भारत में डेटा प्रोटेक्शन एक्ट 2023: नए नियमों का प्रभाव और उपयोगकर्ता अधिकार
डेटा प्रोटेक्शन एक्ट का परिचय
डिजिटल पर्सनल डेटा प्रोटेक्शन (DPDP) एक्ट 2023Image Credit source: Canva
DPDP नियमों का विवरण: भारत में डिजिटल पर्सनल डेटा प्रोटेक्शन (DPDP) एक्ट 2023 के नियमों को लागू कर दिया गया है। केंद्र सरकार ने इस एक्ट के तहत अंतिम नियमों की औपचारिक घोषणा की है। यह देश में पहला फेडरल डिजिटल प्राइवेसी कानून है। नए नियमों में कंपनियों, सरकारी संस्थाओं और डिजिटल प्लेटफॉर्म्स के लिए डेटा प्रबंधन, भंडारण और सुरक्षा के स्पष्ट दिशा-निर्देश शामिल हैं। उपयोगकर्ताओं को अब सहमति वापस लेने, डेटा की समीक्षा करने और शिकायत दर्ज करने का अधिकार प्राप्त हो गया है। आइए जानते हैं कि ये नियम क्या हैं और इनके लागू होने से क्या बदलाव आएंगे।
डेटा उपयोग पर सख्ती
अब सभी कंपनियों को किसी भी प्रकार का व्यक्तिगत डेटा एकत्र करने से पहले स्पष्ट और जानकारीपूर्ण सहमति प्राप्त करनी होगी। उपयोगकर्ता अपनी सहमति कभी भी वापस ले सकते हैं, और कंपनियों को इसे तुरंत मानना होगा। बच्चों के डेटा के लिए वेरिफाईबल पैरेंटल कंसेंट अनिवार्य होगा।
डेटा सुरक्षा के कड़े नियम
कंपनियों को डेटा एन्क्रिप्शन, मास्किंग और मॉनिटरिंग जैसे सुरक्षा उपायों को लागू करना होगा। यदि डेटा लीक होता है, तो 72 घंटे के भीतर उपयोगकर्ताओं और डेटा प्रोटेक्शन बोर्ड को इसकी सूचना देना अनिवार्य होगा। लॉग्स और डेटा को एक साल तक सुरक्षित रखना भी आवश्यक है।
उपयोगकर्ताओं के अधिकारों में वृद्धि
उपयोगकर्ता अपने डेटा को एक्सेस, सुधार, हटाने और ट्रैक करने का अधिकार प्राप्त करेंगे। यदि कोई कंपनी तीन साल तक उपयोगकर्ता को निष्क्रिय पाती है, तो उसे 48 घंटे पहले नोटिस देकर डेटा हटाना होगा।
बड़ी कंपनियों की अतिरिक्त जिम्मेदारियाँ
5 मिलियन से अधिक उपयोगकर्ताओं वाले प्लेटफार्मों को Significant Data Fiduciary की श्रेणी में रखा जाएगा। इन्हें हर साल ऑडिट, इम्पैक्ट असेसमेंट और अपने एल्गोरिद्म की सुरक्षा की समीक्षा करनी होगी। बड़े सोशल मीडिया, ई-कॉमर्स और गेमिंग प्लेटफार्मों पर ये नियम विशेष प्रभाव डालेंगे। कुछ संवेदनशील डेटा के मामले में क्रॉस-बॉर्डर ट्रांसफर पर भी रोक लग सकती है। कुल मिलाकर, DPDP एक्ट भारत के डिजिटल इकोसिस्टम में पारदर्शिता और जिम्मेदारी को बढ़ावा देगा।
चरणबद्ध तरीके से लागू होंगे प्रावधान
सरकार ने कंपनियों को अनुपालन के लिए 12 से 18 महीने का समय दिया है। जहां सहमति, शिकायत निवारण और उद्देश्य-सीमित डेटा उपयोग जैसे मुख्य प्रावधान तुरंत लागू हो गए हैं, वहीं बड़े तकनीकी बदलावों वाले प्रावधान समय के साथ लागू होंगे। इससे कंपनियों को अपने सिस्टम और डेटा गवर्नेंस फ्रेमवर्क को अपडेट करने का समय मिलेगा।
क्रॉस-बॉर्डर डेटा ट्रांसफर पर नीति
सरकार ने स्पष्ट किया है कि डेटा का विदेशों में ट्रांसफर किया जा सकता है, जब तक कि इसे विशेष रूप से प्रतिबंधित न किया जाए। यह पहले की कड़ी डेटा लोकलाइजेशन नीति की तुलना में अधिक लचीला दृष्टिकोण है। हालांकि, यदि डेटा किसी विदेशी सरकार या उसके नियंत्रण वाली इकाई को दिया जा रहा है, तो कंपनियों को विशेष दिशा-निर्देशों का पालन करना होगा।
इनएक्टिव उपयोगकर्ताओं का डेटा हटाने का नियम
ई-कॉमर्स, सोशल मीडिया और ऑनलाइन गेमिंग प्लेटफार्मों को जिनका उपयोगकर्ता आधार क्रमशः 20 मिलियन और 5 मिलियन से अधिक है, उन्हें 3 साल तक निष्क्रिय रहने वाले उपयोगकर्ताओं का डेटा हटाना होगा। हटाने से 48 घंटे पहले उपयोगकर्ताओं को नोटिस दिया जाएगा। यह प्रावधान डेटा की अनावश्यक भंडारण को रोकने के लिए है।
DPDP के नए नियमों का सारांश
- किसी भी डेटा ब्रीच की जानकारी कंपनियों को तुरंत उपयोगकर्ताओं और डेटा प्रोटेक्शन बोर्ड को देनी होगी और 72 घंटे के भीतर विस्तृत रिपोर्ट जमा करनी होगी।
- सभी कंपनियों को अपने ट्रैफिक डेटा और लॉग्स को कम से कम 1 साल तक सुरक्षित रखना होगा।
- ई-कॉमर्स, गेमिंग और सोशल मीडिया प्लेटफार्मों को 3 साल की उपयोगकर्ता निष्क्रियता पर व्यक्तिगत डेटा हटाना अनिवार्य है।
- किसी भी डेटा हटाने से पहले कंपनी को उपयोगकर्ता को 48 घंटे पहले नोटिस भेजना जरूरी होगा।
- बच्चों का डेटा प्रोसेस करने के लिए कंपनियों को वेरिफाईबल पैरेंटल कंसेंट लेना अनिवार्य होगा।
- कंसेंट मैनेजर को सभी उपयोगकर्ता कंसेंट रिकॉर्ड्स को कम से कम 7 साल तक सुरक्षित रखना होगा।
- Significant Data Fiduciary को हर 12 महीने में डेटा प्रोटेक्शन इम्पैक्ट असेसमेंट और ऑडिट कराना होगा।
- सरकार जरूरत पड़ने पर कुछ संवेदनशील या विशेष श्रेणी के डेटा को भारत के बाहर ट्रांसफर करने पर रोक लगा सकती है।
- डेटा प्रोटेक्शन बोर्ड को किसी भी शिकायत या प्रक्रिया की जांच 6 महीने के भीतर पूरी करनी होगी।
- नए नियमों के अधिकांश प्रावधान कंपनियों के लिए 18 महीने के ट्रांजिशन पीरियड के बाद लागू होंगे।