प्रश्न; आईटी अधिनियम, 2000 में कुछ प्रावधान हैं जो व्यक्तिगत डेटा के दुरुपयोग या गलत प्रकटीकरण की स्थिति में मुआवज़े (सिविल) और सज़ा (आपराधिक) के भुगतान की व्यवस्था करते हैं।

धारा 43A किसी निकाय को मुआवज़े के रूप में दायित्व आरोपित करती है जब कोई निकाय कोई संवेदनशील व्यक्तिगत डेटा या सूचना संभाल रहा हो और उचित सुरक्षा प्रथाओं व प्रक्रियाओं को लागू करने व बनाए रखने में लापरवाही बरते, जिससे उस व्यक्ति को गलत नुकसान या गलत लाभ हो।
धारा 72 उस व्यक्ति को सज़ा निर्धारित करती है जो आईटी अधिनियम के नियमों या विनियमों के तहत प्रदत्त किसी शक्ति के अनुसार किसी इलेक्ट्रॉनिक रिकॉर्ड, पुस्तक, रजिस्टर, पत्राचार सूचना, दस्तावेज़ या अन्य सामग्री तक बिना संबंधित व्यक्ति की सहमति के पहुँच प्राप्त करता है और उस सामग्री को किसी अन्य व्यक्ति को प्रकट करता है।
धारा 72A उस व्यक्ति को सज़ा निर्धारित करती है जिसमें एक मध्यस्थ भी शामिल है, जो किसी अन्य व्यक्ति के बारे में व्यक्तिगत सूचना वाली सामग्री तक कानूनी अनुबंध की शर्तों के तहत पहुँच प्राप्त करता है और जानबूझकर व जानते हुए उसे बिना संबंधित व्यक्ति की सहमति के कानूनी अनुबंध के उल्लंघन में प्रकट करता है।
सरकार ने सूचना प्रौद्योगिकी (उचित सुरक्षा प्रथाएँ व प्रक्रियाएँ और संवेदनशील व्यक्तिगत डेटा या सूचना) नियम, 2011 अधिसूचित किए हैं जो किसी व्यक्ति की “संवेदनशील व्यक्तिगत डेटा या सूचना” के संरक्षण से संबंधित हैं। ये नियम उचित प्रक्रियाएँ और प्रथाएँ निर्धारित करते हैं जिन्हें कोई निकाग व्यक्तिगत सूचना संभालते समय इस तरह के डेटा की सुरक्षा सुनिश्चित करने के लिए अपनाना आवश्यक है। नियमों में कहा गया है कि व्यक्तिगत सूचना में निम्नलिखित शामिल हैं: पासवर्ड से संबंधित सूचना;
वित्तीय सूचना;
शारीरिक, शारीरिकीय और मानसिक स्वास्थ्य की स्थिति;
यौन अभिविन्यास;
चिकित्सा रिकॉर्ड और इतिहास;
बायोमेट्रिक सूचना।
आईटी अधिनियम की धारा 69 गोपनीयता के सामान्य नियम को एक अपवाद है क्योंकि यह उन आधारों को निर्धारित करती है जिन पर सरकार किसी भी कंप्यूटर संसाधन में रखी किसी भी सूचना—व्यक्तिगत सूचना सहित—को इंटरसेप्ट, मॉनिटर या डिक्रिप्ट कर सकती है। यह सरकार को इस तरह की सजना को जनहित में प्रकट करने की भी शक्ति देती है।
एक अन्य अपवाद जहाँ किसी व्यक्ति की व्यक्तिगत सूचना साझा की जा सकती है, वह न्यायालय के आदेश द्वारा या ऐसी सूचना प्रदान करने वाले व्यक्ति की सहमति से है। इस स्थिति में ऐसी सूचना माँगने वाले निकाग को अपनी गोपनीयता नीति भी प्रकट करनी चाहिए। तथापि, देश में अशिक्षित आबादी के बड़े प्रतिशत के कारण लोग यह जानकारी नहीं रखते कि उन्हें निगम द्वारा व्यक्तिगत सूचना के उपयोग के लिए अपनी ‘सहमति’ देनी होती है, और इसलिए यह एक केवल औपचारिकता बनकर रह गया है। इसके अतिरिक्त, निगमों की वेबसाइटों पर लगाई गई गोपनीयता नीतियों को कोई दिशानिर्देशों का पालन किए बिना लगाया जाता है, जिससे उन्हें कोई विशेष महत्व नहीं दिया जाता।
इस स्थिति को सुधारने के लिए सूचना प्रौद्योगिकी (उचित सुरक्षा प्रथाएँ व प्रक्रियाएँ और संवेदनशील व्यक्तिगत डेटा या सूचना) नियम, 2011 का नियम 5 बनाया गया जो आवश्यक करता है कि सूचना प्रदान करने वाले व्यक्ति की सहमति पत्र, फैक्स या ई-मेल के माध्यम से लिखित रूप में प्राप्त की जाए और सूचना प्रकट करने वाले को बाद में अपनी सहमति वापस लेने का विकल्प दिया जाए।
डेटा संरक्षण और गोपनीयता से संबंधित कानूनों, नियमों और विनियमों के होते हुए भी डेटा उल्लंघन के कई उदाहरण हैं। डेटा उल्लंघन एक सुरक्षा घटना है जिसमें संवेदनशील, संरक्षित या गोपनीय डेटा की प्रतिलिपि, संचरण, दृश्यता, चोरी या उपयोग किसी ऐसे व्यक्ति द्वारा किया जाता है जिसे ऐसा करने का अधिकार नहीं है। इसे डेटा स्पिल, डेटा लीक या डेटा चोरी भी कहा जाता है। यह भौतिक उल्लंघन, बाहरी हैकिंग, आंतरिक खतरों या सामाजिक इंजीनियरिंग के कारण हो सकता है। डेटा उल्लंघन की घटना एक प्रमुख चिंता का विषय है क्योंकि यह विश्वास के उस तत्व को तोड़ देती है जिस पर सूचना प्रदाता ने निकाग को स्थापित किया था।
निम्नलिखित में से कौन-सा कथन सूचना प्रौद्योगिकी (उचित सुरक्षा प्रथाएँ व प्रक्रियाएँ और संवेदनशील व्यक्तिगत डेटा या सूचना) नियम, 2011 के नियम 5 के संबंध में सत्य नहीं है?

विकल्प:

A) जानकारी देने वाले व्यक्ति की सहमति आवश्यक है

B) जानकारी देने वाले व्यक्ति की लिखित सहमति आवश्यक है

C) जानकारी देने वाला व्यक्ति बाद में सहमति वापस ले सकता है

D) एक बार सहमति देने के बाद, उसे वापस नहीं लिया जा सकता