जो संगठन व्यक्तिगत डेटा के उल्लंघनों को नोटिस करते हैं, उन्हें तुरंत उपयोगकर्ताओं को सचेत करना होगा और उन्हें डेटा प्रोटेक्शन बोर्ड को फ़्लैग करना होगा, जिसके बाद 72 घंटों के भीतर विस्तृत फाइलिंग करनी होगी। मामले से वाकिफ एक शख्स ने बताया कि सरकार इस हफ्ते इस मामले पर ड्राफ्ट रूल्स जारी कर सकती है।
बोर्ड को दी जाने वाली पहली रिपोर्ट में उल्लंघन की प्रकृति, उसका स्थान, अवधि, शामिल डेटा की मात्रा और उसके संभावित प्रभाव को निर्दिष्ट करना होगा, जबकि विस्तृत रिपोर्ट में उन परिस्थितियों और कारणों को शामिल करना होगा जिनके कारण उल्लंघन हुआ, और जोखिम को कम करने के लिए कदम उठाने होंगे। उपयोगकर्ता और पुनरावृत्ति को रोकें।
नियम एक सहमति विरूपण साक्ष्य वास्तुकला की भी परिकल्पना कर सकते हैं – अनिवार्य रूप से, डेटा प्रिंसिपलों (उपयोगकर्ताओं) और डेटा फ़िडुशियरी (डेटा को संभालने वाली कंपनियां) के लिए एक इलेक्ट्रॉनिक विधि जो डेटा उपयोग पर सहमति देने या वापस लेने और उस सहमति को प्रबंधित करने या समीक्षा करने पर एक-दूसरे को सूचित करती है।
डिजिटल पर्सनल डेटा प्रोटेक्शन (डीपीडीपी) अधिनियम, डेटा सुरक्षा पर भारत का पहला कानून, अगस्त में प्रभावी हुआ, और अधिनियम के तहत आगामी नियम प्रौद्योगिकी कंपनियों द्वारा अनुपालन के लिए आधार तैयार करेंगे। अधिनियम में इतना जुर्माना निर्धारित किया गया है ₹डेटा उल्लंघन के मामले में 250 करोड़। औसत उपयोगकर्ता के लिए, नियम किसी भी इकाई द्वारा उनकी जानकारी तक पहुंचने, सहमति वापस लेने और व्यक्तिगत डेटा को सही करने या मिटाने के लिए तंत्र और उल्लंघन के मामलों में निवारण के तंत्र को सक्षम करने का अधिकार देते हैं।
कानूनी विशेषज्ञों ने बताया कि प्रस्तावित नियमों से अनुपालन बोझ बढ़ सकता है, क्योंकि कंपनियों को पहले से ही छह घंटे के भीतर साइबर सुरक्षा प्रयासों का समन्वय करने वाली सरकारी एजेंसी, भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम (सर्टिफिकेट-इन) को उल्लंघनों की रिपोर्ट करनी होती है।
“संगठनों को साइबर सुरक्षा घटनाओं की ट्रिपल रिपोर्टिंग करनी होगी। ऐसी विनियामक स्थिति किसी कंपनी पर भारी बोझ बढ़ाती है, जिसमें कंपनियों को, बुरे दिन में, आदर्श रूप से उल्लंघन के लिए अपने सभी प्रयास करने चाहिए। इसके बजाय, अनुपालन में स्वयं बहुत अधिक प्रयास करना पड़ेगा,” एक कानूनी फर्म के एक वरिष्ठ भागीदार ने, जो नाम नहीं बताना चाहता था, कहा।
एक दूसरे वकील ने कहा, औसत उपयोगकर्ता के लिए सहमति तंत्र को सरल बनाने की जरूरत है, साथ ही यह भी कहा कि उन स्थितियों में एक लिंकेज की आवश्यकता होगी जहां उपयोगकर्ताओं द्वारा स्वेच्छा से डेटा दिया जाता है, उदाहरण के लिए, भौतिक लेनदेन करते समय।
“किसी रेस्तरां में उपयोगकर्ता विवरण दर्ज करते समय, किसी सहमति अनुबंध पर सहमति नहीं बनती है। लेकिन उपयोगकर्ता को डेटा अनुमति अस्वीकार करने का अधिकार है। जब सहमति लेन-देन के तरीके से दी जाती है, तो डेटा सहमति के लिए एक सरलीकृत लिंकेज तंत्र की आवश्यकता होती है। लेकिन इसके अभाव में, यह चुनौतियां खड़ी कर सकता है,” वकील ने कहा।
नियमों में 18 वर्ष से कम उम्र के लोगों के डेटा के प्रसंस्करण के लिए माता-पिता या कानूनी अभिभावक से सत्यापन योग्य सहमति के लिए एक तंत्र विकसित करने का भी प्रस्ताव हो सकता है। नियम उन विश्वसनीय विवरणों का उपयोग करने का सुझाव देते हैं जो डेटा फ़िडुशियरी के पास हो सकते हैं, या डिजिटल टोकन का उपयोग करके जो माता-पिता या अभिभावक का विवरण प्रदान करते हैं, जो सरकार द्वारा या डिजिटल लॉकर सेवा प्रदाता के माध्यम से अधिकृत किया जाएगा। फिलहाल सरकार के पास अपनी डिजीलॉकर सुविधा है जिसका इस्तेमाल बड़ी संख्या में लोग करते हैं।
नियम यह भी प्रस्तावित करते हैं कि डेटा फ़िडुशियरी को उपयोगकर्ता डेटा के प्रसंस्करण के लिए सहमति लेने के लिए उपयोगकर्ताओं को नोटिस देने की आवश्यकता है, जिसमें फ़िडुशियरी द्वारा उपयोग किए जा रहे व्यक्तिगत डेटा, प्रसंस्करण के उद्देश्य और प्रसंस्करण करने वाली सेवाओं या वस्तुओं का विस्तृत विवरण शामिल होना चाहिए। उपयोगकर्ता को प्रदान करेगा. एक घोषणा कि केवल विशेष व्यक्तिगत डेटा जिसे इस उद्देश्य के लिए संसाधित करने की आवश्यकता है, संसाधित किया जाएगा।
व्यक्तिगत डेटा के प्रसंस्करण के लिए सहमति मांगने वाले प्रत्येक नोटिस का रिकॉर्ड कंपनी द्वारा सहमति अवधि की समाप्ति तक बनाए रखा जाना चाहिए। नियमों को लागू करने से पहले दी गई सहमति के लिए, डेटा फ़िडुशियरीज़ को उपयोगकर्ताओं को फिर से सूचित करना होगा।
नियम सहमति प्रबंधकों की अवधारणा का भी सुझाव देते हैं, जो कि अधिक नेटवर्थ वाली भारतीय कंपनियां हैं ₹2 करोड़, सात साल तक रिकॉर्ड बनाए रखना और किसी भी प्रदर्शन या अनुपालन को उपठेके पर देने से रोक दिया गया है।
इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी (आईटी) राज्य मंत्री (एमओएस) राजीव चंद्रशेखर ने बताया था पुदीना पिछले महीने एक बातचीत में कहा गया था कि सरकार जनवरी की शुरुआत में सार्वजनिक परामर्श के लिए मसौदा नियम जारी करने का इरादा रखती है, जो “सहमति प्रबंधन, आयु-गेटिंग और अन्य क्षेत्रों” पर विवरण प्रदान करेगी। उन्होंने कहा था कि संस्थाओं को अनुपालन के लिए पर्याप्त समयसीमा मिलेगी। नियमों के साथ, जहां बिग टेक को छह महीने की विंडो मिल सकती है, वहीं सरकारी निकायों और छोटी कंपनियों को अनुपालन के लिए 12 से 18 महीने की विंडो मिल सकती है।
