შესაბამისობა8 მაი. 2026 | FlexyConsent

ინდოეთის DPDP კანონი 2026 წელს: მომგებლის და რეკლამის განმთავსებლის სახელმძღვანელო თანხმობის მენეჯერების, სასაზღვრო მონაცემთა გადაცემების და მონაცემთა დაცვის საბჭოს შესახებ

ინდოეთის ციფრული პერსონალური მონაცემების დაცვის კანონი (DPDPA, 2023) 2023 წლის აგვისტოში მიიღეს, შემდეგ კი 2024 და 2025 წლების უმეტეს ნაწილი ნელ-ნელა, ეტაპობრივ გამოშვებაზე გაატარა, რამაც მრავალი უცხოელი მომგებელი მოლოდინის რეჟიმში მოაქცია. ეს პერიოდი დასრულდა. DPDP წესები 2025 წლის განმავლობაში სრულად გამოქვეყნდა, ინდოეთის მონაცემთა დაცვის საბჭო (DPBI) ახლა ოპერაციულია და განიხილავს საჩივრებს, ხოლო თანხმობის მენეჯერის ჩარჩო — ინდოეთის განსაკუთრებული არქიტექტურული წვლილი გლობალური კონფიდენციალობის სამართლის განვითარებაში — მუშა პროდუქციულ გარემოშია. 2026 წელს ინდოელი მომხმარებლების პერსონალური მონაცემების დამუშავებისას, ნებისმიერი მომგებელი, რეკლამის განმთავსებელი ან პლატფორმისთვის DPDPA აღარ არის მომავლის შეშფოთება. ეს არის შესაბამისობის მიმდინარე საბაზო ხაზი და GDPR-ისგან განსხვავდება ისეთი გზებით, რომლებიც მნიშვნელობას იძენს CMP-ების, საზღვარს მიღმა მონაცემთა ნაკადების და მონაცემთა სუბიექტის უფლებების ინჟინერიაში. ეს სახელმძღვანელო მოიარებს DPDPA-ს მისი გამოშვებული ფორმით, ინდური თანხმობა რეალურად რისი მოთხოვნაა, თანხმობის მენეჯერის ეკოსისტემა CMP-ის ლანდშაფტს როგორ ცვლის, და DPBI-ის 2026 წლის სამართალდამცავი პოზიცია პრაქტიკაში როგორ გამოიყურება.

DPDPA-ს სტრუქტურა 2026 წელს

DPDPA არის სპეციალიზებული მონაცემთა დაცვის კანონი, განსხვავებული ინდოეთის სექტორულ-სპეციფიკური კანონებისგან საბანკო, სატელეკომუნიკაციო და ჯანდაცვის სფეროებში. მისი გამოშვება განზრახ ეტაპობრივი იყო, რათა თანხმობის მენეჯერის ეკოსისტემა, DPBI და სასაზღვრო გადაცემის რეჟიმი თანმიმდევრულად ამოქმედდნენ.

2023 წლის მიღება და 2024-2025 წლების გამოშვება

DPDPA 2023 წლის აგვისტოში გაიარა პარლამენტი და მალე მიიღო პრეზიდენტის თანხმობა. ელექტრონიკისა და ინფორმაციული ტექნოლოგიების სამინისტრომ (MeitY) 2024 წელი გაატარა განხორციელების წესებზე კონსულტაციებში, საბოლოო წესები კი 2025 წელს რამდენიმე ტრანშში გამოქვეყნდა: პირველ ეტაპზე — თანხმობის მენეჯერის რეგისტრაციის ჩარჩო, შემდეგ — მონაცემთა სუბიექტის უფლებების პროცედურები, შემდეგ — სასაზღვრო გადაცემის შეტყობინებები, ბოლოს — მნიშვნელოვანი მონაცემთა მეურვის ზღვრები. 2026 წლის დასაწყისისთვის სრული ჩარჩო ძალაში შევიდა.

ვინ რეგულირდება

DPDPA ვრცელდება ინდოეთში ფიზიკური პირების ციფრული პერსონალური მონაცემების დამუშავებაზე. ის ასევე ეხება ექსტრატერიტორიულ საქმიანობას, როდესაც დამუშავება კავშირშია ინდოეთში მონაცემთა პრინციპებისთვის (data principal) საქონლის ან მომსახურების შეთავაზებასთან. ამერიკაში დაფუძნებული მომგებელი, რომელიც ინდოელ მომხმარებლებს ემსახურება ლოკალიზებული საიტით, ინდური ენის ვერსიით ან ინდური IP მისამართებისთვის შეძენილი პროგრამული ინვენტარის საშუალებით, შედის გამოყენების სფეროში. ეს ექსტრატერიტორიული გავრცელება ნათელია კანონში და გაძლიერებულია DPBI-ის ადრეული მითითებებით.

ტერმინოლოგიური განსხვავება

DPDPA საკუთარ ლექსიკას იყენებს, რომელიც განსხვავდება GDPR-ისგან და უახლესი აზიური ჩარჩოების უმეტესობისგან. მონაცემთა მეურვე (data fiduciary) არის ის, რასაც GDPR კონტროლერს უწოდებს. მონაცემთა დამამუშავებელი (data processor) ზუსტად შეესაბამება GDPR-ის დამამუშავებელს. მონაცემთა პრინციპი (data principal) არის მონაცემთა სუბიექტი. მნიშვნელოვანი მონაცემთა მეურვე (significant data fiduciary) არის კონტროლერი, რომელიც სცდება ცენტრალური მთავრობის მიერ გამოქვეყნებულ ზომის ან მგრძნობელობის ზღვრებს. DPDPA-სთან პირველად შეხებული უცხოელი მომგებლები ხშირად ამ ტერმინებს არასწორად ასახავენ; სწორი შესაბამისობის ადრე დადგენა გვიანდელ დაბნეულობას ზოგავს.

რა ითვლება პერსონალურ მონაცემებად

DPDPA-ს პერსონალური მონაცემების განმარტება ფართოა და მჭიდროდ ემთხვევა საერთაშორისო პრაქტიკას. პერსონალური მონაცემები არის ნებისმიერი მონაცემი ფიზიკური პირის შესახებ, რომელიც ამ მონაცემებით ან მათთან მიმართებაში იდენტიფიცირებადია. DPBI-მ ადრეული მითითებების მეშვეობით მიანიშნა, რომ ონლაინ იდენტიფიკატორები — ქუქი-ფაილები, სარეკლამო ID-ები, IP-მისამართები, მოწყობილობის თითის ანაბეჭდები და ქცევითი პროფილები — პერსონალური მონაცემებია, თუ ისინი იდენტიფიცირებად პიროვნებასთან შეიძლება დაუკავშირდეს პირდაპირ ან გონივრული საშუალებებით.

სენსიტიური კატეგორია არ არსებობს, მაგრამ მნიშვნელოვანი მონაცემთა მეურვის წესები არსებობს

GDPR-ის, LGPD-ისა და PIPA-ისგან განსხვავებით, DPDPA ოფიციალურად არ განსაზღვრავს სენსიტიური პერსონალური მონაცემების კატეგორიას. სამაგიეროდ, კანონი ეყრდნობა მნიშვნელოვანი მონაცემთა მეურვის დანიშნვას, რომელიც კონტროლერებს, რომლებიც დიდი მასშტაბით, ბავშვთა მონაცემებს, საარჩევნო მთლიანობაზე ზეგავლენის მოხდენის შემძლე ან ეროვნულ უსაფრთხოებაზე ზემოქმედების შემძლე მონაცემებს ამუშავებენ, დამატებით ვალდებულებებს უდებს. საბოლოო შედეგი ჰგავს GDPR-ის სენსიტიური კატეგორიების წესებს ყველაზე დიდი და ყველაზე სენსიტიური დამამუშავებლებისთვის, მაგრამ არქიტექტურა განსხვავებულია.

რატომ მნიშვნელოვანია ეს ქუქი-ფაილებისთვის

ჩვეულებრივი სარეკლამო იდენტიფიკატორის შემგროვებელი ქუქი-ფაილი არის პერსონალური მონაცემა, მაგრამ გაზრდილი ვალდებულებებს არ ექვემდებარება მხოლოდ იმიტომ, რომ სენსიტიური სახის აუდიტორიის სეგმენტს ავსებს. მაგრამ მომგებელი, რომელიც მნიშვნელოვანი მონაცემთა მეურვის ზღვარს აღწევს — მაგალითად, ათობით მილიონი ინდოელი მომხმარებლის მქონე დიდი პლატფორმა — დამატებით ვალდებულებებს იღებს, მათ შორის სავალდებულო მონაცემთა დაცვის ოფიცრს, პერიოდულ აუდიტებს და მონაცემთა დაცვის გავლენის შეფასებებს. ზომის ზღვრები 2025 წელს გამოქვეყნდა; გლობალური პლატფორმების უმეტესობა ახლა გამოყენების სფეროშია.

თანხმობა DPDPA-ს მიხედვით

DPDPA თანხმობას ჩარჩოს ცენტრში ათავსებს, მაგრამ მას განსაკუთრებული მოთხოვნების ნაკრებით განსაზღვრავს, რომელიც GDPR-ის თანხმობასთან ერთ-ერთი-ერთობლივ შეუსაბამებელია.

მოქმედი თანხმობის სტანდარტი

DPDPA-ს მიხედვით, თანხმობა უნდა იყოს:

ნივთობრივი შეტყობინების მოთხოვნა

DPDPA მოითხოვს შეტყობინებას თანხმობის მომენტში ან მანამდე, რომელიც აღწერს დასამუშავებელ პერსონალურ მონაცემებს, დამუშავების მიზანს, გზებს, რომლებითაც მონაცემთა პრინციპი შეიძლება ახორციელებდეს უფლებებს, და გზებს, რომლებითაც მონაცემთა პრინციპი შეიძლება საბჭოში ჩაიტანოს. შეტყობინება ხელმისაწვდომი უნდა იყოს ინგლისურად და ინდოეთის 22 დაგეგმილი ენიდან ნებისმიერი, რომელსაც მონაცემთა პრინციპი მოითხოვს.

თანხმობის მენეჯერის არქიტექტურა

სწორედ ამ ნაწილში განსხვავდება DPDPA ყველაზე მკვეთრად სხვა ჩარჩოებისგან. კანონი ადგენს ლიცენზირებულ როლს სახელად თანხმობის მენეჯერი — DPBI-ში დარეგისტრირებული მესამე მხარის სუბიექტი, რომელიც უზრუნველყოფს ურთიერთქმედებულ თანხმობის სამართავ პანელს, რომელიც მონაცემთა პრინციპებს საშუალებას აძლევს, ერთი ინტერფეისიდან, მრავალ მონაცემთა მეურვეში მიანიჭონ, განიხილონ, მართონ და გაიწვიონ თანხმობა. თანხმობის მენეჯერები უნდა დარეგისტრირდნენ საბჭოში და უნდა შეასრულონ ტექნიკური ურთიერთქმედების სპეციფიკაციები. პრაქტიკაში, მონაცემთა მეურვეებს შეუძლიათ მიიღონ თანხმობა პირდაპირ საკუთარი CMP-ის ან დარეგისტრირებული თანხმობის მენეჯერის მეშვეობით, და ბევრ შემთხვევაში მონაცემთა პრინციპები ირჩევენ თანხმობის ცენტრალიზაციას თანხმობის მენეჯერის მეშვეობით, ვიდრე ყოველი საიტის ბანერის ცალ-ცალკე მართვა.

როგორ გამოიყურება შესაბამისი CMP

2026 წელს ინდური ტრაფიკისთვის კონფიგურირებული CMP უნდა წარადგინოს:

თანხმობის ჩანაწერები

მონაცემთა მეურვეებმა უნდა შეინახონ თანხმობის ჩანაწერები, მათ შორის ვინ, როდის, რომელი ინტერფეისის მეშვეობით, რომელ მიზანზე დათანხმდა, და ნებისმიერი შემდგომი ცვლილება. DPBI-მ ადრეული გადაწყვეტილებების მრავალ შემთხვევაში არასაკმარის თანხმობის ჟურნალებზე მიუთითა, და ექსპორტირებადი, დროის ნიშნით მონიშნული თანხმობის ჩანაწერები საბაზო მოთხოვნაა.

სასაზღვრო მონაცემთა გადაცემები

DPDPA-ს სასაზღვრო გადაცემის ჩარჩო ინდური რეჟიმის ერთ-ერთი ყველაზე თავისებური ელემენტია და მნიშვნელოვნად განსხვავდება GDPR-ის, PIPA-ს და შეცვლილი KVKK-ის მიერ გამოყენებული შესაფერობა-პლუს-გარანტიების მოდელისგან.

შეტყობინების ჩარჩო

DPDPA უარყოფითი სიის მიდგომით მუშაობს: სასაზღვრო გადაცემები ზოგადად ნებადართულია, გარდა იმ შემთხვევისა, თუ სამიზნე ქვეყანა ცენტრალური მთავრობის მიერ გამოქვეყნებული შეზღუდული იურისდიქციების სიაში ჩნდება. ეს GDPR-ის შესაფერობის მოდელის პირიქითია, რომელიც გადაცემებს აკრძალულად განიხილავს, თუ არ არის დადებითი შესაფერობის გადაწყვეტილება ან გარანტიები. DPDPA-ს მიდგომა ზედაპირულად უფრო ლიბერალურია, მაგრამ უარყოფითი სია სამთავრობო შეხედულებისამებრ შეიძლება გაფართოვდეს, და 2025 წლის განმავლობაში სპეციფიკური მონაცემთა კატეგორიებისთვის რამდენიმე იურისდიქცია სიაში შევიდა.

ოპერაციული მნიშვნელობა

2026 წელს პროგრამული რეკლამის ნაკადების უმეტესობისთვის პასუხი ის არის, რომ ძირითადი სარეკლამო-ტექნოლოგიური დანიშნულებისკენ სასაზღვრო გადაცემები ნებადართულია, თუ სამიზნე ქვეყანა შეზღუდულ სიაში არ არის. მომგებლებმა უნდა შეამოწმონ მიმდინარე გამოქვეყნებული სია, შეინახონ გადაცემის და მისი მიზნის დოკუმენტაცია, და მზად იყვნენ ნაკადების გადამისამართებაზე ან შეჩერებაზე, თუ სამიზნე დაემატება. ეს მნიშვნელოვნად მარტივია ვიდრე GDPR-ის გადაცემის მექანიზმები ნაკადების უმეტესობისთვის, მაგრამ სიფხიზლის მოთხოვნა რეალურია.

სექტორ-სპეციფიკური ლოკალიზაცია

DPDPA-სგან დამოუკიდებლად, ინდოეთის რამდენიმე სექტორული რეგულატორი — მათ შორის ფინანსური მონაცემებისთვის Reserve Bank of India და ჯანდაცვის მონაცემებისთვის ჯანდაცვის სამინისტრო — საკუთარი ლოკალიზაციის მოთხოვნებს DPDPA-ს თავზე ადებს. ამ რეგულირებული სექტორებიდან ერთ-ერთში ინდოელ მომხმარებლებს მომსახურე მომგებელმა DPDPA-ს და გამოყენებადი სექტორული წესების შესაბამისობა უნდა უზრუნველყოს.

მონაცემთა პრინციპის უფლებები

DPDPA მონაცემთა პრინციპებს GDPR-ის მსგავს, მაგრამ ოდნავ უფრო ვიწრო უფლებათა კომპლექტს ანიჭებს:

რა არ არის უფლებების სიაში

საყურადღებოა, რომ DPDPA არ მოიცავს დამოუკიდებელ პორტაბელობის უფლებას, ზოგად წინააღმდეგობის უფლებას დამუშავების მიმართ, ან ავტომატიზებული გადაწყვეტილების მიღების მიმართ ცხადი უფლებას — თუმცა მნიშვნელოვანი მონაცემთა მეურვის რეჟიმი და თანხმობის გახმობის მექანიზმი ირიბად იმავე დიდ ნაწილს ფარავს.

პასუხის დროის ჩარჩო

მონაცემთა მეურვეებმა უნდა უპასუხონ მონაცემთა პრინციპების მოთხოვნებს გამოქვეყნებულ წესებში მითითებულ ვადებში — რაც უმეტეს შემთხვევაში მითითებული ფანჯარის ფარგლებში გონივრულ პერიოდშია, ხოლო DPBI მნიშვნელოვან დაყოვნებას შესაბამისობის წარუმატებლობად განიხილავს. საჩივრის გამოსწორების სისტემა პირველი ნაბიჯია; მხოლოდ გადაუჭრელი საჩივრები ესკალაციაში გადადის საბჭოში.

მნიშვნელოვანი მონაცემთა მეურვეები

მნიშვნელოვანი მონაცემთა მეურვის (SDF) დანიშვნა DPDPA-ს საბაზო მოთხოვნებს მიღმა დამატებითი ვალდებულებებს ააქტიურებს.

დამატებითი ვალდებულებები

ვინ შეესაბამება

ზომა, დამუშავებული პერსონალური მონაცემების მოცულობა, მონაცემების მგრძნობელობა, მონაცემთა პრინციპებისთვის რისკი, საარჩევნო დემოკრატიაზე, უსაფრთხოებასა და სუვერენიტეტზე პოტენციური გავლენა, და საზოგადოებრივ წესრიგზე პოტენციური გავლენა ყველა ფაქტორია. ცენტრალური მთავრობა ინდივიდუალურად ან კლასის მიხედვით ცხადდება SDF-ებს. 2026 წელს ინდოეთს მომსახურე გლობალური პლატფორმების უმეტესობა გამოქვეყნებული კლასებშია.

ბავშვთა მონაცემები

DPDPA ბავშვს განსაზღვრავს, როგორც 18 წლამდე ასაკის ნებისმიერ პირს — ეს GDPR-ის სტანდარტულ 16-ზე და სხვადასხვა ქვეყნის დაბალ ზღვრებზე მაღლაა. ბავშვთა პერსონალური მონაცემების დამუშავება საჭიროებს დადასტურებულ მშობლის თანხმობას, ხოლო ბავშვების თვალყურის დევნება, მიზნობრივი რეკლამა და ქცევითი მონიტორინგი შეზღუდულია, თანხმობის სტატუსისგან დამოუკიდებლად. ის მომგებლები, რომელთა აუდიტორია 18 წლამდე ასაკის მნიშვნელოვანი ტრაფიკს მოიცავს, საჭიროებენ ასაკობრივ კარიბჭეს, მშობლის თანხმობის ნაკადებს და შეზღუდულ დამუშავებას მოზარდი სეგმენტისთვის — ყველა ეს ნამდვილ ინჟინრულ სამუშაოს მოითხოვს, რომელიც სტანდარტულად ცოტა უცხოელ მომგებელს დაუმთავრებია.

ჯარიმები და სამართალდამცავი ორგანოები

DPDPA-მ შემოიღო ჯარიმების სისტემა, რომელიც ინდოეთის ისტორიულ ადმინისტრაციულ ჯარიმებზე მაღალი იყო და მნიშვნელოვნად კალიბრებულია დარღვევის სიმძიმის მიხედვით.

ადმინისტრაციული ჯარიმები

DPDPA ყველაზე სერიოზული დარღვევებისთვის დარღვევაზე INR 250 crore-მდე (დაახლოებით USD 30 მილიონი) ჯარიმების დაწესებას იძლევა. დაბალი დონის ჯარიმები ვრცელდება თანხმობის, შეტყობინების, უსაფრთხოების, დარღვევის შეტყობინების და საჩივრის გამოსწორების ჩარიხებზე. DPBI-მ 2025 და 2026 წლის დასაწყისში რამდენჯერმე გამოიყენა სკალის შუა ნაწილი, და ჯარიმების სტრუქტურა სისტემური წარუმატებლობით ესკალაციისთვისაა შექმნილი.

DPBI-ის სამართალდამცავი თემები

DPBI-ის ადრეული გადაწყვეტილებები მცირე ნაკრებ განმეორებად პრობლემებს ჯგუფდება: ჭეშმარიტი უარყოფის ვარიანტის მქონე თანხმობის ბანერები, DPBI-ის საჩივრის არხებს არ აღწერს შეტყობინებები, შეზღუდულ სიაზე მყოფ დანიშნულებებისკენ სასაზღვრო ნაკადები, საჩივრის გამოსწორების სისტემები, რომლებიც სინამდვილეში არ პასუხობს, და თანხმობის მენეჯერის ურთიერთქმედების წარუმატებლობები. უცხოელი მომგებლები ამ კატეგორიების თითქმის ყველაში იყვნენ მოხსენიებული.

რეპუტაციური განზომილება

DPBI საჯაროდ აქვეყნებს გადაწყვეტილებებს, მეურვის სახელისა და წარუმატებლობის შეჯამების ჩათვლით. ინდურ ბაზარზე, სადაც რეგულატორული ხახუნი სწრაფად მედიის გაშუქებად და პოლიტიკური ყურადღებად ითარგმნება, გამოქვეყნებული DPBI-ის გადაწყვეტილების რეპუტაციური ფასი ფინანსური ჯარიმის გარდა მნიშვნელოვანია.

2026 წლის ინდური ტრაფიკის აუდიტის ჩამოთვლა

2026 წლის პერსპექტივა

ინდოეთის კონფიდენციალობის რეჟიმი ორ წელზე ოდნავ მეტ დროში საკანონმდებლო აბსტრაქციდან ოპერაციულ რეალობაში გადაიქცა. DPDPA-ს არქიტექტურა განსაკუთრებულია — თანხმობის მენეჯერის ეკოსისტემა პორტაბელური, ურთიერთქმედებული თანხმობის ყველაზე თვალსაჩინო გლობალური ექსპერიმენტია, და უარყოფითი სიის გადაცემის მიდგომა სხვა ჩარჩოებს რომ ბატონობს შესაფერობა-პლუს-გარანტიების მოდელისგან მნიშვნელოვნად განსხვავდება. GDPR-ის დონის თანხმობის სტეკს უკვე მომსახურე მომგებლებისთვის DPDPA-ს შესაბამისობამდე ხარვეზი ოპერაციულია, ვიდრე არქიტექტურული: თანხმობის მენეჯერის ურთიერთქმედება, დაგეგმილი ენის შეტყობინებები, DPBI-ის საჩივრის გამჟღავნებები, 18 წლამდე ზღვარი და უარყოფითი სიის გადაცემის შემოწმება. ხარვეზი კვირებში შეიძლება დაიხუროს, თუ პრიორიტეტი მიენიჭება. მომგებლები, ვინც დახურავს DPBI-ის კართან მოსვლამდე, გარდამავალს ვერ შეამჩნევენ. ვინც ელოდება, 2026 და 2027 წლები მანამდელ წლებზე მნიშვნელოვნად ძვირი დაუჯდება.

← ბlodelays delays ყველას წაკითხვა →