కేంద్ర ప్రభుత్వం డిజిటల్ పర్సనల్ డేటా ప్రొటెక్షన్ (DPDP) రూల్స్ 2025ను విడుదల చేసింది. కేంద్ర ఎలక్ట్రానిక్స్, ఇన్ఫర్మేషన్ టెక్నాలజీ మంత్రిత్వ శాఖ జారీ చేసిన ఈ కొత్త నియమాలు డిజిటల్ పర్సనల్ డేటా ప్రొటెక్షన్ యాక్ట్ 2023ను అమలు చేయడానికి ఉద్దేశించబడ్డాయి. కొత్త నిబంధనల ప్రకారం, సోషల్ మీడియా, ఆన్లైన్ ప్లాట్ఫారమ్లు, వినియోగదారుల వ్యక్తిగత డేటాను నిల్వ చేసే అన్ని కంపెనీలు తాము ఏ డేటాను నిల్వ చేస్తున్నారో, దానిని ఎలా ఉపయోగిస్తారో వెల్లడించాల్సి ఉంటుంది. కేంద్ర ప్రభుత్వం కొత్త నిబంధనలను దశలవారీగా అమలు చేస్తామని పేర్కొంది. కొత్త DPDP నియమాలు భారతీయ వినియోగదారులకు వారి డేటాపై ఎక్కువ నియంత్రణను ఇస్తాయి, వారి గోప్యతను కాపాడుతాయి.
DPDP నియమాలు 2025 లోని కీలక నిబంధనలు
DPDP నియమాలు 2025 ప్రభుత్వ, ప్రైవేట్ కంపెనీలు వినియోగదారుల వ్యక్తిగత డేటాను ఎలా నిల్వ చేస్తాయి, ప్రాసెస్ చేస్తాయి, సేవ్ చేస్తాయి, నిర్వహిస్తాయి అనే దాని గురించి పారదర్శక నియమాలను ఏర్పాటు చేస్తాయి. ఈ నియమాలలో డేటా భద్రత, డేటా వినియోగానికి కంపెనీల బాధ్యతలు, పిల్లల డేటా కోసం ప్రత్యేక రక్షణలు ఉన్నాయి.
డేటా విశ్వసనీయతలకు బలమైన రక్షణలు
నిబంధనల ప్రకారం ప్రతి డేటా విశ్వసనీయ సంస్థ వినియోగదారు డేటా లీక్ కాకుండా నిరోధించడానికి తగిన భద్రతా చర్యలు తీసుకోవాలి. ఇందులో వ్యక్తిగత డేటా, ఎన్క్రిప్షన్, మాస్కింగ్, అస్పష్టత లేదా టోకనైజేషన్ ఉన్నాయి. కంపెనీలు వ్యక్తిగత డేటాను నిల్వ చేసే వ్యవస్థలకు కఠినమైన యాక్సెస్ నియంత్రణలను కూడా అమలు చేయాలి. అనధికార డేటా యాక్సెస్ను గుర్తించడానికి వారు లాగింగ్, పర్యవేక్షణ వ్యవస్థలను కూడా అభివృద్ధి చేయాలి.
డేటా రెగ్యులర్ బ్యాకప్
డేటాను స్టోర్ చేసే కంపెనీలు కనీసం ఒక సంవత్సరం పాటు లాగ్లను నిలుపుకోవాలి. డేటాను నిర్వహించడం లేదా ప్రాసెస్ చేయడం కోసం ఒప్పందాలలో భద్రతా నిబంధనలను చేర్చాలి.
డేటా లీక్ అయితే సమాచారం ఇవ్వాలి
ఒక కంపెనీ యూజర్ డేటాను లీక్ చేస్తే, అది వెంటనే ప్రభావిత వినియోగదారులకు తెలియజేయాలి. డేటా ఎలా లీక్ అయిందో, సంభావ్య ప్రమాదాలను వారు వివరించాలి. కంపెనీ తీసుకున్న చర్యలు, భద్రతను నిర్ధారించడానికి వినియోగదారులు తీసుకోవలసిన చర్యల గురించి కూడా వారు వినియోగదారులకు తెలియజేయాలి. కంపెనీలు డేటా ఉల్లంఘనలను 72 గంటల్లోపు డేటా ప్రొటెక్షన్ బోర్డుకు నివేదించాలి.
పిల్లల డేటాకు కఠినమైన నియమాలు ఉన్నాయి
18 ఏళ్లలోపు పిల్లల డేటాను ప్రాసెస్ చేయడానికి కంపెనీలు వారి తల్లిదండ్రుల నుండి అనుమతి పొందాలి. పిల్లల డేటాను ప్రాసెస్ చేయడానికి సమ్మతించే వ్యక్తి నిజమైన సంరక్షకుడని ధృవీకరించడానికి, కంపెనీ తప్పనిసరిగా రిజిస్టర్డ్ ఎంటిటీ నుండి ధృవీకరణ పొందాలి. ఈ ధృవీకరణ వర్చువల్ టోకెన్ను ఉపయోగించి చేయవచ్చు, దీనిని ఈ ప్రయోజనం కోసం ఉపయోగించవచ్చు. ఈ ప్రయోజనం కోసం డిజిలాకర్ను ఉపయోగించవచ్చు. పిల్లల డేటాను ప్రాసెస్ చేసే కంపెనీలు సంరక్షకుడి గుర్తింపును ధృవీకరించాలని కొత్త నియమాలు ఖచ్చితంగా పేర్కొంటున్నాయి.
వినియోగదారు డేటా భారతదేశంలో మాత్రమే నిల్వ చేయబడుతుంది.
డేటా ఫిడ్యూషియరీలు ప్రాసెస్ చేసే వ్యక్తిగత డేటా భారతదేశం వెలుపల బదిలీ చేయబడదని DPDP నియమాలు 2025 స్పష్టం చేస్తుంది. డేటా బదిలీ చేయబడితే, వారు కేంద్ర ప్రభుత్వం జారీ చేసిన అవసరమైన నిబంధనలు, షరతులకు లోబడి ఉండాలి.
నిబంధనలు పాటించకపోతే జరిమానా విధిస్తారు
DPDP 2025 నిబంధనలను పాటించడాన్ని పర్యవేక్షించడానికి ఒక డేటా ప్రొటెక్షన్ బోర్డు ఏర్పాటు చేయబడుతుంది. జాబితా చేయబడిన ఉల్లంఘనల స్వభావం ఆధారంగా ఈ బోర్డు పాటించనందుకు జరిమానాలు విధిస్తుంది. డేటా విశ్వసనీయ సంస్థలపై ఉల్లంఘనకు రూ. 250 వరకు జరిమానా విధించడానికి నిబంధనలు అనుమతిస్తాయి.
డేటా ఫిడ్యూషియరీ అంటే ఏమిటి?
డేటా ఫిడ్యూషియరీ ఏదైనా వినియోగదారు వ్యక్తిగత డేటాను నిల్వ చేసే లేదా ప్రాసెస్ చేసే సంస్థ, కంపెనీ లేదా వ్యక్తి.