बिल का सारांश

डिजिटल पर्सनल डेटा प्रोटेक्शन बिल, 2023

  • डिजिटल पर्सनल डेटा प्रोटेक्शन बिल, 2023 को लोकसभा में 3 अगस्त, 2023 को पेश किया गया। बिल पर्सनल डेटा और व्यक्तियों की प्राइवेसी के संरक्षण का प्रावधान करता है।

  • एप्लिकेबिलिटबिल भारत के भीतर डिजिटल पर्सनल डेटा की प्रोसेसिंग पर लागू होता है जहां यह डेटा: (i) ऑनलाइन जमा किया जाता है या (ii) ऑफलाइन जमा किया जाता है और फिर उसे डिजिटलीकृत किया जाता है। यह भारत के बाहर पर्सनल डेटा प्रोसेसिंग पर भी लागू होगा, अगर यह प्रोसेसिंग भारत में वस्तुओं और सेवाओं को ऑफर करने के लिए की जाती है। पर्सनल डेटा किसी व्यक्ति के उस डेटा को कहा जाता है, जिससे वह व्यक्ति पहचाना जाता है, या जो उससे संबंधित होता है। प्रोसेसिंग उस पूर्ण या आंशिक ऑटोमेटेड ऑपरेशन या सेट ऑफ ऑपरेशंस को कहा जाता है जो डिजिटल पर्सनल डेटा पर किए जाते हैं। इसमें कलेक्शन, स्टोरेज, उपयोग और शेयरिंग शामिल है।

  • सहमति: व्यक्ति की सहमति हासिल करने के बाद केवल वैध उद्देश्य के लिए पर्सनल डेटा को प्रोसेस किया जा सकता है। सहमति लेने से पहले एक नोटिस देना होगा। नोटिस में जमा किए जाने वाले पर्सनल डेटा का विवरण और प्रोसेसिंग का उद्देश्य होना चाहिए। सहमति किसी भी समय वापस ली जा सकती है। वैध उपयोग के लिए सहमति की जरूरत नहीं होगी, जिसमें निम्नलिखित शामिल हैं: (i) निर्दिष्ट उद्देश्य, जिसके लिए किसी व्यक्ति ने अपनी मर्जी से डेटा दिया है, (ii) सरकार द्वारा लाभ या सेवा का प्रावधान, (iii) मेडिकल इमरजेंसी और (iv) रोजगार। 18 वर्ष से कम उम्र के व्यक्तियों के लिए माता-पिता या लीगल गार्जियन की सहमति लेनी होगी।

  • डेटा प्रिंसिपल के अधिकार और कर्तव्यजिस व्यक्ति के डेटा को प्रोसेस किया जा रहा है (डेटा प्रिंसिपल), उसे निम्नलिखित का अधिकार होगा: (i) प्रोसेसिंग के बारे में जानकारी हासिल करना, (ii) पर्सनल डेटा में करेक्शन और उसे हटाने की मांग करना, (iii) मृत्यु या अक्षमता की स्थिति में किसी दूसरे को इन अधिकारों का इस्तेमाल करने के लिए नामित करना, और (iv) शिकायत निवारण। उन्हें: (i) झूठी या ओछी शिकायत दर्ज नहीं करानी चाहिए और (ii) कोई गलत विवरण नहीं देना चाहिए या निर्दिष्ट मामलों में किसी दूसरे का रूप नहीं धरना चाहिए। इन कर्तव्यों का उल्लंघन करने पर 10,000 रुपए तक का जुर्माना लगाया जाएगा।

  • डेटा फिड्यूशरी के दायित्वएंटिटी, प्रोसेसिंग के उद्देश्य और तरीके को निर्धारित करने वाली, (डेटा फिड्यूशरी) को निम्नलिखित करना चाहिए: (i) उसे डेटा की सटीकता और पूर्णता सुनिश्चित करने के लिए उचित प्रयास करने चाहिए, (ii) डेटा ब्रीच को रोकने के लिए उचित सुरक्षात्मक उपाय करने चाहिए, (iii) ब्रीच की स्थिति में भारतीय डेटा प्रोटेक्शन बोर्ड और प्रभावित व्यक्तियों को उसकी जानकारी देनी चाहिए, और (iv) उद्देश्य पूरा होने और लीगल उद्देश्यों के लिए रिटेंशन जरूरी न होने (स्टोरेज लिमिटेशन) पर पर्सनल डेटा को मिटा देना चाहिए। सरकारी संस्थाओं के मामले में, स्टोरेज लिमिटेशन और डेटा प्रिंसिपल का डेटा मिटाने का अधिकार लागू नहीं होगा।

  • महत्वपूर्ण डेटा फिड्यूशरीज़कुछ डेटा फिड्यूशरीज़ को महत्वपूर्ण डेटा फिड्यूशरीज़ के रूप में नामित किया जा सकता है। कुछ बातों को ध्यान में रखा जाना चाहिए: (i) प्रोसेस किए जाने वाले डेटा की मात्रा और संवेदनशीलता, (ii) डेटा प्रिंसिपल के अधिकारों के लिए जोखिम, (iii) राज्य की सुरक्षा, और (iv) सार्वजनिक व्यवस्था। इन एंटिटीज़ के अतिरिक्त दायित्व होने चाहिए जिनमें निम्नलिखित शामिल हैं: (i) एक डेटा प्रोटेक्शन अधिकारी की नियुक्ति, और (ii) प्रभाव मूल्यांकन और अनुपालन ऑडिट करना।

  • छूटडेटा प्रिंसिपल के अधिकार और डेटा फिड्यूशरी के दायित्व (डेटा सिक्योरिटी को छोड़कर) निर्दिष्ट मामलों में लागू नहीं होंगे। इनमें निम्नलिखित शामिल हैं: (i) अपराधों की रोकथाम और जांच, और (ii) कानूनी अधिकारों या दावों का प्रवर्तन। केंद्र सरकार, अधिसूचना के जरिए, कुछ निश्चित गतिविधियों को बिल के प्रावधानों से छूट दे सकती है। इनमें निम्नलिखित शामिल हैं: (i) राज्य की सुरक्षा और सार्वजनिक व्यवस्था के हित में सरकारी एंटिटीज़ की ओर से होने वाली प्रोसेसिंग, और (ii) अनुसंधान, आर्काइविंग या स्टैटिस्टिकल उद्देश्य।

  • बच्चों के पर्सनल डेटा की प्रोसेसिंगबच्चों के पसर्नल डेटा की प्रोसिंग करते समय, डेटा फिड्यूशरी को निम्नलिखित नहीं करना चाहिए: (i) ऐसी प्रोसेसिंग जिससे बच्चे के हित पर कोई हानिकारक प्रभाव पड़ने की आशंका हो, और (ii) बच्चे को ट्रैक करना, उसके व्यवहार की निगरानी करना या टार्गेटेड एडवर्टाइजिंग।

  • सीमा पार पर्सनल डेटा ट्रांसफर करनाबिल अधिसूचना के जरिए सरकार द्वारा प्रतिबंधित देशों को छोड़कर भारत के बाहर पर्सनल डेटा के ट्रांसफर की अनुमति देता है।

  • भारतीय डेटा प्रोटेक्शन बोर्डकेंद्र सरकार भारतीय डेटा संरक्षण बोर्ड की स्थापना करेगी। बोर्ड के प्रमुख कार्यों में निम्नलिखित शामिल हैं: (i) अनुपालन की निगरानी करना और जुर्माना लगाना, (ii) डेटा ब्रीच की स्थिति में डेटा फिड्यूशिरीज़ को जरूरी उपाय करने का निर्देश देना, और (iii) प्रभावित व्यक्तियों द्वारा की गई शिकायतों को सुनना। बोर्ड के सदस्यों की नियुक्ति दो साल के लिए की जाएगी और वे पुनर्नियुक्ति के पात्र होंगे।

  • सजाबिल की अनुसूची विभिन्न अपराधों के लिए जुर्माना निर्दिष्ट करती है जैसे: (i) बच्चों से संबंधित दायित्वों को पूरा न करने पर 200 करोड़ रुपए और (ii) डेटा ब्रीच को रोकने के लिए सुरक्षात्मक उपाय न करने पर 250 करोड़ रुपए।

 

अस्वीकरणः प्रस्तुत रिपोर्ट आपके समक्ष सूचना प्रदान करने के लिए प्रस्तुत की गई है। पीआरएस लेजिसलेटिव रिसर्च (पीआरएस) के नाम उल्लेख के साथ इस रिपोर्ट का पूर्ण रूपेण या आंशिक रूप से गैर व्यावसायिक उद्देश्य के लिए पुनःप्रयोग या पुनर्वितरण किया जा सकता है। रिपोर्ट में प्रस्तुत विचार के लिए अंततः लेखक या लेखिका उत्तरदायी हैं। यद्यपि पीआरएस विश्वसनीय और व्यापक सूचना का प्रयोग करने का हर संभव प्रयास करता है किंतु पीआरएस दावा नहीं करता कि प्रस्तुत रिपोर्ट की सामग्री सही या पूर्ण है। पीआरएस एक स्वतंत्रअलाभकारी समूह है। रिपोर्ट को इसे प्राप्त करने वाले व्यक्तियों के उद्देश्यों अथवा विचारों से निरपेक्ष होकर तैयार किया गया है। यह सारांश मूल रूप से अंग्रेजी में तैयार किया गया था। हिंदी रूपांतरण में किसी भी प्रकार की अस्पष्टता की स्थिति में अंग्रेजी के मूल सारांश से इसकी पुष्टि की जा सकती है।