भारत में डिजिटल डेटा सुरक्षा को मजबूत करने की दिशा में बड़ा कदम उठाते हुए सरकार ने डिजिटल पर्सनल डेटा प्रोटेक्शन (DPDP) ऐक्ट के तहत नई एडमिनिस्ट्रेटिव रूल्स जारी किए हैं। इन नियमों के लागू होने के बाद देश में कंसेंट मैनेजर्स (Consent Managers) की भूमिका और जिम्मेदारियां पहले से कहीं अधिक बढ़ जाएंगी। विशेषज्ञों का कहना है कि नई नियमावली कंपनियों, प्लेटफॉर्म्स और टेक स्टार्टअप्स के लिए ऑपरेशंस में बड़े बदलाव की मांग करेगी।
किसे कंसेंट मैनेजर के रूप में रजिस्टर होना होगा?
सरकार के मुताबिक, भारत में रजिस्टर्ड और कम से कम 20 मिलियन नेटवर्थ वाली कंपनियों को अगले 12 महीनों के भीतर कंसेंट मैनेजर के रूप में और रजिस्ट्रेशन कराना अनिवार्य होगा। इन कंसेंट मैनेजर्स को डेटा प्रोटेक्शन बोर्ड (DPB) के साथ रजिस्टर्ड होना होगा साथ में बोर्ड द्वारा समय-समय पर जारी किए गए सभी नियमों और प्रक्रियाओं का पालन करना होगा। यानी, आने वाले महीनों में भारत के डिजिटल इकोसिस्टम में कंसेंट मैनेजर्स का काम पहले से कहीं ज्यादा महत्वपूर्ण और संवेदनशील हो जाएगा।
यूजर की हर सहमति का रिकॉर्ड रखना अनिवार्य
नए नियमों के अनुसार कंसेंट मैनेजर्स को यूजर की हर प्रकार की सहमति का अद्यतन रिकॉर्ड रखना होगा – चाहे वह सहमति दी गई हो, नकार दी गई हो या वापस ली गई हो। साथ ही, उन्हें डेटा फिड्यूशियरी (जैसे – ऐप, वेबसाइट, बैंक, ई-कॉमर्स कंपनियाँ) द्वारा भेजे गए नोटिस, सहमति के उद्देश्य (Purpose) और सहमति कब वापस ली गई इन सभी जानकारियों का सही तरीके से दस्तावेजीकरण करना होगा।
7 साल तक रिकॉर्ड रखना जरूरी
नई नियमावली ने साफ किया है कि यूजर को अपने डेटा तक हर समय पहुँच (Access) मिलना चाहिए। कंसेंट मैनेजर्स को इस डेटा का रिकॉर्ड कम से कम 7 साल तक सुरक्षित रखना होगा। यदि किसी कानून या यूजर-प्लेटफॉर्म समझौते में इससे अधिक अवधि का उल्लेख हो, तो समय सीमा और भी बढ़ सकती है। यह कदम डिजिटल पारदर्शिता को मजबूत करने के उद्देश्य से उठाया गया है।
कंपनियों को अपने सिस्टम में बड़े बदलाव करने होंगे
सराफ एंड पार्टनर्स के पार्टनर अक्षय एस. नंदा के अनुसार कंसेंट मैनेजर्स और इंटरनेट इंटरमीडियरीज को अपने ऑपरेशंस में बड़े बदलाव करने पड़ेंगे। इन्हें ऐसे सिस्टम तैयार करने होंगे जो हर टचपॉइंट पर यूजर की सहमति रिकॉर्ड करें, हर उद्देश्य (Purpose) के अनुसार अलग-अलग सहमति लें, एक-क्लिक में सहमति वापस लेने (One-click withdrawal) की सुविधा दें, नियमित ऑडिट लॉग बनाएं और री-कंसेंट मैनेजमेंट को सपोर्ट करें।
नंदा के अनुसार संगठन दो राहों पर खड़े हैं या तो DPDP ऐक्ट को एक परिवर्तनकारी सुधार मानकर बड़े स्तर पर बदलाव करें या फिर सिर्फ “नियमों को दिखाने भर” के लिए ज़मीनी स्तर पर सुधार करें। जो कंपनियाँ आधे-अधूरे बदलाव करेंगी, उन्हें मई 2027 से लागू होने वाली सख्त पेनल्टी और कानूनी कार्रवाई का सामना करना पड़ सकता है।
कंसेंट मैनेजर्स अपने दायित्व सब-कॉन्ट्रैक्ट नहीं कर पाएंगे
नए नियमों में स्पष्ट कर दिया गया है कि कंसेंट मैनेजर्स अपने किसी भी दायित्व को सब-कॉन्ट्रैक्ट या किसी अन्य इकाई को असाइन नहीं कर सकते। इससे कंसेंट मैनेजमेंट, डेटा गवर्नेंस और डेटा प्रोटेक्शन ऑफिसर (DPO) की भूमिका और भी महत्वपूर्ण हो जाएगी।
CISO और DPO की जिम्मेदारियों में विस्तार
आईडैंटिटी वेरिफिकेशन फर्म IDfy के CEO अशोक हरिहरन का कहना है कि अब CISO (Chief Information Security Officer) की भूमिका सिर्फ सुरक्षा तक सीमित नहीं रहेगी। उन्हें प्रोडक्ट डिज़ाइन में कंसेंट, डेटा गवर्नेंस और प्राइवेसी-बाई-डिज़ाइन को भी इंटीग्रेट करना होगा। हर समूह की हर यूनिट को अब अलग DPO रखना होगा, जो कंसेंट की निगरानी, डेटा गवर्नेंस, थर्ड-पार्टी रिस्क, ब्रेच रिस्पॉन्स, टिकटिंग और कानूनी अनुपालन जैसे कार्य संभालेगा।
डेटा गवर्नेंस होगी सबसे बड़ी प्राथमिकता
ब्यूरो के हेड ऑफ देवऑप्स और इंफोसेक संदीप रघुवंशी कहते हैं कि नए नियमों के साथ सबसे बड़ी प्राथमिकता डेटा गवर्नेंस होगी। यदि कोई संस्था व्यक्तिगत पहचान योग्य जानकारी (PII) जुटाती है, तो उसे यह साफ बताना होगा कि डेटा कितने समय तक रखा जाएगा और किस उद्देश्य के लिए इस्तेमाल होगा।
DPDP ऐक्ट के नए नियम भारत में एक मजबूत डिजिटल डेटा प्रोटेक्शन इकोसिस्टम की दिशा में महत्वपूर्ण कदम हैं। कंपनियों, प्लेटफॉर्म्स और टेक सेक्टर्स को अब डेटा सुरक्षा को मुख्य बिजनेस रणनीति का हिस्सा बनाना होगा। आने वाले महीनों में कंसेंट मैनेजर्स डिजिटल दुनिया के सबसे महत्वपूर्ण स्तंभों में से एक बनने वाले हैं।
