Hindistan'ın DPDP Yasası 2026'da: Rıza Yöneticileri, Sınır Ötesi Transferler ve Veri Koruma Kurulu için Yayıncı ve Reklamveren Rehberi
Hindistan'ın Dijital Kişisel Veri Koruma Yasası (DPDPA, 2023) Ağustos 2023'te yürürlüğe girdi ve ardından pek çok yabancı yayıncıyı bekleyişte tutan yavaş, aşamalı bir uygulamayla 2024 ve 2025'in büyük bölümünü geçirdi. O dönem sona erdi. DPDP Kuralları 2025 yılı boyunca tamamen duyuruldu, Hindistan Veri Koruma Kurulu (DPBI) artık faaliyette ve şikayetleri değerlendiriyor, Rıza Yöneticisi çerçevesi — Hindistan'ın küresel gizlilik hukukuna özgü mimari katkısı — üretimde canlı. Hindistan kullanıcılarının kişisel verilerini 2026'da işleyen herhangi bir yayıncı, reklamveren veya platform için DPDPA artık ilerideki bir endişe değil. Bu, mevcut uyumluluk temelidir ve CMP'lerin, sınır ötesi akışların ve veri sahibi haklarının nasıl tasarlandığı açısından önemli olan şekillerde GDPR'dan farklıdır. Bu rehber, DPDPA'yı yürürlüğe giren haliyle, Hindistan rızasının gerçekte ne gerektirdiğini, Rıza Yöneticisi ekosisteminin CMP ortamını nasıl değiştirdiğini ve DPBI'nın 2026 yaptırım tutumunun pratikte nasıl göründüğünü ele almaktadır.
2026'da DPDPA'nın Yapısı
DPDPA, Hindistan'ın bankacılık, telekomünikasyon ve sağlık alanındaki sektöre özgü yasalarından farklı, bağımsız bir veri koruma tüzüğüdür. Uygulaması, Rıza Yöneticisi ekosisteminin, DPBI'nın ve sınır ötesi transfer rejiminin her birinin sırayla çevrimiçi olabilmesi için kasıtlı olarak aşamalıydı.
2023 Geçişi ve 2024-2025 Uygulaması
DPDPA Ağustos 2023'te Parlamentodan geçti ve kısa süre sonra cumhurbaşkanlığı onayını aldı. Elektronik ve Bilgi Teknolojisi Bakanlığı (MeitY) 2024'ü uygulama Kuralları üzerine danışarak geçirdi ve nihai Kurallar 2025 yılında birkaç dilim halinde duyuruldu: önce Rıza Yöneticisi kayıt çerçevesi, ardından veri sahibi hakları prosedürleri, ardından sınır ötesi transfer bildirimleri, ardından önemli veri sorumlusu eşikleri. 2026'nın başında tam çerçeve yürürlükteydi.
Kimler Düzenleniyor
DPDPA, Hindistan'daki bireylerin dijital kişisel verilerinin işlenmesine uygulanır. Aynı zamanda Hindistan'daki veri asıllılarına mal veya hizmet sunumuyla bağlantılı işlem söz konusu olduğunda toprak dışı uygulanır. Yerelleştirilmiş bir site, Hintçe sürüm veya Hindistan IP adreslerine karşı satın alınan programatik envanter aracılığıyla Hint kullanıcılara hizmet veren ABD merkezli bir yayıncı kapsam dahilindedir. Bu toprak dışı erişim tüzükte açık olup erken DPBI rehberliğinde güçlendirilmiştir.
Terminoloji Uçurumu
DPDPA, GDPR'dan ve daha yeni Asya çerçevelerinin çoğundan farklı olan kendi sözlüğünü kullanır. Bir veri sorumlusu, GDPR'ın kontrolör dediği şeydir. Bir veri işleyici, GDPR'ın veri işleyicisiyle örtüşür. Bir veri asıllısı, veri öznesidir. Bir önemli veri sorumlusu, merkezi hükümet tarafından bildirilen boyut veya hassasiyet eşiklerinin üzerindeki bir kontrolördür. DPDPA'yla ilk kez karşılaşan yabancı yayıncılar genellikle bu terimleri yanlış eşleştirir; eşleştirmeyi erken doğru yapmak sonraki kargaşayı önler.
Kişisel Veri Olarak Sayılanlar
DPDPA'nın kişisel veri tanımı geniş olup uluslararası uygulamayı yakından takip eder. Kişisel veri, bu tür verilerden veya bu verilerle ilgili olarak kimliği belirlenebilecek bir kişiye ilişkin herhangi bir veridir. DPBI, erken rehberlik aracılığıyla çevrimiçi tanımlayıcıların — çerezler, reklam kimlikleri, IP adresleri, cihaz parmak izleri ve davranış profilleri — doğrudan veya makul yollarla kimliği belirlenebilir bir kişiyle ilişkilendirilebildiğinde kişisel veri olduğunu belirtmiştir.
Hassas Kategori Yok, Ama Önemli Veri Sorumlusu Kuralları
GDPR, LGPD ve PIPA'nın aksine, DPDPA resmi olarak hassas kişisel veri kategorisi tanımlamaz. Bunun yerine Yasa, büyük ölçekte veri işleyen, çocuklara ait veri işleyen, seçim bütünlüğünü etkileyebilecek veri işleyen veya ulusal güvenliği etkileyebilecek veri işleyen kontrolörlere ek yükümlülükler uygulayan önemli veri sorumlusu atamasına dayanır. Net sonuç, en büyük ve en hassas işleyiciler için GDPR hassas kategori kurallarına benzerdir, ancak mimari farklıdır.
Bunun Çerezler İçin Önemi
Rutin bir reklam tanımlayıcısı toplayan bir çerez kişisel veridir, ancak hassas görünen bir kitle segmenti beslediği için yükseltilmiş yükümlülüklere tabi değildir. Ancak önemli veri sorumlusu eşiğine ulaşan bir yayıncı — örneğin onlarca milyonlarca Hint kullanıcısı olan büyük bir platform — zorunlu Veri Koruma Görevlisi, periyodik denetimler ve Veri Koruma Etki Değerlendirmeleri dahil ek yükümlülükler üstlenir. Boyut eşikleri 2025'te bildirildi; küresel platformların çoğu artık kapsam dahilindedir.
DPDPA Kapsamında Rıza
DPDPA, rızayı çerçevesinin merkezine koyar ancak onu GDPR rızasıyla bire bir örtüşmeyen ayrı bir gereksinimler setiyle tanımlar.
Geçerli Rıza Standardı
DPDPA kapsamında rıza şu özelliklere sahip olmalıdır:
- Özgür — kullanıcının başka türlü hak sahibi olduğu bir hizmetin sağlanmasına bağlı değil ve zorlamayla elde edilmemiş
- Spesifik — açıkça belirlenmiş bir amaca bağlı, genel bir şemsiye rıza değil
- Bilgilendirilmiş — veri asıllısı hangi verinin işlendiğini ve hangi amaçla işlendiğini anlıyor
- Koşulsuz — rıza ilgisiz koşullara bağlı değil
- Net — sessizlikten veya hareketsizlikten çıkarılan değil, açık olumlu bir eylemle ifade edilen
Madde Madde Bildirim Gereksinimi
DPDPA, işlenecek kişisel verileri, işlemenin amacını, veri asıllısının haklarını kullanabileceği yöntemi ve veri asıllısının Kurula nasıl şikayette bulunabileceğini açıklayan, rıza noktasında veya öncesinde bir bildirim yapılmasını gerektirir. Bildirim, veri asıllısının talep ettiği Hindistan'ın 22 programlanmış dilinden herhangi birinde ve İngilizce olarak mevcut olmalıdır.
Rıza Yöneticisi Mimarisi
DPDPA'nın diğer çerçevelerden en keskin şekilde ayrıldığı yer burasıdır. Yasa, veri asıllılarının birden fazla veri sorumlusundaki rızaları tek bir arayüzden vermesine, incelemesine, yönetmesine ve geri çekmesine olanak tanıyan birlikte çalışabilir bir rıza panosu sağlayan DPBI'ya kayıtlı üçüncü taraf bir kuruluş olan Rıza Yöneticisi adlı lisanslı bir rol oluşturur. Rıza Yöneticilerinin Kurula kayıtlı olması ve teknik birlikte çalışabilirlik özelliklerini karşılaması gerekir. Pratikte, veri sorumluları rızayı kendi CMP'leri aracılığıyla doğrudan ya da kayıtlı bir Rıza Yöneticisi aracılığıyla alabilir ve birçok durumda veri asıllıları her sitenin bannerını ayrı ayrı yönetmek yerine rızalarını bir Rıza Yöneticisi aracılığıyla merkezi hale getirmeyi tercih eder.
Uyumlu Bir CMP Nasıl Görünür
2026'da Hindistan trafiği için yapılandırılmış bir CMP şunları sunmalıdır:
- Herhangi bir zorunlu olmayan çerez veya izleyici devreye girmeden önce, Kabul Et, Reddet ve Özelleştir eylemlerinin eşit görsel belirginlikte olduğu görünür bir banner
- Talep edildiğinde İngilizce ve kullanıcının tercih ettiği programlanmış dilde erişilebilirlik
- Analitik, reklam, kişiselleştirme ve sınır ötesi transfer dahil her amaç için ayrıntılı rıza anahtarları
- Haklar ve DPBI şikayet kanalı dahil tam madde madde bildirime net bir bağlantı
- Rıza vermek kadar kolay olan ve kolayca bulunabilen kalıcı bir rıza geri çekme mekanizması
- Rıza durumunun veri asıllısının seçtiği Rıza Yöneticisiyle senkronize edilebilmesi için kayıtlı Rıza Yöneticileriyle teknik birlikte çalışabilirlik
Rıza Kayıtları
Veri sorumluları, kimin, ne zaman, hangi arayüz aracılığıyla, hangi amaçla rıza verdiği ve sonraki değişiklikler dahil rıza kayıtlarını tutmak zorundadır. DPBI, erken davalarının birkaçında yetersiz rıza günlüklerine atıfta bulunmuştur ve dışa aktarılabilir, zaman damgalı rıza kayıtları temel beklentidir.
Sınır Ötesi Veri Transferleri
DPDPA'nın sınır ötesi transfer çerçevesi, Hindistan rejiminin en belirgin unsurlarından biridir ve GDPR, PIPA ve değiştirilen KVKK tarafından kullanılan yeterlilik artı güvenceler modelinden anlamlı biçimde farklıdır.
Bildirim Çerçevesi
DPDPA bir negatif liste yaklaşımıyla çalışır: Sınır ötesi transferler, hedef ülke merkezi hükümet tarafından bildirilen kısıtlı yargı alanları listesinde görünmediği sürece genel olarak izinlidir. Bu, transferleri olumlu bir yeterlilik kararı veya güvenceler olmaksızın yasak sayan GDPR yeterlilik modelinin tersidir. DPDPA'nın yaklaşımı görünürde daha izin vericidir, ancak negatif liste hükümetin takdiriyle genişletilebilir ve 2025 yılında belirli veri kategorileri için çeşitli yargı alanları listeye eklenmiştir.
Bunun Operasyonel Anlamı
2026'da çoğu programatik reklamcılık akışı için yanıt şudur: Hedef ülke kısıtlı listede olmadığı sürece büyük reklam teknolojisi hedeflerine sınır ötesi transferler izinlidir. Yayıncıların mevcut bildirilmiş listeyi kontrol etmesi, transfer ve amacı hakkında belge tutması ve bir hedef eklenirse akışları yeniden yönlendirmeye veya duraklatmaya hazır olması gerekir. Bu, çoğu akış için GDPR transfer mekaniklerinden anlamlı biçimde daha basittir, ancak dikkat gereksinimi gerçektir.
Sektöre Özgü Yerelleştirme
DPDPA'dan ayrı olarak, çeşitli Hindistan sektörel düzenleyicileri — finansal veriler için Hindistan Merkez Bankası ve sağlık verileri için Sağlık Bakanlığı dahil — DPDPA'nın üzerinde duran kendi yerelleştirme gereksinimlerine sahiptir. Bu düzenlenen sektörlerden birinde Hint kullanıcılara hizmet veren bir yayıncının hem DPDPA'ya hem de geçerli sektörel kurallara uymak zorundadır.
Veri Asıllısı Hakları
DPDPA, veri asıllılarına GDPR'dan biraz daha dar ancak tanıdık bir haklar kümesi sağlar:
- Kategoriler ve işleyiciler dahil işlenen kişisel verilere erişim hakkı
- Kişisel verilerin düzeltilmesi, tamamlanması ve güncellenmesi hakkı
- Belirtilen amaç için artık gerekli olmayan kişisel verilerin silinmesi hakkı
- Ölüm veya yetersizlik durumunda veri asıllısı adına hakları kullanmak üzere başka bir kişiyi aday gösterme hakkı
- Veri sorumlusu aracılığıyla şikayet çözme hakkı
- Şikayet çözümü tatmin edici değilse Veri Koruma Kuruluna şikayet etme hakkı
Haklar Listesinde Olmayan
DPDPA, bağımsız bir taşınabilirlik hakkı, işlemeye itiraz etmek için genel bir hak veya otomatik karar almaya karşı açık bir hak içermez; ancak önemli veri sorumlusu rejimi ve rıza geri çekme mekanizması aynı zeminin çoğunu dolaylı olarak kapsamaktadır.
Yanıt Süreleri
Veri sorumluları, bildirilen Kurallarda belirtilen süreler içinde veri asıllısı taleplerine yanıt vermek zorundadır — bu çoğu durumda belirtilen pencereyi aşmayan makul bir süre içinde olmakla birlikte DPBI, anlamlı gecikmeyi uyumluluk başarısızlığı olarak ele almaktadır. Şikayet çözüm sistemi ilk adımdır; yalnızca çözülmemiş şikayetler Kurula taşınır.
Önemli Veri Sorumluları
Önemli veri sorumlusu (SDF) ataması, temel DPDPA gereksinimlerinin ötesinde ek yükümlülükleri tetikler.
Ek Yükümlülükler
- Hindistan'da yerleşik bir Veri Koruma Görevlisinin atanması
- Belirli işleme faaliyetleri için periyodik Veri Koruma Etki Değerlendirmeleri
- Periyodik bağımsız denetimler
- Algoritmik işleme hakkında ek şeffaflık yükümlülükleri
- Daha sıkı ihlal bildirimi ve kayıt tutma
Kim Nitelendirir
Boyut, işlenen kişisel veri hacmi, verinin hassasiyeti, veri asıllılarına yönelik risk, seçim demokrasisi, güvenlik ve egemenlik üzerindeki potansiyel etki ve kamu düzeni üzerindeki potansiyel etki faktörlerin hepsidir. Merkezi hükümet SDF'leri bireysel olarak veya sınıfa göre bildirir. Hindistan'a hizmet veren büyük küresel platformların çoğu 2026'da bildirilen sınıflar içindedir.
Çocukların Verileri
DPDPA, çocuğu 18 yaşın altındaki herhangi bir birey olarak tanımlar — bu, GDPR'ın 16 yaş standardından ve çeşitli daha düşük ulusal eşiklerden daha yüksek bir eşiktir. Çocukların kişisel verilerinin işlenmesi, doğrulanabilir ebeveyn rızasını gerektirir ve rıza durumundan bağımsız olarak çocukların takibi, hedefli reklamcılığı ve davranışsal izlenmesi kısıtlanmıştır. Kitlesi önemli miktarda 18 yaş altı trafik içeren yayıncıların yaş engeli, ebeveyn rızası akışları ve küçükler segmenti için kısıtlı işleme gereksinimi vardır — bunların hepsi, varsayılan olarak yabancı yayıncıların çok azının tamamladığı gerçek mühendislik çalışması gerektirir.
Cezalar ve Yaptırım
DPDPA, tarihi Hindistan idari para cezalarından daha yüksek olan ve ihlalin ciddiyetiyle anlamlı biçimde orantılı bir ceza rejimi getirdi.
İdari Cezalar
DPDPA, en ciddi ihlaller için ihlal başına INR 250 crore'a kadar (yaklaşık USD 30 milyon) ceza verilmesine izin verir. Daha düşük kademe cezalar, rıza, bildirim, güvenlik, ihlal bildirimi ve şikayet çözümüne ilişkin başarısızlıklar için geçerlidir. DPBI 2025'te ve 2026'nın başında aralığın ortasını birkaç kez kullandı ve ceza yapısı sistematik başarısızlıkla birlikte tırmanacak şekilde tasarlanmıştır.
DPBI'nın Yaptırım Temaları
Erken DPBI kararları küçük bir tekrarlayan sorunlar kümesinde yoğunlaşmaktadır: gerçek bir Reddet seçeneği olmayan rıza bannerları, DPBI şikayet kanallarını açıklamayan bildirimler, kısıtlı listedeki hedeflere sınır ötesi akışlar, gerçekten yanıt vermeyen şikayet çözüm sistemleri ve Rıza Yöneticisi birlikte çalışabilirlik başarısızlıkları. Yabancı yayıncılar bu kategorilerin neredeyse tamamında atıfta bulunulmuştur.
İtibar Boyutu
DPBI kararlarını, sorumlu adı ve başarısızlığın özeti dahil kamuya açık olarak yayımlar. Düzenleyici sürtüşmenin medya haberciliğine ve siyasi dikkate hızla dönüştüğü bir Hindistan pazarında, yayımlanmış bir DPBI kararının itibar maliyeti, mali cezanın yanı sıra anlamlıdır.
2026'da Hindistan Trafiği İçin Denetim Kontrol Listesi
- CMP bannerı, Kabul Et, Reddet ve Özelleştir eşit görsel belirginlikte sunulmaktadır
- Bildirim, uygulanabilir durumlarda veri asıllısının talep ettiği programlanmış dilde ve İngilizce olarak mevcuttur
- Bildirim, DPBI şikayet kanalını ve veri asıllısı haklarını açıkça açıklamaktadır
- Rıza amaçları ayrıntılıdır ve sınır ötesi transfer ayrı bir amaç olarak yer almaktadır
- En az bir kayıtlı Rıza Yöneticisiyle teknik birlikte çalışabilirlik mevcuttur
- Rızanın geri çekilmesi, rıza vermek kadar kolaydır ve aşağı yönlü silme ve etkinleştirme filtrelemesini tetikler
- Veri asıllısı hakları iş akışı — erişim, düzeltme, silme, aday gösterme — personel ve belgelerle desteklidir
- Şikayet çözüm kanalı, yanıt süreleri takip edilerek personellidir
- Sınır ötesi transfer hedefleri mevcut kısıtlı listeye karşı incelenmiş ve belgelenmiştir
- Önemli veri sorumlusu yükümlülükleri — DPO, DPIA, denetim — eşik aşılmışsa mevcuttur
- 18 yaş altı kullanıcılar için yaşa duyarlı akış, uygulanabilir durumlarda doğrulanabilir ebeveyn rızasıyla
- Yayıncı düzenlenen bir sektörde faaliyet gösteriyorsa sektöre özgü yerelleştirme ve işleme kuralları belgelenmiş ve uyulmuştur
2026 Görünümü
Hindistan'ın gizlilik rejimi, biraz iki yılı aşkın bir süre içinde yasal soyutlamadan işletme gerçeğine geçti. DPDPA'nın mimarisi belirgindir — Rıza Yöneticisi ekosistemi, taşınabilir ve birlikte çalışabilir rıza konusundaki en görünür küresel denemedir ve negatif liste transfer yaklaşımı, diğer çerçevelere hakim olan yeterlilik artı güvenceler modelinden anlamlı biçimde farklıdır. Halihazırda GDPR sınıfı rıza yığını çalıştıran yayıncılar için DPDPA uyumluluğuna açık mimar değil operasyonel bir açıktır: Rıza Yöneticisi birlikte çalışabilirliği, programlanmış dil bildirimleri, DPBI şikayet açıklamaları, 18 yaş altı eşiği ve negatif liste transfer kontrolü. Açık önceliklendirilirse haftalarca kapatılabilir. DPBI kapılarına gelmeden önce kapatanlar geçişi fark etmeyecektir. Bekleyenler ise 2026 ve 2027'yi daha önce gelen yıllardan anlamlı biçimde daha pahalı bulacaktır.