Закон Індыі DPDP у 2026 годзе: кіраўніцтва для выдаўцоў і рэкламадаўцаў па менеджарах згоды, трансгранічных перадачах і Савеце па абароне даных
Індыйскі Закон аб абароне лічбавых персанальных даных (DPDPA, 2023) быў прыняты ў жніўні 2023 года, а затым правёў большую частку 2024 і 2025 гадоў у павольным, паэтапным разгортванні, якое трымала многіх замежных выдаўцоў у рэжыме чакання. Гэты перыяд скончыўся. Правілы DPDP былі цалкам абнародаваны на працягу 2025 года, Савет па абароне даных Індыі (DPBI) цяпер дзейнічае і разглядае скаргі, а структура Менеджара згоды — адметны архітэктурны ўклад Індыі ў глабальнае права прыватнасці — працуе ў прадакшэне. Для любога выдаўца, рэкламадаўца або платформы, якая апрацоўвае персанальныя даныя індыйскіх карыстальнікаў у 2026 годзе, DPDPA больш не з'яўляецца клопатам пра будучыню. Гэта бягучая базавая лінія адпаведнасці, і яна адрозніваецца ад GDPR спосабамі, якія маюць значэнне для таго, як праектуюцца CMP, трансгранічныя патокі і правы суб'ектаў даных. Гэтае кіраўніцтва праходзіць праз DPDPA ў яго разгорнутай форме, што менавіта патрабуе індыйская згода, як экасістэма Менеджара згоды мяняе ландшафт CMP і як выглядае пазіцыя правапрымянення DPBI ў 2026 годзе на практыцы.
Структура DPDPA ў 2026 годзе
DPDPA — гэта самастойны статут аб абароне даных, адрозны ад сектаральных законаў Індыі аб банкаўскай справе, тэлекамунікацыях і ахове здароўя. Яго разгортванне было наўмысна паэтапным, каб экасістэма Менеджара згоды, DPBI і рэжым трансгранічнай перадачы маглі кожны па чарзе выйсці ў анлайн.
Прыняцце ў 2023 годзе і разгортванне 2024-2025
DPDPA прайшоў Парламент у жніўні 2023 года і неўзабаве пасля гэтага атрымаў прэзідэнцкае адабрэнне. Міністэрства электронікі і інфармацыйных тэхналогій (MeitY) правяло 2024 год у кансультацыях па Правілах рэалізацыі, а канчатковыя Правілы былі абнародаваны на працягу 2025 года некалькімі траншамі: спачатку структура рэгістрацыі Менеджара згоды, затым працэдуры правоў суб'ектаў даных, затым паведамленні аб трансгранічнай перадачы, затым парогі значных фідуцыярыяў даных. Да пачатку 2026 года поўная структура ўступіла ў сілу.
Хто рэгулюецца
DPDPA прымяняецца да апрацоўкі лічбавых персанальных даных фізічных асоб унутры Індыі. Ён таксама прымяняецца экстэрытарыяльна, калі апрацоўка звязана з прапановай тавараў або паслуг суб'ектам даных у Індыі. Выдавец з ЗША, які абслугоўвае індыйскіх карыстальнікаў праз лакалізаваны сайт, версію на індыйскай мове або праграматык-інвентар, куплены супраць індыйскіх IP-адрасоў, трапляе ў сферу дзеяння. Гэты экстэрытарыяльны ахоп адназначны ў статуце і быў падмацаваны ў ранніх рэкамендацыях DPBI.
Разрыў у тэрміналогіі
DPDPA выкарыстоўвае свой уласны слоўнік, які адрозніваецца ад GDPR і ад большасці новых азіяцкіх структур. Фідуцыярый даных — гэта тое, што GDPR называе кантралёрам. Працэсар даных выразна адпавядае працэсару GDPR. Прынцыпал даных — гэта суб'ект даных. Значны фідуцыярый даных — гэта кантралёр вышэй парогаў памеру або адчувальнасці, абнародаваных цэнтральным урадам. Замежныя выдаўцы, якія ўпершыню сутыкаюцца з DPDPA, часта няправільна супастаўляюць гэтыя тэрміны; правільнае супастаўленне на раннім этапе пазбаўляе ад блытаніны пазней.
Што лічыцца персанальнымі данымі
Вызначэнне персанальных даных у DPDPA шырокае і блізка следуе міжнароднай практыцы. Персанальныя даныя — гэта любыя даныя пра фізічную асобу, якая ідэнтыфікавальная праз або ў сувязі з такімі данымі. DPBI указаў праз раннія рэкамендацыі, што анлайн-ідэнтыфікатары — cookie, рэкламныя ідэнтыфікатары, IP-адрасы, адбіткі прылад і паводніцкія профілі — з'яўляюцца персанальнымі данымі, калі яны могуць быць прывязаны да ідэнтыфікавальнай асобы напрамую або разумнымі сродкамі.
Няма адчувальнай катэгорыі, але правілы значнага фідуцыярыя даных
У адрозненне ад GDPR, LGPD і PIPA, DPDPA фармальна не вызначае катэгорыю адчувальных персанальных даных. Замест гэтага Закон належыць на абазначэнне значнага фідуцыярыя даных, якое прымяняе дадатковыя абавязацельствы да кантралёраў, якія апрацоўваюць даныя ў маштабе, апрацоўваюць даныя дзяцей, апрацоўваюць даныя, якія могуць паўплываць на выбарчую цэласнасць, або апрацоўваюць даныя, якія могуць паўплываць на нацыянальную бяспеку. Канчатковы вынік аналагічны правілам адчувальнай катэгорыі GDPR для буйнейшых і найбольш адчувальных працэсараў, але архітэктура іншая.
Чаму гэта важна для cookie
Cookie, які збірае руцінны рэкламны ідэнтыфікатар, з'яўляецца персанальнымі данымі, але не падлягае павышаным абавязацельствам толькі таму, што ён сілкуе адчувальна выглядаючы сегмент аўдыторыі. Але выдавец, які дасягнуў парога значнага фідуцыярыя даных — напрыклад, буйная платформа з дзясяткамі мільёнаў індыйскіх карыстальнікаў — набывае дадатковыя абавязацельствы, уключаючы абавязковага супрацоўніка па абароне даных, перыядычныя аўдыты і Ацэнкі ўздзеяння на абарону даных. Парогі памеру былі абнародаваны ў 2025 годзе; большасць глабальных платформаў цяпер у сферы дзеяння.
Згода ў рамках DPDPA
DPDPA змяшчае згоду ў цэнтр сваёй структуры, але вызначае яе асобным наборам патрабаванняў, якія не супастаўляюцца адзін-да-аднаго са згодай GDPR.
Стандарт сапраўднай згоды
Згода ў рамках DPDPA павінна быць:
- Свабоднай — не абумоўленай прадастаўленнем паслугі, на якую карыстальнік інакш мае права, і не прымушанай
- Канкрэтнай — прывязанай да выразна абазначанай мэты, а не агульнай парасонавай згодай
- Інфармаванай — прынцыпал даных разумее, якія даныя апрацоўваюцца і для якой мэты
- Безумоўнай — згода не прывязана да нерэлевантных умоў
- Адназначнай — выражанай праз выразнае сцвярджальнае дзеянне, а не выведзенай з маўчання або бяздзейнасці
Патрабаванне дэталізаванага паведамлення
DPDPA патрабуе паведамленне ў момант або да моманту згоды, якое апісвае персанальныя даныя, што падлягаюць апрацоўцы, мэту апрацоўкі, спосаб, якім прынцыпал даных можа ажыццяўляць правы, і спосаб, якім прынцыпал даных можа паскардзіцца Савету. Паведамленне павінна быць даступна на англійскай і на любой з 22 афіцыйных моў Індыі, якія запытвае прынцыпал даных.
Архітэктура Менеджара згоды
Менавіта тут DPDPA найбольш рэзка разыходзіцца з іншымі структурамі. Закон устанаўлівае ліцэнзаваную ролю пад назвай Менеджар згоды — старонную арганізацыю, зарэгістраваную ў DPBI, якая прадастаўляе сумяшчальную панэль згоды, што дазваляе прынцыпалам даных прадастаўляць, праглядаць, кіраваць і адклікаць згоды па некалькіх фідуцыярыях даных з адзінага інтэрфейсу. Менеджары згоды павінны быць зарэгістраваны ў Савеце і павінны адпавядаць тэхнічным спецыфікацыям сумяшчальнасці. На практыцы фідуцыярыі даных могуць атрымліваць згоду альбо напрамую праз сваю ўласную CMP, альбо праз зарэгістраванага Менеджара згоды, і ў многіх выпадках прынцыпалы даных выбіраюць цэнтралізацыю сваёй згоды праз Менеджара згоды, а не кіраванне банерам кожнага сайта асобна.
Як выглядае адпаведная CMP
CMP, наладжаная для індыйскага трафіку ў 2026 годзе, павінна прадстаўляць:
- Бачны банер да таго, як спрацуе любы неістотны cookie або трэкер, з дзеяннямі «Прыняць», «Адхіліць» і «Наладзіць» пры роўнай візуальнай прыкметнасці
- Даступнасць на англійскай і на пераважнай карыстальнікам афіцыйнай мове па запыце
- Дэталёвыя пераключальнікі згоды па мэтах, уключаючы аналітыку, рэкламу, персаналізацыю і трансгранічную перадачу
- Выразную спасылку на поўнае дэталізаванае паведамленне, уключаючы правы і канал скаргаў DPBI
- Пастаянны, лёгка знаходны механізм адклікання згоды, такі ж просты, як і прадастаўленне згоды
- Тэхнічную сумяшчальнасць з зарэгістраванымі Менеджарамі згоды, каб стан згоды мог сінхранізавацца з выбраным прынцыпалам даных Менеджарам згоды
Запісы згоды
Фідуцыярыі даных павінны весці запісы згоды, уключаючы хто пагадзіўся, калі, праз які інтэрфейс, на якую мэту, і любыя наступныя змены. DPBI спасылаўся на неадэкватныя журналы згоды ў некалькіх сваіх ранніх разбіральніцтвах, і экспартаваныя запісы згоды з пазнакамі часу з'яўляюцца базавым чаканнем.
Трансгранічныя перадачы даных
Структура трансгранічнай перадачы DPDPA з'яўляецца адным з самых адметных элементаў індыйскага рэжыму і істотна адрозніваецца ад патэрна адэкватнасці-плюс-гарантыі, які выкарыстоўваецца GDPR, PIPA і змененым KVKK.
Структура паведамленняў
DPDPA працуе на падыходзе негатыўнага спіса: трансгранічныя перадачы звычайна дазволены, калі краіна прызначэння не з'яўляецца ў спісе абмежаваных юрысдыкцый, абнародаваным цэнтральным урадам. Гэта адваротнае мадэлі адэкватнасці GDPR, якая разглядае перадачы як забароненыя пры адсутнасці станоўчага рашэння аб адэкватнасці або гарантый. Падыход DPDPA больш дазваляльны на першы погляд, але негатыўны спіс можа быць пашыраны па меркаванні ўрада, і некалькі юрысдыкцый былі змешчаны ў спіс на працягу 2025 года для канкрэтных катэгорый даных.
Што гэта азначае аперацыйна
Для большасці праграматык-рэкламных патокаў у 2026 годзе адказ заключаецца ў тым, што трансгранічныя перадачы ў буйныя ad-tech-прызначэнні дазволены пры ўмове, што краіна прызначэння не знаходзіцца ў абмежаваным спісе. Выдаўцам трэба правяраць бягучы абнародаваны спіс, весці дакументацыю аб перадачы і яе мэце і быць гатовымі перанакіраваць або прыпыніць патокі, калі прызначэнне дададзена. Гэта істотна прасцей, чым механіка перадачы GDPR для большасці патокаў, але патрабаванне пільнасці рэальнае.
Сектаральная лакалізацыя
Асобна ад DPDPA, некалькі індыйскіх сектаральных рэгулятараў — уключаючы Рэзервовы банк Індыі для фінансавых даных і Міністэрства аховы здароўя для даных аб здароўі — маюць свае ўласныя патрабаванні лакалізацыі, якія накладваюцца паверх DPDPA. Выдаўцу, які абслугоўвае індыйскіх карыстальнікаў у адным з гэтых рэгуляваных сектараў, трэба выконваць як DPDPA, так і прымянімыя сектаральныя правілы.
Правы прынцыпала даных
DPDPA прадастаўляе прынцыпалам даных знаёмы, але крыху больш вузкі кластар правоў, чым GDPR:
- Права на доступ да апрацоўваемых персанальных даных, уключаючы катэгорыі і працэсары
- Права на выпраўленне, дапаўненне і абнаўленне персанальных даных
- Права на сціранне персанальных даных, больш не неабходных для заяўленай мэты
- Права прызначыць іншую асобу для ажыццяўлення правоў ад імя прынцыпала даных у выпадку смерці або недзеяздольнасці
- Права на разгляд скаргаў праз фідуцыярыя даных
- Права паскардзіцца Савету па абароне даных, калі разгляд скаргаў незадавальняючы
Чаго няма ў спісе правоў
Прыкметна, што DPDPA не ўключае самастойнае права на пераноснасць, агульнае права пярэчыць супраць апрацоўкі або відавочнае права супраць аўтаматызаванага прыняцця рашэнняў — хаця рэжым значнага фідуцыярыя даных і механізм адклікання згоды ўскосна пакрываюць большую частку той жа тэрыторыі.
Тэрміны адказу
Фідуцыярыі даных павінны адказваць на запыты прынцыпалаў даных у тэрміны, указаныя ў абнародаваных Правілах — што ў большасці выпадкаў у разумны перыяд, які не перавышае ўказанага акна, пры гэтым DPBI разглядае значную затрымку як збой адпаведнасці. Сістэма разгляду скаргаў — гэта першы крок; толькі нявырашаныя скаргі эскалуюцца да Савета.
Значныя фідуцыярыі даных
Абазначэнне значнага фідуцыярыя даных (SDF) запускае дадатковыя абавязацельствы звыш базавых патрабаванняў DPDPA.
Дадатковыя абавязацельствы
- Прызначэнне супрацоўніка па абароне даных, які базуецца ў Індыі
- Перыядычныя Ацэнкі ўздзеяння на абарону даных для пэўных відаў апрацоўкі
- Перыядычныя незалежныя аўдыты
- Дадатковыя абавязацельствы па празрыстасці адносна алгарытмічнай апрацоўкі
- Больш строгае паведамленне аб парушэннях і вядзенне запісаў
Хто кваліфікуецца
Памер, аб'ём апрацоўваемых персанальных даных, адчувальнасць даных, рызыка для прынцыпалаў даных, патэнцыяльны ўплыў на выбарчую дэмакратыю, бяспеку і суверэнітэт, а таксама патэнцыяльны ўплыў на грамадскі парадак — усё гэта фактары. Цэнтральны ўрад абнародуе SDF альбо індывідуальна, альбо па класе. Большасць буйных глабальных платформаў, якія абслугоўваюць Індыю, трапляюць у абнародаваныя класы ў 2026 годзе.
Даныя дзяцей
DPDPA вызначае дзіця як любую асобу маладзейшую за 18 гадоў — больш высокі парог, чым стандарт GDPR у 16 гадоў і розныя больш нізкія нацыянальныя парогі. Апрацоўка персанальных даных дзяцей патрабуе правяральнай бацькоўскай згоды, а адсочванне, таргетаваная рэклама і паводніцкі маніторынг дзяцей абмежаваны незалежна ад статусу згоды. Выдаўцам, чые аўдыторыі ўключаюць значны трафік да 18 гадоў, патрэбны ўзроставыя бар'еры, патокі бацькоўскай згоды і абмежаваная апрацоўка для непаўналетняга сегмента — усё гэта патрабуе рэальнай інжынернай працы, якую нямногія замежныя выдаўцы завяршылі па змаўчанні.
Штрафы і правапрымяненне
DPDPA увёў рэжым штрафаў, які быў вышэйшы за гістарычныя індыйскія адміністрацыйныя штрафы і значна маштабаваны да сур'ёзнасці парушэння.
Адміністрацыйныя штрафы
DPDPA дапускае штрафы да 250 крор INR (прыкладна 30 мільёнаў долараў ЗША) за парушэнне для найбольш сур'ёзных парушэнняў. Штрафы больш нізкага ўзроўню прымяняюцца за збоі ў галіне згоды, паведамлення, бяспекі, паведамлення аб парушэннях і разгляду скаргаў. DPBI некалькі разоў выкарыстаў сярэдзіну дыяпазону ў 2025 годзе і пачатку 2026 года, і структура штрафаў распрацавана для эскалацыі пры сістэматычных збоях.
Тэмы правапрымянення DPBI
Раннія рашэнні DPBI групуюцца вакол невялікага набору паўтаральных праблем: банеры згоды без сапраўднай опцыі «Адхіліць», паведамленні, якія не апісваюць каналы скаргаў DPBI, трансгранічныя патокі ў прызначэнні з абмежаванага спіса, сістэмы разгляду скаргаў, якія фактычна не адказваюць, і збоі сумяшчальнасці Менеджара згоды. Замежныя выдаўцы былі ўпамянуты амаль ва ўсіх гэтых катэгорыях.
Рэпутацыйнае вымярэнне
DPBI публікуе свае рашэнні публічна, уключаючы імя фідуцыярыя і кароткае выкладанне збою. На індыйскім рынку, дзе рэгулятарнае трэнне хутка ператвараецца ў асвятленне ў СМІ і палітычную ўвагу, рэпутацыйная цана апублікаванага рашэння DPBI значная звыш фінансавага штрафу.
Кантрольны спіс аўдыту для індыйскага трафіку ў 2026 годзе
- Банер CMP падаецца з «Прыняць», «Адхіліць» і «Наладзіць» пры роўнай візуальнай прыкметнасці
- Паведамленне даступна на англійскай і на запытанай афіцыйнай мове прынцыпала даных, дзе прымяняецца
- Паведамленне відавочна апісвае канал скаргаў DPBI і правы прынцыпала даных
- Мэты згоды дэталёвыя, з трансгранічнай перадачай як асобнай мэтай
- Тэхнічная сумяшчальнасць прынамсі з адным зарэгістраваным Менеджарам згоды маецца
- Адкліканне згоды такое ж простае, як і прадастаўленне згоды, і запускае сыходнае выдаленне і фільтрацыю актывацыі
- Працэс правоў прынцыпала даных — доступ, выпраўленне, сціранне, прызначэнне — укамплектаваны персаналам і задакументаваны
- Канал разгляду скаргаў укамплектаваны персаналам з адсочвальнымі тэрмінамі адказу
- Прызначэнні трансгранічнай перадачы правяраюцца па бягучым абмежаваным спісе і дакументуюцца
- Абавязацельствы значнага фідуцыярыя даных — DPO, DPIA, аўдыт — маюцца, калі парог перасечаны
- Узроставы паток для карыстальнікаў да 18 гадоў, з правяральнай бацькоўскай згодай, дзе прымяняецца
- Сектаральныя правілы лакалізацыі і апрацоўкі задакументаваны і выконваюцца, калі выдавец працуе ў рэгуляваным сектары
Прагноз на 2026 год
Рэжым прыватнасці Індыі прайшоў шлях ад заканадаўчай абстракцыі да дзеючай рэальнасці за перыяд крыху больш за два гады. Архітэктура DPDPA адметная — экасістэма Менеджара згоды з'яўляецца найбольш прыкметным глабальным эксперыментам у галіне пераносімай, сумяшчальнай згоды, а падыход да перадачы на аснове негатыўнага спіса значна адрозніваецца ад патэрна адэкватнасці-плюс-гарантыі, які дамінуе ў іншых структурах. Для выдаўцоў, якія ўжо выкарыстоўваюць стэк згоды ўзроўню GDPR, разрыў да адпаведнасці DPDPA з'яўляецца аперацыйным, а не архітэктурным: сумяшчальнасць Менеджара згоды, паведамленні на афіцыйных мовах, раскрыццё скаргаў DPBI, парог да 18 гадоў і праверка перадачы па негатыўным спісе. Разрыў можа быць закрыты за тыдні, калі ён прыярытэзаваны. Выдаўцы, якія закрыюць яго да таго, як DPBI прыбудзе на іх парог, не заўважаць пераходу. Тыя, хто чакае, выявяць, што 2026 і 2027 гады значна даражэйшыя, чым гады, якія былі раней.