DPDPA:n rakenne vuonna 2026

DPDPA on erillinen tietosuojalaki, joka eroaa Intian alakohtaisista pankkitoiminnan, televiestinnän ja terveydenhuollon laeista. Sen käyttöönotto oli tarkoituksellisesti vaiheistettu niin, että suostumuksenhallintatyökaluekosysteemi, DPBI ja rajat ylittävien siirtojen järjestelmä voisivat kukin tulla käyttöön järjestyksessä.

Hyväksyminen vuonna 2023 ja käyttöönotto 2024–2025

DPDPA läpäisi parlamentin elokuussa 2023 ja sai pian presidentin vahvistuksen. Elektroniikka- ja tietotekniikkaministeriö (MeitY) kuuli täytäntöönpanosäännöistä vuonna 2024, ja lopulliset säännöt ilmoitettiin vuoden 2025 aikana useissa erissä: ensin suostumuksenhallintatyökalun rekisteröintikehys, sitten rekisteröityjen oikeuksien menettelyt, sitten rajat ylittävien siirtojen ilmoitukset ja lopuksi merkittävän tietofiduciaarisen kynnysarvot. Vuoden 2026 alussa koko kehys oli voimassa.

Ketä säännellään

DPDPA:ta sovelletaan Intiassa olevien henkilöiden digitaalisten henkilötietojen käsittelyyn. Sitä sovelletaan myös alueellisesti, kun käsittely liittyy tavaroiden tai palveluiden tarjoamiseen intialaisille rekisteröidyille. Yhdysvalloissa toimiva julkaisija, joka palvelee intialaisia käyttäjiä lokalisoidun sivuston, intialaisten kieliversioiden tai intialaisia IP-osoitteita vastaan ostetun ohjelmallisen varaston kautta, kuuluu soveltamisalaan. Tämä alueellinen ulottuvuus on yksiselitteinen laissa, ja DPBI:n varhainen ohjeistus on vahvistanut sen.

Terminologinen kuilu

DPDPA käyttää omaa sanastoaan, joka eroaa GDPR:stä ja useimmista uudemmista aasialaisista kehyksistä. Tietofidusiaari on se, mitä GDPR kutsuu rekisterinpitäjäksi. Tietojenkäsittelijä vastaa suoraan GDPR:n käsittelijää. Tietojen päähenkilö on rekisteröity. Merkittävä tietofidusiaari on rekisterinpitäjä, joka ylittää keskushallituksen ilmoittamat koko- tai herkkyyskynnysarvot. Ulkomaiset julkaisijat, jotka kohtaavat DPDPA:n ensimmäistä kertaa, tekevät usein virheellisiä vastaavuuksia näissä termeissä; oikean vastaavuuden saaminen varhain säästää myöhemmältä sekaannukselta.

Mitä lasketaan henkilötiedoiksi

DPDPA:n henkilötietojen määritelmä on laaja ja seuraa tiiviisti kansainvälistä käytäntöä. Henkilötiedot ovat mitä tahansa tietoja henkilöstä, joka on tunnistettavissa tai tunnistettavissa tällaisten tietojen perusteella tai niihin liittyen. DPBI on varhaisen ohjeistuksen kautta ilmaissut, että verkkotunnisteet — evästeet, mainostunnisteet, IP-osoitteet, laitteen sormenjäljet ja käyttäytymisprofiilit — ovat henkilötietoja, kun ne voidaan liittää tunnistettavaan henkilöön suoraan tai kohtuullisin keinoin.

Ei arkaluonteista kategoriaa, mutta merkittävän tietofidusiaarin säännöt

Toisin kuin GDPR, LGPD ja PIPA, DPDPA ei muodollisesti määrittele arkaluonteisten henkilötietojen kategoriaa. Sen sijaan laki nojaa merkittävän tietofidusiaarin nimeämiseen, joka asettaa lisävelvollisuuksia rekisterinpitäjille, jotka käsittelevät tietoja laajasti, käsittelevät lasten tietoja, käsittelevät tietoja, jotka voivat vaikuttaa vaali-eheytteen, tai käsittelevät tietoja, jotka voivat vaikuttaa kansalliseen turvallisuuteen. Lopputulos muistuttaa GDPR:n arkaluonteisten kategorioiden sääntöjä suurimmille ja herkimmille käsittelijöille, mutta arkkitehtuuri on erilainen.

Miksi tämä on tärkeää evästeiden kannalta

Eväste, joka kerää tavallisen mainostunnisteen, on henkilötieto, mutta se ei ole korotettujen velvollisuuksien alainen vain siksi, että se syöttää herkkää vaikuttavaa yleisösegmenttiä. Mutta julkaisija, joka saavuttaa merkittävän tietofidusiaarin kynnyksen — esimerkiksi suuri alusta, jolla on kymmeniä miljoonia intialaisia käyttäjiä — ottaa lisävelvollisuuksia, mukaan lukien pakollinen tietosuojavastaava, säännölliset tarkastukset ja tietosuojavaikutuksen arvioinnit. Kokokynnysarvot ilmoitettiin vuonna 2025; useimmat globaalit alustat kuuluvat nyt soveltamisalaan.

Suostumus DPDPA:n mukaan

DPDPA asettaa suostumuksen kehyksensä keskipisteeksi, mutta määrittelee sen erillisellä vaatimusjoukolla, joka ei vastaa yksi yhteen GDPR:n suostumusta.

Pätevän suostumuksen standardi

Suostumuksen DPDPA:n mukaan on oltava:

• Vapaa — ei ehdollinen sellaisen palvelun tarjoamiselle, johon käyttäjällä muutoin on oikeus, eikä pakotettu
• Erityinen — sidottu selkeästi yksilöityyn tarkoitukseen, ei yleiseen kattavaan suostumukseen
• Tietoinen — rekisteröity ymmärtää, mitä tietoja käsitellään ja mihin tarkoitukseen
• Ehdoton — suostumus ei ole sidottu epäolennaisiin ehtoihin
• Yksiselitteinen — ilmaistu selkeällä myönteisellä toimella, ei pääteltynä hiljaisuudesta tai toimimattomuudesta

Eritelty ilmoitusvaatimus

DPDPA edellyttää ilmoitusta suostumuksen antamisen yhteydessä tai ennen sitä, joka kuvaa käsiteltäviä henkilötietoja, käsittelyn tarkoitusta, tapaa, jolla rekisteröity voi käyttää oikeuksiaan, ja tapaa, jolla rekisteröity voi tehdä valituksen lautakunnalle. Ilmoituksen on oltava saatavilla englanniksi ja missä tahansa rekisteröidyn pyytämistä 22 Intian ajoitetusta kielestä.

Suostumuksenhallintatyökalun arkkitehtuuri

Tässä DPDPA eroaa terävimmin muista kehyksistä. Laki perustaa lisensoidun roolin nimeltä suostumuksenhallintatyökalu — DPBI:hen rekisteröitynyt kolmannen osapuolen taho, joka tarjoaa yhteentoimivan suostumusnäyttötaulun, jonka avulla rekisteröidyt voivat myöntää, tarkastella, hallita ja peruuttaa suostumuksia useilta tietofidusiaareista yhdestä käyttöliittymästä. Suostumuksenhallintatyökalujen on oltava lautakunnan rekisteröimiä ja täytettävä tekniset yhteentoimivuusvaatimukset. Käytännössä tietofidusiarit voivat hankkia suostumuksen joko suoraan omalla CMP:llään tai rekisteröidyn suostumuksenhallintatyökalun kautta, ja monissa tapauksissa rekisteröidyt valitsevat suostumuksensa keskittämisen suostumuksenhallintatyökalun kautta sen sijaan, että hallitsisivat jokaisen sivuston banneria erikseen.

Miltä vaatimustenmukainen CMP näyttää

CMP, joka on konfiguroitu intialaiselle liikenteelle vuonna 2026, tulisi esittää:

• Näkyvä banneri ennen kuin mikään ei-välttämätön eväste tai seuranta käynnistyy, Hyväksy-, Hylkää- ja Mukauta-toiminnoilla yhtä suurella visuaalisella näkyvyydellä
• Saatavuus englanniksi ja käyttäjän toivomalla ajoitetulla kielellä pyydettäessä
• Eritellyt suostumuksen vaihtajat tarkoituksittain, mukaan lukien analytiikka, mainonta, personointi ja rajat ylittävä siirto
• Selkeä linkki koko eriteltyyn ilmoitukseen, mukaan lukien oikeudet ja DPBI:n valituskanava
• Pysyvä, helposti löydettävä mekanismi suostumuksen peruuttamiseksi, joka on yhtä helppoa kuin suostumuksen antaminen
• Tekninen yhteentoimivuus rekisteröityjen suostumuksenhallintatyökalujen kanssa, jotta suostumuksen tila voidaan synkronoida rekisteröidyn valitseman suostumuksenhallintatyökalun kanssa

Suostumustietueet

Tietofidusiarien on ylläpidettävä suostumustietueita, mukaan lukien kuka suostui, milloin, minkä käyttöliittymän kautta, mihin tarkoitukseen ja mahdolliset myöhemmät muutokset. DPBI on viitannut puutteellisiin suostumustiedostoihin useissa varhaisissa menettelyissään, ja vietävissä olevat, aikaleimatut suostumustietueet ovat perusodotus.

Rajat ylittävät tiedonsiirrot

DPDPA:n rajat ylittävien siirtojen kehys on yksi Intian järjestelmän erottuvimmista elementeistä ja eroaa merkittävästi GDPR:n, PIPA:n ja muutetun KVKK:n käyttämästä riittävyys-plus-suojatoimet-mallista.

Ilmoituskehys

DPDPA toimii negatiivisen luettelon lähestymistavalla: rajat ylittävät siirrot ovat yleisesti sallittuja, ellei kohdemaa esiinny keskushallituksen ilmoittamassa rajoitettujen tuomioistuinten luettelossa. Tämä on GDPR:n riittävyysmallin vastakohta, joka käsittelee siirtoja kiellettyinä ilman positiivista riittävyyspäätöstä tai suojatoimia. DPDPA:n lähestymistapa on luonteeltaan sallivampi, mutta negatiivista luetteloa voidaan laajentaa hallituksen harkinnalla, ja useita tuomioistuimia on lisätty luetteloon vuoden 2025 aikana tietyille datakategorioille.

Mitä tämä tarkoittaa operatiivisesti

Useimmille ohjelmallisille mainosvirroille vuonna 2026 vastaus on, että rajat ylittävät siirrot tärkeimpiin mainosteknologiakohteisiin ovat sallittuja, jos kohdemaata ei ole rajoitetussa luettelossa. Julkaisijoiden on tarkistettava nykyinen ilmoitettu luettelo, ylläpidettävä dokumentaatiota siirrosta ja sen tarkoituksesta, ja oltava valmiita ohjaamaan tai keskeyttämään virrat, jos kohde lisätään. Tämä on useimmille virroille merkittävästi yksinkertaisempaa kuin GDPR:n siirtomekaniikka, mutta valppausvaatimus on todellinen.

Alakohtainen lokalisointi

Erillään DPDPA:sta useilla intialaisilla alakohtaisilla sääntelyviranomaisilla — mukaan lukien Intian keskuspankilla rahoitustietojen osalta ja terveysministeriöllä terveystietojen osalta — on omat lokalisointivaatimuksensa, jotka istuvat DPDPA:n päälle. Julkaisijan, joka palvelee intialaisia käyttäjiä jollakin näistä säännellyistä aloista, on noudatettava sekä DPDPA:ta että sovellettavia alakohtaisia sääntöjä.

Rekisteröityjen oikeudet

DPDPA myöntää rekisteröidyille tutun, mutta hieman suppeamman oikeuksien kokonaisuuden kuin GDPR:

• Oikeus saada pääsy käsiteltyihin henkilötietoihin, mukaan lukien kategoriat ja käsittelijät
• Oikeus henkilötietojen oikaisemiseen, täydentämiseen ja päivittämiseen
• Oikeus henkilötietojen poistamiseen, kun ne eivät enää ole välttämättömiä ilmoitetulle tarkoitukselle
• Oikeus nimetä toinen henkilö käyttämään oikeuksia rekisteröidyn puolesta kuoleman tai työkyvyttömyyden tapauksessa
• Oikeus kantelujen käsittelyyn tietofidusiaarilla
• Oikeus valittaa tietosuojalautakunnalle, jos kantelujen käsittely on tyydyttämätöntä

Mitä ei ole oikeusluettelossa

Merkittävästi DPDPA ei sisällä itsenäistä siirrettävyysoikeutta, yleistä vastustusoikeutta käsittelyä kohtaan tai nimenomaista oikeutta automatisoitua päätöksentekoa vastaan — vaikka merkittävän tietofidusiaarin järjestelmä ja suostumuksen peruuttamismekanismi kattavat epäsuorasti suuren osan samasta alueesta.

Vastausajat

Tietofidusiarien on vastattava rekisteröityjen pyyntöihin ilmoitetuissa säännöissä määritetyissä aikarajoissa — mikä useimmissa tapauksissa tarkoittaa kohtuullista aikaa, joka ei ylitä määritettyä ikkunaa, ja DPBI käsittelee merkittävää viivästymistä vaatimustenmukaisuuden epäonnistumisena. Kantelujen käsittelyjärjestelmä on ensimmäinen askel; vain ratkaisemattomat kantelut eskalataan lautakunnalle.

Merkittävät tietofidusiarit

Merkittävän tietofidusiaarin (SDF) nimeäminen käynnistää lisävelvollisuudet DPDPA:n perusvaatimusten lisäksi.

Lisävelvollisuudet

• Intiassa sijaitsevan tietosuojavastaavan nimittäminen
• Säännölliset tietosuojavaikutuksen arvioinnit määritetyille käsittelytoiminnoille
• Säännölliset riippumattomat tarkastukset
• Lisäläpinäkyvyysvelvollisuudet algoritmisesta käsittelystä
• Tiukempi tietomurtoilmoitus ja tietojen säilyttäminen

Kuka täyttää vaatimukset

Koko, käsiteltyjen henkilötietojen määrä, tietojen arkaluonteisuus, riski rekisteröidyille, mahdollinen vaikutus vaalidemokratiaan, turvallisuuteen ja suvereniteettiin sekä mahdollinen vaikutus yleiseen järjestykseen ovat kaikki tekijöitä. Keskushallitus ilmoittaa SDF:t joko yksilöllisesti tai luokittain. Useimmat suuret globaalit alustat, jotka palvelevat Intiaa, kuuluvat ilmoitettuihin luokkiin vuonna 2026.

Lasten tiedot

DPDPA määrittelee lapseksi minkä tahansa alle 18-vuotiaan henkilön — korkeampi kynnys kuin GDPR:n oletusarvoinen 16 ja erilaiset alhaisemmat kansalliset kynnykset. Lasten henkilötietojen käsittely edellyttää todennettavissa olevaa vanhempien suostumusta, ja lasten seuranta, kohdennettu mainonta ja käyttäytymisseuranta ovat rajoitettuja suostumustilasta riippumatta. Julkaisijoilla, joiden yleisöihin kuuluu merkittävää alle 18-vuotiaiden liikennettä, on oltava ikätarkistus, vanhempien suostumuksen työnkulut ja rajoitettu käsittely alaikäisten segmentille — kaikki vaativat todellista teknistä työtä, jota useimmat ulkomaiset julkaisijat eivät ole oletusarvoisesti suorittaneet.

Sakot ja täytäntöönpano

DPDPA otti käyttöön sakkojärjestelmän, joka oli korkeampi kuin historialliset intialaiset hallinnolliset sakot ja merkittävästi skaalattu rikkomuksen vakavuuden mukaan.

Hallinnolliset sakot

DPDPA sallii sakot jopa 250 crore INR (noin 30 miljoonaa USD) rikkomuskohtaisesti vakavimmista rikkomuksista. Alemman tason sakot koskevat suostumus-, ilmoitus-, turvallisuus-, tietomurtoilmoitus- ja kantelujen käsittelyyn liittyviä epäonnistumisia. DPBI on käyttänyt alueen keskiarvoa useita kertoja vuonna 2025 ja vuoden 2026 alussa, ja sakkojärjestelmä on suunniteltu eskaloitumaan systemaattisen epäonnistumisen myötä.

DPBI:n täytäntöönpanon teemat

Varhaiset DPBI-päätökset keskittyvät pieneen joukkoon toistuvia ongelmia: suostumusbannereita ilman aitoa hylkää-vaihtoehtoa, ilmoituksia, jotka eivät kuvaa DPBI:n valituskanavia, rajat ylittäviä virtoja rajoitetussa luettelossa oleviin kohteisiin, kantelujen käsittelyjärjestelmiä, jotka eivät todellisuudessa vastaa, ja suostumuksenhallintatyökalun yhteentoimivuuden epäonnistumisia. Ulkomaisista julkaisijoista on annettu huomautuksia lähes kaikissa näissä kategorioissa.

Maineellinen ulottuvuus

DPBI julkaisee päätöksensä julkisesti, mukaan lukien fidusiaarin nimi ja tiivistelmä epäonnistumisesta. Intialaisilla markkinoilla, joissa sääntelyyn liittyvä kitka kääntyy nopeasti mediakattavuudeksi ja poliittiseksi huomioksi, julkaistun DPBI-päätöksen maineellinen kustannus on taloudellisen seuraamuksen lisäksi merkittävä.

Intialaisen liikenteen tarkastuksen tarkistuslista vuodelle 2026

• CMP-banneri tarjotaan Hyväksy-, Hylkää- ja Mukauta-vaihtoehdoilla yhtä suurella visuaalisella näkyvyydellä
• Ilmoitus on saatavilla englanniksi ja soveltuvin osin rekisteröidyn pyytämällä ajoitetulla kielellä
• Ilmoitus kuvaa nimenomaisesti DPBI:n valituskanavan ja rekisteröidyn oikeudet
• Suostumuksen tarkoitukset ovat eriteltyjä, ja rajat ylittävä siirto on erillinen tarkoitus
• Tekninen yhteentoimivuus vähintään yhden rekisteröidyn suostumuksenhallintatyökalun kanssa on käytössä
• Suostumuksen peruuttaminen on yhtä helppoa kuin suostumuksen antaminen ja käynnistää myöhemmin tapahtuvan poistamisen ja aktivoinnin suodatuksen
• Rekisteröidyn oikeuksien työnkulku — pääsy, oikaisu, poistaminen, nimeäminen — on miehitetty ja dokumentoitu
• Kantelujen käsittelykanava on miehitetty vastausaikojen seurannalla
• Rajat ylittävien siirtojen kohteet on tarkistettu nykyistä rajoitettua luetteloa vasten ja dokumentoitu
• Merkittävän tietofidusiaarin velvollisuudet — DPO, DPIA, tarkastus — ovat käytössä, jos kynnys ylitetään
• Ikätietoinen työnkulku alle 18-vuotiaille käyttäjille, todennettavissa olevalla vanhempien suostumuksella tarvittaessa
• Alakohtaiset lokalisointi- ja käsittelysäännöt on dokumentoitu ja niitä noudatetaan, jos julkaisija toimii säännellyllä alalla

Vuoden 2026 näkymät

Intian tietosuojajärjestelmä on siirtynyt lainsäädännöllisestä abstraktiosta toimintareaalisuudeksi hieman yli kahden vuoden aikana. DPDPA:n arkkitehtuuri on erityinen — suostumuksenhallintatyökaluekosysteemi on näkyvin globaali kokeilu kannettavasta, yhteentoimivasta suostumuksesta, ja negatiivisen luettelon siirtolähestymistapa eroaa merkittävästi riittävyys-plus-suojatoimet-mallista, joka hallitsee muita kehyksiä. Julkaisijoille, jotka jo käyttävät GDPR-tasoista suostumuspinoa, kuilu DPDPA-vaatimustenmukaisuuteen on operatiivinen eikä arkkitehtuurinen: suostumuksenhallintatyökalun yhteentoimivuus, ajoitetun kielen ilmoitukset, DPBI:n valitusilmoitukset, alle 18-vuotiaiden kynnys ja negatiivisen luettelon siirtotarkistus. Kuilu voidaan sulkea viikoissa, jos sille annetaan prioriteetti. Julkaisijat, jotka sulkevat sen ennen kuin DPBI saapuu heidän ovellensa, eivät huomaa siirtymää. Ne, jotka odottavat, löytävät vuodet 2026 ja 2027 merkittävästi kalliimmiksi kuin edelliset vuodet.