डिजिटल पर्सनल डेटा प्रोटेक्शन नियमों का सरकार ने ड्राफ्ट किया जारी
नई दिल्ली
इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय ने डिजिटल पर्सनल डेटा सुरक्षा एक्ट के लिए ड्राफ्ट नियम जारी किए हैं, जिसके अनुसार डेटा फिड्युसरी (एक ऐसी संस्था या व्यक्ति, जो पर्सनल डेटा की सुरक्षा और गोपनीयता की जिम्मेदारी लेता है) के लिए बच्चे के किसी भी पर्सनल डेटा को प्रोसेस करने से पहले माता-पिता सहमति लेना अनिवार्य होगा। यह एक्ट अगस्त 2023 में संसद में पारित किया गया था और सरकार 18 फरवरी, 2025 तक एमवाईजीओवी पोर्टल के जरिए ड्राफ्ट नियमों पर लोगों के सुझाव मांग रही है।
ड्राफ्ट नियमों के अनुसार, "डेटा फिड्युसरी को यह सुनिश्चित करने के लिए उचित तकनीकी और संगठनात्मक उपाय अपनाने होंगे कि बच्चे के किसी भी पर्सनल डेटा को प्रोसेस करने से पहले माता-पिता की वेरीफाई सहमति प्राप्त की जाए। इसके अलावा, यह जांचा जाना भी जरूरी होगा कि माता-पिता के रूप में खुद की पहचान करने वाला व्यक्ति वयस्क हो, जिसकी पहचान की जा सकती है।"
पहचान सरकार द्वारा जारी आईडी या डिजिटल लॉकर जैसी पहचान सेवाओं से जुड़े डिजिटल टोकन के जरिए सत्यापित करनी होगी। सरकार के इस फैसला का उद्देश्य अलग-अलग सोशल मीडिया प्लेटफॉर्म और वेबसाइट पर बच्चे की प्राइवेसी सुनिश्चित करना है। ड्राफ्ट नियमों में यह भी कहा गया है कि सहमति प्रबंधकों को डेटा प्रोटेक्शन बोर्ड के साथ रजिस्टर्ड होना चाहिए और उनकी मिनिमम नेथ वर्थ 12 करोड़ रुपये होनी चाहिए। नियमों में एक रेगुलेटरी बॉडी के रूप में डेटा प्रोटेक्शन बोर्ड की स्थापना का प्रस्ताव है जो रिमोट हियरिंग के साथ एक डिजिटल ऑफिस के रूप में काम करेगा।
ड्राफ्ट नियमों के अनुसार, एक डेटा फिड्युसरी अपने कब्जे में या अपने नियंत्रण में पर्सनल डेटा की रक्षा करेगा, जिसमें उसके द्वारा या उसकी ओर से डेटा प्रोसेसर द्वारा किए गए किसी भी प्रोसेसिंग को लेकर, पर्सनल डेटा ब्रीच को रोकने के लिए सुरक्षा उपाय करना शामिल है।
ऐसे कदमों में एन्क्रिप्शन के जरिए पर्सनल डेटा को सुरक्षित करना और डेटा के लिए इस्तेमाल कंप्यूटर रिसोर्स तक पहुंच को नियंत्रित करने के लिए उचित उपाय शामिल होंगे। नियमों में डेटा फिड्युसरी के लिए यह भी अनिवार्य किया गया है कि वह किसी भी पर्सनल डेटा ब्रीच की सूचना तुरंत "प्रत्येक प्रभावित डेटा प्रिंसिपल को छोटे, साफ और स्पष्ट तरीके से और बिना किसी देरी के" दे।
नियमों में आगे कहा गया है कि भारत के बाहर पर्सनल डेटा की प्रोसेसिंग प्रतिबंधित होगी। हालांकि, केंद्र सरकार द्वारा विशेष आदेश जारी किया जाता है कि दूसरे देश, दूसरे देश की किसी संस्था या व्यक्ति को पर्सनल डेटा उपलब्ध करवाया जाए तो डेटा फिड्युसरी को ऐसा करना होगा।
मंत्रालय ने कहा है कि परामर्श के दौरान किए गए सबमिशन का खुलासा नहीं किया जाएगा और नियमों को अंतिम रूप देने के बाद केवल प्राप्त फीडबैक का सारांश प्रकाशित किया जाएगा। नियमों पर टिप्पणी करते हुए, डेलॉइट इंडिया के पार्टनर मयूरन पलानीसामी ने कहा, "हमें लगता है कि सहमति के प्रबंधन में व्यवसायों को कुछ जटिल चुनौतियों का सामना करना पड़ेगा क्योंकि यह कानून का मूल है।"
