क्या आपको 2024 में हैक किया गया था? भारत के डेटा सुरक्षा नियमों के अनुसार आपको कार्रवाई करने की आवश्यकता है
यदि वैध प्राधिकरण वाला कोई व्यक्ति आपको नुकसान पहुंचाने के इरादे से जानबूझकर डेटा तक पहुंचता है और/या साझा करता है तो क्या होगा? इस दुर्भावनापूर्ण अंदरूनी सूत्र के कारण डेटा उल्लंघन भी हुआ।
क्या पिछले वर्ष किसी कर्मचारी ने कार्यालय उपकरण खो दिया था? यह एक अनएन्क्रिप्टेड और अनलॉक लैपटॉप या बाहरी हार्ड ड्राइव हो सकता है – कुछ भी जिसमें संवेदनशील जानकारी हो। फिर से, एक डेटा उल्लंघन हुआ है। आख़िरकार, क्या आपको हैक कर लिया गया?
ये सभी डेटा उल्लंघनों का गठन करते हैं। यह तब होता है जब व्यक्तिगत डेटा जिसके लिए कोई संगठन जिम्मेदार है, किसी अनधिकृत प्रसंस्करण या आकस्मिक प्रकटीकरण, अधिग्रहण, उपयोग, साझाकरण, परिवर्तन, विनाश या पहुंच की हानि से ग्रस्त होता है जो ऐसे डेटा की गोपनीयता, अखंडता या उपलब्धता से समझौता करता है।
यदि आपको पिछले वर्ष डेटा उल्लंघन का सामना करना पड़ा, तो क्या आपको इसकी सूचना किसी प्राधिकारी को देने की आवश्यकता होगी? 'नहीं' आपका अनुमान हो सकता है, क्योंकि भारत में कोई डेटा सुरक्षा प्राधिकरण नहीं था। लेकिन क्या भारतीय डेटा संरक्षण बोर्ड (DPBI) की स्थापना हो जाने के बाद, आपको ऐसी घटनाओं की पूर्वव्यापी रिपोर्ट करने की आवश्यकता होगी?
डिजिटल व्यक्तिगत डेटा संरक्षण नियम, 2025 (गोपनीयता नियम) के मसौदे में ऐसी पूर्वव्यापी रिपोर्टिंग की आवश्यकता है। इसमें डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 (डीपीडीपी एक्ट) की अधिसूचना (11 अगस्त 2023) से लेकर इस साल कुछ समय बाद इसके पूर्ण कार्यान्वयन तक की अंतरिम अवधि में होने वाले डेटा उल्लंघनों को शामिल किया गया है।
दो तिथियों के बीच की अवधि को छुट्टी या सुरक्षित बंदरगाह नहीं माना जा सकता है। जैसा कि तत्कालीन आईटी मंत्री ने सलाह दी थी, इसका सीधा सा मतलब है कि डेटा उल्लंघनों का अंबार लगेगा। उम्मीद है कि डीपीबीआई यथाशीघ्र मामलों पर निर्णय देना शुरू कर देगी।
जब तक गोपनीयता नियम स्पष्ट रूप से अन्यथा प्रदान नहीं करते हैं, जो कि वे नहीं करते हैं, DPDP अधिनियम सभी डेटा फ़िडुशियरीज़ के लिए डेटा प्रिंसिपलों के साथ उनकी बातचीत के लिए लागू है।
संभावित डेटा उल्लंघनों से बचने के लिए पूर्व को उचित तकनीकी और संगठनात्मक उपायों को लागू करने की आवश्यकता है। और यदि ऐसे उल्लंघन होते हैं, तो अधिसूचना और अन्य ट्रिगर उन पर पूर्वव्यापी रूप से लागू हो सकते हैं।
तो, अंतरिम में डेटा फ़िडुशियरीज़ को क्या कार्रवाई करने की ज़रूरत है? सबसे पहले, एकत्र/संसाधित किए जा रहे व्यक्तिगत डेटा को मैप करें। फिर, सुरक्षा उपाय लागू करें।
व्यक्तिगत डेटा को उल्लंघनों से सुरक्षित करने के लिए विभिन्न डेटा सुरक्षा उपायों को अपनाया जा सकता है, जैसे एन्क्रिप्शन, ऑबफस्केशन और वर्चुअल टोकन पर व्यक्तिगत डेटा को मैप करना।
क्या डेटा प्रोसेसर शामिल होने चाहिए, सुनिश्चित करें कि अनुबंध में एक आवश्यकता शामिल है कि प्रोसेसर अपनी प्रसंस्करण गतिविधियों के लिए 'उचित सुरक्षा मानकों' को लागू करें।
अब, यदि आपको डेटा उल्लंघन का सामना करना पड़ा, तो आप किसे कॉल करेंगे? डीपीबीआई, जैसे ही इसकी स्थापना होगी। अंतरिम में, क्या आपने प्रभावित डेटा प्रिंसिपलों को सूचित किया? यह डीपीबीआई द्वारा पूछे जाने वाले पहले प्रश्नों में से एक होगा। तो अब ऐसा करना चाहिए.
यदि आप अंतरिम अवधि में अपने साथ हुए डेटा उल्लंघन के बारे में DPBI को सूचित नहीं करते हैं तो क्या होगा? डेटा उल्लंघन की रिपोर्ट करने में विफल रहने पर अधिकतम जुर्माना हो सकता है ₹200 करोड़. और, यदि आपने इस अवधि के दौरान 'उचित सुरक्षा उपाय' नहीं किए, तो आप पर अतिरिक्त देनदारी आ सकती है ₹250 करोड़.
यदि आप डीपीबीआई को सूचित करने का निर्णय लेते हैं, तो आपके पास यह कॉल करने के लिए कितना समय होगा? चूंकि अंतरिम अवधि में उल्लंघनों पर कुछ भी निर्धारित नहीं किया गया है, इसलिए यह सुरक्षित रूप से माना जा सकता है कि यह डीपीबीआई को रिपोर्ट प्राप्त होने के 72 घंटों के भीतर होगा।
यदि आपको अधिक समय चाहिए, तो बस डीपीबीआई से पूछें। यदि डेटा प्रत्ययी विस्तार के लिए लिखित और उचित तर्कपूर्ण अनुरोध भेजता है तो इसमें 72 घंटे से अधिक का समय लग सकता है।
क्या मसौदा गोपनीयता नियम सभी उल्लंघनों को समान रूप से मानते हैं? दुर्भाग्य से, पहले सूचीबद्ध सभी उदाहरण योग्य होंगे। क्या छोटे उल्लंघनों के लिए अनुपालन दायित्व कम नहीं होने चाहिए?
क्या जोखिम-आधारित दृष्टिकोण उल्लंघन के परिणामों से निपटने का एक उचित तरीका होगा? यदि सार्वजनिक टिप्पणियाँ 18 फरवरी से पहले ये प्रश्न उठाती हैं तो यह संभव है कि सरकार नियम में बदलाव पर विचार करेगी।
एक आखिरी बात. यदि डेटा उल्लंघन में साइबर सुरक्षा घटना भी शामिल है, तो कंप्यूटर आपातकालीन प्रतिक्रिया टीम (सर्टिफिकेट-इन) को भी सूचित किया जाना चाहिए।
अब जबकि बहुप्रतीक्षित गोपनीयता नियम ड्राफ्ट के रूप में सामने आ गए हैं, अगर हम अपनी टिप्पणियाँ देते हैं, तो न केवल हम डिजिटल व्यक्तिगत डेटा के लिए कानूनी ढाल को मजबूत करने में मदद करेंगे, बल्कि उल्लंघन अधिसूचना, विशेष रूप से संभावित पूर्वव्यापी रिपोर्टिंग आवश्यकता के आसपास ढीले धागे को भी संबोधित करेंगे। इसकी अंतिम तिथि 11 अगस्त 2023 है।
लेखक जेएसए एडवोकेट्स एवं सॉलिसिटर के भागीदार हैं
Share this:
#डटपरइवस_ #डजटलवयकतगतडटसरकषणअधनयम #डपडप_ #डटसरकष_ #भरतयडटसरकषणबरड #मसदनयम