नई दिल्ली: सरकार ने डिजिटल व्यक्तिगत डेटा संरक्षण नियमों का लंबे समय से प्रतीक्षित मसौदा जारी किया है, जिसमें ऑनलाइन या सोशल मीडिया प्लेटफॉर्म पर बच्चे के उपयोगकर्ता खाते के निर्माण के लिए माता-पिता की सत्यापन योग्य सहमति और पहचान को अनिवार्य बनाने का प्रस्ताव है, और निर्दिष्ट व्यक्तिगत डेटा के लिए संभावित डेटा स्थानीयकरण आवश्यकताओं पर भी विचार किया गया है।
विशेष रूप से, मसौदा नियम – जो डेटा संरक्षण अधिनियम के संचालन के लिए महत्वपूर्ण हैं – बच्चों के व्यक्तिगत डेटा के प्रसंस्करण के लिए माता-पिता की सहमति को आवश्यक बनाना चाहते हैं। इसके अलावा, मसौदा नियमों में कहा गया है कि माता-पिता की पहचान और उम्र को भी “कानून या सरकार द्वारा सौंपी गई इकाई द्वारा जारी” स्वेच्छा से प्रदान किए गए पहचान प्रमाण के माध्यम से मान्य और सत्यापित करना होगा।
उद्योग विशेषज्ञों के अनुसार, मसौदा नियमों से एक बड़ी और आश्चर्यजनक बात यह है कि निर्दिष्ट मामलों में सीमा पार डेटा साझा करने पर स्थानीयकरण और अतिरिक्त निगरानी का पहलू है।
बच्चे के व्यक्तिगत डेटा के प्रसंस्करण पर, मसौदा नियमों में कहा गया है: “एक डेटा फ़िडुशरी यह सुनिश्चित करने के लिए उचित तकनीकी और संगठनात्मक उपाय अपनाएगा कि बच्चे के किसी भी व्यक्तिगत डेटा के प्रसंस्करण से पहले माता-पिता की सत्यापन योग्य सहमति प्राप्त की जाए और उचित परिश्रम का पालन किया जाए।” यह जाँचने के लिए कि माता-पिता के रूप में अपनी पहचान बताने वाला व्यक्ति एक वयस्क है जो भारत में वर्तमान में लागू किसी भी कानून के अनुपालन के संबंध में आवश्यक होने पर पहचाना जा सकता है…”
इसे प्लेटफ़ॉर्म या इकाई के पास उपलब्ध पहचान और उम्र के विश्वसनीय विवरण, या स्वेच्छा से प्रदान की गई पहचान और उम्र के विवरण या उसी से मैप किए गए एक वर्चुअल टोकन के माध्यम से संदर्भित करना होगा, जो कानून या संस्था द्वारा सौंपी गई इकाई द्वारा जारी किया जाता है। सरकार।
यह कैसे काम करेगा इसका एक उदाहरण देते हुए, नियमों में कहा गया है कि यदि किसी बच्चे का खाता ऑनलाइन प्लेटफ़ॉर्म पर बनाने की मांग की जाती है, तो उक्त इकाई पहचान और आयु विवरण (कानून या सरकार द्वारा सौंपी गई इकाई द्वारा जारी) का हवाला देकर जांच करेगी। कि माता-पिता वास्तव में एक पहचाने जाने योग्य वयस्क हैं।
इसमें कहा गया है, “माता-पिता डिजिटल लॉकर सेवा प्रदाता की सेवाओं का उपयोग करके स्वेच्छा से ऐसे विवरण उपलब्ध करा सकते हैं।”
नियमों के अनुसार, संस्थाएं व्यक्तिगत डेटा का उपयोग और प्रसंस्करण तभी कर पाएंगी, जब व्यक्तियों ने सहमति प्रबंधकों को अपनी सहमति दी हो – जो कि लोगों की सहमति के रिकॉर्ड को प्रबंधित करने के लिए सौंपी गई संस्थाएं होंगी।
डेटा स्थानीयकरण से संबंधित प्रावधान ने भी उद्योग का ध्यान खींचा है। उद्योग पर नजर रखने वालों ने बताया कि जबकि डीपीडीपी अधिनियम ब्लैकलिस्टेड क्षेत्राधिकारों को छोड़कर, बड़े पैमाने पर सीमा पार डेटा साझा करने की अनुमति देता है, मसौदा नियम अतिरिक्त निरीक्षण की संभावना पर संकेत देते हैं।
यह, चूंकि मसौदा नियमों में कहा गया है कि: “एक महत्वपूर्ण डेटा फ़िडुशरी यह सुनिश्चित करने के लिए उपाय करेगा कि केंद्र सरकार द्वारा गठित समिति की सिफारिशों के आधार पर निर्दिष्ट व्यक्तिगत डेटा को इस प्रतिबंध के अधीन संसाधित किया जाए कि व्यक्तिगत डेटा और इसके प्रवाह से संबंधित ट्रैफ़िक डेटा भारत के क्षेत्र से बाहर स्थानांतरित नहीं किया जाता है।”
सीधे शब्दों में कहें तो, ‘डेटा फिड्यूशियरी’ ऐसी संस्थाएं हैं जो यह निर्धारित करती हैं कि कौन सा व्यक्तिगत डेटा एकत्र किया जाना है और इसे संसाधित करने का उद्देश्य क्या है। डीपीडीपी अधिनियम के अनुसार, महत्वपूर्ण डेटा प्रत्ययी का निर्धारण संसाधित व्यक्तिगत डेटा की मात्रा और संवेदनशीलता, व्यक्तियों के अधिकारों (डेटा प्रिंसिपल) के जोखिम और भारत की संप्रभुता और अखंडता, सुरक्षा पर संभावित प्रभाव के आधार पर किया जाना है। राज्य और सार्वजनिक व्यवस्था.
“एक महत्वपूर्ण डेटा फ़िडुशियरी, उस तारीख से बारह महीने की हर अवधि में एक बार, जिस तारीख को इसे इस तरह अधिसूचित किया गया है या इस तरह से अधिसूचित डेटा फ़िडुशरीज़ की श्रेणी में शामिल किया गया है, प्रभावी पालन सुनिश्चित करने के लिए डेटा सुरक्षा प्रभाव आकलन और एक ऑडिट करेगा। इस अधिनियम के प्रावधानों और उसके तहत बनाए गए नियमों के बारे में, “मसौदा नियमों में कहा गया है।
एक महत्वपूर्ण डेटा फ़िडुशियरी को यह सत्यापित करने के लिए भी उचित परिश्रम करना होगा कि होस्टिंग, डिस्प्ले, अपलोडिंग, संशोधन, प्रकाशन, ट्रांसमिशन, स्टोरेज, अपडेट करने या उसके द्वारा संसाधित व्यक्तिगत डेटा को साझा करने के लिए उसके द्वारा तैनात एल्गोरिदमिक सॉफ़्टवेयर जोखिम पैदा करने की संभावना नहीं है। किसी व्यक्ति के अधिकारों के लिए.
भारत के बाहर व्यक्तिगत डेटा के प्रसंस्करण पर, नियमों का प्रस्ताव है कि “डेटा फ़िडुशियरी द्वारा संसाधित व्यक्तिगत डेटा का भारत के बाहर किसी भी देश या क्षेत्र में स्थानांतरण… इस प्रतिबंध के अधीन है कि डेटा फ़िडुशरी ऐसी आवश्यकताओं को पूरा करेगा जो केंद्र सरकार कर सकती है। , सामान्य या विशेष आदेश द्वारा, ऐसे व्यक्तिगत डेटा को किसी विदेशी राज्य, या ऐसे राज्य के नियंत्रण में किसी व्यक्ति या इकाई या किसी एजेंसी को उपलब्ध कराने के संबंध में निर्दिष्ट करें”।
इंडसलॉ में पार्टनर श्रेया सूरी ने कहा कि “एक दिलचस्प विकास” सीमा पार डेटा साझाकरण के संबंध में महत्वपूर्ण डेटा फ़िडुशियरीज़ के लिए संभावित दायित्वों की शुरूआत है।
“हालांकि अधिनियम बड़े पैमाने पर ऐसे स्थानांतरणों की अनुमति देता है, ब्लैकलिस्टेड क्षेत्राधिकारों के अलावा, मसौदा नियम अतिरिक्त निरीक्षण की संभावना पर संकेत देते हैं। एक प्रस्तावित समिति सिफारिश कर सकती है कि कुछ व्यक्तिगत डेटा को भारत के बाहर स्थानांतरित करने से प्रतिबंधित किया जाए, जो नियामक में एक नया आयाम जोड़ता है परिदृश्य जो हितधारकों के लिए विचार करने के लिए महत्वपूर्ण होगा,” उसने कहा।
डेटा उल्लंघन के मामले में, संस्थाओं को प्रभावित व्यक्तियों को तुरंत उल्लंघन का विवरण देना होगा, जिसमें इसकी प्रकृति, सीमा और इसकी घटना का समय और स्थान शामिल होगा; उल्लंघन से उत्पन्न होने वाले संभावित परिणाम; और जोखिम शमन उपाय लागू किये जा रहे हैं।