यह लेख लॉसिखो से बौद्धिक संपदा, मीडिया और मनोरंजन कानून में डिप्लोमा कर रहे Atharv Deotarse द्वारा लिखा गया है। इस लेख मे डिजिटल व्यक्तिगत डाटा संरक्षण अधिनियम (डीपीडीडीए) के लिए स्टार्टअप मार्गदर्शक के बारे मे चर्चा की गई है। इस लेख का अनुवाद Chitrangda Sharma के द्वारा किया गया है।
Table of Contents
परिचय
डिजिटल मंच पर सेवाओं तक पहुँचने के लिए, हर कोई अपना व्यक्तिगत डाटा संगठनों के साथ साझा करता है। इस तकनीक-चालित दुनिया में, व्यक्तिगत डाटा आजकल एक कीमती वस्तु बन गया है। इस डाटा की सुरक्षा पहले से कहीं ज़्यादा ज़रूरी है। भारत ने 2023 में डिजिटल निजी डाटा संरक्षण अधिनियम लागू किया है, जिसका उद्देश्य व्यक्तिगत डाटा की सुरक्षा के लिए एक व्यापक ढांचा प्रदान करना है। डिजिटल व्यक्तिगत डाटा संरक्षण अधिनियम ने आपके डाटा को संभालने, सुरक्षा और पारदर्शिता सुनिश्चित करने के लिए मानक निर्धारित किए हैं। डीपीडीपीए के तहत, संगठन व्यक्तिगत डाटा को दुरुपयोग और उल्लंघन से बचाने के लिए मजबूत सुरक्षा उपायों को लागू करने के लिए उत्तरदायी हैं। इस आलेख में डाटा संग्रहण और प्रसंस्करण (प्रोसेसिंग), डाटा सुरक्षा उपाय, सीमापार डाटा हस्तांतरण, जवाबदेही और अनुपालन आदि जैसे प्रमुख प्रावधानों पर विस्तार से चर्चा की गई है।
डीपीडीपीए, 2023 के तहत “डाटा”
डाटा संग्रह और प्रसंस्करण में आगे बढ़ने से पहले, हमें यह समझना चाहिए कि व्यक्तिगत डाटा क्या है। अधिनियम की धारा 2(h) में “डाटा” को तथ्यों, सूचनाओं, राय, अवधारणाओं या निर्देशों के प्रतिनिधित्व के रूप में वर्णित किया गया है, जो मानव या स्वचालित साधनों द्वारा व्याख्या, संचार या प्रसंस्करण के लिए उपयुक्त तरीके से हो। सरल शब्दों में कहें तो डाटा वह सूचना है जिससे किसी व्यक्ति की पहचान की जा सकती है। अन्य गोपनीयता कानूनों के विपरीत, यह अधिनियम व्यक्तिगत डाटा के उदाहरणों की कोई सूची प्रदान नहीं करता है। याद रखें कि डाटा किसी भी रूप में एकत्र किया जा सकता है और बाद में डिजिटल किया जा सकता है; यह अधिनियम अभी भी उस पर लागू है।
डाटा संग्रहण और प्रसंस्करण
इस अधिनियम के प्रावधानों का अनुपालन करने के लिए, डाटा प्रत्ययी (फिड्युशरीज़) (संगठनों) को डाटा संग्रहण और प्रसंस्करण से पहले डाटा सिद्धांतों (उपयोगकर्ताओं) की स्पष्ट सहमति की आवश्यकता होती है। संगठनों द्वारा अपने उपयोगकर्ताओं से अनुरोधित सहमति के साथ एक नोटिस भी संलग्न किया जाना चाहिए, जिसमें उपयोगकर्ताओं को निम्नलिखित के बारे में सूचित किया जाए:
- किस प्रकार का व्यक्तिगत डाटा एकत्र किया गया है तथा डाटा प्रसंस्करण का उद्देश्य स्पष्ट रूप से निर्दिष्ट किया गया है। उदाहरण के लिए, ई-कॉमर्स मंच लेनदेन का प्रबंधन करने, उपयोगकर्ताओं को उत्पादों की सिफारिश करने और उपयोगकर्ताओं के खरीदारी अनुभव को बढ़ाने के लिए उपयोगकर्ताओं से डाटा एकत्र करते हैं।
- निर्दिष्ट करें कि उपयोगकर्ता अधिनियम के तहत अपने अधिकारों का प्रयोग कैसे कर सकते हैं।
- और उपयोगकर्ता भारतीय डाटा संरक्षण बोर्ड (डीपीआईबी) में शिकायत कैसे दर्ज कर सकते हैं
सहमति का अनुरोध संविधान की आठवीं अनुसूची की सभी 22 भाषाओं में होना चाहिए और उसे इस प्रकार लिखा जाना चाहिए कि वह समझने में आसान हो। सहमति स्वतंत्र, बिना शर्त, स्पष्ट और सूचित होनी चाहिए। उपयोगकर्ताओं को अपनी सहमति वापस लेने का भी अधिकार है। संगठन केवल उतना ही डाटा एकत्रित करते हैं, जितना आवश्यक होता है, तथा उस डाटा को हटा देते हैं, जो लंबे समय तक अनावश्यक होता है या उपयोगकर्ता द्वारा अपनी सहमति वापस लेने पर हटा दिया जाता है। उपयोगकर्ताओं के एकत्रित डाटा का उपयोग करने का अधिकार उस उद्देश्य तक सीमित है जिसके लिए सहमति प्राप्त की गई है। हालांकि, ये संगठन स्पष्ट सहमति के बिना भी डाटा का प्रसंस्करण कर सकते हैं, जहां उपयोगकर्ता स्वेच्छा से डाटा प्रदान करते हैं; इसमें ग्राहक सहायता या अन्य समान स्थितियों को प्राप्त करने के लिए डाटा प्रदान करना शामिल हो सकता है।
इन सीमाओं का एक अपवाद है: संगठन कानूनों और अदालती आदेशों का अनुपालन करने के लिए डाटा का उपयोग कर सकते हैं। हालाँकि, वे आपके डाटा का उपयोग सरकारी कार्यों को करने, भारत की अखंडता, संप्रभुता और सुरक्षा की रक्षा करने, सार्वजनिक व्यवस्था बनाए रखने, महामारी में उपाय करने और कर्मचारियों को नुकसान से बचाने के लिए भी कर सकते हैं।
डाटा प्रिंसिपल के अधिकार (व्यक्ति या उपयोगकर्ता के अधिकार)
अधिनियम के अंतर्गत डाटा प्रिंसिपल वह व्यक्ति है जिसका डाटा संसाधित किया जाएगा तथा वह व्यक्ति जिसके बच्चे का डाटा संसाधित किया जा रहा है, जिसमें बच्चे का वैध अभिभावक भी शामिल है। इसमें वह व्यक्ति भी शामिल है जो किसी विकलांग व्यक्ति का कानूनी अभिभावक है या उसकी ओर से कार्य कर रहा है। इस अधिनियम के अंतर्गत डाटा सिद्धांत को 5 प्रमुख अधिकार दिए गए हैं:
- पहुंच का अधिकार: वे डाटा प्रत्ययी (संगठनों) की गतिविधियों के बारे में जानकारी प्राप्त कर सकते हैं और संसाधित व्यक्तिगत डाटा और इसकी प्रक्रिया के बारे में भी जानकारी प्राप्त कर सकते हैं। इसके अलावा, डाटा प्रिंसिपलों को उन सभी डाटा प्रत्ययी और डाटा प्रक्रमक (प्रोसेसर्स) के बारे में जानकारी प्राप्त करने का अधिकार है जिनके साथ डाटा साझा किया जाता है।
- सुधार का अधिकार: उन्हें व्यक्तिगत डाटा को सही और अद्यतन करने का अधिकार है। अनुरोध करने पर, डाटा प्रत्ययी किसी भी अशुद्धि को ठीक करते हैं और व्यक्तिगत डाटा को अद्यतन (अपडेट) या पूर्ण करते हैं।
- मिटाने का अधिकार: उन्हें अपने व्यक्तिगत डाटा को मिटाने का अधिकार है, जिसमें किसी तीसरे डाटा प्रक्रमक या डाटा प्रत्ययी द्वारा संसाधित डाटा भी शामिल है। हालाँकि, यदि किसी विशिष्ट उद्देश्य की पूर्ति के लिए या कानूनी अनुपालन के लिए डाटा एकत्रित किया गया हो तो डाटा न्यासी या संगठन को ऐसे डाटा को हटाने की बाध्यता नहीं है।
- शिकायत निवारण: वे डाटा प्रत्ययी के समक्ष अपनी शिकायतें प्रस्तुत कर सकते हैं, तथा डाटा प्रत्ययी के दायित्व के किसी भी कार्य या चूक या डाटा प्रिंसिपल के अधिकारों के प्रवर्तन से संबंधित किसी भी मुद्दे को हल करने के लिए कह सकते हैं।
- नामांकन का अधिकार: यह एक ऐसा अधिकार है जो किसी भी अन्य डाटा गोपनीयता कानून द्वारा व्यक्तियों को प्रदान नहीं किया जाता है। इस अधिनियम के तहत, उन्हें डाटा सिद्धांत की मृत्यु या उसके अस्वस्थ या अक्षम होने की स्थिति में अपने डाटा गोपनीयता अधिकार का प्रयोग करने के लिए किसी व्यक्ति को नामित करने का अधिकार है।
इन अधिकारों के अतिरिक्त, वह दी गई सहमति को भी रद्द कर सकता है। डाटा सिद्धांत के ऐसे निरसन से उत्पन्न होने वाले परिणाम इसके लिए जिम्मेदार हैं। सहमति के निरस्तीकरण की स्थिति में, प्रत्ययी किसी विशेष डाटा सिद्धांत के डाटा का उपयोग या प्रसंस्करण बंद कर देगा।
डाटा सुरक्षा उपाय
डीपीडीपीए के अंतर्गत डाटा प्रत्ययी का एक प्रमुख दायित्व डाटा को उल्लंघन और दुरुपयोग से बचाने के लिए सुरक्षा उपायों को लागू करना है। डाटा प्रत्ययी इस गोपनीयता कानून का अनुपालन करने के लिए तकनीकी और संगठनात्मक उपायों को शामिल करने के लिए भी जिम्मेदार है। यदि डाटा प्रत्ययी डाटा उल्लंघन को रोकने के लिए सुरक्षा उपाय करने में विफल रहता है, तो उस पर भारी मौद्रिक जुर्माना (250 करोड़ रुपये) लगाया जाएगा। जुर्माना केवल डाटा संरक्षण बोर्ड द्वारा की गई जांच के बाद लगाया जाएगा।
डाटा उल्लंघन की स्थिति में, डाटा प्रत्ययी इस अधिनियम में निर्दिष्ट समय सीमा के भीतर भारतीय डाटा संरक्षण बोर्ड और प्रभावित व्यक्ति को तुरंत रिपोर्ट करेगा। संगठन प्रभावित व्यक्ति को डाटा उल्लंघन के बारे में तुरंत सूचित करते हैं। इस अधिसूचना में डाटा उल्लंघन, डाटा समझौता और उठाए गए कदमों की पूरी प्रकृति शामिल होनी चाहिए। डाटा उल्लंघन के दौरान व्यक्तियों और संगठनों के बीच पारदर्शिता आवश्यक है, ताकि व्यक्ति उल्लंघन के परिणामों को समझ सकें और आवश्यक सावधानियां बरत सकें। इस डाटा उल्लंघन में, प्रभावित व्यक्तियों को डाटा संरक्षण बोर्ड के समक्ष मामला प्रस्तुत करने से पहले डाटा प्रत्ययी की शिकायत निवारण प्रक्रिया से जुड़ना आवश्यक है।
डाटा संरक्षण अधिकारी (डीपीओ)
इस अधिनियम के अंतर्गत डाटा प्रत्ययी का एक प्रमुख दायित्व इस अधिनियम के प्रावधानों का अनुपालन करने के लिए एक डीपीओ की नियुक्ति करना है। अधिनियम के अंतर्गत शिकायतों के निपटान के लिए एक डीपीओ नियुक्त किया जाता है। वह भारत में ही रहना चाहिए। डीपीओ भारत के निदेशक मंडलों के साथ-साथ महत्वपूर्ण डाटा प्रत्ययी के समान सरकारी निकायों को रिपोर्ट करने के लिए भी जिम्मेदार है। वह यह सुनिश्चित करने के लिए भी जिम्मेदार है कि डाटा संरक्षण प्रथाएं लागू हैं या नहीं, साथ ही नियमित लेखापरीक्षा और आकलन भी करना है। लेकिन सवाल यह है कि क्या सभी डाटा प्रत्ययी डाटा संरक्षण अधिकारी की नियुक्ति के लिए जिम्मेदार हैं? इसका उत्तर है, नहीं! केवल महत्वपूर्ण डाटा प्रत्ययी की श्रेणी में आने वाले डाटा प्रत्ययी ही डीपीओ नियुक्त करने के लिए बाध्य हैं।
केंद्र सरकार निम्नलिखित कारकों के आधार पर महत्वपूर्ण डाटा प्रत्ययी वर्ग का निर्धारण करती है: (अधिनियम की धारा 10(1))। धारा 10 में व्यक्तिगत डाटा की मात्रा और संख्या, लोगों के अधिकार के लिए जोखिम, भारत की संप्रभुता और अखंडता पर प्रभाव, लोकतंत्र, राज्य सुरक्षा और सार्वजनिक व्यवस्था के लिए विचारधारा पर विचार किया गया है।
आइए एक उदाहरण से महत्वपूर्ण डाटा प्रत्ययी और डाटा प्रत्ययी के बीच अंतर को समझें। फेसबुक (मेटा) एक महत्वपूर्ण डाटा प्रत्ययी है क्योंकि यह लाखों भारतीय उपयोगकर्ताओं का डाटा एकत्रित और संसाधित करता है। डाटा में उपयोगकर्ताओं के निजी संदेश, चित्र, ब्राउज़िंग आदि शामिल होते हैं, जो संवेदनशील जानकारी होती है। वे उपयोगकर्ताओं को विज्ञापन लक्षित करने के लिए डाटा का प्रसंस्करण करते हैं। डाटा चोरी होने पर भारी नुकसान होगा। यही कारण है कि फेसबुक को एक डाटा संरक्षण अधिकारी नियुक्त करना अनिवार्य है। मान लीजिए कि एक अन्य कंपनी स्थानीय क्षेत्र में भोजन वितरण सेवा प्रदान करती है, जिसके दस हजार सक्रिय उपयोगकर्ता हैं। उनके द्वारा एकत्रित डाटा की मात्रा बहुत अधिक नहीं है। वे नाम, पते, नंबर और ईमेल एकत्र करते हैं और वितरण (डिलीवरी) के उद्देश्य से उनका प्रसंस्करण करते हैं। इसलिए इस कंपनी को कोई महत्वपूर्ण डाटा प्रत्ययी नियुक्त करने की आवश्यकता नहीं होगी।
सीमापार डाटा हस्तांतरण
अंतर्राष्ट्रीय व्यापार तथा वस्तुओं एवं सेवाओं के वितरण के लिए सीमा पार डाटा हस्तांतरण आवश्यक है। इस अधिनियम के 2023 के प्रारंभिक मसौदे में धारा 16 के अंतर्गत केंद्र सरकार द्वारा अनुमति प्राप्त क्षेत्रों और देशों में सीमा पार डाटा हस्तांतरण की अनुमति दी गई थी। इस तरह के डाटा हस्तांतरण को इस अधिनियम के प्रावधानों का पालन करना चाहिए, जैसे कि वैध उद्देश्य की पूर्ति करना और अधिनियम की धारा 7 के तहत वैध आधार पर आधारित होना।
याद रखें कि सरकार के पास कुछ देशों या क्षेत्रों में डाटा के हस्तांतरण को प्रतिबंधित करने का अधिकार है। सरकार उन देशों या क्षेत्रों की निर्दिष्ट सूची के साथ अधिसूचना जारी करेगी जिनके साथ डाटा हस्तांतरण की अनुमति नहीं है। डाटा प्रत्ययी और महत्वपूर्ण डाटा प्रत्ययी को इन सूचनाओं के साथ अद्यतन रहना होगा और प्रतिबंधित देशों और क्षेत्रों के साथ डाटा हस्तांतरण से बचना होगा। सीमा-पार हस्तांतरण पर यह प्रतिबंध भारत में किसी भी मौजूदा कानून को रद्द नहीं करता है जो व्यक्तिगत डाटा संरक्षण के उच्च स्तर को लागू कर सकता है।
जवाबदेही और अनुपालन
डीपीडीपीए, 2023 के तहत एक महत्वपूर्ण डाटा प्रत्ययी को एक स्वतंत्र लेखा परीक्षक नियुक्त करने की बाध्यता है। लेखा परीक्षक की भूमिका महत्वपूर्ण डाटा का मूल्यांकन करके यह निर्धारित करना है कि न्यासी अधिनियम के प्रावधानों का अनुपालन कर रहा है या नहीं। इसके अतिरिक्त, महत्वपूर्ण डाटा प्रत्ययी को डाटा प्रिंसिपल के अधिकारों के लिए जोखिमों का आकलन और प्रबंधन करने के लिए आवधिक डाटा सुरक्षा प्रभाव मूल्यांकन परीक्षण करना होगा। अनुपालन परीक्षण सूची इस प्रकार है:
| बिंदु | विवरण |
| चरण 1: लेखापरीक्षा समूह | डाटा गोपनीयता, कानूनी और तकनीकी क्षेत्रों में अनुभवी एक लेखापरीक्षा समूह का गठन करें जो लेखापरीक्षा निष्कर्षों की योजना बनाए, उन्हें क्रियान्वित (इंप्लीमेंटेड) करे और उन पर रिपोर्ट करे। |
| चरण 2: लेखापरीक्षा का दायरा निर्धारित करें | लेखा परीक्षा के दायरे को स्पष्ट रूप से बताएं, जिसमें डाटा प्रसंस्करण संचालन, प्रणालियां और समीक्षा किए जाने वाले विभाग शामिल हों। |
| चरण 3: दस्तावेज़ एकत्र करें | डाटा प्रसंस्करण प्रथाओं से संबंधित प्रासंगिक दस्तावेज एकत्र करें, जैसे गोपनीयता नीतियां, डाटा प्रवाह मानचित्र, डाटा प्रतिधारण नीतियां, विक्रेता अनुबंध आदि। |
| चरण 4: जोखिम मूल्यांकन | एकत्रित व्यक्तिगत डाटा के प्रकार, भंडारण विधियों, प्रसंस्करण उद्देश्यों और संभावित डाटा उल्लंघनों पर विचार करते हुए संभावित डाटा सुरक्षा चिंताओं की पहचान करने के लिए जोखिम मूल्यांकन करें। |
| चरण 5: डीपीडीडीए सिद्धांतों के अनुपालन का मूल्यांकन करना | डीपीडीपीए सिद्धांतों का अनुपालन सुनिश्चित करें: उद्देश्य सीमा, डाटा न्यूनीकरण, डाटा सटीकता, भंडारण सीमा, अखंडता और गोपनीयता, और व्यक्तिगत अधिकार। |
| चरण 6: अंतराल की पहचान करना और सुधार करना | डाटा प्रसंस्करण विधियों में अंतराल या खामियों की पहचान करें और अनुपालन सुनिश्चित करने के लिए सुधारात्मक रणनीति बनाएं। |
| चरण 7: लेखापरीक्षा निष्कर्षों और अनुशंसाओं का दस्तावेजीकरण करना | कार्यप्रणाली, निष्कर्ष, सिफारिशें और सुधारात्मक योजना के साथ एक विस्तृत लेखापरीक्षा रिपोर्ट तैयार करें। रिपोर्ट को शीर्ष प्रबंधन और प्रमुख हितधारकों के साथ साझा करें। |
| चरण 8: सुधार योजना लागू करना | नीति संशोधन, प्रशिक्षण पहल, प्रौद्योगिकी परिवर्तन या संगठनात्मक पुनर्गठन सहित सुधारात्मक योजना को कार्यान्वित करना। |
| चरण 9: समय-समय पर समीक्षा करना | डीपीडीपीए के साथ सतत अनुपालन सुनिश्चित करने और बदलते डाटा गोपनीयता नियमों के अनुकूल होने के लिए आवधिक मूल्यांकन के लिए एक कार्यक्रम स्थापित करें। |
अनुपालन के लिए कदम
अधिनियम का अनुपालन करने के लिए, डाटा प्रत्ययी के लिए निम्नलिखित कदम उठा सकते हैं:
- व्यक्तिगत डाटा को संसाधित करने से पहले हमेशा उचित सहमति प्राप्त करें।
- सहमति मांगते समय स्पष्ट गोपनीयता सूचना प्रदान करें।
- गोपनीयता सूचनाएं और सहमति अनुरोध अंग्रेजी तथा 8वीं अनुसूची में सूचीबद्ध सभी 22 भाषाओं में उपलब्ध कराएं।
- डाटा संग्रहण को केवल विशिष्ट उद्देश्य के लिए आवश्यक तक ही सीमित रखें।
- व्यक्तिगत डाटा की सुरक्षा के लिए मजबूत सुरक्षा उपाय लागू करें।
- बच्चों और विकलांग व्यक्तियों के डाटा के प्रसंस्करण के लिए सत्यापन (वेरिफिकेशन) योग्य सहमति प्राप्त करें।
- यदि सहमति रद्द कर दी जाती है या उद्देश्य पूरा हो जाता है तो व्यक्तिगत डाटा को तुरंत हटा दें।
- डाटा सिद्धांतों के अनुरोधों का समय पर जवाब दें।
- बच्चों की तस्करी, लक्षित विज्ञापनों और व्यवहारिक निगरानी से बचें।
- सुनिश्चित करें कि व्यक्तिगत डाटा सटीक, पूर्ण और सुसंगत है।
- यदि महत्वपूर्ण डाटा प्रत्ययी के रूप में पहचान की गई हो तो लेखापरीक्षा और प्रभाव आकलन का संचालन करें।
- सरकार की नकारात्मक सूची में सूचीबद्ध देशों को व्यक्तिगत डाटा बेचने से बचें।
- डाटा प्रक्रमक के साथ संविदात्मक संबंध बनाए रखें।
- किसी भी उल्लंघन की सूचना भारतीय डाटा संरक्षण बोर्ड को दें, चाहे जोखिम का स्तर कुछ भी हो।
गैर-अनुपालन के लिए दंड
अधिनियम के अध्याय V में यह प्रावधान किया गया है कि भारतीय डाटा संरक्षण बोर्ड (डीपीआईबी) दंड लगाने के लिए जिम्मेदार होगा। इस अधिनियम के अंतर्गत जुर्माना 250 करोड़ रुपये (27.6 मिलियन) या वैश्विक कारोबार का 4% तक है।
अधिनियम में निर्धारित अनुसूची के अनुसार दंड:
- व्यक्तिगत डाटा उल्लंघन के लिए 250 करोड़ रुपये तक का जुर्माना
- बच्चों के अतिरिक्त दायित्वों से संबंधित उल्लंघन पर 200 करोड़ रुपये तक का जुर्माना।
- महत्वपूर्ण डाटा प्रत्ययी कर्तव्यों के उल्लंघन के परिणामस्वरूप 150 करोड़ रुपये तक का जुर्माना हो सकता है।
- धारा 15 के दायित्वों का पालन न करने पर 10 हजार रुपये तक का जुर्माना। अन्य उल्लंघनों पर 50 करोड़ रुपये तक का जुर्माना।
निष्कर्ष
इस अधिनियम के प्रावधान व्यक्तिगत डाटा की गोपनीयता और सुरक्षा सुनिश्चित करने के लिए बनाए गए हैं। संगठनों और कंपनियों को अपने उपयोगकर्ताओं के साथ विश्वास कायम करने और दंड से बचने के लिए इन प्रावधानों का अनुपालन करना होगा। डीपीओ की नियुक्ति करके, मजबूत डाटा संरक्षण प्रथाओं को लागू करके और पारदर्शिता बनाए रखकर, संगठन डीपीडीपीए का अनुपालन करते हैं।
संदर्भ
- https://www.meity.gov.in/writereaddata/files/Digital%20Personal%20Data%20Protection%20Act%202023.pdf
 के लिए स्टार्टअप मार्गदर्शक के बारे मे चर्चा की गई है।){kind=link}