डीपीडीपी नियम, 2025 अधिसूचित : डिजिटल व्यक्तिगत डेटा की सुरक्षा के लिए एक संपूर्ण ढाँचा तैयार
The Digital Personal Data Protection Act and the DPDP Rules mark an important step in building a trustworthy and future-ready digital environment for the country. They bring clarity to how personal data must be handled, strengthen the rights of individuals and create firm responsibilities for organisations. The framework is practical in design and backed by wide public consultation, which makes it both inclusive and responsive to real needs. It supports the growth of India’s digital economy while ensuring that privacy remains central to its progress. With these measures now in place, India moves towards a safer, more transparent and innovation-friendly data ecosystem that serves citizens and strengthens public confidence in digital governance.
| प्रमुख बिंदु |
|
- A PIB FEATURE-
भारत सरकार ने 14 नवंबर 2025 को डिजिटल व्यक्तिगत डेटा संरक्षण (डीपीडीपी) नियम, 2025 को अधिसूचित किया है। यह डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 (डीपीडीपी अधिनियम ) के पूर्ण कार्यान्वयन का प्रतीक है। यह अधिनियम और नियम मिलकर डिजिटल व्यक्तिगत डेटा के ज़िम्मेदार उपयोग के लिए एक स्पष्ट और नागरिक-केंद्रित ढाँचा तैयार करते हैं। ये नियम व्यक्तिगत अधिकारों और वैध डेटा प्रसंस्करण पर समान रूप से बल देते हैं।
इलेक्ट्रॉनिक्स एवं सूचना प्रौद्योगिकी मंत्रालय ने मसौदा नियमों को अंतिम रूप देने से पहले उन पर जनता की टिप्पणियाँ आमंत्रित कीं है। दिल्ली, मुंबई, गुवाहाटी, कोलकाता, हैदराबाद, बेंगलुरु और चेन्नई में परामर्श सत्र आयोजित किए गए। इन चर्चाओं में विभिन्न प्रकार के प्रतिभागियों ने भाग लिया। स्टार्टअप्स, एमएसएमई, उद्योग निकायों, नागरिक समाज के विभिन्न समूहों और सरकारी विभागों ने विस्तृत सुझाव दिए है। नागरिकों ने भी अपने विचार साझा किए है। परामर्श प्रक्रिया के दौरान कुल 6,915 सुझाव प्राप्त हुए है। इन सुझावों ने अंतिम नियमों को आकार देने में महत्वपूर्ण भूमिका निभाई।
नियमों की अधिसूचना के साथ ही भारत के पास अब डेटा सुरक्षा के लिए एक व्यावहारिक और नवाचार-अनुकूल प्रणाली है। यह समझने में आसानी प्रदान करती है, अनुपालन को प्रोत्साहित करती है और देश के बढ़ते डिजिटल पारिस्थितिकी तंत्र में विश्वास को मज़बूत करती है।
डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023
संसद ने 11 अगस्त 2023 को डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम पारित किया। यह कानून भारत में डिजिटल व्यक्तिगत डेटा की सुरक्षा के लिए एक संपूर्ण ढाँचा तैयार करता है। यह स्पष्ट करता है कि संगठनों को ऐसा डेटा एकत्र या उपयोग करते समय क्या करना चाहिए। यह अधिनियम एसएआरएएल दृष्टिकोण का अनुसरण करता है। इसका अर्थ है कि यह सरल, सुलभ, तर्कसंगत और कार्यान्वयन योग्य है। इसके पाठ में सरल भाषा और स्पष्ट चित्रों का उपयोग किया गया है ताकि लोग और व्यवसाय बिना किसी कठिनाई के नियमों को समझ सकें।
| डीपीडीपी अधिनियम, 2023 के अंतर्गत प्रमुख शब्द |
|
यह कानून सात मूल सिद्धांतों पर आधारित है। इनमें सहमति और पारदर्शिता, उद्देश्य सीमा, डेटा न्यूनीकरण, सटीकता, भंडारण सीमा, सुरक्षा उपाय और जवाबदेही शामिल हैं। ये सिद्धांत डेटा प्रोसेसिंग के हर चरण का मार्गदर्शन करते हैं। ये सिद्धांत यह भी सुनिश्चित करते हैं कि व्यक्तिगत डेटा का उपयोग केवल वैध और विशिष्ट उद्देश्यों के लिए ही किया जाए।
इस अधिनियम की एक प्रमुख विशेषता भारतीय डेटा संरक्षण बोर्ड का गठन है । यह बोर्ड एक स्वतंत्र निकाय के रूप में कार्य करता है जो अनुपालन की निगरानी करता है, उल्लंघनों की जाँच करता है और यह सुनिश्चित करता है कि सुधारात्मक उपाय किए जाएँ। यह अधिनियम के तहत प्रदत्त अधिकारों को लागू करने और व्यवस्था में विश्वास बनाए रखने में महत्वपूर्ण भूमिका निभाता है।
| डीपीडीपी अधिनियम, 2023 के तहत जुर्माना |
| डीपीडीपी अधिनियम, डेटा फ़िड्युसरी द्वारा अनुपालन न करने पर भारी वित्तीय जुर्माना लगाता है। उचित सुरक्षा उपाय न बनाए रखने पर डेटा फ़िड्युसरी द्वारा अधिकतम ₹ 250 करोड़ रुपए तक का जुर्माना लगाया जा सकता है। व्यक्तिगत डेटा उल्लंघन के बारे में बोर्ड या प्रभावित व्यक्तियों को सूचित न करने और बच्चों से संबंधित दायित्वों के उल्लंघन पर, प्रत्येक पर 200 करोड़ रुपए तक का जुर्माना लगाया जा सकता है । डेटा फ़िड्युसरी द्वारा अधिनियम या नियमों का कोई अन्य उल्लंघन करने पर 50 करोड़ रुपए तक का जुर्माना लगाया जा सकता है। |
यह अधिनियम डेटा फ़िड्यूशरीज़ पर व्यक्तिगत डेटा को सुरक्षित रखने और उसके उपयोग के लिए जवाबदेह बने रहने की स्पष्ट ज़िम्मेदारियाँ डालता है। यह डेटा प्रिंसिपल्स को यह जानने का अधिकार भी देता है कि उनके डेटा का प्रबंधन कैसे किया जाता है और ज़रूरत पड़ने पर सुधार या हटाने का अधिकार भी देता है।
अधिनियम और नियम मिलकर एक मज़बूत और संतुलित व्यवस्था का निर्माण करते हैं। ये गोपनीयता को सशक्त करते हैं, जनता का विश्वास बढ़ाते हैं और ज़िम्मेदार नवाचार को बढ़ावा देते हैं। ये भारत की डिजिटल अर्थव्यवस्था को सुरक्षित और वैश्विक रूप से प्रतिस्पर्धी तरीके से विकसित होने में भी मदद करते हैं।
डिजिटल व्यक्तिगत डेटा संरक्षण नियम, 2025 का अवलोकन
डिजिटल व्यक्तिगत डेटा संरक्षण नियम, 2025, डीपीडीपी अधिनियम, 2023 को पूर्ण रूप से प्रभावी बनाते हैं। ये नियम तेज़ी से बढ़ते डिजिटल परिवेश में व्यक्तिगत डेटा की सुरक्षा के लिए एक स्पष्ट और व्यावहारिक प्रणाली का निर्माण करते हैं। ये नियम नागरिकों के अधिकारों और संगठनों द्वारा ज़िम्मेदारी से डेटा उपयोग पर केंद्रित हैं। इन नियमों का उद्देश्य डेटा के अनधिकृत व्यावसायिक उपयोग पर अंकुश लगाना, डिजिटल नुकसान को कम करना और नवाचार के लिए एक सुरक्षित वातावरण बनाना है। ये नियम भारत को एक मज़बूत और विश्वसनीय डिजिटल अर्थव्यवस्था बनाए रखने में भी मदद करेंगे।
इस दृष्टिकोण को आगे बढ़ाते हुए, नियमों में कई मुख्य प्रावधानों की रूपरेखा दी गई है:
चरणबद्ध और व्यावहारिक कार्यान्वयन
नियमों में चरणबद्ध अनुपालन के लिए अठारह महीने की अवधि निर्धारित की गई है। इससे संगठनों को अपनी पद्धतियों को समायोजित करने और ज़िम्मेदार डेटा पद्धतियों को अपनाने के लिए पर्याप्त समय मिल जाता है। प्रत्येक डेटा फ़िड्यूशरी को एक अलग सहमति नोटिस जारी करना होगा जो स्पष्ट और समझने में आसान हो। नोटिस में उस विशिष्ट उद्देश्य का उल्लेख होना चाहिए जिसके लिए व्यक्तिगत डेटा एकत्र और उपयोग किया जा रहा है। सहमति प्रबंधक, जो लोगों को उनकी अनुमतियों का प्रबंधन करने में मदद करते हैं, भारत स्थित कंपनियाँ होनी चाहिए।
व्यक्तिगत डेटा उल्लंघन अधिसूचना के लिए स्पष्ट प्रोटोकॉल
नियमों में व्यक्तिगत डेटा उल्लंघनों की रिपोर्ट करने की एक सरल और समयबद्ध प्रक्रिया निर्धारित की गई है। इसका उल्लंघन होने पर डेटा फ़िड्यूशरी को बिना किसी देरी के सभी प्रभावित व्यक्तियों को सूचित करना होगा। संदेश स्पष्ट भाषा में होना चाहिए और इसमें यह स्पष्ट करना होगा कि क्या हुआ, संभावित प्रभाव क्या होगा और समस्या के समाधान के लिए क्या कदम उठाए गए। इसमें सहायता के लिए संपर्क विवरण भी शामिल होना चाहिए।
पारदर्शिता और जवाबदेही के उपाय
नियमों के अनुसार, प्रत्येक डेटा फ़िड्यूशियरी को व्यक्तिगत डेटा से संबंधित प्रश्नों के लिए स्पष्ट संपर्क जानकारी प्रदर्शित करनी होगी। यह संपर्क किसी नामित अधिकारी या डेटा सुरक्षा अधिकारी का हो सकता है। महत्वपूर्ण डेटा फ़िड्यूशियरी के कर्तव्यों में और भी अधिक कठोरता होगी। उन्हें स्वतंत्र ऑडिट और प्रभाव आकलन करना होगा। नई या संवेदनशील तकनीकों का उपयोग करते समय उन्हें कड़ी जाँच का भी पालन करना होगा। कुछ मामलों में, उन्हें डेटा की प्रतिबंधित श्रेणियों पर सरकारी निर्देशों का पालन करना होगा, जिसमें आवश्यकतानुसार स्थानीय भंडारण भी शामिल है।
डेटा प्रिंसिपलों के अधिकारों को मजबूत करना
ये नियम अधिनियम के अंतर्गत पहले से ही प्रदत्त अधिकारों को और सुदृढ़ करते हैं। व्यक्ति अपने व्यक्तिगत डेटा तक पहुँच का अनुरोध कर सकते हैं या उसमें सुधार और अद्यतन की माँग कर सकते हैं। वे कुछ स्थितियों में डेटा हटाने का भी अनुरोध कर सकते हैं। वे अपनी ओर से इन अधिकारों का प्रयोग करने के लिए किसी अन्य व्यक्ति को चुन सकते हैं। डेटा फ़िड्यूशरीज़ को ऐसे अनुरोधों का नब्बे दिनों के भीतर जवाब देना होगा।
डिजिटल–फर्स्ट डेटा प्रोटेक्शन बोर्ड
ये नियम एक पूर्णतः डिजिटल भारतीय डेटा संरक्षण बोर्ड की स्थापना करते हैं, जिसमें चार सदस्य होंगे। नागरिक एक समर्पित पोर्टल और मोबाइल एप्लिकेशन के माध्यम से ऑनलाइन शिकायतें दर्ज कर सकेंगे और अपने मामलों पर नज़र रख सकेंगे। यह डिजिटल प्रणाली त्वरित निर्णय लेने में सहायक है और शिकायत निवारण को सरल बनाती है। बोर्ड के निर्णयों के विरुद्ध अपील की सुनवाई अपीलीय न्यायाधिकरण, टीडीएसएटी द्वारा की जाएगी।
डीपीडीपी नियम व्यक्तियों को कैसे सशक्त बनाते हैं
डीपीडीपी व्यक्ति को भारत की डेटा सुरक्षा प्रणाली के केंद्र में रखता है। इसका उद्देश्य प्रत्येक नागरिक को व्यक्तिगत डेटा पर स्पष्ट नियंत्रण और यह विश्वास दिलाना है कि उसका सावधानीपूर्वक प्रबंधन किया जा रहा है। नियम सरल भाषा में लिखे गए हैं ताकि लोग बिना किसी कठिनाई के अपने अधिकारों को समझ सकें। ये नियम यह भी सुनिश्चित करते हैं कि संगठन ज़िम्मेदारी से काम करें और व्यक्तिगत डेटा के उपयोग के प्रति जवाबदेह रहें।
नागरिकों के अधिकारों और सुरक्षा में शामिल हैं:
सहमति देने या अस्वीकार करने का अधिकार
प्रत्येक व्यक्ति के पास अपने व्यक्तिगत डेटा के उपयोग की अनुमति देने या अस्वीकार करने का विकल्प होता है। सहमति स्पष्ट, सूचित और समझने में आसान होनी चाहिए। व्यक्ति किसी भी समय अपनी सहमति वापस ले सकता है।
डेटा का उपयोग कैसे किया जाता है, यह जानने का अधिकार
नागरिक यह जानकारी मांग सकते हैं कि कौन सा व्यक्तिगत डेटा एकत्र किया गया है, इसे क्यों एकत्र किया गया है और इसका उपयोग कैसे किया जा रहा है। संगठनों को यह जानकारी एक सरल प्रारूप में प्रदान करनी होगी।
व्यक्तिगत डेटा तक पहुँच का अधिकार
व्यक्ति अपने व्यक्तिगत डेटा की एक प्रति मांग सकते हैं जो डेटा फिड्युसरी के पास मौजूद है।
व्यक्तिगत डेटा को सही करने का अधिकार
लोग गलत या अपूर्ण व्यक्तिगत डेटा में सुधार का अनुरोध कर सकते हैं।
व्यक्तिगत डेटा अपडेट करने का अधिकार
जब नागरिकों के विवरण में परिवर्तन हो जाए, जैसे कि नया पता या अद्यतन संपर्क नंबर, तो वे उसमें परिवर्तन के लिए अनुरोध कर सकते हैं।
व्यक्तिगत डेटा मिटाने का अधिकार
कुछ परिस्थितियों में व्यक्ति व्यक्तिगत डेटा हटाने का अनुरोध कर सकते हैं। डेटा फ़िड्यूशियरी को इस अनुरोध पर निर्धारित समय के भीतर विचार करके कार्रवाई करनी होगी।
किसी अन्य व्यक्ति को नामांकित करने का अधिकार
प्रत्येक व्यक्ति अपनी ओर से अपने डेटा अधिकारों का प्रयोग करने के लिए किसी को नियुक्त कर सकता है। यह बीमारी या अन्य बाधाओं के मामले में मददगार होता है।
नब्बे दिनों के भीतर अनिवार्य प्रतिक्रिया
डेटा फिड्युशरीज़ को अधिकतम नब्बे दिनों के भीतर पहुंच, सुधार, अद्यतन या विलोपन से संबंधित सभी अनुरोधों का समाधान करना आवश्यक है, ताकि समय पर कार्रवाई और जवाबदेही सुनिश्चित हो सके।
व्यक्तिगत डेटा उल्लंघन के दौरान सुरक्षा
यदि कोई उल्लंघन होता है, तो नागरिकों को जल्द से जल्द सूचित किया जाना चाहिए। संदेश में यह स्पष्ट रूप से बताया जाना चाहिए कि क्या हुआ और वे क्या कदम उठा सकते हैं। इससे लोगों को नुकसान कम करने के लिए तुरंत कार्रवाई करने में मदद मिलेगी।
प्रश्नों और शिकायतों के लिए स्पष्ट संपर्क
डेटा फ़िड्यूशरीज़ को व्यक्तिगत डेटा से संबंधित प्रश्नों के लिए एक संपर्क केंद्र प्रदान करना होगा। यह एक नामित अधिकारी या डेटा सुरक्षा अधिकारी हो सकता है।
बच्चों के लिए विशेष सुरक्षा
जब किसी बच्चे का व्यक्तिगत डेटा शामिल हो तो माता-पिता या अभिभावक की सत्यापन योग्य सहमति आवश्यक है। यह सहमति तब तक आवश्यक है जब तक कि प्रसंस्करण स्वास्थ्य सेवा, शिक्षा या वास्तविक समय सुरक्षा जैसी आवश्यक सेवाओं से संबंधित न हो।
दिव्यांग व्यक्तियों के लिए विशेष सुरक्षा
यदि कोई दिव्यांग सहायता मिलने पर भी कानूनी निर्णय लेने में असमर्थ है, तो उसके वैध अभिभावक की सहमति आवश्यक है। इस अभिभावक का संबंधित कानूनों के तहत सत्यापन होना आवश्यक है।
डीपीडीपी आरटीआई अधिनियम के साथ कैसे संरेखित है
चूंकि डीपीडीपी अधिनियम और डीपीडीपी नियम नागरिकों के गोपनीयता अधिकारों का विस्तार करते हैं, इसलिए वे यह भी स्पष्ट करते हैं कि ये अधिकार सूचना के अधिकार (आरटीआई) अधिनियम द्वारा गारंटीकृत सूचना तक पहुंच के साथ कैसे काम करते हैं।
डीपीडीपी अधिनियम के माध्यम से किए गए ये बदलाव आरटीआई अधिनियम की धारा 8(1)(जे) को इस तरह संशोधित करते हैं कि दोनों अधिकारों का सम्मान किया जाए, बिना किसी एक को कम किए। यह संशोधन पुट्टस्वामी निर्णय में सर्वोच्च न्यायालय द्वारा निजता को मौलिक अधिकार के रूप में स्वीकार किए जाने को दर्शाता है। यह कानून को उन अदालतों द्वारा पहले से अपनाए गए तर्कों के अनुरूप लाता है, जिन्होंने व्यक्तिगत जानकारी की सुरक्षा के लिए लंबे समय से उचित प्रतिबंध लगाए हैं। इस दृष्टिकोण को संहिताबद्ध करके, यह संशोधन अनिश्चितता को रोकता है और आरटीआई अधिनियम की पारदर्शिता व्यवस्था और डीपीडीपी ढांचे के तहत शुरू किए गए निजता सुरक्षा उपायों के बीच किसी भी टकराव को रोकता है।
संशोधन व्यक्तिगत जानकारी के दिखाने पर रोक नहीं लगाता। इसमें केवल यह आवश्यक है कि ऐसी जानकारी का सावधानीपूर्वक मूल्यांकन किया जाए और गोपनीयता के हितों को ध्यान में रखते हुए ही साझा किया जाए। साथ ही सूचना का अधिकार अधिनियम की धारा 8(2) पूरी तरह से प्रभावी रहेगी। यह प्रावधान किसी सार्वजनिक प्राधिकरण को सूचना जारी करने की अनुमति देता है जब इसको दिखाने में जनहित किसी भी संभावित नुकसान से अधिक प्रबल हो। यह सुनिश्चित करता है कि सूचना का अधिकार अधिनियम का सार, जिसका उद्देश्य सार्वजनिक जीवन में खुलेपन और जवाबदेही को बढ़ावा देना है, निर्णय लेने में मार्गदर्शन करता रहे।
निष्कर्ष
डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम और डीपीडीपी नियम देश के लिए एक विश्वसनीय और भविष्य के लिए तैयार डिजिटल वातावरण के निर्माण की दिशा में एक महत्वपूर्ण कदम हैं। ये नियम व्यक्तिगत डेटा के प्रबंधन के तरीके को स्पष्ट करते हैं, व्यक्तियों के अधिकारों को मज़बूत करते हैं और संगठनों के लिए दृढ़ ज़िम्मेदारियाँ निर्धारित करते हैं। यह ढाँचा व्यावहारिक है और व्यापक जन परामर्श द्वारा समर्थित है, जो इसे समावेशी और वास्तविक आवश्यकताओं के प्रति उत्तरदायी बनाता है। यह भारत की डिजिटल अर्थव्यवस्था के विकास में सहायक है और यह सुनिश्चित करता है कि गोपनीयता इसकी प्रगति का केंद्रबिंदु बनी रहे। इन उपायों के साथ, भारत एक सुरक्षित, अधिक पारदर्शी और नवाचार-अनुकूल डेटा पारिस्थितिकी तंत्र की ओर बढ़ रहा है जो नागरिकों की सेवा करता है और डिजिटल शासन में जनता के विश्वास को मज़बूत करता है।