भाग ६

Data Protection Board of India

DPDPA 2023 अंतर्गत स्थापित नियामक मंडळ — रचना, अधिकार, दंड आणि अपील प्रक्रिया

📖 वाचन वेळ: २५ मिनिटे

📊 कठीणता: उच्च

📝 कायदेशीर संदर्भ: DPDPA कलम १८-३३

Data Protection Board म्हणजे काय?

Data Protection Board of India (DPBI) हे DPDPA 2023 अंतर्गत स्थापित होणारे स्वतंत्र नियामक मंडळ आहे. हे मंडळ कायद्याचे उल्लंघन झाल्यास तक्रारींची सुनावणी करते आणि दंड आकारते. हे "Digital-by-Design" तत्त्वावर काम करणारे मंडळ असेल.

कलम १८: Board ची स्थापना (Section 18: Establishment)

"The Central Government shall, by notification, establish a Board to be known as the Data Protection Board of India."

"केंद्र सरकार, अधिसूचनेद्वारे, Data Protection Board of India म्हणून ओळखले जाणारे मंडळ स्थापन करेल."

Digital-by-Design

DPBI हे पूर्णपणे डिजिटल मंडळ असेल:
• सर्व कार्यवाही ऑनलाइन
• e-Filing प्रणाली
• Virtual hearings
• Digital signatures आणि records
• कागदविरहित (Paperless) प्रक्रिया

Board ची रचना (Composition)

Data Protection Board of India - संरचना

अध्यक्ष (Chairperson)

सदस्य १

सदस्य २

सदस्य ३

इतर सदस्य

पद	नियुक्ती	कार्यकाळ
अध्यक्ष (Chairperson)	केंद्र सरकारद्वारे	२ वर्षे (पुनर्नियुक्ती शक्य)
सदस्य (Members)	केंद्र सरकारद्वारे	२ वर्षे (पुनर्नियुक्ती शक्य)

पात्रता निकष (Eligibility Criteria)

अध्यक्ष आणि सदस्यांसाठी आवश्यक:
• IT, Data Management, Data Science, Data Security किंवा संबंधित क्षेत्रात ज्ञान आणि अनुभव
• ५० वर्षांपेक्षा कमी वय नसावे
• केंद्र सरकारने ठरवलेले इतर निकष

Board चे अधिकार (Powers of the Board)

Data Protection Board ला व्यापक अधिकार दिले आहेत. हे मंडळ तक्रारींची सुनावणी करणे, चौकशी करणे, आणि दंड आकारण्यास सक्षम आहे.

तक्रार सुनावणी: Data Principal च्या तक्रारींची सुनावणी
Suo Motu कारवाई: स्वतःहून उल्लंघनाची चौकशी सुरू करणे
दंड आकारणी: उल्लंघनासाठी आर्थिक दंड
निर्देश देणे: Data Fiduciary ला सुधारणा करण्याचे आदेश
Blocking: गंभीर उल्लंघनासाठी वेबसाइट/सेवा block करण्याची शिफारस
माहिती मागणे: Data Fiduciary कडून कोणतीही माहिती मागवणे

Civil Court चे अधिकार

Board ला खालील बाबतीत Civil Court सारखे अधिकार आहेत:
• साक्षीदारांना बोलावणे
• दस्तऐवज मागवणे
• शपथपत्र घेणे
• इतर नियमानुसार निर्धारित बाबी

दंड व्यवस्था (Penalty Structure)

DPDPA 2023 मध्ये विविध उल्लंघनांसाठी भारी दंडाची तरतूद आहे. दंडाची रक्कम उल्लंघनाच्या स्वरूपावर अवलंबून असते.

₹२५० कोटी

Data Breach सूचना न देणे

Breach झाल्यावर Board आणि Data Principal ला कळवले नाही

₹२०० कोटी

मुलांच्या डेटाचे उल्लंघन

मुलांच्या डेटा संबंधित विशेष तरतुदींचे उल्लंघन

₹२०० कोटी

सुरक्षा उपाय न योजणे

वाजवी सुरक्षा उपाय न योजणे

₹१० हजार

खोटी तक्रार

Data Principal ने खोटी किंवा frivolous तक्रार केल्यास

उल्लंघन	कमाल दंड
Personal Data Breach सूचना न देणे	₹२५० कोटी
मुलांच्या डेटा संबंधित उल्लंघन	₹२०० कोटी
सुरक्षा उपायांचे पालन न करणे	₹२०० कोटी
Data Fiduciary च्या सामान्य जबाबदाऱ्यांचे उल्लंघन	₹५० कोटी
SDF च्या अतिरिक्त जबाबदाऱ्यांचे उल्लंघन	₹१५० कोटी
Data Principal ची खोटी/frivolous तक्रार	₹१० हजार

Repeat Offender

वारंवार उल्लंघन करणाऱ्यांसाठी (Repeat Offenders) दंड वाढू शकतो. Board उल्लंघनाची गंभीरता, प्रभावित व्यक्तींची संख्या, आणि मागील उल्लंघन इतिहास विचारात घेऊन दंड ठरवते.

तक्रार प्रक्रिया (Complaint Process)

१

Data Fiduciary कडे तक्रार

प्रथम Data Fiduciary च्या Grievance Officer कडे तक्रार करा

२

प्रतिसादाची प्रतीक्षा

नियमानुसार निर्धारित कालावधीत (अपेक्षित ३० दिवस) प्रतिसाद

३

Board कडे तक्रार

असमाधानी असल्यास किंवा प्रतिसाद न मिळाल्यास Board कडे online तक्रार

४

Board ची सुनावणी

Virtual hearing — दोन्ही पक्षांना ऐकले जाते

५

Board चा आदेश

दंड, सुधारणा आदेश, किंवा तक्रार फेटाळणे

६

अपील

असमाधानी असल्यास Appellate Tribunal कडे अपील (६० दिवसांत)

अपील प्रक्रिया (Appeal Process)

Board च्या आदेशाविरुद्ध अपील करण्याची तरतूद आहे. Telecom Disputes Settlement and Appellate Tribunal (TDSAT) हे Appellate Tribunal म्हणून काम करेल.

पैलू	तपशील
अपील कुठे?	TDSAT (Appellate Tribunal)
कालमर्यादा	Board च्या आदेशापासून ६० दिवसांच्या आत
विलंब माफी	पुढील ६० दिवस — पुरेशा कारणासह
TDSAT नंतर	High Court कडे writ petition

कलम २९: अपील (Section 29: Appeal)

"Any person aggrieved by an order made by the Board... may prefer an appeal to the Appellate Tribunal within a period of sixty days from the date of receipt of the order."

"Board च्या आदेशाने व्यथित कोणतीही व्यक्ती... आदेश प्राप्त झाल्यापासून ६० दिवसांच्या आत Appellate Tribunal कडे अपील करू शकते."

⚖️

केस स्टडी: Social Media Data Breach

एका प्रमुख सोशल मीडिया प्लॅटफॉर्मवर Security vulnerability मुळे ५ लाख भारतीय वापरकर्त्यांचा डेटा (नाव, email, phone) leak झाला. कंपनीने ३ महिने हे लपवून ठेवले आणि Board किंवा वापरकर्त्यांना कळवले नाही.

उल्लंघने:

• कलम ८(४): Breach सूचना न देणे
• कलम ८(५): सुरक्षा उपायांचे पालन न करणे
• ५ लाख Data Principals प्रभावित

संभाव्य दंड

Board खालील दंड आकारू शकते:
• Breach सूचना न देणे: ₹२५० कोटीपर्यंत
• सुरक्षा उपायांचे उल्लंघन: ₹२०० कोटीपर्यंत
• एकूण संभाव्य दंड: ₹४५० कोटीपर्यंत
शिकवण: Breach झाल्यावर तात्काळ Board आणि प्रभावित व्यक्तींना कळवणे अत्यंत महत्त्वाचे. विलंब केल्यास दंड वाढतो.

GDPR आणि DPDPA दंडांची तुलना

पैलू	GDPR (EU)	DPDPA (भारत)
कमाल दंड	€२० दशलक्ष किंवा ४% Global Turnover	₹२५० कोटी (निश्चित रक्कम)
Turnover-based	होय	नाही
Criminal दंड	काही देशांमध्ये	नाही
नियामक	प्रत्येक देशात DPA	एकच Board

महाराष्ट्रातील वकिलांसाठी मार्गदर्शक

Data Protection Board समोर practice करू इच्छिणाऱ्या महाराष्ट्रातील वकिलांसाठी:

Digital Literacy: Board डिजिटल असल्याने e-filing आणि virtual hearing कौशल्य आवश्यक
DPDPA अभ्यास: कायदा आणि नियम यांचा सखोल अभ्यास
IT ज्ञान: Data security, breaches, IT प्रणालींचे मूलभूत ज्ञान
GDPR तुलना: GDPR decisions चा अभ्यास — भारतीय Board साठी मार्गदर्शक
Client Advisory: Compliance audit आणि सल्ला सेवा
दस्तऐवज तयारी: तक्रार/प्रतिवाद साठी योग्य दस्तऐवज तयार करणे

🎯 मुख्य निष्कर्ष (Key Takeaways)

Data Protection Board of India — पूर्णपणे डिजिटल, online कार्यवाही

कमाल दंड ₹२५० कोटी — Data Breach सूचना न दिल्यास

प्रथम Data Fiduciary कडे तक्रार → मग Board कडे

Board च्या आदेशाविरुद्ध TDSAT कडे ६० दिवसांत अपील

खोटी तक्रार केल्यास Data Principal ला ₹१० हजार दंड