DPDP Act 2023 के तहत अपने जेनेटिक डेटा को कैसे सुरक्षित रखें
भारत की जेनेटिक विविधता शोधकर्ताओं के लिए एक खजाना है। Digital Personal Data Protection Act 2023 का उपयोग करके जानें कि आपके DNA डेटा को कौन देख सकता है, इस पर नियंत्रण कैसे रखें।
भारत की जेनेटिक विविधता शोधकर्ताओं के लिए एक खजाना है। Digital Personal Data Protection Act 2023 का उपयोग करके जानें कि आपके DNA डेटा को कौन देख सकता है, इस पर नियंत्रण कैसे रखें।
आपने Reddit थ्रेड्स या Instagram रील्स पर देखा होगा: "भारतीय जेनेटिक विविधता अद्भुत है।" हम सिर्फ एक जैसे दिखने वाले लोगों का समूह नहीं हैं; हम 4,500 से अधिक अलग-अलग समूहों का एक मोज़ेक हैं, जिनके पास हजारों वर्षों के इतिहास से बने अद्वितीय DNA मार्कर्स हैं। हो सकता है कि आप अपनी वंशावली के बारे में जानने के लिए उत्सुक हों और ₹10,000 की "lineage report" के लिए किसी ट्रेंडी स्टार्टअप को अपना लार (saliva) का नमूना भेज दें। या शायद आपने आनुवंशिक स्वास्थ्य जोखिमों की जांच के लिए किसी निजी अस्पताल में अपना जीनोम सीक्वेंस करवाया हो।
सच यह है: आपका DNA वह सबसे निजी डेटा है जो आपके पास कभी होगा। ऐसी दुनिया में जहां "डेटा ही नया तेल है," आपके विशिष्ट जेनेटिक मार्कर्स—खासकर यदि आप दुर्लभ लक्षणों वाले समुदाय से हैं—Big Pharma और वैश्विक टेक कंपनियों के लिए एक उच्च-मूल्य वाली संपत्ति हैं। यदि कोई कंपनी आपकी स्पष्ट "हां" के बिना आपके जेनेटिक प्रोफाइल को किसी बीमा कंपनी या विदेशी शोध लैब को बेचती है, तो वे सिर्फ गलत काम नहीं कर रहे हैं; वे संभवतः भारतीय कानून का उल्लंघन कर रहे हैं। आपके पास अपने कोड (DNA) का मालिक होने का अधिकार है।
लंबे समय तक, भारत का जेनेटिक डेटा एक कानूनी ग्रे ज़ोन में था। Digital Personal Data Protection (DPDP) Act, 2023 के साथ यह बदल गया। इस अधिनियम के तहत, आपकी जेनेटिक जानकारी को "Personal Data" के रूप में वर्गीकृत किया गया है, और आप "Data Principal" हैं। इसे इकट्ठा करने वाली इकाई—चाहे वह डायग्नोस्टिक लैब हो, शोध संस्थान हो, या हेल्थ ऐप—"Data Fiduciary" है।
DPDP Act 2023 की धारा 6 के अनुसार, आपके जेनेटिक डेटा की कोई भी प्रोसेसिंग "स्वतंत्र, विशिष्ट, सूचित, बिना शर्त और स्पष्ट" सहमति पर आधारित होनी चाहिए। इसका मतलब है कि कोई लैब इस तथ्य को नहीं छिपा सकती कि वे आपका डेटा किसी तीसरे पक्ष को बेच रहे हैं, जिसे वे 50-पृष्ठ के Terms and Conditions दस्तावेज़ में छिपा देते हैं जिसे कोई नहीं पढ़ता। उन्हें आपको सरल भाषा में (और यदि आप चाहें, तो संविधान की आठवीं अनुसूची में निर्दिष्ट 22 भाषाओं में से किसी में भी) एक नोटिस देना होगा, जिसमें स्पष्ट रूप से बताया गया हो कि कौन सा डेटा एकत्र किया जा रहा है और क्यों।
आप हमेशा के लिए बंधे नहीं हैं। धारा 6(4) आपको किसी भी समय अपनी सहमति वापस लेने का अधिकार देती है। यदि आप तय करते हैं कि आप नहीं चाहते कि कोई जेनेटिक टेस्टिंग कंपनी आपके DNA प्रोफाइल को रखे, तो आप उन्हें रुकने के लिए कह सकते हैं। कानून की मांग है कि सहमति वापस लेने की प्रक्रिया उतनी ही आसान होनी चाहिए जितनी कि उसे देने की प्रक्रिया।
DPDP Act की धारा 12(3) के तहत, आप मांग कर सकते हैं कि लैब आपका जेनेटिक डेटा मिटा दे, एक बार जब वह उद्देश्य पूरा हो जाए जिसके लिए इसे एकत्र किया गया था (जैसे, आपको स्वास्थ्य रिपोर्ट देना), जब तक कि किसी अन्य कानून द्वारा इसे रखना आवश्यक न हो।
आपकी व्यक्तिगत गोपनीयता से परे, भारत अपनी सामूहिक जेनेटिक विरासत की रक्षा करता है। Biological Diversity Act, 2002 की धारा 3 किसी भी ऐसे व्यक्ति को, जो भारत का नागरिक नहीं है, या किसी विदेशी निगम को, National Biodiversity Authority (NBA) से पूर्व अनुमोदन के बिना भारत में होने वाले किसी भी "जैविक संसाधन" या "उससे जुड़ी जानकारी" को शोध या व्यावसायिक उपयोग के लिए प्राप्त करने से रोकती है। यह "biopiracy" के खिलाफ एक सुरक्षा उपाय है—जहां विदेशी संस्थाएं भारतीय जेनेटिक विविधता से लाभ उठाती हैं बिना उसका लाभ साझा किए।
यदि आपको संदेह है कि कोई सरकारी अस्पताल या सार्वजनिक संस्थान नमूनों का गलत प्रबंधन कर रहा है, तो आप RTI Act 2005 की धारा 6(1) के तहत निजी कंपनियों के साथ उनके डेटा-साझाकरण समझौतों के बारे में पूछने के लिए File an RTI online कर सकते हैं।
अपने जेनेटिक डेटा की रक्षा करना सिर्फ डरे रहने के बारे में नहीं है; यह डिजिटल स्वच्छता के बारे में है। यहां बताया गया है कि आप DPDP Act 2023 के तहत अपने अधिकारों का उपयोग कैसे करें।
उन सभी जगहों की सूची बनाएं जिनके पास आपका जेनेटिक डेटा हो सकता है। इसमें शामिल हैं:
DPDP Act की धारा 11 के तहत, आपके पास "सूचना तक पहुंच का अधिकार" है। लैब के Data Protection Officer (DPO) को एक ईमेल भेजें। अब हर बड़ी लैब के पास एक DPO होना अनिवार्य है।
क्या पूछें: "DPDP Act 2023 की धारा 11 के तहत, मैं आपके संगठन द्वारा वर्तमान में प्रोसेस किए जा रहे व्यक्तिगत जेनेटिक डेटा का सारांश, उन सभी तीसरे पक्षों की पहचान जिनके साथ यह डेटा साझा किया गया है, और ऐसे साझाकरण का विशिष्ट उद्देश्य जानने का अनुरोध करता/करती हूं।"
समय सीमा: अधिनियम अभी भी DPDP Rules के माध्यम से प्रतिक्रियाओं के लिए विशिष्ट समय सीमा को अधिसूचित करने की प्रक्रिया में है, लेकिन 30 दिन एक उचित अवधि है। यदि वे जवाब नहीं देते हैं, तो यह एक चेतावनी संकेत है।
यदि आपको पता चलता है कि वे आपके DNA का उपयोग "अपने AI मॉडल को बेहतर बनाने" या "जनसंख्या अध्ययन करने" के लिए कर रहे हैं, जिसके लिए आपने विशेष रूप से सहमति नहीं दी थी, तो धारा 6(4) के तहत अपने अधिकार का प्रयोग करें।
क्या करें: एक औपचारिक नोटिस (ईमेल ठीक है) भेजें जिसमें लिखा हो: "मैं इसके द्वारा अपने जेनेटिक डेटा की किसी भी प्रोसेसिंग के लिए अपनी सहमति वापस लेता/लेती हूं, जो उस प्राथमिक डायग्नोस्टिक उद्देश्य से परे है जिसके लिए इसे एकत्र किया गया था। कृपया पुष्टि करें कि सभी सेकेंडरी प्रोसेसिंग बंद कर दी गई है।"
यदि आप अब किसी सेवा का उपयोग नहीं करते हैं, तो सिर्फ ऐप डिलीट न करें। डेटा डिलीट करें। धारा 12(3) के तहत, आप अपने डेटा को मिटाने का अनुरोध कर सकते हैं।
क्या साथ लाएं: अपना मूल ग्राहक आईडी या नमूना बारकोड। स्क्रिप्ट: "DPDP Act 2023 की धारा 12(3) के अनुसार, मैं अपने जेनेटिक प्रोफाइल को स्थायी रूप से मिटाने और आपकी सुविधा द्वारा संग्रहीत किसी भी भौतिक जैविक नमूने (लार/रक्त) को नष्ट करने का अनुरोध करता/करती हूं। कृपया 30 दिनों के भीतर विनाश/मिटाने का प्रमाण पत्र प्रदान करें।"
यदि लैब आपका डेटा मिटाने से इनकार करती है या आपके अनुरोध को अनदेखा करती है, तो आप Data Protection Board of India के पास शिकायत दर्ज कर सकते हैं।
अपेक्षित समय सीमा: बोर्ड को डिजिटल-फर्स्ट निर्णायक के रूप में डिज़ाइन किया गया है। धारा 33 के तहत, उनके पास उन कंपनियों पर भारी जुर्माना (₹250 करोड़ तक) लगाने की शक्ति है जो डेटा की सुरक्षा करने में विफल रहती हैं या Data Principal के अधिकारों को अनदेखा करती हैं।
यदि आपका जेनेटिक डेटा ऑनलाइन लीक हो गया है या हैक हो गया है, तो यह एक आपराधिक मामला भी है। आपको तुरंत Cyber Crime reporting portal पर इसकी रिपोर्ट करनी चाहिए और विचार करना चाहिए कि क्या आपको IT Act की धारा 66 और BNSS की प्रासंगिक धाराओं के तहत How to file an FIR करने की आवश्यकता है यदि पहचान की चोरी शामिल है।
यदि आप एक छात्र या शोधकर्ता हैं और आप देखते हैं कि कोई निजी कंपनी आपके क्षेत्र में किसी विशिष्ट आदिवासी या अंतर्विवाही समुदाय से DNA के नमूने एकत्र कर रही है, तो जांचें कि क्या उनके पास NBA की मंजूरी है। आप यह सत्यापित करने के लिए NBA को ([email protected] पर) ईमेल कर सकते हैं कि क्या किसी विशिष्ट परियोजना को Biological Diversity Act 2002 के तहत भारतीय जैविक संसाधनों तक पहुंच प्रदान की गई है। यह आपके स्थानीय समुदाय की "अद्भुत विविधता" को शोषण से बचाने का एक प्रमुख तरीका है।
अपने डिजिटल और भौतिक अधिकारों की रक्षा के और तरीके देखने के लिए, Browse all civic-action guides पर जाएं।
DPDP Act 2023 जैसे मजबूत कानून के बावजूद, सिस्टम "सेट करें और भूल जाएं" वाली मशीन नहीं है। यहां बताया गया है कि आप संभवतः कहां दीवार से टकराएंगे और उस पर कैसे चढ़ें।
लैब अक्सर दावा करती हैं कि एक बार जब वे आपके DNA अनुक्रम से आपका नाम हटा देती हैं, तो यह "अनाम" हो जाता है और अब DPDP Act के अंतर्गत नहीं आता है। वे इसका उपयोग आपसे पूछे बिना फार्मा कंपनियों को आपके "de-identified" मार्कर्स बेचने के लिए करती हैं। समाधान: जेनेटिक डेटा को वास्तव में अनाम करना बहुत कठिन है क्योंकि आपका DNA ही आपकी पहचान है। DPDP Act की धारा 2(t) के तहत, यदि आपको फिर से पहचानने का कोई तरीका है (अन्य डेटाबेस के साथ क्रॉस-रेफरेंसिंग करके), तो यह अभी भी Personal Data है। यदि वे इसे मिटाने से इनकार करते हैं, तो उनसे लिखित गारंटी मांगें कि डेटा को आपसे फिर से नहीं जोड़ा जा सकता है। यदि वे ऐसा प्रदान नहीं कर सकते हैं, तो उनके Data Protection Officer (DPO) के पास शिकायत दर्ज करें।
हर "Significant Data Fiduciary" (बड़ी लैब या टेक कंपनियां) के लिए एक Data Protection Officer नियुक्त करना अनिवार्य है। हालांकि, छोटी डायग्नोस्टिक लैब या "वेलनेस" स्टार्टअप्स के पास गोपनीयता के मुद्दों के लिए संपर्क ईमेल भी नहीं हो सकता है।
समाधान: उनकी वेबसाइट के फुटर में "Privacy Policy" या "Terms of Service" देखें। यदि कोई DPO सूचीबद्ध नहीं है, तो वे DPDP Act की धारा 10 का उल्लंघन कर रहे हैं। अपना अनुरोध उनके सामान्य सपोर्ट ईमेल पर भेजें और पेपर ट्रेल बनाने के लिए Ministry of Electronics and Information Technology (MeitY) को [email protected] पर CC करें।
यदि आपने 2021 में (अधिनियम से पहले) अपना नमूना दिया था, तो एक लैब आपको बता सकती है कि DPDP Act उन पर लागू नहीं होता है। समाधान: यह गलत है। हालांकि अधिनियम पिछले कार्यों के लिए पूरी तरह से पूर्वव्यापी (retroactive) नहीं है, लेकिन यह डेटा की किसी भी वर्तमान प्रोसेसिंग या भंडारण पर लागू होता है। यदि उनके सर्वर पर आज भी आपका डेटा है, तो उन्हें धारा 12(3) के तहत मिटाने के आपके अनुरोध का पालन करना होगा।
Data Protection Board (वह निकाय जो शिकायतों की सुनवाई करता है) अभी भी अपना डिजिटल बुनियादी ढांचा स्थापित कर रहा है। आप आधिकारिक शिकायत पोर्टल को "रखरखाव के अधीन" या त्रुटिपूर्ण पा सकते हैं। समाधान: पोर्टल का इंतजार न करें। कंपनी के प्रधान कार्यालय को एक औपचारिक Registered Post AD (Acknowledgement Due) पत्र भेजें। भारतीय अदालतों की नजर में, किसी पत्र की भौतिक रसीद को कंपनी के लिए उस ईमेल की तुलना में "अनदेखा" करना बहुत कठिन है जो "स्पैम में चला गया।"
विषय: DPDP Act, 2023 की धारा 11 और 12 के तहत अधिकारों का प्रयोग – [आपका नाम/ग्राहक आईडी]
बॉडी: Data Protection Officer को, [कंपनी का नाम],
मैं [तारीख] को [ग्राहक आईडी/नमूना आईडी] के तहत मुझसे एकत्र किए गए जेनेटिक डेटा के संबंध में एक Data Principal के रूप में लिख रहा/रही हूं।
Digital Personal Data Protection Act, 2023 की धारा 11 के तहत, मैं आपके द्वारा वर्तमान में प्रोसेस किए जा रहे व्यक्तिगत डेटा का सारांश, उन सभी अन्य Data Fiduciaries/Processors की पहचान जिनके साथ मेरा जेनेटिक डेटा साझा किया गया है, और ऐसे साझाकरण के विशिष्ट उद्देश्यों का अनुरोध करता/करती हूं।
इसके अलावा, अधिनियम की धारा 12(3) के तहत, मैं इसके द्वारा अपने जेनेटिक डेटा और किसी भी व्युत्पन्न प्रोफाइल को मिटाने का अनुरोध करता/करती हूं, क्योंकि जिस उद्देश्य के लिए इसे एकत्र किया गया था (प्रारंभिक रिपोर्ट) वह पूरा हो चुका है।
कृपया 30 दिनों के भीतर इस अनुरोध के पूरा होने की पुष्टि करें। यदि आप अधिनियम के तहत किसी छूट का दावा करते हैं, तो कृपया सटीक धारा निर्दिष्ट करें।
सादर, [आपका नाम] [आपका फोन नंबर]
लक्ष्य: अस्पताल/संस्थान के Public Information Officer (PIO)। शुल्क: ₹10 (rtionline.gov.in के माध्यम से)।
टेक्स्ट: 2024 और 2026 के बीच [विभाग का नाम] द्वारा एकत्र किए गए जीनोमिक शोध/डायग्नोस्टिक नमूनों के संबंध में:
आप: "मैं अपने DNA नमूने के संबंध में आपके Data Protection Officer से बात करना चाहता/चाहती हूं।" कार्यकारी: "सर/मैम, हमारे पास वह नहीं है। आप बस ऐप डिलीट कर सकते हैं।" आप: "ऐप डिलीट करने से मेरा जेनेटिक अनुक्रम आपके क्लाउड से डिलीट नहीं होता है। DPDP Act 2023 की धारा 12 के तहत, मेरे पास मिटाने का कानूनी अधिकार है। यदि आपके पास DPO नहीं है, तो कृपया मुझे अपने कानूनी प्रमुख (Legal Head) का ईमेल दें। मुझे पुष्टि चाहिए कि मेरा जैविक डेटा मिटा दिया गया है, न कि सिर्फ मेरा अकाउंट।"
नहीं। **IRDAI (Insurance Regulatory and Development Authority of India)** के दिशानिर्देशों और DPDP Act के अनुसार, बीमाकर्ता पॉलिसी खरीदने के लिए आपको जेनेटिक परीक्षण कराने के लिए मजबूर नहीं कर सकते। हालांकि, यदि आपने *पहले ही* परीक्षण कर लिया है और परिणाम किसी पूर्व-मौजूदा स्थिति को दिखाते हैं, तो आपको "परम सद्भाव" (utmost good faith) के सिद्धांत के तहत इसका खुलासा करना पड़ सकता है।
यदि वे भारत में आपको सेवाएं देने के लिए आपसे डेटा एकत्र कर रहे हैं, तो DPDP Act उन पर लागू होता है, चाहे उनका प्रधान कार्यालय कहीं भी हो (धारा 3(b))। यदि वे पालन करने से इनकार करते हैं, तो आप उनकी रिपोर्ट भारतीय Data Protection Board को कर सकते हैं, जिसके पास भारत में उनकी सेवाओं को ब्लॉक करने की शक्ति है।
DPDP Act 2023 की अनुसूची 1 के तहत, डेटा उल्लंघन को रोकने के लिए उचित सुरक्षा उपाय करने में विफल रहने पर Data Fiduciary पर **₹250 करोड़** तक का जुर्माना लगाया जा सकता है। यही कारण है कि लैब अब कानूनी रूप से "लीक" से डरी हुई हैं।
DPDP Act के तहत, आपको अपनी गोपनीयता के लिए "पैसे" नहीं मिलते हैं, लेकिन **Biological Diversity Act, 2002** के तहत, यदि आपकी जेनेटिक सामग्री का उपयोग व्यावसायिक शोध के लिए किया जाता है, तो "Fair and Equitable Benefit Sharing" (FEBS) की आवश्यकता होती है। यह आमतौर पर National Biodiversity Fund में जाता है, लेकिन आप National Biodiversity Authority (NBA) के माध्यम से पारदर्शिता की कमी को चुनौती दे सकते हैं।
DPDP Act की धारा 7 सरकार को "कुछ वैध उपयोगों" के लिए डेटा प्रोसेस करने की अनुमति देती है, जैसे कि राष्ट्रीय सुरक्षा या चिकित्सा आपातकाल (जैसे महामारी) के दौरान। हालांकि, नियमित शोध के लिए, सरकारी लैब से भी **Indian Council of Medical Research (ICMR)** द्वारा निर्धारित सूचित सहमति प्रोटोकॉल का पालन करने की अपेक्षा की जाती है।
RTI templates, FIR scripts, real escalation ladders — the same kind of thing you just read. Sundays only. No spam.
We don't share your email. Unsubscribe any time.
Tired of seeing the hills choked with plastic and traffic? Learn how to use the NGT, CPCB, and RTI to hold polluters and lazy authorities accountable.
Seeing a child working or in distress is heart-wrenching. Use this guide to report child labour via 1098 or the PENCiL portal and ensure they get legal protection.
Being trolled in fan wars isn't just 'internet culture'—it can be a crime. Learn how to use the BNS and IT Act to report harassment, doxxing, and cyber-stalking in India.
When your brother snoops through your chats and tells your parents, it's not just a family fight—it's a violation of your fundamental right to privacy.