नवीन डेटा नियम: भारतीय GCCs साठी मे २०२७ ची अंतिम मुदत

TECHNOLOGY
Whalesbook Logo
AuthorTanvi Menon|Published at:
नवीन डेटा नियम: भारतीय GCCs साठी मे २०२७ ची अंतिम मुदत

भारताच्या डिजिटल पर्सनल डेटा प्रोटेक्शन ऍक्ट (DPDP) नुसार, कंपन्यांना मे २०२७ पर्यंत नवीन 'कन्सेंट मॅनेजर' (Consent Manager) फ्रेमवर्कचा अवलंब करावा लागेल. ग्लोबल कॅपेबिलिटी सेंटर्स (GCCs) ना आता त्यांच्या डेटा इन्फ्रास्ट्रक्चरचे विश्लेषण करून स्थानिक कन्सेंट नियमांखाली येणाऱ्या आणि परदेशी डेटा सूट (exemption) अंतर्गत येणाऱ्या ऑपरेशन्स निश्चित कराव्या लागतील.

काय घडले?

भारतातील डेटा प्रायव्हसी (Data Privacy) संबंधी नियम अधिक कठोर होत आहेत. डिजिटल पर्सनल डेटा प्रोटेक्शन (DPDP) फ्रेमवर्क पूर्णपणे लागू होण्याच्या तयारीत आहे. या नियमांचे एक महत्त्वाचे वैशिष्ट्य म्हणजे 'कन्सेंट मॅनेजर'ची (Consent Manager) ओळख. हे मध्यस्थ (intermediaries) व्यक्तींना त्यांची वैयक्तिक माहिती कशी वापरली जात आहे हे ट्रॅक (track) आणि मॅनेज (manage) करण्यास मदत करतील. कन्सेंट मॅनेजर म्हणून काम करू इच्छिणाऱ्या कंपन्या नोव्हेंबर २०२६ पासून नोंदणी प्रक्रिया सुरू करू शकतील आणि मे २०२७ पर्यंत त्यांना पूर्णपणे नियमांचे पालन करावे लागेल. या बदलाचा अनेक कंपन्यांवर परिणाम होणार आहे, विशेषतः ग्लोबल कॅपेबिलिटी सेंटर्स (GCCs) वर, जे भारतीय आणि आंतरराष्ट्रीय दोन्ही ग्राहकांसाठी डेटा हाताळतात.

GCCs साठी याचे महत्त्व काय?

भारतात GCCs चालवणाऱ्या कंपन्यांसमोरील मुख्य आव्हान म्हणजे कोणता डेटा नवीन भारतीय नियमांनुसार येतो आणि कोणता डेटा सूट (exemption) मिळवण्यास पात्र आहे हे निश्चित करणे. सरकारने भारतीय कंपन्यांसाठी एक सूट (carve-out) दिली आहे, ज्या परदेशी कंपन्यांसोबतच्या करारांतर्गत परदेशी नागरिकांचा डेटा प्रोसेस करतात. अशा परिस्थितीत, युरोपमधील GDPR सारखे परदेशी कायदे अधिक महत्त्वाचे ठरतील. मात्र, हे संपूर्ण GCC साठी सूट नाही. ही सूट केवळ त्या विशिष्ट डेटावर लागू होईल जो त्या परदेशी करारांनुसार प्रोसेस केला जात आहे. यामुळे, सामायिक डिजिटल पायाभूत सुविधा (shared digital infrastructure) वापरणाऱ्या कंपन्यांसाठी एक जटिल कामकाजाचे वातावरण तयार होत आहे.

सामायिक पायाभूत सुविधांचे आव्हान

भारतातील अनेक GCCs त्यांच्या जागतिक पालक कंपन्यांसाठी (global parent companies) सेवा केंद्र म्हणून काम करतात. अनेकदा ते एकाच सर्व्हरवर देशी आणि आंतरराष्ट्रीय कर्मचारी किंवा ग्राहकांसाठी डेटा साठवतात. नवीन नियमांनुसार, ही केंद्रे त्यांच्या सर्व डेटासाठी एकच गोपनीयता मानक (privacy standards) लागू करू शकणार नाहीत. त्यांना डेटा स्ट्रीम्स वेगळे करण्यासाठी तपशीलवार ऑडिट (audit) करावे लागेल. जर GCC भारतीय कर्मचाऱ्यांसाठी डेटा प्रोसेस करत असेल, तर त्यांना नोंदणीकृत कन्सेंट मॅनेजरसोबत जोडले जावे लागेल. जर ते पालक कंपनीसोबतच्या करारानुसार जर्मन कर्मचाऱ्यासाठी डेटा प्रोसेस करत असतील, तर त्यांना कन्सेंट मॅनेजरच्या जबाबदाऱ्या लागू होणार नाहीत. हा फरक योग्यरित्या न केल्यास तांत्रिक आणि कंप्लायन्स (compliance) मध्ये त्रुटी येऊ शकतात.

कामकाजाच्या आवश्यकता आणि खर्च

कन्सेंट मॅनेजर म्हणून पात्र होण्यासाठी, कंपनीची स्थापना भारतात झालेली असावी आणि किमान ₹2 कोटींचा नेट वर्थ (net worth) असणे आवश्यक आहे. हे मॅनेजर्स स्वतंत्र फिड्युशरी (independent fiduciaries) म्हणून काम करतील, म्हणजे ते ज्या कंपनीचा डेटा व्यवस्थापित करत आहेत त्यापासून वेगळे राहतील. त्यांना 'डेटा-ब्लाइंड' (data-blind) पद्धतीने काम करावे लागेल, म्हणजेच ते संवेदनशील माहितीमध्ये प्रवेश न करता किंवा त्याचे monetisation न करता केवळ कन्सेंट सिग्नल्स (consent signals) च्या हालचाली सुलभ करतील. GCCs साठी, याचा अर्थ एकाच अंतर्गत उपायावर (internal-only solution) अवलंबून राहण्याऐवजी अनेक कन्सेंट प्लॅटफॉर्म्सशी संवाद साधण्यास सक्षम तंत्रज्ञानामध्ये गुंतवणूक करणे.

गुंतवणूकदारांनी काय लक्ष ठेवावे?

मे २०२७ ची अंतिम मुदत जवळ येत असल्याने, भागधारकांसाठी (stakeholders) मुख्य लक्षणीय बाबी म्हणजे तांत्रिक एकत्रीकरणाचा खर्च (technical integration costs) आणि भारतीय टेक हब्समधील कार्यक्षमतेवर होणारा संभाव्य परिणाम. कंपन्या 'डेटा-ब्लाइंड' कन्सेंट सिग्नल्स हाताळण्यासाठी त्यांच्या IT पायाभूत सुविधांमध्ये कसे बदल करतात याकडे गुंतवणूकदार लक्ष देऊ शकतात. याव्यतिरिक्त, कंप्लायन्स बजेट (compliance budgets) आणि डेटा प्रोसेसिंग ऍक्टिव्हिटीजच्या वाढत्या कायदेशीर देखरेखेबद्दल (legal oversight) व्यवस्थापनाचे भाष्य (management commentary) हे कंपन्या त्यांच्या नियामक एक्सपोजरचे (regulatory exposure) व्यवस्थापन कसे करत आहेत याचे महत्त्वाचे निर्देशक असतील.

Disclaimer:This article is published for informational purposes only. While reasonable efforts are made to ensure accuracy, completeness, and timeliness, readers are encouraged to independently verify information before making any decisions based on the content. The views and information presented are subject to editorial review and may be updated without notice.