Struktura DPDPA u 2026. godini

DPDPA je samostalni zakon o zaštiti podataka, koji se razlikuje od sektorskih zakona Indije o bankarstvu, telekomunikacijama i zdravlju. Njegovo uvođenje je namerno fazovano kako bi ekosistem Menadžera pristanka, DPBI i prekogranični režim prenosa mogli da dođu na mrežu redosledom.

Usvajanje iz 2023. i uvođenje 2024-2025.

DPDPA je prošao Parlament u avgustu 2023. godine i ubrzo dobio predsednički pristanak. Ministarstvo elektronike i informacionih tehnologija (MeitY) provelo je 2024. godinu konsultujući se o Pravilima implementacije, a konačna Pravila su objavljena tokom 2025. godine u nekoliko tranši: najpre okvir za registraciju Menadžera pristanka, zatim procedure za prava subjekta podataka, zatim obaveštenja o prekograničnom prenosu, a zatim pragovi za značajnog fiducijar podataka. Do početka 2026. godine ceo okvir je bio na snazi.

Ko je regulisan

DPDPA se primenjuje na obradu digitalnih ličnih podataka pojedinaca u Indiji. Primenjuje se i eksteritorijalnu kada je obrada u vezi sa ponudom robe ili usluga principalima podataka u Indiji. Izdavač sa sedištem u SAD koji opslužuje indijske korisnike putem lokalizovanog sajta, verzije na indijskom jeziku ili programatskog inventara kupljenog prema indijskim IP adresama spada u doseg. Ovaj ekstratitorijalni doseg je nedvosmislen u statutu i ojačan je u ranim smernicama DPBI-ja.

Terminološki jaz

DPDPA koristi sopstveni rečnik, koji se razlikuje od GDPR i od većine novijih azijskih okvira. Fiducijar podataka je ono što GDPR naziva kontrolorom. Obrađivač podataka jasno se mapira na obrađivača po GDPR. Prinicipal podataka je subjekt podataka. Značajan fiducijar podataka je kontrolor iznad pragova veličine ili osetljivosti koje je objavila centralna vlada. Strani izdavači koji se po prvi put susreću sa DPDPA često pogrešno mapiraju ove termine; ispravno mapiranje u ranoj fazi štedi od kasnijih nedoumica.

Šta se smatra ličnim podacima

Definicija ličnih podataka u DPDPA je široka i blisko prati međunarodnu praksu. Lični podaci su svi podaci o pojedincu koji je identifikabilan prema ili u vezi sa takvim podacima. DPBI je putem ranih smernica naznačio da su onlajn identifikatori — kolačići, ID-ovi za oglašavanje, IP adrese, digitalni otisci uređaja i profili ponašanja — lični podaci kada mogu biti povezani sa identifikabilnim pojedincem direktno ili razumnim sredstvima.

Bez kategorije osetljivih podataka, ali sa pravilima za značajnog fiducijara podataka

Za razliku od GDPR, LGPD i PIPA, DPDPA formalno ne definiše kategoriju osetljivih ličnih podataka. Umesto toga, Zakon se oslanja na označavanje značajnog fiducijara podataka, koje primenjuje dodatne obaveze na kontrolore koji obrađuju podatke u velikom obimu, obrađuju podatke dece, obrađuju podatke koji bi mogli uticati na integritet izbora ili obrađuju podatke koji bi mogli uticati na nacionalnu bezbednost. Krajnji rezultat je sličan pravilima GDPR za osetljive kategorije za najveće i najosetljivije obrađivače, ali arhitektura je drugačija.

Zašto je to važno za kolačiće

Kolačić koji prikuplja uobičajeni identifikator oglašavanja su lični podaci, ali ne podleže pojačanim obavezama samo zato što hrani segment publike koji izgleda osetljivo. Ali izdavač koji dostigne prag značajnog fiducijara podataka — na primer velika platforma sa desetinama miliona indijskih korisnika — preuzima dodatne obaveze, uključujući obaveznog Službenika za zaštitu podataka, periodične revizije i Procene uticaja na zaštitu podataka. Pragovi veličine objavljeni su 2025. godine; većina globalnih platformi je sada u dosegu.

Pristanak prema DPDPA

DPDPA stavlja pristanak u centar svog okvira, ali ga definiše posebnim skupom zahteva koji se ne mapira jedan na jedan sa GDPR pristankom.

Standard važećeg pristanka

Pristanak prema DPDPA mora biti:

• Slobodan — nije uslovljen pružanjem usluge na koju korisnik inače ima pravo, i nije iznuđen
• Specifičan — vezan za jasno identifikovanu svrhu, a ne opšti pristanak
• Informisan — principal podataka razume koji podaci se obrađuju i u koje svrhe
• Bezuslovni — pristanak nije vezan za irelevantne uslove
• Nedvosmislen — izražen jasnom afirmativnom radnjom, a ne zaključen iz tišine ili neaktivnosti

Zahtev za taksativno navedeno obaveštenje

DPDPA zahteva obaveštenje u trenutku ili pre davanja pristanka koje opisuje lične podatke koji će se obrađivati, svrhu obrade, način na koji principal podataka može da ostvaruje prava i način na koji principal podataka može da podnese žalbu Odboru. Obaveštenje mora biti dostupno na engleskom jeziku i na bilo kom od 22 planirana jezika Indije koji principal podataka zatraži.

Arhitektura Menadžera pristanka

Ovde se DPDPA najviše razlikuje od drugih okvira. Zakon uspostavlja licenciranu ulogu pod nazivom Menadžer pristanka — entitet treće strane registrovan kod DPBI koji pruža interoperabilnu kontrolnu tablu za pristanak, omogućavajući principalima podataka da daju, pregledaju, upravljaju i povuku pristanke kod više fiducijara podataka iz jednog interfejsa. Menadžeri pristanka moraju biti registrovani kod Odbora i moraju ispunjavati tehničke specifikacije interoperabilnosti. U praksi, fiducijari podataka mogu pribaviti pristanak bilo direktno putem sopstvenog CMP ili putem registrovanog Menadžera pristanka, a u mnogim slučajevima principali podataka biraju da centralizuju svoj pristanak putem Menadžera pristanka umesto da upravljaju banerom svakog sajta posebno.

Kako izgleda usklađeni CMP

CMP konfigurisan za indijski saobraćaj u 2026. godini treba da prikazuje:

• Vidljivi baner pre nego što se aktivira bilo koji nesuštinski kolačić ili praćač, sa radnjama Prihvati, Odbij i Prilagodi podjednake vizuelne istaknutosti
• Dostupnost na engleskom i na željenom planiranom jeziku korisnika gde se traži
• Granularne preklopke pristanka po svrsi, uključujući analitiku, oglašavanje, personalizaciju i prekogranični prenos
• Jasnu vezu ka kompletnom taksativnom obaveštenju uključujući prava i kanal za žalbe DPBI
• Postojani, lako dostupni mehanizam za povlačenje pristanka koji je isto tako lak kao davanje pristanka
• Tehničku interoperabilnost sa registrovanim Menadžerima pristanka kako bi se stanje pristanka moglo sinhronizovati sa izabranim Menadžerom pristanka principala podataka

Evidencije o pristanku

Fiducijari podataka moraju voditi evidencije o pristanku, uključujući ko je pristao, kada, putem kog interfejsa, za koju svrhu i sve naknadne izmene. DPBI je naveo neadekvatne evidencije o pristanku u nekoliko svojih ranih postupaka, a izvozne, vremenski označene evidencije o pristanku su osnovno očekivanje.

Prekogranični prenosi podataka

Okvir za prekogranični prenos podataka DPDPA je jedan od najdistinktivnijih elemenata indijskog režima i značajno se razlikuje od modela adekvatnosti-plus-zaštitne mere koji koriste GDPR, PIPA i izmenjeni KVKK.

Okvir za obaveštavanje

DPDPA funkcioniše na osnovu pristupa negativne liste: prekogranični prenosi su generalno dozvoljeni osim ako se odredišna zemlja ne pojavi na listi ograničenih jurisdikcija koje je objavila centralna vlada. Ovo je suprotno od modela adekvatnosti GDPR, koji tretira prenose kao zabranjene bez pozitivne odluke o adekvatnosti ili zaštitnih mera. Pristup DPDPA je na prvi pogled permisivniji, ali negativna lista može biti proširena prema nahođenju vlade, a nekoliko jurisdikcija je stavljeno na listu tokom 2025. godine za specifične kategorije podataka.

Šta to znači operativno

Za većinu programatičnih tokova oglašavanja u 2026. godini, odgovor je da su prekogranični prenosi ka glavnim odredištima ad-tech-a dozvoljeni pod uslovom da odredišna zemlja nije na ograničenoj listi. Izdavači moraju proveriti trenutnu objavljenu listu, voditi dokumentaciju o prenosu i njegovoj svrsi i biti spremni da preusmere ili pauziraju tokove ako se doda odredište. Ovo je značajno jednostavnije od GDPR mehanike prenosa za većinu tokova, ali zahtev za budnošću je realan.

Sektorska lokalizacija

Odvojeno od DPDPA, nekoliko indijskih sektorskih regulatora — uključujući Rezervnu banku Indije za finansijske podatke i Ministarstvo zdravlja za zdravstvene podatke — imaju sopstvene zahteve za lokalizaciju koji se nadovezuju na DPDPA. Izdavač koji opslužuje indijske korisnike u jednom od ovih regulisanih sektora mora da se uskladi i sa DPDPA i sa primenjivim sektorskim pravilima.

Prava principala podataka

DPDPA daje principalima podataka poznati, ali nešto uži skup prava od GDPR:

• Pravo pristupa ličnim podacima koji se obrađuju, uključujući kategorije i obrađivače
• Pravo na ispravku, dopunu i ažuriranje ličnih podataka
• Pravo na brisanje ličnih podataka koji više nisu neophodni za navedenu svrhu
• Pravo na imenovanje drugog pojedinca da ostvaruje prava u ime principala podataka u slučaju smrti ili nesposobnosti
• Pravo na rešavanje pritužbi putem fiducijara podataka
• Pravo na žalbu Odboru za zaštitu podataka ako rešavanje pritužbi nije zadovoljavajuće

Šta nije na listi prava

Naime, DPDPA ne uključuje samostalno pravo na prenosivost, opšte pravo na prigovor obradi ili izričito pravo protiv automatizovanog donošenja odluka — mada režim značajnog fiducijara podataka i mehanizam povlačenja pristanka indirektno pokrivaju veći deo istog područja.

Rokovi za odgovor

Fiducijari podataka moraju da odgovore na zahteve principala podataka u rokovima navedenim u objavljenim Pravilima — što je u većini slučajeva u razumnom periodu koji ne prelazi navedeni rok, pri čemu DPBI tretira značajno kašnjenje kao neuspeh u usklađenosti. Sistem rešavanja pritužbi je prvi korak; samo nerešene pritužbe eskaliraju do Odbora.

Značajni fiducijari podataka

Označavanje značajnog fiducijara podataka (SDF) pokreće dodatne obaveze izvan osnovnih zahteva DPDPA.

Dodatne obaveze

• Imenovanje Službenika za zaštitu podataka sa sedištem u Indiji
• Periodične Procene uticaja na zaštitu podataka za navedene aktivnosti obrade
• Periodične nezavisne revizije
• Dodatne obaveze transparentnosti u pogledu algoritmičke obrade
• Strožije obaveštavanje o kršenjima i vođenje evidencija

Ko se kvalifikuje

Veličina, obim obrađenih ličnih podataka, osetljivost podataka, rizik za principale podataka, potencijalni uticaj na izbornu demokratiju, bezbednost i suverenitet, i potencijalni uticaj na javni red su svi faktori. Centralna vlada objavljuje SDF-ove pojedinačno ili po klasi. Većina velikih globalnih platformi koje opslužuju Indiju spada u objavljene klase u 2026. godini.

Podaci o deci

DPDPA definiše dete kao svaki pojedinac mlađi od 18 godina — viši prag od GDPR podrazumevanog od 16 i različitih nižih nacionalnih pragova. Obrada ličnih podataka dece zahteva proverivi roditeljski pristanak, a praćenje, ciljano oglašavanje i praćenje ponašanja dece su ograničeni bez obzira na status pristanka. Izdavači čija publika uključuje značajan saobraćaj mlađih od 18 godina trebaju starosnu ogradu, tokove roditeljskog pristanka i ograničenu obradu za segment maloletnika — sve to zahteva pravi inženjering koji malo stranih izdavača podrazumevano nije završilo.

Kazne i sprovođenje

DPDPA je uveo režim kazni koji je bio viši od istorijskih indijskih administrativnih kazni i smisleno skaliran prema težini kršenja.

Administrativne kazne

DPDPA dozvoljava kazne do INR 250 crore (oko USD 30 miliona) po kršenju za najozbiljnija kršenja. Niže kazne se primenjuju za neuspehe oko pristanka, obaveštenja, bezbednosti, obaveštavanja o kršenjima i rešavanja pritužbi. DPBI je koristio sredinu raspona nekoliko puta u 2025. i početku 2026. godine, a struktura kazni je dizajnirana da eskalira sa sistematskim neuspehom.

Teme sprovođenja DPBI

Rane odluke DPBI grupisane su oko malog skupa ponavljajućih problema: baneri za pristanak bez stvarne opcije Odbij, obaveštenja koja ne opisuju kanale žalbi DPBI, prekogranični tokovi ka odredištima na ograničenoj listi, sistemi za rešavanje pritužbi koji zapravo ne odgovaraju, i neuspehi interoperabilnosti Menadžera pristanka. Strani izdavači su citirani u gotovo svim ovim kategorijama.

Reputaciona dimenzija

DPBI javno objavljuje svoje odluke, uključujući naziv fiducijara i rezime neuspeha. Na indijskom tržištu gde se regulatorno trenje brzo pretvara u medijsku pokrivenost i političku pažnju, reputacioni trošak objavljene DPBI odluke je značajan pored finansijske kazne.

Kontrolna lista revizije za indijski saobraćaj u 2026. godini

• CMP baner se prikazuje sa Prihvati, Odbij i Prilagodi podjednake vizuelne istaknutosti
• Obaveštenje dostupno na engleskom i na traženom planiranom jeziku principala podataka gde je primenjivo
• Obaveštenje eksplicitno opisuje kanal žalbi DPBI i prava principala podataka
• Svrhe pristanka su granularne, sa prekograničnim prenosom kao posebnom svrhom
• Tehnička interoperabilnost sa najmanje jednim registrovanim Menadžerom pristanka je na mestu
• Povlačenje pristanka je isto tako lako kao davanje pristanka i pokreće nizvodni filter brisanja i aktivacije
• Tok rada za prava principala podataka — pristup, ispravka, brisanje, imenovanje — je popunjen i dokumentovan
• Kanal za rešavanje pritužbi je popunjen sa praćenim rokovima odgovora
• Odredišta prekograničnog prenosa su pregledana u odnosu na trenutnu ograničenu listu i dokumentovana
• Obaveze značajnog fiducijara podataka — DPO, DPIA, revizija — su na mestu ako je prag prekoračen
• Tok svesti o godinama za korisnike mlađe od 18 godina, sa proverljivim roditeljskim pristankom gde je primenjivo
• Sektorska pravila lokalizacije i obrade su dokumentovana i ispunjena ako izdavač posluje u regulisanom sektoru

Perspektiva za 2026. godinu

Indijski režim privatnosti prešao je od zakonodavne apstrakcije do operativne stvarnosti u periodu od nešto više od dve godine. Arhitektura DPDPA je distinktivna — ekosistem Menadžera pristanka je najvidljiviji globalni eksperiment u prenosivom, interoperabilnom pristanku, a pristup negativne liste prenosa je značajno drugačiji od modela adekvatnosti-plus-zaštitne mere koji dominira drugim okvirima. Za izdavače koji već vode GDPR-grade stek pristanka, jaz do usklađenosti sa DPDPA je operativni, a ne arhitektonski: interoperabilnost Menadžera pristanka, obaveštenja na planiranim jezicima, obelodanjivanja žalbi DPBI, prag ispod 18 godina i provera prenosa negativne liste. Jaz se može zatvoriti za nedelje ako se prioritizuje. Izdavači koji ga zatvore pre nego što DPBI stigne na njihova vrata neće primetiti tranziciju. Oni koji čekaju naći će 2026. i 2027. godinu značajno skupljim od godina koje su prošle.