DPDP एक्ट: कंपनियों पर बढ़ेगी वेंडरों की ज़िम्मेदारी
DPDP एक्ट की नई गाइडलाइंस के तहत, अब कंपनियों (Data Fiduciaries) को सीधे तौर पर यह सुनिश्चित करना होगा कि उनके डेटा प्रोसेसर यानी थर्ड-पार्टी वेंडर पर्सनल डेटा को कैसे हैंडल कर रहे हैं। चाहे वह IT सर्विस प्रोवाइडर हो, क्लाउड प्लेटफॉर्म हो या एनालिटिक्स फर्म, किसी भी वेंडर की तरफ से डेटा हैंडलिंग में कोई भी चूक सीधे कंपनी की कानूनी और रेपुटेशनल इमेज पर भारी पड़ेगी।
फाइनेंशियली क्या होगा असर?
इस गैर-तैयारी का सीधा असर वित्तीय सेहत पर पड़ेगा। DPDP एक्ट के तहत एक उल्लंघन के लिए ₹250 करोड़ तक का भारी-भरकम जुर्माना लगाया जा सकता है। इतना ही नहीं, भारत में डेटा ब्रीच (Data Breach) की औसत लागत 2025 में ही ₹22 करोड़ के रिकॉर्ड स्तर पर पहुंच चुकी है, और वेंडर की लापरवाही या अपर्याप्त रिपोर्टिंग के कारण यह आंकड़ा और भी बढ़ सकता है।
ऑपरेशनल दिक्कतें और एक्सपर्टाइज की कमी
डाटा प्राइवेसी को लेकर मजबूत उपाय लागू करने में कई ऑपरेशनल दिक्कतें आ रही हैं। EY की एक रिपोर्ट बताती है कि लगभग 77% कंपनियां अपनी पुरानी सिस्टम्स (Legacy Systems) में प्राइवेसी टेक्नोलॉजी, जैसे कि कंसेंट मैनेजमेंट और डेटा डिस्कवरी टूल्स को इंटीग्रेट करने में जूझ रही हैं। इस समस्या को और बढ़ा रहा है एक्सपर्टाइज की कमी, जिसका जिक्र 76.4% लोगों ने किया। इसके चलते 71% से ज्यादा कंपनियां DPDP एक्ट और उसके रूल्स को सही ढंग से लागू करने में मुश्किल महसूस कर रही हैं। ये बड़ी बाधाएं थर्ड-पार्टी रिस्क असेसमेंट, पीरियोडिक ऑडिट और कॉन्ट्रैक्ट्स को ठीक करने जैसे जरूरी कामों को रोक रही हैं।
सेक्टर्स में दिख रहा है बड़ा अंतर
DPDP कंप्लायंस के मामले में विभिन्न इंडस्ट्रीज में तैयारी का स्तर अलग-अलग है। कंज्यूमर, रिटेल और ई-कॉमर्स सेक्टर सबसे आगे हैं, जहां 50% कंपनियों ने अपनी कंप्लायंस यात्रा शुरू कर दी है। इसके बाद टेक्नोलॉजी सर्विसेज (38.8%) और फाइनेंशियल सर्विसेज (34.7%) का नंबर आता है। हालांकि, जिन सेक्टर्स में वेंडरों का इकोसिस्टम ज्यादा कॉम्प्लेक्स है, जैसे हेल्थकेयर, मैन्युफैक्चरिंग, मेटल्स, माइनिंग और एनर्जी, वहां तैयारी काफी कम है। उदाहरण के लिए, हेल्थकेयर सेक्टर, जो बेहद संवेदनशील डेटा को हैंडल करता है, अभी भी शुरुआती दौर में है, जहां केवल 9.9% कंपनियों ने ही प्रगति की है। यह असमानता वेंडर की निगरानी में भी बिखराव पैदा कर रही है। वेंडर को 72 घंटे के भीतर ब्रीच की रिपोर्ट करने का सख्त नियम, साथ ही लॉग रिटेंशन और सुरक्षा उपायों के लिए वेंडरों पर डाला गया दबाव, एक अप्रस्तुत सप्लाई चेन पर भारी दबाव डाल रहा है।
क्या है कंप्लायंस की टाइमलाइन और लागत?
DPDP रूल्स नोटिफाई हो चुके हैं और कंप्लायंस के लिए 18 महीने का वक्त मई 2027 तक है। अब कंपनियों के पास निष्क्रिय रहने का समय नहीं है। DPDP को लागू करने के लिए कंपनियों को प्राइवेसी को देखने का अपना नजरिया बदलना होगा। इसे अब सिर्फ एक कॉन्ट्रैक्ट का हिस्सा नहीं, बल्कि एक जरूरी ऑपरेशनल कंट्रोल माना जा रहा है, जिससे वेंडर रिस्क को एंटरप्राइज रिस्क की श्रेणी में रखा गया है। हिस्टोरिकल रेगुलेटरी बदलावों, जैसे GST लागू होने के वक्त, यह देखा गया था कि कंप्लायंस का बोझ और टेक्नोलॉजी अपग्रेडेशन कितना चुनौतीपूर्ण हो सकता है, खासकर छोटी कंपनियों के लिए। इसी तरह, यूरोपियन यूनियन के GDPR के अनुभव ने दिखाया है कि डेटा प्रोटेक्शन रेगुलेशंस के कारण कंप्लायंस कॉस्ट बढ़ी और निवेश में कमी आई।
भविष्य की तैयारी और अनुमान
विश्लेषकों का मानना है कि जो फर्में DPDP कंप्लायंस को सिर्फ एक रेगुलेटरी चेकलिस्ट की बजाय एक स्ट्रक्चरल ट्रांसफॉर्मेशन के तौर पर देखेंगी, वही ज्यादा भरोसा और मजबूती बना पाएंगी। बड़ी कंपनियों के लिए अनुमानित एकमुश्त (one-time) कंप्लायंस कॉस्ट ₹2.5 करोड़ से ₹18 करोड़ तक हो सकती है, जबकि सालाना चलने वाली लागत ₹50 लाख से ₹10 करोड़ के बीच रहने का अनुमान है। यह निवेश की बड़ी जरूरत को दर्शाता है।
इंडस्ट्री के फोरकास्ट बताते हैं कि AI से प्रेरित होकर इंडियन IT सर्विसेज सेक्टर में ग्रोथ की उम्मीद है, जिससे डेटा की दांव-पेंचें और बढ़ेंगी। लेकिन, DPDP कंप्लायंस के लिए बजट की कमी एक फैक्टर बनी हुई है। विशेषज्ञों का कहना है कि प्रो-एक्टिव अप्रोच अपनाना, जैसे डेटा गवर्नेंस को मॉडर्नाइज करना, कंसेंट फ्रेमवर्क को मजबूत करना और प्राइवेसी-बाय-डिज़ाइन सिस्टम बनाना, बहुत जरूरी है। वेंडर गवर्नेंस पर कार्रवाई में देरी न केवल रेगुलेटरी पेनल्टी का जोखिम बढ़ाती है, बल्कि ऑपरेशनल रुकावटें और गंभीर रेपुटेशनल नुकसान भी पहुंचा सकती है। आगे का रास्ता सिर्फ शुरुआती असेसमेंट से आगे बढ़कर प्राइवेसी को ऑर्गनाइजेशनल कल्चर, सिस्टम और प्रक्रियाओं में गहराई से उतारना है, ताकि यह एक स्ट्रैटेजिक बिजनेस इम्पेरेटिव बन सके।