Закон DPDP Індії у 2026 році: Посібник для видавців та рекламодавців щодо менеджерів згоди, транскордонних передач та Ради з захисту даних
Індійський Закон про захист цифрових персональних даних (DPDPA, 2023) був прийнятий у серпні 2023 року, а потім більшу частину 2024 і 2025 років провів у повільному, поетапному впровадженні, яке утримувало багатьох іноземних видавців у стані очікування. Той період завершився. Правила DPDP були повністю оголошені протягом 2025 року, Рада із захисту даних Індії (DPBI) тепер функціонує та розглядає скарги, а структура менеджера згоди — самобутній архітектурний внесок Індії у глобальне законодавство про конфіденційність — працює у виробничому середовищі. Для будь-якого видавця, рекламодавця або платформи, що обробляє персональні дані індійських користувачів у 2026 році, DPDPA більше не є проблемою майбутнього. Це поточна базова лінія відповідності, яка відрізняється від GDPR у питаннях, важливих для того, як розроблені CMP, транскордонні потоки та права суб'єктів даних. Цей посібник розглядає DPDPA в його впровадженій формі, що саме вимагає індійська згода, як екосистема менеджера згоди змінює ландшафт CMP, і яким є підхід до правозастосування DPBI у 2026 році на практиці.
Структура DPDPA у 2026 році
DPDPA — це самостійний статут захисту даних, відмінний від галузевих законів Індії про банківську справу, телекомунікації та охорону здоров'я. Його впровадження було навмисно поетапним, щоб екосистема менеджера згоди, DPBI та режим транскордонних передач могли кожен вийти в онлайн послідовно.
Прийняття 2023 року та впровадження 2024–2025 років
DPDPA пройшов Парламент у серпні 2023 року та незабаром отримав президентське схвалення. Міністерство електроніки та інформаційних технологій (MeitY) провело 2024 рік, консультуючись щодо правил впровадження, а остаточні Правила були оголошені протягом 2025 року кількома траншами: спочатку структура реєстрації менеджера згоди, потім процедури прав суб'єктів даних, потім повідомлення про транскордонні передачі, потім пороги значного довіреного особи даних. На початку 2026 року повна система була чинна.
Хто підпадає під регулювання
DPDPA застосовується до обробки цифрових персональних даних фізичних осіб в Індії. Він також застосовується екстериторіально, коли обробка пов'язана із пропозицією товарів або послуг суб'єктам даних в Індії. Видавець із США, що обслуговує індійських користувачів через локалізований сайт, індійськомовну версію або програматичний інвентар, придбаний проти індійських IP-адрес, перебуває у сфері дії. Ця екстериторіальна сфера однозначна в законі та підкріплена ранніми вказівками DPBI.
Термінологічна прірва
DPDPA використовує власний словниковий запас, що відрізняється від GDPR і від більшості новіших азійських систем. Довірена особа даних — це те, що GDPR називає контролером. Оператор даних чітко відповідає оператору GDPR. Суб'єкт даних — це суб'єкт даних. Значна довірена особа даних — це контролер вище порогів розміру або чутливості, оголошених центральним урядом. Іноземні видавці, які вперше стикаються з DPDPA, часто неправильно відображають ці терміни; правильне відображення на ранньому етапі заощаджує плутанину пізніше.
Що вважається персональними даними
Визначення персональних даних у DPDPA є широким і близько відповідає міжнародній практиці. Персональні дані — це будь-які дані про фізичну особу, яка є ідентифікованою за допомогою таких даних або відносно них. DPBI вказав через ранні вказівки, що онлайн-ідентифікатори — файли cookie, ідентифікатори реклами, IP-адреси, відбитки пристроїв і поведінкові профілі — є персональними даними, коли вони можуть бути пов'язані з ідентифікованою фізичною особою прямо або через розумні засоби.
Жодної чутливої категорії, але правила значної довіреної особи даних
На відміну від GDPR, LGPD та PIPA, DPDPA офіційно не визначає категорію чутливих персональних даних. Натомість Закон спирається на позначення значної довіреної особи даних, яке застосовує додаткові зобов'язання до контролерів, які обробляють дані у масштабі, обробляють дані дітей, обробляють дані, що можуть вплинути на цілісність виборів, або обробляють дані, що можуть вплинути на національну безпеку. Кінцевий результат подібний до правил GDPR щодо чутливих категорій для найбільших і найчутливіших операторів, але архітектура відрізняється.
Чому це важливо для файлів cookie
Файл cookie, що збирає звичайний рекламний ідентифікатор, є персональними даними, але не підпадає під підвищені зобов'язання лише тому, що він живить аудиторний сегмент, який виглядає чутливо. Але видавець, який досягає порогу значної довіреної особи даних — наприклад, велика платформа з десятками мільйонів індійських користувачів — набуває додаткових зобов'язань, включаючи обов'язкового відповідального за захист даних, періодичні аудити та оцінки впливу на захист даних. Порогові значення розміру були оголошені у 2025 році; більшість глобальних платформ тепер перебуває у сфері дії.
Згода відповідно до DPDPA
DPDPA ставить згоду в центр своєї системи, але визначає її з окремим набором вимог, які не відображаються один до одного зі згодою GDPR.
Стандарт дійсної згоди
Згода відповідно до DPDPA має бути:
- Вільною — не обумовленою наданням послуги, на яку користувач інакше має право, і не примусовою
- Конкретною — прив'язаною до чітко визначеної мети, а не загальної охопленої згоди
- Поінформованою — суб'єкт даних розуміє, які дані обробляються і для якої мети
- Безумовною — згода не прив'язана до нерелевантних умов
- Однозначною — виражена через чітку стверджувальну дію, а не висновком із мовчання або бездіяльності
Вимога пункт за пунктом повідомлення
DPDPA вимагає повідомлення у момент надання згоди або до неї, що описує персональні дані, які підлягають обробці, мету обробки, спосіб, у який суб'єкт даних може реалізовувати права, і спосіб, у який суб'єкт даних може подати скаргу до Ради. Повідомлення має бути доступним англійською мовою та будь-якою з 22 запланованих мов Індії, яку запитує суб'єкт даних.
Архітектура менеджера згоди
Тут DPDPA найбільш різко відходить від інших систем. Закон встановлює ліцензовану роль, яка називається менеджер згоди — сторонній суб'єкт, зареєстрований у DPBI, що надає інтероперабельну інформаційну панель згоди, що дозволяє суб'єктам даних надавати, переглядати, управляти та відкликати згоду у кількох довірених осіб даних з єдиного інтерфейсу. Менеджери згоди мають бути зареєстровані у Раді та відповідати технічним специфікаціям інтероперабельності. На практиці довірені особи даних можуть отримувати згоду або безпосередньо через власний CMP, або через зареєстрованого менеджера згоди, і в багатьох випадках суб'єкти даних обирають централізацію своєї згоди через менеджера згоди, а не управління баннером кожного сайту окремо.
Як виглядає сумісний CMP
CMP, налаштований для індійського трафіку у 2026 році, має представляти:
- Видимий баннер перед запуском будь-якого несуттєвого файлу cookie або трекера, з діями Прийняти, Відхилити та Налаштувати з однаковою візуальною видимістю
- Доступність англійською мовою і в переважній запланованій мові користувача за запитом
- Детальні перемикачі згоди на кожну мету, включаючи аналітику, рекламу, персоналізацію та транскордонну передачу
- Чітке посилання на повне пункт за пунктом повідомлення, включаючи права та канал скарг DPBI
- Постійний механізм відкликання згоди, який легко знайти і який є таким же простим, як надання згоди
- Технічна інтероперабельність із зареєстрованими менеджерами згоди, щоб стан згоди міг бути синхронізований з обраним суб'єктом даних менеджером згоди
Записи згоди
Довірені особи даних мають вести записи згоди, включаючи хто дав згоду, коли, через який інтерфейс, для якої мети та будь-які наступні зміни. DPBI посилається на неналежні журнали згоди у кількох своїх ранніх провадженнях, а записи згоди, що можна експортувати і з часовою міткою, є базовим очікуванням.
Транскордонні передачі даних
Система транскордонних передач DPDPA є одним із найбільш характерних елементів індійського режиму і суттєво відрізняється від моделі адекватності плюс гарантії, що використовується GDPR, PIPA та зміненим KVKK.
Система повідомлень
DPDPA діє за підходом негативного списку: транскордонні передачі, як правило, дозволені, якщо тільки країна призначення не з'являється у списку обмежених юрисдикцій, оголошеному центральним урядом. Це є протилежністю моделі адекватності GDPR, яка трактує передачі як заборонені за відсутності позитивного рішення про адекватність або гарантій. Підхід DPDPA є більш дозволяючим на вигляд, але негативний список може бути розширений на розсуд уряду, і ряд юрисдикцій був внесений до списку протягом 2025 року для певних категорій даних.
Що це означає операційно
Для більшості програматичних рекламних потоків у 2026 році відповідь полягає в тому, що транскордонні передачі до основних рекламно-технологічних призначень дозволені за умови, що країна призначення не включена до обмеженого списку. Видавці мають перевіряти поточний оголошений список, зберігати документацію передачі та її мети, і бути готовими перенаправити або призупинити потоки, якщо призначення додасться. Це суттєво простіше, ніж механіка передачі GDPR для більшості потоків, але вимога пильності є реальною.
Галузева локалізація
Окремо від DPDPA, кілька галузевих регуляторів Індії — включаючи Резервний банк Індії для фінансових даних та Міністерство охорони здоров'я для медичних даних — мають власні вимоги локалізації, що доповнюють DPDPA. Видавець, що обслуговує індійських користувачів в одному з цих регульованих секторів, має дотримуватися і DPDPA, і застосовних галузевих правил.
Права суб'єктів даних
DPDPA надає суб'єктам даних знайомий, але дещо вужчий набір прав, ніж GDPR:
- Право доступу до персональних даних, що обробляються, включаючи категорії та операторів
- Право на виправлення, доповнення та оновлення персональних даних
- Право на знищення персональних даних, що більше не є необхідними для заявленої мети
- Право призначити іншу фізичну особу для реалізації прав від імені суб'єкта даних у разі смерті або недієздатності
- Право на відшкодування претензій через довірену особу даних
- Право на скаргу до Ради із захисту даних, якщо відшкодування претензій є незадовільним
Що відсутнє у переліку прав
DPDPA не включає самостійне право на портативність, загальне право на заперечення проти обробки або явне право проти автоматизованого прийняття рішень — хоча режим значної довіреної особи даних і механізм відкликання згоди побічно охоплюють більшу частину тієї самої сфери.
Строки відповіді
Довірені особи даних мають відповідати на запити суб'єктів даних у строки, зазначені в оголошених Правилах — що у більшості випадків є розумним строком, що не перевищує встановленого вікна, при цьому DPBI розглядає суттєву затримку як порушення відповідності. Система відшкодування претензій є першим кроком; тільки невирішені претензії передаються до Ради.
Значні довірені особи даних
Позначення значної довіреної особи даних (SDF) тягне за собою додаткові зобов'язання понад базові вимоги DPDPA.
Додаткові зобов'язання
- Призначення відповідального за захист даних, що знаходиться в Індії
- Періодичні оцінки впливу на захист даних для визначених видів діяльності з обробки
- Періодичні незалежні аудити
- Додаткові зобов'язання щодо прозорості щодо алгоритмічної обробки
- Більш суворі повідомлення про порушення та ведення записів
Хто підпадає
Розмір, обсяг оброблених персональних даних, чутливість даних, ризик для суб'єктів даних, потенційний вплив на виборчу демократію, безпеку та суверенітет, а також потенційний вплив на громадський порядок — усе це фактори. Центральний уряд оголошує SDF індивідуально або за класом. Більшість великих глобальних платформ, що обслуговують Індію, потрапляє до оголошених класів у 2026 році.
Дані дітей
DPDPA визначає дитину як будь-яку фізичну особу молодше 18 років — вищий поріг, ніж стандартний вік 16 для GDPR та різні нижчі національні пороги. Обробка персональних даних дітей потребує перевіреної батьківської згоди, а відстеження, цільова реклама та поведінковий моніторинг дітей обмежені незалежно від статусу згоди. Видавці, аудиторія яких включає значний трафік осіб молодше 18 років, потребують вікових бар'єрів, потоків батьківської згоди та обмеженої обробки для сегмента неповнолітніх — все це вимагає реальної інженерної роботи, яку за замовчуванням виконали небагато іноземних видавців.
Штрафи та правозастосування
DPDPA ввів режим штрафів, що був вищим за історичні адміністративні штрафи Індії та осмислено масштабованим до серйозності порушення.
Адміністративні штрафи
DPDPA дозволяє штрафи до INR 250 крор (приблизно USD 30 мільйонів) за порушення для найсерйозніших порушень. Нижчі рівні штрафів застосовуються за невдачі щодо згоди, повідомлення, безпеки, повідомлення про порушення та відшкодування претензій. DPBI використовував середину діапазону кілька разів у 2025 та на початку 2026 року, а структура штрафів розроблена для ескалації при систематичних невдачах.
Теми правозастосування DPBI
Ранні рішення DPBI групуються навколо невеликого набору повторюваних проблем: баннери згоди без справжньої опції відхилення, повідомлення, що не описують канали скарг DPBI, транскордонні потоки до призначень у обмеженому списку, системи відшкодування претензій, що насправді не відповідають, і збої інтероперабельності менеджера згоди. Іноземні видавці були процитовані практично у всіх цих категоріях.
Репутаційний вимір
DPBI публікує свої рішення публічно, включаючи назву довіреної особи та резюме провалу. На індійському ринку, де регуляторні тертя швидко перетворюються на медійне висвітлення та політичну увагу, репутаційна вартість опублікованого рішення DPBI є суттєвою на додаток до фінансового штрафу.
Контрольний список аудиту для індійського трафіку у 2026 році
- Баннер CMP подається з Прийняти, Відхилити та Налаштувати з однаковою візуальною видимістю
- Повідомлення доступне англійською мовою та в запитуваній запланованій мові суб'єкта даних там, де застосовно
- Повідомлення явно описує канал скарг DPBI та права суб'єктів даних
- Цілі згоди є детальними, з транскордонною передачею як окремою метою
- Технічна інтероперабельність з принаймні одним зареєстрованим менеджером згоди є на місці
- Відкликання згоди є таким же простим, як надання згоди, і запускає фільтрацію видалення та активації
- Робочий процес прав суб'єктів даних — доступ, виправлення, знищення, призначення — укомплектований персоналом і задокументований
- Канал відшкодування претензій укомплектований персоналом з відстеженням строків відповіді
- Призначення транскордонних передач перевірено відносно поточного обмеженого списку і задокументовано
- Зобов'язання значної довіреної особи даних — DPO, DPIA, аудит — є на місці, якщо поріг перевищено
- Вікові потоки для користувачів молодше 18 років із перевіреною батьківською згодою там, де застосовно
- Галузеві правила локалізації та обробки задокументовані та дотримані, якщо видавець діє в регульованому секторі
Перспектива 2026 року
Режим конфіденційності Індії перейшов від законодавчої абстракції до операційної реальності за трохи більше двох років. Архітектура DPDPA є характерною — екосистема менеджера згоди є найбільш помітним глобальним експериментом у портативній, інтероперабельній згоді, а підхід негативного списку до передач суттєво відрізняється від моделі адекватності плюс гарантії, що домінує в інших системах. Для видавців, які вже запускають стек згоди рівня GDPR, розрив до відповідності DPDPA є операційним, а не архітектурним: інтероперабельність менеджера згоди, повідомлення запланованою мовою, розкриття скарг DPBI, поріг до 18 років та перевірка передачі негативного списку. Розрив можна закрити за тижні, якщо його пріоритизувати. Видавці, які закриють його до того, як DPBI з'явиться біля їхніх дверей, не помітять переходу. Ті, хто зачекається, виявлять, що 2026 і 2027 роки є суттєво дорожчими, ніж роки, що були до цього.