Keihin DPDP-lakia sovelletaan

DPDP-laki sääntelee digitaalisten henkilötietojen käsittelyä Intian rajojen sisällä sekä Intian ulkopuolella tapahtuvaa käsittelyä, joka liittyy Intiassa oleville henkilöille tarjottaviin tavaroihin tai palveluihin. Käytännössä, jos verkkosivustosi on intialaisten käyttäjien saavutettavissa ja keräät sen kautta henkilötietoja – mukaan lukien evästeiden, SDK:iden, pikseleiden tai sormenjälkitunnistuksen avulla – lakia sovelletaan lähes varmasti toimintaasi.

Laki käyttää kahta keskeistä roolia: Data Fiduciary (vastaa suunnilleen GDPR:n rekisterinpitäjää) ja Data Processor. Pieni joukko suurimpia toimijoita voidaan nimetä Significant Data Fiduciary ‑asemaan, mikä laukaisee lisävelvoitteita, kuten tietosuojaa koskevien vaikutustenarviointien laatimisen ja Intiassa asuvan tietosuojavastaavan nimittämisen.

Miten DPDP-laki kohtelee evästeitä ja trackereita

Toisin kuin ePrivacy-direktiivi, DPDP-laki ei nosta evästeitä omaksi erityiseksi kategoriakseen. Sen sijaan se sääntelee kaikkea digitaalisten henkilötietojen käsittelyä. Tämä tarkoittaa, että evästeet, laitetunnisteet, IP-osoitteet, mainostunnisteet ja hajautetut (hashatut) sähköpostiosoitteet kuuluvat soveltamisalaan silloin, kun ne liittyvät suoraan tai välillisesti tunnistettavissa olevaan henkilöön.

Julkaisijoille tästä seuraa selkeä johtopäätös: jos sivustollasi oleva eväste tai tagi johtaa henkilötietojen keräämiseen tai jakamiseen, tarvitset siihen pätevän käsittelyperusteen. DPDP-lain mukaan tämä peruste on lähes aina suostumus, lukuun ottamatta lain määrittelemiä kapeita poikkeuksia niin sanotuille "legitimate uses" ‑tilanteille.

Miltä pätevä suostumus näyttää

DPDP-laki asettaa suostumukselle korkean vaatimustason. Suostumuksen on oltava vapaaehtoinen, yksilöity, tietoon perustuva, ehdoton ja yksiselitteinen, ja se on annettava selkeällä myönteisellä toimella. Esivalitut valintaruudut, jatketusta selailusta päätelty suostumus ja "cookie wall" ‑ratkaisut, joissa pääsy sisältöön ehdollistetaan hyväksynnälle, eivät ole näiden vaatimusten mukaisia.

Kaksi DPDP-laille ominaista lisäsääntöä on erityisen tärkeää suostumuksen käyttöliittymän kannalta:

• Eritellyt tiedot: Ennen suostumusta tai sen antamisen yhteydessä käyttäjälle on annettava selkeä ilmoitus, jossa yksilöidään kerättävät tiedot, käsittelyn tarkoitukset sekä se, miten käyttäjä voi peruuttaa suostumuksensa tai tehdä valituksen Intian Data Protection Board ‑viranomaiselle.
• Selkokielisyys ja monikielisyys: Ilmoitusten on oltava saatavilla englanniksi ja millä tahansa Intian 22:sta virallisesta kielestä, jonka käyttäjä valitsee. CMP, joka ei pysty esittämään suostumussisältöä esimerkiksi hindiksi, tamiliksi, bengaliksi, maratiksi ja muilla suurilla kielillä, tulee vaikeuksiin vaatimusten noudattamisessa.

Lasten tiedot ja vanhempien suostumus

DPDP-laki katsoo kaikki alle 18‑vuotiaat lapsiksi ja edellyttää todennettavissa olevaa vanhemman suostumusta ennen heidän henkilötietojensa käsittelyä. Laki kieltää myös lapsiin kohdistuvan käyttäytymisen seurannan ja kohdennetun mainonnan. Kaikki sivustot, joihin Intiassa olevat alaikäiset voivat käytännössä päästä – mikä tarkoittaa lähes kaikkia sivustoja – tarvitsevat ikäraja- tai riskiperusteisen lähestymistavan ja kyvyn estää seurantaskriptit, jos vanhemman suostumusta ei ole.

Käyttäjien oikeudet, joita CMP:n on tuettava

Intian Data Principal ‑henkilöillä (käyttäjillä) on joukko oikeuksia, joiden on oltava käytettävissä suostumus- ja asetustasosi kautta:

• Oikeus saada pääsy yhteenvetoon heistä käsiteltävistä henkilötiedoista.
• Oikeus oikaisuun ja poistamiseen omien tietojensa osalta.
• Oikeus peruuttaa suostumus milloin tahansa yhtä helposti kuin se on annettu.
• Oikeus nimetä toinen henkilö käyttämään oikeuksia kuoleman tai toimintakyvyttömyyden varalta.
• Oikeus saada hyvitys ensin Data Fiduciary ‑toimijalta ja sen jälkeen Intian Data Protection Board ‑viranomaiselta.

Lainmukaisen CMP:n tulisi tarjota pysyvä linkki asetuksiin, tukea suostumuksen yhdellä napsautuksella tapahtuvaa peruuttamista ja kirjata suostumustapahtumat tavalla, joka voidaan esittää pyydettäessä tutkinnan yhteydessä.

Henkilötietojen siirrot rajojen yli

DPDP-laki käyttää kansainvälisissä siirroissa niin sanottua "negatiivista listaa": henkilötietoja voidaan siirtää Intian ulkopuolelle, ellei vastaanottajamaata ole erikseen rajoitettu Intian keskushallituksen toimesta. Tämä on sallivampi malli kuin GDPR:n riittävyyspäätöksiin perustuva järjestelmä, mutta sinun tulisi silti dokumentoida, mihin kolmansiin maihin intialaisten käyttäjien tietoja siirretään, ja seurata julkaistua rajoitusluetteloa.

Seuraamukset ja täytäntöönpano

DPDP-lain mukaiset taloudelliset seuraamukset ovat huomattavia. Data Protection Board voi määrätä jopa ₹250 crore (noin 30 miljoonaa Yhdysvaltain dollaria) suuruisia sakkoja, jos et toteuta kohtuullisia tietoturvatoimia, ja jopa ₹200 crore sakkoja lasten henkilötietoja koskevien velvoitteiden laiminlyönnistä. Suostumukseen liittyvät rikkomukset – mukaan lukien lainvastaisilla bannereilla kerätty suostumus – voivat johtaa jopa ₹50 crore:n sakkoihin rikkomusta kohden.

DPDP-vaatimusten mukaisen suostumuksen toteuttaminen CMP:ssäsi

1. Tunnista intialaiset käyttäjät maantieteellisesti ja ota heille käyttöön DPDP:lle räätälöity suostumuspohja sen sijaan, että käyttäisit uudelleen GDPR‑banneria. Vaadittu ilmoitussisältö ja kielivaihtoehdot ovat erilaisia.
2. Näytä ilmoitukset useilla Intian kielillä. Vähintään hindiksi ja englanniksi, ja lisää alueellisia kieliä liikenteesi jakautumisen perusteella.
3. Estä kaikki ei‑välttämättömät trackerit oletuksena. Lataa mainonta-, analytiikka- ja kolmannen osapuolen SDK:t vasta nimenomaisen suostumuksen jälkeen.
4. Erota käsittelytarkoitukset selkeästi. Älä niputa mainontaa, analytiikkaa ja personointia yhdeksi "hyväksy"‑toiminnoksi, jos käyttäjä voi kohtuudella haluta antaa suostumuksen joihinkin mutta ei kaikkiin.
5. Kirjaa suostumus- ja peruutustapahtumat aikaleimojen, näytetyn ilmoitusversion ja käyttäjän kielivalinnan kanssa, jotta voit osoittaa vaatimustenmukaisuuden viranomaistutkinnan yhteydessä.
6. Tarjoa näkyvä asetusten linkki jokaisella sivulla, jotta käyttäjät voivat tarkastella, päivittää tai peruuttaa suostumuksensa milloin tahansa.

DPDP vs. GDPR: käytännön erot

• Ei "legitimate interests" ‑perustetta. DPDP-laki ei tunnusta oikeutettua etua yleisenä käsittelyperusteena samaan tapaan kuin GDPR. Suostumuksen merkitys korostuu, joten käyttöliittymäsuunnittelulla on suurempi painoarvo.
• Tiukemmat säännöt lapsista. Digitaalisen suostumuksen ikäraja on 18 vuotta, ei 13 tai 16, ja alaikäisiin kohdistettu kohdennettu mainonta on nimenomaisesti kielletty.
• Monikielinen ilmoitusvaatimus on DPDP-laille ainutlaatuinen, eikä sitä voi täyttää pelkästään englanninkielisellä bannerilla.
• Significant Data Fiduciary ‑velvoitteet luovat korkean riskin toimijoille toisen vaatimustenmukaisuustason, jolle ei ole suoraa vastinetta GDPR:ssä.

Yhteenveto

DPDP-laki tuo Intian osaksi modernia globaalia tietosuojakenttää omaleimaisella tavalla – suostumukseen nojaavana, monikielisyyden huomioivana ja poikkeuksellisen vahvasti alaikäisiä suojelevana. Julkaisijoilla ja alustoilla, joilla on jo GDPR‑tasoinen CMP, on etumatkaa, mutta heidän on silti mukautettava bannerien sisältöä, kielitukea, ikään liittyviä käytäntöjä ja lokitusta DPDP-vaatimusten täyttämiseksi. Intian kohteleminen "vain yhtenä GDPR‑alueena" on nopein tie päätyä Data Protection Board ‑viranomaisen tarkasteltavaksi.