DPDP Act 2025 ,भारत ने डिजिटल अधिकारों और डेटा सुरक्षा के क्षेत्र में एक ऐतिहासिक कदम उठाते हुए 14 नवंबर को डिजिटल पर्सनल डेटा प्रोटेक्शन (DPDP) नियम 2025 को आधिकारिक रूप से अधिसूचित कर दिया। इस अधिसूचना के साथ ही देश में पहली बार एक व्यापक और संरचित डेटा प्राइवेसी फ्रेमवर्क औपचारिक रूप से लागू हो गया है।
डेटा प्रोटेक्शन बोर्ड ऑफ इंडिया DPB की स्थापना
इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY) ने इसी के साथ डेटा प्रोटेक्शन बोर्ड ऑफ इंडिया (DPB) की स्थापना भी कर दी है, जिसमें कुल चार सदस्य होंगे और इसका मुख्यालय राष्ट्रीय राजधानी क्षेत्र (NCR) में होगा। यह बोर्ड अब आधिकारिक रूप से डेटा उल्लंघन की जांच, निर्देश जारी करने और नियमों के उल्लंघन पर 250 करोड़ रुपये तक का भारी जुर्माना लगाने का अधिकार रखता है।
18 महीने की लंबी प्रक्रिया के बाद तैयार हुआ मजबूत डेटा सुरक्षा ढांचा
डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट अगस्त 2023 में संसद द्वारा पास किया गया था। इसके बाद लगभग डेढ़ साल तक मसौदा नियमों पर समीक्षा, जन–परामर्श और विशेषज्ञों से सुझाव लिए गए। जनवरी 2025 में ड्राफ्ट नियम जारी हुए थे, जिन पर आपत्तियों और सुझावों को शामिल करने के बाद अब अंतिम नियम लागू किए गए हैं।यह ढांचा भारत में डेटा सुरक्षा के लिए एक मानकीकृत, जिम्मेदार और पारदर्शी प्रक्रिया सुनिश्चित करेगा, जिसमें कंपनियों, डिजिटल प्लेटफॉर्म और सभी डेटा प्रोसेसिंग संस्थानों के लिए स्पष्ट दायित्व निर्धारित किए गए हैं।
DPDP के लिए कब कौन सा नियम लागू होगा?
सरकार ने कंपनियों और डिजिटल प्लेटफॉर्म को पर्याप्त तैयारी समय देने के लिए नियमों के कार्यान्वयन को कई चरणों में विभाजित किया है:
- तुरंत लागू हुए नियम (अधिसूचना जारी होते ही)
नियमों की परिभाषाएँ, डेटा प्रोटेक्शन बोर्ड की शक्तियाँ, शिकायत निवारण से जुड़े प्रावधान, ये आधारभूत प्रावधान सीधे ही प्रभावी हो गए हैं।
- एक वर्ष बाद लागू होने वाले नियम
कंसेंट मैनेजरों (Consent Managers) के पंजीकरण, दायित्व और परिचालन संबंधी नियम
ये वे मध्यस्थ हैं जो उपयोगकर्ताओं को अपने डेटा अनुमतियों को प्रबंधित करने में सहायता करेंगे।
- 18 महीनों बाद लागू होने वाले सबसे महत्वपूर्ण ऑपरेशनल नियम
नोटिस फॉर्मेट,सुरक्षा उपाय, डेटा उल्लंघन रिपोर्टिंग प्रोटोकॉल डेटा रिटेंशन, डिलीशन और लॉगिंग मानक इन नियमों से कंपनियों के वास्तविक कार्यप्रणाली में व्यापक बदलाव देखे जाएंगे।
डेटा फिड्यूशियरीज़ के लिए अब और सख्त दायित्व
नई व्यवस्था के तहत डेटा फिड्यूशियरीज़ — यानी वे संस्थाएँ जो व्यक्तिगत डेटा एकत्र और प्रोसेस करती हैं । को अब अधिक पारदर्शिता और सुरक्षा सुनिश्चित करनी होगी। स्पष्ट और विस्तृत डेटा नोटिस देना अनिवार्य ,कंपनियों को अब उपयोगकर्ताओं को यह बताना होगा: कौन–सा व्यक्तिगत डेटा लिया जा रहा है, क्यों लिया जा रहा है, किस उद्देश्य से इसका उपयोग होगा, सहमति अब ‘सत्यापित और स्पष्ट’ होनी चाहिए। डेटा प्रोसेसिंग तभी संभव है जब उपयोगकर्ता की स्पष्ट, सूचित और सत्यापित सहमति प्राप्त हो।
बच्चों के व्यक्तिगत डेटा के लिए विशेष सुरक्षा
नियमों में बच्चों की ऑनलाइन सुरक्षा को प्राथमिकता दी गई है। अब किसी भी प्लेटफॉर्म को 18 वर्ष से कम आयु के उपयोगकर्ताओं का डेटा प्रोसेस करने से पहले: सत्यापित अभिभावकीय सहमति लेनी होगी, यह सहमति पहचान सत्यापन या अधिकृत टोकन के माध्यम से प्राप्त की जाएगी, यह प्रावधान बच्चों को अवांछित ट्रैकिंग और प्रोफाइलिंग से बचाएगा।
डेटा सुरक्षा के तकनीकी मानक
फिड्यूशियरीज़ को अब अनिवार्य रूप से लागू करना होगा: एंड–टू–एंड एन्क्रिप्शन, एक्सेस कंट्रोल सिस्टम, एक्टिविटी लॉगिंग, कम से कम एक वर्ष तक ट्रैफिक लॉग का संरक्षण, यह कदम साइबर सुरक्षा को मजबूत करेगा और संभावित उल्लंघनों की जांच को सरल बनाएगा।
डेटा ब्रिच रिपोर्टिंग: 72 घंटे की कड़ी समय सीमा
नए नियमों के अनुसार, किसी भी डेटा उल्लंघन का पता चलने पर कंपनी को तुरंत डेटा प्रोटेक्शन बोर्ड को सूचित करना होगा, 72 घंटे के भीतर एक विस्तृत रिपोर्ट जमा करनी होगी। प्रभावित उपयोगकर्ताओं को भी बिना देरी जानकारी देना अनिवार्य है। यह पारदर्शिता को बढ़ावा देगा और उपयोगकर्ताओं को तुरंत सुरक्षा उपाय करने का अवसर देगा।
सिग्निफिकेंट डेटा फिड्यूशियरीज़ के लिए और भी सख्त शर्तें
केंद्रीय सरकार कुछ संस्थाओं को Significant Data Fiduciaries (SDFs) घोषित कर सकती है। इनके लिए अतिरिक्त दायित्व शामिल हैं: वार्षिक डेटा प्रोटेक्शन इम्पैक्ट असेसमेंट (DPIA), स्वतंत्र ऑडिट ,एल्गोरिदमिक प्रक्रियाओं की जांच और यह सुनिश्चित करना कि वे उपयोगकर्ता अधिकारों का उल्लंघन नहीं करें, 20 मिलियन से अधिक उपयोगकर्ता वाले सोशल मीडिया प्लेटफॉर्म पर विशेष नियम, ऐसे प्लेटफॉर्म को अनिवार्य रूप से, 3 वर्ष की निष्क्रियता के बाद उपयोगकर्ता डेटा मिटाना होगा। जब तक कि कानूनन इसकी आवश्यकता न हो, इससे डेटा मिनिमाइजेशन और उपयोगकर्ता गोपनीयता को बढ़ावा मिलता है।
भारत की डिजिटल अर्थव्यवस्था के लिए क्या मायने रखता है नया कानून?
DPDP नियम 2025 सिर्फ नियमन नहीं, बल्कि भारत के डिजिटल भविष्य की एक नई दिशा हैं।
इनसे उम्मीद की जा रही है कि: उपयोगकर्ता प्राइवेसी को कानूनी सुरक्षा मिलेगी, टेक कंपनियों और स्टार्टअप्स में जिम्मेदारी और पारदर्शिता बढ़ेगी, वैश्विक निवेशकों के लिए भारत एक भरोसेमंद डिजिटल मार्केट बनेगा, यूज़र्स का डेटा के प्रति विश्वास मजबूत होगा। भारत अब उन देशों में शामिल हो रहा है जिनके पास मजबूत, आधुनिक और उपयोगकर्ता–फ्रेंडली डेटा सुरक्षा कानून मौजूद हैं।
निष्कर्ष
डिजिटल पर्सनल डेटा प्रोटेक्शन नियम 2025 का लागू होना भारत में डेटा प्राइवेसी इतिहास का एक मील का पत्थर है। चरणबद्ध कार्यान्वयन, मजबूत सुरक्षा मानक, बच्चों की सुरक्षा, कठोर डेटा ब्रिच नियम और डेटा प्रोटेक्शन बोर्ड की स्थापना — ये सभी कदम भारत को एक सुरक्षित और जिम्मेदार डिजिटल समाज की ओर ले जाते हैं। नई नीति न सिर्फ उपयोगकर्ता अधिकारों को संरक्षित करेगी, बल्कि देश की डिजिटल अर्थव्यवस्था को अंतरराष्ट्रीय मानकों के अनुरूप भी बनाएगी।