डिजिटल पर्सनल डेटा प्रोटेक्शन (DPDP) ऐक्ट के तहत जारी की गई नई एडमिनिस्ट्रेटिव रूल्स से देश में कंसेंट मैनेजर्स की मांग और उनकी भूमिका दोनों बढ़ने की उम्मीद है। एक्सपर्ट्स का कहना है कि इन नियमों से ऐसे प्लेटफॉर्म्स को कई नए दायित्व निभाने होंगे।
सरकार द्वारा शुक्रवार को जारी नियमों के मुताबिक, भारत में रजिस्टर्ड और कम से कम 20 मिलियन नेटवर्थ वाली कंपनियों को अगले 12 महीनों के भीतर कंसेंट मैनेजर के रूप में रजिस्ट्रेशन कराना होगा। इन्हें डेटा प्रोटेक्शन बोर्ड (DPB) के साथ रजिस्टर्ड होना पड़ेगा और बोर्ड द्वारा समय-समय पर बताए गए सभी नियमों का पालन करना होगा।
कंसेंट मैनेजर्स को अपने प्लेटफॉर्म पर यूजर द्वारा दी गई, नकार दी गई या वापस ली गई हर तरह की सहमति का रिकॉर्ड रखना होगा। साथ ही, डेटा फिड्यूशियरी (जैसे कंपनियां/ऐप्स) की तरफ से भेजे गए नोटिस का भी हिसाब रखना पड़ेगा।
इन प्लेटफॉर्म्स को यूज़र्स को हमेशा अपने डेटा तक एक्सेस देने की सुविधा रखनी होगी। इस डेटा का रिकॉर्ड कम से कम 7 साल तक सुरक्षित रखना अनिवार्य होगा। यदि कानून में कहीं अधिक समय की मांग हो या यूजर और प्लेटफॉर्म के बीच ऐसा समझौता हो, तो यह अवधि और बढ़ सकती है।
नयी नियमावली के अनुसार प्लेटफॉर्म्स को यूजर्स को उनके डेटा तक हर वक्त पहुंच देना होगी। साथ ही, उस डेटा के रिकॉर्ड कम से कम सात साल तक रखे जाने होंगे – या जहां प्लेटफॉर्म और यूजर के बीच अलग समझौता हो, या कानून अलग समय तय करे, वहाँ उस अनुसार अवधि लंबी भी हो सकती है।
सराफ एंड पार्टनर्स के पार्टनर अक्षय एस नंदा ने कहा कि कंसेंट मैनेजमेंट कंपनियों और इंटरनेट/सोशल मीडिया इंटरमीडियरीज को अपने बिजनेस ऑपरेशंस में बड़े बदलाव करने होंगे। उन्हें ऐसे डेडिकेटेड कंसेंट मैनेजमेंट सिस्टम लगाने होंगे जो हर टचपॉइंट पर कंसेंट कैप्चर करें, हर प्रयोजन (purpose) के लिए अलग सहमति का इंतजाम हो, एक-क्लिक में सहमति वापस लेने (one-click withdrawal) की सुविधा हो, और समय-समय पर ऑडिट लॉग भी बनाए जाएं – साथ ही री-कंसेंट के मैकेनिज्म भी होने चाहिए।
नंदा ने कहा कि संगठन दो रास्ते चुन सकते हैं: या तो DPDPA को एक बड़ा परिवर्तनकारी प्रोजेक्ट मानकर सीनियर मैनेजमेंट का समर्थन लेकर भीतर से प्रक्रियाओं में बदलाव करें, या फिर सिर्फ सतही सुधार कर पालिसी दिखावे के लिए लागू करें। पहले वाले सफल होंगे; जो सिर्फ मामूली बदलाव करेंगे उन्हें मई 2027 से शुरू होकर लागू होने वाली प्रवर्तन कार्रवाइयों, जुर्माने और ऑपरेशनल बाधाओं का सामना करना पड़ सकता है।
कंसेंट मैनेजर जो DPB में रजिस्टर होंगे, वे अपने ऑपरेशन्स के दौरान किसी भी समय अपने दायित्वों को सब-कॉन्ट्रैक्ट या असाइन नहीं कर सकते – यह नियम भी स्पष्ट किया गया है। इससे कंसेंट मैनेजर और DPO (डाटा प्रोटेक्शन ऑफ़िसर) से जुड़े रोल्स की ज़रूरत और बढ़ जाएगी।
आईडैंटिटी वेरिफिकेशन फर्म IDfy के CEO अशोक हरिहरन ने कहा कि CISO (Chief Information Security Officer) का रोल अब और महत्वपूर्ण होगा। अब यह सिर्फ सुरक्षा तक सीमित नहीं रहेगा, बल्कि प्रोडक्ट डिज़ाइन में कंसेंट और गवर्नेंस को भी इन्टेग्रीट करना होगा।
आगे चलकर कंपनियों को स्टाफ़ की ट्रेनिंग पर जोर देना होगा – प्रक्रियाओं का री-डिजाइन करना और टेक्नोलॉजी व ऑडिट फ़ंक्शंस में नए नियम लागू करना अहम होगा। इनके विक्रेता (vendors) और पार्टनर्स को भी इन बदलावों के अनुरूप काम करना होगा।
हर समूह (group) की हर यूनिट के लिए अलग DPO की जरूरत बताई जा रही है- जो कंसेंट, डेटा गवर्नेंस, प्राइवेसी मैनेजमेंट, थर्ड-पार्टी रिस्क, ब्रेच रिस्पॉन्स, टिकटिंग और कानूनी मुद्दों की निगरानी करेगा।
ब्यूरो (Bureau) के हेड ऑफ देवऑप्स और इंफोसेक संदीप रघुवंशी का कहना है कि प्राथमिकता अब डेटा गवर्नेंस पर होगी। यदि कोई संस्था व्यक्तिगत पहचान योग्य जानकारी (PII) या अन्य डेटा इकट्ठा कर रही है, तो उसे स्पष्ट रूप से बताना होगा कि वह वह डेटा कितने समय तक रखेगी।
