उल्लंघन की चेतावनी, डिजिटल गोपनीयता नियम पुस्तिका में माता-पिता की सहमति

ये नियम भारत के डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट (डीपीडीपीए) को क्रियान्वित करने की कुंजी हैं, जो 2011 में दिल्ली उच्च न्यायालय के पूर्व मुख्य न्यायाधीश एपी शाह की अध्यक्षता में गठित एक विशेषज्ञ समूह द्वारा भारत को इसके साथ आने की सिफारिश के बाद से बनाया जा रहा है। एक गोपनीयता कानून.

2017 में, सुप्रीम कोर्ट की नौ-न्यायाधीशों की पीठ ने सर्वसम्मति से निजता के मौलिक अधिकार को संविधान के तहत गारंटी के रूप में मान्यता दी।

उपयोगकर्ता के नजरिए से प्रस्तावित नियमों में से कुछ प्रमुख दायित्व सेवा प्रदाता के लिए स्पष्ट रूप से और विस्तार से निर्दिष्ट करने की आवश्यकताएं हैं कि कौन सा डेटा निगला जा रहा है और उनके डेटा का उल्लंघन होने की स्थिति में तत्काल चेतावनी (उदाहरण के लिए, के मामले में) हैक या लीक)। नियमों में यह भी कहा गया है कि 18 वर्ष से कम उम्र के उन लोगों के लिए सत्यापन योग्य माता-पिता की सहमति की आवश्यकता होगी जो किसी ऐसी सेवा के लिए साइन अप करते हैं जिसके लिए व्यक्तिगत डेटा की आवश्यकता होती है।

व्यापक प्रभाव को देखते हुए – किसी भी डिजिटल इंटरफ़ेस के साथ लगभग सभी व्यवसाय और गतिविधि इस ढांचे द्वारा कवर की जाती है – मसौदा नियम एक क्रमबद्ध कार्यान्वयन का प्रस्ताव करते हैं, जिसमें डेटा प्रोटेक्शन बोर्ड (डीपीबी) से संबंधित प्रावधान तत्काल प्रभाव में आते हैं, जबकि नोटिस आवश्यकताओं जैसे अन्य पहलू और सहमति प्रबंधन बाद में लागू किया जाएगा।

जनता 18 फरवरी तक MyGov पोर्टल के माध्यम से मसौदा नियमों पर टिप्पणियाँ प्रस्तुत कर सकती है।

डीपीबी, जिसे सिविल कोर्ट की शक्तियां प्रदान की जाएंगी, व्यक्तिगत डेटा उल्लंघनों पर निर्णय लेने के लिए जिम्मेदार होगा और जुर्माना लगा सकता है। ₹250 करोड़.

डेटा उल्लंघनों के लिए, प्रत्ययी को डीपीबी और प्रभावित उपयोगकर्ताओं दोनों को “बिना देरी के” 72 घंटों के भीतर आवश्यक विस्तृत रिपोर्ट के साथ सूचित करना होगा। नियम विशिष्ट डेटा प्रतिधारण अवधि को भी अनिवार्य करते हैं और कंपनियों को डेटा हटाने से 48 घंटे पहले उपयोगकर्ताओं को सूचित करने की आवश्यकता होती है।

अधिनियम के तहत, प्रत्येक डेटा प्रत्ययी (डेटा प्रोसेसिंग के उद्देश्य और विधि का निर्धारण करने वाली इकाई) को सहमति लेने से पहले/डेटा प्रिंसिपल (उपयोगकर्ता) को एक नोटिस देना होगा। मसौदा नियमों का प्रस्ताव है कि इस तरह के नोटिस में संसाधित किए जाने वाले व्यक्तिगत डेटा का एक विस्तृत विवरण, उद्देश्य और ऐसी प्रसंस्करण के माध्यम से प्रदान की जाने वाली वस्तुओं या सेवाओं की एक आइटमयुक्त सूची होनी चाहिए।

सभी डेटा विश्वासियों को अपने डेटा संरक्षण अधिकारियों (महत्वपूर्ण डेटा विश्वासियों के मामले में) या किसी अन्य व्यक्ति के संपर्क विवरण प्रकाशित करने की आवश्यकता होगी जो उपयोगकर्ता के प्रश्नों का समाधान कर सके। नियम बच्चों के डेटा को संसाधित करने के लिए सख्त आवश्यकताएं भी पेश करते हैं, कंपनियों द्वारा 18 वर्ष से कम उम्र के उपयोगकर्ताओं की व्यक्तिगत जानकारी को संभालने से पहले माता-पिता या अभिभावकों से “सत्यापन योग्य सहमति” अनिवार्य है। नियमों का प्रस्ताव है कि डेटा फ़िडुशियरीज़ यह सुनिश्चित करने के लिए आवश्यक परिश्रम करते हैं कि वे ऐसे मामलों में सहमति प्रदान करने वाले वयस्क की संरक्षकता स्थापित करें।

हालाँकि, ढांचे में स्वास्थ्य देखभाल प्रदाताओं, शैक्षणिक संस्थानों, बाल देखभाल केंद्रों और स्कूल परिवहन सेवाओं सहित सेवाओं के लिए छूट शामिल है।

ट्राइलीगल के पार्टनर निखिल नरेंद्रन ने कहा कि बच्चों के डेटा प्रावधान विवादास्पद ऑस्ट्रेलियाई कानून के प्रभाव के समान हैं, जिसके कारण अंततः देश में 16 साल से कम उम्र के बच्चों के लिए सोशल मीडिया पर प्रतिबंध लगा दिया गया।

बड़े प्रौद्योगिकी प्लेटफार्मों को अन्य बातों के अलावा राष्ट्रीय सुरक्षा, सार्वजनिक व्यवस्था और चुनावी लोकतंत्र पर उनके प्रभाव के आधार पर केंद्र सरकार द्वारा “महत्वपूर्ण डेटा फ़िडुशियरी” के रूप में अधिसूचित किया जा सकता है। डीपीडीपीए के तहत निर्धारित वार्षिक प्रभाव आकलन और डेटा ऑडिट के अलावा, नियमों का प्रस्ताव है कि उन्हें यह सत्यापित करना होगा कि उनके एल्गोरिदम उपयोगकर्ताओं के अधिकारों को जोखिम में नहीं डालते हैं। नियम यह भी प्रस्तावित करते हैं कि केंद्र उस प्रकार के डेटा को परिभाषित कर सकता है जिसे ऐसे एसडीएफ को भारत की सीमाओं के भीतर स्थानीयकृत करना होगा।

अधिनियम की धारा 36 के तहत, केंद्र सरकार डीपीबी, डेटा फिड्यूशियरी या मध्यस्थ से कोई भी जानकारी मांग सकती है। मसौदा नियम डेटा प्रत्ययी या मध्यस्थ को ऐसी मांगों के बारे में खुलासा करने से रोकते हैं, एक ऐसा कदम जिसे नरेंद्रन “बहुत व्यापक रूप से व्याख्यायित” और संभावित रूप से “असंवैधानिक” कहते हैं।

नियम तीन उद्देश्य निर्धारित करते हैं जिनके तहत यह किया जा सकता है: पहला, जब राज्य द्वारा राष्ट्रीय सुरक्षा के हित में डेटा का उपयोग किया जाना है। दूसरा, किसी भी वैध कार्य को करना और किसी भी कानून के तहत किसी भी जानकारी का खुलासा करना। और तीसरा, यह आकलन करना कि डेटा फ़िडुशियरी या डेटा फ़िडुशियरी के एक वर्ग को एक महत्वपूर्ण डेटा फ़िडुशियरी के रूप में कब वर्गीकृत किया जाए।

निश्चित रूप से, डीपीडीपी अधिनियम केवल उस डेटा पर लागू होता है जिसे डिजिटल रूप से संसाधित किया जाता है। यह डेटा के एनालॉग प्रोसेसिंग पर लागू नहीं होता है। हालाँकि, यदि इस डेटा को स्कैन करके कंप्यूटर में संग्रहीत किया जाना था, तो इसे कवर किया जाएगा।

अधिनियम के तहत, DPB व्यक्तिगत डेटा उल्लंघनों से संबंधित शिकायतों पर निर्णय लेने के लिए जिम्मेदार है।

मसौदा नियमों में दो खोज-सह-चयन समितियों के गठन का विवरण दिया गया है – एक प्रस्तावित वेतन के साथ डीपीबी अध्यक्ष का चयन करने के लिए कैबिनेट सचिव की अध्यक्षता में। ₹4.5 लाख प्रति माह, और दूसरा MeitY सचिव के नेतृत्व में बोर्ड के सदस्यों का चयन करना जो कमाएंगे ₹4 लाख मासिक.

मसौदा नियमों में विस्तार से बताया गया है कि डीपीबी अपनी बैठकें कैसे आयोजित करेगा, और मतदान के माध्यम से मामलों पर कैसे निर्णय लिया जाएगा: जबकि कोरम के लिए डीपीबी का एक तिहाई आवश्यक है, नियम डीपीबी अध्यक्ष को “आपातकालीन स्थितियों” में कार्रवाई करने और संवाद करने का अधिकार देते हैं। सात दिनों के भीतर सभी सदस्यों को निर्णय सुनाया जाएगा और अगली बैठक में अनुसमर्थन के लिए बोर्ड के समक्ष रखा जाएगा।

अधिनियम के तहत डीपीबी को एक “डिजिटल कार्यालय” के रूप में कार्य करना चाहिए और कार्यवाही संचालित करने के लिए “तकनीकी-कानूनी उपाय” अपना सकते हैं ताकि किसी भी व्यक्ति की भौतिक उपस्थिति की आवश्यकता न हो।

मसौदा नियमों में निर्दिष्ट किया गया है कि सहमति प्रबंधकों को न्यूनतम निवल मूल्य वाली भारतीय कंपनियां होनी चाहिए ₹2 करोड़ और स्वतंत्र प्रमाणीकरण प्राप्त करें। उन्हें कम से कम सात वर्षों तक सहमति रिकॉर्ड बनाए रखना आवश्यक है और वे अपनी सेवाओं को डेटा प्रोसेसर को आउटसोर्स नहीं कर सकते हैं।

एजेडबी एंड पार्टनर्स की पार्टनर अपराजिता राणा ने कहा कि सहमति प्रबंधकों के लिए नियम सख्त हैं, उनके दायित्वों को उप-ठेके पर देने पर प्रतिबंध है, और डेटा फिड्यूशियरीज के साथ हितों के टकराव की जांच की जाती है। इसका मतलब यह है कि प्रकटीकरण और हितों के टकराव की आवश्यकताओं के कारण बिग टेक के लिए सहमति प्रबंधकों को विकसित करना मुश्किल होगा। “संभवतः, हम स्वतंत्र संस्थाओं को इस भूमिका में आते देखेंगे। हालाँकि, दायित्व उद्योग की अपेक्षा से अधिक कठोर हैं, ”उसने कहा।

डेटा तक सरकारी पहुंच के लिए, नियमों का प्रस्ताव है कि राज्य उपकरण सब्सिडी, लाभ, सेवाएं, लाइसेंस या परमिट प्रदान करने के लिए नई सहमति के बिना व्यक्तिगत डेटा को संसाधित कर सकते हैं। उन्हें केवल उपयोगकर्ताओं को ऐसी प्रोसेसिंग के बारे में सूचित करने की आवश्यकता है।

मसौदा नियम विशेष रूप से सोशल मीडिया और गेमिंग प्लेटफॉर्म के लिए महत्वपूर्ण हैं। मौजूदा आईटी नियमों के विपरीत, ‘सोशल मीडिया मध्यस्थ’ की परिभाषा को “मध्यस्थ” की परिभाषा तक विस्तारित किया गया है।