मॉड्यूल १२: डेटा संरक्षण आणि गोपनीयता कायदे भाग ७ / ७
भाग ७

सूट आणि अपवाद

DPDPA 2023 अंतर्गत कायद्यातून सूट मिळालेले क्षेत्र, सरकारी सूट आणि व्यावहारिक परिणाम

📖 वाचन वेळ: २० मिनिटे
📊 कठीणता: उच्च
📝 कायदेशीर संदर्भ: DPDPA कलम ७, १७

सूट का आवश्यक?

कोणताही डेटा संरक्षण कायदा पूर्णपणे सर्वव्यापी असू शकत नाही. राष्ट्रीय सुरक्षा, कायद्याची अंमलबजावणी, संशोधन, आणि इतर सार्वजनिक हिताच्या कारणांसाठी काही सूट आवश्यक असतात. DPDPA 2023 मध्ये विविध प्रकारच्या सूट दिल्या आहेत.

संतुलन (Balance)
डेटा संरक्षण कायद्याने दोन गोष्टींमध्ये संतुलन साधणे आवश्यक आहे:
१. व्यक्तींचा गोपनीयतेचा अधिकार (Right to Privacy)
२. राज्याचे वैध हित (Legitimate State Interests)
सूट या संतुलनाचा भाग आहेत.

प्रमुख सूट (Major Exemptions)

🛡️
राष्ट्रीय सुरक्षा
National Security
भारताच्या सार्वभौमत्व, अखंडता, आणि सुरक्षिततेसाठी
⚖️
कायद्याची अंमलबजावणी
Law Enforcement
गुन्ह्यांची तपासणी, कायद्याची अंमलबजावणी
🔬
संशोधन
Research
वैज्ञानिक, ऐतिहासिक, सांख्यिकीय संशोधन
🏛️
न्यायालयीन कार्ये
Judicial Functions
न्यायालये आणि न्यायाधिकरणांची कार्ये
👤
वैयक्तिक वापर
Personal/Domestic Use
व्यक्तीने स्वतःच्या वैयक्तिक कारणांसाठी केलेली प्रक्रिया
🏢
Startups
Startup Exemption
सरकारने निर्धारित केलेल्या startups साठी काही सूट

सरकारी सूट (Government Exemptions)

कलम १७ अंतर्गत, केंद्र सरकार काही परिस्थितींमध्ये कायद्यातून पूर्ण किंवा आंशिक सूट देऊ शकते. या सूट वादग्रस्त आहेत आणि गोपनीयता कार्यकर्त्यांनी टीका केली आहे.

सूट कारण DPDPA कलम स्पष्टीकरण
भारताच्या सार्वभौमत्व आणि अखंडतेचे हित कलम १७(२)(अ) राष्ट्रीय सुरक्षा, संरक्षण
राज्याची सुरक्षा कलम १७(२)(अ) अंतर्गत सुरक्षा, दहशतवाद विरोध
परदेशी राज्यांशी मैत्रीपूर्ण संबंध कलम १७(२)(अ) राजनैतिक संबंध
सार्वजनिक व्यवस्था कलम १७(२)(अ) कायदा आणि सुव्यवस्था
गुन्ह्यांची तपासणी/खटला कलम १७(२)(ब) पोलीस तपास, न्यायालयीन कार्यवाही
टीका आणि चिंता

सरकारी सूट बाबत खालील चिंता व्यक्त केल्या आहेत:
• "राष्ट्रीय सुरक्षा" ची व्याख्या अस्पष्ट आहे
• सरकारी पाळत ठेवण्यासाठी (Surveillance) गैरवापर शक्य
• न्यायालयीन देखरेख (Judicial Oversight) नाही
• K.S. Puttaswamy निकालातील "Proportionality" चाचणी पूर्ण होत नाही

संशोधन सूट (Research Exemption)

वैज्ञानिक, ऐतिहासिक, आणि सांख्यिकीय संशोधनासाठी काही सूट दिल्या आहेत, पण त्या मर्यादित आहेत:

महाराष्ट्रातील संशोधन संस्था

IIT Bombay, TIFR, NCL Pune, IISER इत्यादी संशोधन संस्थांसाठी:
• Ethics Committee मान्यता आवश्यक
• Institutional Review Board (IRB) देखरेख
• Data Protection Policy असणे आवश्यक
• Anonymisation protocols पाळणे आवश्यक

वैयक्तिक/घरगुती वापर सूट

कलम ७ अंतर्गत, व्यक्तीने स्वतःच्या वैयक्तिक किंवा घरगुती कारणांसाठी केलेली डेटा प्रक्रिया DPDPA च्या कक्षेबाहेर आहे.

सूट आहे सूट नाही
Personal address book Business contacts database
Family photos Photography business
Personal diary/journal Blog with others' personal info
Home CCTV (private property) CCTV covering public areas
कलम ३(क): वैयक्तिक वापर सूट
"This Act shall not apply to... processing of personal data by an individual for any personal or domestic purpose."

"हा कायदा लागू होणार नाही... व्यक्तीने कोणत्याही वैयक्तिक किंवा घरगुती उद्देशासाठी केलेल्या वैयक्तिक डेटाच्या प्रक्रियेला."

Legitimate Uses (वैध वापर)

कलम ७ अंतर्गत "Legitimate Uses" साठी संमतीशिवाय प्रक्रिया करता येते. हे सूट नसून वैध कायदेशीर आधार आहेत:

वैध वापर उदाहरण
स्वयंसेवी डेटा Data Principal ने विशिष्ट उद्देशासाठी स्वतः दिलेला डेटा
राज्य कार्ये सरकारी योजना, अनुदान, परवाने, प्रमाणपत्रे
कायदेशीर दायित्व न्यायालयीन आदेश, कायद्याचे पालन
आपत्कालीन परिस्थिती जीवन/आरोग्य धोका, नैसर्गिक आपत्ती
रोजगार कर्मचारी डेटा — पगार, कर, कायदेशीर पालन
सार्वजनिक हित सार्वजनिक आरोग्य, महामारी नियंत्रण

Startup सूट

केंद्र सरकार काही Startups ला DPDPA च्या काही तरतुदींमधून सूट देऊ शकते. यामागील उद्देश Innovation आणि Ease of Doing Business वाढवणे आहे.

पुणे/मुंबई Startups साठी

Maharashtra मधील Startups साठी:
• DPIIT नोंदणी करा
• Mumbai/Pune Startup Hub शी संपर्क साधा
• सूट असली तरी मूलभूत compliance आवश्यक
• Growth झाल्यावर पूर्ण compliance आवश्यक होईल

🏥
केस स्टडी: COVID-19 Aarogya Setu

COVID-19 महामारी दरम्यान Aarogya Setu app साठी व्यापक डेटा संकलन केले गेले — location, health status, contacts. या app साठी कायदेशीर आधार काय होता?

कायदेशीर विश्लेषण:

• आपत्कालीन परिस्थिती — जीवन आणि आरोग्याला धोका
• सार्वजनिक आरोग्य — महामारी नियंत्रण
• NDMA (National Disaster Management Act) अंतर्गत
• DPDPA नसल्याने IT Act 2000 लागू होता

DPDPA अंतर्गत विश्लेषण

आज DPDPA 2023 लागू असते तर:
• कलम ७(ज): आपत्कालीन परिस्थिती — जीवन/आरोग्य धोका — संमतीशिवाय वैध
• कलम ७(छ): सार्वजनिक हित — महामारी — संमतीशिवाय वैध
• पण: Purpose limitation, Data minimisation, Retention limits पाळणे आवश्यक
• महामारी संपल्यावर डेटा खोडणे बंधनकारक असते

GDPR आणि DPDPA सूटांची तुलना

पैलू GDPR DPDPA 2023
National Security Member States च्या अधिकारात व्यापक केंद्र सरकार सूट
Journalism स्पष्ट सूट (Article 85) स्पष्ट सूट नाही
Research Safeguards सह सूट Anonymisation आवश्यक
Judicial Oversight DPA द्वारे देखरेख मर्यादित देखरेख

व्यावहारिक मार्गदर्शक

सूट लागू आहे का हे ठरवताना खालील प्रश्न विचारा:

सावधानतेची सूचना

सूट चा गैरवापर करू नका:
• सूट अरुंदपणे (Narrowly) समजून घ्या
• शंका असल्यास संमती घ्या
• Documentation ठेवा — का सूट लागू आहे याचे
• कायदेशीर सल्ला घ्या गंभीर प्रकरणांमध्ये

मॉड्यूल १२ सारांश
भाग पूर्ण
३३
DPDPA कलमे
₹२५०
कोटी कमाल दंड
प्रमुख अधिकार
🎯 मुख्य निष्कर्ष (Key Takeaways)
राष्ट्रीय सुरक्षा, कायद्याची अंमलबजावणी, संशोधन यासाठी सूट उपलब्ध
सरकारी सूट व्यापक — गोपनीयता कार्यकर्त्यांची चिंता
वैयक्तिक/घरगुती वापर कायद्याच्या कक्षेबाहेर
Legitimate Uses ≠ सूट — संमतीशिवाय वैध प्रक्रिया
Startups साठी काही compliance सूट शक्य
शंका असल्यास सूट लागू आहे असे गृहीत धरू नका — संमती घ्या