ભારતનો DPDP એક્ટ: કાનૂની ગૂંચવણ અને ખર્ચનો બોજ, ફાઈન (Fine) કરતાં મોટી ચિંતા

LAWCOURT
Whalesbook Logo
AuthorAman Ahuja|Published at:
ભારતનો DPDP એક્ટ: કાનૂની ગૂંચવણ અને ખર્ચનો બોજ, ફાઈન (Fine) કરતાં મોટી ચિંતા
Overview

ભારતનો નવો ડિજિટલ પર્સનલ ડેટા પ્રોટેક્શન એક્ટ (DPDP Act) **2023**, હાલમાં દેશભરના બિઝનેસ (Business) માટે જટિલ નિયમનકારી પડકાર બની રહ્યો છે. દંડ (Penalties) ની જોગવાઈઓ ઉપરાંત, કાયદામાં 'કાનૂની હેતુ' (Lawful Purpose) ની વ્યાપક વ્યાખ્યા નોંધપાત્ર કાનૂની ગૂંચવણ ઊભી કરી રહી છે. સાથે જ, ફરજિયાત 'સાત સુરક્ષા સ્તંભો' (Seven Pillars of Security) માટે મોટા ઓપરેશનલ અને નાણાકીય રોકાણની જરૂર છે, જે ખાસ કરીને નાના અને મધ્યમ ઉદ્યોગો (SMEs) માટે મોટી અડચણરૂપ બની શકે છે અને ભારતના ઝડપથી વિકસતા ડિજિટલ અર્થતંત્રમાં નવીનતાને અવરોધી શકે છે.

આ પરિસ્થિતિ ભારતના નિયમનકારી માળખામાં એક મોટો બદલાવ દર્શાવે છે, જ્યાં ડિજિટલ અર્થતંત્ર હવે મજબૂત જવાબદારીની માંગ કરી રહ્યું છે. ભારતના અંદાજે ટ્રિલિયન-ડોલર (Trillion-Dollar) ના ડિજિટલ માર્કેટમાં કાર્યરત કંપનીઓ માટે, ડિજિટલ પર્સનલ ડેટા પ્રોટેક્શન એક્ટ, 2023 (DPDP Act) નિયત દંડ કરતાં પણ વધુ જટિલ ઓપરેશનલ પડકારો રજૂ કરે છે.

કાનૂની ગૂંચવણનો ફંદો: 'કાનૂની હેતુ' (Lawful Purpose) એક અનુપાલન સંકટ

DPDP એક્ટ હેઠળ ડેટા પ્રોસેસિંગ માટે 'કાનૂની હેતુ' ની વ્યાખ્યા, જે 'કાયદા દ્વારા સ્પષ્ટપણે પ્રતિબંધિત ન હોય તેવું કંઈપણ' છે, તે વ્યવસાયો માટે નોંધપાત્ર કાનૂની ગ્રે એરિયા (Grey Area) સાબિત થઈ રહી છે. આ વ્યાપક, નકારાત્મક રીતે ઘડાયેલી વ્યાખ્યા ડેટા પ્રોટેક્શન બોર્ડ (Data Protection Board) દ્વારા અર્થઘટન માટે ઘણી જગ્યા છોડી દે છે, જે અણધાર્યા જવાબદારીઓ સાથે કંપનીઓને આશ્ચર્યચકિત કરી શકે છે. જ્યારે તે લવચીકતા પ્રદાન કરતું જણાય છે, ત્યારે આ અસ્પષ્ટતા નોંધપાત્ર અનુપાલન જોખમ ઊભું કરે છે, કારણ કે ચોક્કસ ડેટા ઉપયોગોની કાયદેસરતા પૂર્વ-નિર્ધારિત કાનૂની સીમાઓને બદલે નિયમનકારી નિર્ણયો દ્વારા જ સ્પષ્ટ થઈ શકે છે. આ GDPR જેવા શાસનથી વિપરીત છે, જે ઘણીવાર સંમતિ (Consent) ઉપરાંત પ્રોસેસિંગ માટે સ્પષ્ટ કાનૂની આધાર પર આધાર રાખે છે. 'સારા વિશ્વાસ' (Good Faith) જેવા શબ્દો પર સ્પષ્ટ માર્ગદર્શનનો અભાવ જવાબદારી અને સંભવિત સુધારા પદ્ધતિઓને વધુ ઘટાડે છે, જે ડેટા ટ્રસ્ટીઓ (Data Fiduciaries) માટે અનિશ્ચિતતા વધારે છે.

'સાત સ્તંભો' નો બોજ: ડેટા સુરક્ષાનું ઓપરેશનલ અમલીકરણ

DPDP નિયમો 2025 (DPDP Rules 2025) દ્વારા વિગતવાર, એક્ટની કલમ 8(5) હેઠળ 'વાજબી સુરક્ષા પગલાં' (Reasonable Security Safeguards) ની ફરજ નોંધપાત્ર ઓપરેશનલ અને નાણાકીય બોજ લાદે છે. આ સાત સ્તંભો - વ્યાપક ડેટા સુરક્ષા, કડક એક્સેસ કંટ્રોલ (Access Control), રીઅલ-ટાઇમ મોનિટરિંગ (Real-time Monitoring), બિઝનેસ કન્ટિન્યુઇટી (Business Continuity), એક વર્ષ માટે લોગ રીટેન્શન (Log Retention), ડેટા પ્રોસેસર માટે કરારબદ્ધ જવાબદારીઓ અને અસરકારક તકનીકી/સંગઠનાત્મક પગલાં - ટેકનોલોજી અને પ્રક્રિયા સુધારણામાં નોંધપાત્ર રોકાણની જરૂર પડે છે. ખાસ કરીને નાના અને મધ્યમ ઉદ્યોગો (SMEs) માટે, એન્ક્રિપ્શન (Encryption), મલ્ટિ-ફેક્ટર ઓથેન્ટિકેશન (Multi-factor Authentication), રોલ-બેઝ્ડ એક્સેસ કંટ્રોલ (Role-based Access Control) અને મજબૂત બેકઅપ સિસ્ટમ્સ (Backup Systems) લાગુ કરવાનો ખર્ચ ઘણો વધારે છે. અંદાજો સૂચવે છે કે અનુપાલન ખર્ચ ઓપરેશનલ બજેટમાં 10-30% સુધી વધારી શકે છે, જેમાં SMEs માટે મોટા સુધારાની જરૂર પડે તો સંભવિતપણે ઊંચો ટકાવારી વધારો થઈ શકે છે. આ ઈન્ફ્રાસ્ટ્રક્ચર (Infrastructure) ની માંગ ભારતના વિકસતા સાયબર સુરક્ષા બજાર (Cybersecurity Market) માટે મુખ્ય ચાલક બળ છે, જે 2030 સુધીમાં $12.9 બિલિયન સુધી પહોંચવાનો અંદાજ છે. જોકે, તાત્કાલિક પડકાર અગ્રિમ મૂડી ખર્ચ (Capital Expenditure) અને ચાલુ જાળવણીમાં છે, જે નાના ખેલાડીઓ માટે નવીનતાને અવરોધી શકે છે.

વૈશ્વિક સુસંગતતા, ભારતીય સૂક્ષ્મતાઓ: DPDP નું બેન્ચમાર્કિંગ

જ્યારે DPDP એક્ટ તેના મુખ્ય સિદ્ધાંતો - જેમ કે સંમતિ, પારદર્શિતા અને સુરક્ષા પગલાં - માં EU ના GDPR અને કેલિફોર્નિયાના CCPA જેવા વૈશ્વિક ડેટા ગોપનીયતા ફ્રેમવર્ક (Privacy Frameworks) સાથે સુસંગત છે, તે વિશિષ્ટ લાક્ષણિકતાઓ રજૂ કરે છે. GDPR થી વિપરીત, DPDP માં સંવેદનશીલ ડેટા માટે કોઈ વિશિષ્ટ શ્રેણીઓ નથી, અને તમામ વ્યક્તિગત ડેટા પર સમાન ધોરણો લાગુ પડે છે. તેની સંમતિ-કેન્દ્રિત વ્યવસ્થા નોંધપાત્ર છે, જેમાં GDPR ની તુલનામાં પ્રોસેસિંગ માટે ઓછા વૈકલ્પિક કાનૂની આધાર (Lawful Bases) છે. એક્ટની એક્સ્ટ્રાટેરિટોરિયલ પહોંચ (Extraterritorial Reach) વ્યાપક છે, જે ભારતમાં માલસામાન અથવા સેવાઓ ઓફર કરવા સંબંધિત ડેટા પ્રોસેસ કરતી વિદેશી કંપનીઓને પણ આવરી લે છે. દંડ, ₹250 કરોડ સુધીના નોંધપાત્ર હોવા છતાં, GDPR ના આવક-આધારિત દંડ (Revenue-based Fines) થી અલગ રીતે રચાયેલ છે. વૈશ્વિક શ્રેષ્ઠ પદ્ધતિઓ અને ભારતીય વિશિષ્ટતાઓના આ મિશ્રણને આંતરરાષ્ટ્રીય વ્યવસાયો માટે કાળજીપૂર્વક નેવિગેટ કરવાની જરૂર છે.

ફોરેન્સિક બેર કેસ (Forensic Bear Case): ₹250 કરોડ ના દંડથી આગળના જોખમો

એક્ટની કડક વિકેરિયસ લાયબિલિટી (Vicarious Liability) જોગવાઈઓનો અર્થ છે કે ડેટા ટ્રસ્ટીઓ ડેટા પ્રોસેસર દ્વારા થયેલા ભંગ માટે જવાબદાર રહેશે, જેના માટે 'વોટરટાઈટ' (Watertight) વિક્રેતા કરાર (Vendor Contracts) ની જરૂર પડશે. આ તૃતીય-પક્ષ વિક્રેતાઓની કડક ચકાસણી કરવાની કંપનીઓ પર અપાર જવાબદારી મૂકે છે. વધુમાં, ડેટા પ્રોટેક્શન બોર્ડ ઓફ ઇન્ડિયા (Data Protection Board of India), સ્થાપિત હોવા છતાં, તેની સ્વાયત્તતા (Autonomy) અને અમલીકરણના જથ્થાને સંભાળવાની ક્ષમતા અંગે પ્રશ્નોનો સામનો કરી રહ્યું છે, જે સંભવિતપણે સક્રિય દેખરેખને મર્યાદિત કરી શકે છે. બોર્ડની કેન્દ્રિય રચના, પેટા-રાષ્ટ્રીય શાખાઓ (Sub-national Branches) વિના, સમગ્ર ભારતમાં નાગરિકો માટે સુલભતા (Accessibility) સંબંધિત ચિંતાઓ પણ ઊભી કરી શકે છે. ભારતમાં ડેટા સંરક્ષણ કાયદાઓનો ઐતિહાસિક વિકાસ, વિખરાયેલા IT એક્ટ 2000 થી લઈને વર્તમાન વ્યાપક માળખા સુધી, ન્યાયિક અર્થઘટન (Judicial Interpretation) અને વૈશ્વિક નિયમનકારી પ્રવાહો (Regulatory Trends) દ્વારા સંચાલિત મુસાફરી પર પ્રકાશ પાડે છે. જોકે, રાષ્ટ્રીય સુરક્ષા (National Security) અને કાયદા અમલીકરણ (Law Enforcement) માટે વ્યાપક છૂટછાટો (Exemptions) અને ડેટા પ્રિન્સિપલ્સ (Data Principals) માટે ખાનગી અધિકાર (Private Right of Action) નો અભાવ, કેટલાક યુએસ કાયદાઓની જેમ, સરકાર દ્વારા સંભવિત દુરુપયોગ અંગે ચિંતાઓ યથાવત છે.

ભવિષ્યનું દૃશ્ય: ઉન્નત ગોપનીયતા સાથે ભારતના ડિજિટલ વિકાસમાં નેવિગેટ કરવું

ભારતની ડિજિટલ અર્થવ્યવસ્થા નોંધપાત્ર વૃદ્ધિ માટે તૈયાર છે, જે 2026 સુધીમાં GDP માં 20% ફાળો આપવાનો અંદાજ છે. DPDP એક્ટ, તેના અનુપાલન પડકારો છતાં, વિશ્વાસ અને પારદર્શિતાને પ્રોત્સાહન આપવા માટે રચાયેલ છે, જે આ ટ્રિલિયન-ડોલર માર્કેટમાં સતત વૃદ્ધિ માટે આવશ્યક તત્વો છે. ભારતમાં સાયબર સુરક્ષા બજાર મજબૂત વિસ્તરણનો અનુભવ કરી રહ્યું છે, જે આંશિક રીતે DPDP એક્ટ જેવા નિયમનકારી આદેશો દ્વારા સંચાલિત છે, જેનાથી ઉકેલ પ્રદાતાઓ (Solution Providers) માટે તકો ઊભી થાય છે. વિશ્લેષકો નવા સિસ્ટમ્સ અને પ્રક્રિયાઓની જરૂરિયાતને કારણે ડેટા ટ્રસ્ટીઓ માટે ઓપરેશનલ ખર્ચમાં નોંધપાત્ર વધારો જોવાની અપેક્ષા રાખે છે. એક્ટનો ઉદ્દેશ વધુ જવાબદાર ડિજિટલ ઇકોસિસ્ટમ (Digital Ecosystem) બનાવવાનો છે, જે સંભવિતપણે ભારતની વૈશ્વિક ડિજિટલ અર્થતંત્રમાં વિશ્વસનીય ભાગીદાર તરીકેની સ્થિતિને મજબૂત બનાવશે, જો વ્યવસાયો સહજ અનુપાલન જટિલતાઓ અને અસ્પષ્ટતાઓને અસરકારક રીતે સંચાલિત કરી શકે.

Disclaimer:This content is for educational and informational purposes only and does not constitute investment, financial, or trading advice, nor a recommendation to buy or sell any securities. Readers should consult a SEBI-registered advisor before making investment decisions, as markets involve risk and past performance does not guarantee future results. The publisher and authors accept no liability for any losses. Some content may be AI-generated and may contain errors; accuracy and completeness are not guaranteed. Views expressed do not reflect the publication’s editorial stance.