మూడేళ్లు వాడకపోతే యూజర్ డేటా డిలీట్.. అమల్లోకి వచ్చిన కీలక నిబంధనలు
- మూడేళ్లుగా వాడని ఖాతాల డేటాను తొలగించాలని ఆదేశం
- సోషల్ మీడియా, ఈ-కామర్స్, గేమింగ్ ప్లాట్ఫామ్లకు కొత్త రూల్స్
- డేటా డిలీట్ చేసే ముందు యూజర్కు 48 గంటల నోటీసు
- డిజిటల్ పర్సనల్ డేటా ప్రొటెక్షన్ (డీపీడీపీ) చట్టం కింద నిబంధనలు
- పెద్ద కంపెనీలకు వార్షిక ఆడిట్, డేటా ఇంపాక్ట్ అసెస్మెంట్ తప్పనిసరి
- కంపెనీలకు స్పష్టమైన మార్గనిర్దేశం లభించిందన్న నిపుణులు
భారతదేశంలో డిజిటల్ వినియోగదారుల డేటా భద్రతకు సంబంధించి కేంద్ర ప్రభుత్వం ఒక కీలక ముందడుగు వేసింది. దేశపు మొట్టమొదటి డిజిటల్ గోప్యతా చట్టమైన 'డిజిటల్ పర్సనల్ డేటా ప్రొటెక్షన్ (డీపీడీపీ) యాక్ట్' కింద నూతన నిబంధనలను నోటిఫై చేసింది. ఈ నిబంధనల ప్రకారం.. సోషల్ మీడియా, ఈ-కామర్స్, ఆన్లైన్ గేమింగ్ వంటి సంస్థలు తమ ప్లాట్ఫామ్లను వరుసగా మూడేళ్లపాటు వినియోగించని యూజర్ల వ్యక్తిగత డేటాను తప్పనిసరిగా తొలగించాల్సి ఉంటుంది.
ఈ కొత్త మార్గదర్శకాలు పెద్ద కంపెనీలకు వర్తిస్తాయి. దేశంలో రెండు కోట్ల కంటే ఎక్కువ మంది రిజిస్టర్డ్ యూజర్లు ఉన్న సోషల్ మీడియా, ఈ-కామర్స్ ప్లాట్ఫామ్లతో పాటు, 50 లక్షల కంటే ఎక్కువ మంది వినియోగదారులు ఉన్న ఆన్లైన్ గేమింగ్ కంపెనీలు ఈ నిబంధనలను పాటించాల్సి ఉంటుంది. డేటాను తొలగించడానికి ముందు, సంబంధిత యూజర్కు 48 గంటల గడువుతో నోటీసు ఇవ్వాలి. ఆ సమయంలోగా ప్లాట్ఫామ్ను వినియోగించకపోతే వారి డేటా శాశ్వతంగా తొలగించబడుతుందని స్పష్టం చేయాలి.
50 లక్షల కంటే ఎక్కువ యూజర్లు ఉన్న డిజిటల్ ప్లాట్ఫామ్లను 'ముఖ్యమైన డేటా సంరక్షకులు' గా వర్గీకరించారు. వీటికి మరింత కఠినమైన నిబంధనలు విధించారు. ఈ సంస్థలు తమ సిస్టమ్స్, అల్గారిథమ్స్, ప్రక్రియలు యూజర్ల హక్కులకు భంగం కలిగించకుండా ఉన్నాయో లేదో నిర్ధారించడానికి ఏటా ఆడిట్ నిర్వహించాలి. దీంతో పాటు 'డేటా ప్రొటెక్షన్ ఇంపాక్ట్ అసెస్మెంట్' కూడా తప్పనిసరి చేశారు. తమ సాంకేతిక భద్రతా ప్రమాణాలు నిబంధనలకు అనుగుణంగా ఉన్నాయని ప్రతి సంవత్సరం ధృవీకరించుకోవాలి.
ఈ చట్టం ప్రకారం, వ్యక్తిగత డేటాను దేశ సరిహద్దులు దాటించి బదిలీ చేయడానికి అనుమతి ఉన్నప్పటికీ, ప్రభుత్వం ఎప్పటికప్పుడు జారీ చేసే నిబంధనలకు లోబడి ఉండాలి. ముఖ్యంగా విదేశీ ప్రభుత్వాలు లేదా వాటి నియంత్రణలోని సంస్థలకు డేటా బదిలీ చేసే విషయంలో ఈ నిబంధనలు వర్తిస్తాయి.
ఈ కొత్త నిబంధనలతో కంపెనీలు యూజర్ల నుంచి ఎలాంటి సమాచారం సేకరిస్తున్నాయి, దానిని ఎలా ఉపయోగిస్తాయనే దానిపై స్పష్టమైన వివరణ ఇవ్వాల్సి ఉంటుంది. "డీపీడీపీ నిబంధనల నోటిఫికేషన్తో భారతీయ కంపెనీలకు వ్యక్తిగత డేటాను ఎలా సేకరించాలి, భద్రపరచాలి అనే దానిపై స్పష్టమైన మార్గసూచీ లభించింది" అని ఈవై ఇండియా సైబర్సెక్యూరిటీ కన్సల్టింగ్ భాగస్వామి మురళీరావు అభిప్రాయపడ్డారు.
ఈ కొత్త మార్గదర్శకాలు పెద్ద కంపెనీలకు వర్తిస్తాయి. దేశంలో రెండు కోట్ల కంటే ఎక్కువ మంది రిజిస్టర్డ్ యూజర్లు ఉన్న సోషల్ మీడియా, ఈ-కామర్స్ ప్లాట్ఫామ్లతో పాటు, 50 లక్షల కంటే ఎక్కువ మంది వినియోగదారులు ఉన్న ఆన్లైన్ గేమింగ్ కంపెనీలు ఈ నిబంధనలను పాటించాల్సి ఉంటుంది. డేటాను తొలగించడానికి ముందు, సంబంధిత యూజర్కు 48 గంటల గడువుతో నోటీసు ఇవ్వాలి. ఆ సమయంలోగా ప్లాట్ఫామ్ను వినియోగించకపోతే వారి డేటా శాశ్వతంగా తొలగించబడుతుందని స్పష్టం చేయాలి.
50 లక్షల కంటే ఎక్కువ యూజర్లు ఉన్న డిజిటల్ ప్లాట్ఫామ్లను 'ముఖ్యమైన డేటా సంరక్షకులు' గా వర్గీకరించారు. వీటికి మరింత కఠినమైన నిబంధనలు విధించారు. ఈ సంస్థలు తమ సిస్టమ్స్, అల్గారిథమ్స్, ప్రక్రియలు యూజర్ల హక్కులకు భంగం కలిగించకుండా ఉన్నాయో లేదో నిర్ధారించడానికి ఏటా ఆడిట్ నిర్వహించాలి. దీంతో పాటు 'డేటా ప్రొటెక్షన్ ఇంపాక్ట్ అసెస్మెంట్' కూడా తప్పనిసరి చేశారు. తమ సాంకేతిక భద్రతా ప్రమాణాలు నిబంధనలకు అనుగుణంగా ఉన్నాయని ప్రతి సంవత్సరం ధృవీకరించుకోవాలి.
ఈ చట్టం ప్రకారం, వ్యక్తిగత డేటాను దేశ సరిహద్దులు దాటించి బదిలీ చేయడానికి అనుమతి ఉన్నప్పటికీ, ప్రభుత్వం ఎప్పటికప్పుడు జారీ చేసే నిబంధనలకు లోబడి ఉండాలి. ముఖ్యంగా విదేశీ ప్రభుత్వాలు లేదా వాటి నియంత్రణలోని సంస్థలకు డేటా బదిలీ చేసే విషయంలో ఈ నిబంధనలు వర్తిస్తాయి.
ఈ కొత్త నిబంధనలతో కంపెనీలు యూజర్ల నుంచి ఎలాంటి సమాచారం సేకరిస్తున్నాయి, దానిని ఎలా ఉపయోగిస్తాయనే దానిపై స్పష్టమైన వివరణ ఇవ్వాల్సి ఉంటుంది. "డీపీడీపీ నిబంధనల నోటిఫికేషన్తో భారతీయ కంపెనీలకు వ్యక్తిగత డేటాను ఎలా సేకరించాలి, భద్రపరచాలి అనే దానిపై స్పష్టమైన మార్గసూచీ లభించింది" అని ఈవై ఇండియా సైబర్సెక్యూరిటీ కన్సల్టింగ్ భాగస్వామి మురళీరావు అభిప్రాయపడ్డారు.