प्रस्तावना
डिजिटल वैयक्तिक डेटा संरक्षण कायदा (Digital Personal Data Protection Act - DPDP) २०२३ हा भारताचा पहिला व्यापक डेटा संरक्षण कायदा आहे. हा कायदा ११ ऑगस्ट २०२३ रोजी राष्ट्रपतींची मंजुरी मिळाली आणि २०२४ मध्ये टप्प्याटप्प्याने लागू होत आहे.
हा भाग पूर्ण केल्यावर, तुम्ही DPDP कायद्याची मूलभूत तत्त्वे समजून घ्याल, डेटा मुख्याधिकाऱ्यांचे अधिकार आणि डेटा विश्वस्तांची कर्तव्ये जाणून घ्याल, आणि सायबर गुन्हे तपासावर या कायद्याचा प्रभाव समजून घ्याल.
प्रमुख व्याख्या
डेटा मुख्याधिकारी (Data Principal)
ज्या व्यक्तीचा वैयक्तिक डेटा आहे ती व्यक्ती. मुलाच्या बाबतीत, पालक/पालक.
डेटा विश्वस्त (Data Fiduciary)
जी व्यक्ती/संस्था वैयक्तिक डेटाच्या प्रक्रियेचा उद्देश आणि पद्धत निश्चित करते.
डेटा प्रोसेसर
डेटा विश्वस्ताच्या वतीने वैयक्तिक डेटावर प्रक्रिया करणारी व्यक्ती.
वैयक्तिक डेटा
कोणताही डेटा ज्याद्वारे व्यक्ती ओळखली जाऊ शकते किंवा ओळखण्यायोग्य आहे.
डिजिटल वैयक्तिक डेटा: DPDP कायदा केवळ डिजिटल स्वरूपातील वैयक्तिक डेटाला लागू होतो - म्हणजे इलेक्ट्रॉनिक स्वरूपात संकलित किंवा डिजिटाइझ केलेला डेटा.
मूलभूत तत्त्वे
१. कायदेशीर उद्देश (Lawful Purpose)
वैयक्तिक डेटावर केवळ कायदेशीर उद्देशांसाठीच प्रक्रिया केली जाऊ शकते.
२. संमती (Consent)
डेटा प्रक्रियेसाठी डेटा मुख्याधिकाऱ्याची मुक्त, विशिष्ट, माहितीपूर्ण आणि स्पष्ट संमती आवश्यक आहे.
- संमती विशिष्ट उद्देशासाठी असावी
- संमती मागे घेता येते
- संमती मागे घेणे संमती देण्याइतकेच सोपे असावे
३. उद्देश मर्यादा (Purpose Limitation)
डेटा केवळ ज्या उद्देशासाठी संकलित केला त्यासाठीच वापरला जावा.
४. डेटा कमी करणे (Data Minimization)
केवळ आवश्यक तेवढाच डेटा संकलित करावा.
५. डेटा अचूकता (Data Accuracy)
वैयक्तिक डेटा अचूक आणि अद्ययावत ठेवला जावा.
६. साठवण मर्यादा (Storage Limitation)
डेटा केवळ आवश्यक कालावधीसाठीच साठवला जावा.
७. सुरक्षा (Security)
वैयक्तिक डेटाचे संरक्षण करण्यासाठी योग्य सुरक्षा उपाय योजले जावेत.
डेटा मुख्याधिकाऱ्यांचे अधिकार
माहितीचा अधिकार
डेटा विश्वस्ताने कोणता डेटा संकलित केला आणि कसा वापरला याची माहिती मिळवण्याचा अधिकार.
सुधारणेचा अधिकार
चुकीचा किंवा अपूर्ण वैयक्तिक डेटा सुधारण्याचा किंवा अद्ययावत करण्याचा अधिकार.
विस्मरणाचा अधिकार
वैयक्तिक डेटा हटवण्याची विनंती करण्याचा अधिकार (काही अपवादांसह).
तक्रारीचा अधिकार
डेटा संरक्षण बोर्डाकडे तक्रार करण्याचा अधिकार.
पीडित अधिकार: सायबर गुन्ह्याच्या पीडिताला त्याच्या डेटाची प्रत मागण्याचा अधिकार आहे. तपास अधिकाऱ्यांना हे अधिकार माहित असणे आवश्यक आहे कारण पीडित त्यांच्या डेटाबद्दल माहिती मागू शकतात जी तपासासाठी उपयुक्त असू शकते.
डेटा विश्वस्तांची कर्तव्ये
सामान्य कर्तव्ये
- सुरक्षा उपाय: वैयक्तिक डेटाचे संरक्षण करण्यासाठी योग्य तांत्रिक आणि संस्थात्मक उपाय
- डेटा उल्लंघन सूचना: डेटा उल्लंघन झाल्यास बोर्ड आणि प्रभावित व्यक्तींना सूचित करणे
- डेटा संरक्षण अधिकारी: महत्त्वपूर्ण डेटा विश्वस्तांनी DPO नियुक्त करणे
- डेटा प्रभाव मूल्यांकन: उच्च-जोखीम प्रक्रियेसाठी मूल्यांकन करणे
महत्त्वपूर्ण डेटा विश्वस्त (Significant Data Fiduciary)
सरकार काही डेटा विश्वस्तांना "महत्त्वपूर्ण" म्हणून नियुक्त करू शकते. यांना अतिरिक्त दायित्वे आहेत:
- भारतात डेटा संरक्षण अधिकारी नियुक्त करणे
- स्वतंत्र डेटा लेखापरीक्षा करणे
- डेटा संरक्षण प्रभाव मूल्यांकन करणे
अपवाद आणि सूट
DPDP कायद्यातून काही परिस्थितींमध्ये सूट दिली आहे:
पूर्ण सूट
- राष्ट्रीय सुरक्षा: भारताच्या सार्वभौमत्व, अखंडता, सुरक्षेसाठी
- सार्वजनिक सुव्यवस्था: सार्वजनिक सुव्यवस्था राखण्यासाठी
- गुन्हे प्रतिबंध/तपास: गुन्ह्यांचा प्रतिबंध, शोध, तपास किंवा खटला
- न्यायालयीन कार्य: न्यायालय किंवा न्यायाधिकरणाचे कार्य
कलम १७(२)(ख): गुन्ह्यांच्या प्रतिबंध, शोध, तपास किंवा खटल्यासाठी वैयक्तिक डेटा प्रक्रिया करताना DPDP कायद्यातील काही तरतुदी लागू होत नाहीत. तथापि, डेटा सुरक्षा आणि गोपनीयता राखणे आवश्यक आहे.
आंशिक सूट
- संशोधन आणि सांख्यिकी उद्देश
- पत्रकारिता उद्देश
- वैयक्तिक/घरगुती वापर
दंड आणि शिक्षा
DPDP कायद्याने कायद्याचे उल्लंघन केल्यास कठोर आर्थिक दंड विहित केले आहेत:
दंड संरचना
डेटा उल्लंघन प्रकरण: एखाद्या कंपनीचा डेटाबेस हॅक झाला आणि लाखो ग्राहकांचा वैयक्तिक डेटा चोरीला गेला. कंपनीने याची सूचना बोर्डाला आणि प्रभावित व्यक्तींना दिली नाही तर २०० कोटी रुपयांपर्यंत दंड होऊ शकतो. सायबर गुन्हे तपास अधिकाऱ्यांनी अशा प्रकरणांमध्ये कंपनीच्या DPDP अनुपालनाची देखील तपासणी करावी.
डेटा संरक्षण बोर्ड
DPDP कायद्याने भारतीय डेटा संरक्षण बोर्ड (Data Protection Board of India) स्थापन करण्याची तरतूद केली आहे.
बोर्डाची कार्ये
- डेटा मुख्याधिकाऱ्यांच्या तक्रारींचे निवारण
- कायद्याच्या उल्लंघनासाठी दंड लादणे
- डेटा विश्वस्तांना निर्देश देणे
- स्वैच्छिक प्रतिबद्धता स्वीकारणे
बोर्डाचे स्वरूप
- डिजिटल कार्यालय - शारीरिक उपस्थिती आवश्यक नाही
- अध्यक्ष आणि सदस्यांची नियुक्ती सरकारद्वारे
- अपील उच्च न्यायालयात केले जाऊ शकते
तपासावर प्रभाव
तपास अधिकाऱ्यांसाठी मार्गदर्शन
- डेटा मागणी: कायदेशीर प्रक्रियेनुसारच वैयक्तिक डेटा मागवा
- उद्देश मर्यादा: मिळालेला डेटा केवळ तपासासाठी वापरा
- गोपनीयता: तपासात मिळालेला वैयक्तिक डेटा सुरक्षित ठेवा
- साठवण मर्यादा: तपास पूर्ण झाल्यावर अनावश्यक डेटा नष्ट करा
गुन्हे तपासासाठी DPDP कायद्यातून सूट असली तरी, तपास अधिकाऱ्यांनी डेटा संरक्षणाची सर्वोत्तम पद्धती पाळाव्यात. अनावश्यक डेटा संकलन, डेटाचा गैरवापर किंवा गळती यामुळे विभागीय कारवाई होऊ शकते.
- DPDP कायदा २०२३ भारताचा पहिला व्यापक डेटा संरक्षण कायदा आहे
- डेटा मुख्याधिकारी (व्यक्ती) आणि डेटा विश्वस्त (संस्था) या प्रमुख व्याख्या
- संमती, उद्देश मर्यादा, डेटा कमी करणे ही मूलभूत तत्त्वे
- गुन्हे तपासासाठी काही तरतुदींमधून सूट आहे
- दंड २५० कोटी रुपयांपर्यंत असू शकतो
- डेटा संरक्षण बोर्ड तक्रारी हाताळेल आणि दंड लादेल
- तपास अधिकाऱ्यांनी सूट असली तरी डेटा संरक्षणाची सर्वोत्तम पद्धती पाळाव्यात