उपयोग और बुनियादी नियम: भारत के नए डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम के अंदर

एक नया कानून जो परिभाषित करता है कि कंपनियों को उपयोगकर्ताओं के डेटा को कैसे संसाधित करना चाहिए, राष्ट्रपति द्वारा हाल ही में संपन्न मानसून सत्र में संसद द्वारा पारित डिजिटल व्यक्तिगत डेटा संरक्षण (डीपीडीपी) अधिनियम को मंजूरी देने के साथ लागू हुआ।

यह कानून व्यक्तियों को अपने डेटा पर अधिक नियंत्रण प्रदान करता है, जबकि कंपनियों को अधिसूचना के माध्यम से केंद्र द्वारा प्रतिबंधित देशों और क्षेत्रों को छोड़कर, उपयोगकर्ताओं के डेटा को प्रसंस्करण के लिए विदेश में स्थानांतरित करने की अनुमति देता है।

यह सरकार को कंपनियों से जानकारी मांगने और सामग्री को ब्लॉक करने के निर्देश जारी करने की शक्ति भी देता है। जबकि नया कानून डिजिटल क्षेत्र में व्यक्तिगत डेटा की सुरक्षा के लिए एक मजबूत ढांचा स्थापित करने का प्रयास करता है, इसने राज्य संस्थाओं को दी गई व्यापक छूट और सूचना के अधिकार (आरटीआई) कानून को कमजोर करने वाले इसके कुछ प्रावधानों की कुछ तिमाहियों से आलोचना की है। .

नया कानून सरकार द्वारा पिछले साल 11 दिसंबर, 2019 के उस विधेयक को वापस लेने के बाद आया है, जिसने सीमा पार डेटा प्रवाह पर कड़े प्रतिबंधों के प्रस्तावों के साथ फेसबुक और Google जैसी तकनीकी कंपनियों को चिंतित कर दिया था।

यहां हाल ही में बनाए गए ऐतिहासिक कानून के मुख्य अंश दिए गए हैं:

डेटा प्रत्ययी के दायित्व

डेटा फ़िडुशियरी, जो व्यक्तिगत डेटा एकत्र करने और संसाधित करने वाली संस्थाएं हैं, को अपने डेटा को संसाधित करने से पहले व्यक्तियों से मुफ्त, सूचित और बिना शर्त सहमति प्राप्त करना आवश्यक है। डेटा को तब हटा देना चाहिए जब उसका उद्देश्य पूरा हो जाए या सहमति वापस ले ली जाए। डेटा उल्लंघन को रोकने के लिए संस्थाओं को उचित सुरक्षा उपाय अपनाकर अपने पास मौजूद व्यक्तिगत डेटा की रक्षा करनी चाहिए और डेटा उल्लंघन होने पर भारतीय डेटा संरक्षण बोर्ड और प्रभावित व्यक्तियों को सचेत करना चाहिए।

एक डेटा फ़िडुशियरी को एक डेटा सुरक्षा अधिकारी या एक व्यक्ति की संपर्क जानकारी प्रकाशित करनी होगी जो व्यक्तिगत डेटा के प्रसंस्करण के बारे में सवालों के जवाब देगा। डेटा फ़िडुशियरी को एक प्रभावी शिकायत निवारण तंत्र स्थापित करना होगा।

व्यक्तियों के अधिकार और उत्तरदायित्व

व्यक्तियों को उनके बारे में एकत्र किए गए व्यक्तिगत डेटा तक पहुंचने और यह जानने का अधिकार है कि इसे किसके साथ साझा किया गया है। वे अपने व्यक्तिगत डेटा को हटाने, सुधार या अद्यतन करने का अनुरोध कर सकते हैं। शिकायत के मामले में, वे डेटा फ़िडुशियरीज़ द्वारा स्थापित ऐसे तंत्र से संपर्क कर सकते हैं। हालाँकि, अधिकार कुछ कर्तव्यों के साथ आते हैं। वे व्यक्तिगत डेटा प्रदान करते समय किसी अन्य व्यक्ति का प्रतिरूपण नहीं कर सकते, झूठी शिकायत दर्ज नहीं कर सकते, या महत्वपूर्ण जानकारी को दबा नहीं सकते। कर्तव्यों का उल्लंघन करने पर 10,000 रुपये तक का जुर्माना हो सकता है।

विशेष प्रावधान

सरकार सुरक्षा और संप्रभुता कारणों से कुछ देशों में व्यक्तिगत डेटा के हस्तांतरण को प्रतिबंधित कर सकती है। यह स्टार्टअप सहित कुछ निश्चित वर्गों के प्रत्ययी लोगों को विशिष्ट प्रावधानों के अनुपालन से छूट भी दे सकता है।

सरकार की शक्तियाँ

सरकार डेटा प्रोटेक्शन बोर्ड की सिफारिश के आधार पर सुनवाई के बाद डेटा फिड्यूशरी को ब्लॉक करने का आदेश दे सकती है। कानूनी कार्यवाही से छूट केंद्र सरकार, बोर्ड, उसके अध्यक्ष और सदस्यों तक बढ़ा दी गई है। बोर्ड के निर्णय अब टीडीसैट के समक्ष अपील योग्य हैं।

समयसीमा

लोकसभा ने 7 अगस्त को और राज्यसभा ने 9 अगस्त को विधेयक को मंजूरी दे दी, जिससे संसदीय अनुमोदन प्रक्रिया पूरी हो गई। आईटी मंत्री अश्विनी वैष्णव ने कहा था कि सरकार को 10 महीने के भीतर डीपीडीपी लागू करने की उम्मीद है। सरकार द्वारा 3 अगस्त, 2022 को लोकसभा से डेटा संरक्षण विधेयक के पिछले संस्करण को वापस लेने के बाद, मसौदा विधेयक को सार्वजनिक टिप्पणियों के लिए नवंबर 2022 में प्रसारित किया गया था।

प्रयोज्यता

व्यक्तिगत डेटा को किसी व्यक्ति के बारे में डेटा के रूप में परिभाषित किया गया है। मानदंड भारत में व्यक्तियों से डिजिटल रूप में एकत्र किए गए व्यक्तिगत डेटा और ऑफ़लाइन एकत्र किए गए लेकिन बाद में डिजिटल किए गए व्यक्तिगत डेटा पर लागू होंगे। यह भारत के बाहर प्रसंस्करण पर भी लागू होगा, यदि इसका संबंध भारत में व्यक्तियों को सामान या सेवाएं प्रदान करने से है। यह अधिनियम किसी घरेलू उद्देश्य के लिए किसी व्यक्ति द्वारा संसाधित किए गए व्यक्तिगत डेटा पर लागू नहीं होता है, न ही किसी व्यक्ति द्वारा सार्वजनिक रूप से उपलब्ध कराए गए व्यक्तिगत डेटा पर लागू होता है।

व्यक्तिगत डेटा का प्रसंस्करण

प्रसंस्करण का अर्थ है डिजिटल व्यक्तिगत डेटा से संबंधित गतिविधियाँ, जिनमें संग्रह, भंडारण, अनुक्रमण, साझा करना, उपयोग, प्रकटीकरण, प्रसार और यहां तक कि मिटाना भी शामिल है। व्यक्तिगत डेटा को केवल वैध उद्देश्य के लिए संसाधित किया जा सकता है जिसके लिए किसी व्यक्ति ने सहमति दी है और कुछ वैध उपयोगों के लिए। सहमति के लिए, डेटा फिड्यूशियरी (डेटा का उपयोग करने वाली इकाई) द्वारा डेटा प्रिंसिपल (व्यक्तिगत) को डेटा और संसाधित किए जाने वाले उद्देश्य का वर्णन करते हुए नोटिस देना होगा, साथ ही वह तरीका भी बताना होगा जिसमें व्यक्ति डेटा सुरक्षा बोर्ड को शिकायत कर सकता है।

सहमति

व्यक्तियों की सहमति स्वतंत्र, स्पष्ट और स्पष्ट सकारात्मक कार्रवाई होनी चाहिए, जो केवल निर्दिष्ट उद्देश्य के लिए व्यक्तिगत डेटा के प्रसंस्करण के लिए सहमत हो। इसका मतलब यह है कि भले ही सहमति अन्य उद्देश्यों के लिए हो, जैसे कि जहां एक टेलीमेडिसिन ऐप उपयोगकर्ताओं की संपर्क सूची तक पहुंच चाहता है, सहमति को केवल एकत्र किए जा रहे डेटा (टेलीमेडिसिन सेवाओं) के वास्तविक उद्देश्य तक ही सीमित माना जाएगा। सहमति किसी भी समय वापस ली जा सकती है।

के व्यक्तिगत डेटा का प्रसंस्करण