डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) नियम, 2025

• RTI अधिनियम संशोधन तत्काल प्रभाव से लागू- DPDP अधिनियम की धारा 44(3)
  • धारा 44(3): यह RTI अधिनियम की धारा 8(1)(j) में संशोधन करता है, जिससे प्रकट की जा सकने वाली सूचनाओं का दायरा सीमित हो जाता है।
  • छूट: सरकार और उसकी एजेंसियों को सब्सिडी तथा लाभ प्रदान करने के उद्देश्य से डेटा से संबंधित कुछ अनुपालनों से छूट दी गई है। ‘सांख्यिकीय’ उद्देश्यों के लिए एकत्रित डेटा भी छूट प्राप्त है।
• भारतीय डेटा संरक्षण बोर्ड (DPBI) का कानूनी रूप से गठन और 4 सदस्यीय संरचना अधिसूचित
  • केंद्र सरकार ने DPBI की स्थापना की है, जिसके प्रमुख कार्य अनुपालन की निगरानी, ​​दंड लगाना, डेटा उल्लंघनों की स्थिति में डेटा न्यासियों को निर्देश देना और शिकायतों की सुनवाई करना है।
  • DPBI, इस अधिनियम के कार्यान्वयन की देख-रेख करेगा और इलेक्ट्रॉनिक्स तथा सूचना प्रौद्योगिकी मंत्रालय का एक अधीनस्थ कार्यालय होगा।
  • इस निकाय में चार सदस्य होंगे।
  • सुनवाई और प्रक्रियाएँ मुख्यतः डिजिटल होंगी।
  • बोर्ड के सदस्यों की नियुक्ति दो वर्षों के लिए की जाएगी और वे पुनर्नियुक्ति के पात्र होंगे।
  • निर्णयों के विरुद्ध अपील दूरसंचार विवाद निपटान और अपीलीय न्यायाधिकरण में की जा सकेगी।

• सभी संगठनों के लिए मुख्य परिचालन दायित्व: नियमों के अनुसार, प्रत्येक डेटा फिड्यूशरी (वे संस्थाएँ जो यह तय करती हैं कि आपके डेटा को कैसे संसाधित किया जाए) को डेटा ब्रीच (डेटा उल्लंघन) को रोकने के लिए उचित सुरक्षा उपाय लागू करने होंगे। इसमें शामिल हैं:-
  • व्यक्तिगत डेटा का एन्क्रिप्शन, मास्किंग, टोकनाइजेशन। व्यक्तिगत डेटा का प्रबंधन करने वाली प्रणालियों के लिए कठोर पहुँच नियंत्रण।
  • अनधिकृत पहुँच का पता लगाने के लिए लॉगिंग और निगरानी।
  • किसी व्यवधान या उल्लंघन के बाद निरंतरता सुनिश्चित करने के लिए डेटा बैकअप।
  • डेटा प्रोसेसर के साथ अनुबंधों में अनिवार्य सुरक्षा खंड।
• डेटा फिड्युशरी को अपने डेटा सुरक्षा अधिकारी (DPO) का विवरण प्रकाशित करना होगा।
• सहमति प्रबंधक: DPDP नियम, 2025 के कार्यान्वयन की निगरानी के लिए सहमति प्रबंधक को पंजीकृत किया जाना चाहिए।
  • उपयोगकर्ता सहमति के प्रबंधन के लिए जिम्मेदार संस्थाओं को सटीक सत्यापन सुनिश्चित करना होगा और उपयोगकर्ताओं को सहमति वापस लेने की व्यवस्था प्रदान करनी होगी। उन्हें उन सभी उपयोगकर्ताओं का विस्तृत रिकॉर्ड भी रखना होगा, जिन्होंने सहमति दी है या वापस ली है।
• डेटा उल्लंघन की सूचना: डेटा उल्लंघन की स्थिति में, डेटा न्यासियों को प्रभावित उपयोगकर्ताओं को तुरंत सूचित करना चाहिए तथा यह बताना चाहिए कि क्या हुआ, संभावित जोखिम क्या हैं, क्या कदम उठाए गए तथा किससे संपर्क करना है।
  • उन्हें 72 घंटों के भीतर डेटा संरक्षण बोर्ड को भी सूचित करना होगा।
• सत्यापन योग्य अभिभावकीय सहमति: यह सुनिश्चित करने के लिए उपयुक्त तकनीकी और संगठनात्मक उपाय अपनाए जाएँगे कि बच्चे के किसी भी व्यक्तिगत डेटा के प्रसंस्करण से पहले अभिभावकीय सहमति प्राप्त कर ली जाए।
  • डेटा फिड्युशरीज को स्वेच्छा से प्रदान की गई पहचान और आयु संबंधी जानकारी या उससे संबंधित एक वर्चुअल टोकन पर निर्भर रहना होगा, जो कानून द्वारा सौंपी गई संस्था द्वारा जारी किया जाता है।
• उपयोगकर्ता अधिकार प्रक्रियाओं के अनुपालन की शुरुआत
  • DPDP ढाँचा व्यक्तियों को अपने व्यक्तिगत डेटा तक पहुँचने, उसे सही करने, अपडेट करने या मिटाने तथा उनकी ओर से इन अधिकारों का प्रयोग करने के लिए किसी अन्य व्यक्ति को नामित करने के अधिकारों को सुदृढ़ करता है। 

• महत्त्वपूर्ण डेटा फिड्यूशरीज (बड़ी तकनीकी कंपनियाँ) के लिए पूर्ण अनुपालन: स्वतंत्र ऑडिट, डेटा सुरक्षा प्रभाव आकलन, जोखिम-आधारित उचित परिश्रम।
• डेटा संग्रहण: डेटा को एक वर्ष से अधिक समय तक संगृहीत नहीं किया जाना चाहिए, जब तक कि कानून के तहत अनुपालन के लिए आवश्यक न हो।
  • अकाउंट/प्लेटफॉर्म के निरंतर उपयोग पर रोक लगाते हुए व्यक्तिगत डेटा को मिटाने से 48 घंटे पहले उपयोगकर्ताओं को सूचित किया जाना चाहिए।
• DPBI शिकायत-निपटान और दंड कार्यप्रवाह का पूर्ण सक्रियण।
• • दंड और प्रवर्तन: डेटा संरक्षण नियमों का पालन न करने पर 250 करोड़ रुपये तक का जुर्माना हो सकता है तथा बार-बार उल्लंघन करने वालों के लाइसेंस निलंबित या रद्द किए जा सकते हैं।
• डेटा स्थानीयकरण: इस प्रावधान के अनुसार, कुछ व्यक्तिगत डेटा भारत में ही संगृहीत किया जाना चाहिए और उसे विदेश में स्थानांतरित नहीं किया जा सकता है।
  • एक सरकारी समिति यह निर्धारित करेगी कि किस प्रकार के डेटा (जैसे- स्वास्थ्य या वित्तीय डेटा) को देश के बाहर स्थानांतरित नहीं किया जा सकता है।
• मूल्यांकन और लेखा परीक्षा: महत्त्वपूर्ण डेटा न्यासियों को इस अधिनियम के प्रावधानों का प्रभावी पालन सुनिश्चित करने के लिए समय-समय पर ‘डेटा संरक्षण प्रभाव मूल्यांकन’ और लेखा परीक्षा करनी होगी।

DPDP अधिनियम, 2023 की संक्षिप्त पृष्ठभूमि

• वर्ष 2017 में सर्वोच्च न्यायालय का गोपनीयता पर निर्णय (के.एस. पुट्टास्वामी मामला): सर्वोच्च न्यायालय ने सर्वसम्मति से माना कि अनुच्छेद-21 के अंतर्गत निजता का अधिकार एक मौलिक अधिकार है।
  • न्यायालय ने सरकार को भारत के लिए एक व्यापक डेटा सुरक्षा ढाँचा तैयार करने का निर्देश दिया।
• वर्ष 2017 में न्यायमूर्ति बी.एन. श्रीकृष्ण समिति का गठन: सरकार ने डेटा सुरक्षा मुद्दों का अध्ययन करने और एक आधुनिक गोपनीयता कानून का मसौदा तैयार करने के लिए न्यायमूर्ति बी.एन. श्रीकृष्ण समिति का गठन किया।
  • इस समिति ने अपनी रिपोर्ट, ‘एक स्वतंत्र और निष्पक्ष डिजिटल अर्थव्यवस्था’, के साथ-साथ व्यक्तिगत डेटा संरक्षण विधेयक, 2018 का मसौदा भी प्रस्तुत किया।
• वर्ष 2019 में व्यक्तिगत डेटा संरक्षण विधेयक संसद में प्रस्तुत किया गया: समिति की सिफारिशों के आधार पर, व्यक्तिगत डेटा संरक्षण विधेयक, 2019 प्रस्तुत किया गया।
  • इसे विस्तृत समीक्षा के लिए संयुक्त संसदीय समिति (JPC) को भेजा गया।
  • JPC ने अगले दो वर्षों में कई बदलावों का सुझाव दिया।
• वर्ष 2022 में विधेयक वापस लिया गया; नया मसौदा जारी किया गया: अगस्त 2022 में, भारत सरकार ने एक सरल और अधिक व्यावहारिक ढाँचा बनाने के लिए वर्ष 2019 के विधेयक को वापस ले लिया।
  • केंद्रीय इलेक्ट्रॉनिक्स एवं सूचना प्रौद्योगिकी मंत्रालय ने उद्योग, नागरिक समाज और संस्थानों से प्रतिक्रिया प्राप्त करते हुए, सार्वजनिक परामर्श के लिए डिजिटल व्यक्तिगत डेटा संरक्षण विधेयक, 2022 का मसौदा प्रकाशित किया।
• वर्ष 2023 का DPDP अधिनियम का अधिनियमन: वर्ष 2022 के मसौदे का एक परिष्कृत संस्करण संसद में प्रस्तुत किया गया और 11 अगस्त, 2023 को पारित किया गया।
  • डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 भारत का पहला समर्पित डिजिटल गोपनीयता कानून बन गया, जिसमें निम्नलिखित स्थापित किए गए:-
    • व्यक्तियों के अधिकार (डेटा प्रिंसिपल)
    • डेटा सँभालने वाली संस्थाओं के दायित्व (डेटा फिड्यूशरीज)
    • अनुपालन न करने पर दंड
    • डेटा संरक्षण बोर्ड का ढाँचा
    • सहमति, उद्देश्य सीमा, सुरक्षा उपाय और जवाबदेही के नियम।

डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 के बारे में

• वर्ष 2023 में, भारत ने व्यक्तिगत डेटा की सुरक्षा के लिए डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम लागू किया।
• यह अधिनियम डिजिटल व्यक्तिगत डेटा की सुरक्षा के लिए एक व्यापक ढाँचा स्थापित करता है, जिसमें ऐसे डेटा का प्रबंधन करने वाली संस्थाओं (डेटा फिड्यूशरीज) के दायित्वों और व्यक्तियों (डेटा प्रिंसिपल) के अधिकारों तथा कर्तव्यों को निर्धारित किया गया है।
• पृष्ठभूमि: सर्वोच्च न्यायालय ने न्यायमूर्ति के.एस. पुट्टास्वामी बनाम भारत संघ, 2017 के ऐतिहासिक मामले में भारतीय संविधान के तहत निजता के अधिकार को एक मौलिक अधिकार के रूप में मान्यता दी।
• सरल डिजाइन का अनुसरण करता है: सरल, सुलभ, तर्कसंगत और कार्यान्वयन योग्य, समझने और अनुपालन में आसानी के लिए सरल भाषा और चित्रों का उपयोग करना।
• यह अधिनियम सात मुख्य सिद्धांतों द्वारा निर्देशित है: सहमति और पारदर्शिता, उद्देश्य सीमा, डेटा न्यूनीकरण, सटीकता, भंडारण सीमा, सुरक्षा उपाय और जवाबदेही।

डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 के प्रमुख प्रावधान