीपीबीआई प्रक्रियाएं) नियमों की प्रतीक्षा करती हैं। व्यवसायों को अब अनुपालन ढाँचा तैयार करना चाहिए और नियम प्रकाशित होते ही उन्हें अद्यतन करना चाहिए।
डीपीडीपी अधिनियम जीडीपीआर से किस प्रकार भिन्न है?
कई महत्वपूर्ण अंतर: (1) डीपीडीपी अधिनियम सहमति को प्राथमिक आधार के रूप में उपयोग करता है, सीमित "वैध उपयोग" के साथ - जीडीपीआर में छह समान कानूनी आधार हैं; (2) डीपीडीपी अधिनियम डिफ़ॉल्ट रूप से सीमा पार स्थानांतरण की अनुमति देता है (सरकार-प्रतिबंधित देशों के अपवाद के साथ) - जीडीपीआर तब तक स्थानांतरण को प्रतिबंधित करता है जब तक कि पर्याप्त सुरक्षा मौजूद न हो; (3) डीपीडीपी अधिनियम में डेटा पोर्टेबिलिटी या प्रसंस्करण में प्रतिबंध के स्पष्ट अधिकार शामिल नहीं हैं; (4) डीपीडीपी अधिनियम सहमति प्रबंधकों का परिचय देता है - एक अद्वितीय नवाचार; (5) डीपीडीपी अधिनियम की जुर्माना संरचना (अधिकतम 250 करोड़ रुपये) बड़ी बहुराष्ट्रीय कंपनियों के लिए जीडीपीआर की संभावित अधिकतम सीमा से कम है; (6) डीपीडीपी अधिनियम केवल डिजिटल व्यक्तिगत डेटा पर लागू होता है - जीडीपीआर प्रारूप की परवाह किए बिना सभी व्यक्तिगत डेटा पर लागू होता है।
महत्वपूर्ण डेटा प्रत्ययी के रूप में किसे नामित किए जाने की संभावना है?
धारा 10 के मानदंड सुझाव देते हैं कि एसडीएफ में शामिल होंगे: भारत में सक्रिय प्रमुख सोशल मीडिया प्लेटफॉर्म, पर्याप्त भारतीय उपयोगकर्ता आधार वाली बड़ी ई-कॉमर्स कंपनियां, बड़े पैमाने पर संवेदनशील डेटा (स्वास्थ्य, वित्तीय) संसाधित करने वाली कंपनियां, महत्वपूर्ण प्रसंस्करण मात्रा वाली प्रौद्योगिकी कंपनियां। जीडीपीआर के अनुरूप "बड़े पैमाने पर व्यवस्थित निगरानी" सीमा और भारत के आकार (1.4 बिलियन जनसंख्या) के आधार पर, लाखों भारतीय उपयोगकर्ताओं वाली कंपनियों, विशेष रूप से उपभोक्ता इंटरनेट, फिनटेक और स्वास्थ्य-तकनीक क्षेत्रों में, एसडीएफ संभावना का आकलन करना चाहिए और बढ़े हुए दायित्वों के लिए तैयार रहना चाहिए।
सहमति प्रबंधक प्रावधान क्या हैं?
सहमति प्रबंधक डीपीबीआई के साथ पंजीकृत संस्थाएं हैं जो इंटरऑपरेबल प्लेटफॉर्म बनाए रखती हैं, जिसके माध्यम से डेटा प्रिंसिपल कई डेटा फ़िडुशियरी में सहमति दे सकते हैं, प्रबंधित कर सकते हैं, समीक्षा कर सकते हैं और वापस ले सकते हैं। एक सहमति प्रबंधक के माध्यम से प्राप्त सहमति के आधार पर डेटा फ़िडुशियरी प्रसंस्करण के लिए जवाबदेह हैं। इसे व्यक्तियों को डिजिटल पारिस्थितिकी तंत्र में उनकी सहमति का एक केंद्रीकृत दृष्टिकोण और नियंत्रण देने के लिए डिज़ाइन किया गया है। सहमति प्रबंधकों के लिए पंजीकरण आवश्यकताओं और तकनीकी मानकों को कार्यान्वयन नियमों में निर्दिष्ट किया जाएगा।
डीपीडीपी अधिनियम कर्मचारी डेटा पर कैसे लागू होता है?
रोजगार डेटा को "वैध उपयोग" प्रावधान (धारा 7(एफ)) के माध्यम से संबोधित किया जाता है - रोजगार के संबंध में दायित्वों को पूरा करने या कानून के तहत अधिकारों का प्रयोग करने के उद्देश्य से प्रसंस्करण (रोजगार पूर्व सत्यापन, पृष्ठभूमि जांच, पेरोल, लाभ सहित) सहमति की आवश्यकता के बिना वैध उपयोग के रूप में योग्य है। हालाँकि, रोजगार उद्देश्यों से परे कर्मचारी डेटा के लिए सहमति की आवश्यकता होगी। कार्यान्वयन नियमों से रोजगार-संबंधी वैध उपयोगों के दायरे को स्पष्ट करने की अपेक्षा की जाती है।
क्या सेक्टर-विशिष्ट डेटा स्थानीयकरण आवश्यकताएं अभी भी लागू होती हैं?
हाँ। डीपीडीपी अधिनियम के सीमा पार स्थानांतरण प्रावधान क्षेत्र-विशिष्ट स्थानीयकरण आवश्यकताओं का स्थान नहीं लेते हैं। भारतीय रिज़र्व बैंक (RBI) को भारत के भीतर वित्तीय डेटा भंडारण की आवश्यकता है (भुगतान प्रणाली डेटा संग्रहण दिशा, 2018)। राष्ट्रीय चिकित्सा आयोग और स्वास्थ्य मंत्रालय के पास स्वास्थ्य डेटा स्थानीयकरण आवश्यकताएँ हैं। IRDAI (बीमा) के पास बीमा कंपनियों के लिए डेटा स्थानीयकरण आवश्यकताएँ हैं। विनियमित क्षेत्रों के व्यवसायों को डीपीडीपी अधिनियम और क्षेत्र-विशिष्ट आवश्यकताओं दोनों को पूरा करना होगा।
अगले चरण
भारत का डीपीडीपी अधिनियम भारतीय परिचालन, ग्राहकों या कर्मचारियों वाले किसी भी व्यवसाय के लिए एक महत्वपूर्ण नियामक विकास का प्रतिनिधित्व करता है। जबकि नियमों को लागू करने को अभी भी अंतिम रूप दिया जा रहा है, अब आपके अनुपालन कार्यक्रम का निर्माण - विशेष रूप से सहमति तंत्र, डेटा प्रमुख अधिकार और सुरक्षा सुरक्षा उपायों के आसपास - आपको नियमों को अधिसूचित होने पर कुशलतापूर्वक अनुपालन प्राप्त करने में सक्षम बनाता है।
ECOSIRE की प्रौद्योगिकी कार्यान्वयन टीम व्यवसायों को भारत के बाजार के अनुरूप DPDP-संगत डेटा आर्किटेक्चर, सहमति प्रबंधन प्रणाली और गोपनीयता संचालन वर्कफ़्लो डिज़ाइन करने में मदद करती है।
आरंभ करें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। डीपीडीपी अधिनियम के कार्यान्वयन नियम लंबित हैं; नियम अधिसूचित होते ही आवश्यकताएँ विकसित होंगी। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य भारतीय कानूनी सलाहकार से परामर्श लें।
लेखक
ECOSIRE Research and Development Team
ECOSIRE में एंटरप्राइज़-ग्रेड डिजिटल उत्पाद बना रहे हैं। Odoo एकीकरण, ई-कॉमर्स ऑटोमेशन, और AI-संचालित व्यावसायिक समाधानों पर अंतर्दृष्टि साझा कर रहे हैं।
संबंधित लेख
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Compliance & Regulation से और अधिक
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.