यह लेख टेक्नोलॉजी लॉ, फिनटेक रेगूलेशन और टेक्नोलॉजी कॉन्ट्रैक्ट में डिप्लोमा कर रहे Pranav Patidar द्वारा लिखा गया है और Shashwat Kaushik द्वारा संपादित किया गया है। यह लेख भारत में डाटा गोपनीयता के मुद्दे और इसके संबंधित कानून के बारे में व्यापक और समझने योग्य तरीके से जानकारी देने पर केंद्रित है। इस लेख का अनुवाद Sakshi Gupta के द्वारा किया गया है।
Table of Contents
डाटा क्या है
डाटा का अर्थ, ज्ञान और अंतर्दृष्टि को व्यक्त करने के लिए प्रसंस्करण (प्रोसेसिंग) के उद्देश्य से एकत्र की गई जानकारी का एक टुकड़ा है। डाटा विभिन्न रूप ले सकता है, जिनमें संख्याएँ, पाठ, चित्र, ध्वनियाँ, ग्राफिक प्रतिनिधित्व, कंप्यूटर प्रोग्राम, व्यक्तिगत दस्तावेज़ और बहुत कुछ शामिल हैं।
डाटा का वर्गीकरण
व्यक्तिगत डाटा
इसे व्यक्तिगत पहचान योग्य जानकारी या संवेदनशील जानकारी भी कहा जाता है, जो संबंधित व्यक्ति की पहचान करने का साधन बन सकती है। व्यक्तिगत डाटा में सूचनाओं की एक विस्तृत श्रृंखला शामिल होती है, जिनमें से कुछ नाम, संपर्क नंबर, वित्तीय जानकारी, स्वास्थ्य डाटा, बायोमेट्रिक डाटा, जियोलोकेशन आदि हैं।
गैर-व्यक्तिगत डाटा
गैर-व्यक्तिगत डाटा, जिसे अनाम डाटा भी कहा जाता है, वह डाटा है जिसका उपयोग किसी व्यक्ति की पहचान के लिए नहीं किया जा सकता है। व्यक्तिगत डाटा के विपरीत, यह तुलनात्मक रूप से कम संवेदनशील है। गैर-व्यक्तिगत डाटा में मौसम डाटा, ट्रैफ़िक डाटा, वेबसाइट विश्लेषण, वैज्ञानिक अनुसंधान (रिसर्च) डाटा और बहुत कुछ शामिल हैं।
गोपनीयता क्या है
गोपनीयता का तात्पर्य किसी व्यक्ति के व्यक्तिगत डाटा को नियंत्रित और संरक्षित करने के अधिकार और क्षमता से है। यह तय करना व्यक्ति का अधिकार है कि अपने डाटा को वह कैसे और उसमे से क्या प्रसंस्करण करना चाहता है। यह सभी के लिए मौलिक अधिकार माना जाता है। भारतीय संविधान के अनुच्छेद 21 के तहत गोपनीयता का अधिकार भारत के सभी नागरिकों को दिया गया एक मौलिक अधिकार है।
गोपनीयता का उल्लंघन
यह किसी व्यक्ति की व्यक्तिगत जानकारी, व्यक्तिगत स्थान, या उनके जीवन के कुछ पहलुओं को गोपनीय रखने के अधिकार का उल्लंघन या अनधिकृत घुसपैठ है। इसका मुख्य उद्देश्य गोपनीय जानकारी एकत्र करना है।
डाटा गोपनीयता
डाटा गोपनीयता का मतलब आम तौर पर किसी व्यक्ति की स्वयं यह निर्धारित करने की क्षमता है कि उसके बारे में व्यक्तिगत जानकारी कब, कैसे और किस हद तक दूसरों के साथ साझा की जाती है या संचारित की जाती है। यह व्यक्तिगत जानकारी किसी का नाम, स्थान, संपर्क जानकारी, या ऑनलाइन या वास्तविक दुनिया का व्यवहार हो सकती है। जिस तरह कोई व्यक्ति व्यक्तिगत बातचीत से लोगों को बाहर रखना चाहता है, उसी तरह कई ऑनलाइन उपयोगकर्ता कुछ प्रकार के व्यक्तिगत डाटा संग्रह को नियंत्रित करना या रोकना चाहते हैं।
भारत में डाटा गोपनीयता के लिए कानून का महत्व
इंटरनेट का उपयोग आजकल दुनिया भर में किया जाता है और डाटा भी बड़े पैमाने पर प्रसारित किया जा रहा है। साथ ही, विकास सूचना और विचारों के आदान-प्रदान से अटूट रूप से जुड़ा हुआ है। यही कारण है कि डाटा का मुक्त प्रवाह महत्वपूर्ण है, और इसलिए, विनियमन (रेगुलेशन) अपरिहार्य (इनेविटेबल) और अत्यंत महत्वपूर्ण है। डिजिटल दुनिया के युग में, जहां डाटा को नया माना जाता है और डाटा उल्लंघनों के मामलों में तेजी से वृद्धि हुई है, व्यक्तिगत गोपनीयता के अधिकारों की रक्षा के लिए डेटा के प्रवाह को नियंत्रित और विनियमित करने के लिए उचित कानून बनाना समय की मांग बन गया है।
भारत के प्रमुख डाटा उल्लंघन
डिजिटल युग में, भारत ने भी पिछले कुछ वर्षों में डाटा उल्लंघनों का अनुभव किया है। उनमें से कुछ निम्नलिखित हैं:
एयर इंडिया डाटा उल्लंघन
मई 2021 में, एयर इंडिया ने डाटा उल्लंघन की सूचना दी। दुनियाभर में करीब 45 लाख यात्रियों का व्यक्तिगत डाटा लीक हो गया था। यह एयर इंडिया के सेवा प्रदाता एसआईटीए पर साइबर हमले के कारण हुआ, जिसके परिणामस्वरूप एयर इंडिया के यात्रियों के व्यक्तिगत डाटा का उल्लंघन हुआ।
कैट डाटा का उल्लंघन
थ्रेट इंटेलिजेंस फर्म क्लाउडसेक के अनुसार, मई 2021 में लगभग 190,000 आवेदकों की व्यक्तिगत पहचान योग्य जानकारी डार्क वेब पर लीक हो गई थी। लीक हुए डाटाबेस में नाम, जन्मतिथि, ईमेल आईडी, मोबाइल नंबर, पते की जानकारी, उम्मीदवारों के 10वीं और 12वीं कक्षा के परिणाम, उनकी स्नातक डिग्री का विवरण और उनके कैट प्रतिशत स्कोर सभी सामने आए थे।
अपस्टॉक्स डाटा उल्लंघन
भारतीय ट्रेडिंग प्लेटफॉर्म अपस्टॉक्स ने खुले तौर पर नो-योर-कस्टमर (केवाईसी) डाटा के उल्लंघन को स्वीकार किया है। वित्तीय सेवा कंपनियों द्वारा अपने ग्राहकों की पहचान की पुष्टि करने और धोखाधड़ी या मनी लॉन्ड्रिंग को रोकने के लिए एकत्र किया गया था।
भारतीय मरीजों के कोविड-19 परीक्षण के परिणाम ऑनलाइन लीक हो गए
इस डाटा उल्लंघन में लगभग 1500 भारतीय नागरिकों के डाटा से समझौता किया गया था। हजारों भारतीय मरीजों के लैब टेस्ट के नतीजे सरकारी वेबसाइटों द्वारा ऑनलाइन लीक कर दिए गए हैं। विशेष रूप से चिंताजनक बात यह है कि लीक हुआ डाटा डार्क वेब मंचों पर बिक्री के लिए नहीं रखा गया है, बल्कि सार्वजनिक रूप से उपलब्ध है।
ऊपर बताए गए मामले बड़ी संख्या में डाटा उल्लंघन की घटनाओं में से चुने गए कुछ ही मामले हैं। पिछले कुछ वर्षों में ऐसी कई घटनाएँ घट चुकी हैं; इसलिए, अब उचित कानून बनाने का समय आ गया है।
डाटा गोपनीयता के लिए भारत में पहले से मौजूद कानून
पहले, भारत में डाटा गोपनीयता पर कोई अकेला एक कानून या अधिनियम नहीं था; व्यक्तिगत डाटा के उपयोग को सूचना प्रौद्योगिकी (टेक्नोलॉजी) (आईटी) अधिनियम, 2000 और सूचना प्रौद्योगिकी (उचित सुरक्षा प्रथाएं और प्रक्रियाएं और संवेदनशील व्यक्तिगत डाटा या सूचना) नियम, 2011 के तहत विनियमित किया गया था। न्यायिक सक्रियता ने गोपनीयता को संविधान के अनुच्छेद 21 (जीवन और व्यक्तिगत स्वतंत्रता का अधिकार) के ढांचे के तहत मौलिक अधिकार के दायरे में ला दिया। सर्वोच्च न्यायालय के न्यायामूर्ति के.एस. पुट्टस्वामी (सेवानिवृत्त) बनाम भारत संघ और अन्य (2017) के ऐतिहासिक फैसले के बाद, डाटा गोपनीयता मानक भारतीय मानक ब्यूरो (बीआईएस) द्वारा जारी किए गए थे; सबसे नवीनतम आईएस 17428 था। मानक संगठनों को अपने डाटा गोपनीयता प्रबंधन प्रणालियों को स्थापित करने, लागू करने, बनाए रखने और लगातार सुधारने के लिए एक गोपनीयता आश्वासन ढांचा प्रदान करना चाहता है।
सूचना प्रौद्योगिकी अधिनियम, 2000 के कुछ महत्वपूर्ण प्रावधान
- धारा 66-C, पहचान की चोरी के लिए सजा: इसमें कहा गया है कि यदि कोई व्यक्ति धोखाधड़ी से या बेईमान इरादे से किसी अन्य व्यक्ति के इलेक्ट्रॉनिक हस्ताक्षर, पासवर्ड, या किसी अन्य विशिष्ट पहचान सुविधा का उपयोग करता है, तो उन पर 1 लाख रुपये तक का जुर्माना लगाया जाएगा और कारावास की सजा दी जाएगी, जिसे 3 साल तक बढ़ाया जा सकता है।
- धारा 66-E, गोपनीयता के उल्लंघन के लिए सजा: इसमें कहा गया है कि यदि कोई किसी व्यक्ति की सहमति के बिना और जानबूझकर उस व्यक्ति की गोपनीयता का उल्लंघन करने के लिए उसके व्यक्तिगत क्षेत्र की छवि प्रकाशित या प्रसारित करता है, तो उस पर 3 साल तक की कैद या अधिकतम 1 लाख रुपये तक का जुर्माना लगाया जाएगा।
- धारा 68, नियंत्रक (कंट्रोलर) को निर्देश देने की शक्ति: यह नियंत्रक को आईटी अधिनियम 2000 के प्रावधानों का अनुपालन करने के लिए उचित उपाय करने के लिए आदेश पारित करने या प्राधिकरण या उसके कर्मचारी को निर्देश देने की शक्ति देता है।
- धारा 72, निजता और गोपनीयता के उल्लंघन के लिए जुर्माना: इसमें कहा गया है कि कोई भी व्यक्ति या प्राधिकारी जो इस नियम के तहत शक्ति रखता है और किसी भी इलेक्ट्रॉनिक रिकॉर्ड, पुस्तक, रजिस्टर, पत्राचार, सूचना, दस्तावेज़, या अन्य सामग्री या किसी संवेदनशील डाटा तक पहुंच रखता है और संबंधित व्यक्ति की सहमति के बिना किसी अन्य व्यक्ति को ऐसी जानकारी का खुलासा करता है तो उस पर 2 साल तक की कैद या 1 लाख रुपये तक का जुर्माना लगाया जाएगा।
सूचना प्रौद्योगिकी (उचित सुरक्षा प्रथाएं और प्रक्रियाएं और संवेदनशील व्यक्तिगत डाटा या जानकारी) नियम 2011 एसपीडीआई नियम
केंद्र सरकार द्वारा 2011 में एसपीडीआई नियम लागू किए गए थे, जिसमें व्यक्तिगत डाटा या सूचना और संवेदनशील व्यक्तिगत डाटा या सूचना को विनियमित करने के प्रावधान शामिल हैं। नियम व्यक्तिगत डाटा या सूचना और संवेदनशील व्यक्तिगत डाटा या जानकारी को संभालने के लिए सुरक्षा प्रथाओं और प्रक्रियाओं को निर्धारित करता है। इस नियम के नियम भारत के सभी कॉर्पोरेट निकाय और भारत के बाहर के निकायों पर लागू होते हैं जिनका नेटवर्क भारत में स्थित है और भारत में व्यक्तियों की व्यक्तिगत जानकारी एकत्र करते हैं, प्राप्त करते हैं, रखते हैं, संग्रहीत करते हैं, सौदा करते हैं या संभालते हैं। इस कानून के दायरे में केवल डिजिटल डाटा ही आता है; ऑफ़लाइन मोड में एकत्र किया गया कोई भी डाटा इस नियम के अंतर्गत शामिल नहीं है।
एसपीडीआई नियम के महत्वपूर्ण प्रावधान
- धारा 4: यह धारा प्रत्येक संगठन और कॉर्पोरेट निकाय पर एक गोपनीयता नीति रखने का दायित्व रखती है जिसमें शिकायत निवारण के लिए डाटा संग्रह और संपर्क जानकारी का उद्देश्य शामिल होना चाहिए।
- धारा 5: इस धारा में संगठनों को सहमति प्राप्त करने, डाटा संग्रह के उद्देश्य को समझाने और आवश्यक डाटा एकत्र करने की आवश्यकता होती है।
- धारा 6: यह धारा कहती है कि एक कॉर्पोरेट निकाय संवेदनशील व्यक्तिगत डाटा या जानकारी को किसी तीसरे पक्ष को केवल डाटा के मालिक से सहमति लेने के बाद ही प्रकट करेगा, जिसने एक वैध अनुबंध के तहत वह जानकारी प्रदान की है। हालाँकि, कानूनी बाध्यता के मामलों में, व्यक्तिगत डाटा को पूर्व अनुमति के बिना प्रसंस्करण किया जा सकता है।
- धारा 7: इस धारा में कहा गया है कि एक कॉर्पोरेट निकाय संवेदनशील व्यक्तिगत डाटा को भारत में या भारत के बाहर स्थित किसी अन्य कॉर्पोरेट निकाय को स्थानांतरित (ट्रांसफर) कर सकता है जो एसपीडीआई नियमों के तहत प्रदान की गई समान स्तर की डाटा सुरक्षा सुनिश्चित करता है। यदि ऐसा करना संविदात्मक दायित्व के तहत है तो स्थानांतरण की अनुमति दी जा सकती है।
- धारा 8: यह धारा किसी कॉर्पोरेट निकाय या किसी व्यक्ति पर उचित सुरक्षा प्रथाओं और मानकों का अनुपालन करने और एक व्यापक दस्तावेजित सूचना सुरक्षा कार्यक्रम और सूचना सुरक्षा नीतियों का दायित्व रखती है जिसमें प्रबंधकीय (मैनेजेरियल), तकनीकी, परिचालन (ऑपरेशनल) और भौतिक सुरक्षा नियंत्रण उपाय शामिल हैं जो संरक्षित की जा रही सूचना संपत्तियों की प्रकृति के अनुरूप हैं।
डिजिटल व्यक्तिगत डाटा संरक्षण अधिनियम, 2023 (डीपीडीपीए)
डिजिटल व्यक्तिगत डाटा संरक्षण अधिनियम एक स्वतंत्र कानून है जो डाटा गोपनीयता के लिए अगस्त 2023 में प्रमुखता से आया है। यह अत्यंत महत्वपूर्ण कानून बन रहा है। जैसा कि हमने पहले डाटा गोपनीयता को नियंत्रित करने वाले एक कानून के महत्व और आवश्यकता के बारे में चर्चा की है, यह अधिनियम आशा की एक किरण के रूप में आया है।
डिजिटल व्यक्तिगत डाटा संरक्षण अधिनियम का इतिहास
2018 में, भारत सरकार के इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय द्वारा सेवानिवृत्त सर्वोच्च न्यायालय के न्यायाधीश, न्यायमूर्ति बीएन श्रीकृष्ण की अध्यक्षता में विशेषज्ञों की एक समिति का गठन किया गया था, जिसका काम इसमें सुधार करके डेटा गोपनीयता कानून की पहचान करना और इसे अधिक मजबूत और व्यापक बनाने का था। 2019 में, विधेयक को कैबिनेट द्वारा स्वीकार कर लिया गया और संयुक्त संसद समिति (जेपीसी) द्वारा पारित किया गया। इसकी समीक्षा करने के बाद, जेपीसी ने दिसंबर 2021 में अपनी रिपोर्ट पेश की, लेकिन भारत सरकार ने इसे वापस ले लिया। काफी चिंतन के बाद, डीपीडीपी विधेयक 2023 को संसद में पेश किया गया, पारित किया गया और 12 अगस्त, 2023 को राजपत्रित किया गया।
अधिनियम का दायरा
वस्तुगत (मटेरियल) दायरा
डिजिटल या गैर-डिजिटल रूप में एकत्र किया गया और अंततः डिजिटलीकृत किया गया किसी भी प्रकार का व्यक्तिगत डाटा प्रसंस्करण डीपीडीपी अधिनियम के दायरे में आएगा। ऐसा करने के लिए कानूनी अधिकार के तहत सार्वजनिक रूप से उपलब्ध कराया गया कोई भी डाटा इस नियम के तहत एक अपवाद है।
प्रादेशिक दायरा
भारत के क्षेत्र के भीतर डिजिटल व्यक्तिगत डाटा का प्रसंस्करण इस कानून के दायरे में आता है; यह भारत के क्षेत्र के बाहर व्यक्तिगत डाटा के प्रसंस्करण पर भी लागू होता है यदि ऐसा प्रसंस्करण भारत के क्षेत्र के भीतर डेटा प्रिंसिपलों द्वारा वस्तुओं और सेवाओं की पेशकश से संबंधित गतिविधि से जुड़ा है।
अधिनियम की प्रमुख शब्दों की परिभाषा
- डाटा प्रत्ययी (फिडूशियरी)- वह व्यक्ति है जो दूसरों के साथ समन्वय (कोऑर्डिनेशन) में व्यक्तिगत डाटा के प्रसंस्करण का उद्देश्य और दायरा तय करता है।
- डाटा प्रिंसीपल- वह व्यक्ति है जिसका व्यक्तिगत डाटा एकत्र किया जा रहा है।
- डाटा प्रसंस्करणकर्ता (प्रोसेसर)- इसका अर्थ है किसी डाटा प्रत्ययी की ओर से व्यक्तिगत डाटा प्रसंस्करण करने वाला कोई भी व्यक्ति।
- सहमति प्रबंधक- बोर्ड में एक पंजीकृत व्यक्ति जो डाटा प्रिंसिपल को एक सुलभ, पारदर्शी और अंतर-संचालित (इंटरऑपरेबल) प्लेटफॉर्म के माध्यम से अपनी सहमति देने, प्रबंधित करने, समीक्षा करने और वापस लेने में सक्षम करने के लिए संपर्क के एकल बिंदु के रूप में कार्य करता है।
- महत्वपूर्ण डाटा प्रत्ययी- यह प्रसंस्करण किए गए व्यक्तिगत डेटा की मात्रा, डेटा प्रिंसिपल के अधिकारों के लिए जोखिम, भारत की संप्रभुता पर संभावित प्रभाव, चुनावी लोकतंत्र और सुरक्षा तथा राज्य की सार्वजनिक व्यवस्था के जोखिम को ध्यान में रखते हुए केंद्र सरकार द्वारा डेटा प्रत्ययी का एक निर्दिष्ट वर्ग है।
व्यक्तिगत डाटा का प्रसंस्करण
सहमति
डाटा प्रिंसिपल के व्यक्तिगत डाटा के प्रसंस्करण के लिए सहमति सबसे महत्वपूर्ण आवश्यकता है, और किसी बच्चे या विकलांग व्यक्ति के मामले में जिसके पास एक वैध अभिभावक है, ऐसे बच्चे के माता-पिता या वैध अभिभावक की सत्यापन योग्य सहमति प्राप्त करें। अधिनियम के अनुसार सहमति का स्वतंत्र होना आवश्यक है, अर्थात सहमति विशिष्ट, सूचित, स्पष्ट और बिना शर्त होनी चाहिए। साथ ही, डाटा प्रत्ययी द्वारा किए गए व्यक्तिगत डाटा के संग्रह के लिए अनुरोध को स्पष्ट और संक्षिप्त तरीके से लिखा जाना चाहिए ताकि उपयोगकर्ता इसे आसानी से समझ सके। धारा 6(4) के तहत डाटा प्रिंसिपल को किसी भी समय सहमति वापस लेने का अधिकार है। उपयोगकर्ता द्वारा सहमति वापस लेने के बाद, डाटा प्रत्ययी डाटा प्रसंस्करणकर्ता को निर्देश देगा जो डाटा प्रत्ययी की ओर से डाटा प्रसंस्करण कर रहा है, जब तक कि वह अन्यथा अधिकृत न हो, कि उपयोगकर्ता के व्यक्तिगत डाटा को प्रसंस्करण करना बंद कर दे।
सहमति के लिए नोटिस
हर बार सहमति मांगे जाने पर डाटा प्रत्ययी को डाटा प्रिंसिपल को नोटिस देना होगा। इस नोटिस में व्यक्तिगत डाटा के प्रसंस्करण के बारे में विवरण होना चाहिए। नोटिस में प्रसंस्करण किए जा रहे डाटा और ऐसे प्रसंस्करण के उद्देश्य को विशेष रूप से बताया जाना चाहिए। साथ ही, नोटिस में यह बताया जाना चाहिए कि डाटा प्रिंसिपल कैसे अपने अधिकारों का प्रयोग कर सकते हैं, सहमति वापस ले सकते हैं और किसी भी अस्पष्टता के मामले में डाटा प्रत्ययी और बोर्ड से शिकायत कर सकते हैं। डाटा प्रत्ययी सहमति नोटिस को डाटा प्रिंसिपल के लिए अंग्रेजी या भारतीय संविधान की आठवीं अनुसूची के तहत निर्दिष्ट किसी अन्य भाषा में आसानी से उपलब्ध कराने के लिए बाध्य है।
वैध उपयोग
अधिनियम वैध उपयोगों की एक बहुत ही संकीर्ण सूची प्रदान करता है; बल्कि, यह “निष्पक्ष और उचित उद्देश्य” और “सार्वजनिक हित” प्रदान करता है। एक डाटा प्रत्ययी उपयोगकर्ता के डाटा को वैध आधार पर प्रसंस्करण कर सकता है, लेकिन यह पूर्ण नहीं है। डीपीडीपी अधिनियम की धारा 7 उन शर्तों का प्रावधान और व्याख्या करती है जिनके तहत डाटा का ऐसा प्रसंस्करण किया जा सकता है; इनमें से कुछ निम्नलिखित हैं
- जब डाटा प्रिंसिपल ने व्यक्तिगत डाटा के ऐसे उपयोग के लिए स्वेच्छा से सहमति दी हो।
- राज्य या किसी सरकारी प्राधिकरण के साथ व्यक्तियों की जानकारी साझा करने की कानूनी बाध्यता के तहत।
- किसी भी न्यायालय के आदेश द्वारा कानूनी रूप से बाध्य।
- डाटा प्रिंसिपल को उसकी पूर्व सहमति के आधार पर या यदि डाटा केंद्र सरकार द्वारा निर्दिष्ट राज्य-संरक्षित रिकॉर्ड में उपलब्ध है, तो सब्सिडी, लाभ, सेवाएं, प्रमाणपत्र, लाइसेंस या परमिट प्रदान करना।
- चिकित्सा आपातकाल के मामले में, चिकित्सा देखभाल प्रदान करें।
- रोजगार संबंधी उद्देश्य
सीमा पार डाटा स्थानांतरण- भारतीय नागरिकों के व्यक्तिगत डाटा के हस्तांतरण को सरकार द्वारा वर्जित क्षेत्रों को छोड़कर सभी अधिकार क्षेत्र में अनुमति दी गई है।
डीपीडीपी अधिनियम 2023 के तहत डाटा प्रत्ययी के दायित्व
- डाटा प्रिंसिपल से सहमति (जैसा कि ऊपर चर्चा की गई है) प्राप्त करने के बाद ही डाटा प्रत्ययी वैध उद्देश्यों के लिए व्यक्तिगत डाटा का प्रसंस्करण कर सकता है। अधिनियम में कुछ मामलों में सहमति के बिना डाटा का प्रसंस्करण करने का भी प्रावधान है।
- डाटा प्रत्ययी, डाटा प्रिंसिपल के व्यक्तिगत डाटा का प्रसंस्करण करने से पहले प्रसंस्करण के दायरे और प्रकृति को समझाते हुए नोटिस देगा।
- एक डाटा प्रत्ययी केवल एक वैध अनुबंध के तहत अपनी ओर से व्यक्तिगत डाटा का प्रसंस्करण करने के लिए डाटा प्रसंस्करणकर्ता को संग्लन, नियुक्त, उपयोग या अन्यथा शामिल कर सकता है।
- डीपीडीपी अधिनियम के प्रावधानों का प्रभावी पालन सुनिश्चित करने के लिए उचित तकनीकी और संगठनात्मक उपाय किए जाने चाहिए।
- डाटा प्रत्ययी को अपने पास मौजूद व्यक्तिगत डाटा की सुरक्षा और व्यक्तिगत डाटा उल्लंघनों को रोकने के लिए उचित सुरक्षा उपाय करने होंगे।
- यदि सहमति डाटा प्रिंसिपल द्वारा रद्द कर दी जाती है या जैसे ही यह मान लेना उचित है कि निर्दिष्ट उद्देश्य अब पूरा नहीं किया जा रहा है, जो भी पहले हो, डाटा प्रत्ययी व्यक्तिगत डाटा का प्रसंस्करण करना बंद कर देगा जब तक कि उस समय लागू किसी भी कानून के अनुपालन के लिए प्रतिधारण आवश्यक न हो।
- डाटा प्रत्ययी डाटा प्रिंसिपलों की शिकायतों के निवारण के लिए एक प्रभावी तंत्र स्थापित करने के लिए बाध्य हैं।
महत्वपूर्ण डाटा प्रत्ययी (एसडीएफ)
किसी डाटा प्रत्ययी को केंद्र सरकार द्वारा उनके द्वारा प्रसंस्करण किए जा रहे संवेदनशील व्यक्तिगत डाटा की मात्रा, चुनावी लोकतंत्र के जोखिम, राज्य की सुरक्षा आदि के आधार पर एक महत्वपूर्ण डाटा प्रत्ययी के रूप में नामित किया जाता है। डीपीडीपी अधिनियम का अनुपालन सुनिश्चित करने और आवधिक लेखापरीक्षा (ऑडिट) जैसे अतिरिक्त सुरक्षा उपायों को लागू करने के लिए एक महत्वपूर्ण डाटा प्रत्ययी के लिए एक स्वतंत्र डाटा लेखा परीक्षक (ऑडिटर) नियुक्त करना भी महत्वपूर्ण है।
डाटा प्रिंसिपल के अधिकार और कर्तव्य
व्यक्तिगत जानकारी तक पहुँचने का अधिकार
- डाटा प्रिंसिपल को डाटा प्रत्ययी से प्रसंस्करण किए जा रहे व्यक्तिगत डाटा और डाटा के साथ की गई प्रसंस्करण गतिविधियों का सारांश एकत्र करने का अधिकार है।
- डाटा प्रिंसिपल अन्य सभी डाटा प्रत्ययी और डाटा प्रसंस्करणकर्ता के बारे में जानकारी मांग सकता है जो व्यक्तिगत डाटा के प्रसंस्करण में शामिल हैं।
डाटा सुधारने और हटाने का अधिकार
- एक डाटा प्रिंसिपल के पास व्यक्तिगत डाटा को सुधारने, पूरा करने, अपडेट करने और मिटाने का अधिकार है।
- जब तक डाटा प्रत्ययी किसी लागू कानून के तहत डाटा को बनाए रखने के लिए कानूनी दायित्व के अधीन नहीं है, तब तक डाटा हटा दिया जाना चाहिए।
शिकायत निवारण का अधिकार
- डाटा प्रत्ययी के पास एक शिकायत निवारण तंत्र होगा जिसे डाटा प्रिंसिपल अपने दायित्वों के प्रदर्शन या डीपीडीपी अधिनियम के तहत प्रदान किए गए अधिकारों का प्रयोग करने के संबंध में डाटा प्रत्ययी या सहमति प्रबंधक द्वारा किसी भी चूक के मामले में मांग सकता है।
नामांकित करने का अधिकार
- डाटा प्रिंसिपल की मृत्यु या अक्षमता के मामले में, डाटा प्रिंसिपल को अधिकारों का प्रयोग करने के लिए डीपीडीपी अधिनियम के प्रावधानों के अनुसार अपनी ओर से किसी अन्य व्यक्ति को चुनने का अधिकार है।
डाटा प्रिंसिपल के दायित्व
- डाटा प्रिंसिपल, अपने अधिकारों का प्रयोग करते समय, उस समय लागू सभी कानूनों का पालन करेगा।
- डाटा प्रिंसिपल डाटा प्रत्ययी को सही जानकारी प्रदान करेगा और किसी अन्य व्यक्ति का प्रतिरूपण (इंपरसोनेट) नहीं करेगा।
- डाटा प्रिंसिपल डाटा न्यासी (ट्रस्टी) या बोर्ड के साथ झूठी या तुच्छ शिकायतें दर्ज नहीं करेगा।
अधिनियम डाटा प्रसंस्करण के लिए कुछ प्रावधानों के आवेदन से छूट देता है
- जहां व्यक्तिगत डाटा का प्रसंस्करण कानूनी दायित्व दंड और न्यायनिर्णयन (एडज्यूडिकेशन) के अंतर्गत है
उल्लंघन के मामलों में इस अधिनियम के तहत आर्थिक दंड का प्रावधान है। निम्नलिखित स्थितियाँ जुर्माना राशि निर्धारित करती हैं
- उल्लंघन की अवधि, प्रकृति और गंभीरता।
- उल्लंघन किए गए व्यक्तिगत डाटा का प्रकार और प्रकृति।
- उल्लंघन के प्रभावों और परिणामों को कम करने के लिए की गई कार्रवाई और ऐसी कार्रवाई करने में तत्परता।
प्रावधानों का उल्लंघन करने पर जुर्माना निम्नलिखित हैं:
| अपराध | जुर्माना |
| यदि डाटा प्रत्ययी धारा 8 की उपधारा (5) के तहत व्यक्तिगत डाटा उल्लंघनों की रोकथाम के लिए उचित सुरक्षा उपाय नहीं करता है। | दो सौ पचास करोड़ रुपये तक। |
| धारा 8 की उपधारा (6) के तहत व्यक्तिगत डाटा के उल्लंघन के बारे में बोर्ड और संबंधित डाटा प्रिंसिपल को नोटिस देने में उल्लंघन। | दो सौ करोड़ रुपये तक। |
| यदि धारा 9 के तहत बच्चों के संबंध में अतिरिक्त दायित्व नहीं लिए गए हैं। | दो सौ करोड़ रुपये तक। |
| धारा 10 के तहत महत्वपूर्ण डाटा प्रत्ययी के अतिरिक्त दायित्वों को पूरा नहीं किया गया है। | एक सौ पचास करोड़ रुपये तक बढ़ाया जा सकता है। |
| अधिनियम की धारा 15 के तहत कर्तव्यों के पालन का उल्लंघन। | दस हजार रुपये तक बढ़ाया जा सकता है। |
| यदि धारा 32 के तहत बोर्ड द्वारा स्वेच्छा से स्वीकृत किसी भी शर्त का उल्लंघन किया जाता है। | उस उल्लंघन के लिए लागू सीमा तक जिसके संबंध में धारा 28 के तहत कार्यवाही शुरू की गई थी। |
| इस अधिनियम के किसी भी अन्य प्रावधान का उल्लंघन किया गया है। | पचास करोड़ रुपये तक बढ़ाया जा सकता है। |
डीपीडीपी अधिनियम से संबंधित चिंताएँ
हालाँकि इस कानून की बहुत आवश्यकता है, लेकिन साथ ही इसमें अस्पष्टता और खामियों से भी इनकार नहीं किया जा सकता है। ऐसे कई प्रावधान हैं जो कानूनी विशेषज्ञों के बीच बहस और चिंता का विषय हैं, खासकर इस कानून के तहत मिलने वाली छूट। आइए इस कानून के बारे में कुछ प्रमुख चिंताओं को समझें।
इस कानून के तहत सरकार की छूट के परिणामस्वरूप व्यापक शक्ति मिलती है
कानून के तहत, सरकार को भारत की अखंडता, राज्य की सुरक्षा, सार्वजनिक व्यवस्था बनाए रखने आदि के आधार पर इस कानून के दायरे से छूट देने के लिए अधिसूचना जारी करने की शक्ति है, जिसका अर्थ है कि सरकारी एजेंसी डीपीडीपी अधिनियम के तहत प्रदान किए गए सुरक्षा उपायों की अनदेखी करके किसी भी उद्देश्य के लिए व्यक्तिगत डेटा एकत्र कर सकती है। व्यक्तिगत डाटा को बनाए रखने के लिए सरकार के पास कोई समय-सीमा भी निर्धारित नहीं है; यह डाटा को असीमित अवधि तक बनाए रख सकता है, जिसका अर्थ है कि सरकार के पास बड़े पैमाने पर निगरानी का पूरा अधिकार है। साथ ही, जांच उद्देश्यों के लिए व्यक्तिगत डाटा का प्रसंस्करण सरकारी सूचना के बिना किया जा सकता है। इसलिए, यह किसी न किसी तरह से नागरिकों की गोपनीयता को प्रभावित कर रहा है।
सरकार की सामग्री अवरोधक शक्ति
डीपीडीपी अधिनियम की धारा 37 के तहत, सरकार, डाटा सुरक्षा बोर्ड की सलाह पर, आम जनता के हित में वेबसाइटों या सामग्री तक पहुंच को रोक सकती है। वाक्यांश “आम जनता के हित में” बहुत अस्पष्ट है और अधिनियम में ठीक से परिभाषित नहीं किया गया है। सरकार के पास आईटी अधिनियम 2000 की धारा 69 के तहत वही विवादास्पद अवरोधक शक्ति है, जो केंद्र सरकार को भारत की संप्रभुता और अखंडता, राज्य की सुरक्षा आदि के आधार पर जानकारी को अवरुद्ध करने की शक्ति भी देती है।
सूचना का अधिकार अधिनियम
डीपीडीपी अधिनियम के तहत प्रमुख चिंताओं में से एक आरटीआई अधिनियम में संशोधन है। डीपीडीपी अधिनियम की धारा 44(3) आरटीआई अधिनियम की धारा 8(1)(j) में संशोधन करती है, जिसमें कहा गया है कि सरकार नागरिकों को व्यक्तिगत जानकारी से संबंधित कोई भी जानकारी प्रदान करने के लिए बाध्य नहीं है, जिसके प्रकटीकरण का सार्वजनिक हित या गतिविधि से कोई संबंध नहीं है, बशर्ते कि कोई भी जानकारी जिसे संसद को देने से इनकार नहीं किया जा सकता, उसे किसी भी व्यक्ति को देने से इनकार नहीं किया जाना चाहिए। लेकिन डीपीडीपी अधिनियम के तहत किए गए संशोधनों के बाद, प्रकटीकरण से मुक्त जानकारी का दायरा बढ़ गया है, जिसका अर्थ है कि सरकार सार्वजनिक हित से संबंधित किसी भी गतिविधि के बारे में जानकारी प्रदान करने के लिए बाध्य नहीं है। अब अधिकारियों द्वारा आरटीआई अनुरोधों को अस्वीकार करने की अधिक संभावना है, जिससे अंततः पारदर्शिता कम हो जाएगी।
पीड़ितों के लिए मुआवजा
डाटा उल्लंघनों के पीड़ितों को उनके द्वारा हुए नुकसान के लिए कोई मुआवजा नहीं मिलता है। हालाँकि अधिनियम डाटा उल्लंघनों के मामलों में डाटा विश्वासियों के लिए मौद्रिक दंड का प्रावधान करता है, लेकिन यह आईटी अधिनियम 2000 की धारा 43A जो इस तरह के मुआवजे का प्रावधान करती है, को भी हटा देता है।
डाटा प्रिंसिपल के लिए मौद्रिक दंड के उपाय
अधिनियम के तहत किसी भी डाटा प्रिंसिपल के दायित्व के उल्लंघन के मामले में डाटा सुरक्षा बोर्ड द्वारा उपयोगकर्ता से दंड के रूप में 10,000 रुपये का शुल्क लिया जाता है। जीडीपीआर में भी ऐसे कोई प्रावधान नहीं हैं, जिसे सबसे अच्छा डाटा गोपनीयता कानून माना जाता है। अधिनियम उपयोगकर्ताओं के लिए है, इसलिए यह निश्चित रूप से एक चिंता का विषय है जिस पर सरकार को ध्यान देना चाहिए।
अज्ञात डाटा
अधिनियम अज्ञात व्यक्तिगत डाटा के बारे में चुप है, जो एक समस्या प्रतीत होती है क्योंकि अज्ञात व्यक्तिगत डाटा को किसी व्यक्ति के बारे में विवरण निकालने के लिए भी प्रसंस्करण किया जा सकता है, इसलिए सरकार को अज्ञात व्यक्तिगत डाटा को भी विनियमित करना चाहिए।
उपर्युक्त कुछ प्रमुख चिंताएँ हैं जिन पर सरकार को विचार करना चाहिए और सुधार करना चाहिए।
निष्कर्ष
डीपीडीपी अधिनियम वास्तव में एक सुरक्षित डिजिटल अर्थव्यवस्था बनने की दिशा में एक कदम है। यह वैश्विक नवाचार केंद्र के रूप में भारत की स्थिति को मजबूत करने की दिशा में एक महत्वपूर्ण कदम है। आज की दुनिया में, जब डाटा गोपनीयता एक मुद्दा है; यह कानून अत्यंत महत्वपूर्ण है, लेकिन इस तथ्य के कारण कि अधिनियम जीडीपीआर के कुछ नियमो के साथ अच्छी तरह से संरचित है, इसमें कुछ खामियां और अवगुण भी हैं, जिन पर सरकार को ध्यान देना चाहिए और कानून को सुधारने पर ध्यान केंद्रित करना चाहिए। हालाँकि रूपरेखा अच्छी दिखती है और अधिनियम पारित हो चुका है लेकिन अभी तक अधिनियमित नहीं हुआ है, यह देखना दिलचस्प होगा कि भविष्य में अधिनियम को कैसे लागू और विनियमित किया जाता है।
संदर्भ
