हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंभारत डीपीडीपी अधिनियम 2023: डिजिटल व्यक्तिगत डेटा संरक्षण अनुपालन
11 अगस्त, 2023 को अधिनियमित भारत का डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम 2023 (डीपीडीपी अधिनियम), गोपनीयता विनियमन के लिए भारत के दृष्टिकोण में एक ऐतिहासिक बदलाव का प्रतिनिधित्व करता है। लगभग एक दशक के विधायी विचार-विमर्श के बाद - जिसमें न्यायमूर्ति श्रीकृष्ण समिति की रिपोर्ट (2017), व्यक्तिगत डेटा संरक्षण विधेयक के कई मसौदे, और निजता को मौलिक अधिकार के रूप में पुष्टि करने वाला सर्वोच्च न्यायालय का फैसला (जस्टिस के.एस. पुट्टास्वामी बनाम भारत संघ, 2017) शामिल है - भारत के पास अब एक व्यापक, लागू करने योग्य डेटा सुरक्षा ढांचा है।
डीपीडीपी अधिनियम "डेटा प्रत्ययी," "डेटा प्रिंसिपल," और "सहमति प्रबंधक" जैसी अवधारणाओं का परिचय देता है, प्रवर्तन प्राधिकरण के रूप में डेटा प्रोटेक्शन बोर्ड ऑफ इंडिया (डीपीबीआई) की स्थापना करता है, और प्रति उल्लंघन ₹250 करोड़ (~$30 मिलियन अमरीकी डालर) तक का वित्तीय दंड निर्धारित करता है। अधिनियम अब लागू है, और इसके कार्यान्वयन नियमों को 2025-2026 में अंतिम रूप दिए जाने और अधिसूचित किए जाने की उम्मीद है।
मुख्य बातें
- डीपीडीपी अधिनियम 2023 भारत में डिजिटल व्यक्तिगत डेटा प्रोसेसिंग और भारतीय व्यक्तियों को दी जाने वाली सेवाओं के लिए बाह्य रूप से लागू होता है
- सहमति प्राथमिक कानूनी आधार है, जो विशिष्ट उद्देश्यों (रोजगार, कानूनी कार्यवाही, सार्वजनिक हित) के लिए "वैध उपयोग" द्वारा पूरक है।
- "महत्वपूर्ण डेटा प्रत्ययी" को डीपीआईए आवश्यकताओं और एक स्वतंत्र डेटा ऑडिटर की नियुक्ति सहित बढ़े हुए दायित्वों का सामना करना पड़ता है
- भारतीय डेटा संरक्षण बोर्ड (डीपीबीआई) प्रवर्तन प्राधिकारी है जिसके पास जांच करने, निर्णय लेने और जुर्माना लगाने की शक्तियां हैं।
- प्रति उल्लंघन अधिकतम जुर्माना ₹250 करोड़ (~$30 मिलियन) है; एकाधिक उल्लंघनों के लिए दंड संचयी हैं
- केंद्र सरकार की अधिसूचना द्वारा विशेष रूप से प्रतिबंधित देशों को छोड़कर सभी देशों में सीमा पार डेटा स्थानांतरण की अनुमति है
- डेटा प्रिंसिपलों (व्यक्तियों) को एक्सेस, सुधार, मिटाने, नामांकन और शिकायत निवारण का अधिकार है
- नियमों को लागू करना (अभी तक अंतिम रूप नहीं दिया गया है) सहमति नोटिस प्रारूप, प्रतिधारण अवधि और महत्वपूर्ण डेटा प्रत्ययी मानदंड सहित प्रमुख परिचालन आवश्यकताओं को निर्दिष्ट करेगा।
डीपीडीपी अधिनियम 2023: फ्रेमवर्क अवलोकन
प्रमुख शब्दावली
डीपीडीपी अधिनियम जीडीपीआर-प्रभावित ढांचे से अलग अपनी शब्दावली प्रस्तुत करता है:
- व्यक्तिगत डेटा: किसी व्यक्ति के बारे में कोई भी डेटा जो ऐसे डेटा द्वारा या उसके संबंध में पहचाना जा सकता है
- डिजिटल व्यक्तिगत डेटा: डिजिटल रूप में व्यक्तिगत डेटा, या गैर-डिजिटल व्यक्तिगत डेटा बाद में डिजिटलीकृत
- डेटा प्रिंसिपल: वह व्यक्ति जिससे व्यक्तिगत डेटा संबंधित है (जीडीपीआर के "डेटा विषय" के बराबर)
- डेटा प्रत्ययी: कोई भी व्यक्ति जो अकेले या दूसरों के साथ मिलकर प्रसंस्करण के उद्देश्य और साधन को निर्धारित करता है (जीडीपीआर के "डेटा नियंत्रक" के बराबर)
- डेटा प्रोसेसर: एक व्यक्ति जो डेटा प्रत्ययी की ओर से व्यक्तिगत डेटा संसाधित करता है
- महत्वपूर्ण डेटा प्रत्ययी (एसडीएफ): डेटा की मात्रा/संवेदनशीलता, डेटा प्रिंसिपलों के लिए जोखिम, राष्ट्रीय सुरक्षा विचार और अन्य मानदंडों के आधार पर केंद्र सरकार द्वारा नामित एक डेटा प्रत्ययी
दायरा
डीपीडीपी अधिनियम इस पर लागू होता है:
- भारत के भीतर डिजिटल व्यक्तिगत डेटा का प्रसंस्करण
- भारत के बाहर डिजिटल व्यक्तिगत डेटा का प्रसंस्करण - यदि यह भारत में डेटा प्रिंसिपलों को सामान या सेवाएं प्रदान करने के उद्देश्य से है
छूट: व्यक्तिगत या घरेलू उद्देश्यों के लिए प्रसंस्करण; व्यक्तिगत डेटा को डेटा प्रिंसिपल द्वारा स्वयं सार्वजनिक रूप से उपलब्ध कराया जाता है या जिसे डेटा प्रिंसिपल को सार्वजनिक करने के लिए कानूनी रूप से आवश्यक होता है।
आधार के रूप में सहमति
कई समान कानूनी आधारों वाले अधिकांश वैश्विक डेटा संरक्षण कानूनों के विपरीत, डीपीडीपी अधिनियम सहमति को प्राथमिक कानूनी आधार बनाता है, जो विशिष्ट प्रगणित श्रेणियों के लिए "वैध उपयोग" द्वारा पूरक है। यह महत्वपूर्ण व्यावहारिक निहितार्थों वाला एक मौलिक डिज़ाइन विकल्प है।
सहमति आवश्यकताएँ
डीपीडीपी अधिनियम के तहत सहमति होनी चाहिए:
- निःशुल्क: कोई जबरदस्ती या शर्त नहीं
- विशिष्ट: प्रत्येक वर्णित उद्देश्य के लिए
- सूचित: स्पष्ट सहमति नोटिस के आधार पर
- बिना शर्त: आवश्यकता से अधिक डेटा प्रदान करने पर निर्भर नहीं
- स्पष्ट: स्पष्ट सकारात्मक कार्रवाई
सहमति नोटिस आवश्यकताएँ (धारा 5 और 7): सहमति मांगने से पहले, डेटा प्रत्ययी को एक नोटिस प्रदान करना होगा जिसमें शामिल है:
- संसाधित किए जाने वाले व्यक्तिगत डेटा का विवरण
- प्रसंस्करण का उद्देश्य
- जिस तरीके से डेटा प्रिंसिपल अधिकारों का प्रयोग कर सकता है
- जिस तरह से शिकायतों को डेटा फिड्यूशियरी के साथ उठाया जा सकता है
- जिस तरीके से डीपीबीआई को शिकायत की जा सकती है
नोटिस अंग्रेजी और संविधान की आठवीं अनुसूची में निर्दिष्ट भाषाओं (22 आधिकारिक भाषाओं) में होना चाहिए - उपभोक्ता-सामना वाले व्यवसायों के लिए एक महत्वपूर्ण परिचालन आवश्यकता।
सहमति प्रबंधक: डीपीडीपी अधिनियम सहमति प्रबंधकों - पंजीकृत संस्थाओं का परिचय देता है जो डेटा प्रिंसिपलों की ओर से सहमति का प्रबंधन करने वाले मध्यस्थों के रूप में कार्य करते हैं। डेटा प्रिंसिपल एक ही सहमति प्रबंधक के माध्यम से कई डेटा फ़िडुशियरी में अपनी सहमति का प्रबंधन कर सकते हैं। यह भारत के ढांचे के लिए अद्वितीय एक अभिनव तंत्र है।
वैध उपयोग (धारा 7)
विशिष्ट "वैध उपयोगों" के लिए सहमति के बिना प्रसंस्करण की अनुमति है:
- राज्य के कार्य: सब्सिडी, लाभ, सेवाएँ, प्रमाणपत्र, लाइसेंस प्रदान करने के लिए राज्य उपकरणों द्वारा प्रसंस्करण
- चिकित्सा आपातकाल: जीवन या तत्काल स्वास्थ्य जोखिम को खतरे में डालने वाली चिकित्सा आपातकाल का उपचार
- महामारी/आपदा: महामारी, महामारी या आपदाओं पर प्रतिक्रिया
- रोजगार उद्देश्य: रोजगार के संबंध में कानून के तहत दायित्वों को पूरा करने या अधिकारों का प्रयोग करने के लिए प्रसंस्करण (रोजगार पूर्व जांच सहित)
- न्यायालय के आदेश: न्यायालय के आदेशों के अनुसार प्रसंस्करण आवश्यक है
- अनुसंधान और सांख्यिकी: धोखाधड़ी की रोकथाम/पता लगाने, क्रेडिट स्कोरिंग, कानूनी अनुसंधान, सांख्यिकीय उद्देश्यों के लिए प्रसंस्करण - निर्धारित मानकों के भीतर
- निष्पक्ष और उचित उद्देश्य: केंद्र सरकार द्वारा उचित और उचित के रूप में निर्दिष्ट उद्देश्यों के लिए प्रसंस्करण
डेटा प्रमुख अधिकार
डीपीडीपी अधिनियम डेटा प्रिंसिपलों को निम्नलिखित अधिकार प्रदान करता है (धारा 11-14):
| सही है | विवरण | तंत्र |
|---|---|---|
| पहुंच का अधिकार | संसाधित किए जा रहे व्यक्तिगत डेटा का सारांश प्राप्त करें, उन सभी डेटा फ़िडुशियरी की पहचान जिनके साथ डेटा साझा किया गया है, निर्धारित अन्य जानकारी | डेटा प्रत्ययी से अनुरोध |
| सुधार और मिटाने का अधिकार | गलत डेटा को सही करें; डेटा मिटाना अब मूल उद्देश्य पूरा नहीं कर रहा है या यदि सहमति वापस ले ली गई है | डेटा प्रत्ययी से अनुरोध |
| शिकायत निवारण का अधिकार | शिकायत निवारण के आसानी से उपलब्ध साधन; निर्धारित अवधि के भीतर प्रतिक्रिया | शिकायत अधिकारी संपर्क करें |
| नामांकित करने का अधिकार | मृत्यु या अक्षमता की स्थिति में अधिकारों का प्रयोग करने के लिए किसी व्यक्ति को नामांकित करें | नामांकन प्रक्रिया |
उल्लेखनीय अनुपस्थिति: डीपीडीपी अधिनियम में जीडीपीआर के समान पोर्टेबिलिटी, प्रतिबंध, या स्वचालित निर्णय लेने पर आपत्ति के स्पष्ट अधिकार शामिल नहीं हैं। केंद्र सरकार के कार्यान्वयन नियम इनमें से कुछ को निर्धारित मानकों के माध्यम से संबोधित कर सकते हैं।
प्रतिक्रिया समयसीमा: अधिनियम समयसीमा निर्दिष्ट नहीं करता है - इन्हें कार्यान्वयन नियमों में निर्धारित किए जाने की उम्मीद है। डेटा फ़िडुशियरीज़ को एक निर्धारित अवधि के भीतर शिकायतों को स्वीकार करना होगा और उन्हें अन्य निर्धारित अवधि के भीतर हल करना होगा।
डेटा प्रत्ययी दायित्व
सामान्य दायित्व (धारा 8)
सभी डेटा प्रत्ययी को यह करना होगा:
- डेटा सटीकता बनाए रखें (पूर्णता, सटीकता, उद्देश्य के साथ स्थिरता)
- एन्क्रिप्शन, एक्सेस नियंत्रण और घटना प्रतिक्रिया सहित डेटा सुरक्षा सुरक्षा उपायों को लागू करें
- उद्देश्य पूरा होने या सहमति वापस लेने पर व्यक्तिगत डेटा हटा दें (जब तक कि कानूनी दायित्व के लिए प्रतिधारण की आवश्यकता न हो)
- डेटा प्रमुख शिकायतों के लिए एक शिकायत अधिकारी (या अधिकारी/तंत्र) रखें
- सत्यापन योग्य माता-पिता की सहमति के बिना बच्चों के डेटा को संसाधित न करें (18 वर्ष से कम उम्र के बच्चों के लिए)
- बच्चों के व्यवहार पर नज़र न रखें या निगरानी न करें या बच्चों पर विज्ञापन लक्षित न करें
बच्चों की डेटा सुरक्षा
DPDP अधिनियम में बच्चों के डेटा (18 वर्ष से कम आयु के व्यक्ति) के लिए सख्त प्रावधान हैं:
- प्रसंस्करण के लिए सत्यापन योग्य माता-पिता की सहमति की आवश्यकता होती है
- बच्चों पर नज़र रखने, व्यवहार की निगरानी और लक्षित विज्ञापन पर प्रतिबंध
- बच्चों के डेटा का कोई प्रसंस्करण उनकी भलाई के लिए हानिकारक नहीं है
कार्यान्वयन नियम सत्यापन योग्य माता-पिता की सहमति के लिए तकनीकी तंत्र को निर्दिष्ट करेंगे - यह उपभोक्ता ऐप्स के लिए एक महत्वपूर्ण यूएक्स और तकनीकी चुनौती है।
महत्वपूर्ण डेटा प्रत्ययी (एसडीएफ)
केंद्र सरकार निम्नलिखित कारकों के आधार पर कुछ डेटा फ़िडुशियरीज़ को महत्वपूर्ण डेटा फ़िड्यूशियरीज़ के रूप में नामित करेगी:
- संसाधित व्यक्तिगत डेटा की मात्रा और संवेदनशीलता
- डेटा प्रिंसिपलों के अधिकारों के लिए जोखिम
- भारत की संप्रभुता और अखंडता पर संभावित प्रभाव
- चुनावी लोकतंत्र के लिए ख़तरा
- राज्य की सुरक्षा
- सार्वजनिक व्यवस्था
एसडीएफ को अतिरिक्त दायित्वों का सामना करना पड़ता है (धारा 10):
- डेटा सुरक्षा प्रभाव आकलन (DPIA): उच्च जोखिम वाली प्रसंस्करण गतिविधियों के लिए DPIA का संचालन और दस्तावेज़ीकरण
- डेटा ऑडिट: एक स्वतंत्र डेटा ऑडिटर द्वारा आवधिक ऑडिट
- डेटा सुरक्षा अधिकारी (डीपीओ): भारत में स्थित एक डीपीओ को प्रमुख प्रबंधकीय कार्मिक के रूप में नियुक्त करें
- अन्य उपाय: जैसा कि केंद्र सरकार द्वारा निर्धारित किया गया है
एसडीएफ पदनाम के मानदंडों को अभी तक अंतिम रूप नहीं दिया गया है - कार्यान्वयन नियम सीमाएं निर्दिष्ट करेंगे। अंतरराष्ट्रीय मिसालों के आधार पर, लाखों भारतीय उपयोगकर्ताओं वाली प्रौद्योगिकी कंपनियां, सोशल मीडिया प्लेटफॉर्म और बड़े ई-कॉमर्स व्यवसाय संभावित उम्मीदवार हैं।
सीमा पार डेटा स्थानांतरण
डीपीडीपी अधिनियम की धारा 16 एक उल्लेखनीय दृष्टिकोण अपनाती है: व्यक्तिगत डेटा को केंद्र सरकार की अधिसूचना द्वारा विशेष रूप से प्रतिबंधित देशों को छोड़कर **भारत के बाहर किसी भी देश में स्थानांतरित किया जा सकता है।
यह एक सकारात्मक सूची/नकारात्मक प्रतिबंध दृष्टिकोण है - डिफ़ॉल्ट यह है कि स्थानांतरण की अनुमति है, लेकिन सरकार राष्ट्रीय सुरक्षा, रणनीतिक या अन्य कारणों से विशिष्ट देशों में स्थानांतरण को प्रतिबंधित कर सकती है।
व्यावहारिक निहितार्थ:
- व्यवसाय प्रति-स्थानांतरण मूल्यांकन के बिना अंतरराष्ट्रीय स्तर पर डेटा स्थानांतरित कर सकते हैं (देश प्रतिबंधों के अधीन)
- केंद्र सरकार प्रतिबंधित देशों की एक सूची प्रकाशित करेगी - व्यवसायों को प्रतिबंधों की निगरानी और कार्यान्वयन करना होगा
- सेक्टर-विशिष्ट स्थानीयकरण आवश्यकताएं (आरबीआई के तहत वित्तीय डेटा, एनएमसी/स्वास्थ्य मंत्रालय के तहत स्वास्थ्य डेटा) डीपीडीपी अधिनियम के साथ लागू होती रहेंगी।
वर्तमान स्थिति: 2026 की शुरुआत तक, कोई देश-प्रतिबंध अधिसूचना जारी नहीं की गई है। कार्यान्वयन नियम प्रतिबंधित सूची को प्रकाशित करने और अद्यतन करने के लिए रूपरेखा स्थापित करेंगे।
भारतीय डेटा संरक्षण बोर्ड (DPBI)
धारा 18 डीपीबीआई को निम्नलिखित शक्तियों के साथ एक स्वतंत्र न्यायिक निकाय के रूप में स्थापित करती है:
- डेटा प्रिंसिपलों से शिकायतें प्राप्त करें और उनकी जांच करें
- कथित उल्लंघनों की जांच करें
- आर्थिक दंड सहित आदेश पारित करें
- डेटा फिड्यूशियरीज और प्रोसेसर्स को निर्देश जारी करें
- नीतिगत कार्रवाई के लिए मामलों को केंद्र सरकार को भेजें
डीपीबीआई संरचना: केंद्र सरकार द्वारा नियुक्त अध्यक्ष की अध्यक्षता में; सदस्यों में प्रौद्योगिकी, कानून और सार्वजनिक नीति के विशेषज्ञ शामिल हैं। डीपीबीआई का गठन अभी तक नहीं हुआ है - इसकी परिचालन तैयारी नियमों और सरकारी नियुक्तियों को लागू करने पर निर्भर करेगी।
जांच प्रक्रिया: डेटा प्रिंसिपल डेटा फिड्यूशियरी के आंतरिक शिकायत तंत्र को समाप्त करने के बाद डीपीबीआई से शिकायत कर सकते हैं। डीपीबीआई जांच कर सकती है, दस्तावेज़ मांग सकती है, गवाहों को बुला सकती है और कारण बताओ नोटिस जारी कर सकती है। दंड आदेश से पहले संस्थाओं को सुनवाई का अधिकार है।
दंड
डीपीडीपी अधिनियम एक दंड अनुसूची स्थापित करता है (डीपीबीआई की अनुसूची):
| उल्लंघन | अधिकतम जुर्माना |
|---|---|
| सुरक्षा उपायों को लागू करने में विफलता के कारण उल्लंघन होता है | ₹250 करोड़ (~$30M USD) |
| डीपीबीआई और डेटा प्रिंसिपलों को उल्लंघन के बारे में सूचित करने में विफलता | ₹200 करोड़ (~$24M USD) |
| अतिरिक्त एसडीएफ दायित्वों का अनुपालन न करना | ₹150 करोड़ (~$18M USD) |
| बच्चों की डेटा सुरक्षा का अनुपालन न करना | ₹200 करोड़ (~$24M USD) |
| डीपीबीआई आदेशों का अनुपालन न करना | ₹150 करोड़ (~$18M USD) |
| अन्य उल्लंघन | ₹50 करोड़ (~$6M USD) |
जुर्माना प्रति उल्लंघन है और संचयी हो सकता है - सुरक्षा विफलता और अधिसूचना विफलता से जुड़े एकल डेटा उल्लंघन पर सैद्धांतिक रूप से कुल ₹450 करोड़ लग सकते हैं।
उल्लंघन अधिसूचना
धारा 8 में डेटा फ़िडुशियरी को किसी भी व्यक्तिगत डेटा उल्लंघन के बारे में डीपीबीआई (और निर्धारित माध्यमों से डेटा प्रिंसिपलों) को सूचित करने की आवश्यकता होती है। जीडीपीआर की जोखिम-आधारित सीमा (केवल "उच्च जोखिम होने की संभावना") के विपरीत, डीपीडीपी अधिनियम में डिजिटल व्यक्तिगत डेटा को प्रभावित करने वाले सभी उल्लंघनों की अधिसूचना की आवश्यकता होती है। कार्यान्वयन नियम निर्दिष्ट करेंगे:
- अधिसूचना के लिए समयरेखा
- अधिसूचना का प्रपत्र और सामग्री
- प्रभावित डेटा प्रिंसिपलों को सूचित करने का तरीका
निर्दिष्ट समयसीमा के अभाव में, सर्वोत्तम अभ्यास डीपीबीआई अधिसूचना के लिए जीडीपीआर के 72-घंटे के मानक के साथ संरेखित करना और उच्च जोखिम वाले उल्लंघनों के लिए अनुचित देरी के बिना डेटा प्रिंसिपलों को सूचित करना है।
डीपीडीपी अधिनियम कार्यान्वयन समयरेखा
अगस्त 2023: डीपीडीपी अधिनियम अधिनियमित हुआ और राष्ट्रपति की सहमति प्राप्त हुई
2024: नियमों को लागू करने पर सरकारी परामर्श; हितधारक प्रतिक्रिया अवधि
2025–2026: कार्यान्वयन नियमों को अधिसूचित किए जाने की उम्मीद है, निर्दिष्ट करते हुए:
- सहमति सूचना प्रारूप और भाषा आवश्यकताएँ
- डेटा अवधारण अवधि
- एसडीएफ पदनाम मानदंड और सीमाएं
- सत्यापन योग्य अभिभावक सहमति तंत्र
- सहमति प्रबंधक पंजीकरण आवश्यकताएँ
- डीपीबीआई संविधान और परिचालन प्रक्रियाएं
- डेटा ऑडिटर योग्यता आवश्यकताएँ
वर्तमान स्थिति: अधिनियम लागू है लेकिन कई परिचालन आवश्यकताएं नियमों को लागू करने पर निर्भर करती हैं। व्यवसायों को नियम विकास की निगरानी करते समय जीडीपीआर-स्तर की कठोरता को ध्यान में रखते हुए अनुपालन कार्यक्रम डिजाइन करना चाहिए।
डीपीडीपी अधिनियम अनुपालन चेकलिस्ट
- प्रयोज्यता विश्लेषण पूरा हुआ (भारत में परिचालन, भारतीय ग्राहक)
- सभी प्रसंस्करण गतिविधियों के लिए व्यक्तिगत डेटा सूची पूरी हो गई है
- सहमति नोटिस धारा 5 और 7 आवश्यकताओं को पूरा करते हुए विकसित किया गया है
- सहमति तंत्र लागू किया गया (सकारात्मक, विशिष्ट, बिना शर्त)
- लागू भारतीय भाषाओं में सहमति सूचना अनुवाद की योजना बनाई गई है
- सहमति के बिना प्रसंस्करण के लिए वैध उपयोग विश्लेषण पूरा किया गया
- बच्चों की डेटा पहचान पूरी हो गई - माता-पिता की सहमति तंत्र की योजना बनाई गई
- डेटा प्रमुख अधिकार प्रक्रियाएं प्रलेखित (पहुंच, सुधार, मिटाना, नामांकन)
- शिकायत अधिकारी नामित और संपर्क जानकारी प्रकाशित
- सुरक्षा सुरक्षा उपाय लागू किए गए (एन्क्रिप्शन, पहुंच नियंत्रण, घटना प्रतिक्रिया)
- उल्लंघन अधिसूचना प्रक्रिया प्रलेखित (डीपीबीआई रिपोर्टिंग आवश्यकताओं के साथ संरेखित)
- डेटा प्रतिधारण और विलोपन प्रक्रियाएँ प्रलेखित और स्वचालित
- सीमा पार स्थानांतरण मूल्यांकन - प्रतिबंधित देश सूची निगरानी की योजना बनाई गई
- एसडीएफ पदनाम मूल्यांकन - यदि अर्हता प्राप्त करने की संभावना है तो अतिरिक्त दायित्वों के लिए तैयार रहें
- उच्च जोखिम वाले प्रसंस्करण के लिए डीपीआईए प्रक्रिया स्थापित की गई
- डीपीडीपी अधिनियम दायित्वों पर कर्मचारी प्रशिक्षण पूरा हुआ
अक्सर पूछे जाने वाले प्रश्न
क्या डीपीडीपी अधिनियम 2023 पूरी तरह से लागू है?
डीपीडीपी अधिनियम अधिनियमित किया गया था और अगस्त 2023 में राष्ट्रपति की सहमति प्राप्त हुई थी। हालाँकि, कई प्रावधान नियमों को लागू करने पर निर्भर करते हैं (जिन्हें अधिनियम के तहत नियम कहा जाता है) जो परिचालन आवश्यकताओं को निर्दिष्ट करते हैं। 2026 की शुरुआत तक, कार्यान्वयन नियमों को पूरी तरह से अधिसूचित नहीं किया गया है। अधिनियम स्वयं लागू है - जिसका अर्थ है कि इसके सिद्धांत और कुछ दायित्व लागू होते हैं - लेकिन विस्तृत अनुपालन आवश्यकताएं (सहमति नोटिस प्रारूप, एसडीएफ मानदंड, डीपीबीआई प्रक्रियाएं) नियमों की प्रतीक्षा करती हैं। व्यवसायों को अब अनुपालन ढाँचा तैयार करना चाहिए और नियम प्रकाशित होते ही उन्हें अद्यतन करना चाहिए।
डीपीडीपी अधिनियम जीडीपीआर से किस प्रकार भिन्न है?
कई महत्वपूर्ण अंतर: (1) डीपीडीपी अधिनियम सहमति को प्राथमिक आधार के रूप में उपयोग करता है, सीमित "वैध उपयोग" के साथ - जीडीपीआर में छह समान कानूनी आधार हैं; (2) डीपीडीपी अधिनियम डिफ़ॉल्ट रूप से सीमा पार स्थानांतरण की अनुमति देता है (सरकार-प्रतिबंधित देशों के अपवाद के साथ) - जीडीपीआर तब तक स्थानांतरण को प्रतिबंधित करता है जब तक कि पर्याप्त सुरक्षा मौजूद न हो; (3) डीपीडीपी अधिनियम में डेटा पोर्टेबिलिटी या प्रसंस्करण में प्रतिबंध के स्पष्ट अधिकार शामिल नहीं हैं; (4) डीपीडीपी अधिनियम सहमति प्रबंधकों का परिचय देता है - एक अद्वितीय नवाचार; (5) डीपीडीपी अधिनियम की जुर्माना संरचना (अधिकतम 250 करोड़ रुपये) बड़ी बहुराष्ट्रीय कंपनियों के लिए जीडीपीआर की संभावित अधिकतम सीमा से कम है; (6) डीपीडीपी अधिनियम केवल डिजिटल व्यक्तिगत डेटा पर लागू होता है - जीडीपीआर प्रारूप की परवाह किए बिना सभी व्यक्तिगत डेटा पर लागू होता है।
महत्वपूर्ण डेटा प्रत्ययी के रूप में किसे नामित किए जाने की संभावना है?
धारा 10 के मानदंड सुझाव देते हैं कि एसडीएफ में शामिल होंगे: भारत में सक्रिय प्रमुख सोशल मीडिया प्लेटफॉर्म, पर्याप्त भारतीय उपयोगकर्ता आधार वाली बड़ी ई-कॉमर्स कंपनियां, बड़े पैमाने पर संवेदनशील डेटा (स्वास्थ्य, वित्तीय) संसाधित करने वाली कंपनियां, महत्वपूर्ण प्रसंस्करण मात्रा वाली प्रौद्योगिकी कंपनियां। जीडीपीआर के अनुरूप "बड़े पैमाने पर व्यवस्थित निगरानी" सीमा और भारत के आकार (1.4 बिलियन जनसंख्या) के आधार पर, लाखों भारतीय उपयोगकर्ताओं वाली कंपनियों, विशेष रूप से उपभोक्ता इंटरनेट, फिनटेक और स्वास्थ्य-तकनीक क्षेत्रों में, एसडीएफ संभावना का आकलन करना चाहिए और बढ़े हुए दायित्वों के लिए तैयार रहना चाहिए।
सहमति प्रबंधक प्रावधान क्या हैं?
सहमति प्रबंधक डीपीबीआई के साथ पंजीकृत संस्थाएं हैं जो इंटरऑपरेबल प्लेटफॉर्म बनाए रखती हैं, जिसके माध्यम से डेटा प्रिंसिपल कई डेटा फ़िडुशियरी में सहमति दे सकते हैं, प्रबंधित कर सकते हैं, समीक्षा कर सकते हैं और वापस ले सकते हैं। एक सहमति प्रबंधक के माध्यम से प्राप्त सहमति के आधार पर डेटा फ़िडुशियरी प्रसंस्करण के लिए जवाबदेह हैं। इसे व्यक्तियों को डिजिटल पारिस्थितिकी तंत्र में उनकी सहमति का एक केंद्रीकृत दृष्टिकोण और नियंत्रण देने के लिए डिज़ाइन किया गया है। सहमति प्रबंधकों के लिए पंजीकरण आवश्यकताओं और तकनीकी मानकों को कार्यान्वयन नियमों में निर्दिष्ट किया जाएगा।
डीपीडीपी अधिनियम कर्मचारी डेटा पर कैसे लागू होता है?
रोजगार डेटा को "वैध उपयोग" प्रावधान (धारा 7(एफ)) के माध्यम से संबोधित किया जाता है - रोजगार के संबंध में दायित्वों को पूरा करने या कानून के तहत अधिकारों का प्रयोग करने के उद्देश्य से प्रसंस्करण (रोजगार पूर्व सत्यापन, पृष्ठभूमि जांच, पेरोल, लाभ सहित) सहमति की आवश्यकता के बिना वैध उपयोग के रूप में योग्य है। हालाँकि, रोजगार उद्देश्यों से परे कर्मचारी डेटा के लिए सहमति की आवश्यकता होगी। कार्यान्वयन नियमों से रोजगार-संबंधी वैध उपयोगों के दायरे को स्पष्ट करने की अपेक्षा की जाती है।
क्या सेक्टर-विशिष्ट डेटा स्थानीयकरण आवश्यकताएं अभी भी लागू होती हैं?
हाँ। डीपीडीपी अधिनियम के सीमा पार स्थानांतरण प्रावधान क्षेत्र-विशिष्ट स्थानीयकरण आवश्यकताओं का स्थान नहीं लेते हैं। भारतीय रिज़र्व बैंक (RBI) को भारत के भीतर वित्तीय डेटा भंडारण की आवश्यकता है (भुगतान प्रणाली डेटा संग्रहण दिशा, 2018)। राष्ट्रीय चिकित्सा आयोग और स्वास्थ्य मंत्रालय के पास स्वास्थ्य डेटा स्थानीयकरण आवश्यकताएँ हैं। IRDAI (बीमा) के पास बीमा कंपनियों के लिए डेटा स्थानीयकरण आवश्यकताएँ हैं। विनियमित क्षेत्रों के व्यवसायों को डीपीडीपी अधिनियम और क्षेत्र-विशिष्ट आवश्यकताओं दोनों को पूरा करना होगा।
अगले चरण
भारत का डीपीडीपी अधिनियम भारतीय परिचालन, ग्राहकों या कर्मचारियों वाले किसी भी व्यवसाय के लिए एक महत्वपूर्ण नियामक विकास का प्रतिनिधित्व करता है। जबकि नियमों को लागू करने को अभी भी अंतिम रूप दिया जा रहा है, अब आपके अनुपालन कार्यक्रम का निर्माण - विशेष रूप से सहमति तंत्र, डेटा प्रमुख अधिकार और सुरक्षा सुरक्षा उपायों के आसपास - आपको नियमों को अधिसूचित होने पर कुशलतापूर्वक अनुपालन प्राप्त करने में सक्षम बनाता है।
ECOSIRE की प्रौद्योगिकी कार्यान्वयन टीम व्यवसायों को भारत के बाजार के अनुरूप DPDP-संगत डेटा आर्किटेक्चर, सहमति प्रबंधन प्रणाली और गोपनीयता संचालन वर्कफ़्लो डिज़ाइन करने में मदद करती है।
आरंभ करें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। डीपीडीपी अधिनियम के कार्यान्वयन नियम लंबित हैं; नियम अधिसूचित होते ही आवश्यकताएँ विकसित होंगी। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य भारतीय कानूनी सलाहकार से परामर्श लें।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE के साथ अपना व्यवसाय बढ़ाएं
ईआरपी, ईकॉमर्स, एआई, एनालिटिक्स और ऑटोमेशन में एंटरप्राइज समाधान।
संबंधित लेख
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.
Tally to Odoo Migration 2026: Step-by-Step Guide for Indian SMBs
Tally to Odoo migration playbook for Indian SMBs in 2026: data model mapping, 12-step plan, GST handling, COA translation, parallel run, UAT, and cutover.
रासायनिक उद्योग के लिए ईआरपी: सुरक्षा, अनुपालन और बैच प्रोसेसिंग
ईआरपी सिस्टम रासायनिक कंपनियों के लिए एसडीएस दस्तावेज़, पहुंच और जीएचएस अनुपालन, बैच प्रोसेसिंग, गुणवत्ता नियंत्रण, खतरनाक शिपिंग और फॉर्मूला प्रबंधन कैसे प्रबंधित करते हैं।
Compliance & Regulation से और अधिक
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.
ई-कॉमर्स के लिए साइबर सुरक्षा: 2026 में अपने व्यवसाय को सुरक्षित रखें
2026 के लिए पूर्ण ईकॉमर्स साइबर सुरक्षा गाइड। पीसीआई डीएसएस 4.0, डब्ल्यूएएफ सेटअप, बॉट सुरक्षा, भुगतान धोखाधड़ी की रोकथाम, सुरक्षा हेडर और घटना प्रतिक्रिया।
रासायनिक उद्योग के लिए ईआरपी: सुरक्षा, अनुपालन और बैच प्रोसेसिंग
ईआरपी सिस्टम रासायनिक कंपनियों के लिए एसडीएस दस्तावेज़, पहुंच और जीएचएस अनुपालन, बैच प्रोसेसिंग, गुणवत्ता नियंत्रण, खतरनाक शिपिंग और फॉर्मूला प्रबंधन कैसे प्रबंधित करते हैं।
आयात/निर्यात व्यापार के लिए ईआरपी: बहु-मुद्रा, रसद और अनुपालन
ईआरपी सिस्टम ट्रेडिंग कंपनियों के लिए क्रेडिट पत्र, सीमा शुल्क दस्तावेज़ीकरण, इनकोटर्म्स, बहु-मुद्रा पी एंड एल, कंटेनर ट्रैकिंग और शुल्क गणना को कैसे संभालते हैं।
ईआरपी के साथ स्थिरता और ईएसजी रिपोर्टिंग: अनुपालन गाइड 2026
ईआरपी सिस्टम के साथ 2026 में ईएसजी रिपोर्टिंग अनुपालन पर नेविगेट करें। सीएसआरडी, जीआरआई, एसएएसबी, स्कोप 1/2/3 उत्सर्जन, कार्बन ट्रैकिंग और ओडू स्थिरता को कवर करता है।
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.