संमती आराखडा (Consent Framework)
DPDPA 2023 अंतर्गत डेटा मुख्याची संमती — प्रकार, वैधता आणि मागे घेण्याची प्रक्रिया
संमतीचे महत्त्व (Importance of Consent)
Digital Personal Data Protection Act, 2023 मध्ये संमती (Consent) ही डेटा प्रक्रियेसाठी सर्वात महत्त्वाची कायदेशीर आधारभूत (Legal Basis) आहे. संमतीशिवाय कोणत्याही व्यक्तीचा वैयक्तिक डेटा गोळा करणे किंवा वापरणे बेकायदेशीर आहे. DPDPA 2023 ने "Consent" च्या व्याख्येत आणि आवश्यकतांमध्ये जागतिक मानकांचे पालन केले आहे.
"व्यक्ती डेटा मुख्याचा वैयक्तिक डेटा केवळ या कायद्याच्या तरतुदींनुसार आणि कायदेशीर उद्देशासाठी प्रक्रिया करू शकतो — (अ) ज्यासाठी डेटा मुख्याने तिची संमती दिली आहे; किंवा (ब) काही वैध वापरांसाठी."
वैध संमतीची वैशिष्ट्ये (Characteristics of Valid Consent)
DPDPA 2023 अंतर्गत संमती वैध मानली जाण्यासाठी ती खालील सर्व निकषांची पूर्तता करणे आवश्यक आहे:
| वैशिष्ट्य | English | स्पष्टीकरण |
|---|---|---|
| मुक्त | Free | दबाव, बळजबरी किंवा प्रलोभनाशिवाय दिलेली |
| विशिष्ट | Specific | ठराविक उद्देशासाठी स्पष्टपणे दिलेली |
| माहितीपूर्ण | Informed | सर्व आवश्यक माहिती समजून घेतल्यानंतर दिलेली |
| अस्पष्ट नसलेली | Unambiguous | स्पष्ट सकारात्मक कृतीद्वारे दर्शविलेली |
| मागे घेण्यायोग्य | Withdrawable | कधीही मागे घेता येणारी |
EU च्या GDPR प्रमाणेच, DPDPA 2023 मध्येही संमती "freely given, specific, informed and unambiguous" असणे आवश्यक आहे. मात्र, DPDPA मध्ये "explicit" (स्पष्ट) हा शब्द वापरला नाही, ज्यामुळे implied consent बाबत काही अस्पष्टता राहते.
संमती सूचना (Consent Notice)
Data Fiduciary ने संमती मागण्यापूर्वी Data Principal ला एक स्पष्ट सूचना (Notice) देणे बंधनकारक आहे. या सूचनेत खालील माहिती असणे आवश्यक आहे:
- वैयक्तिक डेटाचे वर्णन: कोणता डेटा गोळा केला जाईल
- प्रक्रियेचा उद्देश: डेटा का गोळा केला जात आहे
- Data Fiduciary ची ओळख: कोण डेटा गोळा करत आहे
- हक्कांची माहिती: Data Principal चे अधिकार काय आहेत
- तक्रार निवारण: तक्रार कशी करावी
- DPO संपर्क: Data Protection Officer चे संपर्क तपशील (लागू असल्यास)
संमती प्राप्तीची प्रक्रिया (Consent Collection Process)
संमती मागे घेणे (Withdrawal of Consent)
DPDPA 2023 अंतर्गत Data Principal ला कधीही आपली संमती मागे घेण्याचा अधिकार आहे. संमती मागे घेणे संमती देण्याइतकेच सोपे असावे (as easy to withdraw as to give).
| पैलू | आवश्यकता |
|---|---|
| सुलभता | मागे घेण्याची प्रक्रिया संमती देण्याइतकी सोपी असावी |
| वेळ | कोणत्याही वेळी मागे घेता येते |
| परिणाम | मागे घेण्यापूर्वी झालेली प्रक्रिया वैध राहते |
| कालावधी | विनंती प्राप्त झाल्यापासून वाजवी कालावधीत प्रक्रिया थांबवावी |
| सूचना | मागे घेण्याच्या परिणामांची माहिती देणे आवश्यक |
Data Fiduciary ने आपल्या वेबसाइट/अॅपवर "Manage Consent" किंवा "Privacy Settings" सारखा पर्याय देणे आवश्यक आहे जिथे Data Principal सहजपणे आपली संमती मागे घेऊ शकतो.
Consent Manager ची भूमिका
DPDPA 2023 ने "Consent Manager" ही नवीन संकल्पना आणली आहे. Consent Manager हा Data Board of India कडून नोंदणीकृत व्यक्ती असतो जो Data Principal च्या वतीने संमती व्यवस्थापन करतो.
- नोंदणी आवश्यक: Data Protection Board of India कडे नोंदणी बंधनकारक
- जबाबदाऱ्या: Data Principal च्या सूचनांनुसार संमती देणे, मागे घेणे, व्यवस्थापन करणे
- उत्तरदायित्व: Data Fiduciary प्रमाणेच Consent Manager हाही Data Principal ला उत्तरदायी
- तांत्रिक आवश्यकता: सुरक्षित, पारदर्शक प्लॅटफॉर्म असणे आवश्यक
- शुल्क: सेवांसाठी शुल्क आकारू शकतो, पण ते वाजवी असावे
"डेटा मुख्य Consent Manager च्या माध्यमातून Data Fiduciary ला तिची संमती देऊ शकतो, व्यवस्थापित करू शकतो, पुनरावलोकन करू शकतो किंवा मागे घेऊ शकतो."
संमतीशिवाय प्रक्रिया (Processing Without Consent)
DPDPA 2023 मध्ये काही परिस्थितींमध्ये संमतीशिवाय डेटा प्रक्रियेची परवानगी आहे. या "Legitimate Uses" म्हणून ओळखल्या जातात:
| वैध वापर (Legitimate Use) | उदाहरण |
|---|---|
| स्वयंसेवी डेटा | Data Principal ने स्वतः दिलेला डेटा विशिष्ट उद्देशासाठी |
| राज्य कार्ये | सरकारी योजना, अनुदान, परवाने, प्रमाणपत्रे |
| कायदेशीर दायित्व | न्यायालयीन आदेश, कायद्याचे पालन |
| आपत्कालीन परिस्थिती | जीवन किंवा आरोग्याला धोका, नैसर्गिक आपत्ती |
| रोजगार | कर्मचारी डेटा - पगार, कायदेशीर पालन |
| सार्वजनिक हित | सार्वजनिक आरोग्य, सुरक्षितता |
मुलांसाठी विशेष संमती (Consent for Children)
DPDPA 2023 मध्ये १८ वर्षांखालील व्यक्तींना "मुल" (Child) म्हणून परिभाषित केले आहे. मुलांच्या डेटा प्रक्रियेसाठी विशेष नियम लागू होतात:
- पालक/संरक्षक संमती: मुलाच्या डेटासाठी पालक किंवा कायदेशीर संरक्षकाची संमती आवश्यक
- सत्यापन: पालकत्वाचे/संरक्षकत्वाचे वाजवी सत्यापन आवश्यक
- हानिकारक प्रक्रिया बंदी: मुलांच्या कल्याणावर हानिकारक परिणाम करणारी प्रक्रिया प्रतिबंधित
- Tracking/Targeting बंदी: मुलांचे वर्तन ट्रॅक करणे किंवा targeted advertising प्रतिबंधित
- सूट: केंद्र सरकार काही Data Fiduciary ला यातून सूट देऊ शकते
दिव्यांग व्यक्तींच्या बाबतीत, त्यांच्या कायदेशीर संरक्षकाची संमती आवश्यक आहे. Rights of Persons with Disabilities Act, 2016 अंतर्गत नियुक्त संरक्षक ही संमती देऊ शकतो.
एका प्रमुख E-commerce कंपनीने ग्राहकांचा डेटा marketing partners सोबत शेअर केला संमतीशिवाय. ग्राहकांना फक्त "Terms & Conditions" accept करण्यास सांगितले होते, पण त्यात third-party sharing बद्दल माहिती bundled होती आणि separate consent घेतली नव्हती.
तक्रार: ५०+ ग्राहकांनी unwanted marketing calls आणि messages बद्दल consumer forum मध्ये तक्रार केली.
Consumer Forum ने कंपनीला प्रत्येक तक्रारदाराला ₹१०,००० नुकसान भरपाई देण्याचे आदेश दिले. DPDPA 2023 अंतर्गत, अशा उल्लंघनासाठी आता ₹२५० कोटीपर्यंत दंड होऊ शकतो. शिकवण: Third-party sharing साठी स्वतंत्र संमती घेणे अनिवार्य आहे.
संमती नोंदींचे व्यवस्थापन (Consent Record Management)
Data Fiduciary ने सर्व संमतींची योग्य नोंद ठेवणे आवश्यक आहे. या नोंदींमध्ये खालील माहिती असावी:
| घटक | तपशील |
|---|---|
| ओळख | Data Principal ची ओळख (हे गोपनीय ठेवावे) |
| तारीख/वेळ | संमती कधी दिली गेली |
| उद्देश | कोणत्या उद्देशासाठी संमती दिली |
| पद्धत | कशी दिली (checkbox, signature, etc.) |
| सूचना | कोणती सूचना दाखवली गेली |
| बदल | कोणतेही बदल किंवा मागे घेतल्याची नोंद |
महाराष्ट्रातील अंमलबजावणी
महाराष्ट्रातील IT कंपन्या आणि Startups साठी संमती व्यवस्थापन विशेष महत्त्वाचे आहे:
- पुणे-मुंबई IT Hub: Fintech, E-commerce कंपन्यांसाठी strict compliance आवश्यक
- Marathi भाषेत सूचना: महाराष्ट्रातील ग्राहकांसाठी मराठी भाषेत संमती सूचना उपलब्ध करावी
- सायबर सेल सहकार्य: संमती उल्लंघनाच्या तक्रारी Maharashtra Cyber कडे नोंदवता येतात
- Consumer Forum: DPDPA सोबतच Consumer Protection Act अंतर्गत दावे शक्य