Lok Sabha में पारित हुआ Digital Personal Data Protection Bill 2023, जानें इस विधेयक के अहम बिंदु

लोक सभा में विपक्ष के वॉक-आउट के बीच Digital Personal Data Protection Bill 2023 पारित किया गया है। इस विधेयक को लेकर क्या चिंताएं उठाई गई हैं, इसे कैसे पारित किया गया है और इसके प्रमुख प्रावधान क्या हैं, आइए जानते हैं...

नई दिल्ली: लोकसभा ने सोमवार को डिजिटल वैयक्तिक डेटा प्रोटेक्शन बिल, 2023 (Digital Personal Data Protection Bill, 2023) को पारित कर दिया। इस विधेयक को आईटी और इलेक्ट्रॉनिक्स मंत्री (Union Minister for Electronics and Information Technology) अश्विनी वैष्णव (Ashwini Vaishnaw) ने संचालित किया और कहा कि इसमें जनता के डेटा की सुरक्षा सुनिश्चित करने के सभी प्रावधान हैं।

IANS के अनुसार, मंत्री ने यह भी कहा कि इसे सरल भाषा में तैयार किया गया है, यह लैंगिक रूप से संवेदनशील है और वैधता के सिद्धांतों पर आधारित है। वैष्णव ने आगे कहा कि बिल डेटा को कम करना, डेटा की सटीकता और डेटा भंडारण पर समय सीमा भी सुनिश्चित करता है।

लोक सभा में पेश किये गए डिजिटल वैयक्तिक डेटा प्रोटेक्शन बिल, 2023 का उद्देश्य क्या है और इस विधेयक के मुख्य प्रावधान क्या हैं, आइए इसके बारे में विस्तार से जानते हैं.

Digital Personal Data Protection Bill 2023

डिजिटल वैयक्तिक डेटा प्रोटेक्शन बिल, 2023 का उद्देश्य प्रासंगिक उद्देश्यों के लिए डेटा को कानूनी रूप से संसाधित करने की आवश्यकता के साथ अपने डेटा को सुरक्षित रखने के व्यक्तियों के अधिकार को संतुलित करके डिजिटल व्यक्तिगत डेटा का प्रबंधन करना है।

यह विधेयक देश के अंतर्गत उस डिजिटल पर्सनल डेटा के प्रसंस्करण पर लागू होगा जहां ऐसा डेटा ऑनलाइन या ऑफलाइन एकत्र किया जाता है और फिर डिजिटलीकृत किया जाता है; यह भारत के बाहर ऐसे प्रसंस्करण पर भी लागू होगा, यदि यह भारत में वस्तुओं या सेवाओं की पेशकश के लिए है। विधेयक के प्रावधानों का अनुपालन न करने पर निर्णय लेने के लिए केंद्र सरकार भारतीय डेटा संरक्षण बोर्ड की स्थापना करेगी।

डेटा प्रोटेक्शन बिल के अहम बिंदु

डिजिटल वैयक्तिक डेटा प्रोटेक्शन बिल, 2023 के प्रमुख प्रावधान या अहम बिंदु क्या हैं, आइए इस बारे में जानते हैं.

• प्रयोज्यता (Applicability): इस विधेयक के तहत भारत के अंतर्गत उस डिजिटल पर्सनल डेटा का प्रसंस्करण किया जाएगा जिसे ऑनलाइन या ऑफलाइन कलेक्ट किया गया है और फिर उसे डिजिटाइज किया जाएगा; यह उस डेटा के संस्करण पर भी लागू किया जाएगा जो भारत में वस्तुओं या सेवाओं की पेशकश के लिए हो।

व्यक्तिगत डेटा को किसी व्यक्ति के बारे में किसी भी डेटा के रूप में परिभाषित किया जाता है जो ऐसे डेटा के आधार पर या उसके संबंध में पहचाना जा सकता है। प्रसंस्करण को डिजिटल व्यक्तिगत डेटा पर किए गए पूर्ण या आंशिक रूप से स्वचालित संचालन या संचालन के सेट के रूप में परिभाषित किया गया है। इसमें संग्रह, भंडारण, उपयोग और साझाकरण शामिल है।

• अनुमति (Consent): व्यक्तिगत डेटा को सिर्फ तब संसाधित किया जा सकता है जब उद्देश्य वैध हो और उस व्यक्ति की अनुमति भी जरूरी है; कन्सेंट मांगने से पहले एक नोटिस भी जारी किया जाना चाहिए। नोटिस में उस पर्सनल डेटा की डिटेल्स होनी चाहिए जिसे कलेक्ट किया जाना है और यह भी बताना है कि संस्करण का उद्देश्य क्या है; किसी भी समय पर अनुमति वापस ली जा सकती है।

जिन 'वैध उपयोगों' के लिए अनुमति की आवश्यकता नहीं होगी वो हैं (1) निर्दिष्ट उद्देश्य जिसके लिए डेटा किसी व्यक्ति द्वारा स्वेच्छा से प्रदान किया गया है, (2) सरकार द्वारा किसी फायदे या सर्विस का प्रावधान, (3) आपात चिकित्सा और (4) रोजगार शामिल हैं। 18 वर्ष से कम की उम्र वाले लोगों से अनुमति उनक अभिभावक या माता-पिता द्वारा ली जाएगी।

• डेटा प्रिंसिपल के अधिकार और कर्तव्य (Rights and Duties of Data Principal): डेटा प्रिंसिपल यानी वो व्यक्ति जिनका डेटा प्रोसेस किया जा रहा है, उनके पास यह अधिकार हैं- (1) प्रोसेसिंग से जुड़ी जानकारी पाना, (2) व्यक्तिगत डेटा में सुधार और उसे मिटाने की मांग करना, (3) मृत्यु या अक्षमता की स्थिति में अधिकारों का प्रयोग करने के लिए किसी अन्य व्यक्ति को नामांकित करें और (4) शिकायत निवारण।

डेटा प्रिंसिपल्स के कुछ कर्तव्य भी हैं- (1) उन्हें कभी कोई गलत या तुच्छ शिकायत रजिस्टर नहीं करनी है और (2) निर्दिष्ट मामलों में कोई गलत विवरण प्रस्तुत करना या किसी अन्य व्यक्ति का प्रतिरूपण नहीं करना है। इन कर्तव्यों का उल्लंघन करने पर दस हजार रुपये तक का जुर्माना भरना पड़ सकता है।

• डेटा प्रत्ययी के दायित्व (Obligations of data fiduciaries): प्रसंस्करण के उद्देश्य और साधन का निर्धारण करने वाली इकाई (डेटा प्रत्ययी) को: (1) डेटा की सटीकता और पूर्णता सुनिश्चित करने के लिए उचित प्रयास करना चाहिए, (2) डेटा उल्लंघन को रोकने के लिए उचित सुरक्षा सुरक्षा उपाय बनाना चाहिए, (3) सूचित करना चाहिए उल्लंघन की स्थिति में भारतीय डेटा संरक्षण बोर्ड और प्रभावित व्यक्ति और (4) उद्देश्य पूरा होते ही व्यक्तिगत डेटा मिटा दें और कानूनी उद्देश्यों के लिए प्रतिधारण आवश्यक नहीं है। सरकारी संस्थाओं के मामले में, भंडारण सीमा और डेटा प्रिंसिपल का मिटाने का अधिकार लागू नहीं होगा।
• देश के बाहर पर्सनल डेटा का ट्रांसफर (Transfer of Personal Data outside India): इस विधेयक से व्यक्तिगत डेटा को देश के बाहर ट्रांसफर करने की अनुमति मिलती है, यह डेटा उन देशों में नहीं भेजा जा सकता है जिन्हें केंद्र सरकार ने अधिसूचना द्वारा वर्जित किया हो।
• अपवाद (Exemptions): डेटा प्रिंसिपल्स और डेटा सिक्योरिटी के अलावा डेटा प्रत्ययी के अधिकार कुछ खास मामलों में नहीं लागू होंगे। इनमें (1) अपराधों का निवारण और जांच और (2) न्यायिक अधिकारों और दावों का प्रवर्तन शामिल है। एक अधिसूचना के जरिए केंद्र सरकार कुछ गतिविधियों को इस विधेयक के लागू होने से छूट दे सकती है, इसमें (1) राज्य की सुरक्षा और सार्वजनिक व्यवस्था के हित में सरकारी संस्थाओं द्वारा प्रसंस्करण और (2) अनुसंधान, संग्रह, या सांख्यिकीय उद्देश्य शामिल हैं।
• भारतीय डेटा संरक्षण बोर्ड (Data Protection Board of India): केंद्र सरकार एक भारतीय डेटा संरक्षण बोर्ड को स्थापिर करेगी जिसके प्रमुख कार्य होंगे- (1) अनुपालन की निगरानी और जुर्माना लगाना, (2) डेटा ब्रीच की घटना में डेटा इकाइयों को जरूरी कार्रवाई करने का निर्देश देना और (3) प्रभावित लोगों की परेशानी को सुनना। बोर्ड के सदस्यों को दो साल के लिए नियुक्त किया जाएगा और उन्हें री-अपॉइन्ट किया जा सकेगा। केंद्र सरकार तय करेगी कि बोर्ड में कितने सदस्य होंगे और इनके चयन की प्रक्रिया क्या होगी। बोर्ड के फैसलों के खिलाफ दायर याचिकाओं पर फैसला TDSAT द्वारा लिया जाएगा।
• दंड (Penalties): विधेयक की अनुसूची में अलग-अलग अपराधों के लिए विशेष दंड का प्रावधान है- (1) बच्चों के दायित्वों को पूरा न करने पर 200 करोड़ रुपये का दंड और (2) डेटा ब्रीच को रोकने के लिए सुरक्षा उपाय करने में विफलता के लिए 250 करोड़ रुपये जुर्माना है। यह दंड बोर्ड द्वारा तब लगाए जाएंगे जब पूछताछ हो जाएगी।