केंद्र ने डिजिटल व्यक्तिगत डेटा संरक्षण नियम, 2025 को अधिसूचित किया: वे मसौदा नियमों से कितने अलग हैं?

केंद्र सरकार ने डिजिटल व्यक्तिगत डेटा संरक्षण नियम, 2025 को आधिकारिक राजपत्र के माध्यम से 13 नवंबर, 2025 को अधिसूचित किया है, जबकि मसौदा नियम पहली बार 3 जनवरी, 2025 को हितधारकों की टिप्पणियों के लिए जारी किए गए थे।

एक उल्लेखनीय परिवर्तन यह है कि नियमों की विभिन्न धाराएँ कब लागू होंगी, इसका स्पष्टीकरण:

• तत्काल प्रभाव: परिभाषाओं (नियम 1 और 2) और डेटा संरक्षण बोर्ड (नियम 17 से 21) की संरचना और प्रक्रियाओं से संबंधित प्रावधान 13 नवंबर, 2025 को राजपत्र के प्रकाशन पर प्रभावी होंगे।

• 1 वर्ष का स्थगन: सहमति प्रबंधकों के पंजीकरण और दायित्वों को कवर करने वाला नियम 4, प्रकाशन तिथि (नवंबर 2026) के 1 वर्ष बाद लागू होगा।

• अठारह महीने का स्थगन: मुख्य अनुपालन भार, जिसमें सूचना, डेटा सुरक्षा, विलोपन और अपील प्रक्रियाओं (नियम 3, 5 से 16, 22 और 23) पर मुख्य नियम शामिल हैं, प्रकाशन के अठारह महीने बाद (मई 2027) से शुरू होगा।

बच्चों का डेटा और विकलांगता-संबंधी सहमति नियम 10 और 11 में विभाजित

मसौदा नियमों में, बच्चों के लिए माता-पिता की सहमति के सत्यापन और कुछ विकलांग व्यक्तियों के लिए वैध अभिभावकों के सत्यापन के मानक एक ही प्रावधान (मसौदा नियम 10) में समाहित थे। अंतिम नियम इन्हें दो स्वतंत्र नियमों में विभाजित करते हैं:

नियम 10 अब केवल बच्चों से संबंधित है, और इसमें सत्यापन योग्य अभिभावकीय सहमति के लिए वही उदाहरण और मानक बरकरार रखे गए हैं जो मसौदे में थे।

नियम 11 को विकलांग व्यक्तियों के लिए एक स्वतंत्र नियम के रूप में तैयार किया गया है जो पर्याप्त सहायता मिलने पर भी कानूनी रूप से बाध्यकारी निर्णय नहीं ले सकते, और इसमें मसौदे की भाषा को शब्दशः दोहराया गया है।

राष्ट्रीय सुरक्षा गोपनीयता खंड

सरकारी सूचना अनुरोधों को नियंत्रित करने वाले नियम की संरचना को स्पष्टता के लिए समायोजित किया गया है:

राष्ट्रीय सुरक्षा से संबंधित गोपनीयता खंड, जिसे मसौदा नियम 22(1) में सूचना मांगने की सरकार की शक्ति के साथ समूहीकृत किया गया था, को स्थानांतरित कर दिया गया है।

अंतिम नियम 23(2) अब अलग से लागू है, जिसमें स्पष्ट रूप से यह अनिवार्य किया गया है कि जहाँ प्रस्तुत सूचना के प्रकटीकरण से भारत की संप्रभुता और अखंडता या राज्य की सुरक्षा को नुकसान पहुँचने की संभावना हो, वहाँ डेटा प्रत्ययी या मध्यस्थ को अधिकृत व्यक्ति की पूर्व लिखित अनुमति के बिना, डेटा स्वामी या किसी अन्य व्यक्ति को इस तथ्य का खुलासा नहीं करना चाहिए। यह औपचारिक पृथक्करण सरकार की शक्ति के सार को नहीं बदलता है।

ढाँचे की निरंतरता

नियम 8(3) के अलावा, नियामक ढाँचे के शेष भाग को अपरिवर्तित रखा गया है:

• धारण और विलोपन: प्रसंस्करण का उद्देश्य पूरा होने के बाद व्यक्तिगत डेटा को मिटा दिया जाना चाहिए, जब तक कि कानूनी रूप से इसे बनाए रखना आवश्यक न हो और 48 घंटे पहले हटाने की सूचना जारी न की गई हो। तीसरी अनुसूची में निर्दिष्ट संस्थाओं को उपयोगकर्ता की 3 वर्ष की निष्क्रियता के बाद व्यक्तिगत डेटा मिटाना होगा, जबकि लॉग और रिकॉर्ड कम से कम 1 वर्ष तक बनाए रखने होंगे।

• सुरक्षा उपाय: अधिसूचित नियम, एन्क्रिप्शन, मास्किंग या टोकनीकरण, पहुँच नियंत्रण, अनधिकृत पहुँच की निगरानी, ​​ऑडिट लॉगिंग, बैकअप व्यवस्था और निरंतरता उपायों के लिए मसौदे की आवश्यकताओं को बिना किसी ठोस बदलाव के पुन: प्रस्तुत करते हैं।

• सहमति प्रबंधक: सहमति प्रबंधकों के लिए ढाँचा और विस्तृत दायित्व, जिनमें न्यूनतम ₹2 करोड़ की निवल संपत्ति और यह सुनिश्चित करने की आवश्यकता शामिल है कि उनके प्लेटफ़ॉर्म के माध्यम से भेजा गया व्यक्तिगत डेटा उनके द्वारा पढ़ा न जा सके, मसौदे के समान हैं।

• सीमा-पार स्थानांतरण: नियम 15 में वही कानूनी सिद्धांत बरकरार रखा गया है कि व्यक्तिगत डेटा भारत के बाहर स्थानांतरित किया जा सकता है, जब तक कि केंद्र सरकार विशिष्ट शर्तें या प्रतिबंध न लगाए।

• महत्वपूर्ण डेटा न्यासी और डेटा संरक्षण बोर्ड (डीपीबी): महत्वपूर्ण डेटा न्यासियों के दायित्व (उदाहरण के लिए, वार्षिक डेटा संरक्षण प्रभाव आकलन और ऑडिट) और डीपीबी के प्रशासनिक नियम मसौदे में यथावत बने रहेंगे।

[डीपीडीपी नियम पढ़ें]

और अधिक पढ़ने के लिए नीचे दिए गए लिंक पर क्लिक करें

Centre notifies Digital Personal Data Protection Rules, 2025: How different are they from the draft Rules?