SaralPrivacy — ભારત માટે વ્યવહારુ ગોપનીયતા
ચકાસાયેલ ડિજિટલ વિશ્વાસ
વ્હાઇટપેપર
સંસ્કરણ 3
જૂન 2026

ભારતનું DPDPA તૈયારી વ્હાઇટપેપર 2026-2027

ભારતીય વ્યવસાયો માટે નોટિસ, સંમતિ, સુરક્ષા, અધિકારો, વિક્રેતાઓ, બાળકોનો ડેટા, ઉલ્લંઘન પ્રતિસાદ અને ક્ષેત્ર-વિશિષ્ટ જોખમ તૈયારી માટે વ્યવહારુ માર્ગદર્શિકા.

ગોપનીયતા મૂલ્યાંકન OPERATE ફ્રેમવર્ક 12 ઉદ્યોગ સ્નેપશોટ
saralprivacy.com · @saralprivacy · માહિતીપૂર્ણ માર્ગદર્શિકા, કાનૂની સલાહ નહીં

વપરાશકર્તા માર્ગદર્શિકા

આ વ્હાઇટપેપર કેવી રીતે વાંચવું

આ દસ્તાવેજ ભારતીય વ્યવસાયો માટે 64-પૃષ્ઠની વ્યવહારુ માર્ગદર્શિકા છે, Digital Personal Data Protection Act, 2023 (DPDPA) તૈયારી માટે. સ્થાપકો, બોર્ડ અને ઓપરેટરો માટે — વકીલો માટે નહીં.

સૂચવેલ વાંચન માર્ગો

8 ઇન્ફોગ્રાફિક

વિભાગ 4, 7, 8, 10, 17, 18, 19 અને 23 — ક્રમમાં ઇન્ફોગ્રાફિક 1 થી 8. બોર્ડ-સામનાના વાચકો માટે ઇન્ફોગ્રાફિક 1 થી શરૂ કરો. (ચિત્રો અંગ્રેજીમાં — લખાણ ગુજરાતીમાં.)

OPERATE v6.1

વિભાગ 11-17: Observe, Permission, Evidence, Rights, Accountability, Third-party, Event.

12 ઉદ્યોગ

વિભાગ 19 જોખમ સ્નેપશોટ — ક્ષેત્ર પસંદ કરો, બે ફ્લો ઠીક કરો, પછી વિભાગ 23 વાપરો.

કાનૂની પરિશિષ્ટ

વિભાગ 20-22: અધિનિયમ નકશા, મુકદમા વૉચ, ખુલ્લા મુદ્દા. તારીખો લાગુ / પ્રસ્તાવિત તરીકે લેબલ કરો.

સંસ્કરણ 3 · જૂન 2026 · SaralPrivacy · માહિતીપૂર્ણ માર્ગદર્શિકા · saralprivacy.com

વિભાગ 1: કવર

ભારતનો ડિજિટલ પર્સનલ ડેટા પ્રોટેક્શન એક્ટ હવે ભવિષ્યનો કાયદો નથી. નિયમો સૂચિત કરવામાં આવે છે, ડેટા પ્રોટેક્શન બોર્ડ ઓફ ઈન્ડિયાની રચના કરવામાં આવી રહી છે, અને ઓપરેશનલ કમ્પ્લાયન્સ તારીખો 2026 અને 2027 માટે કેલેન્ડર પર છે. આ વ્હાઇટપેપર અનુવાદ કરે છે કે કાનૂની મશીનરી આ ત્રિમાસિક ગાળામાં નિર્ણયો સ્થાપકો, બોર્ડ અને ઓપરેટરોમાં કામ કરી શકે છે.

તમને અહીં શું મળશે:

કાનૂની સ્થિતિ વન-લાઇનર (14 જૂન 2026): કલમ 3-17 હેઠળ મુખ્ય ઓપરેશનલ ફરજો અને મોટાભાગના નિયમો 13 મે 2027 ના રોજથી પ્રભાવી થશે સિવાય કે ગેઝેટ સુધારા સમયરેખાને વેગ આપે; સંમતિ મેનેજરની ફરજો 13 નવેમ્બર 2026થી શરૂ થાય છે. કોઈપણ ટૂંકી સમયમર્યાદાને સૂચિત ન થાય ત્યાં સુધી સૂચિત તરીકે માની લો.

વિભાગ 2: આ વ્હાઇટપેપર કો માટે છે

આ કોના માટે છે

આ કોના માટે નથી

Section 19 માં સમર્પિત સ્નેપશોટ સાથેના ક્ષેત્રો

CA ફર્મ્સ, ભરતી એજન્સીઓ, તાલીમ સંસ્થાઓ, D2C બ્રાન્ડ્સ, ક્લિનિક્સ અને ડાયગ્નોસ્ટિક લેબ્સ, શાળાઓ અને કોલેજો, કાયદાકીય સંસ્થાઓ, રિયલ એસ્ટેટ, હોટેલ્સ અને મુસાફરી, ફાર્મસીઓ, ફિનટેક અને NBFCs, જિમ, સલુન્સ અને સ્પા.

વિભાગ 3: કાર્યકારી સારાંશ

ભારતનું DPDPA વ્યવસાયો વ્યક્તિગત ડેટાને પ્રથમ સંગ્રહથી લઈને ઉલ્લંઘન પ્રતિભાવ સુધી કેવી રીતે વર્તે છે તે બદલાય છે. આ કાયદો ડેટાના ઉપયોગ પર પ્રતિબંધ મૂકતો નથી. તેના માટે કાયદેસર હેતુ, સ્પષ્ટ સૂચના, સંરક્ષણક્ષમ સંમતિ અથવા સંકુચિત કાયદેસર ઉપયોગ, વાજબી સુરક્ષા, સમયસર ઉલ્લંઘન પ્રતિભાવ, કાર્યકારી અધિકાર ચેનલો, અને પ્રોસેસર નિયંત્રણ જરૂરી છે - પુરાવા સાથે કે દરેક નિયંત્રણ અસ્તિત્વમાં છે. મોટાભાગના ભારતીય ઓપરેટરો માટે, અનૌપચારિક આદતો (WhatsApp ઇન્ટેક, શેર કરેલ ફોલ્ડર્સ, બંડલ સંમતિ, અનિશ્ચિત રીટેન્શન) થી દસ્તાવેજીકૃત, માલિકીના પ્રોગ્રામ્સમાં બદલાય છે જે નિયમનકાર અથવા એન્ટરપ્રાઇઝ ગ્રાહકને "મને બતાવો" પૂછતા બચી જાય છે.

શા માટે CEOએ હવે કાળજી લેવી જોઈએ. ત્રણ ઘડિયાળો ચાલી રહી છે: બોર્ડ જીવંત છે; નવેમ્બર 2026 થી સંમતિ મેનેજર ઈન્ફ્રાસ્ટ્રક્ચર વાસ્તવિક બનશે; ઓપરેશનલ કમ્પ્લાયન્સ મે 2027 માટે સુનિશ્ચિત થયેલ છે પરંતુ જો MeitY રનવે ટૂંકાવે તો તે ઝડપી બની શકે છે. ટાયર્ડ સીલીંગમાં દંડ રૂ. 250 કરોડ સુધી પહોંચે છે, પરંતુ નજીકના ગાળાનું જોખમ વિશ્વાસ, પ્રાપ્તિ અને મુકદ્દમાનો આકાર છે - ભાગીદારો અને ગ્રાહકો પહેલેથી જ ડેટા નકશા અને ભંગ પ્લેબુક માંગે છે. ગેઝેટની અંતિમ તારીખ સુધી રાહ જોવાનો અર્થ દબાણ હેઠળ પુનઃનિર્માણ થાય છે.

આ ક્વાર્ટર શરૂ કરવા માટેની પાંચ બાબતો:

  1. DPDPA તત્પરતા માટે એક જવાબદાર માલિકનું નામ આપો (ડ્રાઇવર વિનાની સમિતિ નહીં).
  2. એક પ્રોસેસિંગ પ્રવૃત્તિ રજીસ્ટર બનાવો - કયો ડેટા, શા માટે, ક્યાં, કોણ તેને એક્સેસ કરે છે, તે કેટલો સમય રહે છે.
  3. મુખ્ય કલેક્શન પોઈન્ટ પર સ્ટેન્ડઅલોન નોટિસને ઠીક કરો; અલગ વૈકલ્પિક માર્કેટિંગ સંમતિ.
  4. પ્રોસેસર કોન્ટ્રાક્ટ અપગ્રેડ કરો અને ક્રોસ-બોર્ડર ફ્લો મેપ કરો.
  5. બ્રીચ ટેબલટૉપ ચલાવો અને 90-દિવસના SLA ટ્રેકર સાથે અધિકાર/ફરિયાદ ઇનબોક્સ ખોલો.

ખુલ્લો કાયદો શું રહે છે. પ્રતિબંધિત-દેશોની સૂચિ, નોંધપાત્ર ડેટા ફિડ્યુસિયરી હોદ્દો, ઉલ્લેખિત સ્થાનિકીકરણ કેટેગરીઝ, સંમતિ મેનેજર ઓપરેશનલ વિગતો અને સમયરેખા સંકોચન ગેઝેટની પુષ્ટિ થાય ત્યાં સુધી ઘડિયાળની વસ્તુઓ છે. આ વ્હાઇટપેપર દરેક આઇટમને અમલમાં, સૂચિત તબક્કો, સૂચિત, અથવા પેન્ડિંગ મુકદ્દમા તરીકે લેબલ કરે છે - ક્યારેય મર્જ કરવામાં આવતી નથી.

આ દસ્તાવેજનો બાકીનો ભાગ કેવી રીતે વાંચવો. કલમ 5-9 કાયદાકીય પાયો આપે છે. વિભાગો 10-17 વૉક OPERATE v6.1 પ્રકરણ દ્વારા પ્રકરણ. Section 18 કિટ્સ પ્રદાન કરે છે; Section 19 બતાવે છે કે ઉદ્યોગ દ્વારા જોખમ ક્યાં કેન્દ્રિત છે. વિભાગો 20-22 કાનૂની પરિશિષ્ટ સામગ્રી છે. Section 23 એ તમારો 90-દિવસનો સ્ટાર્ટર પ્લાન છે. Section 24 સ્કોપ અને સલાહને બદલ્યા વિના SaralPrivacy સાધનો કેવી રીતે ફિટ થાય છે તે સમજાવે છે.

નેતૃત્ત્વ માટે બોટમ લાઇન: DPDPA તૈયારી એ ઓપરેટિંગ ક્ષમતા છે - ઇન્વેન્ટરી, પરવાનગી, પુરાવો, અધિકારો, શાસન, વિક્રેતાઓ અને ઘટના પ્રતિસાદ - નીતિ PDF નથી. 2026 માં પુરાવાઓ બનાવતી સંસ્થાઓ ભાગીદારીની વાટાઘાટ કરશે, ફરિયાદોનું સંચાલન કરશે અને સ્પષ્ટતાની સ્થિતિમાંથી નિયમનકારી પ્રશ્નોનો સામનો કરશે. જેઓ અંતિમ હેડલાઇન તારીખની રાહ જુએ છે તેઓ દબાણ હેઠળ પુનઃનિર્માણનું જોખમ લે છે.

વિભાગ 4: CEO અને બોર્ડ પ્રાથમિકતા પૃષ્ઠ

બોર્ડે આખો કાયદો વાંચવાની જરૂર નથી. તેઓને પાંચ નિર્ણયો, પાંચ જોખમો, પાંચ પુરાવાની વસ્તુઓ અને કાયદો સ્થાયી થાય તે પહેલાં વધુ ** શું નહીં** કરવું તેની સ્પષ્ટતાની જરૂર છે.

પાંચ નેતૃત્વ નિર્ણયો

  1. એક જ જવાબદાર માલિકનું નામ આપો - ઉત્પાદન, કાનૂની, અથવા ઑપ્સ - બોર્ડ દૃશ્યતા સાથે, "દરેક વ્યક્તિ ગોપનીયતા ધરાવે છે" નહીં.
  2. નક્કી કરો કે કઇ પ્રક્રિયા સંમતિ વિરુદ્ધ કાયદેસર ઉપયોગની છે અને કૉલનું દસ્તાવેજીકરણ કરો; બધા HR અથવા KYC પ્રવાહોને મુક્તિ આપવામાં આવી છે એમ માનશો નહીં.
  3. આ ક્વાર્ટરમાં વિક્રેતા અને ક્રોસ-બોર્ડર સમીક્ષાને મંજૂર કરો - ક્લાઉડ, પેરોલ, CRM, એડ-ટેક, BGV, ચુકવણી ભાગીદારો.
  4. એક ઘટના પહેલા ઉલ્લંઘન વધારવાનો માર્ગ સેટ કરો - કાનૂની, સુરક્ષા, સંચાર અને બોર્ડ સૂચના ભૂમિકાઓ.
  5. પ્રથમ ફિક્સ કરવા માટે બે ઉદ્યોગ-વિશિષ્ટ પ્રવાહ પસંદ કરો (Section 19 થી) જ્યાં આજે તમારો વાસ્તવિક ડેટા લીક થાય છે.

પાંચ ઓપરેશનલ જોખમો

  1. WhatsApp અને વ્યક્તિગત ફોન PAN, આરોગ્ય, પ્રિસ્ક્રિપ્શન્સ, CVs અથવા અતિથિ IDs માટે ડિફોલ્ટ ચેનલ તરીકે.
  2. શેર કરેલ ક્લાઉડ ફોલ્ડર્સ અને વાસી ઍક્સેસ - ભૂતપૂર્વ સ્ટાફ, ઈન્ટર્ન, ફ્રીલાન્સર્સ, જૂના બ્રોકર ભાગીદારો.
  3. અલગ સંમતિ વિના માર્કેટિંગ અને એનાલિટિક્સ - પિક્સેલ્સ, કાર્ટ ઝુંબેશ, WhatsApp પ્રોમો.
  4. જૂના ગ્રાહક, ઉમેદવાર, દર્દી અથવા કર્મચારીના રેકોર્ડની અનિશ્ચિત રીટેન્શન.
  5. **કોન્ટ્રેક્ટ વિના અથવા સુરક્ષા અને ભંગ-સહકારની કલમો વિના ઉપયોગમાં લેવાતા પ્રોસેસર્સ.

જાળવણી માટે પાંચ પુરાવા વસ્તુઓ

  1. પ્રક્રિયા પ્રવૃત્તિ રજીસ્ટર (તારીખ, માલિકીની, ત્રિમાસિક સમીક્ષા).
  2. સૂચના અને સંમતિ સંસ્કરણ લોગ (વપરાશકર્તાઓએ શું જોયું, ક્યારે, કઈ ચેનલ પર).
  3. DPDPA-સંરેખિત કલમો સાથે પ્રોસેસર અને વેન્ડર કોન્ટ્રાક્ટ રજીસ્ટર.
  4. બંધ થવાની તારીખો સાથે અધિકારો અને ફરિયાદની વિનંતીનો લોગ.
  5. ઉલ્લંઘન અને ઘટના રેકોર્ડ - ટેબલટોપ ડ્રીલ્સ સહિત.

પાંચ વસ્તુઓ હજુ વધારે ન બાંધવી

  1. હોદ્દો માપદંડો અને યાદીઓ ફાઇનલ થાય તે પહેલાં સંપૂર્ણ નોંધપાત્ર ડેટા ફિડ્યુસિયરી પ્રોગ્રામ.
  2. નવેમ્બર 2026 ફ્રેમવર્ક તમારા ક્ષેત્રમાં કાર્યરત થાય તે પહેલાં સંમતિ મેનેજર એકીકરણ.
  3. સરકારી સૂચનાઓ પ્રકાશિત થાય તે પહેલાં દેશ-સ્તરની ટ્રાન્સફર બ્લોકલિસ્ટ.
  4. મૂળભૂત ઇન્વેન્ટરી, નોટિસ અને વેન્ડર કોન્ટ્રાક્ટ અસ્તિત્વમાં છે તે પહેલાં એન્ટરપ્રાઇઝ GRC પ્લેટફોર્મ.
  5. દાવા અને તબક્કાની તારીખો હજી આગળ વધી રહી હોય ત્યારે "સંપૂર્ણપણે સુસંગત" હોવાનો દાવો કરવો.

એક નજરમાં પુરાવા પેક

Diagram: see figure below.

ઇન્ફોગ્રાફિક 1: Evidence Pack Checklist

આકૃતિ: ઇન્ફોગ્રાફિક 1: એવિડન્સ પેક ચેકલિસ્ટ

# પુરાવા આઇટમ માલિક કેડન્સની સમીક્ષા કરો
1 પ્રક્રિયા પ્રવૃત્તિ રજીસ્ટર ઓપ્સ / ઉત્પાદન ત્રિમાસિક
2 સૂચના અને સંમતિ આવૃત્તિઓ કાનૂની / ઉત્પાદન દરેક ફેરફાર પર
3 વિક્રેતા DPDPA કલમો સાથે કરાર કરે છે પ્રાપ્તિ / કાનૂની ઓનબોર્ડિંગ પર
4 અધિકારો અને ફરિયાદ લોગ આધાર / કાનૂની માસિક
5 ભંગ અને ઘટના લોગ સુરક્ષા / કાનૂની દરેક ઇવેન્ટ પછી + વાર્ષિક કવાયત
6 સમીક્ષા રેકોર્ડ્સ ઍક્સેસ કરો IT / HR ત્રિમાસિક
7 રીટેન્શન શેડ્યૂલ + કાઢી નાખવાનો પુરાવો ઑપ્સ / IT અર્ધ-વાર્ષિક
8 નિયમનકારી ઘડિયાળ લોગ અનુપાલન માસિક

CEO ટેકઅવે: અનુપાલન રેકોર્ડ સાથે સાબિત થાય છે, ઇરાદાઓથી નહીં.

વિભાગ 5: કાનૂની સ્થિતિ સ્નેપશોટ (જૂન 2026)

વિસ્તાર વર્તમાન કાનૂની સ્થિતિ વ્યવહારુ પરિણામ
હવે અમલમાં છે Section 1(2), Section 2, વિભાગો 18-26, 35, 38-43, અને Section 44(1),(3); નિયમો 1, 2, 17-21. વ્યાખ્યાઓ, DPBI બંધારણ, નિયમ-નિર્માણ, અમુક સુધારાઓ અને બોર્ડ ફ્રેમવર્ક સક્રિય છે.
13 નવેમ્બર 2026 Section 6(9) અને Section 27(1)(d); Rule 4. સંમતિ મેનેજર ફ્રેમવર્ક અને સંબંધિત ફરજો શરૂ થાય છે.
13 મે 2027 વિભાગો 3-17, મોટાભાગના Section 6, વિભાગો 27-34, 36, 37, Section 44(2); નિયમો 3, 5-16, 22, 23. સૂચના, સંમતિ, ભંગ, અધિકારો, બાળકો, જાળવણી, SDF, અપીલ અને સરકારી માહિતી સત્તાઓ માટે ઓપરેશનલ અનુપાલન સમયમર્યાદા.
હજી સ્પષ્ટ નથી પ્રતિબંધિત દેશની સૂચિ, SDF હોદ્દો, ઉલ્લેખિત SDF સ્થાનિકીકરણ ડેટા કેટેગરીઝ, વ્યવહારમાં બોર્ડ પોર્ટલ પ્રક્રિયાઓ. સંપૂર્ણ દાવા કરતા પહેલા MeitY/DPBI સૂચનાઓને ટ્રૅક કરો.
અમલીકરણની તૈયારી DPBI સ્થાપના સૂચિત; નિયમો 17-21 માં ડિજિટલ કાર્યવાહીનું માળખું; તબક્કાવાર ઓપરેશનલ તારીખો. હવે પુરાવા પેક બનાવો - અમલીકરણ ઈન્ફ્રાસ્ટ્રક્ચર ઓપરેશનલ સમયમર્યાદા પહેલા રચાઈ રહ્યું છે.

નીતિ ક્ષિતિજ ચેતવણી

નીચેની વસ્તુઓને જ્યાં સુધી ગેઝેટ સુધારો તેની પુષ્ટિ ન કરે ત્યાં સુધી તેને ઘડિયાળની વસ્તુઓ તરીકે ગણો. તેઓની દરખાસ્ત અથવા ચર્ચા કરવામાં આવી છે - 14 જૂન 2026 ના રોજ સૂચિત કાયદો નથી.

સિગ્નલ જે અંગે ચર્ચા કરવામાં આવી હતી વ્યાપાર અસર
જાન્યુ 2026 હિતધારક મીટિંગ (અહેવાલ) 18-મહિનાના રનવેને 12 મહિના સુધી સંકુચિત કરો; ફાસ્ટ-ટ્રેક SDF યાદી; સુધારા પછીના 90 દિવસની અંદર Rule 8(3) રીટેન્શન ઓપરેશનલ ડેડલાઇન મે 13 મે 2027 થી 13 નવેમ્બર 2026 તરફ આગળ વધી શકે છે
ફેબ્રુઆરી 2026 (અહેવાલ) ટાઈમલાઈન કમ્પ્રેશન પર ઈન્ડસ્ટ્રી ફીડબેક વિન્ડો ગેઝેટમાં પરિણામ બાકી છે
જૂન 2026 (અહેવાલ, ET Telecom) MeitY સેક્રેટરી સમયરેખા પર ઉદ્યોગના ઇનપુટની રાહ જોઈ રહ્યા છે હજી સુધી કોઈ અંતિમ કૉલ નથી - કાયદા તરીકે ત્વરિત તારીખે આયોજન કરશો નહીં
કર્ણાટક (અહેવાલ, 2026) અંડર-16 માટે સોશિયલ મીડિયા પર પ્રતિબંધનો પ્રસ્તાવ રાષ્ટ્રીય વિ રાજ્ય સક્ષમતા અસ્પષ્ટ - માત્ર નીતિ વિષયક ચર્ચા
બાકી મુકદ્દમા સુપ્રીમ કોર્ટ/દિલ્હી હાઈકોર્ટે RTI ઈન્ટરફેસ, મુક્તિ, બોર્ડ માળખું પર પડકાર ફેંક્યો માત્ર જાગૃતિ - આ તારીખથી અધિનિયમ રોકાયેલ નથી

લેખકનો નિયમ: આઇટમને હંમેશા અમલમાં, સૂચિત તબક્કો, સૂચિત અથવા પેન્ડિંગ લિટીગેશન તરીકે લેબલ કરો. તેમને ક્યારેય મર્જ કરશો નહીં.

નંબરોની પટ્ટી

18 મહિના 4+1 અધિકારો 72 કલાક 90 દિવસ રૂ. 250 કરોડ
નિયમોની સૂચનાથી તબક્કાવાર પાલન વિન્ડો (13 નવેમ્બર 2025) ઍક્સેસ, કરેક્શન, ઇરેઝર, ફરિયાદ, વત્તા નોમિનેશન સૂચના પછી DPBI ને વિગતવાર ઉલ્લંઘનનો અહેવાલ (Rule 7) મહત્તમ ફરિયાદ પ્રતિભાવ સમય (Rule 14) અધિનિયમ હેઠળ દંડની મહત્તમ મર્યાદા બાંધી

વિભાગ 6: 2026-2027 માં DPDPA શા માટે મહત્વપૂર્ણ છે

ભારતનો ડિજિટલ સ્ટેક - વિશ્વાસ સ્તર તરીકે ગોપનીયતા

ભારતે એક ડિજિટલ પબ્લિક ઈન્ફ્રાસ્ટ્રક્ચર બનાવ્યું જેના વિશે મોટાભાગના દેશો માત્ર વાત કરે છે: ઓળખ (Aadhaar), ચૂકવણી (UPI), દસ્તાવેજો (DigiLocker), અને સંમતિ રેલ (Account Aggregator). તેને આધુનિક હાઇવે સિસ્ટમની જેમ વિચારો - વાણિજ્ય માટે ઝડપી લેન, ચકાસણી માટે ટોલ પ્લાઝા અને રસ્તા પર લાખો વાહનો (એપ્સ અને વ્યવસાયો)

તાજેતરમાં સુધી, હાઇવે પર ગતિ મર્યાદા હતી પરંતુ વ્યક્તિગત ડેટા માટે એક સમાન ટ્રાફિક પોલીસ નથી. DPDPA એ ટ્રાફિક સિસ્ટમ છે: તે વ્યવસાયોને જણાવે છે કે તેઓ કયો ડેટા લઈ શકે છે, તેઓએ તેનું રક્ષણ કેવી રીતે કરવું જોઈએ, અને જ્યારે તેઓ ક્રેશ થાય છે ત્યારે શું થાય છે**.

બિન-તકનીકી વાચકો માટે સમાનતા: તમારી દુકાને હંમેશા ગ્રાહક રજીસ્ટર રાખ્યું છે. DPDPA તમને પૂછે છે કે તમે (1) ગ્રાહકોને જણાવો કે તમે રજિસ્ટરમાં શું લખો છો, (2) તમને જે જોઈએ છે તે જ લખો, (3) રજિસ્ટરને લૉક કરો, (4) ગ્રાહકોને તેમનું પૃષ્ઠ જોવા દો અથવા ભૂંસી નાખો, અને (5) જો રજિસ્ટર ચોરાઈ જાય તો અધિકારીઓને ઝડપથી કૉલ કરો. રજિસ્ટર ગેરકાયદેસર બન્યું ન હતું - બેદરકારીથી હેન્ડલિંગ કર્યું.

માત્ર સંમતિ પૂરતી નથી

ઘણી ટીમો "DPDPA" સાંભળે છે અને સીધા સંમતિ બેનરો પર જાય છે. ઘણા પ્રવાહો માટે સંમતિ જરૂરી છે, પરંતુ અધિનિયમ સુરક્ષા, ભંગ સૂચના, જાળવણી શિસ્ત, રાઈટ્સ હેન્ડલિંગ, પ્રોસેસર કોન્ટ્રાક્ટ અને જવાબદારી પુરાવાની પણ માંગણી કરે છે. સંપૂર્ણ સંમતિ લોગ સાથેનો વ્યવસાય પરંતુ શેર કરેલ WhatsApp ફોલ્ડર્સ, કોઈ ઉલ્લંઘન પ્લેબુક અને અનિશ્ચિત સીવી સ્ટોરેજ હજુ પણ ખુલ્લા છે. OPERATE v6.1 આ કારણોસર પરવાનગી (કાયદેસર આધાર) ને પુરાવા (સાબિતી) અને જવાબદારી (ગવર્નન્સ) થી અલગ કરે છે.

સાર્વત્રિક ગોપનીયતા સિદ્ધાંતો (OECD / APEC આધારરેખા)

160+ અધિકારક્ષેત્રોમાં, સમાન થીમ્સનું પુનરાવર્તન થાય છે. જ્યાં મિકેનિક્સ અલગ હોય ત્યાં પણ ભારત આ સાથે સંરેખિત થાય છે:

  1. પારદર્શિતા - લોકોને કહો કે તમે શું એકત્રિત કરો છો અને શા માટે
  2. હેતુ મર્યાદા - માત્ર જણાવેલા કારણસર જ ડેટાનો ઉપયોગ કરો
  3. ડેટા મિનિમાઇઝેશન - સૌથી નાની રકમ એકત્રિત કરો જે કામ કરે છે
  4. સુરક્ષા - વાજબી સલામતી સાથે ડેટાને સુરક્ષિત કરો
  5. વ્યક્તિગત અધિકાર - ઍક્સેસ, કરેક્શન, ડિલીટ, ફરિયાદ માર્ગો
  6. જવાબદારી - સાબિત કરો કે તમે ઉપરોક્ત કર્યું છે, ખાસ કરીને ડિજિટલ રેગ્યુલેટર હેઠળ
  7. સીમા પાર જવાબદારી - ડેટા ક્યાં મુસાફરી કરે છે અને તેના માટે કોણ જવાબ આપે છે તે જાણો

DPDPA આ આદતોનું ભારતનું સંસ્કરણ છે, ભારતીય લેટરહેડ સાથેની વિદેશી આયાત નથી.

વૈશ્વિક સરખામણી - બિઝનેસ લેન્સ

પરિમાણ GDPR (EU/UK) CCPA/CPRA (યુએસ) LGPD (બ્રાઝિલ) DPDPA (ભારત) બિઝનેસ ટેકઅવે
ફિલોસોફી અધિકારો-પ્રથમ ઉપભોક્તા નાપસંદ / સૂચના અધિકારો + કાયદેસર વ્યાજ અમલ-પ્રથમ, ટ્રસ્ટ-એટ-સ્કેલ ભારત બિલ્ટ સિસ્ટમ્સ પુરસ્કાર આપે છે, કાગળની નીતિઓને નહીં
કાયદેસર પ્રક્રિયા 6 પાયા (કલા 6) સૂચના + નાપસંદ; મર્યાદિત પાયા 10 કાનૂની પાયા સંમતિ અથવા સાંકડી Section 7 કાયદેસર ઉપયોગો GDPR કરતાં ઓછા બિન-સંમતિ રૂટ - લંબાવશો નહીં Section 7
સંમતિ ધોરણ મુક્તપણે આપવામાં આવેલ, ચોક્કસ, જાણકાર વેચાણ/શેર માટે નાપસંદ કરો; સગીરો માટે પસંદ કરો GDPR જેવું જ મફત, ચોક્કસ, જાણકાર, બિનશરતી, અસંદિગ્ધ પ્રી-ટિક્ડ બોક્સ દરેક જગ્યાએ નિષ્ફળ જાય છે; ભારત સ્પષ્ટ છે
સંવેદનશીલ ડેટા વિશેષ શ્રેણીઓ (કલા 9) CPRA હેઠળ સંવેદનશીલ પી.આઇ. સંવેદનશીલ ડેટા કોઈ અલગ કેટેગરી નથી - પરંતુ પ્રકાર હજુ પણ જોખમ, દંડ, SDF આરોગ્ય, બાયોમેટ્રિક, બાળકોના ડેટાને ઉચ્ચ કાળજી તરીકે માનો, "બિન-સંવેદનશીલ" તરીકે નહીં
બાળકો 13-16 ટાયર્ડ (સદસ્ય રાજ્ય) 16 હેઠળ પસંદ કરો માતાપિતાની સંમતિ 18 વર્ષથી ઓછી ઉંમરનો યુનિફોર્મ સખત સિંગલ થ્રેશોલ્ડ
સીમા પાર SCCs, પર્યાપ્તતા, TIA ક્ષેત્ર/રાજ્ય પેચવર્ક ANPD માર્ગદર્શન અનુમતિશીલ મૂળભૂત; સરકાર પ્રતિબંધિત કરી શકે છે સૂચિ + Rule 15 નકશો વહે છે; મોનિટર MeitY સૂચનાઓ
નિયમનકર્તા રાષ્ટ્રીય ડીપીએ AG + CPPA ANPD DPBI (ડિજિટલ-પ્રથમ) પુરાવા પેક મહત્વ ધરાવે છે
અનોખી વિશેષતા DPO આદેશ (કેટલાક નિયંત્રકો) વેચાણ/શેર કરશો નહીં ડીપીઓ જેવી ભૂમિકાઓ સંમતિ મેનેજર (નોંધાયેલ મધ્યસ્થી) ભારત-માત્ર ઈન્ફ્રાસ્ટ્રક્ચર પ્લે
મહત્તમ દંડ EUR 20M / 4% ટર્નઓવર $7,500/ઉલ્લંઘન (ભિન્ન હોય છે) 2% આવક / 50M BRL રૂ. 250 કરોડ છત (ટાયર્ડ) સુરક્ષા + ઉલ્લંઘન સૂચનાને પ્રાથમિકતા આપો
અમલીકરણ શૈલી પરિપક્વ, ઉચ્ચ વોલ્યુમ વધતું, ખંડિત વધતી જતી તબક્કાવાર - બોર્ડ લાઇવ; ops તારીખો 2026-2027 હવે શરૂ કરો; તારીખો વેગ કરી શકે છે

ભારત વિ GDPR - દંતકથાઓ વિ તથ્યો

દંતકથા હકીકત (DPDPA)
"GDPR સુસંગત = DPDPA તૈયાર" વિભિન્ન કાયદેસર આધારો, કોઈ SCC શાસન, સંમતિ મેનેજર, તબક્કાવાર પ્રારંભ
"કોઈ સંવેદનશીલ શ્રેણી નથી = ઓછા જોખમી સ્વાસ્થ્ય ડેટા" આરોગ્ય/બાળકો/નાણાકીય ડેટા હજુ પણ ચકાસણી અને ક્ષેત્રના નિયમોને આકર્ષે છે
"અમારી પાસે મે 2027 સુધીનો સમય છે" MeitY ચર્ચા 12-મહિના પ્રવેગક; SDF/ક્રોસ-બોર્ડર ઝડપથી આગળ વધી શકે છે
"ભંગનો અર્થ હંમેશા રૂ. 250 કરોડનો દંડ" દંડ વાજબી સુરક્ષા રક્ષકોનો અમલ કરવામાં નિષ્ફળતા સાથે જોડાયેલો છે (Sec 8(5))
"એક ગોપનીયતા નીતિ પૂરતી છે" Rule 3: દરેક કલેક્શન પોઈન્ટ પર નોટિસ સ્વતંત્ર રીતે સમજી શકાય તેવી હોવી જોઈએ

શા માટે 2026 એ વાસ્તવિક શરૂઆતની રેખા છે

એક સાથે ત્રણ ઘડિયાળો ચાલે છે:

  1. બોર્ડ ઘડિયાળ (લાઇવ): DPBI અસ્તિત્વમાં છે. પુરાવા આધારિત ડિજિટલ અમલીકરણ હવે બનાવવામાં આવી રહ્યું છે.
  2. કન્સેન્ટ મેનેજર ઘડિયાળ (13 નવેમ્બર 2026): નોંધાયેલ મધ્યસ્થીઓ અને એકીકરણ વાસ્તવિક બને છે.
  3. ઓપરેશન ઘડિયાળ (13 મે 2027, સંભવતઃ વહેલા): સૂચના, સંમતિ, સુરક્ષા, ભંગ, અધિકારો, બાળકો, પ્રોસેસર્સ - મોટાભાગના વ્યવસાયો અનુભવે છે.

2026 એ છે કે જ્યારે પ્રોગ્રામ્સ "અમે પછીથી કોઈને નોકરીએ રાખીશું" થી "અમે અમારો ડેટા નકશો બતાવી શકીએ છીએ અને પ્લેબુકનો ભંગ કરી શકીએ છીએ" માં સ્થાનાંતરિત થવું આવશ્યક છે. વ્યવસાયો કે જે ગોપનીયતાને ગ્રાહકના વિશ્વાસ તરીકે માને છે - કાનૂની ફૂટર નહીં - જ્યારે પ્રાપ્તિ, ભાગીદારી અને નિયમનકારો પુરાવા માંગશે ત્યારે વધુ ઝડપથી આગળ વધશે.

વિભાગ 7: અધિનિયમ શું આવે છે

નિયંત્રણો બાંધતા પહેલા, નેતાઓને વહેંચાયેલ શબ્દભંડોળની જરૂર હોય છે. DPDPA નિર્ધારિત ભૂમિકાઓ અને ડિજિટલ-પ્રથમ અવકાશનો ઉપયોગ કરે છે. આ વિભાગ સાદો-અંગ્રેજી નકશો છે.

મુખ્ય વ્યાખ્યાઓ

મુદત કોણ / શું સાદો અર્થ
ડિજિટલ વ્યક્તિગત ડેટા ડેટા પોતે ડિજિટલ સ્વરૂપમાં વ્યક્તિગત ડેટા, ઉપરાંત ઑફલાઇન વ્યક્તિગત ડેટા કે જે પછીથી ડિજિટાઇઝ્ડ થાય છે
ડેટા પ્રિન્સિપાલ (ડીપી) વ્યક્તિ ગ્રાહક, કર્મચારી, વિદ્યાર્થી, દર્દી, અતિથિ, ઉમેદવાર - કોઈપણ જેના ડેટા પર તમે પ્રક્રિયા કરો છો
ડેટા ફિડ્યુસિયરી (DF) સામાન્ય રીતે તમારી કંપની શા માટે અને કેવી રીતે વ્યક્તિગત ડેટા પર પ્રક્રિયા કરવામાં આવે છે તે નક્કી કરતી એન્ટિટી
ડેટા પ્રોસેસર વિક્રેતાઓ ક્લાઉડ હોસ્ટ, પેરોલ SaaS, ATS, પેમેન્ટ ગેટવે, એનાલિટિક્સ ટૂલ - તમારી સૂચના પર ડેટાની પ્રક્રિયા કરે છે
સંમતિ મેનેજર (CM) નોંધાયેલ મધ્યસ્થી ભારત-વિશિષ્ટ સ્તર લોકોને સેવાઓમાં સંમતિ આપવા, સંચાલિત કરવા અને પાછી ખેંચવામાં મદદ કરે છે (નવેમ્બર 2026 થી)
નોંધપાત્ર ડેટા ફિડ્યુસિયરી (SDF) સૂચિત મોટા/ઉચ્ચ-જોખમ DF વધારાની ફરજો: DPIA, ઓડિટ, અલ્ગોરિધમિક ખંત, શક્ય સ્થાનિકીકરણ - જો સરકાર તમને નિયુક્ત કરે તો જ

લાગુ - જ્યારે કાયદો તમારા વ્યવસાયને સ્પર્શે છે

Section 3 લાગુ થાય છે જ્યારે તમે ડિજિટલ વ્યક્તિગત ડેટા પર પ્રક્રિયા કરો છો:

ચોક્કસ રાજ્ય, સંશોધન, કાનૂની અને સુરક્ષા સંદર્ભો માટે બાકાત અને કોતરણી ** અસ્તિત્વમાં છે (Section 17 અને Rule શેડ્યુલ્સ). સલાહ વિના વ્યાપક મુક્તિને સ્વ-પ્રમાણિત કરશો નહીં. ઉદાહરણો કે જે ક્યારેક ટીમોને મૂંઝવણમાં મૂકે છે: કાનૂની દાવા માટે સખત રીતે જરૂરી પ્રક્રિયા કરવી, અમુક કોર્ટ-નિર્દેશિત જાહેરાતો અને સંશોધન/આંકડાઓ કે જે વ્યક્તિગત નિર્ણય લીધા વિના Rule 16 ધોરણોને પૂર્ણ કરે છે. જ્યાં પણ મુક્તિ લાગુ થઈ શકે છે, કાનૂની આધાર અને સાંકડા અવકાશનું દસ્તાવેજીકરણ** હજુ પણ જવાબદારી માટે મહત્ત્વપૂર્ણ છે.

વ્યવહારમાં વ્યક્તિગત ડેટા - જે ટીમો ગણવાનું ભૂલી જાય છે

ઓપરેટરો ઘણીવાર વ્યક્તિગત ડેટાની ગણતરી કરતા ઓછા હોય છે કારણ કે તે ગ્રાહક ડેટાબેઝને બદલે ઓપરેશનલ ટૂલ્સમાં છુપાવે છે. સામાન્ય અવગણવામાં આવતા સ્ત્રોતોમાં શામેલ છે: ભરતી કરનાર એક્સેલ ટ્રેકર્સ, WhatsApp બિઝનેસ ચેટ નિકાસ, CCTV ઓળખી શકાય તેવી વ્યક્તિઓ સાથે ફૂટેજ, હાજરી અને GPS લૉગ્સ, કામના ઉપકરણો પર કર્મચારીની દેખરેખ, જૂની બેકઅપ ટેપ, ઉત્પાદન નકલો સાથે પરીક્ષણ વાતાવરણ અને ગ્રાહક સપોર્ટ ટિકિટોમાંથી બનેલ AI પ્રશિક્ષણ સેટ. અવલોકન કરવાનો અર્થ છે કે આ પ્રમાણિકપણે ગણવું, માત્ર CRM પંક્તિઓ જ નહીં.

GDPR થી વિપરીત, ભારત વૈધાનિક વિશેષ શ્રેણી લેબલ કરતું નથી. તેનો અર્થ એ નથી કે આરોગ્ય, નાણાકીય, બાળકોનો અથવા બાયોમેટ્રિક ડેટા ઓછું જોખમ છે. સેક્ટર નિયમો, SDF સ્ક્રુટિની, અને ગ્રાહક ટ્રસ્ટ હજુ પણ આને ઉચ્ચ-સંભાળ ડેટા તરીકે વર્તે છે જેમાં મજબૂત સૂચના, સુરક્ષા, જાળવણી અને અધિકારોનું સંચાલન જરૂરી છે.

ભૂમિકા ઇકોસિસ્ટમ

Diagram: see figure below.

ઇન્ફોગ્રાફિક 2: DPDPA Role Ecosystem

આકૃતિ: ઇન્ફોગ્રાફિક 2: DPDPA ભૂમિકા ઇકોસિસ્ટમ

સાદા અંગ્રેજી: વ્યવસાય સામાન્ય રીતે ડેટા ફિડ્યુસિયરી હોય છે. તમારા વિક્રેતાઓ પ્રોસેસર્સ છે. વ્યક્તિ ડેટા પ્રિન્સિપાલ છે. સંમતિ મેનેજર્સ એ માત્ર ભારત માટેનું સ્તર છે. જો સરકાર તમારી સંસ્થાને સૂચિત કરે તો જ SDF લાગુ થાય છે.

વિભાગ 8: કાયદેસર પ્રોસેસિંગ - સંમતિ અને કાયદેસર ઉપયોગો

દરેક સંગ્રહ અને ઉપયોગ માટે કાયદેસર માર્ગની જરૂર છે: Section 6 હેઠળ સંમતિ અથવા Section 7 હેઠળ સાંકડી કાયદેસર ઉપયોગ. OPERATE પ્રકરણો કાર્યરત થાય તે પહેલાં આ વિભાગ કાનૂની પાયાને રોલ અપ કરે છે.

સંમતિ આવશ્યકતાઓ (Section 6)

સંમતિ હોવી જોઈએ:

બાળકો (Section 9): યુનિફોર્મ થ્રેશોલ્ડ 18 વર્ષથી ઓછી . ચકાસણીપાત્ર માતાપિતાની સંમતિ; કોઈ ટ્રેકિંગ, વર્તણૂકીય દેખરેખ અથવા બાળકો પર નિર્દેશિત લક્ષિત જાહેરાતો નહીં.

કાયદેસર ઉપયોગો (Section 7) - સાંકડી સૂચિ, સગવડતા હેચ નથી

ઉદાહરણોમાં ડેટા પ્રિન્સિપલ દ્વારા ચોક્કસ હેતુ માટે આપવામાં આવેલ સ્વૈચ્છિક ડેટા, રાજ્યના કાર્યો, કાયદાનું પાલન, કોર્ટના આદેશો, તબીબી કટોકટી, આપત્તિ/જાહેર હુકમ અને ચોક્કસ રોજગાર સુરક્ષાનો સમાવેશ થાય છે. ** GDPR "કાયદેસર હિત" ને સીધા Section 7 પર મેપ કરશો નહીં.** જ્યારે અનિશ્ચિત હોય, ત્યારે નોટિસ વત્તા સંમતિનો ઉપયોગ કરો અને નિર્ણયને દસ્તાવેજ કરો.

સૂચના સંરેખણ (Section 5, Rule 3)

સૂચના સ્વતંત્ર રીતે સમજી શકાય તેવી, સાદી, આઇટમાઇઝ્ડ અને કલેક્શન પોઈન્ટ પર ઉપલબ્ધ હોવી જોઈએ - નિયમો અને શરતોમાં દફનાવવામાં આવેલ નથી. તેમાં એકત્રિત કરવામાં આવેલ ડેટા, હેતુ, અધિકારો, ઉપાડ, ફરિયાદ સંપર્ક અને બોર્ડ ફરિયાદનો માર્ગ સમજાવવો આવશ્યક છે.

સંમતિ અને કાયદેસર-ઉપયોગ નિર્ણય પ્રવાહ

Diagram: see figure below.

ઇન્ફોગ્રાફિક 3: Consent and Legitimate-Use Flow

આકૃતિ: ઇન્ફોગ્રાફિક 3: સંમતિ અને કાયદેસર-ઉપયોગ પ્રવાહ

નિર્ણયનો નિયમ: દરેક વ્યવસાયિક સગવડને કાયદેસર ઉપયોગ માટે ડિફોલ્ટ કરશો નહીં. જ્યારે શંકા હોય, ત્યારે નોટિસ + સંમતિ નો ઉપયોગ કરો અને પુરાવા રાખો.

રોજગાર, રાજ્ય અને કાનૂની સંદર્ભો

HR પગારપત્રક, હાજરી અને વૈધાનિક ફાઇલિંગ ઘણીવાર કાયદેસર-ઉપયોગ અથવા કરારની આવશ્યકતાના દાખલાઓ સાથે બંધબેસે છે - પરંતુ હજુ પણ સૂચના, સુરક્ષા, જાળવણી મર્યાદા અને અધિકાર ચેનલોની જરૂર છે. સરકાર સાથે જોડાયેલા લાભ કાર્યક્રમોએ Schedule 2 ધોરણોની સમીક્ષા કરવી આવશ્યક છે. કાનૂની કાર્યવાહી અને નિયમનકારી વિનંતીઓને દસ્તાવેજી કાનૂની આધાર અને સલાહકારની વૃદ્ધિની જરૂર છે.

વિભાગ 9: DPDPA અંતર્ગત મુખ્ય ભાગો

આ કોષ્ટક OPERATE v6.1 માટે વૈધાનિક ફરજોને નકશા કરે છે અને પુરાવા નેતાઓએ અપેક્ષા રાખવી જોઈએ.

જવાબદારી એક્ટ / Rule anchor OPERATE પત્ર પુરાવા પ્રકાર
તમારો ડેટા જાણો Sec 3, 8; Rule 6 અવલોકન કરો પ્રક્રિયા પ્રવૃત્તિ રજીસ્ટર, પ્રવાહ નકશો
કાયદેસરનો આધાર Sec 4, 6, 7 પરવાનગી આધાર ટૅગ્સ, સંમતિ લૉગ્સ, Section 7 મેમો
નોટિસ Sec 5; Rule 3 પરવાનગી ચેનલ દીઠ તારીખની સૂચનાઓ, લોગ બદલો
સંમતિ / ઉપાડ Sec 6 પરવાનગી ટાઇમસ્ટેમ્પ્ડ સંમતિ, ઉપાડના રેકોર્ડ્સ
સુરક્ષા સુરક્ષા Sec 8(5); Rule 6 ઇવેન્ટ (નિવારણ) + જવાબદારી સુરક્ષા આધારરેખા, ઍક્સેસ સમીક્ષાઓ, લોગ
ભંગ સૂચના Sec 8(6)-(7); Rule 7 ઇવેન્ટ ઘટનાની સમયરેખા, વપરાશકર્તા/બોર્ડ સૂચનાઓ, 72-કલાકનો અહેવાલ
રીટેન્શન / ઇરેઝર Sec 8(7); Rule 8 પુરાવા + ઇવેન્ટ રીટેન્શન શેડ્યૂલ, કાઢી નાખવાનો પુરાવો
અધિકારો + ફરિયાદ Sec 11-14; Rule 14 અધિકારો વિનંતી રજીસ્ટર, SLA ટ્રેકર, બંધ
બાળકોનો ડેટા Sec 9; નિયમો 10-12 પરવાનગી + કિટ્સ ઉંમર દરવાજો, માતાપિતાની સંમતિ, કોઈ બાળ જાહેરાતો નહીં
પ્રોસેસર નિયંત્રણ Sec 8; Rule 6 તૃતીય-પક્ષ કોન્ટ્રાક્ટ, વેન્ડર રજિસ્ટર, ઓડિટ
ક્રોસ બોર્ડર ટ્રાન્સફર Sec 16; Rule 15 તૃતીય-પક્ષ સ્થાનાંતરિત નકશો, પ્રતિબંધ ઘડિયાળ લોગ
શાસન / સંપર્ક Rule 9; Sec 10 (SDF) જવાબદારી નામના માલિક, DPO સંપર્ક, બોર્ડ સમીક્ષાઓ
પ્રોગ્રામનો પુરાવો Sec 8 જવાબદારી પુરાવા સંપૂર્ણ પુરાવા પેક (Section 4, 13)

લીડરશીપ રીડ: જો તમે એક પંક્તિ માટે પુરાવા કૉલમ તરફ નિર્દેશ કરી શકતા નથી, તો ધારો કે જવાબદારી હજી કાર્યરત નથી.

વાસ્તવિક કામગીરીમાં જવાબદારીઓ કેવી રીતે ક્રિયાપ્રતિક્રિયા કરે છે

એક ખૂટતા ચેકબોક્સ પર થોડા વ્યવસાયો નિષ્ફળ જાય છે. નિષ્ફળતાના દાખલાઓ સામાન્ય રીતે કમ્પાઉન્ડ હોય છે: WhatsApp નોટિસ વિના ઇન્ટેક, વત્તા અનિશ્ચિત રીટેન્શન, વત્તા કોઈ ઉલ્લંઘન પ્લેબુક, વત્તા કરાર વિના વિક્રેતા. ઉપરનું કોષ્ટક ડાયગ્નોસ્ટિક ગ્રીડ નાભાવ Indian Rupee છે. ફ્લો ઓડિટ કરતી વખતે - ઉદાહરણ તરીકે ક્લિનિક રિપોર્ટ શેરિંગ અથવા ફિનટેક KYC - પંક્તિ ઉપરથી નીચે સુધી ચાલો અને આજે કયા પુરાવા અસ્તિત્વમાં છે તે ચિહ્નિત કરો. તે સંયોજન દૃશ્ય તે છે જે DPBI કાર્યવાહી અને એન્ટરપ્રાઇઝ પ્રાપ્તિ ખંત વધુને વધુ સામ્યતા ધરાવે છે.

વિભાગ 10: SaralPrivacy OPERATE મોડેલ (v6.1)

SaralPrivacy OPERATE મોડલ DPDPA ને કાયદાના વિભાગોમાંથી સાત વ્યવસાય ક્ષમતાઓમાં ફેરવે છે. v6.1 ઓપરેટરો વાસ્તવમાં પ્રોગ્રામ્સ કેવી રીતે બનાવે છે તે મેચ કરવા માટે પત્રોને ફરીથી ફ્રેમ કરે છે: ડેટાનું અવલોકન કરો, પરવાનગી મેળવો, પુરાવા રાખો, અધિકારોનું સન્માન કરો, જવાબદારી દર્શાવો, તૃતીય પક્ષોને નિયંત્રિત કરો અને ઇવેન્ટ્સ (ખાસ કરીને ભંગ) રિહર્સલ કરો.

O  OBSERVE        - Know what data you have and where it flows
P  PERMISSION     - Lawful basis, notice, consent, legitimate use
E  EVIDENCE       - Logs, contracts, versions, proof packs
R  RIGHTS         - Access, correction, erasure, grievance, nomination
A  ACCOUNTABILITY - Owners, policies, training, board reporting
T  THIRD-PARTY    - Processors, vendors, cross-border
E  EVENT          - Breach detection, 72-hour clock, escalation

Diagram: see figure below.

ઇન્ફોગ્રાફિક 4: OPERATE v6.1 Model

આકૃતિ: ઇન્ફોગ્રાફિક 4: OPERATE v6.1 મોડલ

પત્ર પ્રશ્ન દરેક નેતાએ પૂછવો જોઈએ
આપણે ખરેખર કયો ડેટા એકત્રિત કરીએ છીએ અને તે ક્યાં રહે છે?
પી શા માટે અમને તેનો ઉપયોગ કરવાની મંજૂરી છે - સંમતિ અથવા કાયદેસર ઉપયોગ?
શું આપણે નોટિસ, સંમતિ અને કરાર સાબિત કરી શકીએ?
આર શું લોકો સરળતાથી ઍક્સેસ કરી શકે છે, સુધારી શકે છે, ભૂંસી શકે છે અને ફરિયાદ કરી શકે છે?
A આ પ્રોગ્રામની માલિકી કોની છે અને તેની છેલ્લે ક્યારે સમીક્ષા કરવામાં આવી હતી?
ટી શું વિક્રેતાઓ અને પ્રોસેસર્સ કરાર અને નિયંત્રણ હેઠળ છે?
લીક થયા પછી પ્રથમ 72 કલાકમાં શું થાય છે?

નીચેનો દરેક પ્રકરણ સમાન છ-બ્લોક રેસીપીનો ઉપયોગ કરે છે: હૂક, પરિણામો, ક્રિયાઓ, ભારત એન્કર, GDPR સરખામણી, પુરાવા ચેકલિસ્ટ.

વિભાગ 11: OPERATE અય્યાય 1 - વ્યક્તિગત ડેટાનું અવલોકન કરો

1. બિઝનેસ હૂક

તમે જેને નામ આપી શકતા નથી તેનું તમે રક્ષણ કરી શકતા નથી. મોટાભાગની DPDPA નિષ્ફળતાઓ એ જ રીતે શરૂ થાય છે: નેતૃત્વ વિચારે છે કે કંપની "મૂળભૂત ગ્રાહક માહિતી" ધરાવે છે, જ્યારે ઇજનેરો, HR, અને વિક્રેતાઓ શાંતિથી PAN નકલો, આરોગ્ય રેકોર્ડ્સ અને WhatsApp નિકાસના વર્ષો ધરાવે છે. અવલોકનનો અર્થ છે વ્યક્તિગત ડેટાનો જીવંત નકશો બનાવવો - જેમ કે વેરહાઉસમાં ઇન્વેન્ટરી, વન-ટાઇમ એક્સેલ ડમ્પ નહીં.

સાદ્રશ્ય: DPDPA તૈયારી એ ટેક્સ ઓડિટ માટે તૈયારી કરવા જેવી છે. કયા ડ્રોઅરમાં જૂની રસીદો છે તે જાણવા માટે તમે નોટિસની રાહ જોતા નથી. તમે હવે ડ્રોઅર્સને લેબલ કરો.

2. કેવું સારું દેખાય છે

3. હવે આ કરો

  1. વ્યક્તિગત ડેટા તમારા વ્યવસાયમાં પ્રવેશે છે તે દરેક સ્થાનની સૂચિ બનાવો: વેબસાઇટ ફોર્મ્સ, એપ્લિકેશન્સ, WhatsApp, ઇમેઇલ, કાગળ, CCTV, HR સાધનો, ચુકવણી ગેટવે.
  2. દરેક એન્ટ્રી પોઈન્ટ માટે, ડેટા કેટેગરીઝ રેકોર્ડ કરો (નામ, ફોન, PAN, આરોગ્ય, ફોટા, સ્થાન, વગેરે).
  3. દરેક પ્રવાહને ગ્રાહક, કર્મચારી, વિક્રેતા અથવા લીડ ડેટા તરીકે વ્યવસાય હેતુ ટેગ સાથે ચિહ્નિત કરો.
  4. પ્રોસેસર્સને ઓળખો (ક્લાઉડ, પેરોલ, ATS, CRM, એડ-ટેક) અને તેમને પ્રવૃત્તિઓ સાથે લિંક કરો.
  5. "સંવેદનશીલ" લેબલ વિના પણ ઉચ્ચ-સંભાળ ડેટાને હાઇલાઇટ કરો: બાળકો, આરોગ્ય, નાણાકીય, બાયોમેટ્રિક.
  6. પ્રવૃત્તિના માલિકને સોંપો અને કૅલેન્ડરની સમીક્ષા કરો (ત્રિમાસિક લઘુત્તમ).
  7. રજિસ્ટરને સ્ટોર કરો જ્યાં કાનૂની, સુરક્ષા અને ઉત્પાદન બધા તેને ઍક્સેસ કરી શકે.

4. ભારત એન્કર બોક્સ

એન્કર જરૂરિયાત
__કીપ10__3 અધિનિયમ ભારતમાં ડિજિટલ વ્યક્તિગત ડેટા, ઑફલાઇન ડેટાને પછીથી ડિજિટાઇઝ્ડ કરવામાં આવે છે અને ભારતમાં માલ/સેવાઓ ઓફર કરવા સાથે જોડાયેલ વિદેશી પ્રક્રિયાને લાગુ પડે છે.
__કીપ10__8 ડેટા ફિડ્યુસિયરી કાયદેસર પ્રક્રિયા અને પ્રોસેસર નિયંત્રણ માટે જવાબદાર રહે છે
__કીપ20__6 સુરક્ષામાં એક્સેસ કંટ્રોલ, લૉગ્સ, મોનિટરિંગનો સમાવેશ થાય છે - તમારે જાણવાની જરૂર છે કે કોણે શું સ્પર્શ કર્યો

5. જો તમે જાણો છો GDPR

GDPR કલમ 30 માં ઘણા નિયંત્રકો માટે પ્રોસેસિંગ એક્ટિવિટીઝ (ROPA) ના રેકોર્ડની જરૂર છે. ભારતનો અભિગમ વ્યવહારમાં સમાન છે પરંતુ સ્વરૂપમાં સમાન નથી: સમાન ઇન્વેન્ટરી આદત બનાવો, પરંતુ Section 4 + 6/7 હેઠળ કાયદેસરના આધારને ટેગ કરો, GDPR કલમ 6 લેબલ્સ હેઠળ નહીં.

6. પુરાવા ચેકલિસ્ટ

વિભાગ 12: OPERATE અય્યાય 2 - પરવાનગી અને કાયદેસરનો આધાર

પરવાનગી એ પરમિટ અને સમજાવો વચ્ચે શું વિભાજિત થાય છે તે સંયોજિત કરે છે: કાયદેસરના આધાર પર શિસ્ત અને નોંધો કે જે લોકો સંગ્રહની ક્ષણે ખરેખર સમજે છે.

1. બિઝનેસ હૂક

ડેટા એકત્રિત કરવો સરળ છે. તેનો ઉપયોગ કરવાની છૂટ આપવી એ કાયદો છે. પરવાનગી એ તમારી કાયદેસર-પ્રક્રિયા વત્તા સૂચના શિસ્ત છે: દરેક ઉપયોગને કાં તો સંમતિ અથવા સંકુચિત Section 7 કાયદેસર ઉપયોગની જરૂર છે - "અમે હંમેશા આ રીતે કર્યું છે." અને વપરાશકર્તાઓએ સમજવું જોઈએ કે તેઓ કલેક્શન પોઈન્ટ પર શું માટે સંમત થયા હતા, પોલિસી PDF ના પેજ 47 પર નહીં.

સાદ્રશ્ય: સંમતિ એ લગ્નમાં મહેમાનોની સૂચિ જેવી છે. કાયદેસરનો ઉપયોગ એ કેટરરને અલગ આમંત્રણ વિના રસોડામાં જવા દેવા જેવું છે - પરંતુ માત્ર એટલા માટે કે તેમની પાસે ચોક્કસ કામ છે, કારણ કે તેઓ અંદર ભટક્યા નથી. આમંત્રણ પરની સૂચના એ બંનેને કાયદેસર બનાવે છે.

2. કેવું સારું દેખાય છે

3. હવે આ કરો

  1. વર્તમાન સંમતિઓનું ઓડિટ કરો: વેબસાઈટ, એપ, WhatsApp, પેપર ફોર્મ્સ, કોન્ટ્રાક્ટ્સ - શું તે ચોક્કસ છે કે બંડલ છે?
  2. વૈકલ્પિક પ્રક્રિયા (જાહેરાતો, પ્રશંસાપત્રો, ટેલેન્ટ પુલ)માંથી જરૂરી પ્રક્રિયા (ઓર્ડર પરિપૂર્ણતા, પગારપત્રક) વિભાજિત કરો.
  3. દરેક કલેક્શન પોઈન્ટની ઈન્વેન્ટરી: વેબ, એપ, ઓફલાઈન ફોર્મ, WhatsApp બોટ, રિસેપ્શન ડેસ્ક.
  4. મુખ્ય પ્રવાહ દીઠ શોર્ટ નોટિસ ટેમ્પલેટ (200-400 શબ્દો) ડ્રાફ્ટ કરો.
  5. T&Cs માંથી મુખ્ય સૂચના દૂર કરો; લિંક અથવા એમ્બેડ નોટિસ અલગથી.
  6. ઉત્પાદન અને વેચાણ ટીમો માટે એક પૃષ્ઠ કાયદેસર પ્રક્રિયા નિર્ણય વૃક્ષ બનાવો.
  7. દસ્તાવેજ Section 7 સંકુચિત રીતે વાપરે છે (રોજગાર સુરક્ષા, કાનૂની પાલન, તબીબી કટોકટી - "વ્યવસાયની સુવિધા" નહીં).
  8. સરળ ઉપાડને ઓછામાં ઓછું પસંદ કરવા જેટલું સરળ બનાવો.
  9. 18 વર્ષથી ઓછી ઉંમરના વપરાશકર્તાઓ માટે, વર્તણૂકીય જાહેરાતો અને ટ્રેકિંગને અવરોધિત કરો; પેરેન્ટ વેરિફિકેશનની યોજના બનાવો (Rule 10).
  10. કાર્યકારી સંપર્ક વિગતો સાથે ઉપાડ, અધિકારોની વિનંતી અને ફરિયાદના માર્ગો ઉમેરો.

4. ભારત એન્કર બોક્સ

એન્કર જરૂરિયાત
__કીપ10__4 સંમતિ અથવા કાયદેસર ઉપયોગ સાથે કાયદેસર હેતુ માટે પ્રક્રિયા
__કીપ10__5 સૂચનામાં ડેટા, હેતુ, અધિકારો, ઉપાડ, ફરિયાદનો માર્ગ આવરી લેવામાં આવ્યો છે
__કીપ10__6 સંમતિ મફત, ચોક્કસ, જાણકાર, બિનશરતી, અસ્પષ્ટ હોવી જોઈએ; સરળ ઉપાડ
__કીપ10__7 મર્યાદિત બિન-સંમતિ આધારો - અર્થઘટન દ્વારા વિસ્તૃત કરશો નહીં
__કીપ10__9 બાળકો: ચકાસણીપાત્ર માતાપિતાની સંમતિ; બાળકો પર નિર્દેશિત કોઈ ટ્રેકિંગ/વર્તણૂકલક્ષી જાહેરાતો નથી
__કીપ20__3 સ્વતંત્ર રીતે સમજી શકાય તેવું, સાદા, આઇટમાઇઝ્ડ; ઉપાડ, અધિકારો, બોર્ડ ફરિયાદ માટેની લિંક્સ
Rule 4 + Schedule 1 સંમતિ મેનેજરની આવશ્યકતાઓ (13 નવેમ્બર 2026થી)

5. જો તમે જાણો છો GDPR

GDPR offers six lawful bases and Articles 13/14 transparency. India offers essentially two routes and Rule 3 explicitly requires notices to be independently understandable - a direct strike against T&C bundling. Do not map GDPR "legitimate interests" directly to Section 7.

6. Evidence checklist

વિભાગ 13: OPERATE પ્રકરણ 3 - પુરાવા અને રેકોર્ડ્સ

Evidence is the proof layer. DPBI proceedings are digital and document-led. When a customer complains, a vendor leaks, or a board asks "are we ready?", organisations win or lose on records, not intentions.

1. Business hook

Policies in slide decks do not survive scrutiny. Evidence means you can show what notice a user saw, what consent they gave, which contract governed a vendor, how a grievance closed, and what happened hour-by-hour in a breach drill. Think of it like keeping invoices for GST - the law cares about proof of process.

Analogy: A pilot's logbook does not fly the plane, but no airline certifies a pilot without it. DPDPA evidence works the same way.

2. What good looks like

3. Do this now

  1. Create a single evidence pack index (see Section 4 infographic) with owners and review cadence.
  2. Start a notice and consent version log - date, channel, screenshot or URL, approver.
  3. Centralise vendor contracts with DPDPA security, breach, deletion, and audit clauses.
  4. Open a rights/grievance register - ticket ID, date received, action, date closed.
  5. Log retention decisions when data is deleted or extended past standard period.
  6. File breach drill records like real incidents - timeline, roles, templates used.
  7. Link evidence items to entries in your processing activity register.

4. India anchor box

Anchor Requirement
Section 8 Data Fiduciary accountability for lawful processing and safeguards
Section 6 સંમતિ અને ઉપાડ દર્શાવવાની ક્ષમતા
__કીપ22__3 નોટિસ સામગ્રી અને સુલભતા સંગ્રહ પર સાબિત કરી શકાય તેવી હોવી જોઈએ
__કીપ22__6 સુરક્ષા પગલાં અને પ્રોસેસર કલમો દસ્તાવેજીકૃત હોવા આવશ્યક છે
__કીપ22__7 ભંગની હકીકતો, સૂચનાઓ અને 72-કલાકના અહેવાલો જાળવી રાખવા જોઈએ
__કીપ22__14 અધિકારો અને ફરિયાદનું સંચાલન 90-દિવસની મર્યાદામાં શોધી શકાય તેવું હોવું જોઈએ

5. જો તમે જાણો છો GDPR

GDPR જવાબદારી (કલમ 5(2)) અને રેકોર્ડ-કીપિંગ આ પ્રકરણને પ્રતિબિંબિત કરે છે. ભારતની તબક્કાવાર શરૂઆતનો અર્થ એ છે કે ઘણી કંપનીઓ સંપૂર્ણ અમલીકરણ પહેલાં પુરાવા તૈયાર કરી રહી છે - માત્ર કાગળ પરના પાલનને ટાળવા માટે રનવેનો ઉપયોગ કરો.

6. પુરાવા ચેકલિસ્ટ

વિભાગ 14: OPERATE પ્રકરણ 4 - અધિકારો અને ફરિયાદનું સંચાલન

ગોપનીયતા કાયદો માત્ર ખરાબ વસ્તુઓને રોકવા માટે જ નથી. લોકો પૂછવા માટે સક્ષમ હોવા જોઈએ - તેમનો ડેટા જોવા, તેને ઠીક કરવા, ભૂંસી નાખવા, ફરિયાદ કરવા અને તેમના માટે કાર્ય કરવા માટે કોઈને નોમિનેટ કરવા. અધિકારો90-દિવસની ફરિયાદની ટોચમર્યાદા સાથે, ડેટા વિનંતીઓ માટે તમારી ગ્રાહક સેવા માર્ગ છે.

1. બિઝનેસ હૂક

જો બેંક એકાઉન્ટ ધારક વિનંતી પર સ્ટેટમેન્ટ મેળવી શકતો નથી, તો બેંક છેતરપિંડી કર્યા વિના પણ વિશ્વાસ ગુમાવે છે. ડેટા અધિકારો એ જ રીતે કાર્ય કરે છે.

સાદ્રશ્ય: રીટર્ન ડેસ્ક અસ્તિત્વમાં છે કારણ કે વાણિજ્યને યોગ્ય કરેક્શન પાથની જરૂર છે. અધિકારોની વિનંતીઓ એ વ્યક્તિગત ડેટા માટેનું ડેસ્ક છે.

2. કેવું સારું દેખાય છે

3. હવે આ કરો

  1. વેબસાઈટ/એપ પર ઈમેલ અથવા ફોર્મ વડે "તમારા અધિકારોનો ઉપયોગ કરો" સૂચનાઓ પ્રકાશિત કરો.
  2. ફરિયાદ માલિકને સોંપો (બધી પેઢીઓ માટે પૂર્ણ-સમયના DPO હોવું જરૂરી નથી).
  3. વિનંતી નમૂનાઓ બનાવો: ઍક્સેસ, કરેક્શન, ઇરેઝર, નોમિનેશન.
  4. ઓળખની ચકાસણી વ્યાખ્યાયિત કરો (જોખમના પ્રમાણમાં).
  5. તારીખો અને પરિણામો સાથે સરળ રજિસ્ટરમાં વિનંતીઓને ટ્રૅક કરો.
  6. 90 દિવસની અંદર આંતરિક SLA સારી રીતે સેટ કરો; 60મા દિવસે વધારો.
  7. સહાયક સ્ટાફને વિનંતીઓને "IT માત્ર" તરીકે નકારવા માટે તાલીમ આપો.

4. ભારત એન્કર બોક્સ

એન્કર જરૂરિયાત
વિભાગ 11-14 પ્રવેશ, સુધારણા, પૂર્ણતા, અપડેટ, ભૂંસી નાખવું, ફરિયાદ, નામાંકન
__KEP9__15 ડેટાની મુખ્ય ફરજો - તમારા વર્કફ્લોમાં યોગ્ય ઉપયોગ
__કીપ22__14 વિનંતી પદ્ધતિઓ પ્રકાશિત કરો; મહત્તમ 90 દિવસમાં ફરિયાદનો જવાબ

5. જો તમે જાણો છો GDPR

GDPR પ્રકરણ III ના અધિકારો કેસ કાયદાની માત્રામાં વ્યાપક છે પરંતુ આકારમાં સમાન છે. ભારતની 90-દિવસની ફરિયાદ કેપ એક સ્પષ્ટ સંખ્યા છે - તેના માટે ઓપ્સ બનાવો, અનૌપચારિક ઈમેલ થ્રેડ માટે નહીં.

6. પુરાવા ચેકલિસ્ટ

વિભાગ 15: OPERATE પ્રકરણ 5 - જવાબદારી અને શાસન

જવાબદારી પ્રોજેક્ટમાંથી ગોપનીયતાને સંચાલિત વ્યવસાય કાર્યમાં ફેરવે છે. પ્રોગ્રામની માલિકી કોઈની પાસે હોવી જોઈએ, બોર્ડે ભૌતિક જોખમ જોવું જોઈએ, અને સ્ટાફને નિયમો જાણવા જોઈએ.

1. બિઝનેસ હૂક

શાસન વિના, ગોપનીયતા વાર્ષિક નીતિ PDF અને ભૂલી ગયેલી વિક્રેતા સ્પ્રેડશીટ બની જાય છે. જવાબદારી માલિકોને નામ આપે છે, રિવ્યુ કેડેન્સ સેટ કરે છે, ટીમોને ટ્રેન કરે છે અને ઉપરની તરફ રિપોર્ટ કરે છે - તેવી જ રીતે ફાઇનાન્સમાં CFO અને માસિક બંધ થાય છે.

સાદ્રશ્ય: કાર્યસ્થળની સલામતી માટે ફાયર માર્શલ અને કવાયતની જરૂર છે, માત્ર પોસ્ટરની જ નહીં. ગોપનીયતા શાસન એ ઓપરેટિંગ સ્તર છે.

2. કેવું સારું દેખાય છે

3. હવે આ કરો

  1. એક જવાબદાર માલિક અને દસ્તાવેજની જવાબદારીઓની નિમણૂક કરો.
  2. નોટિસ અને વેબસાઇટ ફૂટરમાં ફરિયાદ/DPO સંપર્ક પ્રકાશિત કરો.
  3. OPERATE અક્ષરો પર મેપ કરેલ ન્યૂનતમ નીતિ સેટને મંજૂરી આપો.
  4. ફ્રન્ટલાઈન ટીમો (WhatsApp, HR, સપોર્ટ) માટે 60-મિનિટનું DPDPA જાગૃતિ સત્ર ચલાવો.
  5. Schedule કાનૂની, સુરક્ષા, ઉત્પાદન અને ઑપ્સ સાથે ત્રિમાસિક પ્રોગ્રામ સમીક્ષાઓ.
  6. એક પાનાનો બોર્ડ સારાંશ પ્રસ્તુત કરો: પાંચ જોખમો, પાંચ પુરાવાના અંતર, 90-દિવસની યોજનાની સ્થિતિ.
  7. માસિક સ્કેન માલિક સાથે પોલિસી હોરિઝોન લોગ (Section 22) જાળવો.

4. ભારત એન્કર બોક્સ

એન્કર જરૂરિયાત
__KEP9__8 ડેટા વિશ્વાસુ જવાબદારી અને એકંદર જવાબદારી
__કીપ22__9 ડીપીઓ અથવા અધિકૃત વ્યક્તિનો સંપર્ક પ્રકાશિત કરો
Section 10 + Rule 13 નોંધપાત્ર ડેટા ફિડ્યુસિયર્સ માટે ઉન્નત શાસન (જો નિયુક્ત હોય તો)
વિભાગો 18-34 DPBI ડિજિટલ કાર્યવાહીમાં દસ્તાવેજીકૃત પાલનની અપેક્ષા રાખે છે

5. જો તમે જાણો છો GDPR

GDPR DPO આવશ્યકતાઓ નિયંત્રકોના સબસેટ્સ પર લાગુ થાય છે. ભારતને વ્યાપકપણે Rule 9 મારફતે પ્રકાશિત સંપર્કની જરૂર છે; SDF ને ભારે ફરજોનો સામનો કરવો પડે છે. એસએમઈ માટે પણ ગવર્નન્સ પરિપક્વતા મહત્વની છે કારણ કે પ્રોસેસર્સ અને ગ્રાહકો વધુને વધુ અપસ્ટ્રીમ ઓડિટ કરે છે.

6. પુરાવા ચેકલિસ્ટ

વિભાગ 16: OPERATE પ્રકરણ 6 - તૃતીય-પક્ષ અને વિક્રેતા નિયંત્રણ

તમારા વિક્રેતાની ભૂલ હજુ પણ તમારી ગ્રાહક સમસ્યા છે. તૃતીય-પક્ષ એ વેન્ડર ગવર્નન્સ અને ક્રોસ-બોર્ડર શિસ્ત છે - કોન્ટ્રાક્ટ, ઓડિટ અને ટ્રાન્સફર રજિસ્ટર જેથી ભાગીદારો તમારા સૌથી નબળા શટર ન બને.

સાદ્રશ્ય: જો તમે ડિલિવરીનું આઉટસોર્સ કરો છો, તો પણ જ્યારે પૅકેજ રસ્તામાં ખોલવામાં આવે ત્યારે તમે જવાબ આપો છો. પ્રોસેસર્સ એ ડેટા માટે ડિલિવરી ચેઇન છે.

1. કેવું સારું દેખાય છે

2. હવે આ કરો

  1. બધા પ્રોસેસર્સની સૂચિ બનાવો: ક્લાઉડ, ઇમેઇલ, CRM, પગારપત્રક, ચૂકવણી, વિશ્લેષણ, સહાયક સાધનો.
  2. પ્રોસેસરની જવાબદારીઓ અને ઉલ્લંઘન સૂચના સહકાર સાથેના કરારને અપગ્રેડ કરો.
  3. નકશો ક્રોસ-બોર્ડર ફ્લો (યુએસ, ઇયુ, સિંગાપોર, વગેરે); મોનિટર MeitY પ્રતિબંધિત-દેશ સૂચનાઓ.
  4. ઓછામાં ઓછા વિશેષાધિકાર દ્વારા વિક્રેતાની ઍક્સેસને અવરોધિત કરો; ત્રિમાસિક સમીક્ષા.
  5. નિર્ણાયક વિક્રેતાઓ માટે સબપ્રોસેસરોની સૂચિ જાળવો.
  6. સરકારી માહિતી માંગણીઓ માટે કાનૂની વૃદ્ધિનો માર્ગ બનાવો.
  7. જો SDF-સ્કેલ હોય, તો અલ્ગોરિધમિક ડ્યુ ડિલિજન્સ અને ઓડિટ કેડન્સ તૈયાર કરો.

3. ભારત એન્કર બોક્સ

એન્કર જરૂરિયાત
__KEP9__8 પ્રોસેસર નિયંત્રણ માટે જવાબદાર ડેટા ફિડ્યુસિયરી
__KEP9__16 સરકાર સૂચિત દેશોમાં ટ્રાન્સફરને પ્રતિબંધિત કરી શકે છે
__કીપ22__6 સુરક્ષા પગલાં માટે પ્રોસેસર કરાર કલમો
__કીપ22__15 ટ્રાન્સફર શરતો કેન્દ્ર સરકાર સ્પષ્ટ કરી શકે છે
__કીપ22__13 SDF એલ્ગોરિધમ્સ/ટૂલ્સ માટે યોગ્ય ખંત; સ્થાનિકીકરણ ઘડિયાળ

4. જો તમે જાણો છો GDPR

GDPR કલમ 28 પ્રોસેસર શરતો અને SCC એ સંદર્ભ બિંદુ છે. ભારત પાસે સમાન સ્વરૂપમાં કોઈ SCC શાસન નથી; તેના બદલે, સરકારી પ્રતિબંધો અને Rule 15 શરતો જુઓ. નકશો હવે વહે છે; એકલા GDPR ટ્રાન્સફર ટૂલ્સ પૂરતા છે એમ માનશો નહીં.

5. પુરાવા ચેકલિસ્ટ

વિભાગ 17: OPERATE પ્રકરણ 7 - ઘટના અને ભંગની તૈયારી

ઇવેન્ટ સુરક્ષા ઘટનાઓ અને ઉલ્લંઘનની ઘડિયાળને આવરી લે છે - શોધ, નિયંત્રણ, સૂચના અને પુનઃપ્રાપ્તિ. રીટેન્શન અને નિવારક સુરક્ષા અહીં અને પુરાવામાં બેસે છે; આ પ્રકરણ જ્યારે કંઈક ખોટું થાય ત્યારે શું થાય છે પર ધ્યાન કેન્દ્રિત કરે છે.

1. બિઝનેસ હૂક

વિશ્વાસ બે કાર્યોમાં તૂટી જાય છે: લીક અને ધીમો પ્રતિભાવ. ઇવેન્ટ એ તમારો રોગપ્રતિકારક પ્રતિભાવ છે - માત્ર ફાયરવોલ જ નહીં, પરંતુ વપરાશકર્તાઓ, બોર્ડ અને તમારી પોતાની ટીમ માટે રિહર્સલ કરેલ સમયરેખા.

સાદ્રશ્ય: એક દુકાનદાર રાત્રે શટરને તાળું મારે છે, સમયસીમા સમાપ્ત થયેલો સ્ટોક ફેંકી દે છે અને બ્રેક-ઈન પછી તરત જ પોલીસને બોલાવે છે. ઇવેન્ટ એ બ્રેક-ઇન રિસ્પોન્સ પ્લેબુક છે.

2. કેવું સારું દેખાય છે

3. હવે આ કરો

  1. Rule 6 સાથે સંરેખિત લઘુત્તમ સુરક્ષા બેઝલાઇન ચેકલિસ્ટ અપનાવો.
  2. નકશો જે ઉચ્ચ-સંભાળ ડેટાને ઍક્સેસ કરી શકે છે; શેર કરેલ લૉગિન અને જૂના એકાઉન્ટ્સ દૂર કરો.
  3. ડેટા પ્રકાર દ્વારા રીટેન્શન નિયમો લખો; શક્ય હોય ત્યાં સ્વચાલિત કાઢી નાખવું.
  4. ઉલ્લંઘનની પ્લેબુક બનાવો: સમાવિષ્ટ કરો, મૂલ્યાંકન કરો, વપરાશકર્તાઓને સૂચિત કરો, બોર્ડને સૂચિત કરો, 72-કલાકનો અહેવાલ.
  5. ફ્રન્ટલાઈન સ્ટાફને "ખોટા WhatsApp રિપોર્ટ" અને લેપટોપ-નુકસાનના સંજોગો પર તાલીમ આપો.
  6. ત્રિમાસિક ધોરણે ભૂતપૂર્વ કર્મચારીઓ માટે ટેસ્ટ બેકઅપ અને એક્સેસ દૂર કરવાની પ્રક્રિયા.
  7. વાર્ષિક ટેબલટોપ ભંગ કવાયત ચલાવો અને તમારા પુરાવા પેકમાં રેકોર્ડ ફાઇલ કરો.

4. પ્રતિભાવ ઘડિયાળનો ભંગ

Diagram: see figure below.

ઇન્ફોગ્રાફિક 5: Breach Response Clock

આકૃતિ: ઇન્ફોગ્રાફિક 5: ભંગ પ્રતિસાદ ઘડિયાળ

ઘડિયાળ ક્રિયા સાચવવાના પુરાવા
તાત્કાલિક સમાવવું + માલિક સોંપો સમયરેખા, સિસ્ટમો પ્રભાવિત
અયોગ્ય વિલંબ કર્યા વિના વપરાશકર્તા સૂચના ડ્રાફ્ટ હકીકતો જાણીતી છે, ઉપાય ઓફર કરે છે
અયોગ્ય વિલંબ કર્યા વિના DPBI સૂચના પ્રારંભિક તથ્યો લોગ
72 કલાક વિગતવાર અહેવાલ સંપૂર્ણ ઘટના રેકોર્ડ, મૂળ કારણ, સુધારાઓ

સાદ્રશ્ય: ફાયર ડ્રિલની જેમ - તમે આગ દરમિયાન યોજનાની શોધ કરતા નથી.

5. ભારત એન્કર બોક્સ

એન્કર જરૂરિયાત
Section 8(5)-(7) વાજબી સુરક્ષા રક્ષણો; સૂચના ફરજોનો ભંગ
__કીપ22__6 એન્ક્રિપ્શન/માસ્કિંગ, એક્સેસ કંટ્રોલ, લોગ્સ, મોનિટરિંગ, બેકઅપ્સ, પ્રોસેસર કલમો
__કીપ22__7 અયોગ્ય વિલંબ વિના વપરાશકર્તા સૂચના; અયોગ્ય વિલંબ વિના બોર્ડની સૂચના; 72 કલાકમાં વિગતવાર અહેવાલ
Rule 8 + Schedule 3 ઉલ્લેખિત સંસ્થાઓ માટે નિષ્ક્રિયતા પછી ભૂંસી નાખવું; 48-કલાકની ચેતવણી; લોગ

6. જો તમે જાણો છો GDPR

GDPR લેખ 32-33 ને સુરક્ષા અને ભંગ સૂચનાની જરૂર છે. ભારતનું Rule 7 નોટિફિકેશન પછી બોર્ડને 72-કલાકનો વિગતવાર અહેવાલ સેટ કરે છે - આને "શ્રેષ્ઠ પ્રયાસો" ઇમેઇલ નહીં, પરંતુ સખત ઓપરેશનલ SLA તરીકે માનો.

7. પુરાવા ચેકલિસ્ટ

વિભાગ 18: અમલીકરણ કિટ્સ

આ કિટ્સ OPERATE v6.1 ને ચેકલિસ્ટ ટીમમાં અનુવાદિત કરે છે જે આ મહિને ચલાવી શકે છે. સ્કોર મેચ્યોરિટી, ફિક્સ નોટિસ, અને બાળકોનો ડેટા અને રીટેન્શન ઉમેરો જ્યાં v6 માત્ર આંશિક કવરેજ ધરાવે છે.

DPDPA રેડીનેસ ચેકલિસ્ટ (OPERATE v6.1 પર મેપ કરેલ)

દરેક પંક્તિનો સ્કોર કરો: 0 = શરૂ નથી, 1 = આંશિક, 2 = દસ્તાવેજીકૃત અને સંચાલન.

# નિયંત્રણ પી આર ટી
1 પ્રક્રિયા પ્રવૃત્તિ રજીસ્ટર *
2 કાયદેસર આધાર પ્રતિ લક્ષણ ટૅગ કરેલ *
3 એકલ ઉત્પાદન સૂચના *
4 સંમતિ અને નોટિસ વર્ઝન લોગ *
5 સુરક્ષા આધારરેખા + ઍક્સેસ નિયંત્રણ *
6 72-કલાકના ટાઈમર સાથે પ્લેબુકનો ભંગ કરો * *
7 અધિકારોની વિનંતી ઇનબૉક્સ + માલિક *
8 નામિત પ્રોગ્રામ માલિક + બોર્ડ સમીક્ષા *
9 પ્રોસેસર કોન્ટ્રાક્ટ અપડેટ કર્યા * *
10 ક્રોસ બોર્ડર ફ્લો નકશો * *
11 ત્રિમાસિક ક્ષિતિજ સમીક્ષા * *
12 બાળક/નાના પ્રવાહનું મૂલ્યાંકન (જો લાગુ હોય તો) * *

પરિપક્વતા બેન્ડ: 0-7 = તદર્થ | 8-14 = પુનરાવર્તિત | 15-20 = વ્યાખ્યાયિત | 21-24 = વ્યવસ્થાપિત

ડેટા ઇન્વેન્ટરી ટેમ્પલેટ (એકલોન)

ક્ષેત્ર ઉદાહરણ
પ્રવૃત્તિનું નામ ગ્રાહક ચેકઆઉટ
ડેટા શ્રેણીઓ નામ, ફોન, સરનામું, ચુકવણી સંદર્ભ
કાયદેસરનો આધાર સંમતિ + કરાર
સ્ત્રોત / ચેનલ વેબસાઇટ ફોર્મ
સંગ્રહ સ્થાન Shopify + પેમેન્ટ ગેટવે (યુએસ)
પ્રોસેસર્સ Shopify, Razorpay, Shiprocket
રીટેન્શન અવધિ 7 વર્ષ કર; ઉપાડ સુધી માર્કેટિંગ
માલિક ઈ-કોમર્સ હેડ
છેલ્લી સમીક્ષા કરી 14 જૂન 2026

નોટિસ લખવાની કીટ (5 બુલેટ)

  1. હેતુ સાથે લીડ - પ્રથમ સ્ક્રીન અથવા ફકરામાં "અમે Y કરવા માટે X એકત્રિત કરીએ છીએ".
  2. આઇટમાઇઝ ડેટા - ફોન, ઇમેઇલ, ચુકવણી સંદર્ભ, ઉપકરણ ID - "વ્યક્તિગત માહિતી" નહીં.
  3. અલગ વૈકલ્પિક ઉપયોગો - માર્કેટિંગ, એનાલિટિક્સ, તેમની પોતાની લાઇન પર પ્રશંસાપત્રો.
  4. અધિકાર માર્ગો બતાવો - ઍક્સેસ, કરેક્શન, ઇરેઝર, ફરિયાદ, લિંક્સ સાથે બોર્ડ ફરિયાદ.
  5. તેને એકલો રાખો - નિયમો અને શરતો (Rule 3) ની અંદર મુખ્ય સૂચનાને ક્યારેય દફનાવશો નહીં.

સંમતિ પ્રવાહ કીટ (5 પગલાં)

  1. ક્ષણને ઓળખો - ચેકઆઉટ, સાઇનઅપ, ફોર્મ, WhatsApp પસંદ કરો.
  2. જરૂરી વિભાજિત કરો વિ વૈકલ્પિક - વૈકલ્પિક પ્રક્રિયા માટે માત્ર વૈકલ્પિક બોક્સ.
  3. સ્પષ્ટ હકારાત્મક ક્રિયાનો ઉપયોગ કરો - બટન અથવા અનચેક કરેલ ટિક; કોઈ પ્રી-ટિક માર્કેટિંગ નથી.
  4. લોગ પુરાવા - શું, ક્યારે, ચેનલ, નોટિસનું સંસ્કરણ બતાવવામાં આવ્યું છે.
  5. મિરર ઉપાડ - સમાન ચેનલો અથવા સરળ; વપરાશકર્તાને ઉપાડની પુષ્ટિ કરો.

વેન્ડર ગવર્નન્સ કીટ (5 બુલેટ)

  1. તમારા ડેટા મેપ સાથે લિંક કરેલ પ્રોસેસર રજીસ્ટર જાળવી રાખો.
  2. કરારમાં સુરક્ષા, ભંગ, કાઢી નાખવા અને ઓડિટ કલમોની જરૂર છે (Rule 6).
  3. ક્લાઉડ અને એડ-ટેક માટે ડેટા સ્થાન અને સબપ્રોસેસર્સનો નકશો.
  4. ઓફબોર્ડ વિક્રેતાઓ ઍક્સેસ દૂર કરવા અને પરત/કાઢી નાખવાના પ્રમાણપત્રો સાથે.
  5. વાર્ષિક સમીક્ષા - અથવા જ્યારે વિક્રેતાની ઘટનાના સમાચાર બ્રેક થાય છે.

ઉલ્લંઘન પ્રતિસાદ ચેકલિસ્ટ

  1. ** સમાવિષ્ટ છે** - ફેલાવો રોકો, લોગ સાચવો, ઘટના લીડ સોંપો.
  2. મૂલ્યાંકન - ડેટા પ્રકારો, વોલ્યુમ, નુકસાનની સંભાવના.
  3. વપરાશકર્તાઓને સૂચિત કરો અયોગ્ય વિલંબ વિના જાણીતા તથ્યો અને ઉપાયના પગલાં.
  4. અનુચિત વિલંબ કર્યા વિના DPBIને સૂચિત કરો; 72-કલાકનો વિગતવાર અહેવાલ તૈયાર કરો.
  5. રેકોર્ડ સમયરેખા, નિર્ણયો, નમૂનાઓ, મૂળ કારણ અને પુરાવા પેકમાં સુધારાઓ.
  6. સમીક્ષા ઍક્સેસ નિયંત્રણો અને વિક્રેતા કલમો કે જે નિષ્ફળ ગયા.

ચિલ્ડ્રન્સ ડેટા ચેકલિસ્ટ

Diagram: see figure below.

ઇન્ફોગ્રાફિક 6: Children's Data Decision Tree

આકૃતિ: ઇન્ફોગ્રાફિક 6: ચિલ્ડ્રન્સ ડેટા ડિસીઝન ટ્રી

ભારત-વિશિષ્ટ: સમાન વય મર્યાદા 18 વર્ષથી ઓછી છે (ઘણા વૈશ્વિક કાયદાઓ કરતાં વધુ કડક).

વ્યવહારુ પગલાં:

  1. પ્રવાહોને ઓળખો જ્યાં વપરાશકર્તાઓ 18 વર્ષથી ઓછી ઉંમરના હોઈ શકે છે (શિક્ષણ, ગેમિંગ, કૌટુંબિક એપ્લિકેશનો).
  2. જ્યાં યોગ્ય હોય ત્યાં વય દરવાજો અથવા એકાઉન્ટ પ્રકાર ઘોષણા લાગુ કરો.
  3. વૈકલ્પિક પ્રક્રિયા કરતા પહેલા ચકાસણીપાત્ર માતાપિતાની સંમતિ કેપ્ચર કરો.
  4. વર્તણૂકલક્ષી જાહેરાતોને અવરોધિત કરો અને બાળ-નિર્દેશિત સેવાઓ પર ટ્રેકિંગ કરો.
  5. દસ્તાવેજ Schedule 4 જો લાગુ હોય તો સંકુચિત રીતે મુક્તિ આપો (શાળાઓ, ક્લિનિક્સ).

રીટેન્શન ચેકલિસ્ટ

  1. હેતુ (કર, કરાર, વિવાદ) સાથે જોડાયેલ ડેટા કેટેગરી દીઠ રીટેન્શન અવધિ વ્યાખ્યાયિત કરો.
  2. દસ્તાવેજ અપવાદો (કાનૂની પકડ, સક્રિય ફરિયાદ, નિયમનકારી વિનંતી).
  3. જ્યાં સિસ્ટમ પરવાનગી આપે છે ત્યાં સ્વચાલિત કાઢી નાખવા અથવા અનામીકરણ.
  4. મોટા ઇ-કોમર્સ/સામાજિક/ગેમિંગ માટે, Schedule 3 નિષ્ક્રિયતા ઇરેઝર ફરજોનું મૂલ્યાંકન કરો.
  5. પુરાવા પેકમાં લોગ કાઢી નાખવા અને સામયિક રીટેન્શન સમીક્ષાઓ.

SDF રેડીનેસ પેક (શરતી)

જો સ્કેલ, સેક્ટરની સંવેદનશીલતા અથવા પ્રણાલીગત જોખમ નોંધપાત્ર ડેટા ફિડ્યુસિયરી હોદ્દો બુદ્ધિગમ્ય બનાવે તો જ લાગુ કરો:

રેડીનેસ સ્કોરકાર્ડ (10 પ્રશ્નો OPERATE v6.1 પર મેપ કરેલા)

# પ્રશ્ન ડોમેન
1 શું તમે સાદા અંગ્રેજીમાં એકત્રિત કરેલા દરેક પ્રકારના વ્યક્તિગત ડેટાની યાદી બનાવી શકો છો? અવલોકન કરો
2 શું તમે જાણો છો કે દરેક મુખ્ય સિસ્ટમ કયા દેશમાં ડેટા સ્ટોર કરે છે? અવલોકન કરો
3 શું દરેક ઉપયોગ ટેગ કરેલ સંમતિ અથવા ચોક્કસ Section 7 આધાર છે? પરવાનગી
4 શું વપરાશકર્તાઓ વૈકલ્પિક સંમતિ આપે તેટલી સરળતાથી પાછી ખેંચી શકે? પરવાનગી
5 શું દરેક મુખ્ય સંગ્રહ બિંદુ પર નોટિસ એકલ છે? પરવાનગી
6 શું તમે સેમ્પલ યુઝર માટે સંમતિ અને નોટિસ વર્ઝન લોગ બનાવી શકો છો? પુરાવા
7 શું તમારી પાસે 72-કલાકના બોર્ડ રિપોર્ટ સ્ટેપ સાથે ઉલ્લંઘન પ્લેબુક છે? ઘટના
8 શું ગ્રાહક આજે અધિકારોની વિનંતી સબમિટ કરી શકે છે અને ટ્રેક કરેલ પ્રતિસાદ મેળવી શકે છે? અધિકારો
9 શું પ્રોસેસર કોન્ટ્રાક્ટને સુરક્ષા અને ભંગ સહકારની જરૂર છે? તૃતીય-પક્ષ
10 શું નેતૃત્વએ છેલ્લા 90 દિવસમાં DPDPA જોખમની સમીક્ષા કરી? જવાબદારી

સ્કોરિંગ: 8-10 હા = મજબૂત રનવે | 5-7 = 2027 પહેલા બંધ થવાના ગાબડા | 0-4 = અવલોકન + પરવાનગી સાથે તરત જ પ્રારંભ કરો

વિભાગ 19: 12 ઉદ્યોગ જોખમ સ્નેપશોટ

સંપૂર્ણ 12-બ્લોક ઇન્ડસ્ટ્રી પ્લેબુક SaralPrivacy વેબસાઇટ પર લાઇવ છે. આ વિભાગ પીડીએફ વાચકો માટે કોમ્પેક્ટ સ્નેપશોટ આપે છે - પહેલા ઠીક કરવા માટે બે પ્રવાહોને પ્રાથમિકતા આપવા માટે પૂરતું છે (CEO પૃષ્ઠ, Section 4).

જોખમ હીટમેપ

Diagram: see figure below.

ઇન્ફોગ્રાફિક 7: Industry Risk Heatmap

આકૃતિ: ઇન્ફોગ્રાફિક 7: ઇન્ડસ્ટ્રી રિસ્ક હીટમેપ

પ્રાથમિકતા ઉદ્યોગો સ્કેન રૂટ
જટિલ ક્લિનિક્સ, શાળાઓ, ફિનટેક પહેલા સેક્ટર સ્કેન કરો
ઉચ્ચ CA, ફાર્મસી, કાયદો, તાલીમ સેક્ટર સ્કેન + સામાન્ય આકારણી
મધ્યમ D2C, ભરતી, હોટેલ્સ, રિયલ એસ્ટેટ, જિમ જ્યારે સંબંધિત હોય ત્યારે સેક્ટર સ્કેન કરો

CA ફર્મ્સ

પ્રાથમિક જોખમ થીમ: ક્લાયન્ટ-દસ્તાવેજ નિયંત્રણ - કર જ્ઞાન નહીં.

કોણ: સોલો CA અને ભાગીદારી, GST/પેરોલ/સલાહકાર ફર્મ, લેખ સહાયકો અને શેર કરેલ ક્લાઉડ ફોલ્ડર્સનો ઉપયોગ કરતી ટીમો.

સામાન્ય વ્યક્તિગત ડેટા: PAN, Aadhaar, ITR ફાઇલો, બેંક સ્ટેટમેન્ટ, પગારપત્રક, Google Drive, WhatsApp, લેખ સ્ટાફ ઍક્સેસ, જૂની ક્લાયન્ટ ફાઇલો

ઉચ્ચ જોખમનો પ્રવાહ:
1. ક્લાયન્ટ PAN અને બેંક સ્ટેટમેન્ટ WhatsApp દ્વારા અથવા પ્રમાણભૂત ઇન્ટેક વિના ઇમેઇલ મોકલે છે
2. ભૂતપૂર્વ લેખો અને ઇન્ટર્ન માટે જૂની ઍક્સેસ સાથે શેર કરેલ ડ્રાઇવ ફોલ્ડર્સ
3. જૂની ITR અને KYC નકલો કાઢી નાખવાના નિયમો વિના અનિશ્ચિત સમય માટે જાળવી રાખવામાં આવે છે

DPDPA ટ્રિગર થયેલી જવાબદારીઓ: સૂચના (R3) | સુરક્ષા (R6) | ભંગ (R7) | અધિકારો (R14) | કલમ 4, 5, 6/7, 8

તાત્કાલિક પગલાં:
1. ક્લાયન્ટ્સ PAN, Aadhaar, ITR અને બેંક દસ્તાવેજો કેવી રીતે અપલોડ કરે છે તેનું માનકીકરણ કરો
2. Google Drive, ઇમેઇલ ફોલ્ડર્સ અને ક્લાયન્ટ ફાઇલોની ઍક્સેસને પ્રતિબંધિત અને સમીક્ષા કરો
3. જૂની ITR ફાઇલો, PAN નકલો, બેંક સ્ટેટમેન્ટ અને પેરોલ ડેટા માટે રીટેન્શન નિયમો વ્યાખ્યાયિત કરો

સ્કેન: saralprivacy.com/મૂલ્યાંકન/ca-firms - 10 પ્રશ્નો - ~3 મિનિટ

ભરતી એજન્સીઓ

પ્રાથમિક જોખમ થીમ: ક્લાયન્ટ્સ, ટૂલ્સ અને ટીમોમાં CV ચળવળ - માત્ર રિઝ્યુમ ફોરવર્ડ કરવા માટે નહીં.

કોણ: ભરતી અને સ્ટાફિંગ એજન્સીઓ, એક્ઝિક્યુટિવ સર્ચ, RPO ટીમો ઇમેઇલ અથવા પોર્ટલ દ્વારા CVs શેર કરે છે.

સામાન્ય અંગત ડેટા: સીવી, ઉમેદવારની સંમતિ, જોબ પોર્ટલ, LinkedIn, ATS, WhatsApp, ક્લાયંટ શેરિંગ, BGV, પગારની સ્લિપ, નકારેલ પ્રોફાઇલ્સ, AI સ્ક્રીનીંગ

ઉચ્ચ જોખમનો પ્રવાહ:
1. PAN, Aadhaar નું પ્રારંભિક કલેક્શન, ઓફર સ્ટેજ પહેલા પગાર સ્લિપ
2. જથ્થાબંધ CV ફોલ્ડર્સ ક્લાયન્ટ સાથે WhatsApp અથવા ઇમેઇલ જોડાણો દ્વારા શેર કરવામાં આવે છે
3. નકારી કાઢવામાં આવેલી ઉમેદવારની પ્રોફાઇલ્સ કાઢી નાખવાની પ્રક્રિયા વિના અનિશ્ચિત સમય માટે રાખવામાં આવી છે

DPDPA ટ્રિગર થયેલી જવાબદારીઓ: સૂચના (R3) | સંમતિ (Sec 6) | સુરક્ષા (R6) | ભંગ (R7) | અધિકારો (R14)

તાત્કાલિક પગલાં:
1. ઉમેદવારના સોર્સિંગ અને સંમતિ/સૂચનાની ભાષાને પ્રમાણિત કરો
2. PAN, Aadhaar, પગાર સ્લિપ અને BGV ફાઇલોના પ્રારંભિક સંગ્રહમાં ઘટાડો
3. ગ્રાહકો સાથે સીવી શેરિંગને નિયંત્રિત કરો અને બલ્ક ફોલ્ડર્સ ટાળો

સ્કેન: saralprivacy.com/મૂલ્યાંકન/ભરતી - 10 પ્રશ્નો - ~3 મિનિટ

તાલીમ સંસ્થાઓ

પ્રાથમિક જોખમ થીમ: સગીરો, માતા-પિતા, WhatsApp જૂથો અને LMS ડેટા - માત્ર વર્ગખંડમાં વિતરણ જ નહીં.

કોણ: કોચિંગ સેન્ટર્સ, ટેસ્ટ-પ્રેપ બ્રાન્ડ્સ, લાઇવ ક્લાસ સાથે EdTech અને LMS, પેરેન્ટ્સ WhatsApp જૂથો સાથેની સંસ્થાઓ.

સામાન્ય વ્યક્તિગત ડેટા: વિદ્યાર્થી ડેટા, માતાપિતાની વિગતો, સગીર, WhatsApp જૂથો, LMS સાધનો, વિદ્યાર્થીઓના ફોટા, પ્રશંસાપત્રો, હાજરી, ફી રેકોર્ડ, પ્લેસમેન્ટ ડેટા

ઉચ્ચ જોખમનો પ્રવાહ:
1. માતાપિતા/વાલીની સંમતિ વિના દસ્તાવેજીકૃત 18 વર્ષથી નીચેના વિદ્યાર્થીઓ
2. અલગ સંમતિ વિના માર્કેટિંગ માટે ઉપયોગમાં લેવાતા ફોટા, પ્રશંસાપત્રો અને ડેમો-ક્લાસ રેકોર્ડિંગ્સ
3. જુના લીડ્સ અને પ્રવેશ રેકોર્ડ સ્પષ્ટ નિયમો વિના જાળવી રાખ્યા

DPDPA ટ્રિગર થયેલી જવાબદારીઓ: સૂચના (R3) | બાળકો (Sec 9, R10) | સુરક્ષા (R6) | અધિકારો (R14)

તાત્કાલિક પગલાં:
1. વિદ્યાર્થીઓ 18 વર્ષથી નીચેના છે કે કેમ તે રેકોર્ડ કરો અને માતાપિતા/વાલીની સંમતિ મેળવો
2. અનૌપચારિક ચેનલોથી દૂર વિદ્યાર્થી અને માતા-પિતાના ડેટાને પ્રમાણિત કરો
3. WhatsApp જૂથો, ફોટા, પ્રશંસાપત્રો અને ડેમો-ક્લાસ રેકોર્ડિંગ્સની સમીક્ષા કરો

સ્કેન: saralprivacy.com/મૂલ્યાંકન/તાલીમ-સંસ્થાઓ - 10 પ્રશ્નો - ~3 મિનિટ

D2C બ્રાન્ડ્સ

પ્રાથમિક જોખમ થીમ: દરેક ઓર્ડર પાછળ માર્કેટિંગ અને એડ-ટેક એન્જિન - માત્ર ઉત્પાદન વેચાણ જ નહીં.

કોણ: Shopify/Woo D2C બ્રાન્ડ્સ, સુંદરતા/સુખાકારી/ખાદ્ય જીવનશૈલીના લેબલ, મેટા જાહેરાતો ચલાવતી ટીમો અને WhatsApp ઝુંબેશ.

સામાન્ય વ્યક્તિગત ડેટા: WhatsApp માર્કેટિંગ, Meta Pixel, કાર્ટ ત્યાગ, Shopify, SMS ઑપ્ટ-ઇન, લોજિસ્ટિક્સ વેન્ડર્સ, લોયલ્ટી, અનસબ્સ્ક્રાઇબ, ગ્રાહક ડેટા, માર્કેટપ્લેસ

ઉચ્ચ જોખમનો પ્રવાહ:
1. પ્રમોશનલ WhatsApp/SMS સાબિત કરવા યોગ્ય ઑપ્ટ-ઇન વિના
2. Meta Pixel અને કૂકી/સૂચના જાહેર કર્યા વિના પુન: લક્ષ્યીકરણ
3. લોજિસ્ટિક્સ અને જાહેરાત વિક્રેતાઓ મેપ કરેલા કરાર વિના ગ્રાહક ડેટા મેળવે છે

DPDPA ટ્રિગર થયેલી જવાબદારીઓ: સૂચના (R3) | સંમતિ (Sec 6) | સુરક્ષા (R6) | વિક્રેતાઓ (R6, R15) | અધિકારો (R14)

તાત્કાલિક પગલાં:
1. કૅપ્ચર કરો અને WhatsApp/SMS/ઇમેઇલ પ્રમોશન માટે અલગ ઑપ્ટ-ઇન સાબિત કરો
2. ગોપનીયતા/કુકી નોટિસમાં Meta Pixel, GA અને પુન: લક્ષ્યીકરણ સાધનો જાહેર કરો
3. બધી ચેનલોમાં અનસબ્સ્ક્રાઇબ અને પસંદગી વ્યવસ્થાપનને સક્ષમ કરો

સ્કેન: saralprivacy.com/મૂલ્યાંકન/d2c - 10 પ્રશ્નો - ~3 મિનિટ

ક્લિનિક્સ અને ડાયગ્નોસ્ટિક લેબ્સ

પ્રાથમિક જોખમ થીમ: આરોગ્ય અહેવાલો, WhatsApp શેરિંગ, અને ઍક્સેસ નિયંત્રણ - સર્વોચ્ચ સંવેદનશીલતા બેન્ડ.

કોણ: સિંગલ અને મલ્ટિ-સ્પેશિયાલિટી ક્લિનિક્સ, પેથોલોજી અને રેડિયોલોજી લેબ્સ, હોમ સેમ્પલ કલેક્શન ચેન.

સામાન્ય વ્યક્તિગત ડેટા: દર્દીના અહેવાલો, પ્રિસ્ક્રિપ્શન્સ, આરોગ્ય ડેટા, WhatsApp શેરિંગ, લેબ સૉફ્ટવેર, રિસેપ્શન ઍક્સેસ, હોમ કલેક્શન, ડૉક્ટર રેફરલ્સ, વીમો/TPA, જૂના રિપોર્ટ્સ

ઉચ્ચ જોખમનો પ્રવાહ:
1. લેબ રિપોર્ટ્સ WhatsApp પર દર્દીઓ અથવા પરિવારને પ્રાપ્તકર્તાની ચકાસણી વિના શેર કરવામાં આવે છે
2. ક્લિનિક/HIS સિસ્ટમ્સમાં શેર કરેલ લોગિન અથવા ભૂતપૂર્વ સ્ટાફની ઍક્સેસ
3. વિક્રેતા રજિસ્ટર વિના આઉટસોર્સ્ડ લેબ્સ અને હોમ કલેક્શન પાર્ટનર્સ

DPDPA ટ્રિગર થયેલી જવાબદારીઓ: સૂચના (R3) | સુરક્ષા (R6) | ભંગ (R7) | અધિકારો (R14) | Rule 12/Schedule 4 (બાળકનું સ્વાસ્થ્ય)

તાત્કાલિક પગલાં:
1. દર્દીના સેવનની ચેનલોને પ્રમાણિત કરો - છૂટાછવાયા WhatsApp અને કાગળનું સેવન ઓછું કરો
2. WhatsApp અથવા ઇમેઇલ દ્વારા અહેવાલો શેર કરતા પહેલા પ્રાપ્તકર્તાઓને ચકાસો
3. રોલ-આધારિત નિયંત્રણો સાથે સ્વાગત, બિલિંગ, લેબ અને સપોર્ટ સ્ટાફની ઍક્સેસને પ્રતિબંધિત કરો

સ્કેન: saralprivacy.com/મૂલ્યાંકન/ક્લિનિક્સ-ડાયગ્નોસ્ટિક-લેબ્સ - 10 પ્રશ્નો - ~3 મિનિટ

શાળાઓ અને કોલેજો

પ્રાથમિક જોખમ થીમ: ચિલ્ડ્રન્સ ડેટા, CCTV, એપ્લિકેશન્સ અને ટ્રાન્સપોર્ટ મોનિટરિંગ - મહત્વપૂર્ણ પ્રાથમિકતા.

કોણ: K-12 શાળાઓ, કોલેજો, ERP એપ્લિકેશનો સાથેની સંસ્થાઓ, CCTV, પરિવહન GPS અને ફી સિસ્ટમ્સ.

સામાન્ય વ્યક્તિગત ડેટા: બાળકોનો ડેટા, માતાપિતાના રેકોર્ડ્સ, શાળાની એપ્લિકેશનો, CCTV, હાજરી, પરિવહન GPS, વિદ્યાર્થીઓના ફોટા, ફી રેકોર્ડ, LMS, જૂની વિદ્યાર્થી ફાઇલો

ઉચ્ચ જોખમનો પ્રવાહ:
1. ચોક્કસ માતાપિતાની સૂચના અને સંમતિ પ્રક્રિયા વિના 18 વર્ષથી નીચેના વિદ્યાર્થીઓ
2. અલગ સંમતિ વિના જાહેર ફોટા, વિડિયો અને પરિણામો
3. CCTV, બાયોમેટ્રિક, RFID, અને પરિવહન GPS ગવર્નન્સ અને રીટેન્શન નિયમો વિના

DPDPA ટ્રિગર થયેલી જવાબદારીઓ: સૂચના (R3) | બાળકો (Sec 9, R10-12) | સુરક્ષા (R6) | ભંગ (R7) | અધિકારો (R14)

તાત્કાલિક પગલાં:
1. નકશો જ્યાં વિદ્યાર્થી અને માતાપિતાનો ડેટા એકત્રિત અને સંગ્રહિત કરવામાં આવે છે
2. 18 વર્ષથી નીચેના વિદ્યાર્થીઓ માટે માતાપિતા/વાલીઓની સૂચના અને સંમતિને મજબૂત બનાવો
3. CCTV, બાયોમેટ્રિક, RFID, પરિવહન GPS અને હોસ્ટેલ મોનિટરિંગનું સંચાલન કરો

સ્કેન: saralprivacy.com/મૂલ્યાંકન/શાળા-કોલેજ - 10 પ્રશ્નો - ~3 મિનિટ

લો ફર્મ્સ

પ્રાથમિક જોખમ થીમ: મેટર ફાઇલો, પુરાવા અને જુનિયર એક્સેસ - ગોપનીયતા વત્તા DPDPA પુરાવા.

કોણ: મુકદ્દમા અને કોર્પોરેટ વ્યવહાર, બુટીક, જુનિયરો સાથેની ટીમો, ઈન્ટર્ન અને મેટર ફોલ્ડર્સ.

સામાન્ય વ્યક્તિગત ડેટા: ક્લાયન્ટ KYC, PAN/Aadhaar, કેસ ફાઇલો, પુરાવાના રેકોર્ડ્સ, એફિડેવિટ્સ, WhatsApp સૂચનાઓ, કોર્ટ ફાઇલિંગ, જુનિયર ઍક્સેસ, બાહ્ય સલાહકાર, બંધ બાબતો

ઉચ્ચ જોખમનો પ્રવાહ:
1. મેટર-ટીમ પ્રતિબંધ વિના શેર કરેલી ડ્રાઇવ પર સંવેદનશીલ કેસ ફાઇલો
2. WhatsApp અથવા અનૌપચારિક ઇમેઇલ નિકાસ દ્વારા પ્રાપ્ત પુરાવા
3. ક્લાઉડ અથવા ઉપકરણ ઍક્સેસ જાળવી રાખતા ભૂતપૂર્વ સ્ટાફ, ઇન્ટર્ન અથવા સહયોગીઓ

DPDPA ટ્રિગર થયેલી જવાબદારીઓ: સૂચના (R3) | સુરક્ષા (R6) | ભંગ (R7) | અધિકારો (R14) | ક્રોસ-બોર્ડર (Sec 16)

તાત્કાલિક પગલાં:
1. ક્લાયન્ટ દસ્તાવેજો અને મેટર-ડેટા પ્રવાહનો નકશો બનાવો
2. સંવેદનશીલ કેસ ફાઇલોને મેટર ટીમ સુધી મર્યાદિત કરો
3. ક્લાયંટ દસ્તાવેજો માટે WhatsApp/email/shared-folder વપરાશને પ્રમાણિત કરો

સ્કેન: saralprivacy.com/મૂલ્યાંકન/લૉ-ફર્મ્સ - 10 પ્રશ્નો - ~3 મિનિટ

રિયલ એસ્ટેટ

પ્રાથમિક જોખમ થીમ: KYC અને બ્રોકર નેટવર્ક પ્રોપર્ટી અને ઓળખ ડેટાને ખસેડે છે.

કોણ: બ્રોકર્સ, પ્રોપર્ટી કન્સલ્ટન્ટ, ડેવલપર સેલ્સ ડેસ્ક, રેન્ટલ અને રિસેલ ટીમ.

સામાન્ય વ્યક્તિગત ડેટા: ખરીદનાર લીડ, ભાડૂત KYC, PAN/Aadhaar, ભાડા કરાર, વેચાણ ખત, મિલકતના કાગળો, WhatsApp જૂથો, બ્રોકર નેટવર્ક્સ, લોન ભાગીદારો, જૂના લીડ્સ

ઉચ્ચ જોખમનો પ્રવાહ:
1. PAN/Aadhaar/સંપત્તિ દસ્તાવેજો WhatsApp દ્વારા પ્રાપ્ત અને ફોરવર્ડ
2. ક્લાયન્ટની સૂચના વિના બ્રોકર WhatsApp જૂથોમાં લીડ શીટ્સ
3. ભૂતપૂર્વ સ્ટાફ અથવા જૂના બ્રોકર ભાગીદારો CRM અથવા ક્લાઉડ ઍક્સેસ જાળવી રાખે છે

DPDPA ટ્રિગર થયેલી જવાબદારીઓ: સૂચના (R3) | સુરક્ષા (R6) | ભંગ (R7) | અધિકારો (R14)

તાત્કાલિક પગલાં:
1. માનકીકરણ KYC અને મિલકત-દસ્તાવેજ સંગ્રહ
2. PAN, Aadhaar અને કરાર દસ્તાવેજોનું WhatsApp ફોરવર્ડિંગ ઘટાડવું
3. સહ-દલાલો, બિલ્ડરો, મકાનમાલિકો અને લોન ભાગીદારો સાથે લીડ શેરિંગને નિયંત્રિત કરો

સ્કેન: saralprivacy.com/આકારણી/રિયલ-એસ્ટેટ - 10 પ્રશ્નો - ~3 મિનિટ

હોટેલ્સ અને ટ્રાવેલ

પ્રાથમિક જોખમ થીમ: અતિથિ IDs, પાસપોર્ટ નકલો અને OTA ડેટા શેરિંગ.

કોણ: હોટેલ્સ, રિસોર્ટ્સ, હોમસ્ટે, ટ્રાવેલ એજન્સીઓ, કોર્પોરેટ ટ્રાવેલ ડેસ્ક.

સામાન્ય વ્યક્તિગત ડેટા: અતિથિ IDs, પાસપોર્ટ નકલો, બુકિંગ ઇતિહાસ, OTA શેરિંગ, મુસાફરી દસ્તાવેજો, WhatsApp પુષ્ટિકરણ, CCTV, PMS ઍક્સેસ, પરિવહન વિક્રેતાઓ, જૂના અતિથિ રેકોર્ડ્સ

ઉચ્ચ જોખમનો પ્રવાહ:
1. WhatsApp અથવા વ્યક્તિગત ઇમેઇલ દ્વારા એકત્રિત પાસપોર્ટ અને વિઝા દસ્તાવેજો
2. વિદેશી મહેમાન અને સી-ફોર્મ ડેટા અનિશ્ચિત સમય માટે જાળવી રાખ્યો
3. શેર કરેલ PMS/OTA લૉગિન અને એક્સ-સ્ટાફ એક્સેસ ગેસ્ટ સિસ્ટમ્સ

DPDPA ટ્રિગર થયેલી જવાબદારીઓ: સૂચના (R3) | સુરક્ષા (R6) | ભંગ (R7) | અધિકારો (R14) | ક્રોસ-બોર્ડર (R15)

તાત્કાલિક પગલાં:
1. પ્રમાણભૂત ID, પાસપોર્ટ અને મુસાફરી-દસ્તાવેજ સંગ્રહ
2. મહેમાન IDs અને પાસપોર્ટની નકલોની WhatsApp/ઇમેઇલ શેરિંગ ઘટાડવી
3. PMS, CRM, OTA ડેશબોર્ડ, CCTV અને સ્ટાફ ઉપકરણ ઍક્સેસને પ્રતિબંધિત કરો

સ્કેન: saralprivacy.com/મૂલ્યાંકન/હોટલ્સ-ટ્રાવેલ - 10 પ્રશ્નો - ~3 મિનિટ

ફાર્મસીઓ

પ્રાથમિક જોખમ થીમ: પ્રિસ્ક્રિપ્શન્સ, દવાનો ઇતિહાસ અને રિફિલ ઝુંબેશ.

કોણ: છૂટક અને સાંકળ ફાર્મસીઓ, ઓનલાઈન ફાર્મસી પરિપૂર્ણતા, WhatsApp પર પ્રિસ્ક્રિપ્શન પ્રાપ્ત કરતી ટીમો.

સામાન્ય વ્યક્તિગત ડેટા: પ્રિસ્ક્રિપ્શન્સ, દવાનો ઇતિહાસ, WhatsApp ઓર્ડર્સ, રિફિલ રિમાઇન્ડર્સ, ડિલિવરી ભાગીદારો, બિલિંગ સૉફ્ટવેર, આરોગ્ય સૂચકાંકો, સ્ટાફ ઍક્સેસ, જૂના રેકોર્ડ્સ

ઉચ્ચ જોખમનો પ્રવાહ:
1. પ્રિસ્ક્રિપ્શન છબીઓ WhatsApp અથવા સ્ટાફ ફોન દ્વારા પ્રાપ્ત થઈ છે
2. અલગ સંમતિ વિના સંવેદનશીલ દવાઓની શ્રેણીઓ માટે રિફિલ અથવા પ્રમોશનલ સંદેશાઓ
3. શેર કરેલ ફાર્મસી સોફ્ટવેર લોગિન અને અસ્પષ્ટ ભૂતપૂર્વ સ્ટાફ એક્સેસ

DPDPA ટ્રિગર થયેલી જવાબદારીઓ: સૂચના (R3) | સુરક્ષા (R6) | ભંગ (R7) | બાળકો (R10-12) | અધિકારો (R14)

તાત્કાલિક પગલાં:
1. પ્રિસ્ક્રિપ્શન સંગ્રહ અને સંગ્રહને પ્રમાણિત કરો
2. પ્રિસ્ક્રિપ્શન ઈમેજોના WhatsApp અને સ્ટાફ-ફોન હેન્ડલિંગમાં ઘટાડો
3. દવા-ઇતિહાસ ડેટા માટે રીટેન્શન અને રિફિલ-મેસેજ નિયમો વ્યાખ્યાયિત કરો

સ્કેન: saralprivacy.com/મૂલ્યાંકન/ફાર્મસી - 10 પ્રશ્નો - ~3 મિનિટ

Fintech અને NBFC

પ્રાથમિક જોખમ થીમ: KYC, પ્રોફાઇલિંગ, DSAs, અને ક્રોસ-બોર્ડર એનાલિટિક્સ - જટિલ જટિલતા.

કોણ: NBFCs, ડિજિટલ ધિરાણકર્તા, ચુકવણી એપ્લિકેશન્સ, UPI/wallet/BNPL, સંગ્રહ વ્યવસાયો.

સામાન્ય વ્યક્તિગત ડેટા: KYC, PAN/Aadhaar, બેંક ડેટા, UPI, ક્રેડિટ બ્યુરો, પ્રોફાઇલિંગ, DSAs, સંગ્રહ એજન્ટો, ચુકવણી ભાગીદારો, જૂના રેકોર્ડ્સ

ઉચ્ચ જોખમનો પ્રવાહ:
1. KYC અને બ્યુરો ડેટા WhatsApp અથવા ફીલ્ડ એજન્ટો દ્વારા સંમતિ પુરાવા વિના એકત્રિત
2. મર્યાદિત ગ્રાહક-સામનો સમજૂતી સાથે સ્વયંસંચાલિત નિર્ણય
3. DSA અને કલેક્શન એજન્ટો ગ્રાહક યાદીમાં ડાઉનલોડ/નિકાસ ઍક્સેસ સાથે

DPDPA ટ્રિગર થયેલી જવાબદારીઓ: સૂચના (R3) | સંમતિ (Sec 6) | સુરક્ષા (R6) | ભંગ (R7) | SDF ઘડિયાળ (R13) | અધિકારો (R14) | RBI ક્ષેત્રના નિયમો

તાત્કાલિક પગલાં:
1. નકશો KYC, બેંક, બ્યુરો, UPI અને ચુકવણી ડેટા પ્રવાહ
2. ચકાસણી, પ્રોફાઇલિંગ અને શેરિંગ માટે ટાઇમસ્ટેમ્પ્ડ સંમતિને મજબૂત બનાવો
3. કંટ્રોલ DSA, કલેક્શન-એજન્ટ, કોલ સેન્ટર અને વેન્ડર એક્સેસ

સ્કેન: saralprivacy.com/મૂલ્યાંકન/fintech-nbfc - 10 પ્રશ્નો - ~3 મિનિટ

જિમ, સલુન્સ અને સ્પા

પ્રાથમિક જોખમ થીમ: આરોગ્ય-સંલગ્ન શરીર ડેટા, ફોટા અને WhatsApp ઝુંબેશ.

કોણ: જીમ, ફિટનેસ સ્ટુડિયો, સલુન્સ, સ્પા, મેમ્બરશિપ અને એપોઇન્ટમેન્ટ એપ સાથે વેલનેસ ચેઇન.

સામાન્ય વ્યક્તિગત ડેટા: સદસ્યતા ડેટા, આરોગ્ય વિગતો, શરીર માપન, ગ્રાહક ફોટા, છબીઓ પહેલાં-પછી, WhatsApp ઝુંબેશ, એપોઇન્ટમેન્ટ એપ્લિકેશન્સ, સ્ટાફ ફોન, જૂના રેકોર્ડ્સ

ઉચ્ચ જોખમનો પ્રવાહ:
1. અલગ સંમતિ વિના સોશિયલ મીડિયા અથવા જાહેરાતો માટે ઉપયોગમાં લેવાતા ગ્રાહકના ફોટા
2. સ્ટાફ ફોન અથવા WhatsApp પર રેકોર્ડ કરાયેલ આરોગ્ય અને શરીરનો ડેટા
3. શેર કરેલ CRM અથવા એપોઇન્ટમેન્ટ એપ લોગીન સમગ્ર ટ્રેનર્સ અને થેરાપિસ્ટ

DPDPA ટ્રિગર થયેલી જવાબદારીઓ: સૂચના (R3) | સંમતિ (Sec 6) | સુરક્ષા (R6) | ભંગ (R7) | અધિકારો (R14)

તાત્કાલિક પગલાં:
1. ફોર્મ, એપ્સ, WhatsApp, DMs અને સ્ટાફની નોંધો પર ગ્રાહક ડેટાનો નકશો બનાવો
2. ગ્રાહકના ફોટા, પહેલાં-પછીની છબીઓ અથવા પ્રશંસાપત્રોનો ઉપયોગ કરતા પહેલા સંમતિ મેળવો
3. આરોગ્ય, શરીર, પરામર્શ અને પરિવર્તન ડેટાની ઍક્સેસને પ્રતિબંધિત કરો

સ્કેન: saralprivacy.com/મૂલ્યાંકન/જિમ્સ-સલૂન્સ-સ્પાસ - 10 પ્રશ્નો - ~3 મિનિટ

વિભાગ 20: એક્ટ Section નકશો

સેકન્ડ. વિષય સાદો અર્થ સંસ્થાઓ માટે ક્રિયા
3 અરજી ભારતમાં ડિજિટલ વ્યક્તિગત ડેટા; ઑફલાઇન ડેટા પછીથી ડિજિટાઇઝ્ડ; વિદેશી પ્રક્રિયા ભારતમાં માલ/સેવાઓ ઓફર કરવા સાથે જોડાયેલી છે. ગ્રાહકો, કર્મચારીઓ, વિક્રેતાઓ, લીડ્સ, વેબસાઇટ/એપ વપરાશકર્તાઓ અને ભારત-સામનો સેવાઓનો નકશો બનાવો.
4 મેદાનો પ્રક્રિયા કાયદેસરના હેતુ માટે હોવી જોઈએ અને ક્યાં તો સંમતિ અથવા અમુક કાયદેસર ઉપયોગો. સંમતિ-આધારિત અથવા કાયદેસર-ઉપયોગ આધારિત તરીકે દરેક પ્રક્રિયા પ્રવૃત્તિને ટેગ કરો.
5 નોટિસ સૂચનાએ ડેટા પ્રિન્સિપાલને જણાવવું આવશ્યક છે કે કયા ડેટા પર પ્રક્રિયા કરવામાં આવે છે, હેતુ, અધિકારો, ઉપાડ અને ફરિયાદનો માર્ગ. એકલ સૂચનાઓનો ઉપયોગ કરો; લાંબી ટી એન્ડ સીમાં મુખ્ય સૂચના છુપાવશો નહીં.
6 સંમતિ સંમતિ મફત, ચોક્કસ, જાણકાર, બિનશરતી અને સ્પષ્ટ હકારાત્મક ક્રિયા હોવી જોઈએ; ઉપાડ સરળ હોવો જોઈએ. માર્કેટિંગ, પ્રોફાઇલિંગ, ફોટા અથવા રેફરલ્સ જેવા વૈકલ્પિક ઉપયોગો માટે અલગ સંમતિ.
7 કાયદેસર ઉપયોગો મર્યાદિત બિન-સંમતિ આધારો જેમ કે સ્પષ્ટ હેતુ માટે સ્વૈચ્છિક ડેટા, રાજ્ય કાર્યો, કાનૂની પાલન, કોર્ટના આદેશો, તબીબી કટોકટી, આપત્તિ/જાહેર હુકમ, રોજગાર સુરક્ષા. દરેક વ્યવસાયિક સગવડને કાયદેસર ઉપયોગ ન કહેશો.
8 DF જવાબદારીઓ ડેટા ફિડ્યુસિયરી કાયદેસર પ્રક્રિયા, સુરક્ષા, ઉલ્લંઘનની સૂચના, કાઢી નાખવા, ફરિયાદ, પ્રોસેસર નિયંત્રણ માટે જવાબદાર રહે છે. માલિક, રેકોર્ડ્સ, ઉલ્લંઘન પ્રક્રિયા, રીટેન્શન શેડ્યૂલ અને પ્રોસેસર કોન્ટ્રાક્ટ્સ બનાવો.
9 બાળકો ચકાસણીપાત્ર માતાપિતાની સંમતિ; બાળકો પર નિર્દેશિત કોઈ ટ્રેકિંગ, વર્તણૂકીય દેખરેખ અથવા લક્ષિત જાહેરાતો નહીં; કોઈ હાનિકારક પ્રક્રિયા નથી. બાળ-સામનો પ્રવાહનું વર્ગીકરણ કરો અને બાળકોને લક્ષિત જાહેરાતો બંધ કરો.
10 SDF સૂચિત નોંધપાત્ર ડેટા ફિડ્યુશિયર્સ માટે વધારાની જવાબદારીઓ. જો સ્કેલ/જોખમ/ક્ષેત્ર હોદ્દો બુદ્ધિગમ્ય બનાવે તો જ તૈયારી કરો.
11-14 અધિકારો પ્રવેશ, સુધારણા, પૂર્ણતા, અપડેટ, ભૂંસી નાખવું, ફરિયાદ, નામાંકન. ઓળખ તપાસો અને પ્રતિભાવ માલિકી સાથે વિનંતી પ્રક્રિયા બનાવો.
15 ડેટા પ્રિન્સિપાલની ફરજો કોઈ ઢોંગ, ખોટી ફરિયાદ, ભૌતિક માહિતીનું દમન અથવા સુધારણા/ભૂંસી નાખવા માટે વણચકાસાયેલ માહિતી. અધિકારોના કાર્યપ્રવાહમાં વાજબી-ઉપયોગની ભાષા પ્રકાશિત કરો.
16 સીમાપાર સરકાર સૂચિત દેશો/પ્રદેશોમાં ટ્રાન્સફરને પ્રતિબંધિત કરી શકે છે; સખત ક્ષેત્રીય કાયદા હજુ પણ લાગુ પડે છે. ક્રોસ બોર્ડર રજિસ્ટર જાળવો અને સૂચનાઓનું નિરીક્ષણ કરો.
17 મુક્તિ કાનૂની અધિકારો, અદાલતો, નિવારણ/તપાસ/પ્રોસિક્યુશન, મર્જર, ડિફોલ્ટ્સ, રાજ્ય સુરક્ષા/જાહેર હુકમ, સંશોધન/આંકડાઓ માટેની ચોક્કસ પ્રક્રિયાને મુક્તિ આપવામાં આવી શકે છે. છૂટને સંકુચિત રીતે લાગુ કરો અને કાનૂની આધારને દસ્તાવેજ કરો.
18-34 DPBI ડિજિટલ ડેટા પ્રોટેક્શન બોર્ડ, કાર્યવાહી, ઓર્ડર, મધ્યસ્થી, સ્વૈચ્છિક ઉપક્રમો, દંડ. પુરાવા રાખો કારણ કે અમલીકરણ ડિજિટલ અને દસ્તાવેજ-આગેવાની છે.
36-37 સરકારી સત્તાઓ સરકારી માહિતી વિનંતી સત્તાઓ; પુનરાવર્તિત દંડ અને બિન-અનુપાલન પછી ભલામણને અવરોધિત કરવી. કાનૂની નેતૃત્વને સરકારી નોટિસ મોકલો.
44 સુધારાઓ TDSAT ફ્રેમવર્ક, IT એક્ટ અને RTI એક્ટ Section 8(1)(j) માં સુધારો કરે છે. પેન્ડિંગ RTI/પ્રાઇવસી લિટીગેશનને ફર્મ જાહેર-ક્ષેત્રના માર્ગદર્શન પહેલાં ટ્રૅક કરો.

નિયમો અને સમયપત્રકનો નકશો

Rule વિષય Rule શું કહે છે આ નિયંત્રણ બનાવો
1-2 પ્રારંભ/વ્યાખ્યાઓ પ્રારંભ, વપરાશકર્તા ખાતું, તકનીકી-કાનૂની પગલાં અને ચકાસી શકાય તેવી સંમતિ વ્યાખ્યાયિત કરે છે. નીતિ અને ઉત્પાદન સ્પેક્સમાં નિયમ વ્યાખ્યાઓનો ઉપયોગ કરો.
3 નોટિસ સૂચના સ્વતંત્ર રીતે સમજી શકાય તેવી, સાદી, આઇટમવાળી હોવી જોઈએ અને ઉપાડ, અધિકારો અને બોર્ડની ફરિયાદ માટે લિંક્સ પ્રદાન કરવી જોઈએ. T&Cs થી અલગ સૂચના આપો અને તેને ભાષા-સુલભ રાખો.
4 + Sch. 1 સંમતિ મેનેજરો ભારતમાં સમાવિષ્ટ કંપની, ન્યૂનતમ INR 2 કરોડ નેટવર્થ, ઇન્ટરઓપરેબલ પ્લેટફોર્મ, સ્વતંત્રતા, ઓડિટેબિલિટી, કોઈ દુરુપયોગ નહીં. સંમતિ મેનેજર તરીકે ઓપરેટ/નોંધણી કરતી હોય અથવા એક સાથે સંકલન કરતી હોય તો જ સંબંધિત.
5 + Sch. 2 રાજ્ય પ્રક્રિયા સબસિડી, લાભ, સેવા, પ્રમાણપત્ર, લાઇસન્સ અથવા પરમિટ માટે રાજ્ય અથવા ઇન્સ્ટ્રુમેન્ટલિટી પ્રોસેસિંગ ડેટા માટેના ધોરણો. સરકાર સાથે જોડાયેલા પ્રોજેક્ટને Schedule 2 અનુપાલન સમીક્ષાની જરૂર છે.
6 સુરક્ષા સુરક્ષા એન્ક્રિપ્શન/અસ્પષ્ટતા/માસ્કિંગ/ટોકનાઇઝેશન, એક્સેસ કંટ્રોલ, લોગ્સ, મોનિટરિંગ, બેકઅપ, પ્રોસેસર કોન્ટ્રાક્ટ કલમો, સંસ્થાકીય પગલાં. ન્યૂનતમ સુરક્ષા આધારરેખા અને એક વર્ષનો લોગ રીટેન્શન બનાવો.
7 ભંગની સૂચના વિલંબ કર્યા વિના અસરગ્રસ્ત ડેટા પ્રિન્સિપાલોને સૂચિત કરો; વિલંબ કર્યા વિના બોર્ડને સૂચિત કરો; 72 કલાકની અંદર વિગતવાર બોર્ડ રિપોર્ટ. ઘટના ઘડિયાળ, તથ્યો લોગ, વપરાશકર્તા નોટિસ ટેમ્પલેટ અને બોર્ડ રિપોર્ટ ટેમ્પ્લેટ જાળવો.
8 + Sch. 3 ઇરેઝર/રીટેન્શન ચોક્કસ મોટા ઈ-કોમર્સ, સોશિયલ મીડિયા અને ઓનલાઈન ગેમિંગ એકમોએ નિર્દિષ્ટ નિષ્ક્રિયતા અવધિ પછી ભૂંસી નાખવી જોઈએ; 48-કલાકની ચેતવણી; ઓછામાં ઓછા એક વર્ષ માટે લોગ. રીટેન્શન શેડ્યૂલ વત્તા ઓટોમેટેડ ડિલીટ અને અપવાદ હેન્ડલિંગ.
9 સંપર્ક બિંદુ ડેટા પ્રિન્સિપલ પ્રશ્નો માટે DPO અથવા અધિકૃત વ્યક્તિનો સંપર્ક પ્રકાશિત કરો. વેબસાઇટ/એપ અને નોટિસમાં સંપર્ક મૂકો.
10 બાળકની સંમતિ હાલની વિશ્વસનીય વિગતો, સ્વૈચ્છિક ઓળખ/વયની વિગતો અથવા અધિકૃત એન્ટિટીના વર્ચ્યુઅલ ટોકનનો ઉપયોગ કરીને માતાપિતા/પુખ્ત વયની ચકાસણી કરો. બાળકના ડેટા માટે વય દરવાજો અને માતાપિતાની ચકાસણી ઉમેરો.
11 વિકલાંગ વ્યક્તિઓ જ્યાં જરૂરી હોય ત્યાં લાગુ વિકલાંગતા કાયદા હેઠળ કાયદેસર વાલીને ચકાસો. એવું ન માનો કે તમામ વિકલાંગતા માટે વાલીની સંમતિ જરૂરી છે.
12 + Sch. 4 બાળકોને મુક્તિ ક્લિનિકલ સંસ્થાઓ, માનસિક સ્વાસ્થ્ય સંસ્થાઓ, શૈક્ષણિક સંસ્થાઓ, બાળ સંભાળ, પરિવહન, ક્રિચ જેવા ઉલ્લેખિત વર્ગો સૂચિબદ્ધ હેતુઓ માટે પ્રક્રિયા કરી શકે છે. ફક્ત સૂચિબદ્ધ હેતુ અને વર્ગ માટે ઉપયોગ કરો; જાહેરાત અથવા પ્રોફાઇલિંગ માટે નહીં.
13 SDF જવાબદારીઓ વાર્ષિક DPIA અને ઓડિટ; બોર્ડને આપવામાં આવેલ નોંધપાત્ર અવલોકનો; અલ્ગોરિધમિક/ટૂલ્સ માટે યોગ્ય ખંત; ઉલ્લેખિત ડેટાનું શક્ય સ્થાનિકીકરણ. SDF રેડીનેસ પેક: DPO, DPIA, ઓડિટ, અલ્ગોરિધમિક જોખમ સમીક્ષા, સ્થાનિકીકરણ ઘડિયાળ.
14 અધિકારોની વિનંતીઓ ડેટા પ્રિન્સિપાલ અધિકારો અને નોમિનેશન વિનંતીઓ કેવી રીતે કરી શકે છે તે પ્રકાશિત કરો; મહત્તમ 90 દિવસમાં ફરિયાદનો જવાબ. અધિકારો એસઓપી, ઓળખ ચકાસણી, કતાર ટ્રેકિંગ અને બંધ પુરાવા.
15 ભારત બહાર ટ્રાન્સફર સ્થાનાંતરણોએ વિદેશી રાજ્ય અથવા નિયંત્રિત સંસ્થાઓને વ્યક્તિગત ડેટાની ઉપલબ્ધતા માટે કેન્દ્ર સરકાર નિર્દિષ્ટ કરી શકે તેવી જરૂરિયાતોને પૂર્ણ કરવી આવશ્યક છે. સરકારી ઍક્સેસ જોખમ માટે ક્રોસ-બોર્ડર રજિસ્ટર અને કરાર કલમો.
16 સંશોધન/આંકડા સંશોધન, આર્કાઇવિંગ અથવા આંકડાકીય પ્રક્રિયાને માત્ર ત્યારે જ મુક્તિ મળે છે જો ડેટા પ્રિન્સિપાલને લગતા ચોક્કસ નિર્ણયો માટે ઉપયોગમાં લેવામાં ન આવે અને ધોરણોને પૂર્ણ કરે. વિશ્લેષણ/સંશોધનને નિર્ણય લેવાથી અલગ કરો.
17-21 + Sch. 5-6 DPBI બોર્ડના અધ્યક્ષ/સભ્યો, પગાર, બેઠકો, ડિજિટલ ઓફિસ અને સ્ટાફ તરીકેની કામગીરી. ડિજિટલ ફાઇલિંગ માટે પુરાવા તૈયાર કરો.
22 અપીલ TDSAT ને ફી અને તકનીકી-કાનૂની પગલાં સાથે ડિજિટલી અપીલ કરો. અપીલની સમયરેખા અને રેકોર્ડને ટ્રૅક કરો.
23 + Sch. 7 સરકારી માહિતી સત્તાઓ સરકારને સૂચિબદ્ધ હેતુઓ માટે માહિતીની જરૂર પડી શકે છે અને જાહેરાતને પ્રતિબંધિત કરી શકે છે. સરકારી માહિતી વિનંતીઓ માટે કાનૂની સમીક્ષા વર્કફ્લો બનાવો.

વિભાગ 21: કોર્ટ કેસો અને લિટીગેશન ટ્રેકર

ચેતવણી: પેન્ડિંગ કેસો માત્ર જાગૃતિની વસ્તુઓ છે. 14 જૂન 2026 સુધીમાં કોઈપણ અદાલતે DPDPA પર સ્ટે આપ્યો નથી અથવા સ્ટ્રાઇક કરી નથી.

કેસ સ્થિતિ શા માટે વ્યવસાય વાચકે કાળજી લેવી જોઈએ એન્કરનો ઉપયોગ
જસ્ટિસ કે.એસ. પુટ્ટાસ્વામી વિ યુનિયન ઓફ ઈન્ડિયા, 2017 અંતિમ ગોપનીયતા એ મૂળભૂત અધિકાર છે; રાજ્ય ક્રિયા માટે પ્રમાણસરતા પરીક્ષણ માત્ર બંધારણીય ઘડતર
કે.એસ. પુટ્ટાસ્વામી Aadhaar ચુકાદો, 2018/2019 અંતિમ ID/KYC લઘુત્તમીકરણ અને પ્રમાણસરતા Aadhaar/PAN-ભારે ક્ષેત્રો માટે ઉદ્યોગ જોખમ સંદર્ભ
CPIO, સુપ્રીમ કોર્ટ વિરુદ્ધ સુભાષ ચંદ્ર અગ્રવાલ, 2019/2020 અંતિમ RTI માં ગોપનીયતા વિ જાહેર હિત; DPDPA સુધારેલ RTI Section 8(1)(j) RTI/ગોપનીયતા ઇન્ટરફેસ
વેંકટેશ નાયક વિ યુનિયન ઓફ ઈન્ડિયા, W.P.(C) નંબર 177/2026 બાકી છે પડકારો RTI સુધારો, રાજ્ય મુક્તિ, સર્વેલન્સ-સંબંધિત જોગવાઈઓ ક્ષિતિજ / કાનૂની ઘડિયાળ - એક્ટ રોકાયો નથી
રિપોર્ટર્સ કલેક્ટિવ ટ્રસ્ટ અને નીતિન સેઠી વિરુદ્ધ યુનિયન ઓફ ઈન્ડિયા બાકી/ટેગ કરેલ પ્રેસની સ્વતંત્રતા અને જાહેર હિતની રિપોર્ટિંગ મીડિયા અને જાહેર ક્ષેત્રની જાહેરાતો
ગીતા સેશુ/SFLC પિટિશન, W.P.(C) નંબર 275/2026 બાકી/ટેગ કરેલ જાહેર વિ ખાનગી ડેટા વ્યાખ્યાઓ અને સરકારી સત્તાઓ સરકારી ડેટા હેન્ડલિંગ ઘડિયાળ
અંજલિ ભારદ્વાજ/અમૃતા જોહરી અને NCPRI-સંબંધિત અરજીઓ, 2026 બાકી/ટેગ કરેલ Section 44(3) અને RTI-સ્રોત કરેલ વ્યક્તિગત ડેટાનું પુનરુત્થાન નાગરિક સમાજ અને સંશોધન ઉપયોગો
ચંદ્રેશ જૈન વિરુદ્ધ યુનિયન ઓફ ઈન્ડિયા, દિલ્હી હાઈકોર્ટ નોટિસ ફેબ્રુઆરી 2026 જારી બોર્ડ માળખું, રાજ્ય મુક્તિ, અવરોધિત સત્તાઓ સંસ્થાકીય ડિઝાઇન ઘડિયાળ

વિભાગ 22: ટ્રૅક કરવા માટે વર્તમાન ઓપન આઇટમ્સ

માસિક શાસન સમીક્ષાઓમાં આ ટ્રેકરનો ઉપયોગ કરો. દરેક પંક્તિને લેબલ કરો: અમલમાં, સૂચિત તબક્કો, સૂચિત અથવા બાકી મુકદ્દમા.

તારીખ સ્ત્રોત જે અંગે ચર્ચા કરવામાં આવી હતી વ્યાપાર અસર સારવાર
13 નવેમ્બર 2025 MeitY G.S.R. 846(E) નિયમો સૂચિત તબક્કાવાર ઘડિયાળ શરૂ થાય છે તમામ સમયરેખા માટે એન્કર તારીખ
14 નવેમ્બર 2025 PIB નિયમો પ્રેસ રિલીઝ જાહેર પુષ્ટિ સ્ટેટસ સ્નેપશોટમાં ટાંકો
17 નવેમ્બર 2025 MeitY (અહેવાલ કરેલ) મોટી/વૈશ્વિક-સુસંગત કંપનીઓ માટે ઝડપી અમલીકરણ રનવે ટૂંકાવી શકે છે ક્ષિતિજ ચેતવણી
23 જાન્યુઆરી 2026 MeitY સ્ટેકહોલ્ડર મીટિંગ દરખાસ્ત: 18 થી 12 મહિનાનું પાલન; SDF યાદી ફાસ્ટ-ટ્રેક; સુધારા પછીના 90 દિવસમાં Rule 8(3) ડેડલાઈન 13 નવેમ્બર 2026 સુધી ખસેડી શકે છે સૂચિત, સૂચિત નથી તરીકે ચિહ્નિત કરો
ફેબ્રુઆરી 2026 MeitY ઇન્ડસ્ટ્રી ફીડબેક વિન્ડો (રિપોર્ટેડ ડેડલાઇન 4 ફેબ્રુઆરી 2026) પરિણામ બાકી છે ગેઝેટ પ્રકાશિત થાય ત્યારે અપડેટ કરો
જૂન 2026 MeitY સચિવ (ET Telecom) સમયરેખા સંકોચન પર ઉદ્યોગના ઇનપુટની રાહ જોઈ રહ્યું છે હજુ સુધી કોઈ અંતિમ કોલ નથી કાયદા તરીકે ઝડપી તારીખ જણાવશો નહીં
2026 કર્ણાટક (અહેવાલ) અંડર-16 માટે સોશિયલ મીડિયા પર પ્રતિબંધનો પ્રસ્તાવ રાષ્ટ્રીય વિ રાજ્ય સક્ષમતા અસ્પષ્ટ નીતિ ચર્ચા તરીકે નોંધ, DPDPA ટેક્સ્ટ નહીં
બાકી છે સુપ્રીમ કોર્ટ / દિલ્હી HC બંધારણીયતા, RTI ઇન્ટરફેસ, બોર્ડ માળખું મુકદ્દમાનું જોખમ કોર્ટ ટેબલ; કોઈ "અધિનિયમ ત્રાટકી" ભાષા
ખોલો MeitY / DPBI ટ્રાન્સફર માટે પ્રતિબંધિત દેશની સૂચિ ક્રોસ-બોર્ડર કોન્ટ્રાક્ટ અને મેપિંગ નિર્ણયો સૂચનાઓનું નિરીક્ષણ કરો
ખોલો MeitY / DPBI SDF હોદ્દો સૂચિ અને સ્થાનિકીકરણ શ્રેણીઓ SDF પ્રોગ્રામનો અવકાશ શરતી રીતે તૈયાર કરો
ખોલો DPBI સંમતિ મેનેજર ઓપરેશનલ ફ્રેમવર્ક ઉત્પાદન અને એકીકરણ રોડમેપ નવેમ્બર 2026ના તબક્કાથી જુઓ
ખોલો DPBI વ્યવહારમાં બોર્ડ પોર્ટલ ફાઇલિંગ પ્રક્રિયાઓ ઉલ્લંઘન અને કાર્યવાહી માટે પુરાવા ફોર્મેટ પાયલોટ જ્યારે પોર્ટલ લાઇવ

શિસ્ત વિકસિત કરો (v6 થી): 30-મિનિટના માસિક સ્કેન માલિકને સોંપો; આંતરિક "આ ક્વાર્ટરમાં શું બદલાયું" મેમો પ્રકાશિત કરો; વર્ષમાં બે વાર ભંગ ટેબલટૉપને તાજું કરો; મુખ્ય ઉત્પાદન અથવા વિક્રેતા ફેરફારો પછી ડેટા ઇન્વેન્ટરી ફરીથી ચલાવો.

વિભાગ 23: 90-દિવસ DPDPA એક્શન પ્લાન

આ પ્લાન હજુ સુધી કોઈ સમર્પિત ગોપનીયતા ટીમ સાથે મિડ-માર્કેટ ઓપરેટર ધારે છે. તમારા org ચાર્ટમાં માલિકોને સમાયોજિત કરો. ધ્યેય: બોર્ડ-રેડી પુરાવા પેક v1 સાથે 90મા દિવસે બહાર નીકળો, સંપૂર્ણતા નહીં.

Diagram: see figure below.

ઇન્ફોગ્રાફિક 8: 90-Day Roadmap

આકૃતિ: ઇન્ફોગ્રાફિક 8: 90-દિવસ રોડમેપ

તબક્કો અઠવાડિયા ફોકસ કરો આઉટપુટ માલિક
શોધો 1-2 માલિકની નિમણૂક કરો; સ્કોપ સિસ્ટમ્સ; ડેટા મેપ શરૂ કરો નામ DPDPA માલિક; પ્રક્રિયા પ્રવૃત્તિ રજીસ્ટર v0.1 CEO + ops લીડ
પરવાનગી 3-4 નોટિસને ઠીક કરો; ટેગ કાયદેસર આધાર; અલગ માર્કેટિંગ સંમતિ અપડેટ કરેલી સૂચનાઓ; વૈકલ્પિક ઉપયોગો માટે સંમતિ પ્રવાહ કાનૂની + ઉત્પાદન
નિયંત્રણ 5-8 વિક્રેતાઓ, અધિકારો ઇનબૉક્સ, રીટેન્શન, ઍક્સેસ નિયંત્રણો પ્રોસેસર સમીક્ષા લોગ; અધિકાર SOP; રીટેન્શન શેડ્યૂલ IT + પ્રાપ્તિ + HR
સાબિત કરો 9-12 ભંગ કવાયત; શાસન સમીક્ષા; એક્ઝિક્યુટિવ સાઇન-ઓફ ટેબલટોપનો ભંગ રેકોર્ડ; બોર્ડ સારાંશ; પુરાવા પેક v1 સુરક્ષા + CEO

અઠવાડિયા-દર-અઠવાડિયે વિગત

અઠવાડિયા 1-2 (ડિસ્કવર): જવાબદાર માલિકનું નામ આપો. સૂચિ સિસ્ટમ્સ: CRM, HRMS, વેબસાઇટ, WhatsApp વ્યવસાય, ક્લાઉડ ડ્રાઇવ્સ, ચુકવણી સાધનો. ટોચના 10 પ્રવાહો સાથે ડ્રાફ્ટ પ્રોસેસિંગ રજિસ્ટર. Section 19 થી બે ઉદ્યોગ-વિશિષ્ટ જોખમોને ફ્લેગ કરો.

અઠવાડિયા 3-4 (પરવાનગી): વેબસાઇટ, એપ્લિકેશન અને ટોચના ઑફલાઇન ફોર્મ માટે એકલ સૂચનાઓ પ્રકાશિત કરો. વિભાજિત માર્કેટિંગ સંમતિ. દસ્તાવેજ Section 7 નો ઉપયોગ પગારપત્રક અને કાનૂની અનુપાલન માટે જ થાય છે જ્યાં સલાહકાર સંમત થાય છે. સંમતિ/વર્ઝન લોગ શરૂ કરો.

અઠવાડિયા 5-6 (નિયંત્રણ - વિક્રેતાઓ અને અધિકારો): સંપૂર્ણ પ્રોસેસર રજિસ્ટર. ટોચના પાંચ વિક્રેતા કરારને અપગ્રેડ કરો. Rights@grievance inbox ખોલો. અધિકારોની સૂચનાઓ પ્રકાશિત કરો. 60-દિવસની આંતરિક SLA વ્યાખ્યાયિત કરો.

અઠવાડિયા 7-8 (નિયંત્રણ - રીટેન્શન અને એક્સેસ): રીટેન્શન શેડ્યૂલને મંજૂરી આપો. ભૂતપૂર્વ કર્મચારી અને વિક્રેતા ઍક્સેસ દૂર કરો. શેર કરેલ ફોલ્ડર્સ અને એડમિન પેનલ્સ પર એક્સેસ રિવ્યૂ ચલાવો.

અઠવાડિયા 9-10 (સાબિત કરો): ટેબલટૉપ ઉલ્લંઘન દૃશ્ય (WhatsApp ખોટી રીતે મોકલો અથવા વિક્રેતા લીક). 72-કલાકના રિપોર્ટ ડ્રાફ્ટનો સમય. કવાયત માટે પણ ઘટના રેકોર્ડ ફાઇલ કરો.

અઠવાડિયા 11-12 (સાબિત): રેડીનેસ સ્કોરકાર્ડ સામે નેતૃત્વ સમીક્ષા. એક-પૃષ્ઠ બોર્ડ સારાંશ: પાંચ જોખમો, પાંચ પુરાવા વસ્તુઓ, ઓપન લો વોચલિસ્ટ. 90-દિવસના પ્લાન વેવ 2 પર એક્ઝિક્યુટિવ સાઇન-ઓફ.

90મા દિવસે સફળતાનો માપદંડ

તમે ખચકાટ વિના આનો હા જવાબ આપવા સક્ષમ હોવા જોઈએ:

જો કોઈ જવાબ ના હોય તો, તૈયારી જાહેર કરવાને બદલે તે અંતરને આગામી 90-દિવસના વેવમાં લઈ જાઓ. DPDPA પ્રોગ્રામ્સ કમ્પાઉન્ડ - દરેક ક્વાર્ટર પુરાવાની ઊંડાઈ ઉમેરે છે, નવો પ્રોજેક્ટ નહીં.

વિભાગ 24: ડિસ્ક્લેમર અને SaralPrivacy પ્રોડક્ટ બ્રિજ

અસ્વીકરણ

આ વ્હાઇટપેપર SaralPrivacy દ્વારા **માહિતી અને શૈક્ષણિક હેતુઓ માટે પ્રકાશિત કરવામાં આવ્યું છે. તે કાનૂની સલાહ નથી, ભારતીય કાયદામાં લાયકાત ધરાવતા સલાહકારનો વિકલ્પ નથી, અને પાલન અથવા નિયમનકારી પરિણામની બાંયધરી નથી. સ્થિતિ તારીખ (14 જૂન 2026) પછી કાયદો, નિયમો, સૂચનાઓ અને કોર્ટના નિર્ણયો બદલાઈ શકે છે. ઓપરેશનલ નિર્ણયો પર આધાર રાખતા પહેલા તમારા સલાહકારો અને સત્તાવાર ગેઝેટ સ્ત્રોતો સાથે તમામ સમયમર્યાદા, મુક્તિ અને ક્ષેત્રીય જવાબદારીઓ ચકાસો. SaralPrivacy ફક્ત આ દસ્તાવેજના આધારે લેવામાં આવેલી ક્રિયાઓ માટે કોઈ જવાબદારી સ્વીકારતું નથી.

SaralPrivacy ઉત્પાદન પુલ (સંયમિત)

SaralPrivacy ભારતીય ઓપરેટરોને શોધવામાં મદદ કરે છે કે તેઓ ખરેખર કયા વ્યક્તિગત ડેટા પર પ્રક્રિયા કરે છે અને ઊંડા કાનૂની ખર્ચ પહેલાં તૈયારતાનું મૂલ્યાંકન કરે છે. આ વ્હાઇટપેપર નકશો છે; સાધનો હોકાયંત્ર તપાસ છે.

પગલું રૂટ તે શું કરે છે
1. શોધો saralprivacy.com/discovery સંપૂર્ણ અનુપાલન કાર્ય બનાવતા પહેલા તમારો વ્યવસાય સમગ્ર ચેનલોમાં કયા વ્યક્તિગત-ડેટા પ્રકારો એકત્રિત કરે છે તેનો નકશો બનાવો
2. આકારણી saralprivacy.com/assessment સામાન્ય 10-પ્રશ્ન તત્પરતા સ્કેન (~3 મિનિટ)
3. સેક્ટર સ્કેન Section 19 રૂટ ઉદ્યોગ-વિશિષ્ટ 10-પ્રશ્નનો સ્નેપશોટ; પ્રારંભિક પરિણામ પછી ઊંડા નિદાન

આ પાથનો ઉપયોગ કેવી રીતે કરવો: વિભાગો 3-5 અને તમારા ઉદ્યોગનો સ્નેપશોટ વાંચો. જો તમે તમારા ડેટા પ્રકારોને સાદા અંગ્રેજીમાં સૂચિબદ્ધ કરી શકતા નથી, તો ડિસ્કવરી ચલાવો. ગેપને પ્રાથમિકતા આપવા માટે સામાન્ય અથવા સેક્ટર એસેસમેન્ટ ચલાવો. સલાહકાર અને તમારા 90-દિવસના પ્લાન માલિકને આઉટપુટ લો - બીજી રીતે નહીં.

કોઈપણ ઉત્પાદન વિશેષતા નોટિસ, સુરક્ષા, ઉલ્લંઘન પ્રતિભાવ અથવા કાયદા દ્વારા જરૂરી અધિકારોની કામગીરીને બદલે છે. ટૂલ્સ ક્યાંથી શરૂ કરવું સંકુચિત છે જેથી ટીમો વાસ્તવિક પ્રવાહો પર કાનૂની અને એન્જિનિયરિંગ સમય પસાર કરે છે, સામાન્ય ચિંતા નહીં.

પ્રથમ વખતના વાચક માટે સૂચવેલ ક્રમ:

  1. CEO અથવા સ્થાપક: વિભાગો 3, 4, 5, અને 19 (તમારો ઉદ્યોગ) - 20 મિનિટ.
  2. પ્રોગ્રામ માલિક: વિભાગો 7-18 વત્તા Section 23 - એક કાર્યકારી સત્ર.
  3. કાનૂની સલાહકાર: વિભાગો 8, 9, 20-22 અને શબ્દકોષ - માન્યતા પાસ.
  4. બોર્ડ પેકેટ: Section 4 ઇન્ફોગ્રાફિક, Section 9 ઓબ્લિગેશન ટેબલ, Section 23 gantt, Section 18 તરફથી રેડીનેસ સ્કોરકાર્ડ.

જ્યારે ગેઝેટ સૂચનાઓ તારીખો બદલશે અથવા જ્યારે SaralPrivacy નવા ઉદ્યોગ સ્કેન સંસ્કરણો પ્રકાશિત કરશે ત્યારે આ વ્હાઇટપેપર અપડેટ કરવામાં આવશે. બાહ્ય રીતે સમયમર્યાદા ટાંકતા પહેલા કવર પર સ્થિતિ તારીખ તપાસો.

પ્રકાશક નોંધ: SaralPrivacy ભારતીય ઓપરેટરો માટે શોધ અને મૂલ્યાંકન સાધનો બનાવે છે. આ દસ્તાવેજ OPERATE v6.1 અને જૂન 2026ના કાનૂની સ્ટેટસ સ્નેપશોટ સાથે સંરેખિત જાહેર સંદર્ભ આવૃત્તિ છે. SaralPrivacy સપોર્ટ ચેનલો દ્વારા પ્રતિસાદ અને સુધારાઓનું સ્વાગત છે.

શબ્દકોશ (25 શબ્દો)

મુદત સાદા અંગ્રેજી
ડેટા ફિડ્યુસિયરી વ્યક્તિગત ડેટા પર શા માટે અને કેવી રીતે પ્રક્રિયા કરવામાં આવે છે તે સંસ્થા - સામાન્ય રીતે તમારી કંપની.
ડેટા પ્રિન્સિપાલ જે વ્યક્તિના ડેટા પર પ્રક્રિયા કરવામાં આવે છે - ગ્રાહક, કર્મચારી, વિદ્યાર્થી, દર્દી વગેરે.
ડેટા પ્રોસેસર એક વિક્રેતા જે તમારી સૂચનાઓ પર વ્યક્તિગત ડેટા પર પ્રક્રિયા કરે છે - ક્લાઉડ હોસ્ટ, પેરોલ પ્રદાતા, ATS.
વ્યક્તિગત ડેટા ઓળખી શકાય તેવી વ્યક્તિ વિશેનો કોઈપણ ડેટા - નામ, ફોન, PAN, આરોગ્ય રેકોર્ડ, ફોટો.
પ્રક્રિયા કરી રહ્યું છે ડેટા સાથે કંઈપણ કરવામાં આવે છે: એકત્રિત કરો, સંગ્રહ કરો, ઉપયોગ કરો, શેર કરો, વિશ્લેષણ કરો, કાઢી નાખો.
સંમતિ સ્પષ્ટ, હકારાત્મક ક્રિયા સાથે મુક્તપણે આપવામાં આવેલી ચોક્કસ પરવાનગી; પાછું ખેંચવું સરળ હોવું જોઈએ.
કાયદેસર ઉપયોગો સંમતિ વિના પ્રક્રિયા કરવાની મંજૂરી આપતા સાંકડા Section 7 આધારો - સામાન્ય વ્યવસાય મુક્તિ નથી.
નોટિસ ડેટા, હેતુ, અધિકારો અને ફરિયાદો વિશે એકત્ર કરતી વખતે સાદી ભાષામાં સમજૂતી.
નોંધપાત્ર ડેટા ફિડ્યુસિયરી (SDF) વધારાની ફરજો (DPIA, ઓડિટ, વગેરે) સાથે સરકાર દ્વારા સૂચિત મોટા/ઉચ્ચ-અસરવાળા વિશ્વાસુઓ.
સંમતિ મેનેજર રજિસ્ટર્ડ મધ્યસ્થી લોકોને સેવાઓમાં સંમતિ આપવામાં, મેનેજ કરવા અને પાછી ખેંચવામાં મદદ કરે છે.
KEP32 ડિજિટલ ડેટા પ્રોટેક્શન બોર્ડ ઓફ ઈન્ડિયા - DPDPA અમલીકરણ માટેનું નિયમનકાર.
ફરિયાદ ડેટા પ્રિન્સિપાલ દ્વારા ઔપચારિક ફરિયાદ કે જે તમારે મહત્તમ 90 દિવસની અંદર સંબોધિત કરવી આવશ્યક છે.
નોમિનેશન મૃત્યુ/અક્ષમતા પછી તેમના વતી અધિકારોનો ઉપયોગ કરવા માટે કોઈને નામ આપવાનો ડેટા પ્રિન્સિપાલનો અધિકાર.
ભંગ વ્યક્તિગત ડેટાને ઉજાગર કરતી સુરક્ષા ઘટના - વપરાશકર્તા અને બોર્ડ સૂચના ફરજોને ટ્રિગર કરે છે.
72-કલાકનો અહેવાલ બોર્ડ સૂચના (Rule 7) ના 72 કલાકની અંદર DPBI ને વિગતવાર ઉલ્લંઘનનો અહેવાલ.
વાજબી સુરક્ષા સલામતી એન્ક્રિપ્શન, એક્સેસ કંટ્રોલ, લોગ્સ, બેકઅપ્સ, મોનિટરિંગ - Section 8(5) બેઝલાઇન.
ક્રોસ-બોર્ડર ટ્રાન્સફર ભારતની બહાર વ્યક્તિગત ડેટા મોકલવો અથવા ઍક્સેસ કરવો - ભવિષ્યના પ્રતિબંધોને આધીન.
__કીપ22__15 શરતો વિદેશી રાજ્યો અથવા નિયંત્રિત સંસ્થાઓમાં સ્થાનાંતરણ માટે સરકાર દ્વારા નિર્દિષ્ટ જરૂરિયાતો.
પ્રક્રિયા રજીસ્ટર પ્રક્રિયા તમે કયા ડેટા પર પ્રક્રિયા કરો છો, શા માટે, ક્યાં અને કેટલા સમય માટે તમારી ઇન્વેન્ટરી.
હેતુ મર્યાદા ડેટાનો ઉપયોગ ફક્ત તે હેતુ માટે જ કરવો જે તમે તેને એકત્રિત કરતી વખતે જણાવ્યું હતું.
ડેટા મિનિમાઇઝેશન જણાવેલ હેતુ માટે તમને જે જોઈએ તે જ એકત્રિત કરવું.
રીટેન્શન શેડ્યૂલ કેટલો સમય ડેટા રાખવામાં આવે છે અને ક્યારે કાઢી નાખવામાં આવે છે તેના દસ્તાવેજી નિયમો.
ચકાસણી યોગ્ય સંમતિ (બાળકો) માતા-પિતા/વાલીની સંમતિ કે જે Rule 10 પદ્ધતિઓ હેઠળ ચકાસી શકાય છે.
ટેક્નો-કાનૂની પગલાં ટેક્નોલોજી અને કાનૂની પ્રક્રિયાને સંયોજિત કરતી બોર્ડ/ડિજિટલ અનુપાલન આવશ્યકતાઓ.
તબક્કાવાર શરૂઆત અલગ-અલગ અધિનિયમ/નિયમોની કલમો અલગ-અલગ ગેઝેટ તારીખો પર લાગુ થઈ શકે છે.

સ્રોત નોંધણી

ID સ્ત્રોત URL
S1 ડિજિટલ પર્સનલ ડેટા પ્રોટેક્શન એક્ટ, 2023, 2023 નો એક્ટ નંબર 22, MeitY/ગેઝેટ. https://www.meity.gov.in/static/uploads/2024/02/Digital-Personal-Data-Protection-Act-2023.pdf
S2 ડિજિટલ પર્સનલ ડેટા પ્રોટેક્શન રૂલ્સ, 2025, G.S.R. 846(E), ગેઝેટ તારીખ 13 નવેમ્બર 2025. https://www.meity.gov.in/static/uploads/2025/11/53450e6e5dc0bfa85ebd78686cadad39.pdf
S3 DPDP એક્ટ, G.S.R. 843(E), 13 નવેમ્બર 2025 ના ગેઝેટ માટે અમલીકરણ સમયરેખા. https://www.meity.gov.in/static/uploads/2025/11/c56ceae6c383460ca69577428d36828b.pdf
S4 ભારતના ડેટા પ્રોટેક્શન બોર્ડની સ્થાપના, G.S.R. 844(E), ગેઝેટ તારીખ 13 નવેમ્બર 2025. https://www.meity.gov.in/static/uploads/2025/11/cc217843dc3bcb37b2b05bcc3b4e031f.pdf
S5 PIB રિલીઝ: સરકારે DPDP નિયમો, 14 નવેમ્બર 2025 ના રોજ સૂચિત કર્યા. https://www.pib.gov.in/PressReleaseIframePage.aspx?PRID=2190014
S6 સુપ્રીમ કોર્ટના નિરીક્ષક: DPDPAની બંધારણીયતા, વેંકટેશ નાયક વિ યુનિયન ઓફ ઇન્ડિયા. https://www.scobserver.in/cases/constitutionality-of-the-digital-personal-data-protection-act-2023/amp/
S7 મની કંટ્રોલ: સુપ્રીમ કોર્ટે 19 ફેબ્રુઆરી 2026ના રોજ મોટી બેંચને RTI સુધારા પડકારનો ઉલ્લેખ કર્યો. https://www.moneycontrol.com/news/india/supreme-court-refers-data-protection-law-amendment-of-rti-act-challenge-to-larger-bench-no-question-of-stay-13830233.html
S8 મીડિયાનામા: DPDP એક્ટ પડકારમાં સુપ્રીમ કોર્ટની નોટિસ, 13 માર્ચ 2026. https://www.medianama.com/2026/03/223-supreme-court-dpdp-act-challenge/
S9 લૉબીટ: DPDP રાજ્ય મુક્તિ અને અવરોધિત સત્તાઓ પર દિલ્હી HC નોટિસ, 19 ફેબ્રુઆરી 2026. https://lawbeat.in/news-updates/delhi-hc-issues-notice-on-plea-against-state-exemptions-blocking-powers-under-dpdp-act-1566615

ભારતનું DPDPA રેડીનેસ વ્હાઇટપેપર 2026-2027 v6.1 - SaralPrivacy - 14 જૂન 2026 - OPERATE મોડેલ - માહિતીપ્રદ માળખું, કાનૂની સલાહ નહીં.

ભારતનું DPDPA તૈયારી વ્હાઇટપેપર 2026-2027 v6.1 - SaralPrivacy - 14 જૂન 2026 - OPERATE model - Informational structure, not legal advice.

તમારા અંતરાલ જાણો. મહત્વનું ઠીક કરો.

મફત 3-મિનિટ ગોપનીયતા તૈયારી સ્કેનથી શરૂ કરો — પછી વિભાગ 19 માંથી ઉદ્યોગ સ્નેપશોટ લો.

મફત મૂલ્યાંકન શરૂ કરો →