भारत के डेटा प्राइवेसी कानून में खामियां: क्या नए नियमों के बीच आपके कार्यस्थल के अधिकार खतरे में हैं?
Overview
भारत ने डेटा को नियंत्रित करने के लिए डिजिटल व्यक्तिगत डेटा संरक्षण नियम, 2025 अधिसूचित किए हैं, लेकिन महत्वपूर्ण रूप से श्रमिक-विशिष्ट सुरक्षा प्रदान करने में विफल रहे हैं। बायोमेट्रिक्स और एआई ट्रैकिंग जैसी व्यापक कार्यस्थल निगरानी तकनीकों के बावजूद, ये नियम नियोक्ताओं को स्पष्ट सहमति के बिना व्यापक डेटा प्रसंस्करण की अनुमति देते हैं। यह श्रमिकों को कमजोर छोड़ देता है, उन्हें अपने डेटा तक पहुंच और एल्गोरिथम निर्णयों के खिलाफ निवारण से वंचित करता है, जो भारतीय कार्यबल के लिए डेटा शासन में एक महत्वपूर्ण अंतर है।
भारत सरकार ने 13 नवंबर को डिजिटल व्यक्तिगत डेटा संरक्षण नियम, 2025 (G.S.R. 846(E) द्वारा) अधिसूचित किए हैं। ये नियम, डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 के साथ मिलकर, एक मजबूत डेटा शासन व्यवस्था स्थापित करने का लक्ष्य रखते हैं। ये सहमति नोटिस, डेटा फिड्यूशरी कर्तव्यों, सुरक्षा प्रथाओं, शिकायत समय-सीमाओं और महत्वपूर्ण डेटा फिड्यूशरी के पदनाम के लिए मानक निर्धारित करते हैं। जबकि यह भारत की डिजिटल अर्थव्यवस्था के लिए महत्वपूर्ण प्रगति का प्रतीक है, ये नियम श्रमिक-विशिष्ट सुरक्षा के संबंध में एक गहरी छूटी हुई अवसर का प्रतिनिधित्व करते हैं। व्हाइट-कॉलर, ब्लू-कॉलर और प्लेटफॉर्म क्षेत्रों में, भारतीय नियोक्ता अपने कार्यबल की निगरानी के लिए प्रौद्योगिकी का तेजी से उपयोग कर रहे हैं। इनमें फिंगरप्रिंट, आईरिस और चेहरे की पहचान जैसे बायोमेट्रिक उपस्थिति सिस्टम शामिल हैं। नियोक्ता जीपीएस-आधारित स्थान और मार्ग ट्रैकिंग, कीस्ट्रोक और स्क्रीन-टाइम लॉगर, और स्वचालित रिज्यूमे फ़िल्टर का भी उपयोग करते हैं। हायरिंग एल्गोरिदम और एआई-संचालित शिफ्ट आवंटन, रेटिंग सिस्टम और प्रोत्साहन अनुकूलन भी आम हो रहे हैं। ये सिस्टम सीधे तौर पर श्रमिकों के घंटों, कमाई, मूल्यांकन और समग्र आजीविका सुरक्षा को प्रभावित करते हैं। "रोजगार उद्देश्यों" की व्यापक व्याख्या एक बड़ी चिंता है। DPDP अधिनियम की धारा 7(i) नियोक्ताओं को रोजगार-संबंधित कारणों से या हानि से बचाने के लिए स्पष्ट सहमति के बिना श्रमिक डेटा संसाधित करने की अनुमति देती है। नए नियम इस वाक्यांश को परिभाषित या संकीर्ण नहीं करते हैं, जिससे "फंक्शन-क्रीप" (function-creep) का जोखिम पैदा होता है जहाँ नियमित संचालन के लिए एकत्र किए गए डेटा का उपयोग निगरानी या अनुशासनात्मक नियंत्रण के लिए किया जा सकता है। EPFO/UAN डेटा का दोहरे-रोजगार की जांच के लिए उपयोग इसका एक स्पष्ट उदाहरण है। इसके अलावा, श्रमिक पहुंच और सुधार अधिकार भारी रूप से प्रतिबंधित हैं। अधिनियम की धारा 11-12 के तहत, एक श्रमिक केवल तभी अपने डेटा तक पहुंच या सुधार कर सकता है जब उसने पहले सहमति दी हो। हालांकि, अधिकांश कार्यस्थल डेटा प्रसंस्करण धारा 7(i) के गैर-सहमति खंड के तहत होता है। यह प्रभावी रूप से श्रमिकों को उनकी उत्पादकता मेट्रिक्स तक पहुंच, एल्गोरिथम प्रोफाइल का निरीक्षण या सुधार करने की क्षमता, या अनुशासनात्मक कार्रवाइयों में उपयोग किए जाने वाले लॉग की समीक्षा करने से वंचित करता है। स्वचालित निर्णयों के लिए कोई सुरक्षा उपाय नहीं हैं। DPDP अधिनियम या इसके साथ आए नियमों में स्वचालित निर्णय लेने के लिए आवश्यक सुरक्षा उपाय प्रदान नहीं किए गए हैं। एल्गोरिथम परिणामों की व्याख्या के लिए कोई अधिकार नहीं है, इन निर्णयों के पीछे के तर्क के बारे में सार्थक जानकारी की कोई आवश्यकता नहीं है, मानव समीक्षा का कोई प्रावधान नहीं है, और एल्गोरिथम निर्णयों के खिलाफ कोई स्पष्ट अपील प्रक्रिया नहीं है। एल्गोरिदम का एकमात्र उल्लेख नियम 13(3) में दिखाई देता है, जो केवल महत्वपूर्ण डेटा फिड्यूशरी पर लागू होता है, जिससे भर्ती, वेतन, शेड्यूलिंग और प्रदर्शन प्रबंधन में अधिकांश नियोक्ताओं के स्वचालित निर्णय काफी हद तक अनियंत्रित रह जाते हैं। विशेष रूप से, DPDP ढांचे में "संवेदनशील व्यक्तिगत डेटा" की कोई विशिष्ट श्रेणी नहीं है। बायोमेट्रिक पहचानकर्ता, जो अंतरंग प्रकृति के होते हैं और कार्यस्थलों में व्यापक रूप से उपयोग किए जाते हैं, उन्हें कोई बढ़ी हुई सुरक्षा नहीं मिलती है। यह वैश्विक मानकों के विपरीत है। डेटा सुरक्षा अधिकार और शिकायत प्रक्रियाएं सभी व्यक्तिगत हैं। जबकि नियम 14 पावती और समाधान के लिए समय-सीमा निर्धारित करता है, यह एक सामूहिक शिकायत तंत्र को शामिल करने में विफल रहता है। यह यूनियनों या श्रमिक संघों को कोईStanding नहीं देता है और निगरानी प्रौद्योगिकियों को तैनात करने से पहले नियोक्ताओं को श्रमिकों से परामर्श करने के लिए अनिवार्य नहीं करता है। यह एक ऐसे युग में एक महत्वपूर्ण चूक है जहां ऐसी प्रणालियाँ अक्सर पूरे कार्यबल को प्रभावित करती हैं। यूरोपीय संघ के GDPR, जो बायोमेट्रिक्स को विशेष श्रेणी के डेटा के रूप में मानता है और पूरी तरह से स्वचालित निर्णयों से बचाता है, या EU AI Act, जो रोजगार AI को उच्च जोखिम वाला नामित करता है, की तुलना में, भारत का DPDP ढांचा इन विशिष्ट कार्यस्थल जोखिमों पर आश्चर्यजनक रूप से मौन है। कैलिफोर्निया CPRA भी एक अलग संवेदनशील व्यक्तिगत जानकारी श्रेणी स्थापित करता है। आगे का रास्ता: प्रतिनिधि कानून, अभ्यास संहिता, या डेटा संरक्षण बोर्ड से मार्गदर्शन के माध्यम से हस्तक्षेप संभव हैं। इनमें "रोजगार उद्देश्यों" को परिभाषित करना और संकीर्ण करना, सभी श्रमिक डेटा तक पहुंच और सुधार अधिकारों का विस्तार करना, महत्वपूर्ण स्वचालित निर्णयों (तर्क पारदर्शिता और मानव समीक्षा सहित) के लिए सुरक्षा उपायों को अनिवार्य करना, बायोमेट्रिक्स के लिए एक संवेदनशील डेटा टियर बनाना और यूनियनों द्वारा सामूहिक शिकायतों को सक्षम करना शामिल हो सकता है। प्रभाव: ये नियम, डेटा शासन को आगे बढ़ाते हुए, भारतीय श्रमिकों को अनियंत्रित डिजिटल और एल्गोरिथम नुकसान के लिए खुला छोड़ देते हैं। वर्तमान ढांचा संवैधानिक गोपनीयता न्यायशास्त्र को पूरा करने में विफल रहता है जो गरिमा, स्वायत्तता और आनुपातिकता पर जोर देता है, खासकर रोजगार को प्रभावित करने वाले अपारदर्शी स्वचालित प्रणालियों के संबंध में। प्रतिनिधि कानून और नियामक मार्गदर्शन के माध्यम से और विकास के बिना, भारतीय कार्यस्थल डेटा युग में निष्पक्षता और निरीक्षण के वादे को पूरी तरह से पूरा नहीं कर सकते हैं।
