📚Civic Action

DPDP Act 2023 के तहत अपने जेनेटिक डेटा को कैसे सुरक्षित रखें

भारत की जेनेटिक विविधता शोधकर्ताओं के लिए एक खजाना है। Digital Personal Data Protection Act 2023 का उपयोग करके जानें कि आपके DNA डेटा को कौन देख सकता है, इस पर नियंत्रण कैसे रखें।

HowToHelp Editorial
11 min read
#DPDP Act 2023#जेनेटिक डेटा गोपनीयता भारत#DNA संरक्षण कानून#Digital Personal Data Protection Act#Biological Diversity Act 2002#डेटा मिटाने का अधिकार भारत

द हुक (The Hook)

आपने Reddit थ्रेड्स या Instagram रील्स पर देखा होगा: "भारतीय जेनेटिक विविधता अद्भुत है।" हम सिर्फ एक जैसे दिखने वाले लोगों का समूह नहीं हैं; हम 4,500 से अधिक अलग-अलग समूहों का एक मोज़ेक हैं, जिनके पास हजारों वर्षों के इतिहास से बने अद्वितीय DNA मार्कर्स हैं। हो सकता है कि आप अपनी वंशावली के बारे में जानने के लिए उत्सुक हों और ₹10,000 की "lineage report" के लिए किसी ट्रेंडी स्टार्टअप को अपना लार (saliva) का नमूना भेज दें। या शायद आपने आनुवंशिक स्वास्थ्य जोखिमों की जांच के लिए किसी निजी अस्पताल में अपना जीनोम सीक्वेंस करवाया हो।

सच यह है: आपका DNA वह सबसे निजी डेटा है जो आपके पास कभी होगा। ऐसी दुनिया में जहां "डेटा ही नया तेल है," आपके विशिष्ट जेनेटिक मार्कर्स—खासकर यदि आप दुर्लभ लक्षणों वाले समुदाय से हैं—Big Pharma और वैश्विक टेक कंपनियों के लिए एक उच्च-मूल्य वाली संपत्ति हैं। यदि कोई कंपनी आपकी स्पष्ट "हां" के बिना आपके जेनेटिक प्रोफाइल को किसी बीमा कंपनी या विदेशी शोध लैब को बेचती है, तो वे सिर्फ गलत काम नहीं कर रहे हैं; वे संभवतः भारतीय कानून का उल्लंघन कर रहे हैं। आपके पास अपने कोड (DNA) का मालिक होने का अधिकार है।

कानून वास्तव में क्या कहता है

लंबे समय तक, भारत का जेनेटिक डेटा एक कानूनी ग्रे ज़ोन में था। Digital Personal Data Protection (DPDP) Act, 2023 के साथ यह बदल गया। इस अधिनियम के तहत, आपकी जेनेटिक जानकारी को "Personal Data" के रूप में वर्गीकृत किया गया है, और आप "Data Principal" हैं। इसे इकट्ठा करने वाली इकाई—चाहे वह डायग्नोस्टिक लैब हो, शोध संस्थान हो, या हेल्थ ऐप—"Data Fiduciary" है।

1. सहमति की शक्ति (धारा 6)

DPDP Act 2023 की धारा 6 के अनुसार, आपके जेनेटिक डेटा की कोई भी प्रोसेसिंग "स्वतंत्र, विशिष्ट, सूचित, बिना शर्त और स्पष्ट" सहमति पर आधारित होनी चाहिए। इसका मतलब है कि कोई लैब इस तथ्य को नहीं छिपा सकती कि वे आपका डेटा किसी तीसरे पक्ष को बेच रहे हैं, जिसे वे 50-पृष्ठ के Terms and Conditions दस्तावेज़ में छिपा देते हैं जिसे कोई नहीं पढ़ता। उन्हें आपको सरल भाषा में (और यदि आप चाहें, तो संविधान की आठवीं अनुसूची में निर्दिष्ट 22 भाषाओं में से किसी में भी) एक नोटिस देना होगा, जिसमें स्पष्ट रूप से बताया गया हो कि कौन सा डेटा एकत्र किया जा रहा है और क्यों।

2. वापस लेने का अधिकार (धारा 6(4))

आप हमेशा के लिए बंधे नहीं हैं। धारा 6(4) आपको किसी भी समय अपनी सहमति वापस लेने का अधिकार देती है। यदि आप तय करते हैं कि आप नहीं चाहते कि कोई जेनेटिक टेस्टिंग कंपनी आपके DNA प्रोफाइल को रखे, तो आप उन्हें रुकने के लिए कह सकते हैं। कानून की मांग है कि सहमति वापस लेने की प्रक्रिया उतनी ही आसान होनी चाहिए जितनी कि उसे देने की प्रक्रिया।

3. मिटाने का अधिकार (धारा 12)

DPDP Act की धारा 12(3) के तहत, आप मांग कर सकते हैं कि लैब आपका जेनेटिक डेटा मिटा दे, एक बार जब वह उद्देश्य पूरा हो जाए जिसके लिए इसे एकत्र किया गया था (जैसे, आपको स्वास्थ्य रिपोर्ट देना), जब तक कि किसी अन्य कानून द्वारा इसे रखना आवश्यक न हो।

4. Biological Diversity Act, 2002

आपकी व्यक्तिगत गोपनीयता से परे, भारत अपनी सामूहिक जेनेटिक विरासत की रक्षा करता है। Biological Diversity Act, 2002 की धारा 3 किसी भी ऐसे व्यक्ति को, जो भारत का नागरिक नहीं है, या किसी विदेशी निगम को, National Biodiversity Authority (NBA) से पूर्व अनुमोदन के बिना भारत में होने वाले किसी भी "जैविक संसाधन" या "उससे जुड़ी जानकारी" को शोध या व्यावसायिक उपयोग के लिए प्राप्त करने से रोकती है। यह "biopiracy" के खिलाफ एक सुरक्षा उपाय है—जहां विदेशी संस्थाएं भारतीय जेनेटिक विविधता से लाभ उठाती हैं बिना उसका लाभ साझा किए।

यदि आपको संदेह है कि कोई सरकारी अस्पताल या सार्वजनिक संस्थान नमूनों का गलत प्रबंधन कर रहा है, तो आप RTI Act 2005 की धारा 6(1) के तहत निजी कंपनियों के साथ उनके डेटा-साझाकरण समझौतों के बारे में पूछने के लिए File an RTI online कर सकते हैं।

स्टेप-बाय-स्टेप प्लेबुक

अपने जेनेटिक डेटा की रक्षा करना सिर्फ डरे रहने के बारे में नहीं है; यह डिजिटल स्वच्छता के बारे में है। यहां बताया गया है कि आप DPDP Act 2023 के तहत अपने अधिकारों का उपयोग कैसे करें।

स्टेप 1: जेनेटिक ऑडिट करें

उन सभी जगहों की सूची बनाएं जिनके पास आपका जेनेटिक डेटा हो सकता है। इसमें शामिल हैं:

  • निजी डायग्नोस्टिक लैब (Thyrocare, Dr Lal PathLabs, आदि)।
  • डायरेक्ट-टू-कंज्यूमर एंसेस्ट्री किट (Mapmygenome, Ancestry.com, आदि)।
  • सरकारी शोध परियोजनाएं जिनके लिए आपने स्वेच्छा से काम किया हो।
  • बड़ी सर्जरी या बायोप्सी के अस्पताल रिकॉर्ड।

स्टेप 2: डेटा सारांश की मांग करें (पूछताछ)

DPDP Act की धारा 11 के तहत, आपके पास "सूचना तक पहुंच का अधिकार" है। लैब के Data Protection Officer (DPO) को एक ईमेल भेजें। अब हर बड़ी लैब के पास एक DPO होना अनिवार्य है।

क्या पूछें: "DPDP Act 2023 की धारा 11 के तहत, मैं आपके संगठन द्वारा वर्तमान में प्रोसेस किए जा रहे व्यक्तिगत जेनेटिक डेटा का सारांश, उन सभी तीसरे पक्षों की पहचान जिनके साथ यह डेटा साझा किया गया है, और ऐसे साझाकरण का विशिष्ट उद्देश्य जानने का अनुरोध करता/करती हूं।"

समय सीमा: अधिनियम अभी भी DPDP Rules के माध्यम से प्रतिक्रियाओं के लिए विशिष्ट समय सीमा को अधिसूचित करने की प्रक्रिया में है, लेकिन 30 दिन एक उचित अवधि है। यदि वे जवाब नहीं देते हैं, तो यह एक चेतावनी संकेत है।

स्टेप 3: सेकेंडरी उपयोग के लिए सहमति रद्द करें

यदि आपको पता चलता है कि वे आपके DNA का उपयोग "अपने AI मॉडल को बेहतर बनाने" या "जनसंख्या अध्ययन करने" के लिए कर रहे हैं, जिसके लिए आपने विशेष रूप से सहमति नहीं दी थी, तो धारा 6(4) के तहत अपने अधिकार का प्रयोग करें।

क्या करें: एक औपचारिक नोटिस (ईमेल ठीक है) भेजें जिसमें लिखा हो: "मैं इसके द्वारा अपने जेनेटिक डेटा की किसी भी प्रोसेसिंग के लिए अपनी सहमति वापस लेता/लेती हूं, जो उस प्राथमिक डायग्नोस्टिक उद्देश्य से परे है जिसके लिए इसे एकत्र किया गया था। कृपया पुष्टि करें कि सभी सेकेंडरी प्रोसेसिंग बंद कर दी गई है।"

स्टेप 4: मिटाने के अधिकार का प्रयोग करें (Erasure)

यदि आप अब किसी सेवा का उपयोग नहीं करते हैं, तो सिर्फ ऐप डिलीट न करें। डेटा डिलीट करें। धारा 12(3) के तहत, आप अपने डेटा को मिटाने का अनुरोध कर सकते हैं।

क्या साथ लाएं: अपना मूल ग्राहक आईडी या नमूना बारकोड। स्क्रिप्ट: "DPDP Act 2023 की धारा 12(3) के अनुसार, मैं अपने जेनेटिक प्रोफाइल को स्थायी रूप से मिटाने और आपकी सुविधा द्वारा संग्रहीत किसी भी भौतिक जैविक नमूने (लार/रक्त) को नष्ट करने का अनुरोध करता/करती हूं। कृपया 30 दिनों के भीतर विनाश/मिटाने का प्रमाण पत्र प्रदान करें।"

स्टेप 5: Data Protection Board (DPBI) को शिकायत करें

यदि लैब आपका डेटा मिटाने से इनकार करती है या आपके अनुरोध को अनदेखा करती है, तो आप Data Protection Board of India के पास शिकायत दर्ज कर सकते हैं।

अपेक्षित समय सीमा: बोर्ड को डिजिटल-फर्स्ट निर्णायक के रूप में डिज़ाइन किया गया है। धारा 33 के तहत, उनके पास उन कंपनियों पर भारी जुर्माना (₹250 करोड़ तक) लगाने की शक्ति है जो डेटा की सुरक्षा करने में विफल रहती हैं या Data Principal के अधिकारों को अनदेखा करती हैं।

यदि आपका जेनेटिक डेटा ऑनलाइन लीक हो गया है या हैक हो गया है, तो यह एक आपराधिक मामला भी है। आपको तुरंत Cyber Crime reporting portal पर इसकी रिपोर्ट करनी चाहिए और विचार करना चाहिए कि क्या आपको IT Act की धारा 66 और BNSS की प्रासंगिक धाराओं के तहत How to file an FIR करने की आवश्यकता है यदि पहचान की चोरी शामिल है।

स्टेप 6: National Biodiversity Authority (NBA) के साथ सत्यापित करें

यदि आप एक छात्र या शोधकर्ता हैं और आप देखते हैं कि कोई निजी कंपनी आपके क्षेत्र में किसी विशिष्ट आदिवासी या अंतर्विवाही समुदाय से DNA के नमूने एकत्र कर रही है, तो जांचें कि क्या उनके पास NBA की मंजूरी है। आप यह सत्यापित करने के लिए NBA को ([email protected] पर) ईमेल कर सकते हैं कि क्या किसी विशिष्ट परियोजना को Biological Diversity Act 2002 के तहत भारतीय जैविक संसाधनों तक पहुंच प्रदान की गई है। यह आपके स्थानीय समुदाय की "अद्भुत विविधता" को शोषण से बचाने का एक प्रमुख तरीका है।

अपने डिजिटल और भौतिक अधिकारों की रक्षा के और तरीके देखने के लिए, Browse all civic-action guides पर जाएं।

यह आमतौर पर कहां विफल होता है

DPDP Act 2023 जैसे मजबूत कानून के बावजूद, सिस्टम "सेट करें और भूल जाएं" वाली मशीन नहीं है। यहां बताया गया है कि आप संभवतः कहां दीवार से टकराएंगे और उस पर कैसे चढ़ें।

1. "अनामकरण" (Anonymisation) का जाल

लैब अक्सर दावा करती हैं कि एक बार जब वे आपके DNA अनुक्रम से आपका नाम हटा देती हैं, तो यह "अनाम" हो जाता है और अब DPDP Act के अंतर्गत नहीं आता है। वे इसका उपयोग आपसे पूछे बिना फार्मा कंपनियों को आपके "de-identified" मार्कर्स बेचने के लिए करती हैं। समाधान: जेनेटिक डेटा को वास्तव में अनाम करना बहुत कठिन है क्योंकि आपका DNA ही आपकी पहचान है। DPDP Act की धारा 2(t) के तहत, यदि आपको फिर से पहचानने का कोई तरीका है (अन्य डेटाबेस के साथ क्रॉस-रेफरेंसिंग करके), तो यह अभी भी Personal Data है। यदि वे इसे मिटाने से इनकार करते हैं, तो उनसे लिखित गारंटी मांगें कि डेटा को आपसे फिर से नहीं जोड़ा जा सकता है। यदि वे ऐसा प्रदान नहीं कर सकते हैं, तो उनके Data Protection Officer (DPO) के पास शिकायत दर्ज करें।

2. लापता DPO

हर "Significant Data Fiduciary" (बड़ी लैब या टेक कंपनियां) के लिए एक Data Protection Officer नियुक्त करना अनिवार्य है। हालांकि, छोटी डायग्नोस्टिक लैब या "वेलनेस" स्टार्टअप्स के पास गोपनीयता के मुद्दों के लिए संपर्क ईमेल भी नहीं हो सकता है। समाधान: उनकी वेबसाइट के फुटर में "Privacy Policy" या "Terms of Service" देखें। यदि कोई DPO सूचीबद्ध नहीं है, तो वे DPDP Act की धारा 10 का उल्लंघन कर रहे हैं। अपना अनुरोध उनके सामान्य सपोर्ट ईमेल पर भेजें और पेपर ट्रेल बनाने के लिए Ministry of Electronics and Information Technology (MeitY) को [email protected] पर CC करें।

3. "पुराने डेटा" (Legacy Data) का बहाना

यदि आपने 2021 में (अधिनियम से पहले) अपना नमूना दिया था, तो एक लैब आपको बता सकती है कि DPDP Act उन पर लागू नहीं होता है। समाधान: यह गलत है। हालांकि अधिनियम पिछले कार्यों के लिए पूरी तरह से पूर्वव्यापी (retroactive) नहीं है, लेकिन यह डेटा की किसी भी वर्तमान प्रोसेसिंग या भंडारण पर लागू होता है। यदि उनके सर्वर पर आज भी आपका डेटा है, तो उन्हें धारा 12(3) के तहत मिटाने के आपके अनुरोध का पालन करना होगा।

4. पोर्टल में देरी

Data Protection Board (वह निकाय जो शिकायतों की सुनवाई करता है) अभी भी अपना डिजिटल बुनियादी ढांचा स्थापित कर रहा है। आप आधिकारिक शिकायत पोर्टल को "रखरखाव के अधीन" या त्रुटिपूर्ण पा सकते हैं। समाधान: पोर्टल का इंतजार न करें। कंपनी के प्रधान कार्यालय को एक औपचारिक Registered Post AD (Acknowledgement Due) पत्र भेजें। भारतीय अदालतों की नजर में, किसी पत्र की भौतिक रसीद को कंपनी के लिए उस ईमेल की तुलना में "अनदेखा" करना बहुत कठिन है जो "स्पैम में चला गया।"

टेम्पलेट्स / स्क्रिप्ट

टेम्पलेट 1: डेटा सारांश और मिटाने का अनुरोध (ईमेल)

विषय: DPDP Act, 2023 की धारा 11 और 12 के तहत अधिकारों का प्रयोग – [आपका नाम/ग्राहक आईडी]

बॉडी: Data Protection Officer को, [कंपनी का नाम],

मैं [तारीख] को [ग्राहक आईडी/नमूना आईडी] के तहत मुझसे एकत्र किए गए जेनेटिक डेटा के संबंध में एक Data Principal के रूप में लिख रहा/रही हूं।

Digital Personal Data Protection Act, 2023 की धारा 11 के तहत, मैं आपके द्वारा वर्तमान में प्रोसेस किए जा रहे व्यक्तिगत डेटा का सारांश, उन सभी अन्य Data Fiduciaries/Processors की पहचान जिनके साथ मेरा जेनेटिक डेटा साझा किया गया है, और ऐसे साझाकरण के विशिष्ट उद्देश्यों का अनुरोध करता/करती हूं।

इसके अलावा, अधिनियम की धारा 12(3) के तहत, मैं इसके द्वारा अपने जेनेटिक डेटा और किसी भी व्युत्पन्न प्रोफाइल को मिटाने का अनुरोध करता/करती हूं, क्योंकि जिस उद्देश्य के लिए इसे एकत्र किया गया था (प्रारंभिक रिपोर्ट) वह पूरा हो चुका है।

कृपया 30 दिनों के भीतर इस अनुरोध के पूरा होने की पुष्टि करें। यदि आप अधिनियम के तहत किसी छूट का दावा करते हैं, तो कृपया सटीक धारा निर्दिष्ट करें।

सादर, [आपका नाम] [आपका फोन नंबर]


टेम्पलेट 2: सरकारी अस्पतालों/लैब के लिए RTI

लक्ष्य: अस्पताल/संस्थान के Public Information Officer (PIO)। शुल्क: ₹10 (rtionline.gov.in के माध्यम से)।

टेक्स्ट: 2024 और 2026 के बीच [विभाग का नाम] द्वारा एकत्र किए गए जीनोमिक शोध/डायग्नोस्टिक नमूनों के संबंध में:

  1. जेनेटिक डेटा के संबंध में इस संस्थान और किसी भी निजी/विदेशी संस्था के बीच डेटा साझाकरण समझौते/MoU की एक प्रति प्रदान करें।
  2. उन भारतीय नागरिकों की कुल संख्या प्रदान करें जिनका जेनेटिक डेटा पिछले 2 वित्तीय वर्षों में तीसरे पक्षों के साथ साझा किया गया है।
  3. इन जैविक संसाधनों के व्यावसायिक उपयोग के लिए Biological Diversity Act, 2002 की धारा 21 के अनुसार स्थापित "लाभ साझाकरण" (Benefit Sharing) तंत्र का विवरण प्रदान करें।

स्क्रिप्ट: कस्टमर केयर कॉल

आप: "मैं अपने DNA नमूने के संबंध में आपके Data Protection Officer से बात करना चाहता/चाहती हूं।" कार्यकारी: "सर/मैम, हमारे पास वह नहीं है। आप बस ऐप डिलीट कर सकते हैं।" आप: "ऐप डिलीट करने से मेरा जेनेटिक अनुक्रम आपके क्लाउड से डिलीट नहीं होता है। DPDP Act 2023 की धारा 12 के तहत, मेरे पास मिटाने का कानूनी अधिकार है। यदि आपके पास DPO नहीं है, तो कृपया मुझे अपने कानूनी प्रमुख (Legal Head) का ईमेल दें। मुझे पुष्टि चाहिए कि मेरा जैविक डेटा मिटा दिया गया है, न कि सिर्फ मेरा अकाउंट।"

Frequently Asked Questions

1. क्या कोई बीमा कंपनी मुझे जेनेटिक टेस्ट कराने के लिए मजबूर कर सकती है?

नहीं। **IRDAI (Insurance Regulatory and Development Authority of India)** के दिशानिर्देशों और DPDP Act के अनुसार, बीमाकर्ता पॉलिसी खरीदने के लिए आपको जेनेटिक परीक्षण कराने के लिए मजबूर नहीं कर सकते। हालांकि, यदि आपने *पहले ही* परीक्षण कर लिया है और परिणाम किसी पूर्व-मौजूदा स्थिति को दिखाते हैं, तो आपको "परम सद्भाव" (utmost good faith) के सिद्धांत के तहत इसका खुलासा करना पड़ सकता है।

2. क्या होगा यदि कंपनी अमेरिका या सिंगापुर में स्थित है?

यदि वे भारत में आपको सेवाएं देने के लिए आपसे डेटा एकत्र कर रहे हैं, तो DPDP Act उन पर लागू होता है, चाहे उनका प्रधान कार्यालय कहीं भी हो (धारा 3(b))। यदि वे पालन करने से इनकार करते हैं, तो आप उनकी रिपोर्ट भारतीय Data Protection Board को कर सकते हैं, जिसके पास भारत में उनकी सेवाओं को ब्लॉक करने की शक्ति है।

3. मेरा DNA डेटा लीक करने के लिए लैब पर कितना जुर्माना लगाया जा सकता है?

DPDP Act 2023 की अनुसूची 1 के तहत, डेटा उल्लंघन को रोकने के लिए उचित सुरक्षा उपाय करने में विफल रहने पर Data Fiduciary पर **₹250 करोड़** तक का जुर्माना लगाया जा सकता है। यही कारण है कि लैब अब कानूनी रूप से "लीक" से डरी हुई हैं।

4. क्या मुझे पैसे मिल सकते हैं यदि कोई कंपनी शोध के लिए मेरे DNA का उपयोग करती है?

DPDP Act के तहत, आपको अपनी गोपनीयता के लिए "पैसे" नहीं मिलते हैं, लेकिन **Biological Diversity Act, 2002** के तहत, यदि आपकी जेनेटिक सामग्री का उपयोग व्यावसायिक शोध के लिए किया जाता है, तो "Fair and Equitable Benefit Sharing" (FEBS) की आवश्यकता होती है। यह आमतौर पर National Biodiversity Fund में जाता है, लेकिन आप National Biodiversity Authority (NBA) के माध्यम से पारदर्शिता की कमी को चुनौती दे सकते हैं।

5. क्या सरकार के पास मेरे DNA का अधिकार है?

DPDP Act की धारा 7 सरकार को "कुछ वैध उपयोगों" के लिए डेटा प्रोसेस करने की अनुमति देती है, जैसे कि राष्ट्रीय सुरक्षा या चिकित्सा आपातकाल (जैसे महामारी) के दौरान। हालांकि, नियमित शोध के लिए, सरकारी लैब से भी **Indian Council of Medical Research (ICMR)** द्वारा निर्धारित सूचित सहमति प्रोटोकॉल का पालन करने की अपेक्षा की जाती है।

📮

One civic-action playbook a week

RTI templates, FIR scripts, real escalation ladders — the same kind of thing you just read. Sundays only. No spam.

We don't share your email. Unsubscribe any time.

DPDP Act 2023 के तहत अपने जेनेटिक डेटा को कैसे सुरक्षित रखें · HowToHelp