डिजिटल वैयक्तिक डेटा संरक्षण विधेयक २०२२

18 नोव्हेंबर 2022 रोजी इलेक्ट्रॉनिक्स आणि माहिती तंत्रज्ञान मंत्रालयाने (MeitY) जारी केलेला डिजिटल वैयक्तिक डेटा संरक्षण विधेयक, 2022 ("DPDB") मसुदा 17 डिसेंबर 2022 पर्यंत सार्वजनिक टिप्पणीसाठी उपलब्ध आहे. MeitY ने डेटा मागे घेतला संरक्षण विधेयक 2021 पूर्वी 4 ऑगस्ट 2022 रोजी संयुक्त समितीच्या औचित्याखाली मूळ मसुद्यात लक्षणीय बदल करण्याची शिफारस केली. या कृतीने सध्याच्या गोपनीयतेचे कायदे आणि डिजिटल इकोसिस्टमच्या सतत बदलणाऱ्या बारकावे यांच्याशी सुसंगत असलेली "व्यापक" कायदेशीर चौकट तयार करण्याची गरज अधोरेखित केली आहे.

जर DPDB ला सध्याच्या स्वरूपात कायद्यात रूपांतरित केले गेले तर भारतीय डेटा संरक्षण कायद्यात काय आवश्यक असेल या मूलभूत घटकांचे विश्लेषण करणे.

अर्ज आणि कव्हरेज:

DPDB यासाठी लागू होईल:

1. डिजिटल वैयक्तिक डेटाची सर्व प्रक्रिया सूट (मटेरियल स्कोप) च्या अधीन आहे,
2. सर्व प्रक्रिया भारतामध्ये केली जाते आणि काही परिस्थितींमध्ये, प्रक्रिया भारताबाहेर (प्रादेशिक व्याप्ती) केली जाते.

संमती आणि संमती समजली:

डिजिटल वैयक्तिक डेटाची प्रक्रिया वैध कारणासाठी डेटा प्रिन्सिपलच्या संमतीने किंवा गर्भित संमतीने करणे आवश्यक आहे. संमती किंवा संमतीची आवश्यकता मानल्यास INR 500 दशलक्ष (सुमारे USD 6.1 दशलक्ष) पर्यंत दंड होऊ शकतो. कमकुवत मर्यादा असूनही, प्रक्रियेसाठी संमती हे मुख्य कायदेशीर औचित्य राहिले आहे.

DPDB नुसार, संमती अप्रतिबंधित, स्पष्ट, माहितीपूर्ण आणि स्पष्ट असणे आवश्यक आहे. ते डेटा प्रिन्सिपलने होकारार्थी कृतीद्वारे मान्य केले पाहिजे आणि नियुक्त केलेल्या उद्देशांपुरते मर्यादित असावे.

डेटा विश्वस्त व्यक्तीने संमती मिळण्याआधी किंवा त्याआधी एक आयटमाइज्ड नोटीस (म्हणजे वैयक्तिक आयटमची सूची म्हणून प्रदर्शित) ऑफर करणे आवश्यक आहे जे प्रक्रिया करू इच्छित असलेल्या वैयक्तिक डेटाचे तसेच त्याचा हेतू वापरण्याचे स्पष्टपणे आणि स्पष्टपणे स्पष्ट करते.

9 घटनांमध्ये, DPDB डेटा प्रिन्सिपलची संमती किंवा "डिम्ड कन्सेंट" प्रक्रियेसाठी कायदेशीर औचित्य म्हणून वापरते. यामध्ये हे समाविष्ट आहे:

1. जेव्हा डेटा तत्त्व मुक्तपणे वैयक्तिक माहिती प्रदान करते, आणि ते अशी माहिती पुरवतील असे गृहीत धरणे वाजवी आहे, जसे की जेव्हा करार केला जातो किंवा केला जातो;
2. कोणत्याही वैधानिक कर्तव्याच्या पूर्ततेचा भाग म्हणून डेटा प्रिन्सिपलला सेवा किंवा फायदे (जसे की सामाजिक कल्याण कार्यक्रम) प्रदान करणे, कोणत्याही हेतूसाठी राज्याद्वारे प्रक्रिया करणे;
3. प्रमाणपत्र, परवाना किंवा परवानगीसह डेटा प्रिन्सिपल प्रदान करणे (जसे की आधार जारी करण्यासाठी बायोमेट्रिक माहिती गोळा करणे);
4. कोणत्याही निर्णयाचे किंवा निर्देशांचे पालन करणे;
5. डेटा प्रिन्सिपल किंवा अन्य व्यक्तीच्या जीवनाला किंवा आरोग्याला धोका निर्माण करणाऱ्या वैद्यकीय आणीबाणीला प्रतिसाद;
6. महामारी, रोगाचा प्रादुर्भाव किंवा सार्वजनिक आरोग्य आणीबाणीच्या काळात कोणत्याही व्यक्तीला वैद्यकीय सेवा किंवा आरोग्य सेवा पुरवणे, जसे की संपर्क ट्रेसिंग;
7. आपत्ती व्यवस्थापन, किंवा सार्वजनिक विकार;
8. रोजगार-संबंधित हेतू; सार्वजनिक हितामध्ये (DPDB ची व्याख्या "सार्वभौमत्व आणि अखंडता, राज्य सुरक्षा, परकीय राज्यांशी मैत्रीपूर्ण संबंध, सार्वजनिक सुव्यवस्था राखणे, पूर्वगामी हितसंबंधात कोणताही दखलपात्र गुन्हा करण्यास प्रवृत्त करणे प्रतिबंधित करणे,
9. आणि बेकायदेशीर नसताना) आणि चुकीची विधाने किंवा तथ्ये यांचा प्रसार रोखणे) आणि नंतर विहित केलेल्या कोणत्याही न्याय्य आणि वाजवी हेतूसाठी).

वर नमूद केलेल्या आवश्यकतांव्यतिरिक्त, इतर विश्वासू दायित्वांचे पालन न केल्याबद्दल दंड INR 500 दशलक्ष (सुमारे USD 6.1 दशलक्ष) पर्यंत पोहोचू शकतो. DPDB कडे डेटा विश्वस्तांवर आधीच्या कायद्यापेक्षा कमी निर्बंध आहेत. कदाचित उद्दिष्ट स्वयं-नियमनास प्रोत्साहन देणे, एंटरप्राइझचे खर्च आणि अनुपालनाचे ओझे कमी करणे आहे. त्याच वेळी, हे आधीपासून असलेल्या गोपनीयता प्रशासन संरचनांवर परिणाम करू शकते.

महत्त्वपूर्ण डेटा विश्वासूंची सूचना:

केंद्र सरकार डेटा फिड्युशियरीच्या कोणत्याही वर्गाला महत्त्वपूर्ण डेटा फिड्युशियरी (SDF) म्हणून नियुक्त करू शकते. हे निर्णय घेताना प्रक्रिया केलेल्या डेटाची मात्रा आणि संवेदनशीलता, डेटा प्रिन्सिपलला हानी पोहोचण्याचा धोका, भारताच्या सार्वभौमत्व आणि अखंडतेवर होणारे संभाव्य परिणाम, राज्य सुरक्षा, निवडणूक लोकशाही जोखीम आणि इतर बाबींचे मूल्यांकन केले जाईल.

निकषांच्या पूर्वीच्या पुनरावृत्तींमध्ये अधिक तपशील वैशिष्ट्यीकृत आहेत आणि SDF च्या कार्यक्षेत्रात काही सोशल मीडिया मध्यस्थांचा समावेश करण्याचा प्रयत्न केला आहे; सध्या, हे ओपन एंडेड सोडले आहे. डेटा संरक्षण अधिकारी (DPO) म्हणून काम करण्यासाठी SDF ला भारतातील वैयक्तिक निवासी निवडणे आवश्यक आहे.

डेटा तत्त्वाची व्याप्ती:

त्यांच्या डेटाच्या संबंधातील अधिकार DPDB द्वारे मर्यादित केले गेले आहेत आणि त्यांच्यावर काही कर्तव्ये लादण्याचे देखील संस्थेचे उद्दिष्ट आहे. डेटा प्रिन्सिपलला याचा अधिकार आहे:

1. प्रक्रियेची पुष्टी; प्रक्रिया केलेल्या वैयक्तिक डेटाच्या सारांशात प्रवेश; प्रक्रिया क्रियाकलाप;
2. सर्व डेटा विश्वासूंची ओळख; आणि आवश्यक असलेली माहिती;
3. खोटी किंवा दिशाभूल करणारी वैयक्तिक माहिती सुधारणे;
4. वैयक्तिक डेटा अद्यतनित करणे;
5. अपूर्ण वैयक्तिक डेटा पूर्ण करणे;
6. प्रक्रिया किंवा कोणत्याही कायदेशीर हेतूसाठी यापुढे आवश्यक नसलेली वैयक्तिक माहिती हटवणे; लक्षात ठेवा की एखाद्या विश्वासू व्यक्तीला वैयक्तिक माहिती व्यावसायिक हेतूंसाठी आवश्यक असल्यास ठेवण्याची परवानगी आहे; परिणामी, पुसून टाकण्याचा अधिकार विश्वासूच्या या अधिकाराची जागा घेईल की नाही हे स्पष्ट नाही आणि हे स्पष्ट करणे आवश्यक आहे;
7. डेटा फिड्युशियरीकडे तक्रार नोंदवा;
8. डेटा विश्वस्त त्यांच्या नोंदणीकृत तक्रारींना प्रतिसाद देत नसल्यास किंवा असमाधानकारक रीतीने तसे करत असल्यास DPBI कडे तक्रार करा;
9. आणि त्यांच्या मृत्यूच्या किंवा अक्षमतेच्या प्रसंगी त्यांचे प्रतिनिधित्व करण्यासाठी दुसऱ्या व्यक्तीला नियुक्त करा.

डेटा प्रिन्सिपल विसरण्याचा कोणताही अधिकार नाही, विशिष्ट प्रकारच्या प्रक्रियेवर आक्षेप घेण्याचा अधिकार नाही (स्वयंचलित डेटा प्रोसेसिंग हे नियमनचे प्रमुख क्षेत्र असल्याने मुख्याध्यापकांकडून त्यावर आक्षेप घेतला जाऊ शकत नाही), किंवा डेटा पोर्टेबिलिटीसाठी कोणताही अधिकार नाही, जे एक आहे. जगभरातील वादग्रस्त मुद्दा.

अधिकारांचा वापर कसा करता येईल याची पद्धत, टाइमलाइन, स्वरूप आणि इतर तपशील नियम-निर्मितीवर सोडले आहेत. तरीही, या अधिकारांचा वापर करण्यासाठी, डेटा प्रिन्सिपल काही कर्तव्यांचे पालन करण्यास बांधील आहे. त्यापैकी एकासाठी सर्व लागू कायद्यांच्या तरतुदींचे पालन करण्यासाठी डेटा प्रिन्सिपल आवश्यक आहेत.

सीमापार डेटा हस्तांतरण:

मऊ आणि कठोर डेटा लोकॅलायझेशन मानकांच्या महत्त्वपूर्ण विरोधासह, स्टेकहोल्डर्सनी भूतकाळातील कायद्यांतर्गत क्रॉस-बॉर्डर डेटा ट्रान्सफरच्या वैशिष्ट्यांवर मोठ्या प्रमाणावर युक्तिवाद केला आहे. अशी स्थानिकीकरण मानके DPDB द्वारे काढून टाकली जातात, जी एक सकारात्मक विकास आहे.

हे अट घालते की केंद्र सरकारने कोणत्याही लागू अटी आणि शर्तींच्या अंतर्गत, वैयक्तिक डेटा हस्तांतरित केला जाऊ शकतो अशा कोणत्याही अधिकारक्षेत्रास सूचित करणे आवश्यक आहे की ते आवश्यक ठरवू शकतील अशा कोणत्याही विचारांच्या तपासणीनंतर.

हे सूचित करते की अधिकारक्षेत्रे योग्य आहेत की नाही हे ठरवताना तसेच डेटा ट्रान्सफरसाठी आवश्यकता केव्हा सेट करायच्या हे ठरवताना केंद्र सरकारला पूर्ण विवेक असेल. सीमापार हस्तांतरणासाठी पर्यायी पर्याय, जसे की अनिवार्य व्यवसाय धोरणे आणि ठराविक कराराच्या तरतुदी.

सध्या, IT नियम केवळ संमतीने किंवा जेव्हा डेटा प्रिन्सिपलसह केलेल्या कराराच्या कार्यक्षमतेसाठी अशा हस्तांतरणाची आवश्यकता असते तेव्हाच क्रॉस-बॉर्डर हस्तांतरणास परवानगी देतात. डेटा ट्रान्सफर करणाऱ्यांना डेटा ट्रान्सफर करणाऱ्या वैयक्तिक डेटाला समान पातळीवरील डेटा संरक्षण परवडेल की नाही याचे मूल्यांकन करणे आवश्यक आहे.

सूट:

DPDB महत्वाचे राज्य कायदे आणि विशिष्ट प्रकारच्या प्रक्रियांमधून व्यापक सवलतींची कल्पना करते. वैयक्तिक डेटाच्या प्रक्रियेवर कोणतीही डेटा विश्वासार्हता किंवा SDF दायित्वे लागू होणार नाहीत:

1. कायदेशीर हक्क किंवा दावे लागू करण्यासाठी,
2. न्यायिक, अर्ध-न्यायिक किंवा अन्य संस्थांद्वारे न्यायिक किंवा अर्ध-न्यायिक कार्ये पार पाडताना,
3. जे प्रतिबंध, शोध, किंवा खटला चालवण्याच्या हितासाठी आहे किंवा
4. सीमापार हस्तांतरणावरील इतर कोणत्याही निर्बंधासाठी जे नंतर सूचित केले जाऊ शकते.

या व्यतिरिक्त, DPDB अट घालते की राज्य आणि त्यातील उपकरणे संचयन आणि धारणा निर्बंधांपासून मुक्त आहेत, म्हणून ते जोपर्यंत योग्य वाटतात तोपर्यंत वैयक्तिक डेटा ठेवण्यास ते मोकळे आहेत. याव्यतिरिक्त, केंद्र सरकारला डेटा प्रक्रियेचे प्रमाण आणि स्वरूप लक्षात घेऊन सूचना, डेटा अचूकता, धारणा मर्यादा आणि प्रवेश आणि पुष्टीकरण हक्क आवश्यकतांचे पालन करण्यापासून काही डेटा विश्वासूंना सूट देण्याचा अधिकार आहे.

भारतीय डेटा संरक्षण मंडळ (DPBI):

DPDB ची स्थापना DPDB गैर-अनुपालन शोधण्यासाठी, मंजूरी लागू करण्यासाठी, निर्देश जारी करण्यासाठी आणि फेडरल सरकारने निर्दिष्ट केल्याप्रमाणे इतर कर्तव्ये पार पाडण्यासाठी DPBI ची स्थापना केली जाईल. DPBI स्वतंत्र नियामक म्हणून काम करेल, आणि त्याचे सर्व ऑपरेशन डिजिटल करण्यासाठी डिझाइन केलेले आहेत.

DPBI ला तक्रारीशी संबंधित प्रक्रिया हाताळण्याचे, साक्षीदारांना बोलावणे, पुरावे तपासणे, तपास करणे आणि दंड ठोठावण्याचे अधिकार असतील. अशा प्रकारे, राज्याच्या इतर शाखांपेक्षा स्वतंत्रपणे कार्य करण्यासाठी त्याच्या रचनामध्ये योग्य संतुलन असणे आवश्यक आहे. तथापि, DPDB या मुद्यांचा उल्लेख करत नाही. हे केंद्र सरकारला DPBI ची रचना, सदस्यत्व निकष, नियुक्तीच्या अटी आणि डिसमिस करण्याच्या अटी ठरवण्याचा अधिकार देते.