भाग 12.5: SDF और DPO | CCL मॉड्यूल 12 | साइबर लॉ अकादमी

12.5.1 Significant Data Fiduciary (SDF) क्या है?

DPDPA की धारा 10 के तहत, कुछ Data Fiduciaries को Significant Data Fiduciary (SDF) के रूप में Notify किया जा सकता है, जिन पर अतिरिक्त दायित्व लागू होते हैं।

SDF Notification के मापदंड

Volume: Process किए जाने वाले Personal Data की मात्रा
Sensitivity: Process किए जाने वाले Data की संवेदनशीलता
Risk to Rights: Data Principal के अधिकारों पर जोखिम
State Security: राष्ट्रीय सुरक्षा पर संभावित प्रभाव
Public Order: सार्वजनिक व्यवस्था पर प्रभाव
Electoral Democracy: चुनावी लोकतंत्र पर प्रभाव

Notification Process

Central Government, Data Protection Board से परामर्श के बाद, किसी Data Fiduciary को SDF के रूप में Notify करती है। यह Notification Official Gazette में प्रकाशित होता है।

12.5.2 SDF के अतिरिक्त दायित्व

धारा 10(2) - Enhanced Obligations

दायित्व	विवरण	उद्देश्य
DPO नियुक्ति	Data Protection Officer नियुक्त करना	Compliance Oversight
DPIA	Data Protection Impact Assessment	Risk Assessment
Audit	Independent Data Audit	Compliance Verification
Indian Residency	DPO भारत का निवासी हो	Accountability

12.5.3 Data Protection Officer (DPO)

DPO एक Senior Management Level का व्यक्ति होता है जो Organization की Data Protection Compliance की देखरेख करता है।

DPO की योग्यताएं

Indian Resident: भारत का निवासी होना अनिवार्य
Senior Level: Senior Management में होना चाहिए
Knowledge: Data Protection कानूनों का ज्ञान
Independence: स्वतंत्र रूप से कार्य करने की क्षमता

DPO की जिम्मेदारियां

Point of Contact: Board और Data Principals के लिए संपर्क बिंदु
Compliance Monitoring: DPDPA Compliance की निगरानी
Grievance Redressal: शिकायतों का निवारण
Advisory Role: Organization को सलाह देना
Training: कर्मचारियों का प्रशिक्षण सुनिश्चित करना

Best Practice

DPO को पर्याप्त संसाधन, स्वतंत्रता और Top Management तक सीधी पहुंच दी जानी चाहिए।

12.5.4 Data Protection Impact Assessment (DPIA)

DPIA क्या है?

DPIA एक Systematic Process है जिसमें किसी Processing Activity के Data Protection Risks का मूल्यांकन किया जाता है।

DPIA कब आवश्यक?

New Processing: नई Processing Activity शुरू करते समय
High Risk: जब Processing से उच्च जोखिम हो
Large Scale: बड़े पैमाने पर Processing
Sensitive Data: संवेदनशील Data का Processing
New Technology: नई Technology का उपयोग

DPIA में शामिल तत्व

Processing Description: क्या और कैसे Process होगा
Necessity Assessment: Processing की आवश्यकता
Risk Identification: संभावित जोखिमों की पहचान
Mitigation Measures: जोखिम कम करने के उपाय
Compliance Check: DPDPA अनुपालन की जांच

DPIA चरण	गतिविधि	Output
1. Scope	Processing की सीमा निर्धारित	Project Description
2. Data Flow	Data का प्रवाह समझना	Data Flow Diagram
3. Risk Assessment	जोखिमों का मूल्यांकन	Risk Register
4. Mitigation	उपाय लागू करना	Action Plan
5. Review	समीक्षा और अनुमोदन	Final DPIA Report

12.5.5 Independent Data Audit

Audit का उद्देश्य

Compliance Verification: DPDPA अनुपालन की पुष्टि
Gap Identification: कमियों की पहचान
Recommendations: सुधार के सुझाव
Board Submission: Board को Report प्रस्तुत

Auditor की आवश्यकताएं

Independent: Organization से स्वतंत्र
Qualified: Data Protection में विशेषज्ञता
Accredited: मान्यता प्राप्त (जब Rules बनें)

Audit Areas

Consent Management और Notice Practices
Data Principal Rights Implementation
Security Safeguards
Breach Notification Procedures
Processor Contracts
Cross-border Transfer Compliance

Audit Frequency

Audit की Frequency Rules में निर्धारित होगी। अभी तक यह Periodic Audit होगा - Annual या Board द्वारा निर्धारित समयावधि पर।

12.5.6 Regular DF vs SDF - तुलना

पहलू	Regular Data Fiduciary	Significant Data Fiduciary
DPO	अनिवार्य नहीं	अनिवार्य
DPIA	अनिवार्य नहीं	अनिवार्य
Audit	अनिवार्य नहीं	अनिवार्य
Enhanced Reporting	नहीं	हां
Penalties	Standard	Higher Scrutiny

मुख्य बिंदु (Key Takeaways)

SDF: Central Government Volume, Sensitivity के आधार पर Notify करती है
DPO: Indian Resident, Senior Level, Board का Contact Point
DPIA: Processing शुरू करने से पहले Risk Assessment
Audit: Independent Auditor द्वारा Compliance Verification
Enhanced Compliance: SDF पर अधिक कठोर नियम लागू