जब भी आप किसी ऐप में लॉगिन करते हैं, सोशल मीडिया पर स्क्रॉल करते हैं, ऑनलाइन खरीदारी करते हैं या अपनी जानकारी साझा करते हैं, तब आप अपनी जानकारी किसी और को दे रहे होते हैं। जैसे आपका नाम, पता, लोकेशन, पसंद, और कभी-कभी आपकी बायोमेट्रिक या व्यवहार से जुड़ी जानकारी भी। मतलब, आप हर वक्त “डेटा ऑब्ज़र्वेशन” के दायरे में होते हैं।
अब सोचिए, अगर ये डेटा गलत तरीके से इस्तेमाल हो जाए? या आपको यह पता ही न चले कि आपकी जानकारी कैसे, कहाँ और किसके साथ साझा हो रही है? ऐसे में डेटा प्रोटेक्शन लॉ आपकी सुरक्षा के लिए है।
इस ब्लॉग में हम समझेंगे कि कानून आपके डेटा के बारे में क्या कहता है, कंपनियों की क्या जिम्मेदारियाँ हैं, आप अपने अधिकार कैसे इस्तेमाल कर सकते हैं, और अगर आपका डेटा गलत तरीके से इस्तेमाल हो जाए, तो आप क्या कर सकते हैं।
क्या आप को कानूनी सलाह की जरूरत है ?
कानून के अनुसार पर्सनल डेटा का मतलब क्या है?
डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट (DPDPA) के तहत, “पर्सनल डेटा” का मतलब है, किसी व्यक्ति से जुड़ी वो डिजिटल जानकारी जिससे उसकी पहचान सीधे या अप्रत्यक्ष रूप से की जा सकती है।
जैसे आपका नाम, मोबाइल नंबर, ईमेल आईडी, लोकेशन, ऑनलाइन यूज़र आईडी, या आपके ऑनलाइन व्यवहार का रिकॉर्ड, ये सब पर्सनल डेटा माने जाते हैं।
यह क्यों ज़रूरी है: क्योंकि अगर कोई जानकारी “पर्सनल डेटा” की श्रेणी में आती है, तो उस पर कानून लागू होता है। इसका मतलब, आपके पास अपने डेटा से जुड़े अधिकार हैं, और कंपनियों पर आपकी जानकारी को सुरक्षित रखने की ज़िम्मेदारी है।
पर्सनल डेटा पर कौन सा कानून लागू होता है?
डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 (DPDPA)
यह कानून संसद द्वारा पारित किया गया और 11 अगस्त 2023 को राष्ट्रपति की मंज़ूरी मिली। यह भारत में डिजिटल पर्सनल डेटा के प्रोसेसिंग (यानी डेटा के उपयोग, संग्रह या स्टोरेज) पर लागू होता है। इसकी एक खास बात यह है कि अगर कोई विदेशी कंपनी भारतीय लोगों को सेवाएँ या सामान देती है और उनका डेटा इस्तेमाल करती है, तो यह कानून उस पर भी लागू होता है।
इस कानून में दो प्रमुख भूमिकाएँ बताई गई हैं:
- डेटा प्रिंसिपल: यानी वो व्यक्ति जिसका डेटा है (आप या मैं)।
- डेटा फिड्युशियरी: यानी वो कंपनी या कंपनी जो उस डेटा को इकट्ठा और इस्तेमाल करती है।
यह कानून दोनों के अधिकार और ज़िम्मेदारियाँ तय करता है।
डिजिटल पर्सनल डेटा प्रोटेक्शन रूल्स, 2025
साल 2025 में सरकार ने ड्राफ्ट रूल्स जारी किए हैं ताकि इस कानून को ज़मीनी स्तर पर कैसे लागू किया जाएगा, यह स्पष्ट हो सके। इन नियमों में बताया गया है —
- डेटा लेने से पहले सहमति कैसे ली जाएगी,
- डेटा लीक होने पर क्या करना होगा,
- विदेशों में डेटा ट्रांसफर के नियम क्या होंगे,
- बड़ी कंपनियों के लिए अतिरिक्त सुरक्षा जिम्मेदारियाँ क्या होंगी।
ये नियम कानून को लागू करने की पूरी प्रक्रिया को आसान और स्पष्ट बनाते हैं।
आपके डेटा से जुड़े अधिकार – एक डेटा प्रिंसिपल के रूप में आपके डिजिटल सुरक्षा के साधन
डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट (DPDPA) के तहत, हर व्यक्ति जिसे डेटा प्रिंसिपल कहा जाता है, को अपने व्यक्तिगत डेटा से जुड़े कुछ खास अधिकार दिए गए हैं। ये अधिकार आपके डिजिटल सेल्फ-डिफेन्स के औज़ार हैं, यानी आप अपने डेटा पर खुद का नियंत्रण रख सकते हैं।
डेटा तक पहुंचने का अधिकार (Right of Access)
आपको यह अधिकार है कि आप किसी भी कंपनी या संस्था से पूछ सकें —
- आपके बारे में कौन-सा डेटा उनके पास है,
- वह डेटा क्यों और किस उद्देश्य से इस्तेमाल किया जा रहा है,
- और किसके साथ साझा किया गया है।
इसका मतलब यह है कि कोई भी कंपनी आपके डेटा को छिपाकर नहीं रख सकता। आप पारदर्शिता (Transparency) की मांग कर सकते हैं।
गलत डेटा को ठीक कराने या हटाने का अधिकार (Right of Correction or Erasure)
- अगर आपके बारे में रखी गई जानकारी गलत, पुरानी या अधूरी है, तो आप कंपनी से उसे सुधारने या हटाने की मांग कर सकते हैं।
- अगर आप नहीं चाहते कि आपकी जानकारी अब और इस्तेमाल हो, तो आप “भूल जाने का अधिकार” (Right to be Forgotten) भी इस्तेमाल कर सकते हैं।
- इससे आप सुनिश्चित कर सकते हैं कि आपकी पुरानी या अनचाही जानकारी इंटरनेट पर न बनी रहे।
सुप्रीम कोर्ट ने के.एस. पुट्टस्वामी बनाम यूनियन ऑफ़ इंडिया के फैसले में कहा कि निजता का अधिकार, भारतीय संविधान के अनुच्छेद 21 (जीवन और व्यक्तिगत स्वतंत्रता के अधिकार) का हिस्सा है।
इसी फैसले ने “Right to be Forgotten” की अवधारणा को भी मान्यता दी। यानी अगर कोई व्यक्ति चाहता है कि उसकी पुरानी या अप्रासंगिक व्यक्तिगत जानकारी अब सार्वजनिक न रहे, तो उसे हटाने की मांग करने का अधिकार है। यह फैसला भारत में डिजिटल निजता (Digital Privacy) की दिशा में एक बड़ा कदम माना गया है।
सहमति वापस लेने का अधिकार (Right to Withdraw Consent)
- आपका डेटा तभी इस्तेमाल किया जा सकता है जब आपने स्पष्ट और स्वतंत्र रूप से सहमति दी हो।
- अगर बाद में आप चाहें, तो आप यह सहमति वापस ले सकते हैं। यानी कंपनी को कहना होगा कि वे आपका डेटा आगे इस्तेमाल न करें।
- इसका मतलब है कि आपकी जानकारी पर नियंत्रण हमेशा आपका रहेगा, न कि कंपनी का।
डेटा को कहीं और ट्रांसफर कराने का अधिकार (Right to Data Portability)
यह अधिकार ड्राफ्ट रूल्स में प्रस्तावित है। आप अपने डेटा की एक कॉपी मशीन-रीडेबल फॉर्मेट में मांग सकते हैं ताकि आप उसे किसी और प्लेटफॉर्म या सेवा में ट्रांसफर कर सकें। जैसे, अगर आप एक ऐप से दूसरी ऐप पर जाना चाहते हैं, तो आपका डेटा आसानी से आपके साथ जा सकेगा।
शिकायत करने का अधिकार (Right to Lodge Complaints)
- अगर आपको लगता है कि आपका डेटा गलत तरीके से इस्तेमाल हुआ है, या कंपनी ने आपके अधिकारों को अनदेखा किया है, तो आप डेटा प्रोटेक्शन बोर्ड ऑफ इंडिया में शिकायत कर सकते हैं।
- यह बोर्ड आपके अधिकारों की रक्षा के लिए बनाया गया है और डेटा उल्लंघन पर सख्त कार्रवाई कर सकता है।
कंपनियों की कानूनी ज़िम्मेदारियाँ: आपका डेटा सुरक्षित रखना उनका कर्तव्य
डेटा प्रोटेक्शन कानून सिर्फ लोगों के अधिकारों की ही नहीं, बल्कि कंपनियों और कंपनियों की ज़िम्मेदारियों की भी बात करता है, यानी जो आपकी जानकारी इकट्ठा करते हैं, उन्हें उसका सही और सुरक्षित उपयोग करना जरूरी है।
1. डेटा प्रोसेस करने से पहले वैध सहमति लेना जरूरी है
- कोई भी कंपनी आपकी व्यक्तिगत जानकारी को बिना आपकी साफ़ और समझदारी भरी सहमति के इस्तेमाल नहीं कर सकता।
- आपको पहले बताया जाना चाहिए कि कौन-सा डेटा लिया जाएगा, क्यों लिया जाएगा, और उसका उपयोग कहाँ होगा।
- अगर आप चाहें तो अपनी सहमति कभी भी वापस भी ले सकते हैं।
2. उद्देश्य की सीमा
- डेटा सिर्फ उसी स्पष्ट और वैध कारण के लिए इस्तेमाल किया जा सकता है, जिसके लिए आपने सहमति दी है।
- उदाहरण के लिए — अगर आपने किसी ऑनलाइन शॉपिंग साइट को डिलीवरी के लिए अपना पता दिया है, तो वह पता किसी विज्ञापन कंपनी को नहीं दिया जा सकता।
3. डेटा की मात्रा और अवधि पर सीमा
कंपनी को सिर्फ उतनी ही जानकारी इकट्ठा करनी चाहिए जितनी वाकई ज़रूरी हो। साथ ही, उसे डेटा को उतने ही समय तक रखना चाहिए जितना उसके उद्देश्य के लिए आवश्यक है। अनावश्यक या पुराना डेटा मिटा देना चाहिए।
4. सुरक्षा उपाय
कंपनी को आपकी जानकारी को सुरक्षित रखने के लिए एन्क्रिप्शन, पासवर्ड सुरक्षा, एक्सेस कंट्रोल, और नियमित ऑडिट जैसी तकनीकें अपनानी चाहिए। अगर डेटा चोरी या हैकिंग होती है, तो यह कंपनी की जिम्मेदारी होगी कि उसने उचित सुरक्षा रखी या नहीं।
5. डेटा लीक होने पर सूचना देना
अगर किसी कंपनी के पास से डेटा लीक या चोरी हो जाती है, तो उसे तुरंत ड्राफ्ट नियमों के अनुसार 72 घंटे के अंदर डेटा प्रोटेक्शन बोर्ड और प्रभावित व्यक्तियों को इसकी जानकारी देना जरूरी है। इससे यूज़र्स को समय रहते सतर्क किया जा सकेगा।
6. महत्वपूर्ण डेटा प्रोसेस करने वाले कंपनियों की अतिरिक्त जिम्मेदारी
कुछ बड़ी कंपनियाँ या संस्थाएँ, जो लाखों लोगों का डेटा संभालती हैं, उन्हें “Significant Data Fiduciaries” कहा गया है। उन्हें अतिरिक्त नियमों का पालन करना होगा, जैसे:
- डेटा प्रोटेक्शन इम्पैक्ट असेसमेंट (DPIA) करना
- डेटा प्रोटेक्शन अफसर (DPO) नियुक्त करना
- डेटा एल्गोरिदम को न्यायसंगत और पारदर्शी रखना
- विदेशों में डेटा भेजने के लिए नियमों का पालन करना
7. विदेशों में डेटा ट्रांसफर के नियम
अगर कोई कंपनी आपका डेटा भारत से बाहर भेजना चाहती है (जैसे विदेशी सर्वर पर), तो उसे यह सुनिश्चित करना होगा कि वह देश या कंपनी भारत के डेटा सुरक्षा मानकों का पालन करती हो। सरकार कुछ देशों को डेटा ट्रांसफर के लिए अनुमति या प्रतिबंधित सूची में रख सकती है।
डेटा प्रोटेक्शन बोर्ड ऑफ इंडिया की भूमिका
जब किसी व्यक्ति का निजी डेटा गलत तरीके से इस्तेमाल होता है या बिना अनुमति शेयर कर दिया जाता है, तो लोग अक्सर नहीं जानते कि शिकायत कहाँ करें। यही काम करने के लिए सरकार ने डेटा प्रोटेक्शन बोर्ड ऑफ इंडिया की व्यवस्था की है, यह संस्था आपके डिजिटल अधिकारों की सुरक्षा सुनिश्चित करती है।
बोर्ड क्या करता है?
- अगर किसी कंपनी, बैंक, ऐप या वेबसाइट ने आपके डेटा का दुरुपयोग किया है, तो आप DPB में ऑनलाइन शिकायत दर्ज कर सकते हैं।
- बोर्ड आपके केस की जाँच करता है, संबंधित कंपनी से जवाब मांगता है और सुनवाई के बाद निर्णय देता है।
- अगर गलती साबित होती है, तो कंपनी पर जुर्माना लगाया जाता है या अन्य सख्त कार्रवाई की जाती है।
- बोर्ड यह भी तय करता है कि डेटा उल्लंघन की स्थिति में कंपनी को कितनी जल्दी लोगों को सूचित करना चाहिए।
जब डेटा लीक होने पर क्या सजा हो सकती है?
अगर कोई कंपनी या ऐप आपकी जानकारी सुरक्षित नहीं रख पाता, तो उस पर ₹250 करोड़ तक का जुर्माना लगाया जा सकता है।
अगर गलती गंभीर हो, तो कंपनी पर सुधारात्मक आदेश भी लगाए जा सकते हैं, जैसे:
- गलत या अवैध रूप से रखे गए डेटा को डिलीट करने का आदेश,
- डेटा प्रोसेसिंग को अस्थायी रूप से रोक देना,
- या विदेश में डेटा ट्रांसफर करने पर रोक लगाना।
अगर आपका डेटा लीक हो जाए तो क्या करें?
- तुरंत कंपनी या बैंक को जानकारी दें।
- पासवर्ड बदलें और साइबर पुलिस या DPB में शिकायत करें।
- आप मुआवज़े के लिए भी आवेदन कर सकते हैं, यानी आपको आर्थिक नुकसान हुआ हो तो उसकी भरपाई मांगी जा सकती है।
याद रखें: डेटा का लीक होना सिर्फ “टेक्निकल गलती” नहीं, बल्कि कानूनी अपराध भी है।
डिजिटल प्राइवेसी की सुरक्षा के लिए ज़रूरी कदम
आज के डिजिटल दौर में अपनी जानकारी की सुरक्षा आपके अपने हाथ में भी है। नीचे दिए गए आसान कदम अपनाएँ —
- अपने डिजिटल अकाउंट्स की जाँच करें: देखें कि आपने किन-किन ऐप्स या वेबसाइट्स को अपनी जानकारी दी है — जैसे ईमेल, मोबाइल नंबर या लोकेशन।
- प्राइवेसी नोटिस ध्यान से पढ़ें: हर कंपनी को बताना होता है कि वह आपका डेटा कैसे और क्यों इस्तेमाल कर रही है, इसे हमेशा पढ़ें।
- अपने अधिकारों का इस्तेमाल करें: अगर कोई डेटा गलत है या आप नहीं चाहते कि वह इस्तेमाल हो, तो आप उसे सुधारने या डिलीट कराने का हक रखते हैं।
- मज़बूत सुरक्षा उपाय अपनाएँ: हमेशा मज़बूत पासवर्ड, 2FA और नियमित अकाउंट जाँच रखें। अनजान वेबसाइट्स को एक्सेस न दें।
- विदेश में डेटा ट्रांसफर पर सावधानी रखें: अगर आपका डेटा भारत के बाहर भेजा जा रहा है, तो कंपनी से पूछें कि वह इसे सुरक्षित कैसे रख रही है।
- गलत इस्तेमाल होने पर तुरंत रिपोर्ट करें: अगर आपको लगे कि आपकी जानकारी का गलत उपयोग हुआ है, तो सबूत रखें और तुरंत शिकायत करें।
- सबूत हमेशा सँभालकर रखें: कोई डेटा लीक या दुरुपयोग हो, तो उसके स्क्रीनशॉट, ईमेल या चैट रिकॉर्ड सुरक्षित रखें। ये कानूनी रूप से काम आएंगे।
- नियमों की नई जानकारी लेते रहें: सरकार के नए डेटा सुरक्षा नियम समय-समय पर बदलते रहते हैं, इसलिए अपडेटेड रहें और समझें कि वे आप पर कैसे लागू होते हैं।
निष्कर्ष
आज के डिजिटल जमाने में, जब हमारी ज़िंदगी की हर बात, हमारी आदतें, पसंद, पहचान और बातचीत, ऑनलाइन होती जा रही है, प्राइवेसी अब कोई ऐशो-आराम नहीं बल्कि एक ज़रूरी अधिकार बन चुकी है।
भारत का नया डेटा प्रोटेक्शन कानून यह साफ कहता है कि अब कंपनियाँ आपके डेटा को अपनी संपत्ति नहीं, बल्कि एक जिम्मेदारी और भरोसे के रूप में संभालेंगी।
अब ताकत आपके हाथ में है, आप पूछ सकते हैं कि आपका डेटा कौन इस्तेमाल कर रहा है, क्यों कर रहा है, और आप यह भी तय कर सकते हैं कि कब रुकना है। यह सिर्फ़ कंपनियों के पालन की बात नहीं है, यह इस बात की भी है कि आप अपने डिजिटल अधिकारों के लिए कितने जागरूक हैं।
याद रखिए — आपका डेटा, आप ही हैं। और कानून कहता है “आपके पास अधिकार हैं, उन्हें पहचानिए और इस्तेमाल कीजिए।”
किसी भी कानूनी सहायता के लिए लीड इंडिया से संपर्क करें। हमारे पास लीगल एक्सपर्ट की पूरी टीम है, जो आपकी हर संभव सहायता करेगी।
FAQs
1. डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 के तहत मुझे कौन-कौन से अधिकार मिले हैं?
आपको अपने डेटा को देखने, सही करवाने या डिलीट करवाने का हक है। आप अपनी सहमति वापस ले सकते हैं, और अगर आपका डेटा गलत तरीके से इस्तेमाल हुआ है तो शिकायत कर सकते हैं।
2. किन संगठनों को यह कानून मानना होगा?
हर वो कंपनी या संस्था जो भारत में डिजिटल डेटा इकट्ठा या प्रोसेस करती है, यहाँ तक कि विदेशी कंपनियाँ भी, अगर वे भारतीय यूज़र्स को सेवा या सामान देती हैं।
4. क्या मेरा डेटा भारत से बाहर भेजा जा सकता है?
हाँ, लेकिन कुछ शर्तों के साथ। कंपनी को यह साबित करना होगा कि डेटा सुरक्षित रहेगा और सरकार द्वारा तय नियमों का पालन किया जा रहा है।
5. अगर कोई कंपनी मेरे डेटा का गलत इस्तेमाल करे तो क्या होगा?
कंपनी पर भारी जुर्माना लग सकता है (कई करोड़ रुपये तक) । डेटा प्रोटेक्शन बोर्ड जाँच करेगा और ज़रूरत पड़ने पर कंपनी को डेटा डिलीट या प्रोसेसिंग रोकने का आदेश दे सकता है।
एडवोकेट से पूछे सवाल