यह लेख Bhuvnesh Manchanda और Sukriti Verma द्वारा लिखा गया है,जो लॉसिखो से एडवांस्ड कॉन्ट्रैक्ट ड्राफ्टिंग, नेगोशिएशन और डिस्प्यूट रिजॉल्यूशन में डिप्लोमा कर रहे हैं और Shashwat Kaushik द्वारा संपादित है। इस ब्लॉग पोस्ट मे डाटा गोपनीयता, डीपीडीपीए का क्षेत्राधिकार और दायरा, अपवाद, डाटा प्रमुख के अधिकार के बारे में चर्चा की गई है। इस लेख का अनुवाद Chitrangda Sharma के द्वारा किया गया है। 

परिचय

“किसी भी व्यक्ति की गोपनीयता का अधिकार अनिवार्य रूप से एक प्राकृतिक अधिकार है, जो जन्म से हर इंसान में निहित होता है।  ऐसा अधिकार मनुष्य के पास अंतिम सांस लेने तक रहता है। यह वास्तव में मनुष्य से अवियोज्य (इनसेपरेबल) और अपरिहार्य (इनेल्यनेबल) है।” -भारत का सर्वोच्च न्यायालय

हमारे भारतीय संविधान के निर्माताओं की दृष्टि एक द्वितीयक दस्तावेज़ बनाने की थी जिसमें समाज असमंजस की स्थिति में उत्तर पा सके। जब व्यक्ति असमंजस की स्थिति में होते हैं, तो वे पवित्र पुस्तकों की ओर रुख कर सकते हैं। जबकि जब समाज ऐसी स्थिति में होता है तो संविधान ने उसे प्रकाश की ओर निर्देशित किया है। संविधान की मसौदा (ड्राफ्टिंग) समिति ने माना कि संविधान को समाज की बदलती मांगों के लिए पर्याप्त रूप से अनुकूलित होना चाहिए। जब से संविधान निर्माताओं का निधन हुआ है, न्यायपालिका ने दृढ़तापूर्वक संवैधानिक मूल्यों की रक्षा की है। 

डिजिटल व्यक्तिगत डाटा संरक्षण अधिनियम, 2023 (“डीपीडीपीए” या “अधिनियम”) ऐसी न्यायिक सक्रियता का परिणाम है। इस अधिनियम की नींव तब रखी गई जब एक बेटे ने न्याय की खातिर अपने पिता के फैसले को खारिज कर दिया (के.एस. पुट्टास्वामी (सेवानिवृत्त) बनाम भारत संघ (2018)) और गोपनीयता के अधिकार को भारतीय संविधान के अनुच्छेद 21 के तहत निहित जीवन और व्यक्तिगत स्वतंत्रता के अधिकार के आंतरिक भाग के रूप में स्वीकार किया गया। भारत के माननीय सर्वोच्च न्यायालय ने के.एस. पुट्टास्वामी फैसले में कहा गया, कि “हम डाटा सुरक्षा के लिए एक मजबूत व्यवस्था की जांच करने और उसे लागू करने की आवश्यकता के लिए केंद्र सरकार की सराहना करते हैं।” यदि सर्वोच्च न्यायालय का दृष्टिकोण कुछ अलग होता, तो डीपीडीपीए जैसे अधिनियम के कानून बनने की संभावना बहुत कम होती या यदि कानून बनता, तो यह बिना पंजे वाला बाघ हो सकता था। क्योंकि कोई भी राज्य अपने नागरिकों को अधिक अधिकार देकर अपने हाथ नहीं काटना चाहेगा। 

हालाँकि, इस अधिनियम के प्रारंभ होने की तारीख अभी जारी नहीं की गई है और यह आधिकारिक राजपत्र में अधिसूचना के अधीन है। साथ ही, अधिनियम के विभिन्न प्रावधान अलग-अलग तारीखों पर लागू हो सकते हैं। इसके अलावा, अधिनियम के तहत नियम/विनियम सामने आने होंगे। इसके अलावा, यह अधिनियम प्रारंभिक चरण में है और देश भर में हो रहे डाटा उल्लंघनों के प्रति निवारक है। यह अधिनियम अग्रणी (लीडिंग) है, बाजार को ध्यान में रखते हुए इसे विनियमित करना है। उम्मीद की जा सकती है कि इस अधिनियम से आने वाले भविष्य में कई विकास होंगे। 

डीपीडीपीए का क्षेत्राधिकार और दायरा, 2023 

डीपीडीपीए की धारा 3  के पहले भाग के अनुसार, यह पूरे भारत पर लागू होता है जहां व्यक्तिगत डाटा को डिजिटल रूप में या गैर-डिजिटल रूप में एकत्र किया जाता है यदि उसे बाद के चरण में डिजिटल किया जाना है। डीपीडीपीए की प्रयोज्यता (एप्लीकेबिलिटी) भारत के बाहर भी फैली हुई है यदि ऐसा डाटा प्रसंस्करण (प्रोसेसिंग) भारत के भीतर वस्तुओं या सेवाओं की पेशकश से संबंधित किसी गतिविधि के संबंध में है।  

हालाँकि, यह अधिनियम तब लागू नहीं होता जब व्यक्तिगत डाटा को घरेलू या व्यक्तिगत उद्देश्यों के लिए संसाधित किया जाता है या जब डाटा सार्वजनिक कार्यक्षेत्र (डोमेन) में उपलब्ध होता है। 

धारा 8 के उप-खंड (b), (c),और (d) के तहत, राज्य उसमें निर्दिष्ट कारणों के लिए व्यक्तिगत डाटा को संसाधित करने के लिए स्वतंत्र है। इसके अलावा, धारा 17 की उप-धारा (2) के तहत, राज्य ने व्यक्तिगत डाटा को संसाधित करने के लिए एक बहुत बड़ा दायरा छोड़ दिया है। राज्य ने इस अधिनियम के तहत किसी भी प्रकार के डाटा प्रसंस्करण उल्लंघन के खिलाफ खुद को पूर्ण छूट प्रदान की है। हम शायद उम्मीद कर सकते हैं कि न्यायपालिका निकट भविष्य में डीपीडीपीए के दायरे में राज्य को पूर्ण छूट के इन प्रावधानों की जांच करेगी। 

सीमा पार डाटा स्थानांतरण

डीपीडीपीए की प्रयोज्यता भारत के बाहर भी फैली हुई है यदि ऐसा प्रसंस्करण भारत के भीतर डाटा मूल कार्यालय को वस्तुओं या सेवाओं की पेशकश से संबंधित किसी गतिविधि के संबंध में है। डाटा का सीमा पार स्थानांतरण (ट्रांसफर) अधिनियम के अध्याय VI के तहत नियंत्रित होता है। विधानमंडल ने भारत के बाहर कुछ क्षेत्रों में व्यक्तिगत डाटा के स्थानांतरण को प्रतिबंधित करने के लिए इसे खुला रखा है। विधायिका ने डीपीडीपीए को खत्म करने के लिए इसे विभिन्न देशों के कानूनों के लिए भी खुला रखा है, जैसे कि सामान्य डाटा संरक्षण विनियमन (जीडीपीआर), जिसमें व्यक्तिगत डाटा की उच्च स्तर की सुरक्षा या प्रतिबंध है। 

आवश्यक परिभाषाएँ

इस लेख में आने से पहले, हमें बेहतर समझ के लिए अधिनियम में प्रयुक्त परिभाषाओं से खुद को परिचित करना चाहिए, जो इस प्रकार हैं:

• व्यक्तिगत डाटा: इसका मतलब किसी व्यक्ति के बारे में कोई भी डाटा है जो ऐसे डाटा के आधार पर या उसके संबंध में पहचाना जा सकता है।
• प्रसंस्करण: व्यक्तिगत डाटा के संबंध में, इसका मतलब डिजिटल व्यक्तिगत डाटा पर किया जाने वाला पूर्ण या आंशिक रूप से स्वचालित संचालन या संचालन का समूह है और इसमें संग्रह, अभिलेख  (रिकॉर्डिंग), संगठन, संरचना, भंडारण, अनुकूलन, पुनर्प्राप्ति, उपयोग, संरेखण (एलाइनमेंट), या संयोजन, अनुक्रमण, साझाकरण, संचरण (ट्रांसमिशन) द्वारा प्रकटीकरण, प्रसार या अन्यथा उपलब्ध कराना, प्रतिबंध, मिटाना या विनाश जैसे संचालन शामिल हैं।
• डाटा प्रत्ययी (फिडुशियरी): कोई भी व्यक्ति जो अकेले या अन्य व्यक्तियों के साथ मिलकर व्यक्तिगत डाटा को प्रसंस्करण करने के उद्देश्य और साधन का निर्धारण करता है।
• सहमति प्रबंधक: एक सहमति प्रबंधक डाटा प्रमुख का प्रतिनिधित्व करता है और सहमति देने, प्रबंधित करने, समीक्षा करने और रद्द करने पर उनकी ओर से कार्रवाई करता है। 
• सूचना: डाटा प्रत्ययी द्वारा उस व्यक्ति को डाटा प्रसंस्करण करने के लिए एक सूचना दी जाएगी जिसका डाटा प्रसंस्करण किया जा रहा है। यह स्पष्ट, क्रमबद्ध और सरल भाषा में होना चाहिए। 
• डाटा प्रमुख: एक व्यक्ति जिससे व्यक्तिगत डाटा संबंधित है। 
• महत्वपूर्ण डाटा प्रत्ययी: का अर्थ है किसी भी डाटा प्रत्ययी या डाटा प्रत्ययी का वर्ग जिसे अधिनियम की धारा 10 में परिभाषित कुछ आधारों पर केंद्र सरकार द्वारा अधिसूचित किया जा सकता है।

अपवाद

डीपीडीपीए की प्रयोज्यता में अधिनियम की धारा 17 के तहत शासित कुछ अपवाद हैं, जिन्हें निम्नानुसार वर्गीकृत किया गया है:

• जब व्यक्तिगत डाटा सार्वजनिक रूप से उपलब्ध कराया जाता है या जब कानून व्यक्तिगत डाटा को सार्वजनिक रूप से उपलब्ध कराने का आदेश देता है। 
• जब डाटा का प्रसंस्करण किसी अपराध या किसी कानून के उल्लंघन की रोकथाम, पता लगाने, जांच या मुकदमा चलाने के उद्देश्य से किया जाता है।
• जब व्यक्तिगत डाटा का प्रसंस्करण किसी कानूनी अधिकार या किसी भी प्रकृति के दावे को लागू करने के लिए किया जाता है।
• जब किसी भारतीय न्यायालय/न्यायाधिकरण (ट्रिब्युनल) या किसी अन्य निकाय द्वारा किसी न्यायिक या अर्ध-न्यायिक कार्यों के निष्पादन के लिए व्यक्तिगत डाटा का प्रसंस्करण किया जाता है।
• जब डाटा प्रमुख द्वारा व्यक्तिगत डाटा का प्रसंस्करण भारत के क्षेत्र में स्थित किसी भी व्यक्ति द्वारा भारत के क्षेत्र के बाहर किसी भी व्यक्ति के साथ किए गए किसी अनुबंध के तहत किया जाता है।
• जब किसी विलय/समामेलन (फ्यूजन/अमलगैमेशन) या न्यायालय या किसी अन्य सक्षम प्राधिकारी द्वारा अनुमोदित समान व्यवस्था के लिए व्यक्तिगत डाटा का प्रसंस्करण आवश्यक हो।
• जब व्यक्तिगत डाटा का प्रसंस्करण किसी ऐसे व्यक्ति की वित्तीय जानकारी, संपत्ति और देनदारियों का पता लगाने के लिए किया जाता है, जिसने किसी वित्तीय संस्थान से लिए गए ऋण या अग्रिम (एडवांस) के कारण भुगतान में चूक की है, यह किसी अन्य कानून में सूचना या डाटा के प्रकटीकरण से संबंधित प्रावधानों के अधीन होगा। 

डीपीडीपीए, 2023 के तहत अनुपालन

शुरुआत के लिए, यदि डाटा इस अधिनियम के शुरू होने से पहले ही प्रसंस्करण किया जा चुका है, तो डाटा प्रत्ययी, उचित समय में, डाटा प्रमुख को व्यक्तिगत डाटा से संबंधित एक विस्तृत सूचना देगा। इस अधिनियम के प्रारंभ होने के बाद, डाटा प्रत्ययी द्वारा डाटा का प्रसंस्करण, डाटा के उद्देश्य, तरीके और प्रसंस्करण की विस्तृत सूचना से पहले या साथ में किया जाएगा और व्यक्तिगत डाटा को प्रसंस्करण करने के लिए सहमति वापस ले ली जाएगी। 

डीपीडीपीए और जीडीपीआर

• दिनांक: जीडीपीआर 25 मई 2018 को लागू हुआ, जबकि भारत 11 अगस्त 2023 को अपना डाटा संरक्षण कानून लेकर आया। जाहिर तौर पर, भारत ने भले ही अभी अपनी डाटा संरक्षण यात्रा शुरू की हो, लेकिन वह यूरोपीय संघ से ज्यादा पीछे नहीं है। 
• आधार: दोनों कानूनों के बीच एक बड़ा अंतर यह है कि यूरोपीय संघ की विधायिका ने जरूरत पड़ने पर कानून बनाया लेकिन भारत में, सर्वोच्च न्यायालय को मामले को अपने हाथों में लेना पड़ा और इसके लिए कानून बनाने के लिए केंद्र सरकार की सराहना करनी पड़ी।  
• दायरा और प्रयोज्यता: जीडीपीआर पूरी तरह या आंशिक रूप से स्वचालित माध्यमों या ऐसे व्यक्तिगत डाटा के प्रसंस्करण को नियंत्रित करता है जो भरने की प्रणाली का हिस्सा बनेगा, जबकि डीपीडीपीए ऐसे व्यक्तिगत डाटा को नियंत्रित करता है जो डिजिटल है या डिजिटल किया जाएगा। 
• जुर्माना: जीडीपीआर के तहत लगाए जाने वाले जुर्माने की कोई निश्चित सीमा नहीं है, यानी, यह अधिकतम 20 मिलियन यूरो या पिछले वित्तीय वर्ष से चूक व्यवसाय-संघ के विश्वव्यापी वार्षिक राजस्व का 4% (जो भी अधिक हो) हो सकता है, जबकि  डीपीडीपीए की सीमा 250 करोड़ रुपये तय है। 
• माता-पिता की सहमति: जीडीपीआर में, 16 वर्ष की आयु तक के नाबालिगों पर डाटा प्रसंस्करण करने के लिए माता-पिता की सहमति आवश्यक है, जबकि डीपीडीपीए में, 18 वर्ष की आयु तक माता-पिता या अभिभावक की सहमति आवश्यक है। 
• अभिलेख बनाए रखना: डीपीडीपीए में प्रसंस्करण गतिविधियों (आरओपीए) के अभिलेख बनाए रखने के लिए डाटा प्रत्ययी पर कोई दायित्व डालने का कोई प्रावधान नहीं है। 
• समाचार-लेखन (रिपोर्टिंग): जीडीपीआर में पर्यवेक्षी प्राधिकरण और संभावित प्रभावित विषयों को डाटा उल्लंघनों का लेखन करने के लिए 72 घंटे की सख्त समयसीमा है, जबकि, डीपीडीपीए के लिए, सरकार ने अभी तक ऐसी कोई समयसीमा अधिसूचित नहीं की है। 
• सूचना: यह पाया जा सकता है कि डीपीडीपीए में, डाटा प्रत्ययी को संविधान की आठवीं अनुसूची में दी गई 22 भाषाओं में से किसी एक में डाटा प्रमुख को सूचना देना आवश्यक है, जबकि जीडीपीआर में इसका कोई प्रावधान नहीं है, क्योंकि यह अंग्रेजी केंद्रित है। 

डाटा प्रसंस्करण के लिए वैध उपयोग और सीमाएं

अधिनियम की धारा 7(a) में स्पष्ट रूप से उल्लेख किया गया है कि डाटा प्रत्ययी व्यक्तिगत डाटा को केवल उसी सीमा तक प्रसंस्करण कर सकता है, जिस हद तक डाटा प्रमुख ने अपनी सहमति दी है और यदि डाटा प्रमुख ने इसके लिए सहमति नहीं दी है, यह माना जा सकता है कि उसने इसके लिए सहमति नहीं दी है। बिल्कुल स्पष्ट समझ के लिए, यहां अधिनियम का एक उदाहरण दिया गया है: 

X, एक व्यक्ति, इलेक्ट्रॉनिक रूप से Y, एक रियल एस्टेट ब्रोकर को संदेश भेजता है, Y से अनुरोध करता है कि वह उसके लिए उपयुक्त किराए के आवास की पहचान करने में मदद करे और इस उद्देश्य के लिए अपना व्यक्तिगत डाटा साझा करे। Y किराए के लिए उपलब्ध आवास के विवरण की पहचान करने और उसे सूचित करने के लिए उसके व्यक्तिगत डाटा को प्रसंस्करण करता है। इसके बाद, X ने Y को सूचित किया कि X को अब Y से मदद की ज़रूरत नहीं है। Y, X के व्यक्तिगत डाटा को प्रसंस्करण करना बंद कर देगा 

अधिनियम के तहत अन्य वैध उपयोगों में शामिल है कि डाटा प्रत्ययी राज्य के कार्यों को निष्पादित करने के लिए, राज्य को जानकारी का खुलासा करने के लिए कानून के तहत किसी भी दायित्व के लिए, किसी भी निर्णय/ डिक्री/ आदेश के अनुपालन के लिए, चिकित्सा आपातकाल (जीवन या स्वास्थ्य के लिए ख़तरा शामिल हो) का जवाब देने के लिए डाटा प्रसंस्करण कर सकता है, किसी महामारी के दौरान चिकित्सा उपचार प्रदान करने के उपाय करने के लिए, किसी भी आपदा के दौरान सुरक्षा सुनिश्चित करने के उपाय करने के लिए, और नियोक्ताओं को नुकसान या दायित्व से बचाने के लिए, जिसमें कॉर्पोरेट जासूसी, व्यापार रहस्यों की गोपनीयता बनाए रखना और बौद्धिक संपदा शामिल है। 

डीपीडीपीए डाटा प्रत्ययी के लिए व्यक्तिगत डाटा को प्रसंस्करण करने के लिए सीमाएं निर्धारित करता है। डाटा को प्रसंस्करण करने के लिए सहमति की तरह, यह स्पष्ट और विशिष्ट होगा। यह अंग्रेजी या संविधान की आठवीं अनुसूची में निर्दिष्ट किसी अन्य भाषा में भी हो सकता है। डाटा प्रत्ययी केवल अधिनियम की धारा 7 के तहत परिभाषित “कुछ वैध उपयोगों” के तहत डाटा प्रमुख के व्यक्तिगत डाटा को संसाधित कर सकता है अन्यथा, इस पर 50 करोड़ रुपये तक का जुर्माना लग सकता है। 

डाटा प्रमुख के अधिकार

डाटा प्रमुख के पास निम्नलिखित अधिकार होंगे:

1. जानकारी तक पहुंचने का अधिकार: डाटा प्रत्ययी से प्रसंस्करण किए जा रहे डाटा का सारांश प्राप्त करने का अधिकार, अन्य डाटा प्रत्ययी की पहचान की एक सूची जिनके साथ ऐसा व्यक्तिगत डाटा साझा किया गया है, साथ ही ऐसे व्यक्तिगत डाटा का विवरण, और कोई भी  अन्य जानकारी जो विधायिका द्वारा निर्धारित की जा सकती है।
2. डाटा में संशोधन/वापस लेने का अधिकार: उसके  डाटा में सुधार, पूर्णता, अद्यतन (अपडेट्स) करने और मिटाने का अधिकार जिसके लिए उसने सहमति दी थी।
3. शिकायत निवारण का अधिकार: शिकायत निवारण के आसानी से उपलब्ध साधनों का अधिकार। 
4. नामांकित करने का अधिकार: किसी व्यक्ति को उसकी अक्षमता के कारण उसकी ओर से नामांकित करने का अधिकार।

डाटा प्रमुख के कर्तव्य

हममें से अधिकांश लोग अधिनियम के तहत डाटा प्रमुख की श्रेणी में आएंगे। अधिकारों के साथ बड़ी जिम्मेदारियाँ भी आती हैं, तो आइए हम डाटा प्रमुख के रूप में अपने कर्तव्यों का पालन करें; अन्यथा, इस पर 10,000 रुपये का जुर्माना लग सकता है।

• इस अधिनियम के प्रावधानों के तहत अधिकारों का प्रयोग करते हुए सभी लागू कानूनों के प्रावधानों का अनुपालन करना।
• यह सुनिश्चित करना कि अपना व्यक्तिगत डाटा प्रदान करते समय किसी अन्य व्यक्ति का प्रतिरूपण (इंपरसोनेशन) न किया जाए। 
• यह सुनिश्चित करने के लिए कि उसका व्यक्तिगत डाटा प्रदान करते समय किसी भी महत्वपूर्ण जानकारी को न दबाया जाए।
• यह सुनिश्चित करना कि डाटा न्यासी (ट्रस्टी) या समिति  के पास कोई झूठी या तुच्छ शिकायत दर्ज न की जाए। 
• इस अधिनियम के प्रावधानों या इसके तहत बनाए गए नियमों के तहत सुधार या मिटाने के अधिकार का प्रयोग करते समय केवल ऐसी जानकारी प्रस्तुत करना जो सत्यापन योग्य रूप से प्रामाणिक हो।

महत्वपूर्ण डाटा प्रत्ययी

अधिनियम ने अनुपालन के लिए आकार-उपयुक्त दृष्टिकोण नहीं अपनाया है। डाटा प्रत्ययी को दो संरचनाओं में विभाजित किया गया है:

1. डाटा प्रत्ययी, और
2. महत्वपूर्ण डाटा प्रत्ययी (एसडीएफ)

वर्तमान में, सरकार ने महत्वपूर्ण डाटा प्रत्ययी के लिए मानदंड परिभाषित नहीं किए हैं, लेकिन यह जल्द ही महत्वपूर्ण डाटा प्रत्ययी निर्धारित करने के लिए कारकों को अधिसूचित करेगी। हालाँकि, ऐसे कारक निम्नलिखित के इर्द-गिर्द घूमेंगे: 

1. प्रसंस्करण व्यक्तिगत डाटा की मात्रा और संवेदनशीलता;
2. चुनावी लोकतंत्र के लिए ख़तरा;
3. डाटा प्रमुख के अधिकारों के लिए जोखिम;
4. राज्य की सुरक्षा;
5. भारत की संप्रभुता और अखंडता पर संभावित प्रभाव; और
6. सार्वजनिक व्यवस्था।

महत्वपूर्ण डाटा प्रमुख के लिए, अतिरिक्त दायित्व हैं।

1. एसडीएफ भारत में स्थित एक डाटा सुरक्षा अधिकारी (डीपीओ) नियुक्त करने के लिए बाध्य हैं, जो अधिनियम के तहत शासी निकाय के प्रति जिम्मेदार होगा। एसडीएफ द्वारा नियुक्त डीपीओ अधिनियम के तहत शिकायत निवारण तंत्र को संभालेगा। 
2. एसडीएफ एक स्वतंत्र डाटा लेखा परीक्षक (ऑडिटर) नियुक्त करेगा जो डाटा अंकेक्षण (ऑडिट) करेगा और एसडीएफ की शिकायतों का मूल्यांकन करेगा। इसके अलावा, व्यक्तिगत डाटा का समय-समय पर अंकेक्षण भी होगा।

डीपीडीपीए, 2023 के तहत शिकायत निवारण

डीपीडीपीए के तहत शिकायत निवारण तंत्र तीन प्रकार का है: 

1. पहला भारतीय डाटा संरक्षण समिति के एक सहमति प्रबंधक के माध्यम से है। 
2. दूसरा संबंधित डाटा प्रत्ययी के माध्यम से है। 
3. तीसरा, भारतीय डाटा संरक्षण समिति से संपर्क करके।  समिति के आदेश के खिलाफ दूरसंचार विवाद निपटान और अपीलीय न्यायाधिकरण में अपील दायर की जा सकती है। 

विवाद का निर्णय करते समय समिति निम्नलिखित चरणों का पालन करेगी: 

1. सबसे पहले, समिति यह निर्धारित करेगी कि जांच को आगे बढ़ाने के लिए पर्याप्त आधार मौजूद है या नहीं है। यदि आधार अपर्याप्त हैं, तो समिति उसके कारण दर्ज करने के बाद कार्यवाही बंद कर देगी।
2. जांच के लिए पर्याप्त आधार मिलने पर, समिति यह पता लगाने के लिए बाध्य होगी कि क्या अधिनियम, नियमों या विनियमों के अनुपालन का उल्लंघन हुआ है।
3. इसके बाद, यदि समिति चूक पाती है, तो वह आवश्यकतानुसार मौद्रिक जुर्माना लगाएगी।

समिति के आदेश के विरुद्ध अपील

समिति के आदेश के खिलाफ अपील आदेश या निर्देश की प्राप्ति की तारीख से 60 दिनों के भीतर अपीलीय निकाय, यानी, टीडीएसएटी (दूरसंचार विवाद निपटान और अपीलीय न्यायाधिकरण) में दायर की जा सकती है। टीडीएसएटी 6 महीने के भीतर अपील का शीघ्रता से निपटान करेगा, और यदि ऐसा करने में असमर्थ है, तो टीडीएसएटी लिखित रूप में इसके लिए कारण दर्ज करेगा। टीडीएसएटी सिविल प्रक्रिया संहिता (सीपीसी), 1908 से बाध्य नहीं होगा, बल्कि प्राकृतिक न्याय के सिद्धांतों और इस अधिनियम के प्रावधानों से बाध्य होगा, लेकिन इसमें सीपीसी, 1908 के तहत एक सिविल न्यायालय  की शक्ति होगी। 

भारत के सर्वोच्च न्यायालय में अपील

निर्णय या आदेश के विरुद्ध अपील की तारीख से 90 दिनों के भीतर टीडीएसएटी के आदेश (अंतरवर्ती (इंटरमीडिएट) आदेश को छोड़कर) के खिलाफ अपील कर सकते है। सिविल प्रक्रिया संहिता,1908 की धारा 100 में कुछ आधार निर्दिष्ट हैं। अर्थात्, इन अपीलों में कानून का एक महत्वपूर्ण प्रश्न शामिल होना चाहिए जिसे या तो पक्ष द्वारा अपील के ज्ञापन (मेमोरेंडम) में प्रस्तुत किया जा सकता है या अदालत स्वयं ऐसा प्रश्न तैयार कर सकती है।  

जन शिकायत निवारण हेतु ऑनलाइन पोर्टल

केंद्रीकृत लोक शिकायत निवारण और निगरानी प्रणाली (सीपीजीआरएएमएस) के तहत शिकायत निवारण प्रशासनिक सुधार और लोक शिकायत विभाग नामक एक नोडल संस्था द्वारा शासित होता है। इसकी भूमिका नागरिक-केंद्रित शासन के लिए नीति दिशानिर्देश तैयार करना और नागरिकों की शिकायतों का निवारण करना है। यह पोर्टल नागरिकों को उनकी शिकायतों के प्रभावी समाधान में मदद करने के लिए सरकार द्वारा प्रदान किया गया है। 

डीपीडीपीए, 2023 में खामियां

अधिनियम में कुछ खामियाँ डाटा सुरक्षा तंत्र में व्यवधान पैदा कर सकती हैं; ऐसी कुछ खामियाँ जिन पर ध्यान देने की आवश्यकता है वे इस प्रकार हैं: 

1. 1. डाटा भंडारण: इस पर कोई स्पष्ट दिशानिर्देश नहीं हैं कि डाटा प्रत्ययी व्यक्तिगत डाटा को कैसे बनाए रख सकते हैं या संग्रहीत कर सकते हैं; इससे संभावित दुरुपयोग या डाटा क्षरण (लीक) की संभावना बनी रहती है। सरकार को डाटा संग्रहीत करते समय पालन किए जाने वाले सुरक्षा के कुछ मानकों के बारे में जनता को सूचित करना चाहिए। यह मानक डाटा को इस तरह से संग्रहीत करेगा कि इसे अत्यधिक गोपनीय बनाया जा सके और यह केवल पासकोड वाले व्यक्तियों के लिए ही पहुंच योग्य होगा। 
   2. सहमति संग्रहीत करना: अधिनियम में सहमति संग्रहीत करने की कोई प्रक्रिया नहीं है। सहमति संग्रहित करने के लिए कोई तंत्र होना चाहिए। उदाहरण के लिए, सरकार डिजिलॉकर मंच पर माता-पिता की सहमति संग्रहीत करने के लिए एक प्रक्रिया स्थापित कर रही है और जल्द ही इसे लागू किया जाएगा। 

• डाटा प्रतिधारण (रिटेंशन) की अवधि: धारा 8 की उप-धारा 11 में कहा गया है कि “एक डाटा प्रमुख को निर्दिष्ट उद्देश्य के प्रदर्शन के लिए डाटा प्रत्ययी से संपर्क नहीं करने वाला माना जाएगा, किसी भी अवधि में जिसके दौरान उसने व्यक्तिगत रूप से या इलेक्ट्रॉनिक या भौतिक रूप में संचार के माध्यम से ऐसे प्रदर्शन के लिए डाटा प्रत्ययी के साथ संपर्क शुरू नहीं किया है। इससे अस्पष्टता रह जाती है क्योंकि “किसी भी अवधि” शब्द की गलत व्याख्या की जा सकती है। उदाहरण के लिए, यदि कोई व्यक्ति साल में एक बार नहीं बल्कि हर साल किसी आवेदन का उपयोग करता है, तो ऐसे आवेदन पर जो दायित्व उत्पन्न होता है, वह सहमति एकत्र करने का होता है, यानी आवेदन हर साल या आवेदन के उपयोग के पहले अवसर पर सहमति एकत्र करने के लिए उत्तरदायी होगा। इसका तात्पर्य ऐसे मामलों में सहमति के लिए समाप्ति तिथि की आवश्यकता से है। यह प्रत्येक मामले के लिए और अधिक स्पष्टीकरण देना भारतीय डाटा संरक्षण समिति (डीपीआईबी) की शक्तियों के अंतर्गत हो सकता है। 

1. अभिलेख रखना: जीडीपीआर के विपरीत, अधिनियम में अभिलेख रखने का कोई प्रावधान नहीं है, जिसमें प्रसंस्करण गतिविधियों (आरओपीए) के अभिलेख बनाए रखने का प्रावधान है।
2. सरकारी हस्तक्षेप: सरकार विभिन्न कारणों से और असीमित अवधि के लिए व्यक्तिगत डाटा को प्रसंस्करण करने के लिए स्वतंत्र है। राज्य संस्था को रोकथाम, पता लगाने, जांच आदि के लिए व्यक्तिगत डाटा प्राप्त करने के लिए एक स्थापित तंत्र या प्रक्रिया की आवश्यकता है, यानी, सरकारी संगठनों की जवाबदेही होगी। साथ ही, उनके साथ व्यक्तिगत डाटा के अंतर-विभागीय साझाकरण के अभिलेख का रखरखाव भी होना चाहिए।  
3. सार्वजनिक डाटा: अधिनियम यह प्रदान नहीं करता है कि डाटा प्रत्ययी सार्वजनिक रूप से उपलब्ध डाटा को प्रसंस्करण करने के लिए स्वतंत्र हैं या नहीं है। यह अधिनियम सार्वजनिक डाटा के उपयोग के लिए दिशानिर्देश भी प्रदान नहीं करता है। तथ्य यह है कि अधिनियम सार्वजनिक डाटा पर लागू नहीं होता है, इसका मतलब यह नहीं है कि कोई सार्वजनिक डाटा का मनमाने ढंग से उपयोग कर सकता है। 
4. किसी अन्य डाटा प्रत्ययी को प्रकटीकरण की प्रक्रिया: यदि व्यक्तिगत डाटा को स्थानांतरित किया जाना है, तो एक ऐसी प्रक्रिया स्थापित करने की आवश्यकता है जो ऐसे स्थानांतरण के दौरान डाटा की सुरक्षा बनाए रखने के लिए एक डाटा प्रत्ययी से दूसरे में डाटा के स्थानांतरण को सुरक्षित करेगी। 
5. सीमा पार डाटा स्थानांतरण की प्रक्रिया: जब डाटा अंतरराष्ट्रीय स्तर पर यात्रा करता है, तो डाटा प्रत्ययी द्वारा एक कड़े प्रोटोकॉल का पालन करने की आवश्यकता होती है, जो वर्तमान डीपीडीपीए में अनुपस्थित है।  
6. गुम समय-सीमा: अधिनियम डाटा प्रत्ययी द्वारा डाटा प्रमुखों के अनुरोधों का जवाब देने के लिए समय-सीमा, उनकी चिंताओं को हल करने के लिए समय-सीमा, डाटा उल्लंघनों की रिर्पोट करने के लिए समय-सीमा, डीपीबीआई के कार्यों के लिए समय-सीमा आदि प्रदान नहीं करता है।  
7. मुआवजा: अधिनियम ऐसे प्रावधान का प्रावधान नहीं करता है जो डाटा प्रमुखों को मुआवजे का दावा करने का अधिकार देता है या समिति को डाटा उल्लंघनों के लिए मुआवजा देने की शक्ति देता है। साथ ही, डाटा गोपनीयता एक ऐसा मामला है जो एक वयस्क के साथ-साथ एक बच्चे की मानसिक और भावनात्मक स्थिति को भी प्रभावित कर सकता है। इसलिए, अधिनियम मानसिक कल्याण की हानि के कारण मुआवजे का प्रावधान प्रदान करने में विफल रहता है। अधिनियम केवल यह प्रावधान करता है कि जुर्माने के माध्यम से प्राप्त सभी रकम भारत की समेकित निधि (कंसोलिडेटेड फंड) का हिस्सा बनेगी। प्रभावित डाटा प्रमुखों को इस पूंजी के वितरण की प्रक्रिया या अनुपात सरकार द्वारा निर्दिष्ट करने की आवश्यकता है।
8. स्टार्ट-अप के लिए अपवाद: स्टार्ट-अप के लिए इस अधिनियम के प्रावधानों के उल्लंघन के लिए जुर्माना अधिनियम के कुछ महत्वपूर्ण प्रावधानों के आवेदन से पूरी तरह से हटाने के बजाय अलग होगा। विधानमंडल अनुसूची के तहत स्टार्ट-अप के लिए दंड की सीमा निर्धारित कर सकता है। 
9. धाराओं के लिए अनुपलब्ध शीर्षक: डीपीडीपीए में प्रत्येक धारा के लिए कोई धारा शीर्षक नहीं हैं;  इसके अलावा, अन्य सभी अधिनियमों में प्रत्येक प्रावधान के लिए एक शीर्षक है। 
10. अनुपालन-आधारित अधिनियम: डीपीडीपीए में साइबर हमलों, हैकर्स, रैंसमवेयर हमलों आदि के संबंध में प्रावधान नहीं है। तथ्य यह है कि सूचना प्रौद्योगिकी अधिनियम 2000 इस पहलू को नियंत्रित करता है, जिससे डीपीडीपीए एक अनुपालन-आधारित अधिनियम बन जाता है। 
11. नियामक ढांचे में संभावित अंतराल: ऊपर बताई गई दो प्रक्रियाओं के अलावा, विधायिका द्वारा अधिनियम के तहत नियमों और विनियमों के माध्यम से कई अन्य अंतरालों को भरने की आवश्यकता है।  

दंड

अधिनियम के तहत विभिन्न डाटा उल्लंघनों के लिए जुर्माना 250 करोड़ रुपये तक पहुंच सकता है। हालांकि विधेयक के पिछले मसौदे में 500 करोड़ रुपये तक जुर्माने का प्रावधान था। इसके अलावा, अधिनियम में कारावास का कोई प्रावधान नहीं है और केवल आर्थिक दंड का प्रावधान है। 

निष्कर्ष

के.एस.पुट्टास्वामी फैसले ने भारत के नागरिकों को गोपनीयता के अधिकार की तलवार दे दी और डीपीडीपीए के अस्तित्व में आने के बाद कुंद तलवार को अपनी धार मिलनी शुरू हो गई। यह न्यायपालिका पर निर्भर करेगा कि वह आदेशों और निर्णयों के माध्यम से इस तलवार की धार को बढ़ाए। तलवार को और तेज़ करना होगा, क्योंकि अभी, डाटा उल्लंघन के मामले में, किसी भी प्रभावित व्यक्ति को संबंधित उल्लंघन की विस्तृत सूचना मिल सकती है। तलवार की क्षमताएं डाटा उल्लंघन के अपराधी पर भारी भरकम राशि का भुगतान कराकर आर्थिक दंड लगाने तक सीमित हैं।  

डिजिटल सुरक्षा व्यवसाय-संघ जेमाल्टो की एक रिपोर्ट के अनुसार, इस क्षेत्र में तलवार डराने वाली होगी, क्योंकि भारत में डाटा उल्लंघन के मामले विश्व स्तर पर दूसरे स्थान पर थे। हाल ही में हुए कुछ प्रमुख डाटा उल्लंघनों में डोमिनोज़ इंडिया साइबर हमला (22 मई 2021) शामिल है जिसके परिणामस्वरूप 180 मिलियन ऑर्डर का डाटा उल्लंघन हुआ; एयर इंडिया साइबर हमला; भारतीय स्टेट बैंक साइबर हमले ने ग्राहकों के व्यक्तिगत और वित्तीय डाटा को उजागर कर दिया; 2018 की शुरुआत में आधार पर हमला, जिसमें व्हाट्सएप पर गुमनाम विक्रेताओं ने आधार डेटाबेस तक अप्रतिबंधित पहुंच प्रदान की; और भी कई है। 

देश भर में हो रहे इन डाटा उल्लंघनों को ध्यान में रखते हुए, गोपनीयता की तलवार को लागू करना समय की मांग है, और इस तलवार का क्रियान्वयन (इंप्लीमेंटेशन) तुरंत शुरू करना होगा। इस अधिनियम के अच्छे पक्ष पर नजर डालें तो डीपीडीपीए का एक दिलचस्प तथ्य यह है कि यह एक व्यक्ति को ‘वह’ और ‘उसका’ के रूप में स्वीकार करता है। यह वास्तव में विधायिका द्वारा किया गया एक हृदयस्पर्शी कदम है। 

संदर्भ

• https://www.meity.gov.in/writereaddata/files/Digital%20Personal%20Data%20Protection%20Act%202023.pdf

• https://tsaaro.com/whitepaper-2/#:~:text=the%20association%E2%80%99s%20frameworks.-,Download,-Download

• https://www.linkedin.com/posts/tsaaro_dpdpa-act-overview-activity-7097434470932254720-8luf?utm_source=share&utm_medium=member_desktop

• https://www.linkedin.com/posts/tsaaro_approach-note-for-indian-dpdpb-activity-7094662694024196096-Tu2k?utm_source=share&utm_medium=member_desktop

• https://mumbaimirror.indiatimes.com/news/india/key-quotes-from-supreme-court-judgement-on-right-to-privacy-how-it-could-impact-aadhaar-homosexuality-abortion-euthanasia/articleshow/60210988.cms

• https://economictimes.indiatimes.com/news/politics-and-nation/supreme-court-calls-for-data-protection-law/articleshow/60215247.cms?from=mdr

• https://ssrana.in/articles/parental-consent-stored-digilockers/

• https://pgportal.gov.in/#:~:text=Centralised%20Public%20Grievance%20Redress%20and,Government%20of%20India%20and%20States

• https://assets.ey.com/content/dam/ey-sites/ey-com/en_in/topics/cybersecurity/2023/08/ey-india-dpdp-act-2023.pdf

• https://www.cnbctv18.com/technology/cowin-data-leak-here-are-the-biggest-breaches-in-indias-history-16909071.htm

• https://timesofindia.indiatimes.com/business/india-business/data-breach-in-india-second-highest-after-us-in-h12018-gemalto/articleshow/66227056.cms