A DPDPA struktúrája 2026-ban

A DPDPA önálló adatvédelmi jogszabály, elkülönül India ágazatspecifikus törvényeitől a banki, telekommunikációs és egészségügyi szektorban. Bevezetése szándékosan szakaszos volt, hogy a Consent Manager ökoszisztéma, a DPBI és a határokon átnyúló adattovábbítási rendszer egymás után állhasson fel.

A 2023-as elfogadás és a 2024–2025-ös bevezetés

A DPDPA-t a parlament 2023 augusztusában fogadta el, és röviddel ezután elnöki jóváhagyást kapott. Az Elektronikai és Informatikai Minisztérium (MeitY) 2024-ben konzultált a végrehajtási szabályokról, a végső szabályokat pedig 2025-ben több részletben tették közzé: először a Consent Manager regisztrációs keretrendszert, majd az érintetti jogok eljárásait, aztán a határokon átnyúló adattovábbítási bejelentéseket, végül a kiemelten fontos adatkezelői küszöbértékeket. 2026 elejére a teljes keretrendszer hatályba lépett.

Kire vonatkozik

A DPDPA az Indián belüli személyek digitális személyes adatainak kezelésére vonatkozik. Extraterritoriálisan is alkalmazandó, ha az adatkezelés az Indián belüli adatalanyoknak kínált áruk vagy szolgáltatások nyújtásával összefüggésben történik. Egy amerikai székhelyű kiadó, amely lokalizált webhelyen, indiai nyelvű verzióban vagy indiai IP-címekre megvásárolt programmatic készleten keresztül szolgál ki indiai felhasználókat, az alkalmazási körbe esik. Ezt a területen kívüli hatályt a törvény egyértelműen kimondja, és a DPBI korai iránymutatásaiban megerősítette.

A terminológiai különbségek

A DPDPA saját szókészletet használ, amely eltér a GDPR-tól és a legtöbb újabb ázsiai keretrendszertől. Az adatkezelő megbízott (data fiduciary) az, akit a GDPR adatkezelőnek nevez. Az adatfeldolgozó (data processor) pontosan megfelel a GDPR adatfeldolgozójának. Az adatalany megbízó (data principal) az érintett személy. A kiemelten fontos adatkezelő megbízott (significant data fiduciary) olyan adatkezelő, amely meghalad a központi kormányzat által közölt méret- vagy érzékenységi küszöbértékeket. A DPDPA-val először találkozó külföldi kiadók gyakran rosszul térképezik fel ezeket a fogalmakat; a helyes megfeleltetés korai kialakítása megelőzi a zavart.

Mi számít személyes adatnak

A DPDPA személyes adat definíciója széles körű, és szorosan követi a nemzetközi gyakorlatot. Személyes adat minden olyan adat, amely azonosítható személyre vonatkozik, vagy amely alapján az személy azonosítható. A DPBI korai iránymutatásain keresztül jelezte, hogy az online azonosítók — sütik, reklám-azonosítók, IP-címek, eszközujjlenyomatok és viselkedési profilok — személyes adatnak minősülnek, ha közvetlenül vagy ésszerű eszközökkel azonosítható személyhez köthetők.

Nincs érzékeny kategória, de vannak kiemelten fontos adatkezelői szabályok

A GDPR-ral, az LGPD-vel és a PIPA-val ellentétben a DPDPA nem határoz meg formálisan érzékeny személyes adat kategóriát. Ehelyett a törvény a kiemelten fontos adatkezelő megbízott megjelölésre támaszkodik, amely további kötelezettségeket ró azokra az adatkezelőkre, akik nagymennyiségű adatot kezelnek, gyermekek adatait kezelik, a választói integritást befolyásoló adatokat kezelnek, vagy a nemzetbiztonságot érintő adatokat kezelnek. A végeredmény hasonló a GDPR érzékeny kategóriájú szabályaihoz a legnagyobb és legérzékenyebb adatkezelők esetében, de az architektúra eltérő.

Miért fontos ez a sütik szempontjából

Az egyszerű reklám-azonosítót gyűjtő süti személyes adat, de önmagában nem jár fokozott kötelezettségekkel, csak azért, mert érzékenynek tűnő célközönség-szegmenst táplál. De az a kiadó, amely eléri a kiemelten fontos adatkezelői küszöbértéket — például egy nagyszabású platform több tízmillió indiai felhasználóval — további kötelezettségeket vállal, beleértve a kötelező Adatvédelmi tisztviselőt, az időszakos auditokat és az Adatvédelmi hatástanulmányokat. A méretküszöbértékeket 2025-ben tették közzé; a legtöbb globális platform már az alkalmazási körbe esik.

Hozzájárulás a DPDPA alapján

A DPDPA a hozzájárulást keretrendszerének középpontjába helyezi, de olyan különleges követelményrendszerrel definiálja, amely nem feleltethető meg egy az egyben a GDPR hozzájárulásának.

Az érvényes hozzájárulás mércéje

A DPDPA szerinti hozzájárulásnak az alábbiaknak kell megfelelnie:

• Szabad — nem feltételhez kötött a felhasználót egyébként megillető szolgáltatás nyújtásán, és nem kényszerített
• Konkrét — egyértelműen azonosított célhoz kötött, nem általános, mindent felölelő hozzájárulás
• Tájékoztatáson alapuló — az adatalany megérti, milyen adatokat kezelnek és milyen célból
• Feltétel nélküli — a hozzájárulás nem kapcsolódik irreleváns feltételekhez
• Egyértelmű — egyértelmű megerősítő cselekvéssel kifejezve, nem hallgatásból vagy tétlenségből következtetve

A tételes értesítési kötelezettség

A DPDPA megköveteli a hozzájárulás előtt vagy annak pillanatában nyújtott értesítést, amely leírja a kezelendő személyes adatokat, a kezelés célját, azt, ahogyan az adatalany jogokat gyakorolhat, és azt, ahogyan az adatalany panaszt nyújthat be a Testülethez. Az értesítést angolul és az India 22 alkotmányos nyelvének bármelyikén elérhetővé kell tenni, amelyet az adatalany kér.

A Consent Manager architektúrája

Ebben tér el leginkább a DPDPA más keretrendszerektől. A törvény egy Consent Manager nevű licencelt szerepet hoz létre — egy DPBI-nél regisztrált harmadik fél szervezet, amely interoperábilis hozzájárulási irányítópultot biztosít, amelyen keresztül az adatalanyok egyetlen felületről adhatnak, tekinthetnek meg, kezelhetnek és vonhatnak vissza hozzájárulásokat több adatkezelő megbízottnál. A Consent Managereknek regisztrálva kell lenniük a Testületnél, és meg kell felelniük a technikai interoperabilitási előírásoknak. A gyakorlatban az adatkezelő megbízottak begyűjthetik a hozzájárulást közvetlenül saját CMP-jükön keresztül vagy egy regisztrált Consent Manageren keresztül, és sok esetben az adatalanyok inkább egy Consent Managernél összpontosítják hozzájárulásukat, ahelyett hogy külön-külön kezelnék az egyes weboldalak bannereit.

Milyen egy megfelelő CMP

Az indiai forgalomra 2026-ban konfigurált CMP-nek a következőket kell bemutatnia:

• Látható banner minden nem alapvető süti vagy nyomkövető aktiválása előtt, az Elfogadás, Elutasítás és Testreszabás műveletek egyenlő vizuális hangsúllyal
• Elérhetőség angolul és az adott felhasználó kért alkotmányos nyelvén
• Célonkénti részletes hozzájárulási kapcsolók, beleértve az elemzést, a hirdetést, a személyre szabást és a határokon átnyúló adattovábbítást
• Egyértelmű hivatkozás a teljes tételes értesítésre, beleértve a jogokat és a DPBI panaszcsatornát
• Tartósan és könnyen megtalálható mechanizmus a hozzájárulás visszavonására, amelynek igénybevétele ugyanolyan egyszerű, mint a hozzájárulás megadása
• Technikai interoperabilitás a regisztrált Consent Managerekkel, hogy a hozzájárulási állapot szinkronizálható legyen az adatalany által választott Consent Managerrel

Hozzájárulási nyilvántartások

Az adatkezelő megbízottaknak fenn kell tartaniuk a hozzájárulások nyilvántartását, beleértve, hogy ki adott hozzájárulást, mikor, melyik felületen keresztül, milyen célhoz, és az esetleges utólagos változásokat. A DPBI több korai eljárásban is hivatkozott nem megfelelő hozzájárulási naplókra, és az exportálható, időbélyeggel ellátott hozzájárulási nyilvántartások az alapvető elvárás.

Határokon átnyúló adattovábbítás

A DPDPA határokon átnyúló adattovábbítási keretrendszere az indiai rendszer egyik legkülönlegesebb eleme, és lényegesen eltér a GDPR, a PIPA és a módosított KVKK által alkalmazott megfelelőség-plusz-garanciák modelltől.

A bejelentési keretrendszer

A DPDPA negatív lista alapú megközelítést alkalmaz: a határokon átnyúló adattovábbítás általában megengedett, kivéve ha a célország szerepel a központi kormányzat által közzétett korlátozott joghatóságok listáján. Ez a GDPR megfelelőségi modell inverze, amely a továbbítást pozitív megfelelőségi határozat vagy garanciák hiányában tiltottnak tekinti. A DPDPA megközelítése felszínesen megengedőbb, de a negatív lista a kormányzat belátása szerint bővíthető, és 2025-ben egyes joghatóságokat bizonyos adatkategóriákra vonatkozóan felvettek a listára.

Mit jelent ez a gyakorlatban

A legtöbb programmatic hirdetési folyamat esetében 2026-ban a válasz az, hogy a határokon átnyúló adattovábbítás a főbb reklámtechnológiai célállomásokra megengedett, feltéve, hogy a célország nem szerepel a korlátozott listán. A kiadóknak ellenőrizniük kell az aktuálisan közzétett listát, dokumentálniuk kell a továbbítást és annak célját, és fel kell készülniük az adatfolyamok átirányítására vagy szüneteltetésére, ha egy célállomást felvesznek a listára. Ez lényegesen egyszerűbb a GDPR adattovábbítási mechanikusainál a legtöbb folyamat esetében, de a figyelési kötelezettség valós.

Ágazatspecifikus lokalizáció

A DPDPA-tól függetlenül több indiai ágazati szabályozó — köztük a Reserve Bank of India pénzügyi adatok esetében és az Egészségügyi Minisztérium egészségügyi adatok esetében — saját lokalizációs követelményekkel rendelkezik, amelyek a DPDPA-ra épülnek. Az ezekben a szabályozott szektorokban indiai felhasználókat kiszolgáló kiadónak mind a DPDPA-nak, mind az alkalmazandó ágazati szabályoknak meg kell felelnie.

Az adatalany jogai

A DPDPA az adatalanyoknak ismerős, de kissé szűkebb körű jogokat biztosít, mint a GDPR:

• Hozzáférési jog a kezelt személyes adatokhoz, beleértve a kategóriákat és az adatfeldolgozókat
• A személyes adatok helyesbítéséhez, kiegészítéséhez és frissítéséhez való jog
• A már nem szükséges személyes adatok törléséhez való jog
• Jog arra, hogy az adatalany egy másik személyt jelöljön meg jogainak halála vagy cselekvőképtelenségének esetén való gyakorlására
• Jog panasztételre az adatkezelő megbízottnál
• Jog panaszt benyújtani az Adatvédelmi Testülethez, ha a panasztételi eljárás nem kielégítő

Ami nem szerepel a jogok listáján

Figyelemre méltó, hogy a DPDPA nem tartalmaz önálló adathordozhatósági jogot, általános tiltakozási jogot az adatkezeléssel szemben, vagy kifejezett jogot az automatizált döntéshozatallal szemben — bár a kiemelten fontos adatkezelői rendszer és a hozzájárulás-visszavonási mechanizmus közvetve sok azonos területet lefed.

Válaszadási határidők

Az adatkezelő megbízottaknak az adatalany kéréseire a közzétett Szabályokban meghatározott határidőkön belül kell válaszolniuk — amely a legtöbb esetben ésszerű időn belül, de legkésőbb a meghatározott kereten belül kell, hogy legyen, a DPBI az érdemi késedelmet megfelelőségi hibának tekinti. A panasztételi rendszer az első lépés; csak a meg nem oldott panaszok kerülnek a Testülethez.

Kiemelten fontos adatkezelő megbízottak

A kiemelten fontos adatkezelő megbízott (SDF) megjelölés a DPDPA alapkövetelményein túl további kötelezettségeket von maga után.

A többletkötelezettségek

• Indiai székhelyű Adatvédelmi tisztviselő kinevezése
• Időszakos Adatvédelmi hatástanulmányok meghatározott adatkezelési tevékenységekre
• Időszakos független auditok
• További átláthatósági kötelezettségek az algoritmikus adatkezeléssel kapcsolatban
• Szigorúbb incidens-bejelentés és nyilvántartás-vezetés

Ki minősül annak

A méret, a kezelt személyes adatok mennyisége, az adatok érzékenysége, az adatalanyokra leselkedő kockázat, a választói demokráciára, biztonságra és szuverenitásra gyakorolt potenciális hatás, és a közrendre gyakorolt potenciális hatás mind szerepet játszik. A központi kormányzat egyenként vagy osztályonként jelöl ki SDF-eket. A legtöbb nagy, Indiát kiszolgáló globális platform a 2026-ban közzétett osztályokba esik.

Gyermekek adatai

A DPDPA gyermekként határozza meg a 18 évnél fiatalabb személyeket — ez magasabb küszöbérték, mint a GDPR alapértelmezett 16 éve és a különböző alacsonyabb nemzeti küszöbértékek. A gyermekek személyes adatainak kezelése igazolható szülői hozzájárulást igényel, a gyermekek nyomon követése, célzott reklámozása és viselkedési megfigyelése korlátozva van, függetlenül a hozzájárulás státuszától. Azoknak a kiadóknak, amelyek közönsége jelentős 18 év alatti forgalmat tartalmaz, korhatár-ellenőrzést, szülői hozzájárulási folyamatokat és korlátozott adatkezelést kell biztosítaniuk a kiskorú szegmens számára — mindez olyan valós mérnöki munkát igényel, amelyet az alapértelmezés szerint kevés külföldi kiadó végzett el.

Szankciók és érvényesítés

A DPDPA olyan bírságrendszert vezetett be, amely magasabb volt a korábbi indiai közigazgatási bírságoknál, és érzékletesen igazodik a jogsértés súlyosságához.

Közigazgatási bírságok

A DPDPA lehetővé teszi legfeljebb 250 crore INR (körülbelül 30 millió USD) bírság kiszabását jogsértésenként a legsúlyosabb jogsértések esetén. Alacsonyabb szintű bírságok vonatkoznak a hozzájárulással, az értesítéssel, a biztonsággal, az incidensbejelentéssel és a panasztételi eljárással kapcsolatos mulasztásokra. A DPBI 2025-ben és 2026 elején többször alkalmazta a skála közepét, és a bírságrendszert a szisztematikus mulasztással való arányosságra tervezték.

A DPBI érvényesítési témái

A korai DPBI-határozatok egy kis számú visszatérő probléma köré csoportosulnak: valódi elutasítási lehetőséget nélkülöző hozzájárulási bannerek, a DPBI panaszcsatornáit nem leíró értesítések, korlátozott listán szereplő célállomásokra irányuló határokon átnyúló adatfolyamok, ténylegesen nem reagáló panasztételi rendszerek, és Consent Manager interoperabilitási hibák. A külföldi kiadókat szinte minden kategóriában idézték.

Hírnév-dimenzió

A DPBI nyilvánosan közzéteszi határozatait, beleértve az adatkezelő megbízott nevét és a mulasztás összefoglalóját. Egy indiai piacon, ahol a szabályozási súrlódás gyorsan médiafigyelmé és politikai figyelemmé alakul, a közzétett DPBI-határozat hírnévi költsége jelentős a pénzügyi szankción felül.

Ellenőrzési lista az indiai forgalomhoz 2026-ban

• A CMP-banner Elfogadás, Elutasítás és Testreszabás lehetőségekkel jelenik meg, egyenlő vizuális hangsúllyal
• Az értesítés angolul és az adatalany kért alkotmányos nyelvén is elérhető, ahol alkalmazható
• Az értesítés kifejezetten leírja a DPBI panaszcsatornát és az adatalany jogait
• A hozzájárulási célok részletesek, a határokon átnyúló adattovábbítás külön célként szerepel
• Legalább egy regisztrált Consent Managerrel való technikai interoperabilitás biztosított
• A hozzájárulás visszavonása ugyanolyan egyszerű, mint megadása, és kiváltja a downstream törlést és aktiválási szűrést
• Az adatalany jogainak munkafolyamata — hozzáférés, helyesbítés, törlés, jelölés — személyzettel ellátott és dokumentált
• A panasztételi csatorna személyzettel ellátott, a válaszadási határidőket nyilvántartják
• A határokon átnyúló adattovábbítás célállomásait az aktuális korlátozott listával összevetik és dokumentálják
• A kiemelten fontos adatkezelői kötelezettségek — DPO, DPIA, audit — teljesülnek, ha a küszöbértéket átlépték
• Korhatár-tudatos folyamat a 18 év alatti felhasználók számára, igazolható szülői hozzájárulással, ahol alkalmazható
• Az ágazatspecifikus lokalizációs és adatkezelési szabályokat dokumentálják és betartják, ha a kiadó szabályozott szektorban tevékenykedik

A 2026-os kilátások

India adatvédelmi rendszere kevesebb mint két év alatt a jogalkotási elvontságból működő valósággá vált. A DPDPA architektúrája különleges — a Consent Manager ökoszisztéma a leginkább látható globális kísérlet a hordozható, interoperábilis hozzájárulásra, és a negatív lista alapú adattovábbítási megközelítés lényegesen eltér a más keretrendszerekben domináló megfelelőség-plusz-garanciák modelltől. Azok a kiadók, amelyek már GDPR-szintű hozzájárulási vermet üzemeltetnek, a DPDPA-megfelelőség felé vezető utat inkább operatívnak, mint architekturálisnak találják: Consent Manager interoperabilitás, alkotmányos nyelvű értesítések, DPBI panaszközlések, a 18 éves küszöbérték és a negatív lista alapú adattovábbítás-ellenőrzés. A szakadék heteken belül áthidalható, ha prioritást kap. Azok a kiadók, akik még a DPBI megjelenése előtt áthidalják, észre sem veszik az átmenetet. Azok, akik várnak, 2026-ot és 2027-et lényegesen költségesebbnek fogják találni az előző éveknél.