Digital Personal Data Protection Rules 2025
संदर्भ:
13 नवंबर 2025 को इलेक्ट्रॉनिक्स एवं सूचना प्रौद्योगिकी मंत्रालय (MeitY) ने डिजिटल पर्सनल डेटा प्रोटेक्शन (DPDP) Rules, 2025 जारी किए। इसके साथ DPDP Act, 2023 का पूर्ण क्रियान्वयन चरण पूरा हो गया। यह कदम एक सरल, नागरिक-केन्द्रित एवं नवाचार-हितैषी डेटा शासन प्रणाली की दिशा में बड़ा परिवर्तन माना जा रहा है।
DPDP नियम, 2025 क्या हैं?
डिजिटल पर्सनल डेटा प्रोटेक्शन नियम, 2025 एक प्रशासनिक ढांचा है जिसके माध्यम से सरकार ने DPDP अधिनियम 2023 को लागू करने के लिए प्रक्रियाएँ और दायित्व निर्धारित किए हैं। नियमों का उद्देश्य व्यक्तियों के डिजिटल व्यक्तिगत डेटा की रक्षा करना और नवाचार-हितैषी, वैध डेटा प्रसंस्करण को सक्षम बनाना है। इसमें ऑनलाइन और ऑफलाइन दोनों माध्यमों में एकत्र किए गए डेटा को कवर किया गया है।
- DPDP अधिनियम 2023 को 11 अगस्त 2023 को राष्ट्रपति की मंजूरी प्राप्त हुई। इसकी नींव 2017 के सुप्रीम कोर्ट के के.एस. पुट्टस्वामी बनाम भारत संघ निर्णय ने रखी, जिसमें निजता को मौलिक अधिकार घोषित किया गया।
- इसके बाद MeitY ने 3 जनवरी 2025 को मसौदा नियम जारी किए और व्यापक सार्वजनिक परामर्श के बाद 13 नवंबर 2025 को अंतिम नियम अधिसूचित किए गए।
डिजिटल पर्सनल डेटा प्रोटेक्शन (DPDP) नियम, 2025 के मुख्य प्रावधान:
-
सात मूल सिद्धांत: DPDP नियम सात सिद्धांतों पर आधारित हैं—सहमति, पारदर्शिता, उद्देश्य-सीमा, डेटा न्यूनकरण, शुद्धता, भंडारण-सीमा, सुरक्षा प्रबंध और उत्तरदायित्व। ये सिद्धांत सुनिश्चित करते हैं कि डेटा केवल आवश्यक उपयोग के लिए एकत्र हो, सटीक रखा जाए और सुरक्षित रूप से संग्रहित किया जाए।
-
SARAL डिज़ाइन: नियम SARAL अर्थात सरल, सुलभ, तार्किक और क्रियाशील ढांचे पर आधारित हैं। उद्देश्य यह है कि डेटा फिड्युशियरी बिना जटिल तकनीकी या कानूनी भाषा के, सीधे और समझने योग्य प्रक्रियाओं का पालन करें, जिससे नागरिक और संगठन दोनों आसानी से अनुपालन कर सकें।
-
अनुपालन समयसीमा: नियम फिड्युशियरी को 18 महीने की अवधि देते हैं, ताकि वे अपने डिजिटल सिस्टम, रिकॉर्ड प्रबंधन और सुरक्षा संरचना को नए मानकों के अनुरूप बदल सकें। यह चरणबद्ध प्रक्रिया विशेष रूप से छोटे संस्थानों को बिना दबाव अनुपालन करने की सुविधा देती है।
-
सहमति प्रबंधक (Consent Manager): सहमति प्रबंधक नागरिकों को उनके डेटा अनुमतियों को सरल डिजिटल प्लेटफॉर्म के माध्यम से नियंत्रित करने में सहायता करते हैं। नियम यह स्पष्ट करते हैं कि ये संस्थाएँ भारत में पंजीकृत हों ताकि उत्तरदायित्व सुनिश्चित हो और नागरिक अपनी सहमति आसानी से वापस ले सकें।
-
डेटा उल्लंघन सूचना: किसी भी व्यक्तिगत डेटा उल्लंघन की स्थिति में फिड्युशियरी को प्रभावित व्यक्तियों को साधारण भाषा में तुरंत सूचित करना अनिवार्य है। सूचना में उल्लंघन की प्रकृति, संभावित प्रभाव और उठाए गए सुधारात्मक कदमों का स्पष्ट उल्लेख होना आवश्यक है।
-
बच्चों का डेटा संरक्षण: बच्चों के डेटा प्रसंस्करण के लिए सत्यापित अभिभावक सहमति अनिवार्य है। केवल शिक्षा, स्वास्थ्य या सुरक्षा जैसी आवश्यक सेवाओं के लिए सीमित अपवाद दिए गए हैं। दिव्यांग व्यक्तियों के लिए निर्णय उनके वैध अभिभावक द्वारा किया जाएगा।
-
उत्तरदायित्व और DPO व्यवस्था: प्रत्येक फिड्युशियरी को अपने डेटा संरक्षण अधिकारी या अधिकारी के संपर्क विवरण सार्वजनिक करना आवश्यक है। महत्वपूर्ण डेटा फिड्युशियरी के लिए अतिरिक्त दायित्व—जैसे डेटा ऑडिट, जोखिम आकलन और सुदृढ़ निगरानी—अनिवार्य किए गए हैं।
-
डेटा प्रमुखों के अधिकार: नियम व्यक्तियों को उनके डेटा तक पहुंच, संशोधन, अद्यतन, विलोपन और अधिकारों के लिए प्रतिनिधि नियुक्त करने का अधिकार देते हैं। फिड्युशियरी को इन अनुरोधों का 90 दिनों के भीतर उत्तर देना होगा, जिससे पारदर्शिता और नागरिक नियंत्रण मजबूत होता है।
-
डेटा प्रोटेक्शन बोर्ड: नियम एक पूर्णतः डिजिटल डेटा प्रोटेक्शन बोर्ड की स्थापना करते हैं, जहाँ व्यक्ति ऑनलाइन शिकायत दर्ज कर सकते हैं। बोर्ड जांच कर सकता है, सुधारात्मक कदम निर्धारित कर सकता है और गंभीर मामलों में प्रति उल्लंघन ₹250 करोड़ तक का दंड लगा सकता है।
