भारतातील डेटा प्रायव्हसी कायद्यातील त्रुटी: नवीन नियमांमुळे तुमच्या कामाच्या ठिकाणचे अधिकार धोक्यात आहेत का?
Overview
भारताने डेटाचे नियमन करण्यासाठी 'डिजिटल पर्सनल डेटा प्रोटेक्शन रूल्स, 2025' (Digital Personal Data Protection Rules, 2025) अधिसूचित केले आहेत, परंतु कर्मचाऱ्यांसाठी विशिष्ट संरक्षण प्रदान करण्यात ते अयशस्वी ठरले आहेत. बायोमेट्रिक्स आणि AI ट्रॅकिंगसारख्या कामाच्या ठिकाणी सर्वव्यापी असलेल्या पाळत ठेवण्याच्या तंत्रज्ञानानंतरही, हे नियम नियोक्त्यांना स्पष्ट संमतीशिवाय व्यापक डेटा प्रक्रिया करण्याची परवानगी देतात. यामुळे कर्मचारी असुरक्षित होतात, त्यांना त्यांच्या डेटावर प्रवेश आणि अल्गोरिथमिक निर्णयांविरुद्ध दाद मागण्यापासून वंचित ठेवले जाते, जे भारतीय कर्मचाऱ्यांसाठी डेटा गव्हर्नन्समध्ये एक मोठी उणीव दर्शवते.
भारत सरकारने 13 नोव्हेंबर रोजी 'डिजिटल पर्सनल डेटा प्रोटेक्शन रूल्स, 2025' (G.S.R. 846(E) द्वारे) अधिसूचित केले आहेत. हे नियम, 'डिजिटल पर्सनल डेटा प्रोटेक्शन ऍक्ट, 2023' सोबत, एक मजबूत डेटा गव्हर्नन्स व्यवस्था स्थापन करण्याचे उद्दिष्ट ठेवतात. ते संमती सूचना, डेटा फिड्युशियरी कर्तव्ये, सुरक्षा पद्धती, तक्रारींची अंतिम मुदत आणि 'सिग्निफिकंट डेटा फिड्युशियरी' (Significant Data Fiduciary) च्या नियुक्तीसाठी मानके निश्चित करतात. हे भारताच्या डिजिटल अर्थव्यवस्थेसाठी महत्त्वपूर्ण प्रगती असले तरी, कर्मचाऱ्यांसाठी विशिष्ट संरक्षण देण्याच्या बाबतीत ही एक मोठी संधी गमावली आहे. व्हाईट-कॉलर, ब्लू-कॉलर आणि प्लॅटफॉर्म क्षेत्रांमध्ये, भारतीय नियोक्ते त्यांच्या कर्मचाऱ्यांवर पाळत ठेवण्यासाठी विविध तंत्रज्ञानाचा वापर वाढवत आहेत. यामध्ये फिंगरप्रिंट, आयरिस आणि चेहरा ओळखणे यासारख्या बायोमेट्रिक हजेरी प्रणालींचा समावेश आहे. नियोक्ते GPS-आधारित स्थान आणि मार्ग ट्रॅकिंग, कीस्ट्रोक आणि स्क्रीन-टाइम लॉगर आणि स्वयंचलित रेझ्युमे फिल्टर देखील वापरतात. हायरिंग अल्गोरिदम आणि AI-आधारित शिफ्ट वाटप, रेटिंग सिस्टम आणि प्रोत्साहन ऑप्टिमायझेशन देखील आता सामान्य होत आहेत. या प्रणाली कर्मचाऱ्यांचे तास, कमाई, मूल्यमापन आणि एकूण उपजीविकेच्या सुरक्षिततेवर थेट परिणाम करतात. 'रोजगार उद्देशां'ची (employment purposes) व्यापक व्याख्या ही एक मोठी चिंतेची बाब आहे. DPDP कायद्याच्या कलम 7(i) नुसार, नियोक्त्यांना रोजगाराशी संबंधित कारणांसाठी किंवा नुकसान टाळण्यासाठी स्पष्ट संमतीशिवाय कर्मचाऱ्यांचा डेटा प्रक्रिया करण्याची परवानगी आहे. नवीन नियम या वाक्यांशाची व्याख्या करत नाहीत किंवा ती मर्यादित करत नाहीत, ज्यामुळे 'फंक्शन-क्रीप'चा (function-creep) धोका निर्माण होतो, जिथे नियमित कार्यांसाठी गोळा केलेला डेटा पाळत ठेवण्यासाठी किंवा शिस्तभंगाच्या कारवाईसाठी वापरला जाऊ शकतो. EPFO/UAN डेटाचा दुहेरी-रोजगार तपासणीसाठी वापर हे याचे स्पष्ट उदाहरण आहे. याव्यतिरिक्त, कर्मचाऱ्यांचे डेटा ऍक्सेस आणि दुरुस्तीचे अधिकार मोठ्या प्रमाणात प्रतिबंधित आहेत. कायद्याच्या कलम 11-12 नुसार, कर्मचाऱ्याला डेटा ऍक्सेस किंवा दुरुस्त करण्याचा अधिकार तेव्हाच आहे जेव्हा त्याने पूर्वी संमती दिली असेल. तथापि, बहुतेक कामाच्या ठिकाणच्या डेटाची प्रक्रिया कलम 7(i) च्या 'नो-कन्सेन्ट' (no-consent) तरतुदी अंतर्गत होते. यामुळे कर्मचारी त्यांच्या उत्पादकता मेट्रिक्समध्ये प्रवेश करण्यापासून, अल्गोरिथमिक प्रोफाईल तपासण्यापासून किंवा दुरुस्त करण्यापासून, किंवा शिस्तभंगाच्या कारवाईत वापरलेल्या लॉगचे पुनरावलोकन करण्यापासून प्रभावीपणे वंचित राहतात. स्वयंचलित निर्णयांसाठी संरक्षण उपलब्ध नाही. DPDP कायदा किंवा त्याच्यासोबतचे नियम कामाच्या ठिकाणी स्वयंचलित निर्णय घेण्यासाठी आवश्यक संरक्षण प्रदान करत नाहीत. अल्गोरिथमिक परिणामांच्या स्पष्टीकरणाचा अधिकार नाही, या निर्णयामागील तर्कांबद्दल माहितीची आवश्यकता नाही, मानवी पुनरावलोकनाची कोणतीही तरतूद नाही आणि अल्गोरिथमिक निर्णयांविरुद्ध अपील करण्याची स्पष्ट प्रक्रिया नाही. अल्गोरिदमचा एकमेव उल्लेख नियम 13(3) मध्ये येतो, जो केवळ 'सिग्निफिकंट डेटा फिड्युशियरी'साठी लागू होतो, ज्यामुळे नोकरी, पगार, शेड्युलिंग आणि कार्यप्रदर्शन व्यवस्थापनातील बहुतेक नियोक्त्यांचे स्वयंचलित निर्णय मोठ्या प्रमाणात अनियंत्रित राहतात. विशेषतः, DPDP फ्रेमवर्कमध्ये 'संवेदनशील वैयक्तिक डेटा' (sensitive personal data) साठी कोणतीही विशिष्ट श्रेणी नाही. बायोमेट्रिक आयडेंटिफायर्स, जे अत्यंत खाजगी स्वरूपाचे आहेत आणि कामाच्या ठिकाणी मोठ्या प्रमाणावर वापरले जातात, त्यांना कोणतेही विशेष संरक्षण मिळत नाही. हे जागतिक मानकांच्या विरुद्ध आहे. डेटा संरक्षण अधिकार आणि तक्रार प्रक्रिया सर्व वैयक्तिक आहेत. नियम 14 स्वीकृती आणि निराकरणासाठी अंतिम मुदत निश्चित करत असला तरी, सामूहिक तक्रार यंत्रणा समाविष्ट करण्यात तो अयशस्वी ठरतो. हे युनियन्स किंवा कर्मचारी संघटनांना कोणतेही अधिकार देत नाही आणि पाळत ठेवण्याचे तंत्रज्ञान तैनात करण्यापूर्वी नियोक्त्यांना कर्मचाऱ्यांशी सल्लामसलत करणे बंधनकारक करत नाही. अशा प्रणाली संपूर्ण कर्मचाऱ्यांवर परिणाम करतात अशा काळात ही एक गंभीर त्रुटी आहे. EU च्या GDPR, जे बायोमेट्रिक्सना विशेष श्रेणी डेटा मानतो आणि पूर्णपणे स्वयंचलित निर्णयांपासून संरक्षण देतो, किंवा EU AI कायदा, जो रोजगारातील AI ला उच्च-जोखीम म्हणून वर्गीकृत करतो, यांच्या तुलनेत, भारताचा DPDP फ्रेमवर्क या विशिष्ट कामाच्या ठिकाणच्या जोखमींबद्दल आश्चर्यकारकपणे शांत आहे. कॅलिफोर्निया CPRA देखील एक वेगळी संवेदनशील वैयक्तिक माहिती श्रेणी स्थापित करते. पुढे काय?: प्रतिनिधी कायदे, आचारसंहिता किंवा डेटा संरक्षण बोर्डाकडून मार्गदर्शनाद्वारे हस्तक्षेप शक्य आहेत. यामध्ये 'रोजगार उद्देशांना' परिभाषित करणे आणि मर्यादित करणे, सर्व कर्मचाऱ्यांच्या डेटावर प्रवेश आणि दुरुस्तीचा अधिकार वाढवणे, महत्त्वपूर्ण स्वयंचलित निर्णयांसाठी (तर्कपारदर्शकता आणि मानवी पुनरावलोकन यासह) संरक्षणांना बंधनकारक करणे, बायोमेट्रिक्ससाठी 'संवेदनशील डेटा' श्रेणी तयार करणे आणि युनियन्सद्वारे सामूहिक तक्रारींना सक्षम करणे यांचा समावेश असू शकतो. परिणाम: हे नियम, डेटा गव्हर्नन्सला पुढे नेत असले तरी, भारतीय कर्मचाऱ्यांना अनियंत्रित डिजिटल आणि अल्गोरिथमिक नुकसानासाठी उघडं सोडतात. वर्तमान फ्रेमवर्क संवैधानिक गोपनीयता न्यायशास्त्राला पूर्ण करत नाही, जे प्रतिष्ठा, स्वायत्तता आणि प्रमाणबद्धता यावर जोर देते, विशेषतः नोकरीवर परिणाम करणाऱ्या अपारदर्शक स्वयंचलित प्रणालींच्या बाबतीत. प्रतिनिधी कायदे आणि नियामक मार्गदर्शनाद्वारे पुढील उत्क्रांतीशिवाय, भारतीय कामाची ठिकाणे डेटा युगात न्याय आणि पर्यवेक्षणाच्या आश्वासनाचे पूर्णपणे पालन करू शकणार नाहीत.
