अनुपालन8 मई, 2026 | FlexyConsent

भारत का DPDP अधिनियम 2026 में: प्रकाशकों और विज्ञापनदाताओं के लिए सहमति प्रबंधकों, सीमा पार हस्तांतरण और डेटा संरक्षण बोर्ड पर मार्गदर्शिका

भारत का डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम (DPDPA, 2023) अगस्त 2023 में अधिनियमित हुआ और फिर 2024 और 2025 का अधिकांश समय एक धीमी, चरणबद्ध शुरूआत में बिताया जिसने कई विदेशी प्रकाशकों को प्रतीक्षा की स्थिति में रखा। वह अवधि समाप्त हो गई है। DPDP नियमों को 2025 के दौरान पूरी तरह से अधिसूचित किया गया था, भारत का डेटा संरक्षण बोर्ड (DPBI) अब परिचालन में है और शिकायतों पर सुनवाई कर रहा है, और सहमति प्रबंधक का ढाँचा — वैश्विक गोपनीयता कानून में भारत का विशिष्ट वास्तुकला संबंधी योगदान — उत्पादन में लाइव है। 2026 में भारतीय उपयोगकर्ताओं के व्यक्तिगत डेटा को संसाधित करने वाले किसी भी प्रकाशक, विज्ञापनदाता या प्लेटफ़ॉर्म के लिए, DPDPA अब भविष्य की चिंता नहीं है। यह वर्तमान अनुपालन आधार रेखा है, और यह GDPR से उन तरीकों से अलग है जो CMP, सीमा पार प्रवाह और डेटा विषय अधिकारों को कैसे इंजीनियर किया जाता है, इसके लिए महत्वपूर्ण हैं। यह मार्गदर्शिका DPDPA को उसके शुरू किए गए रूप में, भारतीय सहमति को वास्तव में क्या चाहिए, सहमति प्रबंधक पारिस्थितिकी तंत्र CMP परिदृश्य को कैसे बदलता है, और DPBI की 2026 प्रवर्तन मुद्रा व्यवहार में कैसी दिखती है, इसका वर्णन करती है।

2026 में DPDPA की संरचना

DPDPA एक स्वतंत्र डेटा संरक्षण क़ानून है, जो बैंकिंग, दूरसंचार और स्वास्थ्य पर भारत के क्षेत्र-विशिष्ट कानूनों से अलग है। इसकी शुरूआत जानबूझकर चरणबद्ध की गई थी ताकि सहमति प्रबंधक पारिस्थितिकी तंत्र, DPBI और सीमा पार हस्तांतरण व्यवस्था प्रत्येक क्रम में ऑनलाइन आ सके।

2023 का पारित होना और 2024-2025 की शुरूआत

DPDPA अगस्त 2023 में संसद से पारित हुआ और उसके तुरंत बाद राष्ट्रपति की सहमति प्राप्त हुई। इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY) ने 2024 में कार्यान्वयन नियमों पर परामर्श किया, और अंतिम नियम 2025 में कई किस्तों में अधिसूचित किए गए: पहले सहमति प्रबंधक पंजीकरण ढाँचा, फिर डेटा विषय अधिकार प्रक्रियाएँ, फिर सीमा पार हस्तांतरण अधिसूचनाएँ, फिर महत्वपूर्ण डेटा प्रत्ययी सीमाएँ। 2026 की शुरुआत तक पूरा ढाँचा प्रभावी हो गया था।

किसे विनियमित किया जाता है

DPDPA भारत के भीतर व्यक्तियों के डिजिटल व्यक्तिगत डेटा के प्रसंस्करण पर लागू होता है। यह तब भी बाह्य-क्षेत्रीय रूप से लागू होता है जब प्रसंस्करण भारत में डेटा प्रधानाचार्यों को वस्तुओं या सेवाओं की पेशकश के संबंध में होता है। एक अमेरिकी आधारित प्रकाशक जो स्थानीयकृत साइट, हिंदी भाषा संस्करण, या भारतीय आईपी पतों के विरुद्ध खरीदी गई प्रोग्रामेटिक इन्वेंटरी के माध्यम से भारतीय उपयोगकर्ताओं की सेवा करता है, वह दायरे में है। यह बाह्य-क्षेत्रीय पहुँच क़ानून में स्पष्ट है और प्रारंभिक DPBI मार्गदर्शन में इसे मजबूत किया गया है।

शब्दावली अंतर

DPDPA अपनी स्वयं की शब्दावली का उपयोग करता है, जो GDPR और अधिकांश नए एशियाई ढाँचों से अलग है। एक डेटा प्रत्ययी वह है जिसे GDPR एक नियंत्रक कहता है। एक डेटा प्रोसेसर GDPR के प्रोसेसर से स्वच्छ रूप से मेल खाता है। एक डेटा प्रधानाचार्य डेटा विषय है। एक महत्वपूर्ण डेटा प्रत्ययी केंद्र सरकार द्वारा अधिसूचित आकार या संवेदनशीलता सीमाओं से ऊपर एक नियंत्रक है। विदेशी प्रकाशक जो पहली बार DPDPA का सामना करते हैं, वे अक्सर इन शर्तों को गलत तरीके से मैप करते हैं; शुरुआत में मैपिंग सही करना बाद में भ्रम से बचाता है।

व्यक्तिगत डेटा के रूप में क्या गिना जाता है

DPDPA की व्यक्तिगत डेटा परिभाषा व्यापक है और अंतर्राष्ट्रीय अभ्यास का बारीकी से अनुसरण करती है। व्यक्तिगत डेटा किसी ऐसे व्यक्ति के बारे में कोई भी डेटा है जो ऐसे डेटा द्वारा या उसके संबंध में पहचाना जा सकता है। DPBI ने प्रारंभिक मार्गदर्शन के माध्यम से संकेत दिया है कि ऑनलाइन पहचानकर्ता — कुकीज़, विज्ञापन आईडी, आईपी पते, डिवाइस फिंगरप्रिंट और व्यवहार प्रोफाइल — व्यक्तिगत डेटा हैं जब उन्हें सीधे या उचित साधनों के माध्यम से किसी पहचान योग्य व्यक्ति से जोड़ा जा सके।

कोई संवेदनशील श्रेणी नहीं, लेकिन महत्वपूर्ण डेटा प्रत्ययी नियम

GDPR, LGPD और PIPA के विपरीत, DPDPA औपचारिक रूप से संवेदनशील व्यक्तिगत डेटा की एक श्रेणी को परिभाषित नहीं करता है। इसके बजाय, अधिनियम महत्वपूर्ण डेटा प्रत्ययी पदनाम पर निर्भर करता है, जो उन नियंत्रकों पर अतिरिक्त दायित्व लागू करता है जो बड़े पैमाने पर डेटा संसाधित करते हैं, बच्चों के डेटा को संसाधित करते हैं, ऐसे डेटा को संसाधित करते हैं जो चुनावी अखंडता को प्रभावित कर सकते हैं, या ऐसे डेटा को संसाधित करते हैं जो राष्ट्रीय सुरक्षा को प्रभावित कर सकते हैं। शुद्ध परिणाम सबसे बड़े और सबसे संवेदनशील प्रोसेसर के लिए GDPR संवेदनशील-श्रेणी नियमों के समान है, लेकिन वास्तुकला अलग है।

यह कुकीज़ के लिए क्यों महत्वपूर्ण है

एक नियमित विज्ञापन पहचानकर्ता एकत्र करने वाली कुकी व्यक्तिगत डेटा है लेकिन केवल इसलिए बढ़े हुए दायित्वों के अधीन नहीं है क्योंकि यह संवेदनशील दिखने वाले दर्शक खंड को फ़ीड करती है। लेकिन एक प्रकाशक जो महत्वपूर्ण डेटा प्रत्ययी सीमा तक पहुँचता है — उदाहरण के लिए करोड़ों भारतीय उपयोगकर्ताओं वाला एक बड़ा प्लेटफ़ॉर्म — अनिवार्य डेटा संरक्षण अधिकारी, आवधिक ऑडिट और डेटा संरक्षण प्रभाव आकलन सहित अतिरिक्त दायित्व उठाता है। आकार की सीमाएँ 2025 में अधिसूचित की गईं; अधिकांश वैश्विक प्लेटफ़ॉर्म अब दायरे में हैं।

DPDPA के अंतर्गत सहमति

DPDPA सहमति को अपने ढाँचे के केंद्र में रखता है लेकिन इसे आवश्यकताओं के एक विशिष्ट समूह के साथ परिभाषित करता है जो GDPR सहमति के साथ एक-से-एक मेल नहीं खातीं।

मान्य सहमति मानक

DPDPA के अंतर्गत सहमति होनी चाहिए:

मदवार नोटिस आवश्यकता

DPDPA सहमति के बिंदु पर या उससे पहले एक नोटिस की आवश्यकता करता है जो संसाधित किए जाने वाले व्यक्तिगत डेटा का वर्णन करता है, प्रसंस्करण का उद्देश्य, वह तरीका जिससे डेटा प्रधानाचार्य अधिकारों का प्रयोग कर सकता है, और वह तरीका जिससे डेटा प्रधानाचार्य बोर्ड में शिकायत कर सकता है। नोटिस अंग्रेजी में और भारत की 22 अनुसूचित भाषाओं में से किसी में भी उपलब्ध होना चाहिए जो डेटा प्रधानाचार्य अनुरोध करता है।

सहमति प्रबंधक वास्तुकला

यहाँ DPDPA अन्य ढाँचों से सबसे तेजी से अलग होता है। अधिनियम सहमति प्रबंधक नामक एक लाइसेंस प्राप्त भूमिका स्थापित करता है — DPBI के साथ पंजीकृत एक तृतीय-पक्ष इकाई जो एक इंटरऑपरेबल सहमति डैशबोर्ड प्रदान करती है जो डेटा प्रधानाचार्यों को एक एकल इंटरफ़ेस से कई डेटा प्रत्ययियों में सहमति देने, समीक्षा करने, प्रबंधित करने और वापस लेने की अनुमति देता है। सहमति प्रबंधकों को बोर्ड के साथ पंजीकृत होना चाहिए और तकनीकी इंटरऑपरेबिलिटी विनिर्देशों को पूरा करना होगा। व्यवहार में, डेटा प्रत्ययी अपने स्वयं के CMP के माध्यम से या पंजीकृत सहमति प्रबंधक के माध्यम से सहमति प्राप्त कर सकते हैं, और कई मामलों में डेटा प्रधानाचार्य प्रत्येक साइट के बैनर को अलग-अलग प्रबंधित करने के बजाय सहमति प्रबंधक के माध्यम से अपनी सहमति को केंद्रीकृत करना चुन रहे हैं।

अनुपालन करने वाला CMP कैसा दिखता है

2026 में भारतीय ट्रैफ़िक के लिए कॉन्फ़िगर किया गया CMP प्रस्तुत करना चाहिए:

सहमति रिकॉर्ड

डेटा प्रत्ययियों को सहमति के रिकॉर्ड बनाए रखने होंगे, जिसमें किसने सहमति दी, कब, किस इंटरफ़ेस के माध्यम से, किस उद्देश्य के लिए और कोई भी बाद के बदलाव शामिल हैं। DPBI ने अपनी कई प्रारंभिक कार्यवाहियों में अपर्याप्त सहमति लॉग का हवाला दिया है, और निर्यात योग्य, टाइमस्टैम्प वाले सहमति रिकॉर्ड आधारभूत अपेक्षा हैं।

सीमा पार डेटा हस्तांतरण

DPDPA का सीमा पार हस्तांतरण ढाँचा भारतीय व्यवस्था के सबसे विशिष्ट तत्वों में से एक है और GDPR, PIPA और संशोधित KVKK द्वारा उपयोग किए जाने वाले पर्याप्तता-प्लस-सुरक्षा उपाय पैटर्न से सार्थक रूप से अलग है।

अधिसूचना ढाँचा

DPDPA एक नकारात्मक सूची दृष्टिकोण पर काम करता है: सीमा पार हस्तांतरण आमतौर पर अनुमत हैं जब तक कि गंतव्य देश केंद्र सरकार द्वारा अधिसूचित प्रतिबंधित क्षेत्राधिकारों की सूची पर नहीं दिखाई देता। यह GDPR पर्याप्तता मॉडल का उलटा है, जो हस्तांतरण को सकारात्मक पर्याप्तता निर्णय या सुरक्षा उपायों के अभाव में प्रतिबंधित मानता है। DPDPA का दृष्टिकोण सतह पर अधिक अनुमत है, लेकिन नकारात्मक सूची सरकार के विवेकाधिकार पर विस्तृत हो सकती है, और 2025 के दौरान विशिष्ट डेटा श्रेणियों के लिए कई क्षेत्राधिकार सूची में जोड़े गए हैं।

यह परिचालन रूप से क्या मतलब रखता है

2026 में अधिकांश प्रोग्रामेटिक विज्ञापन प्रवाह के लिए, उत्तर यह है कि प्रमुख एड-टेक गंतव्यों में सीमा पार हस्तांतरण की अनुमति है बशर्ते गंतव्य देश प्रतिबंधित सूची पर न हो। प्रकाशकों को वर्तमान अधिसूचित सूची जाँचनी होगी, हस्तांतरण और उसके उद्देश्य का दस्तावेज़ीकरण बनाए रखना होगा, और यदि कोई गंतव्य जोड़ा जाता है तो प्रवाहों को पुनः-रूट या रोकने के लिए तैयार रहना होगा। यह अधिकांश प्रवाह के लिए GDPR हस्तांतरण यांत्रिकी की तुलना में सार्थक रूप से सरल है, लेकिन सतर्कता की आवश्यकता वास्तविक है।

क्षेत्र-विशिष्ट स्थानीयकरण

DPDPA से अलग, कई भारतीय क्षेत्रीय नियामकों — वित्तीय डेटा के लिए भारतीय रिज़र्व बैंक और स्वास्थ्य डेटा के लिए स्वास्थ्य मंत्रालय सहित — के अपने स्थानीयकरण आवश्यकताएँ हैं जो DPDPA के ऊपर बैठती हैं। इन विनियमित क्षेत्रों में से किसी एक में भारतीय उपयोगकर्ताओं की सेवा करने वाले प्रकाशक को DPDPA और लागू क्षेत्रीय नियमों दोनों का अनुपालन करना होगा।

डेटा प्रधानाचार्य अधिकार

DPDPA डेटा प्रधानाचार्यों को GDPR की तुलना में एक परिचित लेकिन थोड़े संकरे अधिकार समूह प्रदान करता है:

अधिकार सूची में क्या नहीं है

उल्लेखनीय रूप से, DPDPA में पोर्टेबिलिटी का कोई स्वतंत्र अधिकार, प्रसंस्करण पर आपत्ति का कोई सामान्य अधिकार, या स्वचालित निर्णय-निर्माण के विरुद्ध कोई स्पष्ट अधिकार शामिल नहीं है — हालाँकि महत्वपूर्ण-डेटा-प्रत्ययी व्यवस्था और सहमति-वापसी तंत्र अप्रत्यक्ष रूप से बहुत कुछ उसी क्षेत्र को कवर करता है।

प्रतिक्रिया समयसीमा

डेटा प्रत्ययियों को अधिसूचित नियमों में निर्दिष्ट समयसीमाओं के भीतर डेटा प्रधानाचार्य अनुरोधों का जवाब देना होगा — जो अधिकांश मामलों में निर्दिष्ट विंडो से अधिक न होने वाली उचित अवधि के भीतर है, DPBI महत्वपूर्ण देरी को अनुपालन विफलता के रूप में मान रहा है। शिकायत निवारण प्रणाली पहला कदम है; केवल अनसुलझी शिकायतें बोर्ड तक पहुँचती हैं।

महत्वपूर्ण डेटा प्रत्ययी

महत्वपूर्ण डेटा प्रत्ययी (SDF) पदनाम DPDPA आधारभूत आवश्यकताओं से परे अतिरिक्त दायित्वों को सक्रिय करता है।

अतिरिक्त दायित्व

कौन योग्य है

आकार, संसाधित व्यक्तिगत डेटा की मात्रा, डेटा की संवेदनशीलता, डेटा प्रधानाचार्यों को जोखिम, चुनावी लोकतंत्र, सुरक्षा और संप्रभुता पर संभावित प्रभाव, और सार्वजनिक व्यवस्था पर संभावित प्रभाव सभी कारक हैं। केंद्र सरकार SDF को व्यक्तिगत रूप से या वर्ग द्वारा अधिसूचित करती है। भारत की सेवा करने वाले अधिकांश बड़े वैश्विक प्लेटफ़ॉर्म 2026 में अधिसूचित वर्गों में हैं।

बच्चों का डेटा

DPDPA एक बच्चे को 18 वर्ष से कम आयु के किसी भी व्यक्ति के रूप में परिभाषित करता है — GDPR के 16 के डिफ़ॉल्ट और विभिन्न निम्न राष्ट्रीय सीमाओं से अधिक सीमा। बच्चों के व्यक्तिगत डेटा को संसाधित करने के लिए सत्यापन योग्य माता-पिता की सहमति आवश्यक है, और सहमति की स्थिति की परवाह किए बिना बच्चों की ट्रैकिंग, लक्षित विज्ञापन और व्यवहार निगरानी प्रतिबंधित हैं। जिन प्रकाशकों के दर्शकों में महत्वपूर्ण 18 वर्ष से कम आयु का ट्रैफ़िक शामिल है, उन्हें आयु-सत्यापन, माता-पिता की सहमति प्रवाह और अल्पसंख्यक खंड के लिए प्रतिबंधित प्रसंस्करण की आवश्यकता है — यह सब वास्तविक इंजीनियरिंग कार्य की आवश्यकता है जो कुछ विदेशी प्रकाशकों ने डिफ़ॉल्ट रूप से पूरा किया है।

दंड और प्रवर्तन

DPDPA ने एक दंड व्यवस्था पेश की जो ऐतिहासिक भारतीय प्रशासनिक जुर्माने से अधिक थी और उल्लंघन की गंभीरता के लिए सार्थक रूप से मापित थी।

प्रशासनिक दंड

DPDPA सबसे गंभीर उल्लंघनों के लिए प्रति उल्लंघन 250 करोड़ INR (लगभग 3 करोड़ USD) तक के दंड की अनुमति देता है। निम्न-स्तरीय दंड सहमति, नोटिस, सुरक्षा, उल्लंघन अधिसूचना और शिकायत निवारण के आसपास विफलताओं पर लागू होते हैं। DPBI ने 2025 में और 2026 की शुरुआत में कई बार सीमा के बीच का उपयोग किया है, और दंड संरचना को व्यवस्थित विफलता के साथ बढ़ने के लिए डिज़ाइन किया गया है।

DPBI के प्रवर्तन विषय

प्रारंभिक DPBI निर्णय आवर्ती मुद्दों के एक छोटे समूह के इर्द-गिर्द केंद्रित हैं: वास्तविक अस्वीकार विकल्प के बिना सहमति बैनर, नोटिस जो DPBI शिकायत चैनलों का वर्णन नहीं करते, प्रतिबंधित सूची पर गंतव्यों तक सीमा पार प्रवाह, शिकायत निवारण प्रणालियाँ जो वास्तव में प्रतिक्रिया नहीं देतीं, और सहमति प्रबंधक इंटरऑपरेबिलिटी विफलताएँ। विदेशी प्रकाशकों को लगभग इन सभी श्रेणियों में उद्धृत किया गया है।

प्रतिष्ठा आयाम

DPBI अपने निर्णयों को सार्वजनिक रूप से प्रकाशित करता है, जिसमें प्रत्ययी का नाम और विफलता का सारांश शामिल है। एक भारतीय बाजार में जहाँ नियामक घर्षण जल्दी से मीडिया कवरेज और राजनीतिक ध्यान में तब्दील होता है, प्रकाशित DPBI निर्णय की प्रतिष्ठा लागत वित्तीय दंड के ऊपर सार्थक है।

2026 में भारतीय ट्रैफ़िक के लिए ऑडिट चेकलिस्ट

2026 दृष्टिकोण

भारत की गोपनीयता व्यवस्था थोड़े से दो साल से अधिक समय में विधायी अमूर्तता से परिचालन वास्तविकता में चली गई है। DPDPA की वास्तुकला विशिष्ट है — सहमति प्रबंधक पारिस्थितिकी तंत्र पोर्टेबल, इंटरऑपरेबल सहमति में सबसे दृश्यमान वैश्विक प्रयोग है, और नकारात्मक-सूची हस्तांतरण दृष्टिकोण अन्य ढाँचों पर हावी होने वाले पर्याप्तता-प्लस-सुरक्षा उपाय पैटर्न से सार्थक रूप से अलग है। प्रकाशकों के लिए जो पहले से ही GDPR-ग्रेड सहमति स्टैक चला रहे हैं, DPDPA अनुपालन का अंतर वास्तुकला के बजाय परिचालन है: सहमति प्रबंधक इंटरऑपरेबिलिटी, अनुसूचित-भाषा नोटिस, DPBI शिकायत प्रकटीकरण, 18 वर्ष से कम आयु सीमा और नकारात्मक-सूची हस्तांतरण जाँच। DPBI दरवाजे पर आने से पहले इसे बंद करने वाले प्रकाशक संक्रमण नोटिस नहीं करेंगे। जो प्रतीक्षा करते हैं वे 2026 और 2027 को पहले के वर्षों की तुलना में सार्थक रूप से अधिक महंगा पाएंगे।

← ब्लaderegistrdelays delays सभी पढ़ें →