ვისზე ვრცელდება DPDP Act

DPDP Act არეგულირებს ციფრული პერსონალური მონაცემების დამუშავებას ინდოეთის ტერიტორიაზე, ასევე ინდოეთის გარეთ დამუშავებას, რომელიც დაკავშირებულია ინდოეთში მყოფი პირებისთვის საქონლის ან მომსახურების შეთავაზებასთან. პრაქტიკულად, თუ თქვენი ვებსაიტი ხელმისაწვდომია ინდოელი მომხმარებლებისთვის და მისი მეშვეობით პერსონალურ მონაცემებს აგროვებთ — მათ შორის cookie-ების, SDK-ების, პიქსელების ან fingerprinting-ის საშუალებით — ეს აქტი თქვენზე თითქმის ნამდვილად ვრცელდება.

აქტი იყენებს ორ ძირითად როლს: Data Fiduciary (რომელიც ეკვივალენტურია GDPR-ის მაკონტროლებლისა) და Data Processor. ყველაზე მსხვილი ოპერატორების მცირე ნაწილი შეიძლება დაინიშნოს Significant Data Fiduciary-ად, რაც ამოქმედებს დამატებით ვალდებულებებს, როგორიცაა Data Protection Impact Assessment-ები და Data Protection Officer-ის დანიშვნა, რომელიც ცხოვრობს ინდოეთში.

როგორ ეპყრობა DPDP Act cookie-ებსა და ტრეკერებს

განსხვავებით ePrivacy დირექტივისგან, DPDP Act არ გამოყოფს cookie-ებს ცალკე კატეგორიად. სამაგიეროდ, ის არეგულირებს ციფრული პერსონალური მონაცემების ნებისმიერ დამუშავებას. ეს ნიშნავს, რომ cookie-ები, მოწყობილობის იდენტიფიკატორები, IP მისამართები, სარეკლამო ID-ები და ჰეშირებული ელფოსტის მისამართები — ყველა ხვდება მისი მოქმედების არეალში, როდესაც ისინი, პირდაპირ ან არაპირდაპირ, უკავშირდება იდენტიფიცირებად პირს.

გამომცემლებისთვის შედეგი მარტივია: თუ თქვენს საიტზე cookie ან ტეგი იწვევს პერსონალური მონაცემების შეგროვებას ან გაზიარებას, საჭიროა ნამდვილი სამართლებრივი საფუძველი. DPDP Act-ის მიხედვით ეს საფუძველი თითქმის ყოველთვის არის თანხმობა, აქტით განსაზღვრული „კანონიერი გამოყენების“ ვიწრო გამონაკლისებთან ერთად.

როგორ გამოიყურება ვალიდური თანხმობა

DPDP Act თანხმობისთვის მაღალ ბარს აყენებს. ის უნდა იყოს თავისუფალი, კონკრეტული, ინფორმირებული, უპირობო და ცალსახა, და გამოხატული იყოს ნათელი დადასტურებითი მოქმედებით. წინასწარ მონიშნული ველები, დათვალიერების გაგრძელებიდან ნაგულისხმევი თანხმობა და „cookie wall“ დიზაინები, რომლებიც საიტზე წვდომას აკავშირებენ თანხმობის მიღებასთან, არ შეესაბამება ამ მოთხოვნებს.

კიდევ ორი DPDP-სთვის სპეციფიკური წესი მნიშვნელოვანია თანხმობის UX-ისთვის:

• დეტალური შეტყობინება: თანხმობის აღებამდე ან მის მომენტში, მომხმარებელს უნდა მიაწოდოთ ნათელი შეტყობინება, რომელშიც მითითებული იქნება შეგროვებული მონაცემები, დამუშავების მიზნები და ის, თუ როგორ შეუძლია მომხმარებელს თანხმობის უკან წაღება ან საჩივრის წარდგენა Data Protection Board of India-სთან.
• მარტივი ენა და მრავალენოვანი მხარდაჭერა: შეტყობინებები უნდა იყოს ხელმისაწვდომი ინგლისურად და ინდოეთის 22 ოფიციალური (scheduled) ენიდან ნებისმიერზე, რომელსაც მომხმარებელი შეარჩევს. CMP, რომელსაც არ შეუძლია თანხმობის შინაარსის ჰინდიზე, ტამილურზე, ბენგალურზე, მარათიზე და სხვა მნიშვნელოვან ენებზე გამოტანა, ძნელად დააკმაყოფილებს მოთხოვნებს.

ბავშვების მონაცემები და მშობლის თანხმობა

DPDP Act ნებისმიერ 18 წელზე ნაკლები ასაკის პირს ბავშვად განიხილავს და მისი პერსონალური მონაცემების დამუშავებამდე გადასამოწმებელ მშობლის თანხმობას ითხოვს. აქტი ასევე კრძალავს ბავშვებზე მიმართულ ქცევით მონიტორინგსა და მიზანმიმართულ რეკლამას. ნებისმიერ ვებსაიტს, რომელიც ინდოეთში არასრულწლოვნებისთვის ხელმისაწვდომია — რაც პრაქტიკულად ყველა საიტს ნიშნავს — სჭირდება ასაკობრივი შემოწმების ან რისკზე დაფუძნებული სტრატეგია და უნდა შეეძლოს თვალთვალის სკრიპტების დაბლოკვა, როდესაც მშობლის თანხმობა არ არის მიღებული.

მომხმარებელთა უფლებები, რომლებიც თქვენმა CMP-მ უნდა უზრუნველყოს

Data Principal-ებს (მომხმარებლებს) ინდოეთში აქვთ უფლებების ნაკრები, რომელთა განხორციელებაც შესაძლებელი უნდა იყოს თანხმობისა და პარამეტრების ფენის მეშვეობით:

• წვდომის უფლება მათი იმ პერსონალური მონაცემების შეჯამებასთან, რომლებიც მუშავდება.
• მონაცემების გასწორებისა და წაშლის უფლება.
• თანხმობის უკან წაღების უფლება ნებისმიერ დროს, ისეთივე სიმარტივით, როგორც მისი მიცემა.
• ნომინაციის უფლება — სხვა პირის დანიშვნა უფლებების განხორციელებისთვის გარდაცვალების ან ქმედუუნარობის შემთხვევაში.
• საჩივრის განხილვის უფლება, ჯერ Data Fiduciary-თან, შემდეგ კი Data Protection Board of India-სთან.

შესაბამისი CMP უნდა გამოაჩენდეს მუდმივ პარამეტრების ბმულს, უზრუნველყოფდეს თანხმობის ერთი დაწკაპუნებით უკან წაღებას და ირეგისტრირებდეს თანხმობის მოვლენებს ისეთი გზით, რომ მათი წარდგენა შესაძლებელი იყოს გამოძიებისას მოთხოვნის შემთხვევაში.

მონაცემების ტრანსსასაზღვრო გადაცემა

DPDP Act საერთაშორისო გადაცემებისთვის „უარყოფითი სიის“ მიდგომას იყენებს: პერსონალური მონაცემები შეიძლება გადაიცეს ინდოეთის ფარგლებს გარეთ, თუ დანიშნულების ქვეყანა ცენტრალური მთავრობის მიერ სპეციალურად არ არის შეზღუდული. ეს უფრო ლიბერალურია, ვიდრე GDPR-ის ადეკვატურობის რეჟიმი, მაგრამ მაინც უნდა ასახოთ დოკუმენტურად, თუ რომელი მესამე ქვეყნები იღებენ მონაცემებს ინდოელი მომხმარებლებისგან, და თვალი ადევნოთ გამოქვეყნებულ შეზღუდვების სიას.

სანქციები და აღსრულება

DPDP Act-ის ფინანსური სანქციები მნიშვნელოვანია. Data Protection Board-ს შეუძლია დააკისროს ჯარიმა ₹250 კრორამდე (დაახლოებით 30 მილიონი აშშ დოლარი) გონივრული უსაფრთხოების ზომების მიღების მარცხისთვის, და ₹200 კრორამდე ბავშვებთან დაკავშირებული ვალდებულებების შეუსრულებლობისთვის. თანხმობასთან დაკავშირებული დარღვევები — მათ შორის თანხმობის შეგროვება შეუსაბამო ბანერების მეშვეობით — ჯარიმდება თითოეული დარღვევისთვის ₹50 კრორამდე.

DPDP-ის შესაბამისი თანხმობის დანერგვა თქვენს CMP-ში

1. გეოგრაფიულად გამოავლინეთ ინდოელი მომხმარებლები და გამოიყენეთ DPDP-ზე მორგებული თანხმობის შაბლონი GDPR ბანერის ხელახლა გამოყენების ნაცვლად. საჭირო შეტყობინების შინაარსი და ენის ვარიანტები განსხვავებულია.
2. შეტყობინებები გამოიტანეთ ინდოეთის რამდენიმე ენაზე. მინიმუმ, უზრუნველყავით ჰინდი და ინგლისური, და ტრაფიკის განაწილების მიხედვით დაამატეთ რეგიონული ენები.
3. ნაგულისხმევად დაბლოკეთ ყველა არაარსებითი ტრეკერი. სარეკლამო, ანალიტიკური და მესამე მხარის SDK-ები ჩატვირთეთ მხოლოდ მას შემდეგ, რაც დადასტურებითი თანხმობა იქნება მიღებული.
4. გაყავით მიზნები ნათლად. არ გააერთიანოთ რეკლამა, ანალიტიკა და პერსონალიზაცია ერთ „დავეთანხმები“ მოქმედებაში, თუ მომხმარებელს გონივრულად შეიძლება სურდეს ზოგიერთზე დათანხმება, ზოგზე კი — არა.
5. ირეგისტრირეთ თანხმობისა და უკან წაღების მოვლენები დროის აღნიშვნებით, გამოტანილი შეტყობინების ზუსტი ვერსიითა და მომხმარებლის ენის არჩევანით, რომ შეძლოთ შესაბამისობის დადასტურება მარეგულირებლის გამოძიების დროს.
6. უზრუნველყავით თვალსაჩინო პარამეტრების ბმული ყველა გვერდზე, რომელიც მომხმარებლებს საშუალებას აძლევს ნებისმიერ დროს გადახედონ, განაახლონ ან უკან წაიღონ თანხმობა.

DPDP vs. GDPR: პრაქტიკული განსხვავებები

• არ არსებობს „კანონიერი ინტერესის“ საფუძველი. DPDP Act არ აღიარებს კანონიერ ინტერესს ზოგად სამართლებრივ საფუძვლად ისე, როგორც ამას GDPR აკეთებს. თანხმობა უფრო მეტ წონას იღებს, ამიტომ UX დიზაინის როლი უფრო დიდია.
• უფრო მკაცრი წესები ბავშვებზე. ციფრული თანხმობის ასაკია 18 წელი, და არა 13 ან 16, და არასრულწლოვნებისთვის მიმართული მიზნობრივი რეკლამა პირდაპირ აკრძალულია.
• მრავალენოვანი შეტყობინების მოთხოვნა უნიკალურია DPDP Act-ისთვის და მხოლოდ ინგლისურენოვანი ბანერით ვერ დაკმაყოფილდება.
• Significant Data Fiduciary-ის ვალდებულებები ქმნის შესაბამისობის მეორე საფეხურს მაღალი რისკის ოპერატორებისთვის, რომელსაც GDPR-ში პირდაპირი ანალოგი არ აქვს.

დასკვნა

DPDP Act ინდოეთს თანამედროვე გლობალური მონაცემთა დაცვის ლანდშაფტში შემოიყვანს საკუთარი გამორჩეული სტილით — თანხმობით წინა პლანზე, დიზაინის დონეზე მრავალენოვანი და არასრულწლოვნების არაჩვეულებრივად დამცავი. გამომცემლებს და პლატფორმებს, რომლებიც უკვე GDPR დონის CMP-ს მართავენ, გამოცდილების უპირატესობა აქვთ, მაგრამ DPDP-ის მოთხოვნების დასაკმაყოფილებლად მაინც დასჭირდებათ ბანერის შინაარსის, ენის მხარდაჭერის, ასაკობრივი მართვისა და ლოგირების მორგება. ინდოეთის „კიდევ ერთ GDPR იურისდიქციად“ მიჩნევა ყველაზე სწრაფი გზაა Data Protection Board-ის წინაშე აღმოჩნდეთ.