सरकार द्वारा जारी नए नियमों के अनुसार, यदि किसी यूजर ने लगातार तीन साल तक किसी प्लेटफ़ॉर्म में लॉगिन नहीं किया है, तो कंपनियों को उसका व्यक्तिगत डेटा डिलीट करना होगा। यह प्रावधान 2 करोड़ से अधिक यूजर्स वाले ई-कॉमर्स और सोशल मीडिया प्लेटफ़ॉर्म्स तथा 50 लाख से ज्यादा यूजर्स वाले ऑनलाइन गेमिंग कंपनियों पर लागू होगा। डेटा हटाने से पहले कंपनियों को यूजर को 48 घंटे का नोटिस देना जरूरी है।

50 लाख से अधिक यूजर्स वाली संस्थाओं को ‘Significant Data Fiduciary’ माना जाएगा और उन्हें हर साल डेटा ऑडिट व डेटा प्रोटेक्शन इम्पैक्ट असेसमेंट कराना होगा ताकि सिस्टम और एल्गोरिद्म उपयोगकर्ताओं के अधिकारों को नुकसान न पहुँचाएँ।

DPDP एक्ट सीमित शर्तों के साथ क्रॉस-बॉर्डर डेटा ट्रांसफर की अनुमति देता है, लेकिन यह केवल सरकारी नियमों के अनुसार होगा, खासकर तब जब डेटा किसी विदेशी राज्य या उसकी संस्था के पास जा रहा हो।

नए नियम भारत के पहले डिजिटल प्राइवेसी कानून के तहत डेटा गवर्नेंस और यूजर सुरक्षा को मजबूत बनाने की दिशा में एक महत्वपूर्ण कदम हैं।

EY इंडिया के साइबर सिक्योरिटी विशेषज्ञ मुरली राव ने कहा कि DPDP नियमों से कंपनियों को डेटा कलेक्शन, प्रोसेसिंग, सुरक्षा और गवर्नेंस को लेकर स्पष्ट रोडमैप मिला है और चरणबद्ध लागू होने से संस्थाओं को सिस्टम अपडेट करने का समय मिलेगा।