Digital Personal Data Protection Rules 2025: Timely or Too Little, Much Later?
डिजिटल व्यक्तिगत डेटा संरक्षण नियम 2025: क्या समय पर या बहुत कम, बहुत देर से?
Image credit: The Hindu
Over eight years have passed since India's Supreme Court recognised privacy as a fundamental right. In that period, three drafts for a comprehensive data protection law were circulated, but the final statute left key gaps and ambiguities. The Digital Personal Data Protection Rules notified in November 2025 seek to operationalise the 2023 Act, yet they delay most safeguards until 2027 and weaken citizens' right to information. How far do these Rules strengthen privacy, and how far do they fall short of genuine accountability?
भारत के सर्वोच्च न्यायालय ने आठ साल पहले निजता को मौलिक अधिकार माना था। उस समय से तीन मसौदे तैयार हुए, लेकिन अंतिम कानून में महत्वपूर्ण सुरक्षात्मक प्रावधान कमजोर रह गए। नवम्बर 2025 में अधिसूचित डिजिटल व्यक्तिगत डेटा संरक्षण नियम 2025, 2023 के अधिनियम को लागू करने के लिए हैं, पर ज्यादातर सुरक्षा तंत्र 2027 तक स्थगित किए गए और सूचना का अधिकार कमजोर हुआ है। ये नियम निजता को कितनी मजबूती देते हैं और कहां यह नागरिकों की जवाबदेही में कमी छोड़ देते हैं?
1. Privacy as a Fundamental Right
1. एक मौलिक अधिकार के रूप में निजता
In August 2017, the Supreme Court unanimously declared privacy a fundamental right under Article 21 of the Constitution. This landmark verdict mandated the legislature to craft robust data protection laws. Since then, three drafts—2018, 2020, and the simplified 2023 version—have been published, yet key debates on state surveillance, data localisation, and independent oversight remain unresolved.
अगस्त 2017 में, सर्वोच्च न्यायालय ने संविधान के अनुच्छेद 21 के तहत निजता को मौलिक अधिकार घोषित किया। इस निर्णय ने विधायिका पर मजबूर किया कि वह मजबूत डेटा संरक्षण कानून बनाए। तब से 2018, 2020 और 2023 में संशोधित मसौदे सामने आए, लेकिन राज्य की निगरानी, डेटा स्थानीयकरण और स्वतंत्र निगरानी तंत्र पर बहस अभी भी जारी है।
2. The 2023 Act: Simplification with Compromises
2. 2023 अधिनियम: सरल लेकिन समझौते के साथ
The Digital Personal Data Protection Act, 2023 simplified complex provisions from the 2018 draft. It introduced user consent, breach notifications, and data minimisation. However, it granted broad exemptions to government agencies, set up a relatively weak Data Protection Board of India (DPBI), and amended the Right to Information Act, diluting transparency.
डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम 2023 ने 2018 के मसौदे से जटिल प्रावधान सरल किए। इसने उपयोगकर्ता की सहमति, डेटा उल्लंघन की सूचना, और डेटा न्यूनतमकरण लागू किए। फिर भी, इसने सरकारी एजेंसियों को व्यापक छूट दी, कमजोर डेटा संरक्षण बोर्ड बनाया, और सूचना का अधिकार अधिनियम में संशोधन कर पारदर्शिता को घटाया।
3. Digital Personal Data Protection Rules 2025 Explained
3. डिजिटल व्यक्तिगत डेटा संरक्षण नियम 2025 का अवलोकन
Notified on November 14, 2025, these Rules elaborate on implementing the 2023 Act. Key features include:
- Specific formats for obtaining and recording consent.
- Timelines for breach reporting.
- Procedures for data retention and disposal.
- Guidelines for cross-border data transfers.
14 नवम्बर 2025 को अधिसूचित ये नियम 2023 अधिनियम के क्रियान्वयन का विवरण देते हैं। मुख्य बिंदु:
- सहमति प्राप्त करने और रिकॉर्ड करने के मानक प्रारूप।
- डेटा उल्लंघन की सूचना के लिए समयसीमा।
- डेटा भंडारण और निपटान की प्रक्रियाएँ।
- सरकार से बाहर डेटा ट्रांसफर के निर्देश।
4. Dilution of RTI and Delays in Protections
4. सूचना के अधिकार में कमजोरियाँ और सुरक्षा में देरी
A critical change: immediate amendments to the Right to Information Act authorise public information officers to refuse any personal data not already mandated for disclosure. This sharply narrows citizens' ability to seek accountability. Additionally, the generous compliance timeline allows both government and big tech firms ample breathing space, undermining the spirit of the 2017 privacy verdict.
एक महत्वपूर्ण बदलाव: सूचना के अधिकार अधिनियम में तत्काल संशोधन ने सार्वजनिक सूचना अधिकारियों को वह निजी डेटा रोकने का अधिकार दिया जो पहले से प्रकाशित नहीं है। इससे नागरिकों की जवाबदेही मांगने की क्षमता घट गई है। साथ ही कंपनियों और सरकार को 2027 तक की छूट मिलने से 2017 के निजता निर्णय की भावना कमजोर हो गई है।
5. Institutional Independence and Conflict of Interest
5. संस्थागत स्वतंत्रता और हितों का टकराव
The DPBI, envisioned as an independent regulator, will report to the Ministry of Electronics and IT. This dual role—promoting digital investments while policing data mishandling—creates an inherent conflict. As global giants like Google, Amazon, and Meta expand in India, they face minimal immediate pressure to comply fully, eroding public trust.
डेटा संरक्षण बोर्ड (DPBI) को स्वतंत्र प्राधिकरण बनाया जाना चाहिए था, लेकिन वह इलेक्ट्रॉनिक्स एवं सूचना प्रौद्योगिकी मंत्रालय के अधीन रहेगा। निवेश बढ़ावा देने और डेटा रक्षा में तैनाती दोनों भूमिकाएँ टकराव पैदा करती हैं। गूगल, अमेज़ॅन और मेटा जैसे ग्लोबल फर्मों पर तत्काल दबाव न होने से जनता का विश्वास घटेगा।
6. Impact on Citizens and Accountability
6. नागरिकों और जवाबदेही पर प्रभाव
For the digital citizen, sharing personal data is unavoidable—from mobile apps to financial services. Yet under the new Rules, the status quo largely remains: state and private actors can process, store, and transfer data with limited oversight. Users may face opaque consent forms, delayed grievance mechanisms, and scant transparency.
डिजिटल नागरिक के लिए व्यक्तिगत डेटा साझा करना अपवाद रहित हो गया है—मोबाइल ऐप से लेकर बैंक सेवाओं तक। नए नियमों में परिदृश्य यथास्थिति रहता है: राज्य और कंपनियाँ डेटा सीमित निगरानी के साथ संग्रह और प्रसंस्करण जारी रख सकती हैं। उपयोगकर्ताओं को अस्पष्ट सहमति फार्म, शिकायत निवारण में देरी और पारदर्शिता में कमी का सामना करना पड़ सकता है।
Conclusion
निष्कर्ष
The Digital Personal Data Protection Rules 2025 represent a mixed bag: they standardise consent and breach procedures, but delay critical safeguards and weaken citizens' right to information. Until the DPBI emerges as a truly independent watchdog, and until all compliance measures take effect, Indians remain vulnerable to opaque data practices by the state and big tech. Genuine privacy requires not just laws on paper but prompt, transparent enforcement.
डिजिटल व्यक्तिगत डेटा संरक्षण नियम 2025 मिश्रित परिणाम लेकर आए हैं: एक ओर सहमति और उल्लंघन प्रक्रियाएँ मानकीकृत हुईं, दूसरी ओर महत्वपूर्ण सुरक्षा उपायों में देरी और सूचना के अधिकार में कमी की गई। जब तक DPBI एक वास्तविक स्वतंत्र निगरानी संस्थान नहीं बनता और सभी उपाय लागू नहीं होते, तब तक भारतीय नागरिकों की निजता राज्य और बड़ी कंपनियों के सामने जोखिम में रहेगी। सच्ची निजता केवल कागजी कानून नहीं, बल्कि पारदर्शी और त्वरित क्रियान्वयन भी मांगती है।
Relevance for UPSC, SSC & Bank Exams
UPSC, SSC और बैंक परीक्षा के लिए प्रासंगिकता
This analysis deepens understanding of constitutional privacy, legislative processes, and current digital governance—topics vital for the UPSC and state civil services exams. It also addresses data protection frameworks and RTI amendments, frequently asked in SSC and banking exam current affairs and general awareness sections.
यह विश्लेषण संवैधानिक निजता, विधायी प्रक्रियाएँ और डिजिटल गवर्नेंस जैसे विषयों की समझ बढ़ाता है—जो UPSC और राज्य लोक सेवा परीक्षा के लिए महत्वपूर्ण हैं। डेटा संरक्षण ढांचा और सूचना का अधिकार संशोधन SSC और बैंक परीक्षाओं के करंट अफेयर्स एवं सामान्य जागरूकता खंडों में अक्सर पूछे जाते हैं।
