Indijos DPDP įstatymas 2026 m.: Leidėjų ir reklamuotojų vadovas apie sutikimų tvarkytojus, tarptautinius duomenų perdavimus ir Duomenų apsaugos tarybą
Indijos Skaitmeninių asmens duomenų apsaugos įstatymas (DPDPA, 2023) buvo priimtas 2023 m. rugpjūtį, o tada didžiąją 2024 ir 2025 m. dalį praleido lėtame, etapiniame diegime, kuris daugelį užsienio leidėjų laikė laukimo režime. Tas laikotarpis baigėsi. DPDP taisyklės buvo visiškai paskelbtos per 2025 m., Indijos duomenų apsaugos taryba (DPBI) dabar veikia ir nagrinėja skundus, o sutikimų tvarkytojo sistema — savitas Indijos architektūrinis indėlis į pasaulinę privatumo teisę — veikia gamybos aplinkoje. Kiekvienam leidėjui, reklamuotojui ar platformai, 2026 m. tvarkančiai Indijos vartotojų asmens duomenis, DPDPA nebėra ateities rūpestis. Tai yra dabartinis atitikties pagrindas, kuris skiriasi nuo GDPR būdais, svarbiais CMP, tarpvalstybinių duomenų srautų ir duomenų subjekto teisių projektavimui. Šis vadovas apžvelgia DPDPA jos įdiegtoje formoje, ką iš tiesų reikalauja Indijos sutikimas, kaip sutikimų tvarkytojų ekosistema keičia CMP kraštovaizdį ir kaip atrodo DPBI vykdymo pozicija 2026 m. praktikoje.
DPDPA struktūra 2026 m.
DPDPA yra atskiras duomenų apsaugos teisės aktas, skirtingas nuo Indijos sektoriaus specifinių bankų, telekomunikacijų ir sveikatos srities įstatymų. Jo diegimas buvo sąmoningai etapinis, kad sutikimų tvarkytojų ekosistema, DPBI ir tarpvalstybinių perdavimų sistema kiekviena galėtų pradėti veikti paeiliui.
2023 m. priėmimas ir 2024–2025 m. diegimas
DPDPA praėjo Parlamentą 2023 m. rugpjūtį ir netrukus gavo prezidento pritarimą. Elektronikos ir informacinių technologijų ministerija (MeitY) 2024 m. konsultavosi dėl įgyvendinimo taisyklių, o galutinės taisyklės buvo paskelbtos per 2025 m. keliais etapais: pirma — sutikimų tvarkytojų registracijos sistema, tada — duomenų subjekto teisių procedūros, tada — tarpvalstybinių perdavimų pranešimai, tada — svarbių duomenų tvarkytojų ribos. 2026 m. pradžioje visa sistema buvo įsigaliojusi.
Kas reguliuojamas
DPDPA taikoma Indijoje esančių asmenų skaitmeninių asmens duomenų tvarkymui. Ji taip pat taikoma eksteritoriškai, kai tvarkymas vykdomas siekiant pasiūlyti prekes ar paslaugas Indijos duomenų subjektams (data principal). JAV įsikūręs leidėjas, aptarnaujantis Indijos vartotojus lokalizuota svetaine, hindi versija arba programiškai įsigytu inventoriumi pagal Indijos IP adresus, patenka į taikymo sritį. Šis eksteritorinis taikymas yra nedviprasmiškas teisės akte ir buvo patvirtintas ankstyvuose DPBI gairėse.
Terminologijos atotrūkis
DPDPA naudoja savo žodyną, kuris skiriasi nuo GDPR ir daugelio naujesnių Azijos sistemų. Duomenų patikėtinis (data fiduciary) yra tai, ką GDPR vadina valdytoju. Duomenų tvarkytojas (data processor) tiksliai atitinka GDPR tvarkytoją. Duomenų subjektas (data principal) yra duomenų subjektas. Svarbus duomenų patikėtinis (significant data fiduciary) yra valdytojas, viršijantis centrinės valdžios paskelbtus dydžio arba jautrumo slenksčius. Užsienio leidėjai, pirmą kartą susiduriantys su DPDPA, dažnai neteisingai surenka šiuos terminus; teisingas atitikmenų nustatymas ankstyvu etapu sutaupo painiavos vėliau.
Kas laikoma asmens duomenimis
DPDPA asmens duomenų apibrėžimas yra platus ir glaudžiai atitinka tarptautinę praktiką. Asmens duomenys yra bet kokie duomenys apie asmenį, kurį galima identifikuoti pagal tokius duomenis arba su jais susijusiu būdu. DPBI ankstyvaisiais gairėmis nurodė, kad internetiniai identifikatoriai — slapukai, reklamos ID, IP adresai, įrenginio pirštų antspaudai ir elgesio profiliai — yra asmens duomenys, kai juos galima susieti su identifikuojamu asmeniu tiesiogiai arba pagrįstomis priemonėmis.
Nėra jautrių kategorijų, tačiau yra svarbių duomenų patikėtinių taisyklės
Skirtingai nuo GDPR, LGPD ir PIPA, DPDPA oficialiai neapibrėžia jautrių asmens duomenų kategorijos. Vietoj to Aktas remiasi svarbaus duomenų patikėtinio paskyrimo mechanizmu, kuris nustato papildomas pareigas valdytojams, tvarkantiems duomenis dideliu mastu, tvarkančių vaikų duomenis, tvarkančių duomenis, galinčius paveikti rinkimų vientisumą, arba tvarkančių duomenis, galinčius paveikti nacionalinį saugumą. Galutinis rezultatas panašus į GDPR jautrių kategorijų taisykles didžiausiems ir jautriems tvarkytojams, tačiau architektūra skiriasi.
Kodėl tai svarbu slapukams
Slapukas, renkantis įprastą reklamos identifikatorių, yra asmens duomenys, tačiau jam nėra taikomos papildomos pareigos vien todėl, kad jis maitina jautria atrodančią auditorijos segmentą. Tačiau leidėjas, pasiekęs svarbaus duomenų patikėtinio slenkstį — pavyzdžiui, didelė platforma su dešimtimis milijonų Indijos vartotojų — prisiima papildomas pareigas, įskaitant privalomą duomenų apsaugos pareigūną, periodinius auditus ir duomenų apsaugos poveikio vertinimus. Dydžio slenksčiai buvo paskelbti 2025 m.; dauguma pasaulinių platformų dabar patenka į taikymo sritį.
Sutikimas pagal DPDPA
DPDPA sutikimą iškelia į savo sistemos centrą, tačiau jį apibrėžia ypatinga reikalavimų rinkiniu, kuris neatsiekia vienas-su-vienu su GDPR sutikimu.
Galiojančio sutikimo standartas
Pagal DPDPA sutikimas turi būti:
- Laisvas — nesulygintas su paslaugos, kurią vartotojas kitaip turi teisę gauti, teikimu ir nepriverčiamas
- Specifinis — susietas su aiškiai identifikuotu tikslu, o ne bendra skėtine sutikimu
- Informuotas — duomenų subjektas supranta, kokie duomenys tvarkomi ir kokiu tikslu
- Besąlygiškas — sutikimas nesusiejamas su nesusijusiomis sąlygomis
- Nedviprasmiškas — išreikštas aiškiu patvirtinančiu veiksmu, o ne nustatomas iš tylos ar neveiklumo
Išsamaus pranešimo reikalavimas
DPDPA reikalauja pranešimo sutikimo metu arba prieš jį, kuriame aprašomi tvarkomi asmens duomenys, tvarkymo tikslas, būdai, kuriais duomenų subjektas gali naudotis teisėmis, ir būdai, kuriais duomenų subjektas gali pateikti skundą Tarybai. Pranešimas turi būti prieinamas anglų kalba ir bet kuria iš 22 planuotų Indijos kalbų, kurią prašo duomenų subjektas.
Sutikimų tvarkytojo architektūra
Čia DPDPA labiausiai nukrypsta nuo kitų sistemų. Aktas nustato licencijuotą vaidmenį, vadinamą sutikimų tvarkytoju (Consent Manager) — trečiosios šalies subjektas, registruotas DPBI, teikiantis tarpusavyje veikiančią sutikimų valdymo informacijos suvestinę, leidžiančią duomenų subjektams suteikti, peržiūrėti, valdyti ir atšaukti sutikimus keliems duomenų patikėtiniams iš vienos sąsajos. Sutikimų tvarkytojai turi būti registruoti Taryboje ir atitikti techninius sąveikumo reikalavimus. Praktiškai duomenų patikėtiniai gali gauti sutikimą tiesiogiai per savo CMP arba per registruotą sutikimų tvarkytoją, ir daugeliu atvejų duomenų subjektai renkasi centralizuoti savo sutikimus per sutikimų tvarkytoją, o ne atskirai valdyti kiekvienos svetainės reklamjuostę.
Kaip atrodo atitinkantis reikalavimus CMP
2026 m. Indijos srautui sukonfigūruotas CMP turėtų pateikti:
- Matomą reklamjuostę prieš paleidžiant bet kurį neesminį slapuką ar sekiklį, su lygiai vizualiai ryškiomis veiksmų galimybėmis Priimti, Atmesti ir Tinkinti
- Prieinamumą anglų kalba ir vartotojo pageidaujama planuota kalba, kai to prašoma
- Išsamius sutikimo jungiklius pagal kiekvieną tikslą, įskaitant analitiką, reklamą, personalizavimą ir tarpvalstybinius perdavimus
- Aiškią nuorodą į visą išsamų pranešimą, įskaitant teises ir DPBI skundų kanalą
- Nuolatinį, lengvai randamą mechanizmą sutikimui atšaukti, tokį pat paprastą kaip sutikimo davimas
- Techninę sąveiką su registruotais sutikimų tvarkytojais, kad sutikimo būsena galėtų būti sinchronizuota su duomenų subjekto pasirinktu sutikimų tvarkytoju
Sutikimų įrašai
Duomenų patikėtiniai turi saugoti sutikimų įrašus, įskaitant kas, kada, per kokią sąsają, kokiam tikslui sutiko ir visus vėlesnius pakeitimus. DPBI savo ankstyvuose procesuose kelis kartus nurodė į nepakankamus sutikimų žurnalus, o eksportuojami, su laiko žyma sutikimų įrašai yra pagrindinis lūkestis.
Tarpvalstybiniai duomenų perdavimai
DPDPA tarpvalstybinių perdavimų sistema yra vienas iš savičiausių Indijos režimo elementų ir prasmingai skiriasi nuo tinkamimo lygio plius apsaugos priemonių modelio, kurį naudoja GDPR, PIPA ir iš dalies pakeistas KVKK.
Pranešimų sistema
DPDPA veikia pagal neigiamo sąrašo metodą: tarpvalstybiniai perdavimai paprastai leidžiami, nebent paskirties šalis yra centrinės valdžios paskelbtame ribotų jurisdikcijų sąraše. Tai yra GDPR tinkamumo modelio atvirkštinis variantas, kuris perdavimus laiko draudžiamais nesant teigiamo tinkamumo sprendimo arba apsaugos priemonių. DPDPA požiūris yra atvaizdavimo atžvilgiu labiau leidžiantis, tačiau neigiamas sąrašas gali būti plečiamas valdžios nuožiūra, o 2025 m. kelios jurisdikcijos buvo įtrauktos į sąrašą tam tikroms duomenų kategorijoms.
Ką tai reiškia operaciniu požiūriu
Daugeliui programinės reklamos srautų 2026 m. atsakymas yra toks, kad tarpvalstybiniai perdavimai į pagrindines reklamos technologijų paskirties vietas yra leidžiami, jei paskirties šalis nėra ribotajame sąraše. Leidėjai turi patikrinti dabartinį paskelbtą sąrašą, saugoti perdavimo ir jo tikslo dokumentus ir būti pasiruošę nukreipti arba sustabdyti srautus, jei paskirties vieta įtraukiama. Tai yra žymiai paprasčiau nei GDPR perdavimo mechanika daugumai srautų, tačiau budrumas yra realus reikalavimas.
Sektoriui specifinė lokalizacija
Atskirai nuo DPDPA, keli Indijos sektoriniai reguliuotojai — įskaitant Rezervų banką finansiniams duomenims ir Sveikatos ministeriją sveikatos duomenims — turi savo lokalizacijos reikalavimus, kurie yra virš DPDPA. Leidėjas, aptarnaujantis Indijos vartotojus viename iš šių reguliuojamų sektorių, turi laikytis tiek DPDPA, tiek taikytinų sektoriaus taisyklių.
Duomenų subjektų teisės
DPDPA suteikia duomenų subjektams pažįstamą, bet šiek tiek siauresnį teisių rinkinį nei GDPR:
- Teisė gauti prieigą prie tvarkomų asmens duomenų, įskaitant kategorijas ir tvarkytojus
- Teisė ištaisyti, papildyti ir atnaujinti asmens duomenis
- Teisė ištrinti asmens duomenis, nebereikalingus deklaruotam tikslui
- Teisė įvardyti kitą asmenį, kuris vykdytų teises duomenų subjekto vardu mirties ar neveiksnumo atveju
- Teisė kreiptis dėl skundų nagrinėjimo pas duomenų patikėtinį
- Teisė pateikti skundą Duomenų apsaugos tarybai, jei skundų nagrinėjimas nepatenkinamas
Ko nėra teisių sąraše
Pažymėtina, kad DPDPA neapima savarankiškos duomenų perkeliamumo teisės, bendros teisės nesutikti su tvarkymu ar aiškios teisės prieš automatizuotą sprendimų priėmimą — nors svarbių duomenų patikėtinių režimas ir sutikimo atšaukimo mechanizmas netiesiogiai apima didelę dalį to paties pagrindo.
Atsakymo terminai
Duomenų patikėtiniai turi atsakyti į duomenų subjektų prašymus per paskelbtose Taisyklėse nurodytus terminus — daugeliu atvejų per pagrįstą laikotarpį, neviršijantį nurodyto lango, o DPBI traktuoja prasmingą delsimą kaip atitikties nesėkmę. Skundų nagrinėjimo sistema yra pirmasis žingsnis; tik neišspręsti skundai perkeliami Tarybai.
Svarbūs duomenų patikėtiniai
Svarbaus duomenų patikėtinio (SDF) paskyrimas suaktyvina papildomas pareigas, viršijančias DPDPA bazinius reikalavimus.
Papildomos pareigos
- Indijoje įsikūrusio duomenų apsaugos pareigūno paskyrimas
- Periodiniai duomenų apsaugos poveikio vertinimai nurodytoms tvarkymo veikloms
- Periodiniai nepriklausomi auditai
- Papildomos skaidrumo pareigos dėl algoritminio tvarkymo
- Griežtesnis pažeidimų pranešimas ir dokumentų saugojimas
Kas atitinka reikalavimus
Dydis, tvarkomų asmens duomenų kiekis, duomenų jautrumas, rizika duomenų subjektams, potencialus poveikis rinkimų demokratijai, saugumui ir suverenitetui, bei potencialus poveikis viešajai tvarkai — visi yra veiksniai. Centrinė valdžia paskelbia SDF individualiai arba pagal klasę. Dauguma didelių pasaulinių platformų, aptarnaujančių Indiją, 2026 m. patenka į paskelbtas klases.
Vaikų duomenys
DPDPA apibrėžia vaiką kaip bet kurį asmenį iki 18 metų — tai aukštesnė riba nei GDPR numatytasis 16 metų ir įvairios mažesnės nacionalinės ribos. Vaikų asmens duomenų tvarkymas reikalauja patikrinamo tėvų sutikimo, o vaikų sekimas, tikslinė reklama ir elgesio stebėjimas yra ribojami nepriklausomai nuo sutikimo būsenos. Leidėjai, kurių auditorijoje yra žymus iki 18 metų srautas, turi amžiaus blokavimą, tėvų sutikimo srautus ir ribotą tvarkymo galimybę nepilnamečių segmentui — visa tai reikalauja realaus inžinerinio darbo, kurį daugelis užsienio leidėjų pagal nutylėjimą neatlieka.
Sankcijos ir vykdymas
DPDPA įvedė sankcijų režimą, kuris buvo aukštesnis nei istorinės Indijos administracinės baudos ir prasmingai suderintas su pažeidimo sunkumu.
Administracinės sankcijos
DPDPA leidžia skirti baudas iki INR 250 crore (maždaug USD 30 milijonų) už kiekvieną pažeidimą dėl sunkiausių pažeidimų. Žemesnio lygio sankcijos taikomos dėl sutikimo, pranešimo, saugumo, pažeidimų pranešimo ir skundų nagrinėjimo klaidų. DPBI 2025 m. ir 2026 m. pradžioje kelis kartus naudojo skalės vidurį, o sankcijų struktūra sukurta taip, kad didėtų kartu su sisteminiu nesėkmingumu.
DPBI vykdymo temos
Ankstyvieji DPBI sprendimai telkiasi aplink nedidelį skaičių pasikartojančių problemų: sutikimų reklamjuostės be tikro atmetimo varianto, pranešimai, neapibūdinantys DPBI skundų kanalų, tarpvalstybiniai srautai į paskirties vietas ribotajame sąraše, skundų nagrinėjimo sistemos, kurios iš tikrųjų nereaguoja, ir sutikimų tvarkytojo sąveikumo gedimai. Užsienio leidėjai buvo minimi beveik visose šiose kategorijose.
Reputacijos dimensija
DPBI viešai skelbia savo sprendimus, įskaitant patikėtinio pavadinimą ir nesėkmės santrauką. Indijos rinkoje, kur reguliacinė trintis greitai virsta žiniasklaidos dėmesiu ir politiniu dėmesiu, paskelbto DPBI sprendimo reputacinė kaina yra reikšminga be finansinės sankcijos.
2026 m. Indijos srauto audito kontrolinis sąrašas
- CMP reklamjuostė pateikiama su Priimti, Atmesti ir Tinkinti lygiai vizualiai ryškiai
- Pranešimas prieinamas anglų kalba ir, kur taikytina, duomenų subjekto prašoma planuota kalba
- Pranešime aiškiai aprašomas DPBI skundų kanalas ir duomenų subjekto teisės
- Sutikimo tikslai yra išsamūs, tarpvalstybinis perdavimas yra atskiras tikslas
- Techninė sąveika su bent vienu registruotu sutikimų tvarkytoju yra sukurta
- Sutikimo atšaukimas yra toks pat paprastas kaip sutikimo davimas ir suaktyvina žemesnės grandinės trynimą ir aktyvavimo filtrą
- Duomenų subjekto teisių darbo eiga — prieiga, taisymas, trynimas, įvardijimas — aprūpinta darbuotojais ir dokumentuota
- Skundų nagrinėjimo kanalas aprūpintas darbuotojais su stebimais atsakymo terminais
- Tarpvalstybinių perdavimų paskirties vietos patikrinamos pagal dabartinį ribotąjį sąrašą ir dokumentuojamos
- Svarbių duomenų patikėtinių pareigos — DPO, DPIA, auditas — yra, jei slenkstis yra viršytas
- Su amžiumi susietas srautas vartotojams iki 18 metų, su patikrinamu tėvų sutikimu, kur taikytina
- Sektoriui specifinės lokalizacijos ir tvarkymo taisyklės yra dokumentuotos ir laikomasi, jei leidėjas veikia reguliuojamame sektoriuje
2026 m. perspektyvos
Indijos privatumo režimas per šiek tiek daugiau nei dvejus metus perėjo nuo teisėkūros abstrakcijos prie veikiančios realybės. DPDPA architektūra yra savita — sutikimų tvarkytojų ekosistema yra labiausiai matomas pasaulinis eksperimentas su perkliaunamais, tarpusavyje veikiančiais sutikimais, o neigiamo sąrašo perdavimų metodas prasmingai skiriasi nuo tinkamumo plius apsaugos priemonių modelio, kuris vyrauja kitose sistemose. Leidėjams, jau valdantiems GDPR lygio sutikimų paketą, atotrūkis iki DPDPA atitikties yra operacinis, o ne architektūrinis: sutikimų tvarkytojo sąveika, planuotos kalbos pranešimai, DPBI skundų atskleidimas, iki 18 metų slenkstis ir neigiamo sąrašo perdavimų patikrinimas. Atotrūkį galima užpildyti per kelias savaites, jei jis bus prioritetas. Leidėjai, kurie jį užpildo prieš tai, kol DPBI pasirodo prie jų durų, nepastebės perėjimo. Tie, kurie lauks, 2026 ir 2027 m. atras žymiai brangesnius nei buvę ankstesni metai.