Indiens DPDP-lag 2026: Guide för utgivare och annonsörer om samtyckeshanterare, gränsöverskridande överföringar och dataskyddsnämnden
Indiens Digital Personal Data Protection Act (DPDPA, 2023) antogs i augusti 2023 och tillbringade sedan större delen av 2024 och 2025 i en långsam, stegvis utfasning som höll många utländska utgivare i vänteläge. Den perioden har avslutats. DPDP-reglerna tillkännagavs i sin helhet under 2025, Data Protection Board of India (DPBI) är nu operationellt och behandlar klagomål, och ramverket för samtyckeshanteraren — Indiens distinkta arkitektoniska bidrag till global integritetslagstiftning — är live i produktion. För alla utgivare, annonsörer eller plattformar som behandlar personuppgifter för indiska användare 2026 är DPDPA inte längre en framtida angelägenhet. Det är den nuvarande efterlevnadsbaslinjen och skiljer sig från GDPR på sätt som är viktiga för hur CMP:er, gränsöverskridande flöden och registrerades rättigheter är utformade. Den här guiden går igenom DPDPA i dess utfasade form, vad indiskt samtycke faktiskt kräver, hur samtyckeshanterarens ekosystem förändrar CMP-landskapet och hur DPBI:s verkställighetsposition 2026 ser ut i praktiken.
DPDPA:s struktur 2026
DPDPA är en fristående dataskyddsstadga, skild från Indiens sektorsspecifika lagar om bank, telekommunikation och hälsa. Dess utfasning var avsiktligt stegvis så att samtyckeshanterarens ekosystem, DPBI och den gränsöverskridande överföringsregimen var och en kunde gå online i sekvens.
2023 års antagande och utfasningen 2024–2025
DPDPA antogs av parlamentet i augusti 2023 och erhöll presidentens godkännande strax därefter. Ministeriet för elektronik och informationsteknologi (MeitY) ägnade 2024 åt att konsultera om genomförandereglerna, och de slutliga reglerna tillkännagavs under 2025 i flera omgångar: ramverket för registrering av samtyckeshanteraren först, sedan förfaranden för registrerades rättigheter, sedan meddelanden om gränsöverskridande överföringar och sedan trösklar för betydande dataförvaltare. Vid ingången av 2026 var hela ramverket i kraft.
Vem regleras
DPDPA gäller för behandling av digitala personuppgifter om individer i Indien. Det gäller även extraterritoriellt när behandlingen sker i samband med erbjudande av varor eller tjänster till registrerade i Indien. En USA-baserad utgivare som betjänar indiska användare via en lokaliserad webbplats, en indiskspråkig version eller programmatisk inventering köpt mot indiska IP-adresser omfattas. Denna extraterritoriella räckvidd är otvetydig i stadgan och har förstärkts i tidig DPBI-vägledning.
Terminologigapet
DPDPA använder sitt eget vokabulär, som skiljer sig från GDPR och från de flesta nyare asiatiska ramverken. En dataförvaltare är vad GDPR kallar en personuppgiftsansvarig. En databehandlare mappas tydligt till GDPR:s biträde. En dataregistrerad är den registrerade. En betydande dataförvaltare är en personuppgiftsansvarig som överstiger storleks- eller känslighetströsklar som tillkännagivits av centralregeringen. Utländska utgivare som stöter på DPDPA för första gången felmappar ofta dessa termer; att få mappningen rätt tidigt sparar förvirring senare.
Vad som räknas som personuppgifter
DPDPA:s definition av personuppgifter är bred och följer nära internationell praxis. Personuppgifter är alla uppgifter om en individ som är identifierbar med eller i relation till sådana uppgifter. DPBI har genom tidig vägledning indikerat att onlineidentifierare — kakor, reklam-ID:n, IP-adresser, enhetsfingeravtryck och beteendeprofiler — är personuppgifter när de kan kopplas till en identifierbar individ direkt eller via rimliga medel.
Ingen känslig kategori, men regler för betydande dataförvaltare
Till skillnad från GDPR, LGPD och PIPA definierar DPDPA inte formellt en kategori av känsliga personuppgifter. Istället förlitar sig lagen på beteckningen för betydande dataförvaltare, som tillämpar ytterligare skyldigheter på personuppgiftsansvariga som behandlar uppgifter i stor skala, behandlar uppgifter om barn, behandlar uppgifter som kan påverka valets integritet eller behandlar uppgifter som kan påverka den nationella säkerheten. Nettoresultatet liknar GDPR:s regler för känsliga kategorier för de största och mest känsliga personuppgiftsbiträdena, men arkitekturen är annorlunda.
Varför detta spelar roll för kakor
En kaka som samlar in en rutinmässig reklamidentifierare är personuppgifter men är inte föremål för skärpta skyldigheter enbart för att den matar ett känsligt publikkunder. Men en utgivare som når tröskeln för betydande dataförvaltare — till exempel en stor plattform med tiotals miljoner indiska användare — plockar upp ytterligare skyldigheter inklusive ett obligatoriskt dataskyddsombud, periodiska revisioner och dataskyddskonsekvensbedömningar. Storlekströsklar tillkännagavs 2025; de flesta globala plattformar omfattas nu.
Samtycke enligt DPDPA
DPDPA placerar samtycke i centrum av sitt ramverk men definierar det med en distinkt uppsättning krav som inte mappas ett-till-ett på GDPR-samtycke.
Standarden för giltigt samtycke
Samtycke enligt DPDPA måste vara:
- Fritt — inte villkorat av tillhandahållande av en tjänst som användaren annars har rätt till, och inte tvingat
- Specifikt — kopplat till ett tydligt identifierat syfte, inte ett allmänt paraplysamtycke
- Informerat — den registrerade förstår vilka uppgifter som behandlas och för vilket syfte
- Ovillkorligt — samtycket är inte knutet till irrelevanta villkor
- Otvetydigt — uttryckt genom en tydlig bekräftande åtgärd, inte härledd ur tystnad eller passivitet
Kravet på specificerat meddelande
DPDPA kräver ett meddelande vid eller före tidpunkten för samtycke som beskriver de personuppgifter som ska behandlas, syftet med behandlingen, hur en registrerad kan utöva rättigheter och hur den registrerade kan klaga till nämnden. Meddelandet måste vara tillgängligt på engelska och på något av Indiens 22 schemalagda språk som den registrerade begär.
Samtyckeshanterarens arkitektur
Det är här DPDPA avviker skarpast från andra ramverk. Lagen inrättar en licensierad roll kallad samtyckeshanteraren — en tredjepartsenhet registrerad hos DPBI som tillhandahåller en interoperabel samtyckespanel som gör det möjligt för registrerade att bevilja, granska, hantera och återkalla samtycken hos flera dataförvaltare från ett enda gränssnitt. Samtyckeshanterare måste registreras hos nämnden och måste uppfylla tekniska interoperabilitetspecifikationer. I praktiken kan dataförvaltare erhålla samtycke antingen direkt via sin egen CMP eller via en registrerad samtyckeshanterare, och i många fall väljer registrerade att centralisera sitt samtycke via en samtyckeshanterare snarare än att hantera varje webbplats banner separat.
Hur en kompatibel CMP ser ut
En CMP konfigurerad för indisk trafik 2026 bör presentera:
- En synlig banner innan icke-väsentliga kakor eller spårare aktiveras, med åtgärderna Acceptera, Avvisa och Anpassa med lika visuell framträdande
- Tillgänglighet på engelska och på användarens föredragna schemalagda språk vid begäran
- Granulerade samtyckesreglage per syfte, inklusive analys, annonsering, personalisering och gränsöverskridande överföring
- En tydlig länk till det fullständiga specificerade meddelandet inklusive rättigheter och DPBI:s klagomålskanal
- En beständig, lättillgänglig mekanism för att återkalla samtycke som är lika enkel som att ge samtycke
- Teknisk interoperabilitet med registrerade samtyckeshanterare så att samtyckestillstånd kan synkroniseras med den registrerades valda samtyckeshanterare
Samtyckesregister
Dataförvaltare måste föra register över samtycke, inklusive vem som samtyckt, när, via vilket gränssnitt, till vilket syfte och eventuella efterföljande ändringar. DPBI har åberopat otillräckliga samtyckesloggar i flera av sina tidiga förfaranden, och exporterbara, tidsstämplade samtyckesregister är grundläggande förväntning.
Gränsöverskridande dataöverföringar
DPDPA:s ramverk för gränsöverskridande överföringar är ett av de mest distinkta elementen i det indiska regelverket och skiljer sig meningsfullt från det adekvans-plus-skyddsåtgärder-mönster som används av GDPR, PIPA och det ändrade KVKK.
Meddelanderamverket
DPDPA verkar på en negativ listmetod: gränsöverskridande överföringar är i allmänhet tillåtna om inte destinationslandet visas på en lista över begränsade jurisdiktioner som tillkännagivits av centralregeringen. Det är motsatsen till GDPR:s adekvansmodell, som behandlar överföringar som förbjudna om det saknas ett positivt adekvansbesked eller skyddsåtgärder. DPDPA:s tillvägagångssätt är mer tillåtande på ytan, men den negativa listan kan utökas efter regeringens eget omdöme, och flera jurisdiktioner har placerats på listan under 2025 för specifika datakategorier.
Vad detta innebär operativt
För de flesta programmatiska annonsflöden 2026 är svaret att gränsöverskridande överföringar till stora ad-tech-destinationer är tillåtna förutsatt att destinationslandet inte finns på den begränsade listan. Utgivare behöver kontrollera den aktuella tillkännagivna listan, hålla dokumentation av överföringen och dess syfte, och vara beredda att omdirigera eller pausa flöden om ett mål läggs till. Det är meningsfullt enklare än GDPR-överföringsmekanik för de flesta flöden, men vaksamhetskravet är verkligt.
Sektorsspecifik lokalisering
Separat från DPDPA har flera indiska sektorsregulatorer — inklusive Reserve Bank of India för finansiella data och hälsoministeriet för hälsodata — egna lokaliseringskrav som ligger ovanpå DPDPA. En utgivare som betjänar indiska användare inom ett av dessa reglerade sektorer måste följa både DPDPA och tillämpliga sektorsregler.
Registrerades rättigheter
DPDPA ger registrerade ett välbekant men något snävare kluster av rättigheter än GDPR:
- Rätt att komma åt behandlade personuppgifter, inklusive kategorier och biträden
- Rätt till rättelse, komplettering och uppdatering av personuppgifter
- Rätt till radering av personuppgifter som inte längre är nödvändiga för det angivna syftet
- Rätt att utse en annan individ att utöva rättigheter på den registrerades vägnar vid dödsfall eller oförmåga
- Rätt till klagomålsprövning via dataförvaltaren
- Rätt att klaga till dataskyddsnämnden om klagomålsprövningen är otillfredsställande
Vad som inte finns med i rättighetslistan
DPDPA inkluderar inte en fristående rätt till portabilitet, en allmän rätt att invända mot behandling eller en uttrycklig rätt mot automatiserat beslutsfattande — även om beteckningen för betydande dataförvaltare och mekanismen för återkallande av samtycke indirekt täcker mycket av samma mark.
Svarstider
Dataförvaltare måste svara på registrerades begäranden inom de tidsfrister som anges i de tillkännagivna reglerna — vilket i de flesta fall är inom en rimlig period som inte överstiger det angivna fönstret, med DPBI som behandlar meningsfull försening som ett efterlevnadsfel. Klagomålsprövningssystemet är det första steget; endast olösta klagomål eskalerar till nämnden.
Betydande dataförvaltare
Beteckningen som betydande dataförvaltare (SDF) utlöser ytterligare skyldigheter utöver grundkraven i DPDPA.
De extra skyldigheterna
- Utnämning av ett dataskyddsombud baserat i Indien
- Periodiska dataskyddskonsekvensbedömningar för specificerade behandlingsverksamheter
- Periodiska oberoende revisioner
- Ytterligare transparensskyldigheter om algoritmisk behandling
- Strängare intrångsanmälan och journalföring
Vem kvalificerar sig
Storlek, volym av behandlade personuppgifter, uppgifternas känslighet, risk för registrerade, potentiell påverkan på valdemokrati, säkerhet och suveränitet, och potentiell påverkan på allmän ordning är alla faktorer. Centralregeringen tillkännager SDF:er antingen individuellt eller per klass. De flesta stora globala plattformar som betjänar Indien ingår i tillkännagivna klasser 2026.
Barns uppgifter
DPDPA definierar ett barn som en individ under 18 år — ett högre tröskel än GDPR:s standard på 16 och de olika lägre nationella trösklarna. Behandling av barns personuppgifter kräver verifierbart föräldrars samtycke, och spårning, riktad annonsering och beteendeövervakning av barn är begränsade oavsett samtyckestatus. Utgivare vars publik inkluderar betydande trafik under 18 år behöver åldersbegränsning, flöden för föräldrarsamtycke och begränsad behandling för minderårssegmentet — allt som kräver verkligt ingenjörsarbete som få utländska utgivare har slutfört som standard.
Sanktioner och verkställighet
DPDPA introducerade ett sanktionsregime som var högre än historiska indiska administrativa böter och meningsfullt skalat till överträdelsens allvar.
Administrativa sanktioner
DPDPA tillåter sanktioner på upp till INR 250 crore (ungefär USD 30 miljoner) per överträdelse för de allvarligaste överträdelserna. Lägre nivå sanktioner gäller för misslyckanden kring samtycke, meddelanden, säkerhet, intrångsanmälan och klagomålsprövning. DPBI har använt mitten av intervallet vid flera tillfällen under 2025 och tidigt 2026, och sanktionsstrukturen är utformad för att eskalera med systematiska fel.
DPBI:s verkställighetsteman
Tidiga DPBI-beslut klustrar kring en liten uppsättning återkommande problem: samtyckesbanners utan ett äkta avvisningsalternativ, meddelanden som inte beskriver DPBI:s klagomålskanaler, gränsöverskridande flöden till destinationer på den begränsade listan, klagomålsprövningssystem som faktiskt inte svarar och interoperabilitetsfel hos samtyckeshanteraren. Utländska utgivare har citerats i nästan alla dessa kategorier.
Ryktesdimensionen
DPBI publicerar sina beslut offentligt, inklusive förvaltarens namn och en sammanfattning av misslyckandet. På en indisk marknad där regleringsfriktioner snabbt omvandlas till mediebevakning och politisk uppmärksamhet är rykteskostnaden för ett publicerat DPBI-beslut meningsfull utöver den ekonomiska sanktionen.
Revisionschecklista för indisk trafik 2026
- CMP-bannern visas med Acceptera, Avvisa och Anpassa med lika visuell framträdande
- Meddelande tillgängligt på engelska och på den registrerades begärda schemalagda språk där tillämpligt
- Meddelandet beskriver uttryckligen DPBI:s klagomålskanal och den registrerades rättigheter
- Samtyckessyften är granulerade, med gränsöverskridande överföring som ett separat syfte
- Teknisk interoperabilitet med minst en registrerad samtyckeshanterare är på plats
- Återkallande av samtycke är lika enkelt som att ge samtycke och utlöser nedströms radering och aktiveringsfiltrering
- Arbetsflöde för den registrerades rättigheter — åtkomst, rättelse, radering, utnämning — är bemannat och dokumenterat
- Klagomålsprövningskanalen är bemannad med spårade svarstider
- Destinationer för gränsöverskridande överföring granskas mot den aktuella begränsade listan och dokumenteras
- Skyldigheter för betydande dataförvaltare — DPO, DPIA, revision — är på plats om tröskeln är korsad
- Åldersmedvetet flöde för användare under 18 år, med verifierbart föräldrarsamtycke där tillämpligt
- Sektorsspecifika lokaliseringsregler och behandlingsregler är dokumenterade och efterföljda om utgivaren verkar inom en reglerad sektor
Utsikten för 2026
Indiens integritetsregime har gått från lagstiftningsabstraktion till operativ verklighet på lite mer än två år. DPDPA:s arkitektur är distinkt — samtyckeshanterarens ekosystem är det mest synliga globala experimentet med portabelt, interoperabelt samtycke, och den negativa listmetoden för överföringar är meningsfullt annorlunda än adekvans-plus-skyddsåtgärder-mönstret som dominerar andra ramverk. För utgivare som redan kör en GDPR-gradig samtyckesstack är gapet till DPDPA-efterlevnad operativt snarare än arkitektoniskt: samtyckeshanterarens interoperabilitet, schemalagda språkmeddelanden, DPBI-klagomålsoffentliggöranden, under-18-tröskeln och kontrollen av negativa listöverföringar. Gapet kan stängas på veckor om det prioriteras. Utgivare som stänger det innan DPBI dyker upp vid deras dörr märker inte av övergången. De som väntar kommer att finna 2026 och 2027 meningsfullt dyrare än åren som kom före.