जनरल डेटा प्रोटेक्शन रेगुलेशन 25 May 2018 से यूरोपीय आर्थिक क्षेत्र भर में प्रत्यक्ष रूप से लागू है. भारत का डिजिटल पर्सनल डेटा प्रोटेक्शन अधिनियम 2023 अगस्त 2023 में राष्ट्रपति की स्वीकृति प्राप्त कर चुका था पर अधीनस्थ नियमों के लंबित रहने के कारण निष्क्रिय पड़ा रहा. वे नियम, डिजिटल पर्सनल डेटा प्रोटेक्शन नियम 2025, 13 November 2025 को अधिसूचित किए गए, जिससे एक चरणबद्ध प्रारंभ शुरू हुआ: डेटा प्रोटेक्शन बोर्ड के प्रावधान तत्काल प्रभाव में आए, सहमति प्रबंधकों के लिए पंजीकरण कर्तव्य एक-वर्ष की सीमा पर लागू होते हैं, और मूलभूत दायित्व तथा डेटा-प्रिंसिपल अधिकार 13 May 2027 से प्रवर्तनीय हो जाते हैं (Ministry of Electronics and Information Technology 2025; Shardul Amarchand Mangaldas 2025). इसलिए जो आगे है वह एक परिपक्व, पूरी तरह से प्रवर्तित व्यवस्था की तुलना एक नई व्यवस्था से करता है जो कानूनी रूप से पूर्ण है पर परिचालन की दृष्टि से अब भी अपनी अनुपालन तैयारी अवधि के भीतर है. कानून की स्थिति 6 June 2026 के अनुसार बताई गई है, जिससे DPDP के मूलभूत कर्तव्य और डेटा-प्रिंसिपल अधिकार 13 May 2027 को प्रवर्तनीय होने से पहले लगभग ग्यारह महीने बचते हैं. एक ऐसे कार्यक्रम के लिए जिसे वैध प्रसंस्करण को सहमति पर पुनः आधारित करना है, एक सहमति प्रबंधक को एकीकृत करना है और अठारह-से-कम आयु की व्यवस्था खड़ी करनी है, ग्यारह महीने एक एकल योजना क्षितिज हैं, न कि एक आरामदायक अंतर.
साझा वंशावली, और वे तीन भिन्नताएं जो मायने रखती हैं
दोनों कानूनों की एक समान वंशावली है. भारत के प्रारूपकारों ने GDPR की जवाबदेही, प्रयोजन सीमा, डेटा न्यूनीकरण और सहमति की शब्दावली उधार ली, और समानता इतनी निकट है कि एक कार्यशील GDPR कार्यक्रम वाली बहुराष्ट्रीय कंपनी पहले से ही DPDP की मांग का लगभग सत्तर प्रतिशत हिस्सा धारण करती है. शेष तीस प्रतिशत वहीं है जहां पैसा और जोखिम बैठते हैं, क्योंकि भिन्नताएं दिखावटी नहीं बल्कि संरचनात्मक हैं.
तीन अंतर बाकी सब पर हावी हैं. पहला, वैध प्रसंस्करण: GDPR लचीले वैध-हित संतुलन परीक्षण सहित छह वैध आधार प्रदान करता है, जबकि DPDP केवल सहमति और गणित वैध उपयोगों की एक बंद सूची को मान्यता देता है, जिससे सहमति अव्यावहारिक होने पर कोई सामान्य-प्रयोजन विकल्प नहीं बचता. दूसरा, अधिकारों की सूची: GDPR आठ डेटा-विषय अधिकार प्रदान करता है जिनमें सुवाह्यता, आपत्ति और पूर्णतः स्वचालित निर्णयों से सुरक्षा शामिल है, जबकि DPDP एक संकीर्ण समुच्चय प्रदान करता है और एक विशिष्ट नामांकन का अधिकार जोड़ता है. तीसरा, प्रवर्तन अर्थशास्त्र: GDPR जुर्माने को twenty million euro या worldwide वार्षिक टर्नओवर के four per cent में से जो अधिक हो, उस पर सीमित करता है और व्यक्तियों को मुआवजे का निजी अधिकार देता है, जबकि DPDP two hundred and fifty crore rupees तक के निश्चित मौद्रिक दंड लगाता है जिनका टर्नओवर से कोई संबंध नहीं, कोई आपराधिक दायित्व नहीं और कार्रवाई का कोई निजी अधिकार नहीं.
दोहरे-अधीन संगठन के लिए व्यावहारिक सीख यह है कि GDPR अनुपालन आवश्यक है पर पर्याप्त नहीं. एक GDPR-स्तरीय कार्यक्रम को DPDP की सहमति-प्रथम संरचना, उसकी अठारह-से-कम आयु के बच्चों की व्यवस्था, सीमा-पार स्थानांतरण के प्रति उसके नकारात्मक-सूची दृष्टिकोण और उसके उल्लंघन-अधिसूचना नियम को आत्मसात करने के लिए विस्तारित करना होगा, केवल नकल नहीं करनी होगी, जो किसी जोखिम सीमा को सहन नहीं करता.
दो संख्याएं दांव को परिभाषित करती हैं. GDPR यूरोपीय आर्थिक क्षेत्र भर में लगभग four hundred and fifty million लोगों के व्यक्तिगत डेटा का शासन करता है; DPDP भारत में लगभग one and a half billion डेटा प्रिंसिपलों के डेटा का शासन करता है, जो लगभग तीन गुना अधिक हैं. इसलिए हालांकि DPDP की प्रति-घटना दंड सीमा निम्न और निश्चित है, यह जो परिचालन भार थोपता है, सहमति ग्रहण और वापसी, अधिकारों का प्रबंधन और बिना-सीमा उल्लंघन अधिसूचना, वह कहीं बड़े जनसंख्या पैमाने पर चलता है. जो क्षमता एक यूरोपीय उपयोगकर्ता आधार के लिए आरामदायक है उसे एक भारतीय आधार अभिभूत कर सकता है, और वह क्षमता घड़ी समाप्त होने से पहले बनानी होगी: मूलभूत कर्तव्य 13 May 2027 से प्रवर्तनीय होने के साथ, जो लेखन की तिथि से लगभग ग्यारह महीने हैं, एक अरब-से-अधिक प्रिंसिपलों के लिए सहमति, अधिकार और उल्लंघन पाइपलाइनों को अभियंत्रित करने की खिड़की संकीर्ण है.
उपकरण, स्थिति और नियामक संरचना
GDPR एक रेगुलेशन है, जिसका अर्थ है कि यह बिना राष्ट्रीय अंतरण के प्रत्येक सदस्य राज्य में प्रत्यक्ष रूप से लागू होता है, हालांकि सदस्य राज्य डिजिटल सहमति की आयु और रोजगार डेटा जैसे विशिष्ट बिंदुओं पर कानून बनाने की सीमित गुंजाइश बनाए रखते हैं. यह यूरोपीय डेटा प्रोटेक्शन बोर्ड के माध्यम से समन्वित स्वतंत्र राष्ट्रीय पर्यवेक्षी प्राधिकरणों के एक नेटवर्क द्वारा प्रवर्तित होता है, जिसमें संगति तंत्र और एकल-खिड़की प्रणाली सीमा-पार मामलों का समाधान करते हैं. इस प्रकार नियम-निर्माण, मार्गदर्शन और प्रवर्तन स्वतंत्र नियामकों के पास और अंततः अदालतों तथा यूरोपीय संघ के न्यायालय के पास बैठते हैं (हमारा GDPR फ्रेमवर्क पृष्ठ इसके दायित्वों, यह किसे बांधता है और आधिकारिक स्रोत का संक्षेप में सारांश देता है).
DPDP की संरचना अधिक केंद्रीकृत और अधिक कार्यपालिका-नेतृत्व वाली है. DPDP अधिनियम प्राथमिक विधान है; परिचालन का विवरण DPDP नियमों में रहता है, जिन्हें केंद्र सरकार बनाती है और संशोधित कर सकती है (हमारा DPDP फ्रेमवर्क पृष्ठ अधिनियम के मुख्य दायित्वों, यह किसे बांधता है और आधिकारिक स्रोत का संक्षेप में निर्धारण करता है). भारतीय डेटा प्रोटेक्शन बोर्ड न्यायनिर्णायक निकाय है, पर यह एक यूरोपीय पर्यवेक्षी प्राधिकरण से अधिक संकीर्ण है: यह उल्लंघनों की जांच करता है और दंड लगाता है फिर भी बाध्यकारी संहिताएं या मार्गदर्शन जारी नहीं करता, और मूलभूत नियम-निर्माण शक्ति बोर्ड के बजाय केंद्र सरकार के पास रहती है. बोर्ड से अपीलें दूरसंचार विवाद निपटान और अपीलीय न्यायाधिकरण के पास जाती हैं. इसका रचनात्मक परिणाम यह है कि भारत में राजनीतिक कार्यपालिका वे लीवर (छूट, स्थानांतरण प्रतिबंध, नियम संशोधन) बनाए रखती है जो यूरोप में स्वतंत्र प्राधिकरणों या अदालतों के पास बैठते हैं.
दायरा और पहुंच
GDPR उस व्यक्तिगत डेटा का शासन करता है जिसे पूर्णतः या आंशिक रूप से स्वचालित साधनों द्वारा संसाधित किया जाता है, और गैर-स्वचालित प्रसंस्करण का जहां डेटा किसी फाइलिंग प्रणाली का हिस्सा बनता है या बनने का इरादा रखता है. यह Article 9 के तहत संवेदनशील डेटा की एक विशेष श्रेणी को अलग करता है: नस्लीय या जातीय मूल, राजनीतिक राय, धार्मिक विश्वास, ट्रेड-यूनियन सदस्यता, आनुवंशिक और बायोमेट्रिक डेटा, स्वास्थ्य, और यौन जीवन या अभिविन्यास, जिनमें से प्रत्येक उन्नत शर्तों के अधीन है. DPDP एक मामले में संकीर्ण और दूसरे में अधिक समतल है. यह केवल डिजिटल व्यक्तिगत डेटा का शासन करता है, अर्थात् डिजिटीकृत रूप में डेटा या कागज पर एकत्रित और फिर डिजिटीकृत डेटा, और यह विशुद्ध रूप से गैर-डिजिटल अभिलेखों को विनियमित नहीं करता. महत्वपूर्ण रूप से, यह साधारण और संवेदनशील व्यक्तिगत डेटा के बीच कोई वैधानिक भेद नहीं करता. कोई विशेष-श्रेणी स्तर नहीं है; स्वास्थ्य अभिलेख और खरीदारी इतिहास एक ही आधारभूत नियमों के अधीन बैठते हैं, अतिरिक्त सुरक्षा केवल अप्रत्यक्ष रूप से महत्वपूर्ण डेटा फिड्यूशियरी तंत्र और बच्चों के प्रावधानों के माध्यम से आती है. एक दोहरे-अधीन संगठन के लिए यह असंगति दोनों ओर काटती है: भारतीय कानून कोई Article 9 शर्तें नहीं थोपता, पर एक परिपक्व नियंत्रक आमतौर पर दो डेटा-वर्गीकरण योजनाएं बनाए रखने के बजाय अपने GDPR संवेदनशील-डेटा नियंत्रणों को विश्वव्यापी रूप से यथास्थान रखेगा.
दोनों कानून अपने गृह क्षेत्र से परे पहुंचते हैं. GDPR, Article 3 के तहत, किसी EU स्थापना के संदर्भ में प्रसंस्करण पर लागू होता है चाहे प्रसंस्करण कहीं भी हो, और संघ के बाहर के उन नियंत्रकों पर जो संघ में व्यक्तियों को वस्तुएं या सेवाएं प्रदान करते हैं, या उनके व्यवहार की निगरानी करते हैं. DPDP, section 3 के तहत, भारत के भीतर डिजिटल व्यक्तिगत डेटा के प्रसंस्करण पर लागू होता है, और भारत के बाहर प्रसंस्करण पर जहां यह भारत में डेटा प्रिंसिपलों को वस्तुएं या सेवाएं प्रदान करने के संबंध में हो. DPDP GDPR के स्पष्ट व्यवहार-निगरानी अंग को छोड़ देता है, इसलिए वस्तुओं या सेवाओं की पेशकश के बिना भारतीय निवासियों की विशुद्ध प्रोफाइलिंग अपने यूरोपीय समकक्ष की तुलना में अधिक धूसर क्षेत्र में बैठती है.
| आयाम | GDPR | DPDP |
|---|---|---|
| कवर किए गए डेटा का रूप | स्वचालित, साथ ही संरचित मैनुअल फाइलिंग प्रणालियां | केवल डिजिटल (मूलतः-डिजिटल या बाद में डिजिटीकृत) |
| संवेदनशील-डेटा स्तर | हां (Article 9 विशेष श्रेणियां) | कोई वैधानिक स्तर नहीं |
| बाह्यक्षेत्रीय ट्रिगर | स्थापना; पेशकश; व्यवहार की निगरानी | भारत में प्रिंसिपलों को वस्तुएं या सेवाएं प्रदान करना |
| बहिष्कृत प्रसंस्करण | विशुद्ध व्यक्तिगत या घरेलू; कानून प्रवर्तन एक अलग निर्देश के तहत | व्यक्तिगत या घरेलू; कुछ प्रकाशित डेटा; व्यापक राज्य छूट |
कर्ता और शब्दावली
भूमिका संरचना इतनी स्पष्ट रूप से मेल खाती है कि अनुवाद अधिकतर एक-से-एक होता है, जो द्विभाषी नीतियां प्रारूपित करते समय मदद करता है. GDPR नियंत्रक DPDP डेटा फिड्यूशियरी बन जाता है, एक विश्वास-आधारित ढांचा जिसके परिचालन दायित्व फिर भी एक नियंत्रक के समान हैं. GDPR प्रोसेसर डेटा प्रोसेसर बन जाता है, हालांकि DPDP अधिकांश प्रोसेसर कर्तव्यों को कई प्रत्यक्ष वैधानिक कर्तव्य थोपने के बजाय फिड्यूशियरी के अनुबंध के माध्यम से मार्गित करता है. डेटा विषय डेटा प्रिंसिपल बन जाता है, और एक बच्चे के लिए प्रिंसिपल वह बच्चा है जबकि सहमति माता-पिता या वैध संरक्षक द्वारा प्रयोग की जाती है. पर्यवेक्षी प्राधिकरण को अपना समकक्ष भारतीय डेटा प्रोटेक्शन बोर्ड में मिलता है, जो न्यायनिर्णय करता है और दंड देता है पर बाध्यकारी मार्गदर्शन जारी नहीं करता और इसलिए पूर्ण-स्पेक्ट्रम नियामक नहीं है. दो DPDP भूमिकाओं का कोई GDPR समकक्ष नहीं है: महत्वपूर्ण डेटा फिड्यूशियरी, एक सरकार-नामित श्रेणी जो उन्नत कर्तव्य वहन करती है, और सहमति प्रबंधक, एक भारत-विशिष्ट पंजीकृत मध्यस्थ जिसके माध्यम से प्रिंसिपल सहमति प्रदान करते, समीक्षा करते और वापस लेते हैं.
वैध प्रसंस्करण: केंद्रीय भिन्नता
यहीं दोनों व्यवस्थाएं सबसे परिणामपूर्ण रूप से अलग होती हैं. GDPR, Article 6 के तहत, छह वैध आधार प्रदान करता है: सहमति, एक अनुबंध का निष्पादन, एक कानूनी दायित्व का अनुपालन, महत्वपूर्ण हितों की रक्षा, सार्वजनिक हित में किसी कार्य का निष्पादन, और नियंत्रक या किसी तीसरे पक्ष के वैध हित जो डेटा विषय के अधिकारों के विरुद्ध एक संतुलन परीक्षण के अधीन हों. वैध-हित आधार जानबूझकर खुला-बुना है; यह वह कार्य-घोड़ा है जो संगठनों को धोखाधड़ी रोकथाम, नेटवर्क सुरक्षा, प्रत्यक्ष विपणन और अंतर-समूह प्रशासन के लिए हर संक्रिया के लिए सहमति मांगे बिना डेटा संसाधित करने देता है.
DPDP वैधता के केवल दो मार्गों को मान्यता देता है: section 6 के तहत सहमति और section 7 के तहत कुछ वैध उपयोगों की एक बंद सूची. वैध-उपयोगों की सूची गणित और सीमित है: किसी निर्दिष्ट प्रयोजन के लिए प्रिंसिपल द्वारा डेटा का स्वैच्छिक प्रावधान, राज्य कार्य और सब्सिडी या सेवाओं का प्रावधान, कानून या न्यायालय के आदेशों का अनुपालन, चिकित्सा आपात स्थितियां, रोजगार-संबंधी प्रयोजन, और आपदा या सार्वजनिक-व्यवस्था की स्थितियां, कुछ अन्य के बीच. कोई अवशिष्ट संतुलन परीक्षण नहीं है. यदि कोई प्रसंस्करण गतिविधि सूची के किसी मद पर मानचित्रित नहीं होती, तो एकमात्र वैध मार्ग सहमति है. यह एक बहुराष्ट्रीय कंपनी के लिए सबसे महत्वपूर्ण एकल परिचालन अंतर है, क्योंकि जिन डेटा प्रवाहों को यूरोप वैध हितों के तहत आराम से संभालता है, उदाहरण के लिए व्यापक विश्लेषण, विपणन संवर्धन या सीमा-पार समूह रिपोर्टिंग, उनके लिए भारत में एक स्पष्ट सहमति संरचना की आवश्यकता हो सकती है.
सहमति का मानक स्वयं कागज पर समान है. दोनों के लिए आवश्यक है कि सहमति स्वतंत्र, विशिष्ट, सूचित, अस्पष्टता-रहित और स्पष्ट सकारात्मक कार्रवाई द्वारा संकेतित हो, और दोनों के लिए आवश्यक है कि वापसी देने जितनी ही आसान हो. DPDP इसके ऊपर दो भारत-विशिष्ट विशेषताएं परत के रूप में जोड़ता है. पहला, सहमति अनुरोध के साथ आने वाली सूचना मदवार होनी चाहिए और, अनुरोध पर, अंग्रेजी में या संविधान की आठवीं अनुसूची की किसी भी भाषा में उपलब्ध होनी चाहिए. दूसरा, सहमति को एक सहमति प्रबंधक के माध्यम से मध्यस्थ किया जा सकता है, एक पंजीकृत मंच जो प्रिंसिपलों को फिड्यूशियरीज़ भर में अनुमतियां प्रदान करने और रद्द करने के लिए एक एकल डैशबोर्ड देता है, एक संस्थागत रचना जिसका कोई GDPR समकक्ष नहीं है.
GDPR अनुपालन आवश्यक है पर पर्याप्त नहीं. एक GDPR-स्तरीय कार्यक्रम को DPDP की सहमति-प्रथम संरचना को आत्मसात करने के लिए विस्तारित करना होगा, केवल नकल नहीं करनी होगी.
अधिकार, दायित्व और बच्चे
GDPR अधिकारों का एक व्यापक समुच्चय प्रदान करता है: पहुंच, सुधार, मिटाना, प्रसंस्करण का प्रतिबंध, डेटा सुवाह्यता, प्रत्यक्ष विपणन सहित आपत्ति, और Article 22 के तहत कानूनी या समान रूप से महत्वपूर्ण प्रभाव उत्पन्न करने वाले पूर्णतः स्वचालित निर्णय के अधीन न होने का अधिकार. DPDP एक संकीर्ण समुच्चय प्रदान करता है: व्यक्तिगत डेटा और प्रसंस्करण के सारांश तक पहुंच, सुधार और मिटाना, शिकायत निवारण, और एक विशिष्ट नामांकन का अधिकार जो एक प्रिंसिपल को मृत्यु या असमर्थता की स्थिति में अपने अधिकारों का प्रयोग करने के लिए किसी अन्य व्यक्ति को नामित करने देता है. ये कमियां मायने रखती हैं. DPDP में डेटा सुवाह्यता का कोई स्वतंत्र अधिकार नहीं, आपत्ति का कोई सामान्य अधिकार नहीं, प्रतिबंध का कोई अधिकार नहीं, और स्वचालित निर्णय-निर्माण के विरुद्ध कोई Article 22-शैली की सुरक्षा नहीं है. इसके विपरीत, नामांकन के अधिकार का कोई यूरोपीय समकक्ष नहीं है.
| अधिकार | GDPR | DPDP |
|---|---|---|
| पहुंच | हां (Art 15) | हां (डेटा और प्रसंस्करण का सारांश) |
| सुधार या संशोधन | हां (Art 16) | हां |
| मिटाना | हां (Art 17) | हां (वापसी या प्रयोजन पूर्णता पर) |
| प्रसंस्करण का प्रतिबंध | हां (Art 18) | नहीं |
| डेटा सुवाह्यता | हां (Art 20) | नहीं |
| आपत्ति | हां (Art 21) | नहीं |
| स्वचालित निर्णयों पर रक्षोपाय | हां (Art 22) | नहीं |
| शिकायत निवारण | पर्यवेक्षी प्राधिकरण को शिकायत के माध्यम से | हां (फिड्यूशियरी के विरुद्ध वैधानिक अधिकार) |
| नामांकन | नहीं | हां |
दोनों व्यवस्थाएं जवाबदेही पर निर्मित हैं, पर वे भारी कर्तव्यों को भिन्न रूप से वितरित करती हैं. GDPR के तहत प्रत्येक नियंत्रक जवाबदेही दस्तावेज़ीकरण की एक आधार रेखा वहन करता है: Article 30 के तहत प्रसंस्करण गतिविधियों के अभिलेख जिसमें एक छोटे-संगठन की छूट है, Article 25 के तहत डिजाइन और डिफ़ॉल्ट द्वारा डेटा सुरक्षा, उच्च-जोखिम प्रसंस्करण के लिए Article 35 के तहत एक डेटा संरक्षण प्रभाव आकलन, और Article 28 के तहत बाध्यकारी प्रोसेसर अनुबंध. एक डेटा संरक्षण अधिकारी Article 37 के तहत अनिवार्य है जहां मूल गतिविधियों में बड़े पैमाने की व्यवस्थित निगरानी या विशेष-श्रेणी डेटा का बड़े पैमाने का प्रसंस्करण शामिल हो, और संघ के बाहर के नियंत्रकों को Article 27 के तहत एक EU प्रतिनिधि नियुक्त करना होगा. DPDP एक हल्की सार्वभौमिक आधार रेखा लागू करता है और भारी कर्तव्यों को महत्वपूर्ण डेटा फिड्यूशियरी पर केंद्रित करता है. प्रत्येक फिड्यूशियरी को उचित सुरक्षा रक्षोपाय लागू करने होंगे, सूचना और सहमति का सम्मान करना होगा, वापसी पर या प्रयोजन पूरा होने पर डेटा मिटाना होगा, और अनुबंध के माध्यम से प्रोसेसर अनुपालन सुनिश्चित करना होगा. केवल वे संस्थाएं जिन्हें केंद्र सरकार महत्वपूर्ण डेटा फिड्यूशियरी के रूप में नामित करती है, उन्हें अतिरिक्त रूप से एक भारत-आधारित डेटा संरक्षण अधिकारी नियुक्त करना होगा, एक स्वतंत्र डेटा लेखा परीक्षक नियुक्त करना होगा, और आवधिक प्रभाव आकलन तथा लेखा परीक्षा करनी होगी. इसलिए ट्रिगर GDPR के स्व-आकलित जोखिम परीक्षण के बजाय सरकारी नामांकन है.
दोनों व्यवस्थाएं बच्चों को विशेष रूप से चिह्नित करती हैं, और यहां DPDP अधिक कठोर है. GDPR, Article 8 के तहत, सूचना-समाज सेवाओं के लिए वैध सहमति की आयु सोलह निर्धारित करता है, सदस्य राज्यों को इसे तेरह से कम नहीं तक घटाने की अनुमति देता है. DPDP अठारह से कम किसी भी व्यक्ति को बच्चा मानता है और किसी बच्चे के डेटा को संसाधित करने से पहले सत्यापन-योग्य माता-पिता या वैध-संरक्षक सहमति की आवश्यकता रखता है. यह बच्चे की भलाई पर हानिकारक प्रभाव उत्पन्न करने की संभावना वाले प्रसंस्करण को प्रतिबंधित करके, और बच्चों पर निर्देशित व्यवहार ट्रैकिंग, व्यवहार निगरानी तथा लक्षित विज्ञापन पर सीधे प्रतिबंध लगाकर आगे जाता है, सरकार द्वारा अधिसूचित की जा सकने वाली सीमित छूटों के अधीन. एक वैश्विक डिजिटल सेवा के लिए यह एक सार्थक डिजाइन बाधा है: तेरह-से-सोलह की यूरोपीय सीमा पर अंशांकित एक आयु-आश्वासन और माता-पिता-सहमति परत भारत के अठारह-से-कम नियम को संतुष्ट नहीं करेगी, और विज्ञापन-प्रौद्योगिकी स्टैक को जनसंख्या पैमाने पर भारतीय नाबालिगों के लिए व्यवहार लक्ष्यीकरण बंद करने में सक्षम होना चाहिए.
सीमा-पार स्थानांतरण: दर्पण-प्रतिबिंब डिफ़ॉल्ट
स्थानांतरण मॉडल अपनी डिफ़ॉल्ट मुद्रा में लगभग दर्पण प्रतिबिंब हैं. GDPR, Chapter V में, निषेध से शुरू होता है: व्यक्तिगत डेटा EEA को केवल एक पर्याप्तता निर्णय, उपयुक्त रक्षोपायों जैसे मानक संविदात्मक खंड या बाध्यकारी कॉर्पोरेट नियम, या रियायतों के एक संकीर्ण समुच्चय के तहत ही छोड़ सकता है. एक वैध स्थानांतरण तंत्र स्थापित करने का भार निर्यातक पर है, और Schrems II न्यायशास्त्र गंतव्य देश के निगरानी वातावरण के एक स्थानांतरण प्रभाव आकलन की आवश्यकता रखता है. यह एक श्वेतसूची मॉडल है: डिफ़ॉल्ट रूप से निषेध, केवल वहीं अनुमत जहां एक तंत्र मौजूद हो.
DPDP अनुमति से शुरू होता है. स्थानांतरण डिफ़ॉल्ट रूप से किसी भी देश को अनुमत हैं, और केंद्र सरकार निर्दिष्ट क्षेत्राधिकारों को स्थानांतरण प्रतिबंधित करने वाली एक नकारात्मक सूची जारी कर सकती है. यह एक कालीसूची मॉडल है: डिफ़ॉल्ट रूप से अनुमति, केवल वहीं अवरुद्ध जहां एक गंतव्य नामित किया गया हो. सिद्धांत में यह कहीं अधिक उदार है, पर दो चेतावनियां इसे संयमित करती हैं. पहला, अभी तक कोई नकारात्मक सूची तैयार नहीं की गई है, इसलिए व्यावहारिक रूपरेखा अनिश्चित बनी हुई है. दूसरा, क्षेत्रीय डेटा-स्थानीयकरण नियम, विशेष रूप से भुगतान डेटा के लिए भारतीय रिज़र्व बैंक से, DPDP के ऊपर लागू होते रहते हैं और सामान्य व्यवस्था से अधिक कठोर हो सकते हैं. एक बहुराष्ट्रीय कंपनी के लिए असंगति स्पष्ट है: EU डेटा को भारत ले जाने के लिए एक प्रलेखित Article 46 तंत्र की आवश्यकता है, जबकि भारतीय डेटा को EU ले जाने के लिए वर्तमान में DPDP के अंतर्गत स्वयं कुछ भी आवश्यक नहीं है, हालांकि विवेकपूर्ण शासन किसी भी तरह से संविदात्मक रक्षोपाय यथास्थान रखता है.
उल्लंघन अधिसूचना: अनुपस्थित भौतिकता छननी
दोनों व्यवस्थाएं बहत्तर-घंटे की घड़ी पर अभिसरण करती हैं पर सीमा और श्रोता पर तीखे रूप से भिन्न होती हैं. GDPR के लिए आवश्यक है कि पर्यवेक्षी प्राधिकरण को अनुचित विलंब के बिना और, जहां संभव हो, जागरूक होने के बहत्तर घंटे के भीतर अधिसूचना दी जाए, पर केवल जहां उल्लंघन से व्यक्तियों के अधिकारों और स्वतंत्रताओं पर जोखिम होने की संभावना हो; प्रभावित व्यक्तियों को केवल वहीं अधिसूचित किया जाता है जहां जोखिम उच्च हो. जोखिम सीमा तुच्छ घटनाओं को छान देती है. DPDP नियम कोई जोखिम सीमा बिल्कुल नहीं थोपते. किसी भी व्यक्तिगत-डेटा उल्लंघन के प्रति जागरूक होने पर फिड्यूशियरी को बिना विलंब के प्रभावित डेटा प्रिंसिपलों को सूचित करना होगा और डेटा प्रोटेक्शन बोर्ड को एक प्रारंभिक सूचना देनी होगी जिसके बाद बहत्तर घंटे के भीतर एक विस्तृत रिपोर्ट देनी होगी जो उल्लंघन, उसकी परिस्थितियों, शमन और किसी जिम्मेदार पक्ष की पहचान को कवर करती हो (MediaNama 2025; Ministry of Electronics and Information Technology 2025). एक भौतिकता छननी की अनुपस्थिति का अर्थ है कि भारतीय उल्लंघन-रिपोर्टिंग मात्राएं अपने यूरोपीय समकक्षों से अधिक चलेंगी, और लगभग one and a half billion प्रिंसिपलों की जनसंख्या के विरुद्ध अधिसूचना तंत्र को तदनुसार बढ़ना होगा. GDPR के जोखिम द्वार पर समायोजित घटना-प्रतिक्रिया रनबुक को हर अर्हक उल्लंघन को बोर्ड और प्रभावित व्यक्तियों दोनों को अधिसूचित करने के लिए फिर से तैयार करना होगा.
| पहलू | GDPR | DPDP |
|---|---|---|
| प्राधिकरण अधिसूचना | 72 घंटे के भीतर, यदि अधिकारों पर जोखिम | प्रारंभिक सूचना, फिर 72 घंटे के भीतर विस्तृत रिपोर्ट, कोई सीमा नहीं |
| व्यक्तिगत अधिसूचना | केवल यदि उच्च जोखिम | हमेशा, बिना विलंब के |
| भौतिकता छननी | हां (जोखिम-आधारित) | कोई नहीं |
प्रवर्तन अर्थशास्त्र
प्रवर्तन अर्थशास्त्र प्रकार में भिन्न होता है, केवल मात्रा में नहीं. GDPR के प्रशासनिक जुर्माने निम्न स्तर के लिए ten million euro या worldwide वार्षिक टर्नओवर के two per cent तक, और उच्च स्तर के लिए twenty million euro या worldwide वार्षिक टर्नओवर के four per cent तक चलते हैं, जो भी अधिक हो. टर्नओवर संबंध निवारक को उपक्रम के आकार के अनुपात में बढ़ाता है. GDPR एक निजी अधिकार भी सृजित करता है: डेटा विषय Article 82 के तहत भौतिक और गैर-भौतिक क्षति के लिए मुआवजा मांग सकते हैं, और शिकायतें दर्ज कर सकते हैं तथा न्यायिक उपचार अपना सकते हैं. DPDP टर्नओवर से अनबंधित निश्चित मौद्रिक दंड थोपता है, जो अनुसूचियों के संदर्भ में निर्धारित और प्रति घटना सीमित हैं: उचित सुरक्षा रक्षोपाय न लेने के लिए two hundred and fifty crore rupees तक, उल्लंघन अधिसूचना या बच्चों-के-डेटा दायित्वों में विफलताओं के लिए two hundred crore rupees तक, और अन्य चूकों के लिए निम्न सीमाएं. DPDP के तहत कोई आपराधिक दायित्व नहीं है और, महत्वपूर्ण रूप से, कार्रवाई का कोई निजी अधिकार नहीं और व्यक्तियों को कोई वैधानिक मुआवजा नहीं; प्रवर्तन डेटा प्रोटेक्शन बोर्ड के माध्यम से चलता है, जिसमें दंड राज्य को भुगतान किया जाता है. DPDP झूठी या तुच्छ शिकायतें दर्ज करने के लिए डेटा प्रिंसिपलों पर दंड भी प्रस्तुत करता है, जिसका कोई GDPR समकक्ष नहीं है. शुद्ध प्रभाव यह है कि एक बहुत बड़े उद्यम के लिए, GDPR की टर्नओवर-आधारित सीमा DPDP की निश्चित सीमा को बौना बना सकती है, जबकि उसी उद्यम के लिए DPDP वर्ग-कार्रवाई और व्यक्तिगत-मुकदमेबाजी का जोखिम हटा देता है जो यूरोप में GDPR अनुपालन पर छाया डालता है.
छूट
GDPR छूटों को संकीर्ण और नियम-बद्ध रखता है. Article 23 सदस्य राज्य कानून को अधिकारों को केवल वहीं प्रतिबंधित करने देता है जहां गणित सार्वजनिक-हित उद्देश्यों के लिए आवश्यक और आनुपातिक हो, और पत्रकारिता, शैक्षणिक, कलात्मक तथा साहित्यिक अभिव्यक्ति के लिए, और रक्षोपायों के अधीन अनुसंधान तथा अभिलेखीकरण के लिए विशिष्ट अपवाद हैं. DPDP व्यापक और अधिक कार्यपालिका-नियंत्रित छूटें प्रदान करता है. Section 17 केंद्र सरकार को संप्रभुता, सुरक्षा, सार्वजनिक व्यवस्था और मैत्रीपूर्ण संबंधों के हित में राज्य उपकरणों को अधिनियम के अधिकांश से छूट देने की अनुमति देता है, और अनुसंधान, अभिलेखीकरण या सांख्यिकीय प्रयोजनों के लिए आवश्यक प्रसंस्करण के लिए, अधिसूचना द्वारा कुछ स्टार्टअप के लिए, और कानूनी अधिकारों के प्रवर्तन के लिए छूटें प्रदान करता है. राज्य-केंद्रित छूटों की चौड़ाई, और यह तथ्य कि वे एक स्वतंत्र प्राधिकरण या अदालत के बजाय कार्यपालिका द्वारा प्रदान और परिबद्ध की जाती हैं, भारतीय व्यवस्था की सबसे चर्चित विशेषताओं में से एक है और नागरिक-समाज की टिप्पणी में एक आवर्ती विषय है (Internet Freedom Foundation 2025).
एक दोहरे-अधीन कार्यक्रम को कौन से नियंत्रण जोड़ने होंगे
दोनों व्यवस्थाओं के भीतर एक संगठन के लिए, परिचालन मॉडल जानबूझकर भिन्नता के साथ अभिसरण है. व्यावहारिक संरचना यह है कि दो स्वतंत्र कार्यक्रम बनाए रखने के बजाय एक एकल, GDPR-स्तरीय वैश्विक आधार रेखा चलाई जाए और उस पर भारत-विशिष्ट मॉड्यूल जोड़े जाएं. पुनः-उपयोग योग्य GDPR परिसंपत्तियां पर्याप्त हैं: प्रसंस्करण के अभिलेख, सुरक्षा और उल्लंघन-प्रतिक्रिया नियंत्रण, पहुंच, सुधार तथा मिटाने के लिए डेटा-विषय-अधिकार उपकरण, प्रोसेसर-संविदाकरण टेम्पलेट और डिजाइन-द्वारा-गोपनीयता अनुशासन सभी मामूली अनुकूलन के साथ DPDP में स्थानांतरित होते हैं. भारत-विशिष्ट जोड़ वहीं हैं जहां प्रयास केंद्रित होते हैं, और वे ठीक वही नियंत्रण हैं जो एक केवल-GDPR कार्यक्रम में 13 May 2027 की प्रवर्तन तिथि पर अनुपस्थित होंगे: एक सहमति-प्रथम वैध-आधार डिजाइन जो वैध हितों पर निर्भर न करे; एक सहमति प्रबंधक के साथ एकीकरण या उसके लिए तैयारी; सत्यापन-योग्य माता-पिता सहमति और व्यवहार-विज्ञापन दमन के साथ एक अठारह-से-कम बच्चों की व्यवस्था; एक नामांकन कार्यप्रवाह; एक उल्लंघन प्रक्रिया जो बिना किसी जोखिम द्वार के हर अर्हक घटना को अधिसूचित करे; और सरकार की सीमा-पार नकारात्मक सूची तथा क्षेत्रीय स्थानीयकरण नियमों पर एक नज़र. इसके विपरीत, संगठन कोई GDPR तंत्र सेवानिवृत्त नहीं कर सकता, क्योंकि DPDP का संकीर्ण अधिकार समुच्चय और उदार स्थानांतरण मॉडल यूरोपीय कर्तव्यों को शिथिल नहीं करते.
CCI के उपकरण क्या बदलते हैं
एक दोहरी-व्यवस्था कार्यक्रम अधिकतर नीति पर नहीं बल्कि यह न जानने पर विफल होता है कि साक्ष्य की दृष्टि से व्यक्तिगत डेटा कहां बैठता है, प्रत्येक प्रवाह किस वैध आधार पर निर्भर है, और एक प्रवर्तन घटना की लागत क्या होगी. CCI के मूल-तत्व ठीक उन्हीं कमियों पर प्रहार करते हैं, और नीचे प्रत्येक दावा एक मौजूदा उत्पाद द्वारा समर्थित संभावना-न्यूनीकरण है, न कि एक गारंटी.
NetDiagramer वास्तविक डेटा एस्टेट, प्रणालियों के बीच प्रवाहों और प्रत्येक प्रवाह द्वारा पार किए गए क्षेत्राधिकारों का मानचित्रण करता है. स्थानांतरण समस्या के लिए यह आधारभूत है: आप GDPR की Article 46 तंत्रों की श्वेतसूची लागू नहीं कर सकते या DPDP की कालीसूची पर नज़र नहीं रख सकते यदि आप देख नहीं सकते कि कौन से प्रवाह EEA छोड़ते हैं या भारत में उतरते हैं. वही टोपोलॉजी हर उस प्रवाह को सामने लाती है जो वर्तमान में वैध हितों पर निर्भर है, जो ठीक वही जनसंख्या है जिसे DPDP के काटने से पहले सहमति पर पुनः आधारित करना होगा.
EviGen जवाबदेही को एक दस्तावेज़ीकरण अभ्यास से स्वचालित साक्ष्य में बदल देता है. Article 30 के तहत प्रसंस्करण के अभिलेख, सहमति बहीखाते, और एक महत्वपूर्ण डेटा फिड्यूशियरी द्वारा उत्पादित किए जाने वाले प्रभाव-आकलन तथा लेखा-परीक्षा कलाकृतियां लेखा-परीक्षा के समय स्प्रेडशीट से पुनर्निर्मित करने के बजाय जीवंत एस्टेट से उत्पन्न और वर्तमान रखी जाती हैं. एक साक्ष्य पाइपलाइन यूरोपीय अभिलेख कर्तव्य और भारतीय जवाबदेही तथा लेखा-परीक्षा कर्तव्यों दोनों की सेवा करती है.
Evidence Vault उल्लंघन प्रक्रिया को वह छेड़छाड़-स्पष्ट समयरेखा देता है जिसकी उसे DPDP के बिना-सीमा नियम से बचने के लिए आवश्यकता है. जब हर अर्हक घटना को बहत्तर घंटे के भीतर बोर्ड तक और हर प्रभावित प्रिंसिपल तक बिना विलंब के पहुंचना हो, तो बाधा इच्छा नहीं बल्कि यह क्षमता है कि क्या हुआ, कब और किसके साथ, इसका एक बचाव-योग्य विवरण तेजी से एकत्रित किया जाए. वही वॉल्ट GDPR के Article 33 और 34 के अभिलेख-रखरखाव को संतुष्ट करता है.
cVaR भिन्न प्रवर्तन अर्थशास्त्र को पैसे में मूल्यांकित करता है. यह दोनों सीमाओं के तहत जोखिम का परिमाणीकरण करता है, GDPR का टर्नओवर-संबद्ध four per cent और DPDP का प्रति घटना निश्चित two hundred and fifty crore, ताकि एक बोर्ड अपनी दोहरी-व्यवस्था दंड सतह को दो कानूनी अमूर्तताओं के बजाय एक एकल संख्या के रूप में देखे, और प्रत्याशित हानि न्यूनीकरण के अनुसार उपचार को श्रेणीबद्ध कर सके.
Domain Separation यूरोपीय और भारतीय डेटा एस्टेटों को तार्किक रूप से पृथक्करणीय रखता है, ताकि स्थानीयकरण आवश्यकताएं, एक भविष्य की नकारात्मक सूची और भिन्न वैध-आधार व्यवस्थाएं पूरे कार्यक्रम को दो में विभाजित किए बिना प्रति क्षेत्राधिकार प्रवर्तित की जा सकें. यह वह नियंत्रण है जो जानबूझकर-भिन्नता-के-साथ-अभिसरण को आकांक्षात्मक के बजाय परिचालन योग्य बनाता है.
दोहरे जनादेश को समय पर खड़ा करना
DPDP के मूलभूत कर्तव्य 13 May 2027 को उतरते हैं. लेखन की तिथि से वह लगभग ग्यारह महीने है, जो दूर का प्रतीत होता है और है नहीं: एक सहमति-प्रथम पुनः-वास्तुकला, एक सहमति प्रबंधक एकीकरण और एक अठारह-से-कम व्यवस्था बहु-तिमाही कार्यक्रम हैं, और वे समानांतर की तुलना में श्रृंखला में अधिक बार चलते हैं क्योंकि प्रत्येक डेटा एस्टेट के एक स्वच्छ दृश्य पर निर्भर है जो अधिकांश संगठनों के पास अभी नहीं है. May 2027 से पीछे की ओर गिनते हुए, खोज और डेटा-मानचित्रण कार्य इस तिमाही में शुरू होना चाहिए ताकि निर्माण, परीक्षण और लेखा-परीक्षा चरण प्रवर्तन से पहले फिट हो सकें. जहां एक संगठन को स्थायी कर्मचारी संख्या जोड़े बिना उस निर्माण को संचालित करने के लिए वरिष्ठ गोपनीयता नेतृत्व की आवश्यकता है, CCI की CISO-as-a-Service अंतरिम, आंशिक, ऑन-कॉल या घटना-पश्चात कवर के लिए आठ या अधिक CISSP-प्रमाणित अभ्यासकर्ताओं का एक समूह प्रदान करती है, जिसमें स्वतंत्रता संरक्षित रहती है क्योंकि CCI वहां लेखा-परीक्षा नहीं करती जहां वह नेतृत्व करती है. वह समूह केवल-यूरोप नहीं है: CCI के पास भारत-आधारित CISSP-प्रमाणित अभ्यासकर्ता हैं, वरिष्ठ डेटा-गोपनीयता विशेषज्ञ जो DPDP, सहमति प्रबंधक मॉडल और आठवीं अनुसूची की भाषा दायित्वों को भीतर से जानते हैं. यह व्यवहार में मायने रखता है, क्योंकि एक महत्वपूर्ण डेटा फिड्यूशियरी को एक भारत-निवासी डेटा संरक्षण अधिकारी नियुक्त करना होगा, और एक स्थानीय गोपनीयता नेता भारतीय परामर्शदाता, डेटा प्रोटेक्शन बोर्ड और राष्ट्रीय पैमाने पर सहमति की वास्तविकताओं तक की दूरी को भी छोटा करता है.
दूसरी आवर्ती कमी कानूनी के बजाय आधारभूत है: अधिकांश संगठन साक्ष्य की दृष्टि से यह नहीं बता सकते कि उनका व्यक्तिगत डेटा वास्तव में कहां बैठता है. CCI के डेटा-सूची विशेषज्ञ ठीक उसी का मानचित्रण विरासत एस्टेटों, जीवंत प्रणालियों में गर्म डेटा और अभिलेखों तथा बैकअप में ठंडे डेटा, डेटाबेस में संरचित अभिलेखों और दस्तावेज़ों, मेलबॉक्सों, फाइल शेयरों तथा ऑब्जेक्ट स्टोरों में कहीं अधिक कठिन असंरचित फैलाव भर में करते हैं. वह सूची नीचे की हर चीज़ के लिए पूर्व-शर्त है, सहमति पुनः-आधारण, अधिकार तथा मिटाने के कार्यप्रवाह, सीमा-पार स्थानांतरण दृश्य और उल्लंघन-दायरा आकलन, जिनमें से किसी पर भी भरोसा नहीं किया जा सकता यदि एस्टेट का मानचित्र अधूरा हो. जहां कमी अनुकूलित उपकरण की है, वहां आंतरिक R&D टीम, वे शिक्षाविद, डॉक्टरेट शोधकर्ता और इंजीनियर जिन्होंने NetDiagramer, EviGen, cVaR और DORA-MAST बनाए, उन मूल-तत्वों, सूची अंतर्ग्रहण, विन्यास साक्ष्य, टोपोलॉजी मानचित्रण और परिमाणीकरण, को एक त्वरित दोहरी-व्यवस्था तत्परता उपकरण-समुच्चय में संयोजित कर सकते हैं. वह एक क्षमता के रूप में कहा गया है, जहां प्रेषित उत्पाद प्रमाण हैं, न कि एक स्टॉपवॉच वादे के रूप में. एक दोहरी-व्यवस्था तत्परता आकलन का दायरा निर्धारित करने के लिए, किसी अभ्यासकर्ता से बात करें.
अगल-बगल मास्टर मैट्रिक्स
| आयाम | GDPR | DPDP |
|---|---|---|
| उपकरण | Regulation (EU) 2016/679 | DPDP Act 2023 + DPDP Rules 2025 |
| प्रभाव में | 25 May 2018 | चरणबद्ध; मूलभूत कर्तव्य 13 May 2027 से |
| कवर किया गया डेटा | स्वचालित और संरचित मैनुअल; संवेदनशील स्तर | केवल डिजिटल; कोई संवेदनशील स्तर नहीं |
| बाह्यक्षेत्रीय ट्रिगर | स्थापना; पेशकश; निगरानी | भारत में प्रिंसिपलों को वस्तुएं या सेवाएं प्रदान करना |
| वैध आधार | छह, वैध हितों सहित | सहमति साथ ही वैध उपयोगों की बंद सूची |
| संवेदनशील-डेटा व्यवस्था | Article 9 विशेष श्रेणियां | कोई नहीं (SDF और बच्चों के माध्यम से अप्रत्यक्ष) |
| बच्चों की आयु | 16 (सदस्य राज्य 13 तक घटा सकते हैं) | 18 से कम; व्यवहार-विज्ञापन प्रतिबंध |
| अधिकार | आठ, सुवाह्यता, आपत्ति, Art 22 सहित | पहुंच, सुधार, मिटाना, शिकायत, नामांकन |
| डेटा संरक्षण अधिकारी | जोखिम-आधारित अनिवार्य | केवल महत्वपूर्ण डेटा फिड्यूशियरी; भारत-आधारित |
| सीमा-पार मॉडल | श्वेतसूची (डिफ़ॉल्ट रूप से निषेध) | कालीसूची (डिफ़ॉल्ट रूप से अनुमति) |
| उल्लंघन सूचना | 72 घंटे SA को यदि जोखिम; व्यक्तियों को यदि उच्च जोखिम | 72 घंटे बोर्ड को साथ ही सभी प्रभावित प्रिंसिपलों को, कोई सीमा नहीं |
| अधिकतम दंड | EUR 20m या वैश्विक टर्नओवर का 4% | INR 250 crore प्रति घटना, कोई टर्नओवर संबंध नहीं |
| कार्रवाई का निजी अधिकार | हां (Art 82) | कोई नहीं |
| नियामक | स्वतंत्र पर्यवेक्षी प्राधिकरण | डेटा प्रोटेक्शन बोर्ड (केवल न्यायनिर्णायक) |
| नियम-निर्माण | EDPB, आयोग, पर्यवेक्षी प्राधिकरण | केंद्र सरकार |
संक्षिप्ताक्षर
| Acronym | Expansion (English) | हिंदी अनुवाद |
|---|---|---|
| BCR | Binding Corporate Rules | बाध्यकारी कॉर्पोरेट नियम |
| CJEU | Court of Justice of the European Union | यूरोपीय संघ का न्यायालय |
| DPDP | Digital Personal Data Protection | डिजिटल पर्सनल डेटा प्रोटेक्शन |
| DPIA | Data Protection Impact Assessment | डेटा संरक्षण प्रभाव आकलन |
| DPO | Data Protection Officer | डेटा संरक्षण अधिकारी |
| EDPB | European Data Protection Board | यूरोपीय डेटा प्रोटेक्शन बोर्ड |
| EEA | European Economic Area | यूरोपीय आर्थिक क्षेत्र |
| GDPR | General Data Protection Regulation | जनरल डेटा प्रोटेक्शन रेगुलेशन |
| MeitY | Ministry of Electronics and Information Technology (India) | इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (भारत) |
| RBI | Reserve Bank of India | भारतीय रिज़र्व बैंक |
| SA | Supervisory Authority | पर्यवेक्षी प्राधिकरण |
| SCC | Standard Contractual Clauses | मानक संविदात्मक खंड |
| SDF | Significant Data Fiduciary | महत्वपूर्ण डेटा फिड्यूशियरी |
| TDSAT | Telecom Disputes Settlement and Appellate Tribunal | दूरसंचार विवाद निपटान और अपीलीय न्यायाधिकरण |
संदर्भ
- European Parliament and Council (2016). Regulation (EU) 2016/679 (General Data Protection Regulation). https://eur-lex.europa.eu/eli/reg/2016/679/oj
- Government of India (2023). The Digital Personal Data Protection Act, 2023. https://www.meity.gov.in/static/uploads/2024/06/2bf1f0e9f04e6fb4f8fef35e82c42aa5.pdf
- Ministry of Electronics and Information Technology (2025). Government notifies DPDP Rules to empower citizens and protect privacy. Press Information Bureau. https://www.pib.gov.in/PressReleasePage.aspx?PRID=2190014
- Ministry of Electronics and Information Technology (2025). Digital Personal Data Protection Rules, 2025 (notification). https://static.pib.gov.in/WriteReadData/specificdocs/documents/2025/nov/doc20251117695301.pdf
- Shardul Amarchand Mangaldas & Co (2025). Enforcement of the DPDP Act and notification of the DPDP Rules. https://www.amsshardul.com/insight/enforcement-of-the-dpdp-act-and-notification-of-the-dpdp-rules/
- MediaNama (2025). Data breach reporting timeline of DPDP Rules 2025 explained. https://www.medianama.com/2025/11/223-data-breach-reporting-timeline-of-dpdp-rules-2025-explained/
- Internet Freedom Foundation (2025). Statement on DPDP Rules 2025. https://internetfreedom.in/
- India Briefing (2025). Digital Personal Data Protection (DPDP) Rules 2025 notified. https://www.india-briefing.com/news/dpdp-rules-2025-india-data-protection-law-compliance-40769.html