Kikre vonatkozik a DPDP Act

A DPDP Act szabályozza a digitális személyes adatok Indián belüli kezelését, valamint az Indián kívüli adatkezelést is, ha az Indiában tartózkodó személyeknek kínált árukhoz vagy szolgáltatásokhoz kapcsolódik. A gyakorlatban ez azt jelenti, hogy ha webhelye elérhető indiai felhasználók számára, és ezen keresztül személyes adatokat gyűjt – akár sütik, SDK-k, pixelek vagy ujjlenyomat-alapú (fingerprinting) technológiák révén –, a törvény szinte biztosan Önre is vonatkozik.

A törvény két kulcsszerepet használ: a Data Fiduciary (a GDPR szerinti adatkezelőnek felel meg) és a Data Processor (adatfeldolgozó) szerepét. A legnagyobb üzemeltetők szűk köre Significant Data Fiduciary minősítést kaphat, ami további kötelezettségeket von maga után, például adatvédelmi hatásvizsgálatokat és egy Indiában letelepedett adatvédelmi tisztviselő kijelölését.

Hogyan kezeli a DPDP Act a sütiket és a nyomkövetőket

Az ePrivacy-irányelvvel ellentétben a DPDP Act nem emeli ki a sütiket külön kategóriaként. Ehelyett bármilyen digitális személyes adat kezelését szabályozza. Ez azt jelenti, hogy a sütik, az eszközazonosítók, az IP-címek, a hirdetési azonosítók és a hash-elt e-mail-címek mind a hatálya alá tartoznak, ha közvetlenül vagy közvetve egy azonosítható személyhez kapcsolhatók.

A kiadók számára ennek következménye egyértelmű: ha egy süti vagy tag személyes adat gyűjtését vagy megosztását eredményezi a webhelyén, akkor érvényes jogalapra van szüksége. A DPDP Act szerint ez a jogalap szinte mindig a hozzájárulás, a törvény által meghatározott „jogszerű felhasználások” szűk kivételeivel.

Hogyan néz ki az érvényes hozzájárulás

A DPDP Act magasra teszi a mércét a hozzájárulás tekintetében. Annak önkéntesnek, konkrétnak, tájékozottnak, feltétel nélkülinek és egyértelműnek kell lennie, és egy világos, megerősítő cselekvéssel kell kifejezni. Az előre bejelölt jelölőnégyzetek, a böngészés folytatásából levezetett vélelmezett hozzájárulás és a „cookie wall” típusú megoldások, amelyek a hozzáférést az elfogadástól teszik függővé, nem egyeztethetők össze ezekkel a követelményekkel.

Két további DPDP-specifikus szabály különösen fontos a hozzájárulási UX szempontjából:

• Tételes tájékoztatás: A hozzájárulás megadása előtt vagy azzal egy időben a felhasználónak világos tájékoztatást kell adni a gyűjtött adatokról, a kezelés céljairól, valamint arról, hogyan vonhatja vissza a hozzájárulását, illetve hogyan nyújthat be panaszt a Data Protection Board of India felé.
• Közérthető nyelvezet és többnyelvűség: A tájékoztatóknak angolul és India 22 hivatalos (scheduled) nyelvének bármelyikén elérhetőnek kell lenniük, a felhasználó választása szerint. Egy olyan CMP, amely nem képes a hozzájárulási tartalmat hindi, tamil, bengáli, marathi és más nagyobb nyelveken megjeleníteni, nehezen fog megfelelni ennek.

Gyermekek adatai és szülői hozzájárulás

A DPDP Act a 18 év alatti személyeket gyermekként kezeli, és igazolható szülői hozzájárulást ír elő a személyes adataik kezelése előtt. Emellett tiltja a gyermekek viselkedésalapú megfigyelését és a célzott hirdetést. Bármely webhelynek, amely India területén elérhető kiskorúak számára – ami a gyakorlatban szinte minden webhelyet jelent – szüksége van kor-alapú szűrésre vagy kockázatalapú stratégiára, és képesnek kell lennie a nyomkövető szkriptek blokkolására, ha hiányzik a szülői hozzájárulás.

Felhasználói jogok, amelyeket a CMP-nek támogatnia kell

Az indiai Data Principal (felhasználó) jogokkal rendelkezik, amelyeknek a hozzájárulási és beállítási rétegen keresztül érvényesíthetőnek kell lenniük:

• Hozzáférés joga a kezelt személyes adatainak összefoglalójához.
• Helyesbítéshez és törléshez való jog az adataival kapcsolatban.
• Hozzájárulás visszavonásának joga bármikor, ugyanolyan egyszerűen, mint ahogyan megadták.
• Jelölési jog, amely lehetővé teszi, hogy a felhasználó másik személyt jelöljön ki a jogai gyakorlására halál vagy cselekvőképtelenség esetén.
• Panasztételi jog, először a Data Fiduciary felé, majd a Data Protection Board of India felé.

Egy megfelelő CMP-nek tartalmaznia kell egy állandó preferenciák-linket, támogatnia kell a hozzájárulás egykattintásos visszavonását, és a hozzájárulási eseményeket úgy kell naplóznia, hogy azok vizsgálat esetén kérésre bemutathatók legyenek.

Határokon átnyúló adattovábbítások

A DPDP Act „negatív lista” alapú megközelítést alkalmaz a nemzetközi adattovábbításokra: a személyes adatok Indián kívülre továbbíthatók, kivéve, ha a fogadó országot a központi kormány kifejezetten korlátozza. Ez megengedőbb, mint a GDPR adequacy-rendszere, de így is érdemes dokumentálni, mely harmadik országok kapnak adatokat az indiai felhasználóktól, és figyelemmel kísérni a közzétett korlátozási listát.

Szankciók és végrehajtás

A DPDP Act szerinti pénzbírságok jelentősek. A Data Protection Board akár 250 millió rúpiás (kb. 30 millió USD) bírságot is kiszabhat az ésszerű biztonsági intézkedések elmulasztásáért, és akár 200 millió rúpiás bírságot a gyermekekkel kapcsolatos kötelezettségek elmulasztásáért. A hozzájárulással kapcsolatos jogsértések – beleértve a nem megfelelő bannereken keresztül történő hozzájárulás gyűjtését – jogsértésenként akár 50 millió rúpiás bírsággal sújthatók.

DPDP-megfelelő hozzájárulás megvalósítása a CMP-ben

1. Földrajzi alapon azonosítsa az indiai felhasználókat, és alkalmazzon egy DPDP-specifikus hozzájárulási sablont, ahelyett, hogy egy GDPR-bannert használna újra. A szükséges tájékoztatási tartalom és a nyelvi opciók különböznek.
2. Jelenítse meg a tájékoztatókat több indiai nyelven. Minimum támogassa a hindit és az angolt, és a forgalom eloszlása alapján adjon hozzá regionális nyelveket.
3. Alapértelmezés szerint blokkolja az összes nem alapvető nyomkövetőt. A hirdetési, analitikai és harmadik féltől származó SDK-k csak a megerősítő hozzájárulás után töltődjenek be.
4. Különítse el világosan a célokat. Ne csomagolja egyetlen „elfogadom” gomb mögé a hirdetést, az analitikát és a személyre szabást, ha a felhasználó ésszerűen csak bizonyos célokhoz szeretne hozzájárulást adni.
5. Naplózza a hozzájárulási és visszavonási eseményeket időbélyegzőkkel, a megjelenített tájékoztató pontos verziójával és a felhasználó nyelvválasztásával, hogy hatósági vizsgálat során bizonyítható legyen a megfelelés.
6. Biztosítson látható preferenciák-linket minden oldalon, amely lehetővé teszi a felhasználóknak, hogy bármikor áttekintsék, módosítsák vagy visszavonják a hozzájárulásukat.

DPDP vs. GDPR: gyakorlati különbségek

• Nincs „jogos érdek” jogalap. A DPDP Act nem ismeri el a jogos érdeket általános jogalapként úgy, ahogy a GDPR teszi. A hozzájárulásnak nagyobb súlya van, így az UX-kialakítás is fontosabbá válik.
• Szigorúbb szabályok a gyermekekre. A digitális hozzájárulás korhatára 18 év, nem pedig 13 vagy 16 év, és a kiskorúaknak szóló célzott hirdetés kifejezetten tilos.
• A többnyelvű tájékoztatási követelmény a DPDP Act sajátja, és nem teljesíthető egy kizárólag angol nyelvű bannerrel.
• A Significant Data Fiduciary kötelezettségek egy második megfelelési szintet hoznak létre a magas kockázatú üzemeltetők számára, amelynek nincs közvetlen GDPR-megfelelője.

Összegzés

A DPDP Act Indiát a modern globális adatvédelmi környezetbe helyezi, saját, jellegzetes ízzel – hozzájárulás-központú, tervezésétől fogva többnyelvű, és a szokásosnál is védőbb a kiskorúakkal szemben. Azok a kiadók és platformok, amelyek már GDPR-szintű CMP-t üzemeltetnek, előnyből indulnak, ugyanakkor így is hozzá kell igazítaniuk a banner tartalmát, a nyelvi támogatást, a kor kezelését és a naplózást a DPDP követelményeihez. India „egy újabb GDPR-joghatóságként” való kezelése a leggyorsabb út ahhoz, hogy a Data Protection Board elé kerüljön.