Struktura DPDPA v roce 2026

DPDPA je samostatný zákon o ochraně dat, odlišný od sektorově specifických indických zákonů o bankovnictví, telekomunikacích a zdravotnictví. Jeho zavádění bylo záměrně postupné, aby ekosystém správce souhlasu, DPBI a režim přeshraničního přenosu mohly postupně vstoupit do provozu.

Přijetí v roce 2023 a zavádění v letech 2024–2025

DPDPA prošel parlamentem v srpnu 2023 a krátce poté obdržel prezidentský souhlas. Ministerstvo elektroniky a informačních technologií (MeitY) strávilo rok 2024 konzultacemi o prováděcích pravidlech a konečná pravidla byla oznámena v průběhu roku 2025 v několika fázích: nejprve rámec pro registraci správce souhlasu, poté postupy pro práva subjektů údajů, poté oznámení o přeshraničních přenosech a nakonec prahové hodnoty pro správce významných dat. Na začátku roku 2026 byl plný rámec v platnosti.

Kdo je regulován

DPDPA se vztahuje na zpracování digitálních osobních údajů fyzických osob v Indii. Vztahuje se také extrateritoriálně, pokud je zpracování spojeno s nabídkou zboží nebo služeb subjektům údajů v Indii. Vydavatel se sídlem v USA obsluhující indické uživatele prostřednictvím lokalizovaného webu, indické jazykové verze nebo programaticky nakupovaného inventáře vůči indickým IP adresám spadá do působnosti. Tento extrateritoriální dosah je ve statutu jednoznačný a byl potvrzen v rané směrnici DPBI.

Terminologická mezera

DPDPA používá vlastní slovník, který se liší od GDPR i od většiny novějších asijských rámců. Správce dat je to, co GDPR nazývá správce. Zpracovatel dat přesně odpovídá zpracovateli podle GDPR. Hlavní subjekt dat je subjekt údajů. Správce významných dat je správce překračující prahové hodnoty velikosti nebo citlivosti oznámené ústřední vládou. Zahraniční vydavatelé, kteří se poprvé setkávají s DPDPA, tato označení často nesprávně mapují; správné mapování od začátku šetří pozdější zmatek.

Co se považuje za osobní údaje

Definice osobních údajů v DPDPA je široká a úzce sleduje mezinárodní praxi. Osobní údaje jsou jakékoli údaje o fyzické osobě, která je těmito údaji nebo v souvislosti s nimi identifikovatelná. DPBI prostřednictvím rané směrnice naznačil, že online identifikátory — cookies, reklamní ID, IP adresy, digitální otisky zařízení a behaviorální profily — jsou osobními údaji, pokud je lze přímo nebo rozumnými prostředky spojit s identifikovatelnou fyzickou osobou.

Žádná citlivá kategorie, ale pravidla pro správce významných dat

Na rozdíl od GDPR, LGPD a PIPA DPDPA formálně nedefinuje kategorii citlivých osobních údajů. Zákon se místo toho opírá o označení správce významných dat, které ukládá dodatečné povinnosti správcům zpracovávajícím data ve velkém měřítku, data dětí, data, která by mohla ovlivnit volební integritu, nebo data, která by mohla ovlivnit národní bezpečnost. Výsledek je podobný pravidlům citlivé kategorie GDPR pro největší a nejcitlivější zpracovatele, ale architektura je jiná.

Proč to záleží u cookies

Cookie sbírající rutinní reklamní identifikátor je osobním údajem, ale nepodléhá zvýšeným povinnostem jen proto, že zásobuje segment cílové skupiny s citlivým vzhledem. Ale vydavatel, který dosáhne prahu správce významných dat — například velká platforma s desítkami milionů indických uživatelů — získává další povinnosti včetně povinného pověřence pro ochranu dat, pravidelných auditů a posouzení vlivu na ochranu dat. Prahové hodnoty velikosti byly oznámeny v roce 2025; většina globálních platforem je nyní v působnosti.

Souhlas podle DPDPA

DPDPA staví souhlas do centra svého rámce, ale definuje jej specifickými požadavky, které se neodpovídají jeden ku jednomu souhlasu dle GDPR.

Standard platného souhlasu

Souhlas podle DPDPA musí být:

• Svobodný — nepodmíněný poskytnutím služby, na kterou má uživatel jinak nárok, a nepřinucený
• Konkrétní — vázaný na jasně identifikovaný účel, nikoli obecný zastřešující souhlas
• Informovaný — hlavní subjekt dat chápe, jaké údaje jsou zpracovávány a za jakým účelem
• Bezpodmínečný — souhlas není vázán na irelevantní podmínky
• Jednoznačný — vyjádřený jasnou kladnou akcí, nededukovaný z mlčení nebo nečinnosti

Požadavek podrobného oznámení

DPDPA vyžaduje oznámení v okamžiku nebo před okamžikem souhlasu popisující osobní údaje, které mají být zpracovány, účel zpracování, způsob, jakým může hlavní subjekt dat uplatnit práva, a způsob, jakým může hlavní subjekt dat podat stížnost Radě. Oznámení musí být k dispozici v angličtině a v kterémkoli z 22 plánovaných jazyků Indie, o které hlavní subjekt dat požádá.

Architektura správce souhlasu

Zde se DPDPA nejostřeji odchyluje od ostatních rámců. Zákon zavádí licencovanou roli nazvanou správce souhlasu — subjekt třetí strany registrovaný u DPBI, který poskytuje interoperabilní řídicí panel souhlasu umožňující hlavním subjektům dat udělovat, kontrolovat, spravovat a odvolávat souhlasy u více správců dat z jediného rozhraní. Správci souhlasu musí být registrováni u Rady a musí splňovat technické specifikace interoperability. V praxi mohou správci dat získat souhlas buď přímo prostřednictvím vlastního CMP, nebo prostřednictvím registrovaného správce souhlasu a v mnoha případech se hlavní subjekty dat rozhodují centralizovat svůj souhlas prostřednictvím správce souhlasu místo toho, aby spravovaly banner každého webu zvlášť.

Jak vypadá kompatibilní CMP

CMP nakonfigurovaný pro indický provoz v roce 2026 by měl zobrazovat:

• Viditelný banner před spuštěním jakéhokoli nepodstatného cookie nebo sledovače, s akcemi Přijmout, Odmítnout a Přizpůsobit se stejnou vizuální výrazností
• Dostupnost v angličtině a v preferovaném plánovaném jazyce uživatele, kde je to vyžadováno
• Granulární přepínače souhlasu pro každý účel, včetně analytiky, reklamy, personalizace a přeshraničního přenosu
• Jasný odkaz na úplné podrobné oznámení včetně práv a kanálu stížností DPBI
• Trvalý, snadno nalezitelný mechanismus pro odvolání souhlasu, který je stejně snadný jako udělení souhlasu
• Technická interoperabilita s registrovanými správci souhlasu, aby bylo možné synchronizovat stav souhlasu se správcem souhlasu zvoleným hlavním subjektem dat

Záznamy o souhlasu

Správci dat musí vést záznamy o souhlasu, včetně toho, kdo souhlasil, kdy, prostřednictvím jakého rozhraní, pro jaký účel a jakékoliv následné změny. DPBI ve svých raných řízeních opakovaně citoval nedostatečné protokoly souhlasů a exportovatelné záznamy o souhlasu s časovým razítkem jsou minimálním očekáváním.

Přeshraniční přenosy dat

Rámec přeshraničního přenosu DPDPA je jedním z nejpříznačnějších prvků indického režimu a výrazně se liší od vzoru přiměřenosti plus záruky, který používají GDPR, PIPA a pozměněná KVKK.

Oznamovací rámec

DPDPA funguje na základě přístupu negativního seznamu: přeshraniční přenosy jsou obecně povoleny, pokud se cílová země neobjeví na seznamu omezených jurisdikcí oznámených ústřední vládou. To je opakem modelu přiměřenosti GDPR, který považuje přenosy za zakázané v nepřítomnosti pozitivního rozhodnutí o přiměřenosti nebo záruk. Přístup DPDPA je na první pohled více permisivní, ale negativní seznam může být rozšířen dle uvážení vlády a několik jurisdikcí bylo v průběhu roku 2025 zařazeno na seznam pro konkrétní kategorie dat.

Co to znamená v praxi

Pro většinu programatických reklamních toků v roce 2026 je odpovědí to, že přeshraniční přenosy do hlavních ad-tech destinací jsou povoleny za předpokladu, že cílová země není na omezeném seznamu. Vydavatelé musí zkontrolovat aktuální oznámený seznam, uchovávat dokumentaci přenosu a jeho účelu a být připraveni přesměrovat nebo pozastavit toky, pokud bude přidána destinace. To je výrazně jednodušší než mechanika přenosu GDPR pro většinu toků, ale požadavek bdělosti je skutečný.

Odvětvově specifická lokalizace

Odděleně od DPDPA mají několik indických odvětvových regulátorů — včetně Rezervní banky Indie pro finanční data a Ministerstva zdravotnictví pro zdravotní data — vlastní požadavky na lokalizaci, které stojí nad DPDPA. Vydavatel obsluhující indické uživatele v jednom z těchto regulovaných odvětví musí dodržovat jak DPDPA, tak příslušná odvětvová pravidla.

Práva hlavních subjektů dat

DPDPA přiznává hlavním subjektům dat známý, ale o něco užší okruh práv než GDPR:

• Právo na přístup ke zpracovávaným osobním údajům, včetně kategorií a zpracovatelů
• Právo na opravu, doplnění a aktualizaci osobních údajů
• Právo na výmaz osobních údajů, které již nejsou pro uvedený účel nutné
• Právo jmenovat jiného jednotlivce, aby uplatňoval práva jménem hlavního subjektu dat v případě smrti nebo neschopnosti
• Právo na vyřízení stížnosti prostřednictvím správce dat
• Právo podat stížnost Radě pro ochranu dat, pokud je vyřízení stížnosti neuspokojivé

Co není na seznamu práv

DPDPA zejména nezahrnuje samostatné právo na přenositelnost, obecné právo namítat vůči zpracování ani výslovné právo namítat vůči automatizovanému rozhodování — ačkoli režim správce významných dat a mechanismus odvolání souhlasu pokrývají nepřímo velkou část stejného území.

Lhůty pro odpovědi

Správci dat musí odpovídat na žádosti hlavních subjektů dat ve lhůtách stanovených v oznámených pravidlech — což je ve většině případů přiměřená lhůta nepřesahující stanovenou lhůtu, přičemž DPBI považuje výrazné zpoždění za nesplnění předpisů. Systém vyřizování stížností je prvním krokem; pouze nevyřešené stížnosti eskalují na Radu.

Správci významných dat

Označení správce významných dat (SDF) spouští další povinnosti nad rámec základních požadavků DPDPA.

Dodatečné povinnosti

• Jmenování pověřence pro ochranu dat se sídlem v Indii
• Pravidelná posouzení vlivu na ochranu dat pro určené zpracovatelské činnosti
• Pravidelné nezávislé audity
• Dodatečné povinnosti transparentnosti ohledně algoritmického zpracování
• Přísnější oznamování narušení bezpečnosti a vedení záznamů

Kdo kvalifikuje

Faktory jsou: velikost, objem zpracovávaných osobních údajů, citlivost dat, riziko pro hlavní subjekty dat, potenciální dopad na volební demokracii, bezpečnost a suverenitu a potenciální dopad na veřejný pořádek. Ústřední vláda oznamuje SDF jednotlivě nebo podle třídy. Většina velkých globálních platforem obsluhujících Indii spadá v roce 2026 do oznámených tříd.

Data dětí

DPDPA definuje dítě jako jakoukoli osobu mladší 18 let — vyšší práh než výchozích 16 let dle GDPR a různé nižší národní prahy. Zpracování osobních údajů dětí vyžaduje ověřitelný souhlas rodičů a sledování, cílená reklama a behaviorální monitorování dětí jsou omezeny bez ohledu na stav souhlasu. Vydavatelé, jejichž cílové skupiny zahrnují výrazný provoz uživatelů mladších 18 let, potřebují ověřování věku, toky souhlasu rodičů a omezené zpracování pro segment nezletilých — to vše vyžaduje skutečnou vývojovou práci, kterou málokterý zahraniční vydavatel zvládl automaticky.

Sankce a vymáhání

DPDPA zavedl sankční režim vyšší než historické indické administrativní pokuty a smysluplně škálovaný podle závažnosti porušení.

Administrativní sankce

DPDPA umožňuje sankce až 250 crore INR (přibližně 30 milionů USD) za porušení pro nejzávažnější porušení. Za neplnění povinností týkajících se souhlasu, oznámení, bezpečnosti, oznamování narušení bezpečnosti a vyřizování stížností se uplatňují sankce nižší úrovně. DPBI použil střed rozmezí v roce 2025 a na začátku roku 2026 několikrát a sankční struktura je navržena tak, aby eskalovala se systematickým selháním.

Vymáhací témata DPBI

Raná rozhodnutí DPBI se seskupují kolem malého souboru opakujících se problémů: bannery souhlasu bez skutečné možnosti odmítnutí, oznámení nepopisující kanály stížností DPBI, přeshraniční toky do destinací na omezeném seznamu, systémy vyřizování stížností, které skutečně neodpovídají, a selhání interoperability správce souhlasu. Zahraniční vydavatelé byli citováni téměř ve všech těchto kategoriích.

Reputační rozměr

DPBI zveřejňuje svá rozhodnutí veřejně, včetně jména správce a shrnutí selhání. Na indickém trhu, kde se regulační tření rychle promítá do mediálního zpravodajství a politické pozornosti, jsou reputační náklady zveřejněného rozhodnutí DPBI smysluplné nad rámec finanční sankce.

Auditní kontrolní seznam pro indický provoz v roce 2026

• Banner CMP je zobrazován s Přijmout, Odmítnout a Přizpůsobit se stejnou vizuální výrazností
• Oznámení dostupné v angličtině a v požadovaném plánovaném jazyce hlavního subjektu dat, kde je to použitelné
• Oznámení výslovně popisuje kanál stížností DPBI a práva hlavního subjektu dat
• Účely souhlasu jsou granulární, s přeshraničním přenosem jako samostatným účelem
• Technická interoperabilita s alespoň jedním registrovaným správcem souhlasu je zavedena
• Odvolání souhlasu je stejně snadné jako udělení souhlasu a spouští následné filtrování výmazu a aktivace
• Pracovní postup pro práva hlavního subjektu dat — přístup, oprava, výmaz, jmenování — je personálně zajištěn a zdokumentován
• Kanál vyřizování stížností je personálně zajištěn se sledovanými lhůtami odezvy
• Destinace přeshraničních přenosů jsou prověřovány vůči aktuálnímu omezenému seznamu a zdokumentovány
• Povinnosti správce významných dat — DPO, DPIA, audit — jsou zavedeny, pokud byl překročen práh
• Tok zohledňující věk pro uživatele mladší 18 let s ověřitelným souhlasem rodičů, kde je to použitelné
• Odvětvově specifická lokalizace a pravidla zpracování jsou zdokumentována a dodržována, pokud vydavatel působí v regulovaném odvětví

Výhled na rok 2026

Indický zákon o ochraně soukromí přešel z legislativní abstrakce do operativní reality za něco málo přes dva roky. Architektura DPDPA je svébytná — ekosystém správce souhlasu je nejviditelnějším globálním experimentem s přenositelným a interoperabilním souhlasem a přístup přenosu pomocí negativního seznamu se výrazně liší od vzoru přiměřenosti plus záruky, který dominuje ostatním rámcům. Pro vydavatele, kteří již provozují zásobník souhlasů na úrovni GDPR, je mezera ke splnění DPDPA provozní, nikoli architektonická: interoperabilita správce souhlasu, oznámení v plánovaných jazycích, zveřejnění stížností DPBI, práh pro osoby mladší 18 let a kontrola přenosu na negativním seznamu. Mezera může být uzavřena během týdnů, pokud je prioritní. Vydavatelé, kteří ji uzavřou, než DPBI zaklepe na jejich dveře, přechod nezaznamenají. Ti, kteří čekají, zjistí, že rok 2026 a 2027 bude výrazně nákladnější než předchozí roky.