2023-ലെ DPDP നിയമത്തിന്റെ പൂർണ്ണ പ്രവർത്തനക്ഷമത ഉറപ്പാക്കുന്നതിലെ നിർണ്ണായക ചുവടുവയ്പ്പെന്ന നിലയിൽ, ഡിജിറ്റൽ പേഴ്സണൽ ഡാറ്റ പ്രൊട്ടക്ഷൻ (DPDP) ചട്ടങ്ങൾ 2025- കേന്ദ്ര സർക്കാർ വിജ്ഞാപനം ചെയ്തു. ഈ നിയമവും ചട്ടങ്ങളും, ഡിജിറ്റൽ വ്യക്തിഗത ഡാറ്റയുടെ ഉത്തരവാദിത്തപൂർണ്ണമായ ഉപയോഗം ഉറപ്പാക്കുന്നതിൽ, പൗരകേന്ദ്രിതവും നൂതനാശയ സൗഹൃദവുമായ സമഗ്ര ചട്ടക്കൂട് സൃഷ്ടിക്കുന്നു.
2023 ഓഗസ്റ്റ് 11-ന് പാർലമെന്റ് പാസാക്കിയ DPDP നിയമം, ഡിജിറ്റൽ വ്യക്തിഗത ഡാറ്റയുടെ സംരക്ഷണത്തിനായി സമഗ്രമായ ചട്ടക്കൂട് സൃഷ്ടിക്കുന്നു. ഡാറ്റ കൈകാര്യം ചെയ്യുന്ന സ്ഥാപനങ്ങളുടെ (ഡാറ്റ ഫിഡ്യൂഷ്യറികൾ) ബാധ്യതകളും വ്യക്തികളുടെ (ഡാറ്റ പ്രിൻസിപ്പൽസ്) അവകാശങ്ങളും കടമകളും ഈ നിയമം വ്യക്തമായി നിർവ്വചിക്കുന്നു. വ്യക്തമായി മനസ്സിലാക്കുന്നതിനും അനുവർത്തനം സുഗമമാക്കുന്നതിനുമായി, SARAL രൂപകൽപ്പനയാണ് നിയമം പിന്തുടരുന്നത്—ലളിതം, പ്രവേശനക്ഷമം , യുക്തിസഹം, പ്രവർത്തനക്ഷമം—എന്നിവ അടിസ്ഥാനമാക്കിയുള്ള ഭാഷയും ചിത്രീകരണങ്ങളും ഉപയോഗിച്ച് രൂപകൽപ്പന ചെയ്തതാണ് ഇത്.
അനുമതിയും സുതാര്യതയും, ഉദ്ദേശ്യപരിധി, പരിമിത ഡാറ്റ, കൃത്യത, സംഭരണപരിധി, സുരക്ഷാ മുൻകരുതലുകൾ, ഉത്തരവാദിത്തം എന്നീ ഏഴ് അടിസ്ഥാന തത്വങ്ങളാണ് ഈ നിയമത്തെ മുന്നോട്ട് നയിക്കുന്നത്.
സമഗ്രവും കൂടിയാലോചനാധിഷ്ഠിതവുമായ നിയമനിർമ്മാണ പ്രക്രിയ
വിശാലമായ പങ്കാളിത്തം ഉറപ്പാക്കുന്നതിനായി, കരട് DPDP ചട്ടങ്ങൾ പൊതുജനാഭിപ്രായത്തിനായി MeitY പ്രസിദ്ധീകരിക്കുകയും ഡൽഹി, മുംബൈ, ഗുവാഹത്തി, കൊൽക്കത്ത, ഹൈദരാബാദ്, ബെംഗളൂരു, ചെന്നൈ എന്നിവിടങ്ങളിൽ വിശദമായ കൂടിയാലോചനകൾ സംഘടിപ്പിക്കുകയും ചെയ്തു. സ്റ്റാർട്ടപ്പുകൾ, MSME-കൾ, വ്യാവസായിക സംഘടനകൾ, പൊതു സമൂഹം, സർക്കാർ വകുപ്പുകൾ എന്നിവയിലെ വിദഗ്ധരിൽ നിന്നുള്ള അഭിപ്രായങ്ങളും നിർദേശങ്ങളും ഉൾക്കൊണ്ടാണ് അന്തിമ ചട്ടങ്ങൾ വിജ്ഞാപനം ചെയ്തത്.
ഘട്ടംഘട്ടമായും പ്രായോഗികമായും ഉള്ള നിർവ്വഹണം
DPDP ചട്ടങ്ങൾ 18 മാസത്തെ ഘട്ടംഘട്ടമായുള്ള അനുവർത്തന കാലയളവ് ഉറപ്പാക്കുന്നു. തദ്വാരാ സ്ഥാപനങ്ങൾക്ക് പുതിയ ആവശ്യകതകളിലേക്കുള്ള പരിവർത്തനം സുഗമമാക്കാൻ യുക്തമായ സമയം ലഭിക്കുന്നു. വ്യക്തിഗത ഡാറ്റ ശേഖരിക്കുകയോ ഉപയോഗിക്കുകയോ ചെയ്യുന്നതിനുള്ള ഓരോ ആവശ്യവും വ്യക്തമായി വിശദീകരിക്കുന്ന, ഏകീകൃതവും ലളിതവുമായ അനുമതി അറിയിപ്പുകൾ (consent notices ) ഡാറ്റ ഫിഡ്യൂഷറികൾ നൽകണം എന്നതാണ് ചട്ടങ്ങൾ നിർദ്ദേശിക്കുന്നത്. കൂടാതെ, വ്യക്തികൾക്ക് അവരുടെ അനുമതി നിയന്ത്രിക്കാൻ സഹായിക്കുന്ന ‘കൺസെന്റ് മാനേജർമാർ’ ഇന്ത്യൻ സ്ഥാപനങ്ങളായിരിക്കണം എന്ന വ്യവസ്ഥയും ചട്ടങ്ങൾ നിർദേശിക്കുന്നു.
വ്യക്തിഗത ഡാറ്റ ലംഘന വിജ്ഞാപനത്തിനുള്ള വ്യക്തമായ പ്രോട്ടോക്കോളുകൾ
വ്യക്തിഗത ഡാറ്റ ലംഘനം സംഭവിക്കുന്ന സാഹചര്യത്തിൽ, ഡാറ്റ ഫിഡ്യൂഷറികൾ ബാധിത വ്യക്തികളെ ലളിതവും മനസ്സിലാക്കാവുന്നതുമായ ഭാഷയിൽ ഉടൻ അറിയിക്കേണ്ടതാണ്. ലംഘനത്തിന്റെ സ്വഭാവം, പ്രത്യാഘാതങ്ങൾ, നിയന്ത്രിക്കാൻ സ്വീകരിച്ച നടപടികൾ, സഹായത്തിനായി ബന്ധപ്പെടുന്നതിനുള്ള വിവരങ്ങൾ എന്നിവ വിജ്ഞാപനത്തിൽ വ്യക്തമാക്കണമെന്നും ചട്ടങ്ങൾ നിർദേശിക്കുന്നു.
കുട്ടികൾക്കും ദിവ്യാംഗർക്കുമുള്ള പ്രത്യേക സുരക്ഷാ മുൻകരുതലുകൾ
കുട്ടികളുടെ സ്വകാര്യ ഡാറ്റ സംരക്ഷിക്കുന്നതിനായി, അവരുടെ ഡാറ്റ പ്രോസസ്സ് ചെയ്യുന്നതിന് മുമ്പ് ഡാറ്റ ഫിഡ്യൂഷറികൾ രക്ഷിതാക്കളുടെ അനുമതി സ്ഥിരീകരിക്കേണ്ടതുണ്ട്. ആരോഗ്യപരിചരണം, വിദ്യാഭ്യാസം, സുരക്ഷ തുടങ്ങിയ അവശ്യ സാഹചര്യങ്ങളിൽ മാത്രം ഇതിന് പരിമിതമായ ഇളവ് അനുവദിക്കും.
സുതാര്യതയും ഉത്തരവാദിത്തവും ഉറപ്പാക്കുന്ന നടപടികൾ
വ്യക്തിഗത ഡാറ്റ പ്രോസസ്സിംഗിനെ കുറിച്ചുള്ള സംശയങ്ങളോ പരാതികളോ ഉന്നയിക്കാൻ വ്യക്തികളെ സഹായിക്കുന്നതിനായി, ഡാറ്റ ഫിഡ്യൂഷറികൾ നിയുക്ത ഉദ്യോഗസ്ഥൻ, അഥവാ ഡാറ്റ പ്രൊട്ടക്ഷൻ ഓഫീസർ അടക്കമുള്ള ചുമതലയുള്ള വ്യക്തികളെ ബന്ധപ്പെടാനുള്ള വിവരങ്ങൾ പ്രസിദ്ധീകരിക്കണം. സിഗ്നിഫിക്കന്റ് ഡാറ്റ ഫിഡ്യൂഷ്യറികൾക്ക് സ്വതന്ത്ര ഓഡിറ്റുകൾ, ഇംപാക്ട് അസസ്മെന്റുകൾ, വിന്യസിച്ച സാങ്കേതികവിദ്യകൾക്കായി ശക്തമായ ജാഗ്രത എന്നിവ ഉൾപ്പെടെയുള്ള വിപുലമായ ബാധ്യതകളുണ്ട്. ആവശ്യമായിടത്ത് ഡാറ്റയുടെ പ്രാദേശികവത്ക്കരണം ഉൾപ്പെടെ, സർക്കാർ നിർദേശിച്ചിരിക്കുന്ന ഡാറ്റ വിഭാഗങ്ങളോടനുബന്ധിച്ച പ്രത്യേക ചട്ടങ്ങൾ കർശനമായി പാലിക്കണം.
ഡാറ്റ പ്രിൻസിപ്പൽമാരുടെ അവകാശങ്ങളുടെ ശാക്തീകരണം
DPDP ചട്ടക്കൂട് വ്യക്തികൾക്ക് അവരുടെ സ്വകാര്യ ഡാറ്റ ആക്സസ് ചെയ്യാനും, തിരുത്താനും, പുതുക്കാനും, മായ്ക്കാനുമുള്ള അവകാശങ്ങളെ കൂടുതൽ ശക്തിപ്പെടുത്തുന്നു. കൂടാതെ, ഈ അവകാശങ്ങൾ തങ്ങൾക്ക് അനുഗുണമായ വിധത്തിൽ വിനിയോഗിക്കാൻ മറ്റൊരാളെ നാമനിർദ്ദേശം ചെയ്യാനുള്ള സൗകര്യവും പ്രദാനം ചെയ്യുന്നു. ബന്ധപ്പെട്ട എല്ലാ അഭ്യർത്ഥനകളോടും ഡാറ്റ ഫിഡ്യൂഷറികൾ പരമാവധി 90 ദിവസത്തിനുള്ളിൽ പ്രതികരിക്കേണ്ടതുണ്ട്.
ഡിജിറ്റൽ-ഫസ്റ്റ് ഡാറ്റ പ്രൊട്ടക്ഷൻ ബോർഡ്
ഡാറ്റ പ്രൊട്ടക്ഷൻ ബോർഡ് പൂർണ്ണമായും ഡിജിറ്റൽ രീതിയിൽ പ്രവർത്തിക്കുന്ന ഒരു സ്ഥാപനമായി രൂപകൽപ്പന ചെയ്തിരിക്കുന്നു. സമർപ്പിത ഓൺലൈൻ പ്ലാറ്റ്ഫോവും മൊബൈൽ ആപ്പും മുഖേന പരാതികൾ സമർപ്പിക്കാനും പുരോഗതി നിരീക്ഷിക്കാനും സൗകര്യമൊരുക്കുന്നതിലൂടെ സുതാര്യത, കാര്യക്ഷമത, ഉപയോക്തൃ സൗഹൃദ സമീപനം എന്നിവ ശക്തിപ്പെടുത്തുന്നു. ബോർഡിന്റെ തീരുമാനങ്ങളെ ചോദ്യം ചെയ്യുന്നതിനുള്ള അപ്പീലുകൾ അപ്പലേറ്റ് ട്രൈബ്യൂണൽ (TDSAT) പരിഗണിക്കും.
പൗരന്മാരുടെ സ്വകാര്യത സംരക്ഷിക്കുന്നതിനും നൂതനാശയങ്ങളും സാമ്പത്തിക വളർച്ചയും പ്രോത്സാഹിപ്പിക്കുന്നതിനും മധ്യേയുള്ള സന്തുലിതാവസ്ഥ ഉറപ്പാക്കാൻ DPDP നിയമങ്ങൾ ശ്രദ്ധിക്കുന്നു. ഇന്ത്യയുടെ ഡാറ്റാ ഗവേണൻസ് മോഡൽ, പൗരക്ഷേമം ഉറപ്പാക്കുന്നതിനായി ശക്തമായ ഡാറ്റ സംരക്ഷണ മാനദണ്ഡങ്ങൾ പാലിക്കുമ്പോഴും നൂതനാശയങ്ങൾ പ്രദാനം ചെയ്യാൻ ശേഷിയുള്ളവയാണ്. ഇതിന്റെ ഭാഗമായാണ് സ്റ്റാർട്ടപ്പുകൾക്കും ചെറുകിട സംരംഭങ്ങൾക്കും സൗകര്യപ്രദമായ അനുവർത്തന വ്യവസ്ഥകൾ സജ്ജമാക്കുന്നത്. ഇത് നൂതനാശയയുക്തവും പ്രതിസന്ധി-പരിഹാര സൗഹൃവുമായ വളർച്ചയെ സമന്വയിപ്പിക്കുന്നു.
ലളിതമായ ചട്ടങ്ങൾ, മതിയായ പരിവർത്തന സമയം, നിഷ്പക്ഷമായ സാങ്കേതികവിദ്യാ സമീപനം എന്നിവയിലൂന്നിയാണ് DPDP നിയമങ്ങളും ചട്ടങ്ങളും, വ്യക്തികളുടെ സ്വകാര്യത ശക്തിപ്പെടുത്താനും വിശ്വാസം വളർത്താനും, ഉത്തരവാദിത്വമുള്ള നൂതനാശയങ്ങളെ പ്രോത്സാഹിപ്പിക്കാനും ലക്ഷ്യമിടുന്നത്. ഈ സമഗ്ര സമീപനം ഇന്ത്യയുടെ ഡിജിറ്റൽ സമ്പദ്വ്യവസ്ഥയെ സുരക്ഷിതവും പ്രതിരോധശേഷിയുക്തവും ആഗോളതലത്തിൽ മത്സരാധിഷ്ഠിതവുമാക്കുന്നു.
Government notifies DPDP Rules to empower citizens and protect privacy
The Government of India has notified the Digital Personal Data Protection (DPDP) Rules, 2025, marking the full operationalisation of the DPDP Act, 2023. Together, the Act and Rules create a simple, citizen-focused and innovation-friendly framework for the responsible use of digital personal data.
Enacted by Parliament on 11 August 2023, the DPDP Act establishes a comprehensive framework for protecting digital personal data, setting out the obligations of entities handling such data (Data Fiduciaries) and the rights and duties of individuals (Data Principals). It follows the SARAL design —Simple, Accessible, Rational and Actionable—using plain language and illustrations to support ease of understanding and compliance.
The Act is guided by seven core principles including consent and transparency, purpose limitation, data minimisation, accuracy, storage limitation, security safeguards, and accountability.
Inclusive and Consultative Rule-Making
To ensure wide stakeholder participation, MeitY released the draft DPDP Rules for public comments and held consultations across Delhi, Mumbai, Guwahati, Kolkata, Hyderabad, Bengaluru and Chennai. Inputs from startups, MSMEs, industry bodies, civil society and government departments have shaped the final, notified Rules.
Phased and Practical Implementation
The DPDP Rules provide an 18-month phased compliance timeline, allowing organisations time for smooth transition. They also require Data Fiduciaries to issue standalone, clear and simple consent notices that transparently explain the specific purpose for which personal data is being collected and used. Consent Managers—entities that help individuals manage their permissions—must be Indian companies.
Clear Protocols for Personal Data Breach Notification
In the event of a personal data breach, Data Fiduciaries must promptly inform affected individuals in plain language, explaining the nature and possible consequences of the breach, the steps taken to address it and contact details for assistance.
Safeguards for Children and Persons with Disabilities
To ensure stronger protection, Data Fiduciaries must obtain verifiable consent before processing the personal data of children, with limited exemptions for essential purposes such as healthcare, education and real-time safety. For persons with disabilities who cannot make legal decisions even with support, consent must come from a lawful guardian verified under applicable laws.
Transparency and Accountability Measures
Data Fiduciaries must display clear contact information—such as that of a designated officer or Data Protection Officer—to help individuals raise queries about personal data processing. Significant Data Fiduciaries have enhanced obligations including independent audits, impact assessments and stronger due diligence for deployed technologies. They must also comply with government-specified restrictions on certain categories of data, including localisation where required.
Strengthening Rights of Data Principals
The DPDP framework reinforces the rights of individuals to access, correct, update or erase their personal data and to nominate another person to exercise these rights on their behalf. Data Fiduciaries must respond to all such requests within a maximum of 90 days.
Digital-First Data Protection Board
The Data Protection Board will function as a fully digital institution, enabling citizens to file and track complaints online through a dedicated platform and mobile app, promoting transparency, efficiency and ease of living. Appeals against its decisions will lie with the Appellate Tribunal, TDSAT.
The Rules seek to strike a careful balance between protecting citizens’ privacy and promoting innovation and growth. India’s data governance model encourages economic development while safeguarding citizen welfare, and provides a facilitative compliance regime for startups and smaller enterprises so that innovation can continue to thrive alongside strong data protection standards.
With simplified rules, adequate transition time and a technology-neutral approach, the DPDP Act and Rules aim to strengthen privacy, enhance trust and support responsible innovation. Together, they help position India’s digital economy as secure, resilient and globally competitive.
