‘डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023’ को डिकोड करना

भारत के सर्वोच्च न्यायालय के मामले में जस्टिस केएस पुट्टास्वामी बनाम भारत संघ (2017) 10 एससीसी 1ने निजता के अधिकार को भारत के संविधान के तहत संरक्षित मौलिक अधिकार घोषित किया था। हालाँकि, 2017 में फैसला सुनाए जाने के बाद से, डेटा संरक्षण अधिनियम बनाने के लिए कई प्रयास किए गए हैं। हालाँकि, ये विधेयक अधिनियम बनने के लिए विधायी बाधाओं को पार नहीं कर सके। डिजिटल व्यक्तिगत डेटा संरक्षण विधेयक, 2023, संसद के दोनों सदनों द्वारा पारित किया गया और आधिकारिक राजपत्र में प्रकाशन द्वारा एक अधिनियम बनने के लिए भारत के राष्ट्रपति से सहमति प्राप्त की गई। नए अधिनियम के तहत, व्यक्तिगत डेटा को ऐसे डेटा के संबंध में या उसके द्वारा पहचाने जाने वाले किसी व्यक्ति के बारे में किसी भी डेटा के रूप में परिभाषित किया गया है। ‘डेटा प्रिंसिपल’ को एक ऐसे व्यक्ति के रूप में परिभाषित किया गया है जिससे व्यक्तिगत डेटा संबंधित है। ‘डेटा प्रत्ययी’ का अर्थ है कोई भी व्यक्ति, जो अकेले या अन्य व्यक्तियों के साथ मिलकर, व्यक्तिगत डेटा को संसाधित करने के उद्देश्य और साधन को निर्धारित करता है। कोई भी व्यक्ति जो डेटा फिड्यूशियरी की ओर से व्यक्तिगत डेटा संसाधित करता है, उसे ‘डेटा प्रोसेसर’ कहा जाता है। नया अधिनियम गैर-व्यक्तिगत डेटा पर लागू नहीं होता है, बल्कि केवल डिजिटल व्यक्तिगत डेटा के प्रसंस्करण पर लागू होता है। यह अधिनियम भारत के भीतर डिजिटल व्यक्तिगत डेटा के प्रसंस्करण पर लागू होता है जब डेटा प्रिंसिपल से ऑनलाइन एकत्र किया जाता है या, यदि ऑफ़लाइन एकत्र किया जाता है, तो उसे डिजिटल किया जाता है। यह व्यक्तिगत डेटा के अतिरिक्त-क्षेत्रीय प्रसंस्करण को भी नियंत्रित करता है यदि ऐसा प्रसंस्करण भारत के भीतर डेटा प्रिंसिपलों को सामान या सेवाओं की पेशकश की किसी गतिविधि के संबंध में है। हालाँकि, अधिनियम किसी व्यक्तिगत या घरेलू उद्देश्य के लिए किसी व्यक्ति द्वारा संसाधित किए गए किसी भी व्यक्तिगत डेटा या डेटा प्रिंसिपल द्वारा स्वयं सार्वजनिक रूप से उपलब्ध कराए गए व्यक्तिगत डेटा पर लागू नहीं होगा। व्यक्तिगत डेटा के प्रसंस्करण के लिए सहमति प्रमुख आवश्यकता है। साथ ही, सहमति स्पष्ट सकारात्मक कार्रवाई के साथ स्वतंत्र, विशिष्ट, सूचित, बिना शर्त और स्पष्ट होनी चाहिए। डेटा प्रिंसिपल को ऐसे अनुरोधों को कई भाषाओं में एक्सेस करने का विकल्प प्रदान किया जाना चाहिए। इसे अधिनियम के तहत अपने अधिकारों के प्रयोग के संबंध में डेटा प्रिंसिपल से किसी भी संचार का जवाब देने के लिए डेटा संरक्षण अधिकारी या किसी अन्य उपयुक्त व्यक्ति का संपर्क विवरण प्रदान करना चाहिए। डेटा प्रिंसिपल को किसी भी समय सहमति वापस लेने का अधिकार है, उसी सहजता से जिस स्तर पर उसने अपनी सहमति दी थी। हालाँकि, इस तरह की वापसी इसकी वापसी से पहले सहमति के आधार पर व्यक्तिगत डेटा को संसाधित करने की वैधता को प्रभावित नहीं कर सकती है। तब डेटा फिडुशियरी को अपने डेटा प्रोसेसर्स को उचित समय के भीतर ऐसे डेटा प्रिंसिपल के व्यक्तिगत डेटा को संसाधित करना बंद करना होगा। अधिनियम ‘सहमति प्रबंधकों’ की अवधारणा का परिचय देता है, जिन्हें अनिवार्य रूप से डेटा प्रोटेक्शन बोर्ड के साथ पंजीकृत होना होगा और जो डेटा प्रिंसिपलों को एक सुलभ, पारदर्शी और इंटरऑपरेबल प्लेटफॉर्म के माध्यम से अपनी सहमति देने, प्रबंधित करने, समीक्षा करने और वापस लेने में सक्षम करने के लिए संपर्क के एकल बिंदु के रूप में कार्य करेंगे। डेटा प्रिंसिपल के व्यक्तिगत डेटा को केवल अधिनियम के प्रावधानों के अनुसार और वैध उद्देश्य के लिए संसाधित किया जा सकता है जिसके लिए सहमति दी गई है या कुछ वैध उपयोगों के लिए। डेटा प्रिंसिपल से सहमति के लिए किए गए प्रत्येक अनुरोध के साथ या उससे पहले डेटा फिडुशियरी द्वारा जारी एक नोटिस संलग्न करना होगा जिसमें उसे उस उद्देश्य की जानकारी दी जाएगी जिसके लिए व्यक्तिगत डेटा को संसाधित करने का प्रस्ताव है। डेटा फिडुशियरी पर उनके द्वारा या उनकी ओर से डेटा प्रोसेसर द्वारा किए गए किसी भी प्रसंस्करण के संबंध में अधिनियम का अनुपालन सुनिश्चित करने के लिए प्राथमिक जिम्मेदारी का बोझ डाला गया है। डेटा फ़िडुशियरीज़ को उचित तकनीकी और संगठनात्मक उपाय लागू करने होंगे। उन्हें ऐसे उल्लंघनों को रोकने के लिए उचित सुरक्षा उपाय करके अपने कब्जे में या अपने नियंत्रण में व्यक्तिगत डेटा की रक्षा करनी होगी। ऐसे किसी भी उल्लंघन के मामले में, उन्हें डेटा प्रोटेक्शन बोर्ड और सभी प्रभावित डेटा प्रिंसिपलों को ऐसे उल्लंघन के बारे में सूचित करना होगा। डेटा प्रिंसिपलों के लिए एक प्रभावी शिकायत निवारण तंत्र स्थापित करना इसका अतिरिक्त कर्तव्य है। किसी बच्चे या विकलांग व्यक्ति, जिसके वैध अभिभावक हैं, के किसी भी व्यक्तिगत डेटा को संसाधित करने से पहले, डेटा फ़िडुशियरी को ऐसे बच्चे के माता-पिता या कानूनी अभिभावक से सत्यापन योग्य सहमति प्राप्त करनी होगी। साथ ही, यह व्यक्तिगत डेटा का कोई प्रसंस्करण नहीं कर सकता है जिससे बच्चे की भलाई पर कोई हानिकारक प्रभाव पड़ने की संभावना हो। बच्चों की ट्रैकिंग या व्यवहार संबंधी निगरानी या बच्चों पर निर्देशित लक्षित विज्ञापन भी निषिद्ध है। केंद्र सरकार, संसाधित किए गए व्यक्तिगत डेटा की मात्रा और संवेदनशीलता, डेटा प्रिंसिपल के अधिकारों के लिए जोखिम, भारत की संप्रभुता और अखंडता पर प्रभाव, सार्वजनिक व्यवस्था आदि जैसे कुछ कारकों के आकलन के आधार पर, कुछ डेटा फ़िड्यूशरीज़ को ‘महत्वपूर्ण डेटा फ़िड्यूशियरी’ के रूप में अधिसूचित कर सकती है। ऐसे महत्वपूर्ण डेटा फ़िडुशियरीज़ को कुछ अतिरिक्त अनुपालन पूरा करना होगा। नए अधिनियम के तहत एक भारतीय डेटा संरक्षण बोर्ड की परिकल्पना की गई है। इस प्रवर्तन निकाय में केंद्र सरकार द्वारा नियुक्त एक अध्यक्ष और सदस्य शामिल होंगे। बोर्ड के पास व्यक्तिगत डेटा उल्लंघन के मामले में किसी भी तत्काल उपचारात्मक या शमन उपायों को निर्देशित करने, ऐसे उल्लंघन की जांच करने और उचित दंड लगाने की शक्ति होगी। वह उचित निर्देश भी जारी कर सकता है. दूरसंचार विवाद निपटान और अपीलीय न्यायाधिकरण (टीडीएसएटी) के समक्ष बोर्ड के आदेश के खिलाफ अपील की जा सकती है। टीडीसैट के आदेश के खिलाफ भारत के सर्वोच्च न्यायालय के समक्ष अपील की जा सकती है। बोर्ड को 250 करोड़ रुपये तक का भारी मौद्रिक जुर्माना लगाने की शक्ति दी गई है। लगाए जाने वाले जुर्माने की मात्रा का निर्धारण करते समय बोर्ड को उल्लंघन की प्रकृति, गंभीरता, अवधि, दोहराव की प्रकृति, प्रश्न में व्यक्तिगत डेटा का प्रकार और प्रकृति, इस तरह के उल्लंघन को करने में गैरकानूनी लाभ आदि पर विचार करना होगा। डेटा फ़िडुशियरी के दायित्वों और डेटा प्रिंसिपल के अधिकारों से संबंधित आवश्यकताओं से कुछ छूट को भी अधिनियम में शामिल किया गया है। भारत के क्षेत्र के बाहर के डेटा प्रिंसिपलों का व्यक्तिगत डेटा, जो भारत में स्थित किसी भी व्यक्ति द्वारा भारतीय क्षेत्र के बाहर किसी भी व्यक्ति के साथ किए गए अनुबंध के तहत संसाधित किया जाता है, को अधिनियम की विशिष्ट आवश्यकताओं से छूट दी गई है। राज्य और उसके उपकरणों को अधिनियम के तहत दायित्वों से छूट भी प्रदान की जा सकती है। केंद्र सरकार स्टार्टअप सहित कुछ डेटा फ़िडुशियरीज़ को अधिनियम के कुछ प्रावधानों से छूट के रूप में अधिसूचित कर सकती है। डिजिटल व्यक्तिगत डेटा संरक्षण कानून का महत्व दूरगामी है। डिजिटल व्यक्तिगत विवरण एकत्र करने और संसाधित करने के लिए विभिन्न अनुपालन दायित्व अब पेश किए गए हैं। अनुपालन न करने पर अधिनियम के तहत उच्च मौद्रिक दंड की परिकल्पना की गई है। यह शुरुआती चरण के स्टार्टअप और कुछ श्रेणियों की व्यावसायिक संस्थाओं को प्रभावित कर सकता है। अन्य कंपनियां भी अनुपालन लागत में वृद्धि देख सकती हैं। कानूनी परिदृश्य में एक बड़ा बदलाव यह है कि अब से, डेटा उल्लंघन से प्रभावित ग्राहकों को सूचित करने की आवश्यकता है। कुछ ऐसे क्षेत्र हैं जहां कानूनी स्पष्टता का अभाव है; हम उम्मीद कर सकते हैं कि केंद्र सरकार इन क्षेत्रों को स्पष्ट करने के लिए उचित नियम अधिसूचित करेगी।राजदीप बनर्जी एक वकील और कानूनी सलाहकार हैं और जोइता बनर्जी एक कानूनी सलाहकार और प्रैक्टिसिंग वकील हैं.