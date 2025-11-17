भारत में अब डिजिटल डेटा की सुरक्षा को लेकर एक नया दौर शुरू हो गया है. इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY) ने Digital Personal Data Protection (DPDP) Rules 2025 को लागू कर दिया है. ये नियम DPDP Act 2023 को पूरी तरह ऑपरेशनल बनाते हैं. नए नियमों का मुख्य उद्देश्य नागरिकों को अपनी व्यक्तिगत जानकारियों पर अधिक नियंत्रण देना और कंपनियों को डेटा को सुरक्षित रखने की कड़ी जिम्मेदारियों के तहत लाना है. अब यह फ्रेमवर्क सोशल मीडिया प्लेटफॉर्म्स, डिजिटल सर्विसेज, ऑनलाइन पोर्टल्स और किसी भी ऐसी संस्था पर लागू है जो यूजर का व्यक्तिगत डेटा संभालती है.

यूजर्स को अब मिलेगा ज्यादा कंट्रोल

इन नए नियमों के तहत हर यूजर को अब यह साफ-साफ बताया जाएगा कि कौन-सा डेटा लिया जा रहा है, क्यों लिया जा रहा है और उसका इस्तेमाल किस तरह किया जाएगा. पहले कई ऐप और वेबसाइट डेटा इकट्ठा तो कर लेते थे, लेकिन जानकारी पूरी तरह स्पष्ट नहीं होती थी. अब यूजर्स यानी Data Principals को अपनी जानकारी पर अधिक अधिकार दिए गए हैं, जबकि डेटा को प्रोसेस करने वाली कंपनियों यानी Data Fiduciaries पर सख्त निर्देश लगाए गए हैं.

कंपनियों को डेटा कैसे संभालना होगा?

DPDP Rules 2025 यह तय करते हैं कि किसी भी प्रकार का व्यक्तिगत डेटा कैसे इकट्ठा किया जाएगा, कैसे प्रोसेस किया जाएगा, उसे कैसे सुरक्षित रखा जाएगा और कितने समय तक स्टोर किया जा सकेगा. सरकारी विभाग और प्राइवेट दोनों कंपनियों को ये मानक फॉलो करने होंगे. डेटा की सुरक्षा के लिए कंपनियों को मजबूत तकनीक अपनानी होगी—जैसे एन्क्रिप्शन, मास्किंग, टोकनाइजेशन और सख्त एक्सेस कंट्रोल. हर गतिविधि का कम से कम एक साल तक लॉग रखना होगा और सुरक्षित बैकअप अनिवार्य होगा.

किसी डेटा प्रोसेसर के साथ बने कॉन्ट्रैक्ट में भी सुरक्षा से जुड़े क्लॉज अनिवार्य होंगे. अगर कहीं डेटा ब्रीच होता है तो Data Fiduciary को तुरंत प्रभावित यूजर को सूचित करना होगा—क्या हुआ, कितना नुकसान हो सकता है, कंपनी ने कौन-से कदम उठाए और किससे संपर्क किया जा सकता है—सब कुछ स्पष्ट रूप से बताना होगा. साथ ही, ब्रीच को 72 घंटे के भीतर Data Protection Board को रिपोर्ट करना होगा.

बच्चों के डेटा पर सख्ती

DPDP Rules बच्चों के डेटा को लेकर और भी ज्यादा संवेदनशील हैं. 18 साल से कम उम्र के बच्चे की कोई भी व्यक्तिगत जानकारी तभी प्रोसेस की जा सकती है जब उसके माता-पिता या गार्जियन की वेरिफाइड कंसेंट मिले. इसके लिए कंपनियों को पहचान और उम्र की पुष्टि करनी होगी—जैसे Digital Locker आधारित वेरिफिकेशन या सुरक्षित टोकन सिस्टम. बिना वेरिफाइड कंसेंट के किसी भी बच्चे का डेटा लेना पूरी तरह प्रतिबंधित है.

भारत से बाहर डेटा ट्रांसफर के नियम

नए नियम व्यक्तिगत डेटा को भारत से बाहर भेजने की परमिशन देते हैं, लेकिन यह केवल केंद्र सरकार द्वारा निर्धारित शर्तों के तहत ही होगा. इसका मतलब है कि डेटा विदेश भेजा जा सकता है, लेकिन केवल तभी जब सरकार की ओर से जारी सामान्य या विशेष आदेशों का पालन किया जा रहा हो. इससे यह सुनिश्चित होता है कि विदेशी कंपनियां भारत के नागरिकों के डेटा का दुरुपयोग न कर सकें.

कैसे और कब लागू होंगे ये नियम?

हालांकि नियम अब आधिकारिक रूप से जारी हो चुके हैं, लेकिन इन्हें चरणबद्ध तरीके से लागू किया जाएगा. कुछ प्रावधान तुरंत प्रभाव से लागू हो गए हैं, जबकि बाकी को अगले 12 से 18 महीनों में स्टेप-बाय-स्टेप लागू किया जाएगा. इस दौरान कंपनियों को अपनी पूरी सिस्टम को नए मानकों के हिसाब से अपडेट करना होगा—यूजर्स को क्लियर नोटिस देना, सुरक्षा स्टैंडर्ड बनाए रखना, डेटा ब्रीच रिपोर्ट करना, डेटा रिटेंशन मैनेज करना और यूजर्स को अपना डेटा एक्सेस, करेक्ट या डिलीट करने में आसानी देना. जो कंपनियां Significant Data Fiduciaries के रूप में वर्गीकृत होंगी, उन्हें अतिरिक्त जिम्मेदारियां भी निभानी होंगी, क्योंकि उनके पास आमतौर पर ज्यादा मात्रा में संवेदनशील डेटा होता है.