Digital Personal Data Protection Rules, 2025

📜 डिजिटल डेटा संरक्षण नियम 2025: पूरी जानकारी आसान भाषा में

भारत में अब आपका डेटा है आपके नियंत्रण में!

भारत सरकार ने डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट 2023 को लागू करने के बाद अब उसके तहत डिजिटल पर्सनल डेटा प्रोटेक्शन रूल्स 2025 भी जारी कर दिए हैं। ये नियम डेटा कैसे इकट्ठा होगा, कैसे स्टोर होगा, कब डिलीट होगा, और किसे साझा किया जा सकता है – इन सब पर नियंत्रण रखते हैं।

📅 नियम 13 नवंबर 2025 से भारत के राजपत्र (Gazette of India) में प्रकाशित हुए
📌 कुछ नियम तुरंत लागू होंगे, जबकि कुछ 18 महीने बाद लागू किए जाएंगे

🔍 1. डेटा प्रोसेसर और डेटा फिड्यूशरी कौन है?

• Data Fiduciary (DF): वह संस्था/कंपनी जो आपका डेटा इकट्ठा करती है – जैसे सोशल मीडिया, बैंक, ई-कॉमर्स, आदि।
• Data Principal: आप यानी डेटा का मालिक (यूज़र)।
• Data Processor: वह कंपनी या व्यक्ति जो DF के लिए डेटा प्रोसेस करता है।

🧾 2. सहमति (Consent) अब पूरी तरह पारदर्शी होगी

डेटा लेने से पहले कंपनियों को: ✔ साफ, सरल भाषा में नोटिस देना होगा
✔ बताना होगा कि कौन सा डेटा, क्यों और कितना समय तक इस्तेमाल होगा
✔ यूज़र को कभी भी सहमति वापस लेने का विकल्प देना होगा

🧒 3. बच्चों का डेटा: अतिरिक्त सुरक्षा

• 18 साल से कम उम्र के किसी भी बच्चे के डेटा के लिए verified parental consent जरूरी है
• कंपनी को ये सुनिश्चित करना होगा कि सहमति देने वाला व्यक्ति वयस्क है

📌 उदाहरण (नियमों में दिया गया है): यदि बच्चा किसी ऐप पर अकाउंट बनाना चाहता है, तो माता-पिता की पहचान और उम्र की जाँच करना आवश्यक है

👨‍🦽 4. दिव्यांग व्यक्तियों के लिए नियम

यदि कोई व्यक्ति स्वयं निर्णय लेने में सक्षम नहीं है, तो उसके कानूनी अभिभावक (guardian) की verified consent आवश्यक है

🔐 5. कंपनियों पर सुरक्षा दायित्व (Security Obligations)

डेटा फिड्यूशरी को: ✔ एन्क्रिप्शन, लॉगिंग, मॉनिटरिंग जैसे तकनीकी उपाय अपनाने होंगे
✔ unauthorized access रोकने के लिए access control लागू करना होगा
✔ सभी लॉग एक निश्चित अवधि तक सुरक्षित रखना होगा

🚨 6. डेटा ब्रिच (Data Breach) होने पर अनिवार्य रिपोर्टिंग

यदि डेटा लीक होता है तो कंपनी को: 📌 प्रभावित व्यक्तियों को तुरंत सूचित करना होगा
📌 यह बताना होगा कि लीक कैसे हुआ, कितना डेटा प्रभावित हुआ, और कंपनी क्या कर रही है
📌 साथ ही Data Protection Board को भी जानकारी देनी होगी

🗑️ 7. डेटा डिलीशन (Data Retention & Deletion)

• डेटा उसी उद्देश्य तक रखा जा सकता है, जितनी देर आवश्यकता हो
• उद्देश्य पूरा होते ही डेटा delete करना होगा
• हमेशा के लिए स्टोर नहीं किया जा सकता
• हटाने से 48 घंटे पहले यूज़र को नोटिस देना होगा

📍 8. डेटा भारत के बाहर भेजना

डेटा विदेश भेजा जा सकता है, लेकिन सरकार द्वारा अनुमति प्राप्त देशों/एजेंसियों को ही

🏛️ 9. Data Fiduciary के लिए अतिरिक्त नियम (Significant Data Fiduciary)

कुछ कंपनियों को “Significant Data Fiduciary” घोषित किया जा सकता है (जैसे बहुत बड़े प्लेटफॉर्म) उन्हें: ✔ हर साल Data Protection Impact Assessment करना होगा
✔ एल्गोरिदम के कारण यूज़र को नुकसान न हो इसे सुनिश्चित करना होगा
✔ कुछ डेटा भारत से बाहर भेजने पर प्रतिबंध हो सकता है

👨‍⚖️ 10. Data Protection Board (DPB)

• DPDP Rules के पालन की निगरानी करेगा
• शिकायतें सुन सकता है
• उल्लंघन होने पर दंड लगा सकता है
• 6 महीने के भीतर मामलों का निपटारा कर सकता है

📬 11. यूज़र के अधिकार

यूज़र को ये अधिकार प्राप्त होंगे: ✔ अपना डेटा देखने का अधिकार
✔ गलत डेटा को सुधारने का अधिकार
✔ डेटा हटाने का अधिकार
✔ शिकायत दर्ज करने का अधिकार
✔ सहमति वापस लेने का अधिकार

और कंपनियाँ अपनी वेबसाइट/ऐप पर ये जानकारी स्पष्ट रूप से प्रदर्शित करेंगी

🔚 यह कानून किसके लिए महत्वपूर्ण है?

यह नियम हर उस व्यक्ति के लिए महत्वपूर्ण है: ✔ जो इंटरनेट पर डेटा शेयर करता है
✔ जिनका आधार, पैन, मोबाइल नंबर, बैंक डिटेल्स कहीं सेव है
✔ छोटे-बड़े सभी स्टार्टअप्स, फिनटेक, सोशल मीडिया कंपनियाँ
✔ सरकारी विभाग और ऐप्स

अब भारत में डेटा है आपका अधिकार, और कंपनियों को देना होगा पारदर्शिता + ज़िम्मेदारी