संदर्भ :

• केंद्रीय इलेक्ट्रॉनिक्स एवं सूचना प्रौद्योगिकी मंत्रालय ने डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) नियम 2025 को अधिसूचित किया।

मुख्‍य बिन्‍दु :

• अधिसूचितकर्ता: केंद्रीय इलेक्ट्रॉनिक्स एवं सूचना प्रौद्योगिकी मंत्रालय (MeitY)
• आधार: ये नियम डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 को प्रभावी ढंग से लागू करने के लिए आवश्यक ढाँचा (Framework) प्रदान करते हैं।
• उद्देश्य: भारतीय नागरिकों के डिजिटल व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करना और डेटा संभालने वाली संस्थाओं (डेटा न्यासी/Data Fiduciaries) की जवाबदेही (Accountability) तय करना।
• सहमति एवं पारदर्शिता : व्यक्तिगत डेटा का प्रसंस्करण केवल स्पष्ट और सूचित सहमति के आधार पर होना चाहिए।
• जवाबदेही : डेटा फिड्यूशियरीज़ डेटा सुरक्षा सुनिश्चित करने के लिए जिम्मेदार होंगी।

प्रमुख हितधारक :

• डेटा प्रिंसिपल (Data Principal): वह व्यक्ति जिसका व्यक्तिगत डेटा संसाधित किया जा रहा है (यानी, उपयोगकर्ता/नागरिक)।
• डेटा फिड्यूशियरी (Data Fiduciary): वह संस्था (कंपनी या सरकारी निकाय) जो डेटा के प्रसंस्करण के उद्देश्य और साधनों को निर्धारित करती है।
• डेटा संरक्षण बोर्ड ऑफ इंडिया (DPBI): इस अधिनियम के तहत स्थापित किया गया एक स्वतंत्र नियामक और न्यायिक निकाय।

DPDP नियम, 2025 के प्रमुख प्रावधान

1. सहमति और नोटिस (Consent and Notice) : 

• स्पष्ट सहमति नोटिस: डेटा फिड्यूशियरी को डेटा प्रिंसिपल को एक स्पष्ट, संक्षिप्त और समझने योग्य नोटिस जारी करना होगा। इस नोटिस में यह बताया जाना चाहिए कि कौन सा व्यक्तिगत डेटा एकत्र किया जा रहा है, इसका उद्देश्य क्या है, और सहमति वापस लेने का तरीका क्या है।
• सहमति प्रबंधकों का पंजीकरण (Consent Managers): ये भारतीय कंपनियाँ होंगी जो डेटा प्रिंसिपल को उनकी अनुमतियों को प्रबंधित करने में मदद करेंगी। DPBI के साथ इनका पंजीकरण अनिवार्य होगा।

बच्चों के डेटा की सुरक्षा (Protection of Children's Data) :

बच्चों (18 वर्ष से कम) के डेटा के प्रसंस्करण पर विशेष ध्यान दिया गया है:

• सत्यापन योग्य सहमति: डेटा फिड्यूशियरी को बच्चे के डेटा को संसाधित करने से पहले माता-पिता या कानूनी अभिभावक से सत्यापन योग्य सहमति प्राप्त करनी होगी।
• प्रतिबंधित गतिविधियाँ: बच्चों के डेटा का उपयोग हानिकारक उद्देश्यों जैसे कि व्यवहारिक ट्रैकिंग (Behavioural Tracking) या उन्हें लक्षित करने वाले विज्ञापन (Targeted Advertising) के लिए नहीं किया जा सकता है।
• सीमित छूट: स्वास्थ्य, शिक्षा और वास्तविक समय की सुरक्षा (real-time safety) जैसे आवश्यक उद्देश्यों के लिए कुछ सीमित छूट प्रदान की गई है।

डेटा उल्लंघन अधिसूचना (Data Breach Notification) :

डेटा उल्लंघन की स्थिति में त्वरित और पारदर्शी कार्रवाई अनिवार्य है:

• तत्काल सूचना: डेटा फिड्यूशियरी को डेटा उल्लंघन की जानकारी होने पर प्रभावित व्यक्तियों को बिना किसी देरी के सूचित करना होगा।
• DPB को रिपोर्ट: उल्लंघन की प्रकृति, संभावित परिणाम और शमन के लिए उठाए गए कदमों की विस्तृत रिपोर्ट 72 घंटों के भीतर डेटा संरक्षण बोर्ड को देनी होगी।

डेटा प्रिंसिपल के अधिकार और फिड्यूशियरी के दायित्व :

• डेटा मिटाने और सुधार का अधिकार (Right to Erasure and Correction): डेटा प्रिंसिपल को यह अधिकार है कि वह अपनी व्यक्तिगत जानकारी में सुधार या उसे मिटाने का अनुरोध कर सके।
• डेटा प्रतिधारण सीमा (Storage Limitation): डेटा फिड्यूशियरी को व्यक्तिगत डेटा को उस उद्देश्य के पूरा होने के बाद हटाना होगा जिसके लिए इसे एकत्र किया गया था (जब तक कि किसी अन्य कानून के तहत इसे बनाए रखना आवश्यक न हो)। यदि तीन वर्ष तक कोई गतिविधि नहीं होती है, तो डेटा को मिटा दिया जाएगा, जिसकी सूचना 48 घंटे पहले दी जाएगी।
• शिकायत निवारण तंत्र: प्रत्येक फिड्यूशियरी को एक नामित अधिकारी या डेटा संरक्षण अधिकारी (DPO) के स्पष्ट संपर्क विवरण प्रकाशित करने होंगे ताकि उपयोगकर्ता अपनी शिकायतें उठा सकें।

महत्वपूर्ण डेटा फिड्यूशियरीज़ (Significant Data Fiduciaries - SDFs) के लिए अतिरिक्त दायित्व :

बड़े पैमाने पर डेटा संसाधित करने वाली संस्थाओं के लिए सख्त नियम हैं:

• डेटा संरक्षण प्रभाव आकलन (DPIA): SDFs के लिए नियमित DPIA करना अनिवार्य होगा
• स्वतंत्र ऑडिट (Independent Audit): उन्हें अपने डेटा सुरक्षा प्रणालियों का स्वतंत्र ऑडिट कराना होगा
• डेटा संरक्षण अधिकारी की नियुक्ति: एक विशिष्ट डेटा संरक्षण अधिकारी (DPO) की नियुक्ति अनिवार्य है।

डेटा संरक्षण बोर्ड (DPB) का गठन :

• डिजिटल संचालन: DPB एक पूर्णतः डिजिटल कार्यालय (Digital Office) के रूप में कार्य करेगा।
• ऑनलाइन शिकायत: नागरिक एक समर्पित डिजिटल प्लेटफॉर्म और मोबाइल ऐप के माध्यम से शिकायत दर्ज करा सकेंगे और अपने मामलों को ट्रैक कर सकेंगे, जिससे प्रक्रिया में पारदर्शिता और दक्षता आएगी।

क्रियान्वयन की समयरेखा (Implementation Timeline) :

• तत्काल प्रभावी (Immediate Effect): DPB का गठन और अपील की प्रक्रिया से संबंधित नियम तत्काल प्रभाव से लागू हो गए हैं।
• 12 महीने बाद (नवंबर 2026): सहमति प्रबंधकों का पंजीकरण और दायित्व लागू होंगे।
• 18 महीने बाद (मई 2027): सहमति, नोटिस, डेटा उल्लंघन की रिपोर्टिंग और अन्य मुख्य दायित्वों से संबंधित प्रावधान लागू होंगे।

DPDP अधिनियम, 2023: मुख्य बातें

परिभाषा/मुख्य बिंदु:

• पारित: संसद द्वारा 11 अगस्त, 2023 को।
• उद्देश्य: भारत में डिजिटल व्यक्तिगत डेटा की सुरक्षा के लिए एक संपूर्ण ढाँचा तैयार करना।
• आधार: निजता को मौलिक अधिकार मानने वाले पुट्टस्वामी निर्णय के अनुरूप

DPDP अधिनियम, 2023 के तहत जुर्माना :

• DPDP अधिनियम, डेटा फ़िड्युसरी द्वारा अनुपालन न करने पर भारी वित्तीय जुर्माना लगाता है।
• उचित सुरक्षा उपाय न बनाए रखने पर डेटा फ़िड्युसरी द्वारा अधिकतम ₹ 250 करोड़ रुपए तक का जुर्माना लगाया जा सकता है।
• व्यक्तिगत डेटा उल्लंघन के बारे में बोर्ड या प्रभावित व्यक्तियों को सूचित न करने और बच्चों से संबंधित दायित्वों के उल्लंघन पर, प्रत्येक पर 200 करोड़ रुपए तक का जुर्माना लगाया जा सकता है ।
• डेटा फ़िड्युसरी द्वारा अधिनियम या नियमों का कोई अन्य उल्लंघन करने पर 50 करोड़ रुपए तक का जुर्माना लगाया जा सकता है।