Usklađenost8. svi 2026. | FlexyConsent

Indijski DPDP zakon u 2026.: Vodič za izdavače i oglašivače o upraviteljima privole, prekograničnim prijenosima i Odboru za zaštitu podataka

Indijski Zakon o zaštiti digitalnih osobnih podataka (DPDPA, 2023) donesen je u kolovozu 2023., a zatim je proveo veći dio 2024. i 2025. u sporom, postupnom uvođenju koje je mnoge strane izdavače držalo u stanju čekanja. To je razdoblje završilo. DPDP pravila su u potpunosti notificirana tijekom 2025., Odbor za zaštitu podataka Indije (DPBI) je sada operativan i razmatra pritužbe, a okvir Upravitelja privole — Indijev poseban arhitektonski doprinos globalnom pravu privatnosti — je aktivan u produkciji. Za svakog izdavača, oglašivača ili platformu koja u 2026. obrađuje osobne podatke indijskih korisnika, DPDPA više nije buduća briga. To je trenutna osnova usklađenosti i razlikuje se od GDPR-a na načine koji su važni za to kako se projektiraju CMP-ovi, prekogranični tokovi i prava ispitanika. Ovaj vodič prolazi kroz DPDPA u njegovom uvođenom obliku, što indijska privola zapravo zahtijeva, kako ekosustav Upravitelja privole mijenja krajobraz CMP-a, i kako u praksi izgleda stav DPBI-ja o provedbi u 2026.

Struktura DPDPA u 2026.

DPDPA je samostalni zakon o zaštiti podataka, odvojen od indijskih sektorskih zakona o bankarstvu, telekomunikacijama i zdravlju. Njegovo uvođenje je namjerno bilo postupno kako bi ekosustav Upravitelja privole, DPBI i prekogranični sustav prijenosa mogli svaki redom doći na mrežu.

Donošenje 2023. i uvođenje 2024.-2025.

DPDPA je prošao Parlament u kolovozu 2023. i ubrzo dobio predsjednički pristanak. Ministarstvo elektrotehnike i informacijske tehnologije (MeitY) savjetovalo se o pravilima provedbe u 2024., a konačna pravila su notificirana tijekom 2025. u nekoliko tranši: prvo okvir registracije Upravitelja privole, zatim postupci prava ispitanika, zatim obavijesti o prekograničnim prijenosima, zatim pragovi značajnih podatkovnih fiducijara. Do početka 2026. cjelokupni okvir je bio na snazi.

Tko je reguliran

DPDPA se primjenjuje na obradu digitalnih osobnih podataka pojedinaca unutar Indije. Primjenjuje se i eksteritorijalno kada je obrada u vezi s ponudom roba ili usluga ispitanicima u Indiji. Američki izdavač koji poslužuje indijske korisnike kroz lokaliziranu stranicu, verziju na indijskom jeziku ili programatski inventar kupljen prema indijskim IP adresama, nalazi se u obuhvatu. Ovaj eksteritorijalni doseg nedvosmislen je u statutu i pojačan je u ranim smjernicama DPBI-ja.

Terminološki jaz

DPDPA koristi vlastiti rječnik koji se razlikuje od GDPR-a i većine novijih azijskih okvira. Podatkovni fiducijar je ono što GDPR naziva voditeljem obrade. Izvršitelj obrade podataka jasno odgovara GDPR-ovom izvršitelju obrade. Podatkovni nalogodavac je ispitanik. Značajni podatkovni fiducijar je voditelj obrade iznad pragova veličine ili osjetljivosti koje je objavila središnja vlada. Strani izdavači koji se po prvi put susreću s DPDPA-om često pogrešno mapiraju ove pojmove; ispravno mapiranje na početku štedi kasniju zabunu.

Što se računa kao osobni podaci

Definicija osobnih podataka DPDPA-a je široka i usko prati međunarodnu praksu. Osobni podaci su svi podaci o pojedincu koji je identifikabilan putem ili u vezi s takvim podacima. DPBI je kroz rane smjernice naznačio da su mrežni identifikatori — kolačići, ID-ovi oglašavanja, IP adrese, digitalni otisci uređaja i bihevioralni profili — osobni podaci kada se mogu povezati s identifikabilnim pojedincem izravno ili razumnim sredstvima.

Nema osjetljive kategorije, ali postoje pravila za značajne podatkovne fiducijare

Za razliku od GDPR-a, LGPD-a i PIPA-e, DPDPA ne definira formalno kategoriju osjetljivih osobnih podataka. Umjesto toga, Zakon se oslanja na oznaku značajnog podatkovnog fiducijara, koja primjenjuje dodatne obveze na voditelje obrade koji obrađuju podatke u velikom opsegu, obrađuju podatke djece, obrađuju podatke koji bi mogli utjecati na integritet izbora ili obrađuju podatke koji bi mogli utjecati na nacionalnu sigurnost. Neto rezultat sličan je pravilima GDPR-a o osjetljivim kategorijama za najveće i najosjetljivije izvršitelje obrade, ali arhitektura je drugačija.

Zašto je to važno za kolačiće

Kolačić koji prikuplja rutinski identifikator oglašavanja su osobni podaci, ali nije podložan pojačanim obvezama samo zato što napaja segment publike koji izgleda osjetljivo. Ali izdavač koji dosegne prag značajnog podatkovnog fiducijara — na primjer velika platforma s desecima milijuna indijskih korisnika — preuzima dodatne obveze uključujući obveznog Službenika za zaštitu podataka, periodične revizije i Procjene učinka na zaštitu podataka. Pragovi veličine notificirani su 2025.; većina globalnih platformi sada je u obuhvatu.

Privola prema DPDPA-u

DPDPA stavlja privolu u središte svog okvira, ali je definira s posebnim skupom zahtjeva koji se ne preslikavaju jedan na jedan na GDPR privolu.

Standard valjane privole

Privola prema DPDPA-u mora biti:

Slobodna — nije uvjetovana pružanjem usluge na koju korisnik inače ima pravo, i nije iznuđena
Specifična — vezana za jasno identificiranu svrhu, a ne opću privolu-kišobran
Informirana — podatkovni nalogodavac razumije koji se podaci obrađuju i u koje svrhe
Bezuvjetna — privola nije vezana uz nevažne uvjete
Nedvosmislena — izražena jasnom afirmativnom radnjom, nije zaključena iz šutnje ili neaktivnosti

Zahtjev za detaljnu obavijest

DPDPA zahtijeva obavijest u točki privole ili prije nje koja opisuje osobne podatke koji će se obrađivati, svrhu obrade, način na koji podatkovni nalogodavac može ostvariti prava i način na koji podatkovni nalogodavac može se pritužiti Odboru. Obavijest mora biti dostupna na engleskom i na bilo kojem od 22 zakazana jezika Indije koje podatkovni nalogodavac zatraži.

Arhitektura Upravitelja privole

Ovdje se DPDPA najoštrije razlikuje od ostalih okvira. Zakon uspostavlja licencirani ulog nazvan Upravitelj privole — subjekt treće strane registriran pri DPBI-ju koji pruža interoperabilnu nadzornu ploču privole koja omogućuje podatkovnim nalogodavcima da daju, pregledavaju, upravljaju i povlače privole kod više podatkovnih fiducijara iz jednog sučelja. Upravitelji privole moraju biti registrirani pri Odboru i moraju ispunjavati tehničke specifikacije interoperabilnosti. U praksi, podatkovni fiducijari mogu dobiti privolu izravno putem vlastitog CMP-a ili putem registriranog Upravitelja privole, a u mnogim slučajevima podatkovni nalogodavci biraju centralizirati svoju privolu putem Upravitelja privole umjesto da zasebno upravljaju bannerom svake stranice.

Kako izgleda sukladni CMP

CMP konfiguriran za indijski promet u 2026. trebao bi prikazivati:

Vidljivi banner prije nego što se aktivira bilo koji nebitni kolačić ili praćač, s radnjama Prihvati, Odbij i Prilagodi s jednakom vizualnom istaknutošću
Dostupnost na engleskom i na korisnikovom željenom zakazanom jeziku kad se zatraži
Granularne preklopnike privole po svrsi, uključujući analitiku, oglašavanje, personalizaciju i prekogranični prijenos
Jasnu vezu na potpunu detaljnu obavijest uključujući prava i kanal za pritužbe DPBI-ja
Stalni, lako pronalazivi mehanizam za povlačenje privole koji je jednako lak kao i davanje privole
Tehničku interoperabilnost s registriranim Upraviteljima privole kako bi se stanje privole moglo sinkronizirati s odabranim Upraviteljem privole podatkovnog nalogodavca

Evidencije privole

Podatkovni fiducijari moraju čuvati evidencije privole, uključujući tko je dao privolu, kada, putem kojeg sučelja, za koju svrhu i sve naknadne promjene. DPBI je u nekoliko svojih ranih postupaka naveo neadekvatne evidencije privole, a izvozive, vremenski označene evidencije privole osnovna su očekivanja.

Prekogranični prijenosi podataka

Okvir za prekogranične prijenose DPDPA-a jedan je od najrazlikovnijih elemenata indijskog sustava i značajno se razlikuje od obrasca primjerenosti-plus-zaštitnih mjera koji koriste GDPR, PIPA i izmijenjeni KVKK.

Okvir obavijesti

DPDPA funkcionira na osnovi pristupa negativnim popisom: prekogranični prijenosi su općenito dopušteni osim ako se odredišna zemlja ne pojavljuje na popisu ograničenih jurisdikcija koje je notificirala središnja vlada. To je suprotnost od GDPR modela primjerenosti koji prijenose tretira kao zabranjene bez pozitivne odluke o primjerenosti ili zaštitnih mjera. Pristup DPDPA-a na površini je permisivniji, ali negativni popis može se proširiti po vlastitom nahođenju vlade, a nekoliko jurisdikcija dodano je na popis u 2025. za specifične kategorije podataka.

Što to operativno znači

Za većinu programatskih reklamnih tokova u 2026., odgovor je da su prekogranični prijenosi prema glavnim ad-tech odredištima dopušteni pod uvjetom da odredišna zemlja nije na ograničenom popisu. Izdavači trebaju provjeriti trenutni notificirani popis, čuvati dokumentaciju o prijenosu i njegovoj svrsi, te biti spremni preusmjeriti ili pauzirati tokove ako se odredište doda. To je značajno jednostavnije od GDPR mehanike prijenosa za većinu tokova, ali zahtjev za budnošću je stvaran.

Sektorska lokalizacija

Odvojeno od DPDPA-a, nekoliko indijskih sektorskih regulatora — uključujući Rezervnu banku Indije za financijske podatke i Ministarstvo zdravlja za zdravstvene podatke — ima vlastite zahtjeve za lokalizacijom koji se nalaze iznad DPDPA-a. Izdavač koji poslužuje indijske korisnike u jednom od ovih reguliranih sektora mora biti usklađen i s DPDPA-om i s primjenjivim sektorskim pravilima.

Prava podatkovnih nalogodavaca

DPDPA daje podatkovnim nalogodavcima poznat, ali nešto uži skup prava nego GDPR:

Pravo pristupa osobnim podacima koji se obrađuju, uključujući kategorije i izvršitelje obrade
Pravo na ispravak, dopunu i ažuriranje osobnih podataka
Pravo na brisanje osobnih podataka koji više nisu nužni za navedenu svrhu
Pravo na imenovanje druge osobe za ostvarivanje prava u ime podatkovnog nalogodavca u slučaju smrti ili nesposobnosti
Pravo na rješavanje pritužbi putem podatkovnog fiducijara
Pravo na pritužbu Odboru za zaštitu podataka ako rješavanje pritužbi nije zadovoljavajuće

Što nije na popisu prava

Značajno, DPDPA ne uključuje samostalno pravo na prenosivost, opće pravo na prigovor obradi niti izričito pravo protiv automatiziranog donošenja odluka — iako sustav značajnih podatkovnih fiducijara i mehanizam povlačenja privole posredno pokrivaju velik dio istog područja.

Rokovi odgovora

Podatkovni fiducijari moraju odgovoriti na zahtjeve podatkovnih nalogodavaca unutar rokova navedenih u notificiranim Pravilima — što je u većini slučajeva u razumnom roku koji ne premašuje navedeni prozor, a DPBI tretira značajno kašnjenje kao nesukladnost. Sustav rješavanja pritužbi je prvi korak; samo neriješene pritužbe eskaliraju Odboru.

Značajni podatkovni fiducijari

Oznaka značajnog podatkovnog fiducijara (SDF) aktivira dodatne obveze izvan temeljnih zahtjeva DPDPA-a.

Dodatne obveze

Imenovanje Službenika za zaštitu podataka sa sjedištem u Indiji
Periodičke Procjene učinka na zaštitu podataka za određene aktivnosti obrade
Periodičke neovisne revizije
Dodatne obveze transparentnosti o algoritmičnoj obradi
Stroža obavijest o povredi i vođenje evidencija

Tko se kvalificira

Veličina, obujam obrađenih osobnih podataka, osjetljivost podataka, rizik za podatkovne nalogodavce, potencijalni utjecaj na izbornu demokraciju, sigurnost i suverenitet, te potencijalni utjecaj na javni red su svi čimbenici. Središnja vlada notificira SDF-ove pojedinačno ili po razredu. Većina velikih globalnih platformi koje poslužuju Indiju ulazi u notificirane razrede u 2026.

Podaci djece

DPDPA definira dijete kao svakog pojedinca mlađeg od 18 godina — viši prag od GDPR-ovog zadanog od 16 i raznih nižih nacionalnih pragova. Obrada osobnih podataka djece zahtijeva provjerljivi roditeljski pristanak, a praćenje, ciljano oglašavanje i bihevioralno praćenje djece ograničeni su bez obzira na status privole. Izdavači čija publika uključuje značajan promet mlađih od 18 godina trebaju provjeru dobi, tokove roditeljskog pristanka i ograničenu obradu za segment maloljetnika — sve što zahtijeva pravi inženjerski rad koji je malo stranih izdavača prema zadanim postavkama dovršilo.

Kazne i provedba

DPDPA je uveo sustav kazni koji je bio viši od povijesnih indijskih administrativnih novčanih kazni i značajno skaliran prema težini povrede.

Administrativne kazne

DPDPA dopušta kazne do 250 crore INR (otprilike 30 milijuna USD) po povredi za najozbiljnije povrede. Niže kazne primjenjuju se za propuste oko privole, obavijesti, sigurnosti, obavijesti o povredi i rješavanja pritužbi. DPBI je nekoliko puta u 2025. i početkom 2026. koristio sredinu raspona, a struktura kazni dizajnirana je da eskalira sustavnim propustima.

Teme provedbe DPBI-ja

Rane odluke DPBI-ja skupljaju se oko malog skupa ponavljajućih problema: banneri privole bez prave mogućnosti odbijanja, obavijesti koje ne opisuju kanale pritužbi DPBI-ja, prekogranični tokovi prema odredištima na ograničenom popisu, sustavi rješavanja pritužbi koji zapravo ne odgovaraju i propusti interoperabilnosti Upravitelja privole. Strani izdavači citirali su se u gotovo svim ovim kategorijama.

Reputacijska dimenzija

DPBI javno objavljuje svoje odluke, uključujući ime fiducijara i sažetak propusta. Na indijskom tržištu gdje se regulatorno trenje brzo pretvara u medijsku pokrivenost i političku pažnju, reputacijski trošak objavljene odluke DPBI-ja je značajan povrh financijske kazne.

Revizijska kontrolna lista za indijski promet u 2026.

Banner CMP-a poslužuje se s Prihvati, Odbij i Prilagodi s jednakom vizualnom istaknutošću
Obavijest je dostupna na engleskom i na zakazanom jeziku koji je zatražio podatkovni nalogodavac gdje je primjenjivo
Obavijest izričito opisuje kanal za pritužbe DPBI-ja i prava podatkovnog nalogodavca
Svrhe privole su granularne, s prekograničnim prijenosom kao zasebnom svrhom
Tehnička interoperabilnost s barem jednim registriranim Upraviteljem privole je uspostavljena
Povlačenje privole jednako je lako kao i davanje privole, i aktivira naknadnje brisanje i filtriranje aktivacije
Radni tok prava podatkovnog nalogodavca — pristup, ispravak, brisanje, imenovanje — je pokriven i dokumentiran
Kanal za rješavanje pritužbi je pokriven s praćenim rokovima odgovora
Odredišta prekograničnih prijenosa pregledana su prema trenutnom ograničenom popisu i dokumentirana
Obveze značajnog podatkovnog fiducijara — DPO, DPIA, revizija — su uspostavljene ako je prag prijeđen
Dobno svjestan tok za korisnike mlađe od 18 godina, s provjerljivim roditeljskim pristankom gdje je primjenjivo
Sektorska pravila lokalizacije i obrade su dokumentirana i poštuju se ako izdavač djeluje u reguliranom sektoru

Izgledi za 2026.

Indijski sustav privatnosti prešao je od zakonodavne apstrakcije do operativne stvarnosti u nešto više od dvije godine. Arhitektura DPDPA-a je posebna — ekosustav Upravitelja privole je najvidljiviji globalni eksperiment s prijenosnom, interoperabilnom privolom, a pristup prijenosu negativnim popisom značajno se razlikuje od obrasca primjerenosti-plus-zaštitnih mjera koji dominira ostalim okvirima. Za izdavače koji već koriste GDPR-razinski slog privole, jaz do usklađenosti s DPDPA-om je operativan, a ne arhitektonski: interoperabilnost Upravitelja privole, obavijesti na zakazanom jeziku, objave pritužbi DPBI-ju, prag mlađih od 18 godina i provjera prijenosa negativnim popisom. Jaz se može zatvoriti za tjednima ako se prioritizira. Izdavači koji ga zatvore prije nego što DPBI stigne na njihova vrata neće primijetiti prijelaz. Oni koji čekaju naći će da su 2026. i 2027. značajno skuplje od prethodnih godina.