Për kë zbatohet DPDP Act

DPDP Act rregullon përpunimin e të dhënave personale dixhitale brenda Indisë, si edhe përpunimin jashtë Indisë që lidhet me ofrimin e mallrave ose shërbimeve për individë në Indi. Në praktikë, nëse faqja juaj e internetit është e aksesueshme nga përdorues në Indi dhe ju mblidhni të dhëna personale përmes saj — përfshirë përmes cookies, SDK-ve, pixeleve, apo fingerprinting — Akti pothuajse me siguri zbatohet për ju.

Akti përdor dy role kryesore: Data Fiduciary (ekuivalente me një kontrollues të të dhënave sipas GDPR) dhe Data Processor. Një numër i vogël prej operatorëve më të mëdhenj mund të kategorizohen si Significant Data Fiduciaries, çka nxit detyrime shtesë si Vlerësime të Ndikimit në Mbrojtjen e të Dhënave dhe emërimin e një Oficeri të Mbrojtjes së të Dhënave me banim në Indi.

Si i trajton DPDP Act cookies dhe gjurmuesit

Ndryshe nga ePrivacy Directive, DPDP Act nuk i veçon cookies si një kategori më vete. Në vend të kësaj, ai rregullon çdo përpunim të të dhënave personale dixhitale. Kjo do të thotë se cookies, identifikuesit e pajisjes, adresat IP, ID-të e reklamimit dhe emailet e hash-uara bien të gjitha në fushën e zbatimit kur lidhen — drejtpërdrejt ose tërthorazi — me një person të identifikueshëm.

Pasoja për botuesit është e drejtëpërdrejtë: nëse një cookie ose tag në faqen tuaj bën që të dhëna personale të mblidhen ose të ndahen, ju keni nevojë për një bazë të vlefshme ligjore. Nën DPDP Act, kjo bazë është pothuajse gjithmonë pëlqimi, me një grup të ngushtë përjashtimesh për "legitimate uses" të përcaktuara nga Akti.

Si duket një pëlqim i vlefshëm

DPDP Act vendos një prag të lartë për pëlqimin. Ai duhet të jetë i lirë, specifik, i informuar, i pakushtëzuar dhe i paqartësues, dhe të shprehet përmes një veprimi të qartë afirmativ. Kutizat e para-shënuara, pëlqimi i nënkuptuar nga vazhdimi i shfletimit dhe dizajnet "cookie wall" që e kushtëzojnë aksesin me pranimin nuk janë të përputhshme me këto kërkesa.

Dy rregulla shtesë specifike të DPDP kanë rëndësi për UX-in e pëlqimit:

• Njoftim i detajuar: Para ose në momentin e dhënies së pëlqimit, duhet t’i jepni përdoruesit një njoftim të qartë që identifikon të dhënat që po mblidhen, qëllimet e përpunimit, dhe mënyrën se si përdoruesi mund të tërheqë pëlqimin ose të paraqesë një ankesë pranë Data Protection Board of India.
• Gjuhë e thjeshtë dhe mbështetje shumëgjuhëshe: Njoftimet duhet të jenë të disponueshme në anglisht dhe në cilëndo nga 22 gjuhët zyrtare të Indisë që zgjedh përdoruesi. Një CMP që nuk mund të shfaqë përmbajtjen e pëlqimit në hindi, tamil, bengali, marathi dhe gjuhë të tjera kryesore do ta ketë të vështirë të jetë në përputhje.

Të dhënat e fëmijëve dhe pëlqimi prindëror

DPDP Act e trajton çdo person nën moshën 18 vjeç si fëmijë dhe kërkon pëlqim të verifikueshëm prindëror përpara se të përpunohen të dhënat e tyre personale. Ai gjithashtu ndalon monitorimin e sjelljes dhe reklamimin e synuar të drejtuar ndaj fëmijëve. Çdo faqe interneti që është e aksesueshme nga të miturit në Indi — që në praktikë do të thotë pothuajse çdo faqe — ka nevojë për një strategji kontrolli moshe ose të bazuar në rrezik, dhe duhet të jetë në gjendje të bllokojë skriptet gjurmuese kur mungon pëlqimi prindëror.

Të drejtat e përdoruesve që CMP juaj duhet të mbështesë

Data Principals (përdoruesit) në Indi kanë një grup të drejtash që duhet të jenë të zbatueshme përmes shtresës suaj të pëlqimeve dhe preferencave:

• E drejta e aksesit në një përmbledhje të të dhënave të tyre personale që po përpunohen.
• E drejta për korrigjim dhe fshirje të të dhënave të tyre.
• E drejta për të tërhequr pëlqimin në çdo kohë, me po aq lehtësi sa edhe dhënia e tij.
• E drejta për të nominuar një individ tjetër që të ushtrojë të drejtat në rast vdekjeje ose paaftësie.
• E drejta për zgjidhje ankesash, fillimisht me Data Fiduciary dhe më pas me Data Protection Board of India.

Një CMP në përputhje me rregullat duhet të ofrojë një link të qëndrueshëm për preferencat, të mbështesë tërheqjen e pëlqimit me një klikim, dhe të regjistrojë ngjarjet e pëlqimit në një mënyrë që mund të paraqitet me kërkesë gjatë një hetimi.

Transferimet ndërkufitare të të dhënave

DPDP Act ndjek një qasje me "listë negative" për transferimet ndërkombëtare: të dhënat personale mund të transferohen jashtë Indisë, përveç nëse vendi marrës është veçanërisht i kufizuar nga Qeveria Qendrore. Kjo është më liberale se regjimi i adekuatësisë i GDPR, por ju sërish duhet të dokumentoni se cilat vende të treta marrin të dhëna nga përdoruesit indianë dhe të monitoroni listën e kufizimeve të publikuara.

Gjobat dhe zbatimi

Gjobat financiare sipas DPDP Act janë të konsiderueshme. Data Protection Board mund të vendosë gjoba deri në ₹250 crore (afërsisht $30 million USD) për mosmarrjen e masave të arsyeshme të sigurisë, dhe deri në ₹200 crore për mosplotësimin e detyrimeve ndaj fëmijëve. Dështimet që lidhen me pëlqimin — përfshirë mbledhjen e pëlqimit përmes banderolave jo në përputhje — i nënshtrohen gjobave deri në ₹50 crore për shkelje.

Zbatimi i pëlqimit në përputhje me DPDP në CMP-në tuaj

1. Zbuloni gjeografikisht përdoruesit indianë dhe aplikoni një shabllon pëlqimi specifik për DPDP, në vend që të ripërdorni një banderolë GDPR. Përmbajtja e njoftimit dhe opsionet e gjuhës janë të ndryshme.
2. Shfaqni njoftime në disa gjuhë indiane. Minimalisht, mbështesni hindin dhe anglishten, dhe shtoni gjuhë rajonale bazuar në shpërndarjen e trafikut tuaj.
3. Bllokoni të gjithë gjurmuesit jo thelbësorë si parazgjedhje. Ngarkoni reklamat, analizat dhe SDK-të palë të treta vetëm pas pëlqimit afirmativ.
4. Ndajini qartë qëllimet. Mos i bashkoni reklamimin, analizat dhe personalizimin në një veprim të vetëm "prano" nëse një përdoruesi mund t’i duket e arsyeshme të japë p��lqim për disa, por jo për të tjerat.
5. Regjistroni ngjarjet e pëlqimit dhe tërheqjes me shenja kohore, versionin e saktë të njoftimit të shfaqur dhe përzgjedhjen e gjuhës nga përdoruesi, në mënyrë që të mund të demonstroni përputhshmërinë gjatë hetimeve rregullatore.
6. Ofroni një link të dukshëm për preferencat në çdo faqe që u lejon përdoruesve të rishikojnë, përditësojnë ose tërheqin pëlqimin në çdo kohë.

DPDP kundrejt GDPR: Dallimet praktike

• Pa bazë "legitimate interests". DPDP Act nuk e njeh interesin legjitim si një bazë të përgjithshme ligjore, ashtu siç bën GDPR. Pëlqimi ka peshë më të madhe, ndaj dizajni i UX-it ka rëndësi më të madhe.
• Rregulla më të rrepta për fëmijët. Mosha e pëlqimit dixhital është 18, jo 13 apo 16, dhe reklamimi i synuar ndaj të miturve ndalohet në mënyrë eksplicite.
• Kërkesa për njoftim shumëgjuhësh është unike për DPDP Act dhe nuk mund të plotësohet me një banderolë vetëm në anglisht.
• Detyrimet për Significant Data Fiduciary krijojnë një nivel të dytë përputhshmërie për operatorët me rrezik të lartë që nuk ka një analog të drejtp��rdrejtë në GDPR.

Përfundim

DPDP Act e fut Indinë në peizazhin modern global të mbrojtjes së të dhënave me një qasje të vetën — të bazuar te pëlqimi, shumëgjuhëshe që në projektim, dhe mbrojtëse ndaj të miturve në një shkallë të pazakontë. Botuesit dhe platformat që tashmë operojnë një CMP në nivel GDPR kanë një avantazh fillestar, por sërish do të duhet të rregullojnë përmbajtjen e banderolave, mbështetjen gjuhësore, trajtimin e moshës dhe regjistrimin e ngjarjeve për të përmbushur kërkesat e DPDP. Trajtimi i Indisë si "thjesht një tjetër juridiksion GDPR" është mënyra më e shpejtë për të përfunduar përpara Data Protection Board.