Daily Current Affairs for UPSC : 14 Jan 2025 : Draft Digital Personal Data Protection Rules, 2025/डिजिटल पर्सनल डेटा प्रोटेक्शन ड्राफ्ट नियम, 2025

The government has released the Draft Digital Personal Data Protection Rules, 2025, for public consultation. Once notified, these Rules will aid in implementing the Digital Personal Data Protection Act, 2023 (DPDP Act) effectively.

Key Highlights of the Draft Rules:

1. Data Fiduciaries

Major tech companies, including Meta, Google, Apple, Microsoft, and Amazon, are expected to be categorized as significant data fiduciaries.

2. Data Protection Officer (DPO):

• Responsible for responding to communications from Data Principals (individuals whose data is processed).
• Must:
  • Be based in India.
  • Report directly to the Board of Directors or an equivalent governing body.

3. Transparency Requirements:

Data Fiduciaries are required to provide clear and accessible information about how personal data is processed, enabling users to give informed consent.

4. Restriction on Data Flow:

• The government will specify the types of personal data that can be processed by significant data fiduciaries.
• Certain personal data cannot be transferred outside Indian territory.

5. Rights for Citizens:

Citizens are empowered to:

• Demand data erasure.
• Appoint digital nominees.
• Use user-friendly mechanisms to manage their data.

6. For Children:

Tech companies must implement systems to collect verifiable parental consent before processing children’s personal data.

7. Data Protection Board:

• Operates as a digital office using a platform and app.
• Facilitates citizens in lodging complaints digitally and ensures resolution.

8. Data Breach Management

• Data Fiduciaries must notify affected individuals promptly in case of data breaches, along with measures to mitigate risks.
• Failure to take adequate safeguards can result in penalties of up to ₹250 crore.

About the Digital Personal Data Protection Act, 2023:

1. Background

• Initiated by the Justice B.N. Srikrishna Committee in 2017.
• The first draft was introduced in 2018, followed by amendments in 2019 and 2021.
• Replaced by the Digital Personal Data Protection Bill, 2022.

2. Scope

• Applies to the processing of digital personal data collected online or offline (and later digitized) within India.
• Covers data processing outside India if linked to offering goods or services in India.

3. Consent

• Data processing is allowed only for lawful purposes with the individual’s consent.
• Consent exemptions include:
  • Voluntary sharing of data by the individual.
  • Processing by the State for permits, licenses, or services.

4. Obligations for Data Fiduciaries:

• Maintain data accuracy.
• Ensure data security.
• Delete data once its purpose is fulfilled.

5. Rights of Individuals

Individuals have the right to:

• Access information about their data.
• Seek correction and erasure.
• Utilize grievance redressal mechanisms.

6. Exemptions

Government agencies may be exempt for reasons such as national security, public order, and crime prevention.

7. Data Protection Board (DPB)

• Handles non-compliance with the Act.
• Possesses civil court powers to address personal data breach complaints.
• Members are appointed for two years and may be reappointed.
• The central government will determine the Board’s structure and selection process.

Summary:

The Draft Rules aim to establish a robust data protection framework by ensuring accountability for Data Fiduciaries, empowering individuals with rights over their personal data, and enhancing transparency and grievance redressal mechanisms. This initiative underscores India’s commitment to data sovereignty and privacy protection, fostering a secure and vibrant digital economy.

डिजिटल पर्सनल डेटा प्रोटेक्शन ड्राफ्ट नियम, 2025

संदर्भ

सरकार ने डिजिटल पर्सनल डेटा प्रोटेक्शन ड्राफ्ट नियम, 2025 को सार्वजनिक परामर्श के लिए जारी किया है। इन नियमों के अधिसूचित होने के बाद, ये डिजिटल पर्सनल डेटा प्रोटेक्शन अधिनियम, 2023 (DPDP अधिनियम) को प्रभावी रूप से लागू करने में सहायता करेंगे।

1. डेटा फिड्यूशियरी

• मेटा, गूगल, एप्पल, माइक्रोसॉफ्ट और अमेज़न जैसी प्रमुख टेक कंपनियों को महत्वपूर्ण डेटा फिड्यूशियरी के रूप में नामित किया जा सकता है।

2. डेटा प्रोटेक्शन अधिकारी (DPO)

• डेटा प्रिंसिपल (जिस व्यक्ति का डेटा प्रोसेस किया जा रहा है) से संचार का उत्तर देने के लिए जिम्मेदार।
• आवश्यकताएं:
• भारत में आधारित हो।
• महत्वपूर्ण डेटा फिड्यूशियरी के बोर्ड ऑफ डायरेक्टर्स या समान शासी निकाय को रिपोर्ट करे।

3. पारदर्शिता आवश्यकताएं:

• डेटा फिड्यूशियरी को यह सुनिश्चित करना होगा कि व्यक्तिगत डेटा कैसे प्रोसेस किया जा रहा है, इस पर स्पष्ट और सुलभ जानकारी दी जाए ताकि उपयोगकर्ता सूचित सहमति दे सकें।

4. डेटा प्रवाह पर प्रतिबंध:

• केंद्र सरकार यह निर्दिष्ट करेगी कि कौन से प्रकार के व्यक्तिगत डेटा को महत्वपूर्ण डेटा फिड्यूशियरी द्वारा प्रोसेस किया जा सकता है।
• कुछ व्यक्तिगत डेटा भारत के बाहर स्थानांतरित नहीं किया जा सकता।

5. नागरिकों के अधिकार:

• नागरिक निम्नलिखित कर सकते हैं:
  • डेटा मिटाने की मांग।
  • डिजिटल नामांकित व्यक्ति नियुक्त करना।
  • अपने डेटा को प्रबंधित करने के लिए उपयोगकर्ता-अनुकूल तंत्र तक पहुंच।

6. बच्चों के लिए

• टेक कंपनियों को बच्चों के व्यक्तिगत डेटा प्रोसेस करने से पहले “सत्यापन योग्य” माता-पिता की सहमति प्राप्त करने के लिए तंत्र लागू करना होगा।

7. डेटा प्रोटेक्शन बोर्ड

• डिजिटल प्लेटफॉर्म और ऐप के साथ डिजिटल कार्यालय के रूप में कार्य करता है।
• नागरिकों की शिकायतों को डिजिटल रूप से सक्षम बनाता है और उनका निपटारा करता है।

8. डेटा उल्लंघन प्रबंधन

• डेटा फिड्यूशियरी को डेटा उल्लंघन के मामले में प्रभावित व्यक्तियों को तुरंत सूचित करना होगा और जोखिम को कम करने के उपायों की रूपरेखा प्रस्तुत करनी होगी।
• उल्लंघन को रोकने के लिए पर्याप्त सुरक्षा उपायों की अनुपस्थिति पर जुर्माना ₹250 करोड़ तक हो सकता है।

डिजिटल पर्सनल डेटा प्रोटेक्शन अधिनियम, 2023 के बारे में:

1. पृष्ठभूमि:

• 2017 में जस्टिस बी.एन. श्रीकृष्णा समिति द्वारा शुरू किया गया।
• डेटा प्रोटेक्शन बिल का पहला मसौदा 2018 में पेश किया गया।
• 2019 और 2021 में संशोधन के बाद इसे 2022 में डिजिटल पर्सनल डेटा प्रोटेक्शन बिल के रूप में प्रतिस्थापित किया गया।

2. दायरा:

• भारत में ऑनलाइन या ऑफलाइन एकत्रित और बाद में डिजिटाइज़ किए गए डिजिटल व्यक्तिगत डेटा के प्रोसेसिंग को कवर करता है।
• भारत के बाहर उस प्रोसेसिंग पर भी लागू होता है जो भारत में वस्तुओं या सेवाओं की पेशकश से संबंधित है।

3. सहमति:

• व्यक्तिगत डेटा का प्रोसेसिंग केवल कानूनी उद्देश्य के लिए और व्यक्ति की सहमति के बाद ही किया जा सकता है।
• सहमति के बिना प्रोसेसिंग उन वैध उपयोगों के लिए अनुमति दी जा सकती है जैसे स्वेच्छा से डेटा साझा करना या राज्य द्वारा परमिट, लाइसेंस और सेवाओं के लिए प्रोसेसिंग।

4. डेटा फिड्यूशियरी की जिम्मेदारियां:

• डेटा की सटीकता बनाए रखें।
• डेटा की सुरक्षा सुनिश्चित करें।
• उद्देश्य पूरा होने के बाद डेटा हटा दें।

5. व्यक्तियों के अधिकार

• निम्नलिखित का अधिकार:
• जानकारी प्राप्त करना।
• सुधार और मिटाने की मांग करना।
• शिकायत निवारण तंत्र तक पहुंच।

6. छूट

• सरकारी एजेंसियों को राष्ट्रीय सुरक्षा, सार्वजनिक व्यवस्था और अपराध की रोकथाम जैसे उद्देश्यों के लिए छूट दी जा सकती है।

7. डेटा प्रोटेक्शन बोर्ड (DPB):

• अधिनियम के प्रावधानों का पालन न करने से संबंधित मामलों को संभालता है।
• व्यक्तिगत डेटा उल्लंघन शिकायतों को संबोधित करने के लिए दीवानी न्यायालय की शक्तियों से सुसज्जित।
• बोर्ड के सदस्य दो साल के लिए नियुक्त किए जाएंगे और पुनर्नियुक्ति के पात्र होंगे।
• केंद्र सरकार बोर्ड की संरचना और चयन प्रक्रिया निर्धारित करेगी।

सारांश:

ड्राफ्ट नियम डेटा फिड्यूशियरी के लिए जवाबदेही सुनिश्चित करके, नागरिकों को उनके व्यक्तिगत डेटा पर अधिकार देकर, और पारदर्शिता और शिकायत निवारण के लिए तंत्र प्रदान करके एक मजबूत डेटा संरक्षण ढांचा स्थापित करने का लक्ष्य रखते हैं। यह ढांचा डेटा संप्रभुता और गोपनीयता संरक्षण के प्रति भारत की प्रतिबद्धता को रेखांकित करता है और एक सुरक्षित डिजिटल अर्थव्यवस्था को बढ़ावा देता है।