Структурата на DPDPA през 2026 г.

DPDPA е самостоятелен закон за защита на данните, различен от секторните закони на Индия за банкиране, телекомуникации и здравеопазване. Въвеждането му беше умишлено поетапно, така че екосистемата на мениджъра на съгласие, DPBI и режимът за трансгранични трансфери да могат да влязат в действие последователно.

Приемането през 2023 г. и въвеждането в действие за 2024-2025 г.

DPDPA премина парламента през август 2023 г. и скоро след това получи президентско одобрение. Министерството на електрониката и информационните технологии (MeitY) прекара 2024 г. в консултации по правилата за изпълнение, а окончателните правила бяха нотифицирани в течение на 2025 г. на няколко части: първо рамката за регистрация на мениджъра на съгласие, след това процедурите за правата на субектите на данни, след това уведомленията за трансгранични трансфери, накрая праговете за значителни фидуциари на данни. До началото на 2026 г. пълната рамка беше в сила.

Кой се регулира

DPDPA се прилага към обработването на цифрови лични данни на физически лица в Индия. Прилага се и извънтериториално, когато обработването е свързано с предлагане на стоки или услуги на субекти на данни в Индия. Издател, базиран в САЩ, обслужващ индийски потребители чрез локализиран сайт, версия на индийски език или програмен инвентар, купен срещу индийски IP адреси, попада в обхвата. Това извънтериториално приложение е недвусмислено в законодателния акт и е потвърдено в ранните насоки на DPBI.

Терминологичните различия

DPDPA използва собствен речник, различен от GDPR и от повечето по-нови азиатски рамки. Фидуциарът на данни е това, което GDPR нарича администратор. Обработващият данни съответства точно на обработващия по GDPR. Принципалът на данните е субектът на данните. Значителният фидуциар на данни е администратор над праговете за размер или чувствителност, нотифицирани от централното правителство. Чуждестранните издатели, срещащи DPDPA за първи път, често погрешно картографират тези термини; правилното картографиране от самото начало спестява объркване по-нататък.

Какво се счита за лични данни

Определението на DPDPA за лични данни е широко и следи отблизо международната практика. Личните данни са всякакви данни за физическо лице, което може да бъде идентифицирано чрез или във връзка с такива данни. DPBI е указал чрез ранни насоки, че онлайн идентификаторите — бисквитки, рекламни идентификатори, IP адреси, цифрови отпечатъци на устройства и поведенчески профили — са лични данни, когато могат да бъдат свързани с идентифицируемо физическо лице пряко или чрез разумни средства.

Няма чувствителна категория, но има правила за значителни фидуциари на данни

За разлика от GDPR, LGPD и PIPA, DPDPA не дефинира официално категория чувствителни лични данни. Вместо това законът се позовава на значителния фидуциар на данни, което налага допълнителни задължения на администраторите, обработващи данни в мащаб, обработващи данни на деца, обработващи данни, които могат да засегнат изборната цялост, или обработващи данни, които могат да засегнат националната сигурност. Нетният резултат е подобен на правилата за чувствителна категория по GDPR за най-големите и най-чувствителните обработващи, но архитектурата е различна.

Защо това има значение за бисквитките

Бисквитка, събираща рутинен рекламен идентификатор, е лични данни, но не подлежи на засилени задължения само защото захранва сегмент от аудиторията, изглеждащ чувствителен. Но издател, достигащ прага на значителния фидуциар на данни — например голяма платформа с десетки милиони индийски потребители — придобива допълнителни задължения, включително задължителен служител по защита на данните, периодични одити и оценки на въздействието върху защитата на данните. Праговете за размер бяха нотифицирани през 2025 г.; повечето глобални платформи вече попадат в обхвата.

Съгласие съгласно DPDPA

DPDPA поставя съгласието в центъра на своята рамка, но го дефинира с отличителен набор от изисквания, които не съответстват едно към едно на съгласието по GDPR.

Стандартът за валидно съгласие

Съгласието по DPDPA трябва да бъде:

• Свободно — необусловено от предоставянето на услуга, на която потребителят иначе има право, и непринудено
• Конкретно — обвързано с ясно идентифицирана цел, а не общо съгласие-чадър
• Информирано — принципалът на данните разбира какви данни се обработват и с каква цел
• Безусловно — съгласието не е обвързано с несвързани условия
• Недвусмислено — изразено чрез ясно утвърдително действие, а не извлечено от мълчание или бездействие

Изискването за детайлизирано уведомление

DPDPA изисква уведомление при или преди точката на съгласие, описващо личните данни, които ще бъдат обработени, целта на обработването, начина, по който принципалът на данните може да упражни права, и начина, по който принципалът на данните може да се оплаче до Съвета. Уведомлението трябва да бъде достъпно на английски език и на всеки от 22-те планирани езика на Индия, поискан от принципала на данните.

Архитектурата на мениджъра на съгласие

Тук DPDPA се разграничава най-рязко от другите рамки. Законът установява лицензирана роля, наречена мениджър на съгласие — трето лице, регистрирано в DPBI, предоставящо оперативно съвместимо табло за управление на съгласие, което позволява на принципалите на данните да предоставят, преглеждат, управляват и оттеглят съгласия от множество фидуциари на данни от единен интерфейс. Мениджърите на съгласие трябва да бъдат регистрирани в Съвета и трябва да отговарят на технически спецификации за оперативна съвместимост. На практика фидуциарите на данни могат да получат съгласие или директно чрез собствен CMP, или чрез регистриран мениджър на съгласие, и в много случаи принципалите на данните избират да централизират своето съгласие чрез мениджър на съгласие, вместо да управляват банера на всеки сайт поотделно.

Как изглежда съответстващ CMP

CMP, конфигуриран за индийски трафик през 2026 г., трябва да представя:

• Видим банер преди активирането на каквато и да е несъществена бисквитка или тракер, с действия Приемам, Отказвам и Персонализирам с еднаква визуална значимост
• Достъпност на английски език и на предпочитания планиран език на потребителя при поискване
• Детайлизирани превключватели за съгласие за всяка цел, включително аналитика, реклама, персонализиране и трансграничен трансфер
• Ясна връзка към пълното детайлизирано уведомление, включително права и канал за жалби в DPBI
• Постоянен, лесен за намиране механизъм за оттегляне на съгласие, толкова лесен, колкото даването на съгласие
• Техническа оперативна съвместимост с регистрирани мениджъри на съгласие, така че статусът на съгласие да може да бъде синхронизиран с избрания от принципала на данните мениджър на съгласие

Записи за съгласие

Фидуциарите на данни трябва да поддържат записи за съгласие, включително кой е дал съгласие, кога, чрез кой интерфейс, за коя цел и всякакви последващи промени. DPBI е цитирал неадекватни журнали за съгласие в няколко от ранните си производства и експортируеми, времево маркирани записи за съгласие са минималното очакване.

Трансгранични прехвърляния на данни

Рамката за трансгранични прехвърляния на DPDPA е един от най-отличителните елементи на индийския режим и се различава значително от модела на адекватност плюс гаранции, използван от GDPR, PIPA и изменения KVKK.

Рамката на уведомлението

DPDPA функционира по подход на негативен списък: трансграничните трансфери са общо разрешени, освен ако страната дестинация не се появи в списък с ограничени юрисдикции, нотифицирани от централното правителство. Това е обратното на модела на адекватност по GDPR, който третира трансферите като забранени при липса на положително решение за адекватност или гаранции. Подходът на DPDPA е по-разрешителен на пръв поглед, но негативният списък може да бъде разширен по преценка на правителството и няколко юрисдикции са поставени в списъка по време на 2025 г. за конкретни категории данни.

Какво означава това оперативно

За повечето потоци на програмна реклама през 2026 г. отговорът е, че трансграничните трансфери към основни дестинации за рекламни технологии са разрешени, при условие че страната дестинация не е в ограничения списък. Издателите трябва да проверят текущия нотифициран списък, да поддържат документация за трансфера и неговата цел, и да са готови да пренасочат или спрат потоците, ако дадена дестинация бъде добавена. Това е значително по-просто от механиките за трансфер по GDPR за повечето потоци, но изискването за бдителност е реално.

Секторно специфична локализация

Отделно от DPDPA, няколко индийски секторни регулатори — включително Резервната банка на Индия за финансови данни и Министерството на здравеопазването за здравни данни — имат свои собствени изисквания за локализация, стоящи над DPDPA. Издател, обслужващ индийски потребители в един от тези регулирани сектори, трябва да спазва както DPDPA, така и приложимите секторни правила.

Права на принципалите на данните

DPDPA предоставя на принципалите на данните познат, но малко по-тесен набор от права от GDPR:

• Право на достъп до обработваните лични данни, включително категории и обработващи
• Право на коригиране, допълване и актуализиране на лични данни
• Право на изтриване на лични данни, вече ненужни за заявената цел
• Право за номиниране на друго физическо лице да упражнява права от името на принципала на данните в случай на смърт или недееспособност
• Право на разглеждане на жалби чрез фидуциара на данни
• Право за подаване на жалба до Съвета за защита на данните, ако разглеждането на жалбата е незадоволително

Какво не е в списъка с права

Забележително е, че DPDPA не включва самостоятелно право на преносимост, общо право на възражение срещу обработването или изрично право срещу автоматизирано вземане на решения — въпреки че режимът за значителни фидуциари на данни и механизмът за оттегляне на съгласие покриват голяма част от същата почва косвено.

Срокове за отговор

Фидуциарите на данни трябва да отговарят на исканията на принципалите на данните в рамките на сроковете, посочени в нотифицираните правила — което в повечето случаи е в разумен период, непревишаващ определения прозорец, като DPBI третира значителното забавяне като неизпълнение на задълженията. Системата за разглеждане на жалби е първата стъпка; само неразрешените жалби ескалират до Съвета.

Значителни фидуциари на данни

Обозначението за значителен фидуциар на данни (SDF) задейства допълнителни задължения извън основните изисквания на DPDPA.

Допълнителните задължения

• Назначаване на служител по защита на данните, базиран в Индия
• Периодични оценки на въздействието върху защитата на данните за определени дейности по обработване
• Периодични независими одити
• Допълнителни задължения за прозрачност относно алгоритмичното обработване
• По-строго уведомяване за нарушения и водене на документация

Кой се квалифицира

Размерът, обемът на обработваните лични данни, чувствителността на данните, рискът за принципалите на данните, потенциалното въздействие върху изборната демокрация, сигурността и суверенитета, и потенциалното въздействие върху обществения ред — всички са фактори. Централното правителство нотифицира SDF-ите поотделно или по клас. Повечето големи глобални платформи, обслужващи Индия, попадат в нотифицираните класове през 2026 г.

Данни за деца

DPDPA определя дете като всяко физическо лице под 18 години — по-висок праг от стандартния 16-годишен праг на GDPR и различните по-ниски национални прагове. Обработването на лични данни на деца изисква проверяемо родителско съгласие, а проследяването, насочената реклама и поведенческото наблюдение на деца са ограничени независимо от статуса на съгласие. Издателите, чиято аудитория включва значителен трафик на лица под 18 години, се нуждаят от проверка на възрастта, потоци за родителско съгласие и ограничено обработване за непълнолетния сегмент — всичко което изисква реална инженерна работа, завършена от малко чуждестранни издатели по подразбиране.

Санкции и правоприлагане

DPDPA въведе режим на санкции, по-висок от историческите индийски административни глоби и значително мащабиран спрямо тежестта на нарушението.

Административни санкции

DPDPA разрешава санкции до 250 крора INR (приблизително 30 милиона USD) на нарушение за най-сериозните нарушения. По-ниски санкции се прилагат за пропуски около съгласие, уведомление, сигурност, уведомяване за нарушения и разглеждане на жалби. DPBI е използвал средата на диапазона няколко пъти през 2025 г. и началото на 2026 г. и структурата на санкциите е проектирана да ескалира при системен провал.

Темите за правоприлагане на DPBI

Ранните решения на DPBI се групират около малък набор от повтарящи се проблеми: банери за съгласие без реална опция за отказ, уведомления, които не описват каналите за жалби на DPBI, трансгранични потоци към дестинации в ограничения списък, системи за разглеждане на жалби, които всъщност не отговарят, и неизправности на оперативната съвместимост на мениджъра на съгласие. Чуждестранните издатели са цитирани в почти всички тези категории.

Репутационното измерение

DPBI публикува решенията си публично, включително името на фидуциара и резюме на провала. На индийски пазар, където регулаторното триене бързо се превежда в медийно отразяване и политическо внимание, репутационната цена на публикувано решение на DPBI е значителна в допълнение към финансовата санкция.

Контролен списък за одит за индийски трафик през 2026 г.

• Банерът на CMP се сервира с Приемам, Отказвам и Персонализирам с еднаква визуална значимост
• Уведомлението е достъпно на английски и на поискания планиран език на принципала на данните, когато е приложимо
• Уведомлението изрично описва канала за жалби на DPBI и правата на принципала на данните
• Целите за съгласие са детайлизирани, с трансграничен трансфер като отделна цел
• Налице е техническа оперативна съвместимост с поне един регистриран мениджър на съгласие
• Оттеглянето на съгласие е толкова лесно, колкото предоставянето на съгласие, и задейства надолу по веригата филтриране за изтриване и активиране
• Работният поток за права на принципала на данните — достъп, коригиране, изтриване, номинация — е обезпечен с персонал и документиран
• Каналът за разглеждане на жалби е обезпечен с персонал с проследявани срокове за отговор
• Дестинациите за трансгранични трансфери се проверяват спрямо текущия ограничен списък и се документират
• Задълженията на значителния фидуциар на данни — DPO, DPIA, одит — са налице, ако прагът е преминат
• Поток, отчитащ възрастта, за потребители под 18 години, с проверяемо родителско съгласие, когато е приложимо
• Секторно специфичните изисквания за локализация и обработване са документирани и спазени, ако издателят работи в регулиран сектор

Перспективата за 2026 г.

Индийският режим за поверителност премина от законодателна абстракция към оперативна реалност в малко повече от две години. Архитектурата на DPDPA е отличителна — екосистемата на мениджъра на съгласие е най-видимият глобален експеримент в преносимото, оперативно съвместимо съгласие, а подходът на негативния списък за трансфери е значително различен от модела на адекватност плюс гаранции, доминиращ в другите рамки. За издателите, вече работещи с набор от инструменти за съгласие на ниво GDPR, пропастта до съответствие с DPDPA е оперативна, а не архитектурна: оперативна съвместимост на мениджъра на съгласие, уведомления на планирани езици, оповестявания за жалби в DPBI, прагът под 18 години и проверката на негативния списък за трансфер. Пропастта може да бъде затворена за седмици, ако бъде приоритизирана. Издателите, които я затворят, преди DPBI да се появи пред вратата им, няма да забележат прехода. Тези, които чакат, ще открият, че 2026 и 2027 г. са значително по-скъпи от предходните години.