डीयूएए की वह समय-सीमा जो बिल्डर्स को चौंका देती है: यह आपके डेटा अभ्यास के बारे में नहीं है, यह आपकी प्रक्रिया के बारे में है

यूके यूज़र डेटा संभालने वाले अधिकांश संगठनों ने 2025 और 2026 की शुरुआत सही चीज़ों की चिंता में बिताई है: कानूनी आधार, डेटा न्यूनीकरण, ट्रांसफर मैकेनिज्म। लेकिन उनमें से कई को यह नहीं पता कि Data (Use and Access) Act 2025 ने यूके कानून में एक अलग, प्रक्रियागत दायित्व जोड़ा है — जिसका इस बात से कोई लेना-देना नहीं है कि आपकी मूल डेटा प्रथाएँ सही हैं या नहीं। यह आवश्यकता कहने में सरल है, लेकिन चूकना आश्चर्यजनक रूप से आसान है: 19 जून 2026 तक, यूके डेटा संरक्षण कानून के अंतर्गत आने वाले हर डेटा कंट्रोलर के पास व्यक्तियों से उनके व्यक्तिगत डेटा के उपयोग संबंधी शिकायतें प्राप्त करने और संभालने की एक दस्तावेज़ीकृत, संचालन-योग्य प्रक्रिया होनी चाहिए। कोई छूट नहीं। छोटे संगठनों के लिए कोई ग्रेस पीरियड नहीं। उन प्लेटफ़ॉर्म के लिए कोई अपवाद नहीं जिन्हें अब तक कभी कोई औपचारिक शिकायत नहीं मिली।

कानून वास्तव में क्या माँगता है

Data (Use and Access) Act 2025 की धारा 103, Data Protection Act 2018 में नई धारा 164A जोड़ती है, जैसा कि Hunton Andrews Kurth बताते हैं। इस प्रावधान के अनुसार प्रत्येक कंट्रोलर को एक ऐसी व्यवस्था या प्रक्रिया लागू करनी होगी जिसके ज़रिए डेटा सब्जेक्ट अपने व्यक्तिगत डेटा से जुड़ी शिकायतें दर्ज करा सकें। DUAA को 19 जून 2025 को Royal Assent मिली, जिससे शिकायत संबंधी दायित्व ठीक एक साल बाद लागू होने योग्य बन गया — जैसा कि Katten Muchin Rosenman ने JDSupra पर पुष्टि की है।

ICO ने 12 फरवरी 2026 को विस्तृत संचालन मार्गदर्शन प्रकाशित किया, एक सार्वजनिक परामर्श के बाद जिसमें 85 से अधिक प्रतिक्रियाएँ मिलीं — यह ICO की अपनी प्रेस विज्ञप्ति के अनुसार है। यह मार्गदर्शन इस बात में अंतर करता है कि कंट्रोलर को क्या करना चाहिए (वैधानिक न्यूनतम), क्या करना उचित है (अच्छी प्रथा), और क्या किया जा सकता है (अधिक मज़बूत दृष्टिकोण)। आपकी कानूनी जोखिम की स्थिति "करना चाहिए" वाले स्तर पर है।

ICO के मार्गदर्शन में मुख्य संचालन चरण निर्धारित किए गए हैं: व्यक्तियों को शिकायत दर्ज करने का स्पष्ट तरीका दें, 30 दिनों के भीतर प्राप्ति की पुष्टि करें, बिना अनुचित देरी के जवाब देने के लिए उचित कदम उठाएँ, शिकायतकर्ता को पूरी प्रक्रिया के दौरान सूचित रखें, और परिणाम बताएँ — यह ZwillGen के ICO मार्गदर्शन के विश्लेषण के अनुसार है। ये चरण दस्तावेज़ीकृत और प्रदर्शनीय होने चाहिए।

ICO ने संक्रमण अवधि के दौरान प्रवर्तन के प्रति एक संतुलित दृष्टिकोण का संकेत दिया है, विशेष रूप से जहाँ उसका अपना मार्गदर्शन अभी अंतिम रूप नहीं पाया था — यह Mayer Brown के अनुसार है। लेकिन "संतुलित" का अर्थ "अनुपस्थित" नहीं है, और शिकायत संभालने पर मार्गदर्शन फरवरी 2026 से उपलब्ध है।

प्रक्रिया की कमी ही असली जोखिम क्यों है

यहाँ एक उलटा-सा लगने वाला तथ्य है। किसी संगठन की डेटा प्रथाएँ पूरी तरह सही हो सकती हैं — कानूनी आधार दस्तावेज़ीकृत, रिटेंशन शेड्यूल तैयार, सब्जेक्ट एक्सेस रिक्वेस्ट समय पर संभाले — और फिर भी 19 जून 2026 को सीधे प्रवर्तन के खतरे का सामना करना पड़ सकता है, अगर उसके पास कोई औपचारिक शिकायत प्रक्रिया नहीं है।

प्रक्रियागत आवश्यकता अपने आप में स्वतंत्र है। कोई डेटा सब्जेक्ट जो मानता है कि उसके डेटा को गलत तरीके से संभाला गया है — चाहे वह सही हो या नहीं — अब ICO तक पहुँचने से पहले पहले कंट्रोलर के पास शिकायत दर्ज कराने का वैधानिक अधिकार रखता है। Hunton के अनुसार, इसका उद्देश्य यह सुनिश्चित करना है कि शिकायतें नियामक तक पहुँचने से पहले कंट्रोलर द्वारा विचार की जाएँ। अगर उस शिकायत को प्राप्त करने की कोई प्रक्रिया नहीं है, तो संगठन ने एक अलग कानूनी दायित्व का उल्लंघन किया है — चाहे मूल डेटा प्रथा कैसी भी हो।

ZwillGen इसे सटीक रूप से कहते हैं: इस बदलाव के लिए एकदम नए प्राइवेसी प्रोग्राम की ज़रूरत नहीं है, लेकिन संगठनों को यह सुनिश्चित करना ज़रूरी है कि शिकायतें पहचानी जाएँ, सही जगह पहुँचाई जाएँ, स्वीकार की जाएँ, जाँची जाएँ और हल की जाएँ — इस तरह से जो ज़रूरत पड़ने पर ICO को दिखाया जा सके। उस आखिरी वाक्यांश का वास्तविक महत्व है। ICO आपकी प्रक्रिया देखने के लिए कह सकता है। अगर आप उसे पेश नहीं कर सकते, तो यही अनुपस्थिति उल्लंघन है।

एजुकेशन प्लेटफ़ॉर्म और एडटेक बनाने वालों के लिए विशेष रूप से — जहाँ आप लगभग निश्चित रूप से UK GDPR के तहत छात्रों, अभिभावकों और कर्मचारियों का व्यक्तिगत डेटा प्रोसेस कर रहे हैं — आप एक कंट्रोलर हैं। ICO मार्गदर्शन में "कोई छूट नहीं" वाली भाषा, जिसकी पुष्टि Bratby Law और DLA Piper के Privacy Matters दोनों ने की है, का अर्थ है कि प्लेटफ़ॉर्म का आकार, क्षेत्र या पूर्व अनुपालन इतिहास कोई सुरक्षित आश्रय नहीं बनाता।

बिल्डर और अनुपालन टीमें अभी क्या करें

यहाँ का व्यावहारिक निर्माण जटिल नहीं है, हालाँकि इसके लिए एक चेकबॉक्स से अधिक सोच-समझकर किए गए प्रयास की ज़रूरत है। Mayer Brown के अनुसार, संगठनों के पास अभी भी डेटा संरक्षण प्रथाओं की समीक्षा करने, नीतियों और प्रक्रियाओं को अपडेट करने और शिकायत संभालने के दायित्वों के लिए तैयारी करने का समय है।

व्यावहारिक रूप से, इसका अर्थ है:

• यह निर्धारित करें कि शिकायतें कौन प्राप्त करेगा (एक नामित इनबॉक्स, एक फ़ॉर्म, या एक दस्तावेज़ीकृत चैनल)
• एक आंतरिक स्वीकृति वर्कफ़्लो स्थापित करें जो 30 दिन की समय-सीमा पूरी करे
• जाँच के चरणों को दस्तावेज़ीकृत करें
• शिकायतकर्ताओं को परिणाम बताने के लिए एक टेम्पलेट बनाएँ

ICO का मार्गदर्शन, जो फरवरी में प्रकाशित और मई 2026 में अपडेट हुआ, प्रत्येक चरण को विस्तार से समझाता है और बिना किसी लागत के सार्वजनिक रूप से उपलब्ध है।

विनियमित संगठनों के लिए, Bratby Law एक अतिरिक्त परत का उल्लेख करते हैं जिसका ऑडिट करना उचित है: अगर आप Ofcom या FCA शिकायत नियमों के अधीन हैं, तो DUAA दायित्व उन मौजूदा ढाँचों के साथ ओवरलैप करता है, जिससे एक ऐसी अनुपालन इंटरैक्शन बनती है जिसे मैप करने की ज़रूरत है। यह एक छोटी जनसंख्या है, लेकिन एम्बेडेड वित्तीय उत्पादों या विनियमित संचार सेवाओं वाली एडटेक कंपनियों को यह नहीं मान लेना चाहिए कि उनके क्षेत्र नियामक की शिकायत प्रक्रिया स्वतः धारा 164A को संतुष्ट करती है।

ICO के नियामक नीति के डिप्टी कमिश्नर ने मई 2026 में कहा कि छोटे संगठनों के पास मौजूदा शिकायत संभालने की प्रक्रियाएँ होने की संभावना कम है, और उन्होंने विशेष रूप से उनसे मार्गदर्शन पढ़ने और अनुपालन के लिए आवश्यक सीधे कदम उठाने का आग्रह किया। यह कोई धमकी नहीं है; यह एक पठन सूची है। मार्गदर्शन मौजूद है, समय-सीमा तय है, और आवश्यकता में कोई छूट नहीं है। यूके यूज़र डेटा को छूने वाले उत्पाद बनाने वाले किसी भी व्यक्ति के लिए, सवाल अब यह नहीं है कि यह लागू होता है या नहीं। सवाल यह है कि क्या आपकी प्रक्रिया किसी नियामक की जाँच में टिक सकती है।