भारत का DPDPA तैयारी श्वेतपत्र 2026-2027

अनुभाग 1: आवरण

भारत का डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम अब अब किसी शेल्फ पर रखा भविष्य का कानून नहीं है। नियम अधिसूचित हो चुके हैं, Data Protection Board of India (DPBI) का गठन हो रहा है, और परिचालन अनुपालन की तिथियाँ 2026 और 2027 के कैलेंडर पर हैं। यह श्वेतपत्र उस कानूनी मशीनरी को ऐसे निर्णयों में बदलता है जिन पर संस्थापक, बोर्ड और ऑपरेटर इसी तिमाही में कार्रवाई कर सकते हैं।

यहाँ आपको क्या मिलेगा:

अधिनियम क्या माँगता है और क्या अभी भी खुला कानून है — इसका सरल हिंदी/अंग्रेज़ी नक्शा
SaralPrivacy OPERATE v6.1 ढाँचा: सात व्यावसायिक क्षमताएँ, सात कानूनी अध्याय नहीं
कार्यान्वयन किट, उद्योग जोखिम स्नैपशॉट, और 90-दिवसीय कार्य योजना
अधिनियम और नियमों की तालिकाओं, केस वॉचलिस्ट, शब्दकोश और स्रोतों के साथ कानूनी परिशिष्ट

कानूनी स्थिति — एक पंक्ति (14 जून 2026): Sec 3-17 के तहत मुख्य परिचालन कर्तव्य और अधिकांश Rules 13 मई 2027 को प्रभावी होंगे, जब तक राजपत्र संशोधन समयसीमा को तेज़ न कर दें; Consent Manager के कर्तव्य 13 नवंबर 2026 से शुरू होते हैं। किसी भी छोटी समयसीमा को अधिसूचित होने तक प्रस्तावित मानें।

अनुभाग 2: यह श्वेतपत्र किसके लिए है

यह किसके लिए है

भारतीय व्यवसायों के संस्थापक और ऑपरेटर जो ग्राहक, कर्मचारी या विक्रेता का डेटा डिजिटल रूप से एकत्र करते हैं
अनुपालन प्रमुख, CFO, HR प्रमुख, और प्रोडक्ट मैनेजर जिन्हें कानून की किताब नहीं, सरल मार्गदर्शन चाहिए
सलाहकार (CA, सलाहकार, कानूनी ऑप्स) जो SMEs को समयसीमा से पहले DPDPA-तैयार करने में मदद करते हैं
अंतरराष्ट्रीय टीमें जो भारतीय उपयोगकर्ताओं की सेवा करती हैं और GDPR की कॉपी-पेस्ट नहीं, भारत-विशिष्ट यांत्रिकी चाहती हैं
बोर्ड सदस्य और CXO जिन्हें बजट और स्वामित्व मंज़ूर करने से पहले एक-पृष्ठ जोखिम दृश्य चाहिए

यह किसके लिए नहीं है

वकील जो खंड-दर-खंड टिप्पणी चाहते हैं (इसके बजाय अनुभाग 20-22 और शब्दकोश का उपयोग करें)
संगठन जो परिचालन परिवर्तन के बिना एक-पृष्ठ चेकबॉक्स चाहते हैं
पाठक जो अभी अधिसूचित नहीं हुए नियमों पर निश्चितता चाहते हैं (SDF सूची, प्रतिबंधित देश, Board पोर्टल विवरण)

अनुभाग 19 में समर्पित स्नैपशॉट वाले क्षेत्र

CA फर्म, भर्ती एजेंसियाँ, प्रशिक्षण संस्थान, D2C ब्रांड, क्लिनिक और डायग्नोस्टिक लैब, स्कूल और कॉलेज, लॉ फर्म, रियल एस्टेट, होटल और यात्रा, फार्मेसी, fintech और NBFC, जिम, सैलून और स्पा।

अनुभाग 3: कार्यकारी सारांश

अपने अंतराल जानें। जो मायने रखता है उसे ठीक करें। विश्वास दिखाएँ।

भारत का DPDPA व्यवसायों के व्यक्तिगत डेटा के व्यवहार को पहले संग्रह से उल्लंघन प्रतिक्रिया तक बदल देता है। अधिनियम डेटा उपयोग पर प्रतिबंध नहीं लगाता। यह वैध उद्देश्य, स्पष्ट सूचना, बचाव योग्य सहमति या संकीर्ण वैध उपयोग, उचित सुरक्षा, समय पर उल्लंघन प्रतिक्रिया, कार्यशील अधिकार चैनल, और प्रोसेसर नियंत्रण माँगता है — साथ ही प्रमाण कि प्रत्येक नियंत्रण मौजूद है। अधिकांश भारतीय ऑपरेटरों के लिए बदलाव अनौपचारिक आदतों (WhatsApp इनटेक, साझा फ़ोल्डर, बंडल सहमति, अनिश्चितकालीन प्रतिधारण) से दस्तावेज़ित, स्वामित्व वाले कार्यक्रमों की ओर है जो नियामक या एंटरप्राइज़ ग्राहक के "दिखाओ" पूछने पर टिके रहें।

CEO को अभी क्यों परवाह करनी चाहिए। तीन घड़ियाँ चल रही हैं: Board सक्रिय है; Consent Manager बुनियादी ढाँचा नवंबर 2026 से वास्तविक होगा; परिचालन अनुपालन 13 मई 2027 के लिए निर्धारित है लेकिन MeitY रनवे छोटा करे तो तेज़ हो सकता है। जुर्माना Rs 250 करोड़ तक पहुँचता है, लेकिन निकट-अवधि जोखिम विश्वास, खरीद, और मुकदमeb की शक्ल है — साझेदार और ग्राहक पहले से डेटा मैप और उल्लंघन प्लेबुक माँगते हैं। अंतिम राजपत्र तिथि तक इंतज़ार करने का मतलब दबाव में पुनर्निर्माण है।

इस तिमाही शुरू करने योग्य पाँच बातें:

DPDPA तैयारी के लिए एक जवाबदेह स्वामी नामित करें (बिना चालक की समिति नहीं)।
प्रसंस्करण गतिविधि रजिस्टर बनाएँ — कौन सा डेटा, क्यों, कहाँ, कौन एक्सेस करता है, कितने समय तक रहता है।
प्रमुख संग्रह बिंदुओं पर स्वतंत्र सूचनाएँ ठीक करें; वैकल्पिक मार्केटिंग सहमति अलग रखें।
प्रोसेसर अनुबंध अपग्रेड करें और cross-border प्रवाह मैप करें।
उल्लंघन टेबलटॉप चलाएँ और 90-दिवसीय SLA ट्रैकर के साथ अधिकार/शिकायत इनबॉक्स खोलें।

क्या खुला कानून है। प्रतिबंधित-देश सूचियाँ, Significant Data Fiduciary (SDF) पदनाम, निर्दिष्ट स्थानीयकरण श्रेणियाँ, Consent Manager परिचालन विवरण, और समयसीमा संपीड़न राजपत्र पुष्टि तक वॉच आइटम हैं। यह श्वेतपत्र प्रत्येक आइटम को प्रभाव में, अधिसूचित चरण, प्रस्तावित, या लंबित मुकदमeb के रूप में लेबल करता है — कभी मिलाता नहीं।

इस दस्तावेज़ का बाकी हिस्सा कैसे पढ़ें। अनुभाग 5-9 कानूनी आधार देते हैं। अनुभाग 10-17 OPERATE v6.1 अध्याय-दर-अध्याय चलते हैं। अनुभाग 18 किट देता है; अनुभाग 19 उद्योग के अनुसार जोखिम कहाँ केंद्रित है दिखाता है। अनुभाग 20-22 कानूनी परिशिष्ट सामग्री हैं। अनुभाग 23 आपकी 90-दिवसीय शुरुआती योजना है। अनुभाग 24 दायरा और SaralPrivacy उपकरण कैसे फिट होते हैं बताता है — वकील की जगह नहीं लेते।

नेतृत्व के लिए निष्कर्ष: DPDPA तैयारी एक परिचालन क्षमता है — इन्वेंटरी, अनुमति, प्रमाण, अधिकार, शासन, विक्रेता, और घटना प्रतिक्रिया — नीति PDF नहीं। 2026 में प्रमाण बनाने वाले संगठन साझेदारी की बातचीत, शिकायतें, और नियामक प्रश्नों का स्पष्ट स्थिति से सामना करेंगे। अंतिम हेडलाइन तिथि का इंतज़ार करने वाले दबाव में पुनर्निर्माण का जोखिम उठाते हैं।

अनुभाग 4: CEO और बोर्ड प्राथमिकता पृष्ठ

बोर्ड को पूरा अधिनियम पढ़ने की ज़रूरत नहीं। उन्हें पाँच निर्णय, पाँच जोखिम, पाँच प्रमाण आइटम, और कानून स्थिर होने से पहले क्या न overbuild करें — इसकी स्पष्टता चाहिए।

पाँच नेतृत्व निर्णय

एक जवाबदेह स्वामी नामित करें — प्रोडक्ट, कानूनी, या ऑप्स — बोर्ड दृश्यता के साथ, "सभी की गोपनीयता" नहीं।
तय करें कौन सा प्रसंस्करण सहमति बनाम वैध उपयोग है और निर्णय दस्तावेज़ करें; सभी HR या KYC प्रवाह छूट न मानें।
इस तिमाही विक्रेता और cross-border समीक्षा मंज़ूर करें — क्लाउड, पेरोल, CRM, ad-tech, BGV, भुगतान साझेदार।
घटना से पहले उल्लंघन एस्केलेशन पथ तय करें — कानूनी, सुरक्षा, संचार, और Board सूचना भूमिकाएँ।
पहले ठीक करने के लिए दो उद्योग-विशिष्ट प्रवाह चुनें (अनुभाग 19 से) जहाँ आज वास्तविक डेटा लीक होता है।

पाँच परिचालन जोखिम

WhatsApp और व्यक्तिगत फ़ोन PAN, स्वास्थ्य, प्रिस्क्रिप्शन, CV, या अतिथि ID के लिए डिफ़ॉल्ट चैनल।
साझा क्लाउड फ़ोल्डर और पुरानी एक्सेस — पूर्व कर्मचारी, इंटर्न, फ्रीलांसर, पुराने ब्रोकर साझेदार।
अलग सहमति के बिना मार्केटिंग और एनालिटिक्स — पिक्सेल, कार्ट अभियान, WhatsApp प्रोमो।
पुराने ग्राहक, उम्मीदवार, रोगी, या कर्मचारी रिकॉर्ड का अनिश्चितकालीन प्रतिधारण।
बिना अनुबंध या सुरक्षा और उल्लंघन-सहयोग खंडों के प्रोसेसर।

बनाए रखने योग्य पाँच प्रमाण आइटम

प्रसंस्करण गतिविधि रजिस्टर (दिनांकित, स्वामित्व, त्रैमासिक समीक्षा)।
सूचना और सहमति संस्करण लॉग (उपयोगकर्ता ने क्या देखा, कब, किस चैनल पर)।
DPDPA-संरेखित खंडों वाला प्रोसेसर और विक्रेता अनुबंध रजिस्टर।
समापन तिथियों के साथ अधिकार और शिकायत अनुरोध लॉग।
उल्लंघन और घटना रिकॉर्ड — टेबलटॉप अभ्यास सहित।

अभी overbuild न करने योग्य पाँच बातें

पदनाम मानदंड और सूचियाँ अंतिम होने से पहले पूर्ण SDF कार्यक्रम।
नवंबर 2026 ढाँचा आपके क्षेत्र में परिचालन होने से पहले Consent Manager एकीकरण।
सरकारी अधिसूचनाएँ प्रकाशित होने से पहले देश-स्तर स्थानांतरण ब्लॉकलिस्ट।
बुनियादी इन्वेंटरी, सूचनाएँ, और विक्रेता अनुबंध होने से पहले एंटरप्राइज़ GRC प्लेटफ़ॉर्म।
मुकदमeb और चरण तिथियाँ अभी भी बदल रही हों तब "पूर्ण अनुपालन" का दावा।

एक नज़र में प्रमाण पैक

Diagram: see figure below.

#	प्रमाण आइटम	स्वामी	समीक्षा अंतराल
1	प्रसंस्करण गतिविधि रजिस्टर	Ops / Product	त्रैमासिक
2	सूचना और सहमति संस्करण	Legal / Product	हर बदलाव पर
3	DPDPA खंडों वाले विक्रेता अनुबंध	Procurement / Legal	ऑनबोर्डिंग पर
4	अधिकार और शिकायत लॉग	Support / Legal	मासिक
5	उल्लंघन और घटना लॉग	Security / Legal	हर घटना + वार्षिक अभ्यास
6	एक्सेस समीक्षा रिकॉर्ड	IT / HR	त्रैमासिक
7	प्रतिधारण अनुसूची + विलोपन प्रमाण	Ops / IT	अर्ध-वार्षिक
8	नियामक वॉच लॉग	Compliance	मासिक

CEO निष्कर्ष: अनुपालन रिकॉर्ड से सिद्ध होता है, इरादों से नहीं।

अनुभाग 5: कानूनी स्थिति स्नैपशॉट (जून 2026)

क्षेत्र	वर्तमान कानूनी स्थिति	व्यावहारिक परिणाम
अभी प्रभाव में	Sec 1(2), Sec 2, Sec 18-26, 35, 38-43, और Sec 44(1),(3); Rules 1, 2, 17-21।	परिभाषाएँ, DPBI गठन, नियम-निर्माण, कुछ संशोधन और Board ढाँचा सक्रिय हैं।
13 नवं 2026	Sec 6(9) और Sec 27(1)(d); Rule 4।	Consent Manager ढाँचा और संबंधित कर्तव्य शुरू।
13 मई 2027	Sec 3-17, Sec 6 का अधिकांश, Sec 27-34, 36, 37, Sec 44(2); Rules 3, 5-16, 22, 23।	सूचना, सहमति, उल्लंघन, अधिकार, बच्चे, प्रतिधारण, SDF, अपील और सरकारी सूचना शक्तियों के लिए परिचालन अनुपालन समयसीमा।
अभी स्पष्ट नहीं	प्रतिबंधित देश सूची, SDF पदनाम, निर्दिष्ट SDF स्थानीयकरण डेटा श्रेणियाँ, Board पोर्टल प्रक्रियाएँ व्यवहार में।	निश्चित दावों से पहले MeitY/DPBI अधिसूचनाएँ ट्रैक करें।
प्रवर्तन तैयारी	DPBI स्थापना अधिसूचित; Rules 17-21 में डिजिटल कार्यवाही ढाँचा; चरणबद्ध परिचालन तिथियाँ।	अभी प्रमाण पैक बनाएँ — परिचालन समयसीमा से पहले प्रवर्तन बुनियादी ढाँचा बन रहा है।

नीति क्षितिज चेतावनी

नीचे दिए आइटमों को राजपत्र संशोधन पुष्टि होने तक वॉच आइटम मानें। ये प्रस्तावित या चर्चित हैं — 14 जून 2026 तक अधिसूचित कानून नहीं।

संकेत	क्या चर्चा हुई	व्यवसाय प्रभाव
जन 2026 हितधारक बैठक (रिपोर्ट)	18-माह रनवे को 12 महीने में संपीड़ित; SDF सूची fast-track; Rule 8(3) प्रतिधारण संशोधन के 90 दिनों के भीतर	परिचालन समयसीमा 13 मई 2027 से 13 नवं 2026 की ओर जा सकती है
फर 2026 (रिपोर्ट)	समयसीमा संपीड़न पर उद्योग प्रतिक्रिया विंडो	परिणाम राजपत्र लंबित
जून 2026 (रिपोर्ट, ET Telecom)	MeitY सचिव समयसीमा पर उद्योग इनपुट की प्रतीक्षा	अभी अंतिम निर्णय नहीं — तेज़ तिथि को कानून मानकर योजना न बनाएँ
Karnataka (रिपोर्ट, 2026)	16 वर्ष से कम के लिए सोशल मीडिया प्रतिबंध प्रस्ताव	राष्ट्रीय बनाम राज्य क्षमता अस्पष्ट — केवल नीति बहस
लंबित मुकदमeb	RTI इंटरफ़ेस, छूट, Board संरचना पर Supreme Court / Delhi HC चुनौतियाँ	केवल जागरूकता — इस तिथि तक अधिनियम स्थगित नहीं

लेखक नियम: हमेशा आइटमों को प्रभाव में, अधिसूचित चरण, प्रस्तावित, या लंबित मुकदमeb लेबल करें। कभी मिलाएँ नहीं।

संख्या पट्टी

18 महीने	4+1 अधिकार	72 घंटे	90 दिन	Rs 250 Cr
Rules अधिसूचना (13 नवं 2025) से चरणबद्ध अनुपालन विंडो	पहुँच, सुधार, विलोपन, शिकायत, और नामांकन	सूचना के बाद DPBI को विस्तृत उल्लंघन रिपोर्ट (Rule 7)	अधिकतम शिकायत प्रतिक्रिया समय (Rule 14)	अधिनियम के तहत स्तरीय अधिकतम जुर्माना छत

अनुभाग 6: 2026-2027 में DPDPA क्यों महत्वपूर्ण है

भारत का डिजिटल स्टैक — विश्वास की परत के रूप में गोपनीयता

भारत ने एक डिजिटल सार्वजनिक बुनियादी ढाँचा बनाया जिसकी अधिकांश देश केवल बात करते हैं: पहचान (Aadhaar), भुगतान (UPI), दस्तावेज़ (DigiLocker), और सहमति रेल (Account Aggregator)। इसे आधुनिक हाईवे प्रणाली की तरह समझें — वाणिज्य के लिए फास्ट लेन, सत्यापन के लिए टोल प्लाज़ा, और सड़क पर लाखों वाहन (ऐप और व्यवसाय)।

हाल तक, हाईवे पर गति सीमा थी लेकिन व्यक्तिगत डेटा के लिए कोई एकसमान ट्रैफ़िक पुलिस नहीं थी। DPDPA वह ट्रैफ़िक प्रणाली है: यह व्यवसायों को बताता है कौन सा डेटा ले जा सकते हैं, कैसे सुरक्षित करना है, और दुर्घटना होने पर क्या होता है।

गैर-तकनीकी पाठकों के लिए उपमा: आपकी दुकान में हमेशा ग्राहक रजिस्टर रहा। DPDPA पूछता है (1) ग्राहकों को बताएँ रजिस्टर में क्या लिखते हैं, (2) केवल ज़रूरी लिखें, (3) रजिस्टर ताला लगाएँ, (4) ग्राहकों को अपना पृष्ठ देखने या मिटाने दें, और (5) रजिस्टर चोरी हो तो तुरंत अधिकारियों को बताएँ। रजिस्टर गैरकानूनी नहीं हुआ — लापरवाह संभाल गैरकानूनी हुई।

सहमति अकेली काफ़ी नहीं

कई टीमें "DPDPA" सुनकर सीधे सहमति बैनर पर कूदती हैं। कई प्रवाहों के लिए सहमति ज़रूरी है, लेकिन अधिनियम सुरक्षा, उल्लंघन सूचना, प्रतिधारण अनुशासन, अधिकार संभाल, प्रोसेसर अनुबंध, और जवाबदेही प्रमाण भी माँगता है। परफ़ेक्ट सहमति लॉग लेकिन साझा WhatsApp फ़ोल्डर, कोई उल्लंघन प्लेबुक नहीं, और अनिश्चितकालीन CV भंडारण वाला व्यवसाय अभी भी जोखिम में है। OPERATE v6.1 इसलिए Permission (वैध आधार) को Evidence (प्रमाण) और Accountability (शासन) से अलग करता है।

सार्वभौमिक गोपनीयता सिद्धांत (OECD / APEC आधार)

160+ अधिकार क्षेत्रों में वही विषय दोहराते हैं। भारत इनसे संरेखित है, यांत्रिकी अलग हो:

पारदर्शिता — लोगों को बताएँ क्या एकत्र करते हैं और क्यों
उद्देश्य सीमा — डेटा केवल बताए गए कारण के लिए
डेटा न्यूनीकरण — काम चलाने के लिए सबसे छोटी मात्रा
सुरक्षा — उचित सुरक्षा से डेटा की रक्षा
व्यक्तिगत अधिकार — पहुँच, सुधार, विलोपन, शिकायत मार्ग
जवाबदेही — ऊपर का प्रमाण, विशेषकर डिजिटल नियामक के तहत
Cross-border जिम्मेदारी — डेटा कहाँ जाता है और कौन जवाब देता है

DPDPA इन आदतों का भारतीय संस्करण है, भारतीय लेटरहेड वाला विदेशी आयात नहीं।

वैश्विक तुलना — व्यवसाय दृष्टि

आयाम	GDPR (EU/UK)	CCPA/CPRA (US)	LGPD (Brazil)	DPDPA (India)	व्यवसाय निष्कर्ष
दर्शन	अधिकार-प्रथम	उपभोक्ता opt-out / सूचना	अधिकार + वैध हित	निष्पादन-प्रथम, विश्वास-पैमाने पर	भारत बनी प्रणालियों को पुरस्कृत करता है, कागज़ नीतियों को नहीं
वैध प्रसंस्करण	6 आधार (Art 6)	सूचना + opt-out; सीमित आधार	10 कानूनी आधार	सहमति या संकीर्ण Sec 7 वैध उपयोग	GDPR से कम गैर-सहमति मार्ग — Sec 7 न खींचें
सहमति मानक	स्वेच्छा, विशिष्ट, सूचित	बिक्री/साझा के लिए opt-out; नाबालिगों के लिए opt-in	GDPR जैसा	स्वतंत्र, विशिष्ट, सूचित, बिना शर्त, अस्पष्ट नहीं	pre-ticked बॉक्स हर जगह फेल; भारत स्पष्ट है
संवेदनशील डेटा	विशेष श्रेणियाँ (Art 9)	CPRA के तहत Sensitive PI	Sensitive data	अलग श्रेणी नहीं — लेकिन प्रकार अभी भी जोखिम, जुर्माना, SDF चलाता है	स्वास्थ्य, बायोमेट्रिक, बच्चों के डेटा को उच्च-देखभाल मानें, "गैर-संवेदनशील" नहीं
बच्चे	13-16 स्तरीय (सदस्य राज्य)	16 से कम opt-in	अभिभावक सहमति	18 से कम एकसमान	सख्त एकल सीमा
Cross-border	SCCs, adequacy, TIA	क्षेत्र/राज्य patchwork	ANPD मार्गदर्शन	अनुमेय डिफ़ॉल्ट; सरकार प्रतिबंध सूची + Rule 15	प्रवाह मैप करें; MeitY अधिसूचनाएँ मॉनिटर करें
नियामक	राष्ट्रीय DPAs	AG + CPPA	ANPD	DPBI (डिजिटल-प्रथम)	प्रमाण पैक महत्वपूर्ण
अद्वितीय विशेषता	DPO अनिवार्यता (कुछ controllers)	Do Not Sell/Share	DPO-जैसी भूमिकाएँ	Consent Manager (पंजीकृत मध्यस्थ)	भारत-विशिष्ट बुनियादी ढाँचा
अधिकतम जुर्माना	EUR 20M / 4% turnover	$7,500/उल्लंघन (भिन्न)	2% revenue / 50M BRL	Rs 250 Cr छत (स्तरीय)	सुरक्षा + उल्लंघन सूचना प्राथमिकता
प्रवर्तन शैली	परिपक्व, उच्च मात्रा	बढ़ती, खंडित	बढ़ती	चरणबद्ध — Board सक्रिय; ops तिथियाँ 2026-2027	अभी शुरू करें; तिथियाँ तेज़ हो सकती हैं

भारत बनाम GDPR — मिथक बनाम तथ्य

मिथक	तथ्य (DPDPA)
"GDPR compliant = DPDPA ready"	अलग वैध आधार, कोई SCC regime नहीं, Consent Manager, चरणबद्ध प्रारंभ
"कोई sensitive श्रेणी = कम जोखिम स्वास्थ्य डेटा"	स्वास्थ्य/बच्चे/वित्तीय डेटा अभी भी जांच और क्षेत्र नियम आकर्षित करता है
"13 मई 2027 तक समय है"	MeitY 12-माह त्वरण पर चर्चा; SDF/cross-border तेज़ हो सकता है
"उल्लंघन = हमेशा Rs 250 Cr जुर्माना"	जुर्माना उचित सुरक्षा उपाय लागू न करने (Sec 8(5)) से जुड़ा
"एक गोपनीयता नीति काफ़ी"	Rule 3: सूचना प्रत्येक संग्रह बिंदु पर स्वतंत्र रूप से समझने योग्य हो

2026 वास्तविक शुरुआती रेखा क्यों है

तीन घड़ियाँ एक साथ चल रही हैं:

Board घड़ी (सक्रिय): DPBI मौजूद। प्रमाण-आधारित डिजिटल प्रवर्तन अभी बन रहा है।
Consent Manager घड़ी (13 नवं 2026): पंजीकृत मध्यस्थ और एकीकरण वास्तविक होते हैं।
परिचालन घड़ी (13 मई 2027, संभवतः जल्दी): सूचना, सहमति, सुरक्षा, उल्लंघन, अधिकार, बच्चे, प्रोसेसर — जो अधिकांश व्यवसाय महसूस करते हैं।

2026 वह समय है जब कार्यक्रम "बाद में किसी को रखेंगे" से "आज डेटा मैप और उल्लंघन प्लेबुक दिखा सकते हैं" में बदलें। गोपनीयता को ग्राहक विश्वास मानने वाले व्यवसाय तेज़ी से आगे बढ़ेंगे जब खरीद, साझेदारी, और नियामक प्रमाण माँगें।

अनुभाग 7: अधिनियम क्या कवर करता है

नियंत्रण बनाने से पहले, नेताओं को साझा शब्दावली चाहिए। DPDPA परिभाषित भूमिकाएँ और डिजिटल-प्रथम दायरा उपयोग करता है। यह अनुभाग सरल हिंदी/अंग्रेज़ी नक्शा है।

मुख्य परिभाषाएँ

शब्द	कौन / क्या	सरल अर्थ
Digital personal data	डेटा स्वयं	डिजिटल रूप में व्यक्तिगत डेटा, और ऑफ़लाइन व्यक्तिगत डेटा जो बाद में digitised हो
Data Principal (DP)	व्यक्ति	ग्राहक, कर्मचारी, छात्र, रोगी, अतिथि, उम्मीदवार — जिसका डेटा आप process करते हैं
Data Fiduciary (DF)	आमतौर पर आपकी कंपनी	वह इकाई जो तय करती है क्यों और कैसे व्यक्तिगत डेटा process हो
Data Processor	विक्रेता	क्लाउड होस्ट, payroll SaaS, ATS, payment gateway, analytics tool — आपके निर्देश पर process करता है
Consent Manager (CM)	पंजीकृत मध्यस्थ	भारत-विशिष्ट परत जो लोगों को सेवाओं में सहमति देने, प्रबंधित करने, वापस लेने में मदद करती है (नवं 2026 से)
Significant Data Fiduciary (SDF)	अधिसूचित बड़ा/उच्च-जोखिम DF	अतिरिक्त कर्तव्य: DPIA, audit, algorithmic diligence, संभव स्थानीयकरण — केवल यदि सरकार designate करे

लागूता — अधिनियम आपके व्यवसाय को कब छूता है

Sec 3 लागू होता है जब आप digital personal data process करते हैं:

भारत में — ग्राहक, कर्मचारी, विक्रेता, वेबसाइट उपयोगकर्ता
बाद में digitised ऑफ़लाइन डेटा — कागज़ फ़ॉर्म सिस्टम में स्कैन
भारत के बाहर — यदि processing भारत में लोगों को वस्तुएँ या सेवाएँ देने से जुड़ी हो

Sec 17 और Rule अनुसूचियों में कुछ राज्य, अनुसंधान, कानूनी, और सुरक्षा संदर्भों के लिए अपवाद और carve-out हैं। वकील के बिना व्यापक छूट self-certify न करें। टीमों को भ्रमित करने वाले उदाहरण: कानूनी दावे के लिए सख्ती से आवश्यक processing, कुछ अदालत-निर्देशित प्रकटीकरण, और Rule 16 मानकों को पूरा करने वाला अनुसंधान/सांख्यिकी बिना व्यक्तिगत निर्णयन के। छूट लागू हो भी सकती है, दस्तावेज़ीकरण कानूनी आधार और संकीर्ण दायरे का जवाबदेही के लिए महत्वपूर्ण।

व्यवहार में व्यक्तिगत डेटा — टीमें क्या गिनना भूलती हैं

ऑपरेटर अक्सर व्यक्तिगत डेटा कम गिनते हैं क्योंकि यह ग्राहक डेटाबेस नहीं, परिचालन उपकरणों में छिपा है। अक्सर overlooked स्रोत: recruiter Excel trackers, WhatsApp Business chat exports, पहचान योग्य व्यक्तियों वाली CCTV फुटेज, attendance और GPS logs, कार्य उपकरणों पर कर्मचारी monitoring, पुराने backup tapes, production copies वाले test environments, और customer support tickets से बने AI training sets। Observe का मतलब केवल CRM rows नहीं, इन्हें ईमानदारी से गिनना है।

GDPR के विपरीत, भारत statutory special category label नहीं करता। इसका मतलब नहीं कि स्वास्थ्य, वित्तीय, बच्चों का, या बायोमेट्रिक डेटा कम जोखिम है। क्षेत्र नियम, SDF जांच, और ग्राहक विश्वास अभी भी इन्हें उच्च-देखभाल डेटा मानते हैं — मजबूत सूचना, सुरक्षा, प्रतिधारण, और अधिकार संभाल की ज़रूरत।

भूमिका पारिस्थितिकी

Diagram: see figure below.

सरल भाषा: व्यवसाय आमतौर पर Data Fiduciary है। आपके विक्रेता Processors हैं। व्यक्ति Data Principal है। Consent Managers भारत-विशिष्ट परत हैं। SDF केवल यदि सरकार आपके संगठन को notify करे।

अनुभाग 8: वैध प्रसंस्करण — सहमति और वैध उपयोग

हर संग्रह और उपयोग को वैध मार्ग चाहिए: Sec 6 के तहत सहमति या Sec 7 के तहत संकीर्ण वैध उपयोग। यह अनुभाग OPERATE अध्याय परिचालन से पहले कानूनी आधार समेटता है।

सहमति आवश्यकताएँ (Sec 6)

सहमति होनी चाहिए:

स्वतंत्र — वैकल्पिक processing से इनकार पर मुख्य सेवा नहीं रोकें
विशिष्ट — मार्केटिंग, analytics, photos, referrals मुख्य delivery से अलग
सूचित — स्वतंत्र सूचना (Sec 5, Rule 3) द्वारा समर्थित
बिना शर्त — असंबंधित शर्तों से बंडल नहीं
अस्पष्ट नहीं — स्पष्ट सकारात्मक कार्रवाई; pre-ticked बॉक्स नहीं
वापस लेने योग्य — देने जितना आसान

बच्चे (Sec 9): 18 से कम एकसमान सीमा। सत्यापन योग्य अभिभावक सहमति; बच्चों पर tracking, behavioural monitoring, या targeted advertising नहीं।

वैध उपयोग (Sec 7) — संकीर्ण सूची, सुविधा का दरवाज़ा नहीं

उदाहरण: Data Principal द्वारा निर्दिष्ट उद्देश्य के लिए स्वैच्छिक डेटा, राज्य कार्य, कानून अनुपालन, अदालत आदेश, चिकित्सा आपात, आपदा/सार्वजनिक व्यवस्था, और कुछ रोज़गार सुरक्षा। GDPR "legitimate interests" को सीधे Sec 7 पर map न करें। अनिश्चित हो तो सूचना + सहमति और निर्णय दस्तावेज़ करें।

सूचना संरेखण (Sec 5, Rule 3)

सूचना स्वतंत्र रूप से समझने योग्य, सरल, itemised, और संग्रह बिंदु पर उपलब्ध — Terms and Conditions में दबी नहीं। एकत्र डेटा, उद्देश्य, अधिकार, withdrawal, शिकायत संपर्क, और Board शिकायत मार्ग समझाना चाहिए।

सहमति और वैध-उपयोग निर्णय प्रवाह

Diagram: see figure below.

इन्फोग्राफिक 3: Consent and Legitimate-Use Flow

निर्णय नियम: हर व्यवसाय सुविधा को वैध उपयोग default न करें। संदेह हो तो सूचना + सहमति और प्रमाण रखें।

रोज़गार, राज्य, और कानूनी संदर्भ

HR payroll, attendance, और statutory filings अक्सर legitimate-use या contractual necessity patterns में फिट — लेकिन सूचना, सुरक्षा, प्रतिधारण सीमा, और अधिकार चैनल अभी भी चाहिए। सरकार-जुड़े लाभ कार्यक्रम Schedule 2 मानक समीक्षा करें। कानूनी कार्यवाही और नियामक अनुरोध documented कानूनी आधार और counsel escalation चाहते हैं।

अनुभाग 9: DPDPA के तहत मुख्य दायित्व

यह तालिका वैधानिक कर्तव्यों को OPERATE v6.1 और नेताओं को अपेक्षित प्रमाण से map करती है।

दायित्व	Act / Rule anchor	OPERATE अक्षर	प्रमाण प्रकार
अपना डेटा जानें	Sec 3, 8; Rule 6	Observe	प्रसंस्करण गतिविधि रजिस्टर, प्रवाह मैप
वैध आधार	Sec 4, 6, 7	Permission	आधार tags, सहमति logs, Sec 7 memos
सूचना	Sec 5; Rule 3	Permission	प्रति चैनल दिनांकित सूचनाएँ, change log
सहमति / withdrawal	Sec 6	Permission	timestamped सहमति, withdrawal records
सुरक्षा उपाय	Sec 8(5); Rule 6	Event (prevent) + Accountability	सुरक्षा baseline, access reviews, logs
उल्लंघन सूचना	Sec 8(6)-(7); Rule 7	Event	घटना timeline, user/Board notices, 72-घंटे रिपोर्ट
प्रतिधारण / विलोपन	Sec 8(7); Rule 8	Evidence + Event	प्रतिधारण अनुसूची, विलोपन प्रमाण
अधिकार + शिकायत	Sec 11-14; Rule 14	Rights	अनुरोध रजिस्टर, SLA tracker, समापन
बच्चों का डेटा	Sec 9; Rules 10-12	Permission + kits	age gate, अभिभावक सहमति, बच्चों के ads नहीं
प्रोसेसर नियंत्रण	Sec 8; Rule 6	Third-party	अनुबंध, vendor register, audits
Cross-border transfer	Sec 16; Rule 15	Third-party	transfer map, restriction watch log
शासन / संपर्क	Rule 9; Sec 10 (SDF)	Accountability	नामित स्वामी, DPO contact, board reviews
कार्यक्रम प्रमाण	Sec 8 accountability	Evidence	पूर्ण evidence pack (अनुभाग 4, 13)

नेतृत्व पढ़ना: यदि किसी पंक्ति के लिए evidence कॉलम नहीं दिखा सकते, मानें दायित्व अभी चल नहीं रहा।

वास्तविक परिचालन में दायित्व कैसे जुड़ते हैं

क few businesses एक missing checkbox पर fail होते हैं। failure patterns आमतौर compound हैं: सूचना के बिना WhatsApp intake, अनिश्चितकालीन प्रतिधारण, कोई उल्लंघन प्लेबुक नहीं, बिना अनुबंध vendor। ऊपर की तालिका diagnostic grid है। प्रवाह audit करते समय — उदाहरण clinic report sharing या fintech KYC — पंक्ति ऊपर से नीचे चलें और mark करें कौन सा evidence आज मौजूद है। वह compound view DPBI proceedings और enterprise procurement diligence जैसा बढ़ रहा है।

अनुभाग 10: SaralPrivacy OPERATE मॉडल (v6.1)

SaralPrivacy OPERATE मॉडल DPDPA को statute sections से सात व्यावसायिक क्षमताओं में बदलता है। v6.1 अक्षरों को reframe करता है जैसे operators वास्तव में कार्यक्रम बनाते हैं: डेटा observe करें, permission अर्जित करें, evidence रखें, rights सम्मान करें, accountability दिखाएँ, third parties नियंत्रित करें, और events (विशेषकर breaches) rehearse करें।

O  OBSERVE        - जानें कौन सा डेटा है और कहाँ बहता है
P  PERMISSION     - वैध आधार, सूचना, सहमति, वैध उपयोग
E  EVIDENCE       - logs, contracts, versions, proof packs
R  RIGHTS         - पहुँच, सुधार, विलोपन, शिकायत, नामांकन
A  ACCOUNTABILITY - स्वामी, नीतियाँ, प्रशिक्षण, board reporting
T  THIRD-PARTY    - processors, vendors, cross-border
E  EVENT          - उल्लंघन detection, 72-घंटे clock, escalation

Diagram: see figure below.

अक्षर	हर नेता को पूछना चाहिए
O	हम वास्तव में कौन सा डेटा एकत्र करते हैं और कहाँ रहता है?
P	इसे उपयोग करने की अनुमति क्यों — सहमति या वैध उपयोग?
E	सूचनाएँ, सहमति, अनुबंध सिद्ध कर सकते हैं?
R	लोग आसानी से पहुँच, सुधार, मिटा, शिकायत कर सकते हैं?
A	इस कार्यक्रम का स्वामी कौन और अंतिम समीक्षा कब?
T	vendors और processors अनुबंध और नियंत्रण में?
E	leak के पहले 72 घंटों में क्या होता है?

नीचे प्रत्येक अध्याय वही six-block recipe: hook, outcomes, actions, India anchors, GDPR comparison, evidence checklist।

अनुभाग 11: OPERATE अध्याय 1 — व्यक्तिगत डेटा Observe करें

1. व्यवसाय hook

जो नाम नहीं दे सकते, उसकी रक्षा नहीं कर सकते। अधिकांश DPDPA failures एक ही तरह शुरू: नेतृत्व सोचता है कंपनी के पास "बुनियादी ग्राहक जानकारी" है, जबकि engineers, HR, vendors चुपचाप PAN copies, health records, और वर्षों के WhatsApp exports रखते हैं। Observe का मतलब व्यक्तिगत डेटा का जीवंत नक्शा — गोदाम में inventory की तरह, one-time Excel dump नहीं।

उपमा: DPDPA तैयारी tax audit की तैयारी जैसी। notice का इंतज़ार नहीं करते कि कौन सी drawers में पुराने receipts हैं। अभी drawers label करें।

2. अच्छा कैसा दिखता है

प्रसंस्करण गतिविधि रजिस्टर (PAR) क्या डेटा, क्यों, कौन एक्सेस, कहाँ stored, कितने समय रहता है
प्रत्येक गतिविधि के लिए स्वामी (marketing, HR, finance, product)
भारत और cross-border systems के लिए data flows documented
red-flag flows early flagged: WhatsApp intake, shared drives, ex-employee access, shadow IT
features, vendors, या नए collection points launch पर updates

3. अभी करें

हर जगह सूची बनाएँ जहाँ व्यक्तिगत डेटा enters: website forms, apps, WhatsApp, email, paper, CCTV, HR tools, payment gateways।
प्रत्येक entry point पर data categories record करें (name, phone, PAN, health, photos, location, etc.)।
प्रत्येक flow customer, employee, vendor, या lead data purpose tag के साथ mark करें।
processors (cloud, payroll, ATS, CRM, ad-tech) identify करें और activities से link करें।
"sensitive" label के बिना भी high-care data highlight: children, health, financial, biometric।
activity owner और review calendar (न्यूनतम त्रैमासिक) assign करें।
register वहाँ store करें जहाँ legal, security, product सभी access कर सकें।

4. India anchor box

Anchor	आवश्यकता
Sec 3	अधिनियम भारत में digital personal data, बाद में digitised offline data, और भारत में goods/services से जुड़े foreign processing पर लागू
Sec 8	Data Fiduciary lawful processing और processor control के लिए जवाबदेह रहता है
Rule 6	सुरक्षा में access control, logs, monitoring — किसने क्या छुआ जानना चाहिए

5. यदि GDPR जानते हैं

GDPR Art 30 कई controllers के लिए Records of Processing Activities (ROPA) माँगता है। भारत का approach व्यवहार में similar लेकिन form identical नहीं: वही inventory habit, लेकिन lawful basis Sec 4 + 6/7 के तहत tag, GDPR Art 6 labels नहीं।

6. Evidence checklist

[ ] प्रसंस्करण गतिविधि रजिस्टर (version dated)
[ ] Data flow diagram या table (internal + cross-border)
[ ] activities से linked processor/vendor list
[ ] High-care data classification notes
[ ] named owner के साथ quarterly review log

अनुभाग 12: OPERATE अध्याय 2 — Permission और वैध आधार

Permission v6 में Permit और Explain को जोड़ता है: lawful basis discipline और collection moment पर समझने योग्य notices।

1. व्यवसाय hook

डेटा collect करना आसान। उपयोग की अनुमति कानून है। Permission lawful-processing plus notice discipline: हर use को सहमति या संकीर्ण Sec 7 legitimate use चाहिए — "हमेशा ऐसे करते थे" नहीं। और users collection point पर समझें क्या agreed — policy PDF page 47 पर नहीं।

उपमा: सहमति शादी की guest list जैसी। Legitimate use caterer को kitchen में बिना अलग invite — लेकिन specific job के लिए, wander in नहीं। invite पर notice दोनों legitimate बनाता है।

2. अच्छा कैसा दिखता है

हर processing activity tagged: consent या legitimate use (Sec 7 subsection cited)
Marketing, profiling, photos, referrals, optional analytics अलग consent
Consent records show क्या agreed, कब, withdrawal कैसे
Pre-ticked boxes नहीं; clear affirmative action
प्रत्येक collection point पर standalone notice — Terms and Conditions में hidden नहीं
Plain language, itemised: क्या data, क्यों, rights, withdrawal, grievance contact, Board complaint route
Consent Manager strategy documented यदि registered intermediaries integrate (13 नवं 2026 से)
Children's flows verifiable parental consent; बच्चों को targeted ads नहीं

3. अभी करें

Current consents audit: website, app, WhatsApp, paper forms, contracts — specific या bundled?
Necessary processing (order fulfilment, payroll) optional (ads, testimonials, talent pools) से split।
हर collection point inventory: web, app, offline form, WhatsApp bot, reception desk।
major flow के लिए short notice template (200-400 words) draft।
Core notice T&Cs से हटाएँ; notice separately link/embed।
product और sales teams के लिए one-page lawful processing decision tree।
Sec 7 uses narrowly document (employment safeguards, legal compliance, medical emergency — "business convenience" नहीं)।
Opt-in जितना आसान withdrawal implement।
Under-18 users: behavioural ads और tracking block; parent verification plan (Rule 10)।
Withdrawal, rights request, grievance paths working contact details के साथ add।

4. India anchor box

Anchor	आवश्यकता
Sec 4	सहमति या legitimate uses के साथ lawful purpose के लिए processing
Sec 5	Notice data, purpose, rights, withdrawal, complaint route cover
Sec 6	Consent free, specific, informed, unconditional, unambiguous; easy withdrawal
Sec 7	सीमित non-consent grounds — interpretation से expand न करें
Sec 9	बच्चे: verifiable parental consent; बच्चों पर tracking/behavioural ads नहीं
Rule 3	Independently understandable, plain, itemised; withdrawal, rights, Board complaint links
Rule 4 + Schedule 1	Consent Manager requirements (13 नवं 2026 से)

5. यदि GDPR जानते हैं

GDPR six lawful bases और Arts 13/14 transparency देता है। भारत essentially दो routes और Rule 3 explicitly notices independently understandable — T&C bundling के खिलाफ direct strike। GDPR "legitimate interests" को सीधे Sec 7 पर map न करें।

6. Evidence checklist

[ ] प्रति processing activity lawful basis tag
[ ] Consent logs (timestamp, scope, channel)
[ ] Withdrawal mechanism screenshots या workflow
[ ] Sec 7 justification memos जहाँ used
[ ] प्रति collection channel notice copies (dated versions)
[ ] In-product notice placement screenshots
[ ] Child-facing flow assessment और parent consent design
[ ] Consent Manager integration plan (यदि applicable)

अनुभाग 13: OPERATE अध्याय 3 — प्रमाण और रिकॉर्ड

प्रमाण वह proof layer है। DPBI की कार्यवाही डिजिटल और दस्तावेज़-आधारित है। जब कोई ग्राहक शिकायत करता है, विक्रेता लीक करता है, या बोर्ड पूछता है "हम तैयार हैं?", संगठन रिकॉर्ड पर जीतते या हारते हैं, इरादों पर नहीं।

1. व्यवसाय हुक

स्लाइड डेक में नीतियाँ जांच में नहीं टिकती। प्रमाण का मतलब है कि आप दिखा सकें कि उपयोगकर्ता कौन सी सूचना देखा, कौन सी सहमति दी, कौन सा अनुबंध विक्रेता को नियंत्रित करता था, शिकायत कैसे बंद हुई, और उल्लंघन अभ्यास में घंटे-दर-घंटे क्या हुआ। इसे GST के लिए इनवॉइस रखने जैसा सोचें — कानून प्रक्रिया के proof की परवाह करता है।

उपमा: पायलट की लॉगबुक विमान नहीं उड़ाती, लेकिन कोई एयरलाइन बिना इसके पायलट certify नहीं करती। DPDPA प्रमाण उसी तरह काम करता है।

2. अच्छा क्या दिखता है

समय-मुहरा वाली सूचनाएँ और सहमति प्रवाह
सूचना संस्करण, चैनल, और दायरे से जुड़े consent logs
हस्ताक्षरित अनुबंध और समीक्षा तिथियों वाला processor register
पहचान सत्यापन चरण और बंद होने के proof के साथ अधिकार और शिकायत register
टेबलटॉप अभ्यास सहित उल्लंघन और घटना log
विलोपन रिकॉर्ड और दस्तावेज़ित अपवादों के साथ प्रतिधारण अनुसूची
सुरक्षा baseline दस्तावेज़ीकरण और त्रैमासिक access reviews
अधिसूचित और प्रस्तावित परिवर्तनों को अलग करने वाला policy horizon log

3. अभी यह करें

स्वामियों और समीक्षा cadence के साथ एक evidence pack index बनाएँ (इन्फोग्राफिक 1 देखें)।
सूचना और सहमति संस्करण log शुरू करें — तिथि, चैनल, screenshot या URL, approver।
DPDPA सुरक्षा, उल्लंघन, विलोपन, और audit खंडों के साथ विक्रेता अनुबंध केंद्रीकृत करें।
अधिकार/शिकायत register खोलें — ticket ID, प्राप्ति तिथि, कार्रवाई, बंद होने की तिथि।
डेटा हटाए जाने या मानक अवधि से आगे बढ़ाए जाने पर प्रतिधारण निर्णय log करें।
वास्तविक घटनाओं जैसे उल्लंघन अभ्यास रिकॉर्ड फाइल करें — timeline, roles, उपयोग किए टेम्पलेट।
प्रमाण आइटम को अपने processing activity register की entries से जोड़ें।

4. भारत एंकर बॉक्स

Anchor	आवश्यकता
Section 8	वैध प्रसंस्करण और safeguards के लिए Data Fiduciary जवाबदेही
Section 6	सहमति और withdrawal प्रदर्शित करने की क्षमता
Rule 3	संग्रह पर सूचना सामग्री और पहुँच योग्यता provable होनी चाहिए
Rule 6	सुरक्षा उपाय और processor खंड दस्तावेज़ित होने चाहिए
Rule 7	उल्लंघन तथ्य, सूचनाएँ, और 72-घंटे रिपोर्ट रखी जानी चाहिए
Rule 14	अधिकार और शिकायत संचालन 90-दिवसीय छत के भीतर traceable होना चाहिए

5. यदि आप GDPR जानते हैं

GDPR accountability (Article 5(2)) और record-keeping इस अध्याय को mirror करते हैं। भारत का phased commencement का मतलब है कि कई फर्में पूर्ण प्रवर्तन पहले प्रमाण बना रही हैं — paper-only अनुपालन से बचने के लिए runway का उपयोग करें।

6. प्रमाण चेकलिस्ट

[ ] स्वामियों के साथ evidence pack index
[ ] सूचना और सहमति संस्करण log
[ ] सहमति और withdrawal रिकॉर्ड
[ ] Processor अनुबंध register
[ ] अधिकार/शिकायत register
[ ] उल्लंघन/घटना log (अभ्यास सहित)
[ ] प्रतिधारण अनुसूची और विलोपन proof
[ ] सुरक्षा baseline और access review रिकॉर्ड
[ ] नियामक watch log

अनुभाग 14: OPERATE अध्याय 4 — अधिकार और शिकायत संचालन

गोपनीयता कानून केवल बुरी बातें रोकने के बारे में नहीं है। लोगों को पूछने का अधिकार होना चाहिए — अपना डेटा देखें, ठीक करें, मिटाएँ, शिकायत करें, और किसी को उनकी जगह कार्य करने के लिए nominate करें। अधिकार डेटा अनुरोधों के लिए आपका customer service lane है, 90-दिवसीय शिकायत छत के साथ।

1. व्यवसाय हुक

यदि बैंक खाताधारक अनुरोध पर statement नहीं पा सकता, बैंक बिना fraud के भी विश्वास खो देता है। डेटा अधिकार उसी तरह काम करते हैं।

उपमा: Returns desk मौजूद हैं क्योंकि commerce को fair correction path चाहिए। अधिकार अनुरोध व्यक्तिगत डेटा के लिए वही desk हैं।

2. अच्छा क्या दिखता है

access, correction, erasure, grievance, और nomination अनुरोधों के लिए प्रकाशित चैनल
निष्पक्ष और दस्तावेज़ित पहचान सत्यापन चरण
स्वामी, SLA tracker, और closure evidence के साथ ticket queue
90 दिन अधिकतम के भीतर शिकायत प्रतिक्रियाएँ (Rule 14)
Data Principal कर्तव्यों के लिए fair-use भाषा (कोई झूठी शिकायत नहीं, कोई impersonation नहीं)
सूचना में DPBI तक escalation path दस्तावेज़ित

3. अभी यह करें

वेबसाइट/ऐप पर "अपने अधिकारों का प्रयोग करें" निर्देश प्रकाशित करें — email या फॉर्म के साथ।
शिकायत स्वामी नियुक्त करें (सभी फर्मों के लिए full-time DPO ज़रूरी नहीं)।
अनुरोध टेम्पलेट बनाएँ: access, correction, erasure, nomination।
पहचान सत्यापन परिभाषित करें (जोखिम के अनुपात में)।
तिथियों और परिणामों के साथ सरल register में अनुरोध ट्रैक करें।
90 दिन से काफ़ी कम internal SLA सेट करें; दिन 60 पर escalate करें।
सपोर्ट स्टाफ को प्रशिक्षित करें कि अनुरोध "केवल IT" के रूप में dismiss न करें।

4. भारत एंकर बॉक्स

Anchor	आवश्यकता
Sections 11-14	Access, correction, completion, updating, erasure, grievance, nomination
Section 15	Data Principal कर्तव्य — आपके workflow में fair use
Rule 14	अनुरोध विधियाँ प्रकाशित करें; अधिकतम 90 दिन के भीतर शिकायत प्रतिक्रिया

5. यदि आप GDPR जानते हैं

GDPR Chapter III अधिकार case law volume में व्यापक हैं लेकिन आकार में समान हैं। भारत की 90-दिवसीय शिकायत cap एक स्पष्ट संख्या है — informal email threads के लिए नहीं, ops को इस पर बनाएँ।

6. प्रमाण चेकलिस्ट

[ ] प्रकाशित अधिकार और शिकायत प्रक्रिया
[ ] समय-मुहरा वाला अनुरोध register
[ ] पहचान सत्यापन प्रक्रिया
[ ] बंद अनुरोध नमूने (redacted)
[ ] SLA dashboard या मासिक रिपोर्ट
[ ] Nomination संचालन नोट्स

अनुभाग 15: OPERATE अध्याय 5 — जवाबदेही और शासन

जवाबदेही गोपनीयता को project से managed business function में बदल देती है। किसी को programme का स्वामित्व होना चाहिए, बोर्ड को material risk दिखनी चाहिए, और स्टाफ को नियम पता होना चाहिए।

1. व्यवसाय हुक

शासन के बिना, गोपनीयता annual policy PDF और भूली vendor spreadsheet बन जाती है। जवाबदेही स्वामी नामित करती है, समीक्षा cadence सेट करती है, टीमों को प्रशिक्षित करती है, और ऊपर रिपोर्ट करती है — जैसे finance में CFO और monthly closes होते हैं।

उपमा: workplace safety को fire marshal और drills चाहिए, केवल poster नहीं। गोपनीयता शासन वही operating layer है।

2. अच्छा क्या दिखता है

executive sponsor के साथ नामित DPDPA programme स्वामी
वेबसाइट, ऐप, और सूचनाओं पर प्रकाशित DPO या authorised contact (Rule 9)
मुख्य policy set: privacy notice framework, retention, security baseline, vendor standard, rights SOP, breach playbook
व्यक्तिगत डेटा छूने वाले स्टाफ के लिए onboarding और वार्षिक refresher प्रशिक्षण
उच्च-देखभाल सिस्टमों के लिए त्रैमासिक access reviews
वर्ष में कम से कम दो बार बोर्ड या leadership summary: top risks, open items, evidence maturity
SDF readiness track केवल यदि designation plausible है

3. अभी यह करें

एक accountable स्वामी नियुक्त करें और ज़िम्मेदारियाँ दस्तावेज़ करें।
सूचनाओं और वेबसाइट footer में grievance/DPO contact प्रकाशित करें।
OPERATE letters से mapped minimal policy set approve करें।
frontline टीमों (WhatsApp, HR, support) के लिए 60-मिनट DPDPA awareness session चलाएँ।
legal, security, product, और ops के साथ त्रैमासिक programme reviews schedule करें।
एक-पृष्ठ बोर्ड summary प्रस्तुत करें: पाँच risks, पाँच evidence gaps, 90-दिवसीय योजना स्थिति।
मासिक scan स्वामी के साथ policy horizon log (अनुभाग 22) बनाए रखें।

4. भारत एंकर बॉक्स

Anchor	आवश्यकता
Section 8	Data Fiduciary ज़िम्मेदारी और समग्र जवाबदेही
Rule 9	DPO या authorised व्यक्ति का contact प्रकाशित करें
Section 10 + Rule 13	Significant Data Fiduciaries के लिए enhanced governance (यदि designated)
Sections 18-34	DPBI डिजिटल कार्यवाही में दस्तावेज़ित अनुपालन अपेक्षित करता है

5. यदि आप GDPR जानते हैं

GDPR DPO आवश्यकताएँ controllers के subsets पर लागू होती हैं। भारत Rule 9 के माध्यम से प्रकाशित contact व्यापक रूप से माँगता है; SDFs पर भारी कर्तव्य। Processors और ग्राहक upstream audit करते बढ़ रहे हैं, इसलिए SMEs के लिए भी governance maturity मायने रखती है।

6. प्रमाण चेकलिस्ट

[ ] नामित programme स्वामी और executive sponsor
[ ] प्रकाशित DPO/authorised contact
[ ] संस्करण तिथियों के साथ approved policy set
[ ] प्रशिक्षण attendance या completion रिकॉर्ड
[ ] त्रैमासिक समीक्षा minutes
[ ] बोर्ड या leadership summary नमूने
[ ] Access review रिकॉर्ड

अनुभाग 16: OPERATE अध्याय 6 — तृतीय-पक्ष और विक्रेता नियंत्रण

आपके विक्रेता की गलती भी आपकी ग्राहक समस्या है। तृतीय-पक्ष vendor governance और cross-border discipline है — अनुबंध, audits, और transfer registers ताकि partners आपका weakest shutter न बनें।

उपमा: यदि आप delivery outsource करते हैं, रास्ते में package खुलने पर भी आप जवाब देते हैं। Processors डेटा के लिए वही delivery chain हैं।

1. अच्छा क्या दिखता है

purpose, साझा डेटा, और location के साथ processor register
अनुबंधों में DPDPA-संरेखित सुरक्षा, उल्लंघन सहयोग, विलोपन, और audit खंड (Rule 6)
destination countries और Rule 15 पर legal watch के साथ cross-border transfer register
HR, cloud, payment, ad-tech, BGV vendors onboard करने से पहले due diligence
SDF-designated फर्म algorithmic tools पर due diligence extend करती हैं (Rule 13)
सरकारी सूचना अनुरोध legal leadership तक escalate (Rules 23/Schedule 7)

2. अभी यह करें

सभी processors सूचीबद्ध करें: cloud, email, CRM, payroll, payments, analytics, support tools।
processor obligations और breach notification cooperation के साथ अनुबंध अपग्रेड करें।
cross-border flows मैप करें (US, EU, Singapore, आदि); MeitY restricted-country अधिसूचनाएँ monitor करें।
least privilege से vendor access block करें; त्रैमासिक समीक्षा करें।
critical vendors के लिए subprocessors list बनाए रखें।
सरकारी सूचना demands के लिए legal escalation path बनाएँ।
यदि SDF-scale, algorithmic due diligence और audit cadence तैयार करें।

3. भारत एंकर बॉक्स

Anchor	आवश्यकता
Section 8	Processor नियंत्रण के लिए Data Fiduciary ज़िम्मेदार
Section 16	सरकार notified countries में transfers प्रतिबंधित कर सकती है
Rule 6	सुरक्षा उपायों के लिए processor अनुबंध खंड
Rule 15	Central Government निर्दिष्ट कर सकती है transfer conditions
Rule 13	SDF algorithms/tools के लिए due diligence; localisation watch

4. यदि आप GDPR जानते हैं

GDPR Article 28 processor terms और SCCs reference point हैं। भारत में उसी रूप में SCC regime नहीं; इसके बजाय सरकारी प्रतिबंध और Rule 15 conditions watch करें। अभी flows मैप करें; केवल GDPR transfer tools पर्याप्त मानें नहीं।

5. प्रमाण चेकलिस्ट

[ ] Processor/vendor register
[ ] privacy/security खंडों वाले हस्ताक्षरित अनुबंध
[ ] Cross-border transfer map
[ ] Vendor समीक्षा या audit trail
[ ] Subprocessor disclosures
[ ] सरकारी अनुरोध escalation log (यदि लागू)

अनुभाग 17: OPERATE अध्याय 7 — घटना और उल्लंघन तैयारी

घटना security incidents और breach clock को कवर करती है — detection, containment, notification, और recovery। प्रतिधारण और preventive security यहाँ और Evidence में बैठती है; यह अध्याय जब कुछ गलत हो पर केंद्रित है।

1. व्यवसाय हुक

विश्वास दो कृत्यों में टूटता है: leak, और धीमी प्रतिक्रिया। घटना आपकी immune response है — केवल firewalls नहीं, users, Board, और अपनी टीम के लिए अभ्यासित timelines।

उपमा: दुकानदार रात shutter बंद करता है, expired stock फेंकता है, और break-in के तुरंत बाद पुलिस बुलाता है। घटना break-in response playbook है।

2. अच्छा क्या दिखता है

दस्तावेज़ित security baseline: जहाँ उचित encryption, access control, logging, backups, monitoring (Rule 6)
विलोपन workflows और दस्तावेज़ित अपवादों के साथ प्रतिधारण अनुसूची
roles, templates, और timers के साथ incident response playbook
प्रभावित users को undue delay के बिना सूचित; Board को undue delay के बिना; 72 घंटे के भीतर detailed Board report (Rule 7)
Rule 6 लागू होने पर security events के लिए एक-वर्ष log retention
बड़े e-commerce/social/gaming entities Rule 8/Schedule 3 inactivity erasure track करें यदि लागू

3. अभी यह करें

Rule 6 से aligned minimum security baseline checklist अपनाएँ।
उच्च-देखभाल डेटा कौन access कर सकता है मैप करें; shared logins और stale accounts हटाएँ।
डेटा प्रकार के अनुसार retention rules लिखें; जहाँ possible deletion automate करें।
breach playbooks बनाएँ: contain, assess, users notify, Board notify, 72-घंटे report।
"गलत WhatsApp report" और laptop-loss scenarios पर frontline staff प्रशिक्षित करें।
त्रैमासिक backups और ex-employees के लिए access removal test करें।
वार्षिक tabletop breach drill चलाएँ और evidence pack में record फाइल करें।

4. उल्लंघन प्रतिक्रिया घड़ी

Diagram: see figure below.

घड़ी	कार्रवाई	सहेजने योग्य प्रमाण
तत्काल	Contain + स्वामी नियुक्त करें	Timeline, प्रभावित सिस्टम
Undue delay के बिना	User notice draft	ज्ञात तथ्य, दी गई remediation
Undue delay के बिना	DPBI notification	प्रारंभिक तथ्य log
72 घंटे	Detailed report	पूर्ण incident record, root cause, fixes

उपमा: Fire drill जैसा — आप आग के दौरान plan नहीं बनाते।

5. भारत एंकर बॉक्स

Anchor	आवश्यकता
Section 8(5)-(7)	उचित सुरक्षा safeguards; breach intimation कर्तव्य
Rule 6	Encryption/masking, access control, logs, monitoring, backups, processor खंड
Rule 7	Users को undue delay के बिना सूचना; Board को undue delay के बिना; 72 घंटे के भीतर detailed report
Rule 8 + Schedule 3	निर्दिष्ट entities के लिए inactivity के बाद erasure; 48-घंटे warning; logs

6. यदि आप GDPR जानते हैं

GDPR Articles 32-33 सुरक्षा और breach notification माँगते हैं। भारत का Rule 7 Board notification के बाद 72-घंटे detailed report सेट करता है — इसे hard operational SLA मानें, "best efforts" email नहीं।

7. प्रमाण चेकलिस्ट

[ ] Security baseline दस्तावेज़ और implementation evidence
[ ] Access control matrix और offboarding रिकॉर्ड
[ ] प्रतिधारण अनुसूची + deletion logs
[ ] Incident response plan और tabletop exercise नोट्स
[ ] उल्लंघन notification templates (user + Board)
[ ] Security log retention policy (जहाँ आवश्यक minimum एक वर्ष)

अनुभाग 18: कार्यान्वयन किट

ये किट OPERATE v6.1 को इस महीने चलाई जा सकने वाली checklists में अनुवाद करती हैं। maturity score करें, notices ठीक करें, और v6 में आंशिक coverage के स्थान पर children's data और retention जोड़ें।

DPDPA तैयारी चेकलिस्ट (OPERATE v6.1 से mapped)

प्रत्येक पंक्ति score करें: 0 = शुरू नहीं, 1 = आंशिक, 2 = दस्तावेज़ित और operating।

#	नियंत्रण	O	P	E	R	A	T	E
1	Processing activity register	*
2	प्रति feature lawful basis tagged		*
3	Standalone product notice		*
4	Consent और notice संस्करण log			*
5	Security baseline + access control							*
6	72-घंटे timer के साथ breach playbook			*				*
7	Rights request inbox + स्वामी				*
8	नामित programme स्वामी + board review					*
9	Processor अनुबंध अपडेट			*			*
10	Cross-border flow map			*			*
11	त्रैमासिक horizon review			*		*
12	Child/minor flow assessment (यदि लागू)		*	*

Maturity bands: 0-7 = Ad hoc | 8-14 = Repeatable | 15-20 = Defined | 21-24 = Managed

डेटा इन्वेंटरी टेम्पलेट (standalone)

फ़ील्ड	उदाहरण
Activity name	Customer checkout
Data categories	Name, phone, address, payment ref
Lawful basis	Consent + contract
Source / channel	Website form
Storage location	Shopify + payment gateway (US)
Processors	Shopify, Razorpay, Shiprocket
Retention period	7 years tax; marketing until withdraw
Owner	Head of E-commerce
Last reviewed	14 Jun 2026

सूचना लेखन किट (5 bullets)

Purpose से शुरू करें — पहली screen या paragraph में "हम X collect करते हैं Y करने के लिए"।
डेटा itemise करें — phone, email, payment reference, device ID — "personal information" नहीं।
वैकल्पिक उपयोग अलग रखें — marketing, analytics, testimonials अपनी पंक्तियों पर।
अधिकार paths दिखाएँ — access, correction, erasure, grievance, Board complaint links के साथ।
Standalone रखें — core notice Terms and Conditions में कभी bury न करें (Rule 3)।

सहमति प्रवाह किट (5 चरण)

क्षण पहचानें — checkout, signup, form, WhatsApp opt-in।
आवश्यक बनाम वैकल्पिक अलग करें — वैकल्पिक processing के लिए केवल वैकल्पिक boxes।
स्पष्ट affirmative action — button या unchecked tick; pre-ticked marketing नहीं।
प्रमाण log करें — क्या, कब, चैनल, दिखाई गई notice का संस्करण।
Withdrawal mirror करें — समान या आसान channels; withdrawal user को confirm करें।

विक्रेता शासन किट (5 bullets)

अपने data map से जुड़ा processor register बनाए रखें।
अनुबंधों में security, breach, deletion, और audit खंड आवश्यक (Rule 6)।
Cloud और ad-tech के लिए data location और subprocessors मैप करें।
Vendors offboard करें access removal और return/deletion certificates के साथ।
वार्षिक समीक्षा — या vendor incident news आने पर।

उल्लंघन प्रतिक्रिया चेकलिस्ट

Contain — spread रोकें, logs संरक्षित करें, incident lead नियुक्त करें।
Assess — डेटा प्रकार, volume, harm likelihood।
Users notify undue delay के बिना ज्ञात तथ्य और remediation steps के साथ।
DPBI notify undue delay के बिना; 72-घंटे detailed report तैयार करें।
Record timeline, decisions, templates, root cause, और fixes evidence pack में।
Review access controls और vendor खंड जो fail हुए।

बच्चों के डेटा चेकलिस्ट

Diagram: see figure below.

इन्फोग्राफिक 6: Children's Data Decision Tree

भारत-विशिष्ट: Uniform age threshold 18 से कम है (कई global कानूनों से सख्त)।

व्यावहारिक चरण:

पहचानें कहाँ users 18 से कम हो सकते हैं (education, gaming, family apps)।
जहाँ उचित age gate या account type declaration लागू करें।
वैकल्पिक processing से पहले verifiable parental consent capture करें।
child-directed services पर behavioural ads और tracking block करें।
Schedule 4 exemptions संकीर्ण दस्तावेज़ करें यदि लागू (schools, clinics)।

प्रतिधारण चेकलिस्ट

purpose से जुड़ा प्रति data category retention period परिभाषित करें (tax, contract, dispute)।
अपवाद दस्तावेज़ करें (legal hold, active grievance, regulatory request)।
जहाँ systems अनुमति दें deletion या anonymisation automate करें।
बड़े e-commerce/social/gaming के लिए Schedule 3 inactivity erasure कर्तव्य assess करें।
evidence pack में deletions और periodic retention reviews log करें।

SDF तैयारी पैक (सशर्त)

केवल यदि scale, sector sensitivity, या systemic risk Significant Data Fiduciary designation plausible बनाता है:

Data Protection Officer contact नियुक्त या designate करें (Rule 9)
वार्षिक Data Protection Impact Assessment और audit (Rule 13)
आवश्यकतानुसार Board को significant audit observations furnish करें
व्यक्तियों पर scale पर प्रभाव डालने वाले tools के लिए algorithmic due diligence
सरकार निर्दिष्ट कर सकती है श्रेणियों के लिए localisation watch
Board-facing evidence pack और executive sponsor
Enhanced processor और transfer governance

तैयारी scorecard (OPERATE v6.1 से mapped 10 प्रश्न)

#	प्रश्न	Domain
1	सरल अंग्रेज़ी में हर प्रकार का व्यक्तिगत डेटा सूचीबद्ध कर सकते हैं?	Observe
2	हर major system डेटा किस country में store करता है पता है?	Observe
3	हर उपयोग consent या specific Section 7 ground से tagged है?	Permission
4	Users वैकल्पिक consent उतनी आसानी से withdraw कर सकते हैं जितनी दी?	Permission
5	हर major collection point पर notice standalone है?	Permission
6	sample user के लिए consent और notice version logs produce कर सकते हैं?	Evidence
7	72-घंटे Board report step के साथ breach playbook है?	Event
8	ग्राहक आज rights request submit कर सकता है और tracked response पा सकता है?	Rights
9	Processor अनुबंध security और breach cooperation माँगते हैं?	Third-party
10	leadership ने पिछले 90 दिन में DPDPA risk review किया?	Accountability

Scoring: 8-10 yes = strong runway | 5-7 = 2027 से पहले बंद करने योग्य gaps | 0-4 = Observe + Permission से शुरू करें

अनुभाग 19: 12 उद्योग जोखिम स्नैपशॉट

पूर्ण 12-block उद्योग playbooks SaralPrivacy वेबसाइट पर हैं। यह अनुभाग PDF readers के लिए compact snapshots देता है — पहले ठीक करने के लिए दो flows prioritise करने के लिए पर्याप्त (CEO page, अनुभाग 4)।

जोखिम heatmap

Diagram: see figure below.

प्राथमिकता	उद्योग	Scan route
Critical	Clinics, Schools, Fintech	Sector scan पहले
High	CA, Pharmacy, Law, Training	Sector scan + generic assessment
Medium	D2C, Recruitment, Hotels, Real Estate, Gyms	जब relevant sector scan

CA फर्म

प्राथमिक जोखिम थीम: Client-document control — tax knowledge नहीं।

कौन: Solo CA और partnerships, GST/payroll/advisory फर्म, article assistants और shared cloud folders उपयोग करने वाली टीमें।

सामान्य व्यक्तिगत डेटा: PAN, Aadhaar, ITR files, bank statements, payroll, Google Drive, WhatsApp, article staff access, old client files

उच्च-जोखिम flows:
1. Clients बिना standard intake के WhatsApp या email से PAN और bank statements भेजते हैं
2. ex-articles और interns के लिए stale access के साथ shared Drive folders
3. deletion rules के बिना indefinitely रखे old ITR और KYC copies

DPDPA कर्तव्य triggered: Notice (R3) | Security (R6) | Breach (R7) | Rights (R14) | Sections 4, 5, 6/7, 8

तत्काल कार्रवाई:
1. Clients PAN, Aadhaar, ITR और bank documents upload करने का तरीका standardise करें
2. Google Drive, email folders और client files पर access restrict और review करें
3. old ITR files, PAN copies, bank statements और payroll data के retention rules परिभाषित करें

Scan: saralprivacy.com/assessment/ca-firms - 10 questions - ~3 min

भर्ती एजेंसियाँ

प्राथमिक जोखिम थीम: CV movement clients, tools, और teams के पार — केवल resumes forward करना नहीं।

कौन: Recruitment और staffing agencies, executive search, email या portals के माध्यम से CVs साझा करने वाली RPO टीमें।

सामान्य व्यक्तिगत डेटा: CVs, candidate consent, job portals, LinkedIn, ATS, WhatsApp, client sharing, BGV, salary slips, rejected profiles, AI screening

उच्च-जोखिम flows:
1. Offer stage से पहले PAN, Aadhaar, salary slips की early collection
2. WhatsApp या email attachments के माध्यम से clients के साथ bulk CV folders साझा
3. deletion process के बिना indefinitely रखे rejected candidate profiles

DPDPA कर्तव्य triggered: Notice (R3) | Consent (Sec 6) | Security (R6) | Breach (R7) | Rights (R14)

तत्काल कार्रवाई:
1. Candidate sourcing और consent/notice भाषा standardise करें
2. PAN, Aadhaar, salary slips और BGV files की early collection कम करें
3. Clients के साथ CV sharing control करें और bulk folders से बचें

Scan: saralprivacy.com/assessment/recruitment - 10 questions - ~3 min

प्रशिक्षण संस्थान

प्राथमिक जोखिम थीम: Minors, parents, WhatsApp groups, और LMS data — केवल classroom delivery नहीं।

कौन: Coaching centres, test-prep brands, live classes और LMS वाली EdTech, parent WhatsApp groups वाले institutes।

सामान्य व्यक्तिगत डेटा: Student data, parent details, minors, WhatsApp groups, LMS tools, student photos, testimonials, attendance, fee records, placement data

उच्च-जोखिम flows:
1. 18 से कम students बिना documented parent/guardian consent के
2. Marketing के लिए बिना separate consent photos, testimonials, और demo-class recordings का उपयोग
3. clear rules के बिना रखे old leads और admission records

DPDPA कर्तव्य triggered: Notice (R3) | Children (Sec 9, R10) | Security (R6) | Rights (R14)

तत्काल कार्रवाई:
1. Record करें students 18 से कम हैं या नहीं और parent/guardian consent capture करें
2. Student और parent data intake informal channels से दूर standardise करें
3. WhatsApp groups, photos, testimonials और demo-class recordings review करें

Scan: saralprivacy.com/assessment/training-institutes - 10 questions - ~3 min

D2C ब्रांड

प्राथमिक जोखिम थीम: हर order के पीछे marketing और ad-tech engine — केवल product sales नहीं।

कौन: Shopify/Woo D2C brands, beauty/wellness/food lifestyle labels, Meta ads और WhatsApp campaigns चलाने वाली टीमें।

सामान्य व्यक्तिगत डेटा: WhatsApp marketing, Meta Pixel, cart abandonment, Shopify, SMS opt-in, logistics vendors, loyalty, unsubscribe, customer data, marketplace

उच्च-जोखिम flows:
1. Provable opt-in के बिना promotional WhatsApp/SMS
2. Cookie/notice disclosure के बिना Meta Pixel और retargeting
3. Mapped contracts के बिना customer data पाने वाले logistics और ad vendors

DPDPA कर्तव्य triggered: Notice (R3) | Consent (Sec 6) | Security (R6) | Vendors (R6, R15) | Rights (R14)

तत्काल कार्रवाई:
1. WhatsApp/SMS/email promotions के लिए separate opt-in capture और prove करें
2. Privacy/cookie notice में Meta Pixel, GA और retargeting tools disclose करें
3. सभी channels पर unsubscribe और preference management enable करें

Scan: saralprivacy.com/assessment/d2c - 10 questions - ~3 min

क्लिनिक और डायग्नोस्टिक लैब

प्राथमिक जोखिम थीम: Health reports, WhatsApp sharing, और access control — उच्चतम sensitivity band।

कौन: Single और multi-speciality clinics, pathology और radiology labs, home sample collection chains।

सामान्य व्यक्तिगत डेटा: Patient reports, prescriptions, health data, WhatsApp sharing, lab software, reception access, home collection, doctor referrals, insurance/TPA, old reports

उच्च-जोखिम flows:
1. Lab reports patients या family को recipient verification के बिना WhatsApp पर साझा
2. Clinic/HIS systems पर shared logins या ex-staff access
3. Vendor register के बिना outsourced labs और home collection partners

DPDPA कर्तव्य triggered: Notice (R3) | Security (R6) | Breach (R7) | Rights (R14) | Rule 12/Schedule 4 (child health)

तत्काल कार्रवाई:
1. Patient intake channels standardise करें — scattered WhatsApp और paper intake कम करें
2. WhatsApp या email से reports साझा करने से पहले recipients verify करें
3. Reception, billing, lab और support staff access role-based controls से restrict करें

Scan: saralprivacy.com/assessment/clinics-diagnostic-labs - 10 questions - ~3 min

स्कूल और कॉलेज

प्राथमिक जोखिम थीम: Children's data, CCTV, apps, और transport monitoring — critical priority।

कौन: K-12 schools, colleges, ERP apps, CCTV, transport GPS, और fee systems वाले institutions।

सामान्य व्यक्तिगत डेटा: Children's data, parent records, school apps, CCTV, attendance, transport GPS, student photos, fee records, LMS, old student files

उच्च-जोखिम flows:
1. 18 से कम students बिना specific parent notice और consent process के
2. बिना separate consent public photos, videos, और results
3. Governance और retention rules के बिना CCTV, biometric, RFID, और transport GPS

DPDPA कर्तव्य triggered: Notice (R3) | Children (Sec 9, R10-12) | Security (R6) | Breach (R7) | Rights (R14)

तत्काल कार्रवाई:
1. Map करें student और parent data कहाँ collect और store होता है
2. 18 से कम students के लिए parent/guardian notice और consent मजबूत करें
3. CCTV, biometric, RFID, transport GPS और hostel monitoring govern करें

Scan: saralprivacy.com/assessment/schools-colleges - 10 questions - ~3 min

लॉ फर्म

प्राथमिक जोखिम थीम: Matter files, evidence, और junior access — confidentiality plus DPDPA evidence।

कौन: Litigation और corporate practices, boutiques, juniors, interns, और matter folders वाली टीमें।

सामान्य व्यक्तिगत डेटा: Client KYC, PAN/Aadhaar, case files, evidence records, affidavits, WhatsApp instructions, court filing, junior access, external counsel, closed matters

उच्च-जोखिम flows:
1. Matter-team restriction के बिना shared drives पर sensitive case files
2. WhatsApp या informal email exports के माध्यम से प्राप्त evidence
3. Ex-staff, interns, या associates cloud या device access बनाए रखते हैं

DPDPA कर्तव्य triggered: Notice (R3) | Security (R6) | Breach (R7) | Rights (R14) | Cross-border (Sec 16)

तत्काल कार्रवाई:
1. Client documents और matter-data flows मैप करें
2. Sensitive case files matter team पर restrict करें
3. Client documents के लिए WhatsApp/email/shared-folder usage standardise करें

Scan: saralprivacy.com/assessment/law-firms - 10 questions - ~3 min

रियल एस्टेट

प्राथमिक जोखिम थीम: KYC और broker networks property और identity data move करते हैं।

कौन: Brokers, property consultants, developer sales desks, rental और resale teams।

सामान्य व्यक्तिगत डेटा: Buyer leads, tenant KYC, PAN/Aadhaar, rent agreements, sale deeds, property papers, WhatsApp groups, broker networks, loan partners, old leads

उच्च-जोखिम flows:
1. PAN/Aadhaar/property docs WhatsApp से प्राप्त और forward
2. Client notice के बिना broker WhatsApp groups में lead sheets
3. Ex-staff या old broker partners CRM या cloud access बनाए रखते हैं

DPDPA कर्तव्य triggered: Notice (R3) | Security (R6) | Breach (R7) | Rights (R14)

तत्काल कार्रवाई:
1. KYC और property-document collection standardise करें
2. PAN, Aadhaar और agreement documents की WhatsApp forwarding कम करें
3. Co-brokers, builders, landlords और loan partners के साथ lead sharing control करें

Scan: saralprivacy.com/assessment/real-estate - 10 questions - ~3 min

होटल और यात्रा

प्राथमिक जोखिम थीम: Guest IDs, passport copies, और OTA data sharing।

कौन: Hotels, resorts, homestays, travel agencies, corporate travel desks।

सामान्य व्यक्तिगत डेटा: Guest IDs, passport copies, booking history, OTA sharing, travel documents, WhatsApp confirmations, CCTV, PMS access, transport vendors, old guest records

उच्च-जोखिम flows:
1. WhatsApp या personal email के माध्यम से collect passport और visa documents
2. Foreign guest और C-Form data indefinitely रखा
3. Shared PMS/OTA logins और guest systems पर ex-staff access

DPDPA कर्तव्य triggered: Notice (R3) | Security (R6) | Breach (R7) | Rights (R14) | Cross-border (R15)

तत्काल कार्रवाई:
1. ID, passport और travel-document collection standardise करें
2. Guest IDs और passport copies की WhatsApp/email sharing कम करें
3. PMS, CRM, OTA dashboard, CCTV और staff device access restrict करें

Scan: saralprivacy.com/assessment/hotels-travel - 10 questions - ~3 min

फार्मेसी

प्राथमिक जोखिम थीम: Prescriptions, medicine history, और refill campaigns।

कौन: Retail और chain pharmacies, online pharmacy fulfilment, WhatsApp पर prescriptions पाने वाली टीमें।

सामान्य व्यक्तिगत डेटा: Prescriptions, medicine history, WhatsApp orders, refill reminders, delivery partners, billing software, health indicators, staff access, old records

उच्च-जोखिम flows:
1. WhatsApp या staff phones के माध्यम से प्राप्त prescription images
2. Sensitive medicine categories के लिए बिना separate consent refill या promotional messages
3. Shared pharmacy software logins और uncleared ex-staff access

DPDPA कर्तव्य triggered: Notice (R3) | Security (R6) | Breach (R7) | Children (R10-12) | Rights (R14)

तत्काल कार्रवाई:
1. Prescription collection और storage standardise करें
2. Prescription images की WhatsApp और staff-phone handling कम करें
3. Medicine-history data के retention और refill-message rules परिभाषित करें

Scan: saralprivacy.com/assessment/pharmacies - 10 questions - ~3 min

Fintech और NBFC

प्राथमिक जोखिम थीम: KYC, profiling, DSAs, और cross-border analytics — critical complexity।

कौन: NBFCs, digital lenders, payment apps, UPI/wallet/BNPL, collections businesses।

सामान्य व्यक्तिगत डेटा: KYC, PAN/Aadhaar, bank data, UPI, credit bureau, profiling, DSAs, collection agents, payment partners, old records

उच्च-जोखिम flows:
1. Consent evidence के बिना WhatsApp या field agents के माध्यम से KYC और bureau data
2. Limited customer-facing explanation के साथ automated decisioning
3. Customer lists download/export access वाले DSAs और collection agents

तत्काल कार्रवाई:
1. KYC, bank, bureau, UPI और repayment data flows मैप करें
2. Verification, profiling और sharing के लिए timestamped consent मजबूत करें
3. DSA, collection-agent, call-centre और vendor access control करें

Scan: saralprivacy.com/assessment/fintech-nbfc - 10 questions - ~3 min

जिम, सैलून और स्पा

प्राथमिक जोखिम थीम: Health-adjacent body data, photos, और WhatsApp campaigns।

कौन: Gyms, fitness studios, salons, spas, membership और appointment apps वाली wellness chains।

सामान्य व्यक्तिगत डेटा: Membership data, health details, body measurements, customer photos, before-after images, WhatsApp campaigns, appointment apps, staff phones, old records

उच्च-जोखिम flows:
1. बिना separate consent customer photos social media या ads के लिए
2. Staff phones या WhatsApp पर recorded health और body data
3. Trainers और therapists के पार shared CRM या appointment app logins

DPDPA कर्तव्य triggered: Notice (R3) | Consent (Sec 6) | Security (R6) | Breach (R7) | Rights (R14)

तत्काल कार्रवाई:
1. Forms, apps, WhatsApp, DMs और staff notes के पार customer data मैप करें
2. Customer photos, before-after images या testimonials उपयोग से पहले consent capture करें
3. Health, body, consultation और transformation data पर access restrict करें

Scan: saralprivacy.com/assessment/gyms-salons-spas - 10 questions - ~3 min

अनुभाग 20: अधिनियम Section Map

Sec.	विषय	सरल अर्थ	संगठनों के लिए कार्रवाई
3	Application	भारत में digital personal data; बाद में digitised offline data; भारत में goods/services offer से जुड़ी foreign processing।	Customers, employees, vendors, leads, website/app users और India-facing services मैप करें।
4	Grounds	Processing lawful purpose के लिए और consent या certain legitimate uses के लिए होना चाहिए।	हर processing activity consent-based या legitimate-use based tag करें।
5	Notice	Notice Data Principal को बताए कौन सा डेटा process होता है, purpose, rights, withdrawal और complaint route।	Standalone notices उपयोग करें; core notice long T&Cs में bury न करें।
6	Consent	Consent free, specific, informed, unconditional और clear affirmative action होनी चाहिए; withdrawal आसान होना चाहिए।	Marketing, profiling, photos, या referrals जैसे वैकल्पिक उपयोगों के लिए separate consent।
7	Legitimate uses	Limited non-consent grounds जैसे specified purpose के लिए voluntary data, State functions, legal compliance, court orders, medical emergency, disaster/public order, employment safeguards।	हर business convenience legitimate use न कहें।
8	DF obligations	Data Fiduciary lawful processing, security, breach notice, deletion, grievance, processor control के लिए ज़िम्मेदार रहता है।	Owner, records, breach process, retention schedule और processor contracts बनाएँ।
9	Children	Verifiable parental consent; children पर directed tracking, behavioural monitoring या targeted ads नहीं; harmful processing नहीं।	Child-facing flows classify करें; children को targeted advertising बंद करें।
10	SDF	Notified Significant Data Fiduciaries के अतिरिक्त कर्तव्य।	केवल यदि scale/risk/sector designation plausible बनाता है तैयार करें।
11-14	Rights	Access, correction, completion, updating, erasure, grievance, nomination।	Identity checks और response ownership के साथ request process बनाएँ।
15	Duties of Data Principal	Impersonation, false complaint, material information suppression या correction/erasure के लिए unverifiable information नहीं।	Rights workflow में fair-use भाषा प्रकाशित करें।
16	Cross-border	सरकार notified countries/territories में transfer प्रतिबंधित कर सकती है; stricter sectoral laws लागू रहती हैं।	Cross-border register बनाए रखें और अधिसूचनाएँ monitor करें।
17	Exemptions	Legal rights, courts, prevention/investigation/prosecution, mergers, defaults, State security/public order, research/statistics के लिए कुछ processing exempt हो सकती है।	Exemptions संकीर्ण लागू करें और legal basis दस्तावेज़ करें।
18-34	DPBI	Digital Data Protection Board, proceedings, orders, mediation, voluntary undertakings, penalties।	प्रवर्तन digital और document-led है, इसलिए evidence रखें।
36-37	Government powers	Government information request powers; repeat penalties और non-compliance के बाद blocking recommendation।	Government notices legal leadership तक escalate करें।
44	Amendments	TDSAT framework, IT Act और RTI Act Section 8(1)(j) संशोधित करता है।	Firm public-sector guidance से पहले pending RTI/privacy litigation track करें।

Rules और schedules map

Rule	विषय	Rule क्या कहता है	यह नियंत्रण बनाएँ
1-2	Commencement/definitions	Commencement, user account, techno-legal measures और verifiable consent परिभाषित करता है।	Policy और product specs में rule definitions उपयोग करें।
3	Notice	Notice independently understandable, plain, itemised होनी चाहिए, और withdrawal, rights और Board complaint के links दे।	T&Cs से notice अलग रखें और language-accessible रखें।
4 + Sch. 1	Consent Managers	India-incorporated company, minimum INR 2 crore net worth, interoperable platform, independence, auditability, no misuse।	केवल Consent Manager operate/register करने या integrate करने पर relevant।
5 + Sch. 2	State processing	Subsidy, benefit, service, certificate, licence या permit के लिए State या instrumentalities के data processing के मानक।	Government-linked projects Schedule 2 compliance review चाहते हैं।
6	Security safeguards	Encryption/obfuscation/masking/tokenisation, access control, logs, monitoring, backup, processor contract clauses, organisational measures।	Minimum security baseline और एक-वर्ष log retention बनाएँ।
7	Breach notice	प्रभावित Data Principals को delay के बिना notify; Board को delay के बिना; 72 घंटे के भीतर detailed Board report।	Incident clock, facts log, user notice template और Board report template बनाए रखें।
8 + Sch. 3	Erasure/retention	कुछ बड़े e-commerce, social media और online gaming entities निर्दिष्ट inactivity अवधि के बाद erase करें; 48-घंटे warning; कम से कम एक वर्ष logs।	Retention schedule + automated deletion और exception handling।
9	Contact point	Data Principal प्रश्नों के लिए DPO या authorised व्यक्ति का contact प्रकाशित करें।	Website/app और notices में contact रखें।
10	Child consent	Existing reliable details, voluntary identity/age details, या authorised entity से virtual token से parent/adult verify करें।	Child data के लिए age gate और parent verification जोड़ें।
11	Persons with disability	जहाँ आवश्यक applicable disability laws के तहत lawful guardian verify करें।	सभी disability guardian consent की माँग न मानें।
12 + Sch. 4	Children exemptions	Clinical establishments, mental health establishments, educational institutions, childcare, transport, creches जैसी specified classes listed purposes के लिए process कर सकती हैं।	केवल listed purpose और class के लिए; advertising या profiling के लिए नहीं।
13	SDF obligations	वार्षिक DPIA और audit; significant observations Board को furnish; algorithms/tools के लिए due diligence; specified data का possible localisation।	SDF readiness pack: DPO, DPIA, audit, algorithmic risk review, localisation watch।
14	Rights requests	Data Principals rights और nomination requests कैसे कर सकते हैं प्रकाशित करें; grievance response अधिकतम 90 दिन के भीतर।	Rights SOP, identity verification, queue tracking और closure evidence।
15	Transfer outside India	Transfers Central Government निर्दिष्ट requirements पूरे करें foreign state या controlled entities को personal data availability के लिए।	Cross-border register और government access risk के contract clauses।
16	Research/statistics	Research, archiving या statistical processing exempt केवल यदि Data Principal-specific decisions के लिए उपयोग नहीं और standards पूरे करें।	Analytics/research decisioning से अलग करें।
17-21 + Sch. 5-6	DPBI	Board chair/members, salary, meetings, digital office और staff के रूप में functioning।	Digital filings के लिए evidence तैयार करें।
22	Appeals	Fee और techno-legal measures के साथ TDSAT में digitally appeal।	Appeal timelines और records track करें।
23 + Sch. 7	Government info powers	Government listed purposes के लिए information माँग सकती है और disclosure restrict कर सकती है।	Government information requests के लिए legal review workflow बनाएँ।

अनुभाग 21: अदालत के मामले और मुकदमeb ट्रैकर

चेतावनी: Pending cases केवल awareness items हैं। 14 जून 2026 तक कोई अदालत DPDPA stay या strike down नहीं की है।

मामला	स्थिति	व्यवसाय पाठक को क्यों परवाह करना चाहिए	Anchor उपयोग
Justice K.S. Puttaswamy v Union of India, 2017	Final	Privacy मौलिक अधिकार है; State action के लिए proportionality test	केवल संवैधानिक framing
K.S. Puttaswamy Aadhaar judgment, 2018/2019	Final	ID/KYC minimisation और proportionality	Aadhaar/PAN-heavy sectors के लिए industry risk context
CPIO, Supreme Court v Subhash Chandra Agarwal, 2019/2020	Final	RTI में privacy vs public interest; DPDPA RTI Section 8(1)(j) संशोधित	RTI/privacy interface
Venkatesh Nayak v Union of India, W.P.(C) No. 177/2026	Pending	RTI amendment, State exemptions, surveillance-related provisions को challenge	Horizon / legal watch — Act stayed नहीं
The Reporters' Collective Trust and Nitin Sethi v Union of India	Pending/tagged	Press freedom और public-interest reporting	Media और public-sector disclosures
Geeta Seshu/SFLC petition, W.P.(C) No. 275/2026	Pending/tagged	Public vs private data definitions और government powers	Government data handling watch
Anjali Bhardwaj/Amrita Johri and NCPRI-related petitions, 2026	Pending/tagged	Section 44(3) और RTI-sourced personal data की republication	Civil society और research uses
Chandresh Jain v Union of India, Delhi HC	Notice issued Feb 2026	Board structure, State exemptions, blocking powers	Institutional design watch

अनुभाग 22: ट्रैक करने योग्य वर्तमान खुले आइटम

इस tracker को मासिक governance reviews में उपयोग करें। प्रत्येक पंक्ति label करें: in force, notified phase, proposed, या pending litigation।

तिथि	स्रोत	क्या चर्चा हुई	व्यवसाय प्रभाव	Treatment
13 Nov 2025	MeitY G.S.R. 846(E)	Rules notified	Phased clock शुरू	सभी timelines के लिए anchor date
14 Nov 2025	PIB	Rules press release	सार्वजनिक पुष्टि	Status snapshot में cite करें
17 Nov 2025	MeitY (reported)	Faster enforcement for large/global-compliant firms	Runway छोटा हो सकता है	Horizon alert
23 Jan 2026	MeitY stakeholder meeting	Proposal: 18 to 12 month compliance; SDF list fast-track; Rule 8(3) in 90 days post-amendment	Deadline 13 Nov 2026 हो सकती है	proposed, not notified के रूप में flag करें
Feb 2026	MeitY	Industry feedback window (reported deadline 4 Feb 2026)	परिणाम pending	Gazette publish होने पर update करें
Jun 2026	MeitY Secretary (ET Telecom)	Timeline compression पर industry input की प्रतीक्षा	अभी final call नहीं	Accelerated date कानून के रूप में न कहें
2026	Karnataka (reported)	Under-16 के लिए social media ban proposal	National vs state competence unclear	Policy debate नोट करें, DPDPA text नहीं
Pending	Supreme Court / Delhi HC	Constitutionality, RTI interface, Board structure	Litigation risk	Court table; "Act struck down" भाषा नहीं
Open	MeitY / DPBI	Transfers के लिए restricted country list	Cross-border contract और mapping decisions	अधिसूचनाएँ monitor करें
Open	MeitY / DPBI	SDF designation list और localisation categories	SDF programme scope	सशर्त तैयार करें
Open	DPBI	Consent Manager operational framework	Product और integration roadmap	Nov 2026 phase से watch करें
Open	DPBI	Board portal filing procedures in practice	Breach और proceedings के लिए evidence format	Portal live होने पर pilot करें

Evolve discipline (v6 से): 30-मिनट मासिक scan स्वामी नियुक्त करें; internal "what changed this quarter" memo प्रकाशित करें; वर्ष में दो बार breach tabletop refresh करें; major product या vendor changes के बाद data inventory re-run करें।

अनुभाग 23: 90-दिवसीय DPDPA कार्य योजना

यह योजना mid-market operator के लिए है जिसमें अभी dedicated privacy team नहीं है। Owners अपने org chart में adjust करें। लक्ष्य: दिन 90 पर board-ready evidence pack v1, perfection नहीं।

Diagram: see figure below.

चरण	सप्ताह	फोकस	Outputs	स्वामी
Discover	1-2	स्वामी नियुक्त करें; systems scope करें; data map शुरू करें	नामित DPDPA owner; processing activity register v0.1	CEO + ops lead
Permission	3-4	Notices ठीक करें; lawful basis tag करें; marketing consent अलग करें	Updated notices; वैकल्पिक उपयोगों के लिए consent flow	Legal + product
Control	5-8	Vendors, rights inbox, retention, access controls	Processor review log; rights SOP; retention schedule	IT + procurement + HR
Prove	9-12	Breach drill; governance review; executive sign-off	Tabletop breach record; board summary; evidence pack v1	Security + CEO

सप्ताह-दर-सप्ताह विवरण

सप्ताह 1-2 (Discover): Accountable owner नामित करें। Systems सूचीबद्ध करें: CRM, HRMS, website, WhatsApp Business, cloud drives, payment tools। Top 10 flows के साथ processing register draft करें। अनुभाग 19 से दो industry-specific risks flag करें।

सप्ताह 3-4 (Permission): Website, app, और top offline form के लिए standalone notices प्रकाशित करें। Marketing consent अलग करें। Payroll और legal compliance के लिए Section 7 uses दस्तावेज़ करें केवल जहाँ counsel सहमत। Consent/version log शुरू करें।

सप्ताह 5-6 (Control - vendors और rights): Processor register पूरा करें। Top five vendor contracts अपग्रेड करें। rights@grievance inbox खोलें। Rights instructions प्रकाशित करें। 60-दिवसीय internal SLA परिभाषित करें।

सप्ताह 7-8 (Control - retention और access): Retention schedule approve करें। Ex-employee और vendor access हटाएँ। Shared folders और admin panels पर access review चलाएँ।

सप्ताह 9-10 (Prove): Tabletop breach scenario (WhatsApp mis-send या vendor leak)। 72-घंटे report draft का समय लें। Drill के लिए भी incident record फाइल करें।

सप्ताह 11-12 (Prove): Readiness scorecard के विरुद्ध leadership review। एक-पृष्ठ board summary: पाँच risks, पाँच evidence items, open law watchlist। 90-दिवसीय योजना wave 2 पर executive sign-off।

दिन 90 पर सफलता मानदंड

आप हिचकिचाहट के बिना इन पर हाँ कह सकें:

नामित owner 15-मिनट walkthrough में processing activity register प्रस्तुत कर सकता है।
कम से कम तीन collection points standalone notices दिखाते हैं जो पिछले 30 दिनों के भीतर dated हैं।
Top five vendors के signed या amended contracts security और breach clauses के साथ हैं, या upgrade करने की documented plan है।
Test rights request log, assign, और evidence pack में redacted sample के साथ close हुआ।
Breach tabletop exercise window के भीतर timeline, draft user notice, और draft Board notification produce किया।
Leadership अनुभाग 19 से priority one और two industry flows समझा सकती है।

यदि कोई उत्तर नहीं है, readiness declare करने के बजाय gap को अगले 90-दिवसीय wave में ले जाएँ। DPDPA programmes compound — हर quarter evidence depth जोड़ता है, नया project नहीं।

अनुभाग 24: अस्वीकरण और SaralPrivacy Product Bridge

अस्वीकरण

यह श्वेतपत्र SaralPrivacy द्वारा सूचनात्मक और शैक्षिक उद्देश्यों के लिए प्रकाशित है। यह legal advice नहीं है, भारतीय कानून में qualified counsel का substitute नहीं है, और compliance या regulatory outcome की guarantee नहीं है। Law, Rules, अधिसूचनाएँ, और court decisions status date (14 जून 2026) के बाद बदल सकते हैं। Operational decisions पर rely करने से पहले सभी deadlines, exemptions, और sectoral obligations अपने advisors और official Gazette sources से verify करें। SaralPrivacy इस दस्तावेज़ के आधार पर solely की गई कार्रवाइयों के लिए कोई liability स्वीकार नहीं करता।

SaralPrivacy product bridge (संयमित)

SaralPrivacy भारतीय operators को discover करने में मदद करता है कि वे वास्तव में कौन सा व्यक्तिगत डेटा process करते हैं और deep legal spend से पहले assess readiness। यह श्वेतपत्र map है; tools compass check हैं।

चरण	Route	यह क्या करता है
1. Discover	saralprivacy.com/discovery	पूर्ण compliance work बनाने से पहले channels के पार business कौन सा personal-data types collect करता है मैप करें
2. Assess	saralprivacy.com/assessment	Generic 10-प्रश्न readiness scan (~3 मिनट)
3. Sector scan	अनुभाग 19 routes	Industry-specific 10-प्रश्न snapshot; प्रारंभिक परिणाम के बाद deeper diagnostic

इस path का उपयोग कैसे करें: अनुभाग 3-5 और अपना industry snapshot पढ़ें। Discovery चलाएँ यदि plain English में data types सूचीबद्ध नहीं कर सकते। Generic या sector Assessment चलाएँ gaps prioritise करने के लिए। Outputs counsel और 90-दिवसीय योजना owner को ले जाएँ — दूसरे क्रम में नहीं।

कोई product feature law की माँग notice, security, breach response, या rights operations replace नहीं करता। Tools कहाँ शुरू करें narrow करते हैं ताकि teams real flows पर legal और engineering time खर्च करें, generic anxiety पर नहीं।

पहली बार पाठक के लिए suggested sequence:

CEO या founder: अनुभाग 3, 4, 5, और 19 (आपका industry) — 20 मिनट।
Programme owner: अनुभाग 7-18 plus अनुभाग 23 — एक working session।
Legal counsel: अनुभाग 8, 9, 20-22 और glossary — validation pass।
Board packet: इन्फोग्राफिक 1, अनुभाग 9 obligation table, अनुभाग 23 gantt, अनुभाग 18 से readiness scorecard।

यह श्वेतपत्र update होगा जब Gazette अधिसूचनाएँ dates बदलें या SaralPrivacy नए industry scan versions प्रकाशित करे। Externally deadlines cite करने से पहले cover पर status date check करें।

प्रकाशक नोट: SaralPrivacy भारतीय operators के लिए discovery और assessment tools बनाता है। यह दस्तावेज़ OPERATE v6.1 और जून 2026 legal status snapshot से aligned public reference edition है। SaralPrivacy support channels के माध्यम से feedback और corrections welcome हैं।

शब्दकोश (25 शब्द)

शब्द	सरल अंग्रेज़ी
Data Fiduciary	संगठन जो तय करता है व्यक्तिगत डेटा क्यों और कैसे process हो — आमतौर पर आपकी कंपनी।
Data Principal	जिस व्यक्ति का डेटा process होता है — customer, employee, student, patient, आदि।
Data Processor	Vendor जो आपके निर्देश पर व्यक्तिगत डेटा process करता है — cloud host, payroll provider, ATS।
Personal data	identifiable व्यक्ति के बारे में कोई भी डेटा — name, phone, PAN, health record, photo।
Processing	डेटा के साथ कुछ भी: collect, store, use, share, analyse, delete।
Consent	Freely दी गई clear, specific permission affirmative action के साथ; withdraw आसान होना चाहिए।
Legitimate uses	Section 7 के संकीर्ण grounds consent के बिना processing की अनुमति — general business exemption नहीं।
Notice	Collection पर plain-language explanation — data, purpose, rights, और complaints के बारे में।
Significant Data Fiduciary (SDF)	Government-notified बड़े/उच्च-प्रभाव fiduciaries अतिरिक्त कर्तव्यों के साथ (DPIA, audit, आदि)।
Consent Manager	Registered intermediary जो लोगों को services में consent देने, manage करने, withdraw करने में मदद करता है।
DPBI	Digital Data Protection Board of India — DPDPA प्रवर्तन के लिए regulator।
Grievance	Data Principal की formal complaint जिसे अधिकतम 90 दिन के भीतर address करना होगा।
Nomination	Data Principal का अधिकार किसी को death/incapacity के बाद rights exercise करने के लिए नामित करने का।
Breach	व्यक्तिगत डेटा expose करने वाली security incident — user और Board notification कर्तव्य trigger करती है।
72-hour report	Board notification के 72 घंटे के भीतर DPBI को detailed breach report (Rule 7)।
Reasonable security safeguards	Encryption, access control, logs, backups, monitoring — Section 8(5) baseline।
Cross-border transfer	भारत के बाहर personal data भेजना या access करना — future restrictions के अधीन।
Rule 15 conditions	Foreign states या controlled entities को transfers के लिए Government-specified requirements।
Processing activity register	आपकी inventory — कौन सा डेटा process करते हैं, क्यों, कहाँ, कितने समय तक।
Purpose limitation	डेटा केवल collection के समय stated purpose के लिए उपयोग करना।
Data minimisation	Stated purpose के लिए केवल ज़रूरत की बात collect करना।
Retention schedule	डेटा कितने समय रखा जाता है और कब delete होता है के documented rules।
Verifiable consent (children)	Rule 10 methods के तहत check की जा सकने वाली parent/guardian consent।
Techno-legal measures	Technology और legal process combine करने वाली Board/digital compliance requirements।
Phased commencement	अलग Act/Rules sections अलग Gazette dates पर enforceable होते हैं।

स्रोत रजिस्टर

ID	स्रोत	URL
S1	Digital Personal Data Protection Act, 2023, Act No. 22 of 2023, MeitY/Gazette.	https://www.meity.gov.in/static/uploads/2024/02/Digital-Personal-Data-Protection-Act-2023.pdf
S2	Digital Personal Data Protection Rules, 2025, G.S.R. 846(E), Gazette dated 13 Nov 2025.	https://www.meity.gov.in/static/uploads/2025/11/53450e6e5dc0bfa85ebd78686cadad39.pdf
S3	Enforcement Timeline for the DPDP Act, G.S.R. 843(E), Gazette dated 13 Nov 2025.	https://www.meity.gov.in/static/uploads/2025/11/c56ceae6c383460ca69577428d36828b.pdf
S4	Establishment of Data Protection Board of India, G.S.R. 844(E), Gazette dated 13 Nov 2025.	https://www.meity.gov.in/static/uploads/2025/11/cc217843dc3bcb37b2b05bcc3b4e031f.pdf
S5	PIB release: Government notifies DPDP Rules, 14 Nov 2025.	https://www.pib.gov.in/PressReleaseIframePage.aspx?PRID=2190014
S6	Supreme Court Observer: Constitutionality of the DPDPA, Venkatesh Nayak v Union of India.	https://www.scobserver.in/cases/constitutionality-of-the-digital-personal-data-protection-act-2023/amp/
S7	Moneycontrol: Supreme Court refers RTI amendment challenge to larger bench, 19 Feb 2026.	https://www.moneycontrol.com/news/india/supreme-court-refers-data-protection-law-amendment-of-rti-act-challenge-to-larger-bench-no-question-of-stay-13830233.html
S8	Medianama: Supreme Court notice in DPDP Act challenge, 13 Mar 2026.	https://www.medianama.com/2026/03/223-supreme-court-dpdp-act-challenge/
S9	LawBeat: Delhi HC notice on DPDP state exemptions and blocking powers, 19 Feb 2026.	https://lawbeat.in/news-updates/delhi-hc-issues-notice-on-plea-against-state-exemptions-blocking-powers-under-dpdp-act-1566615

India's DPDPA Readiness Whitepaper 2026-2027 v6.1 - SaralPrivacy - 14 June 2026 - OPERATE model - Informational structure, not legal advice.

अपने अंतराल जानें। जो मायने रखता है उसे ठीक करें।

मुफ़्त 3-मिनट की गोपनीयता तैयारी स्कैन से शुरू करें — फिर अनुभाग 19 से अपना उद्योग स्नैपशॉट लें।

मुफ़्त मूल्यांकन शुरू करें →

उपयोगकर्ता मार्गदर्शिका

इस श्वेतपत्र को कैसे पढ़ें

8 इन्फोग्राफिक

OPERATE v6.1

12 उद्योग

कानूनी परिशिष्ट

अनुभाग 1: आवरण

अनुभाग 2: यह श्वेतपत्र किसके लिए है

यह किसके लिए है

यह किसके लिए नहीं है

अनुभाग 19 में समर्पित स्नैपशॉट वाले क्षेत्र

अनुभाग 3: कार्यकारी सारांश

अनुभाग 4: CEO और बोर्ड प्राथमिकता पृष्ठ

पाँच नेतृत्व निर्णय

पाँच परिचालन जोखिम

बनाए रखने योग्य पाँच प्रमाण आइटम

अभी overbuild न करने योग्य पाँच बातें

एक नज़र में प्रमाण पैक

अनुभाग 5: कानूनी स्थिति स्नैपशॉट (जून 2026)

नीति क्षितिज चेतावनी

संख्या पट्टी

अनुभाग 6: 2026-2027 में DPDPA क्यों महत्वपूर्ण है

भारत का डिजिटल स्टैक — विश्वास की परत के रूप में गोपनीयता

सहमति अकेली काफ़ी नहीं

सार्वभौमिक गोपनीयता सिद्धांत (OECD / APEC आधार)

वैश्विक तुलना — व्यवसाय दृष्टि

भारत बनाम GDPR — मिथक बनाम तथ्य

2026 वास्तविक शुरुआती रेखा क्यों है

अनुभाग 7: अधिनियम क्या कवर करता है

मुख्य परिभाषाएँ

लागूता — अधिनियम आपके व्यवसाय को कब छूता है

व्यवहार में व्यक्तिगत डेटा — टीमें क्या गिनना भूलती हैं

भूमिका पारिस्थितिकी

अनुभाग 8: वैध प्रसंस्करण — सहमति और वैध उपयोग

सहमति आवश्यकताएँ (Sec 6)

वैध उपयोग (Sec 7) — संकीर्ण सूची, सुविधा का दरवाज़ा नहीं

सूचना संरेखण (Sec 5, Rule 3)

सहमति और वैध-उपयोग निर्णय प्रवाह

रोज़गार, राज्य, और कानूनी संदर्भ

अनुभाग 9: DPDPA के तहत मुख्य दायित्व

वास्तविक परिचालन में दायित्व कैसे जुड़ते हैं

अनुभाग 10: SaralPrivacy OPERATE मॉडल (v6.1)

अनुभाग 11: OPERATE अध्याय 1 — व्यक्तिगत डेटा Observe करें

1. व्यवसाय hook

2. अच्छा कैसा दिखता है

3. अभी करें

4. India anchor box

5. यदि GDPR जानते हैं

6. Evidence checklist

अनुभाग 12: OPERATE अध्याय 2 — Permission और वैध आधार

1. व्यवसाय hook

2. अच्छा कैसा दिखता है

3. अभी करें

4. India anchor box

5. यदि GDPR जानते हैं

6. Evidence checklist

अनुभाग 13: OPERATE अध्याय 3 — प्रमाण और रिकॉर्ड

1. व्यवसाय हुक

2. अच्छा क्या दिखता है

3. अभी यह करें

4. भारत एंकर बॉक्स

5. यदि आप GDPR जानते हैं

6. प्रमाण चेकलिस्ट

अनुभाग 14: OPERATE अध्याय 4 — अधिकार और शिकायत संचालन

1. व्यवसाय हुक

2. अच्छा क्या दिखता है

3. अभी यह करें

4. भारत एंकर बॉक्स

5. यदि आप GDPR जानते हैं

6. प्रमाण चेकलिस्ट

अनुभाग 15: OPERATE अध्याय 5 — जवाबदेही और शासन

1. व्यवसाय हुक

2. अच्छा क्या दिखता है

3. अभी यह करें

4. भारत एंकर बॉक्स

5. यदि आप GDPR जानते हैं

6. प्रमाण चेकलिस्ट

अनुभाग 16: OPERATE अध्याय 6 — तृतीय-पक्ष और विक्रेता नियंत्रण

1. अच्छा क्या दिखता है

2. अभी यह करें