Indický zákon DPDP v roku 2026: Sprievodca vydavateľa a inzerenta po správcoch súhlasu, cezhraničných prenosoch a Rade pre ochranu údajov
Indický zákon o ochrane digitálnych osobných údajov (DPDPA, 2023) bol prijatý v auguste 2023 a potom strávil väčšinu rokov 2024 a 2025 pomalým, postupným zavádzaním, ktoré udržiavalo mnohých zahraničných vydavateľov v čakacej polohe. Toto obdobie sa skončilo. Pravidlá DPDP boli v plnom rozsahu oznámené počas roku 2025, Rada pre ochranu údajov Indie (DPBI) je teraz funkčná a prerokúva sťažnosti, a rámec správcu súhlasu — charakteristický architektonický príspevok Indie ku globálnemu právu na ochranu súkromia — je živý vo výrobe. Pre každého vydavateľa, inzerenta alebo platformu spracúvajúcu osobné údaje indických používateľov v roku 2026, DPDPA už nie je budúcou obavou. Je to súčasný základný štandard súladu, ktorý sa líši od GDPR spôsobmi, ktoré sú dôležité pre to, ako sú navrhnuté CMP, cezhraničné toky a práva dotknutých osôb. Tento sprievodca prechádza DPDPA v jej implementovanej podobe, čo indický súhlas skutočne vyžaduje, ako ekosystém správcu súhlasu mení krajinu CMP a ako vyzerá postoj DPBI k presadzovaniu v roku 2026 v praxi.
Štruktúra DPDPA v roku 2026
DPDPA je samostatný štatút ochrany údajov, odlišný od sektorovo špecifických zákonov Indie o bankovníctve, telekomunikáciách a zdravotníctve. Jeho zavádzanie bolo zámerne postupné, aby ekosystém správcu súhlasu, DPBI a režim cezhraničného prenosu mohli každý prísť online postupne.
Prijatie v roku 2023 a zavádzanie 2024-2025
DPDPA prešla parlamentom v auguste 2023 a krátko nato dostala prezidentský súhlas. Ministerstvo elektroniky a informačných technológií (MeitY) strávilo rok 2024 konzultáciami o implementačných pravidlách a konečné pravidlá boli oznamované počas roku 2025 v niekoľkých tranžiach: najprv rámec registrácie správcu súhlasu, potom postupy práv dotknutých osôb, potom oznámenia o cezhraničných prenosoch, potom prahy pre významných správcov údajov. Do začiatku roku 2026 bol celý rámec v platnosti.
Kto podlieha regulácii
DPDPA sa vzťahuje na spracúvanie digitálnych osobných údajov fyzických osôb v Indii. Vzťahuje sa aj extrateritoriálne, keď sa spracúvanie uskutočňuje v súvislosti s ponukou tovarov alebo služieb dotknutým osobám v Indii. Vydavateľ so sídlom v USA obsluhujúci indických používateľov prostredníctvom lokalizovaného webu, verzie v indickom jazyku alebo programatického inventára zakúpeného pre indické IP adresy je v rozsahu pôsobnosti. Tento extrateritoriálny dosah je jednoznačný v štatúte a bol potvrdený v skorých usmerneniach DPBI.
Terminologická medzera
DPDPA používa vlastný slovník, ktorý sa líši od GDPR a od väčšiny novších ázijských rámcov. Správca údajov (data fiduciary) je to, čo GDPR nazýva prevádzkovateľom. Sprostredkovateľ (data processor) sa presne zhoduje so sprostredkovateľom GDPR. Dotknutá osoba (data principal) je subjektom údajov. Významný správca údajov (significant data fiduciary) je prevádzkovateľ prekračujúci veľkostné alebo citlivostné prahy oznámené ústrednou vládou. Zahraniční vydavatelia, ktorí sa s DPDPA stretávajú prvýkrát, tieto pojmy často nesprávne mapujú; správne mapovanie skoro šetrí neskoršie zmätenie.
Čo sa považuje za osobné údaje
Definícia osobných údajov v DPDPA je široká a dôsledne sleduje medzinárodnú prax. Osobné údaje sú akékoľvek údaje o osobe, ktorá je identifikovateľná prostredníctvom alebo vo vzťahu k takýmto údajom. DPBI prostredníctvom skorých usmernení naznačila, že online identifikátory — cookies, reklamné ID, IP adresy, digitálne odtlačky zariadení a behaviorálne profily — sú osobnými údajmi, keď ich možno priamo alebo prostredníctvom primeraných prostriedkov prepojiť s identifikovateľnou osobou.
Žiadna citlivá kategória, ale pravidlá pre významných správcov údajov
Na rozdiel od GDPR, LGPD a PIPA, DPDPA formálne nedefinuje kategóriu citlivých osobných údajov. Zákon sa namiesto toho spolieha na označenie významného správcu údajov, ktoré ukladá prevádzkovateľom spracúvajúcim údaje vo veľkom rozsahu, spracúvajúcim údaje detí, spracúvajúcim údaje, ktoré by mohli ovplyvniť volebné princípy integrity, alebo spracúvajúcim údaje, ktoré by mohli ovplyvniť národnú bezpečnosť, ďalšie povinnosti. Čistý výsledok je podobný pravidlám citlivých kategórií GDPR pre najväčších a najcitlivejších spracovateľov, ale architektúra je iná.
Prečo je to dôležité pre cookies
Cookie zbierajúci bežný reklamný identifikátor sú osobné údaje, ale nepodliehajú zvýšeným povinnostiam len preto, že napĺňa segment publika vyzerajúci citlivo. Ale vydavateľ, ktorý dosiahne prah pre významného správcu údajov — napríklad veľká platforma s desiatkami miliónov indických používateľov — preberá ďalšie povinnosti vrátane povinného zodpovednej osoby za ochranu údajov, pravidelných auditov a posúdenia vplyvu na ochranu údajov. Veľkostné prahy boli oznámené v roku 2025; väčšina globálnych platforiem je teraz v rozsahu pôsobnosti.
Súhlas podľa DPDPA
DPDPA umiestňuje súhlas do centra svojho rámca, ale definuje ho so súborom požiadaviek, ktoré sa nezhodujú jeden-ku-jednému so súhlasom GDPR.
Štandard platného súhlasu
Súhlas podľa DPDPA musí byť:
- Slobodný — nepodmienený poskytnutím služby, na ktorú má používateľ inak nárok, a nie vynútený
- Konkrétny — viazaný na jasne identifikovaný účel, nie všeobecný zastrešujúci súhlas
- Informovaný — dotknutá osoba chápe, aké údaje sa spracúvajú a na aký účel
- Bezpodmienečný — súhlas nie je viazaný na irelevantné podmienky
- Jednoznačný — vyjadrený jasnou pozitívnou akciou, nie odvodený z mlčanlivosti alebo nečinnosti
Požiadavka na podrobné oznámenie
DPDPA vyžaduje oznámenie v bode súhlasu alebo pred ním, ktoré opisuje spracúvané osobné údaje, účel spracúvania, spôsob, akým môže dotknutá osoba uplatniť práva, a spôsob, akým môže dotknutá osoba podať sťažnosť Rade. Oznámenie musí byť dostupné v angličtine a v ktoromkoľvek z 22 plánovaných jazykov Indie, o ktorý dotknutá osoba požiada.
Architektúra správcu súhlasu
Tu sa DPDPA najvýraznejšie odchyľuje od ostatných rámcov. Zákon vytvára licencovanú rolu nazývanú správca súhlasu — tretia strana registrovaná v DPBI, ktorá poskytuje interoperabilný panel súhlasu umožňujúci dotknutým osobám udeľovať, prehliadať, spravovať a odvolávať súhlasy u viacerých správcov údajov z jedného rozhrania. Správcovia súhlasu musia byť registrovaní v Rade a musia spĺňať technické špecifikácie interoperability. V praxi môžu správcovia údajov získavať súhlas buď priamo prostredníctvom vlastného CMP, alebo prostredníctvom registrovaného správcu súhlasu, a v mnohých prípadoch sa dotknuté osoby rozhodujú centralizovať svoj súhlas prostredníctvom správcu súhlasu namiesto samostatnej správy bannera každého webu.
Ako vyzerá vyhovujúci CMP
CMP nakonfigurovaný pre indickú prevádzku v roku 2026 by mal prezentovať:
- Viditeľný banner pred spustením akéhokoľvek nepodstatného cookie alebo trackeru, s akciami Prijať, Odmietnuť a Prispôsobiť s rovnakou vizuálnou výraznosťou
- Dostupnosť v angličtine a v preferovanom plánovanom jazyku používateľa tam, kde je to požadované
- Granulárne prepínače súhlasu pre každý účel, vrátane analýzy, reklamy, personalizácie a cezhraničného prenosu
- Jasný odkaz na úplné podrobné oznámenie vrátane práv a kanála sťažností DPBI
- Trvalý, ľahko nájditeľný mechanizmus odvolania súhlasu, ktorý je rovnako jednoduchý ako udelenie súhlasu
- Technická interoperabilita s registrovanými správcami súhlasu, aby bolo možné synchronizovať stav súhlasu so zvoleným správcom súhlasu dotknutej osoby
Záznamy súhlasu
Správcovia údajov musia uchovávať záznamy súhlasu vrátane toho, kto súhlasil, kedy, prostredníctvom ktorého rozhrania, na aký účel a akékoľvek následné zmeny. DPBI citovala nedostatočné protokoly súhlasu v niekoľkých svojich skorých konaniach a exportovateľné záznamy súhlasu s časovou pečiatkou sú základným očakávaním.
Cezhraničné prenosy údajov
Rámec cezhraničného prenosu DPDPA je jedným z najvýraznejších prvkov indického režimu a výrazne sa líši od vzoru primeranosti-plus-záruky používaného GDPR, PIPA a zmeneným KVKK.
Oznamovací rámec
DPDPA funguje na základe prístupu negatívneho zoznamu: cezhraničné prenosy sú vo všeobecnosti povolené, pokiaľ sa krajina určenia neobjaví na zozname obmedzených jurisdikcií oznámených ústrednou vládou. Toto je inverzia modelu primeranosti GDPR, ktorý považuje prenosy za zakázané pri absencii pozitívneho rozhodnutia o primeranosti alebo záruk. Prístup DPDPA je na povrchu viac permisívny, ale negatívny zoznam možno rozšíriť podľa uváženia vlády a niekoľko jurisdikcií bolo na zoznam zaradených počas roku 2025 pre konkrétne kategórie údajov.
Čo to znamená prevádzkovo
Pre väčšinu programatických reklamných tokov v roku 2026 je odpoveď taká, že cezhraničné prenosy do hlavných destinácií ad-tech sú povolené za predpokladu, že krajina určenia nie je na obmedzenom zozname. Vydavatelia musia skontrolovať aktuálny oznámený zoznam, uchovávať dokumentáciu prenosu a jeho účelu a byť pripravení presmerovať alebo pozastaviť toky, ak sa destinácia pridá. Je to výrazne jednoduchšie ako mechanizmy prenosu GDPR pre väčšinu tokov, ale požiadavka na bdelosť je reálna.
Sektorová lokalizácia
Oddelene od DPDPA, niekoľko indických sektorových regulátorov — vrátane Reserve Bank of India pre finančné údaje a Ministerstva zdravotníctva pre zdravotné údaje — má vlastné požiadavky na lokalizáciu, ktoré sa nachádzajú nad DPDPA. Vydavateľ obsluhujúci indických používateľov v jednom z týchto regulovaných sektorov musí dodržiavať DPDPA aj platné sektorové pravidlá.
Práva dotknutých osôb
DPDPA udeľuje dotknutým osobám známy, ale mierne užší súbor práv ako GDPR:
- Právo na prístup k spracúvaným osobným údajom vrátane kategórií a spracovateľov
- Právo na opravu, doplnenie a aktualizáciu osobných údajov
- Právo na vymazanie osobných údajov, ktoré už nie sú potrebné na uvedený účel
- Právo na vymenovanie inej osoby na uplatnenie práv v mene dotknutej osoby v prípade smrti alebo nespôsobilosti
- Právo na nápravu sťažností prostredníctvom správcu údajov
- Právo podať sťažnosť Rade pre ochranu údajov, ak náprava sťažností nie je uspokojivá
Čo nie je v zozname práv
Pozoruhodné je, že DPDPA nezahŕňa samostatné právo na prenositeľnosť, všeobecné právo namietať spracúvanie ani výslovné právo voči automatizovanému rozhodovaniu — hoci režim pre významných správcov údajov a mechanizmus odvolania súhlasu nepriamo pokrývajú veľkú časť rovnakého terénu.
Lehoty na odpoveď
Správcovia údajov musia odpovedať na žiadosti dotknutých osôb v lehotách stanovených v oznámených pravidlách — čo je vo väčšine prípadov v primeranej lehote nepresahujúcej stanovené okno, pričom DPBI považuje výrazné omeškanie za zlyhanie súladu. Systém nápravy sťažností je prvým krokom; iba nevyriešené sťažnosti sa eskalujú Rade.
Významní správcovia údajov
Označenie významného správcu údajov (SDF) spúšťa ďalšie povinnosti nad rámec základných požiadaviek DPDPA.
Ďalšie povinnosti
- Vymenovanie zodpovednej osoby za ochranu údajov so sídlom v Indii
- Pravidelné posúdenia vplyvu na ochranu údajov pre určené spracovateľské činnosti
- Pravidelné nezávislé audity
- Ďalšie povinnosti transparentnosti týkajúce sa algoritmického spracúvania
- Prísnejšie oznamovanie porušení a vedenie záznamov
Kto sa kvalifikuje
Veľkosť, objem spracúvaných osobných údajov, citlivosť údajov, riziko pre dotknuté osoby, potenciálny vplyv na volebné princípy demokracie, bezpečnosť a suverenitu a potenciálny vplyv na verejný poriadok sú všetky faktory. Ústredná vláda oznamuje SDF buď individuálne alebo podľa triedy. Väčšina veľkých globálnych platforiem obsluhujúcich Indiu patrí v roku 2026 do oznámených tried.
Detské údaje
DPDPA definuje dieťa ako akúkoľvek osobu mladšiu ako 18 rokov — vyšší prah ako predvolené GDPR 16 rokov a rôzne nižšie národné prahy. Spracúvanie osobných údajov detí vyžaduje overiteľný rodičovský súhlas a sledovanie, cielená reklama a behaviorálne monitorovanie detí sú obmedzené bez ohľadu na stav súhlasu. Vydavatelia, ktorých publikum zahŕňa značnú návštevnosť mladšiu ako 18 rokov, potrebujú overovanie veku, toky rodičovského súhlasu a obmedzené spracúvanie pre segment maloletých — to všetko vyžaduje skutočnú inžiniersku prácu, ktorú málo zahraničných vydavateľov dokončilo v predvolenom nastavení.
Sankcie a presadzovanie
DPDPA zaviedla sankčný režim, ktorý bol vyšší ako historické indické administratívne pokuty a zmysluplne zoradený podľa závažnosti porušenia.
Administratívne sankcie
DPDPA umožňuje sankcie až do výšky INR 250 crore (približne USD 30 miliónov) za porušenie pre najzávažnejšie protiprávne činy. Nižšie sankcie sa vzťahujú na zlyhania v oblasti súhlasu, oznámení, bezpečnosti, oznamovania porušení a nápravy sťažností. DPBI použila stred rozsahu niekoľkokrát v roku 2025 a na začiatku roku 2026 a sankčná štruktúra je navrhnutá tak, aby eskalovala pri systematickom zlyhaní.
Témy presadzovania DPBI
Skoré rozhodnutia DPBI sa zoskupujú okolo malého súboru opakujúcich sa problémov: bannery súhlasu bez skutočnej možnosti Odmietnuť, oznámenia, ktoré nepopisujú kanály sťažností DPBI, cezhraničné toky do destinácií na obmedzenom zozname, systémy nápravy sťažností, ktoré v skutočnosti nereagujú, a zlyhania interoperability správcu súhlasu. Zahraniční vydavatelia boli citovaní takmer vo všetkých týchto kategóriách.
Reputačný rozmer
DPBI zverejňuje svoje rozhodnutia verejne vrátane mena správcu a súhrnu zlyhania. Na indickom trhu, kde regulačné trenie sa rýchlo prekladá do mediálneho pokrytia a politickej pozornosti, sú reputačné náklady zverejneného rozhodnutia DPBI nad rámec finančnej sankcie významné.
Audit kontrolný zoznam pre indickú prevádzku v roku 2026
- Banner CMP sa zobrazuje s možnosťami Prijať, Odmietnuť a Prispôsobiť s rovnakou vizuálnou výraznosťou
- Oznámenie dostupné v angličtine a v požadovanom plánovanom jazyku dotknutej osoby tam, kde je to uplatniteľné
- Oznámenie výslovne opisuje kanál sťažností DPBI a práva dotknutej osoby
- Účely súhlasu sú granulárne, s cezhraničným prenosom ako samostatným účelom
- Technická interoperabilita s aspoň jedným registrovaným správcom súhlasu je zavedená
- Odvolanie súhlasu je rovnako jednoduché ako udelenie súhlasu a spúšťa následné filtrovanie vymazania a aktivácie
- Pracovný postup práv dotknutých osôb — prístup, oprava, vymazanie, vymenovanie — je zabezpečený personálom a zdokumentovaný
- Kanál nápravy sťažností je zabezpečený personálom so sledovanými lehotami na odpoveď
- Destinácie cezhraničných prenosov sa preverujú voči aktuálnemu obmedzujúcemu zoznamu a sú zdokumentované
- Povinnosti pre významných správcov údajov — DPO, DPIA, audit — sú zavedené, ak bol prah prekročený
- Vekom citlivý tok pre používateľov mladších ako 18 rokov s overiteľným rodičovským súhlasom tam, kde je to uplatniteľné
- Sektorovo špecifické pravidlá lokalizácie a spracúvania sú zdokumentované a dodržiavané, ak vydavateľ pôsobí v regulovanom sektore
Výhľad na rok 2026
Indický režim ochrany súkromia prešiel z legislatívnej abstrakcie na prevádzkovú realitu za niečo viac ako dva roky. Architektúra DPDPA je charakteristická — ekosystém správcu súhlasu je najviditeľnejším globálnym experimentom s prenosným, interoperabilným súhlasom a prístup k prenosu prostredníctvom negatívneho zoznamu sa výrazne líši od vzoru primeranosti-plus-záruky, ktorý dominuje v iných rámcoch. Pre vydavateľov, ktorí už používajú zásobník súhlasu kvality GDPR, je medzera k súladu s DPDPA prevádzková, nie architektonická: interoperabilita správcu súhlasu, oznámenia v plánovaných jazykoch, zverejnenia sťažností DPBI, prah pod 18 rokov a kontrola prenosu na negatívnom zozname. Medzera sa dá uzavrieť v priebehu týždňov, ak sa uprednostní. Vydavatelia, ktorí ju uzavrú pred príchodom DPBI na ich prah, si prechod nevšimnú. Tí, ktorí budú čakať, zistia, že roky 2026 a 2027 sú výrazne drahšie ako predchádzajúce roky.