Комплаенс8 мам. 2026 | FlexyConsent

Үндістанның DPDP заңы 2026 жылы: баспагерлер мен жарнама берушілерге арналған Consent Manager, шекараны кесіп өтетін деректер тасымалдары және Деректерді қорғау кеңесі бойынша нұсқаулық

Үндістанның Сандық жеке деректерді қорғау туралы заңы (DPDPA, 2023) 2023 жылдың тамызында қабылданды, содан кейін 2024 және 2025 жылдардың көп бөлігін баяу, кезең-кезеңмен енгізуде өткізді, бұл барлық шетелдік баспагерлерді күту режимінде ұстады. Бұл кезең аяқталды. DPDP ережелері 2025 жылы толығымен хабарланды, Үндістанның деректерді қорғау кеңесі (DPBI) қазір жұмыс істеп, шағымдарды қарайды, және Consent Manager шеңбері — Үндістанның жаһандық жеке өмір сақтау заңына ерекше сәулеттік үлесі — өндірістік ортада іске қосылды. 2026 жылы үнді пайдаланушыларының жеке деректерін өңдейтін кез келген баспагер, жарнама беруші немесе платформа үшін DPDPA ендігі болашақ мәселесі емес. Бұл — ағымдағы сәйкестіліктің бастапқы деңгейі, ол CMP-лерді, шекараны кесіп өтетін ағындарды және деректер субъектілерінің құқықтарын инженерлеу жолдарын анықтайтын тәсілдермен GDPR-дан ерекшеленеді. Бұл нұсқаулық DPDPA-ны іске қосылған күйінде, үнді келісімі нақты нені талап ететінін, Consent Manager экожүйесінің CMP ландшафтын қалай өзгертетінін және DPBI-дің 2026 жылғы орындау ұстанымы іс жүзінде қалай көрінетінін талдайды.

DPDPA-ның 2026 жылғы құрылымы

DPDPA — банк ісі, телекоммуникациялар және денсаулық сақтау саласындағы Үндістанның салалық заңдарынан бөлек, дербес деректерді қорғау заңы. Оның енгізілуі әдейі кезең-кезеңдік болды, сондықтан Consent Manager экожүйесі, DPBI және шекараны кесіп өтетін тасымалдар режимі дәйекті түрде іске қосылды.

2023 жылғы қабылдануы және 2024-2025 жылдардағы енгізілуі

DPDPA 2023 жылдың тамызында Парламентте қабылданды және көп ұзамай президенттің мақұлдауын алды. Электроника және ақпараттық технологиялар министрлігі (MeitY) 2024 жылды іске асыру ережелерін талқылауға жұмсады, ал соңғы ережелер 2025 жылы бірнеше бөлікпен хабарланды: алдымен Consent Manager тіркеу шеңбері, содан кейін деректер субъектілерінің құқықтары рәсімдері, содан кейін шекараны кесіп өтетін тасымал хабарламалары, содан кейін маңызды деректер фидуциарларының шектері. 2026 жылдың басында толық шеңбер күшіне енді.

Кім реттеледі

DPDPA Үндістандағы жеке тұлғалардың цифрлық жеке деректерін өңдеуге қолданылады. Сондай-ақ өңдеу Үндістандағы деректер принципиалдарына (data principal) тауарлар немесе қызметтер ұсынуға байланысты болған кезде аумақтан тыс қолданылады. Үнді пайдаланушыларға жергілікті сайт, үнді тілдік нұсқасы немесе үнді IP мекенжайларына қарсы сатып алынған бағдарламалық қор арқылы қызмет көрсететін АҚШ-та орналасқан баспагер қолдану аясына кіреді. Бұл аумақтан тыс қолдану заңда анық және DPBI-дің алғашқы нұсқауларында бекітілген.

Терминологиялық алшақтық

DPDPA GDPR-дан және жаңа азиялық шеңберлердің көпшілігінен ерекшеленетін өз лексикасын пайдаланады. Деректер фидуциары (data fiduciary) — GDPR бақылаушы деп атайтын тұлға. Деректерді өңдеуші (data processor) GDPR өңдеушісіне нақты сәйкес келеді. Деректер принципиалы (data principal) деректер субъектісі болып табылады. Маңызды деректер фидуциары (significant data fiduciary) орталық үкімет хабарлаған мөлшер немесе сезімталдық шектерінен жоғары бақылаушы. DPDPA-мен алғаш рет кездескен шетелдік баспагерлер бұл терминдерді жиі қате картаға түсіреді; картографияны ерте орнату кейінгі шатасушылықтан аулақ болдырады.

Жеке деректер дегеніміз не

DPDPA-ның жеке деректер анықтамасы кең және халықаралық практикаға жақын. Жеке деректер — осы деректер арқылы немесе солармен байланысты анықталатын тұлға туралы кез келген деректер. DPBI алғашқы нұсқаулары арқылы онлайн идентификаторлардың — cookie файлдары, жарнамалық идентификаторлар, IP мекенжайлары, құрылғы саусақ іздері және мінез-құлық профильдері — тікелей немесе ақылға қонымды тәсілдер арқылы анықталатын тұлғамен байланыстырылуы мүмкін болған кезде жеке деректер болып табылатынын атап өтті.

Сезімтал санат жоқ, бірақ маңызды деректер фидуциарының ережелері бар

GDPR-дан, LGPD-тен және PIPA-дан айырмашылығы, DPDPA сезімтал жеке деректер санатын ресми түрде анықтамайды. Оның орнына Заң маңызды деректер фидуциары тағайындауына сүйенеді, бұл ауқымды деректерді өңдейтін, балалардың деректерін өңдейтін, сайлаудың тұтастығына әсер етуі мүмкін деректерді өңдейтін немесе ұлттық қауіпсіздікке әсер етуі мүмкін деректерді өңдейтін бақылаушыларға қосымша міндеттер жүктейді. Ең ірі және ең сезімтал өңдеушілер үшін нәтиже GDPR-дың сезімтал санат ережелеріне ұқсас, бірақ сәулет өзгеше.

Бұл cookie файлдары үшін неліктен маңызды

Кәдімгі жарнамалық идентификатор жинайтын cookie файлы жеке деректер болып табылады, бірақ тек сезімтал тыңдаушы сегментіне деректер беретіні үшін ерекшеленген міндеттерге жатпайды. Бірақ маңызды деректер фидуциарының шегіне жеткен баспагер — мысалы, ондаған миллион үнді пайдаланушысы бар ірі платформа — міндетті Деректерді қорғау жөніндегі офицерді, мерзімді аудиттерді және Деректерді қорғауға ықпал ету бағалауларын қоса алғанда, қосымша міндеттер алады. Мөлшер шектері 2025 жылы хабарланды; ірі жаһандық платформалардың көпшілігі қазір қолдану аясына кіреді.

DPDPA бойынша келісім

DPDPA келісімді шеңберінің орталығына қояды, бірақ оны GDPR келісімімен бір-ден-бірге сәйкес келмейтін ерекше талаптар жиынтығымен анықтайды.

Жарамды келісім стандарты

DPDPA бойынша келісім мыналарды орындауы керек:

Еркін — пайдаланушы өзгеше пайдалана алатын қызметті ұсынуды шарт ретінде қоймай, мәжбүрлемей
Нақты — нақты анықталған мақсатқа байланысты, жалпы қамтыған келісім емес
Ақпараттандырылған — деректер принципиалы қандай деректер өңделетінін және қандай мақсатта екенін түсінеді
Шартсыз — келісім маңызды емес шарттармен байланысты емес
Анық — үнсіздіктен немесе белсенсіздіктен шығаруды емес, нақты оң іс-қимыл арқылы білдіреді

Нақтыланған хабарлама талабы

DPDPA келісімнің барысында немесе одан бұрын өңделетін жеке деректерді, өңдеудің мақсатын, деректер принципиалының құқықтарын жүзеге асыру тәсілдерін және деректер принципиалының Кеңеске шағымдану тәсілін сипаттайтын хабарлама ұсынуды талап етеді. Хабарлама ағылшын тілінде және деректер принципиалы сұраған Үндістанның 22 жоспарланған тілінің кез келгенінде қолжетімді болуы керек.

Consent Manager сәулеті

DPDPA осы жерде басқа шеңберлерден ең айқын ерекшеленеді. Заң Consent Manager деп аталатын лицензияланған рөл орнатады — DPBI-де тіркелген үшінші тарап ұйымы, деректер принципиалдарына бір интерфейстен бірнеше деректер фидуциарлары бойынша келісімдерді беруге, қарап шығуға, басқаруға және кері қайтаруға мүмкіндік беретін өзара жұмыс жасайтын келісім бақылау тақтасын ұсынады. Consent Manager-лер Кеңеске тіркелуі және техникалық өзара жұмыс жасау сипаттамаларына сай болуы керек. Іс жүзінде деректер фидуциарлары келісімді не тікелей өз CMP-і арқылы, не тіркелген Consent Manager арқылы ала алады, және көп жағдайда деректер принципиалдары әр сайттың баннерін жеке-жеке басқарудың орнына Consent Manager арқылы келісімдерін орталықтандыруды таңдайды.

Сәйкес CMP қалай көрінеді

2026 жылы үнді трафигіне арналып конфигурацияланған CMP мыналарды ұсынуы керек:

Маңызды емес cookie файлдары немесе бақылаушылар іске қосылмай тұрып, Қабылдау, Бас тарту және Теңшеу әрекеттері бірдей визуалды бедерде пайда болатын көрінетін баннер
Ағылшын тілінде және сұралған жағдайда пайдаланушының жоспарланған тілінде қолжетімділік
Аналитика, жарнама, жекелеу және шекараны кесіп өту тасымалдарын қамтитын мақсат бойынша детальды келісім ауыстырып қосқыштар
Құқықтар мен DPBI шағымдау арнасын қамтитын толық нақтыланған хабарламаға нақты сілтеме
Келісімді беру сияқты жеңіл келісімді кері қайтаруға арналған тұрақты, оңай табылатын механизм
Деректер принципиалы таңдаған Consent Manager-мен келісім жай-күйін синхрондауға болатындай тіркелген Consent Manager-лермен техникалық өзара жұмыс жасаушылық

Келісім жазбалары

Деректер фидуциарлары кім, қашан, қай интерфейс арқылы, қай мақсатқа келісім бергенін және кейінгі өзгерістерді қамтитын келісім жазбаларын жүргізуі керек. DPBI алғашқы іс жүргізулерінің бірнешеуінде жеткіліксіз келісім журналдарын атап өтті, және экспортталатын, уақыт белгісі бар келісім жазбалары базалық күтіліс болып табылады.

Шекараны кесіп өтетін деректер тасымалдары

DPDPA-ның шекараны кесіп өтетін тасымал шеңбері үнді режимінің ең ерекше элементтерінің бірі болып табылады және GDPR, PIPA және өзгертілген KVKK пайдаланатын жеткіліктілік-плюс-кепілдіктер үлгісінен мағыналы түрде ерекшеленеді.

Хабарлама шеңбері

DPDPA теріс тізімдеме тәсілімен жұмыс жасайды: орталық үкімет хабарлаған шектеулі юрисдикциялар тізімінде мақсатты ел пайда болмаса, шекараны кесіп өтетін тасымалдар жалпы рұқсат етіледі. Бұл жаһандық нарық үшін GDPR жеткіліктілік моделінің кері болып табылады, ол тасымалдарды оң жеткіліктілік шешімі немесе кепілдіктер болмаса тыйым салынған деп есептейді. DPDPA тәсілі беткі жағынан рұқсат берушірек, бірақ теріс тізімді үкімет қалауынша кеңейте алады, және 2025 жылы белгілі деректер санаттары үшін бірнеше юрисдикция тізімге енгізілді.

Бұл оперативтік тұрғыдан не білдіреді

2026 жылғы бағдарламалық жарнама ағындарының көпшілігі үшін жауап — мақсатты ел шектеулі тізімде болмаса, негізгі жарнамалық технологиялар бағыттарына шекараны кесіп өтетін тасымалдарға рұқсат етіледі. Баспагерлер ағымдағы хабарланған тізімді тексеруі, тасымалдың және оның мақсатының құжаттамасын сақтауы, және тағайындалған жер қосылған жағдайда ағындарды қайта бағыттауға немесе кідіртуге дайын болуы керек. Бұл ағындардың көпшілігі үшін GDPR тасымал механиктерінен мағыналы түрде қарапайым, бірақ сергектік талабы шынайы.

Секторға тән жергілікті жасау

DPDPA-дан бөлек, бірнеше үнді салалық реттеушілер — қаржылық деректер үшін Reserve Bank of India және денсаулық деректері үшін Денсаулық сақтау министрлігін қосқанда — DPDPA-ның үстінде тұратын өз жергілікті жасау талаптарына ие. Осы реттелген секторлардың бірінде үнді пайдаланушыларына қызмет көрсететін баспагер DPDPA-ға да, қолданылатын салалық ережелерге де сай болуы керек.

Деректер принципиалының құқықтары

DPDPA деректер принципиалдарына GDPR-дан таныс, бірақ сәл тар құқықтар шоғырын береді:

Санаттар мен өңдеушілерді қамтитын өңделіп жатқан жеке деректерге қол жеткізу құқығы
Жеке деректерді түзету, толықтыру және жаңарту құқығы
Мәлімделген мақсат үшін енді қажет емес жеке деректерді жою құқығы
Өлім немесе әрекетке қабілетсіздік жағдайында деректер принципиалының атынан құқықтарды жүзеге асыру үшін басқа тұлғаны тағайындау құқығы
Деректер фидуциары арқылы шағымды қарату құқығы
Шағымды қарату қанағаттанарлықсыз болса Деректерді қорғау кеңесіне шағымдану құқығы

Құқықтар тізімінде не жоқ

DPDPA дербес тасымалдану құқығын, өңдеуге қарсылық білдірудің жалпы құқығын немесе автоматтандырылған шешім қабылдауға қарсы айқын құқықты қамтымайды — бірақ маңызды деректер фидуциарының режимі мен келісімді кері қайтару механизмі жанама түрде бірдей нәтижелердің көп бөлігін жабады.

Жауап уақыты кестесі

Деректер фидуциарлары деректер принципиалдарының сұрауларына хабарланған ережелерде белгіленген мерзімдер ішінде жауап беруі керек — бұл көп жағдайда белгіленген шеңберден аспайтын ақылға қонымды кезеңде, DPBI мағыналы кешігуді сәйкестілік сәтсіздігі ретінде қарастырады. Шағымдарды қарату жүйесі бірінші қадам; тек шешілмеген шағымдар Кеңеске шығарылады.

Маңызды деректер фидуциарлары

Маңызды деректер фидуциары (SDF) тағайындауы DPDPA-ның базалық талаптарынан тыс қосымша міндеттерді белсендіреді.

Қосымша міндеттер

Үндістанда орналасқан Деректерді қорғау жөніндегі офицерді тағайындау
Белгіленген өңдеу іс-шаралары үшін кезеңдік Деректерді қорғауға ықпал ету бағалаулары
Кезеңдік тәуелсіз аудиттер
Алгоритмдік өңдеу туралы қосымша ашықтық міндеттемелері
Қатаырақ бұзылу туралы хабарлама және жазбаларды жүргізу

Кімдер жатады

Мөлшер, өңделетін жеке деректердің көлемі, деректердің сезімталдығы, деректер принципиалдарына тәуекел, сайлаулық демократияға, қауіпсіздік пен егемендікке ықтимал ықпал, және қоғамдық тәртіпке ықтимал ықпал — бәрі де факторлар. Орталық үкімет SDF-терді жеке немесе сыныппен хабарлайды. Үндістанға қызмет ететін ірі жаһандық платформалардың көпшілігі 2026 жылы хабарланған сыныптарға кіреді.

Балалардың деректері

DPDPA баланы 18 жасқа толмаған кез келген тұлға ретінде анықтайды — бұл GDPR-дың 16-дағы әдепкі шегінен және әртүрлі ұлттық төменгі шектерден жоғары. Балалардың жеке деректерін өңдеу тексерілетін ата-ана келісімін қажет етеді, ал балаларды бақылау, мақсатты жарнама және мінез-құлықты бақылау келісімнің жай-күйіне қарамастан шектеулі. Аудиториясы 18 жасқа дейінгі елеулі трафикті қамтитын баспагерлер жас-аңғарым қақпасын, ата-ана келісімі ағындарын және кәмелетке толмаған сегмент үшін шектеулі өңдеуді қажет етеді — мұның барлығы шетелдік баспагерлердің азы ғана əдепкi бойынша аяқтаған нақты инженерлік жұмысты талап етеді.

Айыппұлдар және орындату

DPDPA тарихи үнді әкімшілік айыппұлдарынан жоғары және бұзушылықтың ауырлығына мағыналы түрде калибрленген айыппұл режимін енгізді.

Әкімшілік айыппұлдар

DPDPA ең ауыр бұзушылықтар үшін бұзушылық үшін INR 250 crore-ге дейін (шамамен USD 30 миллион) айыппұлға жол береді. Келісімге, хабарламаға, қауіпсіздікке, бұзылу туралы хабарламаға және шағымдарды қаратуға байланысты сәтсіздіктер үшін төменгі деңгейлі айыппұлдар қолданылады. DPBI 2025 және 2026 жылдың басында бірнеше рет шкаланың ортасын пайдаланды, және айыппұл құрылымы жүйелі сәтсіздікпен эскалациялауға арналған.

DPBI-дің орындату тақырыптары

Алғашқы DPBI шешімдері аз санды қайталанатын мәселелер айналасында шоғырланады: шынайы бас тарту опциясы жоқ келісім баннерлері, DPBI шағым арналарын сипаттамайтын хабарламалар, шектеулі тізімдегі тағайындалған жерлерге шекараны кесіп өту ағындары, шынымен жауап бермейтін шағымдарды қарату жүйелері, және Consent Manager өзара жұмыс жасаушылық сәтсіздіктері. Шетелдік баспагерлер осы санаттардың барлығында дерлік аталған.

Беделдік өлшем

DPBI шешімдерін жарияшылықта жариялайды, фидуциарияның атауы мен сәтсіздіктің қысқаша мазмұнын қамтиды. Реттеуші үйкеліс тез арада бұқаралық ақпарат құралдарының назары мен саяси назарға айналатын үнді нарығында жарияланған DPBI шешімінің беделдік бағасы қаржылық айыппұлдан тыс мағыналы.

2026 жылғы үнді трафигіне арналған аудит тексерімдемесі

CMP баннері Қабылдау, Бас тарту және Теңшеу бірдей визуалды бедерде ұсынылады
Хабарлама ағылшын тілінде және қолданылатын жерде деректер принципиалы сұраған жоспарланған тілде қолжетімді
Хабарлама DPBI шағым арнасын және деректер принципиалының құқықтарын нақты сипаттайды
Келісім мақсаттары детальды, шекараны кесіп өту тасымалы жеке мақсат ретінде қамтылды
Кем дегенде бір тіркелген Consent Manager-мен техникалық өзара жұмыс жасаушылық орнатылды
Келісімді кері қайтару келісімді беру сияқты жеңіл, және өшіру мен белсендіру фильтрациясын жоғары ағында іске қосады
Деректер принципиалының құқықтар жұмыс процесі — қол жеткізу, түзету, жою, тағайындау — қызметкерлермен жасақталған және құжатталған
Шағымдарды қарату арнасы жауап уақыты бақыланатын қызметкерлермен жасақталған
Шекараны кесіп өту тасымалының тағайындалған жерлері ағымдағы шектеулі тізімге қарсы тексерілді және құжатталды
Шек асылса, маңызды деректер фидуциарының міндеттемелері — DPO, DPIA, аудит — орнатылды
18 жасқа дейінгі пайдаланушылар үшін жас-аңғарым ағыны, қолданылатын жерде тексерілетін ата-ана келісімімен
Баспагер реттелген секторда жұмыс жасаса, секторға тән жергілікті жасау және өңдеу ережелері құжатталған және орындалды

2026 жылғы болжам

Үндістанның жеке өмір сақтау режимі екі жылдан сәл артық уақыт ішінде заңнамалық абстракциядан операциялық шындыққа ауысты. DPDPA сәулеті ерекше — Consent Manager экожүйесі тасымалданатын, өзара жұмыс жасайтын келісімдегі ең айқын жаһандық тәжірибе, ал теріс тізімдеме тасымал тәсілі басқа шеңберлерде үстемдік ететін жеткіліктілік-плюс-кепілдіктер үлгісінен мағыналы түрде ерекшеленеді. GDPR деңгейіндегі келісім стегін бұрыннан жүргізетін баспагерлер үшін DPDPA сәйкестілігіне дейінгі алшақтық сәулеттіктен гөрі операциялық сипатта: Consent Manager өзара жұмыс жасаушылығы, жоспарланған тілдегі хабарламалар, DPBI шағымдарын ашу, 18 жасқа дейінгі шек, және теріс тізімдеме тасымал тексеруі. Алшақтықты бірнеше апта ішінде жабуға болады, егер ол басымдылық ретінде қарастырылса. DPBI есігін қаққанға дейін жабатын баспагерлер өтпелі кезеңді байқамайды. Күтетіндер 2026 және 2027 жылдарды алдыңғы жылдарға қарағанда мағыналы түрде қымбат деп санайды.