भाग 12.4 / 7

Data Fiduciary के दायित्व

DPDPA 2023 में Data Fiduciary के दायित्व - Purpose Limitation, Data Minimization, Storage Limitation, Security, और Breach Notification।

12.4.1 Purpose Limitation (उद्देश्य सीमा)

Personal Data का उपयोग केवल उसी Purpose के लिए होना चाहिए जिसके लिए Consent ली गई थी।

सिद्धांत

  • Specified Purpose: Notice में बताया गया Purpose ही
  • No Secondary Use: बिना नई Consent के अन्य उपयोग नहीं
  • Compatible Use: Original Purpose से Compatible होना चाहिए
उदाहरण

यदि E-commerce Site ने Delivery के लिए Address लिया, तो उसे Marketing के लिए Use नहीं कर सकते - जब तक अलग से Consent न हो।

12.4.2 Data Minimization (डेटा न्यूनीकरण)

सिद्धांत

  • Adequate: Purpose के लिए पर्याप्त
  • Relevant: Purpose से संबंधित
  • Necessary: Purpose के लिए आवश्यक
  • Not Excessive: जरूरत से ज्यादा नहीं

व्यावहारिक प्रश्न

Data Collection से पहले पूछें: "क्या यह Data इस Purpose के लिए वाकई जरूरी है?"

12.4.3 Storage Limitation (भंडारण सीमा)

धारा 8(7) - Retention

  • Purpose Fulfillment: Purpose पूरा होने तक ही Store
  • Consent Withdrawal: Consent वापस लेने के बाद Delete
  • Legal Requirement: कानूनी आवश्यकता हो तो रख सकते हैं

Retention Policy

  • प्रत्येक Category of Data के लिए Retention Period निर्धारित करें
  • Automatic Deletion Mechanisms लागू करें
  • Period समाप्त होने पर तुरंत Delete करें

12.4.4 Security Safeguards (सुरक्षा उपाय)

Data Fiduciary को Personal Data की सुरक्षा के लिए "Reasonable Security Safeguards" अपनाने होंगे।

Security Measures

  • Technical: Encryption, Access Controls, Firewalls
  • Organizational: Policies, Training, Access Restrictions
  • Physical: Server Room Security, Device Security
MeasureDescriptionExample
EncryptionData को Unreadable बनानाAES-256, TLS
Access ControlAuthorized Access OnlyRBAC, MFA
Audit LogsActivity TrackingWho accessed What, When
BackupData RecoveryRegular Encrypted Backups

12.4.5 Data Breach Notification

धारा 8(6) - Breach Reporting

  • To Board: Data Protection Board को सूचित करना अनिवार्य
  • To Data Principal: प्रभावित व्यक्तियों को सूचना
  • Form & Manner: Rules में निर्धारित तरीके से
Breach की परिभाषा

Personal Data Breach: Unauthorized Access, Disclosure, या Loss of Personal Data जो Data Principal के Rights पर प्रभाव डाले।

Breach Response Plan

  • Identification: Breach की पहचान
  • Containment: Further Damage रोकना
  • Assessment: Impact का मूल्यांकन
  • Notification: Board और Data Principals को सूचना
  • Remediation: Future Prevention के उपाय

12.4.6 Data Processor के संबंध में

Processor Selection

  • Due Diligence: Processor की Security Capabilities जांचें
  • Written Contract: Data Processing Agreement अनिवार्य
  • Instructions Only: Processor केवल निर्देशानुसार Process करे

Fiduciary Remains Responsible

Data Fiduciary Processor के कार्यों के लिए भी जिम्मेदार रहता है।

मुख्य बिंदु (Key Takeaways)

  • Purpose Limitation: केवल बताए Purpose के लिए Use
  • Minimization: जरूरी Data ही Collect करें
  • Storage: Purpose पूरा होने पर Delete
  • Security: Reasonable Safeguards अनिवार्य
  • Breach: Board और Data Principal को सूचना अनिवार्य
  • Processor: Fiduciary जिम्मेदार रहता है