भारत डेटा गोपनीयता कानून: DPDP अधिनियम 2023 और DPDP नियम 2025 की संपूर्ण गाइड

भारत का डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 (संख्या 22 वर्ष 2023) यह नियंत्रित करता है कि संगठन भारत के भीतर और विदेश से भारतीय निवासियों को लक्षित करते समय डिजिटल व्यक्तिगत डेटा को किस प्रकार एकत्र और उपयोग करें। 13 नवंबर 2025 को अधिसूचित DPDP नियम, चरणबद्ध अनुपालन समय-सीमाएं तय करते हैं, जिसके तहत पूर्ण प्रवर्तन और अनुसूची 1 के अंतर्गत ₹250 करोड़ तक के दंड 13 मई 2027 से प्रभावी होंगे।
भारत ने दशकों की बहस और कई असफल विधायी मसौदों के बाद डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 (DPDP अधिनियम) पारित किया। इस अधिनियम को 11 अगस्त 2023 को राष्ट्रपति की स्वीकृति मिली, जिससे भारत एक व्यापक डेटा संरक्षण कानून वाला 19वां G20 देश बन गया। 13 नवंबर 2025 को अधिसूचित क्रियान्वयन नियम, DPDP नियम, ने इस ढांचे को पूरा किया और एक चरणबद्ध प्रवर्तन कैलेंडर तय किया। यह गाइड पूरी व्यवस्था को शामिल करती है: संवैधानिक आधार, DPDP अधिनियम और नियम, डेटा संरक्षण बोर्ड, सहमति की प्रक्रिया, डेटा प्रिंसिपल के अधिकार, महत्वपूर्ण डेटा फिडूशियरी के दायित्व, सीमापार हस्तांतरण, दंड, प्रतिस्थापित की जा रही पुरानी आईटी अधिनियम व्यवस्था, और व्यावहारिक अनुपालन कदम।
इस गाइड की जानकारी, DPDP अधिनियम (संख्या 22, वर्ष 2023) और MeitY द्वारा 13 नवंबर 2025 को अधिसूचित DPDP नियम, 2025 पर आधारित है। 19 मई 2026 तक सत्यापित। अपने संगठन से संबंधित विशिष्ट सलाह के लिए भारत में विधि व्यवसाय हेतु लाइसेंस प्राप्त वकील से परामर्श करें।
संक्षिप्त उत्तर: भारत में डेटा गोपनीयता को कौन नियंत्रित करता है?
भारत की डेटा संरक्षण व्यवस्था दो स्तंभों पर टिकी है: डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 (DPDP अधिनियम), जो प्राथमिक कानून है, और डिजिटल व्यक्तिगत डेटा संरक्षण नियम, 2025 (DPDP नियम), जो परिचालन संबंधी विवरण प्रदान करते हैं। ये दोनों मिलकर यह तय करते हैं कि किसे अनुपालन करना है, किस वैधानिक आधार पर डेटा संसाधित किया जा सकता है, व्यक्तियों के पास कौन से अधिकार हैं, डेटा संभालने वाले संगठनों पर कौन से दायित्व हैं, नियामक की संरचना कैसी है, और कौन से दंड लागू होते हैं।
यह अधिनियम भारत के भीतर संसाधित डिजिटल व्यक्तिगत डेटा पर, तथा भारत के बाहर होने वाले उस प्रसंस्करण पर भी लागू होता है जो भारत में व्यक्तियों को वस्तुएं या सेवाएं प्रदान करने से जुड़ा हो। इस ढांचे की संरचना दो मुख्य भूमिकाओं पर आधारित है। डेटा फिडूशियरी (Data Fiduciary) कोई भी व्यक्ति, कंपनी, या सरकारी इकाई है जो व्यक्तिगत डेटा के प्रसंस्करण का उद्देश्य और तरीका तय करती है। डेटा प्रिंसिपल (Data Principal) वह व्यक्ति है जिसका व्यक्तिगत डेटा संसाधित किया जाता है।
इस व्यवस्था का प्रवर्तन भारत का डेटा संरक्षण बोर्ड (Data Protection Board of India, DPBI) करता है, जो DPDP नियमों के तहत गठित एक न्यायनिर्णायक निकाय है। DPBI पूर्णतः डिजिटल अधिकरण के रूप में कार्य करता है: शिकायतें ऑनलाइन दर्ज की जाती हैं, कार्यवाही इलेक्ट्रॉनिक रूप से संचालित होती है, और अपीलें दूरसंचार विवाद निपटान एवं अपीलीय अधिकरण (TDSAT) के समक्ष जाती हैं।
DPDP अधिनियम से पहले, भारत सूचना प्रौद्योगिकी अधिनियम, 2000 के तहत बिखरे हुए प्रावधानों पर निर्भर था, मुख्यतः धारा 43A और 2011 के SPDI नियमों पर। जैसे-जैसे चरणबद्ध क्रियान्वयन मई 2027 तक पूरा होगा, यह पुरानी व्यवस्था DPDP व्यवस्था द्वारा प्रतिस्थापित हो जाएगी।

संवैधानिक आधार: Puttaswamy और गोपनीयता का अधिकार
DPDP अधिनियम की संवैधानिक वैधता एक ऐतिहासिक उच्चतम न्यायालय के फैसले से निकलती है। K.S. Puttaswamy (Retd.) v. Union of India, (2017) 10 SCC 1 में, उच्चतम न्यायालय की नौ-न्यायाधीशों की पीठ ने सर्वसम्मति से कहा कि गोपनीयता का अधिकार, भारत के संविधान द्वारा गारंटीकृत एक मौलिक अधिकार है, जिसकी जड़ें अनुच्छेद 14, 19 और 21 में हैं।
सहमत समूहों में से एक की ओर से फैसला लिखते हुए न्यायमूर्ति डी.वाई. चंद्रचूड़ ने कहा कि सूचनात्मक गोपनीयता, अर्थात अपने व्यक्तिगत डेटा और आख्यान (नैरेटिव) पर नियंत्रण, इस अधिकार का एक मूल आयाम है। इस फैसले ने आनुपातिकता (प्रोपोर्शनैलिटी) के मानक को लागू किया: गोपनीयता में किसी भी राज्य के हस्तक्षेप के लिए (i) कानूनी रूप से अधिकृत आधार होना चाहिए, (ii) एक वैध उद्देश्य होना चाहिए, (iii) उद्देश्य के अनुपात में साधनों का उपयोग होना चाहिए, और (iv) दुरुपयोग के विरुद्ध प्रक्रियात्मक सुरक्षा उपाय बरकरार रहने चाहिए।
Puttaswamy फैसले ने दो पूर्ववर्ती निर्णयों, M.P. Sharma v. Satish Chandra (1954) और Kharak Singh v. State of U.P. (1963), को निरस्त कर दिया, जिनमें कहा गया था कि संविधान गोपनीयता के अधिकार को मान्यता नहीं देता। इन पूर्ववर्ती निर्णयों को पलटकर, नौ-न्यायाधीशों की पीठ ने व्यापक डेटा संरक्षण कानून के लिए विधिक मार्ग प्रशस्त किया।
DPDP अधिनियम को स्पष्ट रूप से इस मौलिक अधिकार को प्रभावी बनाने के रूप में तैयार किया गया है। इसकी प्रस्तावना घोषित करती है कि यह अधिनियम "डिजिटल व्यक्तिगत डेटा के प्रसंस्करण का प्रावधान इस तरह से करने के लिए बनाया गया है जो व्यक्तियों के अपने व्यक्तिगत डेटा की सुरक्षा के अधिकार और वैध उद्देश्यों के लिए व्यक्तिगत डेटा को संसाधित करने की आवश्यकता, दोनों को मान्यता देता है।" अधिनियम के दायरे, छूटों, या दंडों को भविष्य में दी जाने वाली कोई भी चुनौती, Puttaswamy न्यायालय द्वारा स्थापित आनुपातिकता मानक के आधार पर परखी जाएगी।

विरासत ढांचा: IT अधिनियम 2000 और SPDI नियम
DPDP अधिनियम को समझने के लिए यह जानना आवश्यक है कि यह किसका स्थान लेता है। भारत की 2023-पूर्व डेटा संरक्षण व्यवस्था दो साधनों पर आधारित थी।
सूचना प्रौद्योगिकी अधिनियम, 2000 की धारा 43A के तहत, "संवेदनशील व्यक्तिगत डेटा या सूचना" (Sensitive Personal Data or Information, SPDI) की लापरवाहीपूर्ण हैंडलिंग से गलत हानि होने पर कॉर्पोरेट निकायों को मुआवजे के लिए उत्तरदायी बनाया गया था। यह दायित्व दीवानी और प्रतिकरात्मक प्रकृति का था, न कि सीमित जुर्माने वाला नियामक दायित्व। महत्वपूर्ण बात यह है कि यह केवल कॉर्पोरेट निकायों पर लागू होता था; सरकारी एजेंसियां इसके दायरे से बाहर थीं।
सूचना प्रौद्योगिकी (युक्तियुक्त सुरक्षा व्यवहार एवं प्रक्रियाएं तथा संवेदनशील व्यक्तिगत डेटा या सूचना) नियम, 2011 (SPDI नियम) ने SPDI की श्रेणियां परिभाषित कीं: पासवर्ड, वित्तीय जानकारी, शारीरिक और मानसिक स्वास्थ्य स्थितियां, यौन रुझान, चिकित्सा रिकॉर्ड, और बायोमेट्रिक डेटा। इनके तहत एक गोपनीयता नीति, उद्देश्य-सीमा, और संग्रहण से पहले सहमति आवश्यक थी।
SPDI ढांचे में चार संरचनात्मक कमजोरियां थीं। पहली, सरकारी डेटा प्रसंस्करण काफी हद तक अनियमित था। दूसरी, SPDI की परिभाषा संकीर्ण थी और इसमें लोकेशन डेटा, ब्राउज़िंग इतिहास, और अनुमानित विशेषताओं जैसे आधुनिक डेटा प्रकार शामिल नहीं थे। तीसरी, प्रवर्तन अपर्याप्त था और बड़े पैमाने की घटनाओं के लिए दंड असमान रूप से कम थे। चौथी, कोई स्वतंत्र नियामक नहीं था।
DPDP अधिनियम, लागू होने पर स्वतः ही SPDI नियमों को निरस्त नहीं करता। धारा 43A और SPDI नियम तब निरस्त होंगे जब केंद्र सरकार संबंधित चरण 3 प्रावधानों को अधिसूचित करेगी, जिनके 13 मई 2027 तक पूर्ण रूप से प्रभावी होने की उम्मीद है। तब तक, SPDI से संभावित रूप से जुड़े संगठनों को दोनों ढांचों को समवर्ती रूप से लागू मानना चाहिए और उच्चतर मानक को अपनाना चाहिए।

दायरा और क्षेत्रीय प्रयोज्यता
DPDP अधिनियम निम्नलिखित पर लागू होता है:
- भारत के भीतर डिजिटल व्यक्तिगत डेटा का प्रसंस्करण, चाहे डेटा मूल रूप से ऑनलाइन एकत्र किया गया हो या ऑफलाइन एकत्र कर बाद में डिजिटाइज किया गया हो।
- भारत के बाहर डिजिटल व्यक्तिगत डेटा का प्रसंस्करण, जब यह भारत में स्थित डेटा प्रिंसिपलों को वस्तुएं या सेवाएं प्रदान करने से जुड़ा हो।
यह अधिनियम निम्न पर लागू नहीं होता: किसी व्यक्ति द्वारा विशुद्ध रूप से व्यक्तिगत या घरेलू उद्देश्यों के लिए संसाधित व्यक्तिगत डेटा; डेटा प्रिंसिपल द्वारा या कानूनी रूप से सार्वजनिक करने हेतु बाध्य किसी व्यक्ति द्वारा सार्वजनिक किया गया व्यक्तिगत डेटा; या अनुसंधान और सांख्यिकीय उद्देश्यों के लिए किया गया प्रसंस्करण जहां परिणामों का उपयोग किसी विशिष्ट डेटा प्रिंसिपल से संबंधित निर्णय लेने में नहीं किया जाता।
यह क्षेत्रबाह्य दायरा GDPR के 'टार्गेटिंग सिद्धांत' से मेल खाता है, जिसका अर्थ है कि भारतीय उपभोक्ताओं को लक्षित करने वाली, भारतीय-भाषा ऐप चलाने वाली, या भारतीय रुपये में भुगतान स्वीकार करने वाली विदेशी कंपनियों को यह आकलन करना होगा कि क्या DPDP अधिनियम उनके संचालन पर लागू होता है।
सहमति ढांचा और वैध प्रसंस्करण
DPDP अधिनियम के तहत सहमति ही प्राथमिक वैधानिक आधार है। अधिनियम सहमति को एक स्वतंत्र, विशिष्ट, सूचित, बिना शर्त, और असंदिग्ध सहमति के रूप में परिभाषित करता है, जो एक विशिष्ट उद्देश्य तक सीमित हो और स्पष्ट सकारात्मक कार्रवाई के माध्यम से दर्शाई गई हो।
सहमति पर निर्भर होने से पहले, डेटा फिडूशियरी को एक सहमति सूचना (consent notice) प्रदान करनी होगी जिसमें बताया गया हो: (a) कौन सा व्यक्तिगत डेटा एकत्र किया जाएगा, (b) प्रसंस्करण का उद्देश्य, (c) डेटा प्रिंसिपल अपने अधिकारों का प्रयोग कैसे कर सकता है, और (d) DPBI के समक्ष शिकायत कैसे दर्ज की जाए। DPDP नियमों के अनुसार यह सूचना स्पष्ट, सरल भाषा में और संविधान की आठवीं अनुसूची में सूचीबद्ध भाषाओं (भारत की 22 अनुसूचित भाषाओं) में उपलब्ध होनी चाहिए, ताकि भाषा सूचित सहमति में बाधा न बने।
सहमति को किसी भी समय वापस लिया जा सकता है। सहमति वापस लिए जाने पर, डेटा फिडूशियरी को प्रसंस्करण बंद करना होगा और डेटा को हटाना होगा, जब तक कि कानून के तहत उसे बनाए रखना आवश्यक न हो। डेटा फिडूशियरी, सेवाओं के लिए आवश्यक उद्देश्यों से आगे के उद्देश्यों हेतु सहमति को सेवाएं प्रदान करने की शर्त नहीं बना सकता।
वैध उपयोग: सहमति के बिना प्रसंस्करण
अधिनियम, सहमति के अतिरिक्त "वैध उपयोगों" (legitimate uses) का एक सीमित समूह प्रदान करता है जिनके तहत सहमति के बिना प्रसंस्करण की अनुमति है:
- किसी निर्दिष्ट उद्देश्य के लिए डेटा का स्वैच्छिक प्रावधान, जहां डेटा प्रिंसिपल का स्वैच्छिक कार्य आशय दर्शाता हो।
- केंद्र या राज्य सरकार के लाभ, सब्सिडी, सेवाएं, या लाइसेंस प्रदान करने हेतु आवश्यक प्रसंस्करण।
- अदालत के आदेश, अधिकरण, या कानून द्वारा अपेक्षित प्रसंस्करण।
- जीवन या सार्वजनिक स्वास्थ्य के लिए खतरा बनने वाली चिकित्सा आपात स्थितियां और महामारियां।
- आपदा और सार्वजनिक-व्यवस्था संबंधी स्थितियां।
- रोजगार से संबंधित प्रसंस्करण जहां नियोक्ता डेटा फिडूशियरी हो और उद्देश्य युक्तियुक्त रूप से रोजगार से संबंधित हो।
यह सूची GDPR के छह वैधानिक आधारों की तुलना में संकीर्ण है, जिनमें एक व्यापक 'वैध हित' (legitimate interests) आधार भी शामिल है। DPDP अधिनियम में इसका कोई समकक्ष नहीं है, जिसका अर्थ है कि जो संगठन भारतीय निवासियों के डेटा को संसाधित करने के लिए GDPR के वैध हित आधार पर निर्भर हैं, उन्हें उन गतिविधियों को सहमति या किसी सूचीबद्ध वैध उपयोग के अंतर्गत लाना होगा।
सहमति प्रबंधक (Consent Manager): एक विशिष्ट भारतीय नवाचार
DPDP अधिनियम की सबसे नवीन विशेषताओं में से एक है सहमति प्रबंधकों (Consent Managers) की औपचारिक मान्यता: ये डेटा संरक्षण बोर्ड के साथ पंजीकृत ऐसी इकाइयां हैं जो डेटा प्रिंसिपलों को एक ही अंतर-संचालनीय (इंटरऑपरेबल) इंटरफेस के माध्यम से कई प्लेटफॉर्मों पर अपनी सहमतियों का प्रबंधन करने में सक्षम बनाती हैं।
सहमति प्रबंधक ढांचा, क्रियान्वयन के चरण 2 के तहत 13 नवंबर 2026 को परिचालित हो जाएगा। DPDP नियमों के तहत मुख्य आवश्यकताएं इस प्रकार हैं:
- सहमति प्रबंधक भारत में निगमित एक कंपनी होनी चाहिए।
- इसकी न्यूनतम निवल संपत्ति ₹2 करोड़ (लगभग 240,000 अमेरिकी डॉलर) होनी चाहिए।
- इसे AES-256 एन्क्रिप्शन लागू करना होगा और हित-टकराव (कॉन्फ्लिक्ट ऑफ इंटरेस्ट) की स्पष्ट नीतियां बनाए रखनी होंगी।
- इसे सभी सहमति गतिविधि के रिकॉर्ड कम से कम सात वर्षों तक मशीन-पठनीय प्रारूप में बनाए रखने होंगे।
- इसे डेटा संरक्षण बोर्ड द्वारा नियमित ऑडिट के अधीन रहना होगा।
- इसे डेटा प्रिंसिपलों के प्रति न्यासीय (फिडूशियरी) क्षमता में कार्य करना होगा और यह उसी डेटा प्रिंसिपल के लिए, जिसकी सहमति का यह प्रबंधन करता है, एक साथ डेटा फिडूशियरी या डेटा प्रोसेसर के रूप में कार्य नहीं कर सकता।
सहमति प्रबंधक की अवधारणा का GDPR ढांचे में कोई प्रत्यक्ष समकक्ष नहीं है। यह भारत की उस दृष्टि को दर्शाती है जिसमें 'सहमति को एक अवसंरचना परत' के रूप में व्यक्तिगत प्लेटफॉर्मों के ऊपर रखा जाता है, जिससे व्यक्तियों को सैकड़ों अलग-अलग ऐप्स और सेवाओं में अनुमतियां प्रबंधित करने के बजाय एक ही स्थान पर प्रबंधित करने की सुविधा मिलती है, जो संभावित रूप से 'सहमति थकान' (consent fatigue) को कम कर सकती है।
डेटा प्रिंसिपल के अधिकार
DPDP अधिनियम डेटा प्रिंसिपलों को निम्नलिखित अधिकार प्रदान करता है। GDPR की तुलना में, डेटा पोर्टेबिलिटी और स्वचालित निर्णयों पर आपत्ति जताने के अधिकार इसमें अनुपस्थित हैं।
सूचना और पहुंच का अधिकार
एक डेटा प्रिंसिपल, डेटा फिडूशियरी के पास मौजूद व्यक्तिगत डेटा तथा की गई प्रसंस्करण गतिविधियों का सारांश मांग सकता है, जिसमें उन तीसरे पक्षों की पहचान भी शामिल है जिन्हें डेटा प्रकट किया गया है।
सुधार और विलोपन का अधिकार
एक डेटा प्रिंसिपल, गलत या अपूर्ण डेटा में सुधार और उस डेटा के विलोपन का अनुरोध कर सकता है जो उस उद्देश्य के लिए अब आवश्यक नहीं रह गया है जिसके लिए वह एकत्र किया गया था। भारत में कम से कम 2 करोड़ पंजीकृत उपयोगकर्ताओं वाले बड़े प्लेटफॉर्मों के लिए, DPDP नियम, उपयोगकर्ता की तीन वर्ष की निष्क्रियता के बाद निर्दिष्ट उद्देश्य को अब पूरा न होने वाला मानते हैं। ऐसी स्थिति में, प्लेटफॉर्म को डेटा हटाने से पहले 48 घंटे की पूर्व-विलोपन चेतावनी भेजनी होगी।
डेटा फिडूशियरी को सुधार और विलोपन के अनुरोधों का जवाब 90 दिनों के भीतर देना होगा। यदि अनुरोध अस्वीकार किया जाता है, तो फिडूशियरी को इसके कारण और DPBI के समक्ष मामला बढ़ाने का मार्ग बताना होगा।
शिकायत निवारण का अधिकार
प्रत्येक डेटा फिडूशियरी को एक प्रकाशित शिकायत निवारण तंत्र स्थापित करना होगा और शिकायतों का जवाब अधिकतम 90 दिनों की समय-सीमा के भीतर देना होगा। अनसुलझी शिकायतों को डेटा संरक्षण बोर्ड के समक्ष बढ़ाया जा सकता है।
नामांकन का अधिकार
एक डेटा प्रिंसिपल, अपनी मृत्यु या अक्षमता की स्थिति में अपनी ओर से डेटा अधिकारों का प्रयोग करने के लिए किसी विश्वसनीय व्यक्ति को नामांकित कर सकता है। इस नामांकन अधिकार का GDPR में कोई समकक्ष नहीं है, और यह वैधानिक योजनाओं में व्यक्तिगत प्रतिनिधियों की पूर्वकल्पना करने की भारतीय विधिक परंपरा को दर्शाता है।
डेटा प्रिंसिपलों के कर्तव्य
यह अधिनियम डेटा प्रिंसिपलों पर कर्तव्य भी लगाता है। उन्हें किसी अन्य व्यक्ति का रूप धारण नहीं करना चाहिए, महत्वपूर्ण जानकारी नहीं छिपानी चाहिए, या बोर्ड के समक्ष तुच्छ या झूठी शिकायतें दायर नहीं करनी चाहिए। इन कर्तव्यों का उल्लंघन करने वाले डेटा प्रिंसिपल को अनुसूची 1 के तहत ₹10,000 तक के दंड का सामना करना पड़ सकता है।
महत्वपूर्ण डेटा फिडूशियरी (Significant Data Fiduciary)
केंद्र सरकार, प्रसंस्कृत डेटा की मात्रा और संवेदनशीलता, डेटा प्रिंसिपलों को होने वाली संभावित हानि के जोखिम, तथा भारत की संप्रभुता, सुरक्षा, या सार्वजनिक व्यवस्था पर संभावित प्रभाव के आधार पर, किसी भी डेटा फिडूशियरी या डेटा फिडूशियरी के वर्ग को महत्वपूर्ण डेटा फिडूशियरी (Significant Data Fiduciary, SDF) के रूप में नामित कर सकती है।
SDF को मानक डेटा फिडूशियरी से आगे के दायित्वों का सामना करना पड़ता है:
- एक डेटा संरक्षण अधिकारी (Data Protection Officer, DPO) नियुक्त करना, जो भारत में स्थित पूर्णकालिक कर्मचारी हो और सीधे निदेशक मंडल या समकक्ष शासी निकाय को रिपोर्ट करता हो।
- कम से कम हर 12 माह में एक डेटा संरक्षण प्रभाव आकलन (Data Protection Impact Assessment, DPIA) करना और महत्वपूर्ण निष्कर्ष DPBI के साथ साझा करना।
- प्रतिवर्ष एक स्वतंत्र डेटा संरक्षण ऑडिट कराना।
- प्रसंस्करण में उपयोग किए जाने वाले एल्गोरिदम और प्रशिक्षित मॉडलों का आकलन करने के लिए एक स्वतंत्र एल्गोरिदमिक ऑडिटर नियुक्त करना।
- केंद्र सरकार द्वारा निर्दिष्ट किसी भी डेटा स्थानीयकरण (data localisation) आवश्यकता का पालन करना, जो व्यक्तिगत डेटा की कुछ श्रेणियों को भारत के बाहर स्थानांतरित करने पर रोक लगा सकती है।
मई 2026 तक, MeitY ने नामित SDF की कोई सूची प्रकाशित नहीं की थी। उद्योग जगत को उम्मीद है कि प्रारंभिक सूची में बड़े प्रौद्योगिकी प्लेटफॉर्म, वित्तीय सेवा कंपनियां, और स्वास्थ्य सेवा एग्रीगेटर शामिल होंगे।
बच्चों का डेटा
DPDP अधिनियम 18 वर्ष से कम आयु के किसी भी व्यक्ति को बालक (child) के रूप में परिभाषित करता है और उनके डेटा के प्रसंस्करण पर सबसे कड़ी आवश्यकताएं लागू करता है।
किसी बालक का व्यक्तिगत डेटा संसाधित करने से पहले, डेटा फिडूशियरी को सत्यापन योग्य अभिभावकीय सहमति (verifiable parental consent) प्राप्त करनी होगी। सत्यापन प्रक्रिया में निम्नलिखित की पुष्टि होनी चाहिए: (a) उपयोगकर्ता बालक है; (b) अभिभावक की पहचान और आयु; (c) माता-पिता-बालक संबंध; और (d) विशिष्ट प्रसंस्करण उद्देश्य के लिए माता-पिता की सहमति।
यह अधिनियम स्पष्ट रूप से निषिद्ध करता है: बच्चों की व्यवहार संबंधी निगरानी, बच्चों को लक्षित विज्ञापन, तथा बच्चों के डेटा का इस तरह से प्रसंस्करण जिससे हानि पहुंचने की संभावना हो।
एक लचीलेपन का प्रावधान केंद्र सरकार को यह अनुमति देता है कि वह किसी विशिष्ट डेटा फिडूशियरी के लिए, जो सरकार की संतुष्टि हेतु सत्यापन योग्य सुरक्षित डेटा प्रसंस्करण व्यवहार प्रदर्शित कर सके, आयु सीमा को 18 से घटाकर 16, या यहां तक कि 13 वर्ष तक कर सके। मई 2026 तक ऐसा कोई नामांकन नहीं किया गया था।
DPDP नियम उन दिव्यांग व्यक्तियों को भी संबोधित करते हैं जो सहायता मिलने पर भी विधिक निर्णय नहीं ले सकते: ऐसे मामलों में, उनके वैध अभिभावक को सत्यापन योग्य सहमति प्रदान करनी होगी।
सीमापार डेटा हस्तांतरण
DPDP अधिनियम, धारा 16 के तहत सीमापार हस्तांतरण के लिए एक नेगेटिव-लिस्ट मॉडल अपनाता है, जो GDPR की 'एडिक्वेसी' (पर्याप्तता) आधारित प्रणाली से भिन्न है। व्यक्तिगत डेटा को भारत के बाहर किसी भी देश या क्षेत्र में स्थानांतरित किया जा सकता है, जब तक कि केंद्र सरकार किसी निर्दिष्ट क्षेत्राधिकार को हस्तांतरण से प्रतिबंधित या निषिद्ध न करे।
इस दृष्टिकोण के बारे में तीन मुख्य बिंदु हैं:
- सरकार के लिए प्रतिबंध संबंधी निर्णयों के औचित्य प्रकाशित करना आवश्यक नहीं है।
- यह अधिनियम मानक संविदात्मक खंडों (Standard Contractual Clauses) या बाध्यकारी कॉर्पोरेट नियमों (Binding Corporate Rules) जैसे वैकल्पिक हस्तांतरण तंत्र आवश्यक नहीं बनाता।
- मई 2026 तक, केंद्र सरकार ने प्रतिबंधित क्षेत्राधिकारों की कोई सूची प्रकाशित नहीं की थी। इसलिए सभी देशों को हस्तांतरण अभी भी अनुमत है।
नेगेटिव-लिस्ट मॉडल तत्काल परिचालन लचीलापन प्रदान करता है: बहुराष्ट्रीय संगठन, GDPR-शैली के सुरक्षा उपायों को लागू किए बिना, भारतीय निवासियों के व्यक्तिगत डेटा को वैश्विक स्तर पर स्थानांतरित कर सकते हैं। हालांकि, सरकार किसी भी समय, लंबी 'एडिक्वेसी' आकलन प्रक्रिया के बिना, विशिष्ट क्षेत्राधिकारों को प्रतिबंधित कर सकती है, और कोई संक्रमण अनुग्रह अवधि (ग्रेस पीरियड) निर्दिष्ट नहीं है। संगठनों को नियमित रूप से MeitY की अधिसूचनाओं पर नजर रखनी चाहिए।
डेटा उल्लंघन सूचना (Data Breach Notification)
DPDP नियम एक दो-स्तरीय सूचना दायित्व स्थापित करते हैं, जो उस क्षण से शुरू होता है जब डेटा फिडूशियरी को उल्लंघन का पता चलता है, न कि उसके घटित होने की तारीख से।
तत्काल सूचना: डेटा फिडूशियरी को बिना विलंब DPBI और सभी प्रभावित डेटा प्रिंसिपलों को सूचित करना होगा: उल्लंघन की प्रकृति, प्रभावित व्यक्तियों की श्रेणियां और अनुमानित संख्या, संभावित प्रभाव, और उल्लंघन को संभालने वाले व्यक्ति का संपर्क विवरण।
72 घंटे के भीतर विस्तृत रिपोर्ट: इसके बाद एक पूर्ण रिपोर्ट प्रस्तुत करनी होगी जिसमें उल्लंघन की परिस्थितियां, प्रतिक्रिया में लागू की गई तकनीकी और संगठनात्मक उपाय, तथा कारण संबंधी निष्कर्ष शामिल हों। DPBI, लिखित अनुरोध पर, 72 घंटे से आगे विस्तार दे सकता है।
GDPR के अनुच्छेद 33 के विपरीत, जो अनिवार्य सूचना को केवल उन उल्लंघनों तक सीमित करता है जिनसे "प्राकृतिक व्यक्तियों के अधिकारों और स्वतंत्रताओं को जोखिम होने की संभावना हो," DPDP अधिनियम सभी व्यक्तिगत डेटा उल्लंघनों के लिए सूचना अनिवार्य बनाता है, चाहे आकलित जोखिम कुछ भी हो। यह एक अधिक कठोर मानक है जिसके तहत संगठनों को भारतीय व्यक्तिगत डेटा से जुड़ी कम जोखिम वाली घटनाओं की भी रिपोर्ट करनी होगी।
दंड और प्रवर्तन
DPDP अधिनियम की दंड अनुसूची, अनुसूची 1 में दी गई है और धारा 33 के माध्यम से क्रियान्वित होती है। कोई भी दंड लगाने से पहले डेटा संरक्षण बोर्ड को जांच करनी होगी, जिसमें निम्न पर विचार किया जाएगा: उल्लंघन की प्रकृति, गंभीरता, और अवधि; प्रभावित डेटा का प्रकार और संवेदनशीलता; क्या उल्लंघन बार-बार हुआ; प्राप्त हुआ कोई लाभ; और शमन कार्रवाइयों (mitigation actions) की प्रभावशीलता।
| उल्लंघन | अधिकतम दंड |
|---|---|
| डेटा उल्लंघन का कारण बनने वाली युक्तियुक्त सुरक्षा उपायों को लागू करने में विफलता (धारा 8(5)) | ₹250 करोड़ (लगभग 30 मिलियन अमेरिकी डॉलर) |
| बोर्ड और डेटा प्रिंसिपलों को डेटा उल्लंघन की सूचना देने में विफलता | ₹200 करोड़ (लगभग 24 मिलियन अमेरिकी डॉलर) |
| बच्चों के डेटा संबंधी दायित्वों का उल्लंघन (धारा 9) | ₹200 करोड़ (लगभग 24 मिलियन अमेरिकी डॉलर) |
| महत्वपूर्ण डेटा फिडूशियरी दायित्वों का उल्लंघन (धारा 10) | ₹150 करोड़ (लगभग 18 मिलियन अमेरिकी डॉलर) |
| अधिनियम या नियमों के किसी अन्य प्रावधान का उल्लंघन | ₹50 करोड़ (लगभग 6 मिलियन अमेरिकी डॉलर) |
| डेटा प्रिंसिपल कर्तव्य उल्लंघन | ₹10,000 |
ये आंकड़े एशिया-प्रशांत क्षेत्र में सबसे ऊंचे आंकड़ों में गिने जाते हैं। DPBI के दंड आदेशों के विरुद्ध अपीलें दूरसंचार विवाद निपटान एवं अपीलीय अधिकरण (TDSAT) के समक्ष जाती हैं, और आगे की न्यायिक समीक्षा उच्च न्यायालयों के समक्ष होती है।
भारत का डेटा संरक्षण बोर्ड
भारत का डेटा संरक्षण बोर्ड (Data Protection Board of India, DPBI) अधिनियम का न्यायनिर्णायक एवं नियामक निकाय है। यह एक पूर्णतः डिजिटल संस्था के रूप में कार्य करता है: शिकायतें एक समर्पित पोर्टल और मोबाइल ऐप के माध्यम से दर्ज की जाती हैं, कार्यवाही ऑनलाइन संचालित होती है, और आदेश इलेक्ट्रॉनिक रूप से प्रकाशित किए जाते हैं।
संरचना: DPBI में एक अध्यक्ष और चार सदस्य होते हैं। कम से कम एक सदस्य विधि विशेषज्ञ होना चाहिए। सदस्यों का कार्यकाल दो वर्ष का होता है, जिसे नवीनीकृत किया जा सकता है।
मई 2026 तक की स्थिति: DPDP नियम 13 नवंबर 2025 को अधिसूचित किए गए थे। सरकार ने बोर्ड के अध्यक्ष और सदस्यों की नियुक्ति के लिए 2025 के अंत में एक खोज-सह-चयन समिति (search-cum-selection committee) गठित की। मई 2026 तक इन पदों के लिए आवेदनों का मूल्यांकन किया जा रहा था; औपचारिक नियुक्तियों की सार्वजनिक घोषणा अभी तक नहीं हुई थी। बोर्ड की पूर्ण परिचालन क्षमता इस नियुक्ति प्रक्रिया के पूरा होने पर निर्भर है।
कार्य: पूर्ण रूप से गठित होने के बाद, DPBI को यह अधिकार होगा: डेटा प्रिंसिपलों से व्यक्तिगत डेटा उल्लंघन की शिकायतें प्राप्त करना और उनकी जांच करना; डेटा फिडूशियरी को उपचारात्मक उपाय लागू करने के निर्देश जारी करना; गैर-अनुपालन की जांच करना; और अनुसूची 1 के तहत वित्तीय दंड लगाना।
सरकारी छूट
DPDP अधिनियम की धारा 17, केंद्र सरकार को अपनी संस्थाओं (instrumentalities) को अधिकांश प्रावधानों से छूट देने का अधिकार देती है, जब प्रसंस्करण को निम्न के लिए आवश्यक माना जाए: भारत की संप्रभुता, अखंडता, या सुरक्षा; विदेशी राज्यों के साथ मैत्रीपूर्ण संबंध; सार्वजनिक व्यवस्था; या संज्ञेय अपराधों के लिए उकसावे को रोकना।
जब छूट दी जाती है, तो अधिकांश डेटा प्रिंसिपल अधिकार और डेटा फिडूशियरी दायित्व लागू होना बंद हो जाते हैं, हालांकि युक्तियुक्त सुरक्षा उपायों को लागू करने का दायित्व, छूट प्राप्त प्रसंस्करण के लिए भी बना रहता है।
गोपनीयता समर्थकों ने इन छूटों की आलोचना करते हुए इन्हें अत्यधिक व्यापक और सार्थक न्यायिक निगरानी से रहित बताया है, और तर्क दिया है कि ये Puttaswamy फैसले द्वारा अपेक्षित आनुपातिकता मानक को पूरा नहीं कर सकतीं। जैसे-जैसे DPDP व्यवस्था परिपक्व होगी, धारा 17 की छूटों की संवैधानिकता को अदालत में चुनौती मिलने की संभावना है।
यह अधिनियम अनुसंधान और सांख्यिकीय उद्देश्यों के लिए किए गए प्रसंस्करण को भी छूट देता है, जहां परिणामों का उपयोग किसी विशिष्ट डेटा प्रिंसिपल से संबंधित निर्णय लेने में नहीं किया जाता।
स्टार्टअप और MSME के लिए सरलीकृत अनुपालन
MeitY ने इस बात पर बल दिया है कि DPDP ढांचे में स्टार्टअप और MSME के लिए विभेदित अनुपालन मार्ग शामिल हैं। DPDP नियम श्रेणीबद्ध जिम्मेदारियां प्रदान करते हैं: कम डेटा मात्रा और कम जोखिम प्रोफाइल वाली छोटी इकाइयों पर हल्के दायित्व लागू होते हैं, जबकि बढ़े हुए दायित्वों वाला महत्वपूर्ण डेटा फिडूशियरी दर्जा उच्च-मात्रा, उच्च-जोखिम वाले प्रोसेसरों के लिए आरक्षित है।
स्टार्टअप और छोटी डेटा फिडूशियरी, जो SDF की योग्यता नहीं रखतीं, उन्हें पूर्णकालिक DPO नियुक्त करने, वार्षिक DPIA करने, या एल्गोरिदमिक ऑडिट कराने की आवश्यकता नहीं है। उनके प्राथमिक दायित्व हैं: एक स्पष्ट सहमति सूचना प्रदान करना, 90 दिनों के भीतर डेटा प्रिंसिपल के अनुरोधों का जवाब देना, बोर्ड को उल्लंघनों की सूचना देना, और अपने द्वारा संभाले जाने वाले डेटा की मात्रा एवं प्रकृति के अनुरूप युक्तियुक्त सुरक्षा उपाय लागू करना।
MeitY ने अनुपालन सीमाओं को समायोजित करने के लिए विशेष रूप से 2025 के दौरान स्टार्टअप, MSME, उद्योग निकायों, और नागरिक समाज के साथ परामर्श आयोजित किए। मई 2027 में समाप्त होने वाली 18-माह की चरणबद्ध अनुपालन अवधि, आरंभिक चरण की कंपनियों को अनुपालनकारी डेटा व्यवहार बनाने के लिए पर्याप्त समय देने हेतु तैयार की गई है।
चरणबद्ध अनुपालन समयरेखा
| चरण | प्रभावी तिथि | क्या सक्रिय होता है |
|---|---|---|
| चरण 1 | 13 नवंबर 2025 | डेटा संरक्षण बोर्ड का गठन; DPBI की शक्तियां, प्रक्रियाएं, और नियुक्ति प्रक्रियाएं प्रभावी होती हैं |
| चरण 2 | 13 नवंबर 2026 | सहमति प्रबंधक पंजीकरण ढांचा परिचालित होता है; सहमति प्रबंधन गतिविधियों से संबंधित उल्लंघनों की जांच करने और दंड लगाने का DPBI का अधिकार सक्रिय होता है |
| चरण 3 | 13 मई 2027 | शेष सभी मुख्य दायित्व: सहमति सूचनाएं, डेटा प्रिंसिपल अधिकार, डेटा फिडूशियरी दायित्व, SDF आवश्यकताएं, उल्लंघन सूचना, डेटा प्रतिधारण एवं विलोपन ट्रिगर, और सुरक्षा उपाय अधिदेश |
चरण 3, प्रवर्तन शुरू होने से पहले कोई सुधार अवधि (cure period) प्रदान नहीं करता। संगठनों को 13 मई 2027 से पहले पूर्ण रूप से अनुपालनकारी हो जाना चाहिए।
DPDP अधिनियम, GDPR की तुलना में कैसा है
| विशेषता | भारत का DPDP अधिनियम 2023 | EU GDPR 2016/679 |
|---|---|---|
| दायरा | केवल डिजिटल व्यक्तिगत डेटा | कागजी अभिलेखों सहित सभी व्यक्तिगत डेटा |
| वैधानिक आधार | सहमति के साथ सीमित वैध उपयोग | व्यापक वैध हित सहित छह आधार |
| संवेदनशील डेटा श्रेणियां | कोई नहीं (एकल अनुपालन स्तर) | अधिक कठोर नियमों वाली आठ विशेष श्रेणियां |
| डेटा पोर्टेबिलिटी अधिकार | अनुपस्थित | उपस्थित |
| स्वचालित निर्णयों पर आपत्ति का अधिकार | अनुपस्थित | उपस्थित (अनुच्छेद 22) |
| सहमति प्रबंधक | औपचारिक विधिक ढांचा | कोई समकक्ष नहीं |
| सीमापार हस्तांतरण | नेगेटिव-लिस्ट (ब्लैकलिस्ट मॉडल) | एडिक्वेसी निर्णय, SCC, BCR |
| उल्लंघन सूचना सीमा | सभी उल्लंघन | केवल वे जो व्यक्तिगत अधिकारों को जोखिम में डालें |
| स्वतंत्र नियामक | DPBI, TDSAT में अपील | राष्ट्रीय DPA, EDPB के माध्यम से समन्वय |
| निजी वाद अधिकार | कोई नहीं | सदस्य राष्ट्र के अनुसार भिन्न |
| अधिकतम जुर्माना | ₹250 करोड़ (लगभग 30 मिलियन अमेरिकी डॉलर) | 20 मिलियन यूरो या वैश्विक वार्षिक कारोबार का 4% |
व्यावसायिक अनुपालन: व्यावहारिक कदम
DPDP अधिनियम के अधीन आने वाले संगठनों को 13 मई 2027 को चरण 3 के प्रभावी होने से पहले निम्नलिखित कदमों पर काम करना चाहिए।
डेटा मैपिंग। भारतीय निवासियों के बारे में एकत्र, संग्रहीत, या संसाधित सभी डिजिटल व्यक्तिगत डेटा की पहचान करें। डेटा प्रवाह, प्रसंस्करण उद्देश्यों, प्रतिधारण अवधि, और तीसरे पक्ष को प्रकटीकरण को मैप करें।
सहमति सूचना ऑडिट। सभी सहमति सूचनाओं और संग्रहण बिंदुओं की समीक्षा करें। सुनिश्चित करें कि प्रत्येक सूचना में एकत्र किया जाने वाला डेटा, उद्देश्य, अधिकारों का प्रयोग कैसे किया जा सकता है, और DPBI से शिकायत कैसे करें, स्पष्ट रूप से दर्शाया गया हो। सूचनाओं को हिंदी और अपने उपयोगकर्ता आधार के लिए प्रासंगिक किसी भी अन्य अनुसूचित भाषा में अनूदित करें।
वैधानिक-आधार समीक्षा। प्रत्येक प्रसंस्करण गतिविधि के लिए यह पहचानें कि क्या यह सहमति पर आधारित है या किसी सूचीबद्ध वैध उपयोग पर। जो गतिविधियां GDPR के वैध हित पर निर्भर थीं, लेकिन जिनका DPDP में कोई समकक्ष वैध उपयोग नहीं है, उन्हें या तो सहमति की आवश्यकता होगी या उन्हें बंद करना होगा।
बच्चों के डेटा की गेटिंग। 18 वर्ष से कम आयु के उपयोगकर्ताओं के लिए सुलभ प्लेटफॉर्मों हेतु आयु-सत्यापन तंत्र लागू करें। यदि बच्चों के डेटा का प्रसंस्करण दायरे में आता है, तो एक सत्यापन योग्य अभिभावकीय सहमति वर्कफ़्लो तैयार करें। सत्यापित बाल उपयोगकर्ताओं के लिए व्यवहार संबंधी निगरानी और लक्षित विज्ञापन अक्षम करें।
उल्लंघन प्रतिक्रिया प्रक्रिया। एक उल्लंघन पहचान, आंतरिक एस्केलेशन, और DPBI सूचना वर्कफ़्लो बनाएं और परखें जो 72 घंटे की समय-सीमा को पूरा करता हो। यह दायित्व जागरूक होने की तारीख से लागू होता है, न कि उल्लंघन की तारीख से।
SDF तैयारी। यदि आपका संगठन SDF नामांकन के लिए योग्य हो सकता है, तो औपचारिक नामांकन से पहले ही DPO नियुक्ति, वार्षिक DPIA, और स्वतंत्र ऑडिट के लिए प्रारंभिक कार्य शुरू करें।
सहमति प्रबंधक मूल्यांकन। विचार करें कि क्या DPBI-पंजीकृत सहमति प्रबंधक के साथ, इसके चरण 2 लॉन्च (13 नवंबर 2026) पर, एकीकृत होने से आपके कई उत्पाद लाइनों या साझेदार प्लेटफॉर्मों में सहमति प्रबंधन संरचना सरल हो जाएगी।
विक्रेता अनुबंध। डेटा प्रसंस्करण समझौतों की समीक्षा करें। यद्यपि DPDP अधिनियम, GDPR के अनुच्छेद 28 जितनी स्पष्टता से लिखित DPA आवश्यकताएं निर्दिष्ट नहीं करता, मजबूत संविदात्मक सुरक्षा और उल्लंघन सूचना दायित्व सर्वोत्तम व्यवहार हैं और नियमों के सुरक्षा उपाय अधिदेश के अनुरूप हैं।
भारत में रिकॉर्डिंग और संचार अवरोधन (इंटरसेप्शन) पर लागू संबंधित सहमति कानून व्यवस्था के लिए, देखें भारत रिकॉर्डिंग कानून।
यह लेख भारत के डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023, और DPDP नियम, 2025 के बारे में सामान्य विधिक जानकारी प्रदान करता है। यह विधिक सलाह नहीं है। यह जानकारी 19 मई 2026 तक आधिकारिक सरकारी स्रोतों के विरुद्ध सत्यापित की गई थी। कानून और क्रियान्वयन संबंधी मार्गदर्शन में परिवर्तन हो सकता है। अपनी विशिष्ट अनुपालन स्थिति के बारे में सलाह के लिए भारत में विधि व्यवसाय हेतु लाइसेंस प्राप्त वकील से परामर्श करें।
Frequently Asked Questions
DPDP अधिनियम 2023 क्या है?
डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 (संख्या 22, वर्ष 2023) डिजिटल व्यक्तिगत डेटा के प्रसंस्करण को नियंत्रित करने वाला भारत का पहला व्यापक कानून है। संसद ने इसे 11 अगस्त 2023 को पारित किया। यह डेटा फिडूशियरी और डेटा प्रिंसिपल की भूमिकाएं स्थापित करता है, प्रसंस्करण के वैधानिक आधार निर्धारित करता है, व्यक्तिगत अधिकार बनाता है, और नियामक प्रवर्तन निकाय के रूप में भारत के डेटा संरक्षण बोर्ड का गठन करता है। इसे क्रियान्वित करने वाले DPDP नियम MeitY द्वारा 13 नवंबर 2025 को अधिसूचित किए गए थे।
DPDP अधिनियम पूर्ण रूप से कब प्रभावी होता है?
यह अधिनियम तीन चरणों वाले क्रियान्वयन के माध्यम से लागू किया जा रहा है। चरण 1, 13 नवंबर 2025 को प्रभावी हुआ, जिसमें डेटा संरक्षण बोर्ड की स्थापना हुई। चरण 2, 13 नवंबर 2026 को सहमति प्रबंधक पंजीकरण ढांचे को सक्रिय करता है। चरण 3, जिसमें सहमति सूचनाओं, डेटा प्रिंसिपल अधिकारों, उल्लंघन सूचना, और महत्वपूर्ण डेटा फिडूशियरी आवश्यकताओं सहित सभी मूल दायित्वों का पूर्ण अनुपालन आवश्यक है, 13 मई 2027 को प्रभावी होता है।
DPDP अधिनियम के तहत अधिकतम दंड क्या हैं?
अनुसूची 1 के तहत सबसे अधिक दंड ₹250 करोड़ (लगभग 30 मिलियन अमेरिकी डॉलर) है, जो व्यक्तिगत डेटा उल्लंघन का कारण बनने वाली युक्तियुक्त सुरक्षा उपायों को लागू करने में विफलता के लिए है। बोर्ड और प्रभावित व्यक्तियों को डेटा उल्लंघन की सूचना देने में विफलता, तथा बच्चों के डेटा दायित्वों के उल्लंघन, प्रत्येक के लिए ₹200 करोड़ तक का दंड है। महत्वपूर्ण डेटा फिडूशियरी उल्लंघनों के लिए ₹150 करोड़ तक का दंड है। अधिनियम या नियमों के अन्य सभी उल्लंघनों के लिए ₹50 करोड़ तक का दंड है। डेटा प्रिंसिपल कर्तव्य उल्लंघनों के लिए ₹10,000 तक का दंड है। कोई भी दंड लगाने से पहले DPBI को जांच करनी होगी।
क्या भारतीय व्यक्तिगत डेटा को भारत के बाहर स्थानांतरित किया जा सकता है?
हां। DPDP अधिनियम, धारा 16 के तहत एक नेगेटिव-लिस्ट दृष्टिकोण अपनाता है: व्यक्तिगत डेटा को किसी भी देश में स्थानांतरित किया जा सकता है, जब तक कि केंद्र सरकार विशेष रूप से उस क्षेत्राधिकार को प्रतिबंधित न करे। मई 2026 तक, केंद्र सरकार ने प्रतिबंधित क्षेत्राधिकारों की कोई सूची प्रकाशित नहीं की थी, इसलिए सभी देशों को हस्तांतरण अभी भी अनुमत है। बिना किसी अनिवार्य संक्रमण अवधि के प्रतिबंध लगाए जा सकते हैं; संगठनों को MeitY की अधिसूचनाओं पर नजर रखनी चाहिए।
क्या DPDP अधिनियम विदेशी कंपनियों पर लागू होता है?
हां। यह अधिनियम भारत के बाहर डिजिटल व्यक्तिगत डेटा के प्रसंस्करण पर लागू होता है, जब यह भारत में स्थित डेटा प्रिंसिपलों को वस्तुएं या सेवाएं प्रदान करने से जुड़ा हो। भारतीय-भाषा ऐप देने वाली, भारतीय रुपये में भुगतान स्वीकार करने वाली, या अन्यथा भारतीय उपभोक्ताओं को लक्षित करने वाली विदेशी कंपनियों को, चाहे वे कहीं भी निगमित हों, अपने DPDP अधिनियम अनुपालन दायित्वों का आकलन करना होगा।
DPDP अधिनियम बच्चों के डेटा को किस प्रकार संभालता है?
यह अधिनियम 18 वर्ष से कम आयु के किसी भी व्यक्ति को बालक के रूप में परिभाषित करता है। किसी बालक का व्यक्तिगत डेटा संसाधित करने से पहले, डेटा फिडूशियरी को सत्यापन योग्य अभिभावकीय सहमति प्राप्त करनी होगी, जिसमें अभिभावक की पहचान, आयु, और माता-पिता-बालक संबंध का सत्यापन शामिल है। बच्चों को लक्षित व्यवहार संबंधी निगरानी, ट्रैकिंग, और विज्ञापन स्पष्ट रूप से निषिद्ध हैं। केंद्र सरकार, सत्यापन योग्य सुरक्षित डेटा प्रसंस्करण प्रदर्शित करने वाली विशिष्ट डेटा फिडूशियरी के लिए इस सीमा को घटाकर 16 या 13 वर्ष कर सकती है; मई 2026 तक ऐसा कोई नामांकन नहीं किया गया था।
DPDP अधिनियम के तहत सहमति प्रबंधक क्या है?
सहमति प्रबंधक, डेटा संरक्षण बोर्ड के साथ पंजीकृत एक ऐसी इकाई है जो व्यक्तियों को एक ही अंतर-संचालनीय इंटरफेस के माध्यम से कई प्लेटफॉर्मों पर अपनी डेटा प्रसंस्करण सहमतियों का प्रबंधन करने देती है। सहमति प्रबंधकों का भारत में निगमित कंपनी होना, न्यूनतम ₹2 करोड़ की निवल संपत्ति रखना, AES-256 एन्क्रिप्शन लागू करना, और डेटा प्रिंसिपलों के प्रति न्यासीय क्षमता में कार्य करना आवश्यक है। सहमति प्रबंधक पंजीकरण ढांचा, क्रियान्वयन के चरण 2 के तहत 13 नवंबर 2026 को सक्रिय होता है।
महत्वपूर्ण डेटा फिडूशियरी (Significant Data Fiduciary) क्या है?
महत्वपूर्ण डेटा फिडूशियरी (SDF), केंद्र सरकार द्वारा नामित एक ऐसी डेटा फिडूशियरी है, जिसका नामांकन वह जो व्यक्तिगत डेटा संसाधित करती है उसकी मात्रा और संवेदनशीलता, डेटा प्रिंसिपलों को हानि के जोखिम, या भारत की संप्रभुता, सुरक्षा, या सार्वजनिक व्यवस्था पर संभावित प्रभाव के आधार पर किया जाता है। SDF को भारत-आधारित डेटा संरक्षण अधिकारी नियुक्त करना, वार्षिक डेटा संरक्षण प्रभाव आकलन करना, स्वतंत्र वार्षिक ऑडिट कराना, और एक एल्गोरिदमिक ऑडिटर नियुक्त करना आवश्यक है। उन्हें डेटा स्थानीयकरण आवश्यकताओं का भी सामना करना पड़ सकता है। मई 2026 तक, MeitY ने प्रारंभिक SDF सूची प्रकाशित नहीं की थी।
DPDP अधिनियम का संवैधानिक आधार क्या है?
DPDP अधिनियम, उच्चतम न्यायालय की नौ-न्यायाधीशों की पीठ के K.S. Puttaswamy (Retd.) v. Union of India, (2017) 10 SCC 1 फैसले पर आधारित है, जिसमें सर्वसम्मति से कहा गया था कि गोपनीयता एक मौलिक अधिकार है जिसकी जड़ें भारत के संविधान के अनुच्छेद 14, 19, और 21 में हैं। Puttaswamy फैसले ने गोपनीयता में राज्य के हस्तक्षेप पर आनुपातिकता मानक लागू किया और दो पूर्ववर्ती निर्णयों को पलट दिया जिन्होंने संवैधानिक गोपनीयता संरक्षण से इनकार किया था। DPDP अधिनियम की प्रस्तावना स्पष्ट रूप से इस संवैधानिक अधिदेश का उल्लेख करती है।
DPDP अधिनियम, GDPR से किस प्रकार भिन्न है?
मुख्य अंतर: DPDP अधिनियम केवल डिजिटल व्यक्तिगत डेटा को कवर करता है जबकि GDPR सभी व्यक्तिगत डेटा को कवर करता है; DPDP अधिनियम में कोई व्यापक 'वैध हित' वैधानिक आधार नहीं है; यह संवेदनशील-डेटा की अलग श्रेणियां नहीं बनाता; इसमें डेटा पोर्टेबिलिटी और स्वचालित निर्णयों पर आपत्ति के अधिकार शामिल नहीं हैं; यह केवल उन उल्लंघनों के बजाय जो व्यक्तिगत अधिकारों को जोखिम में डालते हैं, सभी उल्लंघनों की सूचना अनिवार्य बनाता है; और यह एडिक्वेसी निर्णयों के बजाय सीमापार हस्तांतरण के लिए नेगेटिव-लिस्ट मॉडल का उपयोग करता है। DPDP अधिनियम के सहमति प्रबंधक ढांचे का GDPR में कोई समकक्ष नहीं है। अधिनियम का अधिकतम दंड ₹250 करोड़, GDPR की 20 मिलियन यूरो या वैश्विक वार्षिक कारोबार के 4% की सीमा से कम है।
IT अधिनियम 2000 के तहत SPDI नियमों का स्थान क्या लेगा?
DPDP अधिनियम, सूचना प्रौद्योगिकी अधिनियम, 2000 की धारा 43A, और सूचना प्रौद्योगिकी (युक्तियुक्त सुरक्षा व्यवहार एवं प्रक्रियाएं तथा संवेदनशील व्यक्तिगत डेटा या सूचना) नियम, 2011 का स्थान लेगा, जब चरण 3 के प्रावधान 13 मई 2027 को पूर्ण रूप से प्रभावी होंगे। तब तक, SPDI से संभावित रूप से जुड़े संगठनों को दोनों व्यवस्थाओं को समवर्ती रूप से लागू मानना चाहिए और उच्चतर मानक अपनाना चाहिए।
क्या DPDP अधिनियम निजी वाद अधिकार (private right of action) बनाता है?
नहीं। DPDP अधिनियम के तहत प्रवर्तन केवल भारत के डेटा संरक्षण बोर्ड के माध्यम से होता है। व्यक्तिगत डेटा प्रिंसिपलों को DPDP अधिनियम के उल्लंघनों के लिए किसी दीवानी अदालत में सीधे डेटा फिडूशियरी पर मुकदमा करने का अधिकार नहीं है। DPBI के समक्ष शिकायत दर्ज करने और अनसुलझी शिकायतों को TDSAT तक बढ़ाने का अधिकार ही प्राथमिक व्यक्तिगत उपचार है।
Sources and References
- डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 - इलेक्ट्रॉनिकी और सूचना प्रौद्योगिकी मंत्रालय (MeitY)(meity.gov.in).gov
- डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 (संख्या 22, वर्ष 2023) - आधिकारिक राजपत्र पाठ(meity.gov.in).gov
- इंडिया कोड: डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023(indiacode.nic.in).gov
- इंडिया कोड: डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 - पूर्ण पाठ PDF(indiacode.nic.in).gov
- सरकार ने नागरिकों को सशक्त बनाने और गोपनीयता की रक्षा हेतु DPDP नियम अधिसूचित किए - PIB, नवंबर 2025(pib.gov.in).gov
- DPDP नियम 2025 - प्रेस सूचना ब्यूरो पूर्ण दस्तावेज़(static.pib.gov.in).gov
- डिजिटल व्यक्तिगत डेटा संरक्षण नियम, 2025 - MeitY आधिकारिक पृष्ठ(meity.gov.in).gov
- DPDP अधिनियम और नियमों के तहत स्टार्टअप और कुछ डेटा फिडूशियरी के लिए सरलीकृत अनुपालन ढांचा - PIB(pib.gov.in).gov
- K.S. Puttaswamy (Retd.) v. Union of India, (2017) 10 SCC 1 - भारत के उच्चतम न्यायालय का डिजिटल SCR(digiscr.sci.gov.in).gov
- डिजिटल व्यक्तिगत डेटा संरक्षण विधेयक, 2023 - PRS विधायी अनुसंधान(prsindia.org)
- नियम अंतिम होने के साथ, भारत का DPDPA लागू हुआ - IAPP(iapp.org)
- भारत के DPDPA के शीर्ष 10 परिचालन प्रभाव: सीमापार डेटा हस्तांतरण - IAPP(iapp.org)
- भारत के DPDPA के शीर्ष 10 परिचालन प्रभाव: प्रवर्तन और डेटा संरक्षण बोर्ड - IAPP(iapp.org)
- डेटा संरक्षण कानून एवं विनियम रिपोर्ट 2025-2026 भारत - ICLG(iclg.com)