India’s DPDP Act 2023: Data Protection Framework

Regarding the Digital Personal Data Protection (DPDP) framework in India, consider the following:

1. The DPDP Act, 2023, applies to the processing of digital personal data both within India and outside India if it is for offering goods or services in India.
2. The rules mandate that consent notices from Data Fiduciaries must be clear, standalone, and purpose-specific.
3. The Data Protection Board (DPB) will function as a fully digital institution for filing and tracking complaints.

Which of the above statements are correct?

Correct Answer Explanation

All three statements regarding India's Digital Personal Data Protection (DPDP) framework are correct.

• Statement 1: The scope of the DPDP Act, 2023, is extensive. It covers the processing of digital personal data within India and also extends its applicability to the processing of personal data outside India if such processing is related to offering goods or services to Data Principals (individuals whose data is processed) within India. This ensures a broad protective umbrella for Indian citizens' data.
• Statement 2: The DPDP Rules, 2025, lay down specific requirements for consent. They mandate that Data Fiduciaries (entities determining the purpose and means of data processing) must provide consent notices that are clear, standalone (not buried in terms and conditions), and purpose-specific, written in simple language. This empowers individuals to make informed decisions about their data.
• Statement 3: The rules envision the Data Protection Board (DPB) as a modern, fully digital institution. This digital-first approach means that citizens will be able to file and track their complaints online through a dedicated portal and mobile application, enhancing accessibility and efficiency in grievance redressal.

Incorrect Options Analysis

Since all three statements accurately describe the DPDP framework, options (a), (b), and (c) are incorrect as they omit one or more correct aspects.

भारत में डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) ढांचे के संबंध में, निम्नलिखित पर विचार करें:

1. DPDP अधिनियम, 2023, भारत के भीतर और भारत के बाहर डिजिटल व्यक्तिगत डेटा के प्रसंस्करण पर लागू होता है, यदि यह भारत में वस्तुओं या सेवाओं की पेशकश के लिए है।
2. नियमों के अनुसार, डेटा फिड्यूशियरी से सहमति सूचनाएं स्पष्ट, स्वतंत्र और उद्देश्य-विशिष्ट होनी चाहिए।
3. डेटा संरक्षण बोर्ड (DPB) शिकायतों को दर्ज करने और ट्रैक करने के लिए एक पूरी तरह से डिजिटल संस्थान के रूप में कार्य करेगा।

उपर्युक्त कथनों में से कौन सा/से सही है/हैं?

सही उत्तर की व्याख्या

भारत में डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) ढांचे के संबंध में तीनों कथन सही हैं।

• कथन 1: DPDP अधिनियम, 2023 का दायरा व्यापक है, जो भारत के भीतर डिजिटल व्यक्तिगत डेटा के प्रसंस्करण को कवर करता है। यह भारत के बाहर व्यक्तिगत डेटा के प्रसंस्करण पर भी लागू होता है, यदि इसका संबंध भारत के भीतर डेटा प्रिंसिपलों (व्यक्तियों जिनके डेटा को संसाधित किया जाता है) को वस्तुओं या सेवाओं की पेशकश से है। यह भारतीय नागरिकों के डेटा के लिए एक व्यापक सुरक्षात्मक छत्र सुनिश्चित करता है।
• कथन 2: DPDP नियम, 2025 में सहमति के लिए विशिष्ट आवश्यकताएं निर्धारित की गई हैं। यह अनिवार्य करता है कि डेटा फिड्यूशियरी (डेटा प्रसंस्करण के उद्देश्य और साधनों का निर्धारण करने वाली संस्थाएं) को स्पष्ट, स्वतंत्र (नियमों और शर्तों में छिपी नहीं), और उद्देश्य-विशिष्ट सहमति सूचनाएं प्रदान करनी चाहिए, जो सरल भाषा में लिखी गई हों। यह व्यक्तियों को उनके डेटा के बारे में सूचित निर्णय लेने का अधिकार देता है।
• कथन 3: नियमों के अनुसार डेटा संरक्षण बोर्ड (DPB) एक पूरी तरह से डिजिटल संस्थान के रूप में कार्य करेगा। यह डिजिटल-प्रथम दृष्टिकोण का अर्थ है कि नागरिक एक समर्पित पोर्टल और मोबाइल एप्लिकेशन के माध्यम से अपनी शिकायतें ऑनलाइन दर्ज और ट्रैक कर सकेंगे, जिससे शिकायत निवारण में पहुंच और दक्षता बढ़ेगी।

गलत विकल्पों का विश्लेषण

चूंकि तीनों कथन DPDP ढांचे का सटीक वर्णन करते हैं, विकल्प (a), (b), और (c) गलत हैं क्योंकि वे एक या एक से अधिक सही पहलुओं को छोड़ देते हैं।