सरकार ने डिजिटल निजी डेटा संरक्षण (डीपीडीपी) अधिनियम के तहत प्रशासनिक नियमों को आज अधिसूचित कर दिया। इसके साथ ही भारत उन चुनिंदा देशों की जमात में शामिल हो गया है जिनके पास एक संघीय डिजिटल व्यक्तिगत डेटा गोपनीयता व्यवस्था है। उद्योग और कानूनी विशेषज्ञों ने इन विस्तृत नियमों का स्वागत किया है क्योंकि भारत के डिजिटल परिवेश में डेटा हैंडलिंग के लिए आखिरकार एक स्पष्ट ढांचा मिल गया है।
नए नियम चरणबद्ध तरीके से कार्यान्वयन की अनुमति देते हैं। यह कानून कंपनियों, डेटा फिड्युशरी, डेटा प्रिंसिपल एवं अन्य हितधारकों को डीपीडीपी अधिनियम के तहत प्रशासनिक दिशानिर्देशों का पालन करने के लिए 18 महीने तक का समय देता है। कंसेंट मैनेजरों के पास उपयोगकर्ताओं की ओर से कार्य करने के लिए पंजीकरण करने के लिए 12 महीने तक का समय होगा।
उपयोगकर्ताओं के डिजिटल व्यक्तिगत डेटा को संभालने वाली कंपनियां, सोशल मीडिया प्लेटफॉर्म और इंटरनेट मध्यस्थ अब डेटा फिड्युशरी की श्रेणी में आएंगे। इनके द्वारा प्रॉसेसिंग के लिए जिन उपयोगकर्ताओं के व्यक्तिगत डेटा की मांग की जाती है, वे अब डेटा प्रिंसिपल कहलाएंगे।
डीपीडीपी नियमों की अधिसूचना भारत के गोपनीयता कानून की परिकल्पना के लगभग 15 साल बाद लागू हो रही है। नए नियमों के तहत इलेक्ट्रॉनिकी एवं सूचना प्रौद्योगिकी मंत्रालय ने अनिवार्य किया है कि सभी डेटा फिड्युशरी को बिल्कुल स्पष्ट एवं सरल भाषा में डेटा प्रिंसिपल से सहमति लेनी होगी।
मांगी गई सहमति में उपयोगकर्ता के व्यक्तिगत डेटा का विस्तृत विवरण भी शामिल होना चाहिए। साथ ही उसमें उस खास प्रयोजन का भी उल्लेख होना चाहिए जिसके लिए डेटा फिड्युशरी ऐसे व्यक्तिगत डेटा को एकत्रित कर रही है।
नए नियम केंद्र सरकार के कुछ प्रतिबंधों के साथ व्यक्तिगत डेटा को देश से बाहर स्थानांतरित करने की अनुमति देते हैं। यह उन तमाम दिग्गज प्रौद्योगिकी कंपनियों के साथ एक विवादास्पद मुद्दा था जो डेटा स्थानीयकरण के पक्ष में नहीं थीं।
सरकार ने भारत में कार्यरत डेटा फिड्युशरी द्वारा प्रॉसेस किए गए व्यक्तिगत डेटा के सीमा पार हस्तांतरण की अनुमति दी है, लेकिन उसने यह भी कहा है कि ऐसे प्लेटफॉर्म और कंपनियों को समय-समय पर केंद्र सरकार द्वारा निर्धारित आवश्यकताओं को पूरा करना होगा। ऐसा खास तौर पर उन मामलों में होना चाहिए जहां व्यक्तिगत डेटा को किसी अन्य देश उसके नियंत्रण वाली संस्था या एजेंसी को उपलब्ध कराया जा रहा हो।
सार्वजनिक नीति की वकालत करने वाली संस्था द क्वांटम हब की संस्थापक पार्टनर अपराजिता भारती ने कहा, ‘यह भू-राजनीतिक परिदृश्य और भारत की तकनीकी संप्रभुता के बारे में चिंता को दर्शाता है। वैश्विक कंपनियां ऐसे किसी भी स्थानीयकरण आदेश का विरोध कर सकती हैं क्योंकि इससे उनके लिए परिचालन संबंधी कठिनाइयां पैदा होती हैं।’ डेटा फिड्युशरी को अब उपयोगकर्ताओं को किसी भी समय अपनी सहमति आसानी से वापस लेने, अधिनियम के तहत दिए गए अन्य अधिकारों का प्रयोग करने और डेटा संरक्षण बोर्ड (डीपीबी) में शिकायत दर्ज करने की भी अनुमति देनी होगी।
कानूनी फर्म खेतान ऐंड कंपनी के पार्टनर हर्ष वालिया ने कहा, ‘संगठनों को अब सहमति की रूपरेखा पर नए सिरे से गौर करना होगा ताकि यह सुनिश्चित हो सके कि उपयोगकर्ताओं को स्पष्ट तौर पर बताकर सहमति ली गई है और वह उपयोग की उन मानक शर्तों से बिल्कुल अलग है जिन्हें उपयोगकर्ता आम तौर पर स्वतः स्वीकार कर लेते हैं।’
नए नियम के तहत इंटरनेट एवं सोशल मीडिया मध्यस्थों के अलावा उपयोगकर्ताओं के डिजिटल डेटा का उपयोग करने वाली अन्य सभी कंपनियों को नियमों का अनुपालन करने के लिए 18 महीने तक का समय दिया गया है। उपयोगकर्ताओं के लिए कंसेंट मैनेजर के रूप में कार्य करने की इच्छुक कंपनियों को 12 महीनों के भीतर डेटा संरक्षण बोर्ड (डीपीबी) में अपना पंजीकरण कराना होगा। डेलॉयट के पार्टनर गोल्डी धामा ने कहा, ‘सोच-समझ कर लाया गया यह प्रावधान संगठनों को प्रभाव का आकलन करने, डेटा प्रवाह का पुनर्गठित करने, वेंडर प्रशासन को दुरुस्त करने और लेखा परीक्षा ढांचे को कानूनी रूप से मजबूत करने में सक्षम बनाता है।’
