डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) नियम, 2025 का मसौदा {DRAFT DIGITAL PERSONAL DATA PROTECTION (DPDP) RULES 2025}

• भारत के भीतर डिजिटल व्यक्तिगत डेटा की प्रोसेसिंग, जहां निम्नलिखित रूप में डेटा एकत्र किया जाता है:
  • डिजिटल रूप में या
  • गैर-डिजिटल रूप में, जिसे बाद में डिजिटल रूप दिया जाता है।
• भारत के लोगों के डेटा को भारत के बाहर प्रोसेसिंग करना, यदि ये डेटा भारत में वस्तुओं या सेवाओं के वितरण के लिए प्राप्त की जाती है।
• यह कानून निम्नलिखित पर लागू नहीं होता:
  • व्यक्तिगत या निजी उद्देश्य के लिए व्यक्तिगत डेटा को प्रोसेस (प्राप्त) करना।
  • व्यक्तिगत डेटा जिसे निम्नलिखित द्वारा सार्वजनिक रूप से उपलब्ध कराया गया है या एकत्र किया गया है-
    • डेटा प्रिंसिपल जिससे व्यक्तिगत डेटा संबंधित है; या
    • कोई अन्य व्यक्ति जो ऐसे व्यक्तिगत डेटा को सार्वजनिक रूप से उपलब्ध कराने के लिए कानूनी रूप से बाध्य है। 

• डेटा प्रिंसिपल द्वारा दी गई सहमति के बाद ही व्यक्तिगत डेटा को प्रोसेस किया जा सकता है, वो भी केवल वैध उद्देश्य के लिए। हालांकि, डेटा प्रिंसिपल को किसी भी समय पूर्व में दी गई अपनी सहमति वापस लेने का अधिकार है। 
  • ऐसे मामले जिनमें सरकार की ओर से कोई लाभ या सेवा प्रदान की जा रही हो, या चिकित्सा आपात जैसी स्थिति आए तो "वैध उपयोग" के लिए डेटा प्रिंसिपल की सहमति की आवश्यकता नहीं होगी। 
• किसी बालक या दिव्यांग जन के मामले में उसके माता-पिता या कानूनी संरक्षक (लीगल गार्डियन) द्वारा सहमति प्रदान की जाएगी। 

भारतीय डेटा संरक्षण बोर्ड (Data Protection

Board of India: DPBI)

• इस कानून में केंद्र सरकार द्वारा DPBI के गठन का प्रावधान किया गया है।
• बोर्ड के प्रमुख कार्य निम्नलिखित हैं: 
  • नियमों के अनुपालन की निगरानी करना और उल्लंघन के मामले में जुर्माना लगाना। 
  • डेटा उल्लंघन की स्थिति में आवश्यक कार्रवाई करने के लिए डेटा फिड्युशियरी को निर्देश देना। 
  • प्रभावित व्यक्तियों द्वारा की गई शिकायतों की सुनवाई करना। 
• बोर्ड के सदस्यों को दो वर्ष के लिए नियुक्त किया जाएगा और वे फिर से नियुक्ति के पात्र होंगे। 
• DPBI के किसी निर्णय के खिलाफ दूरसंचार विवाद निपटान और अपीलीय अधिकरण (Telecom Disputes Settlement and Appellate Tribunal: TDSAT) में अपील की जा सकेगी।

• डेटा प्रिंसिपल के पास निम्नलिखित अधिकार होंगेः 
  • अपने डेटा की प्रोसेसिंग के बारे में जानकारी प्राप्त करना, 
  • व्यक्तिगत डेटा में संशोधन करने और उसे हटाने की मांग करना, 
  • एक डेटा प्रिंसिपल को डेटा फिड्युशियरी के पास शिकायत दर्ज कराने का अधिकार होगा, 
  • मृत्यु या दिव्यांगता की स्थिति में किसी अन्य व्यक्ति को उसकी (डेटा प्रिंसिपल) ओर से अधिकारों का प्रयोग करने के लिए नामित करने का अधिकार। 
• डेटा प्रिंसिपल द्वारा झूठी या व्यर्थ की शिकायत दर्ज नहीं करनी चाहिए और उसे कोई गलत विवरण नहीं देना चाहिए। 
• कर्तव्यों का उल्लंघन करने पर डेटा प्रिंसिपल पर 10,000 रुपये तक का जुर्माना लगाया जा सकता है। 

• डेटा फिड्युशियरी (डेटा प्रोसेसिंग के उद्देश्य और तरीके को निर्धारित करने वाला यूनिट) के निम्नलिखित दायित्व होंगे; 
  • डेटा की सटीकता और पूर्णता सुनिश्चित करना, 
  • व्यक्तिगत डेटा के उल्लंघन को रोकने के लिए उचित सुरक्षा उपाय सुनिश्चित करना, 
  • डेटा के उल्लंघन की स्थिति में भारतीय डेटा संरक्षण बोर्ड और प्रभावित व्यक्तियों को सूचित करना,
  • उद्देश्य पूरा हो जाने तथा कानूनी उद्देश्यों के लिए व्यक्तिगत डेटा बनाए रखने की आवश्यकता नहीं होने पर इसे डिलीट कर देना। 

महत्वपूर्ण डेटा फिड्युशियरी 

(Significant Data Fiduciaries: SDF) 

• केंद्र सरकार निम्नलिखित कारकों को ध्यान में रखते हुए किसी भी डेटा फिड्युशियरी को 'महत्वपूर्ण डेटा फिड्युशियरी' के रूप में अधिसूचित कर सकती है: 
  • प्रोसेस किए गए व्यक्तिगत डेटा की मात्रा और संवेदनशीलता, डेटा प्रिंसिपल के अधिकारों का उल्लंघन। 
  • भारत की संप्रभुता और अखंडता पर पड़ने वाले प्रभाव की संभावना। 
  • राज्य की सुरक्षा, चुनावी लोकतंत्र और लोक-व्यवस्था (पब्लिक-ऑर्डर) को खतरा। 
• SDF के पास डेटा सुरक्षा अधिकारी और एक स्वतंत्र डेटा ऑडिटर नियुक्त करने तथा डेटा साझा करने के प्रभाव का आकलन करने जैसे कुछ अतिरिक्त दायित्व भी होंगे। 

• DPDP, 2023 की धारा 9 के तहत डेटा फिड्युशियरी को बालकों के डेटा को प्रोसेस करने से पहले उनके माता-पिता या कानूनी अभिभावकों से सत्यापन योग्य सहमति प्राप्त करनी होगी।
  • यह अधिनियम बालकों (18 वर्ष से कम आयु) को हानि पहुंचाने वाले या उनको टारगेट करने वाले विज्ञापन बनाने के लिए व्यक्तिगत डेटा की प्रोसेसिंग पर भी प्रतिबंध लगाता है।

• डेटा प्रिंसिपल के अधिकार और डेटा फिड्युशियरी के दायित्व (डेटा सुरक्षा के अतिरिक्त) निम्नलिखित मामलों में लागू नहीं होंगे: 
  • अधिसूचित एजेंसियों द्वारा देश की सुरक्षा और संप्रभुता, लोक व्यवस्था स्थापित करने के उद्देश्य से डेटा संग्रह करना;  
  • अनुसंधान, आर्काइविंग या सांख्यिकीय उद्देश्यों के लिए डेटा प्राप्त करना; 
  • स्टार्ट-अप्स, या डेटा फिड्युशियरी की अन्य अधिसूचित श्रेणियों के लिए; 
  • कानूनी अधिकारों और क्लेम को लागू करने के लिए; 
  • अपराधों को रोकने और उनकी जांच करने के लिए;
  • न्यायिक या विनियामक संबंधी कार्य करने के लिए;  
  • विदेशी अनुबंध के तहत गैर-निवासियों (Non-residents) के व्यक्तिगत डेटा को भारत में प्रोसेस करने के लिए। 
• इसके अलावा, केंद्र सरकार देश की सुरक्षा और लोक-व्यवस्था बनाए रखने हेतु कुछ गतिविधियों को अधिनियम के प्रावधानों से छूट दे सकती है।