यह लेख Bhuvnesh Manchanda और Sukriti Verma द्वारा लिखा गया है,जो लॉसिखो से एडवांस्ड कॉन्ट्रैक्ट ड्राफ्टिंग, नेगोशिएशन और डिस्प्यूट रिजॉल्यूशन में डिप्लोमा कर रहे हैं और Shashwat Kaushik द्वारा संपादित है। इस ब्लॉग पोस्ट मे डाटा गोपनीयता, डीपीडीपीए का क्षेत्राधिकार और दायरा, अपवाद, डाटा प्रमुख के अधिकार के बारे में चर्चा की गई है। इस लेख का अनुवाद Chitrangda Sharma के द्वारा किया गया है।
Table of Contents
परिचय
“किसी भी व्यक्ति की गोपनीयता का अधिकार अनिवार्य रूप से एक प्राकृतिक अधिकार है, जो जन्म से हर इंसान में निहित होता है। ऐसा अधिकार मनुष्य के पास अंतिम सांस लेने तक रहता है। यह वास्तव में मनुष्य से अवियोज्य (इनसेपरेबल) और अपरिहार्य (इनेल्यनेबल) है।” -भारत का सर्वोच्च न्यायालय
हमारे भारतीय संविधान के निर्माताओं की दृष्टि एक द्वितीयक दस्तावेज़ बनाने की थी जिसमें समाज असमंजस की स्थिति में उत्तर पा सके। जब व्यक्ति असमंजस की स्थिति में होते हैं, तो वे पवित्र पुस्तकों की ओर रुख कर सकते हैं। जबकि जब समाज ऐसी स्थिति में होता है तो संविधान ने उसे प्रकाश की ओर निर्देशित किया है। संविधान की मसौदा (ड्राफ्टिंग) समिति ने माना कि संविधान को समाज की बदलती मांगों के लिए पर्याप्त रूप से अनुकूलित होना चाहिए। जब से संविधान निर्माताओं का निधन हुआ है, न्यायपालिका ने दृढ़तापूर्वक संवैधानिक मूल्यों की रक्षा की है।
डिजिटल व्यक्तिगत डाटा संरक्षण अधिनियम, 2023 (“डीपीडीपीए” या “अधिनियम”) ऐसी न्यायिक सक्रियता का परिणाम है। इस अधिनियम की नींव तब रखी गई जब एक बेटे ने न्याय की खातिर अपने पिता के फैसले को खारिज कर दिया (के.एस. पुट्टास्वामी (सेवानिवृत्त) बनाम भारत संघ (2018)) और गोपनीयता के अधिकार को भारतीय संविधान के अनुच्छेद 21 के तहत निहित जीवन और व्यक्तिगत स्वतंत्रता के अधिकार के आंतरिक भाग के रूप में स्वीकार किया गया। भारत के माननीय सर्वोच्च न्यायालय ने के.एस. पुट्टास्वामी फैसले में कहा गया, कि “हम डाटा सुरक्षा के लिए एक मजबूत व्यवस्था की जांच करने और उसे लागू करने की आवश्यकता के लिए केंद्र सरकार की सराहना करते हैं।” यदि सर्वोच्च न्यायालय का दृष्टिकोण कुछ अलग होता, तो डीपीडीपीए जैसे अधिनियम के कानून बनने की संभावना बहुत कम होती या यदि कानून बनता, तो यह बिना पंजे वाला बाघ हो सकता था। क्योंकि कोई भी राज्य अपने नागरिकों को अधिक अधिकार देकर अपने हाथ नहीं काटना चाहेगा।
हालाँकि, इस अधिनियम के प्रारंभ होने की तारीख अभी जारी नहीं की गई है और यह आधिकारिक राजपत्र में अधिसूचना के अधीन है। साथ ही, अधिनियम के विभिन्न प्रावधान अलग-अलग तारीखों पर लागू हो सकते हैं। इसके अलावा, अधिनियम के तहत नियम/विनियम सामने आने होंगे। इसके अलावा, यह अधिनियम प्रारंभिक चरण में है और देश भर में हो रहे डाटा उल्लंघनों के प्रति निवारक है। यह अधिनियम अग्रणी (लीडिंग) है, बाजार को ध्यान में रखते हुए इसे विनियमित करना है। उम्मीद की जा सकती है कि इस अधिनियम से आने वाले भविष्य में कई विकास होंगे।
डीपीडीपीए का क्षेत्राधिकार और दायरा, 2023
डीपीडीपीए की धारा 3 के पहले भाग के अनुसार, यह पूरे भारत पर लागू होता है जहां व्यक्तिगत डाटा को डिजिटल रूप में या गैर-डिजिटल रूप में एकत्र किया जाता है यदि उसे बाद के चरण में डिजिटल किया जाना है। डीपीडीपीए की प्रयोज्यता (एप्लीकेबिलिटी) भारत के बाहर भी फैली हुई है यदि ऐसा डाटा प्रसंस्करण (प्रोसेसिंग) भारत के भीतर वस्तुओं या सेवाओं की पेशकश से संबंधित किसी गतिविधि के संबंध में है।
हालाँकि, यह अधिनियम तब लागू नहीं होता जब व्यक्तिगत डाटा को घरेलू या व्यक्तिगत उद्देश्यों के लिए संसाधित किया जाता है या जब डाटा सार्वजनिक कार्यक्षेत्र (डोमेन) में उपलब्ध होता है।
धारा 8 के उप-खंड (b), (c),और (d) के तहत, राज्य उसमें निर्दिष्ट कारणों के लिए व्यक्तिगत डाटा को संसाधित करने के लिए स्वतंत्र है। इसके अलावा, धारा 17 की उप-धारा (2) के तहत, राज्य ने व्यक्तिगत डाटा को संसाधित करने के लिए एक बहुत बड़ा दायरा छोड़ दिया है। राज्य ने इस अधिनियम के तहत किसी भी प्रकार के डाटा प्रसंस्करण उल्लंघन के खिलाफ खुद को पूर्ण छूट प्रदान की है। हम शायद उम्मीद कर सकते हैं कि न्यायपालिका निकट भविष्य में डीपीडीपीए के दायरे में राज्य को पूर्ण छूट के इन प्रावधानों की जांच करेगी।
सीमा पार डाटा स्थानांतरण
डीपीडीपीए की प्रयोज्यता भारत के बाहर भी फैली हुई है यदि ऐसा प्रसंस्करण भारत के भीतर डाटा मूल कार्यालय को वस्तुओं या सेवाओं की पेशकश से संबंधित किसी गतिविधि के संबंध में है। डाटा का सीमा पार स्थानांतरण (ट्रांसफर) अधिनियम के अध्याय VI के तहत नियंत्रित होता है। विधानमंडल ने भारत के बाहर कुछ क्षेत्रों में व्यक्तिगत डाटा के स्थानांतरण को प्रतिबंधित करने के लिए इसे खुला रखा है। विधायिका ने डीपीडीपीए को खत्म करने के लिए इसे विभिन्न देशों के कानूनों के लिए भी खुला रखा है, जैसे कि सामान्य डाटा संरक्षण विनियमन (जीडीपीआर), जिसमें व्यक्तिगत डाटा की उच्च स्तर की सुरक्षा या प्रतिबंध है।
आवश्यक परिभाषाएँ
इस लेख में आने से पहले, हमें बेहतर समझ के लिए अधिनियम में प्रयुक्त परिभाषाओं से खुद को परिचित करना चाहिए, जो इस प्रकार हैं:
- व्यक्तिगत डाटा: इसका मतलब किसी व्यक्ति के बारे में कोई भी डाटा है जो ऐसे डाटा के आधार पर या उसके संबंध में पहचाना जा सकता है।
- प्रसंस्करण: व्यक्तिगत डाटा के संबंध में, इसका मतलब डिजिटल व्यक्तिगत डाटा पर किया जाने वाला पूर्ण या आंशिक रूप से स्वचालित संचालन या संचालन का समूह है और इसमें संग्रह, अभिलेख (रिकॉर्डिंग), संगठन, संरचना, भंडारण, अनुकूलन, पुनर्प्राप्ति, उपयोग, संरेखण (एलाइनमेंट), या संयोजन, अनुक्रमण, साझाकरण, संचरण (ट्रांसमिशन) द्वारा प्रकटीकरण, प्रसार या अन्यथा उपलब्ध कराना, प्रतिबंध, मिटाना या विनाश जैसे संचालन शामिल हैं।
- डाटा प्रत्ययी (फिडुशियरी): कोई भी व्यक्ति जो अकेले या अन्य व्यक्तियों के साथ मिलकर व्यक्तिगत डाटा को प्रसंस्करण करने के उद्देश्य और साधन का निर्धारण करता है।
- सहमति प्रबंधक: एक सहमति प्रबंधक डाटा प्रमुख का प्रतिनिधित्व करता है और सहमति देने, प्रबंधित करने, समीक्षा करने और रद्द करने पर उनकी ओर से कार्रवाई करता है।
- सूचना: डाटा प्रत्ययी द्वारा उस व्यक्ति को डाटा प्रसंस्करण करने के लिए एक सूचना दी जाएगी जिसका डाटा प्रसंस्करण किया जा रहा है। यह स्पष्ट, क्रमबद्ध और सरल भाषा में होना चाहिए।
- डाटा प्रमुख: एक व्यक्ति जिससे व्यक्तिगत डाटा संबंधित है।
- महत्वपूर्ण डाटा प्रत्ययी: का अर्थ है किसी भी डाटा प्रत्ययी या डाटा प्रत्ययी का वर्ग जिसे अधिनियम की धारा 10 में परिभाषित कुछ आधारों पर केंद्र सरकार द्वारा अधिसूचित किया जा सकता है।
अपवाद
डीपीडीपीए की प्रयोज्यता में अधिनियम की धारा 17 के तहत शासित कुछ अपवाद हैं, जिन्हें निम्नानुसार वर्गीकृत किया गया है:
- जब व्यक्तिगत डाटा सार्वजनिक रूप से उपलब्ध कराया जाता है या जब कानून व्यक्तिगत डाटा को सार्वजनिक रूप से उपलब्ध कराने का आदेश देता है।
- जब डाटा का प्रसंस्करण किसी अपराध या किसी कानून के उल्लंघन की रोकथाम, पता लगाने, जांच या मुकदमा चलाने के उद्देश्य से किया जाता है।
- जब व्यक्तिगत डाटा का प्रसंस्करण किसी कानूनी अधिकार या किसी भी प्रकृति के दावे को लागू करने के लिए किया जाता है।
- जब किसी भारतीय न्यायालय/न्यायाधिकरण (ट्रिब्युनल) या किसी अन्य निकाय द्वारा किसी न्यायिक या अर्ध-न्यायिक कार्यों के निष्पादन के लिए व्यक्तिगत डाटा का प्रसंस्करण किया जाता है।
- जब डाटा प्रमुख द्वारा व्यक्तिगत डाटा का प्रसंस्करण भारत के क्षेत्र में स्थित किसी भी व्यक्ति द्वारा भारत के क्षेत्र के बाहर किसी भी व्यक्ति के साथ किए गए किसी अनुबंध के तहत किया जाता है।
- जब किसी विलय/समामेलन (फ्यूजन/अमलगैमेशन) या न्यायालय या किसी अन्य सक्षम प्राधिकारी द्वारा अनुमोदित समान व्यवस्था के लिए व्यक्तिगत डाटा का प्रसंस्करण आवश्यक हो।
- जब व्यक्तिगत डाटा का प्रसंस्करण किसी ऐसे व्यक्ति की वित्तीय जानकारी, संपत्ति और देनदारियों का पता लगाने के लिए किया जाता है, जिसने किसी वित्तीय संस्थान से लिए गए ऋण या अग्रिम (एडवांस) के कारण भुगतान में चूक की है, यह किसी अन्य कानून में सूचना या डाटा के प्रकटीकरण से संबंधित प्रावधानों के अधीन होगा।
डीपीडीपीए, 2023 के तहत अनुपालन
शुरुआत के लिए, यदि डाटा इस अधिनियम के शुरू होने से पहले ही प्रसंस्करण किया जा चुका है, तो डाटा प्रत्ययी, उचित समय में, डाटा प्रमुख को व्यक्तिगत डाटा से संबंधित एक विस्तृत सूचना देगा। इस अधिनियम के प्रारंभ होने के बाद, डाटा प्रत्ययी द्वारा डाटा का प्रसंस्करण, डाटा के उद्देश्य, तरीके और प्रसंस्करण की विस्तृत सूचना से पहले या साथ में किया जाएगा और व्यक्तिगत डाटा को प्रसंस्करण करने के लिए सहमति वापस ले ली जाएगी।
डीपीडीपीए और जीडीपीआर
- दिनांक: जीडीपीआर 25 मई 2018 को लागू हुआ, जबकि भारत 11 अगस्त 2023 को अपना डाटा संरक्षण कानून लेकर आया। जाहिर तौर पर, भारत ने भले ही अभी अपनी डाटा संरक्षण यात्रा शुरू की हो, लेकिन वह यूरोपीय संघ से ज्यादा पीछे नहीं है।
- आधार: दोनों कानूनों के बीच एक बड़ा अंतर यह है कि यूरोपीय संघ की विधायिका ने जरूरत पड़ने पर कानून बनाया लेकिन भारत में, सर्वोच्च न्यायालय को मामले को अपने हाथों में लेना पड़ा और इसके लिए कानून बनाने के लिए केंद्र सरकार की सराहना करनी पड़ी।
- दायरा और प्रयोज्यता: जीडीपीआर पूरी तरह या आंशिक रूप से स्वचालित माध्यमों या ऐसे व्यक्तिगत डाटा के प्रसंस्करण को नियंत्रित करता है जो भरने की प्रणाली का हिस्सा बनेगा, जबकि डीपीडीपीए ऐसे व्यक्तिगत डाटा को नियंत्रित करता है जो डिजिटल है या डिजिटल किया जाएगा।
- जुर्माना: जीडीपीआर के तहत लगाए जाने वाले जुर्माने की कोई निश्चित सीमा नहीं है, यानी, यह अधिकतम 20 मिलियन यूरो या पिछले वित्तीय वर्ष से चूक व्यवसाय-संघ के विश्वव्यापी वार्षिक राजस्व का 4% (जो भी अधिक हो) हो सकता है, जबकि डीपीडीपीए की सीमा 250 करोड़ रुपये तय है।
- माता-पिता की सहमति: जीडीपीआर में, 16 वर्ष की आयु तक के नाबालिगों पर डाटा प्रसंस्करण करने के लिए माता-पिता की सहमति आवश्यक है, जबकि डीपीडीपीए में, 18 वर्ष की आयु तक माता-पिता या अभिभावक की सहमति आवश्यक है।
- अभिलेख बनाए रखना: डीपीडीपीए में प्रसंस्करण गतिविधियों (आरओपीए) के अभिलेख बनाए रखने के लिए डाटा प्रत्ययी पर कोई दायित्व डालने का कोई प्रावधान नहीं है।
- समाचार-लेखन (रिपोर्टिंग): जीडीपीआर में पर्यवेक्षी प्राधिकरण और संभावित प्रभावित विषयों को डाटा उल्लंघनों का लेखन करने के लिए 72 घंटे की सख्त समयसीमा है, जबकि, डीपीडीपीए के लिए, सरकार ने अभी तक ऐसी कोई समयसीमा अधिसूचित नहीं की है।
- सूचना: यह पाया जा सकता है कि डीपीडीपीए में, डाटा प्रत्ययी को संविधान की आठवीं अनुसूची में दी गई 22 भाषाओं में से किसी एक में डाटा प्रमुख को सूचना देना आवश्यक है, जबकि जीडीपीआर में इसका कोई प्रावधान नहीं है, क्योंकि यह अंग्रेजी केंद्रित है।
डाटा प्रसंस्करण के लिए वैध उपयोग और सीमाएं
अधिनियम की धारा 7(a) में स्पष्ट रूप से उल्लेख किया गया है कि डाटा प्रत्ययी व्यक्तिगत डाटा को केवल उसी सीमा तक प्रसंस्करण कर सकता है, जिस हद तक डाटा प्रमुख ने अपनी सहमति दी है और यदि डाटा प्रमुख ने इसके लिए सहमति नहीं दी है, यह माना जा सकता है कि उसने इसके लिए सहमति नहीं दी है। बिल्कुल स्पष्ट समझ के लिए, यहां अधिनियम का एक उदाहरण दिया गया है:
X, एक व्यक्ति, इलेक्ट्रॉनिक रूप से Y, एक रियल एस्टेट ब्रोकर को संदेश भेजता है, Y से अनुरोध करता है कि वह उसके लिए उपयुक्त किराए के आवास की पहचान करने में मदद करे और इस उद्देश्य के लिए अपना व्यक्तिगत डाटा साझा करे। Y किराए के लिए उपलब्ध आवास के विवरण की पहचान करने और उसे सूचित करने के लिए उसके व्यक्तिगत डाटा को प्रसंस्करण करता है। इसके बाद, X ने Y को सूचित किया कि X को अब Y से मदद की ज़रूरत नहीं है। Y, X के व्यक्तिगत डाटा को प्रसंस्करण करना बंद कर देगा
अधिनियम के तहत अन्य वैध उपयोगों में शामिल है कि डाटा प्रत्ययी राज्य के कार्यों को निष्पादित करने के लिए, राज्य को जानकारी का खुलासा करने के लिए कानून के तहत किसी भी दायित्व के लिए, किसी भी निर्णय/ डिक्री/ आदेश के अनुपालन के लिए, चिकित्सा आपातकाल (जीवन या स्वास्थ्य के लिए ख़तरा शामिल हो) का जवाब देने के लिए डाटा प्रसंस्करण कर सकता है, किसी महामारी के दौरान चिकित्सा उपचार प्रदान करने के उपाय करने के लिए, किसी भी आपदा के दौरान सुरक्षा सुनिश्चित करने के उपाय करने के लिए, और नियोक्ताओं को नुकसान या दायित्व से बचाने के लिए, जिसमें कॉर्पोरेट जासूसी, व्यापार रहस्यों की गोपनीयता बनाए रखना और बौद्धिक संपदा शामिल है।
डीपीडीपीए डाटा प्रत्ययी के लिए व्यक्तिगत डाटा को प्रसंस्करण करने के लिए सीमाएं निर्धारित करता है। डाटा को प्रसंस्करण करने के लिए सहमति की तरह, यह स्पष्ट और विशिष्ट होगा। यह अंग्रेजी या संविधान की आठवीं अनुसूची में निर्दिष्ट किसी अन्य भाषा में भी हो सकता है। डाटा प्रत्ययी केवल अधिनियम की धारा 7 के तहत परिभाषित “कुछ वैध उपयोगों” के तहत डाटा प्रमुख के व्यक्तिगत डाटा को संसाधित कर सकता है अन्यथा, इस पर 50 करोड़ रुपये तक का जुर्माना लग सकता है।
डाटा प्रमुख के अधिकार
डाटा प्रमुख के पास निम्नलिखित अधिकार होंगे:
- जानकारी तक पहुंचने का अधिकार: डाटा प्रत्ययी से प्रसंस्करण किए जा रहे डाटा का सारांश प्राप्त करने का अधिकार, अन्य डाटा प्रत्ययी की पहचान की एक सूची जिनके साथ ऐसा व्यक्तिगत डाटा साझा किया गया है, साथ ही ऐसे व्यक्तिगत डाटा का विवरण, और कोई भी अन्य जानकारी जो विधायिका द्वारा निर्धारित की जा सकती है।
- डाटा में संशोधन/वापस लेने का अधिकार: उसके डाटा में सुधार, पूर्णता, अद्यतन (अपडेट्स) करने और मिटाने का अधिकार जिसके लिए उसने सहमति दी थी।
- शिकायत निवारण का अधिकार: शिकायत निवारण के आसानी से उपलब्ध साधनों का अधिकार।
- नामांकित करने का अधिकार: किसी व्यक्ति को उसकी अक्षमता के कारण उसकी ओर से नामांकित करने का अधिकार।
डाटा प्रमुख के कर्तव्य
हममें से अधिकांश लोग अधिनियम के तहत डाटा प्रमुख की श्रेणी में आएंगे। अधिकारों के साथ बड़ी जिम्मेदारियाँ भी आती हैं, तो आइए हम डाटा प्रमुख के रूप में अपने कर्तव्यों का पालन करें; अन्यथा, इस पर 10,000 रुपये का जुर्माना लग सकता है।
- इस अधिनियम के प्रावधानों के तहत अधिकारों का प्रयोग करते हुए सभी लागू कानूनों के प्रावधानों का अनुपालन करना।
- यह सुनिश्चित करना कि अपना व्यक्तिगत डाटा प्रदान करते समय किसी अन्य व्यक्ति का प्रतिरूपण (इंपरसोनेशन) न किया जाए।
- यह सुनिश्चित करने के लिए कि उसका व्यक्तिगत डाटा प्रदान करते समय किसी भी महत्वपूर्ण जानकारी को न दबाया जाए।
- यह सुनिश्चित करना कि डाटा न्यासी (ट्रस्टी) या समिति के पास कोई झूठी या तुच्छ शिकायत दर्ज न की जाए।
- इस अधिनियम के प्रावधानों या इसके तहत बनाए गए नियमों के तहत सुधार या मिटाने के अधिकार का प्रयोग करते समय केवल ऐसी जानकारी प्रस्तुत करना जो सत्यापन योग्य रूप से प्रामाणिक हो।
महत्वपूर्ण डाटा प्रत्ययी
अधिनियम ने अनुपालन के लिए आकार-उपयुक्त दृष्टिकोण नहीं अपनाया है। डाटा प्रत्ययी को दो संरचनाओं में विभाजित किया गया है:
- डाटा प्रत्ययी, और
- महत्वपूर्ण डाटा प्रत्ययी (एसडीएफ)
वर्तमान में, सरकार ने महत्वपूर्ण डाटा प्रत्ययी के लिए मानदंड परिभाषित नहीं किए हैं, लेकिन यह जल्द ही महत्वपूर्ण डाटा प्रत्ययी निर्धारित करने के लिए कारकों को अधिसूचित करेगी। हालाँकि, ऐसे कारक निम्नलिखित के इर्द-गिर्द घूमेंगे:
- प्रसंस्करण व्यक्तिगत डाटा की मात्रा और संवेदनशीलता;
- चुनावी लोकतंत्र के लिए ख़तरा;
- डाटा प्रमुख के अधिकारों के लिए जोखिम;
- राज्य की सुरक्षा;
- भारत की संप्रभुता और अखंडता पर संभावित प्रभाव; और
- सार्वजनिक व्यवस्था।
महत्वपूर्ण डाटा प्रमुख के लिए, अतिरिक्त दायित्व हैं।
- एसडीएफ भारत में स्थित एक डाटा सुरक्षा अधिकारी (डीपीओ) नियुक्त करने के लिए बाध्य हैं, जो अधिनियम के तहत शासी निकाय के प्रति जिम्मेदार होगा। एसडीएफ द्वारा नियुक्त डीपीओ अधिनियम के तहत शिकायत निवारण तंत्र को संभालेगा।
- एसडीएफ एक स्वतंत्र डाटा लेखा परीक्षक (ऑडिटर) नियुक्त करेगा जो डाटा अंकेक्षण (ऑडिट) करेगा और एसडीएफ की शिकायतों का मूल्यांकन करेगा। इसके अलावा, व्यक्तिगत डाटा का समय-समय पर अंकेक्षण भी होगा।
डीपीडीपीए, 2023 के तहत शिकायत निवारण
डीपीडीपीए के तहत शिकायत निवारण तंत्र तीन प्रकार का है:
- पहला भारतीय डाटा संरक्षण समिति के एक सहमति प्रबंधक के माध्यम से है।
- दूसरा संबंधित डाटा प्रत्ययी के माध्यम से है।
- तीसरा, भारतीय डाटा संरक्षण समिति से संपर्क करके। समिति के आदेश के खिलाफ दूरसंचार विवाद निपटान और अपीलीय न्यायाधिकरण में अपील दायर की जा सकती है।
विवाद का निर्णय करते समय समिति निम्नलिखित चरणों का पालन करेगी:
- सबसे पहले, समिति यह निर्धारित करेगी कि जांच को आगे बढ़ाने के लिए पर्याप्त आधार मौजूद है या नहीं है। यदि आधार अपर्याप्त हैं, तो समिति उसके कारण दर्ज करने के बाद कार्यवाही बंद कर देगी।
- जांच के लिए पर्याप्त आधार मिलने पर, समिति यह पता लगाने के लिए बाध्य होगी कि क्या अधिनियम, नियमों या विनियमों के अनुपालन का उल्लंघन हुआ है।
- इसके बाद, यदि समिति चूक पाती है, तो वह आवश्यकतानुसार मौद्रिक जुर्माना लगाएगी।
समिति के आदेश के विरुद्ध अपील
समिति के आदेश के खिलाफ अपील आदेश या निर्देश की प्राप्ति की तारीख से 60 दिनों के भीतर अपीलीय निकाय, यानी, टीडीएसएटी (दूरसंचार विवाद निपटान और अपीलीय न्यायाधिकरण) में दायर की जा सकती है। टीडीएसएटी 6 महीने के भीतर अपील का शीघ्रता से निपटान करेगा, और यदि ऐसा करने में असमर्थ है, तो टीडीएसएटी लिखित रूप में इसके लिए कारण दर्ज करेगा। टीडीएसएटी सिविल प्रक्रिया संहिता (सीपीसी), 1908 से बाध्य नहीं होगा, बल्कि प्राकृतिक न्याय के सिद्धांतों और इस अधिनियम के प्रावधानों से बाध्य होगा, लेकिन इसमें सीपीसी, 1908 के तहत एक सिविल न्यायालय की शक्ति होगी।
भारत के सर्वोच्च न्यायालय में अपील
निर्णय या आदेश के विरुद्ध अपील की तारीख से 90 दिनों के भीतर टीडीएसएटी के आदेश (अंतरवर्ती (इंटरमीडिएट) आदेश को छोड़कर) के खिलाफ अपील कर सकते है। सिविल प्रक्रिया संहिता,1908 की धारा 100 में कुछ आधार निर्दिष्ट हैं। अर्थात्, इन अपीलों में कानून का एक महत्वपूर्ण प्रश्न शामिल होना चाहिए जिसे या तो पक्ष द्वारा अपील के ज्ञापन (मेमोरेंडम) में प्रस्तुत किया जा सकता है या अदालत स्वयं ऐसा प्रश्न तैयार कर सकती है।
जन शिकायत निवारण हेतु ऑनलाइन पोर्टल
केंद्रीकृत लोक शिकायत निवारण और निगरानी प्रणाली (सीपीजीआरएएमएस) के तहत शिकायत निवारण प्रशासनिक सुधार और लोक शिकायत विभाग नामक एक नोडल संस्था द्वारा शासित होता है। इसकी भूमिका नागरिक-केंद्रित शासन के लिए नीति दिशानिर्देश तैयार करना और नागरिकों की शिकायतों का निवारण करना है। यह पोर्टल नागरिकों को उनकी शिकायतों के प्रभावी समाधान में मदद करने के लिए सरकार द्वारा प्रदान किया गया है।
डीपीडीपीए, 2023 में खामियां
अधिनियम में कुछ खामियाँ डाटा सुरक्षा तंत्र में व्यवधान पैदा कर सकती हैं; ऐसी कुछ खामियाँ जिन पर ध्यान देने की आवश्यकता है वे इस प्रकार हैं:
-
- डाटा भंडारण: इस पर कोई स्पष्ट दिशानिर्देश नहीं हैं कि डाटा प्रत्ययी व्यक्तिगत डाटा को कैसे बनाए रख सकते हैं या संग्रहीत कर सकते हैं; इससे संभावित दुरुपयोग या डाटा क्षरण (लीक) की संभावना बनी रहती है। सरकार को डाटा संग्रहीत करते समय पालन किए जाने वाले सुरक्षा के कुछ मानकों के बारे में जनता को सूचित करना चाहिए। यह मानक डाटा को इस तरह से संग्रहीत करेगा कि इसे अत्यधिक गोपनीय बनाया जा सके और यह केवल पासकोड वाले व्यक्तियों के लिए ही पहुंच योग्य होगा।
- सहमति संग्रहीत करना: अधिनियम में सहमति संग्रहीत करने की कोई प्रक्रिया नहीं है। सहमति संग्रहित करने के लिए कोई तंत्र होना चाहिए। उदाहरण के लिए, सरकार डिजिलॉकर मंच पर माता-पिता की सहमति संग्रहीत करने के लिए एक प्रक्रिया स्थापित कर रही है और जल्द ही इसे लागू किया जाएगा।
- डाटा प्रतिधारण (रिटेंशन) की अवधि: धारा 8 की उप-धारा 11 में कहा गया है कि “एक डाटा प्रमुख को निर्दिष्ट उद्देश्य के प्रदर्शन के लिए डाटा प्रत्ययी से संपर्क नहीं करने वाला माना जाएगा, किसी भी अवधि में जिसके दौरान उसने व्यक्तिगत रूप से या इलेक्ट्रॉनिक या भौतिक रूप में संचार के माध्यम से ऐसे प्रदर्शन के लिए डाटा प्रत्ययी के साथ संपर्क शुरू नहीं किया है। इससे अस्पष्टता रह जाती है क्योंकि “किसी भी अवधि” शब्द की गलत व्याख्या की जा सकती है। उदाहरण के लिए, यदि कोई व्यक्ति साल में एक बार नहीं बल्कि हर साल किसी आवेदन का उपयोग करता है, तो ऐसे आवेदन पर जो दायित्व उत्पन्न होता है, वह सहमति एकत्र करने का होता है, यानी आवेदन हर साल या आवेदन के उपयोग के पहले अवसर पर सहमति एकत्र करने के लिए उत्तरदायी होगा। इसका तात्पर्य ऐसे मामलों में सहमति के लिए समाप्ति तिथि की आवश्यकता से है। यह प्रत्येक मामले के लिए और अधिक स्पष्टीकरण देना भारतीय डाटा संरक्षण समिति (डीपीआईबी) की शक्तियों के अंतर्गत हो सकता है।
- अभिलेख रखना: जीडीपीआर के विपरीत, अधिनियम में अभिलेख रखने का कोई प्रावधान नहीं है, जिसमें प्रसंस्करण गतिविधियों (आरओपीए) के अभिलेख बनाए रखने का प्रावधान है।
- सरकारी हस्तक्षेप: सरकार विभिन्न कारणों से और असीमित अवधि के लिए व्यक्तिगत डाटा को प्रसंस्करण करने के लिए स्वतंत्र है। राज्य संस्था को रोकथाम, पता लगाने, जांच आदि के लिए व्यक्तिगत डाटा प्राप्त करने के लिए एक स्थापित तंत्र या प्रक्रिया की आवश्यकता है, यानी, सरकारी संगठनों की जवाबदेही होगी। साथ ही, उनके साथ व्यक्तिगत डाटा के अंतर-विभागीय साझाकरण के अभिलेख का रखरखाव भी होना चाहिए।
- सार्वजनिक डाटा: अधिनियम यह प्रदान नहीं करता है कि डाटा प्रत्ययी सार्वजनिक रूप से उपलब्ध डाटा को प्रसंस्करण करने के लिए स्वतंत्र हैं या नहीं है। यह अधिनियम सार्वजनिक डाटा के उपयोग के लिए दिशानिर्देश भी प्रदान नहीं करता है। तथ्य यह है कि अधिनियम सार्वजनिक डाटा पर लागू नहीं होता है, इसका मतलब यह नहीं है कि कोई सार्वजनिक डाटा का मनमाने ढंग से उपयोग कर सकता है।
- किसी अन्य डाटा प्रत्ययी को प्रकटीकरण की प्रक्रिया: यदि व्यक्तिगत डाटा को स्थानांतरित किया जाना है, तो एक ऐसी प्रक्रिया स्थापित करने की आवश्यकता है जो ऐसे स्थानांतरण के दौरान डाटा की सुरक्षा बनाए रखने के लिए एक डाटा प्रत्ययी से दूसरे में डाटा के स्थानांतरण को सुरक्षित करेगी।
- सीमा पार डाटा स्थानांतरण की प्रक्रिया: जब डाटा अंतरराष्ट्रीय स्तर पर यात्रा करता है, तो डाटा प्रत्ययी द्वारा एक कड़े प्रोटोकॉल का पालन करने की आवश्यकता होती है, जो वर्तमान डीपीडीपीए में अनुपस्थित है।
- गुम समय-सीमा: अधिनियम डाटा प्रत्ययी द्वारा डाटा प्रमुखों के अनुरोधों का जवाब देने के लिए समय-सीमा, उनकी चिंताओं को हल करने के लिए समय-सीमा, डाटा उल्लंघनों की रिर्पोट करने के लिए समय-सीमा, डीपीबीआई के कार्यों के लिए समय-सीमा आदि प्रदान नहीं करता है।
- मुआवजा: अधिनियम ऐसे प्रावधान का प्रावधान नहीं करता है जो डाटा प्रमुखों को मुआवजे का दावा करने का अधिकार देता है या समिति को डाटा उल्लंघनों के लिए मुआवजा देने की शक्ति देता है। साथ ही, डाटा गोपनीयता एक ऐसा मामला है जो एक वयस्क के साथ-साथ एक बच्चे की मानसिक और भावनात्मक स्थिति को भी प्रभावित कर सकता है। इसलिए, अधिनियम मानसिक कल्याण की हानि के कारण मुआवजे का प्रावधान प्रदान करने में विफल रहता है। अधिनियम केवल यह प्रावधान करता है कि जुर्माने के माध्यम से प्राप्त सभी रकम भारत की समेकित निधि (कंसोलिडेटेड फंड) का हिस्सा बनेगी। प्रभावित डाटा प्रमुखों को इस पूंजी के वितरण की प्रक्रिया या अनुपात सरकार द्वारा निर्दिष्ट करने की आवश्यकता है।
- स्टार्ट-अप के लिए अपवाद: स्टार्ट-अप के लिए इस अधिनियम के प्रावधानों के उल्लंघन के लिए जुर्माना अधिनियम के कुछ महत्वपूर्ण प्रावधानों के आवेदन से पूरी तरह से हटाने के बजाय अलग होगा। विधानमंडल अनुसूची के तहत स्टार्ट-अप के लिए दंड की सीमा निर्धारित कर सकता है।
- धाराओं के लिए अनुपलब्ध शीर्षक: डीपीडीपीए में प्रत्येक धारा के लिए कोई धारा शीर्षक नहीं हैं; इसके अलावा, अन्य सभी अधिनियमों में प्रत्येक प्रावधान के लिए एक शीर्षक है।
- अनुपालन-आधारित अधिनियम: डीपीडीपीए में साइबर हमलों, हैकर्स, रैंसमवेयर हमलों आदि के संबंध में प्रावधान नहीं है। तथ्य यह है कि सूचना प्रौद्योगिकी अधिनियम 2000 इस पहलू को नियंत्रित करता है, जिससे डीपीडीपीए एक अनुपालन-आधारित अधिनियम बन जाता है।
- नियामक ढांचे में संभावित अंतराल: ऊपर बताई गई दो प्रक्रियाओं के अलावा, विधायिका द्वारा अधिनियम के तहत नियमों और विनियमों के माध्यम से कई अन्य अंतरालों को भरने की आवश्यकता है।
दंड
अधिनियम के तहत विभिन्न डाटा उल्लंघनों के लिए जुर्माना 250 करोड़ रुपये तक पहुंच सकता है। हालांकि विधेयक के पिछले मसौदे में 500 करोड़ रुपये तक जुर्माने का प्रावधान था। इसके अलावा, अधिनियम में कारावास का कोई प्रावधान नहीं है और केवल आर्थिक दंड का प्रावधान है।
निष्कर्ष
के.एस.पुट्टास्वामी फैसले ने भारत के नागरिकों को गोपनीयता के अधिकार की तलवार दे दी और डीपीडीपीए के अस्तित्व में आने के बाद कुंद तलवार को अपनी धार मिलनी शुरू हो गई। यह न्यायपालिका पर निर्भर करेगा कि वह आदेशों और निर्णयों के माध्यम से इस तलवार की धार को बढ़ाए। तलवार को और तेज़ करना होगा, क्योंकि अभी, डाटा उल्लंघन के मामले में, किसी भी प्रभावित व्यक्ति को संबंधित उल्लंघन की विस्तृत सूचना मिल सकती है। तलवार की क्षमताएं डाटा उल्लंघन के अपराधी पर भारी भरकम राशि का भुगतान कराकर आर्थिक दंड लगाने तक सीमित हैं।
डिजिटल सुरक्षा व्यवसाय-संघ जेमाल्टो की एक रिपोर्ट के अनुसार, इस क्षेत्र में तलवार डराने वाली होगी, क्योंकि भारत में डाटा उल्लंघन के मामले विश्व स्तर पर दूसरे स्थान पर थे। हाल ही में हुए कुछ प्रमुख डाटा उल्लंघनों में डोमिनोज़ इंडिया साइबर हमला (22 मई 2021) शामिल है जिसके परिणामस्वरूप 180 मिलियन ऑर्डर का डाटा उल्लंघन हुआ; एयर इंडिया साइबर हमला; भारतीय स्टेट बैंक साइबर हमले ने ग्राहकों के व्यक्तिगत और वित्तीय डाटा को उजागर कर दिया; 2018 की शुरुआत में आधार पर हमला, जिसमें व्हाट्सएप पर गुमनाम विक्रेताओं ने आधार डेटाबेस तक अप्रतिबंधित पहुंच प्रदान की; और भी कई है।
देश भर में हो रहे इन डाटा उल्लंघनों को ध्यान में रखते हुए, गोपनीयता की तलवार को लागू करना समय की मांग है, और इस तलवार का क्रियान्वयन (इंप्लीमेंटेशन) तुरंत शुरू करना होगा। इस अधिनियम के अच्छे पक्ष पर नजर डालें तो डीपीडीपीए का एक दिलचस्प तथ्य यह है कि यह एक व्यक्ति को ‘वह’ और ‘उसका’ के रूप में स्वीकार करता है। यह वास्तव में विधायिका द्वारा किया गया एक हृदयस्पर्शी कदम है।
संदर्भ
- https://www.meity.gov.in/writereaddata/files/Digital%20Personal%20Data%20Protection%20Act%202023.pdf