भारतातील डेटा प्रायव्हसी कायद्यातील त्रुटी: नवीन नियमांमुळे तुमच्या कामाच्या ठिकाणचे अधिकार धोक्यात आहेत का?

TECH
Whalesbook Logo
AuthorPriya Kulkarni|Published at:
भारतातील डेटा प्रायव्हसी कायद्यातील त्रुटी: नवीन नियमांमुळे तुमच्या कामाच्या ठिकाणचे अधिकार धोक्यात आहेत का?
Overview

भारताने डेटाचे नियमन करण्यासाठी 'डिजिटल पर्सनल डेटा प्रोटेक्शन रूल्स, 2025' (Digital Personal Data Protection Rules, 2025) अधिसूचित केले आहेत, परंतु कर्मचाऱ्यांसाठी विशिष्ट संरक्षण प्रदान करण्यात ते अयशस्वी ठरले आहेत. बायोमेट्रिक्स आणि AI ट्रॅकिंगसारख्या कामाच्या ठिकाणी सर्वव्यापी असलेल्या पाळत ठेवण्याच्या तंत्रज्ञानानंतरही, हे नियम नियोक्त्यांना स्पष्ट संमतीशिवाय व्यापक डेटा प्रक्रिया करण्याची परवानगी देतात. यामुळे कर्मचारी असुरक्षित होतात, त्यांना त्यांच्या डेटावर प्रवेश आणि अल्गोरिथमिक निर्णयांविरुद्ध दाद मागण्यापासून वंचित ठेवले जाते, जे भारतीय कर्मचाऱ्यांसाठी डेटा गव्हर्नन्समध्ये एक मोठी उणीव दर्शवते.

भारत सरकारने 13 नोव्हेंबर रोजी 'डिजिटल पर्सनल डेटा प्रोटेक्शन रूल्स, 2025' (G.S.R. 846(E) द्वारे) अधिसूचित केले आहेत. हे नियम, 'डिजिटल पर्सनल डेटा प्रोटेक्शन ऍक्ट, 2023' सोबत, एक मजबूत डेटा गव्हर्नन्स व्यवस्था स्थापन करण्याचे उद्दिष्ट ठेवतात. ते संमती सूचना, डेटा फिड्युशियरी कर्तव्ये, सुरक्षा पद्धती, तक्रारींची अंतिम मुदत आणि 'सिग्निफिकंट डेटा फिड्युशियरी' (Significant Data Fiduciary) च्या नियुक्तीसाठी मानके निश्चित करतात. हे भारताच्या डिजिटल अर्थव्यवस्थेसाठी महत्त्वपूर्ण प्रगती असले तरी, कर्मचाऱ्यांसाठी विशिष्ट संरक्षण देण्याच्या बाबतीत ही एक मोठी संधी गमावली आहे. व्हाईट-कॉलर, ब्लू-कॉलर आणि प्लॅटफॉर्म क्षेत्रांमध्ये, भारतीय नियोक्ते त्यांच्या कर्मचाऱ्यांवर पाळत ठेवण्यासाठी विविध तंत्रज्ञानाचा वापर वाढवत आहेत. यामध्ये फिंगरप्रिंट, आयरिस आणि चेहरा ओळखणे यासारख्या बायोमेट्रिक हजेरी प्रणालींचा समावेश आहे. नियोक्ते GPS-आधारित स्थान आणि मार्ग ट्रॅकिंग, कीस्ट्रोक आणि स्क्रीन-टाइम लॉगर आणि स्वयंचलित रेझ्युमे फिल्टर देखील वापरतात. हायरिंग अल्गोरिदम आणि AI-आधारित शिफ्ट वाटप, रेटिंग सिस्टम आणि प्रोत्साहन ऑप्टिमायझेशन देखील आता सामान्य होत आहेत. या प्रणाली कर्मचाऱ्यांचे तास, कमाई, मूल्यमापन आणि एकूण उपजीविकेच्या सुरक्षिततेवर थेट परिणाम करतात. 'रोजगार उद्देशां'ची (employment purposes) व्यापक व्याख्या ही एक मोठी चिंतेची बाब आहे. DPDP कायद्याच्या कलम 7(i) नुसार, नियोक्त्यांना रोजगाराशी संबंधित कारणांसाठी किंवा नुकसान टाळण्यासाठी स्पष्ट संमतीशिवाय कर्मचाऱ्यांचा डेटा प्रक्रिया करण्याची परवानगी आहे. नवीन नियम या वाक्यांशाची व्याख्या करत नाहीत किंवा ती मर्यादित करत नाहीत, ज्यामुळे 'फंक्शन-क्रीप'चा (function-creep) धोका निर्माण होतो, जिथे नियमित कार्यांसाठी गोळा केलेला डेटा पाळत ठेवण्यासाठी किंवा शिस्तभंगाच्या कारवाईसाठी वापरला जाऊ शकतो. EPFO/UAN डेटाचा दुहेरी-रोजगार तपासणीसाठी वापर हे याचे स्पष्ट उदाहरण आहे. याव्यतिरिक्त, कर्मचाऱ्यांचे डेटा ऍक्सेस आणि दुरुस्तीचे अधिकार मोठ्या प्रमाणात प्रतिबंधित आहेत. कायद्याच्या कलम 11-12 नुसार, कर्मचाऱ्याला डेटा ऍक्सेस किंवा दुरुस्त करण्याचा अधिकार तेव्हाच आहे जेव्हा त्याने पूर्वी संमती दिली असेल. तथापि, बहुतेक कामाच्या ठिकाणच्या डेटाची प्रक्रिया कलम 7(i) च्या 'नो-कन्सेन्ट' (no-consent) तरतुदी अंतर्गत होते. यामुळे कर्मचारी त्यांच्या उत्पादकता मेट्रिक्समध्ये प्रवेश करण्यापासून, अल्गोरिथमिक प्रोफाईल तपासण्यापासून किंवा दुरुस्त करण्यापासून, किंवा शिस्तभंगाच्या कारवाईत वापरलेल्या लॉगचे पुनरावलोकन करण्यापासून प्रभावीपणे वंचित राहतात. स्वयंचलित निर्णयांसाठी संरक्षण उपलब्ध नाही. DPDP कायदा किंवा त्याच्यासोबतचे नियम कामाच्या ठिकाणी स्वयंचलित निर्णय घेण्यासाठी आवश्यक संरक्षण प्रदान करत नाहीत. अल्गोरिथमिक परिणामांच्या स्पष्टीकरणाचा अधिकार नाही, या निर्णयामागील तर्कांबद्दल माहितीची आवश्यकता नाही, मानवी पुनरावलोकनाची कोणतीही तरतूद नाही आणि अल्गोरिथमिक निर्णयांविरुद्ध अपील करण्याची स्पष्ट प्रक्रिया नाही. अल्गोरिदमचा एकमेव उल्लेख नियम 13(3) मध्ये येतो, जो केवळ 'सिग्निफिकंट डेटा फिड्युशियरी'साठी लागू होतो, ज्यामुळे नोकरी, पगार, शेड्युलिंग आणि कार्यप्रदर्शन व्यवस्थापनातील बहुतेक नियोक्त्यांचे स्वयंचलित निर्णय मोठ्या प्रमाणात अनियंत्रित राहतात. विशेषतः, DPDP फ्रेमवर्कमध्ये 'संवेदनशील वैयक्तिक डेटा' (sensitive personal data) साठी कोणतीही विशिष्ट श्रेणी नाही. बायोमेट्रिक आयडेंटिफायर्स, जे अत्यंत खाजगी स्वरूपाचे आहेत आणि कामाच्या ठिकाणी मोठ्या प्रमाणावर वापरले जातात, त्यांना कोणतेही विशेष संरक्षण मिळत नाही. हे जागतिक मानकांच्या विरुद्ध आहे. डेटा संरक्षण अधिकार आणि तक्रार प्रक्रिया सर्व वैयक्तिक आहेत. नियम 14 स्वीकृती आणि निराकरणासाठी अंतिम मुदत निश्चित करत असला तरी, सामूहिक तक्रार यंत्रणा समाविष्ट करण्यात तो अयशस्वी ठरतो. हे युनियन्स किंवा कर्मचारी संघटनांना कोणतेही अधिकार देत नाही आणि पाळत ठेवण्याचे तंत्रज्ञान तैनात करण्यापूर्वी नियोक्त्यांना कर्मचाऱ्यांशी सल्लामसलत करणे बंधनकारक करत नाही. अशा प्रणाली संपूर्ण कर्मचाऱ्यांवर परिणाम करतात अशा काळात ही एक गंभीर त्रुटी आहे. EU च्या GDPR, जे बायोमेट्रिक्सना विशेष श्रेणी डेटा मानतो आणि पूर्णपणे स्वयंचलित निर्णयांपासून संरक्षण देतो, किंवा EU AI कायदा, जो रोजगारातील AI ला उच्च-जोखीम म्हणून वर्गीकृत करतो, यांच्या तुलनेत, भारताचा DPDP फ्रेमवर्क या विशिष्ट कामाच्या ठिकाणच्या जोखमींबद्दल आश्चर्यकारकपणे शांत आहे. कॅलिफोर्निया CPRA देखील एक वेगळी संवेदनशील वैयक्तिक माहिती श्रेणी स्थापित करते. पुढे काय?: प्रतिनिधी कायदे, आचारसंहिता किंवा डेटा संरक्षण बोर्डाकडून मार्गदर्शनाद्वारे हस्तक्षेप शक्य आहेत. यामध्ये 'रोजगार उद्देशांना' परिभाषित करणे आणि मर्यादित करणे, सर्व कर्मचाऱ्यांच्या डेटावर प्रवेश आणि दुरुस्तीचा अधिकार वाढवणे, महत्त्वपूर्ण स्वयंचलित निर्णयांसाठी (तर्कपारदर्शकता आणि मानवी पुनरावलोकन यासह) संरक्षणांना बंधनकारक करणे, बायोमेट्रिक्ससाठी 'संवेदनशील डेटा' श्रेणी तयार करणे आणि युनियन्सद्वारे सामूहिक तक्रारींना सक्षम करणे यांचा समावेश असू शकतो. परिणाम: हे नियम, डेटा गव्हर्नन्सला पुढे नेत असले तरी, भारतीय कर्मचाऱ्यांना अनियंत्रित डिजिटल आणि अल्गोरिथमिक नुकसानासाठी उघडं सोडतात. वर्तमान फ्रेमवर्क संवैधानिक गोपनीयता न्यायशास्त्राला पूर्ण करत नाही, जे प्रतिष्ठा, स्वायत्तता आणि प्रमाणबद्धता यावर जोर देते, विशेषतः नोकरीवर परिणाम करणाऱ्या अपारदर्शक स्वयंचलित प्रणालींच्या बाबतीत. प्रतिनिधी कायदे आणि नियामक मार्गदर्शनाद्वारे पुढील उत्क्रांतीशिवाय, भारतीय कामाची ठिकाणे डेटा युगात न्याय आणि पर्यवेक्षणाच्या आश्वासनाचे पूर्णपणे पालन करू शकणार नाहीत.

Disclaimer:This content is for educational and informational purposes only and does not constitute investment, financial, or trading advice, nor a recommendation to buy or sell any securities. Readers should consult a SEBI-registered advisor before making investment decisions, as markets involve risk and past performance does not guarantee future results. The publisher and authors accept no liability for any losses. Some content may be AI-generated and may contain errors; accuracy and completeness are not guaranteed. Views expressed do not reflect the publication’s editorial stance.