books
ComputerAwareness-26.webp
previous arrow
next arrow
Shadow

डिजिटल वैयक्तिक डाटा संरक्षण अधिनियम, 2023

डिजिटल वैयक्तिक डाटा संरक्षण अधिनियम, 2023 का उद्देश्य व्यष्टियों के डिजिटल वैयक्तिक डाटा का प्रसंस्करण कानूनी रीति से करने हेतु एक रूपरेखा प्रदान करना है, जो व्यक्तियों के निजी या वैयक्तिक डाटा की सुरक्षा और उससे संबद्ध या तत्संबंधी आकस्मिक मामलों के लिए ऐसे डाटा को संसाधित करने के अधिकारों को सुनिश्चित करता है।

कानून बिना किसी व्यवधान के डाटा वैश्वासिक (या डाटा विश्वासी से कोई ऐसा व्यक्ति अभिप्रेत है जो अकेले या अन्य व्यक्तियों के साथ मिलकर वैयक्तिक डाटा के प्रसंस्करण के प्रयोजन एवं साधनों को अवधारित करता है) द्वारा डाटा को संसाधित करने की रीति में आवश्यक परिवर्तन करने पर भी ध्यान केंद्रित करता है। देश की डिजिटल अर्थव्यवस्था और उसके पारिस्थितिकी तंत्र को सुविधाजनक बनाने के अलावा, अधिनियम का उद्देश्य व्यापार सुगमता और जीवन सुगमता में सुधार करना भी है।

डिजिटल वैयक्तिक डाटा, ऑनलाइन अर्थात इंटरनेट पर उपलब्ध किसी भी डाटा, जो एक व्यक्ति या किसी प्रकार से उसकी संबद्धता की पहचान के लिए प्रयुक्त होता है, को संदर्भित करता है। डाटा प्रसंस्करण का अर्थ है कोई भी स्वचालित कार्य जो डिजिटल वैयक्तिक डाटा के लिए किया जाता है, जैसे डाटा एकत्र करना, संग्रहीत करना, उसका प्रयोग एवं साझा करना।

अधिनियम के मुख्य बिंदु

  • सभी सरकारी एजेंसियों और संस्थानों को लोक व्यवस्था, राज्य की सुरक्षा एवं अपराधों पर अंकुश लगाने सहित कुछ आधारों पर अधिनियम के प्रावधानों का अनुपालन करने से छूट दी गई है।
  • अधिनियम द्वारा यह अनुमति दी गई है कि भारतीय नागरिकों के डिजिटल वैयक्तिक डाटा को केंद्र सरकार द्वारा प्रतिबंधित देशों के सिवाय, विश्व भर के अन्य देशों में अंतरित किया जा सकता है।
  • अधिनियम एक सकारात्मक कार्रवाई द्वारा समर्थित, निःशुल्क, संसूचित, स्पष्ट, विनिर्दिष्ट और बिना शर्त सहमति चाहता है। यद्यपि, यदि सहमति अधिनियम के किसी प्रावधान का उल्लंघन करती है, तो यह उल्लंघन के समानुपात में अमान्य होगी।
  • सहमति अंग्रेजी भाषा या संविधान में मान्य देश की किसी अन्य आधिकारिक भाषा में होनी चाहिए।

महत्वपूर्ण विशेषता

अधिनियम की कुछ महत्वपूर्ण विशेषताएं निम्नलिखित हैं:

अनुप्रयोज्यताः यह कानून भारत के भीतर किए गए डिजिटल वैयक्तिक डाटा के प्रसंस्करण पर लागू होता है, चाहे वह डाटा ऑनलाइन या ऑफलाइन एकत्र किया गया हो, और बाद में कंप्यूटर में डाला गया हो। यह भारत के बाहर किए गए डाटा प्रसंस्करण पर भी लागू होता है, यदि वह भारत और अन्य देशों के बीच वस्तुओं एवं सेवाओं के व्यापार से संबंधित हो।

सहमतिः संबद्ध अधिकारी वैयक्तिक डाटा का प्रसंस्करण केवल व्यक्ति की सहमति से वैध प्रयोजनों के लिए कर सकते हैं। सहमति मांगने से पहले, अधिकारियों को एक नोटिस भेजना होगा, जिसमें एकत्र किए जाने वाले वैयक्तिक डाटा और इसे संसाधित करने का कारण बताना होगा। व्यक्ति अपनी इच्छानुसार अपनी सहमति वापस ले सकता है। 18 वर्ष से कम आयु के व्यक्तियों के लिए माता-पिता या कानूनी अभिभावकों को अपनी सहमति प्रदान करनी होगी। इस प्रकार, अधिनियम का उद्देश्य बच्चों के वैयक्तिक डाटा की सुरक्षा करना भी है।

हालांकि, किसी विशिष्ट प्रयोजन हेतु स्वेच्छा से डाटा साझा करने या सरकार द्वारा व्यक्तियों को लाइसेंस, परमिट, लाभ आदि प्रदान करने या चिकित्सा आपात, या रोजगार प्रयोजनों के लिए ऐसे डाटा की आवश्यकता के मामले में व्यक्ति की सहमति लेना आवश्यक नहीं है।

डाटा स्वामी के अधिकार और कर्तव्य: डाटा स्वामी (इसका अर्थ ऐसे व्यक्ति या कंपनियों से है जिनसे डाटा संबंधित है) को कई अधिकार दिए गए हैं, जैसे प्रसंस्करण के बारे में जानकारी प्राप्त करने; उनके वैयक्तिक डाटा को सुधारने और मिटाने; मृत्यु या अक्षमता की स्थिति में अधिकारों का प्रयोग करने के लिए किसी अन्य व्यक्ति को नाम निर्देशित करने; और डिजिटल वैयक्तिक डाटा प्रोसेसिंग/सुरक्षा से संबंधित किसी भी शिकायत का निवारण करने का अधिकार। इसके अलावा, डाटा स्वामी को कुछ कर्तव्यों को पूरा करना होता है, अर्थात, कोई गलत विवरण प्रदान करना, किसी अन्य व्यक्ति या परिवार के सदस्य की विशेषताओं का प्रतिरूपण करना और झूठी शिकायत दर्ज करना सर्वथा निषिद्ध है।

डाटा वैश्वासिक की बाध्यताएं: डाटा की सटीकता और पूर्णता सुनिश्चित करना, उचित सुरक्षोपाय बनाकर डाटा को सुरक्षित रखना, यदि डाटा का प्रयोजन पूरा हो चुका हो और अब इसकी आवश्यकता न हो तो संबद्ध डाटा को प्रणाली से हटाना डाटा वैश्वासिक का दायित्व है, और उसे डाटा उल्लंघन के मामले में, भारतीय डाटा संरक्षण बोर्ड और प्रभावित व्यक्तियों को सूचित करना होगा। हालांकि, यदि डाटा वैश्वासिक सरकारी संस्थाएं हों तो डाटा स्वामी डाटा को समाप्त करने और उसके संग्रहण की सीमा के अपने अधिकार का प्रयोग नहीं कर सकते।

अपवादः कुछ स्थितियों में, डिजिटल वैयक्तिक डाटा संरक्षण अधिनियम को इसकी प्रयोज्यता से छूट दी जाएगी। इन स्थितियों में निम्नलिखित शामिल हैं:

  • जब सरकार की कुछ अधिसूचित एजेंसियां देश की संप्रभुता एवं अखंडता, लोक व्यवस्था आदि बनाए रखने के लाभ हेतु डाटा प्रसंस्करण करती हैं।
  • जब संग्रह, अनुसंधान और सांख्यिकीय प्रयोजनों के लिए डाटा प्रसंस्करण आवश्यक हो।
  • जब विलयन या अलगाव, जांच, या किसी अपराध की सुनवाई आदि के मामले में कानूनी अधिकार /दावे का कार्यान्वयन करने हेतु व्यक्तिगत डाटा का प्रसंस्करण आवश्यक हो गया हो।
  • जब केंद्र सरकार कुछ अधिसूचित श्रेणियों के डाटा वैश्वासिक या स्टार्टअप को कुछ दायित्वों से छूट देती है, जिसमें नोटिस और प्रतिधारण आवश्यकताओं की पूर्ति आदि शामिल है।
  • जब विनियामक या न्यायिक कार्यों को करने तथा बकायादारों की पहचान करने और उनकी वित्तीय संपत्तियों को दर्ज करने के लिए प्रसंस्करण आवश्यक है।
  • जब किसी विदेशी संविदा के कारण गैर-निवासियों के वैयक्तिक डाटा का प्रसंस्करण भारत में किया गया हो।

भारतीय डाटा संरक्षण बोर्डः इसकी स्थापना देश की केंद्र सरकार द्वारा

  • अनुपालन की निगरानी करने;
  • अर्थदंड लगाने;
  • डाटा उल्लंघन के मामले में आवश्यक कदमों का पालन करने के लिए डाटा वैश्वसिक को निर्देश देने; और
  • प्रभावित व्यक्तियों की शिकायतों का समाधान करने हेतु की जाएगी।

शास्ति: अन्य बातों के अलावा, यह अधिनियम निम्नलिखित शस्तियों का भी प्रावधान करता है, जो जांच के बाद अधिकारों, कर्तव्यों एवं दायित्वों के उल्लंघन के लिए भारतीय डाटा संरक्षण बोर्ड द्वारा क्रियान्वित किए जा सकते हैं।

  • डाटा स्वामियों द्वारा किए गए कर्तव्य के किसी भी उल्लंघन, जैसे कि गलत विवरण प्रदान करने के लिए, उन पर 10,000 रुपये तक का जुर्माना लगाया जाएगा।
  • बच्चों के प्रति दायित्व पूरा न करने पर 200 करोड़ रुपये का जुर्माना लगाया जा सकता है।
  • यदि डाटा उल्लंघन को रोकने के लिए डाटा वैश्वासिक द्वारा उचित सुरक्षोपाय नहीं किए जाते हैं, तो उन पर 250 करोड़ रुपये का जुर्माना लगाया जा सकता है।

मुख्य मुद्दे और विश्लेषण

इस अधिनियम से संबंधित प्रमुख मुद्दे और विश्लेषण इस प्रकार हैं:

  • जब सरकारी एजेंसियों को कई परिस्थितियों में डाटा प्रसंस्करण की छूट प्राप्त होती है, जैसे कि राष्ट्रीय सुरक्षा के मामले में तो वे डाटा एकत्र कर सकते हैं, इसे संसाधित कर सकते हैं और आवश्यकता से अधिक समय तक उसे अपने पास रख सकते हैं। इससे निजता के मौलिक अधिकार का उल्लंघन हो सकता है। इससे पूर्व, 2017 में, उच्चतम न्यायालय ने घोषणा की थी कि इस तरह का हस्तक्षेप निजता के अधिकार के किसी भी उल्लंघन के आनुपातिक होना चाहिए। राष्ट्रीय सुरक्षा के मामले में, यदि कोई सरकारी एजेंसी निगरानी के लिए एक संपूर्ण रूपरेखा विकसित करने हेतु डाटा एकत्र करती है और उसी प्रयोजन के लिए अन्य एजेंसियों द्वारा संग्रहित डाटा का उपयोग करती है, तो यह प्रश्न उठता है कि क्या ये छूट आनुपातिकता परीक्षण में सफल हो पाएगी।
  • जब राज्य द्वारा व्यक्तियों के निजी डाटा का प्रसंस्करण लाभ, लाइसेंस, परमिट, सेवाएं आदि प्रदान करने के लिए किया जाता है, तो संबद्ध व्यक्ति की सहमति की आवश्यक नहीं है। इसके अलावा, राज्य इनमें से किसी भी प्रयोजन हेतु पहले से उपलब्ध वैयक्तिक डाटा का प्रसंस्करण भी कर सकता है। इसलिए, अधिनियम ‘प्रयोजन सीमा’ की अवहेलना करता है, जिसे इसके प्रमुख सिद्धांतों में से एक के रूप में उद्धृत किया गया है। अब, प्रश्न उठता है कि क्या ऐसी छूट देना उचित है।
  • अधिनियम नागरिकों की प्रोफाइलिंग (ज्ञात लक्षणों या प्रवृत्तियों के आधार पर किसी व्यक्ति के बारे में जानकारी प्राप्त करने की क्रिया या प्रक्रिया) को सक्षम बनाता है, जैसा कि विभिन्न प्रयोजनों हेतु डाटा एकत्रित किया जा सकता है। हालांकि, यदि व्यष्टि की सहमति महत्वपूर्ण हुई, तो वे अपने वैयक्तिक डाटा के संग्रह एवं साझाकरण को बेहतर ढंग से नियंत्रित करने में सक्षम होंगे।
  • वैयक्तिक डाटा के प्रसंस्करण के हानिकारक प्रभावों, जैसे वित्तीय हानि, लाभ या सेवाओं तक पहुंच की क्षति, भेदभाव, प्रतिष्ठा की हानि, पहचान की चोरी, और अनियंत्रित निगरानी एवं प्रोफाइलिंग, को अधिनियम द्वारा विनियमित नहीं किया गया है। हालांकि, वैयक्तिक डाटा संरक्षण विधेयक, 2019 में उपरिनिर्दिष्ट तथ्यों को क्षति के रूप में शामिल किया गया था, और प्रस्तावित किया गया था कि डाटा वैश्वासिकों द्वारा उन्हें कम करने के लिए उचित उपाय किए जाने चाहिए या उन्हें उन डाटा स्वामियों की क्षतिपूर्ति करनी चाहिए जिन्हें डाटा प्रसंस्करण के दौरान क्षति हुई है। इसलिए, संयुक्त संसदीय समिति (जेपीसी) ने इन प्रावधानों को प्रतिधरित करने का सुझाव दिया। 
  • अधिनियम के अनुसार डाटा स्वामियों को डाटा पोर्टेबिलिटी (विभिन्न अनुप्रयोग, कंप्यूटर, प्रोग्राम और क्लाउड सेवाओं के बीच डाटा के अंतरण की क्षमता) का अधिकार और विस्मृति का अधिकार नहीं है। लेकिन जेपीसी ने इन अधिकारों को डाटा संरक्षण कानून के एक अनिवार्य हिस्से के रूप में शामिल करने की अनुशंसा की। डाटा पोर्टेबिलिटी का अधिकार डाटा स्वामियों को अपने अपने प्रयोग हेतु डाटा प्राप्त करने और अंतरित करने की सुविधा देता है, जिससे उन्हें अपने डाटा पर अधिक नियंत्रण मिलता है। विभिन्न डाटा वैश्वासिकों के बीच डाटा के इस अंतरण से उनके व्यापार रहस्यों का खुलासा हो सकता है। यद्यपि, व्यापार रहस्य के कारण डाटा पोर्टेबिलिटी के अधिकार से इनकार नहीं किया जा सकता।

विस्मृति का अधिकार डाटा स्वामियों को अपने वैयक्तिक डाटा को सीमित तरीके से इंटरनेट पर पोस्ट करने की सुविधा देता है। यह वैयक्तिक डाटा जनता के लिए कितना प्रासंगिक है, वैयक्तिक डाटा कितना संवेदनशील है और डाटा स्वामी सार्वजनिक जीवन में क्या भूमिका निभाता है जैसे कारकों के आधार पर लागू हो सकता है।

  • अधिनियम के प्रावधानों के अनुसार, भारतीय नागरिकों का वैयक्तिक डाटा, केंद्र सरकार द्वारा प्रतिबंधित कुछ देशों को छोड़कर अन्य सभी देशों में अंतरित किया जा सकता है। परंतु यह सुनिश्चित नहीं करता कि उन देशों में डाटा सुरक्षा मानकों को लागू किया जा रहा है जहां डाटा अंतरित किया गया है। 2019 के विधेयक के अनुसार, सरकार को ऐसे अंतरण की अनुमति तभी देनी चाहिए जब पर्याप्त सुरक्षा प्रदान की गई हो।
  • भारतीय डाटा संरक्षण बोर्ड में सदस्यों की नियुक्ति दो साल की अवधि के लिए की जाएगी। तथापि, उनकी सेवा के आधार पर उन्हें पुनः नियुक्त किया जा सकता है। परिणामस्वरूप, कार्यपालिका के अधिक नियंत्रण और प्रभाव के अलावा बोर्ड की स्वतंत्र कार्यप्रणाली में बाधा उत्पन्न हो सकती है।   
  • अधिनियम के अनुसार, कोई भी प्रसंस्करण जो किसी बालक के कल्याण हेतु हानिकारक है, डाटा वैश्वासिकों द्वारा नहीं किया जाएगा। हालांकि, अधिनियम यह स्पष्ट नहीं करता है कि हानिकारक प्रभाव क्या है।

© Spectrum Books Pvt. Ltd.

 

spectrum-books-logo

  

Spectrum Books Pvt. Ltd.
Janak Puri,
New Delhi-110058

  

Ph. : 91-11-25623501
Mob : 9958327924
Email : info@spectrumbooks.in