‘डिजिटल पर्सनल डेटा प्रोटेक्शन’ कायदा : एक दृष्टिक्षेप
Total Views |
आपली वैयक्तिक माहिती आपण बरऱ्याच वेळा डिजिटल माध्यमांवर सामायिक करीत असतो. या माहितीचे पुरेसे संरक्षण होईल, असे आपणास वाटते. मात्र, बरेचदा तसे प्रत्यक्षात घडत नव्हते. याबाबत दाद मागण्यासाठी तसेच जबाबदाऱ्या निश्चित करण्यासाठी विशिष्ट चौकशीची, कायद्याची गरज होती. ती आता ‘डिजिटल पर्सनल डेटा प्रोटेक्शन कायद्या’ने पूर्ण झाली आहे. त्याविषयी सविस्तर जाणून घेऊया...
माहिती-तंत्रज्ञान आणि माहिती-तंत्रज्ञानावर आधारित सेवा यांचा 2006 पासून आतापर्यंत झपाट्याने विकास झाला आहे. अनेक नवी उपकरणे, उत्पादने या क्षेत्रात दाखल झाली आहेत. ‘इंटरनेट ऑफ थिंग्ज’सारख्या संकल्पनादेखील झपाट्याने दैनंदिन आयुष्याचा भाग होऊ लागल्या आहेत. आपण सर्वजण दिवसेंदिवस अनेक ‘स्मार्ट’ उपकरणांवर विसंबून आहोत.
यामुळे खूप जास्त प्रमाणात माहिती निर्माण होते आणि सेवा पुरविणाऱ्या संस्था ही माहिती गोळा करून, नवी उत्पादने बाजारात आणतात. या माहितीत विविध प्रकारची खासगी, वैयक्तिक माहितीदेखील असते. आपण अनेकजण फेसबुक, लिंक्ड-इन, इन्स्टाग्राम आणि सोशल मीडियाचा नियमित वापर करतो. आपल्या मोबाईलमध्ये ‘स्विगी’, ‘झोमॅटो’सारखी खाद्यपदार्थ मागविण्याची, ‘ॲमेझॉन’, ‘मिंत्रा’सारखी वस्तूखरेदीची, ‘भीम’, ‘गुगल-पे’ यांसारखी पैशांच्या व्यवहारांची, ‘नेटफ्लिक्स’ किंवा ‘प्राईम व्हिडिओ’सारखी करमणुकीच्या गोष्टी पाहण्याची, व्हॉट्सॲप, टेलिग्रामसारखी संपर्कासाठी वापरण्याची, तसेच खेळांसाठीची, व्यायामासाठीची आणि आपापल्या आवडी-निवडी, गरजा व कामाच्या किंवा जीवनशैलीच्या आनुषंगाने वापरली जाणारी इतर अनेक ॲप्लिकेशन (ॲप) असतात. या सर्व ॲप्ससाठी अनेक प्रकारची वैयक्तिक माहिती दिली जाते. आता अशी माहिती परवानगीशिवाय इतर कोणी न वापरण्याबद्दल जागरूकता निर्माण होऊ लागली आहे. यासाठी काही देशांनी विविध प्रकारचे कायदेदेखील आणले आहेत. यातील सर्वांत प्रसिद्ध कायदा म्हणजे, ‘जनरल डेटा प्रोटेक्शन रेग्युलेशन (जीडीपीआर)’ युरोपीय महासंघ आणि युरोपीय आर्थिक क्षेत्रातील सर्व व्यक्तींची वैयक्तिक माहिती गोळा करून त्यावर प्रक्रिया करणाऱ्या सर्व संस्थांना हा कायदा लागू झाला. या कायद्याने प्रत्येक व्यक्तीला त्याच्या खासगी माहितीचे संरक्षण, वापर आणि प्रसंगी ती माहिती नष्ट करण्याबाबतचे अधिकार दिले गेले. इतरही काही देशांमध्ये वैयक्तिक व खासगी माहितीच्या वापराचे नियमन करण्याचे कायदे आणले गेले आहेत. भारतात 2023 मध्ये ‘डिजिटल पर्सनल डेटा प्रोटेक्शन ॲक्ट’ हा कायदा मंजूर झाला. या कायद्याचा उद्देश- (अ) प्रत्येक व्यक्तीचा वैयक्तिक डिजिटल डेटा संरक्षित करण्याचा अधिकार ओळखून त्यासाठी कायदेशीर संरक्षण पुरविणे. (ब) कायदेशीर हेतूंसाठी अशा वैयक्तिक डेटावर प्रक्रिया करण्याची आवश्यकता ओळखून त्याबाबतची मार्गदर्शक तत्त्वे नेमून देणे.
या कायद्यात डेटा, ‘डिजिटल पर्सनल डेटा’, ‘पर्सनल डेटा’, ‘डेटा प्रोसेसर’, ‘डेटा प्रिन्सिपल’, पर्सनल डेटा ब्रीच’, ‘डेटा फिड्युशियरी’ या संज्ञा वापरल्या आहेत. या संज्ञांचा या कायदेशीर अर्थदेखील दिला आहे. हा कायदा भारतात डिजिटल स्वरूपात गोळा केलेली वैयक्तिक माहिती किंवा या माहितीवरील सर्व प्रकारच्या प्रक्रियांवर लागू होतो. ज्यांच्या वैयक्तिक माहितीवर प्रक्रिया होत असेल, अशा व्यक्ती भारतात असतील, तर त्यांच्या डेटावर भारताबाहेर होणाऱ्या प्रक्रियांनादेखील हा कायदा लागू होतो. मात्र, जेव्हा कोणत्याही पर्सनल डेटावर वैयक्तिक किंवा खासगी कारणासाठी प्रक्रिया केली जाते, अथवा जेव्हा डेटा प्रिन्सिपल स्वतः अशी वैयक्तिक माहिती सार्वजनिकरित्या उपलब्ध करून द्यावी लागते. तेव्हा या कायद्यातील तरतुदी लागू होत नाहीत. उदाहरणार्थ, एखाद्या व्यक्तीने एखादा ब्लॉग लिहिताना त्यात स्वतःची खासगी माहिती त्या ब्लॉगद्वारे जाहीर केली, तर अशा माहितीबाबत हा कायदा लागू होणार नाही. या कायद्यानुसार ‘पर्सनल डेटा’ म्हणजे एखाद्या व्यक्तीसंबंधी अशी माहिती, ज्यामुळे ही व्यक्ती ओळखता येते किंवा या माहितीचा त्या व्यक्तीशी संबंध लावता येऊ शकतो. या ‘डेटा’त माहिती, संकल्पना, मते अथवा सूचना अशा सर्व गोष्टींचा समावेश होतो. ‘डिजिटल पर्सनल डेटा’ म्हणजे डिजिटल स्वरूपातील पर्सनल डेटा होय. या कायद्यात व्यक्ती म्हटल्यावर त्यात कंपनी, फर्म, हिंदू अविभक्त कुटुंब या कायद्याने व्यक्ती धरल्या जातात. एखादी व्यक्ती जेव्हा एकाट्याने किंवा इतरांबरोबर ‘पर्सनल डेटा’वर करायच्या प्रक्रियांचा उद्देश आणि त्यासाठी वापरायची साधने ठरविते, तेव्हा तिला ‘डेटा फिड्युशियरी’ मानले जाते. अशा ‘डेटा फिड्युशियरी’साठी किंवा तिच्यावतीने डेटावर प्रक्रिया करणाच्या व्यक्तीला ‘डेटा प्रोसेसर’ म्हटले जाते. त्या व्यक्तीचा किंवा व्यक्तीशी संबंधित वैयक्तिक डेटा आहे, ती व्यक्ती अशा डेटाबाबतीत ‘डेटा प्रिन्सिपल’ असते. लहान मुलांच्या बाबतीत व मानसिकदृष्ट्या अकार्यक्षम व्यक्तीच्या बाबतीत त्यांचे आई-वडील अथवा कायदेशीर पालक हे ‘डेटा प्रिन्सिपल’ असतात. सर्व हक्कांबरोबरच ‘डेटा प्रिन्सिपल’ची काही कर्तव्ये या कायद्यात नमूद करण्यात आली आहेत. ‘डेटा प्रिन्सिपल’ने खरी व योग्य माहिती द्यायला हवी. तसेच लागू असलेल्या सर्व कायद्यांचे पालन करावयास हवे. खोटी माहिती किंवा स्वतःऐवजी दुसऱ्याची माहिती भरणे अपेक्षित नाही. सरकारी योजनांसाठी खोटी कागदपत्रे देणे, ओळख किंवा पत्त्याचे खोटे पुरावे देणे अपेक्षित नाही. तसेच बोर्डाकडे किंवा ‘डेटा फिड्युशियरी’कडे क्षुल्लक गोष्टींच्या किंवा खोट्या तक्रारी करू नये. या कायद्यात ‘संमती व्यवस्थापन’ अशी तरतूददेखील करण्यात आली आहे. संमती व्यवस्थापक म्हणून काम करण्यासाठी ‘डेटा प्रोटेक्शन बोर्ड ऑफ इंडिया’मध्ये नोंदणी झालेली हवी. अशा नोंदणीकृत संमती व्यवस्थापकांद्वारे डेटा प्रिन्सिपल व्यक्ती आपल्या वैयक्तिक माहितीच्या वापरासंबंधी संमती देऊ किंवा संमती काढून घेऊ शकते.
या कायद्याने कोणत्याही प्रकारच्या डेटावर प्रक्रिया करण्यापूव ‘डेटा प्रिन्सिपल’ची परवानगी घेणे आवश्यक आहे. ही परवानगी कोणत्याही अटींशिवाय दबावाशिवाय स्पष्ट शब्दांत नेमकेपणाने निःसंदिग्ध प्रकारे द्यावयास हवी. ही संमती डेटावरील कोणत्या प्रक्रियेसाठी घेतली जात आहे, हे ‘डेटा प्रिन्सिपल’ला स्पष्टपणे सांगून त्यासाठी संमती द्यायला हवी. माहितीच्या वापरासाठी किंवा प्रक्रियेसाठी दिलेली संमती कधीही काढून घेण्याचा हक्कदेखील ‘डेटा प्रिन्सिपल’ला आहे. मात्र, संमती दिल्यापासून काढून घेईपर्यंत ‘डेटा प्रिन्सिपल’च्या डेटावर केलेल्या प्रक्रिया अवैध ठरणार नाहीत.
‘डेटा फिड्युशियरी’ला काही प्रकारच्या प्रक्रियांसाठी किंवा कामांसाठी एखाद्या व्यक्तीची वैयक्तिक माहिती वापरण्याचा अधिकार असेल. ‘डेटा प्रिन्सिपल’ने स्वेच्छेने काही उद्देशांसाठी वापर करण्याची दिलेली वैयक्तिक माहिती ही त्याच कारणासाठी अथवा उद्देशासाठी वापरण्याचा अधिकार आहे. जेव्हा राज्य सरकार किंवा केंद्र सरकार आपल्या योजना, सवलती अथवा परवानग्यांसाठी नागरिकांची वैयक्तिक माहिती गोळा करते, तेव्हा अशा गोळा केलेल्या माहितीच्या वापराबद्दल आणि प्रक्रियांबद्दलदेखील सरकारी नियमावली हवी. लहान मुलांची किंवा दिव्यांगांची वैयक्तिक माहिती गोळा करून वापरली जाईल, त्यावेळी अशा मुलांच्या किंवा व्यक्तींच्या स्वास्थावर शारीरिक व मानसिक परिणाम करू शकणारा वापर होणे अपेक्षित नाही. मुलांच्या वागण्याची चिकित्सा करणे, त्यांच्या वावरावर नजर ठेवणे, अथवा त्यांच्यासाठीच्या जाहिराती त्यांच्यापर्यंत पोहोचविण्यासाठी अशा माहितीचा वापर होणे अपेक्षित नाही. ‘डेटा फिड्युशियरी’ने गोळा केलेली सर्व प्रकारची वैयक्तिक खासगी माहिती ही संरक्षित ठेवण्याची कायदेशीर जबाबदारी त्याची स्वतःचीच आहे. फक्त स्वतःच्याच नव्हे, तर ‘डेटा प्रोसेसर’च्या ताब्यात दिलेल्या माहितीच्या संरक्षणाची जबाबदारीदेखील ‘डेटा फिड्युशियरी’वर आहे. तसेच ‘डेटा प्रिन्सिपल’च्या तक्रारींचे निवारण करण्यासाठी योग्य ती यंत्रणा उभारणे आणि चालू ठेवण्याची जबाबदारीदेखील ‘डेटा फिड्युशियरी’ची आहे.
एखादा ‘डेटा फिड्युशियरी’ ‘सिग्निफिकंट डेटा फिड्युशियरी’ नेमण्याचे अधिकार केंद्र सरकारकडे आहेत. अशा नेमणुकीपूव सरकारने प्रक्रिया केल्या जाणाऱ्या माहितीची संवेदनशीलता, ‘डेटा प्रिन्सिपल’च्या अधिकारांना पोहोचू शकणारा धोका, लोकशाहीला, राज्याच्या सुरक्षिततेस होऊ शकणारा धोका, भारताच्या सार्वभौमत्वावर किंवा अखंडतेवर होऊ शकणारे परिणाम आदी विविध गोष्टींचा विचार करणे आवश्यक आहे. ‘डेटा फिड्युशियरी’ने गोळा केलेले वैयक्तिक माहितीचा साठा भारताबाहेर पाठविण्यावर निर्बंध आणण्याचे पूर्ण अधिकार केंद्र सरकारला आहे.
या कायद्याच्या अंमलबजावणीचे अधिनियम नोव्हेंबर महिन्यात जाहीर झाले आहेत. मुख्य कायद्यातील तरतुदी आणि वेगवेगळे अधिनियम लागू होण्यासाठी वेगवेगळी कालमर्यादादेखील निश्चित करण्यात आली आहे. ‘डेटा प्रोटेक्शन बोर्डा’ची स्थापना, त्यातील सदस्यांची नेमणूक, तसेच या कायद्यातील नेमून दिलेल्या अधिकार क्षेत्रांची अंमलबजावणी ही नोव्हेंबर 2025 पासूनच लागू झाली. बोर्डाला ज्या प्रकारच्या तक्रारींच्या बाबतीत कृती करण्याचे अधिकार आहेत, त्या तक्रारी केवळ बोर्डाकडेच करता येतील. इतर कोणत्याही कोर्टाला किंवा संस्थेला या तक्रारी दाखल करून घेणे आणि त्यांचे निरकरण करण्याचे अधिकार नाहीत.
या कायद्यानुसार, ‘डेटा प्रिन्सिपलकडून संमती घेणे ‘डेटा फिड्युशियरी’ने या कायद्यानुसार नेमलेल्या जबाबदाऱ्या पार पाडण्यासाठी सुसज्ज होणे, ‘डेटा प्रोसेसर’चे हक्क आणि कर्तव्य अमलात येणे, तसेच ‘डेटा प्रोटेक्शन बोर्डा’चे कामकाज पूर्ण क्षमतेने चालू होणे, या सर्व गोष्टींसाठी नोव्हेंबर 2025 पासून 18 माहिन्यांची मुदत देण्यात आली आहे. मे 2027 पर्यंत भारतातील वैयक्तिक माहिती गोळा करण्याच्या व वापराच्या पद्धतीत लक्षणीय सुधारणा होईल, अशी यंत्रणांची अपेक्षा आहे.
- शशांक गुळगुळे