Technology
डीपीडीपी नियम, 2025 अधिसूचित
गोपनीयता संरक्षण और जिम्मेदारपूर्ण डेटा उपयोग के लिए एक नागरिक-केंद्रित ढांचा
Posted On:
17 NOV 2025 10:38AM
|
प्रमुख बिंदु
|
- राष्ट्रव्यापी विचार-विमर्श के बाद 14 नवंबर 2025 को डीपीडीपी नियम अधिसूचित किए जाएंगे ।
- परामर्श प्रक्रिया में अंतिम नियमों को आकार देने के लिए 6,915 इनपुट प्राप्त हुए।
- ये नियम डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 को पूर्ण प्रभाव प्रदान करते हैं।
|
प्रस्तावना
भारत सरकार ने 14 नवंबर 2025 को डिजिटल व्यक्तिगत डेटा संरक्षण (डीपीडीपी) नियम, 2025 को अधिसूचित किया है। यह डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 (डीपीडीपी अधिनियम ) के पूर्ण कार्यान्वयन का प्रतीक है। यह अधिनियम और नियम मिलकर डिजिटल व्यक्तिगत डेटा के ज़िम्मेदार उपयोग के लिए एक स्पष्ट और नागरिक-केंद्रित ढाँचा तैयार करते हैं। ये नियम व्यक्तिगत अधिकारों और वैध डेटा प्रसंस्करण पर समान रूप से बल देते हैं।
इलेक्ट्रॉनिक्स एवं सूचना प्रौद्योगिकी मंत्रालय ने मसौदा नियमों को अंतिम रूप देने से पहले उन पर जनता की टिप्पणियाँ आमंत्रित कीं है। दिल्ली, मुंबई, गुवाहाटी, कोलकाता, हैदराबाद, बेंगलुरु और चेन्नई में परामर्श सत्र आयोजित किए गए। इन चर्चाओं में विभिन्न प्रकार के प्रतिभागियों ने भाग लिया। स्टार्टअप्स, एमएसएमई, उद्योग निकायों, नागरिक समाज के विभिन्न समूहों और सरकारी विभागों ने विस्तृत सुझाव दिए है। नागरिकों ने भी अपने विचार साझा किए है। परामर्श प्रक्रिया के दौरान कुल 6,915 सुझाव प्राप्त हुए है। इन सुझावों ने अंतिम नियमों को आकार देने में महत्वपूर्ण भूमिका निभाई।
नियमों की अधिसूचना के साथ ही भारत के पास अब डेटा सुरक्षा के लिए एक व्यावहारिक और नवाचार-अनुकूल प्रणाली है। यह समझने में आसानी प्रदान करती है, अनुपालन को प्रोत्साहित करती है और देश के बढ़ते डिजिटल पारिस्थितिकी तंत्र में विश्वास को मज़बूत करती है।
डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023
संसद ने 11 अगस्त 2023 को डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम पारित किया। यह कानून भारत में डिजिटल व्यक्तिगत डेटा की सुरक्षा के लिए एक संपूर्ण ढाँचा तैयार करता है। यह स्पष्ट करता है कि संगठनों को ऐसा डेटा एकत्र या उपयोग करते समय क्या करना चाहिए। यह अधिनियम एसएआरएएल दृष्टिकोण का अनुसरण करता है। इसका अर्थ है कि यह सरल, सुलभ, तर्कसंगत और कार्यान्वयन योग्य है। इसके पाठ में सरल भाषा और स्पष्ट चित्रों का उपयोग किया गया है ताकि लोग और व्यवसाय बिना किसी कठिनाई के नियमों को समझ सकें।
|
डीपीडीपी अधिनियम, 2023 के अंतर्गत प्रमुख शब्द
|
- डेटा फिड्युसरी: एक इकाई जो यह निर्णय लेती है कि व्यक्तिगत डेटा का प्रसंस्करण क्यों और कैसे किया जाए, अकेले या दूसरों के साथ मिलकर।
- डेटा प्रिंसिपल: वह व्यक्ति जिससे व्यक्तिगत डेटा संबंधित है। बच्चे के मामले में इसमें माता-पिता या वैध अभिभावक शामिल हैं। किसी विकलांग व्यक्ति के लिए जो स्वतंत्र रूप से कार्य नहीं कर सकता, इसमें उसकी ओर से कार्य करने वाला वैध अभिभावक भी शामिल है।
- डेटा प्रोसेसर: कोई भी इकाई जो डेटा फिड्युसरी की ओर से व्यक्तिगत डेटा को संसाधित करती है।
- सहमति प्रबंधक: एक इकाई जो एकल, पारदर्शी और अंतर-संचालनीय मंच प्रदान करती है जिसके माध्यम से डेटा प्रिंसिपल सहमति दे सकता है, उसका प्रबंधन कर सकता है, समीक्षा कर सकता है या उसे वापस ले सकता है।
- अपीलीय न्यायाधिकरण: दूरसंचार विवाद निपटान और अपीलीय न्यायाधिकरण (टीडीएसएटी), जो डेटा संरक्षण बोर्ड के निर्णयों के विरुद्ध अपीलों की सुनवाई करता है।
|
यह कानून सात मूल सिद्धांतों पर आधारित है। इनमें सहमति और पारदर्शिता, उद्देश्य सीमा, डेटा न्यूनीकरण, सटीकता, भंडारण सीमा, सुरक्षा उपाय और जवाबदेही शामिल हैं। ये सिद्धांत डेटा प्रोसेसिंग के हर चरण का मार्गदर्शन करते हैं। ये सिद्धांत यह भी सुनिश्चित करते हैं कि व्यक्तिगत डेटा का उपयोग केवल वैध और विशिष्ट उद्देश्यों के लिए ही किया जाए।
इस अधिनियम की एक प्रमुख विशेषता भारतीय डेटा संरक्षण बोर्ड का गठन है । यह बोर्ड एक स्वतंत्र निकाय के रूप में कार्य करता है जो अनुपालन की निगरानी करता है, उल्लंघनों की जाँच करता है और यह सुनिश्चित करता है कि सुधारात्मक उपाय किए जाएँ। यह अधिनियम के तहत प्रदत्त अधिकारों को लागू करने और व्यवस्था में विश्वास बनाए रखने में महत्वपूर्ण भूमिका निभाता है।
|
डीपीडीपी अधिनियम, 2023 के तहत जुर्माना
|
|
डीपीडीपी अधिनियम, डेटा फ़िड्युसरी द्वारा अनुपालन न करने पर भारी वित्तीय जुर्माना लगाता है। उचित सुरक्षा उपाय न बनाए रखने पर डेटा फ़िड्युसरी द्वारा अधिकतम ₹ 250 करोड़ रुपए तक का जुर्माना लगाया जा सकता है। व्यक्तिगत डेटा उल्लंघन के बारे में बोर्ड या प्रभावित व्यक्तियों को सूचित न करने और बच्चों से संबंधित दायित्वों के उल्लंघन पर, प्रत्येक पर 200 करोड़ रुपए तक का जुर्माना लगाया जा सकता है । डेटा फ़िड्युसरी द्वारा अधिनियम या नियमों का कोई अन्य उल्लंघन करने पर 50 करोड़ रुपए तक का जुर्माना लगाया जा सकता है।
|
यह अधिनियम डेटा फ़िड्यूशरीज़ पर व्यक्तिगत डेटा को सुरक्षित रखने और उसके उपयोग के लिए जवाबदेह बने रहने की स्पष्ट ज़िम्मेदारियाँ डालता है। यह डेटा प्रिंसिपल्स को यह जानने का अधिकार भी देता है कि उनके डेटा का प्रबंधन कैसे किया जाता है और ज़रूरत पड़ने पर सुधार या हटाने का अधिकार भी देता है।
अधिनियम और नियम मिलकर एक मज़बूत और संतुलित व्यवस्था का निर्माण करते हैं। ये गोपनीयता को सशक्त करते हैं, जनता का विश्वास बढ़ाते हैं और ज़िम्मेदार नवाचार को बढ़ावा देते हैं। ये भारत की डिजिटल अर्थव्यवस्था को सुरक्षित और वैश्विक रूप से प्रतिस्पर्धी तरीके से विकसित होने में भी मदद करते हैं।
डिजिटल व्यक्तिगत डेटा संरक्षण नियम, 2025 का अवलोकन
डिजिटल व्यक्तिगत डेटा संरक्षण नियम, 2025, डीपीडीपी अधिनियम, 2023 को पूर्ण रूप से प्रभावी बनाते हैं। ये नियम तेज़ी से बढ़ते डिजिटल परिवेश में व्यक्तिगत डेटा की सुरक्षा के लिए एक स्पष्ट और व्यावहारिक प्रणाली का निर्माण करते हैं। ये नियम नागरिकों के अधिकारों और संगठनों द्वारा ज़िम्मेदारी से डेटा उपयोग पर केंद्रित हैं। इन नियमों का उद्देश्य डेटा के अनधिकृत व्यावसायिक उपयोग पर अंकुश लगाना, डिजिटल नुकसान को कम करना और नवाचार के लिए एक सुरक्षित वातावरण बनाना है। ये नियम भारत को एक मज़बूत और विश्वसनीय डिजिटल अर्थव्यवस्था बनाए रखने में भी मदद करेंगे।
इस दृष्टिकोण को आगे बढ़ाते हुए, नियमों में कई मुख्य प्रावधानों की रूपरेखा दी गई है:
चरणबद्ध और व्यावहारिक कार्यान्वयन
नियमों में चरणबद्ध अनुपालन के लिए अठारह महीने की अवधि निर्धारित की गई है। इससे संगठनों को अपनी पद्धतियों को समायोजित करने और ज़िम्मेदार डेटा पद्धतियों को अपनाने के लिए पर्याप्त समय मिल जाता है। प्रत्येक डेटा फ़िड्यूशरी को एक अलग सहमति नोटिस जारी करना होगा जो स्पष्ट और समझने में आसान हो। नोटिस में उस विशिष्ट उद्देश्य का उल्लेख होना चाहिए जिसके लिए व्यक्तिगत डेटा एकत्र और उपयोग किया जा रहा है। सहमति प्रबंधक, जो लोगों को उनकी अनुमतियों का प्रबंधन करने में मदद करते हैं, भारत स्थित कंपनियाँ होनी चाहिए।
व्यक्तिगत डेटा उल्लंघन अधिसूचना के लिए स्पष्ट प्रोटोकॉल
नियमों में व्यक्तिगत डेटा उल्लंघनों की रिपोर्ट करने की एक सरल और समयबद्ध प्रक्रिया निर्धारित की गई है। इसका उल्लंघन होने पर डेटा फ़िड्यूशरी को बिना किसी देरी के सभी प्रभावित व्यक्तियों को सूचित करना होगा। संदेश स्पष्ट भाषा में होना चाहिए और इसमें यह स्पष्ट करना होगा कि क्या हुआ, संभावित प्रभाव क्या होगा और समस्या के समाधान के लिए क्या कदम उठाए गए। इसमें सहायता के लिए संपर्क विवरण भी शामिल होना चाहिए।
पारदर्शिता और जवाबदेही के उपाय
नियमों के अनुसार, प्रत्येक डेटा फ़िड्यूशियरी को व्यक्तिगत डेटा से संबंधित प्रश्नों के लिए स्पष्ट संपर्क जानकारी प्रदर्शित करनी होगी। यह संपर्क किसी नामित अधिकारी या डेटा सुरक्षा अधिकारी का हो सकता है। महत्वपूर्ण डेटा फ़िड्यूशियरी के कर्तव्यों में और भी अधिक कठोरता होगी। उन्हें स्वतंत्र ऑडिट और प्रभाव आकलन करना होगा। नई या संवेदनशील तकनीकों का उपयोग करते समय उन्हें कड़ी जाँच का भी पालन करना होगा। कुछ मामलों में, उन्हें डेटा की प्रतिबंधित श्रेणियों पर सरकारी निर्देशों का पालन करना होगा, जिसमें आवश्यकतानुसार स्थानीय भंडारण भी शामिल है।
डेटा प्रिंसिपलों के अधिकारों को मजबूत करना
ये नियम अधिनियम के अंतर्गत पहले से ही प्रदत्त अधिकारों को और सुदृढ़ करते हैं। व्यक्ति अपने व्यक्तिगत डेटा तक पहुँच का अनुरोध कर सकते हैं या उसमें सुधार और अद्यतन की माँग कर सकते हैं। वे कुछ स्थितियों में डेटा हटाने का भी अनुरोध कर सकते हैं। वे अपनी ओर से इन अधिकारों का प्रयोग करने के लिए किसी अन्य व्यक्ति को चुन सकते हैं। डेटा फ़िड्यूशरीज़ को ऐसे अनुरोधों का नब्बे दिनों के भीतर जवाब देना होगा।
डिजिटल-फर्स्ट डेटा प्रोटेक्शन बोर्ड
ये नियम एक पूर्णतः डिजिटल भारतीय डेटा संरक्षण बोर्ड की स्थापना करते हैं, जिसमें चार सदस्य होंगे। नागरिक एक समर्पित पोर्टल और मोबाइल एप्लिकेशन के माध्यम से ऑनलाइन शिकायतें दर्ज कर सकेंगे और अपने मामलों पर नज़र रख सकेंगे। यह डिजिटल प्रणाली त्वरित निर्णय लेने में सहायक है और शिकायत निवारण को सरल बनाती है। बोर्ड के निर्णयों के विरुद्ध अपील की सुनवाई अपीलीय न्यायाधिकरण, टीडीएसएटी द्वारा की जाएगी।
डीपीडीपी नियम व्यक्तियों को कैसे सशक्त बनाते हैं
डीपीडीपी व्यक्ति को भारत की डेटा सुरक्षा प्रणाली के केंद्र में रखता है। इसका उद्देश्य प्रत्येक नागरिक को व्यक्तिगत डेटा पर स्पष्ट नियंत्रण और यह विश्वास दिलाना है कि उसका सावधानीपूर्वक प्रबंधन किया जा रहा है। नियम सरल भाषा में लिखे गए हैं ताकि लोग बिना किसी कठिनाई के अपने अधिकारों को समझ सकें। ये नियम यह भी सुनिश्चित करते हैं कि संगठन ज़िम्मेदारी से काम करें और व्यक्तिगत डेटा के उपयोग के प्रति जवाबदेह रहें।
नागरिकों के अधिकारों और सुरक्षा में शामिल हैं:
सहमति देने या अस्वीकार करने का अधिकार
प्रत्येक व्यक्ति के पास अपने व्यक्तिगत डेटा के उपयोग की अनुमति देने या अस्वीकार करने का विकल्प होता है। सहमति स्पष्ट, सूचित और समझने में आसान होनी चाहिए। व्यक्ति किसी भी समय अपनी सहमति वापस ले सकता है।
डेटा का उपयोग कैसे किया जाता है, यह जानने का अधिकार
नागरिक यह जानकारी मांग सकते हैं कि कौन सा व्यक्तिगत डेटा एकत्र किया गया है, इसे क्यों एकत्र किया गया है और इसका उपयोग कैसे किया जा रहा है। संगठनों को यह जानकारी एक सरल प्रारूप में प्रदान करनी होगी।
व्यक्तिगत डेटा तक पहुँच का अधिकार
व्यक्ति अपने व्यक्तिगत डेटा की एक प्रति मांग सकते हैं जो डेटा फिड्युसरी के पास मौजूद है।
व्यक्तिगत डेटा को सही करने का अधिकार
लोग गलत या अपूर्ण व्यक्तिगत डेटा में सुधार का अनुरोध कर सकते हैं।
व्यक्तिगत डेटा अपडेट करने का अधिकार
जब नागरिकों के विवरण में परिवर्तन हो जाए, जैसे कि नया पता या अद्यतन संपर्क नंबर, तो वे उसमें परिवर्तन के लिए अनुरोध कर सकते हैं।
व्यक्तिगत डेटा मिटाने का अधिकार
कुछ परिस्थितियों में व्यक्ति व्यक्तिगत डेटा हटाने का अनुरोध कर सकते हैं। डेटा फ़िड्यूशियरी को इस अनुरोध पर निर्धारित समय के भीतर विचार करके कार्रवाई करनी होगी।
किसी अन्य व्यक्ति को नामांकित करने का अधिकार
प्रत्येक व्यक्ति अपनी ओर से अपने डेटा अधिकारों का प्रयोग करने के लिए किसी को नियुक्त कर सकता है। यह बीमारी या अन्य बाधाओं के मामले में मददगार होता है।
नब्बे दिनों के भीतर अनिवार्य प्रतिक्रिया
डेटा फिड्युशरीज़ को अधिकतम नब्बे दिनों के भीतर पहुंच, सुधार, अद्यतन या विलोपन से संबंधित सभी अनुरोधों का समाधान करना आवश्यक है, ताकि समय पर कार्रवाई और जवाबदेही सुनिश्चित हो सके।
व्यक्तिगत डेटा उल्लंघन के दौरान सुरक्षा
यदि कोई उल्लंघन होता है, तो नागरिकों को जल्द से जल्द सूचित किया जाना चाहिए। संदेश में यह स्पष्ट रूप से बताया जाना चाहिए कि क्या हुआ और वे क्या कदम उठा सकते हैं। इससे लोगों को नुकसान कम करने के लिए तुरंत कार्रवाई करने में मदद मिलेगी।
प्रश्नों और शिकायतों के लिए स्पष्ट संपर्क
डेटा फ़िड्यूशरीज़ को व्यक्तिगत डेटा से संबंधित प्रश्नों के लिए एक संपर्क केंद्र प्रदान करना होगा। यह एक नामित अधिकारी या डेटा सुरक्षा अधिकारी हो सकता है।
बच्चों के लिए विशेष सुरक्षा
जब किसी बच्चे का व्यक्तिगत डेटा शामिल हो तो माता-पिता या अभिभावक की सत्यापन योग्य सहमति आवश्यक है। यह सहमति तब तक आवश्यक है जब तक कि प्रसंस्करण स्वास्थ्य सेवा, शिक्षा या वास्तविक समय सुरक्षा जैसी आवश्यक सेवाओं से संबंधित न हो।
दिव्यांग व्यक्तियों के लिए विशेष सुरक्षा
यदि कोई दिव्यांग सहायता मिलने पर भी कानूनी निर्णय लेने में असमर्थ है, तो उसके वैध अभिभावक की सहमति आवश्यक है। इस अभिभावक का संबंधित कानूनों के तहत सत्यापन होना आवश्यक है।
डीपीडीपी आरटीआई अधिनियम के साथ कैसे संरेखित है
चूंकि डीपीडीपी अधिनियम और डीपीडीपी नियम नागरिकों के गोपनीयता अधिकारों का विस्तार करते हैं, इसलिए वे यह भी स्पष्ट करते हैं कि ये अधिकार सूचना के अधिकार (आरटीआई) अधिनियम द्वारा गारंटीकृत सूचना तक पहुंच के साथ कैसे काम करते हैं।
डीपीडीपी अधिनियम के माध्यम से किए गए ये बदलाव आरटीआई अधिनियम की धारा 8(1)(जे) को इस तरह संशोधित करते हैं कि दोनों अधिकारों का सम्मान किया जाए, बिना किसी एक को कम किए। यह संशोधन पुट्टस्वामी निर्णय में सर्वोच्च न्यायालय द्वारा निजता को मौलिक अधिकार के रूप में स्वीकार किए जाने को दर्शाता है। यह कानून को उन अदालतों द्वारा पहले से अपनाए गए तर्कों के अनुरूप लाता है, जिन्होंने व्यक्तिगत जानकारी की सुरक्षा के लिए लंबे समय से उचित प्रतिबंध लगाए हैं। इस दृष्टिकोण को संहिताबद्ध करके, यह संशोधन अनिश्चितता को रोकता है और आरटीआई अधिनियम की पारदर्शिता व्यवस्था और डीपीडीपी ढांचे के तहत शुरू किए गए निजता सुरक्षा उपायों के बीच किसी भी टकराव को रोकता है।
संशोधन व्यक्तिगत जानकारी के दिखाने पर रोक नहीं लगाता। इसमें केवल यह आवश्यक है कि ऐसी जानकारी का सावधानीपूर्वक मूल्यांकन किया जाए और गोपनीयता के हितों को ध्यान में रखते हुए ही साझा किया जाए। साथ ही सूचना का अधिकार अधिनियम की धारा 8(2) पूरी तरह से प्रभावी रहेगी। यह प्रावधान किसी सार्वजनिक प्राधिकरण को सूचना जारी करने की अनुमति देता है जब इसको दिखाने में जनहित किसी भी संभावित नुकसान से अधिक प्रबल हो। यह सुनिश्चित करता है कि सूचना का अधिकार अधिनियम का सार, जिसका उद्देश्य सार्वजनिक जीवन में खुलेपन और जवाबदेही को बढ़ावा देना है, निर्णय लेने में मार्गदर्शन करता रहे।
निष्कर्ष
डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम और डीपीडीपी नियम देश के लिए एक विश्वसनीय और भविष्य के लिए तैयार डिजिटल वातावरण के निर्माण की दिशा में एक महत्वपूर्ण कदम हैं। ये नियम व्यक्तिगत डेटा के प्रबंधन के तरीके को स्पष्ट करते हैं, व्यक्तियों के अधिकारों को मज़बूत करते हैं और संगठनों के लिए दृढ़ ज़िम्मेदारियाँ निर्धारित करते हैं। यह ढाँचा व्यावहारिक है और व्यापक जन परामर्श द्वारा समर्थित है, जो इसे समावेशी और वास्तविक आवश्यकताओं के प्रति उत्तरदायी बनाता है। यह भारत की डिजिटल अर्थव्यवस्था के विकास में सहायक है और यह सुनिश्चित करता है कि गोपनीयता इसकी प्रगति का केंद्रबिंदु बनी रहे। इन उपायों के साथ, भारत एक सुरक्षित, अधिक पारदर्शी और नवाचार-अनुकूल डेटा पारिस्थितिकी तंत्र की ओर बढ़ रहा है जो नागरिकों की सेवा करता है और डिजिटल शासन में जनता के विश्वास को मज़बूत करता है।
संदर्भ:
पूर्ण डीपीडीपी नियम, 2025:
पूर्ण डीपीडीपी अधिनियम, 2023
इलेक्ट्रॉनिकी और सूचना प्रौद्योगिकी मंत्रालय:
पीडीएफ देखने के लिए यहां क्लिक करें
****
पीके/केसी/एनकेएस
(Backgrounder ID: 156059)
Visitor Counter : 53
Provide suggestions / comments