Indiens DPDP-lov i 2026: udgiveres og annoncørers guide til samtykkechefer, grænseoverskridende overførsler og databeskyttelsesrådet
Indiens lov om beskyttelse af digitale personoplysninger (DPDPA, 2023) blev vedtaget i august 2023 og tilbragte det meste af 2024 og 2025 i en langsom, trinvis udrulning, der holdt mange udenlandske udgivere i en venteposition. Den periode er slut. DPDP-reglerne blev fuldt notificeret i løbet af 2025, Indiens Databeskyttelsesråd (DPBI) er nu operationelt og behandler klager, og samtykkechefens ramme — Indiens karakteristiske arkitektoniske bidrag til globalt privatlivsret — er i drift i produktion. For enhver udgiver, annoncør eller platform, der behandler personoplysninger fra indiske brugere i 2026, er DPDPA ikke længere en fremtidig bekymring. Det er den nuværende overholdelsebaseline og adskiller sig fra GDPR på måder, der har betydning for, hvordan CMP'er, grænseoverskridende flows og registreredes rettigheder er teknisk udformet. Denne guide gennemgår DPDPA i sin udrullede form, hvad indisk samtykke faktisk kræver, hvordan samtykkechefsøkosystemet ændrer CMP-landskabet, og hvordan DPBI's håndhævelsesposition i 2026 ser ud i praksis.
DPDPA's struktur i 2026
DPDPA er en selvstændig databeskyttelseslov, der adskiller sig fra Indiens sektorspecifikke love om bank, telekommunikation og sundhed. Udrulningen var bevidst trinvis, så samtykkechefsøkosystemet, DPBI og den grænseoverskridende overførselsordning hver kunne komme i drift i rækkefølge.
Vedtagelsen i 2023 og udrulningen i 2024-2025
DPDPA passerede parlamentet i august 2023 og modtog kort efter præsidentens godkendelse. Ministeriet for elektronik og informationsteknologi (MeitY) tilbragte 2024 med at rådføre sig om implementeringsreglerne, og de endelige regler blev notificeret i løbet af 2025 i adskillige trancher: først samtykkechefsregistreringsrammen, derefter procedurer for registreredes rettigheder, derefter notifikationer om grænseoverskridende overførsler, og til sidst tærskler for betydelige dataforvaltere. Ved begyndelsen af 2026 var den fulde ramme i kraft.
Hvem er reguleret
DPDPA finder anvendelse på behandling af digitale personoplysninger om personer i Indien. Den finder også ekstraterritorialt anvendelse, når behandlingen er forbundet med tilbud om varer eller tjenesteydelser til dataprincipaler i Indien. En USA-baseret udgiver, der betjener indiske brugere via et lokaliseret websted, en indisk-sproglig version eller programmatisk beholdning købt mod indiske IP-adresser, er inden for anvendelsesområdet. Denne ekstraterritoriale rækkevidde er utvetydig i loven og er blevet bekræftet i tidlig DPBI-vejledning.
Terminologikløften
DPDPA bruger sit eget ordforråd, som adskiller sig fra GDPR og fra de fleste nyere asiatiske rammer. En dataforvalter er det, som GDPR kalder en dataansvarlig. En databehandler svarer nøjagtigt til GDPR's databehandler. En dataprincipal er den registrerede. En betydelig dataforvalter er en dataansvarlig over størrelses- eller følsomhedstærskler notificeret af centralregeringen. Udenlandske udgivere, der møder DPDPA for første gang, kortlægger ofte disse begreber forkert; at få kortlægningen rigtig tidligt sparer forvirring senere.
Hvad tæller som personoplysninger
DPDPA's definition af personoplysninger er bred og følger nøje international praksis. Personoplysninger er alle data om en person, der kan identificeres ved eller i forbindelse med sådanne data. DPBI har via tidlig vejledning angivet, at online-identifikatorer — cookies, annonce-id'er, IP-adresser, enhedsfingeraftryk og adfærdsprofiler — er personoplysninger, når de kan kædes til en identificerbar person direkte eller via rimelige midler.
Ingen følsom kategori, men regler om betydelige dataforvaltere
I modsætning til GDPR, LGPD og PIPA definerer DPDPA ikke formelt en kategori af følsomme personoplysninger. I stedet er loven afhængig af betegnelsen betydelig dataforvalter, som pålægger yderligere forpligtelser på dataansvarlige, der behandler data i stor skala, behandler børns data, behandler data, der kan påvirke valgintegriteten, eller behandler data, der kan påvirke den nationale sikkerhed. Nettoeffekten ligner GDPR's regler for følsomme kategorier for de største og mest følsomme databehandlere, men arkitekturen er anderledes.
Hvorfor dette har betydning for cookies
En cookie, der indsamler en rutinemæssig annonce-identifikator, er personoplysninger, men er ikke underlagt skærpede forpligtelser blot fordi den giver næring til et tilsyneladende følsomt målgruppesegment. Men en udgiver, der når tærsklen for betydelig dataforvalter — f.eks. en stor platform med titusindvis af millioner indiske brugere — påtager sig yderligere forpligtelser, herunder en obligatorisk databeskyttelsesrådgiver, periodiske revisioner og konsekvensanalyser vedrørende databeskyttelse. Størrelsesgrænserne blev notificeret i 2025; de fleste globale platforme er nu inden for anvendelsesområdet.
Samtykke under DPDPA
DPDPA placerer samtykke i centrum af sin ramme, men definerer det med et særskilt sæt krav, der ikke svarer én til én til GDPR-samtykke.
Standarden for gyldigt samtykke
Samtykke under DPDPA skal være:
- Frit — ikke betinget af levering af en tjeneste, brugeren ellers er berettiget til, og ikke tvunget
- Specifikt — knyttet til et klart identificeret formål, ikke et generelt paraplysamtykke
- Informeret — dataprincipalen forstår, hvilke data der behandles og til hvilket formål
- Ubetinget — samtykket er ikke knyttet til irrelevante betingelser
- Utvetydigt — udtrykt via en klar bekræftende handling, ikke udledt af tavshed eller passivitet
Kravet om specificeret meddelelse
DPDPA kræver en meddelelse ved eller før samtykkepunktet, der beskriver de personoplysninger, der skal behandles, formålet med behandlingen, den måde, hvorpå en dataprincipal kan udøve rettigheder, og den måde, hvorpå dataprincipalen kan klage til Rådet. Meddelelsen skal være tilgængelig på engelsk og på et af Indiens 22 planlagte sprog, som dataprincipalen anmoder om.
Samtykkechefsarkitekturen
Det er her, DPDPA afviger skarpest fra andre rammer. Loven etablerer en licenseret rolle kaldet samtykkechef — en tredjeparts enhed registreret hos DPBI, der leverer et interoperabelt samtykkedashboard, der giver dataprincipaler mulighed for at give, gennemgå, administrere og trække samtykker tilbage hos flere dataforvaltere fra en enkelt grænseflade. Samtykkechefer skal være registreret hos Rådet og skal opfylde tekniske interoperabilitetspecifikationer. I praksis kan dataforvaltere indhente samtykke enten direkte via deres eget CMP eller via en registreret samtykkechef, og i mange tilfælde vælger dataprincipaler at centralisere deres samtykke via en samtykkechef frem for at administrere hvert websteds banner separat.
Hvordan et kompatibelt CMP ser ud
Et CMP konfigureret til indisk trafik i 2026 bør præsentere:
- Et synligt banner, inden en ikke-nødvendig cookie eller tracker udløses, med handlinger for Acceptér, Afvis og Tilpas med samme visuelle fremtræden
- Tilgængelighed på engelsk og på brugerens foretrukne planlagte sprog, hvor det anmodes om
- Granulære samtykketoggle pr. formål, herunder analyse, annoncering, personalisering og grænseoverskridende overførsel
- Et klart link til den fulde specificerede meddelelse, herunder rettigheder og DPBI-klagekanalen
- En vedvarende, let tilgængelig mekanisme til at trække samtykke tilbage, der er lige så nem som at give samtykke
- Teknisk interoperabilitet med registrerede samtykkechefer, så samtykkets status kan synkroniseres med dataprincipalens valgte samtykkechef
Samtykkeregistre
Dataforvaltere skal opretholde registre over samtykke, herunder hvem der har samtykket, hvornår, via hvilken grænseflade, til hvilket formål og eventuelle efterfølgende ændringer. DPBI har i adskillige af sine tidlige sager citeret utilstrækkelige samtykkelogfiler, og eksporterbare, tidsstemplede samtykkeregistre er minimumsforventningen.
Grænseoverskridende dataoverførsler
DPDPA's ramme for grænseoverskridende overførsler er et af de mest karakteristiske elementer i den indiske ordning og adskiller sig væsentligt fra mønsteret med tilstrækkelighed plus garantier, der bruges af GDPR, PIPA og den ændrede KVKK.
Notifikationsrammen
DPDPA opererer med en tilgang med negativliste: grænseoverskridende overførsler er generelt tilladt, medmindre destinationslandet optræder på en liste over begrænsede jurisdiktioner notificeret af centralregeringen. Det er det modsatte af GDPR's tilstrækkelighedsmodel, der behandler overførsler som forbudte i mangel af en positiv tilstrækkelighedsafgørelse eller garantier. DPDPA's tilgang er umiddelbart mere tilladelig, men negativlisten kan udvides efter regeringens skøn, og adskillige jurisdiktioner er blevet placeret på listen i løbet af 2025 for specifikke datakategorier.
Hvad dette betyder operationelt
For de fleste programmatiske reklamestøm i 2026 er svaret, at grænseoverskridende overførsler til store annoncetech-destinationer er tilladt, forudsat at destinationslandet ikke er på den begrænsede liste. Udgivere skal kontrollere den aktuelle notificerede liste, opbevare dokumentation for overførslen og dens formål og være forberedt på at omdirigere eller sætte flows på pause, hvis en destination tilføjes. Dette er mærkbart enklere end GDPR's overførselsmekanik for de fleste flows, men kravene om årvågenhed er reelle.
Sektorspecifik lokalisering
Adskilt fra DPDPA har adskillige indiske sektorielle tilsynsmyndigheder — herunder Indiens Nationalbank for finansielle data og Sundhedsministeriet for sundhedsdata — deres egne lokaliseringskrav, der ligger oven på DPDPA. En udgiver, der betjener indiske brugere i en af disse regulerede sektorer, skal overholde både DPDPA og de gældende sektorregler.
Dataprincipaler rettigheder
DPDPA giver dataprincipaler et velkendt, men lidt smallere cluster af rettigheder end GDPR:
- Ret til indsigt i de personoplysninger, der behandles, herunder kategorier og databehandlere
- Ret til berigtigelse, fuldstændighed og opdatering af personoplysninger
- Ret til sletning af personoplysninger, der ikke længere er nødvendige til det angivne formål
- Ret til at udpege en anden person til at udøve rettigheder på dataprincipalens vegne i tilfælde af død eller handleudygtighed
- Ret til klagebehandling via dataforvalteren
- Ret til at klage til Databeskyttelsesrådet, hvis klagebehandlingen er utilfredsstillende
Hvad der ikke er på rettighedslisten
DPDPA inkluderer navnlig ikke en selvstændig ret til dataportabilitet, en generel ret til at gøre indsigelse mod behandling eller en eksplicit ret mod automatiseret beslutningstagning — selvom ordningen for betydelige dataforvaltere og tilbagetræksmekanismen for samtykke indirekte dækker meget af det samme område.
Svartidsfrister
Dataforvaltere skal svare på dataprincipaler anmodninger inden for de frister, der er angivet i de notificerede regler — hvilket i de fleste tilfælde er inden for en rimelig periode, der ikke overstiger den angivne frist, idet DPBI behandler meningsfuld forsinkelse som manglende overholdelse. Klagebehandlingssystemet er det første skridt; kun uløste klager eskalerer til Rådet.
Betydelige dataforvaltere
Betegnelsen som betydelig dataforvalter (SDF) udløser yderligere forpligtelser ud over de grundlæggende DPDPA-krav.
De ekstra forpligtelser
- Udpegning af en databeskyttelsesrådgiver baseret i Indien
- Periodiske konsekvensanalyser vedrørende databeskyttelse for specificerede behandlingsaktiviteter
- Periodiske uafhængige revisioner
- Yderligere transparensforpligtelser om algoritmisk behandling
- Strengere underretning om brud og journalføring
Hvem kvalificerer
Størrelse, mængde af behandlede personoplysninger, datafølsomhed, risiko for dataprincipaler, potentiel indvirkning på valgdemokrati, sikkerhed og suverænitet samt potentiel indvirkning på den offentlige orden er alle faktorer. Centralregeringen notificerer SDF'er enten individuelt eller som klasse. De fleste store globale platforme, der betjener Indien, er i 2026 inden for notificerede klasser.
Børnedata
DPDPA definerer et barn som en person under 18 år — en højere grænse end GDPR's standard på 16 år og de forskellige lavere nationale grænser. Behandling af børns personoplysninger kræver verificerbart forældrenes samtykke, og sporing, målrettet reklame og adfærdsovervågning af børn er begrænset uanset samtykkestatus. Udgivere, hvis målgrupper omfatter væsentlig trafik fra under 18-årige, har brug for aldersbegrænsning, flows for forældrenes samtykke og begrænset behandling for mindreåriges segment — alt sammen kræver reelt ingeniørarbejde, som få udenlandske udgivere har fuldført som standard.
Sanktioner og håndhævelse
DPDPA introducerede en sanktionsordning, der er højere end historiske indiske administrative bøder og meningsfuldt skaleret til overtrædelsens alvorlighed.
Administrative sanktioner
DPDPA tillader sanktioner på op til 250 crore INR (ca. 30 millioner USD) pr. overtrædelse for de mest alvorlige brud. Sanktioner på lavere niveau gælder for svigt vedrørende samtykke, meddelelse, sikkerhed, underretning om brud og klagebehandling. DPBI har brugt midten af intervallet adskillige gange i 2025 og tidligt i 2026, og sanktionsstrukturen er designet til at eskalere med systematisk svigt.
DPBI's håndhævelsestemaer
Tidlige DPBI-afgørelser klynger sig om et lille sæt tilbagevendende problemer: samtykkebannere uden en ægte afslagsmulighed, meddelelser, der ikke beskriver DPBI-klagekanaler, grænseoverskridende flows til destinationer på den begrænsede liste, klagebehandlingssystemer, der faktisk ikke svarer, og fejl i samtykkechefsinteroperabilitet. Udenlandske udgivere er citeret i næsten alle disse kategorier.
Omdømmemæssig dimension
DPBI offentliggør sine afgørelser offentligt, herunder forvaltningens navn og en opsummering af svigtet. På et indisk marked, hvor regulatorisk friktion hurtigt omsættes til mediedækning og politisk opmærksomhed, er omdømmemæssige omkostninger ved en offentliggjort DPBI-afgørelse mærkbare ud over den økonomiske sanktion.
Revisionscheckliste for indisk trafik i 2026
- CMP-banner serveres med Acceptér, Afvis og Tilpas med samme visuelle fremtræden
- Meddelelse tilgængelig på engelsk og på dataprincipalens anmodede planlagte sprog, hvor det er relevant
- Meddelelse beskriver eksplicit DPBI-klagekanalen og dataprincipalens rettigheder
- Samtykkeformål er granulære med grænseoverskridende overførsel som et separat formål
- Teknisk interoperabilitet med mindst én registreret samtykkechef er på plads
- Tilbagetrækning af samtykke er lige så let som at give samtykke og udløser downstream sletnings- og aktiveringsfiltrering
- Dataprincipalens rettighedsworkflow — indsigt, berigtigelse, sletning, udpegning — er bemandet og dokumenteret
- Klagebehandlingskanalen er bemandet med sporede svartidsfrister
- Grænseoverskridende overførselsdestinationers gennemgås mod den aktuelle begrænsede liste og dokumenteres
- Forpligtelser for betydelige dataforvaltere — DPO, DPIA, revision — er på plads, hvis tærsklen er overskredet
- Aldersbevidst flow for under 18-årige med verificerbart forældrenes samtykke, hvor det er relevant
- Sektorspecifik lokalisering og behandlingsregler er dokumenteret og overholdt, hvis udgiveren opererer i en reguleret sektor
Udsigterne for 2026
Indiens privatlivsordning er gået fra lovgivningsmæssig abstraktion til operationel virkelighed i løbet af lidt over to år. DPDPA's arkitektur er karakteristisk — samtykkechefsøkosystemet er det mest synlige globale eksperiment med bærbart, interoperabelt samtykke, og negativlistetilgangen til overførsler er meningsfuldt anderledes end mønsteret med tilstrækkelighed plus garantier, der dominerer andre rammer. For udgivere, der allerede kører en GDPR-klassificeret samtykkepakke, er kløften til DPDPA-overholdelse operationel snarere end arkitektonisk: samtykkechefsinteroperabilitet, meddelelser på planlagte sprog, DPBI-klageoplysninger, tærsklen for under 18-årige og negativlisteoverførselskontrollen. Kløften kan lukkes på uger, hvis den prioriteres. Udgivere, der lukker den, inden DPBI ankommer til deres dør, vil ikke mærke overgangen. De, der venter, vil finde, at 2026 og 2027 er meningsfuldt dyrere end de foregående år.