Hindistanın DPDP Qanunu 2026-cı ildə: Naşirlər və Reklamçılar üçün Razılıq Menecerləri, Sərhədlərarası Ötürmələr və Məlumatların Mühafizəsi Şurası üzrə Bələdçi
Hindistanın Rəqəmsal Fərdi Məlumatların Mühafizəsi Aktı (DPDPA, 2023) 2023-cü ilin avqustunda qəbul edildi və 2024-2025-ci illərin böyük hissəsini çox sayda xarici naşiri gözləmə rejiminə salan yavaş, mərhələli tətbiqdə keçirdi. Bu dövr sona çatdı. DPDP Qaydaları 2025-ci ildə tam elan edildi, Hindistanın Məlumatların Mühafizəsi Şurası (DPBI) artıq fəaliyyət göstərir və şikayətlərə baxır, Razılıq Meneceri çərçivəsi — Hindistanın qlobal məxfilik hüququna özünəməxsus memarlıq töhfəsi — istehsalatda canlıdır. 2026-cı ildə Hindistan istifadəçilərinin fərdi məlumatlarını emal edən hər hansı naşir, reklamçı və ya platforma üçün DPDPA artıq gələcəkdəki bir narahatlıq deyil. Bu, cari uyğunluq bazisinin özüdür və CMP-lərin, sərhədlərarası axınların və məlumat subyektlərinin hüquqlarının necə mühəndis edildiyi baxımından mühüm olan yollarla GDPR-dan fərqlənir. Bu bələdçi DPDPA-nı tam tətbiq edilmiş formada, Hindistanın razılığının nə tələb etdiyini, Razılıq Meneceri ekosisteminin CMP mənzərəsini necə dəyişdirdiyini və DPBI-nin 2026-cı il tətbiq mövqeyinin praktikada necə göründüyünü nəzərdən keçirir.
2026-cı ildə DPDPA-nın Strukturu
DPDPA müstəqil bir məlumatların mühafizəsi qanunudur, Hindistanın bank, telekommunikasiya və sağlamlıq sahəsindəki sahəyə xas qanunlarından fərqlidir. Onun tətbiqi Razılıq Meneceri ekosistemi, DPBI və sərhədlərarası ötürmə rejiminin hər birinin ardıcıl olaraq işə düşə bilməsi üçün qəsdən mərhələli aparıldı.
2023-cü ildə Qəbul və 2024-2025-ci illərdə Tətbiq
DPDPA 2023-cü ilin avqustunda Parlamentdən keçdi və qısa müddət sonra prezident sanksiyasını aldı. Elektronika və İnformasiya Texnologiyaları Nazirliyi (MeitY) 2024-cü ili tətbiqat Qaydaları üzərində məsləhətləşmələrdə keçirdi və son Qaydalar 2025-ci il ərzində bir neçə hissə ilə elan edildi: əvvəlcə Razılıq Menecerinin qeydiyyat çərçivəsi, sonra məlumat subyektlərinin hüquqları prosedurları, sonra sərhədlərarası ötürmə bildirişləri, sonra mühüm məlumat etibarlısı hədləri. 2026-cı ilin əvvəlindən tam çərçivə qüvvədədir.
Kim Tənzimlənir
DPDPA Hindistanda fiziki şəxslərin rəqəmsal fərdi məlumatlarının emalına tətbiq edilir. Həmçinin Hindistanda məlumat subyektlərinə mal və ya xidmətlər təklif etməklə əlaqədar emal edildikdə ərazi xaricindən də tətbiq olunur. Hindistan IP ünvanlarına qarşı alınmış proqramlı inventar vasitəsilə, lokallaşdırılmış sayt, Hindistanca versiya vasitəsilə Hindistan istifadəçilərinə xidmət göstərən ABŞ əsaslı naşir əhatə dairəsinə daxildir. Bu ərazi xarici çatma qanunda birmənalıdır və erkən DPBI rəhbərliyində möhkəmləndirilmişdir.
Terminologiya Fərqi
DPDPA GDPR-dan və yeni Asiya çərçivələrinin əksəriyyətindən fərqli olan öz lüğətini istifadə edir. Məlumat etibarlısı GDPR-ın nəzarətçi adlandırdığı şeydir. Məlumat prosessoru GDPR-ın prosessorunun üzərinə çıxır. Məlumat subyekti data principaldır. Mühüm məlumat etibarlısı mərkəzi hökumət tərəfindən elan edilmiş ölçü və ya həssaslıq hədlərindən yuxarı olan nəzarətçidir. DPDPA ilə ilk dəfə qarşılaşan xarici naşirlər çox vaxt bu terminləri yanlış xəritələyir; xəritələməni erkən düzgün almaq sonrakı çaşqınlığı aradan qaldırır.
Fərdi Məlumat Sayılan Nədir
DPDPA-nın fərdi məlumat tərifi geniş olub beynəlxalq praktikaya yaxından uyğundur. Fərdi məlumat həmin məlumatla müəyyənləşdirilə bilən və ya onunla əlaqəli olan bir fərd haqqında hər hansı məlumatlardır. DPBI erkən rəhbərlik vasitəsilə göstərmişdir ki, onlayn identifikatorlar — kukilər, reklam identifikatorları, IP ünvanları, cihaz barmaq izləri və davranış profilləri — birbaşa və ya ağlabatan vasitələrlə müəyyənləşdirilə bilən bir fərdə bağlana bildikdə fərdi məlumatlardır.
Həssas Kateqoriya Yoxdur, Lakin Mühüm Məlumat Etibarlısı Qaydaları Var
GDPR, LGPD və PIPA-dan fərqli olaraq, DPDPA həssas fərdi məlumat kateqoriyasını rəsmi olaraq müəyyən etmir. Bunun əvəzinə Qanun, böyük miqyasda məlumat emal edən, uşaqların məlumatlarını emal edən, seçki bütövlüyünə təsir edə biləcək məlumatları emal edən və ya milli təhlükəsizliyə təsir edə biləcək məlumatları emal edən nəzarətçilərə əlavə öhdəliklər tətbiq edən mühüm məlumat etibarlısı təyinatına istinad edir. Nəticə ən böyük və ən həssas prosessorlar üçün GDPR həssas kateqoriya qaydalarına bənzəyir, lakin memarlıq fərqlidir.
Bu Kukilər Baxımından Niyə Vacibdir
Adi bir reklam identifikatorunu toplayan kuki fərdi məlumat sayılır, lakin həssas görünən bir auditoriya seqmentini qidalandırdığı üçün gücləndirilmiş öhdəliklərə məruz qalmır. Lakin mühüm məlumat etibarlısı həddine çatan naşir — məsələn, onlarla milyonlarla Hindistan istifadəçisi olan böyük bir platforma — məcburi Məlumatların Mühafizəsi Zabitini, dövri auditləri və Məlumatların Mühafizəsinə Təsir Qiymətləndirmələrini əhatə edən əlavə öhdəliklər əldə edir. Hədd ölçüləri 2025-ci ildə elan edildi; əksər qlobal platformalar artıq əhatə dairəsindədir.
DPDPA Çərçivəsində Razılıq
DPDPA razılığı çərçivəsinin mərkəzinə qoyur, lakin onu GDPR razılığına bir-birinin üzərinə düşməyən fərqli tələblər toplusu ilə müəyyən edir.
Etibarlı Razılıq Standartı
DPDPA çərçivəsində razılıq aşağıdakı olmalıdır:
- Azad — istifadəçinin başqa cür haqlı olduğu xidmətin göstərilməsindən asılı deyil, məcbur edilməyib
- Xüsusi — açıq şəkildə müəyyən edilmiş məqsədlə bağlıdır, ümumi şemsiyə razılıq deyil
- Məlumatlı — məlumat subyekti hansı məlumatın emal edildiyini və hansı məqsədlə emal edildiyini başa düşür
- Şərtsiz — razılıq əlaqəsiz şərtlərlə bağlı deyil
- Aydın — aydın müsbət fəaliyyət vasitəsilə ifadə edilir, sükutdan və ya passivlikdən çıxarılmır
Maddə-maddə Bildiriş Tələbi
DPDPA razılıq nöqtəsindən əvvəl və ya onda emal ediləcək fərdi məlumatları, emalın məqsədini, məlumat subyektinin hüquqlarını necə həyata keçirə biləcəyini və məlumat subyektinin Şuraya necə şikayət edə biləcəyini açıqlayan bir bildiriş tələb edir. Bildiriş ingilis dilində və məlumat subyektinin tələb etdiyi Hindistanın 22 planlaşdırılmış dilindən hər hansı birində mövcud olmalıdır.
Razılıq Meneceri Memarlığı
Məhz burada DPDPA digər çərçivələrdən ən kəskin şəkildə ayrılır. Qanun Razılıq Meneceri adlı lisenziyalı bir rol yaradır — DPBI-də qeydiyyatdan keçmiş, məlumat subyektlərinə tək bir interfeysdən bir çox məlumat etibarlısına razılıq verməyə, nəzərdən keçirməyə, idarə etməyə və geri almağa imkan verən qarşılıqlı işləyən bir razılıq paneli təqdim edən üçüncü tərəf bir qurum. Razılıq Menecerləri Şurada qeydiyyatdan keçməli və texniki qarşılıqlı işləmə spesifikasiyalarını ödəməlidir. Praktikada məlumat etibarlıları ya öz CMP-ləri vasitəsilə, ya da qeydiyyatdan keçmiş Razılıq Meneceri vasitəsilə razılıq ala bilər və bir çox hallarda məlumat subyektləri hər saytın banneri ilə ayrı-ayrılıqda məşğul olmaq əvəzinə razılıqlarını Razılıq Meneceri vasitəsilə mərkəzləşdirməyi seçir.
Uyğun CMP Necə Görünür
Hindistan trafikinə görə konfiqurasiya edilmiş CMP 2026-cı ildə aşağıdakıları təqdim etməlidir:
- Hər hansı bir qeyri-əsas kuki və ya izləyici işə düşməmişdən əvvəl görünən bir banner, eyni vizual önəmliliklə Qəbul et, Rədd et və Fərdiləşdir fəaliyyətləri ilə
- Tələb olunan yerdə istifadəçinin üstünlük verdiyi planlaşdırılmış dildə ingilis dilində mövcudluq
- Analitika, reklam, fərdiləşdirmə və sərhədlərarası ötürmə daxil olmaqla məqsəd başına təfərrüatlı razılıq keçidləri
- Hüquqlar və DPBI şikayət kanalı daxil olmaqla tam maddə-maddə bildirişə aydın bir bağlantı
- Razılıq vermək qədər asan olan razılığı geri almaq üçün davamlı, tapılması asan mexanizm
- Razılıq vəziyyətinin məlumat subyektinin seçdiyi Razılıq Meneceri ilə sinxronizasiya edilə bilməsi üçün qeydiyyatdan keçmiş Razılıq Menecerləri ilə texniki qarşılıqlı işləmə
Razılıq Qeydləri
Məlumat etibarlıları kimin razılıq verdiyi, nə vaxt, hansı interfeys vasitəsilə, hansı məqsədlə və sonrakı dəyişikliklər daxil olmaqla razılıq qeydlərini saxlamalıdır. DPBI erkən icraatlarının bir neçəsini qeyri-adekvat razılıq qeydlərinə istinad edərək aparmışdır və ixrac edilə bilən, vaxt damgalı razılıq qeydləri gözlənilən minimum tələbdir.
Sərhədlərarası Məlumat Ötürmələri
DPDPA-nın sərhədlərarası ötürmə çərçivəsi Hindistan rejiminin ən fərqli elementlərindən biridir və GDPR, PIPA və dəyişdirilmiş KVKK tərəfindən istifadə edilən adekvatlıq-artı-zəmanətlər modelindən mənalı şəkildə fərqlənir.
Bildiriş Çərçivəsi
DPDPA mənfi siyahı yanaşması ilə işləyir: mərkəzi hökumət tərəfindən elan edilmiş məhdud yurisdiksiyalar siyahısında təyinat ölkəsi görünmürsə, sərhədlərarası ötürmələrə ümumiyyətlə icazə verilir. Bu, ötürmələri müsbət adekvatlıq qərarı və ya zəmanətlər olmadan qadağan hesab edən GDPR adekvatlıq modelinin tersidir. DPDPA-nın yanaşması görünüşdə daha müsamahəkardır, lakin mənfi siyahı hökumətin iradəsinə görə genişləndirilə bilər və 2025-ci ildə bir neçə yurisdiksiya müəyyən məlumat kateqoriyaları üçün siyahıya salınmışdır.
Bu Əməliyyat Baxımından Nə Deməkdir
2026-cı ildə əksər proqramlı reklam axınları üçün cavab ondan ibarətdir ki, əsas reklam texnologiyası təyinatlarına sərhədlərarası ötürmələrə məhdud siyahıda olmadığı müddətcə icazə verilir. Naşirlər cari elan edilmiş siyahını yoxlamalı, ötürmənin sənədlərini və məqsədini saxlamalı və bir təyinat əlavə edilərsə axınları yönləndirməyə və ya dayandırmağa hazır olmalıdır. Bu, əksər axınlar üçün GDPR ötürmə mexanikasından mənalı şəkildə sadədir, lakin diqqətlilik tələbi realdır.
Sahəyə Xas Lokallaşdırma
DPDPA-dan ayrı olaraq, bir neçə Hindistan sahəvi tənzimləyicisi — maliyyə məlumatları üçün Hindistanın Ehtiyat Bankı RBI və sağlamlıq məlumatları üçün Sağlamlıq Nazirliyi daxil olmaqla — DPDPA-nın üstündə oturan öz lokallaşdırma tələblərinə malikdir. Bu tənzimlənən sektorlardan birindəki Hindistan istifadəçilərinə xidmət edən naşir həm DPDPA-ya, həm də tətbiq olunan sahəvi qaydalara uyğunlaşmalıdır.
Məlumat Subyektlərinin Hüquqları
DPDPA məlumat subyektlərinə GDPR-dan tanış, lakin bir qədər daha dar hüquqlar toplusu verir:
- Kateqoriyalar və prosessorlar daxil olmaqla emal edilən fərdi məlumatlara giriş hüququ
- Fərdi məlumatların düzəldilməsi, tamamlanması və yenilənməsi hüququ
- Bəyan edilmiş məqsəd üçün artıq lazım olmayan fərdi məlumatların silinməsi hüququ
- Ölüm və ya əczsizlik halında məlumat subyekti adından hüquqları həyata keçirmək üçün başqa bir şəxsi irəli sürmək hüququ
- Məlumat etibarlısı vasitəsilə şikayətin müraciətinin həll edilməsi hüququ
- Şikayətin müraciəti qeyri-qənaətbəxş olarsa Məlumatların Mühafizəsi Şurasına şikayət etmək hüququ
Hüquqlar Siyahısında Olmayan Nədir
Diqqət çəkici olaraq, DPDPA müstəqil daşınma hüququ, emalı etiraz etmək üçün ümumi hüquq və ya avtomatlaşdırılmış qərar qəbuluna qarşı açıq hüquq daxil etmir — baxmayaraq ki, mühüm məlumat etibarlısı rejimi və razılığı geri alma mexanizmi eyni zəminin böyük hissəsini dolayı yolla əhatə edir.
Cavab Vaxtları
Məlumat etibarlıları məlumat subyektlərinin tələblərinə elan edilmiş Qaydalarda göstərilən vaxt çərçivələrində cavab verməlidir — bu, əksər hallarda müəyyən edilmiş pəncərəni aşmayan ağlabatan bir müddətdir, DPBI isə mənalı gecikmənin uyğunluq uğursuzluğu olduğunu sayır. Şikayətin müraciətini həll etmə sistemi ilk addımdır; yalnız həll edilməmiş şikayətlər Şuraya eskalasiya edilir.
Mühüm Məlumat Etibarlıları
Mühüm məlumat etibarlısı (SDF) təyinatı əsas DPDPA tələblərinin ötəsindəki əlavə öhdəlikləri işə salır.
Əlavə Öhdəliklər
- Hindistanda yerləşən Məlumatların Mühafizəsi Zabitinin təyini
- Müəyyən edilmiş emal fəaliyyətləri üçün dövri Məlumatların Mühafizəsinə Təsir Qiymətləndirmələri
- Dövri müstəqil auditorlər
- Alqoritmik emal haqqında əlavə şəffaflıq öhdəlikləri
- Daha ciddi pozuntu bildirişi və qeydiyyat
Kim Keçir
Ölçü, emal edilən fərdi məlumatların həcmi, məlumatların həssaslığı, məlumat subyektlərinin riski, seçki demokratiyası, təhlükəsizlik və suveren üzərindəki potensial təsir və ictimai nizam üzərindəki potensial təsir — hamısı amildir. Mərkəzi hökumət SDF-ləri ya fərdi, ya da siniflə elan edir. 2026-cı ildə Hindistana xidmət edən əksər böyük qlobal platformalar elan edilmiş siniflərə daxildir.
Uşaqların Məlumatları
DPDPA uşağı 18 yaşından kiçik hər hansı bir fərd kimi müəyyənləşdirir — bu, GDPR-ın standart 16 yaşından və müxtəlif daha aşağı milli həddlərdən daha yüksəkdir. Uşaqların fərdi məlumatlarının emalı doğrulanabilir valideyn razılığını tələb edir və uşaqların izlənməsi, hədəflənmiş reklamı və davranış monitorinqi razılıq vəziyyətindən asılı olmayaraq məhdudlaşdırılır. Auditoriyasında əhəmiyyətli sayda 18 yaşından kiçik trafik olan naşirlər yaş giriş nöqtəsi, valideyn razılığı axınları və azyaşlı seqmenti üçün məhdud emal tələb edir — bunların hamısı az sayda xarici naşirin standart olaraq tamamladığı real mühəndislik işini tələb edir.
Cəzalar və İcra
DPDPA tarixi Hindistan inzibati cərimələrindən daha yüksək olan və pozuntunun ağırlığına uyğun şəkildə miqyaslı olan cəza rejimi tətbiq etdi.
İnzibati Cəzalar
DPDPA ən ciddi pozuntular üçün pozuntu başına 250 krore INR (təxminən 30 milyon USD)-a qədər cəzalara icazə verir. Razılıq, bildiriş, təhlükəsizlik, pozuntu bildirişi və şikayətin müraciəti ilə bağlı uğursuzluqlar üçün aşağı dərəcəli cəzalar tətbiq edilir. DPBI 2025 və 2026-cı ilin əvvəlindən bir neçə dəfə aralığın ortasını istifadə etmişdir və cəza strukturu sistematik uğursuzluqla eskalasiya etmək üçün nəzərdə tutulmuşdur.
DPBI-nin İcra Temaları
Erkən DPBI qərarları kiçik bir təkrarlanan problemlər ətrafında toplanır: həqiqi bir Rədd et seçeneği olmadan razılıq bannerləri, DPBI şikayət kanallarını açıqlamayan bildirişlər, məhdud siyahıdakı təyinatlara sərhədlərarası axınlar, əslində cavab verməyən şikayətin müraciəti sistemləri və Razılıq Meneceri qarşılıqlı işləmə uğursuzluqları. Xarici naşirlər bu kateqoriyaların demək olar ki, hamısında istinad edilmişdir.
Reputasiya Ölçüsü
DPBI qərarlarını etibarlının adı və uğursuzluğun icmalı daxil olmaqla ictimai olaraq dərc edir. Tənzimləmə sürtüşməsinin tez media əhatəsinə və siyasi diqqətə çevrildiyindən Hindistan bazarında, dərc edilmiş DPBI qərarının reputasiya dəyəri maliyyə cəzasının üstündə mənalıdır.
2026-cı ildə Hindistan Trafiki üçün Audit Yoxlama Siyahısı
- CMP banneri eyni vizual önəmliliklə Qəbul et, Rədd et və Fərdiləşdir ilə xidmət göstərilir
- Bildiriş ingilis dilində və tətbiq olunan yerdə məlumat subyektinin tələb etdiyi planlaşdırılmış dildə mövcuddur
- Bildiriş açıq şəkildə DPBI şikayət kanalını və məlumat subyektinin hüquqlarını açıqlayır
- Razılıq məqsədləri ayrı bir məqsəd kimi sərhədlərarası ötürmə ilə təfərrüatlıdır
- Ən azı bir qeydiyyatdan keçmiş Razılıq Meneceri ilə texniki qarşılıqlı işləmə mövcuddur
- Razılığı geri almaq razılıq vermək qədər asandır və aşağı axın silinmə və aktivasiya filtrini işə salır
- Məlumat subyektinin hüquqları iş prosesi — giriş, düzəliş, silmə, irəli sürülmə — işçi heyəti ilə qurulmuş və sənədləşdirilmişdir
- Şikayətin müraciəti kanalı izlənilən cavab vaxtları ilə işçi heyəti ilə mövcuddur
- Sərhədlərarası ötürmə təyinatları cari məhdud siyahıya qarşı yoxlanılır və sənədləşdirilir
- Mühüm məlumat etibarlısı öhdəlikləri — DPO, DPIA, audit — hədd aşılmışsa mövcuddur
- 18 yaşından kiçik istifadəçilər üçün yaşa uyğun axın, tətbiq olunan yerdə doğrulanabilir valideyn razılığı ilə
- Naşir tənzimlənən sektorda fəaliyyət göstərirsə sahəyə xas lokallaşdırma və emal qaydaları sənədləşdirilmiş və uyğunlaşdırılmışdır
2026-cı il Perspektivi
Hindistanın məxfilik rejimi iki ildən bir qədər artıq müddətdə qanunvericilik abstraksiyasından əməliyyat gerçəkliyinə keçdi. DPDPA-nın memarlığı fərqlidir — Razılıq Meneceri ekosistemi portativ, qarşılıqlı işləyən razılıqda ən görünən qlobal eksperimentdir və mənfi siyahı ötürmə yanaşması digər çərçivələrə hakim olan adekvatlıq-artı-zəmanətlər modelindən mənalı şəkildə fərqlidir. Artıq GDPR dərəcəli razılıq yığımı işlədən naşirlər üçün DPDPA uyğunluğuna olan boşluq memarlıq deyil, əməliyyat xarakterlidir: Razılıq Meneceri qarşılıqlı işləmə, planlaşdırılmış dil bildirişləri, DPBI şikayət açıqlamaları, 18 yaşından kiçik həddi və mənfi siyahı ötürmə yoxlaması. Üstünlük verildiyi təqdirdə boşluq həftələr ərzində bağlana bilər. DPBI qapılarına gəlməzdən əvvəl bağlayanlar keçidi fark etməyəcək. Gözləyənlər isə 2026 və 2027-ci illərin əvvəlki illərdən mənalı şəkildə daha baha olduğunu görəcəklər.