Analytics InsightDPDP Rules : भारत सरकार ने 14 नवंबर को Digital Personal Data Protection (DPDP) Act 2023 के तहत नए नियमों की अधिसूचना जारी कर दी है। इन नियमों से भारत में डेटा सुरक्षा का नया ढांचा बनेगा और कंपनियों को चरणबद्ध तरीके से कड़े नियमों का पालन करना होगा।
सरकार ने Digital Personal Data Protection Rules की जारी की अधिसूचना, डेटा लोकलाइजेशन, कंसेंट मैनेजर, डेटा ब्रीच अलर्ट और बच्चों की सुरक्षा से जुड़े नियम अब सख्ती से होंगे लागू।
चरणबद्ध तरीके से नियम लागू होंगे
सरकार ने इन नियमों को 3 मुख्य चरणों में लागू करने का फैसला किया है।
- तुरंत लागू होने वाले नियम: डेटा प्रोटेक्शन बोर्ड के चेयरपर्सन और सदस्यों की नियुक्ति से जुड़े नियम अधिसूचना जारी होते ही लागू हो गए हैं।
- 12 महीने बाद लागू होने वाले नियम: कंसेंट मैनेजर उनका पंजीकरण और संचालन से जुड़े नियम 12 महीने बाद लागू होंगे।
- 18 महीने बाद लागू होने वाले नियम: कंपनियों और सरकारी विभागों के लिए मुख्य अनुपालन नियम पूरी तरह 18 महीने बाद लागू होंगे।
डेटा लोकलाइजेशन का बड़ा नियम
नए नियमों में एक महत्वपूर्ण प्रावधान डेटा लोकलाइजेशन से जुड़ा है।
बड़े डेटा फिडूशियरी को कुछ विशेष श्रेणियों के व्यक्तिगत डेटा को भारत में ही स्टोर करना होगा। हालांकि, व्यक्तिगत डेटा को विदेश भेजना भी संभव होगा लेकिन इसके लिए सरकार द्वारा तय किए गए अतिरिक्त नियमों का पालन करना अनिवार्य होगा। कई ग्लोबल टेक कंपनियां इस नियम पर करीबी नजर रख रही हैं क्योंकि लोकलाइजेशन उनके संचालन को प्रभावित कर सकता है।
उपयोगकर्ता की सहमति अब और मजबूत
जो भी संस्थान उपयोगकर्ताओं का व्यक्तिगत डेटा जमा करेंगे उन्हें स्पष्ट और आसान भाषा में बताना होगा कि कौन सा डेटा लिया जा रहा है, क्यों लिया जा रहा है और इसका उपयोग कैसे होगा उपयोगकर्ता को अपनी सहमति वापस लेने के लिए एक अलग और आसान लिंक भी दिया जाएगा।
कंसेंट मैनेजर की भूमिका
कंसेंट मैनेजर वे लोग या संस्थाएं हैं जो यूजर्स की अनुमति को सुरक्षित और पारदर्शी तरीके से प्रबंधित करेंगे। इन्हें डेटा प्रोटेक्शन बोर्ड से पंजीकरण कराना होगा। नियमों के तहत इन पर कई जिम्मेदारियां भी होंगी।
डेटा ब्रीच होने पर तुरंत सूचना
अगर किसी डेटा कलेक्टिंग संस्था में डेटा ब्रीच होता है, तो उन्हें यूजर्स को तुरंत इसकी जानकारी देनी होगी। इसके अलावा यह भी बताना होगा कि ब्रीच कैसे हुआ, क्या नुकसान हो सकता है और उपयोगकर्ता खुद को कैसे सुरक्षित रख सकते हैं। साथ ही, 72 घंटे के अंदर डेटा प्रोटेक्शन बोर्ड को विस्तृत रिपोर्ट जमा करनी होगी।
निष्क्रिय यूजर्स का डेटा हटाना अनिवार्य
अगर कोई यूजर्स लंबे समय तक निष्क्रिय रहता है तो संस्था को उसका व्यक्तिगत डेटा हटा देना होगा। डेटा मिटाने से 48 घंटे पहले यूजर्स को नोटिस भेजना जरूरी है।
बच्चों के डेटा के लिए कड़े नियम
बच्चों का डेटा इकट्ठा करने के लिए माता-पिता की सत्यापित अनुमति लेना अनिवार्य है। हालांकि, स्वास्थ्य सेवाओं, स्कूलों और चाइल्डकेयर संस्थानों को कुछ छूट दी गई है ताकि बच्चों से जुड़े आवश्यक कार्य प्रभावित न हों।
बड़ी संस्थाओं के लिए अतिरिक्त दायित्व
ऐसी संस्थाएं जो बड़ी मात्रा में उपयोगकर्ता डेटा का प्रबंधन करती हैं, उन्हें डेटा प्रोटेक्शन इम्पैक्ट असेसमेंट (DPIA) करना होगा, नियमित कंप्लायंस ऑडिट कराना होगा, यह सुनिश्चित करना होगा कि उनके एल्गोरिदम उपयोगकर्ताओं के अधिकारों को नुकसान न पहुंचाएं, सरकार जिन श्रेणियों के व्यक्तिगत डेटा को विदेश ले जाने पर रोक लगाएगी और उनका विदेश ट्रांसफर रोकना अनिवार्य होगा।
READ MORE: दिसंबर में लगेगा मोबाइल रीचार्ज पर झटका! बढ़ सकते हैं डेटा प्लान के दाम
शोध और सांख्यिकीय कार्यों को छूट
DPDP एक्ट के नियम उन स्थितियों पर लागू नहीं होंगे, जहां डेटा का उपयोग शोध, आर्काइविंग या सांख्यिकीय विश्लेषण के लिए किया जा रहा हो। यह प्रावधान AI और डेटा आधारित रिसर्च को बढ़ावा देगा।
राष्ट्रीय सुरक्षा के लिए सरकार के विशेष अधिकार
राष्ट्रीय सुरक्षा को ध्यान में रखते हुए सरकार किसी भी संस्था या इंटरमीडियरी से व्यक्तिगत डेटा मांग सकती है और संस्था यह जानकारी उपयोगकर्ता को बताने के लिए बाध्य नहीं होगी।
READ MORE: डेटा सुरक्षा मामले में इस Android फोन के सामने iPhone भी है फेल… रिपोर्ट में खुलासा
एक्सपर्ट की प्रतिक्रिया
एक्सपर्ट का कहना है कि नए नियम उद्योग को स्पष्ट टाइमलाइन देते हैं और कई महत्वपूर्ण सुझाव नियमों में शामिल कर लिए गए हैं। उन्होंने कहा कि डेटा लोकलाइजेशन का प्रस्ताव भारत की टेक संप्रभुता को मजबूत कर सकता है, हालांकि, वैश्विक कंपनियां इससे असहमति जता सकती हैं।
