Whalesbook
भारताची डिजिटल अर्थव्यवस्था आता एका नव्या टप्प्यावर पोहोचली आहे, जिथे कंपन्यांना अधिक जबाबदारीने वागावे लागणार आहे. मात्र, एक ट्रिलियन डॉलर्सच्या (Trillion Dollar) या डिजिटल मार्केटमध्ये कंपन्यांना डिजिटल पर्सनल डेटा प्रोटेक्शन ऍक्ट, 2023 (DPDP Act) मुळे एक मोठे आव्हान उभे राहिले आहे. हा कायदा केवळ दंड (Penalty) आकारण्यापुरता मर्यादित नाही, तर त्याच्या अंमलबजावणीतील काही गुंतागुंती कंपन्यांसाठी डोकेदुखी ठरत आहेत.
'कायदेशीर उद्देश' चा गोंधळ
कायद्यातील 'कायदेशीर उद्देश' (Lawful Purpose) ची व्याख्या, जी सांगते की 'कायद्याने स्पष्टपणे मनाई केलेली नसेल ती कोणतीही गोष्ट कायदेशीर मानली जाईल', हा कंपन्यांसाठी एक मोठा कायदेशीर गोंधळ निर्माण करत आहे. या अस्पष्ट व्याख्येमुळे डेटा प्रोटेक्शन बोर्ड (Data Protection Board) आपल्या सोयीनुसार याचा अर्थ लावू शकते, ज्यामुळे कंपन्या अनपेक्षित कायदेशीर अडचणीत येऊ शकतात. GDPR सारख्या कायद्यांमध्ये डेटा प्रक्रियेसाठी स्पष्ट कायदेशीर आधार (Legal Basis) दिले जातात, पण DPDP Act मध्ये ही बाब स्पष्ट नाही. 'चांगल्या विश्वासाने' (Good Faith) यासारख्या शब्दांचा अभाव असल्याने कंपन्यांच्या जबाबदारी निश्चित करणे कठीण होत आहे.
'सेव्हन पिलर्स ऑफ सिक्युरिटी' चा मोठा खर्च
कायद्याच्या कलम 8(5) नुसार, 'वाजवी सुरक्षा उपाय' (Reasonable Security Safeguards) लागू करणे बंधनकारक आहे. DPDP Rules 2025 नुसार, यात 'सेव्हन पिलर्स ऑफ सिक्युरिटी' चा समावेश आहे. यामध्ये डेटा सुरक्षा, ऍक्सेस कंट्रोल, रिअल-टाइम मॉनिटरिंग, बिझनेस कंटिन्यूटी, एक वर्षाचे लॉग रिटेन्शन, डेटा प्रोसेसरसोबत करारात्मक जबाबदाऱ्या आणि प्रभावी तांत्रिक व संघटनात्मक उपाय यांचा समावेश आहे. या उपायांमुळे कंपन्यांना तंत्रज्ञानामध्ये आणि प्रक्रियेत मोठे बदल करावे लागतील. विशेषतः लहान आणि मध्यम उद्योगांसाठी (SMEs) एन्क्रिप्शन, मल्टी-फॅक्टर ऑथेंटिकेशन, रोल-बेस्ड ऍक्सेस कंट्रोल आणि मजबूत बॅकअप सिस्टमसाठी लागणारा खर्च खूप मोठा आहे. अंदाजानुसार, यामुळे कंपन्यांच्या ऑपरेशनल बजेटमध्ये 10% ते 30% वाढ होऊ शकते. SMEs साठी हा खर्च आणखी जास्त असू शकतो. या सर्व उपायांमुळे भारताचे सायबर सुरक्षा मार्केट (Cybersecurity Market) जो 2030 पर्यंत ₹12.9 बिलियन पर्यंत पोहोचण्याचा अंदाज आहे, त्याला बळ मिळेल. पण सुरुवातीला लागणारा भांडवली खर्च (Capital Expenditure) आणि देखभालीचा खर्च (Maintenance Cost) लहान कंपन्यांच्या नवोपक्रमात (Innovation) अडथळा आणू शकतो.
जागतिक कायदे आणि भारतीय बारकावे
DPDP Act मध्ये GDPR आणि CCPA सारख्या जागतिक डेटा प्रायव्हसी कायद्यांशी मिळतीजुळती तत्त्वे आहेत, जसे की संमती (Consent), पारदर्शकता (Transparency) आणि सुरक्षा उपाय. मात्र, यात संवेदनशील डेटासाठी (Sensitive Data) वेगळ्या श्रेणी नाहीत आणि सर्व वैयक्तिक डेटासाठी समान मानके आहेत. GDPR च्या तुलनेत DPDP Act मध्ये डेटा प्रक्रियेसाठी कायदेशीर आधारांचे (Lawful Bases) प्रमाण कमी आहे. तसेच, या कायद्याची अंमलबजावणी भारताबाहेर सेवा पुरवणाऱ्या कंपन्यांवरही लागू होते. ₹250 कोटी पर्यंतचे दंड GDPR च्या महसूल-आधारित दंडांपेक्षा वेगळे आहेत.
₹250 कोटींच्या दंडापलीकडील धोके
कायद्यातील 'व्हिकेरियस लायबिलिटी' (Vicarious Liability) तरतुदींनुसार, डेटा फिड्युशियरीज (Data Fiduciaries) डेटा प्रोसेसर्सच्या (Data Processors) चुकांसाठीही जबाबदार धरले जातील. त्यामुळे कंपन्यांना थर्ड-पार्टी व्हेंडर्सची (Third-party Vendors) कठोर तपासणी करावी लागेल. डेटा प्रोटेक्शन बोर्ड (Data Protection Board) च्या स्वायत्ततेवर आणि क्षमतेवर प्रश्नचिन्ह आहेत, ज्यामुळे सक्रिय देखरेख मर्यादित राहू शकते. राष्ट्रीय सुरक्षा आणि कायदा अंमलबजावणीसाठी असलेल्या व्यापक सूट (Exemptions) आणि डेटा प्रकरणांसाठी (Data Principals) खाजगी तक्रार दाखल करण्याचा अधिकार नसणे, याबद्दल चिंता व्यक्त केली जात आहे.
भविष्यातील दिशा
भारताची डिजिटल अर्थव्यवस्था 2026 पर्यंत GDP मध्ये 20% योगदान देईल असा अंदाज आहे. DPDP Act मुळे कंपन्यांसमोर आव्हाने असली तरी, यामुळे विश्वास आणि पारदर्शकता वाढण्यास मदत होईल. यामुळे कंपन्यांच्या ऑपरेशनल खर्चात वाढ अपेक्षित असली तरी, हे कायदे एका जबाबदार डिजिटल इकोसिस्टमची निर्मिती करतील, ज्यामुळे भारत जागतिक स्तरावर एक विश्वसनीय डिजिटल भागीदार म्हणून उदयास येईल.