शासन व्यवस्था
डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) नियम, 2025
- 18 Nov 2025
- 101 min read
प्रिलिम्स के लिये: दूरसंचार विवाद निपटान और अपीलीय न्यायाधिकरण, डेटा संरक्षण बोर्ड, निजता का मौलिक अधिकार, सूचना का अधिकार (RTI) अधिनियम, 2005
मेन्स के लिये: DPDP अधिनियम, 2023 और DPDP नियम, 2025, गोपनीयता और पारदर्शिता में संतुलन, भारत में डेटा प्रिंसिपलों के अधिकार
चर्चा में क्यों?
भारत ने डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) नियम, 2025 अधिसूचित किये हैं। इससे डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) अधिनियम, 2023 का पूर्ण रूप से क्रियान्वयन हो गया है।
- अधिनियम और नियम मिलकर डिजिटल व्यक्तिगत डेटा के ज़िम्मेदारपूर्ण उपयोग के लिये एक स्पष्ट तथा नागरिक-केंद्रित ढाँचा तैयार करते हैं।
डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) नियम, 2025 क्या हैं?
- परिचय: DPDP नियम, 2025 व्यक्तिगत डेटा संरक्षण के लिये एक स्पष्ट और व्यावहारिक प्रणाली बनाकर DPDP अधिनियम को क्रियान्वित करते हैं।
- ये नियम नागरिकों के अधिकारों को सशक्त बनाते हैं, संगठनों द्वारा डेटा के ज़िम्मेदार उपयोग को सुनिश्चित करते हैं और डेटा के अनधिकृत उपयोग पर रोक लगाते हैं।
- नियम डिजिटल हानि को कम करते हैं, नवाचार को समर्थन देते हैं और भारत के लिये एक सुरक्षित, विश्वसनीय डिजिटल अर्थव्यवस्था बनाने में सहायता करते हैं।
- DPDP ढाँचा डेटा संरक्षण के केंद्र में नागरिकों को रखता है, जिससे उन्हें यह स्पष्ट नियंत्रण मिलता है कि उनका व्यक्तिगत डेटा कैसे उपयोग किया जाएगा।
मुख्य प्रावधान
- चरणबद्ध और व्यावहारिक कार्यान्वयन: नियम 18 महीने की अनुपालन अवधि प्रदान करते हैं, जिससे संगठनों को अपनी प्रणालियाँ अपडेट करने और ज़िम्मेदारपूर्ण प्रथाएँ अपनाने का समय मिलता है।
- डेटा फिड्यूशियरी को सरल, उद्देश्य-विशिष्ट सहमति नोटिस जारी करना होगा तथा सभी सहमति प्रबंधक भारत-आधारित कंपनियाँ होनी चाहिये।
- व्यक्तिगत डेटा उल्लंघन अधिसूचना: डेटा उल्लंघनों की सूचना प्रभावित व्यक्तियों को बिना किसी देरी के दी जानी चाहिये तथा इसमें सरल भाषा का प्रयोग किया जाना चाहिये, जिसमें घटना, संभावित प्रभाव और उठाए गए कदमों के बारे में बताया जाना चाहिये, साथ ही सहायता के लिये स्पष्ट संपर्क विवरण भी दिया जाना चाहिये।
- पारदर्शिता और जवाबदेही: डेटा फिड्यूशियरी को डेटा-संबंधित प्रश्नों के लिये स्पष्ट संपर्क जानकारी प्रदर्शित करनी होगी।
- महत्त्वपूर्ण डेटा फिड्यूशियरी को स्वतंत्र ऑडिट, प्रभाव आकलन करना होगा और प्रतिबंधित या स्थानीय रूप से संग्रहीत डेटा पर सरकारी दिशानिर्देशों सहित कड़े नियमों का पालन करना होगा।
- डिजिटल-फर्स्ट डेटा प्रोटेक्शन बोर्ड: नियम चार सदस्यों वाले पूरी तरह डिजिटल डेटा संरक्षण बोर्ड की स्थापना करते हैं, जिससे नागरिक पोर्टल और ऐप के माध्यम से ऑनलाइन शिकायत दर्ज तथा ट्रैक कर सकेंगे।
- बोर्ड के निर्णयों के खिलाफ अपील अपील ट्रिब्यूनल (TDSAT) में सुनी जाएगी।
- डेटा प्रिंसिपल के अधिकारों को मज़बूत करना: व्यक्ति अपने व्यक्तिगत डेटा को एक्सेस कर सकते हैं, उसमें सुधार कर सकते हैं, अपडेट कर सकते हैं या हटाने का अनुरोध कर सकते हैं और अपने स्थान पर कार्य करने के लिये किसी नामित व्यक्ति को अधिकार दे सकते हैं। ऐसी सभी अनुरोधों को 90 दिनों के भीतर निपटाना अनिवार्य है।
डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) अधिनियम, 2023 क्या है?
- परिचय: DPDP अधिनियम, जिसे अगस्त 2023 में पारित किया गया था, भारत में डिजिटल व्यक्तिगत डेटा की सुरक्षा के लिये एक व्यापक ढाँचा निर्धारित करता है।
- यह उन संगठनों के दायित्वों को स्पष्ट करता है जो व्यक्तिगत डेटा का प्रबंधन करते हैं और SARAL (सरल, सुलभ, तर्कसंगत एवं कार्यान्वयन) दृष्टिकोण का पालन करता है, ताकि नियम सरल, स्पष्ट तथा पालन करने में आसान बने रहे।
- DPDP ढाँचा सूचना का अधिकार (RTI) अधिनियम, 2005 के साथ भी सामंजस्य स्थापित करता है, जिससे गोपनीयता अधिकार और जन-सूचना के अधिकार के बीच संतुलन बना रहता है।
- मुख्य सिद्धांत: यह कानून सात मूलभूत सिद्धांतों पर आधारित है। इनमें सहमति और पारदर्शिता, उद्देश्य सीमा, डेटा न्यूनीकरण, सटीकता, भंडारण सीमा, सुरक्षा उपाय तथा जवाबदेही शामिल हैं।
- ये सिद्धांत डेटा प्रोसेसिंग के प्रत्येक चरण का मार्गदर्शन करते हैं तथा सुनिश्चित करते हैं कि व्यक्तिगत डेटा का उपयोग केवल वैध और विशिष्ट उद्देश्यों के लिये ही किया जाए।
- भारत का डेटा संरक्षण बोर्ड: अधिनियम अनुपालन की निगरानी, उल्लंघनों की जाँच और सुधारात्मक उपाय सुनिश्चित करने के लिये एक स्वतंत्र निकाय के रूप में डेटा प्रोटेक्शन बोर्ड की स्थापना करता है।
- यह व्यक्तिगत अधिकारों की रक्षा करने और भारत के डिजिटल वातावरण में विश्वास बढ़ाने में सहायता करता है।
- DPDP अधिनियम, 2023 के अंतर्गत प्रमुख शब्द
- डेटा फिड्यूशियरी: एक इकाई जो यह निर्णय लेती है कि व्यक्तिगत डेटा का प्रसंस्करण क्यों और कैसे किया जाए, अकेले या दूसरों के साथ मिलकर।
- डेटा प्रिंसिपल: वह व्यक्ति जिससे व्यक्तिगत डेटा संबंधित है।
- बच्चे के मामले में इसमें माता-पिता या वैध अभिभावक शामिल हैं।
- किसी दिव्यांग व्यक्ति के लिये जो स्वतंत्र रूप से कार्य नहीं कर सकता, इसमें उसकी ओर से कार्य करने वाला वैध अभिभावक भी शामिल है।
- डेटा प्रोसेसर: कोई भी इकाई जो डेटा फिड्युसरी की ओर से व्यक्तिगत डेटा को संसाधित करती है।
- सहमति प्रबंधक: एक इकाई जो एकल, पारदर्शी और अंतर-संचालनीय मंच प्रदान करती है जिसके माध्यम से डेटा प्रिंसिपल सहमति दे सकता है, उसका प्रबंधन कर सकता है, समीक्षा कर सकता है या उसे वापस ले सकता है।
- अपीलीय न्यायाधिकरण: दूरसंचार विवाद निपटान और अपीलीय न्यायाधिकरण (TDSAT), जो डेटा संरक्षण बोर्ड के निर्णयों के विरुद्ध अपीलों की सुनवाई करता है।
- DPDP अधिनियम, 2023 के तहत जुर्माना: यह अधिनियम डेटा फिड्यूशियरी पर कड़े दंड लगाता है, जिनमें सुरक्षा उपायों को बनाए रखने में विफल रहने पर 250 करोड़ रुपए तक का जुर्माना शामिल है।
- डेटा उल्लंघन की रिपोर्ट न करने या बच्चों से संबंधित प्रावधानों का उल्लंघन करने पर 200 करोड़ रुपए तक का जुर्माना लगाया जा सकता है, जबकि अन्य प्रकार के उल्लंघनों के लिये 50 करोड़ रुपए तक का जुर्माना लगाया जा सकता है।
- महत्त्व: DPDP गोपनीयता अधिकारों को बढ़ाता है, लेकिन साथ ही RTI अधिनियम को पहले की तरह कार्य करते रहने देता है। यह सुनिश्चित करता है कि गोपनीयता और सूचना तक पहुँच दोनों साथ-साथ सुचारू रूप से कार्य कर सकें।
- DPDP अधिनियम के माध्यम से RTI अधिनियम की धारा 8(1)(j) में संशोधन, निजता के मौलिक अधिकार को संतुलित करता है, जैसा कि न्यायमूर्ति के.एस. पुट्टस्वामी बनाम भारत संघ (2017) में सर्वोच्च न्यायालय द्वारा पुष्टि की गई थी।
- यह संशोधन उचित प्रतिबंधों पर स्थापित न्यायिक तर्क के अनुरूप है, मौजूदा न्यायिक व्याख्या को विधिक रूप देता है और कानूनों के बीच उत्पन्न होने वाली संभावित असंगतियों को रोकने में सहायता करता है।
- हालाँकि, RTI अधिनियम की धारा 8(2) अभी भी सूचना के प्रकटीकरण की अनुमति देती है, जब जनहित गोपनीयता-हानि से अधिक महत्त्वपूर्ण हो। यह प्रावधान RTI के मूल लक्ष्य सार्वजनिक जीवन में पारदर्शिता और जवाबदेही को सुरक्षित तथा प्रभावी बनाए रखता है।
- DPDP अधिनियम के माध्यम से RTI अधिनियम की धारा 8(1)(j) में संशोधन, निजता के मौलिक अधिकार को संतुलित करता है, जैसा कि न्यायमूर्ति के.एस. पुट्टस्वामी बनाम भारत संघ (2017) में सर्वोच्च न्यायालय द्वारा पुष्टि की गई थी।
- संशोधन कानूनी अनिश्चितता को दूर करता है और गोपनीयता संरक्षण तथा सूचना तक पहुँच के बीच असंगतियों को रोकता है। यह RTI अधिनियम के मूल स्वरूप को बनाए रखते हुए DPDP के तहत गोपनीयता को और मज़बूत करता है।
भारत के DPDP फ्रेमवर्क के अंतर्गत नागरिकों के अधिकार और सुरक्षा क्या हैं?
|
अधिकार / संरक्षण |
विवरण |
|
सहमति देने या अस्वीकार करने का अधिकार |
नागरिक अपने व्यक्तिगत डेटा के उपयोग की अनुमति दे सकते हैं या अस्वीकार कर सकते हैं। सहमति स्पष्ट होनी चाहिये और उसे किसी भी समय वापस लिया जा सकता है। |
|
डेटा का उपयोग कैसे किया जाता है, यह जानने का अधिकार |
नागरिक/व्यक्ति यह जानकारी मांग सकते हैं कि कौन सा व्यक्तिगत डेटा एकत्र किया गया है, इसे क्यों एकत्र किया गया है और इसका उपयोग कैसे किया जा रहा है। संगठनों को यह जानकारी एक सरल प्रारूप में प्रदान करनी होगी। |
|
व्यक्तिगत डेटा तक पहुँच का अधिकार |
व्यक्ति अपने व्यक्तिगत डेटा की एक प्रति मांग सकते हैं जो डेटा फिड्युसरी के पास मौजूद है। |
|
व्यक्तिगत डेटा को सही करने का अधिकार |
व्यक्ति गलत या अपूर्ण व्यक्तिगत डेटा में सुधार का अनुरोध कर सकते हैं। |
|
व्यक्तिगत डेटा अपडेट करने का अधिकार |
जब नागरिकों के विवरण में परिवर्तन हो जाए, जैसे कि नया पता या अद्यतन संपर्क नंबर, तो वे उसमें परिवर्तन के लिये अनुरोध कर सकते हैं। |
|
व्यक्तिगत डेटा मिटाने का अधिकार |
कुछ परिस्थितियों में व्यक्ति व्यक्तिगत डेटा हटाने का अनुरोध कर सकते हैं। डेटा फिड्यूशियरी को इस अनुरोध पर निर्धारित समय के भीतर विचार करके कार्रवाई करनी होगी। |
|
किसी अन्य व्यक्ति को नामांकित करने का अधिकार |
प्रत्येक व्यक्ति अपनी ओर से अपने डेटा अधिकारों का प्रयोग करने के लिये किसी को नियुक्त कर सकता है। यह बीमारी या अन्य बाधाओं के मामले में मददगार होता है। |
|
नब्बे दिनों के भीतर अनिवार्य प्रतिक्रिया |
डेटा फिड्युशरीज़ को अधिकतम नब्बे दिनों के भीतर पहुँच, सुधार, अद्यतन या विलोपन से संबंधित सभी अनुरोधों का समाधान करना आवश्यक है, ताकि समय पर कार्रवाई और जवाबदेही सुनिश्चित हो सके। |
|
व्यक्तिगत डेटा उल्लंघन के दौरान सुरक्षा |
यदि कोई उल्लंघन होता है तो नागरिकों को जल्द से जल्द सूचित किया जाना चाहिये। संदेश में यह स्पष्ट रूप से बताया जाना चाहिये कि क्या हुआ और वे क्या कदम उठा सकते हैं। |
|
प्रश्नों और शिकायतों के लिये स्पष्ट संपर्क |
डेटा फिड्यूशरीज़ को व्यक्तिगत डेटा से संबंधित प्रश्नों के लिये एक संपर्क केंद्र प्रदान करना होगा। यह एक नामित अधिकारी या डेटा सुरक्षा अधिकारी हो सकता है। |
|
बच्चों के लिये विशेष सुरक्षा |
जब किसी बच्चे का व्यक्तिगत डेटा शामिल हो तो माता-पिता या अभिभावक की सत्यापन योग्य सहमति आवश्यक है। यह सहमति तब तक आवश्यक है जब तक कि प्रसंस्करण स्वास्थ्य सेवा, शिक्षा या वास्तविक समय सुरक्षा जैसी आवश्यक सेवाओं से संबंधित न हो। |
|
दिव्यांग व्यक्तियों के लिये विशेष सुरक्षा |
प्रासंगिक कानूनों के अनुसार, यदि कोई विकलांग व्यक्ति निर्णय लेने में असमर्थ है तो कानूनी अभिभावक को सहमति देनी होगी। |
निष्कर्ष
DPDP अधिनियम, 2023 और नियम, 2025 व्यक्तिगत डेटा के प्रबंधन, गोपनीयता अधिकारों को मज़बूत करने और संगठनात्मक जवाबदेही लागू करने के लिये एक स्पष्ट, नागरिक-केंद्रित प्रणाली का निर्माण करते हैं। यह ढाँचा एक सुरक्षित, पारदर्शी तथा नवाचार-अनुकूल डिजिटल पारिस्थितिकी तंत्र का समर्थन करता है, जिससे भारत को उपयोगकर्त्ता विश्वास की रक्षा करते हुए अपनी डिजिटल अर्थव्यवस्था को आगे बढ़ाने में मदद मिलती है।
|
दृष्टि मेन्स प्रश्न: प्रश्न. चर्चा कीजिये कि डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) अधिनियम, 2023 और DPDP नियम, 2025 किस प्रकार भारत में सुरक्षित और नवाचार-अनुकूल डिजिटल अर्थव्यवस्था को सक्षम करते हुए नागरिक अधिकारों को मज़बूत करते हैं। |
अक्सर पूछे जाने वाले प्रश्न (FAQs)
1. डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) अधिनियम, 2023 का उद्देश्य क्या है?
यह अधिनियम भारत में डिजिटल व्यक्तिगत डेटा की सुरक्षा के लिये कानूनी ढाँचा स्थापित करता है। यह SARAL (सरल, सुलभ, तर्कसंगत एवं कार्यान्वयन) दृष्टिकोण अपनाता है और ऐसे डेटा को सॅंभालने वाले संगठनों के लिये स्पष्ट दायित्व निर्धारित करता है।
2. DPDP अधिनियम, 2023 के तहत डेटा फिड्यूशरी और डेटा प्रिंसिपल कौन होते हैं?
डेटा फिड्यूशरी वह संस्था होती है जो यह निर्णय लेती है कि व्यक्तिगत डेटा क्यों और कैसे संसाधित किया जाएगा। डेटा प्रिंसिपल वह व्यक्ति होता है जिसका व्यक्तिगत डेटा संबंधित होता है। बच्चों के मामले में इसमें माता-पिता या विधिक अभिभावक शामिल होते हैं तथा दिव्यांग व्यक्तियों के मामले में उनके विधिक अभिभावक, जो उनकी ओर से कार्य करते हैं।
3. भारतीय डेटा संरक्षण बोर्ड के पास क्या अधिकार हैं?
बोर्ड डेटा उल्लंघनों की जाँच करता है, अनुपालन सुनिश्चित करता है, सुधारात्मक कार्रवाई का आदेश दे सकता है और डिजिटल शिकायत निवारण सक्षम बनाता है। बोर्ड के निर्णयों के खिलाफ अपील TDSAT में सुनी जाती है।
4. DPDP और सूचना का अधिकार (RTI) अधिनियम, 2005 साथ-साथ कैसे कार्य करते हैं?
DPDP अधिनियम RTI अधिनियम की धारा 8(1)(j) में संशोधन कर गोपनीयता की सुरक्षा बढ़ाता है, लेकिन धारा 8(2) को यथावत रखता है, जो सार्वजनिक हित गोपनीयता हानि से अधिक होने पर सूचना के प्रकटीकरण की अनुमति देता है। इस प्रकार पारदर्शिता और गोपनीयता दोनों के बीच संतुलन बना रहता है।
UPSC सिविल सेवा परीक्षा, विगत वर्ष के प्रश्न (PYQ)
प्रिलिम्स
प्रश्न. भारत के संविधान के किस अनुच्छेद के अंतर्गत ‘निजता का अधिकार’ संरक्षित है? (2021)
(a) अनुच्छेद-15
(b) अनुच्छेद-19
(c) अनुच्छेद-21
(d) अनुच्छेद-29
उत्तर: (c)
प्रश्न. निजता के अधिकार को जीवन और व्यक्तिगत स्वतंत्रता के अधिकार के आंतरिक भाग के रूप में संरक्षित किया गया है। भारत के संविधान में निम्नलिखित कथनों में से कौन-सा उपर्युक्त वाक्य को सही एवं उचित रूप से लागू करता है? (2018)
(a) अनुच्छेद 14 और संविधान के 42वें संशोधन के तहत प्रावधान।
(b) अनुच्छेद 17 और भाग IV में राज्य नीति के निदेशक सिद्धांत।
(c) अनुच्छेद 21 और भाग III में गारंटीकृत स्वतंत्रता।
(d) अनुच्छेद 24 और संविधान के 44वें संशोधन के तहत प्रावधान।
उत्तर: (c)
मेन्स
प्रश्न. निजता के अधिकार पर सर्वोच्च न्यायालय के नवीनतम निर्णय के आलोक में मौलिक अधिकारों के दायरे की जाँच कीजिये। (2017)
प्रश्न. डिजिटल व्यक्ति डेटा संरक्षण अधिनियम, 2023 के संदर्भ तथा प्रमुख विशेषताओं का वर्णन कीजिये। (2024)
