आपका डेटा, उनके नियम: भारत का नया डेटा संरक्षण ढांचा आपके लिए क्या मायने रखता है

यहां एक सवाल है जो अधिकांश भारतीयों से कभी नहीं पूछा गया: क्या आप जानते हैं कि किन कंपनियों के पास आपका आधार नंबर, फोन नंबर, लोकेशन हिस्ट्री, और खर्च पैटर्न है — और वे उस जानकारी के साथ क्या कर रही हैं?

2023 तक, जवाब था: कोई नहीं जानता था, और कानूनी रूप से कोई बताने को बाध्य नहीं था। भारत के पास कोई व्यापक डेटा सुरक्षा कानून नहीं था। आपका व्यक्तिगत डेटा — फूड डिलीवरी ऐप्स जो आपकी लोकेशन ट्रैक करते हैं से लेकर EdTech प्लेटफॉर्म जो आपके बच्चे की सीखनै की आदतें रिकॉर्ड करते हैं — एक नियामक शून्य में मौजूद था।

वो युग समाप्त हो रहा है। लेकिन नया युग जटिल है।

DPDP Act दरअसल क्या कहता है

अगस्त 2023 में पारित डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम भारत का पहला व्यापक ढांचा बनाता है कि व्यक्तिगत डेटा कैसे एकत्र, संग्रहित, संसाधित और हटाया जा सकता है। परिचालन नियम — जो निर्दिष्ट करते हैं कि कंपनियों को वास्तव में कैसे अनुपालन करना चाहिए — 2025 के अंत से चरणबद्ध प्रवर्तन शुरू हुआ।

आपकी सहमति अब मायने रखती है

हर ऐप, वेबसाइट, या सेवा जो आपका व्यक्तिगत डेटा एकत्र करती है, उसे ऐसा करने से पहले आपकी स्पष्ट, सूचित सहमति प्राप्त करनी होगी:

• 40 पन्नों की शर्तों में छिपे पहले से टिक किए गए सहमति बॉक्स अब नहीं चलेंगे
• कंपनियों को सरल भाषा में बताना होगा कि वे कौन सा डेटा एकत्र कर रही हैं और क्यों
• आप किसी भी समय सहमति वापस ले सकते हैं

भूल जाने का अधिकार

पहली बार, भारतीय नागरिकों के पास कानूनी मिटाने का अधिकार है। आप किसी भी कंपनी से अनुरोध कर सकते हैं कि वे आपके सभी व्यक्तिगत डेटा को स्थायी रूप से हटा दें। कंपनी को पालन करना होगा — या जुर्माना भरना होगा।

उल्लंघन अधिसूचना — 72 घंटे

यदि किसी कंपनी को डेटा उल्लंघन होता है जो आपकी व्यक्तिगत जानकारी को प्रभावित करता है, तो उन्हें CERT-In और आपको 72 घंटे के भीतर सूचित करना होगा। अब चुपचाप उल्लंघनों को छिपाना और उम्मीद करना कि कोई नोटिस नहीं करेगा — काम नहीं करेगा।

स्टार्टअप्स के लिए इसका क्या मतलब है

NASSCOM का अनुमान है कि शुरुआती चरण के स्टार्टअप्स डेटा सुरक्षा अनुपालन पर सालाना ₹5-15 लाख खर्च करेंगे। "₹20 लाख प्रति माह बर्न करने वाले 10 लोगों के स्टार्टअप के लिए, ₹10 लाख की वार्षिक अनुपालन लागत मामूली नहीं है," पूर्व NASSCOM डेटा संरक्षण परिषद अध्यक्ष रमा वेदश्री ने कहा। "लेकिन विकल्प — ₹250 करोड़ का जुर्माना — अस्तित्वगत है।"

बच्चों के डेटा की समस्या

शायद EdTech उद्योग के लिए सबसे परिणामकारी प्रावधान: बच्चों के डेटा (18 वर्ष से कम) को संसाधित करने के लिए सत्यापन योग्य अभिभावकीय सहमति आवश्यक है। इसका मतलब BYJU'S, Unacademy, और Vedantu जैसे प्लेटफॉर्म केवल स्कूल साइनअप फॉर्म के माध्यम से बच्चे का डेटा एकत्र नहीं कर सकते।

प्रवर्तन का सवाल

कानून मौजूद है। नियम लागू हो रहे हैं। लेकिन प्रवर्तन — वो हिस्सा जो वास्तव में मायने रखता है — भारत की ऐतिहासिक कमज़ोरी बना हुआ है।

"कानून उतने ही अच्छे हैं जितना उनका प्रवर्तन," इंटरनेट फ्रीडम फाउंडेशन के कार्यकारी निदेशक अपार गुप्ता ने कहा। "भारत में मज़बूत उपभोक्ता संरक्षण कानून भी हैं। किसी भी उपभोक्ता से पूछिए कि निवारण पाना कितना आसान है।"

अगले बारह महीने बताएंगे कि DPDP Act भारत का GDPR बनता है — एक ढांचा जो वास्तव में कॉर्पोरेट व्यवहार बदलता है — या एक और अच्छे इरादों वाला कानून जिसके आसपास कंपनियां नेविगेट करना सीख लेती हैं। अभी नियम कागज़ पर हैं। परीक्षा यह है कि वे आपके फोन तक पहुंचते हैं या नहीं।