Data Privacy Law: संसद में भारत के पहले डेटा गोपनीयता कानून के पारित होने के दो साल से भी ज़्यादा समय बाद, इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (Meity) ने शुक्रवार को डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) अधिनियम, 2023 के तहत नियमों और चार सदस्यीय डेटा संरक्षण बोर्ड को अधिसूचित करके इसे लागू कर दिया।
कानून को ज़मीनी स्तर पर लागू करने के लिए दिया समय
डेटा गोपनीयता कानून के तहत, Meity ने कंपनियों को कानून को ज़मीनी स्तर पर लागू करने के लिए 12 से 18 महीने का समय दिया है। विशेष रूप से, कंपनियों को सहमति प्रबंधकों की नियुक्ति के लिए 14 नवंबर 2026 तक एक साल का समय मिलेगा – जो व्यावसायिक उद्देश्यों के लिए उपयोगकर्ताओं के व्यक्तिगत डेटा के लिए सहमति लेने वाले सोशल मीडिया प्लेटफ़ॉर्म के लिए ज़िम्मेदार नोडल प्राधिकरण व्यक्ति होंगे।
“बिना किसी देरी” सूचना देनी होगी
अन्य मामलों में, कंपनियों के पास एक ऐसी व्यवस्था लागू करने के लिए 18 महीने का समय होगा जिसके तहत उन्हें लक्षित विज्ञापनों जैसे व्यावसायिक उद्देश्यों के लिए उपयोगकर्ताओं के डेटा का उपयोग करने से पहले उनसे स्पष्ट अनुमति लेनी होगी। कंपनियों को डेटा उल्लंघन की स्थिति में 72 घंटों के भीतर नए अधिसूचित डेटा संरक्षण बोर्ड को सूचित करना होगा, और स्वयं उपयोगकर्ताओं को भी “बिना किसी देरी” के इसकी सूचना देनी होगी।
18 वर्ष से कम आयु के उपयोगकर्ताओं को लेनी होगी सहमति
प्रत्येक सोशल मीडिया प्लेटफ़ॉर्म और उपयोगकर्ता डेटा को संभालने वाले अन्य पक्षों को भी अगले 18 महीनों के भीतर एक डेटा सुरक्षा अधिकारी नियुक्त करना होगा। इसके अलावा, कंपनियों को 18 वर्ष से कम आयु के उपयोगकर्ताओं के व्यक्तिगत डेटा का उपयोग करने से पहले “सत्यापन योग्य” माता-पिता की सहमति लेनी होगी। हालाँकि, नाबालिगों की सुरक्षा को ध्यान में रखते हुए, व्यक्तिगत डेटा के उपयोग के संबंध में कुछ छूट दी गई हैं, जैसे कि बच्चे का वास्तविक समय स्थान।
डीपीडीपी अधिनियम के मसौदा नियमों के जारी होने के समय से ही उद्योग के हितधारकों की यह एक प्रमुख मांग थी।
नियम 15 के तहत, डीपीडीपी नियमों ने व्यक्तिगत डेटा को अन्य देशों में स्थानांतरित करने के लिए ब्लैकलिस्टिंग दृष्टिकोण अपनाया है, जिसमें कहा गया है कि अन्य देशों में संग्रहीत व्यक्तिगत डेटा डिफ़ॉल्ट रूप से स्वीकार्य है, जब तक कि केंद्र की अधिसूचनाओं के माध्यम से विशिष्ट देशों को ब्लैकलिस्ट नहीं किया जाता है।
हालाँकि, नियम 13(4) में निर्दिष्ट किया गया है कि भारत के बाहर व्यक्तिगत डेटा के भंडारण को प्रतिबंधित किया जा सकता है यदि एक विशेष समिति द्वारा ऐसा परिभाषित किया जाता है, जिसमें इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय के सदस्यों के साथ-साथ अन्य मंत्रालय और सरकारी विभाग भी शामिल होंगे।
उद्योग हितधारकों ने किया स्वागत
प्रारंभिक निरीक्षण पर उद्योग हितधारकों ने बड़े पैमाने पर मसौदे का स्वागत किया। नीति परामर्श फर्म, द क्वांटम हब की संस्थापक भागीदार अपराजिता भारती ने कहा, “डीपीडीपी नियम कंपनियों को शर्तों में स्पष्टता प्रदान करते हैं, जैसे कि गोपनीयता नियमों को लागू करने की समय-सीमा निर्धारित करना। बच्चों के लिए सुरक्षा सुविधाएँ प्रदान करने हेतु कम उम्र के व्यक्तिगत डेटा के उपयोग से छूट को स्पष्ट करना भी महत्वपूर्ण था—जैसे कि माता-पिता द्वारा लोकेशन ट्रैक करने के लिए उपयोग किए जाने वाले एप्लिकेशन, यह सुनिश्चित करना कि बच्चे उम्र के अनुसार सामग्री और विज्ञापन देखें, आदि। इन सुविधाओं के अधिसूचित होने के साथ, केंद्र ने उद्योग की एक प्रमुख माँग का स्पष्ट रूप से जवाब दिया है।”
डेटा सुरक्षा बोर्ड को भी शुक्रवार को अधिसूचित किया गया, जो 14 नवंबर से ही लागू हो रहा है। बोर्ड के अध्यक्ष को राजपत्र में अधिसूचित ₹4.5 लाख प्रति माह का पारिश्रमिक दिया जाएगा, जबकि अन्य तीन सदस्यों को ₹4 लाख प्रति माह का भुगतान किया जाएगा।
(एजेंसी इनपुट के साथ)