DPDP Act: ਭਾਰਤੀ ਕੰਪਨੀਆਂ 'ਤੇ ਪਿਆ ਮਹਿੰਗਾ ਪੰਗਾ? Vendor Compliance ਦੇ ਖਰਚੇ ਆਸਮਾਨੀ

TECH
Whalesbook Logo
Author Kabir Saluja | Published at:
DPDP Act: ਭਾਰਤੀ ਕੰਪਨੀਆਂ 'ਤੇ ਪਿਆ ਮਹਿੰਗਾ ਪੰਗਾ? Vendor Compliance ਦੇ ਖਰਚੇ ਆਸਮਾਨੀ
Overview

ਭਾਰਤ ਦੀਆਂ ਕੰਪਨੀਆਂ (India Inc.) ਡਿਜੀਟਲ ਪਰਸਨਲ ਡਾਟਾ ਪ੍ਰੋਟੈਕਸ਼ਨ (DPDP) ਐਕਟ ਤਹਿਤ ਆਪਣੇ ਵੈਂਡਰਾਂ (Vendors) ਨਾਲ ਜੁੜੇ ਡਾਟਾ ਪ੍ਰਾਈਵੇਸੀ ਦੇ ਖਤਰਿਆਂ ਨੂੰ ਸੰਭਾਲਣ ਲਈ ਬਿਲਕੁਲ ਤਿਆਰ ਨਹੀਂ ਹਨ। ਇਸ ਕਾਰਨ ਉਨ੍ਹਾਂ ਨੂੰ ਵੱਡੇ ਜੁਰਮਾਨਿਆਂ, ਕੰਮਕਾਜ ਵਿੱਚ ਰੁਕਾਵਟਾਂ ਅਤੇ ਵਧੇਰੇ ਲਾਗਤਾਂ ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਪੈ ਸਕਦਾ ਹੈ।

DPDP ਐਕਟ: ਵੈਂਡਰਾਂ ਦੀ ਪਾਲਣਾ ਦੇ ਵਧਦੇ ਖਰਚੇ

ਡਿਜੀਟਲ ਪਰਸਨਲ ਡਾਟਾ ਪ੍ਰੋਟੈਕਸ਼ਨ (DPDP) ਐਕਟ ਦੇ ਲਾਗੂ ਹੋਣ ਨਾਲ ਭਾਰਤੀ ਕਾਰੋਬਾਰਾਂ (Businesses) ਲਈ ਇੱਕ ਵੱਡਾ ਚੈਲੰਜ ਸਾਹਮਣੇ ਆਇਆ ਹੈ - ਉਹ ਹੈ ਆਪਣੇ ਤੀਜੇ-ਪੱਖੀ ਵੈਂਡਰਾਂ (Third-party Vendors) ਵੱਲੋਂ ਡਾਟਾ ਪ੍ਰਾਈਵੇਸੀ ਦੇ ਨਿਯਮਾਂ ਦੀ ਪਾਲਣਾ। ਭਾਵੇਂ ਬਹੁਤ ਸਾਰੀਆਂ ਕੰਪਨੀਆਂ ਬੋਰਡ ਪੱਧਰ 'ਤੇ ਇਸ ਐਕਟ ਨੂੰ ਮਹੱਤਵ ਦੇ ਰਹੀਆਂ ਹਨ, ਪਰ ਅਸਲ ਵਿੱਚ ਜਦੋਂ ਵੈਂਡਰਾਂ, ਜਿਨ੍ਹਾਂ ਰਾਹੀਂ ਨਿੱਜੀ ਡਾਟਾ ਪ੍ਰੋਸੈਸ ਹੁੰਦਾ ਹੈ, ਦੀ ਗੱਲ ਆਉਂਦੀ ਹੈ, ਤਾਂ ਤਿਆਰੀ ਬਹੁਤ ਘੱਟ ਦਿਖਾਈ ਦਿੰਦੀ ਹੈ। ਇਹ ਤਿਆਰੀ ਦੀ ਘਾਟ ਸਿਰਫ ਇੱਕ ਪ੍ਰਸ਼ਾਸਕੀ ਸਮੱਸਿਆ ਨਹੀਂ, ਸਗੋਂ ਇੱਕ ਵੱਡਾ ਵਿੱਤੀ ਅਤੇ ਕਾਰਜਕਾਰੀ ਜੋਖਮ (Operational Liability) ਹੈ।

DPDP ਐਕਟ ਦੇ ਤਹਿਤ, ਡਾਟਾ ਫਿਡਿਊਸ਼ੀਅਰੀ (Data Fiduciary) ਆਪਣੇ ਵੈਂਡਰਾਂ ਦੁਆਰਾ ਨਿੱਜੀ ਡਾਟਾ ਦੀ ਪ੍ਰੋਸੈਸਿੰਗ ਲਈ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਜਵਾਬਦੇਹ ਹਨ। ਭਾਵੇਂ ਉਹ IT ਸਰਵਿਸ ਪ੍ਰੋਵਾਈਡਰ ਹੋਣ, ਕਲਾਉਡ ਪਲੇਟਫਾਰਮ ਹੋਣ ਜਾਂ ਐਨਾਲਿਟਿਕਸ ਫਰਮਾਂ, ਇਨ੍ਹਾਂ ਵਿੱਚੋਂ ਕਿਸੇ ਵੀ ਵੈਂਡਰ ਵੱਲੋਂ ਕੀਤੀ ਗਈ ਕੋਈ ਵੀ ਗਲਤੀ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਕੰਪਨੀ ਲਈ ਕਾਨੂੰਨੀ ਅਤੇ ਪ੍ਰਤਿਸ਼ਠਾ (Reputational) ਦੇ ਨਤੀਜੇ ਲਿਆ ਸਕਦੀ ਹੈ। ਇਸ ਐਕਟ ਤਹਿਤ ਕਿਸੇ ਵੀ ਉਲੰਘਣਾ ਲਈ ₹250 ਕਰੋੜ ਤੱਕ ਦਾ ਜੁਰਮਾਨਾ ਲਗਾਇਆ ਜਾ ਸਕਦਾ ਹੈ। ਇਹ ਵੀ ਧਿਆਨ ਦੇਣ ਯੋਗ ਹੈ ਕਿ ਭਾਰਤ ਵਿੱਚ ਡਾਟਾ ਬ੍ਰੀਚ (Data Breach) ਦੀ ਔਸਤ ਲਾਗਤ ₹22 ਕਰੋੜ ਤੱਕ ਪਹੁੰਚ ਗਈ ਹੈ, ਜਿਸ ਵਿੱਚ ਵੈਂਡਰਾਂ ਦੇ ਅਣ-ਪੜਤਾਲੇ ਐਕਸੈਸ ਜਾਂ ਅਣਉਚਿਤ ਬ੍ਰੀਚ ਰਿਪੋਰਟਿੰਗ ਕਾਰਨ ਹੋਰ ਵਾਧਾ ਹੋ ਸਕਦਾ ਹੈ।

ਕਾਰਜਕਾਰੀ ਰੁਕਾਵਟਾਂ ਅਤੇ ਮਾਹਿਰਾਂ ਦੀ ਘਾਟ

ਮਜ਼ਬੂਤ ਡਾਟਾ ਪ੍ਰਾਈਵੇਸੀ ਉਪਾਅ (Privacy Measures) ਲਾਗੂ ਕਰਨ ਵਿੱਚ ਕਈ ਵੱਡੀਆਂ ਕਾਰਜਕਾਰੀ ਚੁਣੌਤੀਆਂ ਆ ਰਹੀਆਂ ਹਨ। ਇੱਕ ਰਿਪੋਰਟ ਮੁਤਾਬਕ, ਲਗਭਗ 77% ਕੰਪਨੀਆਂ ਆਪਣੀਆਂ ਪੁਰਾਣੀਆਂ ਸਿਸਟਮਾਂ (Legacy Systems) ਵਿੱਚ ਪ੍ਰਾਈਵੇਸੀ ਟੈਕਨੋਲੋਜੀ, ਜਿਵੇਂ ਕਿ ਕੰਸੈਂਟ ਮੈਨੇਜਮੈਂਟ ਅਤੇ ਡਾਟਾ ਡਿਸਕਵਰੀ ਟੂਲਜ਼, ਨੂੰ ਏਕੀਕ੍ਰਿਤ (Integrate) ਕਰਨ ਲਈ ਸੰਘਰਸ਼ ਕਰ ਰਹੀਆਂ ਹਨ। ਇਸ ਦੇ ਨਾਲ ਹੀ, 76.4% ਸੰਸਥਾਵਾਂ ਨੇ ਵਿਸ਼ਾ-ਮਾਹਿਰਾਂ (Subject-matter Expertise) ਦੀ ਗੰਭੀਰ ਘਾਟ ਦੱਸੀ ਹੈ, ਜਿਸ ਕਾਰਨ 71% ਤੋਂ ਵੱਧ ਕਾਰੋਬਾਰਾਂ ਲਈ DPDP ਐਕਟ ਅਤੇ ਨਿਯਮਾਂ ਨੂੰ ਸਮਝਣਾ ਅਤੇ ਲਾਗੂ ਕਰਨਾ ਮੁਸ਼ਕਲ ਹੋ ਗਿਆ ਹੈ। ਇਹ ਰੁਕਾਵਟਾਂ ਵੈਂਡਰਾਂ ਦੇ ਜੋਖਮ ਦਾ ਮੁਲਾਂਕਣ (Risk Assessment), ਸਮੇਂ-ਸਿਰ ਆਡਿਟ ਅਤੇ ਕੰਟਰੈਕਟ ਸੁਧਾਰ (Contract Remediation) ਵਰਗੀਆਂ ਜ਼ਰੂਰੀ ਪਾਲਣਾ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਅਪਣਾਉਣ ਤੋਂ ਰੋਕ ਰਹੀਆਂ ਹਨ। DPDP ਨਿਯਮਾਂ ਨੂੰ ਸੂਚਿਤ ਕਰ ਦਿੱਤਾ ਗਿਆ ਹੈ ਅਤੇ ਮਈ 2027 ਤੱਕ 18 ਮਹੀਨਿਆਂ ਦਾ ਪਾਲਣਾ ਸਮਾਂ (Compliance Clock) ਚੱਲ ਰਿਹਾ ਹੈ, ਇਸ ਲਈ ਕੰਪਨੀਆਂ ਹੁਣ ਹੋਰ ਇੰਤਜ਼ਾਰ ਨਹੀਂ ਕਰ ਸਕਦੀਆਂ।

ਸੈਕਟਰ ਅਨੁਸਾਰ ਫਰਕ ਅਤੇ ਵੈਂਡਰ ਨਿਗਰਾਨੀ ਦੀਆਂ ਚੁਣੌਤੀਆਂ

DPDP ਪਾਲਣਾ ਲਈ ਤਿਆਰੀ ਭਾਰਤ ਦੇ ਵੱਖ-ਵੱਖ ਉਦਯੋਗਾਂ ਵਿੱਚ ਕਾਫੀ ਵੱਖਰੀ ਹੈ। ਕੰਜ਼ਿਊਮਰ, ਰਿਟੇਲ ਅਤੇ ਈ-ਕਾਮਰਸ ਸੈਕਟਰ ਇਸ ਪਾਲਣਾ ਯਾਤਰਾ ਨੂੰ ਅਪਣਾਉਣ ਵਿੱਚ ਅੱਗੇ ਹਨ, ਜਿੱਥੇ 50% ਨੇ ਆਪਣਾ ਕੰਮ ਸ਼ੁਰੂ ਕਰ ਦਿੱਤਾ ਹੈ। ਇਸ ਤੋਂ ਬਾਅਦ ਟੈਕਨਾਲੋਜੀ ਸਰਵਿਸਿਜ਼ (38.8%) ਅਤੇ ਵਿੱਤੀ ਸੇਵਾਵਾਂ (34.7%) ਹਨ। ਹਾਲਾਂਕਿ, ਜਿਨ੍ਹਾਂ ਸੈਕਟਰਾਂ ਵਿੱਚ ਵੈਂਡਰਾਂ ਦਾ ਈਕੋਸਿਸਟਮ ਕਾਫੀ ਗੁੰਝਲਦਾਰ ਹੈ, ਜਿਵੇਂ ਕਿ ਹੈਲਥਕੇਅਰ, ਮੈਨੂਫੈਕਚਰਿੰਗ, ਮੈਟਲ, ਮਾਈਨਿੰਗ ਅਤੇ ਐਨਰਜੀ, ਉੱਥੇ ਤਿਆਰੀ ਕਾਫੀ ਘੱਟ ਹੈ। ਉਦਾਹਰਨ ਲਈ, ਹੈਲਥਕੇਅਰ ਸੰਸਥਾਵਾਂ, ਜੋ ਬਹੁਤ ਸੰਵੇਦਨਸ਼ੀਲ ਡਾਟਾ ਸੰਭਾਲਦੀਆਂ ਹਨ, ਅਜੇ ਵੀ ਸ਼ੁਰੂਆਤੀ ਪੜਾਅ ਵਿੱਚ ਹਨ, ਜਿੱਥੇ ਸਿਰਫ 9.9% ਨੇ ਹੀ ਪ੍ਰਗਤੀ ਕੀਤੀ ਹੈ। ਇਹ ਅਸਮਾਨ ਮਾਹੌਲ ਵੈਂਡਰ ਨਿਗਰਾਨੀ (Vendor Oversight) ਲਈ ਇੱਕ ਟੁਟਿਆ-ਪੁਟਿਆ ਪਹੁੰਚ ਬਣਾਉਂਦਾ ਹੈ।

ਕੰਪਨੀਆਂ ਨੇ ਨਿੱਜੀ ਡਾਟਾ ਸੰਭਾਲਣ ਵਾਲੇ ਵੈਂਡਰਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਪਰ ਉਨ੍ਹਾਂ ਦੀ DPDP ਲੋੜਾਂ ਨੂੰ ਪੂਰਾ ਕਰਨ ਦੀ ਅਸਲ ਸਮਰੱਥਾ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਨਹੀਂ ਕੀਤਾ ਹੈ। 72 ਘੰਟਿਆਂ ਦੇ ਅੰਦਰ ਸਖ਼ਤ ਬ੍ਰੀਚ ਰਿਪੋਰਟਿੰਗ (Breach Reporting) ਦੇ ਮੈਂਡੇਟ ਦੇ ਨਾਲ, ਵੈਂਡਰਾਂ ਦੀਆਂ ਲੌਗ ਰਿਟੈਨਸ਼ਨ ਅਤੇ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ (Security Safeguards) ਦੀਆਂ ਜ਼ਿੰਮੇਵਾਰੀਆਂ, ਇੱਕ ਅਣ-ਤਿਆਰ ਸਪਲਾਈ ਚੇਨ 'ਤੇ ਭਾਰੀ ਦਬਾਅ ਪਾਉਂਦੀਆਂ ਹਨ।

ਐਂਟਰਪ੍ਰਾਈਜ਼ ਰਿਸਕ ਮੈਨੇਜਮੈਂਟ ਲਈ ਰਣਨੀਤਕ ਅਨਿਵਾਰਤਾ

DPDP ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਭਾਰਤੀ ਕਾਰੋਬਾਰਾਂ ਦੇ ਪ੍ਰਾਈਵੇਸੀ ਪ੍ਰਤੀ ਨਜ਼ਰੀਆ ਬਦਲਣ ਦੀ ਲੋੜ ਹੈ। ਇਹ ਹੁਣ ਸਿਰਫ ਇੱਕ ਕੰਟਰੈਕਟ ਚੈਕਬਾਕਸ ਨਹੀਂ, ਬਲਕਿ ਇੱਕ ਏਕੀਕ੍ਰਿਤ ਕਾਰਜਕਾਰੀ ਨਿਯੰਤਰਣ (Operational Control) ਬਣ ਗਿਆ ਹੈ, ਜੋ ਵੈਂਡਰ ਰਿਸਕ ਨੂੰ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਰਿਸਕ (Enterprise Risk) ਦੇ ਪੱਧਰ 'ਤੇ ਲੈ ਜਾਂਦਾ ਹੈ। ਭੂਤਕਾਲੀ ਰੈਗੂਲੇਟਰੀ ਬਦਲਾਅ, ਜਿਵੇਂ ਕਿ ਗੁਡਸ ਐਂਡ ਸਰਵਿਸਿਜ਼ ਟੈਕਸ (GST) ਲਾਗੂ ਕਰਨਾ, ਨੇ ਪਾਲਣਾ ਦੇ ਭਾਰੀ ਬੋਝ ਅਤੇ ਤਕਨੀਕੀ ਅਨੁਕੂਲਤਾ (Technological Adaptations) ਦੀ ਲੋੜ ਦਿਖਾਈ, ਜਿਸ ਵਿੱਚ ਛੋਟੇ ਕਾਰੋਬਾਰਾਂ ਨੂੰ ਅਕਸਰ ਵਧੇਰੇ ਮੁਸ਼ਕਲਾਂ ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਪਿਆ। ਇਸੇ ਤਰ੍ਹਾਂ, ਯੂਰਪੀਅਨ ਯੂਨੀਅਨ ਦੇ GDPR ਦੇ ਤਜਰਬੇ ਨੇ ਡਾਟਾ ਪ੍ਰੋਟੈਕਸ਼ਨ ਨਿਯਮਾਂ ਦੇ ਕਾਰਨ ਕਾਫੀ ਪਾਲਣਾ ਲਾਗਤਾਂ ਅਤੇ ਨਿਵੇਸ਼ ਵਿੱਚ ਸੰਭਾਵੀ ਕਮੀ ਵੱਲ ਇਸ਼ਾਰਾ ਕੀਤਾ ਹੈ।

ਵਿਸ਼ਲੇਸ਼ਕ ਜ਼ੋਰ ਦਿੰਦੇ ਹਨ ਕਿ ਜਿਹੜੀਆਂ ਫਰਮਾਂ DPDP ਪਾਲਣਾ ਨੂੰ ਸਿਰਫ ਇੱਕ ਰੈਗੂਲੇਟਰੀ ਚੈਕਲਿਸਟ (Regulatory Checklist) ਦੀ ਬਜਾਏ ਇੱਕ ਢਾਂਚਾਗਤ ਪਰਿਵਰਤਨ (Structural Transformation) ਵਜੋਂ ਦੇਖਣਗੀਆਂ, ਉਹ ਵਧੇਰੇ ਭਰੋਸਾ ਅਤੇ ਲਚਕਤਾ (Resilience) ਬਣਾਉਣਗੀਆਂ। ਵੱਡੇ ਉਦਯੋਗਾਂ ਲਈ ਅਨੁਮਾਨਿਤ ਇੱਕ-ਵਾਰੀ ਪਾਲਣਾ ਲਾਗਤਾਂ ₹2.5 ਕਰੋੜ ਤੋਂ ₹18 ਕਰੋੜ ਤੱਕ ਹੋ ਸਕਦੀਆਂ ਹਨ, ਅਤੇ ਸਲਾਨਾ ਆਵਰਤੀ ਲਾਗਤਾਂ (Annual Recurring Costs) ₹50 ਲੱਖ ਤੋਂ ₹10 ਕਰੋੜ ਦੇ ਵਿਚਕਾਰ ਹੋ ਸਕਦੀਆਂ ਹਨ, ਜੋ ਲੋੜੀਂਦੇ ਨਿਵੇਸ਼ ਦੇ ਪੈਮਾਨੇ ਨੂੰ ਦਰਸਾਉਂਦੀਆਂ ਹਨ।

ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਦਾ ਦ੍ਰਿਸ਼ਟੀਕੋਣ ਅਤੇ ਭਵਿੱਖ ਦੀ ਤਿਆਰੀ

ਉਦਯੋਗ ਦੇ ਅਨੁਮਾਨਾਂ ਅਨੁਸਾਰ, ਭਾਰਤੀ IT ਸੇਵਾਵਾਂ ਖੇਤਰ AI ਦੁਆਰਾ ਸੰਚਾਲਿਤ ਵਿਕਾਸ ਲਈ ਤਿਆਰ ਹੈ, ਜੋ ਸੰਭਾਵੀ ਨਿਵੇਸ਼ ਸਮਰੱਥਾ ਦਾ ਸੰਕੇਤ ਦਿੰਦਾ ਹੈ ਪਰ ਡਾਟਾ ਦੇ ਜੋਖਮ ਨੂੰ ਵੀ ਵਧਾਉਂਦਾ ਹੈ। ਹਾਲਾਂਕਿ, DPDP ਪਾਲਣਾ ਲਈ ਬਜਟ ਦੀਆਂ ਰੁਕਾਵਟਾਂ ਇੱਕ ਕਾਰਕ ਬਣੀਆਂ ਹੋਈਆਂ ਹਨ। ਮਾਹਰਾਂ ਵਿੱਚ ਪ੍ਰਚਲਿਤ ਭਾਵਨਾ ਇਹ ਹੈ ਕਿ ਇੱਕ ਸਰਗਰਮ ਪਹੁੰਚ, ਜਿਸ ਵਿੱਚ ਡਾਟਾ ਗਵਰਨੈਂਸ ਦਾ ਆਧੁਨਿਕੀਕਰਨ, ਸਹਿਮਤੀ ਫਰੇਮਵਰਕ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਨਾ, ਅਤੇ ਪ੍ਰਾਈਵੇਸੀ-ਬਾਈ-ਡਿਜ਼ਾਈਨ (Privacy-by-Design) ਸਿਸਟਮ ਬਣਾਉਣਾ ਸ਼ਾਮਲ ਹੈ, ਬਹੁਤ ਜ਼ਰੂਰੀ ਹੈ। ਵੈਂਡਰ ਗਵਰਨੈਂਸ 'ਤੇ ਕਾਰਵਾਈ ਵਿੱਚ ਦੇਰੀ ਸਿਰਫ ਰੈਗੂਲੇਟਰੀ ਜੁਰਮਾਨੇ ਹੀ ਨਹੀਂ, ਸਗੋਂ ਕਾਰਜਕਾਰੀ ਰੁਕਾਵਟਾਂ ਅਤੇ ਗੰਭੀਰ ਪ੍ਰਤਿਸ਼ਠਾ ਨੂੰ ਨੁਕਸਾਨ ਪਹੁੰਚਾਉਣ ਦਾ ਵੀ ਜੋਖਮ ਹੈ। ਅੱਗੇ ਦਾ ਰਾਹ ਸਿਰਫ ਸ਼ੁਰੂਆਤੀ ਮੁਲਾਂਕਣਾਂ ਤੋਂ ਅੱਗੇ ਵਧ ਕੇ ਸੰਗਠਨਾਤਮਕ ਸੱਭਿਆਚਾਰ, ਸਿਸਟਮਾਂ ਅਤੇ ਪ੍ਰਕਿਰਿਆਵਾਂ ਵਿੱਚ ਪ੍ਰਾਈਵੇਸੀ ਨੂੰ ਡੂੰਘੇ ਤਰੀਕੇ ਨਾਲ ਸ਼ਾਮਲ ਕਰਨ ਦੀ ਲੋੜ ਹੈ, ਇਸ ਨੂੰ ਇੱਕ ਰਣਨੀਤਕ ਕਾਰੋਬਾਰੀ ਅਨਿਵਾਰਤਾ ਵਿੱਚ ਬਦਲਣ ਦੀ ਲੋੜ ਹੈ।

Disclaimer:This content is for educational and informational purposes only and does not constitute investment, financial, or trading advice, nor a recommendation to buy or sell any securities. Readers should consult a SEBI-registered advisor before making investment decisions, as markets involve risk and past performance does not guarantee future results. The publisher and authors accept no liability for any losses. Some content may be AI-generated and may contain errors; accuracy and completeness are not guaranteed. Views expressed do not reflect the publication’s editorial stance.