Question 1

डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023, सूचना प्रौद्योगिकी एक्ट, 2000 से कैसे अलग है और विशेष रूप से डेटा सुरक्षा के संबंध में ये दोनों कैसे काम करते हैं?

Accepted Answer

सूचना प्रौद्योगिकी एक्ट, 2000 मुख्य रूप से इलेक्ट्रॉनिक लेनदेन और साइबर अपराधों से संबंधित था, जिसमें डेटा सुरक्षा के लिए सीमित प्रावधान थे (जैसे डेटा उल्लंघन से हुए नुकसान के लिए मुआवजा, धारा 43A)। डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023, व्यक्तिगत डेटा सुरक्षा के लिए एक समर्पित, व्यापक कानून है, जो सहमति, डेटा प्रिंसिपल के अधिकारों और डेटा फिड्यूशियरी के दायित्वों के लिए एक मजबूत ढांचा स्थापित करता है। जबकि DPDP एक्ट व्यक्तिगत डेटा के लिए प्राथमिक कानून है, IT एक्ट अभी भी साइबर कानून और इलेक्ट्रॉनिक कॉमर्स के व्यापक पहलुओं को नियंत्रित करता है। व्यक्तिगत डेटा से संबंधित किसी भी विरोधाभासी प्रावधान के मामले में DPDP एक्ट अन्य कानूनों पर हावी होगा।

परीक्षा युक्ति

याद रखें, IT एक्ट एक व्यापक साइबर कानून है; DPDP एक्ट विशेष रूप से व्यक्तिगत डेटा की सुरक्षा के लिए है। व्यक्तिगत डेटा से जुड़े मुद्दों के लिए, DPDP एक्ट प्राथमिक संदर्भ है।

Question 2

सुप्रीम कोर्ट द्वारा निजता के अधिकार की घोषणा के अलावा, डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 ने किन विशिष्ट व्यावहारिक समस्याओं को हल करने का लक्ष्य रखा, जिन्हें मौजूदा कानून या तंत्र संबोधित नहीं कर सके?

Accepted Answer

डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023, भारत के बाहर व्यक्तिगत डेटा के हस्तांतरण की अनुमति देता है, लेकिन केवल उन देशों या क्षेत्रों में जो केंद्र सरकार द्वारा अधिसूचित हैं। यह पहले के मसौदों से एक महत्वपूर्ण बदलाव है जिसमें सख्त डेटा स्थानीयकरण आवश्यकताओं का प्रस्ताव था।

•व्यवसायों के लिए लचीलापन: यह भारत में काम करने वाले वैश्विक व्यवसायों के लिए लचीलापन प्रदान करता है, क्योंकि उन्हें भारत की सीमाओं के भीतर सभी डेटा को सख्ती से संग्रहीत करने के लिए अनिवार्य नहीं किया गया है, जिससे पूर्ण डेटा स्थानीयकरण व्यवस्था की तुलना में अनुपालन बोझ कम होता है।
•सरकारी नियंत्रण: "अधिसूचित देशों" का दृष्टिकोण केंद्र सरकार को इस बात पर महत्वपूर्ण नियंत्रण देता है कि किन न्यायालयों को भारतीय नागरिकों के डेटा के लिए सुरक्षित माना जाता है, जिससे वह अन्य देशों में डेटा सुरक्षा मानकों का आकलन कर सके।
•संतुलन: यह भारत के डेटा सुरक्षा मानकों को वैश्विक डेटा प्रवाह और व्यापार की वास्तविकताओं के साथ संतुलित करने का प्रयास करता है, एक पूर्ण अलगाववादी दृष्टिकोण से बचता है।

परीक्षा युक्ति

याद रखें, यह कंबल डेटा स्थानीयकरण नहीं है। यह अधिसूचित देशों में हस्तांतरण है। इस अंतर का अक्सर परीक्षण किया जाता है।

Question 3

डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 के तहत जुर्माने से संबंधित एक सामान्य MCQ (बहुविकल्पीय प्रश्न) जाल क्या है, और अभ्यर्थी इससे कैसे बच सकते हैं?

Accepted Answer

एक सामान्य MCQ जाल विभिन्न प्रकार के गैर-अनुपालन के लिए अधिकतम जुर्माने की राशि को भ्रमित करना है। उदाहरण के लिए, डेटा उल्लंघन को रोकने के लिए उचित सुरक्षा उपाय करने में विफलता पर ₹250 करोड़ तक का जुर्माना लग सकता है, जबकि बोर्ड और प्रभावित डेटा प्रिंसिपल को उल्लंघन की सूचना देने में विफलता पर ₹200 करोड़ तक का जुर्माना लग सकता है, और बच्चों के डेटा से संबंधित दायित्वों को पूरा न करने पर ₹200 करोड़ तक का जुर्माना हो सकता है। जाल अक्सर एक उल्लंघन के लिए जुर्माना प्रस्तुत करना और दूसरे के लिए लागू राशि पूछना, या विशिष्ट शर्तों को मिलाना होता है।

परीक्षा युक्ति

एक छोटी तालिका बनाएं जिसमें "उल्लंघन का प्रकार" को "अधिकतम जुर्माने की राशि" से जोड़ा गया हो (जैसे, सुरक्षा उल्लंघन -> ₹250 करोड़; उल्लंघन की सूचना देने में विफलता -> ₹200 करोड़; बच्चों के डेटा का उल्लंघन -> ₹200 करोड़)। प्रश्न में उल्लिखित विशिष्ट उल्लंघन पर ध्यान दें।

Question 4

डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट 'सहमति' पर जोर देता है। क्या ऐसी कोई स्थितियाँ हैं जहाँ व्यक्तिगत डेटा को स्पष्ट सहमति के बिना संसाधित किया जा सकता है, और यदि हाँ, तो ये 'वैध उपयोग' क्या हैं?

Accepted Answer

हाँ, डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023, कुछ विशिष्ट परिस्थितियों में व्यक्तिगत डेटा को स्पष्ट सहमति के बिना संसाधित करने की अनुमति देता है, जिन्हें "वैध उपयोग" या "कुछ वैध उद्देश्य" कहा जाता है। इनमें शामिल हैं: Key points: स्वैच्छिक प्रावधान: डेटा प्रिंसिपल द्वारा किसी विशिष्ट उद्देश्य के लिए स्वेच्छा से प्रदान किया गया डेटा।. राज्य के कार्य: राज्य द्वारा किसी कार्य के निष्पादन के लिए या किसी कानून का पालन करने के लिए आवश्यक प्रसंस्करण।. सार्वजनिक हित: धोखाधड़ी को रोकने, राज्य की सुरक्षा सुनिश्चित करने, या चिकित्सा आपात स्थितियों जैसे सार्वजनिक हित के उद्देश्यों के लिए।. रोजगार के उद्देश्य: रोजगार से संबंधित उद्देश्यों के लिए, जैसे भर्ती, समाप्ति, या लाभ प्रदान करना।. कानूनी दायित्व: किसी कानूनी दायित्व को पूरा करने के लिए या किसी कानूनी दावे के प्रयोग या बचाव के लिए।

Question 5

आलोचकों का तर्क है कि डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 सरकार को व्यापक छूट देता है, जिससे 'निजता के अधिकार' कमजोर हो सकता है। आप इस चिंता को कैसे संबोधित करेंगे, और इसका इच्छित संतुलन क्या है?

Accepted Answer

यह एक महत्वपूर्ण चिंता है। आलोचक उन प्रावधानों की ओर इशारा करते हैं जो केंद्र सरकार को राष्ट्रीय सुरक्षा, सार्वजनिक व्यवस्था या संज्ञेय अपराध को उकसाने से रोकने के हित में अपनी एजेंसियों को एक्ट के प्रावधानों से छूट देने की अनुमति देते हैं। Key points: आलोचकों का तर्क: व्यापक सरकारी छूट से निगरानी राज्य बन सकता है, जिससे निजता का मौलिक अधिकार कमजोर हो सकता है।. सरकार का रुख/इच्छित संतुलन: ये छूट राष्ट्रीय सुरक्षा और कानून व्यवस्था के लिए आवश्यक हैं, और इनका प्रयोग विवेकपूर्ण तरीके से किया जाना चाहिए।. आगे का रास्ता: इन छूटों पर स्वतंत्र निरीक्षण और स्पष्ट परिभाषाएं एक्ट को मजबूत कर सकती हैं।

Question 6

डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 के तहत किसी इकाई को 'महत्वपूर्ण डेटा फिड्यूशियरी' के रूप में नामित किए जाने का व्यावहारिक निहितार्थ क्या है, सिर्फ बड़ी मात्रा में डेटा संसाधित करने से परे?

Accepted Answer

डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 के तहत किसी इकाई को 'महत्वपूर्ण डेटा फिड्यूशियरी' (SDF) के रूप में नामित करने के उसके संचालन से जुड़े उच्च जोखिम के कारण महत्वपूर्ण व्यावहारिक निहितार्थ हैं। बड़ी मात्रा में व्यक्तिगत डेटा या संवेदनशील व्यक्तिगत डेटा को संसाधित करने के अलावा, SDF पर सख्त दायित्व होते हैं: Key points: डेटा प्रोटेक्शन ऑफिसर (DPO) की अनिवार्य नियुक्ति।. डेटा प्रोटेक्शन इंपैक्ट असेसमेंट (DPIA) का संचालन।. एक स्वतंत्र डेटा ऑडिटर द्वारा आवधिक ऑडिट कराना।

Question 7

डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 के संदर्भ में, जस्टिस के.एस. पुट्टास्वामी के फैसले और जस्टिस बी.एन. श्रीकृष्ण समिति की रिपोर्ट की भूमिका के बीच सटीक अंतर क्या है?

Accepted Answer

जस्टिस के.एस. पुट्टास्वामी (सेवानिवृत्त) बनाम भारत संघ का फैसला (2017): इस ऐतिहासिक सुप्रीम कोर्ट के फैसले ने भारतीय संविधान के अनुच्छेद 21 के तहत 'निजता के अधिकार' को मौलिक अधिकार घोषित किया। इसने भारत में डेटा सुरक्षा कानून के लिए संवैधानिक आधार और जनादेश स्थापित किया। इसने ऐसे कानून की आवश्यकता स्थापित की।जस्टिस बी.एन. श्रीकृष्ण समिति की रिपोर्ट (2018): पुट्टास्वामी के फैसले के बाद, इस समिति का गठन सरकार द्वारा डेटा सुरक्षा मुद्दों का अध्ययन करने और एक मसौदा डेटा सुरक्षा विधेयक की सिफारिश करने के लिए किया गया था। इसकी रिपोर्ट ने विस्तृत ढांचा, सिद्धांत और विशिष्ट प्रावधान प्रदान किए जिन्होंने बाद के विधायी प्रयासों, जिसमें डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 भी शामिल है, को सूचित किया। इसने कानून के लिए नीलामी प्रदान की।संक्षेप में, पुट्टास्वामी ने 'क्यों' (संवैधानिक अधिकार) स्थापित किया, और श्रीकृष्ण ने 'कैसे' (विधायी सिफारिशें) प्रदान किया।

परीक्षा युक्ति

याद रखें 'पुट्टास्वामी = निजता का अधिकार (मौलिक अधिकार)' और 'श्रीकृष्ण = मसौदा विधेयक (विधायी खाका)'। एक न्यायिक है, दूसरा कार्यकारी/सलाहकार।

Question 8

डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 के दायरे या प्रभावशीलता के संबंध में इसके खिलाफ लगाए गए प्राथमिक आरोप क्या हैं, और क्या इन आरोपों में दम है?

Accepted Answer

डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023, भारत के बाहर व्यक्तिगत डेटा के हस्तांतरण की अनुमति देता है, लेकिन केवल उन देशों या क्षेत्रों में जो केंद्र सरकार द्वारा अधिसूचित हैं। यह पहले के मसौदों से एक महत्वपूर्ण बदलाव है जिसमें सख्त डेटा स्थानीयकरण आवश्यकताओं का प्रस्ताव था।

•व्यवसायों के लिए लचीलापन: यह भारत में काम करने वाले वैश्विक व्यवसायों के लिए लचीलापन प्रदान करता है, क्योंकि उन्हें भारत की सीमाओं के भीतर सभी डेटा को सख्ती से संग्रहीत करने के लिए अनिवार्य नहीं किया गया है, जिससे पूर्ण डेटा स्थानीयकरण व्यवस्था की तुलना में अनुपालन बोझ कम होता है।
•सरकारी नियंत्रण: "अधिसूचित देशों" का दृष्टिकोण केंद्र सरकार को इस बात पर महत्वपूर्ण नियंत्रण देता है कि किन न्यायालयों को भारतीय नागरिकों के डेटा के लिए सुरक्षित माना जाता है, जिससे वह अन्य देशों में डेटा सुरक्षा मानकों का आकलन कर सके।
•संतुलन: यह भारत के डेटा सुरक्षा मानकों को वैश्विक डेटा प्रवाह और व्यापार की वास्तविकताओं के साथ संतुलित करने का प्रयास करता है, एक पूर्ण अलगाववादी दृष्टिकोण से बचता है।

परीक्षा युक्ति

याद रखें, यह कंबल डेटा स्थानीयकरण नहीं है। यह अधिसूचित देशों में हस्तांतरण है। इस अंतर का अक्सर परीक्षण किया जाता है।

Question 9

भारत का डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023, यूरोपीय संघ के जनरल डेटा प्रोटेक्शन रेगुलेशन (GDPR) से अपने दृष्टिकोण और प्रमुख विशेषताओं के संदर्भ में कैसे तुलना करता है?

Accepted Answer

भारत का डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023, GDPR के साथ समानताएं साझा करता है लेकिन इसके विशिष्ट अंतर भी हैं: Key points: समानताएं: सहमति, डेटा प्रिंसिपल के अधिकार, फिड्यूशियरी के दायित्व, सुरक्षा उपाय, नियामक संस्थाएं, सीमा पार डेटा हस्तांतरण।. मुख्य अंतर:. प्रसंस्करण का आधार: GDPR में "वैध हित" व्यापक है, DPDP एक्ट सहमति या "वैध उपयोग" पर केंद्रित है।. सरकारी छूट: DPDP एक्ट में सरकारी एजेंसियों के लिए व्यापक छूट।. बोर्ड की स्वतंत्रता: GDPR के DPAs अधिक स्वतंत्र माने जाते हैं।. भूल जाने का अधिकार: GDPR में अधिक स्पष्ट और व्यापक।. क्षेत्रीय दायरा: दोनों का अतिरिक्त-क्षेत्रीय अनुप्रयोग है, जिसका अर्थ है कि वे अपने अधिकार क्षेत्र के बाहर की संस्थाओं पर भी लागू हो सकते हैं यदि वे अपने नागरिकों के डेटा को संसाधित करते हैं।. कुल मिलाकर, जबकि DPDP एक्ट एक मजबूत ढांचे की दिशा में एक कदम है, GDPR को अक्सर अधिक सख्त और व्यापक माना जाता है, विशेष रूप से सरकारी निरीक्षण और नियामक संस्थाओं की स्वतंत्रता के संबंध में।

Question 10

एक आम नागरिक (डेटा प्रिंसिपल) डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 के तहत अपने व्यक्तिगत डेटा को 'सुधारने या मिटाने के अधिकार' का व्यावहारिक रूप से कैसे उपयोग कर सकता है, यदि किसी कंपनी के पास गलत या अवांछित जानकारी है?

Accepted Answer

एक आम नागरिक, डेटा प्रिंसिपल के रूप में, एक संरचित शिकायत निवारण तंत्र के माध्यम से अपने व्यक्तिगत डेटा को 'सुधारने या मिटाने के अधिकार' का उपयोग कर सकता है: Key points: डेटा फिड्यूशियरी से संपर्क करें: सबसे पहले, डेटा प्रिंसिपल को अपने सुधार या मिटाने के अनुरोध के साथ सीधे डेटा फिड्यूशियरी (कंपनी या इकाई जिसके पास उनका डेटा है) से संपर्क करना होगा। अधिकांश कंपनियों के पास इसके लिए एक नामित शिकायत अधिकारी या एक विशिष्ट प्रक्रिया होगी।. शिकायत निवारण अधिकारी: यदि डेटा फिड्यूशियरी संतोषजनक ढंग से जवाब देने या समस्या का समाधान करने में विफल रहता है, तो डेटा प्रिंसिपल उस डेटा फिड्यूशियरी के नामित शिकायत निवारण अधिकारी के पास मामले को आगे बढ़ा सकता है।. भारतीय डेटा प्रोटेक्शन बोर्ड: यदि समस्या अनसुलझी रहती है, तो डेटा प्रिंसिपल भारतीय डेटा प्रोटेक्शन बोर्ड के पास शिकायत दर्ज कर सकता है। बोर्ड के पास ऐसी शिकायतों की जांच करने और डेटा फिड्यूशियरी को अनुपालन करने का निर्देश देने की शक्ति है, और गैर-अनुपालन के लिए जुर्माना भी लगा सकता है।

Question 11

डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 के तहत सीमा पार डेटा हस्तांतरण से संबंधित प्रमुख प्रावधान क्या है, और वैश्विक व्यवसायों और डेटा स्थानीयकरण बहस के लिए इसका क्या महत्व है?

Accepted Answer

डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023, भारत के बाहर व्यक्तिगत डेटा के हस्तांतरण की अनुमति देता है, लेकिन केवल उन देशों या क्षेत्रों में जो केंद्र सरकार द्वारा अधिसूचित हैं। यह पहले के मसौदों से एक महत्वपूर्ण बदलाव है जिसमें सख्त डेटा स्थानीयकरण आवश्यकताओं का प्रस्ताव था।

•व्यवसायों के लिए लचीलापन: यह भारत में काम करने वाले वैश्विक व्यवसायों के लिए लचीलापन प्रदान करता है, क्योंकि उन्हें भारत की सीमाओं के भीतर सभी डेटा को सख्ती से संग्रहीत करने के लिए अनिवार्य नहीं किया गया है, जिससे पूर्ण डेटा स्थानीयकरण व्यवस्था की तुलना में अनुपालन बोझ कम होता है।
•सरकारी नियंत्रण: "अधिसूचित देशों" का दृष्टिकोण केंद्र सरकार को इस बात पर महत्वपूर्ण नियंत्रण देता है कि किन न्यायालयों को भारतीय नागरिकों के डेटा के लिए सुरक्षित माना जाता है, जिससे वह अन्य देशों में डेटा सुरक्षा मानकों का आकलन कर सके।
•संतुलन: यह भारत के डेटा सुरक्षा मानकों को वैश्विक डेटा प्रवाह और व्यापार की वास्तविकताओं के साथ संतुलित करने का प्रयास करता है, एक पूर्ण अलगाववादी दृष्टिकोण से बचता है।

परीक्षा युक्ति

याद रखें, यह कंबल डेटा स्थानीयकरण नहीं है। यह अधिसूचित देशों में हस्तांतरण है। इस अंतर का अक्सर परीक्षण किया जाता है।

Question 12

डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 के हालिया पारित होने को देखते हुए, भारत को उभरती डिजिटल चुनौतियों के अनुकूल होने के लिए कानून में भविष्य के सुधारों या मजबूती के किन प्रमुख क्षेत्रों पर विचार करने की आवश्यकता हो सकती है?

Accepted Answer

डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023, एक मूलभूत कानून है, लेकिन डिजिटल परिदृश्य तेजी से विकसित हो रहा है। भविष्य के सुधारों या मजबूती के प्रमुख क्षेत्रों में शामिल हो सकते हैं: Key points: सरकारी छूट पर अधिक स्पष्टता और स्वतंत्र निरीक्षण।. गैर-व्यक्तिगत डेटा के लिए व्यापक विनियमन।. AI और उभरती प्रौद्योगिकियों से उत्पन्न डेटा चुनौतियों का समाधान।. डिजिटल सार्वजनिक अवसंरचना में निजता सिद्धांतों का एकीकरण।. डेटा प्रोटेक्शन बोर्ड की क्षमता का निर्माण।

Aspect	DPDP Act, 2023 (India)	GDPR (EU)
Scope	Applies to digital personal data within India, and to processing outside India if it relates to offering goods/services to Data Principals in India.	Applies to personal data of individuals in the EU, regardless of where the processing takes place (extraterritorial).
Legal Basis	Statutory law, rooted in Right to Privacy (Article 21, Puttaswamy Judgment).	Regulation in EU law, directly applicable across all member states.
Key Stakeholders	Data Principal, Data Fiduciary, Significant Data Fiduciary, Data Protection Board of India.	Data Subject, Data Controller, Data Processor, Supervisory Authorities.
Consent	Explicit, informed, unambiguous consent is central. Deemed consent for certain legitimate uses.	Freely given, specific, informed, and unambiguous indication of the data subject's wishes. No 'deemed consent' concept.
Rights of Individuals	Right to Access, Correction, Erasure (RTBF), Grievance Redressal, Nomination.	Right to Access, Rectification, Erasure (RTBF), Restriction of Processing, Data Portability, Object, Automated Decision Making.
Enforcement Body	Data Protection Board of India.	Independent Supervisory Authorities in each member state.
Penalties	Up to ₹250 crore for major non-compliance (e.g., data breach failure).	Up to €20 million or 4% of annual worldwide turnover, whichever is higher.
Cross-border Data Transfer	Allowed to countries/territories notified by the Central Government.	Allowed to countries with 'adequate' data protection levels or under specific safeguards (e.g., Standard Contractual Clauses).
Government Exemptions	Broad exemptions for government agencies for national security, public order, crime prevention, etc.	Limited exemptions for public interest, national security, but generally stricter scrutiny.

Aspect	DPDP Act, 2023 (India)	GDPR (EU)
Scope	Applies to digital personal data within India, and to processing outside India if it relates to offering goods/services to Data Principals in India.	Applies to personal data of individuals in the EU, regardless of where the processing takes place (extraterritorial).
Legal Basis	Statutory law, rooted in Right to Privacy (Article 21, Puttaswamy Judgment).	Regulation in EU law, directly applicable across all member states.
Key Stakeholders	Data Principal, Data Fiduciary, Significant Data Fiduciary, Data Protection Board of India.	Data Subject, Data Controller, Data Processor, Supervisory Authorities.
Consent	Explicit, informed, unambiguous consent is central. Deemed consent for certain legitimate uses.	Freely given, specific, informed, and unambiguous indication of the data subject's wishes. No 'deemed consent' concept.
Rights of Individuals	Right to Access, Correction, Erasure (RTBF), Grievance Redressal, Nomination.	Right to Access, Rectification, Erasure (RTBF), Restriction of Processing, Data Portability, Object, Automated Decision Making.
Enforcement Body	Data Protection Board of India.	Independent Supervisory Authorities in each member state.
Penalties	Up to ₹250 crore for major non-compliance (e.g., data breach failure).	Up to €20 million or 4% of annual worldwide turnover, whichever is higher.
Cross-border Data Transfer	Allowed to countries/territories notified by the Central Government.	Allowed to countries with 'adequate' data protection levels or under specific safeguards (e.g., Standard Contractual Clauses).
Government Exemptions	Broad exemptions for government agencies for national security, public order, crime prevention, etc.	Limited exemptions for public interest, national security, but generally stricter scrutiny.

Aspect	DPDP Act, 2023 (India)	GDPR (EU)
Scope	Applies to digital personal data within India, and to processing outside India if it relates to offering goods/services to Data Principals in India.	Applies to personal data of individuals in the EU, regardless of where the processing takes place (extraterritorial).
Legal Basis	Statutory law, rooted in Right to Privacy (Article 21, Puttaswamy Judgment).	Regulation in EU law, directly applicable across all member states.
Key Stakeholders	Data Principal, Data Fiduciary, Significant Data Fiduciary, Data Protection Board of India.	Data Subject, Data Controller, Data Processor, Supervisory Authorities.
Consent	Explicit, informed, unambiguous consent is central. Deemed consent for certain legitimate uses.	Freely given, specific, informed, and unambiguous indication of the data subject's wishes. No 'deemed consent' concept.
Rights of Individuals	Right to Access, Correction, Erasure (RTBF), Grievance Redressal, Nomination.	Right to Access, Rectification, Erasure (RTBF), Restriction of Processing, Data Portability, Object, Automated Decision Making.
Enforcement Body	Data Protection Board of India.	Independent Supervisory Authorities in each member state.
Penalties	Up to ₹250 crore for major non-compliance (e.g., data breach failure).	Up to €20 million or 4% of annual worldwide turnover, whichever is higher.
Cross-border Data Transfer	Allowed to countries/territories notified by the Central Government.	Allowed to countries with 'adequate' data protection levels or under specific safeguards (e.g., Standard Contractual Clauses).
Government Exemptions	Broad exemptions for government agencies for national security, public order, crime prevention, etc.	Limited exemptions for public interest, national security, but generally stricter scrutiny.

Aspect	DPDP Act, 2023 (India)	GDPR (EU)
Scope	Applies to digital personal data within India, and to processing outside India if it relates to offering goods/services to Data Principals in India.	Applies to personal data of individuals in the EU, regardless of where the processing takes place (extraterritorial).
Legal Basis	Statutory law, rooted in Right to Privacy (Article 21, Puttaswamy Judgment).	Regulation in EU law, directly applicable across all member states.
Key Stakeholders	Data Principal, Data Fiduciary, Significant Data Fiduciary, Data Protection Board of India.	Data Subject, Data Controller, Data Processor, Supervisory Authorities.
Consent	Explicit, informed, unambiguous consent is central. Deemed consent for certain legitimate uses.	Freely given, specific, informed, and unambiguous indication of the data subject's wishes. No 'deemed consent' concept.
Rights of Individuals	Right to Access, Correction, Erasure (RTBF), Grievance Redressal, Nomination.	Right to Access, Rectification, Erasure (RTBF), Restriction of Processing, Data Portability, Object, Automated Decision Making.
Enforcement Body	Data Protection Board of India.	Independent Supervisory Authorities in each member state.
Penalties	Up to ₹250 crore for major non-compliance (e.g., data breach failure).	Up to €20 million or 4% of annual worldwide turnover, whichever is higher.
Cross-border Data Transfer	Allowed to countries/territories notified by the Central Government.	Allowed to countries with 'adequate' data protection levels or under specific safeguards (e.g., Standard Contractual Clauses).
Government Exemptions	Broad exemptions for government agencies for national security, public order, crime prevention, etc.	Limited exemptions for public interest, national security, but generally stricter scrutiny.

Digital Personal Data Protection Act, 2023: India's Data Framework

India's DPDP Act, 2023 vs. EU's GDPR: A Comparative View

This Concept in News

Google's 'Results About You' Tool Empowers Users to Control Online Privacy

Digital Personal Data Protection Act, 2023: India's Data Framework

India's DPDP Act, 2023 vs. EU's GDPR: A Comparative View

This Concept in News

Google's 'Results About You' Tool Empowers Users to Control Online Privacy

Digital Personal Data Protection Act, 2023: India's Data Framework

India's DPDP Act, 2023 vs. EU's GDPR: A Comparative View

India's DPDP Act, 2023 vs. EU's GDPR: A Comparative View

This Concept in News

Google's 'Results About You' Tool Empowers Users to Control Online Privacy

Digital Personal Data Protection Act, 2023: India's Data Framework

India's DPDP Act, 2023 vs. EU's GDPR: A Comparative View

India's DPDP Act, 2023 vs. EU's GDPR: A Comparative View

This Concept in News

Google's 'Results About You' Tool Empowers Users to Control Online Privacy

India's DPDP Act, 2023 vs. EU's GDPR: A Comparative View

India's DPDP Act, 2023 vs. EU's GDPR: A Comparative View

डिजिटल पर्सनल डेटा प्रोटेक्शन बिल, 2023