डीयूएए शिकायत ढांचा अब लागू करने योग्य है: हर यूके डेटा नियंत्रक को एक आंतरिक फ्रंट डोर की जरूरत है

एक डेटा सब्जेक्ट रात 11 बजे आपको ईमेल भेजता है जिसमें कहता है कि आपकी कंपनी ने उनके व्यक्तिगत डेटा का उचित आधार के बिना उपयोग किया। पुरानी व्यवस्था में, वे अगली सुबह सीधे Information Commissioner's Office (ICO) में शिकायत कर सकते थे। 19 जून 2026 से, वे ऐसा नहीं कर सकते। Data (Use and Access) Act 2025 अब यह अनिवार्य करता है कि व्यक्ति पहले शिकायत आपके पास लाए, और यह भी अनिवार्य है कि आपके पास उसे प्राप्त करने की एक औपचारिक, दस्तावेज़ीकृत प्रक्रिया तैयार हो।

कानून में वास्तव में क्या बदला

Mayer Brown के अनुसार, DUAA को 19 जून 2025 को Royal Assent मिली। यह UK GDPR और Data Protection Act 2018 में संशोधन करता है, लेकिन उन्हें पूरी तरह बदलता नहीं। Clifford Chance और DLA Piper के Privacy Matters ब्लॉग दोनों के अनुसार, Act के अधिकांश डेटा संरक्षण प्रावधान Data (Use and Access) Act 2025 (Commencement No. 6 and Transitional and Saving Provisions) Regulations 2026 के तहत 5 फरवरी 2026 को लागू हुए।

शिकायत-प्रबंधन की बाध्यता को एक अलग प्रारंभ तिथि के लिए रोका गया था: 19 जून 2026, यानी Royal Assent के ठीक एक साल बाद।

मूल तंत्र एक अनिवार्य पूर्व-शिकायत संलग्नता आवश्यकता है। Mintz के अनुसार, किसी व्यक्ति द्वारा ICO में शिकायत दर्ज करने से पहले, उन्हें पहले संबंधित डेटा कंट्रोलर के पास सीधे अपनी चिंता उठानी होगी और कंट्रोलर को जवाब देने के लिए एक उचित अवधि देनी होगी। ICO ने संकेत दिया है कि यह अवधि आमतौर पर 45 दिन होगी, हालाँकि Mintz नोट करता है कि यह मामले की जटिलता के आधार पर भिन्न हो सकती है।

व्यावहारिक प्रभाव यह है कि व्यक्ति और नियामक के बीच एक प्रथम-स्तरीय ट्राइएज परत बैठ जाती है, जिसे — जैसा Mintz समझाता है — प्रारंभिक समाधान को प्रोत्साहित करने और ICO को अपने संसाधनों को अधिक गंभीर मामलों पर केंद्रित करने देने के लिए डिज़ाइन किया गया है।

कौन इसके दायरे में है और उन्हें क्या बनाना होगा

DLA Piper का Privacy Matters ब्लॉग दायरे पर स्पष्ट है: DUAA सभी कंट्रोलर्स के लिए औपचारिक शिकायत प्रक्रिया की आवश्यकता पेश करता है, बिना किसी अपवाद के। यह वाक्यांश व्यवहार में महत्वपूर्ण है। छोटी चैरिटी, अकेले संस्थापक वाले स्टार्टअप, मध्यम आकार के नियोक्ता और वैश्विक प्लेटफ़ॉर्म — सभी इस दायित्व के तहत एक ही श्रेणी में आते हैं।

Squire Patton Boggs, Employment Law Worldview पर लिखते हुए, इसे कर्मचारियों के लिए UK GDPR उल्लंघनों के बारे में कंट्रोलर्स से शिकायत करने का एक नया वैधानिक अधिकार बताते हैं, जिसका अर्थ है कि रोज़गार संबंध अकेले ही किसी भी ग्राहक-सामना डेटा प्रोसेसिंग से स्वतंत्र रूप से दायरे में आने वाली शिकायतें उत्पन्न कर सकता है।

Sidley का Data Matters ब्लॉग इस बात पर एक उपयोगी स्पष्टीकरण देता है कि वास्तव में प्रक्रिया को क्या ट्रिगर करता है: किसी डेटा सब्जेक्ट का हर संचार विनियमित शिकायत नहीं होता। संगठनों को नियमित प्रश्नों और सब्जेक्ट एक्सेस अनुरोधों को व्यक्तिगत डेटा को संभालने के तरीके से असंतोष की अभिव्यक्ति से अलग करना होगा। यह अंतर सही तरीके से समझना आपकी प्रक्रिया को आनुपातिक रखता है और हर आने वाले संदेश को औपचारिक अनुपालन घटना मानने से बचाता है।

Sidley यह भी नोट करता है कि DUAA की आवश्यकता ICO के हालिया मार्गदर्शन द्वारा समर्थित है कि डेटा संरक्षण शिकायतों की तैयारी और प्रबंधन कैसे करें, जो आंतरिक प्रक्रियाएँ बनाने के लिए एक व्यावहारिक संदर्भ बिंदु प्रदान करता है।

दस्तावेज़ीकरण पक्ष पर, Mayer Brown सलाह देता है कि संगठनों को अपनी डेटा संरक्षण प्रथाओं की समीक्षा करनी चाहिए, नीतियों और प्रक्रियाओं को अपडेट करना चाहिए, और 2026 भर में DUAA अनुपालन को एक सतत प्राथमिकता मानना चाहिए। Privacy notices को भी अपडेट करने की जरूरत है, क्योंकि Squire Patton Boggs पुष्टि करता है कि UK GDPR के अधीन संगठनों को 19 जून 2026 से अपने प्रकाशित notices में नए शिकायत-प्रबंधन अधिकारों को दर्शाना होगा।

यह साइबर घटना के दौरान सबसे कठिन क्यों होता है

ऊपर वर्णित अनुपालन परत सामान्य परिस्थितियों में काम करती है। अब सोचें कि क्या होता है जब किसी संगठन को डेटा उल्लंघन होता है। ICO अधिसूचना की घड़ी पहले से चल रही है। प्रभावित व्यक्ति संगठन से संपर्क करने लगते हैं। उन संपर्कों में से कुछ DUAA ढाँचे के तहत औपचारिक शिकायतें होंगी — न कि केवल चिंतित पूछताछ।

दस्तावेज़ीकृत आंतरिक शिकायत प्रक्रिया के बिना, संगठन एक साथ घटना प्रतिक्रिया, एक नियामक अधिसूचना, और शिकायत दायित्वों की अपरिभाषित मात्रा का प्रबंधन कर रहा है जिसे संभालने की उसके पास कोई प्रक्रिया नहीं है।

Mayer Brown नोट करता है कि ICO ने इस संक्रमण काल के दौरान प्रवर्तन के प्रति एक संतुलित दृष्टिकोण का संकेत दिया है, विशेष रूप से जहाँ मार्गदर्शन अभी अंतिम नहीं हुआ है। इसे ध्यान से पढ़ना जरूरी है: संतुलित का मतलब अनुपस्थित नहीं है। वही ब्रीफिंग स्पष्ट करती है कि अनुपालन को एक सतत प्राथमिकता माना जाना चाहिए, न कि किसी प्रवर्तन नोटिस के आने तक टाला जाए।

सुरक्षा से जुड़ी टीमों के लिए व्यावहारिक निहितार्थ यह है कि घटना प्रतिक्रिया रनबुक में अब शिकायत-प्रबंधन की एक शाखा होनी चाहिए: किसी घटना के दौरान औपचारिक डेटा शिकायतें कौन प्राप्त करता है, स्वीकृति और प्रतिक्रिया समयरेखा क्या है, और वे शिकायतें समानांतर में चल रही ICO अधिसूचना प्रक्रिया के साथ कैसे इंटरैक्ट करती हैं।

संगठनों को अभी क्या करना चाहिए

दायित्व पहले से लागू है। सवाल यह है कि क्या आपकी आंतरिक प्रक्रिया दस्तावेज़ीकृत, संप्रेषित और परीक्षित है। Mayer Brown, Mintz, Sidley, और Squire Patton Boggs के मार्गदर्शन के आधार पर, व्यावहारिक चेकलिस्ट इस प्रकार है:

पहला, डेटा संरक्षण शिकायतें प्राप्त करने के लिए एक परिभाषित चैनल स्थापित करें, सामान्य ग्राहक सेवा कतारों से अलग।

दूसरा, एक प्रतिक्रिया प्रक्रिया दस्तावेज़ीकृत करें जो ICO द्वारा निर्धारित 45-दिन की संकेतक विंडो को स्वीकार करे और पहचाने कि संगठन के भीतर प्रत्येक चरण का स्वामित्व किसके पास है।

तीसरा, नए शिकायत अधिकार को दर्शाने के लिए privacy notices अपडेट करें।

चौथा, आने वाले संचारों को संभालने वाले सभी लोगों को प्रशिक्षित करें कि वे पहचान सकें कब कोई संदेश नियमित पूछताछ से विनियमित शिकायत के क्षेत्र में जाता है। डेटा संरक्षण शिकायतों को संभालने पर ICO का प्रकाशित मार्गदर्शन उस प्रक्रिया को कैलिब्रेट करने के लिए प्राथमिक संदर्भ है।

जिन संगठनों के पास पहले से परिपक्व सब्जेक्ट एक्सेस अनुरोध वर्कफ़्लो हैं, उनके पास एक संरचनात्मक बढ़त है: अंतर्निहित डेटा-मैपिंग और प्रतिक्रिया-स्वामित्व अवसंरचना हस्तांतरणीय है। जिनके पास नहीं है, उन्हें जून 2026 को एक चूकी हुई समयसीमा के रूप में नहीं बल्कि उस बिंदु के रूप में देखना चाहिए जिस पर प्रक्रिया बनाना अनिवार्य हो गया। ICO का संतुलित प्रवर्तन रुख व्यावहारिक सहनशीलता की एक छोटी खिड़की बनाता है; यह स्थायी सुरक्षा नहीं देता।