मॉड्यूल १२: डेटा संरक्षण आणि गोपनीयता कायदे भाग ४ / ७
भाग ४

Data Fiduciary जबाबदाऱ्या

DPDPA 2023 अंतर्गत Data Fiduciary चे कर्तव्ये, DPO नियुक्ती आणि Compliance आवश्यकता

📖 वाचन वेळ: २५ मिनिटे
📊 कठीणता: उच्च
📝 कायदेशीर संदर्भ: DPDPA कलम ८-१०

Data Fiduciary कोण?

Data Fiduciary म्हणजे कोणतीही व्यक्ती किंवा संस्था जी एकट्याने किंवा इतरांसोबत वैयक्तिक डेटा प्रक्रियेचा उद्देश आणि साधने निश्चित करते. सोप्या भाषेत, जो डेटा गोळा करतो आणि का व कसा वापरायचा हे ठरवतो तो Data Fiduciary आहे.

व्याख्या (Definition)
"Data Fiduciary means any person who alone or in conjunction with other persons determines the purpose and means of processing of personal data."

"Data Fiduciary म्हणजे कोणतीही व्यक्ती जी एकट्याने किंवा इतर व्यक्तींसोबत वैयक्तिक डेटाच्या प्रक्रियेचा उद्देश आणि साधने निश्चित करते."
उदाहरणे

• E-commerce कंपनी जी ग्राहकांचा डेटा गोळा करते
• बँक जी खातेदारांची माहिती ठेवते
• हॉस्पिटल जे रुग्णांच्या नोंदी राखते
• शाळा/महाविद्यालय जे विद्यार्थ्यांचा डेटा संकलित करते
• सोशल मीडिया प्लॅटफॉर्म जे वापरकर्त्यांची माहिती ठेवते

प्रमुख जबाबदाऱ्या (Key Obligations)

🔒
सुरक्षा उपाय
Security Safeguards
वैयक्तिक डेटाचे संरक्षण करण्यासाठी वाजवी सुरक्षा उपाय योजणे
📝
संमती व्यवस्थापन
Consent Management
योग्य संमती घेणे आणि त्याच्या नोंदी ठेवणे
📋
सूचना देणे
Notice Provision
डेटा प्रक्रियेबद्दल स्पष्ट सूचना देणे
🗑️
डेटा धारणा मर्यादा
Data Retention Limits
उद्देश पूर्ण झाल्यावर डेटा खोडणे
🔔
उल्लंघन सूचना
Breach Notification
डेटा भंग झाल्यास Board आणि Data Principal ला कळवणे
📊
अचूकता
Data Accuracy
डेटा अचूक आणि अद्ययावत ठेवण्याची खात्री करणे

सुरक्षा उपाय (Security Safeguards)

कलम ८ अंतर्गत, Data Fiduciary ने वैयक्तिक डेटाच्या संरक्षणासाठी वाजवी सुरक्षा उपाय योजणे बंधनकारक आहे. या उपायांमध्ये समाविष्ट आहे:

उपाय प्रकार तपशील उदाहरण
तांत्रिक उपाय Technical Measures Encryption, Access Controls, Firewalls
संघटनात्मक उपाय Organizational Measures Policies, Training, Access Management
प्रक्रियात्मक उपाय Procedural Measures Audit, Monitoring, Incident Response
भौतिक उपाय Physical Measures Secure Servers, Locked Cabinets, CCTV
कलम ८(४): उल्लंघन सूचना (Section 8(4): Breach Notification)
"In the event of a personal data breach, the Data Fiduciary shall give the Board and each affected Data Principal, intimation of such breach in such form and manner as may be prescribed."

"वैयक्तिक डेटा भंगाच्या प्रसंगी, Data Fiduciary Board आणि प्रत्येक प्रभावित Data Principal ला नियमानुसार निर्धारित स्वरूपात आणि पद्धतीने अशा भंगाची माहिती देईल."

डेटा धारणा आणि खोडणे (Data Retention & Erasure)

DPDPA 2023 मध्ये "Purpose Limitation" आणि "Storage Limitation" ही तत्त्वे महत्त्वाची आहेत. Data Fiduciary ने फक्त आवश्यक कालावधीसाठीच डेटा ठेवावा.

परिस्थिती कर्तव्य
उद्देश पूर्ण झाल्यावर डेटा खोडणे किंवा anonymize करणे
संमती मागे घेतल्यास वाजवी कालावधीत डेटा खोडणे
खोडण्याची विनंती विनंती प्राप्त झाल्यावर खोडणे (कायदेशीर अपवाद वगळता)
कायदेशीर आवश्यकता कायद्याने ठरवलेल्या कालावधीसाठी ठेवणे (उदा: ITR ७ वर्षे)
Data Retention Policy

प्रत्येक Data Fiduciary ने एक स्पष्ट Data Retention Policy बनवावी ज्यात:
• कोणता डेटा किती काळ ठेवायचा
• खोडण्याची प्रक्रिया काय
• कायदेशीर आवश्यकतांची सूची

Significant Data Fiduciary (SDF)

केंद्र सरकार काही Data Fiduciary ना "Significant Data Fiduciary" (SDF) म्हणून घोषित करू शकते. या संस्थांना अतिरिक्त जबाबदाऱ्या पूर्ण कराव्या लागतात.

SDF ठरवण्याचे निकष अतिरिक्त जबाबदाऱ्या
Data Principals ची संख्या आणि प्रमाण Data Protection Officer (DPO) नियुक्त करणे
प्रक्रिया होणाऱ्या डेटाचे प्रमाण Independent Auditor नियुक्त करणे
Data Principal वर जोखीम Data Protection Impact Assessment (DPIA) करणे
राज्य सुरक्षा आणि सार्वजनिक व्यवस्था वार्षिक Audit सादर करणे
देशाच्या सार्वभौमत्वावर परिणाम नियमानुसार अतिरिक्त अनुपालन
कलम १०: Significant Data Fiduciary
Significant Data Fiduciary म्हणून घोषित झाल्यास, संस्थेने भारतातील व्यक्तीला DPO आणि Independent Auditor म्हणून नियुक्त करणे बंधनकारक आहे.

Data Protection Officer (DPO)

Significant Data Fiduciary ने भारतात स्थित Data Protection Officer नियुक्त करणे बंधनकारक आहे. DPO ची भूमिका आणि जबाबदाऱ्या खालीलप्रमाणे आहेत:

DPO पात्रता

DPDPA 2023 मध्ये DPO साठी विशिष्ट पात्रता नमूद नाही, पण GDPR प्रमाणे डेटा संरक्षण कायदे आणि पद्धतींचे ज्ञान असलेली व्यक्ती असावी. कायदेशीर किंवा IT पार्श्वभूमी असलेली व्यक्ती योग्य ठरते.

Data Processor जबाबदाऱ्या

Data Processor म्हणजे जो Data Fiduciary च्या वतीने डेटा प्रक्रिया करतो. Data Fiduciary ने Data Processor वर देखरेख ठेवणे आवश्यक आहे.

Data Fiduciary Data Processor
उद्देश आणि साधने ठरवतो सूचनांनुसार प्रक्रिया करतो
संमती घेतो संमती घेत नाही
Data Principal ला उत्तरदायी Data Fiduciary ला उत्तरदायी
सर्व दंड जबाबदारी करारानुसार जबाबदारी
महत्त्वाची सूचना

Data Fiduciary ने Data Processor सोबत लिखित करार करणे आवश्यक आहे ज्यात सुरक्षा उपाय, गोपनीयता, आणि डेटा हाताळणीच्या अटी स्पष्टपणे नमूद असाव्यात. Data Processor चे उल्लंघन = Data Fiduciary चे उल्लंघन.

🏢
केस स्टडी: IT कंपनी Data Breach

पुण्यातील एका IT कंपनीने आपला HR डेटा cloud service provider (Data Processor) कडे ठेवला होता. Cloud provider वर ransomware attack झाल्याने ५,००० कर्मचाऱ्यांचा वैयक्तिक डेटा (Aadhaar, PAN, बँक तपशील) leak झाला.

प्रश्न: जबाबदारी कोणाची? IT कंपनी (Data Fiduciary) की Cloud Provider (Data Processor)?

कायदेशीर विश्लेषण

DPDPA 2023 अंतर्गत, IT कंपनी (Data Fiduciary) प्राथमिक जबाबदार आहे कारण:
• Data Processor वर देखरेख ठेवण्याचे कर्तव्य Data Fiduciary चे आहे
• Data Principal शी थेट संबंध Data Fiduciary चा आहे
• कलम ८(३) नुसार Data Processor केवळ Data Fiduciary साठी प्रक्रिया करतो
परिणाम: IT कंपनीला Board ला आणि सर्व प्रभावित कर्मचाऱ्यांना breach सूचना देणे आवश्यक. दंड ₹२५० कोटीपर्यंत होऊ शकतो.

महाराष्ट्रातील Compliance मार्गदर्शक

महाराष्ट्रातील व्यवसायांसाठी DPDPA 2023 अनुपालनासाठी खालील मार्गदर्शक तत्त्वे:

🎯 मुख्य निष्कर्ष (Key Takeaways)
Data Fiduciary चे मुख्य कर्तव्य: सुरक्षा, संमती, सूचना, धारणा मर्यादा
Data Breach झाल्यास Board आणि Data Principal ला सूचना देणे बंधनकारक
Significant Data Fiduciary ला DPO आणि Auditor नियुक्त करणे आवश्यक
Data Processor चे उल्लंघन = Data Fiduciary जबाबदार
उद्देश पूर्ण झाल्यावर डेटा खोडणे किंवा anonymize करणे आवश्यक