Σε Ποιους Εφαρμόζεται ο Νόμος DPDP

Ο Νόμος DPDP ρυθμίζει την επεξεργασία ψηφιακών προσωπικών δεδομένων εντός της Ινδίας, καθώς και την επεξεργασία εκτός Ινδίας που σχετίζεται με την προσφορά αγαθών ή υπηρεσιών σε άτομα στην Ινδία. Στην πράξη, αν ο ιστότοπός σας είναι προσβάσιμος σε Ινδούς χρήστες και συλλέγετε ��ροσωπικά δεδομένα μέσω αυτού — συμπεριλαμβανομένων μέσω cookies, SDKs, pixels ή fingerprinting — ο Νόμος σχεδόν σίγουρα σας αφορά.

Ο Νόμος χρησιμοποιεί δύο βασικούς ρόλους: τον Data Fiduciary (ισοδύναμο με τον υπεύθυνο επεξεργασίας στο GDPR) και τον Data Processor. Ένας μικρός αριθμός από τους μεγαλύτερους φορείς ενδέχεται να χαρακτηριστούν ως Significant Data Fiduciaries, γεγονός που ενεργοποιεί πρόσθετες υποχρεώσεις όπως Εκτιμήσεις Αντικτύπου Προστασίας Δεδομένων (Data Protection Impact Assessments) και τον διορισμό Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer) που κατοικεί στην Ινδία.

Πώς ο Νόμος DPDP Αντιμετωπίζει τα Cookies και τους Trackers

Σε αντίθεση με την Οδηγία ePrivacy, ο Νόμος DPDP δεν απομονώνει τα cookies ως ξεχωριστή κατηγορία. Αντίθετα, ρυθμίζει κάθε επεξεργασία ψηφιακών προσωπικών δεδομένων. Αυτό σημαίνει ότι cookies, αναγνωριστικά συσκευών, διευθύνσεις IP, διαφημιστικά IDs και hashed emails εμπίπτουν όλα στο πεδίο εφαρμογής όταν συνδέονται — άμεσα ή έμμεσα — με ένα ταυτοποιήσιμο πρόσωπο.

Η συνέπεια για τους εκδότες είναι απλή: αν ένα cookie ή ένα tag στον ιστότοπό σας οδηγεί στη συλλογή ή κοινοποίηση προσωπικών δεδομένων, χρειάζεστε έγκυρη νομική βάση. Σύμφωνα με τον Νόμο DPDP, αυτή η βάση είναι σχεδόν πάντα η συγκατάθεση, με ένα στενό σύνολο εξαιρέσεων για «νόμιμες χρήσεις» όπως ορίζονται στον Νόμο.

Πώς Μοιάζει η Έγκυρη Συγκατάθεση

Ο Νόμος DPDP θέτε�� υψηλό πήχη για τη συγκατάθεση. Πρέπει να είναι ελεύθερη, συγκεκριμένη, ενημερωμένη, χωρίς όρους και σαφής, και να εκφράζεται μέσω ξεκάθαρης θετικής ενέργειας. Προεπιλεγμένα τσεκαρισμένα κουτιά, τεκμαιρόμενη συγκατάθεση από τη συνέχιση της πλοήγησης και «cookie walls» που θέτουν ως προϋπόθεση την αποδοχή για πρόσβαση δεν είναι συμβατά με αυτές τις απαιτήσεις.

Δύο επιπλέον, ειδικοί για τον DPDP, κανόνες είναι κρίσιμοι για το UX συγκατάθεσης:

• Αναλυτική (itemised) ενημέρωση: Πριν ή κατά τη στιγμή της συγκατάθεσης, πρέπει να παρέχετε στον χρήστη σαφή ενημέρωση που να προσδιορίζει τα δεδομένα που συλλέγονται, τους σκοπούς της επεξεργασίας και τον τρόπο με τον οποίο ο χρήστης μπορεί να αποσύρει τη συγκατάθεση ή να υποβάλει κ��ταγγελία στο Data Protection Board of India.
• Απλή γλώσσα και πολυγλωσσική υποστήριξη: Οι ενημερώσεις πρέπει να είναι διαθέσιμες στα Αγγλικά και σε οποιαδήποτε από τις 22 αναγνωρισμένες (scheduled) γλώσσες της Ινδίας επιλέξει ο χρήστης. Ένα CMP που δεν μπορεί να εμφανίσει περιεχόμενο συγκατάθεσης σε Χίντι, Ταμίλ, Μπενγκάλι, Μαράθι και άλλες μεγάλες γλώσσες θα δυσκολευτεί να συμμορφωθεί.

Δεδομένα Παιδιών και Γονική Συγκατάθεση

Ο Νόμος DPDP θεωρεί κάθε άτομο κάτω των 18 ετών ως παιδί και απαιτεί επαληθεύσιμη γονική συγκατάθεση πριν από την επεξεργασία των προσωπικών του δεδομένων. Απαγορεύει επίσης τη συμπεριφορική παρακολούθηση και τη στοχευμένη διαφήμιση που απευθύνεται σε παιδιά. Κάθε ιστότοπος που είναι προσβάσιμος σε ανηλίκους στην Ινδία — κάτι που στην πράξη σημαίνει σχεδόν κάθε ιστότοπο — χρειάζεται στρατηγική age-gating ή στρατηγική βασισμένη στον κίνδυνο και πρέπει να μπορεί να μπλοκάρει scripts παρακολούθησης όταν η γονική συγκατάθεση απουσιάζει.

Δικαιώματα Χρηστών που Πρέπει να Υποστηρίζει το CMP σας

Οι Data Principals (χρήστες) στην Ινδία έχουν ένα σύνολο δικαιωμάτων που πρέπει να μπορούν να ασκηθούν μέσω του επιπέδου συγκατάθεσης και προτιμήσεών σας:

• Δικαίωμα πρόσβασης σε σύνοψη των προσωπικών τους δεδομένων που υποβάλλονται σε επεξεργασία.
• Δικαίωμα διόρθωσης και διαγραφής των δεδομένων τους.
• Δικαίωμα ανάκλησης της συγκατάθεσης ανά πάσα στιγμή, με την ίδια ευκολία με την οποία δόθηκε.
• Δικαίωμα ορισμού εκπροσώπου άλλου προσώπου που θα ασκήσει δικαιώματα σε περίπτωση θανάτου ή ανικανότητας.
• Δικαίωμα προσφυγής/υποβολής παραπόνων, αρχικά στον Data Fiduciary και στη συνέχεια στο Data Protection Board of India.

Ένα συμμορφωμένο CMP θα πρέπει να παρέχει έναν μόνιμο σύνδεσμο προτιμήσεων, να υποστηρίζει ανάκληση συγκατάθεσης με ένα κλικ και να καταγράφει τα γεγονότα συγκατάθεσης με τρόπο που να μπορεί να παρουσιαστεί κατόπιν αιτήματος κατά τη διάρκεια έρευνας.

Διασυνοριακές Διαβιβάσεις Δεδομένων

Ο Νόμος DPDP υιοθετεί μια προσέγγιση «αρνητικής λίστας» για τις διεθνείς διαβιβάσεις: τα προσωπικά δεδομένα μπορούν να διαβιβάζονται εκτός Ινδίας εκτός αν η χώρα προορισμού έχει ρητά περιοριστεί από την Κεντρική Κυβέρνηση. Αυτό είναι πιο επιτρεπτικό από το καθεστώς επάρκειας του GDPR, αλλά θα πρέπει παρ’ όλα αυτά να τεκμηριώνετε σε ποιες τρίτες χώρες διαβιβάζονται δεδομένα Ινδών χρηστών και να παρακολουθείτε τη δημοσιευμένη λίστα περιορισμών.

Κυρώσεις και Επιβολή

Τα χρηματικά πρόστιμα βάσει του Νόμου DPDP είναι σημαντικά. Το Data Protection Board μπορεί να επιβάλει πρόστιμα έως και ₹250 crore (περίπου 30 εκατομμύρια δολάρια ΗΠΑ) για αποτυχία λήψης εύλογων μέτρων ασφαλείας και έως ₹200 crore για αποτυχία εκπλήρωσης υποχρεώσεων σε σχέση με παιδιά. Παραβάσεις που σχετίζονται με συγκατάθεση — συμπεριλαμβανομένης της συλλογής συγκατάθεσης μέσω μη συμμορφωμένων banners — υπόκεινται σε πρόστιμα έως και ₹50 crore ανά παράβαση.

Υλοποίηση Συγκατάθεσης Συμβατής με τον DPDP στο CMP σας

1. Εντοπίστε γεωγραφικά τους Ινδούς χρήστες και εφαρμόστε ένα πρότυπο συγκατάθεσης ειδικό για τον DPDP αντί να επαναχρησιμοποιήσετε ένα banner GDPR. Το απαιτούμενο περιεχόμενο ενημέρωσης και οι γλωσσικές επιλογές διαφέρουν.
2. Εμφανίστε ενημερώσεις σε πολλές ινδικές γλώσσες. Τουλάχιστον, υποστηρίξτε Χίντι και Αγγλικά και προσθέστε περιφερειακές γλώσσες με βάση την κατανομή της επισκεψιμότητάς σας.
3. Μπλοκάρετε εξ ορισμού όλους τους μη απολύτως απαραίτητους trackers. Φορτώστε διαφημιστικά, analytics και τρίτα SDKs μόνο μετά από ρητή συγκατάθεση.
4. Διαχωρίστε ξεκάθαρα τους σκοπούς. Μην ομαδοποιείτε διαφήμιση, analytics και εξατομίκευση σε μία μόνο ενέργεια ��αποδοχής» αν ένας χρήστης θα μπορούσε εύλογα να θέλει να συναινέσει σε κάποιους αλλά όχι σε άλλους.
5. Καταγράψτε τα γεγονότα συγκατάθεσης και ανάκλησης με χρονικές σφραγίδες, την ακριβή έκδοση της ενημέρωσης που εμφανίστηκε και τη γλωσσική επιλογή του χρήστη, ώστε να μπορείτε να αποδείξετε συμμόρφωση κατά τη διάρκεια ρυθμιστικών ελέγχων.
6. Παρέχετε ορατό σύνδεσμο προτιμήσεων σε κάθε σελίδα που επιτρέπει στους χρήστες να επανεξετάζουν, να ενημερώνουν ή να ανακαλούν τη συγκατάθεσή τους ανά πάσα στιγμή.

DPDP vs. GDPR: Πρακτικές Διαφορές

• Χωρίς βάση «έννομου συμφέροντος». Ο Νόμος DPDP δεν αναγνωρίζει τα έννομα συμφέροντα ως γενική νομική βάση με τον τρόπο που το κάνει το GDPR. Η συγκατάθεση έχει μεγαλύτερη βαρύτητα, επομένως ο σχεδιασμός UX είναι πιο κρίσιμος.
• Πιο αυστηροί κανόνες για τα παιδιά. Η ηλικία ψηφιακής συγκατάθεσης είναι τα 18, όχι τα 13 ή 16, και η στοχευμένη διαφήμιση προς ανηλίκους απαγορεύεται ρητά.
• Η απαίτηση πολυγλωσσικής ενημέρωσης είναι μοναδική για τον Νόμο DPDP και δεν μπορεί να ικανοποιηθεί με banner μόνο στα Αγγλικά.
• Οι υποχρεώσεις των Significant Data Fiduciary δημιουργούν μια δεύτερη βαθμίδα συμμόρφωσης για φορείς υψηλού κινδύνου, η οποία δεν έχει άμεσο ανάλογο στο GDPR.

Συμπέρασμα

Ο Νόμος DPDP εντάσσει την Ινδία στο σύγχρονο παγκόσμιο τοπίο προστασίας δεδομένων με τη δική του ιδιαίτερη «γεύση» — προσανατολισμένος πρωτίστως στη συγκατάθεση, πολυγλωσσικός εκ σχεδια��μού και με ασυνήθιστα υψηλή προστασία για τους ανηλίκους. Οι εκδότες και οι πλατφόρμες που ήδη λειτουργούν ένα CMP επιπέδου GDPR έχουν ένα προβάδισμα, αλλά θα χρειαστεί παρ’ όλα αυτά να προσαρμόσουν το περιεχόμενο των banners, την υποστήριξη γλωσσών, τον χειρισμό ηλικίας και την καταγραφή για να ανταποκριθούν στις απαιτήσεις του DPDP. Το να αντιμετωπίσετε την Ινδία ως «απλώς άλλη μία δικαιοδοσία GDPR» είναι ο πιο γρήγορος δρόμος για να βρεθείτε ενώπιον του Data Protection Board.