Indijski zakon DPDP leta 2026: Vodič za založnike in oglaševalce o upravljavcih privolitev, čezmejnih prenosih in Odboru za varstvo podatkov
Indija Zakon o zaščiti digitalnih osebnih podatkov (DPDPA, 2023) je bil sprejet avgusta 2023, nato pa je večino let 2024 in 2025 preživel v počasnem, postopnem uvajanju, ki je mnoge tuje založnike ohranilo v položaju čakanja. To obdobje se je končalo. Pravila DPDP so bila v celoti objavljena v letu 2025, Odbor za varstvo podatkov Indije (DPBI) je zdaj operativen in obravnava pritožbe, okvir upravljavca privolitev — indijski značilen arhitektonični prispevek k globalni zakonodaji o zasebnosti — pa je živ v produkciji. Za vsakega založnika, oglaševalca ali platformo, ki leta 2026 obdeluje osebne podatke indijskih uporabnikov, DPDPA ni več prihodnja skrb. To je trenutna osnova skladnosti, ki se od GDPR razlikuje na načine, ki so pomembni za to, kako so zasnovani CMP-ji, čezmejni tokovi in pravice posameznikov. Ta vodič obravnava DPDPA v njeni implementirani obliki, kaj indijska privolitev dejansko zahteva, kako ekosistem upravljavca privolitev spreminja pokrajino CMP in kako je videti stališče DPBI glede izvrševanja leta 2026 v praksi.
Struktura DPDPA leta 2026
DPDPA je samostojen statut varstva podatkov, ločen od Indijskih sektorsko specifičnih zakonov o bančništvu, telekomunikacijah in zdravju. Njegovo uvajanje je bilo namerno postopno, da bi ekosistem upravljavca privolitev, DPBI in režim čezmejnega prenosa vsak posebej zagotovo prišel v obratovanje.
Sprejetje leta 2023 in uvajanje 2024-2025
DPDPA je bila sprejeta v parlamentu avgusta 2023 in je kmalu zatem prejela predsedniško soglasje. Ministrstvo za elektroniko in informacijsko tehnologijo (MeitY) je leto 2024 posvetilo posvetovanju o izvedbenih pravilih, končna pravila pa so bila objavljena skozi leto 2025 v več tranšah: najprej okvir registracije upravljavca privolitev, nato postopki pravic posameznikov, nato obvestila o čezmejnih prenosih, nato pragovi za pomembne skrbnike podatkov. Do začetka leta 2026 je bil celoten okvir v veljavi.
Na koga se nanaša regulacija
DPDPA se uporablja za obdelavo digitalnih osebnih podatkov posameznikov v Indiji. Velja tudi eksteritorialno, kadar se obdelava izvaja v zvezi s ponudbo blaga ali storitev posameznikom v Indiji. Založnik s sedežem v ZDA, ki streže indijskim uporabnikom prek lokaliziranega spletnega mesta, indijske jezikovne različice ali programatičnega inventarja, kupljenega za indijske naslove IP, je v obsegu. Ta eksteritorialni doseg je nedvoumen v statutu in je bil potrjen v zgodnjih smernicah DPBI.
Terminološka vrzel
DPDPA uporablja lastni besednjak, ki se razlikuje od GDPR in od večine novejših azijskih okvirov. Skrbnik podatkov (data fiduciary) je tisto, kar GDPR imenuje upravljavec. Obdelovalec podatkov (data processor) se natančno ujema z obdelovalcem GDPR. Posameznik (data principal) je subjekt podatkov. Pomembni skrbnik podatkov (significant data fiduciary) je upravljavec, ki presega pragovne vrednosti glede velikosti ali občutljivosti, ki jih je sporočila centralna vlada. Tuji založniki, ki se prvič srečajo z DPDPA, pogosto napačno preslikajo te pojme; pravilna preslikava že v začetku prepreči kasnejšo zmedo.
Kaj šteje kot osebni podatki
Opredelitev osebnih podatkov v DPDPA je široka in natančno sledi mednarodni praksi. Osebni podatki so vsi podatki o posamezniku, ki je identifikabilen po teh podatkih ali v zvezi z njimi. DPBI je v zgodnjih smernicah navedla, da so spletni identifikatorji — piškotki, oglaševalski ID-ji, naslovi IP, digitalni prstni odtisi naprav in vedenjski profili — osebni podatki, kadar jih je mogoče povezati z identificiranim posameznikom neposredno ali s pomočjo razumnih sredstev.
Nobena občutljiva kategorija, ampak pravila za pomembne skrbnike podatkov
Za razliko od GDPR, LGPD in PIPA DPDPA formalno ne opredeljuje kategorije občutljivih osebnih podatkov. Namesto tega se zakon opira na oznako pomembnega skrbnika podatkov, ki nalaga dodatne obveznosti upravljavcem, ki obdelujejo podatke v velikem obsegu, obdelujejo podatke otrok, obdelujejo podatke, ki bi lahko vplivali na volilno integriteto, ali obdelujejo podatke, ki bi lahko vplivali na nacionalno varnost. Neto rezultat je podoben pravilom GDPR za občutljive kategorije za največje in najbolj občutljive obdelovalce, vendar je arhitektura drugačna.
Zakaj je to pomembno za piškotke
Piškotek, ki zbira rutinski oglaševalski identifikator, so osebni podatki, vendar niso predmet povišanih obveznosti samo zato, ker napaja segment občinstva, ki je videti občutljiv. Toda založnik, ki doseže prag za pomembnega skrbnika podatkov — na primer velika platforma z desetinami milijonov indijskih uporabnikov — prevzema dodatne obveznosti, vključno z obveznim Pooblaščencem za varstvo podatkov, rednimi revizijami in ocenami učinka na varstvo podatkov. Velikostni pragovi so bili objavljeni leta 2025; večina globalnih platform je zdaj v obsegu.
Privolitev po DPDPA
DPDPA postavlja privolitev v središče svojega okvira, vendar jo opredeli z ločenim nizom zahtev, ki se ne ujemajo ena za ena s privolitvijo GDPR.
Standard veljavne privolitve
Privolitev po DPDPA mora biti:
- Prosta — ni pogojena z zagotavljanjem storitve, do katere je uporabnik sicer upravičen, in ni prisilna
- Specifična — vezana na jasno identificiran namen, ne na splošno okvirno privolitev
- Informirana — posameznik razume, kateri podatki se obdelujejo in za kakšen namen
- Brezpogojno — privolitev ni vezana na nepomembne pogoje
- Nedvoumna — izražena z jasnim pritrdilnim dejanjem, ne sklepana iz molčanja ali nedejavnosti
Zahteva po podrobnem obvestilu
DPDPA zahteva obvestilo pri ali pred točko privolitve, ki opisuje osebne podatke, ki bodo obdelani, namen obdelave, način, kako lahko posameznik uveljavlja pravice, in način, kako lahko posameznik vloži pritožbo pri Odboru. Obvestilo mora biti na voljo v angleščini in v katerem koli od 22 načrtovanih jezikov Indije, ki jih posameznik zahteva.
Arhitektura upravljavca privolitev
Tu se DPDPA najbolj ostro razlikuje od других okvirov. Zakon vzpostavlja licencirano vlogo, imenovano upravljavec privolitev — tretja stranka, registrirana pri DPBI, ki zagotavlja interoperabilno nadzorno ploščo za privolitve, ki posameznikom omogoča, da pri več skrbnikih podatkov iz enega vmesnika podeljujejo, pregledujejo, upravljajo in prekličejo privolitve. Upravljavci privolitev morajo biti registrirani pri Odboru in morajo izpolnjevati tehnične specifikacije interoperabilnosti. V praksi lahko skrbniki podatkov pridobijo privolitev bodisi neposredno prek lastnega CMP-ja bodisi prek registriranega upravljavca privolitev, v mnogih primerih pa se posamezniki odločijo centralizirati svojo privolitev prek upravljavca privolitev namesto da bi ločeno upravljali pasico vsakega spletnega mesta.
Kako je videti skladen CMP
CMP, konfiguriran za indijski promet leta 2026, bi moral prikazovati:
- Vidno pasico pred aktiviranjem katerega koli nepomembnega piškotka ali sledilnika z enakovredno vizualno poudarjenostjo dejanj Sprejmi, Zavrni in Prilagodi
- Razpoložljivost v angleščini in v želenem načrtovanem jeziku uporabnika, kadar je zahtevano
- Natančna stikala za privolitev za vsak namen, vključno z analitiko, oglaševanjem, personalizacijo in čezmejnim prenosom
- Jasno povezavo do celotnega podrobnega obvestila, vključno s pravicami in kanalom za pritožbe pri DPBI
- Stalni, enostavno najdljiv mehanizem za preklic privolitve, ki je enako enostaven kot dajanje privolitve
- Tehnično interoperabilnost z registriranimi upravljavci privolitev, da se stanje privolitve lahko sinhronizira z izbranim upravljavcem privolitev posameznika
Evidenca privolitev
Skrbniki podatkov morajo voditi evidenco privolitev, vključno s tem, kdo je privolil, kdaj, prek katerega vmesnika, za kateri namen in morebitnimi naknadnimi sprembami. DPBI je v več zgodnjih postopkih navedla neustrezne dnevnike privolitev, izvozljivi zapisi privolitev s časovnim žigom pa so osnovno pričakovanje.
Čezmejni prenosi podatkov
Okvir čezmejnih prenosov DPDPA je eden od najbolj prepoznavnih elementov indijskega režima in se bistveno razlikuje od modela ustreznosti-plus-zaščitnih ukrepov, ki ga uporabljata GDPR, PIPA in spremenjen KVKK.
Okvir za obveščanje
DPDPA deluje po pristopu negativnega seznama: čezmejni prenosi so načeloma dovoljeni, razen če se namembna država pojavi na seznamu omejenih jurisdikcij, ki ga sporoči centralna vlada. To je obrat modela ustreznosti GDPR, ki obravnava prenose kot prepovedane brez pozitivne odločitve o ustreznosti ali zaščitnih ukrepov. Pristop DPDPA je na površini bolj permisiven, toda negativni seznam se lahko po presoji vlade razširi, v letu 2025 pa je bilo na seznam uvrščenih več jurisdikcij za posebne kategorije podatkov.
Kaj to pomeni operativno
Za večino programatičnih oglaševalskih tokov leta 2026 je odgovor, da so čezmejni prenosi na glavne destinacije oglaševalske tehnologije dovoljeni pod pogojem, da namembna država ni na omejenem seznamu. Založniki morajo preveriti trenutni objavljeni seznam, hraniti dokumentacijo o prenosu in njegovem namenu ter biti pripravljeni preusmeriti ali prekiniti tokove, če se namembna stran doda. To je bistveno enostavnejše od mehanike prenosa GDPR za večino tokov, toda zahteva po budnosti je resnična.
Sektorska lokalizacija
Ločeno od DPDPA ima več indijskih sektorskih regulatorjev — vključno z Rezervno banko Indije za finančne podatke in Ministrstvom za zdravje za zdravstvene podatke — lastne zahteve po lokalizaciji, ki so v dodatku k DPDPA. Založnik, ki streže indijskim uporabnikom v enem od teh reguliranih sektorjev, mora upoštevati tako DPDPA kot veljavna sektorska pravila.
Pravice posameznikov
DPDPA posameznikom podeljuje znan, a nekoliko ožji nabor pravic kot GDPR:
- Pravica do dostopa do obdelanih osebnih podatkov, vključno s kategorijami in obdelovalci
- Pravica do popravka, dopolnitve in posodobitve osebnih podatkov
- Pravica do izbrisa osebnih podatkov, ki niso več potrebni za navedeni namen
- Pravica do imenovanja druge osebe za uveljavljanje pravic v imenu posameznika v primeru smrti ali nezmožnosti
- Pravica do reševanja pritožb prek skrbnika podatkov
- Pravica do vložitve pritožbe pri Odboru za varstvo podatkov, če reševanje pritožb ni zadovoljivo
Kaj ni na seznamu pravic
Opazno je, da DPDPA ne vključuje samostojne pravice do prenosljivosti, splošne pravice do ugovora obdelavi ali izrecne pravice proti avtomatiziranemu odločanju — čeprav režim za pomembne skrbnike podatkov in mehanizem preklica privolitve posredno pokrivata velik del istega področja.
Roki za odgovor
Skrbniki podatkov morajo odgovoriti na zahteve posameznikov v rokih, določenih v objavljenih pravilih — kar je v večini primerov v razumnem roku, ki ne presega določenega okna, pri čemer DPBI obravnava pomembno zamudo kot neuspeh skladnosti. Sistem reševanja pritožb je prvi korak; samo nerešene pritožbe se eskalirajo Odboru.
Pomembni skrbniki podatkov
Oznaka za pomembnega skrbnika podatkov (SDF) sproži dodatne obveznosti nad osnovno zahtevo DPDPA.
Dodatne obveznosti
- Imenovanje Pooblaščenca za varstvo podatkov s sedežem v Indiji
- Redne ocene učinka na varstvo podatkov za določene dejavnosti obdelave
- Redne neodvisne revizije
- Dodatne obveznosti preglednosti glede algoritemske obdelave
- Strožje obveščanje o kršitvah in vodenje evidenc
Kdo se kvalificira
Velikost, obseg obdelanih osebnih podatkov, občutljivost podatkov, tveganje za posameznike, potencialni vpliv na volilno demokracijo, varnost in suverenost ter potencialni vpliv na javni red so vsi dejavniki. Centralna vlada objavlja SDF-je bodisi posamično bodisi po razredu. Večina velikih globalnih platform, ki strežejo Indiji, leta 2026 spada v objavljene razrede.
Podatki otrok
DPDPA opredeljuje otroka kot katerega koli posameznika mlajšega od 18 let — višji prag kot privzeto za GDPR 16 let in različni nižji nacionalni pragovi. Obdelava osebnih podatkov otrok zahteva preverljivo starševsko privolitev, sledenje, ciljano oglaševanje in vedenjski nadzor otrok pa so omejeni ne glede na status privolitve. Založniki, katerih občinstvo vključuje znatno število obiskovalcev mlajših od 18 let, potrebujejo preverjanje starosti, tokove starševske privolitve in omejeno obdelavo za segment mladoletnikov — vse to zahteva resno inženirsko delo, ki ga malo tujih založnikov privzeto ni dokončalo.
Kazni in izvrševanje
DPDPA je uvedla režim kazni, ki je bil višji od zgodovinskih indijskih upravnih glob in smiselno sorazmeren s resnostjo kršitve.
Upravne kazni
DPDPA dovoljuje kazni do INR 250 crore (približno USD 30 milijonov) na kršitev za najresnejše kršitve. Nižje kazni se uporabljajo za neuspehe pri privolitvi, obveščanju, varnosti, obveščanju o kršitvah in reševanju pritožb. DPBI je leta 2025 in v začetku leta 2026 večkrat uporabila sredino razpona, struktura kazni pa je zasnovana tako, da se stopnjuje s sistematičnim neuspehom.
Teme izvrševanja DPBI
Zgodnje odločitve DPBI se zbirajo okrog majhnega nabora ponavljajočih se težav: pasice za privolitev brez prave možnosti Zavrni, obvestila, ki ne opisujejo kanalov za pritožbe pri DPBI, čezmejni tokovi na namembne kraje na omejenem seznamu, sistemi reševanja pritožb, ki dejansko ne odgovarjajo, in neuspehi interoperabilnosti upravljavca privolitev. Tuji založniki so bili navedeni v skoraj vseh teh kategorijah.
Ugled kot razsežnost
DPBI objavlja svoje odločitve javno, vključno z imenom skrbnika in povzetkom neuspeha. Na indijskem trgu, kjer se regulatorno trenje hitro prevede v medijsko pokritost in politično pozornost, so reputacijski stroški objavljene odločitve DPBI poleg finančne kazni znatni.
Revizijski kontrolni seznam za indijski promet leta 2026
- Pasica CMP se prikazuje z enakovredno vizualno poudarjenostjo za Sprejmi, Zavrni in Prilagodi
- Obvestilo na voljo v angleščini in v zahtevanem načrtovanem jeziku posameznika, kjer je to ustrezno
- Obvestilo izrecno opisuje kanal za pritožbe pri DPBI in pravice posameznika
- Namen privolitve je natančen, s čezmejnim prenosom kot ločenim namenom
- Tehnična interoperabilnost z vsaj enim registriranim upravljavcem privolitev je vzpostavljena
- Preklic privolitve je enako enostaven kot dajanje privolitve in sproži filtriranje brisanja in aktivacije v toku navzdol
- Potek dela za pravice posameznikov — dostop, popravek, izbris, imenovanje — je kadrovan in dokumentiran
- Kanal za reševanje pritožb je kadrovan s sledljivimi roki za odgovor
- Namembni kraji čezmejnih prenosov se pregledajo glede na trenutni omejeni seznam in dokumentirajo
- Obveznosti za pomembne skrbnike podatkov — DPO, DPIA, revizija — so vzpostavljene, če je bil prag presežen
- Tok, ki upošteva starost, za uporabnike mlajše od 18 let s preverljivo starševsko privolitvijo, kjer je to ustrezno
- Sektorsko specifična pravila lokalizacije in obdelave so dokumentirana in upoštevana, če založnik deluje v reguliranem sektorju
Obeti za leto 2026
Indijski režim zasebnosti je v malo več kot dveh letih prešel iz zakonodajne abstrakcije v operativno realnost. Arhitektura DPDPA je prepoznavna — ekosistem upravljavca privolitev je najbolj vidni globalni eksperiment s prenosljivo in interoperabilno privolitvijo, pristop prenosa z negativnim seznamom pa se bistveno razlikuje od modela ustreznosti-plus-zaščitnih ukrepov, ki prevladuje v других okvirih. Za založnike, ki že izvajajo sklad privolitev stopnje GDPR, je vrzel do skladnosti z DPDPA operativna in ne arhitektonična: interoperabilnost upravljavca privolitev, obvestila v načrtovanih jezikih, razkritja pritožb DPBI, prag pod 18 let in preveritev prenosa z negativnim seznamom. Vrzel je mogoče zapolniti v tednih, če je to prednostna naloga. Založniki, ki jo zapolnijo preden DPBI prispe k njihovim vratom, prehoda ne bodo opazili. Tisti, ki bodo čakali, bodo ugotovili, da sta leti 2026 in 2027 bistveno dražji od predhodnih let.