भाग ३

Data Principal चे अधिकार

DPDPA 2023 अंतर्गत व्यक्तींना मिळालेले डेटा संबंधित मूलभूत अधिकार आणि त्यांची अंमलबजावणी

📖 वाचन वेळ: २५ मिनिटे

📊 कठीणता: मध्यम-उच्च

📝 कायदेशीर संदर्भ: DPDPA कलम ११-१४

अधिकारांचे महत्त्व

Digital Personal Data Protection Act, 2023 ने Data Principal (व्यक्ती ज्याचा डेटा आहे) ला विविध महत्त्वाचे अधिकार दिले आहेत. हे अधिकार व्यक्तींना आपल्या वैयक्तिक डेटावर नियंत्रण ठेवण्यास सक्षम करतात. EU च्या GDPR प्रमाणेच, DPDPA 2023 ने "Rights-based approach" स्वीकारला आहे.

मूलभूत तत्त्व (Fundamental Principle)

Data Principal चे अधिकार हे मूलभूत अधिकार आहेत जे Data Fiduciary ने आदर करणे आणि पूर्ण करणे बंधनकारक आहे. या अधिकारांचे उल्लंघन केल्यास कठोर दंडात्मक कारवाई होऊ शकते.

प्रमुख अधिकार (Key Rights)

📋

माहिती मिळवण्याचा अधिकार

Right to Access Information

Data Fiduciary कडून डेटा प्रक्रियेबद्दल संपूर्ण माहिती मिळवण्याचा अधिकार

✏️

दुरुस्तीचा अधिकार

Right to Correction

चुकीचा किंवा अपूर्ण डेटा दुरुस्त करवून घेण्याचा अधिकार

🗑️

खोडून टाकण्याचा अधिकार

Right to Erasure

वैयक्तिक डेटा कायमस्वरूपी खोडून टाकण्याची विनंती करण्याचा अधिकार

🚫

संमती मागे घेण्याचा अधिकार

Right to Withdraw Consent

कधीही आपली संमती मागे घेण्याचा अधिकार

📢

तक्रार करण्याचा अधिकार

Right to Grievance Redressal

Data Fiduciary आणि Data Protection Board कडे तक्रार करण्याचा अधिकार

👤

नामनिर्देशन अधिकार

Right to Nominate

मृत्यू किंवा अक्षमतेच्या बाबतीत अधिकार वापरण्यासाठी नामनिर्देशन

माहिती मिळवण्याचा अधिकार (Right to Access)

कलम ११ अंतर्गत, Data Principal ला Data Fiduciary कडून खालील माहिती मागण्याचा अधिकार आहे:

माहिती प्रकार	तपशील
प्रक्रिया होत असलेला डेटा	कोणता वैयक्तिक डेटा गोळा केला आहे आणि प्रक्रिया होत आहे याची सारांश माहिती
प्रक्रियेचे उद्देश	डेटा कोणत्या उद्देशांसाठी वापरला जात आहे
तृतीय पक्ष शेअरिंग	डेटा कोणत्या Data Processors किंवा तृतीय पक्षांसोबत शेअर केला
Data Processors ची माहिती	Data Processors ची ओळख आणि त्यांच्या कृतींची माहिती

कलम ११: माहिती मिळवण्याचा अधिकार (Section 11: Right to Access)

"The Data Principal shall have the right to obtain from the Data Fiduciary— (a) confirmation as to whether or not the personal data pertaining to her is being processed; (b) a summary of such personal data and the processing activities undertaken by the Data Fiduciary."

"डेटा मुख्याला Data Fiduciary कडून मिळवण्याचा अधिकार असेल — (अ) तिच्याशी संबंधित वैयक्तिक डेटावर प्रक्रिया होत आहे की नाही याची पुष्टी; (ब) अशा वैयक्तिक डेटाचा सारांश आणि Data Fiduciary ने केलेल्या प्रक्रिया उपक्रम."

महत्त्वाची टीप

DPDPA 2023 मध्ये "सारांश" (summary) हा शब्द वापरला आहे, म्हणजे संपूर्ण डेटाची प्रत (full copy) देण्याचे बंधन नाही. हे GDPR पेक्षा वेगळे आहे जिथे "copy of personal data" चा स्पष्ट अधिकार आहे.

दुरुस्ती आणि खोडण्याचा अधिकार (Right to Correction & Erasure)

कलम १२ अंतर्गत, Data Principal ला आपला वैयक्तिक डेटा दुरुस्त करवून घेण्याचा किंवा पूर्णपणे खोडून टाकण्याचा अधिकार आहे.

अधिकार	परिस्थिती	Data Fiduciary चे कर्तव्य
दुरुस्ती (Correction)	डेटा चुकीचा, अपूर्ण, भ्रामक असल्यास	योग्य दुरुस्ती करणे आणि Data Processors ला कळवणे
पूर्णता (Completion)	डेटा अपूर्ण असल्यास	आवश्यक माहिती जोडणे
अद्ययावत (Update)	माहिती जुनी झाली असल्यास	नवीन माहितीने अद्ययावत करणे
खोडणे (Erasure)	डेटा यापुढे आवश्यक नसल्यास किंवा संमती मागे घेतल्यास	डेटा कायमस्वरूपी खोडणे

कलम १२: दुरुस्ती आणि खोडणे (Section 12: Correction and Erasure)

"The Data Principal shall have the right to correction and erasure of her personal data." "डेटा मुख्याला तिच्या वैयक्तिक डेटाच्या दुरुस्तीचा आणि खोडण्याचा अधिकार असेल."

खोडण्याचे अपवाद

खालील परिस्थितींमध्ये खोडण्याची विनंती नाकारता येते:
• कायदेशीर दायित्वाचे पालन आवश्यक असल्यास
• न्यायालयीन आदेश असल्यास
• सार्वजनिक हिताच्या कारणांसाठी
• दाव्यांची स्थापना, वापर किंवा बचाव

तक्रार निवारण अधिकार (Right to Grievance Redressal)

DPDPA 2023 ने दोन-स्तरीय तक्रार निवारण प्रणाली स्थापन केली आहे:

१

Data Fiduciary कडे तक्रार

प्रथम Data Fiduciary च्या Grievance Redressal Officer कडे तक्रार करावी

२

निर्धारित कालावधीत निकाल

नियमानुसार ठराविक कालावधीत (अपेक्षित ३० दिवस) तक्रारीवर निर्णय

३

असमाधानी असल्यास Board कडे अपील

Data Protection Board of India कडे अपील दाखल करता येते

४

Board चा निर्णय

Board तक्रारीची सुनावणी करून दंड आदेश देऊ शकते

५

न्यायालयात अपील

Board च्या आदेशाविरुद्ध Appellate Tribunal मध्ये अपील

कलम १३: तक्रार निवारण (Section 13: Grievance Redressal)

प्रत्येक Data Fiduciary ने एक Grievance Redressal mechanism स्थापन करणे आवश्यक आहे. Significant Data Fiduciary साठी स्वतंत्र Grievance Officer नेमणे बंधनकारक आहे.

नामनिर्देशन अधिकार (Right to Nominate)

कलम १४ अंतर्गत, Data Principal ला मृत्यू किंवा अक्षमतेच्या बाबतीत आपल्या अधिकारांचा वापर करण्यासाठी कोणाला तरी नामनिर्देशित करण्याचा अधिकार आहे.

पैलू	तपशील
कोणाला नामनिर्देशित करता येते	कोणत्याही व्यक्तीला (वयाची अट नियमांमध्ये)
कधी लागू होते	Data Principal च्या मृत्यूनंतर किंवा अक्षमतेच्या बाबतीत
अधिकार	Data Principal चे सर्व अधिकार Nominee वापरू शकतो
बदल	Data Principal कधीही Nominee बदलू शकतो

व्यावहारिक महत्त्व

Digital estate planning साठी हा अधिकार महत्त्वाचा आहे. Social media accounts, email, cloud storage इत्यादींवरील डेटाचे व्यवस्थापन मृत्यूनंतर Nominee करू शकतो.

अधिकार वापराची प्रक्रिया

अ

विनंती अर्ज सादर करा

Data Fiduciary ने दिलेल्या माध्यमातून (वेबसाइट, अॅप, email) विनंती करा

ब

ओळख सत्यापन

Data Fiduciary आपली ओळख सत्यापित करेल

क

विनंतीवर प्रक्रिया

निर्धारित कालावधीत (नियमानुसार) विनंती पूर्ण केली जाईल

ड

प्रतिसाद प्राप्त करा

लिखित स्वरूपात प्रतिसाद (मंजूर/नाकारलेले कारणांसह)

GDPR आणि DPDPA अधिकारांची तुलना

अधिकार	GDPR	DPDPA 2023
माहिती मिळवणे	Data ची पूर्ण प्रत मिळवण्याचा अधिकार	सारांश माहिती मिळवण्याचा अधिकार
Data Portability	स्पष्ट अधिकार — structured format मध्ये	स्पष्टपणे नमूद नाही
Automated Decision-Making	आक्षेप घेण्याचा अधिकार	स्पष्टपणे नमूद नाही
खोडणे (Erasure)	"Right to be Forgotten"	खोडण्याचा अधिकार (मर्यादित)
नामनिर्देशन	स्पष्टपणे नमूद नाही	स्पष्ट अधिकार

🏥

केस स्टडी: आरोग्य डेटा Access विनंती

एका रुग्णाने एका खाजगी हॉस्पिटलला आपल्या संपूर्ण वैद्यकीय नोंदींची प्रत मागितली. हॉस्पिटलने फक्त "सारांश" दिला आणि पूर्ण नोंदी देण्यास नकार दिला.

वाद: DPDPA 2023 "सारांश" म्हणते, पण वैद्यकीय नोंदींबाबत Clinical Establishment Rules अंतर्गत पूर्ण प्रत मिळवण्याचा अधिकार आहे का?

कायदेशीर विश्लेषण

DPDPA 2023 सोबतच, Clinical Establishments (Registration and Regulation) Act आणि Indian Medical Council (Professional Conduct) Regulations अंतर्गत रुग्णाला आपल्या वैद्यकीय नोंदींची पूर्ण प्रत मिळवण्याचा अधिकार आहे. अनेक कायदे एकत्र लागू होतात आणि सर्वात अधिक संरक्षण देणारा कायदा लागू होतो.

महाराष्ट्रातील अंमलबजावणी

महाराष्ट्रातील नागरिकांसाठी Data Principal अधिकारांचा वापर करण्यासाठी:

Maharashtra Cyber: Data Protection उल्लंघनाच्या तक्रारी Maharashtra Cyber कडे करता येतात
Consumer Forum: जिल्हा, राज्य किंवा राष्ट्रीय ग्राहक आयोगाकडे दावा दाखल करता येतो
मराठी भाषेत विनंती: मराठी भाषेत अधिकार वापर विनंती करता येते
वकिलांचा सल्ला: जटिल प्रकरणांमध्ये सायबर कायदे तज्ञांचा सल्ला घ्या
RTI Act: सरकारी संस्थांकडील डेटासाठी RTI Act अंतर्गत माहिती मिळवता येते

🎯 मुख्य निष्कर्ष (Key Takeaways)

Data Principal ला माहिती मिळवणे, दुरुस्ती, खोडणे, तक्रार करण्याचे अधिकार आहेत

DPDPA 2023 मध्ये "सारांश" देण्याचे बंधन — GDPR पेक्षा मर्यादित

दोन-स्तरीय तक्रार निवारण: Data Fiduciary → Data Protection Board

नामनिर्देशन अधिकार — Digital estate planning साठी महत्त्वाचे

Data Portability आणि Automated Decision-Making बाबत DPDPA 2023 मध्ये स्पष्टता नाही