‘डिजिटल पर्सनल डेटा प्रोटेक्शन’ कायदा काय सांगतो?

अग्रलेख

‘डिजिटल पर्सनल डेटा प्रोटेक्शन’ कायदा काय सांगतो?

Editor Navprabha

January 5, 2026

शशांक मो. गुळगुळे

आपली वैयक्तिक माहिती आपण बऱ्याच वेळा डिजिटल माध्यमांवर देत असतो. पण या माहितीचे पुरेसे संरक्षण होत नव्हते. याबाबत दाद मागण्यासाठी तसेच जबाबदाऱ्या निश्चित करण्यासाठी विशिष्ट चौकटीची, कायद्याची गरज होती. ती आता ‘डिजिटल पर्सनल डेटा प्रोटेक्शन’ कायद्याने पूर्ण झाली आहे.

आपली वैयक्तिक माहिती आपण बऱ्याच वेळा डिजिटल माध्यमांवर देत असतो. या माहितीचे पुरेसे संरक्षण होईल असे आपणास वाटते. मात्र बऱ्याचदा तसे घडत नव्हते. याबाबत दाद मागण्यासाठी तसेच जबाबदाऱ्या निश्चित करण्यासाठी विशिष्ट चौकटीची, कायद्याची गरज होती. ती आता ‘डिजिटल पर्सनल डेटा प्रोटेक्शन’ कायद्याने पूर्ण झाली आहे.
माहिती तंत्रज्ञान आणि माहिती तंत्रज्ञानावर आधारित सेवा यांचा 2006 पासून आतापर्यंत झपाट्याने विकास झाला आहे. अनेक नवी उपकरणे, उत्पादने या क्षेत्रात आली आहेत. ‘इंटरनेट ऑफ लिंग्स’सारख्या संकल्पनादेखील झपाट्याने रोजच्या आयुष्याचा भाग होऊ लागल्या आहेत. आपण सर्वजण दिवसेंदिवस अनेक ‘स्मार्ट’ उपकरणांवर विसंबून राहू लागलो आहोत. यामुळे खूप जास्त प्रमाणात माहिती निर्माण होते आणि सेवा पुरविणाऱ्या संस्था ही माहिती गोळा करून नवी उत्पादने बाजारात आणतात. या माहितीत विविध प्रकारची खाजगी, वैयक्तिक माहितीदेखील असते. आपण अनेकजण फेसबुक, लिंक्डइन, इन्स्टाग्राम आदी सोशल मीडियाचा नियमित वापर करतो. आपल्या मोबाईलमध्ये स्विगी, झोमॅटोसारखी खाणे मागविण्याची; ॲमेझॉन, मिंत्रासारखी वस्तू खरेदीची; भीम, गुगल पे यांसारखी पैशाच्या व्यवहारांची; नेटफ्लिक्स किंवा प्राईम व्हिडिओसारखी करमणुकीच्या गोष्टी पाहण्याची; व्हॉट्सॲप, टेलिग्रामसारखी संपर्कासाठी वापरण्याची तसेच खेळांसाठीची, व्यायामासाठीची आणि आपापल्या आवडीनिवडी, गरजा व कामाच्या किंवा जीवनशैलीच्या अनुषंगाने वापरली जाणारी इतर अनेक ॲप्लिकेशन्स (ॲप) असतात. या सर्व ‘ॲप्स’साठी अनेक प्रकारची वैयक्तिक माहिती दिली जाते. आता अशी माहिती परवानगीशिवाय इतर कोणी न वापरण्याबद्दल जागरूकता निर्माण होऊ लागली आहे. त्यासाठी काही देशांनी विविध प्रकारचे कायदेदेखील आणले आहेत. यातील सर्वात प्रसिद्ध कायदा म्हणजे ‘जनरल डेटा प्रोटेक्टर रेग्युलेशन’ (जीडीपीआर). युरोपीय महासंघ आणि युरोपीय आर्थिक क्षेत्रातील सर्व व्यक्तींची वैयक्तिक माहिती गोळा करून त्यावर प्रक्रिया करणाऱ्या सर्व संस्थांना हा कायदा लागू झाला. या कायद्याने प्रत्येक व्यक्तीला त्याच्या खाजगी माहितीचे संरक्षण, वापर आणि प्रसंगी नष्ट करण्याबाबतचे अधिकार दिले गेले. इतरही काही देशांमध्ये वैयक्तिक व खासगी माहितीच्या वापराचे नियमन करण्याचे कायदे आणले गेले आहेत.

भारतात 2023 मध्ये ‘डिजिटल पर्सनल डेटा प्रोटेक्शन ॲक्ट’ हा कायदा मंजूर झाला. या कायद्याचे उद्देश- अ) प्रत्येक व्यक्तीचा वैयक्तिक डिजिटल डेटा संरक्षित करण्याचा अधिकार ओळखून त्यासाठी कायदेशीर संरक्षण पुरविणे. ब) कायदेशीर हेतूंसाठी अशा वैयक्तिक डेटावर प्रक्रिया करण्याची आवश्यकता ओळखून त्याबद्दलची मार्गदर्शक तत्त्वे नेमून देणे.
या कायद्यात डेटा, डिजिटल पर्सनल डेटा, पर्सनल डेटा, डेटा प्रोसेसर, डेटा प्रिन्सिपल, ब्रीच डेटा, फिड्युशियरी या संज्ञा वापरल्या आहेत. या संज्ञांचा या कायद्यासाठीचा अर्थदेखील दिला आहे. हा कायदा भारतात डिजिटल स्वरूपात गोळा केलेली वैयक्तिक माहिती किंवा या माहितीवरील सर्व प्रकारच्या प्रक्रियांवर लागू होतो. ज्यांच्या वैयक्तिक माहितीवर प्रक्रिया होत असेल अशा व्यक्ती भारतात असतील तर त्यांच्या डेटावर भारताबाहेर होणाऱ्या प्रक्रियांनादेखील हा कायदा लागू होतो. मात्र, जेव्हा कोणत्याही पर्सनल डेटावर वैयक्तिक किंवा खासगीकरणासाठी प्रक्रिया केली जाते अथवा जेव्हा डेटा प्रिन्सिपलला स्वतः अशी वैयक्तिक माहिती सार्वजनिकरीत्या उपलब्ध करून द्यावी लागते तेव्हा या कायद्यातील तरतुदी लागू होत नाहीत. उदा. एखाद्या व्यक्तीने एखादा ब्लॉग लिहिताना त्यात स्वतःची खाजगी माहिती त्या ब्लॉगद्वारे जाहीर केली तर अशा माहितीबाबतीत हा कायदा लागू होणार नाही. या कायद्यानुसार पर्सनल डेटा म्हणजे एखाद्या व्यक्तीसंबंधी अशी माहिती ज्यामुळे ही व्यक्ती ओळखता येते किंवा या माहितीचा त्या व्यक्तीशी संबंध लावता येऊ शकतो. या ‘डेटा’त माहिती, संकल्पना, मते अथवा सूचना अशा सर्व गोष्टींचा समावेश होतो. डिजिटल पर्सनल डेटा म्हणजे डिजिटल स्वरूपातील पर्सनल डेटा होय. या कायद्यात व्यक्ती म्हटल्यावर त्यात कंपनी, फर्म, हिंदू अविभक्त कुटुंब या कायद्याने व्यक्ती धरल्या जातात. एखादी व्यक्ती जेव्हा एकट्याने किंवा इतरांबरोबर पर्सनल डेटावर करायच्या प्रक्रियांचा उद्देश आणि त्यासाठी वापरायची साधने ठरविते, तेव्हा तिला डेटा ‘फिड्युशियरी’ मानले जाते. अशा डेटा फिड्युशियरीसाठी किंवा तिच्या वतीने डेटावर प्रक्रिया करणाऱ्या व्यक्तीला ‘डेटा प्रोसेसर’ म्हटले जाते. ज्या व्यक्तीचा किंवा व्यक्तींशी संबंधित वैयक्तिक डेटा आहे, ती व्यक्ती अशा डेटाबाबत डेटा प्रिन्सिपल असते. लहान मुलांच्या बाबतीत व मानसिकदृष्ट्या अकार्यक्षम व्यक्तीच्या बाबतीत त्यांचे आई-वडील अथवा कायदेशीर पालक हे डेटा प्रिन्सिपल असतात. सर्व हक्कांबरोबरच डेटा प्रिन्सिपलची काही कर्तव्ये या कायद्यात नमूद करण्यात आली आहेत. डेटा प्रिन्सिपलने खरी व योग्य माहिती द्यायला हवी. तसेच लागू असलेल्या सर्व कायद्यांचे पालन करायला हवे. खोटी माहिती किंवा स्वतःऐवजी दुसऱ्याची माहिती भरणे अपेक्षित नाही. सरकारी योजनांसाठी खोटी कागदपत्रे देणे, ओळख किंवा पत्त्याचे खोटे पुरावे देणे अपेक्षित नाही. तसेच बोर्डाकडे किंवा डेटा फिड्युशियरीकडे क्षुल्लक गोष्टींच्या किंवा खोट्या तक्रारी करू नयेत. या कायद्यात संमती व्यवस्थापक अशी तरतूददेखील केली आहे. संमती व्यवस्थापक म्हणून काम करण्यासाठी डेटा प्रोटेक्शन बोर्ड ऑफ इंडियामध्ये नोंदणी झालेली हवी. अशा नोंदणीकृत संमती व्यवस्थापकांद्वारे डेटा प्रिन्सिपल व्यक्ती आपल्या वैयक्तिक माहितीच्या वापरासंबंधी संमती देणे किंवा संमती काढून घेऊ शकते.

या कायद्याने कोणत्याही प्रकारच्या डेटावर प्रक्रिया करण्यापूर्वी डेटा प्रिन्सिपलची परवानगी घेणे आवश्यक आहे. ही परवानगी कोणत्याही अटींशिवाय, दबावाशिवाय स्पष्ट शब्दात नेमकेपणाने निःसंदिग्ध प्रकारे द्यावयास हवी. ही संमती डेटावरील कोणत्या प्रक्रियेसाठी घेतली जात आहे हे डेटा प्रिन्सिपलला स्पष्टपणे सांगून त्यासाठी संमती घ्यायला हवी. माहितीच्या वापरासाठी किंवा प्रक्रियेसाठी दिलेली संमती कधीही काढून घेण्याचा हक्कदेखील डेटा प्रिन्सिपलला आहे. मात्र संमती दिल्यापासून काढून घेईपर्यंत डेटा प्रिन्सिपलच्या डेटावर केलेल्या प्रक्रिया अवैध ठरणार नाहीत.
डेटा फिड्युशियरीला काही प्रकारच्या प्रक्रियांसाठी किंवा कामांसाठी एखाद्या व्यक्तीची वैयक्तिक माहिती वापरण्याचा अधिकार असेल. डेटा प्रिन्सिपलने स्वेच्छेने काही उद्देशांसाठी वापर करण्याची दिलेली वैयक्तिक माहिती ही त्याच कारणासाठी अथवा उद्देशासाठी वापरण्याचा अधिकार आहे. जेव्हा राज्य सरकार किंवा केंद्र सरकार आपल्या योजना, सवलती अथवा परवानग्यांसाठी नागरिकांची वैयक्तिक माहिती गोळा करते, तेव्हा अशा गोळा केलेल्या माहितीच्या वापराबद्दल आणि प्रक्रियांबद्दलदेखील सरकारी नियमावली हवी. लहान मुलांची किंवा दिव्यांगांची वैयक्तिक माहिती गोळा करून वापरली जाईल, त्यावेळी अशा मुलांच्या किंवा व्यक्तींच्या स्वास्थ्यावर शारीरिक व मानसिक परिणाम करू शकणारा वापर होणे अपेक्षित नाही. मुलांच्या वागण्याची चिकित्सा करणे, त्यांच्या वावरावर नजर ठेवणे अथवा त्यांच्यासाठीच्या जाहिराती त्यांच्यापर्यंत पोहोचविण्यासाठी अशा माहितीचा वापर होणे अपेक्षित नाही. डेटा फिड्युशियरीने गोळा केलेली सर्व प्रकारची वैयक्तिक खाजगी माहिती ही संरक्षित ठेवण्याची कायदेशीर जबाबदारी त्याची स्वतःचीच आहे. फक्त स्वतःच्याच नव्हे तर ‘डेटा प्रोसेसर’च्या ताब्यात दिलेल्या माहितीच्या संरक्षणाची कायदेशीर जबाबदारीदेखील ‘डेटा फिड्युशियरी’वर आहे. तसेच डेटा प्रिन्सिपलच्या तक्रारींचे निवारण करण्यासाठी योग्य ती यंत्रणा उभारणे आणि चालू ठेवण्याची जबाबदारीदेखील डेटा फिड्युशियरीची आहे.

एखादा डेटा फिड्युशियरी, सिग्निफिकंट डेटा फिड्युशियरी नेमण्याचे अधिकार केंद्र सरकारकडे आहेत. अशा नेमणुकीपूर्वी सरकारने प्रक्रिया केल्या जाणाऱ्या माहितीची संवेदनशीलता, डेटा प्रिन्सिपलच्या अधिकारांना पोहोचू शकणारा धोका, लोकशाहीला, राज्याच्या सुरक्षिततेला होऊ शकणारा धोका, भारताच्या सार्वभौमत्वावर किंवा अखंडतेवर होऊ शकणारे परिणाम आदी विविध गोष्टींचा विचार करणे आवश्यक आहे. ‘डेटा फिड्युशियरी’ने गोळा केलेला वैयक्तिक माहितीचा साठा भारताबाहेर पाठविण्यावर निर्बंध आणण्याचे पूर्ण अधिकार केंद्र सरकारला आहेत.
या कायद्याच्या अंमलबजावणीचे अधिनियम या नोव्हेंबर महिन्यात जाहीर झाले. मुख्य कायद्यातील तरतुदी आणि वेगवेगळे अधिनियम लागू होण्यासाठी वेगवेगळी कालमर्यादा निश्चित करण्यात आली आहे. डेटा प्रोटेक्शन बोर्डाची स्थापना, त्यातील सदस्यांची नेमणूक, तसेच या कायद्यातील नेमून दिलेल्या अधिकारक्षेत्रांची अंमलबजावणी ही नोव्हेंबर 2025 पासूनच लागू झाली. बोर्डाला ज्या प्रकारच्या तक्रारींच्या बाबतीत कृती करण्याचे अधिकार आहेत, त्या तक्रारी केवळ बोर्डाकडेच करता येतील. इतर कोणत्याही कोर्टाला किंवा संस्थेला या तक्रारी दाखल करून घेणे आणि त्यांचे निराकरण करण्याचे अधिकार नाहीत.

या कायद्यानुसार डेटा प्रिन्सिपलकडून संमती घेणे, ‘डेटा फिड्युशियरी’नी या कायद्यानुसार नेमलेल्या जबाबदाऱ्या पार पाडण्यासाठी सुसज्ज होणे, डेटा प्रोसेसरचे हक्क आणि कर्तव्य अमलात येणे, तसेच डेटा प्रोटेक्शन बोर्डाचे कामकाज पूर्ण क्षमतेने चालू होणे या सर्व गोष्टींसाठी नोव्हेंबर 2025 पासून 18 महिन्यांची मुदत देण्यात आली आहे. मे 2027 पर्यंत भारतातील वैयक्तिक माहिती गोळा करण्याच्या व वापराच्या पद्धतीत लक्षणीय सुधारणा होईल असे यंत्रणांना वाटत आहे.