भारत के डिजिटल पर्सनल डेटा प्रोटेक्शन (DPDP) एक्ट के तहत, कंपनियों को मई 2027 तक नए 'कंसेंट मैनेजर' फ्रेमवर्क अपनाने होंगे। ग्लोबल कैपेबिलिटी सेंटर्स (GCCs) को अब अपने डेटा इंफ्रास्ट्रक्चर का विश्लेषण करना होगा ताकि यह तय किया जा सके कि कौन से ऑपरेशन स्थानीय कंसेंट नियमों के तहत आते हैं और कौन से विदेशी डेटा छूट के दायरे में।
क्या हुआ?
भारत का डेटा प्राइवेसी रेगुलेटरी लैंडस्केप बदल रहा है क्योंकि डिजिटल पर्सनल डेटा प्रोटेक्शन (DPDP) फ्रेमवर्क पूरी तरह से लागू होने की तैयारी में है। इन नियमों की एक केंद्रीय विशेषता 'कंसेंट मैनेजर' की शुरुआत है, जो एक बिचौलिए के तौर पर काम करेंगे। इनका मकसद व्यक्तियों को यह ट्रैक करने और मैनेज करने में मदद करना है कि उनकी व्यक्तिगत जानकारी का उपयोग कैसे किया जा रहा है। कंसेंट मैनेजर के तौर पर काम करने की इच्छा रखने वाली संस्थाएं नवंबर 2026 से रजिस्ट्रेशन की प्रक्रिया शुरू कर सकती हैं, और पूरी तरह से अनुपालन के लिए अंतिम समय सीमा मई 2027 निर्धारित की गई है। यह बदलाव विभिन्न प्रकार की कंपनियों को प्रभावित करेगा, खासकर ग्लोबल कैपेबिलिटी सेंटर्स (GCCs) को जो भारतीय और अंतर्राष्ट्रीय दोनों ग्राहकों के लिए डेटा संभालते हैं।
GCCs के लिए यह क्यों महत्वपूर्ण है?
भारत में GCCs का संचालन करने वाली कंपनियों के लिए, मुख्य चुनौती यह निर्धारित करना है कि कौन सा डेटा नए भारतीय नियमों के तहत आता है और कौन सा छूट के योग्य है। सरकार ने उन भारतीय संस्थाओं के लिए एक विशेष प्रावधान (carve-out) दिया है जो विदेशी फर्मों के साथ अनुबंध के तहत विदेशी नागरिकों के डेटा को प्रोसेस करती हैं। ऐसे मामलों में, विदेशी इकाई के स्थानीय डेटा कानून, जैसे कि यूरोप में GDPR, प्राथमिक अधिकार बने रहेंगे। हालांकि, यह पूरे GCC के लिए एक सामान्य छूट नहीं है। यह विशेष रूप से उन विदेशी अनुबंधों के तहत प्रोसेस किए जा रहे विशिष्ट डेटा पर लागू होता है, जिससे साझा डिजिटल इंफ्रास्ट्रक्चर का उपयोग करने वाली फर्मों के लिए एक जटिल परिचालन वातावरण बनता है।
साझा इंफ्रास्ट्रक्चर की चुनौती
भारत में कई GCCs अपनी वैश्विक मूल कंपनियों के लिए सेवा हब के रूप में कार्य करते हैं, अक्सर एक ही सर्वर पर घरेलू और अंतर्राष्ट्रीय कर्मचारियों या ग्राहकों दोनों के लिए डेटा संग्रहीत करते हैं। नए नियमों का मतलब है कि ये केंद्र अपने सभी डेटा पर केवल एक ही प्राइवेसी स्टैंडर्ड लागू नहीं कर सकते। उन्हें डेटा स्ट्रीम को अलग करने के लिए एक विस्तृत ऑडिट करना होगा। यदि कोई GCC किसी भारतीय कर्मचारी के लिए डेटा प्रोसेस करता है, तो उसे रजिस्टर्ड कंसेंट मैनेजर्स के साथ एकीकृत (integrate) होने के लिए तैयार रहना होगा। यदि वह अपनी मूल कंपनी के साथ एक अनुबंध के तहत किसी जर्मन कर्मचारी के लिए डेटा प्रोसेस करता है, तो कंसेंट मैनेजर की वे जिम्मेदारियां लागू नहीं हो सकती हैं। इस अंतर को सही ढंग से न करने पर तकनीकी और अनुपालन संबंधी खामियां हो सकती हैं।
परिचालन आवश्यकताएं और लागत
कंसेंट मैनेजर के रूप में अर्हता प्राप्त करने के लिए, एक संस्था का भारत में निगमन (incorporation) होना चाहिए और कम से कम ₹2 करोड़ की नेट वर्थ बनाए रखनी चाहिए। इन मैनेजर्स को स्वतंत्र फिड्यूशियरी (independent fiduciaries) के रूप में कार्य करने की आवश्यकता है, जिसका अर्थ है कि उन्हें उस कंपनी से अलग रहना होगा जिसका वे डेटा प्रबंधित करते हैं। उन्हें 'डेटा-ब्लाइंड' (data-blind) आधार पर काम करने का भी काम सौंपा गया है, यह सुनिश्चित करते हुए कि वे संवेदनशील जानकारी तक पहुंचे या उसका मुद्रीकरण (monetize) किए बिना सहमति संकेतों (consent signals) की आवाजाही को सुविधाजनक बनाएं। GCCs के लिए, इसका मतलब है कि एक एकल, केवल आंतरिक समाधान पर निर्भर रहने के बजाय, कई कंसेंट प्लेटफार्मों के साथ संवाद करने में सक्षम इंटरऑपरेबल तकनीक में निवेश करना।
निवेशक क्या ट्रैक करें?
जैसे-जैसे मई 2027 की समय सीमा नजदीक आ रही है, हितधारकों के लिए मुख्य निगरानी योग्य बातें तकनीकी एकीकरण लागत (integration costs) और भारतीय टेक हब के लिए परिचालन दक्षता (operational efficiency) पर संभावित प्रभाव हैं। निवेशक इस बात पर ध्यान दे सकते हैं कि कंपनियां 'डेटा-ब्लाइंड' कंसेंट संकेतों को संभालने के लिए अपने आईटी इंफ्रास्ट्रक्चर को कैसे संशोधित करती हैं। इसके अतिरिक्त, अनुपालन बजट (compliance budgets) के संबंध में प्रबंधन की टिप्पणियां (management commentary) और डेटा प्रोसेसिंग गतिविधियों की बढ़ी हुई कानूनी निगरानी की क्षमता, यह संकेत देने वाले महत्वपूर्ण संकेतक होंगे कि ये फर्म अपने नियामक जोखिम (regulatory exposure) का प्रबंधन कैसे कर रही हैं।
