डेटा उपयोग और बुनियादी नियम: भारत के नए डिजिटल व्यक्तिगत डेटा संरक्षण ढांचे के अंदर

नई दिल्ली: एक नया कानून जो परिभाषित करता है कि कंपनियों को उपयोगकर्ताओं के डेटा को कैसे संसाधित करना चाहिए, राष्ट्रपति द्वारा हाल ही में संपन्न मानसून सत्र में संसद द्वारा पारित डिजिटल व्यक्तिगत डेटा संरक्षण (डीपीडीपी) अधिनियम को मंजूरी देने के साथ लागू हुआ।

यह कानून व्यक्तियों को अपने डेटा पर अधिक नियंत्रण प्रदान करता है, जबकि कंपनियों को अधिसूचना के माध्यम से केंद्र द्वारा प्रतिबंधित देशों और क्षेत्रों को छोड़कर, उपयोगकर्ताओं के डेटा को प्रसंस्करण के लिए विदेश में स्थानांतरित करने की अनुमति देता है।

यह सरकार को कंपनियों से जानकारी मांगने और सामग्री को ब्लॉक करने के निर्देश जारी करने की शक्ति भी देता है।

जबकि नया कानून डिजिटल क्षेत्र में व्यक्तिगत डेटा की सुरक्षा के लिए एक मजबूत ढांचा स्थापित करने का प्रयास करता है, इसने राज्य संस्थाओं को दी गई व्यापक छूट और सूचना के अधिकार (आरटीआई) कानून को कमजोर करने वाले इसके कुछ प्रावधानों की आलोचना की है।

नया कानून सरकार द्वारा पिछले साल 11 दिसंबर, 2019 के उस विधेयक को वापस लेने के बाद आया है, जिसने सीमा पार डेटा प्रवाह पर कड़े प्रतिबंधों के प्रस्तावों के साथ फेसबुक और Google जैसी तकनीकी कंपनियों को चिंतित कर दिया था।

यहां हाल ही में बनाए गए ऐतिहासिक कानून के मुख्य अंश दिए गए हैं:

डेटा फ़िडुशियरी के दायित्व: डेटा फ़िडुशियरी, जो व्यक्तिगत डेटा एकत्र करने और संसाधित करने वाली संस्थाएं हैं, को अपने डेटा को संसाधित करने से पहले व्यक्तियों से मुफ्त, सूचित और बिना शर्त सहमति प्राप्त करना आवश्यक है।

डेटा को तब हटा देना चाहिए जब उसका उद्देश्य पूरा हो जाए या सहमति वापस ले ली जाए।

डेटा उल्लंघन को रोकने के लिए संस्थाओं को उचित सुरक्षा उपाय अपनाकर अपने पास मौजूद व्यक्तिगत डेटा की रक्षा करनी चाहिए और डेटा उल्लंघन होने पर भारतीय डेटा संरक्षण बोर्ड और प्रभावित व्यक्तियों को सचेत करना चाहिए।

एक डेटा फ़िडुशियरी को एक डेटा सुरक्षा अधिकारी या एक व्यक्ति की संपर्क जानकारी प्रकाशित करनी होगी जो व्यक्तिगत डेटा के प्रसंस्करण के बारे में सवालों के जवाब देगा।

डेटा फ़िडुशियरी को एक प्रभावी शिकायत निवारण तंत्र स्थापित करना होगा।

व्यक्तियों के अधिकार और उत्तरदायित्व: व्यक्तियों को उनके बारे में एकत्र किए गए व्यक्तिगत डेटा तक पहुंचने और यह जानने का अधिकार है कि इसे किसके साथ साझा किया गया है।

वे अपने व्यक्तिगत डेटा को हटाने, सुधार या अद्यतन करने का अनुरोध कर सकते हैं।

शिकायत के मामले में, वे डेटा फ़िडुशियरीज़ द्वारा स्थापित ऐसे तंत्र से संपर्क कर सकते हैं।

हालाँकि, अधिकार कुछ कर्तव्यों के साथ आते हैं।

वे व्यक्तिगत डेटा प्रदान करते समय किसी अन्य व्यक्ति का प्रतिरूपण नहीं कर सकते, झूठी शिकायत दर्ज नहीं कर सकते, या महत्वपूर्ण जानकारी को दबा नहीं सकते।

कर्तव्यों का उल्लंघन करने पर 10,000 रुपये तक का जुर्माना हो सकता है।

विशेष प्रावधान: सरकार सुरक्षा और संप्रभुता कारणों से कुछ देशों में व्यक्तिगत डेटा के हस्तांतरण को प्रतिबंधित कर सकती है।

यह स्टार्टअप सहित कुछ निश्चित वर्गों के प्रत्ययी लोगों को विशिष्ट प्रावधानों के अनुपालन से छूट भी दे सकता है।

सरकार की शक्तियां: सरकार डेटा प्रोटेक्शन बोर्ड की सिफारिश के आधार पर सुनवाई के बाद डेटा फिड्यूशरी को ब्लॉक करने का आदेश दे सकती है।

कानूनी कार्यवाही से छूट केंद्र सरकार, बोर्ड, उसके अध्यक्ष और सदस्यों तक बढ़ा दी गई है।

बोर्ड के निर्णयों के खिलाफ अब पहले अपील की जा सकती है।

टीडीसैट समयसीमा: लोकसभा ने 7 अगस्त को और राज्यसभा ने 9 अगस्त को विधेयक को मंजूरी दे दी, जिससे संसदीय अनुमोदन प्रक्रिया पूरी हो गई।

आईटी मंत्री अश्विनी वैष्णव ने कहा था कि सरकार को 10 महीने के भीतर डीपीडीपी लागू करने की उम्मीद है।

सरकार द्वारा 3 अगस्त, 2022 को लोकसभा से डेटा संरक्षण विधेयक के पिछले संस्करण को वापस लेने के बाद, मसौदा विधेयक को सार्वजनिक टिप्पणियों के लिए नवंबर 2022 में प्रसारित किया गया था।

प्रयोज्यता: व्यक्तिगत डेटा को किसी व्यक्ति के बारे में डेटा के रूप में परिभाषित किया गया है।

मानदंड भारत में व्यक्तियों से डिजिटल रूप में एकत्र किए गए व्यक्तिगत डेटा और ऑफ़लाइन एकत्र किए गए लेकिन बाद में डिजिटल किए गए व्यक्तिगत डेटा पर लागू होंगे।

यह भारत के बाहर प्रसंस्करण पर भी लागू होगा, यदि इसका संबंध भारत में व्यक्तियों को सामान या सेवाएं प्रदान करने से है।

यह अधिनियम किसी घरेलू उद्देश्य के लिए किसी व्यक्ति द्वारा संसाधित किए गए व्यक्तिगत डेटा पर लागू नहीं होता है, न ही किसी व्यक्ति द्वारा सार्वजनिक रूप से उपलब्ध कराए गए व्यक्तिगत डेटा पर लागू होता है।

व्यक्तिगत डेटा का प्रसंस्करण: प्रसंस्करण का अर्थ है डिजिटल व्यक्तिगत डेटा से संबंधित गतिविधियाँ, जिनमें संग्रह, भंडारण, अनुक्रमण, साझा करना, उपयोग, प्रकटीकरण, प्रसार और यहां तक कि मिटाना भी शामिल है।

व्यक्तिगत डेटा को केवल वैध उद्देश्य के लिए संसाधित किया जा सकता है जिसके लिए किसी व्यक्ति ने सहमति दी है और कुछ वैध उपयोगों के लिए।

सहमति के लिए, डेटा फिड्यूशियरी (डेटा का उपयोग करने वाली इकाई) द्वारा डेटा प्रिंसिपल (व्यक्तिगत) को डेटा और संसाधित किए जाने वाले उद्देश्य का वर्णन करते हुए नोटिस देना होगा, साथ ही वह तरीका भी बताना होगा जिसमें व्यक्ति डेटा सुरक्षा बोर्ड को शिकायत कर सकता है।

सहमति: व्यक्तियों की सहमति स्वतंत्र, स्पष्ट और स्पष्ट सकारात्मक कार्रवाई होनी चाहिए, जो केवल निर्दिष्ट उद्देश्य के लिए व्यक्तिगत डेटा के प्रसंस्करण के लिए सहमत हो।

इसका मतलब यह है कि भले ही सहमति अन्य उद्देश्यों के लिए हो, जैसे कि जहां एक टेलीमेडिसिन ऐप उपयोगकर्ताओं की संपर्क सूची तक पहुंच चाहता है, सहमति को केवल एकत्र किए जा रहे डेटा (टेलीमेडिसिन सेवाओं) के वास्तविक उद्देश्य तक ही सीमित माना जाएगा।

सहमति किसी भी समय वापस ली जा सकती है।

बच्चों के व्यक्तिगत डेटा का प्रसंस्करण: डीपीडीपी बच्चों के डेटा के प्रसंस्करण के लिए माता-पिता की सहमति को अनिवार्य करता है।

डेटा एकत्र करने वाली संस्थाएं व्यक्तिगत डेटा का प्रसंस्करण नहीं कर सकती हैं जिससे बच्चे की भलाई पर हानिकारक प्रभाव पड़ने की संभावना हो, न ही वे बच्चों की ट्रैकिंग या व्यवहार की निगरानी या बच्चों पर लक्षित विज्ञापन का कार्य कर सकती हैं।

यह एक बच्चे को ऐसे व्यक्ति के रूप में परिभाषित करता है जिसने 18 वर्ष की आयु पूरी नहीं की है।

हालाँकि, सरकार कुछ संस्थाओं के लिए सहमति की उम्र कम कर सकती है यदि वे संतुष्ट हैं कि वे बच्चों के डेटा को 'सत्यापित रूप से सुरक्षित' तरीके से संसाधित करते हैं।

छूट: छूट उन मामलों में लागू होती है जहां अपराधों की रोकथाम और जांच, कानूनी अधिकारों या दावों को लागू करने, विलय या समामेलन और वित्तीय धोखाधड़ी का पता लगाने के लिए व्यक्तिगत डेटा के प्रसंस्करण की आवश्यकता होती है।

केंद्र राज्य की संप्रभुता, अखंडता और सुरक्षा के हित में या सार्वजनिक व्यवस्था के लिए सरकारी संस्थाओं को कानून लागू करने से छूट दे सकता है।

भारतीय डेटा संरक्षण बोर्ड: अधिनियम में भारतीय डेटा संरक्षण बोर्ड की स्थापना की परिकल्पना की गई है, जिसका काम अनुपालन की निगरानी करना, उल्लंघनों की जांच करना और जुर्माना लगाना और डेटा उल्लंघन के मामले में उपचारात्मक या शमन उपायों का निर्देश देना है।

दंड: प्रावधान अलग-अलग अपराधों के लिए अलग-अलग दंड निर्धारित करते हैं - डेटा उल्लंघनों को रोकने के लिए उचित सुरक्षा उपाय करने में विफलता पर 250 करोड़ रुपये तक का जुर्माना लगता है, जबकि बोर्ड और व्यक्तियों को डेटा उल्लंघन की सूचना देने के दायित्वों को पूरा न करने पर जुर्माना लगाया जाता है। से 200 करोड़ रु.

बच्चों के संबंध में अतिरिक्त दायित्वों का पालन न करने पर जुर्माना 200 करोड़ रुपये तक है।

आलोचना: इंटरनेट फ्रीडम फाउंडेशन के अनुसार, नया कानून गोपनीयता सुरक्षा पर डेटा प्रोसेसिंग को प्राथमिकता देता प्रतीत होता है, जो व्यक्तियों के अधिकारों की सुरक्षा के मूल इरादे के विपरीत है।

इसके अलावा, राज्य संस्थाओं को दी गई व्यापक छूट चिंता का विषय है।

कानून में "व्यापक निगरानी" के खिलाफ कोई सार्थक सुरक्षा उपाय नहीं हैं।

जबकि विपक्षी सांसदों और डिजिटल विशेषज्ञों का कहना है कि कानून सरकार और उसकी एजेंसियों को उनकी सहमति के बिना कंपनियों के उपयोगकर्ता डेटा और व्यक्तियों के व्यक्तिगत डेटा तक पहुंचने की अनुमति देगा, एडिटर्स गिल्ड ऑफ इंडिया का कहना है कि यह प्रेस की स्वतंत्रता को प्रभावित करता है, नागरिकों की निगरानी के लिए एक सक्षम ढांचा तैयार करता है। इसमें पत्रकारों और उनके स्रोतों को भी शामिल किया गया है, और सूचना का अधिकार कानून को कमजोर किया गया है।