חוק DPDP של הודו ב-2026: המדריך למפרסמים ולמפרסמות בנושא מנהלי הסכמה, העברות חוצות גבולות ומועצת הגנת הנתונים
חוק הגנת המידע האישי הדיגיטלי של הודו (DPDPA, 2023) נחקק באוגוסט 2023, ולאחר מכן בילה את רוב 2024 ו-2025 בהשקה הדרגתית ואיטית שהשאירה מפרסמים זרים רבים במצב המתנה. אותו תקופה הסתיימה. תקנות DPDP הותקנו במלואן במהלך 2025, מועצת הגנת הנתונים של הודו (DPBI) פועלת כעת ומטפלת בתלונות, ומסגרת מנהל ההסכמה — התרומה האדריכלית הייחודית של הודו לדיני הפרטיות העולמיים — פעילה בייצור. עבור כל מפרסם, מפרסמת או פלטפורמה שמעבדת מידע אישי של משתמשים הודים ב-2026, DPDPA אינו עוד דאגה עתידית. זוהי קו הבסיס הנוכחי לציות, והוא שונה מה-GDPR בדרכים שחשובות לאופן שבו מנוהנים CMP, זרימות חוצות גבולות וזכויות נושאי נתונים. מדריך זה עובר על DPDPA בצורתו המוטמעת, מה שדרוש ממנו ההסכמה ההודית, כיצד מערכת מנהלי ההסכמה משנה את נוף ה-CMP, וכיצד נראית עמדת האכיפה של DPBI ב-2026 בפועל.
מבנה DPDPA ב-2026
DPDPA הוא חוק הגנת נתונים עצמאי, הנבדל מחוקי הסקטורים של הודו בבנקאות, תקשורת ובריאות. הפריסה שלו היתה מכוונת בשלבים כדי שמערכת מנהלי ההסכמה, ה-DPBI ומשטר ההעברות חוצות הגבולות יוכלו כל אחד להיכנס לפעולה בסדר.
ההתקבלות של 2023 והפריסה של 2024-2025
DPDPA עבר בפרלמנט באוגוסט 2023 וקיבל אישור נשיאותי זמן קצר לאחר מכן. משרד האלקטרוניקה וטכנולוגיית המידע (MeitY) התייעץ על כללי היישום ב-2024, והכללים הסופיים הותקנו לאורך 2025 בכמה פעימות: תחילה מסגרת רישום מנהל ההסכמה, לאחר מכן נהלי זכויות נושאי נתונים, לאחר מכן הודעות העברות חוצות גבולות, ולבסוף סף הנאמנים על הנתונים המשמעותיים. עם תחילת 2026 כל המסגרת היתה בתוקף.
מי מוסדר
DPDPA חל על עיבוד מידע אישי דיגיטלי של אנשים בתוך הודו. הוא חל גם בצורה חוץ-טריטוריאלית כאשר העיבוד קשור להצעת סחורות או שירותים לנושאי נתונים בהודו. מפרסם מבוסס ארה"ב שמשרת משתמשים הודים דרך אתר מותאם מקומי, גרסה בשפה הודית, או מלאי תכנותי שנרכש כנגד כתובות IP הודיות — נמצא בתחולה. ההישג החוץ-טריטוריאלי הזה ברור בחוק והתחזק בהנחיות המוקדמות של DPBI.
הפער המינוחי
DPDPA משתמש באוצר מילים משלו, השונה מה-GDPR ומרוב המסגרות האסיאתיות החדשות יותר. נאמן נתונים הוא מה שה-GDPR מכנה בקר. מעבד נתונים מתאים בדיוק למעבד של GDPR. עקרון נתונים הוא נושא הנתונים. נאמן נתונים משמעותי הוא בקר מעל סף גודל או רגישות שהממשלה המרכזית הודיעה עליו. מפרסמים זרים שנתקלים ב-DPDPA לראשונה עושים לרוב מיפוי שגוי של המונחים האלה; קבלת המיפוי הנכון מוקדם חוסכת בלבול מאוחר יותר.
מה נחשב למידע אישי
הגדרת המידע האישי של DPDPA רחבה ועוקבת מקרוב אחרי הפרקטיקה הבינלאומית. מידע אישי הוא כל נתון על יחיד שניתן לזהותו על ידי נתונים כאלה או בהקשרם. ה-DPBI הצהיר דרך הנחיות מוקדמות כי מזהים מקוונים — עוגיות, מזהי פרסום, כתובות IP, טביעות אצבע של מכשירים ופרופילים התנהגותיים — הם מידע אישי כאשר ניתן לקשרם לאדם מזוהה ישירות או באמצעים סבירים.
ללא קטגוריה רגישה, אבל כללים לנאמני נתונים משמעותיים
בניגוד ל-GDPR, LGPD וה-PIPA, ה-DPDPA אינו מגדיר רשמית קטגוריה של מידע אישי רגיש. במקום זאת, החוק נשען על ייעוד נאמן נתונים משמעותי, שמחיל חובות נוספות על בקרים שמעבדים נתונים בקנה מידה, מעבדים נתונים של ילדים, מעבדים נתונים שעשויים לפגוע בשלמות הבחירות, או מעבדים נתונים שעשויים לפגוע בביטחון הלאומי. התוצאה הנטו דומה לכללי קטגוריה רגישה של GDPR עבור המעבדים הגדולים והרגישים ביותר, אך הארכיטקטורה שונה.
מדוע זה חשוב לעוגיות
עוגייה שאוספת מזהה פרסום שגרתי היא מידע אישי אך אינה כפופה לחובות מוגברות רק משום שהיא מזינה פלח קהל שנראה רגיש. אך מפרסם שמגיע לסף נאמן נתונים משמעותי — למשל פלטפורמה גדולה עם עשרות מיליוני משתמשים הודים — לוקח על עצמו חובות נוספות כולל ממונה הגנת נתונים חובה, ביקורות תקופתיות, והערכות השפעה להגנת נתונים. ספי הגודל הותקנו ב-2025; רוב הפלטפורמות הגלובליות נמצאות כעת בתחולה.
הסכמה לפי DPDPA
DPDPA שם את ההסכמה במרכז מסגרתו אבל מגדיר אותה עם קבוצה ייחודית של דרישות שאינן ממפות אחד לאחד על הסכמת GDPR.
תקן ההסכמה התקפה
הסכמה לפי DPDPA חייבת להיות:
- חופשית — לא מותנית במתן שירות שהמשתמש זכאי לו ממילא, ולא כפויה
- ספציפית — קשורה למטרה מזוהה בבירור, לא הסכמה כוללת
- מושכלת — עקרון הנתונים מבין אילו נתונים מעובדים ולאיזו מטרה
- ללא תנאי — ההסכמה אינה קשורה לתנאים לא רלוונטיים
- חד-משמעית — מובעת דרך פעולה חיובית ברורה, לא מסיקה משתיקה או אי-פעולה
דרישת ההודעה המפורטת
DPDPA מחייב הודעה בנקודת ההסכמה או לפניה המתארת את המידע האישי שיעובד, מטרת העיבוד, האופן שבו עקרון הנתונים יכול לממש זכויות, והאופן שבו עקרון הנתונים יכול להגיש תלונה למועצה. ההודעה חייבת להיות זמינה באנגלית ובכל אחת מ-22 השפות המתוכנתות של הודו שעקרון הנתונים מבקש.
ארכיטקטורת מנהל ההסכמה
כאן DPDPA מתבדל הכי חדה ממסגרות אחרות. החוק מקים תפקיד מורשה הנקרא מנהל ההסכמה — גוף צד שלישי רשום אצל DPBI המספק לוח בקרה להסכמה שניתן לשיתוף פעולה המאפשר לנושאי נתונים להעניק, לסקור, לנהל ולבטל הסכמות עבור מספר נאמני נתונים מממשק אחד. מנהלי ההסכמה חייבים להיות רשומים אצל המועצה ולעמוד במפרטי יכולת פעולה הדדית טכנית. בפועל, נאמני נתונים יכולים לקבל הסכמה ישירות דרך ה-CMP שלהם או דרך מנהל הסכמה רשום, ובמקרים רבים נושאי נתונים בוחרים לרכז את הסכמתם דרך מנהל הסכמה במקום לנהל את הבאנר של כל אתר בנפרד.
כיצד נראה CMP תואם
CMP המוגדר לתנועה הודית ב-2026 צריך להציג:
- באנר גלוי לפני שכל עוגייה או גוחש לא חיוניים מופעלים, עם פעולות קבל, דחה והתאמה אישית בבולטות חזותית שווה
- זמינות באנגלית ובשפה המתוכנתת המועדפת של המשתמש כאשר מתבקש
- אפשרויות הסכמה מפורטות לפי מטרה, כולל ניתוח, פרסום, התאמה אישית והעברה חוצת גבולות
- קישור ברור להודעה המלאה והמפורטת כולל זכויות וערוץ התלונות של DPBI
- מנגנון קבוע וקל למציאה לביטול הסכמה שקל כמו מתן הסכמה
- יכולת פעולה הדדית טכנית עם מנהלי הסכמה רשומים כדי שמצב ההסכמה יוכל להסתנכרן עם מנהל ההסכמה שנבחר על ידי עקרון הנתונים
רישומי הסכמה
נאמני נתונים חייבים לשמור רישומי הסכמה, כולל מי הסכים, מתי, דרך איזה ממשק, לאיזו מטרה, ושינויים עוקבים כלשהם. ה-DPBI ציין רישומי הסכמה לא מספקים במספר הליכים מוקדמים שלו, ורישומי הסכמה ניתנים לייצוא עם חותמת זמן הם ציפיית הבסיס.
העברות נתונים חוצות גבולות
מסגרת ההעברה חוצת הגבולות של DPDPA היא אחד המרכיבים המייחדים ביותר של המשטר ההודי ושונה באופן משמעותי מדפוס ה"הולמות בתוספת ערבויות" שבו משתמשים GDPR, PIPA וה-KVKK המתוקן.
מסגרת ההודעה
DPDPA פועל על גישת רשימה שלילית: העברות חוצות גבולות מותרות בדרך כלל אלא אם מדינת היעד מופיעה ברשימת תחומי שיפוט מוגבלים שהממשלה המרכזית מודיעה עליהם. זה ההיפוך של מודל הלימות ה-GDPR, שמתייחס להעברות כאסורות בהיעדר החלטת הלימות חיובית או ערבויות. גישת DPDPA מתירנית יותר על פניה, אך הרשימה השלילית יכולה להתרחב לפי שיקול דעת הממשלה, ומספר תחומי שיפוט נוספו לרשימה ב-2025 לקטגוריות נתונים ספציפיות.
מה זה אומר מבחינה תפעולית
עבור רוב זרימות הפרסום התכנותי ב-2026, התשובה היא שהעברות חוצות גבולות ליעדי טכנולוגיית פרסום מרכזיים מותרות בתנאי שמדינת היעד אינה ברשימה המוגבלת. מפרסמים צריכים לבדוק את הרשימה המותקנת הנוכחית, לשמור תיעוד של ההעברה ומטרתה, ולהיות מוכנים לניתוב מחדש או השהיה של זרימות אם יעד נוסף. זה פשוט באופן משמעותי ממכניקת ההעברה של GDPR עבור רוב הזרימות, אך דרישת הערנות אמיתית.
לוקליזציה סקטוריאלית
בנפרד מ-DPDPA, לכמה רגולטורים סקטוריאליים הודים — כולל בנק הרזרב של הודו לנתוני פיננסים ומשרד הבריאות לנתוני בריאות — יש דרישות לוקליזציה משלהם היושבות על גבי ה-DPDPA. מפרסם המשרת משתמשים הודים באחד מהסקטורים המוסדרים הללו צריך לציית גם ל-DPDPA וגם לכללי הסקטור החלים.
זכויות עקרונות הנתונים
DPDPA מעניק לנושאי נתונים אשכול מוכר אך מעט צר יותר של זכויות מה-GDPR:
- זכות לגשת למידע אישי המעובד, כולל קטגוריות ומעבדים
- זכות לתיקון, השלמה ועדכון של מידע אישי
- זכות למחיקת מידע אישי שאינו עוד נחוץ למטרה המוצהרת
- זכות למינוי אדם אחר לממש זכויות בשמו של עקרון הנתונים במקרה של מוות או חוסר כשרות
- זכות לתיקון תלונה דרך נאמן הנתונים
- זכות להגיש תלונה למועצת הגנת הנתונים אם תיקון התלונה אינו מספק
מה לא נמצא ברשימת הזכויות
בצורה ראויה לציון, DPDPA אינו כולל זכות עצמאית לניידות, זכות כללית להתנגד לעיבוד, או זכות מפורשת נגד קבלת החלטות אוטומטית — אם כי משטר נאמני הנתונים המשמעותיים ומנגנון ביטול ההסכמה מכסים בעקיפין חלק גדול מאותו שטח.
לוחות זמנים לתגובה
נאמני נתונים חייבים להגיב לבקשות נושאי נתונים בתוך לוחות הזמנים המפורטים בתקנות המותקנות — שברוב המקרים הוא בתוך תקופה סבירה שאינה עולה על חלון הזמן המוגדר, כאשר DPBI מתייחס לעיכוב משמעותי ככשל ציות. מערכת תיקון התלונות היא הצעד הראשון; רק תלונות שלא נפתרו מועלות למועצה.
נאמני נתונים משמעותיים
ייעוד נאמן נתונים משמעותי (SDF) מפעיל חובות נוספות מעבר לדרישות הבסיס של DPDPA.
החובות הנוספות
- מינוי ממונה הגנת נתונים שממוקם בהודו
- הערכות השפעה תקופתיות להגנת נתונים לפעילויות עיבוד מסוימות
- ביקורות עצמאיות תקופתיות
- חובות שקיפות נוספות לגבי עיבוד אלגוריתמי
- הודעה על הפרות ושמירת רישומים מחמירה יותר
מי מוסמך
גודל, היקף מידע אישי מעובד, רגישות הנתונים, סיכון לנושאי נתונים, השפעה פוטנציאלית על דמוקרטיה בחירתית, ביטחון וריבונות, והשפעה פוטנציאלית על הסדר הציבורי — כולם גורמים. הממשלה המרכזית מודיעה על SDF כל אחד בנפרד או לפי קבוצה. רוב הפלטפורמות הגלובליות הגדולות שמשרתות את הודו נמצאות בתוך הקבוצות המותקנות ב-2026.
נתוני ילדים
DPDPA מגדיר ילד כל יחיד מתחת לגיל 18 — סף גבוה יותר מברירת המחדל של 16 של GDPR וסף לאומי נמוך יותר שונים. עיבוד מידע אישי של ילדים דורש הסכמת הורים שניתן לאמת, ומעקב, פרסום ממוקד, ומעקב התנהגותי של ילדים מוגבלים ללא קשר למצב ההסכמה. מפרסמים שהקהלים שלהם כוללים תנועה משמעותית מתחת לגיל 18 זקוקים לסינון גיל, זרימות הסכמת הורים, ועיבוד מוגבל לפלח הקטינים — כולם דורשים עבודת הנדסה אמיתית שמעט מפרסמים זרים השלימו כברירת מחדל.
עונשים ואכיפה
DPDPA הכניס משטר עונשים שהיה גבוה מקנסות מנהליים הודיים היסטוריים וממודד באופן משמעותי לחומרת ההפרה.
קנסות מנהליים
DPDPA מתיר קנסות של עד 250 קרור INR (כ-30 מיליון דולר ארה"ב) להפרה עבור ההפרות החמורות ביותר. קנסות ברמה נמוכה יותר חלים על כשלים בהסכמה, הודעה, אבטחה, הודעה על הפרות ותיקון תלונות. ה-DPBI השתמש באמצע הטווח מספר פעמים ב-2025 ובתחילת 2026, ומבנה הקנסות מתוכנן להסלים עם כשל שיטתי.
נושאי האכיפה של DPBI
ההחלטות המוקדמות של DPBI מתרכזות סביב קבוצה קטנה של בעיות חוזרות: באנרים להסכמה ללא אפשרות דחייה אמיתית, הודעות שאינן מתארות ערוצי תלונות DPBI, זרימות חוצות גבולות ליעדים שברשימה המוגבלת, מערכות תיקון תלונות שלא מגיבות בפועל, וכשלי יכולת פעולה הדדית של מנהלי הסכמה. מפרסמים זרים צוטטו בכמעט כל הקטגוריות הללו.
הממד המוניטין
ה-DPBI מפרסם את החלטותיו בפומבי, כולל שם הנאמן וסיכום הכשל. בשוק הודי שבו חיכוך רגולטורי מתורגם במהירות לסיקור תקשורתי ותשומת לב פוליטית, עלות המוניטין של החלטת DPBI שפורסמה משמעותית מעבר לקנס הכספי.
רשימת בדיקה לביקורת תנועה הודית ב-2026
- באנר CMP מוגש עם קבל, דחה והתאמה אישית בבולטות חזותית שווה
- ההודעה זמינה באנגלית ובשפה המתוכנתת המבוקשת של נושא הנתונים כאשר רלוונטי
- ההודעה מתארת במפורש ערוץ תלונות DPBI וזכויות נושא הנתונים
- מטרות ההסכמה מפורטות, עם העברה חוצת גבולות כמטרה נפרדת
- יכולת פעולה הדדית טכנית עם לפחות מנהל הסכמה רשום אחד קיימת
- ביטול הסכמה קל כמו מתן הסכמה, ומפעיל מחיקה במורד הזרם וסינון הפעלה
- זרימת עבודה של זכויות נושא הנתונים — גישה, תיקון, מחיקה, מינוי — מאוישת ומתועדת
- ערוץ תיקון תלונות מאויש עם לוחות זמנים למעקב אחר תגובות
- יעדי העברה חוצת גבולות נבדקים מול הרשימה המוגבלת הנוכחית ומתועדים
- חובות נאמן נתונים משמעותי — DPO, DPIA, ביקורת — קיימות אם הסף נחצה
- זרימה מודעת לגיל למשתמשים מתחת לגיל 18, עם הסכמת הורים שניתן לאמת במקום הרלוונטי
- כללי לוקליזציה ועיבוד סקטוריאליים מתועדים ומצייתים אם המפרסם פועל בסקטור מוסדר
תחזית 2026
משטר הפרטיות של הודו עבר מאבסטרקציה חקיקתית למציאות תפעולית בפרק זמן של קצת יותר משנתיים. ארכיטקטורת DPDPA ייחודית — מערכת מנהלי ההסכמה היא הניסוי הגלובלי הנראה ביותר בהסכמה ניידת וניתנת להפעלה הדדית, וגישת ההעברה ברשימה שלילית שונה באופן משמעותי מדפוס ה"הולמות בתוספת ערבויות" שדומיננטי במסגרות אחרות. עבור מפרסמים שמפעילים כבר מחסנית הסכמה ברמת GDPR, הפער לציות ל-DPDPA הוא תפעולי ולא ארכיטקטוני: יכולת פעולה הדדית של מנהלי הסכמה, הודעות בשפה מתוכנתת, גילויי תלונות DPBI, סף גיל 18, ובדיקת העברת רשימה שלילית. הפער ניתן לסגירה בשבועות אם יינתן לו עדיפות. מפרסמים שסוגרים אותו לפני שה-DPBI מגיע לדלתם לא ישימו לב למעבר. אלה שיחכו ימצאו ש-2026 ו-2027 יקרים באופן משמעותי יותר מהשנים שקדמו.