Whalesbook
इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY) ने अंतिम डिजिटल व्यक्तिगत डेटा संरक्षण नियम, 2025 जारी किए हैं, जिससे डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023, 13 नवंबर, 2025 से लागू हो जाएगा। यह डेटा गोपनीयता में एक महत्वपूर्ण कदम है। नियमों में एक चरणबद्ध कार्यान्वयन की रूपरेखा बताई गई है, जिसमें संगठनों को पूर्ण अनुपालन के लिए 18 महीने, यानी 13 मई, 2027 तक का समय दिया गया है। मुख्य प्रावधानों में अनिवार्य डेटा प्रतिधारण अवधि, सहमति प्रबंधन और सीमा-पार डेटा हस्तांतरण प्रतिबंध शामिल हैं।
इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY) ने 13 नवंबर, 2025 की तारीख वाली एक गजट अधिसूचना के माध्यम से आधिकारिक तौर पर अंतिम डिजिटल व्यक्तिगत डेटा संरक्षण नियम, 2025 प्रकाशित किए हैं। इस कार्रवाई से डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023, पूरी तरह से लागू हो गया है। नियम अनुपालन के लिए एक संरचित समय-सीमा प्रस्तुत करते हैं:
1. 13 नवंबर, 2025: डेटा संरक्षण बोर्ड (DPB) की स्थापना और संचालन से संबंधित नियम प्रभावी होंगे, जिससे इसके गठन की प्रक्रिया शुरू होगी।
2. 13 नवंबर, 2026 (12 महीने बाद): सहमति प्रबंधकों (Consent Managers) के लिए बोर्ड के साथ पंजीकरण करने और दायित्वों का पालन करने की आवश्यकताएं सक्रिय हो जाएंगी।
3. 13 मई, 2027 (18 महीने की संक्रमण अवधि): संगठनों को अधिनियम के मुख्य पहलुओं का अनुपालन करने की समय सीमा दी गई है, जिसमें डेटा फिड्यूशरी दायित्व, नोटिस और सहमति आवश्यकताएं, डेटा प्रिंसिपल अधिकार, सुरक्षा उपाय, बच्चों के डेटा का प्रसंस्करण, छूट और सीमा-पार डेटा हस्तांतरण शामिल हैं।
ड्राफ्ट नियमों से मुख्य बदलावों में व्यक्तिगत डेटा के लिए कम से कम एक वर्ष की अनिवार्य डेटा प्रतिधारण अवधि, साथ ही संबंधित ट्रैफ़िक और प्रोसेसिंग लॉग शामिल हैं, जब तक कि कानून द्वारा लंबी अवधि की आवश्यकता न हो या विशिष्ट सरकारी उद्देश्यों के लिए न हो। चित्र इसे स्पष्ट करते हैं, जिसमें दिखाया गया है कि उपयोगकर्ता अपना खाता हटा दे तब भी डेटा को लेन-देन के बाद एक वर्ष तक बनाए रखना होगा। संगठनों को 90 दिनों के भीतर डेटा प्रिंसिपल के अनुरोधों का जवाब देना होगा। महत्वपूर्ण डेटा फिड्यूशरी (SDFs) पर भारत के बाहर ट्रैफ़िक डेटा स्थानांतरित करने पर प्रतिबंध हैं। बच्चों के डेटा को संसाधित करने के लिए एक अपवाद में अब उनकी सुरक्षा के लिए वास्तविक समय स्थान ट्रैकिंग की अनुमति दी गई है। नियमों ने आईटी अधिनियम की धारा 43A और SPDI नियमों को भी निरस्त कर दिया है, निर्धारित ISO मानकों को स्व-परिभाषित 'उचित सुरक्षा उपायों' (reasonable security measures) से बदल दिया है, जिससे छोटी संस्थाओं को लाभ हो सकता है।
प्रभाव
यह विकास भारतीय कारोबारी परिदृश्य के लिए, विशेष रूप से प्रौद्योगिकी और आईटी क्षेत्रों के लिए, अत्यंत महत्वपूर्ण है। कंपनियों को मजबूत डेटा गवर्नेंस फ्रेमवर्क में निवेश करने, अपनी गोपनीयता नीतियों को अपडेट करने और नए आदेशों के साथ संरेखित करने के लिए डेटा हैंडलिंग प्रक्रियाओं को संभावित रूप से संशोधित करने की आवश्यकता होगी। चरणबद्ध अनुपालन अवधि अनुकूलन के लिए एक अवसर प्रदान करती है, लेकिन समय-सीमा के बाद अनुपालन न करने पर दंड हो सकता है। व्यवसायों को यह सुनिश्चित करने के लिए अपनी डेटा प्रथाओं का सक्रिय रूप से मूल्यांकन करना चाहिए कि वे नए मानकों को पूरा करते हैं, जिससे उपयोगकर्ता विश्वास और नियामक अनुपालन बढ़ेगा। डेटा संरक्षण पर ध्यान केंद्रित करने से डिजिटल गोपनीयता के संबंध में उपभोक्ताओं का विश्वास बढ़ने की उम्मीद है।
