यह लेख पुणे के आईएलएस लॉ कॉलेज की छात्रा Yamini Jain और पश्चिम बंगाल नेशनल यूनिवर्सिटी ऑफ ज्यूरिडिकल साइंसेज, कोलकाता के छात्र Gaurav Sandeep Karva ने लिखा है। यह लेख बैंकिंग क्षेत्र पर पीडीपी विधेयक, 2019 की पूर्वव्यापी प्रयोज्यता का प्रभाव पर चर्चा करता है। इस लेख का अनुवाद Revati Magaonkar ने किया है।
Table of Contents
परिचय (इंट्रोडक्शन)
व्यक्तिगत डेटा संरक्षण विधेयक (पर्सनल डेटा प्रोटेक्शन बिल), 2019 पूर्वव्यापी प्रयोज्यता (रेट्रोस्पेक्टिव एप्लीकेबिलिटी) के पहलू, जैसे कि यह इस तरह का डेटा है जिसे कि इस कानून के प्रवर्तन (एनफोर्समेंट) से पहले एकत्र किया गया था, पर इसके प्रावधानों की प्रयोज्यता पर खामोश है। हालांकि, मसौदा विधेयक (ड्राफ्ट बिल) के साथ न्यायमूर्ति श्रीकृष्ण समिति की रिपोर्ट में स्पष्ट रूप से सुझाव दिया गया था कि विधेयक के प्रावधानों का विधेयक के अधिनियमन (इनैक्टमेंट) से पहले डेटा सहायक और प्रोसेसर द्वारा संसाधित (प्रोसेस्ड) व्यक्तिगत डेटा पर पूर्वव्यापी प्रभाव नहीं होगा।
हालांकि, यह ध्यान दिया जाना चाहिए कि चूंकि ‘प्रसंस्करण (प्रोसेसिंग)’ शब्द इसके दायरे में भंडारण (स्टोरेज), रिकॉर्डिंग, संग्रह या पुनर्प्राप्ति (रिट्रायवल) को भी शामिल करता है और चूंकि इस तरह की प्रसंस्करण एक सतत गतिविधि (ऑन गोईंग एक्टिविटी) है, यह बिल अनिवार्य रूप से इसके आने से पहले एकत्र किए गए व्यक्तिगत डेटा पर भी लागू होगा। नतीजतन, यह अनुमान लगाया जा सकता है कि यह ऐसे डेटा पर लागू होगा जो बिल के प्रवर्तन के समय प्रक्रिया में है, और डेटा न्यासियों (फिडीश्यूरीज) को तदनुसार चल रहे प्रसंस्करण गतिविधि के संदर्भ में ऐसे प्रावधानों का पालन करने की आवश्यकता होगी।
सहमति थकान (कंसेंट फटीग्)
यदि विधेयक को पूर्वव्यापी रूप से व्यक्तिगत डेटा के प्रसंस्करण पर लागू किया जाता है, तो बड़े पैमाने पर वित्तीय सेवा क्षेत्र बड़े पैमाने पर प्रभावित होगा। यह इस तथ्य के कारण है कि अतीत में पूरे किए गए दायित्वों के लिए ‘सहमति’ की स्पष्ट आवश्यकता को पूरी तरह से पूरा नहीं किया जाएगा। उदाहरण के लिए, अम्ब्रेला क्लॉज जो ‘अनिश्चित उद्देश्यों (इनडिटरमिनेट पर्पज)’ के लिए अपने व्यक्तिगत डेटा को संसाधित करने के लिए डेटा प्रिंसिपलों की सहमति प्राप्त करते हैं, साथ ही ‘अपरिवर्तनीय (इरेवोकेबल)’ जैसे शब्दों के उपयोग के साथ, किसी व्यक्ति की सहमति के संबंध में पहले से मौजूद अभ्यास (प्रैक्टिस) है। हालांकि, यह बिल के तहत निर्धारित एक वैध सहमति की शर्तों के खिलाफ है, जिसके तहत सहमति तभी मान्य की जाएगी जब यह मुफ़्त, सूचित, विशिष्ट, स्पष्ट और प्रतिसंहरणीय हो।
उपर बताई गई बातों को ध्यान में रखते हुए, चल रही प्रसंस्करण गतिविधियों के लिए पीडीपी विधेयक की प्रयोज्यता में अनिवार्य रूप से डेटा प्रिंसिपल के सभी बनाए गए डेटा शामिल होंगे, क्योंकि ‘डेटा का भंडारण’ प्रसंस्करण का एक सबसेट है और बैंक आरबीआई के नियमों और अन्य लागू कानूनों की इस तरह के डेटा को प्रकाश में रखने के लिए बाध्य हैं। इससे ग्राहकों की ओर से सहमति की थकान हो सकती है क्योंकि सभी संपन्न और प्रभावी अनुबंधों (कॉन्ट्रैक्ट) की संभावित पुन: बातचीत के बाद ग्राहकों से निरंतर और तदर्थ (एड हॉक) एक्सप्रेस सहमति प्राप्त करने की आवश्यकता हो सकती है ।
इसलिए, यह सुझाव दिया जाता है कि विधायी निकाय (लेजिस्लेटिव बॉडी) विधेयक के मौजूदा प्रावधानों में संशोधन (अमेंडमेंट) करने पर विचार कर सकता है ताकि विधेयक के प्रवर्तन से पहले एकत्र किए गए डेटा के प्रसंस्करण के लिए सहमति की आवश्यकता को बाहर किया जा सके क्योंकि प्रसंस्करण को एक सतत (कंटीन्युअस) कार्य माना जाता है। इसे केवल ऐसे डेटा पर लागू किया जाना चाहिए जिसे नए परिभाषित उद्देश्यों के लिए संसाधित करने का प्रस्ताव है। इस संबंध में, यह ध्यान दिया जाना चाहिए कि यदि इस तरह के पूर्व-अधिग्रहित (प्रि एक्वायर्ड) डेटा को ऑफ़लाइन संग्रहीत किया जाता है, तो इसके वर्चुअल डेटाबेस को बनाने के लिए समय, धन और प्रयास के एक बड़े निवेश की आवश्यकता होगी, या यदि इसे विंटेज/लीगेसी सिस्टम पर संग्रहीत किया जाता है, ऐसे डेटा को आयात करने का कार्य असंभव हो सकता है। यदि विधेयक की प्रभावशीलता के लिए इस तरह की पुरानी सांठगांठ (क्रोनिकल नेक्सस) स्थापित नहीं की जाती है, तो इसका प्रावधान व्यवसायों को अनुचित रूप से प्रभावित कर सकता है।
बैंकिंग क्षेत्र में मौजूदा गोपनीयता सिद्धांत (कॉन्फिडेंशियलिटी प्रिंसीपल)
वित्तीय संस्थाओं (फाइनेंशियल एंटिटिज) द्वारा धारा 45C, 45D, 45E, भारतीय रिजर्व बैंक अधिनियम, 1934 और धारा 19, 20, 21, 22 और 23, क्रेडिट सूचना कंपनी (विनियमन) अधिनियम, 2005 के तहत गोपनीयता और नियामक अनुपालन (रेगुलेटरी कंप्लायंस) के सिद्धांतों का पालन किया जाता है। प्रख्यापित (प्रोमुलगेटेड) क्षेत्रीय दिशा निर्देशों (गाइडलाइंस) के अधीन बनाए इन नियमों भर पीडीपीबी के काफी बाद अधिनियमन वापस बाहर कर दिया जा सकता हैं, जिससे कम ग्राहक के नजरिए से एक छोटे से लाभकारी परिणाम के साथ मौजूदा प्रक्रियाओं को डिटरमाइन किया जा सकता है।
उदाहरण के लिए, एपीआई-आधारित बैंकिंग सेवाएं, फिनटेक क्षेत्र में एक समकालीन (कंटेंपरेरी) विकास, आरबीआई के अकाउंट एग्रीगेटर (आरबीआई-एए) ढांचे द्वारा नियंत्रित किया जाता है जो स्पष्ट सहमति और भंडारण, साझाकरण (शेयरिंग), पहुंच आदि पर सख्त प्रतिबंधों के माध्यम से विस्तृत डेटा सुरक्षा आवश्यकताओं को निर्धारित करता है।
पीडीपी विधेयक अपर्याप्त ग्राहक सहमति और प्लेन-टेक्स्ट डेटा साझा करने, डेटा प्रमुख अधिकारों के प्रयोग को सक्षम करने, और नियंत्रक-प्रोसेसर दायित्वों, उद्देश्यों, मिटाने की अवधि को निर्दिष्ट (स्पेसिफाई) आदि करने के लिए अनुबंधों को संशोधित करने जैसे मुद्दों को संबोधित करके समान डेटा सुरक्षा आवश्यकताओं को लाएगा। इसलिए, सहमति प्रबंधकों (मैनेजर्स) की शुरूआत अतिरिक्त रूप से उपयोगकर्ताओं को विधेयक के तहत अपने अधिकारों का प्रयोग करने के लिए डेटा न्यासी के साथ संवाद करने की अनुमति देगी, एक ऐसी प्रथा जिसकी अनुमति आरबीआई-एए ढांचे के तहत नहीं है। हालांकि, यह एक संशोधन का संकेत है जिस पर विचार किया जाना चाहिए ताकि ग्राहकों को सहमति के प्रबंधन के लिए एग्रीगेटर्स पर और साथ ही एक सहमति प्रबंधक को अपने अधिकारों का प्रयोग करने के लिए मजबूर होने से बचाया जा सके।
नियामक (रेगुलेटरी) ओवरलैप
इसके अलावा, बिल के तहत एक नया डेटा संरक्षण प्राधिकरण (अथॉरिटी) (डीपीए) का निर्माण, वित्तीय क्षेत्र पर इसके प्रभाव पर पर्याप्त विचार किए बिना असाधारण शक्तियों और व्यापक प्रावधानों को लागू करने के साथ, मौजूदा निकायों के साथ एक नियामक ओवरलैप हो सकता है जो वर्तमान में देश में जो संस्थाएं है उनका वित्तीय पर्यवेक्षण (सुपरवाइज) करते हैं, जिनमें आरबीआई, सेबी, आईआरडीएआई, आदि शामिल हैं। ऐसी विनियमित संस्थाओं को इन क्षेत्रीय नियामकों (रेगुलेटर्स) द्वारा अपनी केवाईसी प्रक्रियाओं के हिस्से के रूप में कुछ व्यक्तिगत डेटा एकत्र करने और मनी लॉन्ड्रिंग या कर चोरी को रोकने के लिए आवश्यक है।
इस तरह के व्यक्तिगत डेटा को कानून के तहत अनिवार्य रूप से एकत्र किया जाना आवश्यक है, इसलिए इस तरह के प्रसंस्करण के लिए नोटिस, सहमति, आदि की सुरक्षा निहित या अर्थहीन है। इसके अलावा, चूंकि इस तरह के डेटा को तब तक बनाए रखने की आवश्यकता है जब तक ग्राहक संबंध मौजूद है और उसके बाद एक निश्चित अवधि के लिए पीएमएलए नियमों, बैंकिंग कंपनियों (पीपीआर) नियमों, सेबी (एलओडीआर) विनियमों, केवाईसी मानदंडों (नॉर्म्स), आईआरडीएआई दिशानिर्देशों के तहत विभिन्न क्षेत्रों द्वारा जारी किए गए हैं। नियामकों, और इसलिए, ऐसे व्यक्तिगत डेटा को मिटाने का कोई सवाल ही नहीं है।
इसलिए यह सुनिश्चित करना आवश्यक होगा कि पीडीपीबी 2019 के संचालन (ऑपरेशन) से पूर्व-स्थापित क्षेत्रीय नियमों के कामकाज में बाधा उत्पन्न न हो, और इन निकायों के अधिकार के सामंजस्य (हरमोनाईज) के लिए एक कार्य समूह की स्थापना की जाती है। वैकल्पिक रूप (अल्टरनेटिवली) से, पीडीपी विधेयक, 2019 की धारा 2 को प्रासंगिक (रिलेवेंट) क्षेत्रीय नियमों के संदर्भ में विनियमित संस्थाओं द्वारा व्यक्तिगत डेटा के प्रसंस्करण को बाहर करने के लिए संशोधित किया जाता है। इसके अलावा, संबंधित क्षेत्रीय नियामक किसी भी तरीके/उद्देश्यों को निर्दिष्ट कर सकता है जिसके लिए इस तरह के डेटा को संसाधित किया जा सकता है। यह यह भी सुनिश्चित करेगा कि विभिन्न नियामक निकायों और 2019 के विधेयक के तहत निर्धारित कानून के बीच कोई टकराव नहीं है।
डेटा सिद्धांत (प्रिंसिपल्स) के अधिकार
डेटा प्रिंसिपल्स को 2019 बिल के तहत डेटा फिड्यूशरीज द्वारा एकत्र और संसाधित किए गए उनके व्यक्तिगत डेटा के संबंध में कुछ अधिकारों की गारंटी दी गई है। इनमें पुष्टि/पहुंच, सुधार/मिटाने, डेटा पोर्टेबिलिटी आदि का अधिकार शामिल है। इन प्रावधानों की पूर्वव्यापी प्रयोज्यता का बैंकों पर महत्वपूर्ण प्रभाव पड़ सकता है क्योंकि बैंकों को ऐसे व्यक्तिगत के सभी पुराने प्रसंस्करण रिकॉर्ड (ऑनलाइन और ऑफलाइन दोनों) बनाए रखने होंगे, उन्हें उनके ऐसे डेटा को हटाने के दायित्व के विरुद्ध डेटा बिल के तहत प्रसंस्करण आवश्यकता को पूरा करने तक रेकॉर्ड्स को बनाए रखना होगा।
पिछले प्रसंस्करण के डेटा प्रिंसिपल को सूचित करने की आवश्यकता के संबंध में विधेयक में एक अंतर्निहित विरोधाभास (प्रिंसीपल ऑफ़ पास्ट प्रोसेसिंग) मौजूद है, क्योंकि धारा 17 के तहत, डेटा प्रिंसिपल को इस तरह के डेटा फ़िड्यूशरी द्वारा व्यक्तिगत डेटा के पिछले प्रसंस्करण के बारे में डेटा फ़िड्यूशरी से विवरण प्राप्त करने का अधिकार है। हालाँकि, धारा 9 डेटा प्रत्ययी पर यह दायित्व डालती है कि वह केवल व्यक्तिगत डेटा को संसाधित करने के लिए आवश्यक अवधि के लिए बनाए रखे और इस अवधि के बाद इसे हटा दे। यदि डेटा प्रत्ययी ने धारा 9 के तहत अपने दायित्वों का अनुपालन किया है, तो यह व्यक्तिगत डेटा को हटा देगा और धारा 17 के तहत आवश्यक पिछले प्रसंस्करण का विवरण प्रदान करने में सक्षम नहीं होगा।
तद्नुसार, धारा 17 को धारा 9(1) के अधीन बनाया जाना चाहिए, जहां डेटा प्रिंसिपल को उस जानकारी को प्राप्त करने का अधिकार नहीं होगा जिसे डेटा प्रत्ययी द्वारा पूर्व में संसाधित किया गया था, जिसे इसके धारा 9(1) के तहत दायित्व अनुपालन के लिए हटाना आवश्यक होगा।
लीगेसी सिस्टम में रखे गए ऑफ़लाइन रिकॉर्ड के मामले में, उन्हें ऑनलाइन लाने के लिए महत्वपूर्ण समय, पैसा और प्रयास खर्च करना होगा ताकि डेटा प्रिंसिपल ऐसे डेटा के संबंध में अध्याय (चैप्टर) V के तहत अपने अधिकारों का प्रयोग कर सकें। इसके अलावा, विधेयक की धारा 17(3) के तहत, डेटा प्रिंसिपलों को उन सभी डेटा सहायकों की पहचान तक पहुंचने का अधिकार होगा जिनके साथ उनके व्यक्तिगत डेटा का खुलासा किया गया है, और जिन श्रेणियो में व्यक्तिगत डेटा को उनके साथ साझा किया गया है।
इस आवश्यकता का अनुपालन डेटा प्रत्ययी के लिए एक बोझिल और महंगा अभ्यास साबित होगा, और डेटा के लिए ऐसी आवश्यकता का अनुपालन करना असंभव भी हो सकता है जो बिल के प्रभाव में आने से पहले एकत्र किया गया था क्योंकि ऐसे व्यक्तियों का रिकॉर्ड जिनके पास डेटा था साझा नहीं रखा गया हो सकता है। इसलिए, अध्याय V के तहत डेटा प्रिंसिपल के अधिकार केवल बिल के लागू होने के बाद एकत्र किए गए व्यक्तिगत डेटा पर लागू होने चाहिए।
निष्कर्ष (कंक्लूजन)
इसलिए, पीडीपी विधेयक, 2019 के प्रावधानों के अनुपालन के लिए डेटा न्यासियों (ट्रस्टीज) के संगठनों में आवश्यक कुछ संरचनात्मक (स्ट्रक्चरल) परिवर्तन आवश्यक हैं, जैसे कि प्रौद्योगिकियों और आंतरिक प्रणालियों के उन्नयन (अपग्रेड) और इंटरलिंकिंग की आवश्यकता के साथ-साथ अनुपालन करने के लिए ग्राहक दस्तावेज़ीकरण (डॉक्यूमेंटेशन) में संशोधन। सहमति ढांचा, आदि, जिसके लिए यह आवश्यक है कि 2019 के विधेयक को चरणबद्ध तरीके से लागू किया जाए ताकि कानून के निर्बाध आवेदन को सुनिश्चित करने के लिए कंपित (स्टैगर्ड) प्रावधानों की शुरूआत की जा सके।
संदर्भ (रेफरेंसेस)
- निजता की रक्षा करने वाली एक स्वतंत्र और निष्पक्ष डिजिटल अर्थव्यवस्था, भारतीयों को सशक्त बनाना: न्यायमूर्ति बीएन श्रीकृष्ण की अध्यक्षता में विशेषज्ञों की समिति ।
- भारत में प्रस्तावित नए डेटा संरक्षण कानून का विश्लेषण, निशीथ देसाई एसोसिएट्स ।
- ASIFMA ने पर्सनल डेटा प्रोटेक्शन बिल (PDPB), अगस्त 2019 पर इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MEITY) के अतिरिक्त परामर्श पर टिप्पणी की।
- मास्टर निदेश- गैर-बैंकिंग वित्तीय कंपनी – खाता एग्रीगेटर (रिज़र्व बैंक) निदेश, 2016, भारतीय रिज़र्व बैंक ।
- फिनटेक सेक्टर पर डेटा प्रोटेक्शन बिल का प्रभाव और इसके साथ वित्तीय कानूनों को संरेखित करना, मेडियानामा ।