हैदराबाद: इलेक्ट्रॉनिक्स और इंफोर्मेशन टेक्नोलॉजी मिनिस्ट्री ने शुक्रवार को डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट के लिए ड्राफ्ट रूल्स पेश किए हैं, जिसमें यूजर डेटा का कलेक्शन, स्टोरेज और यूज़र्स डेटा की प्रोसेसिंग के नियमों के बारे में जानकारी दी गई है. इस डॉक्यूमेंट में डेटा की प्राइवेसी, सिक्योरिटी और खासतौर पर बच्चों के डेटा से संबंधित भी नए प्रावधान शामिल है. इसके अलावा, यह नए नियम सहमति (Consent) और डेटा उल्लंघन की सूचनाओं के लिए भी एक फ्रेमवर्क स्थापित करते हैं.
यह कानून अगस्त 2023 में भारतीय संसद से पारित किया गया था, और फिलहाल सरकार इन ड्राफ्ट रूल्स पर 18 फरवरी 2025 तक सार्वजनिक प्रतिक्रियाएं प्राप्त कर रही है. आइए हम आपको इस आर्टिकल में सरकार के इस डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट के लिए पेश किए गए ड्राफ्ट रूल्स को सरल शब्दों में समझाते हैं.
डिजिटल पर्सनल डेटा प्रोटेक्शन (DPDP) - ड्राफ्ट नियम, 2025
1. सूचना और सहमति (Notice and Consent)
- सूचना: यूज़र्स के पर्सनल डेटा को मैनेज करने वाले व्यक्ति या संस्था को डेटा फिड्यूशियरी कहा जाता है. सरकार के नए नियमों के मुताबिक, अब से डेटा फिड्यूशियरी को यूजर का डेटा कलेक्ट करने से पहले उन्हें सूचना देनी होगी. इसमें उन सभी पर्सनल डेटा की लिस्ट दी जाएगी, जो इकट्ठा की जा रही है. इसके अलावा यूज़र्स को यह भी बताया जाएगा कि उन पर्सनल डेटा को इकट्ठा करना क्यों जरूरी है और उनका उपयोग कैसे किया जाएगा.
- स्पष्ट सहमति: डेटा इकट्ठा करने से पहले कंपनियों को आपकी स्पष्ट सहमति प्राप्त करनी होगी, ताकि आप यह पूरी तरह से समझ सकें कि आपका डेटा किस उद्देश्य से और कैसे उपयोग होगा.
- सहमति वापस लेने का अधिकार: आप अपनी सहमति कभी भी, जितनी आसानी से दी थी, उतनी ही आसानी से वापस ले सकते हैं. इस नियम के मुताबिक कंपनियां आपकी सहमति यानी कंसेंट को वापस लेने के लिए प्रक्रिया को जटिल या भ्रमित करने की कोशिश नहीं कर सकती.
- कंसेंट मैनेजर: कम से कम 2 करोड़ रुपये की नेट वर्थ वाला, भारत में रजिस्टर्ड एक कंसेंट मैनेजर, आपकी सहमति को मैनेज और रिकॉर्ड करेगा. कंसेंट मैनेजर एक सर्टिफाइड इंटरऑपरेबल प्लेटफ़ॉर्म प्रदान करेगा और सिक्योरिटी प्लान्स को सुनिश्चित करेगा.
2. डेटा कलेक्शन एंड सिक्योरिटी
- कम से कम डेटा कलेक्ट करना: कंपनियां सिर्फ वही डेटा एकत्र कर सकती हैं, जो जरूरी हो, और एन्क्रिप्शन, एक्सेस कंट्रोल और डेटा बैकअप्स आदि एक बार डेटा का उद्देश्य पूरा हो जाए तो कंपनियों को वो डेटा डिलीट करना होगा.
- सिक्योरिटी का नियम: कंपनियों ने यूज़र्स के पर्सनल डेटा को सुरक्षित रखने के लिए उचित सुरक्षा उपायों जैसे एन्क्रिप्शन, एक्सेस कंट्रोल और डेटा बैकअप्स आदि सुनिश्चित करना होगा. इसका उद्देश्य अनऑफिशियल एक्सेस या उल्लंघन से बचा जा सके.
3. बच्चों का डेटा
- बच्चों के लिए विशेष नियम: कंपनियों को किसी बच्चे का व्यक्तिगत डेटा प्रोसेस करने से पहले माता-पिता या कानूनी अभिभावक से वेरीफाइड कंसेंट प्राप्त करना अनिवार्य होगा. डेटा फिड्यूशियरी को सरकारी डॉक्यूमेंट्स (आधार कार्ड, पैन कार्ड, पासपोर्ट आदि) या डिजिटल टोकन्स का उपयोग करके माता-पिता की पहचान करनी होगी.
- बच्चों के लिए प्राइवेसी रूल्स: सोशल मीडिया प्लेटफॉर्म और वेबसाइट्स पर बच्चों की पहचान सरकार द्वारा जारी किए पहचान पत्रों (आधार कार्ड, पैन कार्ड, पासपोर्ट आदि) या डिजिटल टोकन के जरिए वेरीफाई करनी होगी.
- किसे मिलेगी छूट: अनुसूची IV में बताए गए नियमों के मुताबिक शैक्षिक संस्थाएं और बाल कल्याण संगठन बच्चों के डेटा से संबंधित कुछ प्रावधानों से छूट प्राप्त कर सकते हैं.
4. डेटा उल्लंघन और क्रॉस-बॉर्डर डेटा ट्रांसफर
- डेटा उल्लंघन की सूचना: यदि कोई डेटा उल्लंघन होता है, तो कंपनी को प्रभावित व्यक्तियों और डेटा प्रोटेक्शन बोर्ड को तुरंत सूचित करना होगा. प्रभावित व्यक्तियों को सूचना में उल्लंघन, इसके संभावित परिणाम और उसे ठीक करने के उपायों के बारे में जानकारी दी जाएगी.
- क्रॉस-बॉर्डर डेटा ट्रांसफर: अगर डेटा प्राप्त करने वाला देश निर्धारित डेटा सिक्योरिटी रूल्स को पूरा करता है तो केंद्रीय सरकार की अनुमति के बाद ही क्रॉस-बॉर्डर डेटा ट्रांसफर होगा.
5. सिग्निफिकेंट डेटा फिड्यूशियरी (SDF) और कॉन्टैक्ट डिटेल्स
- सिग्निफिकेंट डेटा फिड्यूशियरी (SDF): एसडीएफ ऐसे बड़े संस्थान होते हैं, जो भारी मात्रा में संवेदनशील डेटा को हैंडल करते हैं. उन्हें वार्षिक डेटा प्रोटेक्शन इम्पैक्ट असेसमेंट (DPIA), ऑडिट्स करने होंगे और यह सुनिश्चित करना होगा कि उनके एल्गोरिदम डेटा प्रिंसिपल्स को नुकसान न पहुंचा पाएं.
- कॉन्टैक्ट डिटेल्स: डेटा फिड्यूशियरी को अपनी वेबसाइट्स और ऐप्स पर डेटा से संबंधित सवालों के लिए कॉन्टैक्ट डिटेल्स पब्लिश करना होगा. इसमें डेटा प्रोटेक्शन अधिकारी (यदि लागू हो) या आधिकारिक प्रतिनिधि की कॉन्टैक्ट डिटेल्स शामिल होगी.
6. डेटा प्रिंसिपल्स के अधिकार
- डेटा प्रिंसिपल्स को अपने व्यक्तिगत डेटा तक एक्सेस प्राप्त करने और उसे मिटाने का अधिकार होगा.
- इसके लिए उन्हें डेटा फिड्यूशियरी से संपर्क करना होगा और इस प्रक्रिया का पालन करना होगा.
- डेटा फिड्यूशियरी को इन अधिकारों का उपयोग करने के लिए स्पष्ट प्रक्रिया और शिकायत को समाधान करने के लिए समयसीमा बतानी होगी.
7. राज्य की जिम्मेदारियां और प्रवर्तन
- राज्य द्वारा डेटा का उपयोग: राज्य को व्यक्तिगत डेटा का सही तरीके से, खास उद्देश्य के लिए और सुरक्षित रखते हुए उपयोग करना होगा. डेटा को ज्यादा देर तक नहीं रखना चाहिए. लोगों को जानकारी दी जानी चाहिए और सवाल पूछने के लिए कॉन्टैक्ट डिटेल्स दिया जाना चाहिए.
- सिलेक्शन कमेटी: इस कमेटी का काम बोर्ड के अध्यक्ष और सदस्यों के लिए उम्मीदवारों की सिफारिश करना है, जो DPDP नियमों, 2025 का पालन सुनिश्चित करेंगे.
- डेटा कलेक्शन बोर्ड: सरकार द्वारा बनाए गए नए नियमों के ड्राफ्ट में उल्लंघनों की जांच और सजा देने के लिए डेटा कलेक्शन बोर्ड बनाने की बात भी कही गई है. यह बोर्ड एक डिजिटल ऑफिस की तरह काम करेगा, जहां रिमोट हियरिंग और आसान प्रक्रियाएं होंगी.
यह भी पढ़ें: 2025 में कमाल करेगा भारतीय स्मार्टफोन मार्केट, आंकड़े देखकर दंग रह जाएंगे आप!
