परिचय
2023 में, भारत और सऊदी अरब ने मौजूदा या नए व्यापक डेटा गोपनीयता कानूनों का विस्तार करते हुए नए कानून और नियम प्रकाशित किए। यह आलेख इन न्यायक्षेत्रों में उल्लेखनीय विकास का सारांश प्रस्तुत करता है, विशेष रूप से सीमा पार हस्तांतरण के संबंध में अद्यतन दायित्वों और मानकों पर ध्यान केंद्रित करता है (यानी, जब व्यक्तिगत जानकारी एक देश से दूसरे देश में स्थानांतरित की जाती है)। हालांकि समान रूप से स्थापित गोपनीयता कानूनों के अनुपालन के आधार पर संगठन पहले से ही इनमें से कुछ विकासों का अनुपालन कर सकते हैं, संगठनों को वैधानिक अनुपालन प्राप्त करने और कानूनी या वित्तीय दायित्व के जोखिम को कम करने के लिए अपने दायित्वों को पूरी तरह से समझने के लिए कदम उठाने चाहिए।
भारत
कई वर्षों के विकास के बाद, डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम 2023 (“अधिनियम”) अगस्त 2023 में भारतीय संसद द्वारा पारित किया गया था। यह अधिनियम जून 2024 में प्रभावी होने की उम्मीद है और सूचना प्रौद्योगिकी अधिनियम में प्रासंगिक प्रावधानों को हटा देगा। 2000, सूचना प्रौद्योगिकी (संशोधन) अधिनियम, 2008, और सूचना प्रौद्योगिकी (उचित सुरक्षा प्रथाएं और प्रक्रियाएं और संवेदनशील व्यक्तिगत डेटा या सूचना) नियम, 2011।
यह अधिनियम एक व्यापक गोपनीयता कानून के साथ भारत को वैश्विक शक्तियों के बीच स्थापित करता है। हालाँकि, इसका निर्माण चुनौतियों से रहित नहीं था। भारत को डेटा फ़िडुशियरीज़ (कोई भी संगठन जो डेटा प्रोसेसिंग उद्देश्यों और साधनों को निर्धारित करता है) से आलोचना का सामना करना पड़ा, विशेष रूप से अधिनियम के पहले के मसौदे में प्रस्तावित कठोर सीमा पार आवश्यकताओं के लिए। पहले प्रस्तावित डिजिटल व्यक्तिगत डेटा संरक्षण विधेयक 2022 (“बिल”) सीमा पार डेटा हस्तांतरण पर डिफ़ॉल्ट प्रतिबंधों का सुझाव देता प्रतीत होता है, जो केवल केंद्र सरकार द्वारा अनुमोदित पूर्व-चयनित देशों को अनुमति देता है, ऐसे देशों के लिए एक श्वेतसूची बनाता है। हालाँकि, इस दृष्टिकोण ने अनुमोदित देशों की संख्या को काफी सीमित कर दिया, जिससे देशों को भारत के डेटा संरक्षण के स्तर से मेल खाने या उससे आगे निकलने की आवश्यकता हुई और संबंधित देश को श्वेतसूची में डालने के लिए उनकी मंजूरी के बारे में केंद्र सरकार द्वारा अधिसूचित किया गया। विधेयक में इस बात का भी अभाव है कि केंद्र सरकार श्वेत-सूचीबद्ध देशों का चयन और अधिसूचित कैसे करेगी या इन हस्तांतरणों के लिए नियम और शर्तें, जिसमें संवेदनशील या महत्वपूर्ण व्यक्तिगत डेटा के हस्तांतरण भी शामिल हैं जो संभावित रूप से अनुपालन और स्थानीयकरण आवश्यकताओं को प्रभावित करते हैं।मैं वैश्विक डेटा प्रोसेसिंग में भारत की महत्वपूर्ण भूमिका को देखते हुए, इस अनिश्चितता ने डेटा फिड्यूशियरी के बीच चिंता बढ़ा दी है।
हालाँकि, यह अधिनियम पिछले विधेयक की तुलना में सीमा पार डेटा हस्तांतरण पर अधिक नरम रुख अपनाता है। अब तक, अधिनियम सीमा पार डेटा स्थानांतरण को प्रतिबंधित नहीं करता है जब तक कि केंद्र सरकार डेटा स्थानांतरण निषेध के विशिष्ट देश को अधिसूचित नहीं करती है।द्वितीय प्रस्तावित विधेयक से यह महत्वपूर्ण विचलन डेटा फ़िडुशियरीज़ को गैर-अनुपालन परिणामों के डर के बिना काम करने की अनुमति देता है। यह अधिनियम बैंकिंग और दूरसंचार जैसे उद्योगों को नियंत्रित करने वाले मौजूदा क्षेत्रीय कानूनों को भी बनाए रखता है, सीमा पार डेटा हस्तांतरण पर उनके प्रतिबंधों को संरक्षित करता है। इसके अतिरिक्त, अधिनियम की बाह्य-क्षेत्रीय पहुंच भारत के बाहर डिजिटल व्यक्तिगत डेटा प्रसंस्करण पर लागू होती है यदि प्रसंस्करण वैश्विक गोपनीयता कानूनों के अनुरूप भारत के भीतर व्यक्तियों को सामान या सेवाएं प्रदान करने से संबंधित किसी गतिविधि के संबंध में है।
इसमें अनुपालन छूट शामिल हैतृतीय विशिष्ट परिस्थितियों के लिए, गैर-अनुमोदित देशों और केंद्र सरकार और उसकी एजेंसियों को सीमा पार डेटा स्थानांतरण की अनुमति देना। वे छूट इस प्रकार हैं:
- व्यक्तिगत डेटा का प्रसंस्करण जो किसी कानूनी अधिकार या दावे के प्रवर्तन के लिए आवश्यक है;
- भारतीय कानून के तहत अपराधों और उल्लंघनों की रोकथाम, पता लगाना, जांच करना या मुकदमा चलाना;
- न्यायिक, अर्ध-न्यायिक, नियामक या पर्यवेक्षी कार्यों के लिए भारत में किसी भी अदालत या न्यायाधिकरण या किसी अन्य निकाय द्वारा व्यक्तिगत डेटा का प्रसंस्करण;
- एक विदेशी संस्था के साथ किए गए अनुबंध के अनुसार भारत के बाहर डेटा प्रिंसिपलों के व्यक्तिगत डेटा का प्रसंस्करण;
- कानूनी रूप से अनुमोदित विलय, डिमर्जर, अधिग्रहण और डेटा फ़िडुशियरीज़ के बीच ऐसी अन्य व्यवस्थाओं के अनुसार प्रसंस्करण; और
- किसी वित्तीय संस्थान के डिफॉल्टर की वित्तीय स्थिति का पता लगाने के लिए व्यक्तिगत डेटा का प्रसंस्करण।
अंततः, अधिनियम एक व्यापक आधार प्रस्तुत करता है, जो भारत में व्यापक गोपनीयता कानून की मूल बातें रेखांकित करता है। अधिनियम के कार्यान्वयन और प्रवर्तन को नियमों और विनियमों के रूप में केंद्र सरकार से सामने आने की उम्मीद है। भारतीय डेटा संरक्षण बोर्ड इस अधिनियम के अनुपालन की निगरानी करेगा और गैर-अनुपालन के लिए सुधारात्मक आदेश और दंड जारी करेगा।
संगठनों के लिए मुख्य बातें:
हालाँकि अनुपालन के लिए कोई विशिष्ट समय-सीमा प्रदान नहीं की गई है, संगठनों को यह करना चाहिए:
- भारत से बाहर उनके डेटा प्रवाह की नियमित रूप से समीक्षा करें और उस तक पहुंच बनाएं।
- सुनिश्चित करें कि उचित डेटा स्थानांतरण समझौते लागू हैं।
- एक बार केंद्र सरकार द्वारा उपलब्ध कराए जाने के बाद, गैर-अनुपालन दंड से बचने के लिए प्रतिबंधित देशों की सूची को नियमित रूप से जांचें।
- गैर-अनुपालन जुर्माना 2.5 अरब रुपये (लगभग 30 मिलियन डॉलर) तक पहुंच सकता है।
सऊदी अरब
7 सितंबर, 2023 को, सऊदी डेटा और आर्टिफिशियल इंटेलिजेंस अथॉरिटी ने व्यक्तिगत डेटा संरक्षण कानून के कार्यान्वयन विनियमन (“कार्यान्वयन विनियमन”) और किंगडम के बाहर व्यक्तिगत डेटा ट्रांसफर पर विनियमन (“ट्रांसफर विनियमन,” और सामूहिक रूप से) दोनों जारी किए। सऊदी अरब साम्राज्य (“केएसए”) व्यक्तिगत डेटा संरक्षण कानून (“पीडीपीएल”) को स्पष्ट करने और पूरक करने के लिए कार्यान्वयन विनियमन, “विनियम”) के साथचतुर्थ. साथ में, पीडीपीएल और विनियम अन्य अंतरराष्ट्रीय गोपनीयता कानूनों के समानांतर और केएसए के भीतर व्यापक डेटा सुरक्षा मानकों को स्थापित करने के लिए डिज़ाइन किए गए हैं।
सीमा पार स्थानांतरण
पीडीपीएल और ट्रांसफर रेगुलेशन का अनुच्छेद 29 बताता है कि डेटा नियंत्रक कैसे होते हैंवी कानूनी रूप से व्यक्तिगत डेटा स्थानांतरित कर सकते हैंछठी केएसए के बाहर या केएसए के बाहर किसी पार्टी के लिए। अनुच्छेद 29 के तहत, डेटा नियंत्रक ऐसे स्थानांतरण शुरू कर सकते हैं यदि स्थानांतरण (1) एक संविदात्मक दायित्व को पूरा करने से संबंधित है जहां केएसए एक पार्टी है, (2) केएसए के हितों की सेवा के लिए, (3) एक दायित्व को पूरा करने के लिए जहां डेटा विषय ऐसे दायित्व का एक पक्ष है, या (4) विनियमों में उद्देश्यों को पूरा करता है।सातवीं अत्यधिक आवश्यकता के मामलों को छोड़कर या चोटों या बीमारी को रोकने के लिए, अनुच्छेद 29 में आगे कहा गया है कि डेटा स्थानांतरण केवल तभी स्वीकार्य है जब (ए) स्थानांतरण राष्ट्रीय सुरक्षा या केएसए के महत्वपूर्ण हितों पर प्रतिकूल प्रभाव नहीं डालेगा, (बी) पर्याप्त स्तर हो केएसए के बाहर सुरक्षा की, और ऐसी पर्याप्तता केएसए में एक सक्षम प्राधिकारी द्वारा किए गए मूल्यांकन द्वारा स्थापित की जाती है, और (सी) हस्तांतरित व्यक्तिगत डेटा आवश्यक न्यूनतम राशि तक सीमित है।आठवीं यह मानते हुए कि डेटा नियंत्रक इन आवश्यकताओं को पूरा करता है, डेटा नियंत्रक कानूनी रूप से ऐसे व्यक्तिगत डेटा को केएसए के बाहर स्थानांतरित कर सकता है।
उल्लेखनीय रूप से, स्थानांतरण विनियमन सीमा पार स्थानांतरण के मानदंडों और प्रक्रियाओं का और अधिक विस्तार से वर्णन करके अनुच्छेद 29 पर विस्तार करता है। जबकि स्थानांतरण विनियमन अनुच्छेद 29 की कुछ आवश्यकताओं को सुदृढ़ करता है (उदाहरण के लिए, यह सुनिश्चित करके कि डेटा स्थानांतरण राष्ट्रीय सुरक्षा को प्रभावित नहीं करेगा), स्थानांतरण विनियमन को यह सुनिश्चित करने के लिए डेटा नियंत्रकों की भी आवश्यकता होती है कि स्थानांतरण व्यक्तिगत डेटा को प्रदान की गई गोपनीयता के स्तर पर प्रतिकूल प्रभाव नहीं डालता है।नौवीं उदाहरण के लिए, स्थानांतरण से डेटा प्रोसेसिंग के लिए सहमति वापस लेने के किसी व्यक्ति के अधिकार या डेटा उल्लंघन के मामले में डेटा नियंत्रक की डेटा विषयों को सूचित करने की क्षमता से समझौता नहीं होना चाहिए।एक्स इसके अलावा, ट्रांसफर रेगुलेशन डेटा नियंत्रकों को व्यक्तिगत डेटा ट्रांसफर करने की अनुमति देकर अनुच्छेद 29 पैराग्राफ 1 में ट्रांसफर के उद्देश्यों का विस्तार करता है यदि (1) ट्रांसफर डेटा नियंत्रक को “अपनी गतिविधियों को अंजाम देने” में सक्षम करेगा, (2) ट्रांसफर होगा डेटा विषय को सेवा या लाभ प्रदान करें, या (3) स्थानांतरण वैज्ञानिक अनुसंधान करने के लिए है।क्सी इसके अलावा, स्थानांतरण विनियमन के लिए डेटा नियंत्रकों को उन स्थानांतरणों के लिए जोखिम मूल्यांकन करने की आवश्यकता होती है जहां अधिकार क्षेत्र में पर्याप्त स्तर की सुरक्षा या संवेदनशील डेटा का लगातार स्थानांतरण नहीं होता है।बारहवीं
इसके अतिरिक्त, स्थानांतरण विनियमन के लिए एक सक्षम प्राधिकारी की आवश्यकता होती है (जिसे बाद में मंत्रिपरिषद द्वारा निर्धारित किया जाता है) जो कि सूचीबद्ध मानदंडों के आधार पर केएसए के बाहर व्यक्तिगत डेटा की सुरक्षा का मूल्यांकन करता है और ऐसे मूल्यांकनों के आधार पर पर्याप्तता निर्णयों की सिफारिश करता है।तेरहवें जुलाई 2023 में प्रकाशित ईयू-यूएस पर्याप्तता निर्णय के समान। ये मूल्यांकन डेटा नियंत्रकों को यह सुनिश्चित करने में मदद करते हैं कि व्यक्तिगत डेटा को पीडीपीएल के अनुच्छेद 29 के अनुपालन के लिए पर्याप्त स्तर की सुरक्षा के साथ अधिकार क्षेत्र में स्थानांतरित किया जाए।
अंत में, स्थानांतरण विनियमन कुछ अपवाद प्रदान करता है जहां किसी क्षेत्राधिकार में पर्याप्त सुरक्षा नहीं होती है। यदि किसी क्षेत्राधिकार में सुरक्षा के पर्याप्त स्तर नहीं हैं, तो डेटा नियंत्रक अभी भी व्यक्तिगत डेटा को स्थानांतरित कर सकता है, बशर्ते अन्य क्षेत्राधिकार व्यक्तिगत डेटा विषय की गोपनीयता या उचित सुरक्षा उपायों को लागू करने के लिए डेटा नियंत्रक की क्षमता पर प्रतिकूल प्रभाव न डाले।xiv ऐसे मामलों में जहां किसी क्षेत्राधिकार में सुरक्षा के पर्याप्त स्तर नहीं हैं या डेटा नियंत्रक उचित सुरक्षा उपायों को लागू नहीं कर सकता है, केएसए डेटा नियंत्रकों को तब तक स्थानांतरण करने की अनुमति देता है जब तक (1) स्थानांतरण उन दायित्वों को पूरा करने के लिए आवश्यक है जहां डेटा विषय एक है पार्टी, (2) डेटा नियंत्रक एक सार्वजनिक इकाई है और स्थानांतरण केएसए की राष्ट्रीय सुरक्षा की रक्षा के लिए या सार्वजनिक हित के लिए आवश्यक है, (3) डेटा नियंत्रक एक सार्वजनिक इकाई है और अपराधों की जांच या पता लगाने के लिए स्थानांतरण आवश्यक है, या (4) डेटा विषय के महत्वपूर्ण हितों की रक्षा के लिए स्थानांतरण आवश्यक है जिनसे संपर्क नहीं किया जा सकता है।xv हालाँकि, ये छूट लागू नहीं हैं और डेटा नियंत्रक को ऐसे किसी भी स्थानांतरण को तुरंत रोकना चाहिए या रोकना चाहिए यदि (ए) स्थानांतरण केएसए की राष्ट्रीय सुरक्षा या महत्वपूर्ण हितों को नकारात्मक रूप से प्रभावित करता है, (बी) डेटा विषय की गोपनीयता के आधार पर उच्च जोखिम है जोखिम मूल्यांकन के परिणाम, (सी) अपनाए गए उचित सुरक्षा उपाय अब लागू नहीं होते हैं, या (डी) डेटा नियंत्रक उचित सुरक्षा उपायों को लागू नहीं कर सकता है।xvi
अनुपालन और परिणाम
पीडीपीएल और संबंधित विनियमों का अनुपालन करने के लिए डेटा नियंत्रकों के पास 14 सितंबर, 2024 को समाप्त होने वाली एक वर्ष की छूट अवधि है। विशेष रूप से, पीडीपीएल और विनियमों में सीमा पार हस्तांतरण के अलावा अन्य प्रावधान शामिल हैं जो अन्य बातों के अलावा, डेटा विषय अधिकार, सूचना सुरक्षा मानकों और प्रोसेसर के संबंध में डेटा नियंत्रक दायित्वों को संबोधित करते हैं। नुकसान पहुंचाने के इरादे से जानबूझकर पीडीपीएल और उसके नियमों का उल्लंघन करने पर दो साल की कैद या 3,000,000 रियाल (या लगभग $800,000 यूएसडी) का जुर्माना हो सकता है।xvii पीडीपीएल और इसके विनियमों का अनुपालन करने में अन्य विफलताओं पर 5,000,000 रियाल (या लगभग $1.3 मिलियन) तक का जुर्माना लगने का जोखिम है, जो बार-बार उल्लंघन करने वालों के लिए दोगुना हो सकता है।xviii
संगठनों के लिए मुख्य उपाय
2024 में छूट अवधि समाप्त होने से पहले, संगठनों को यह करना चाहिए:
- डेटा प्रोसेसिंग गतिविधियों और गोपनीयता अनुपालन कार्यक्रमों की समीक्षा करें;
- आवश्यकतानुसार पीडीपीएल और इसके विनियमों का अनुपालन करने के लिए गतिविधियों और कार्यक्रमों को अद्यतन करें;
- अनुपालन सुनिश्चित करने में सहायता के लिए प्रोसेसर/उप-प्रोसेसरों के साथ समीक्षा या ऑडिट व्यवस्था; और
- कर्मचारियों को संगठन और स्वयं के प्रति दायित्वों के बारे में शिक्षित करें।
iइस विधेयक में संवेदनशील व्यक्तिगत डेटा या महत्वपूर्ण व्यक्तिगत डेटा जैसे शब्दों को परिभाषित नहीं किया गया है।
ii डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम 2023, बिल संख्या 113-सी 2023, अध्याय IV §16(1)।
iiiडिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम 2023, बिल संख्या 113-सी 2023, अध्याय IV §17(1)
ivरॉयल डिक्री संख्या M148 दिनांक 05/09/1444H, M/19 दिनांक 9/2/1443H (2023)
v “नियंत्रक” को “के रूप में परिभाषित किया गया है[a]कोई सार्वजनिक इकाई, प्राकृतिक व्यक्ति या निजी कानूनी व्यक्ति जो व्यक्तिगत डेटा को संसाधित करने के उद्देश्य और तरीके को निर्दिष्ट करता है, चाहे डेटा उस नियंत्रक द्वारा संसाधित किया गया हो या प्रोसेसर द्वारा। पहचान। कला में. 1(18).
vi “व्यक्तिगत डेटा” को “के रूप में परिभाषित किया गया है[a]कोई भी डेटा, चाहे उसका स्रोत या रूप कुछ भी हो, जिससे किसी व्यक्ति की विशेष रूप से पहचान हो सकती है, या जो प्रत्यक्ष या अप्रत्यक्ष रूप से किसी व्यक्ति की पहचान करना संभव बना सकता है, जिसमें नाम, व्यक्तिगत पहचान संख्या, पते, संपर्क नंबर, लाइसेंस नंबर, रिकॉर्ड शामिल हैं। व्यक्तिगत संपत्ति, बैंक और क्रेडिट कार्ड नंबर, किसी व्यक्ति की तस्वीरें और वीडियो, और व्यक्तिगत प्रकृति का कोई अन्य डेटा। पहचान। कला में. 1(4).
सातवीं आईडी. कला में. 29(1).
आठवींआईडी. कला में. 29(2).
ix व्यक्तिगत डेटा संरक्षण कानून के कार्यान्वयन विनियम, किंगडम के बाहर व्यक्तिगत डेटा स्थानांतरण पर विनियमन, अध्याय। 1, कला. 2 (2023)।
एक्स आईडी.
xId.
बारहवीं आईडी. अध्याय में 4, कला. 8.
xiiiId. अध्याय में 2, कला. 3.
xiv आईडी. अध्याय में 3, कला. 5.
xv आईडी. अध्याय में 3, कला. 6.
xvi आईडी. अध्याय में 3, कला. 7.
xvii 05/09/1444एच का रॉयल डिक्री नंबर एम148, 9/2/1443एच (2023) का एम/19, कला। 35(1).
xviii आईडी. कला में. 36(1).
