व्यक्तिगत डेटा सुरक्षा का खाका तैयार (फाइल फोटो)
डिजिटल डेस्क, नई दिल्ली। भारत के डिजिटल पर्सनल डेटा प्रोटेक्शन (डीपीडीपी) नियमों ने देश की डिजिटल अर्थव्यवस्था में जवाबदेही, पारदर्शिता और उपयोगकर्ता अधिकारों को मजबूत करने के लिए स्पष्ट दिशा-निर्देश तय कर दिए हैं।
इन नियमों का उद्देश्य नागरिकों को अपने व्यक्तिगत डेटा पर अधिक नियंत्रण देना है, जबकि कंपनियों के लिए डेटा संग्रह, उपयोग और सुरक्षा को लेकर कड़े मानक निर्धारित किए गए हैं।ये नियम डीपीडीपी अधिनियम के तहत बने उप-विधि प्रावधान हैं, जो यह बताते हैं कि कंपनियों को व्यक्तिगत डेटा कैसे एकत्र करना है, उसका प्रबंधन कैसे करना है और डेटा मालिक यानी \“डेटा प्रिंसिपल\“ के अधिकारों की रक्षा कैसे करनी है। विज्ञापन हटाएं सिर्फ खबर पढ़ें
वहीं \“डेटा फिड्यूशियरी\“ वे संस्थाएं हैं जो डेटा के उपयोग और उसकी प्रोसेसिंग का उद्देश्य तय करती हैं।स्पष्ट सहमति और सरल भाषा में नोटिस आवश्यकडीपीडीपी नियमों के अनुसार कंपनियों को उपयोगकर्ताओं से सहमति लेने से पहले स्पष्ट, सरल और समझने योग्य भाषा में नोटिस देना होगा।
इस नोटिस में शामिल होना चाहिए कि कौन-सा डेटा लिया जा रहा है, किस उद्देश्य से प्रोसेस किया जाएगा, शिकायत का क्या तरीका होगा और सहमति वापस लेने की आसान प्रक्रिया क्या होगी। सहमति वापस लेने की प्रक्रिया उतनी ही आसान होनी चाहिए जितनी आसानी से सहमति दी गई थी।
सहमति प्रबंधक की भूमिका और जवाबदेही
नियमों के तहत \“कंसेंट मैनेजर\“ वह प्लेटफार्म होगा जिसके माध्यम से उपयोगकर्ता अपने डेटा प्रोसेसिंग की सहमति को दे सकेंगे, प्रबंधित कर सकेंगे या सहमति वापस ले सकेंगे। नए नियम कंसेंट मैनेजर के पंजीकरण, जिम्मेदारियों, और निरीक्षण की प्रक्रिया स्पष्ट करते हैं।
डेटा प्रोटेक्शन बोर्ड जरूरत पड़ने पर इनके लाइसेंस को निलंबित या रद भी कर सकता है। कंपनियों को डेटा की सुरक्षा के लिए एन्क्रिप्शन, एक्सेस कंट्रोल, मानिटरिंग और लागिंग, बैकअप के सुरक्षा उपाय लागू करने होंगे। डेटा उल्लंघन की स्थिति में प्रविधान डेटा उल्लंघन की स्थिति में कंपनियों को प्रभावित उपयोगकर्ताओं को तुरंत स्पष्ट जानकारी देनी होगी कि उल्लंघन क्या है, संभावित जोखिम क्या हैं, और उन्हें क्या कदम उठाने चाहिए।
साथ ही डेटा प्रोटेक्शन बोर्ड को भी तुरंत सूचना देनी होगी, और 72 घंटे के भीतर विस्तृत रिपोर्ट सौंपनी होगी। विशेषज्ञों का कहना है कि 200 करोड़ रुपये तक के भारी जुर्मानों के कारण कंपनियों को लगातार घटना प्रतिक्रिया प्रणाली तैयार करनी पड़ेगी।
डेटा मिटाने और संरक्षण की नई बाध्यताएं
दो करोड़ से ज्यादा उपयोगकर्ताओं वाले ई-कामर्स, 50 लाख से ज्यादा उपयोगकर्ताओं वाले आनलाइन गेमिंग और बड़े सोशल मीडिया प्लेटफार्मों को तीन साल की उपयोगकर्ता निष्कि्रयता के बाद डेटा मिटाना होगा, लेकिन मिटाने से 48 घंटे पहले उपयोगकर्ता को नोटिस भेजना अनिवार्य होगा। सभी कंपनियां डेटा प्रोसेसिंग की तारीख से कम से कम एक वर्ष तक रिकार्ड और लाग सुरक्षित रखेंगी।
बच्चों और दिव्यांगों के डेटा की अतिरिक्त सुरक्षाबच्चों के डेटा प्रोसेसिंग के लिए अभिभावकों की सत्यापित सहमति अनिवार्य है। अभिभावक की पहचान विश्वसनीय पहचान प्रमाण या डिजिटल टोकन से सुनिश्चित करनी होगी। स्वास्थ्य और शिक्षा जैसी कुछ श्रेणियों को विशेष परिस्थितियों में आंशिक छूट मिलेगी। दिव्यांग व्यक्तियों के लिए अभिभावक सहमति के नियम भी परिभाषित किए गए हैं।
महत्वपूर्ण डेटा फिड्यूशियरी (एसडीएफ) के लिए कड़े आडिट
जिन कंपनियों को एसडीएफ वर्ग में रखा जाएगा उन्हें हर साल डेटा सुरक्षा असर आकलन और आडिट कराना होगा। एल्गोरिदम के जोखिम मूल्यांकन करने होंगे और यह सुनिश्चित करना होगा कि कुछ संवेदनशील डेटा भारत से बाहर न जाए। विशेषज्ञों के अनुसार एसडीएफ ढांचा, यूरोप के जीडीपीआर की तुलना में कहीं अधिक कड़ा और भारत-विशिष्ट अनुपालन बोझ जोड़ता है।
सीमा-पार डेटा ट्रांसफर
डीपीडीपी नियम सीमा-पार डेटा ट्रांसफर की अनुमति देते हैं, लेकिन सरकार के पास यह अधिकार होगा कि वह किसी विदेशी देश या संस्था पर प्रतिबंध लगा सके। जीडीपीआर की तुलना में यह व्यवस्था अधिक लचीली और कम खर्चीली मानी जा रही है, जिससे अंतरराष्ट्रीय डेटा प्रवाह आसान होगा। |
