હૈદરાબાદ: ઈલેક્ટ્રોનિક્સ અને ઈન્ફોર્મેશન ટેક્નોલોજી મંત્રાલયે શુક્રવારે ડિજિટલ પર્સનલ ડેટા પ્રોટેક્શન એક્ટ માટે ડ્રાફ્ટ નિયમો રજૂ કર્યા હતા, જેમાં યુઝર ડેટાના સંગ્રહ, સ્ટોરેજ અને પ્રક્રિયા માટેના નિયમો વિશે માહિતી આપવામાં આવી છે. આ દસ્તાવેજમાં ડેટાની પ્રાઈવેસી, સુરક્ષા અને ખાસ કરીને બાળકોના ડેટા સંબંધિત નવી જોગવાઈઓ પણ સામેલ છે. વધુમાં, આ નવા નિયમો સંમતિ (Consent) અને ડેટા ભંગ સૂચનાઓ માટે એક માળખું પણ સ્થાપિત કરે છે.
આ કાયદો ઓગસ્ટ 2023 માં ભારતીય સંસદ દ્વારા પસાર કરવામાં આવ્યો હતો, અને સરકાર હાલમાં 18 ફેબ્રુઆરી 2025 સુધી આ ડ્રાફ્ટ નિયમો પર જાહેર પ્રતિસાદ મેળવી રહી છે. આ લેખમાં આ ડિજિટલ પર્સનલ ડેટા પ્રોટેક્શન એક્ટ માટે સરકાર દ્વારા રજૂ કરાયેલા ડ્રાફ્ટ નિયમો અમે તમને સરળ શબ્દોમાં સમજાવીએ.
ડિજિટલ પર્સનલ ડેટા પ્રોટેક્શન (DPDP) – ડ્રાફ્ટ રૂલ્સ, 2025
1. સૂચના અને સંમતિ
નોંધ: જે વ્યક્તિ અથવા સંસ્થા વપરાશકર્તાઓના વ્યક્તિગત ડેટાનું સંચાલન કરે છે તેને ડેટા ફિડ્યુસિયરી કહેવામાં આવે છે. સરકારના નવા નિયમો અનુસાર, હવેથી ડેટા ફિડ્યુશિયરીએ યુઝર્સને તેમનો ડેટા કલેક્ટ કરતા પહેલા જાણ કરવી પડશે. આમાં, એકત્રિત કરવામાં આવી રહેલા તમામ વ્યક્તિગત ડેટાની સૂચિ આપવામાં આવશે. આ સિવાય યુઝર્સને એ પણ જણાવવામાં આવશે કે તે પર્સનલ ડેટા કલેક્ટ કરવો શા માટે જરૂરી છે અને તેનો ઉપયોગ કેવી રીતે કરવામાં આવશે.
સ્પષ્ટ સંમતિ: કંપનીઓએ ડેટા એકત્રિત કરતા પહેલા તમારી સ્પષ્ટ સંમતિ મેળવવી આવશ્યક છે, જેથી તમે સંપૂર્ણપણે સમજી શકો કે તમારા ડેટાનો ઉપયોગ કેવી રીતે અને કયા હેતુ માટે કરવામાં આવશે.
સંમતિ પાછી ખેંચવાનો અધિકાર: તમે ગમે ત્યારે તમારી સંમતિ જેટલી સરળતાથી તમે આપી હતી, એટલી જ સરળતાથી પાછી ખેંચી શકો છો. આ નિયમ અનુસાર, કંપનીઓ તમારી સંમતિ પાછી ખેંચવા માટે પ્રક્રિયાને જટિલ બનાવવા અથવા ગૂંચવવાનો પ્રયાસ કરી શકતી નથી.
સંમતિ મેનેજર: ઓછામાં ઓછા રૂ. 2 કરોડની નેટવર્થ સાથે ભારતમાં નોંધાયેલ સંમતિ મેનેજર તમારી સંમતિનું સંચાલન અને રેકોર્ડ કરશે. સંમતિ મેનેજર પ્રમાણિત ઇન્ટરઓપરેબલ પ્લેટફોર્મ પ્રદાન કરશે અને સુરક્ષા યોજનાઓની ખાતરી કરશે.
2. ડેટા સંગ્રહ અને સુરક્ષા
ડેટા સંગ્રહ ઓછો કરો: કંપનીઓ ફક્ત તે જ ડેટા એકત્રિત કરી શકે છે જે જરૂરી હોય, અને એન્ક્રિપ્શન, એક્સેસ કંટ્રોલ અને ડેટા બેકઅપ વગેરે. એકવાર ડેટાનો હેતુ પૂરો થઈ જાય, પછી કંપનીઓએ તે ડેટાને ડિલિટ કરી નાખવો જરૂરી છે.
સુરક્ષા નિયમો: કંપનીઓએ વપરાશકર્તાઓના વ્યક્તિગત ડેટાને સુરક્ષિત રાખવા માટે એન્ક્રિપ્શન, એક્સેસ કંટ્રોલ અને ડેટા બેકઅપ વગેરે જેવા યોગ્ય સુરક્ષા પગલાંની ખાતરી કરવી જોઈએ. તેનો હેતુ અનધિકૃત પ્રવેશ અથવા ઉલ્લંઘનને ટાળવાનો છે.
3. બાળકોનો ડેટા
બાળકો માટેના વિશેષ નિયમો: કંપનીઓએ બાળકના વ્યક્તિગત ડેટા પર પ્રક્રિયા કરતા પહેલા માતાપિતા અથવા કાનૂની વાલી પાસેથી ચકાસી સંમતિ મેળવવી ફરજિયાત રહેશે. ડેટા ફિડ્યુસિયરીએ સરકારી દસ્તાવેજો (આધાર કાર્ડ, પાન કાર્ડ, પાસપોર્ટ વગેરે) અથવા ડિજિટલ ટોકન્સનો ઉપયોગ કરીને માતાપિતાને ઓળખવા પડશે.
બાળકો માટે પ્રાઈવેસી નિયમો: સોશિયલ મીડિયા પ્લેટફોર્મ અને વેબસાઇટ્સ પર બાળકોની ઓળખ સરકાર દ્વારા જારી કરાયેલ ઓળખ કાર્ડ (આધાર કાર્ડ, પાન કાર્ડ, પાસપોર્ટ વગેરે) અથવા ડિજિટલ ટોકન દ્વારા ચકાસવાની રહેશે.
કોને મળશે છૂટઃ શિડ્યુલ IV માં ઉલ્લેખિત નિયમો અનુસાર, શૈક્ષણિક સંસ્થાઓ અને બાળ કલ્યાણ સંસ્થાઓને બાળકોના ડેટા સંબંધિત કેટલીક જોગવાઈઓમાંથી છૂટ મળી શકે છે.
4. ડેટા ભંગ અને ક્રોસ બોર્ડર ડેટા ટ્રાન્સફર
ડેટા ભંગ સૂચના: જો ડેટા ભંગ થાય છે, તો કંપનીએ અસરગ્રસ્ત વ્યક્તિઓ અને ડેટા પ્રોટેક્શન બોર્ડને તરત જ સૂચિત કરવું જરૂરી છે. અસરગ્રસ્ત વ્યક્તિઓને ઉલ્લંઘન, તેના સંભવિત પરિણામો અને તેને દૂર કરવાના પગલાં વિશે સૂચિત કરવામાં આવશે.
ક્રોસ-બોર્ડર ડેટા ટ્રાન્સફર: જો ડેટા પ્રાપ્ત કરનાર દેશ નિર્ધારિત ડેટા સુરક્ષા નિયમોને પૂર્ણ કરે તો જ કેન્દ્ર સરકારની પરવાનગી પછી જ ક્રોસ-બોર્ડર ડેટા ટ્રાન્સફર થશે.
5. નોંધપાત્ર ડેટા ફિડ્યુસિયરી (SDF) અને કોન્ટેક્ટ ડિટેઈલ
સિગ્નિફિકન્ટ ડેટા ફિડ્યુસિયરી (SDF): SDF એ મોટી સંસ્થાઓ છે જે મોટા પ્રમાણમાં સંવેદનશીલ ડેટાનું સંચાલન કરે છે. તેઓએ વાર્ષિક ડેટા પ્રોટેક્શન ઈમ્પેક્ટ એસેસમેન્ટ (DPIA), ઓડિટ કરવું જોઈએ અને ખાતરી કરવી જોઈએ કે તેમના અલ્ગોરિધમ્સ ડેટા સિદ્ધાંતોનું ઉલ્લંઘન કરતા નથી.
કોન્ટેક્ટ ડિટેઈલ: ડેટા ફિડ્યુસિયરીએ તેમની વેબસાઇટ્સ અને એપ્લિકેશન્સ પર ડેટા સંબંધિત પ્રશ્નો માટે સંપર્ક વિગતો પ્રકાશિત કરવી આવશ્યક છે. આમાં ડેટા પ્રોટેક્શન ઓફિસર (જો લાગુ હોય તો) અથવા સત્તાવાર પ્રતિનિધિની કોન્ટેક્ટ ડિટેઈલ શામેલ હશે.
6. ડેટા પ્રિન્સિપાલના અધિકારો
- ડેટા પ્રિન્સિપાલ પાસે તેમનો વ્યક્તિગત ડેટા ઍક્સેસ કરવાનો અને તેને ડિલીટ અધિકાર હશે.
- આ માટે તેઓએ ડેટા ફિડ્યુસિયરીનો સંપર્ક કરવો પડશે અને આ પ્રક્રિયાને અનુસરવી પડશે.
- ડેટા ફિડ્યુસિયરીએ આ અધિકારોનો ઉપયોગ કરવા માટે સ્પષ્ટ પ્રક્રિયા અને ફરિયાદોના નિરાકરણ માટે સમયમર્યાદા પ્રદાન કરવી આવશ્યક છે.
7. રાજ્યની જવાબદારીઓ અને અમલીકરણ
રાજ્ય દ્વારા ડેટાનો ઉપયોગ: રાજ્યએ વ્યક્તિગત ડેટાનો યોગ્ય રીતે, હેતુપૂર્ણ હેતુ માટે અને સુરક્ષિત રીતે ઉપયોગ કરવો જોઈએ. ડેટા લાંબા સમય સુધી ન રાખવો જોઈએ. લોકોને જાણ કરવી જોઈએ અને પ્રશ્નો પૂછવા માટે સંપર્ક વિગતો આપવી જોઈએ.
પસંદગી સમિતિ: આ સમિતિનું કાર્ય બોર્ડના અધ્યક્ષ અને સભ્યો માટે ઉમેદવારોની ભલામણ કરવાનું છે, જેઓ DPDP નિયમો, 2025 નું પાલન સુનિશ્ચિત કરશે.
ડેટા કલેક્શન બોર્ડઃ સરકાર દ્વારા બનાવવામાં આવેલા નવા નિયમોના ડ્રાફ્ટમાં પણ ઉલ્લંઘનની તપાસ કરવા અને સજા કરવા માટે ડેટા કલેક્શન બોર્ડ બનાવવાની વાત કરવામાં આવી છે. આ બોર્ડ ડિજિટલ ઓફિસની જેમ કામ કરશે, જ્યાં દૂરસ્થ સુનાવણી અને સરળ પ્રક્રિયાઓ હશે.
આ પણ વાંચો:
