भारत सरकार ने डिजिटल पर्सनल डेटा प्रोटेक्शन (DPDP) एक्ट के नियमों को नोटिफाई कर दिया है। इसके साथ ही डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 के लागू होने का रास्ता साफ हो गया है। इन नियमों के तहत पर्सनल डेटा की प्रोसेसिंग, सुरक्षा और गवर्नेंस को लेकर नए मानक निर्धारित किए गए हैं। कई प्रावधान तुरंत लागू होंगे, जबकि कुछ को 12–18 महीनों की अवधि में चरणबद्ध तरीके से लागू किया जाएगा।
डेटा फिड्यूशरी, डेटा प्रिंसिपल और कंसेंट मैनेजर की परिभाषा
नए नियमों के अनुसार:
-
डेटा फिड्यूशरी: वह कंपनी या प्लेटफॉर्म जो यूज़र का पर्सनल डेटा कलेक्ट और प्रोसेस करता है।
-
डेटा प्रिंसिपल: वह व्यक्ति जिसका डेटा प्रोसेस किया जा रहा है।
-
कंसेंट मैनेजर: एक अधिकृत और न्यूट्रल इंटरमीडियरी, जो यूज़र को अपनी परमिशन मैनेज करने में मदद करेगा।
डेटा प्रोटेक्शन बोर्ड की स्थापना
नोटिफिकेशन में स्पष्ट किया गया है कि डेटा लीक और नियमों के अनुपालन की निगरानी के लिए चार सदस्यों वाला डेटा प्रोटेक्शन बोर्ड बनाया जाएगा। सभी डेटा फिड्यूशरीज को डेटा लीक होने पर:
-
72 घंटों के भीतर बोर्ड को सूचना देना अनिवार्य होगा।
-
प्रभावित यूज़र्स को बिना देरी के जानकारी देनी होगी।
माइनर यूज़र्स के डेटा पर सख्त प्रावधान
बच्चों की सुरक्षा को ध्यान में रखते हुए:
-
सभी प्लेटफॉर्म्स को माइनर यूज़र्स के लिए पैरेंटल कंसेंट लेना होगा।
-
माइनर्स को ट्रैकिंग, प्रोफाइलिंग या टारगेटेड ऐड्स नहीं दिखाए जा सकेंगे।
सरकारी संस्थाओं को कुछ छूट दी गई है, लेकिन वे भी पूरी तरह नियमों के दायरे से बाहर नहीं होंगी। इसके अलावा, खास परिस्थितियों में सरकार कंपनियों को तलब कर सकती है और आवश्यकता पड़ने पर यूज़र को डेटा लीक की जानकारी साझा करने से रोक भी सकती है।
इनएक्टिव यूज़र्स का डेटा तीन साल बाद डिलीट
नए नियमों में यह भी प्रावधान है कि:
-
तीन साल तक इनएक्टिव रहने वाले यूज़र्स का डेटा फिड्यूशरीज को डिलीट करना होगा।
-
यदि कानूनी आवश्यकता हो तो डेटा को अधिक समय तक सुरक्षित रखा जा सकता है।
-
कंपनियों को एक साल का डेटा लॉग भी रखना होगा, जिसमें कंसेंट, डिस्क्लोज़र, प्रोसेसिंग और विदड्रॉल से संबंधित विवरण शामिल होंगे।
