इलेक्ट्रॉनिकी एवं सूचना प्रौद्योगिकी मंत्रालय ने हाल ही में ‘डिजिटल पर्सनल डाटा प्रोटेक्शन रूल्स 2025’ का मसौदा सार्वजनिक फीडबैक के लिए जारी कर दिया। इससे पहले ‘डिजिटल पर्सनल डेटा प्रोटेक्शन ऐक्ट 2023’ यानी डीपीडीपी आया था, जो अगस्त 2023 में कानून बना। नियम इस लिहाज से अहम हैं कि ये इस अधिनियम के क्रियान्वयन ढांचे का विस्तृत ब्योरा मुहैया कराते हैं। अधिनियम तथा नियम दोनों व्यक्तिगत डिजिटल उपयोगकर्ताओं को ‘डेटा प्रिंसिपल’ (यानी जिसका डेटा है) के रूप में पेश करते हैं और अधिनियम से उम्मीद है कि वह लोगों को उनकी निजी सूचनाओं पर बेहतर नियंत्रण मुहैया कराएगा। ऐसा स्पष्ट सहमति की आवश्यकता और पहुंच के अधिकार, डेटा में सुधार तथा उसे मिटाने जैसे प्रावधानों की मदद से संभव होगा।
डेटा जुटाने वाले संस्थानों को ‘डेटा फिड्युशरी’ कहा जाता है। मसौदे में ‘सहमति प्रबंधकों’ के पंजीयन की व्यवस्था है जो डेटा फिड्युशरी के साथ काम करके उपयोगकर्ताओं की सहमति जुटा सकते हैं। एक खास सीमा से अधिक उपयोगकर्ताओं वाली कंपनियों को ‘महत्त्वपूर्ण’ के रूप में वर्गीकृत किया गया है। इनमें ई-कॉमर्स कंपनियां शामिल हैं, जिनके पास भारत में कम से कम दो करोड़ पंजीकृत उपयोगकर्ता हैं। इसी तरह ऑनलाइन गेमिंग कंपनियों के पास 50 लाख पंजीकृत उपयोगकर्ता हैं। सोशल मीडिया कंपनियों के पास भी करीब दो करोड़ पंजीकृत उपयोगकर्ता मौजूद हैं। फिड्यूशरीज की जिम्मेदारियां रेखांकित की गई हैं और महत्वपूर्ण डेटा फिड्युशरी के लिए ज्यादा अनुपालन जरूरतें निर्धारित की गई हैं।
व्यापक तौर पर देखा जाए तो ये नियम प्रिंसिपल को अपने व्यक्तिगत डेटा पर मौजूदा की तुलना में अधिक नियंत्रण मुहैया कराता है। डेटा संग्रह और उसका इस्तेमाल ऐसे व्यक्तियों की स्पष्ट सहमति से ही किया जाना चाहिए। प्रिंसिपल अपना निजी डेटा मिटाने को भी कह सकता है। फिड्युशरी को न केवल डेटा संग्रह के लिए विशिष्ट सहमति हासिल करनी चाहिए बल्कि प्रिंसिपल को इसके उद्देश्य के बारे में भी बताना चाहिए। वे डेटा को जरूरत के बाद तीन साल से अधिक समय तक अपने पास नहीं रख सकते और डेटा को हटाने के कम से कम 48 घंटे पहले उसे इस बारे में सूचित किया जाना चाहिए और डेटा की समीक्षा का विकल्प दिया जाना चाहिए। अल्पवयस्कों, किसी खास किस्म अयोग्यता से ग्रस्त लोगों के निजी डेटा को और अधिक संरक्षण की आवश्यकता है। विधिक अभिभावकों या माता-पिता की स्पष्ट सहमति आवश्यक होगी। डेटा के उल्लंघन की स्थिति में फिड्युशरी को प्रिंसिपल को इसके बारे में सूचित करना होगा और संभावित परिणामों के बारे में बताते हुए नुकसान को न्यूनतम करने के उपाय करने होंगे। फिड्युशरी को डेटा संरक्षण अधिकारी नियुक्त करने होंगे, ताकि अंकेक्षण कर सकें और सुनिश्चित कर सकें कि नए नियम प्रभावी ढंग से लागू हैं।