भारताचे DPDPA तयारी श्वेतपत्र 2026-2027

विभाग 1: Cover

India's Digital Personal Data Protection Act is no longer a future law on a shelf. Rules are notified, the Data Protection Board of India is being constituted, and operational compliance dates sit on the calendar for 2026 and 2027. This whitepaper translates that legal machinery into decisions founders, boards, and operators can act on this quarter.

What you will find here:

• A plain-English map of what the Act requires and what is still open law
• The SaralPrivacy OPERATE v6.1 framework: seven business capabilities, not seven legal chapters
• Implementation kits, industry risk snapshots, and a 90-day action plan
• A legal appendix with Act and Rules tables, case watchlist, glossary, and sources

Legal status one-liner (14 June 2026): Core operational duties under Sections 3-17 and most Rules take effect on 13 May 2027 unless Gazette amendments accelerate the timeline; Consent Manager duties begin 13 November 2026. Treat any shorter deadline as proposed until notified.

विभाग 2: Who This Whitepaper Is For

Who this is for

• Founders and operators of Indian businesses that collect customer, employee, or vendor data digitally
• Compliance leads, CFOs, HR heads, and product managers who need plain-English guidance, not a law textbook
• Advisors (CAs, consultants, legal ops) who help SMEs get DPDPA-ready before deadlines hit
• International teams serving Indian users who need India-specific mechanics, not a GDPR copy-paste
• Board members and CXOs who need a one-page risk view before approving budget and ownership

Who this is not for

• Lawyers seeking clause-by-clause commentary (use Sections 20-22 and the glossary instead)
• Organisations looking for a one-page checkbox without operational change
• Readers who want certainty on rules not yet notified (SDF list, restricted countries, Board portal details)

Sectors with dedicated snapshots in Section 19

CA firms, recruitment agencies, training institutes, D2C brands, clinics and diagnostic labs, schools and colleges, law firms, real estate, hotels and travel, pharmacies, fintech and NBFCs, gyms, salons and spas.

विभाग 3: Executive Summary

तुमचे अंतर जाणा. महत्त्वाचे दुरुस्त करा. विश्वास दाखवा.

India's DPDPA changes how businesses treat personal data from first collection to breach response. The Act does not ban data use. It requires lawful purpose, clear notice, defensible consent or narrow legitimate use, reasonable security, timely breach response, working rights channels, and processor control - with evidence that each control exists. For most Indian operators, the shift is from informal habits (WhatsApp intake, shared folders, bundled consents, indefinite retention) to documented, owned programmes that survive a regulator or enterprise customer asking "show me."

Why CEOs should care now. Three clocks are running: the Board is live; Consent Manager infrastructure becomes real from November 2026; operational compliance is scheduled for May 2027 but may accelerate if MeitY shortens the runway. Penalties reach Rs 250 crore in tiered ceilings, but the nearer-term risk is trust, procurement, and litigation shape - partners and customers already ask for data maps and breach playbooks. Waiting until the final Gazette date means rebuilding under pressure.

Five things to start this quarter:

1. Name one accountable owner for DPDPA readiness (not a committee without a driver).
2. प्रोसेसिंग ॲक्टिव्हिटी रजिस्टर बनवा - कोणता डेटा, का, कुठे, कोण तो ऍक्सेस करतो, तो किती काळ टिकतो.
3. प्रमुख कलेक्शन पॉइंट्सवर स्टँडअलोन नोटिस निश्चित करा; स्वतंत्र पर्यायी विपणन संमती.
4. प्रोसेसर कॉन्ट्रॅक्ट्स अपग्रेड करा आणि क्रॉस-बॉर्डर फ्लो मॅप करा.
5. ब्रेच टेबलटॉप चालवा आणि 90-दिवसांच्या SLA ट्रॅकरसह हक्क/तक्रारी इनबॉक्स उघडा.

काय खुला कायदा राहतो. प्रतिबंधित-देशांच्या सूची, महत्त्वपूर्ण डेटा फिड्युशियरी पदनाम, निर्दिष्ट स्थानिकीकरण श्रेणी, संमती व्यवस्थापक ऑपरेशनल तपशील आणि टाइमलाइन कॉम्प्रेशन हे गॅझेट पुष्टीकरण होईपर्यंत पहा आयटम आहेत. हे श्वेतपत्र प्रत्येक आयटमला अंमलात, अधिसूचित टप्प्यात, प्रस्तावित किंवा प्रलंबित खटल्याप्रमाणे लेबल करते - कधीही विलीन होत नाही.

या दस्तऐवजाचा उर्वरित भाग कसा वाचावा. कलम ५-९ कायदेशीर पाया देतात. विभाग 10-17 चाला OPERATE v6.1 प्रकरणानुसार अध्याय. कलम 18 किट प्रदान करते; विभाग 19 उद्योगांद्वारे धोका कोठे केंद्रित होतो हे दर्शविते. कलम 20-22 हे कायदेशीर परिशिष्ट साहित्य आहे. सेक्शन 23 हा तुमचा 90 दिवसांचा स्टार्टर प्लॅन आहे. कलम 24 व्याप्ती आणि सल्ला बदलल्याशिवाय SaralPrivacy साधने कशी बसतात हे स्पष्ट करते.

नेतृत्वासाठी तळाशी ओळ: DPDPA तत्परता ही ऑपरेटिंग क्षमता आहे - यादी, परवानगी, पुरावा, अधिकार, प्रशासन, विक्रेते आणि घटना प्रतिसाद - धोरण PDF नाही. 2026 मध्ये पुरावे तयार करणाऱ्या संस्था भागीदारीशी वाटाघाटी करतील, तक्रारी हाताळतील आणि स्पष्टतेच्या स्थितीतून नियामक प्रश्नांना सामोरे जातील. जे अंतिम मथळ्याच्या तारखेची प्रतीक्षा करतात ते दबावाखाली पुनर्बांधणीचा धोका पत्करतात.

विभाग 4: CEO आणि बोर्ड प्राधान्य पृष्ठ

मंडळांना संपूर्ण कायदा वाचण्याची गरज नाही. त्यांना पाच निर्णय, पाच जोखीम, पाच पुरावे आणि कायद्याची पुर्तता होण्याआधी काय काय नाही याविषयी स्पष्टता हवी आहे.

नेतृत्वाचे पाच निर्णय

1. एकाच जबाबदार मालकाचे नाव द्या - उत्पादन, कायदेशीर किंवा ऑप्स - बोर्ड दृश्यमानतेसह, "प्रत्येकाकडे गोपनीयतेची मालकी नाही."
2. कोणती प्रक्रिया संमती विरुद्ध कायदेशीर वापर आहे ते ठरवा आणि कॉलचे दस्तऐवजीकरण करा; सर्व HR किंवा KYC प्रवाहांना सूट आहे असे समजू नका.
3. या तिमाहीत विक्रेता आणि क्रॉस-बॉर्डर पुनरावलोकनास मान्यता द्या - क्लाउड, वेतनपट, CRM, जाहिरात तंत्रज्ञान, BGV, पेमेंट भागीदार.
4. घटनेपूर्वी उल्लंघन वाढवण्याचा मार्ग सेट करा - कायदेशीर, सुरक्षा, संप्रेषण आणि बोर्ड सूचना भूमिका.
5. **आज तुमचा खरा डेटा लीक होत असलेल्या ठिकाणी (विभाग 19 मधून) प्रथम निराकरण करण्यासाठी दोन उद्योग-विशिष्ट प्रवाह निवडा.

पाच ऑपरेशनल जोखीम

1. WhatsApp आणि वैयक्तिक फोन PAN, आरोग्य, प्रिस्क्रिप्शन, CV किंवा अतिथी आयडी साठी डीफॉल्ट चॅनेल म्हणून.
2. शेअर केलेले क्लाउड फोल्डर आणि जुना प्रवेश - माजी कर्मचारी, इंटर्न, फ्रीलांसर, जुने ब्रोकर भागीदार.
3. विपणन आणि विश्लेषणे वेगळ्या संमतीशिवाय - पिक्सेल, कार्ट मोहिमे, WhatsApp प्रोमो.
4. जुने ग्राहक, उमेदवार, रुग्ण किंवा कर्मचारी रेकॉर्ड अनिश्चित काळासाठी राखून ठेवणे.
5. प्रोसेसर जे करारांशिवाय वापरले जातात किंवा सुरक्षा आणि उल्लंघन-सहयोग कलमांशिवाय.

राखण्यासाठी पाच पुरावे आयटम

1. प्रक्रिया क्रियाकलाप नोंदणी (दिनांक, मालकीचे, त्रैमासिक पुनरावलोकन).
2. सूचना आणि संमती आवृत्ती लॉग (वापरकर्त्यांनी काय पाहिले, कधी, कोणत्या चॅनेलवर).
3. DPDPA-संरेखित कलमांसह प्रोसेसर आणि विक्रेता कराराची नोंदणी.
4. बंद होण्याच्या तारखांसह हक्क आणि तक्रार विनंती लॉग.
5. उल्लंघन आणि घटना रेकॉर्ड - टेबलटॉप ड्रिलसह.

पाच गोष्टी अजून जास्त बांधायच्या नाहीत

1. पदनाम निकष आणि याद्या अंतिम होण्यापूर्वी संपूर्ण महत्त्वपूर्ण डेटा फिड्युशरी प्रोग्राम.
2. तुमच्या सेक्टरमध्ये नोव्हेंबर 2026 फ्रेमवर्क कार्यान्वित होण्यापूर्वी संमती व्यवस्थापक एकत्रीकरण.
3. सरकारी अधिसूचना प्रकाशित करण्यापूर्वी देश-स्तरीय हस्तांतरण ब्लॉकलिस्ट.
4. मूलभूत यादी, सूचना आणि विक्रेता करार अस्तित्वात येण्यापूर्वी एंटरप्राइझ GRC प्लॅटफॉर्म.
5. खटला आणि टप्प्याच्या तारखा अजूनही पुढे जात असताना "पूर्णपणे अनुपालन" असा दावा करणे.

एका दृष्टीक्षेपात पुरावा पॅक

Diagram: see figure below.

CEO टेकअवे: अनुपालन हे रेकॉर्ड सह सिद्ध झाले आहे, हेतूने नाही.

विभाग 5: कायदेशीर स्थिती स्नॅपशॉट (जून 2026)

धोरण क्षितिज इशारा

राजपत्रातील दुरुस्तीची पुष्टी होईपर्यंत खाली दिलेल्या वस्तूंना घड्याळाच्या वस्तू म्हणून समजा. ते प्रस्तावित किंवा चर्चा केलेले आहेत - 14 जून 2026 ला अधिसूचित कायदा नाही.

लेखक नियम: आयटमवर नेहमी अर्जात, अधिसूचित टप्पा, प्रस्तावित किंवा प्रलंबित खटला असे लेबल करा. त्यांना कधीही विलीन करू नका.

संख्या पट्टी

विभाग 6: का DPDPA 2026-2027 मध्ये महत्त्वाचे आहे

भारताचा डिजिटल स्टॅक - ट्रस्ट लेयर म्हणून गोपनीयता

भारताने एक डिजिटल सार्वजनिक पायाभूत सुविधा तयार केली ज्याबद्दल बहुतेक देश फक्त बोलतात: ओळख (Aadhaar), पेमेंट (UPI), दस्तऐवज (DigiLocker), आणि संमती रेल (खाते एग्रीगेटर). आधुनिक महामार्ग प्रणालीप्रमाणे याचा विचार करा - व्यापारासाठी जलद मार्ग, पडताळणीसाठी टोल प्लाझा आणि लाखो वाहने (ॲप्स आणि व्यवसाय) रस्त्यावर.

अलीकडेपर्यंत, महामार्गावर वेग मर्यादा होती परंतु वैयक्तिक डेटासाठी एकसमान वाहतूक पोलिस नव्हते. DPDPA ही ट्रॅफिक सिस्टीम आहे: ती व्यवसायांना कोणता डेटा घेऊन जाऊ शकते, त्यांनी त्याचे संरक्षण कसे केले पाहिजे, आणि जेव्हा ते क्रॅश होतात तेव्हा काय होते हे सांगते.

गैर-तांत्रिक वाचकांसाठी साधर्म्य: तुमच्या दुकानात नेहमीच ग्राहक नोंदणी असते. DPDPA तुम्हाला (1) तुम्ही रजिस्टरमध्ये काय लिहिता ते ग्राहकांना सांगा, (2) तुम्हाला जे हवे आहे तेच लिहा, (3) रजिस्टर लॉक करा, (4) ग्राहकांना त्यांचे पृष्ठ पाहू द्या किंवा मिटवू द्या आणि (5) रजिस्टर चोरीला गेल्यास अधिकाऱ्यांना त्वरित कॉल करण्यास सांगते. रजिस्टर बेकायदेशीर झाले नाही - निष्काळजीपणे हाताळणी केली.

केवळ संमती पुरेशी नाही

अनेक संघ "DPDPA" ऐकतात आणि थेट संमती बॅनरवर जातात. अनेक प्रवाहांसाठी संमती आवश्यक आहे, परंतु कायदा सुरक्षा, उल्लंघन अधिसूचना, धारण शिस्त, अधिकार हाताळणी, प्रोसेसर करार आणि जबाबदारी पुराव्याची मागणी करतो. परिपूर्ण संमती लॉग असलेला व्यवसाय परंतु सामायिक केलेले WhatsApp फोल्डर, कोणतेही उल्लंघन प्लेबुक नाही आणि अनिश्चित CV संचयन अद्याप उघड आहे. OPERATE v6.1 या कारणास्तव परवानगी (कायदेशीर आधार) पुरावा (पुरावा) आणि जबाबदारी** (शासन) पासून विभक्त करते.

सार्वत्रिक गोपनीयता तत्त्वे (OECD / APEC बेसलाइन)

160+ अधिकारक्षेत्रांमध्ये, समान थीमची पुनरावृत्ती होते. मेकॅनिक्स भिन्न असतानाही भारत यासह संरेखित करतो:

1. पारदर्शकता - तुम्ही काय गोळा करता आणि का ते लोकांना सांगा
2. उद्देश मर्यादा - केवळ नमूद केलेल्या कारणासाठी डेटा वापरा
3. डेटा कमी करणे - काम करणारी सर्वात लहान रक्कम गोळा करा
4. सुरक्षा - वाजवी सुरक्षा उपायांसह डेटा संरक्षित करा
5. वैयक्तिक हक्क - प्रवेश, सुधारणा, हटवणे, तक्रार मार्ग
6. जवाबदारी - तुम्ही वरील गोष्टी केल्या, विशेषतः डिजिटल रेग्युलेटर अंतर्गत सिद्ध करा
7. सीमापार जबाबदारी - डेटा कुठे प्रवास करतो आणि त्याचे उत्तर कोण देते हे जाणून घ्या

DPDPA ही या सवयींची भारताची आवृत्ती आहे, भारतीय लेटरहेडसह विदेशी आयात नाही.

जागतिक तुलना - व्यवसाय लेन्स

भारत वि GDPR - मिथक विरुद्ध तथ्य

2026 ही खरी सुरुवात का आहे

एकाच वेळी तीन घड्याळे चालू आहेत:

1. बोर्ड घड्याळ (लाइव्ह): DPBI अस्तित्वात आहे. पुराव्याच्या नेतृत्वाखालील डिजिटल अंमलबजावणी आता तयार केली जात आहे.
2. संमती व्यवस्थापक घड्याळ (१३ नोव्हें २०२६): नोंदणीकृत मध्यस्थ आणि एकत्रीकरण वास्तविक बनतात.
3. ऑपरेशन घड्याळ (13 मे 2027, शक्यतो लवकर): सूचना, संमती, सुरक्षा, उल्लंघन, हक्क, मुले, प्रोसेसर - बहुतेक व्यवसायांना वाटते.

**2026 म्हणजे जेव्हा प्रोग्राम्स "आम्ही नंतर एखाद्याला कामावर ठेवू" वरून "आम्ही आमचा डेटा नकाशा दाखवू शकतो आणि प्लेबुकचा भंग करू शकतो." ** जे व्यवसाय गोपनीयतेला ग्राहक विश्वास म्हणून मानतात - कायदेशीर फूटर नाही - जेव्हा खरेदी, भागीदारी आणि नियामक पुरावे मागतात तेव्हा ते जलद गतीने पुढे जातील.

विभाग 7: कायद्यात काय समाविष्ट आहे

नियंत्रणे तयार करण्यापूर्वी, नेत्यांना सामायिक शब्दसंग्रह आवश्यक आहे. DPDPA परिभाषित भूमिका आणि डिजिटल-प्रथम स्कोप वापरते. हा विभाग साधा-इंग्रजी नकाशा आहे.

मुख्य व्याख्या

लागू - जेव्हा कायदा तुमच्या व्यवसायाला स्पर्श करतो

कलम ३ लागू होते जेव्हा तुम्ही डिजिटल वैयक्तिक डेटावर प्रक्रिया करता:

• भारतात - ग्राहक, कर्मचारी, विक्रेते, वेबसाइट वापरकर्ते
• ऑफलाइन डेटा नंतर डिजिटायझेशन केला - पेपर फॉर्म सिस्टममध्ये स्कॅन केला जातो
• भारताबाहेर - जर प्रक्रिया भारतातील लोकांना वस्तू किंवा सेवा ऑफर करण्याशी जोडलेली असेल

विशिष्ट राज्य, संशोधन, कायदेशीर आणि सुरक्षा संदर्भांसाठी वगळणे आणि कोरीव-आऊट अस्तित्वात आहेत (कलम 17 आणि नियम शेड्यूल). सल्ल्याशिवाय व्यापक सूट स्वयं-प्रमाणित करू नका. काहीवेळा संघांना गोंधळात टाकणारी उदाहरणे: कायदेशीर दाव्यासाठी कठोरपणे आवश्यक प्रक्रिया करणे, काही न्यायालय-निर्देशित प्रकटीकरणे आणि वैयक्तिक निर्णय न घेता नियम 16 ​​मानकांची पूर्तता करणारे संशोधन/आकडेवारी. जरी सूट लागू होऊ शकते तरीही, कायदेशीर आधाराचे दस्तऐवजीकरण आणि संकुचित व्याप्ती अजूनही जबाबदारीसाठी महत्त्वाची आहे.

सराव मध्ये वैयक्तिक डेटा - संघ काय मोजणे विसरतात

ऑपरेटर अनेकदा वैयक्तिक डेटाची गणना कमी करतात कारण तो ग्राहक डेटाबेसऐवजी ऑपरेशनल टूल्समध्ये लपविला जातो. सामान्य दुर्लक्षित स्त्रोतांमध्ये हे समाविष्ट आहे: रिक्रूटर एक्सेल ट्रॅकर्स, WhatsApp व्यवसाय चॅट निर्यात, ओळखण्यायोग्य व्यक्तींसह CCTV फुटेज, उपस्थिती आणि GPS लॉग, कामाच्या उपकरणांवर कर्मचारी निरीक्षण, जुन्या बॅकअप टेप्स, उत्पादन प्रतींसह चाचणी वातावरण आणि ग्राहक समर्थन तिकिटांमधून तयार केलेले AI प्रशिक्षण संच. निरीक्षण करणे म्हणजे केवळ CRM पंक्तीच नव्हे तर या प्रामाणिकपणे मोजणे.

GDPR च्या विपरीत, भारत वैधानिक विशेष श्रेणी लेबल करत नाही. याचा अर्थ असा नाही की आरोग्य, आर्थिक, मुलांचा किंवा बायोमेट्रिक डेटा कमी धोका आहे. सेक्टर नियम, SDF छाननी, आणि ग्राहक विश्वास अजूनही यास उच्च-काळजी डेटा म्हणून हाताळतात ज्यासाठी मजबूत सूचना, सुरक्षितता, धारणा आणि अधिकार हाताळणी आवश्यक आहे.

भूमिका पारिस्थितिक तंत्र

Diagram: see figure below.

साधे इंग्रजी: व्यवसाय हा सहसा डेटा फिड्युशियरी असतो. तुमचे विक्रेते प्रोसेसर आहेत. ती व्यक्ती डेटा प्रिन्सिपल असते. संमती व्यवस्थापक हे केवळ भारतातील स्तर आहेत. जर सरकारने तुमच्या संस्थेला सूचित केले तरच SDF लागू होईल.

विभाग 8: कायदेशीर प्रक्रिया - संमती आणि कायदेशीर वापर

प्रत्येक संकलन आणि वापरासाठी कायदेशीर मार्गाची आवश्यकता आहे: कलम 6 अंतर्गत संमती किंवा कलम 7 अंतर्गत एक संकुचित कायदेशीर वापर. हा विभाग OPERATE अध्याय कार्यान्वित होण्यापूर्वी कायदेशीर पाया तयार करतो.

संमती आवश्यकता (कलम 6)

संमती असणे आवश्यक आहे:

• विनामूल्य - पर्यायी प्रक्रियेस नकार देण्यासाठी मुख्य सेवेला नकार नाही
• विशिष्ट - मार्केटिंग, विश्लेषणे, फोटो आणि रेफरल्स कोर डिलिव्हरीपासून वेगळे
• माहित - स्वतंत्र सूचनेद्वारे समर्थित (कलम 5, नियम 3)
• बिनशर्त - असंबंधित अटींसह एकत्रित केलेले नाही
• निःसंदिग्ध - स्पष्ट होकारार्थी कृती; प्री-टिक केलेले बॉक्स नाहीत
• मागे घेण्यायोग्य - किमान संमती देण्याइतके सोपे

मुले (विभाग ९): एकसमान उंबरठा १८ वर्षाखालील. पडताळणीयोग्य पालकांची संमती; मुलांसाठी कोणतेही ट्रॅकिंग, वर्तणूक निरीक्षण किंवा लक्ष्यित जाहिराती नाहीत.

कायदेशीर उपयोग (कलम 7) - अरुंद यादी, सोयीची हॅच नाही

उदाहरणांमध्ये डेटा प्रिन्सिपलने निर्दिष्ट हेतूसाठी प्रदान केलेला ऐच्छिक डेटा, राज्य कार्ये, कायद्याचे पालन, न्यायालयीन आदेश, वैद्यकीय आणीबाणी, आपत्ती/सार्वजनिक आदेश आणि काही रोजगार सुरक्षा उपायांचा समावेश आहे. ** GDPR "कायदेशीर हितसंबंध" थेट कलम 7 वर मॅप करू नका. ** जेव्हा अनिश्चित असेल, तेव्हा सूचना आणि संमती वापरा आणि निर्णयाचे दस्तऐवजीकरण करा.

सूचना संरेखन (कलम 5, नियम 3)

सूचना स्वतंत्रपणे समजण्यायोग्य, साधी, वस्तुनिष्ठ आणि संकलन बिंदूवर उपलब्ध असणे आवश्यक आहे - अटी आणि शर्तींमध्ये पुरलेले नाही. त्यात गोळा केलेला डेटा, उद्देश, अधिकार, पैसे काढणे, तक्रार संपर्क आणि बोर्ड तक्रार मार्ग स्पष्ट करणे आवश्यक आहे.

संमती आणि कायदेशीर-वापर निर्णय प्रवाह

Diagram: see figure below.

निर्णय नियम: कायदेशीर वापरासाठी प्रत्येक व्यवसायाची सोय डीफॉल्ट करू नका. शंका असल्यास, सूचना + संमती वापरा आणि पुरावा ठेवा.

रोजगार, राज्य आणि कायदेशीर संदर्भ

एचआर पेरोल, उपस्थिती आणि वैधानिक फाइलिंग अनेकदा कायदेशीर-वापर किंवा कराराच्या आवश्यकतेच्या नमुन्यांमध्ये बसतात - परंतु तरीही सूचना, सुरक्षा, धारणा मर्यादा आणि अधिकार चॅनेल आवश्यक आहेत. सरकार-संबंधित लाभ कार्यक्रमांनी अनुसूची 2 मानकांचे पुनरावलोकन करणे आवश्यक आहे. कायदेशीर कार्यवाही आणि नियामक विनंत्यांना कागदोपत्री कायदेशीर आधार आणि सल्लामसलत वाढवणे आवश्यक आहे.

विभाग 9: DPDPA अंतर्गत मुख्य दायित्वे

हे सारणी OPERATE v6.1 वर वैधानिक कर्तव्ये दर्शवते आणि पुरावे नेत्यांनी अपेक्षित केले पाहिजेत.

नेतृत्व वाचन: जर तुम्ही एका पंक्तीसाठी पुराव्याच्या स्तंभाकडे निर्देश करू शकत नसाल, तर असे गृहीत धरा की दायित्व अद्याप कार्यरत नाही.

वास्तविक ऑपरेशन्समध्ये कर्तव्ये कशी परस्परसंवाद करतात

एका गहाळ चेकबॉक्सवर काही व्यवसाय अयशस्वी होतात. अयशस्वी नमुने सहसा कंपाऊंड असतात: WhatsApp सूचना न घेता सेवन, तसेच अनिश्चित काळासाठी प्रतिधारण, तसेच कोणतेही उल्लंघन प्लेबुक, तसेच कराराशिवाय विक्रेता. वरील टेबल डायग्नोस्टिक ग्रिड किंमत ## आहे. फ्लो ऑडिट करताना - उदाहरणार्थ क्लिनिक रिपोर्ट शेअरिंग किंवा फिनटेक KYC - पंक्ती वरपासून खालपर्यंत चालत जा आणि आज कोणते पुरावे अस्तित्वात आहेत ते चिन्हांकित करा. ते कंपाऊंड व्ह्यू DPBI कार्यवाही आणि एंटरप्राइझ प्रोक्योरमेंट परिश्रम वाढत्या प्रमाणात साम्य आहे.

विभाग 10: SaralPrivacy OPERATE मॉडेल (v6.1)

SaralPrivacy OPERATE मॉडेल DPDPA कायद्याच्या विभागांमधून सात व्यवसाय क्षमतांमध्ये बदलते. v6.1 ऑपरेटर प्रत्यक्षात प्रोग्राम कसे तयार करतात हे जुळण्यासाठी अक्षरे रीफ्रेम करते: डेटाचे निरीक्षण करा, परवानगी मिळवा, पुरावे ठेवा, अधिकारांचा सन्मान करा, जबाबदारी दाखवा, तृतीय पक्षांवर नियंत्रण ठेवा आणि इव्हेंट्स (विशेषत: उल्लंघन).

O  OBSERVE        - Know what data you have and where it flows
P  PERMISSION     - Lawful basis, notice, consent, legitimate use
E  EVIDENCE       - Logs, contracts, versions, proof packs
R  RIGHTS         - Access, correction, erasure, grievance, nomination
A  ACCOUNTABILITY - Owners, policies, training, board reporting
T  THIRD-PARTY    - Processors, vendors, cross-border
E  EVENT          - Breach detection, 72-hour clock, escalation

Diagram: see figure below.

खालील प्रत्येक अध्याय समान सहा-ब्लॉक रेसिपी वापरतो: हुक, परिणाम, क्रिया, भारत अँकर, GDPR तुलना, पुरावा चेकलिस्ट.

विभाग 11: OPERATE अध्याय 1 - वैयक्तिक डेटाचे निरीक्षण करा

1. व्यवसाय हुक

आपण ज्याचे नाव देऊ शकत नाही त्याचे संरक्षण करू शकत नाही. बहुतेक DPDPA अपयश त्याच प्रकारे सुरू होतात: नेतृत्व असे मानते की कंपनीकडे "मूलभूत ग्राहक माहिती" असते, तर अभियंते, HR आणि विक्रेते शांतपणे PAN प्रती, आरोग्य नोंदी आणि WhatsApp निर्यातीची वर्षे ठेवतात. निरीक्षण म्हणजे वैयक्तिक डेटाचा जिवंत नकाशा तयार करणे - जसे वेअरहाऊसमधील इन्व्हेंटरी, एक वेळचा एक्सेल डंप नाही.

सादृश्यता: DPDPA तत्परता ही कर लेखापरीक्षणाची तयारी करण्यासारखी आहे. कोणत्या ड्रॉवरमध्ये जुन्या पावत्या आहेत हे शोधण्यासाठी तुम्ही नोटीसची वाट पाहत नाही. तुम्ही आता ड्रॉवर लेबल करा.

2. काय चांगले दिसते

• काय डेटा, का, कोण त्यात प्रवेश करतो, कोठे संग्रहित केला जातो, आणि किती वेळ राहतो याची सूची एक प्रक्रिया क्रियाकलाप रजिस्टर (PAR)
• प्रत्येक क्रियाकलापासाठी मालकाचे नाव (मार्केटिंग, एचआर, वित्त, उत्पादन)
• भारत आणि क्रॉस-बॉर्डर सिस्टमसाठी दस्तऐवजीकरण केलेला डेटा प्रवाह
• रेड-फ्लॅग फ्लॅग लवकर फ्लॅग केले: WhatsApp सेवन, शेअर्ड ड्राइव्ह, माजी कर्मचारी प्रवेश, सावली आयटी
• तुम्ही वैशिष्ट्ये, विक्रेते किंवा नवीन संकलन बिंदू लाँच करता तेव्हा अद्यतने ट्रिगर होतात

3. आता हे करा

1. तुमच्या व्यवसायात वैयक्तिक डेटा प्रवेश करण्याच्या प्रत्येक ठिकाणांची यादी करा: वेबसाइट फॉर्म, ॲप्स, WhatsApp, ईमेल, पेपर, CCTV, HR टूल्स, पेमेंट गेटवे.
2. प्रत्येक एंट्री पॉइंटसाठी, डेटा श्रेणी रेकॉर्ड करा (नाव, फोन, PAN, आरोग्य, फोटो, स्थान इ.).
3. प्रत्येक प्रवाहाला ग्राहक, कर्मचारी, विक्रेता किंवा व्यावसायिक उद्देश टॅगसह लीड डेटा म्हणून चिन्हांकित करा.
4. प्रोसेसर (क्लाउड, पेरोल, ATS, CRM, जाहिरात तंत्रज्ञान) ओळखा आणि त्यांना क्रियाकलापांशी लिंक करा.
5. "संवेदनशील" लेबलशिवायही उच्च-काळजी डेटा हायलाइट करा: मुले, आरोग्य, आर्थिक, बायोमेट्रिक.
6. क्रियाकलाप मालक नियुक्त करा आणि कॅलेंडरचे पुनरावलोकन करा (तिमाही किमान).
7. रजिस्टर ठेवा जेथे कायदेशीर, सुरक्षा आणि उत्पादन सर्व त्यात प्रवेश करू शकतात.

4. भारत अँकर बॉक्स

5. तुम्हाला GDPR माहित असल्यास

GDPR कलम 30 मध्ये अनेक नियंत्रकांसाठी प्रक्रिया क्रियाकलापांच्या नोंदी (ROPA) आवश्यक आहेत. भारताचा दृष्टीकोन व्यवहारात समान आहे परंतु फॉर्ममध्ये एकसारखा नाही: समान यादीची सवय तयार करा, परंतु कलम 4 + 6/7 अंतर्गत कायदेशीर आधार टॅग करा, GDPR अनुच्छेद 6 लेबल नाही.

6. पुरावा चेकलिस्ट

• [ ] प्रक्रिया क्रियाकलाप नोंदणी (आवृत्ती दिनांक)
• [] डेटा प्रवाह आकृती किंवा सारणी (अंतर्गत + क्रॉस-बॉर्डर)
• [] प्रोसेसर/विक्रेत्याची यादी क्रियाकलापांशी जोडलेली आहे
• [ ] उच्च काळजी डेटा वर्गीकरण नोट्स
• [] नामित मालकासह त्रैमासिक पुनरावलोकन लॉग

विभाग 12: OPERATE अध्याय 2 - परवानगी आणि कायदेशीर आधार

परवानगी परमिट आणि स्पष्ट करा मध्ये काय विभाजीत आहे हे एकत्र करते: कायदेशीर आधार शिस्त आणि नोटिस ** संकलनाच्या क्षणी लोकांना प्रत्यक्षात समजते.

1. व्यवसाय हुक

डेटा गोळा करणे सोपे आहे. ते वापरण्याची परवानगी हा कायदा आहे. परवानगी ही तुमची कायदेशीर-प्रक्रिया आणि सूचना शिस्त आहे: प्रत्येक वापरासाठी एकतर संमती किंवा अरुंद कलम ७ कायदेशीर वापर* आवश्यक आहे - "आम्ही नेहमी असेच केले" असे नाही. आणि वापरकर्त्यांनी कलेक्शन पॉइंटवर** काय मान्य केले हे समजून घेतले पाहिजे, पॉलिसी PDF च्या पृष्ठ ४७ वर नाही.

सादृश्यता: संमती ही लग्नातील पाहुण्यांच्या यादीसारखी असते. कायदेशीर वापर म्हणजे केटररला वेगळ्या आमंत्रणाशिवाय स्वयंपाकघरात जाऊ देण्यासारखे आहे - परंतु केवळ त्यांच्याकडे विशिष्ट काम आहे म्हणून, ते आत फिरले म्हणून नाही. आमंत्रणावरील नोटीस ही दोन्ही गोष्टींना कायदेशीर बनवते.

2. काय चांगले दिसते

• टॅग केलेली प्रत्येक प्रक्रिया क्रियाकलाप: संमती किंवा कायदेशीर वापर (विभाग ७ उपविभागासह)
• मार्केटिंग, प्रोफाइलिंग, फोटो, रेफरल्स आणि वेगळ्या संमती वर पर्यायी विश्लेषणे
• संमती नोंदी दर्शवतात की काय मान्य केले होते, केव्हा आणि कसे काढले जाते
• प्री-टिक केलेले बॉक्स नाहीत; स्पष्ट होकारार्थी कृती
• प्रत्येक कलेक्शन पॉईंटवर स्टँडअलोन नोटीस - अटी आणि शर्तींमध्ये लपलेले नाही
• साधी भाषा, वस्तुनिष्ठ: कोणता डेटा, का, अधिकार, पैसे काढणे, तक्रार संपर्क, बोर्ड तक्रार मार्ग
• तुम्ही नोंदणीकृत मध्यस्थांसोबत समाकलित झाल्यास (१३ नोव्हेंबर २०२६ पासून) संमती व्यवस्थापक धोरण दस्तऐवजीकरण
• मुलांचे प्रवाह सत्यापित करण्यायोग्य पालकांची संमती वापरतात; मुलांना लक्ष्यित जाहिराती नाहीत

3. आता हे करा

1. वर्तमान संमतींचे ऑडिट करा: वेबसाइट, ॲप, WhatsApp, पेपर फॉर्म, करार - ते विशिष्ट किंवा एकत्रित आहेत?
2. पर्यायी प्रक्रियेतून (जाहिराती, प्रशस्तिपत्रे, टॅलेंट पूल) आवश्यक प्रक्रिया (ऑर्डर पूर्ण करणे, वेतन) विभाजित करा.
3. प्रत्येक संकलन बिंदूची यादी: वेब, ॲप, ऑफलाइन फॉर्म, WhatsApp बॉट, रिसेप्शन डेस्क.
4. प्रत्येक प्रमुख प्रवाहासाठी लहान सूचना टेम्पलेट (200-400 शब्द) मसुदा तयार करा.
5. T&Cs मधून मुख्य सूचना काढा; लिंक किंवा एम्बेड सूचना स्वतंत्रपणे.
6. उत्पादन आणि विक्री संघांसाठी एक पृष्ठ कायदेशीर प्रक्रिया निर्णय वृक्ष तयार करा.
7. दस्तऐवज कलम 7 संकुचितपणे वापरते (रोजगार सुरक्षितता, कायदेशीर अनुपालन, वैद्यकीय आणीबाणी - "व्यवसाय सुविधा" नाही).
8. कमीत कमी निवड करण्याइतके सोपे पैसे काढणे लागू करा.
9. 18 वर्षांखालील वापरकर्त्यांसाठी, वर्तनात्मक जाहिराती आणि ट्रॅकिंग अवरोधित करा; पालक पडताळणीची योजना करा (नियम 10).
10. कार्यरत संपर्क तपशीलांसह पैसे काढणे, अधिकारांची विनंती आणि तक्रारीचे मार्ग जोडा.

4. भारत अँकर बॉक्स

5. तुम्हाला GDPR माहित असल्यास

GDPR सहा कायदेशीर आधार आणि लेख 13/14 पारदर्शकता ऑफर करते. भारत मूलत: दोन मार्ग ऑफर करतो आणि नियम 3 मध्ये स्पष्टपणे स्वतंत्रपणे समजण्यायोग्य - T&C बंडलिंग विरुद्ध थेट स्ट्राइक असणे आवश्यक आहे. ** GDPR "कायदेशीर स्वारस्ये" थेट कलम 7 वर नकाशा करू नका.**

6. पुरावा चेकलिस्ट

• [] प्रत्येक प्रक्रिया क्रियाकलाप कायदेशीर आधार टॅग
• [ ] संमती लॉग (टाइमस्टॅम्प, स्कोप, चॅनेल)
• [] पैसे काढण्याची यंत्रणा स्क्रीनशॉट किंवा वर्कफ्लो
• [] कलम 7 औचित्य मेमो जेथे वापरले
• [ ] प्रति संकलन चॅनेल सूचना प्रती (तारांकित आवृत्त्या)
• [] उत्पादनातील सूचना प्लेसमेंटचे स्क्रीनशॉट
• [ ] लहान मुलांचा प्रवाह मूल्यांकन आणि पालक संमती डिझाइन
• [ ] संमती व्यवस्थापक एकीकरण योजना (लागू असल्यास)

विभाग 13: OPERATE अध्याय 3 - पुरावे आणि नोंदी

पुरावा हा पुराव्याचा थर आहे. DPBI कार्यवाही डिजिटल आणि दस्तऐवजाच्या नेतृत्वाखालील आहेत. जेव्हा एखादा ग्राहक तक्रार करतो, विक्रेता लीक करतो किंवा बोर्ड "आम्ही तयार आहोत का?" विचारतो तेव्हा संस्था रेकॉर्ड जिंकतात किंवा हरतात, हेतू नाही.

1. व्यवसाय हुक

स्लाइड डेकमधील धोरणे छाननीमध्ये टिकत नाहीत. पुरावा म्हणजे तुम्ही वापरकर्त्याने कोणती सूचना पाहिली, त्यांनी कोणती संमती दिली, कोणता करार विक्रेत्याला नियंत्रित केला, तक्रार कशी बंद झाली आणि भंग ड्रिलमध्ये तासा-तास काय घडले हे तुम्ही दाखवू शकता. जीएसटीसाठी पावत्या ठेवल्यासारखा विचार करा - कायदा प्रक्रियेच्या पुराव्याची काळजी घेतो.

सादृश्यता: पायलटचे लॉगबुक विमान उडवत नाही, परंतु कोणतीही विमान कंपनी त्याशिवाय पायलटला प्रमाणित करत नाही. DPDPA पुरावा त्याच प्रकारे कार्य करतो.

2. काय चांगले दिसते

• टाइमस्टॅम्पसह आवृत्ती-नियंत्रित सूचना आणि संमती प्रवाह
• नोटिस आवृत्ती, चॅनेल आणि व्याप्तीशी जोडलेले संमती लॉग
• स्वाक्षरी केलेले करार आणि पुनरावलोकन तारखांसह प्रोसेसर नोंदणी
• ओळख पडताळणीच्या पायऱ्या आणि क्लोजर पुराव्यासह हक्क आणि तक्रार नोंदवही
• टेबलटॉप व्यायामासह उल्लंघन आणि घटना लॉग
• हटवण्याच्या नोंदी आणि दस्तऐवजीकरण केलेल्या अपवादांसह धारणा शेड्यूल
• सुरक्षा बेसलाइन दस्तऐवजीकरण आणि त्रैमासिक प्रवेश पुनरावलोकने
• प्रस्तावित बदलांपासून सूचित वेगळे करणारा धोरण क्षितिज लॉग

3. आता हे करा

1. मालकांसह एकच पुरावा पॅक निर्देशांक तयार करा (विभाग ४ इन्फोग्राफिक 1 पहा) आणि कॅडेन्सचे पुनरावलोकन करा.
2. सूचना आणि संमती आवृत्ती लॉग सुरू करा - तारीख, चॅनल, स्क्रीनशॉट किंवा URL, मंजूरकर्ता.
3. DPDPA सुरक्षा, उल्लंघन, हटवणे आणि ऑडिट कलमांसह विक्रेता करार केंद्रीकृत करा.
4. अधिकार/तक्रार रजिस्टर उघडा - तिकीट आयडी, प्राप्त तारीख, कारवाई, तारीख बंद.
5. जेव्हा डेटा हटवला जातो किंवा मागील मानक कालावधीचा विस्तार केला जातो तेव्हा धारण निर्णय लॉग करा.
6. फाइल ब्रीच ड्रिल रेकॉर्ड जसे की वास्तविक घटना - टाइमलाइन, भूमिका, टेम्पलेट्स वापरले.
7. तुमच्या प्रोसेसिंग ॲक्टिव्हिटी रजिस्टरमधील नोंदींना पुरावा आयटम लिंक करा.

4. भारत अँकर बॉक्स

5. तुम्हाला GDPR माहित असल्यास

GDPR उत्तरदायित्व (अनुच्छेद 5(2)) आणि रेकॉर्ड-कीपिंग या प्रकरणाचे प्रतिबिंब आहे. भारताच्या टप्प्याटप्प्याने सुरू होण्याचा अर्थ अनेक कंपन्या पूर्ण अंमलबजावणीपूर्वी पुरावे तयार करत आहेत - केवळ कागदाचे पालन टाळण्यासाठी धावपट्टीचा वापर करा.

6. पुरावा चेकलिस्ट

• [ ] मालकांसह पुरावा पॅक निर्देशांक
• [ ] सूचना आणि संमती आवृत्ती लॉग
• [] संमती आणि पैसे काढण्याच्या नोंदी
• [] प्रोसेसर कॉन्ट्रॅक्ट रजिस्टर
• [] हक्क/तक्रार नोंदवही
• [] उल्लंघन/घटना नोंदी (कवायतींसह)
• [] धारणा शेड्यूल आणि हटविण्याचा पुरावा
• [ ] सुरक्षा आधाररेखा आणि प्रवेश पुनरावलोकन रेकॉर्ड
• [ ] नियामक घड्याळ लॉग

विभाग 14: OPERATE अध्याय 4 - अधिकार आणि तक्रार हाताळणी

गोपनीयता कायदा केवळ वाईट गोष्टी थांबवण्यासाठी नाही. लोक विचारण्यास सक्षम असणे आवश्यक आहे - त्यांचा डेटा पाहणे, त्याचे निराकरण करणे, ते मिटवणे, तक्रार करणे आणि त्यांच्यासाठी कृती करण्यासाठी कोणालातरी नामनिर्देशित करणे. अधिकार ही ९०-दिवसांची तक्रार कमाल मर्यादा असलेली, डेटा विनंत्यांसाठी तुमची ग्राहक सेवा मार्ग आहे.

1. व्यवसाय हुक

जर एखाद्या बँक खातेदाराला विनंती केल्यावर स्टेटमेंट मिळू शकत नसेल, तर फसवणूक न करताही बँक विश्वास गमावते. डेटा अधिकार त्याच प्रकारे कार्य करतात.

सादृश्यता: रिटर्न डेस्क अस्तित्वात आहेत कारण कॉमर्सला योग्य सुधारणा मार्गाची आवश्यकता आहे. अधिकार विनंत्या म्हणजे वैयक्तिक डेटासाठी डेस्क.

2. काय चांगले दिसते

• प्रवेश, दुरुस्ती, पुसून टाकणे, तक्रार आणि नामांकन विनंतीसाठी प्रकाशित चॅनेल
• ओळख पडताळणीचे टप्पे जे वाजवी आणि दस्तऐवजीकरण आहेत
• मालकासह तिकिटाची रांग, SLA ट्रॅकर आणि बंद करण्याचा पुरावा
• तक्रारीचे उत्तर जास्तीत जास्त ९० दिवसांच्या आत (नियम १४)
• डेटा प्रिन्सिपल कर्तव्यांसाठी योग्य-वापर भाषा (कोणत्याही खोट्या तक्रारी नाहीत, तोतयागिरी नाही)
• DPBI कडे वाढीचा मार्ग नोटिसमध्ये दस्तऐवजीकरण केलेला आहे

3. आता हे करा

1. ईमेल किंवा फॉर्मसह वेबसाइट/ॲपवर "तुमच्या अधिकारांचा वापर करा" सूचना प्रकाशित करा.
2. तक्रार मालक नियुक्त करा (सर्व फर्मसाठी पूर्णवेळ डीपीओ असणे आवश्यक नाही).
3. विनंती टेम्पलेट तयार करा: प्रवेश, सुधारणा, खोडून काढणे, नामांकन.
4. ओळख पडताळणी परिभाषित करा (जोखमीच्या प्रमाणात).
5. तारखा आणि परिणामांसह साध्या रजिस्टरमध्ये विनंत्यांचा मागोवा घ्या.
6. अंतर्गत SLA 90 दिवसांच्या आत सेट करा; 60 व्या दिवशी वाढवा.
7. सहाय्यक कर्मचाऱ्यांना "केवळ IT" म्हणून विनंत्या डिसमिस न करण्यासाठी प्रशिक्षण द्या.

4. भारत अँकर बॉक्स

5. तुम्हाला GDPR माहित असल्यास

GDPR प्रकरण III अधिकार केस कायद्याच्या प्रमाणात विस्तृत आहेत परंतु आकारात समान आहेत. भारताची 90-दिवसांची तक्रार कॅप ही एक स्पष्ट संख्या आहे - अनौपचारिक ईमेल थ्रेड्ससाठी नव्हे, तर त्यासाठी पर्याय तयार करा.

6. पुरावा चेकलिस्ट

• [ ] प्रकाशित अधिकार आणि तक्रार प्रक्रिया
• [] टाइमस्टॅम्पसह नोंदणीची विनंती करा
• [] ओळख पडताळणी प्रक्रिया
• [ ] बंद विनंती नमुने (संशोधित)
• [ ] SLA डॅशबोर्ड किंवा मासिक अहवाल
• [] नामांकन हाताळणी नोट्स

विभाग 15: OPERATE अध्याय 5 - उत्तरदायित्व आणि शासन

उत्तरदायित्व प्रकल्पातील गोपनीयतेला व्यवस्थापित व्यवसाय कार्यामध्ये बदलते. कार्यक्रमाची मालकी कोणीतरी असली पाहिजे, बोर्डाने भौतिक जोखीम पाहिली पाहिजे आणि कर्मचाऱ्यांना नियम माहित असले पाहिजेत.

1. व्यवसाय हुक

शासनाशिवाय, गोपनीयता ही वार्षिक पॉलिसी PDF आणि विसरलेली विक्रेता स्प्रेडशीट बनते. जबाबदारी मालकांना नावे ठेवते, पुनरावलोकन कॅडेन्स सेट करते, संघांना ट्रेन करते आणि वरच्या दिशेने अहवाल देते - त्याच प्रकारे वित्त CFO आणि मासिक बंद होते.

सादृश्यता: कार्यस्थळाच्या सुरक्षेसाठी केवळ पोस्टर नव्हे तर फायर मार्शल आणि ड्रिल आवश्यक आहेत. प्रायव्हसी गव्हर्नन्स म्हणजे ऑपरेटिंग लेयर.

2. काय चांगले दिसते

• कार्यकारी प्रायोजकासह DPDPA प्रोग्राम मालक नावाचा
• वेबसाइट, ॲप आणि सूचनांवर प्रकाशित DPO किंवा अधिकृत संपर्क (नियम 9).
• मुख्य धोरण संच: गोपनीयता सूचना फ्रेमवर्क, धारणा, सुरक्षा बेसलाइन, विक्रेता मानक, अधिकार SOP, उल्लंघन प्लेबुक
• वैयक्तिक डेटाला स्पर्श करणाऱ्या कर्मचाऱ्यांसाठी ऑनबोर्डिंग आणि वार्षिक रिफ्रेशर प्रशिक्षण
• हाय-केअर सिस्टमसाठी त्रैमासिक प्रवेश पुनरावलोकने
• बोर्ड किंवा नेतृत्व सारांश वर्षातून किमान दोनदा: शीर्ष जोखीम, खुल्या वस्तू, पुरावे परिपक्वता
• SDF तत्परतेचा मागोवा केवळ पदनाम वाजवी असेल तर

3. आता हे करा

1. एकल जबाबदार मालक आणि दस्तऐवज जबाबदाऱ्या नियुक्त करा.
2. नोटिस आणि वेबसाइट फूटरमध्ये तक्रार/DPO संपर्क प्रकाशित करा.
3. OPERATE अक्षरांवर मॅप केलेला किमान धोरण संच मंजूर करा.
4. फ्रंटलाइन टीम्ससाठी 60-मिनिटांचे DPDPA जागरूकता सत्र चालवा (WhatsApp, HR, समर्थन).
5. कायदेशीर, सुरक्षा, उत्पादन आणि ऑपरेशन्ससह तिमाही कार्यक्रम पुनरावलोकने शेड्यूल करा.
6. एक-पानाचा बोर्ड सारांश सादर करा: पाच जोखीम, पाच पुरावे अंतर, 90-दिवसांच्या योजनेची स्थिती.
7. मासिक स्कॅन मालकासह पॉलिसी क्षितिज लॉग (विभाग 22) राखून ठेवा.

4. भारत अँकर बॉक्स

5. तुम्हाला GDPR माहित असल्यास

GDPR DPO आवश्यकता नियंत्रकांच्या उपसंचांना लागू होतात. भारताला नियम 9 द्वारे प्रकाशित संपर्क आवश्यक आहे; SDF ला जड कर्तव्यांचा सामना करावा लागतो. एसएमईसाठीही गव्हर्नन्स मॅच्युरिटी महत्त्वाची आहे कारण प्रोसेसर आणि ग्राहक वाढत्या प्रमाणात अपस्ट्रीम ऑडिट करतात.

6. पुरावा चेकलिस्ट

• [] नामांकित प्रोग्राम मालक आणि कार्यकारी प्रायोजक
• [] प्रकाशित DPO/अधिकृत संपर्क
• [] आवृत्ती तारखांसह मंजूर धोरण सेट
• [ ] प्रशिक्षण उपस्थिती किंवा पूर्ण झाल्याच्या नोंदी
• [] त्रैमासिक पुनरावलोकन मिनिटे
• [] बोर्ड किंवा नेतृत्व सारांश नमुने
• [] पुनरावलोकन रेकॉर्डमध्ये प्रवेश करा

विभाग 16: OPERATE अध्याय 6 - तृतीय-पक्ष आणि विक्रेता नियंत्रण

तुमच्या विक्रेत्याची चूक अजूनही तुमच्या ग्राहकाची समस्या आहे. तृतीय-पक्ष म्हणजे विक्रेता प्रशासन आणि क्रॉस-बॉर्डर शिस्त - करार, ऑडिट आणि हस्तांतरण नोंदणी जेणेकरुन भागीदार तुमचे सर्वात कमकुवत शटर बनू नये.

सादृश्यता: तुम्ही डिलिव्हरी आउटसोर्स करत असल्यास, मार्गात पॅकेज उघडल्यावरही तुम्ही उत्तर देता. प्रोसेसर म्हणजे डेटाची वितरण साखळी.

1. काय चांगले दिसते

• उद्देश, शेअर केलेला डेटा आणि स्थानासह प्रोसेसर नोंदणी
• करारांमध्ये DPDPA-संरेखित सुरक्षा, उल्लंघन सहकार्य, हटवणे आणि ऑडिट कलम समाविष्ट आहेत (नियम 6)
• गंतव्य देशांसह क्रॉस-बॉर्डर ट्रान्सफर रजिस्टर आणि नियम १५ वर कायदेशीर वॉच
• HR, क्लाउड, पेमेंट, ॲड-टेक, BGV विक्रेते ऑनबोर्डिंग करण्यापूर्वी योग्य परिश्रम
• SDF-नियुक्त फर्म अल्गोरिदमिक साधनांसाठी योग्य परिश्रम वाढवतात (नियम 13)
• सरकारी माहिती विनंत्या कायदेशीर नेतृत्वाकडे वाढवल्या जातात (नियम 23/अनुसूची 7)

2. आता हे करा

1. सर्व प्रोसेसर सूचीबद्ध करा: क्लाउड, ईमेल, CRM, वेतनपट, पेमेंट, विश्लेषण, समर्थन साधने.
2. प्रोसेसर दायित्वे आणि उल्लंघन सूचना सहकार्यासह करार अपग्रेड करा.
3. नकाशा क्रॉस-बॉर्डर प्रवाह (यूएस, ईयू, सिंगापूर, इ.); मॉनिटर MeitY प्रतिबंधित-देश सूचना.
4. किमान विशेषाधिकाराने विक्रेता प्रवेश अवरोधित करा; त्रैमासिक पुनरावलोकन.
5. गंभीर विक्रेत्यांसाठी सबप्रोसेसर सूची राखून ठेवा.
6. सरकारी माहितीच्या मागणीसाठी कायदेशीर वाढीचा मार्ग तयार करा.
7. SDF-स्केल असल्यास, अल्गोरिदमिक ड्यू डिलिजेन्स आणि ऑडिट कॅडेन्स तयार करा.

3. भारत अँकर बॉक्स

4. तुम्हाला GDPR माहित असल्यास

GDPR कलम 28 प्रोसेसर अटी आणि SCCs संदर्भ बिंदू आहेत. भारतामध्ये त्याच स्वरूपात कोणतेही SCC शासन नाही; त्याऐवजी, सरकारी निर्बंध आणि नियम 15 अटी पहा. नकाशा आता वाहतो; केवळ GDPR हस्तांतरण साधने पुरेसे आहेत असे मानू नका.

5. पुरावा चेकलिस्ट

• [] प्रोसेसर/विक्रेता रजिस्टर
• [] गोपनीयता/सुरक्षा कलमांसह करारावर स्वाक्षरी केली
• [] क्रॉस-बॉर्डर हस्तांतरण नकाशा
• [ ] विक्रेता पुनरावलोकन किंवा ऑडिट ट्रेल
• [] सबप्रोसेसर प्रकटीकरण
• [ ] सरकारी विनंती वाढीचा लॉग (लागू असल्यास)

विभाग 17: OPERATE अध्याय 7 - घटना आणि उल्लंघनाची तयारी

इव्हेंट सुरक्षा घटना आणि उल्लंघन घड्याळ कव्हर करते - शोध, प्रतिबंध, सूचना आणि पुनर्प्राप्ती. धारणा आणि प्रतिबंधात्मक सुरक्षा येथे आणि पुराव्यामध्ये बसते; हा धडा काही चूक झाल्यावर काय होते यावर लक्ष केंद्रित करतो.

1. व्यवसाय हुक

विश्वास दोन कृतींमध्ये तुटतो: गळती आणि मंद प्रतिसाद. इव्हेंट हा तुमचा रोगप्रतिकारक प्रतिसाद आहे - केवळ फायरवॉलच नाही तर वापरकर्ते, बोर्ड आणि तुमच्या स्वतःच्या टीमसाठी रिहर्सल केलेल्या टाइमलाइन.

सादृश्य: एक दुकानदार रात्री शटरला कुलूप लावतो, कालबाह्य झालेला साठा फेकून देतो आणि ब्रेक-इन झाल्यावर लगेच पोलिसांना कॉल करतो. इव्हेंट ब्रेक-इन प्रतिसाद प्लेबुक आहे.

2. काय चांगले दिसते

• दस्तऐवजीकरण केलेली सुरक्षा आधाररेखा: योग्य तेथे एन्क्रिप्शन, प्रवेश नियंत्रण, लॉगिंग, बॅकअप, देखरेख (नियम 6)
• हटवण्याच्या वर्कफ्लोसह प्रतिधारण वेळापत्रक आणि अपवाद दस्तऐवजीकरण
• भूमिका, टेम्पलेट्स आणि टाइमरसह घटना प्रतिसाद प्लेबुक
• प्रभावित वापरकर्त्यांना अनावश्यक विलंब न करता सूचित केले; अवाजवी विलंब न करता मंडळाला सूचना; बोर्डाचा तपशीलवार अहवाल ७२ तासांत (नियम ७)
• नियम 6 लागू असलेल्या सुरक्षा इव्हेंटसाठी एक वर्षाचे लॉग धारणा
• मोठ्या ई-कॉमर्स/सामाजिक/गेमिंग संस्था ट्रॅक नियम 8/अनुसूची 3 निष्क्रियता इरेजर लागू असल्यास

3. आता हे करा

1. नियम 6 शी संरेखित किमान सुरक्षा बेसलाइन चेकलिस्टचा अवलंब करा.
2. उच्च काळजी डेटामध्ये कोण प्रवेश करू शकतो असा नकाशा; शेअर केलेले लॉगिन आणि जुनी खाती काढून टाका.
3. डेटा प्रकारानुसार धारणा नियम लिहा; शक्य तेथे स्वयंचलित हटवणे.
4. उल्लंघन प्लेबुक तयार करा: समाविष्ट करा, मूल्यांकन करा, वापरकर्त्यांना सूचित करा, बोर्ड सूचित करा, 72-तास अहवाल.
5. "चुकीचा WhatsApp अहवाल" आणि लॅपटॉप-तोटा परिस्थितींवर फ्रंटलाइन कर्मचाऱ्यांना प्रशिक्षण द्या.
6. त्रैमासिक माजी कर्मचाऱ्यांसाठी चाचणी बॅकअप आणि प्रवेश काढणे.
7. वार्षिक टेबलटॉप ब्रीच ड्रिल चालवा आणि तुमच्या पुरावा पॅकमध्ये रेकॉर्ड फाइल करा.

4. भंग प्रतिसाद घड्याळ

Diagram: see figure below.

सादृश्य: फायर ड्रिलप्रमाणे - तुम्ही आगीच्या वेळी योजना शोधत नाही.

5. भारत अँकर बॉक्स

6. तुम्हाला GDPR माहित असल्यास

GDPR लेख ३२-३३ ला सुरक्षा आणि उल्लंघन सूचना आवश्यक आहे. भारताचा नियम 7 अधिसूचनेनंतर बोर्डाला 72-तासांचा तपशीलवार अहवाल सेट करतो - याला "सर्वोत्तम प्रयत्न" ईमेल म्हणून नव्हे तर कठोर ऑपरेशनल SLA म्हणून हाताळा.

7. पुरावा चेकलिस्ट

• [ ] सुरक्षा बेसलाइन दस्तऐवज आणि अंमलबजावणी पुरावा
• [] प्रवेश नियंत्रण मॅट्रिक्स आणि ऑफबोर्डिंग रेकॉर्ड
• [] धारणा शेड्यूल + हटविण्याचे लॉग
• [] घटना प्रतिसाद योजना आणि टेबलटॉप व्यायाम नोट्स
• [ ] उल्लंघन सूचना टेम्पलेट (वापरकर्ता + बोर्ड)
• [] सुरक्षा लॉग धारणा धोरण (आवश्यक असेल तेथे किमान एक वर्ष)

विभाग 18: अंमलबजावणी किट्स

हे किट OPERATE v6.1 चे चेकलिस्टमध्ये भाषांतर करतात टीम या महिन्यात चालू शकतात. स्कोअर मॅच्युरिटी, फिक्स नोटिस आणि मुलांचा डेटा आणि रिटेंशन जोडा जेथे v6 मध्ये फक्त आंशिक कव्हरेज होते.

DPDPA तयारी चेकलिस्ट (OPERATE v6.1 वर मॅप केलेली)

प्रत्येक पंक्तीचा स्कोअर करा: 0 = सुरू झाले नाही, 1 = आंशिक, 2 = दस्तऐवजीकरण केलेले आणि कार्यरत.

परिपक्वता बँड: 0-7 = तदर्थ | 8-14 = पुनरावृत्ती करण्यायोग्य | 15-20 = परिभाषित | 21-24 = व्यवस्थापित

डेटा इन्व्हेंटरी टेम्पलेट (स्टँडअलोन)

सूचना लिहिण्याचे किट (5 बुलेट)

1. उद्देशाने लीड - पहिल्या स्क्रीन किंवा परिच्छेदामध्ये "आम्ही X टू डू Y गोळा करतो".
2. आयटमाइज डेटा - फोन, ईमेल, पेमेंट संदर्भ, डिव्हाइस आयडी - "वैयक्तिक माहिती" नाही.
3. वेगळा पर्यायी उपयोग - विपणन, विश्लेषणे, प्रशंसापत्रे त्यांच्या स्वतःच्या धर्तीवर.
4. अधिकार मार्ग दाखवा - प्रवेश, दुरुस्ती, खोडून काढणे, तक्रार, लिंकसह बोर्ड तक्रार.
5. ते स्वतंत्र ठेवा - अटी आणि शर्तींमध्ये (नियम ३) मुख्य सूचना कधीही दफन करू नका.

संमती प्रवाह किट (५ पायऱ्या)

1. क्षण ओळखा - चेकआउट, साइनअप, फॉर्म, WhatsApp निवड.
2. स्प्लिट आवश्यक वि पर्यायी - केवळ पर्यायी प्रक्रियेसाठी पर्यायी बॉक्स.
3. स्पष्ट होकारार्थी कृती वापरा - बटण किंवा अनचेक टिक; प्री-टिक मार्केटिंग नाही.
4. लॉग पुरावा - काय, कधी, चॅनेल, नोटीसची आवृत्ती दर्शविली आहे.
5. मिरर काढणे - समान चॅनेल किंवा सोपे; वापरकर्त्याला पैसे काढण्याची पुष्टी करा.

व्हेंडर गव्हर्नन्स किट (५ बुलेट)

1. तुमच्या डेटा नकाशाशी लिंक केलेले प्रोसेसर रजिस्टर ठेवा.
2. करारामध्ये सुरक्षा, उल्लंघन, हटवणे आणि ऑडिट कलमे आवश्यक आहेत (नियम 6).
3. मेघ आणि जाहिरात तंत्रज्ञानासाठी डेटा स्थान आणि सबप्रोसेसर नकाशा.
4. ऑफबोर्ड विक्रेते प्रवेश काढून टाकणे आणि परत करणे/हटवणे प्रमाणपत्रांसह.
5. दरवर्षी पुनरावलोकन करा - किंवा जेव्हा विक्रेत्याच्या घटनेच्या बातम्या ब्रेक होतात.

भंग प्रतिसाद चेकलिस्ट

1. समाविष्ट करा - प्रसार थांबवा, नोंदी जतन करा, घटना लीड नियुक्त करा.
2. मूल्यांकन - डेटा प्रकार, व्हॉल्यूम, हानीची शक्यता.
3. वापरकर्त्यांना सूचित करा विनाविलंब ज्ञात तथ्ये आणि उपाय उपायांसह.
4. अवाजवी विलंब न करता DPBI ला सूचित करा; ७२ तासांचा तपशीलवार अहवाल तयार करा.
5. पुरावा पॅकमध्ये रेकॉर्ड टाइमलाइन, निर्णय, टेम्पलेट्स, मूळ कारण आणि निराकरणे.
6. पुनरावलोकन प्रवेश नियंत्रणे आणि विक्रेता क्लॉज अयशस्वी झाले.

मुलांची डेटा चेकलिस्ट

Diagram: see figure below.

भारत-विशिष्ट: एकसमान वयोमर्यादा १८ वर्षांखालील आहे (अनेक जागतिक कायद्यांपेक्षा कठोर).

व्यावहारिक पायऱ्या:

1. वापरकर्ते 18 वर्षांखालील असू शकतात ते प्रवाह ओळखा (शिक्षण, गेमिंग, कौटुंबिक ॲप्स).
2. योग्य असेल तेथे वयोमर्यादा किंवा खाते प्रकार घोषणा लागू करा.
3. पर्यायी प्रक्रिया करण्यापूर्वी पडताळणी करण्यायोग्य पालकांची संमती कॅप्चर करा.
4. बाल-निर्देशित सेवांवर वर्तणुकीशी संबंधित जाहिराती आणि ट्रॅकिंग अवरोधित करा.
5. दस्तऐवज शेड्यूल 4 लागू असल्यास कमी प्रमाणात सूट (शाळा, दवाखाने).

धारणा चेकलिस्ट

1. प्रति डेटा श्रेणी उद्देशाने (कर, करार, विवाद) प्रतिधारण कालावधी परिभाषित करा.
2. दस्तऐवज अपवाद (कायदेशीर होल्ड, सक्रिय तक्रार, नियामक विनंती).
3. जेथे सिस्टम परवानगी देतात तेथे स्वयंचलित हटवणे किंवा निनावीकरण.
4. मोठ्या ई-कॉमर्स/सामाजिक/गेमिंगसाठी, अनुसूची 3 निष्क्रियता इरेजर कर्तव्यांचे मूल्यांकन करा.
5. पुरावा पॅकमध्ये लॉग हटवणे आणि नियतकालिक धारणा पुनरावलोकने.

SDF तयारी पॅक (सशर्त)

स्केल, सेक्टर संवेदनशीलता किंवा प्रणालीगत जोखीम महत्त्वपूर्ण डेटा फिड्युशियरी पदनाम प्रशंसनीय बनविल्यासच अर्ज करा:

• डेटा संरक्षण अधिकारी संपर्क नियुक्त करा किंवा नियुक्त करा (नियम ९)
• वार्षिक डेटा प्रोटेक्शन इम्पॅक्ट असेसमेंट आणि ऑडिट (नियम १३)
• आवश्यकतेनुसार महत्त्वपूर्ण लेखापरीक्षण निरीक्षणे मंडळाला सादर करा
• व्यक्तींना मोठ्या प्रमाणावर प्रभावित करणाऱ्या साधनांसाठी अल्गोरिदमिक योग्य परिश्रम**
• सरकार निर्दिष्ट करू शकतील अशा श्रेणींसाठी स्थानिकीकरण घड्याळ
• बोर्ड-फेसिंग पुरावा पॅक आणि कार्यकारी प्रायोजक
• वर्धित प्रोसेसर आणि हस्तांतरण शासन

रेडिनेस स्कोअरकार्ड (10 प्रश्न OPERATE v6.1 वर मॅप केलेले)

स्कोअरिंग: ८-१० होय = मजबूत धावपट्टी | 5-7 = 2027 पूर्वी बंद होणार अंतर | 0-4 = निरीक्षण + परवानगीने लगेच प्रारंभ करा

विभाग 19: 12 उद्योग जोखीम स्नॅपशॉट्स

पूर्ण 12-ब्लॉक इंडस्ट्री प्लेबुक्स SaralPrivacy वेबसाइटवर थेट आहेत. हा विभाग PDF वाचकांसाठी कॉम्पॅक्ट स्नॅपशॉट देतो - प्रथम निराकरण करण्यासाठी दोन प्रवाहांना प्राधान्य देण्यासाठी पुरेसे आहे (CEO पृष्ठ, विभाग 4).

जोखीम हीटमॅप

Diagram: see figure below.

CA फर्म

प्राथमिक जोखीम थीम: क्लायंट-दस्तऐवज नियंत्रण - कर ज्ञान नाही.

कोण: सोलो CA आणि भागीदारी, GST/पेरोल/सल्लागार फर्म, लेख सहाय्यक आणि सामायिक क्लाउड फोल्डर वापरणारे संघ.

सामान्य वैयक्तिक डेटा: PAN, Aadhaar, ITR फायली, बँक स्टेटमेंट, वेतनपट, Google Drive, WhatsApp, लेख कर्मचारी प्रवेश, जुन्या क्लायंट फायली

उच्च-जोखीम प्रवाह:
1. क्लायंट PAN आणि बँक स्टेटमेंट WhatsApp द्वारे किंवा मानक सेवन न करता ईमेल पाठवतात
2. माजी लेख आणि इंटर्नसाठी जुन्या प्रवेशासह सामायिक ड्राइव्ह फोल्डर
3. जुने ITR आणि KYC प्रती हटवण्याच्या नियमांशिवाय अनिश्चित काळासाठी राखून ठेवल्या जातात

DPDPA जबाबदार्या ट्रिगर केल्या: सूचना (R3) | सुरक्षा (R6) | भंग (R7) | अधिकार (R14) | कलम 4, 5, 6/7, 8

तत्काळ कृती:
1. क्लायंट PAN, Aadhaar, ITR आणि बँक दस्तऐवज कसे अपलोड करतात ते प्रमाणित करा
2. Google Drive, ईमेल फोल्डर्स आणि क्लायंट फाइल्सवर प्रवेश प्रतिबंधित आणि पुनरावलोकन करा
3. जुन्या ITR फाईल्स, PAN प्रती, बँक स्टेटमेंट्स आणि पेरोल डेटासाठी धारणा नियम परिभाषित करा

स्कॅन: saralprivacy.com/assessment/ca-firms - 10 प्रश्न - ~3 मिनिटे

भर्ती एजन्सी

प्राथमिक जोखीम थीम: क्लायंट, टूल्स आणि टीम्समध्ये सीव्हीची हालचाल - फक्त रेझ्युमे फॉरवर्ड करणे नाही.

कोण: भर्ती आणि कर्मचारी एजन्सी, कार्यकारी शोध, RPO संघ ईमेल किंवा पोर्टलद्वारे CV शेअर करत आहेत.

सामान्य वैयक्तिक डेटा: सीव्ही, उमेदवाराची संमती, जॉब पोर्टल, LinkedIn, ATS, WhatsApp, क्लायंट शेअरिंग, BGV, पगार स्लिप, नाकारलेली प्रोफाइल, AI स्क्रीनिंग

उच्च-जोखीम प्रवाह:
1. PAN, Aadhaar चे प्रारंभिक संकलन, ऑफर स्टेजपूर्वी पगार स्लिप
2. मोठ्या प्रमाणात CV फोल्डर्स WhatsApp किंवा ईमेल संलग्नकांद्वारे क्लायंटसह सामायिक केले जातात
3. नाकारलेले उमेदवार प्रोफाइल हटविण्याची प्रक्रिया न करता अनिश्चित काळासाठी ठेवली जातात

DPDPA जबाबदार्या ट्रिगर केल्या: सूचना (R3) | संमती (से 6) | सुरक्षा (R6) | भंग (R7) | अधिकार (R14)

तत्काळ कृती:
1. उमेदवार सोर्सिंग आणि संमती/सूचना भाषा प्रमाणित करा
2. PAN, Aadhaar, वेतन स्लिप आणि BGV फाईल्सचे लवकर संकलन कमी करा
3. क्लायंटसह सीव्ही शेअरिंग नियंत्रित करा आणि मोठ्या प्रमाणात फोल्डर टाळा

स्कॅन: saralprivacy.com/assessment/recruitment - 10 प्रश्न - ~3 मिनिटे

प्रशिक्षण संस्था

प्राथमिक जोखीम थीम: अल्पवयीन, पालक, WhatsApp गट आणि LMS डेटा - केवळ वर्ग वितरण नाही.

कोण: कोचिंग सेंटर, चाचणी-प्रीप ब्रँड, थेट वर्गांसह EdTech आणि LMS, पालक WhatsApp गटांसह संस्था.

सामान्य वैयक्तिक डेटा: विद्यार्थी डेटा, पालक तपशील, अल्पवयीन, WhatsApp गट, LMS साधने, विद्यार्थ्यांचे फोटो, प्रशंसापत्रे, उपस्थिती, फी रेकॉर्ड, प्लेसमेंट डेटा

उच्च-जोखीम प्रवाह:
1. पालक/पालकांच्या संमतीशिवाय 18 वर्षाखालील विद्यार्थी
2. फोटो, प्रशंसापत्रे आणि डेमो-क्लास रेकॉर्डिंग वेगळ्या संमतीशिवाय मार्केटिंगसाठी वापरले जातात
3. जुने लीड्स आणि प्रवेश नोंदी स्पष्ट नियमांशिवाय राखून ठेवल्या

DPDPA जबाबदार्या ट्रिगर केल्या: सूचना (R3) | मुले (से. 9, R10) | सुरक्षा (R6) | अधिकार (R14)

तत्काळ कृती:
1. विद्यार्थी 18 वर्षांपेक्षा कमी आहेत की नाही याची नोंद करा आणि पालक/पालकांची संमती मिळवा
2. अनौपचारिक चॅनेलपासून दूर विद्यार्थी आणि पालक डेटाचे प्रमाणीकरण करा
3. WhatsApp गट, फोटो, प्रशंसापत्रे आणि डेमो-क्लास रेकॉर्डिंगचे पुनरावलोकन करा

स्कॅन: saralprivacy.com/assessment/training-institutes - 10 प्रश्न - ~3 मिनिटे

D2C ब्रँड

प्राथमिक जोखीम थीम: प्रत्येक ऑर्डरमागील मार्केटिंग आणि जाहिरात-तंत्रज्ञान - केवळ उत्पादन विक्री नाही.

कोण: Shopify/Woo D2C ब्रँड, सौंदर्य/स्वास्थ्य/खाद्य जीवनशैली लेबले, मेटा जाहिराती चालवणारे संघ आणि WhatsApp मोहिमा.

सामान्य वैयक्तिक डेटा: WhatsApp विपणन, Meta Pixel, कार्ट परित्याग, Shopify, SMS निवड, लॉजिस्टिक विक्रेते, निष्ठा, सदस्यता रद्द, ग्राहक डेटा, मार्केटप्लेस

उच्च-जोखीम प्रवाह:
1. प्रोव्हेबल ऑप्ट-इन शिवाय प्रचारात्मक WhatsApp/SMS
2. Meta Pixel आणि कुकी/सूचना प्रकटीकरणाशिवाय पुनर्लक्ष्यीकरण
3. मॅप केलेल्या करारांशिवाय ग्राहक डेटा प्राप्त करणारे लॉजिस्टिक आणि जाहिरात विक्रेते

DPDPA जबाबदार्या ट्रिगर केल्या: सूचना (R3) | संमती (से 6) | सुरक्षा (R6) | विक्रेते (R6, R15) | अधिकार (R14)

तत्काळ कृती:
1. कॅप्चर करा आणि WhatsApp/SMS/ईमेल जाहिरातींसाठी स्वतंत्र निवड सिद्ध करा
2. गोपनीयता/कुकी नोटिसमध्ये Meta Pixel, GA आणि पुनर्लक्ष्य साधने उघड करा
3. सर्व चॅनेलवर सदस्यता रद्द करा आणि प्राधान्य व्यवस्थापन सक्षम करा

स्कॅन: saralprivacy.com/assessment/d2c - 10 प्रश्न - ~3 मिनिटे

क्लिनिक आणि डायग्नोस्टिक लॅब

प्राथमिक जोखीम थीम: आरोग्य अहवाल, WhatsApp सामायिकरण आणि प्रवेश नियंत्रण - सर्वोच्च संवेदनशीलता बँड.

कोण: सिंगल आणि मल्टी स्पेशालिटी क्लिनिक, पॅथॉलॉजी आणि रेडिओलॉजी लॅब, होम सॅम्पल कलेक्शन चेन.

सामान्य वैयक्तिक डेटा: रुग्ण अहवाल, प्रिस्क्रिप्शन, आरोग्य डेटा, WhatsApp शेअरिंग, लॅब सॉफ्टवेअर, रिसेप्शन ऍक्सेस, होम कलेक्शन, डॉक्टर रेफरल्स, विमा/TPA, जुने अहवाल

उच्च-जोखीम प्रवाह:
1. प्राप्तकर्त्याची पडताळणी न करता रुग्ण किंवा कुटुंबियांना WhatsApp रोजी लॅब अहवाल सामायिक केले
2. सामायिक लॉगिन किंवा क्लिनिक/HIS सिस्टममध्ये माजी कर्मचारी प्रवेश
3. विक्रेत्याच्या नोंदणीशिवाय आउटसोर्स केलेल्या लॅब आणि होम कलेक्शन पार्टनर

DPDPA जबाबदार्या ट्रिगर केल्या: सूचना (R3) | सुरक्षा (R6) | भंग (R7) | अधिकार (R14) | नियम 12/अनुसूची 4 (बाल आरोग्य)

तत्काळ कृती:
1. रुग्ण सेवन चॅनेल प्रमाणित करा - विखुरलेले WhatsApp आणि कागदाचे सेवन कमी करा
2. WhatsApp किंवा ईमेलद्वारे अहवाल सामायिक करण्यापूर्वी प्राप्तकर्त्यांची पडताळणी करा
3. भूमिका-आधारित नियंत्रणांसह रिसेप्शन, बिलिंग, प्रयोगशाळा आणि समर्थन कर्मचाऱ्यांचा प्रवेश प्रतिबंधित करा

स्कॅन: saralprivacy.com/assessment/clinics-diagnostic-labs - 10 प्रश्न - ~3 मिनिटे

शाळा आणि महाविद्यालये

प्राथमिक जोखीम थीम: मुलांचा डेटा, CCTV, ॲप्स आणि वाहतूक निरीक्षण - गंभीर प्राधान्य.

कोण: K-12 शाळा, महाविद्यालये, ERP ॲप्स, CCTV, वाहतूक GPS आणि शुल्क प्रणाली असलेल्या संस्था.

सामान्य वैयक्तिक डेटा: मुलांचा डेटा, पालकांचे रेकॉर्ड, शाळा ॲप्स, सीसीटीव्ही, उपस्थिती, वाहतूक GPS, विद्यार्थ्यांचे फोटो, फी रेकॉर्ड, LMS, जुन्या विद्यार्थ्यांच्या फाइल्स

उच्च-जोखीम प्रवाह:
1. विशिष्ट पालक सूचना आणि संमती प्रक्रियेशिवाय 18 वर्षाखालील विद्यार्थी
2. स्वतंत्र संमतीशिवाय सार्वजनिक फोटो, व्हिडिओ आणि परिणाम
3. सीसीटीव्ही, बायोमेट्रिक, RFID, आणि वाहतूक GPS शासन आणि धारणा नियमांशिवाय

DPDPA जबाबदार्या ट्रिगर केल्या: सूचना (R3) | मुले (से. 9, R10-12) | सुरक्षा (R6) | भंग (R7) | अधिकार (R14)

तत्काळ कृती:
1. नकाशा जेथे विद्यार्थी आणि पालक डेटा संकलित आणि संग्रहित केला जातो
2. 18 वर्षाखालील विद्यार्थ्यांसाठी पालक/पालक सूचना आणि संमती मजबूत करा
3. CCTV, बायोमेट्रिक, RFID, वाहतूक GPS आणि वसतिगृह निरीक्षण नियंत्रित करा

स्कॅन: saralprivacy.com/assessment/schools-colleges - 10 प्रश्न - ~3 मिनिटे

कायदा संस्था

प्राथमिक जोखीम थीम: मॅटर फाइल्स, पुरावे आणि कनिष्ठ प्रवेश - गोपनीयता अधिक DPDPA पुरावा.

कोण: खटला आणि कॉर्पोरेट पद्धती, बुटीक, कनिष्ठांसह संघ, इंटर्न आणि मॅटर फोल्डर.

सामान्य वैयक्तिक डेटा: क्लायंट KYC, PAN/Aadhaar, केस फाइल्स, पुरावे रेकॉर्ड, प्रतिज्ञापत्रे, WhatsApp सूचना, कोर्ट फाइलिंग, कनिष्ठ प्रवेश, बाह्य वकील, बंद प्रकरणे

उच्च-जोखीम प्रवाह:
1. मॅटर-टीम निर्बंधाशिवाय शेअर केलेल्या ड्राइव्हवरील संवेदनशील केस फाइल
2. WhatsApp किंवा अनौपचारिक ईमेल निर्यात द्वारे प्राप्त झालेले पुरावे
3. क्लाउड किंवा डिव्हाइस प्रवेश राखून ठेवणारे माजी कर्मचारी, इंटर्न किंवा सहयोगी

DPDPA जबाबदार्या ट्रिगर केल्या: सूचना (R3) | सुरक्षा (R6) | भंग (R7) | अधिकार (R14) | क्रॉस-बॉर्डर (कलम 16)

तत्काळ कृती:
1. क्लायंट दस्तऐवज आणि मॅटर-डेटा प्रवाहांचा नकाशा तयार करा
2. संवेदनशील केस फाइल्स मॅटर-टीमपर्यंत मर्यादित ठेवा
3. क्लायंट दस्तऐवजांसाठी WhatsApp/ईमेल/शेअर फोल्डर वापर मानकीकरण करा

स्कॅन: saralprivacy.com/assessment/law-firms - 10 प्रश्न - ~3 मिनिटे

रिअल इस्टेट

प्राथमिक जोखीम थीम: KYC आणि ब्रोकर नेटवर्क मालमत्ता आणि ओळख डेटा हलवतात.

कोण: ब्रोकर, प्रॉपर्टी सल्लागार, डेव्हलपर सेल्स डेस्क, भाडे आणि रिसेल टीम.

सामान्य वैयक्तिक डेटा: खरेदीदार लीड, भाडेकरू KYC, PAN/Aadhaar, भाडे करार, विक्री करार, मालमत्ता कागदपत्रे, WhatsApp गट, ब्रोकर नेटवर्क, कर्ज भागीदार, जुने लीड

उच्च-जोखीम प्रवाह:
1. PAN/Aadhaar/मालमत्ता दस्तऐवज WhatsApp द्वारे प्राप्त आणि पुढे पाठवले
2. क्लायंट सूचनेशिवाय ब्रोकर WhatsApp गटांमध्ये लीड शीट
3. माजी कर्मचारी किंवा जुने ब्रोकर भागीदार CRM किंवा क्लाउड प्रवेश ठेवतात

DPDPA जबाबदार्या ट्रिगर केल्या: सूचना (R3) | सुरक्षा (R6) | भंग (R7) | अधिकार (R14)

तत्काळ कृती:
1. KYC आणि मालमत्ता-दस्तऐवज संकलन मानकीकरण करा
2. PAN, Aadhaar आणि करार दस्तऐवज WhatsApp पुढे पाठवणे कमी करा
3. सह-ब्रोकर, बिल्डर, मालक आणि कर्ज भागीदारांसह लीड शेअरिंग नियंत्रित करा

स्कॅन: saralprivacy.com/assessment/real-estate - 10 प्रश्न - ~3 मिनिटे

हॉटेल्स आणि प्रवास

प्राथमिक जोखीम थीम: अतिथी ID, पासपोर्ट प्रती आणि OTA डेटा शेअरिंग.

कोण: हॉटेल्स, रिसॉर्ट, होमस्टे, प्रवास एजन्सी, कॉर्पोरेट प्रवास डेस्क.

सामान्य वैयक्तिक डेटा: अतिथी ID, पासपोर्ट प्रती, बुकिंग इतिहास, OTA शेअरिंग, प्रवास दस्तऐवज, WhatsApp पुष्टी, CCTV, PMS प्रवेश, वाहतूक विक्रेते, जुने अतिथी रेकॉर्ड

उच्च-जोखीम प्रवाह:
1. WhatsApp किंवा वैयक्तिक ईमेलद्वारे पासपोर्ट आणि व्हिसा दस्तऐवज संकलित
2. परदेशी अतिथी आणि C-Form डेटा अनिश्चित काळासाठी ठेवला
3. सामायिक PMS/OTA लॉगिन आणि अतिथी सिस्टमवर माजी कर्मचारी प्रवेश

DPDPA जबाबदार्या ट्रिगर केल्या: सूचना (R3) | सुरक्षा (R6) | भंग (R7) | अधिकार (R14) | क्रॉस-बॉर्डर (R15)

तत्काळ कृती:
1. ID, पासपोर्ट आणि प्रवास-दस्तऐवज संकलन मानकीकरण करा
2. अतिथी ID आणि पासपोर्ट प्रती WhatsApp/ईमेल शेअरिंग कमी करा
3. PMS, CRM, OTA डॅशबोर्ड, CCTV आणि कर्मचारी डिव्हाइस प्रवेश मर्यादित करा

स्कॅन: saralprivacy.com/assessment/hotels-travel - 10 प्रश्न - ~3 मिनिटे

फार्मसी

प्राथमिक जोखीम थीम: प्रिस्क्रिप्शन, औषध इतिहास आणि रिफिल मोहिमा.

कोण: किरकोळ आणि चेन फार्मसी, ऑनलाइन फार्मसी पूर्तता, WhatsApp वर प्रिस्क्रिप्शन प्राप्त करणारी टीम.

सामान्य वैयक्तिक डेटा: प्रिस्क्रिप्शन, औषध इतिहास, WhatsApp ऑर्डर, रिफिल स्मरणपत्रे, डिलिव्हरी भागीदार, बिलिंग सॉफ्टवेअर, आरोग्य निर्देशक, कर्मचारी प्रवेश, जुने रेकॉर्ड

उच्च-जोखीम प्रवाह:
1. WhatsApp किंवा कर्मचारी फोनद्वारे प्राप्त प्रिस्क्रिप्शन प्रतिमा
2. संवेदनशील औषध श्रेणींसाठी स्वतंत्र संमतीशिवाय रिफिल किंवा प्रचार संदेश
3. सामायिक फार्मसी सॉफ्टवेअर लॉगिन आणि साफ न केलेला माजी कर्मचारी प्रवेश

DPDPA जबाबदार्या ट्रिगर केल्या: सूचना (R3) | सुरक्षा (R6) | भंग (R7) | मुले (R10-12) | अधिकार (R14)

तत्काळ कृती:
1. प्रिस्क्रिप्शन संकलन आणि साठवण मानकीकरण करा
2. प्रिस्क्रिप्शन प्रतिमांचे WhatsApp आणि कर्मचारी-फोन हाताळणे कमी करा
3. औषध-इतिहास डेटासाठी धारणा आणि रिफिल-संदेश नियम परिभाषित करा

स्कॅन: saralprivacy.com/assessment/pharmacies - 10 प्रश्न - ~3 मिनिटे

Fintech and NBFC

Primary risk theme: KYC, profiling, DSAs, and cross-border analytics - critical complexity.

Who: NBFCs, digital lenders, payment apps, UPI/wallet/BNPL, collections businesses.

सामान्य वैयक्तिक डेटा: KYC, PAN/Aadhaar, बँक डेटा, UPI, क्रेडिट ब्युरो, प्रोफाइलिंग, DSAs, संकलन एजंट, पेमेंट पार्टनर, जुने रेकॉर्ड

उच्च-जोखीम प्रवाह:
1. KYC आणि ब्युरो डेटा WhatsApp किंवा फील्ड एजंट द्वारे संमती पुराव्याशिवाय संकलित
2. मर्यादित ग्राहकासमोरील स्पष्टीकरणासह स्वयंचलित निर्णय
3. ग्राहक सूचींमध्ये डाउनलोड/निर्यात प्रवेश असलेले DSA आणि संकलन एजंट

DPDPA जबाबदार्या ट्रिगर केल्या: सूचना (R3) | संमती (से 6) | सुरक्षा (R6) | भंग (R7) | SDF घड्याळ (R13) | अधिकार (R14) | RBI क्षेत्र नियम

तत्काळ कृती:
1. नकाशा KYC, बँक, ब्युरो, UPI आणि परतफेड डेटा प्रवाह
2. पडताळणी, प्रोफाइलिंग आणि शेअरिंगसाठी टाइमस्टँप केलेली संमती मजबूत करा
3. डीएसए, कलेक्शन-एजंट, कॉल सेंटर आणि विक्रेता प्रवेश नियंत्रित करा

स्कॅन: saralprivacy.com/assessment/fintech-nbfc - 10 प्रश्न - ~3 मिनिटे

जिम, सलून आणि स्पा

प्राथमिक जोखीम थीम: आरोग्याशी संलग्न शरीर डेटा, फोटो आणि WhatsApp मोहिम.

कोण: जिम, फिटनेस स्टुडिओ, सलून, स्पा, मेंबरशिप आणि अपॉइंटमेंट ॲप्ससह वेलनेस चेन.

सामान्य वैयक्तिक डेटा: सदस्यत्व डेटा, आरोग्य तपशील, शरीर मोजमाप, ग्राहक फोटो, आधी-नंतरच्या प्रतिमा, WhatsApp मोहिमा, अपॉइंटमेंट ॲप्स, कर्मचारी फोन, जुने रेकॉर्ड

उच्च-जोखीम प्रवाह:
1. सोशल मीडिया किंवा जाहिरातींसाठी स्वतंत्र संमतीशिवाय ग्राहकाचे फोटो वापरले जातात
2. कर्मचारी फोन किंवा WhatsApp वर रेकॉर्ड केलेला आरोग्य आणि शरीर डेटा
3. सामायिक केलेले CRM किंवा अपॉइंटमेंट ऍप लॉगिन सर्व प्रशिक्षक आणि थेरपिस्ट

DPDPA जबाबदार्या ट्रिगर केल्या: सूचना (R3) | संमती (से 6) | सुरक्षा (R6) | भंग (R7) | अधिकार (R14)

तत्काळ कृती:
1. फॉर्म, ॲप्स, WhatsApp, DM आणि कर्मचारी नोट्सवर ग्राहक डेटा मॅप करा
2. ग्राहकाचे फोटो, आधी-नंतर प्रतिमा किंवा प्रशंसापत्रे वापरण्यापूर्वी संमती कॅप्चर करा
3. आरोग्य, शरीर, सल्लामसलत आणि परिवर्तन डेटावर प्रवेश प्रतिबंधित करा

स्कॅन: saralprivacy.com/assessment/gyms-salons-spas - 10 प्रश्न - ~3 मिनिटे

विभाग 20: कायदा विभाग नकाशा

नियम आणि वेळापत्रक नकाशा

विभाग 21: कोर्ट केसेस आणि लिटिगेशन ट्रॅकर

चेतावणी: प्रलंबित प्रकरणे केवळ जागरूकता बाबी आहेत. 14 जून 2026 पर्यंत कोणत्याही न्यायालयाने DPDPA ला स्थगिती दिली नाही किंवा रद्द केली नाही.

विभाग 22: ट्रॅक करण्यासाठी वर्तमान खुल्या आयटम

मासिक शासन पुनरावलोकनांमध्ये हा ट्रॅकर वापरा. प्रत्येक पंक्तीला लेबल लावा: अधिस्थित, अधिसूचित टप्पा, प्रस्तावित, किंवा प्रलंबित खटला.

शिस्त विकसित करा (v6 वरून): 30-मिनिटांच्या मासिक स्कॅन मालकास नियुक्त करा; अंतर्गत "या तिमाहीत काय बदलले" मेमो प्रकाशित करा; वर्षातून दोनदा ब्रीच टेबलटॉप रिफ्रेश करा; मोठे उत्पादन किंवा विक्रेता बदलल्यानंतर डेटा इन्व्हेंटरी पुन्हा चालवा.

विभाग 23: 90-दिवस DPDPA कृती योजना

ही योजना अद्याप कोणतीही समर्पित गोपनीयता टीम नसलेला मिड-मार्केट ऑपरेटर गृहीत धरते. तुमच्या ऑर्ग चार्टवर मालक समायोजित करा. ध्येय: बोर्ड-रेडी पुरावा पॅक v1 सह 90 व्या दिवशी बाहेर पडा, परिपूर्णता नाही.

Diagram: see figure below.

आठवडा-दर-आठवडा तपशील

आठवडे १-२ (शोध): जबाबदार मालकाचे नाव द्या. सूची प्रणाली: CRM, HRMS, वेबसाइट, WhatsApp व्यवसाय, क्लाउड ड्राइव्ह, पेमेंट साधने. शीर्ष 10 प्रवाहांसह मसुदा प्रक्रिया नोंदणी. कलम 19 मधून दोन उद्योग-विशिष्ट जोखमी ध्वजांकित करा.

आठवडे ३-४ (परवानगी): वेबसाइट, ॲप आणि टॉप ऑफलाइन फॉर्मसाठी स्टँडअलोन सूचना प्रकाशित करा. विपणन संमती विभाजित करा. दस्तऐवज कलम 7 वेतनपट आणि कायदेशीर पालनासाठी वापरते जेथे वकील सहमत असेल. संमती/आवृत्ती लॉग सुरू करा.

5-6 आठवडे (नियंत्रण - विक्रेते आणि अधिकार): पूर्ण प्रोसेसर रजिस्टर. शीर्ष पाच विक्रेता करार श्रेणीसुधारित करा. right@grievance इनबॉक्स उघडा. अधिकार सूचना प्रकाशित करा. 60-दिवस अंतर्गत SLA परिभाषित करा.

** आठवडे ७-८ (नियंत्रण - धारणा आणि प्रवेश):** धारणा शेड्यूल मंजूर करा. माजी कर्मचारी आणि विक्रेता प्रवेश काढून टाका. सामायिक फोल्डर आणि प्रशासक पॅनेलवर प्रवेश पुनरावलोकन चालवा.

9-10 आठवडे (सिद्ध करा): टेबलटॉप उल्लंघन परिस्थिती (WhatsApp चुकीचे-पाठवणे किंवा विक्रेता लीक). 72-तास अहवाल मसुदा वेळ. ड्रिलसाठीही घटनेची नोंद करा.

११-१२ आठवडे (सिद्ध): रेडिनेस स्कोअरकार्ड विरुद्ध नेतृत्व पुनरावलोकन. एक-पृष्ठ बोर्ड सारांश: पाच जोखीम, पाच पुरावे आयटम, खुली कायदा वॉचलिस्ट. 90-दिवसीय योजना लहर 2 वर कार्यकारी साइन-ऑफ.

90 व्या दिवशी यशाचे निकष

तुम्ही याला संकोच न करता होय उत्तर देण्यास सक्षम असावे:

• नामांकित मालक 15 मिनिटांच्या वॉकथ्रूमध्ये प्रक्रिया क्रियाकलाप रजिस्टर सादर करू शकतो.
• किमान तीन कलेक्शन पॉइंट्स गेल्या 30 दिवसांच्या आत दिनांकित स्टँडअलोन नोटिस दर्शवतात.
• शीर्ष पाच विक्रेत्यांनी सुरक्षा आणि उल्लंघनाच्या कलमांसह करारावर स्वाक्षरी केली आहे किंवा त्यात सुधारणा केली आहे किंवा त्यांना अपग्रेड करण्यासाठी कागदोपत्री योजना आहे.
• पुराव्याच्या पॅकमध्ये सुधारित नमुन्यासह चाचणी अधिकार विनंती लॉग केली, नियुक्त केली आणि बंद केली.
• उल्लंघनाच्या टेबलटॉपने व्यायाम विंडोमध्ये टाइमलाइन, मसुदा वापरकर्ता सूचना आणि मसुदा बोर्ड सूचना तयार केली.
• विभाग 19 मधून कोणते उद्योग प्रवाह एक आणि दोन प्राधान्य आहेत हे नेतृत्व स्पष्ट करू शकते.

कोणतेही उत्तर नाही असल्यास, तत्परता घोषित करण्याऐवजी पुढील 90-दिवसांच्या लहरीमध्ये ते अंतर वाहून घ्या. DPDPA प्रोग्राम कंपाऊंड - प्रत्येक तिमाही पुराव्याची खोली जोडते, नवीन प्रकल्प नाही.

विभाग 24: अस्वीकरण आणि SaralPrivacy उत्पादन ब्रिज

अस्वीकरण

ही श्वेतपत्रिका SaralPrivacy द्वारे माहितीपूर्ण आणि शैक्षणिक हेतूने प्रकाशित केली आहे. हा कायदेशीर सल्ला नाही, भारतीय कायद्यात पात्र असलेल्या सल्ल्याचा पर्याय नाही आणि अनुपालन किंवा नियामक परिणामांची हमी नाही. कायदा, नियम, सूचना आणि न्यायालयाचे निर्णय स्थिती तारखेनंतर (14 जून 2026) बदलू शकतात. ऑपरेशनल निर्णयांवर विसंबून राहण्यापूर्वी सर्व मुदती, सूट आणि क्षेत्रीय जबाबदाऱ्या तुमच्या सल्लागार आणि अधिकृत राजपत्र स्रोतांसह सत्यापित करा. SaralPrivacy केवळ या दस्तऐवजाच्या आधारावर केलेल्या कृतींसाठी कोणतेही दायित्व स्वीकारत नाही.

SaralPrivacy उत्पादन पूल (संयमित)

SaralPrivacy भारतीय ऑपरेटर्सना ते प्रत्यक्षात कोणता वैयक्तिक डेटा शोधतात आणि सखोल कायदेशीर खर्च करण्यापूर्वी तत्परतेचे मूल्यांकन करण्यात मदत करते. ही श्वेतपत्रिका म्हणजे नकाशा; साधने कंपास तपासणी आहेत.

हा मार्ग कसा वापरायचा: विभाग ३-५ आणि तुमचा उद्योग स्नॅपशॉट वाचा. तुम्ही तुमचा डेटा प्रकार साध्या इंग्रजीत सूचीबद्ध करू शकत नसल्यास डिस्कव्हरी चालवा. अंतरांना प्राधान्य देण्यासाठी जेनेरिक किंवा सेक्टर असेसमेंट चालवा. समुपदेशनासाठी आणि तुमच्या 90-दिवसांच्या योजनेच्या मालकाला आउटपुट घ्या - उलट नाही.

कोणतेही उत्पादन वैशिष्ट्य सूचना, सुरक्षा, उल्लंघन प्रतिसाद किंवा कायद्याने आवश्यक असलेल्या अधिकार ऑपरेशन्सची जागा घेत नाही. साधने संकुचित कुठून सुरू करायची त्यामुळे संघ कायदेशीर आणि अभियांत्रिकी वेळ वास्तविक प्रवाहांवर घालवतात, सामान्य चिंता नाही.

पहिल्यांदा वाचकासाठी सुचवलेला क्रम:

1. CEO किंवा संस्थापक: विभाग 3, 4, 5, आणि 19 (तुमचा उद्योग) - 20 मिनिटे.
2. कार्यक्रम मालक: कलम 7-18 अधिक कलम 23 - एक कामकाजाचे सत्र.
3. कायदेशीर सल्ला: कलम 8, 9, 20-22 आणि शब्दकोष - प्रमाणीकरण पास.
4. बोर्ड पॅकेट: विभाग 4 इन्फोग्राफिक 1, विभाग 9 बंधन सारणी, विभाग 23 गँट, विभाग 18 मधील रेडिनेस स्कोअरकार्ड.

जेव्हा गॅझेट सूचना तारखा बदलतात किंवा जेव्हा SaralPrivacy नवीन उद्योग स्कॅन आवृत्त्या प्रकाशित करते तेव्हा हे श्वेतपत्र अद्यतनित केले जाईल. बाह्यरित्या मुदतीचा उल्लेख करण्यापूर्वी कव्हरवरील स्थितीची तारीख तपासा.

प्रकाशक टीप: SaralPrivacy भारतीय ऑपरेटरसाठी शोध आणि मूल्यमापन साधने तयार करते. हा दस्तऐवज OPERATE v6.1 आणि जून 2026 च्या कायदेशीर स्थिती स्नॅपशॉटशी संरेखित केलेली सार्वजनिक संदर्भ आवृत्ती आहे. SaralPrivacy समर्थन चॅनेलद्वारे अभिप्राय आणि सुधारणांचे स्वागत आहे.

शब्दकोश (25 संज्ञा)

स्रोत नोंदवही

| S8 | मीडियानामा: DPDP कायद्याच्या आव्हानात सर्वोच्च न्यायालयाची नोटीस, 13 मार्च 2026. | https://www.medianama.com/2026/03/223-supreme-court-dpdp-act-challenge/ |

भारताचा DPDPA रेडिनेस श्वेतपत्र 2026-2027 v6.1 - SaralPrivacy - 14 जून 2026 - OPERATE मॉडेल - माहितीपूर्ण रचना, कायदेशीर सल्ला नाही.