Data Protection Rules: कंपनियों पर बढ़ सकता है पालन का भार; उल्लंघन की रिपोर्टिंग समयसीमा पर भी स्पष्टता जरूरी

डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 के तहत ड्राफ्ट किए गए नियमों को सुझाव के लिए सार्वजनिक किया जा चुका है. 18 फरवरी तक इनसे जुड़े सुझाव दिए जा चुके हैं.

लेकिन इन प्रस्तावित नियमों की डिटेल्स जानने के बाद कुछ चिंताएं भी सामने आ रही हैं. इनमें डेटा उल्लंघन के रिपोर्टिंग टाइम से लेकर भारतीय बिजनेसेज के लिए बढ़ी हुई कागजी कार्रवाई तक शामिल है.

डेटा उल्लंघन रिपोर्टिंग टाइमलाइन से जुड़ी चिंताएं

BTG अदवाया में कालिंदिनी भाटिया के मुताबिक, 'DPDPA रूल्स, 2025 के ड्राफ्ट कुछ पहलुओं पर स्पष्ट नहीं हैं, जैसे व्यक्तिगत डेटा उल्लंघनों की रिपोर्टिंग के लिए समयसीमा का स्पष्ट उल्लेख नहीं है.'

वे कहती हैं, 'ड्राफ्ट में कहा गया है कि बिना देर किए अपराध की रिपोर्टिंग की जानी चाहिए. बल्कि ये जान पाना मुश्किल होगा कि नोटिफिकेशन इस उपबंध के साथ जारी किया गया है या नहीं.' भाटिया ने बताया कि 2022 में CERT-In के जरिए 6 घंटे की समयसीमा तय की गई थी. लेकिन इस पर काम करना मुश्किल है. 72 घंटे की अधिकतम सीमा तार्किक है और ये यूरोपियन जनरल डेटा प्रोटेक्शन रेगुलेशन प्रोविजन से भी मेल खाती है.

इंटरनेशनल डेटा ट्रांसफर पर साफगोई

नियमों से इशारा मिल रहा है कि सरकार देशों और क्षेत्रों की एक लिस्ट पब्लिश कर सकती है, इन्हें पर्सनल डेटा ट्रांसफर नहीं किया जा सकेगा. BTG अदवाया की भाटिया ने कहा कि ड्राफ्ट नियमों से क्रॉ़स बॉर्डर डेटा ट्रांसफर नहीं रुकता. वहीं JSA के सुरेश ने कहा कि नियमों से भारत के बाहर डेटा के ट्रांसफर बड़े पैमाने पर प्रतिबंधों की व्यवस्था बनाई जाएगी.

भाटिया ने कहा, 'जहां भी किसी दूसरे देश या संबंधित देश के किसी संस्थान को भारतीयों का व्यक्तिगत डेटा उपलब्ध कराना होता है, वहां सरकार के पास नियम बनाने का अधिकार होता है. ये बिना किसी तर्क के लगाए गए प्रतिबंध नहीं हैं. दूसरे देशों द्वारा भारतीय नागरिकों के डेटा के इस्तेमाल से जुड़ी चिंताएं बेवजह नहीं हैं. फिलहाल स्थिति ये है कि क्रॉस बॉर्डर डेटा ट्रांसफर पर प्रतिबंध नहीं है.'

वहीं JSA के सुरेश कहते हैं कि इन प्रतिबंधों से ना केवल कमर्शियल उद्देश्यों के लिए, बल्कि अन्य देशों की सर्विलांस या कानूनी एजेंसियों के साथ भी डेटा शेयर करना मुश्किल हो जाएगा. BDO इंडिया में पार्टनर विकास बंसल ने भी सहमति जताई कि आगे इनमें और साफगोई की जरूरत है.

सोशल मीडिया फर्म्स और भारतीय कंपनियों पर नियमों का भार बढ़ेगा

भाटिया ने कहा कि प्लेटफॉर्म्स को DPDPA और इसके नियमों का पालन करने के लिए ज्यादा वक्त और ज्यादा संसाधन लगाना पड़ेगा. उन्होंने कहा, 'वास्तविकता ये है कि अगर कोई संस्थान GDPR का पहले से ही पालन कर रहा है, तो नए नियमों का पालन करना कोई बहुत बड़ी बात नहीं है, लेकिन ठीक इसी वक्त क्रॉस डेटा सेलिंग और मनमाफिक ढंग से लक्षित एडवर्टाइजिंग बंद होगी, खासतौर पर जब कम उम्र के यूजर्स को निशाना बनाया जा रहा हो.'

नियमों के मुताबिक 2 करोड़ से ज्यादा रजिस्टर्ड यूजर्स वाले सोशल मीडिया प्लेटफॉर्म्स 'Significant Data Fiduciaries' के तहत आते हैं और अब इन्हें डेटा प्रोटेक्शन ऑफिसर रखना, एनुअल डेटा ऑडिट, डेटा इम्पैक्ट एसेसमेंट और डेटा लोकलाइजेशन जरूरतों का पालन करना जरूरी होगा.

बंसल कहते हैं, 'नए नियम पहले की आम जरूरतों जैसे; सहमति की जरूरत, यूजर एक्सेस, डेटा रिटेंशन, सिक्योरिटी सेफगार्ड से कहीं ज्यादा है. नए नियमों में प्राइवेसी प्रोटेकॉल की अतिरिक्त अनिवार्यताएं बढ़ेंगी, सोशल मीडिया प्लेटफॉर्म्स को निश्चित तौर पर डेटा प्राइवेसी ऑफिस पर काम करना शुरू करना होगा.'