हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ें11 अगस्त, 2023 को अधिनियमित भारत का डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम 2023 (डीपीडीपी अधिनियम), गोपनीयता विनियमन के लिए भारत के दृष्टिकोण में एक ऐतिहासिक बदलाव का प्रतिनिधित्व करता है। लगभग एक दशक के विधायी विचार-विमर्श के बाद - जिसमें न्यायमूर्ति श्रीकृष्ण समिति की रिपोर्ट (2017), व्यक्तिगत डेटा संरक्षण विधेयक के कई मसौदे, और निजता को मौलिक अधिकार के रूप में पुष्टि करने वाला सर्वोच्च न्यायालय का फैसला (जस्टिस के.एस. पुट्टास्वामी बनाम भारत संघ, 2017) शामिल है - भारत के पास अब एक व्यापक, लागू करने योग्य डेटा सुरक्षा ढांचा है।
डीपीडीपी अधिनियम "डेटा प्रत्ययी," "डेटा प्रिंसिपल," और "सहमति प्रबंधक" जैसी अवधारणाओं का परिचय देता है, प्रवर्तन प्राधिकरण के रूप में डेटा प्रोटेक्शन बोर्ड ऑफ इंडिया (डीपीबीआई) की स्थापना करता है, और प्रति उल्लंघन ₹250 करोड़ (~$30 मिलियन अमरीकी डालर) तक का वित्तीय दंड निर्धारित करता है। अधिनियम अब लागू है, और इसके कार्यान्वयन नियमों को 2025-2026 में अंतिम रूप दिए जाने और अधिसूचित किए जाने की उम्मीद है।
मुख्य बातें
- डीपीडीपी अधिनियम 2023 भारत में डिजिटल व्यक्तिगत डेटा प्रोसेसिंग और भारतीय व्यक्तियों को दी जाने वाली सेवाओं के लिए बाह्य रूप से लागू होता है
- सहमति प्राथमिक कानूनी आधार है, जो विशिष्ट उद्देश्यों (रोजगार, कानूनी कार्यवाही, सार्वजनिक हित) के लिए "वैध उपयोग" द्वारा पूरक है।
- "महत्वपूर्ण डेटा प्रत्ययी" को डीपीआईए आवश्यकताओं और एक स्वतंत्र डेटा ऑडिटर की नियुक्ति सहित बढ़े हुए दायित्वों का सामना करना पड़ता है
- भारतीय डेटा संरक्षण बोर्ड (डीपीबीआई) प्रवर्तन प्राधिकारी है जिसके पास जांच करने, निर्णय लेने और जुर्माना लगाने की शक्तियां हैं।
- प्रति उल्लंघन अधिकतम जुर्माना ₹250 करोड़ (~$30 मिलियन) है; एकाधिक उल्लंघनों के लिए दंड संचयी हैं
- केंद्र सरकार की अधिसूचना द्वारा विशेष रूप से प्रतिबंधित देशों को छोड़कर सभी देशों में सीमा पार डेटा स्थानांतरण की अनुमति है
- डेटा प्रिंसिपलों (व्यक्तियों) को एक्सेस, सुधार, मिटाने, नामांकन और शिकायत निवारण का अधिकार है
- नियमों को लागू करना (अभी तक अंतिम रूप नहीं दिया गया है) सहमति नोटिस प्रारूप, प्रतिधारण अवधि और महत्वपूर्ण डेटा प्रत्ययी मानदंड सहित प्रमुख परिचालन आवश्यकताओं को निर्दिष्ट करेगा।
डीपीडीपी अधिनियम 2023: फ्रेमवर्क अवलोकन
प्रमुख शब्दावली
डीपीडीपी अधिनियम जीडीपीआर-प्रभावित ढांचे से अलग अपनी शब्दावली प्रस्तुत करता है:
- व्यक्तिगत डेटा: किसी व्यक्ति के बारे में कोई भी डेटा जो ऐसे डेटा द्वारा या उसके संबंध में पहचाना जा सकता है
- डिजिटल व्यक्तिगत डेटा: डिजिटल रूप में व्यक्तिगत डेटा, या गैर-डिजिटल व्यक्तिगत डेटा बाद में डिजिटलीकृत
- डेटा प्रिंसिपल: वह व्यक्ति जिससे व्यक्तिगत डेटा संबंधित है (जीडीपीआर के "डेटा विषय" के बराबर)
- डेटा प्रत्ययी: कोई भी व्यक्ति जो अकेले या दूसरों के साथ मिलकर प्रसंस्करण के उद्देश्य और साधन को निर्धारित करता है (जीडीपीआर के "डेटा नियंत्रक" के बराबर)
- डेटा प्रोसेसर: एक व्यक्ति जो डेटा प्रत्ययी की ओर से व्यक्तिगत डेटा संसाधित करता है
- महत्वपूर्ण डेटा प्रत्ययी (एसडीएफ): डेटा की मात्रा/संवेदनशीलता, डेटा प्रिंसिपलों के लिए जोखिम, राष्ट्रीय सुरक्षा विचार और अन्य मानदंडों के आधार पर केंद्र सरकार द्वारा नामित एक डेटा प्रत्ययी
दायरा
डीपीडीपी अधिनियम इस पर लागू होता है:
- भारत के भीतर डिजिटल व्यक्तिगत डेटा का प्रसंस्करण
- भारत के बाहर डिजिटल व्यक्तिगत डेटा का प्रसंस्करण - यदि यह भारत में डेटा प्रिंसिपलों को सामान या सेवाएं प्रदान करने के उद्देश्य से है
छूट: व्यक्तिगत या घरेलू उद्देश्यों के लिए प्रसंस्करण; व्यक्तिगत डेटा को डेटा प्रिंसिपल द्वारा स्वयं सार्वजनिक रूप से उपलब्ध कराया जाता है या जिसे डेटा प्रिंसिपल को सार्वजनिक करने के लिए कानूनी रूप से आवश्यक होता है।
आधार के रूप में सहमति
कई समान कानूनी आधारों वाले अधिकांश वैश्विक डेटा संरक्षण कानूनों के विपरीत, डीपीडीपी अधिनियम सहमति को प्राथमिक कानूनी आधार बनाता है, जो विशिष्ट प्रगणित श्रेणियों के लिए "वैध उपयोग" द्वारा पूरक है। यह महत्वपूर्ण व्यावहारिक निहितार्थों वाला एक मौलिक डिज़ाइन विकल्प है।
सहमति आवश्यकताएँ
डीपीडीपी अधिनियम के तहत सहमति होनी चाहिए:
- निःशुल्क: कोई जबरदस्ती या शर्त नहीं
- विशिष्ट: प्रत्येक वर्णित उद्देश्य के लिए
- सूचित: स्पष्ट सहमति नोटिस के आधार पर
- बिना शर्त: आवश्यकता से अधिक डेटा प्रदान करने पर निर्भर नहीं
- स्पष्ट: स्पष्ट सकारात्मक कार्रवाई
सहमति नोटिस आवश्यकताएँ (धारा 5 और 7): सहमति मांगने से पहले, डेटा प्रत्ययी को एक नोटिस प्रदान करना होगा जिसमें शामिल है:
- संसाधित किए जाने वाले व्यक्तिगत डेटा का विवरण
- प्रसंस्करण का उद्देश्य
- जिस तरीके से डेटा प्रिंसिपल अधिकारों का प्रयोग कर सकता है
- जिस तरह से शिकायतों को डेटा फिड्यूशियरी के साथ उठाया जा सकता है
- जिस तरीके से डीपीबीआई को शिकायत की जा सकती है
नोटिस अंग्रेजी और संविधान की आठवीं अनुसूची में निर्दिष्ट भाषाओं (22 आधिकारिक भाषाओं) में होना चाहिए - उपभोक्ता-सामना वाले व्यवसायों के लिए एक महत्वपूर्ण परिचालन आवश्यकता।
सहमति प्रबंधक: डीपीडीपी अधिनियम सहमति प्रबंधकों - पंजीकृत संस्थाओं का परिचय देता है जो डेटा प्रिंसिपलों की ओर से सहमति का प्रबंधन करने वाले मध्यस्थों के रूप में कार्य करते हैं। डेटा प्रिंसिपल एक ही सहमति प्रबंधक के माध्यम से कई डेटा फ़िडुशियरी में अपनी सहमति का प्रबंधन कर सकते हैं। यह भारत के ढांचे के लिए अद्वितीय एक अभिनव तंत्र है।
वैध उपयोग (धारा 7)
विशिष्ट "वैध उपयोगों" के लिए सहमति के बिना प्रसंस्करण की अनुमति है:
- राज्य के कार्य: सब्सिडी, लाभ, सेवाएँ, प्रमाणपत्र, लाइसेंस प्रदान करने के लिए राज्य उपकरणों द्वारा प्रसंस्करण
- चिकित्सा आपातकाल: जीवन या तत्काल स्वास्थ्य जोखिम को खतरे में डालने वाली चिकित्सा आपातकाल का उपचार
- महामारी/आपदा: महामारी, महामारी या आपदाओं पर प्रतिक्रिया
- रोजगार उद्देश्य: रोजगार के संबंध में कानून के तहत दायित्वों को पूरा करने या अधिकारों का प्रयोग करने के लिए प्रसंस्करण (रोजगार पूर्व जांच सहित)
- न्यायालय के आदेश: न्यायालय के आदेशों के अनुसार प्रसंस्करण आवश्यक है
- अनुसंधान और सांख्यिकी: धोखाधड़ी की रोकथाम/पता लगाने, क्रेडिट स्कोरिंग, कानूनी अनुसंधान, सांख्यिकीय उद्देश्यों के लिए प्रसंस्करण - निर्धारित मानकों के भीतर
- निष्पक्ष और उचित उद्देश्य: केंद्र सरकार द्वारा उचित और उचित के रूप में निर्दिष्ट उद्देश्यों के लिए प्रसंस्करण
डेटा प्रमुख अधिकार
डीपीडीपी अधिनियम डेटा प्रिंसिपलों को निम्नलिखित अधिकार प्रदान करता है (धारा 11-14):
| सही है | विवरण | तंत्र |
|---|---|---|
| पहुंच का अधिकार | संसाधित किए जा रहे व्यक्तिगत डेटा का सारांश प्राप्त करें, उन सभी डेटा फ़िडुशियरी की पहचान जिनके साथ डेटा साझा किया गया है, निर्धारित अन्य जानकारी | डेटा प्रत्ययी से अनुरोध |
| सुधार और मिटाने का अधिकार | गलत डेटा को सही करें; डेटा मिटाना अब मूल उद्देश्य पूरा नहीं कर रहा है या यदि सहमति वापस ले ली गई है | डेटा प्रत्ययी से अनुरोध |
| शिकायत निवारण का अधिकार | शिकायत निवारण के आसानी से उपलब्ध साधन; निर्धारित अवधि के भीतर प्रतिक्रिया | शिकायत अधिकारी संपर्क करें |
| नामांकित करने का अधिकार | मृत्यु या अक्षमता की स्थिति में अधिकारों का प्रयोग करने के लिए किसी व्यक्ति को नामांकित करें | नामांकन प्रक्रिया |
उल्लेखनीय अनुपस्थिति: डीपीडीपी अधिनियम में जीडीपीआर के समान पोर्टेबिलिटी, प्रतिबंध, या स्वचालित निर्णय लेने पर आपत्ति के स्पष्ट अधिकार शामिल नहीं हैं। केंद्र सरकार के कार्यान्वयन नियम इनमें से कुछ को निर्धारित मानकों के माध्यम से संबोधित कर सकते हैं।
प्रतिक्रिया समयसीमा: अधिनियम समयसीमा निर्दिष्ट नहीं करता है - इन्हें कार्यान्वयन नियमों में निर्धारित किए जाने की उम्मीद है। डेटा फ़िडुशियरीज़ को एक निर्धारित अवधि के भीतर शिकायतों को स्वीकार करना होगा और उन्हें अन्य निर्धारित अवधि के भीतर हल करना होगा।
डेटा प्रत्ययी दायित्व
सामान्य दायित्व (धारा 8)
सभी डेटा प्रत्ययी को यह करना होगा:
- डेटा सटीकता बनाए रखें (पूर्णता, सटीकता, उद्देश्य के साथ स्थिरता)
- एन्क्रिप्शन, एक्सेस नियंत्रण और घटना प्रतिक्रिया सहित डेटा सुरक्षा सुरक्षा उपायों को लागू करें
- उद्देश्य पूरा होने या सहमति वापस लेने पर व्यक्तिगत डेटा हटा दें (जब तक कि कानूनी दायित्व के लिए प्रतिधारण की आवश्यकता न हो)
- डेटा प्रमुख शिकायतों के लिए एक शिकायत अधिकारी (या अधिकारी/तंत्र) रखें
- सत्यापन योग्य माता-पिता की सहमति के बिना बच्चों के डेटा को संसाधित न करें (18 वर्ष से कम उम्र के बच्चों के लिए)
- बच्चों के व्यवहार पर नज़र न रखें या निगरानी न करें या बच्चों पर विज्ञापन लक्षित न करें
बच्चों की डेटा सुरक्षा
DPDP अधिनियम में बच्चों के डेटा (18 वर्ष से कम आयु के व्यक्ति) के लिए सख्त प्रावधान हैं:
- प्रसंस्करण के लिए सत्यापन योग्य माता-पिता की सहमति की आवश्यकता होती है
- बच्चों पर नज़र रखने, व्यवहार की निगरानी और लक्षित विज्ञापन पर प्रतिबंध
- बच्चों के डेटा का कोई प्रसंस्करण उनकी भलाई के लिए हानिकारक नहीं है
कार्यान्वयन नियम सत्यापन योग्य माता-पिता की सहमति के लिए तकनीकी तंत्र को निर्दिष्ट करेंगे - यह उपभोक्ता ऐप्स के लिए एक महत्वपूर्ण यूएक्स और तकनीकी चुनौती है।
महत्वपूर्ण डेटा प्रत्ययी (एसडीएफ)
केंद्र सरकार निम्नलिखित कारकों के आधार पर कुछ डेटा फ़िडुशियरीज़ को महत्वपूर्ण डेटा फ़िड्यूशियरीज़ के रूप में नामित करेगी:
- संसाधित व्यक्तिगत डेटा की मात्रा और संवेदनशीलता
- डेटा प्रिंसिपलों के अधिकारों के लिए जोखिम
- भारत की संप्रभुता और अखंडता पर संभावित प्रभाव
- चुनावी लोकतंत्र के लिए ख़तरा
- राज्य की सुरक्षा
- सार्वजनिक व्यवस्था
एसडीएफ को अतिरिक्त दायित्वों का सामना करना पड़ता है (धारा 10):
- डेटा सुरक्षा प्रभाव आकलन (DPIA): उच्च जोखिम वाली प्रसंस्करण गतिविधियों के लिए DPIA का संचालन और दस्तावेज़ीकरण
- डेटा ऑडिट: एक स्वतंत्र डेटा ऑडिटर द्वारा आवधिक ऑडिट
- डेटा सुरक्षा अधिकारी (डीपीओ): भारत में स्थित एक डीपीओ को प्रमुख प्रबंधकीय कार्मिक के रूप में नियुक्त करें
- अन्य उपाय: जैसा कि केंद्र सरकार द्वारा निर्धारित किया गया है
एसडीएफ पदनाम के मानदंडों को अभी तक अंतिम रूप नहीं दिया गया है - कार्यान्वयन नियम सीमाएं निर्दिष्ट करेंगे। अंतरराष्ट्रीय मिसालों के आधार पर, लाखों भारतीय उपयोगकर्ताओं वाली प्रौद्योगिकी कंपनियां, सोशल मीडिया प्लेटफॉर्म और बड़े ई-कॉमर्स व्यवसाय संभावित उम्मीदवार हैं।
सीमा पार डेटा स्थानांतरण
डीपीडीपी अधिनियम की धारा 16 एक उल्लेखनीय दृष्टिकोण अपनाती है: व्यक्तिगत डेटा को केंद्र सरकार की अधिसूचना द्वारा विशेष रूप से प्रतिबंधित देशों को छोड़कर **भारत के बाहर किसी भी देश में स्थानांतरित किया जा सकता है।
यह एक सकारात्मक सूची/नकारात्मक प्रतिबंध दृष्टिकोण है - डिफ़ॉल्ट यह है कि स्थानांतरण की अनुमति है, लेकिन सरकार राष्ट्रीय सुरक्षा, रणनीतिक या अन्य कारणों से विशिष्ट देशों में स्थानांतरण को प्रतिबंधित कर सकती है।
व्यावहारिक निहितार्थ:
- व्यवसाय प्रति-स्थानांतरण मूल्यांकन के बिना अंतरराष्ट्रीय स्तर पर डेटा स्थानांतरित कर सकते हैं (देश प्रतिबंधों के अधीन)
- केंद्र सरकार प्रतिबंधित देशों की एक सूची प्रकाशित करेगी - व्यवसायों को प्रतिबंधों की निगरानी और कार्यान्वयन करना होगा
- सेक्टर-विशिष्ट स्थानीयकरण आवश्यकताएं (आरबीआई के तहत वित्तीय डेटा, एनएमसी/स्वास्थ्य मंत्रालय के तहत स्वास्थ्य डेटा) डीपीडीपी अधिनियम के साथ लागू होती रहेंगी।
वर्तमान स्थिति: 2026 की शुरुआत तक, कोई देश-प्रतिबंध अधिसूचना जारी नहीं की गई है। कार्यान्वयन नियम प्रतिबंधित सूची को प्रकाशित करने और अद्यतन करने के लिए रूपरेखा स्थापित करेंगे।
भारतीय डेटा संरक्षण बोर्ड (DPBI)
धारा 18 डीपीबीआई को निम्नलिखित शक्तियों के साथ एक स्वतंत्र न्यायिक निकाय के रूप में स्थापित करती है:
- डेटा प्रिंसिपलों से शिकायतें प्राप्त करें और उनकी जांच करें
- कथित उल्लंघनों की जांच करें
- आर्थिक दंड सहित आदेश पारित करें
- डेटा फिड्यूशियरीज और प्रोसेसर्स को निर्देश जारी करें
- नीतिगत कार्रवाई के लिए मामलों को केंद्र सरकार को भेजें
डीपीबीआई संरचना: केंद्र सरकार द्वारा नियुक्त अध्यक्ष की अध्यक्षता में; सदस्यों में प्रौद्योगिकी, कानून और सार्वजनिक नीति के विशेषज्ञ शामिल हैं। डीपीबीआई का गठन अभी तक नहीं हुआ है - इसकी परिचालन तैयारी नियमों और सरकारी नियुक्तियों को लागू करने पर निर्भर करेगी।
जांच प्रक्रिया: डेटा प्रिंसिपल डेटा फिड्यूशियरी के आंतरिक शिकायत तंत्र को समाप्त करने के बाद डीपीबीआई से शिकायत कर सकते हैं। डीपीबीआई जांच कर सकती है, दस्तावेज़ मांग सकती है, गवाहों को बुला सकती है और कारण बताओ नोटिस जारी कर सकती है। दंड आदेश से पहले संस्थाओं को सुनवाई का अधिकार है।
दंड
डीपीडीपी अधिनियम एक दंड अनुसूची स्थापित करता है (डीपीबीआई की अनुसूची):
| उल्लंघन | अधिकतम जुर्माना |
|---|---|
| सुरक्षा उपायों को लागू करने में विफलता के कारण उल्लंघन होता है | ₹250 करोड़ (~$30M USD) |
| डीपीबीआई और डेटा प्रिंसिपलों को उल्लंघन के बारे में सूचित करने में विफलता | ₹200 करोड़ (~$24M USD) |
| अतिरिक्त एसडीएफ दायित्वों का अनुपालन न करना | ₹150 करोड़ (~$18M USD) |
| बच्चों की डेटा सुरक्षा का अनुपालन न करना | ₹200 करोड़ (~$24M USD) |
| डीपीबीआई आदेशों का अनुपालन न करना | ₹150 करोड़ (~$18M USD) |
| अन्य उल्लंघन | ₹50 करोड़ (~$6M USD) |
जुर्माना प्रति उल्लंघन है और संचयी हो सकता है - सुरक्षा विफलता और अधिसूचना विफलता से जुड़े एकल डेटा उल्लंघन पर सैद्धांतिक रूप से कुल ₹450 करोड़ लग सकते हैं।
उल्लंघन अधिसूचना
धारा 8 में डेटा फ़िडुशियरी को किसी भी व्यक्तिगत डेटा उल्लंघन के बारे में डीपीबीआई (और निर्धारित माध्यमों से डेटा प्रिंसिपलों) को सूचित करने की आवश्यकता होती है। जीडीपीआर की जोखिम-आधारित सीमा (केवल "उच्च जोखिम होने की संभावना") के विपरीत, डीपीडीपी अधिनियम में डिजिटल व्यक्तिगत डेटा को प्रभावित करने वाले सभी उल्लंघनों की अधिसूचना की आवश्यकता होती है। कार्यान्वयन नियम निर्दिष्ट करेंगे:
- अधिसूचना के लिए समयरेखा
- अधिसूचना का प्रपत्र और सामग्री
- प्रभावित डेटा प्रिंसिपलों को सूचित करने का तरीका
निर्दिष्ट समयसीमा के अभाव में, सर्वोत्तम अभ्यास डीपीबीआई अधिसूचना के लिए जीडीपीआर के 72-घंटे के मानक के साथ संरेखित करना और उच्च जोखिम वाले उल्लंघनों के लिए अनुचित देरी के बिना डेटा प्रिंसिपलों को सूचित करना है।
डीपीडीपी अधिनियम कार्यान्वयन समयरेखा
अगस्त 2023: डीपीडीपी अधिनियम अधिनियमित हुआ और राष्ट्रपति की सहमति प्राप्त हुई
2024: नियमों को लागू करने पर सरकारी परामर्श; हितधारक प्रतिक्रिया अवधि
2025–2026: कार्यान्वयन नियमों को अधिसूचित किए जाने की उम्मीद है, निर्दिष्ट करते हुए:
- सहमति सूचना प्रारूप और भाषा आवश्यकताएँ
- डेटा अवधारण अवधि
- एसडीएफ पदनाम मानदंड और सीमाएं
- सत्यापन योग्य अभिभावक सहमति तंत्र
- सहमति प्रबंधक पंजीकरण आवश्यकताएँ
- डीपीबीआई संविधान और परिचालन प्रक्रियाएं
- डेटा ऑडिटर योग्यता आवश्यकताएँ
वर्तमान स्थिति: अधिनियम लागू है लेकिन कई परिचालन आवश्यकताएं नियमों को लागू करने पर निर्भर करती हैं। व्यवसायों को नियम विकास की निगरानी करते समय जीडीपीआर-स्तर की कठोरता को ध्यान में रखते हुए अनुपालन कार्यक्रम डिजाइन करना चाहिए।
डीपीडीपी अधिनियम अनुपालन चेकलिस्ट
- प्रयोज्यता विश्लेषण पूरा हुआ (भारत में परिचालन, भारतीय ग्राहक)
- सभी प्रसंस्करण गतिविधियों के लिए व्यक्तिगत डेटा सूची पूरी हो गई है
- सहमति नोटिस धारा 5 और 7 आवश्यकताओं को पूरा करते हुए विकसित किया गया है
- सहमति तंत्र लागू किया गया (सकारात्मक, विशिष्ट, बिना शर्त)
- लागू भारतीय भाषाओं में सहमति सूचना अनुवाद की योजना बनाई गई है
- सहमति के बिना प्रसंस्करण के लिए वैध उपयोग विश्लेषण पूरा किया गया
- बच्चों की डेटा पहचान पूरी हो गई - माता-पिता की सहमति तंत्र की योजना बनाई गई
- डेटा प्रमुख अधिकार प्रक्रियाएं प्रलेखित (पहुंच, सुधार, मिटाना, नामांकन)
- शिकायत अधिकारी नामित और संपर्क जानकारी प्रकाशित
- सुरक्षा सुरक्षा उपाय लागू किए गए (एन्क्रिप्शन, पहुंच नियंत्रण, घटना प्रतिक्रिया)
- उल्लंघन अधिसूचना प्रक्रिया प्रलेखित (डीपीबीआई रिपोर्टिंग आवश्यकताओं के साथ संरेखित)
- डेटा प्रतिधारण और विलोपन प्रक्रियाएँ प्रलेखित और स्वचालित
- सीमा पार स्थानांतरण मूल्यांकन - प्रतिबंधित देश सूची निगरानी की योजना बनाई गई
- एसडीएफ पदनाम मूल्यांकन - यदि अर्हता प्राप्त करने की संभावना है तो अतिरिक्त दायित्वों के लिए तैयार रहें
- उच्च जोखिम वाले प्रसंस्करण के लिए डीपीआईए प्रक्रिया स्थापित की गई
- डीपीडीपी अधिनियम दायित्वों पर कर्मचारी प्रशिक्षण पूरा हुआ
अक्सर पूछे जाने वाले प्रश्न
क्या डीपीडीपी अधिनियम 2023 पूरी तरह से लागू है?
डीपीडीपी अधिनियम अधिनियमित किया गया था और अगस्त 2023 में राष्ट्रपति की सहमति प्राप्त हुई थी। हालाँकि, कई प्रावधान नियमों को लागू करने पर निर्भर करते हैं (जिन्हें अधिनियम के तहत नियम कहा जाता है) जो परिचालन आवश्यकताओं को निर्दिष्ट करते हैं। 2026 की शुरुआत तक, कार्यान्वयन नियमों को पूरी तरह से अधिसूचित नहीं किया गया है। अधिनियम स्वयं लागू है - जिसका अर्थ है कि इसके सिद्धांत और कुछ दायित्व लागू होते हैं - लेकिन विस्तृत अनुपालन आवश्यकताएं (सहमति नोटिस प्रारूप, एसडीएफ मानदंड, डीपीबीआई प्रक्रियाएं) नियमों की प्रतीक्षा करती हैं। व्यवसायों को अब अनुपालन ढाँचा तैयार करना चाहिए और नियम प्रकाशित होते ही उन्हें अद्यतन करना चाहिए।
डीपीडीपी अधिनियम जीडीपीआर से किस प्रकार भिन्न है?
कई महत्वपूर्ण अंतर: (1) डीपीडीपी अधिनियम सहमति को प्राथमिक आधार के रूप में उपयोग करता है, सीमित "वैध उपयोग" के साथ - जीडीपीआर में छह समान कानूनी आधार हैं; (2) डीपीडीपी अधिनियम डिफ़ॉल्ट रूप से सीमा पार स्थानांतरण की अनुमति देता है (सरकार-प्रतिबंधित देशों के अपवाद के साथ) - जीडीपीआर तब तक स्थानांतरण को प्रतिबंधित करता है जब तक कि पर्याप्त सुरक्षा मौजूद न हो; (3) डीपीडीपी अधिनियम में डेटा पोर्टेबिलिटी या प्रसंस्करण में प्रतिबंध के स्पष्ट अधिकार शामिल नहीं हैं; (4) डीपीडीपी अधिनियम सहमति प्रबंधकों का परिचय देता है - एक अद्वितीय नवाचार; (5) डीपीडीपी अधिनियम की जुर्माना संरचना (अधिकतम 250 करोड़ रुपये) बड़ी बहुराष्ट्रीय कंपनियों के लिए जीडीपीआर की संभावित अधिकतम सीमा से कम है; (6) डीपीडीपी अधिनियम केवल डिजिटल व्यक्तिगत डेटा पर लागू होता है - जीडीपीआर प्रारूप की परवाह किए बिना सभी व्यक्तिगत डेटा पर लागू होता है।
महत्वपूर्ण डेटा प्रत्ययी के रूप में किसे नामित किए जाने की संभावना है?
धारा 10 के मानदंड सुझाव देते हैं कि एसडीएफ में शामिल होंगे: भारत में सक्रिय प्रमुख सोशल मीडिया प्लेटफॉर्म, पर्याप्त भारतीय उपयोगकर्ता आधार वाली बड़ी ई-कॉमर्स कंपनियां, बड़े पैमाने पर संवेदनशील डेटा (स्वास्थ्य, वित्तीय) संसाधित करने वाली कंपनियां, महत्वपूर्ण प्रसंस्करण मात्रा वाली प्रौद्योगिकी कंपनियां। जीडीपीआर के अनुरूप "बड़े पैमाने पर व्यवस्थित निगरानी" सीमा और भारत के आकार (1.4 बिलियन जनसंख्या) के आधार पर, लाखों भारतीय उपयोगकर्ताओं वाली कंपनियों, विशेष रूप से उपभोक्ता इंटरनेट, फिनटेक और स्वास्थ्य-तकनीक क्षेत्रों में, एसडीएफ संभावना का आकलन करना चाहिए और बढ़े हुए दायित्वों के लिए तैयार रहना चाहिए।
सहमति प्रबंधक प्रावधान क्या हैं?
सहमति प्रबंधक डीपीबीआई के साथ पंजीकृत संस्थाएं हैं जो इंटरऑपरेबल प्लेटफॉर्म बनाए रखती हैं, जिसके माध्यम से डेटा प्रिंसिपल कई डेटा फ़िडुशियरी में सहमति दे सकते हैं, प्रबंधित कर सकते हैं, समीक्षा कर सकते हैं और वापस ले सकते हैं। एक सहमति प्रबंधक के माध्यम से प्राप्त सहमति के आधार पर डेटा फ़िडुशियरी प्रसंस्करण के लिए जवाबदेह हैं। इसे व्यक्तियों को डिजिटल पारिस्थितिकी तंत्र में उनकी सहमति का एक केंद्रीकृत दृष्टिकोण और नियंत्रण देने के लिए डिज़ाइन किया गया है। सहमति प्रबंधकों के लिए पंजीकरण आवश्यकताओं और तकनीकी मानकों को कार्यान्वयन नियमों में निर्दिष्ट किया जाएगा।
डीपीडीपी अधिनियम कर्मचारी डेटा पर कैसे लागू होता है?
रोजगार डेटा को "वैध उपयोग" प्रावधान (धारा 7(एफ)) के माध्यम से संबोधित किया जाता है - रोजगार के संबंध में दायित्वों को पूरा करने या कानून के तहत अधिकारों का प्रयोग करने के उद्देश्य से प्रसंस्करण (रोजगार पूर्व सत्यापन, पृष्ठभूमि जांच, पेरोल, लाभ सहित) सहमति की आवश्यकता के बिना वैध उपयोग के रूप में योग्य है। हालाँकि, रोजगार उद्देश्यों से परे कर्मचारी डेटा के लिए सहमति की आवश्यकता होगी। कार्यान्वयन नियमों से रोजगार-संबंधी वैध उपयोगों के दायरे को स्पष्ट करने की अपेक्षा की जाती है।
क्या सेक्टर-विशिष्ट डेटा स्थानीयकरण आवश्यकताएं अभी भी लागू होती हैं?
हाँ। डीपीडीपी अधिनियम के सीमा पार स्थानांतरण प्रावधान क्षेत्र-विशिष्ट स्थानीयकरण आवश्यकताओं का स्थान नहीं लेते हैं। भारतीय रिज़र्व बैंक (RBI) को भारत के भीतर वित्तीय डेटा भंडारण की आवश्यकता है (भुगतान प्रणाली डेटा संग्रहण दिशा, 2018)। राष्ट्रीय चिकित्सा आयोग और स्वास्थ्य मंत्रालय के पास स्वास्थ्य डेटा स्थानीयकरण आवश्यकताएँ हैं। IRDAI (बीमा) के पास बीमा कंपनियों के लिए डेटा स्थानीयकरण आवश्यकताएँ हैं। विनियमित क्षेत्रों के व्यवसायों को डीपीडीपी अधिनियम और क्षेत्र-विशिष्ट आवश्यकताओं दोनों को पूरा करना होगा।
अगले चरण
भारत का डीपीडीपी अधिनियम भारतीय परिचालन, ग्राहकों या कर्मचारियों वाले किसी भी व्यवसाय के लिए एक महत्वपूर्ण नियामक विकास का प्रतिनिधित्व करता है। जबकि नियमों को लागू करने को अभी भी अंतिम रूप दिया जा रहा है, अब आपके अनुपालन कार्यक्रम का निर्माण - विशेष रूप से सहमति तंत्र, डेटा प्रमुख अधिकार और सुरक्षा सुरक्षा उपायों के आसपास - आपको नियमों को अधिसूचित होने पर कुशलतापूर्वक अनुपालन प्राप्त करने में सक्षम बनाता है।
ECOSIRE की प्रौद्योगिकी कार्यान्वयन टीम व्यवसायों को भारत के बाजार के अनुरूप DPDP-संगत डेटा आर्किटेक्चर, सहमति प्रबंधन प्रणाली और गोपनीयता संचालन वर्कफ़्लो डिज़ाइन करने में मदद करती है।
आरंभ करें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। डीपीडीपी अधिनियम के कार्यान्वयन नियम लंबित हैं; नियम अधिसूचित होते ही आवश्यकताएँ विकसित होंगी। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य भारतीय कानूनी सलाहकार से परामर्श लें।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE के साथ अपना व्यवसाय बढ़ाएं
ईआरपी, ईकॉमर्स, एआई, एनालिटिक्स और ऑटोमेशन में एंटरप्राइज समाधान।
संबंधित लेख
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
Compliance & Regulation से और अधिक
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
GoHighLevel A2P 10DLC Compliance in 2026: Registration, Fees, and Fixing Blocked SMS
Complete GoHighLevel A2P 10DLC guide for 2026: brand and campaign registration steps, carrier fees, common rejection reasons, and how to fix filtered SMS.
GxP Validation for ERP Systems: What Your 2026 Validation RFP Must Require (CSV, IQ/OQ/PQ, Audit Trails)
What a GxP ERP validation RFP must require in 2026: CSV and CSA scope, 21 CFR Part 11, EU Annex 11, IQ/OQ/PQ deliverables, audit trails, and GAMP 5 risk.
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.