DPDP Act kimlarga tatbiq etiladi

DPDP Act Hindiston ichida raqamli shaxsiy ma’lumotlarni qayta ishlashni, shuningdek Hindistondagi shaxslarga tovar yoki xizmatlar taklif etishga aloqador bo‘lgan Hindistondan tashqaridagi qayta ishlashni tartibga soladi. Amalda, agar veb-saytingiz hindistonlik foydalanuvchilar uchun ochiq bo‘lsa va siz u orqali shaxsiy ma’lumotlarni to‘plasangiz — jumladan cookie, SDK, piksel yoki fingerprinting orqali — qonun deyarli albatta sizga nisbatan qo‘llanadi.

Qonunda ikkita asosiy rol qo‘llaniladi: Data Fiduciary (GDPR’dagi controller’ga o‘xshash) va Data Processor. Eng yirik operatorlarning oz qismi Significant Data Fiduciary sifatida belgilanishi mumkin, bu esa Data Protection Impact Assessment o‘tkazish va Hindistonda yashovchi Data Protection Officer tayinlash kabi qo‘shimcha majburiyatlarni yuzaga keltiradi.

DPDP Act cookie va trekerlarga qanday munosabatda bo‘ladi

ePrivacy Directive’dan farqli o‘laroq, DPDP Act cookie’larni alohida toifa sifatida ajratib ko‘rsatmaydi. U o‘rniga raqamli shaxsiy ma’lumotlarning har qanday qayta ishlanishini tartibga soladi. Bu shuni anglatadiki, cookie, qurilma identifikatorlari, IP-manzillar, reklama ID’lari va hashed email manzillar to‘g‘ridan to‘g‘ri yoki bilvosita aniqlanishi mumkin bo‘lgan shaxs bilan bog‘langanida, barchasi qonun doirasiga kiradi.

Nashriyotchilar uchun xulosa oddiy: agar saytingizdagi cookie yoki teg shaxsiy ma’lumotlarning to‘planishiga yoki ulashilishiga olib kelayotgan bo‘lsa, sizga yaroqli qonuniy asos kerak bo‘ladi. DPDP Act bo‘yicha bu asos deyarli har doim rozilik hisoblanadi, qonunda belgilangan tor doiradagi "legitimate uses" bundan mustasno.

Yaroqli rozilik qanday ko‘rinishda bo‘lishi kerak

DPDP Act rozilik uchun yuqori talablarni belgilaydi. Rozilik erkin, aniq belgilangan, xabardor qilingan, shartsiz va ikkilanmas bo‘lishi, shuningdek aniq ijobiy harakat orqali bildirilishi kerak. Oldindan belgilangan katakchalar, brauzerdan foydalanishni davom ettirish orqali nazarda tutilgan rozilik va kirishni faqat qabul qilish evaziga beradigan "cookie wall" dizaynlari bu talablar bilan mos kelmaydi.

Rozilik UX’i uchun muhim bo‘lgan yana ikkita DPDP’ga xos qoida mavjud:

• Bandlar bo‘yicha aniq xabarnoma: Rozilikdan oldin yoki rozilik berish paytida foydalanuvchiga to‘planayotgan ma’lumotlar, ularni qayta ishlash maqsadlari hamda rozilikni qaytarib olish yoki Hindiston Data Protection Board organiga shikoyat berish tartibini aniq ko‘rsatuvchi xabarnoma taqdim etishingiz kerak.
• Sodda til va ko‘p tilli qo‘llab-quvvatlash: Xabarnomalar ingliz tilida va foydalanuvchi tanlagan Hindistonning 22 rasmiy rejalashtirilgan tilining istalganida mavjud bo‘lishi kerak. Rozilik mazmunini hindi, tamil, bengal, marathi va boshqa yirik tillarda ko‘rsata olmaydigan CMP muvofiqlikka erishishda qiynaladi.

Bolalar ma’lumotlari va ota-ona roziligi

DPDP Act 18 yoshdan kichik har qanday shaxsni bola deb hisoblaydi va ularning shaxsiy ma’lumotlarini qayta ishlashdan avval tasdiqlanadigan ota-ona roziligini talab qiladi. Shuningdek, bolalarga qaratilgan xulq-atvorni kuzatish va nishonga olingan reklama taqiqlanadi. Hindistonda voyaga yetmaganlar kira oladigan — amalda esa deyarli barcha — har qanday veb-sayt yoshni aniqlash yoki xavfga asoslangan yondashuvga ega bo‘lishi, va ota-ona roziligi bo‘lmaganda kuzatuv skriptlarini bloklay olishi kerak.

CMP’ingiz qo‘llab-quvvatlashi kerak bo‘lgan foydalanuvchi huquqlari

Hindistondagi Data Principal’lar (foydalanuvchilar) sizning rozilik va ustuvorliklar qatlami orqali amalga oshirilishi lozim bo‘lgan bir qator huquqlarga ega:

• Qayta ishlanayotgan shaxsiy ma’lumotlari bo‘yicha qisqacha ma’lumot olish huquqi.
• O‘z ma’lumotlarini tuzatish va o‘chirish huquqi.
• Istalgan vaqtda, uni berishdagi qulaylik darajasiga teng darajada rozilikni qaytarib olish huquqi.
• O‘lim yoki muomalaga layoqatsizlik holatida o‘z huquqlarini amalga oshirish uchun boshqa shaxsni tayinlash huquqi.
• Avval Data Fiduciary bilan, so‘ngra Hindiston Data Protection Board organi bilan shikoyat berish (grievance redressal) huquqi.

Muvofiq CMP doimiy ko‘rinadigan ustuvorliklar havolasini taqdim etishi, bitta bosishda rozilikni qaytarib olishni qo‘llab-quvvatlashi va rozilik hodisalarini tekshiruv vaqtida taqdim etish mumkin bo‘lgan tarzda jurnalga yozib borishi kerak.

Chegaradan tashqari ma’lumot uzatish

DPDP Act xalqaro uzatishlar bo‘yicha "salbiy ro‘yxat" yondashuvini qo‘llaydi: shaxsiy ma’lumotlar faqat Markaziy hukumat tomonidan man etilgan mamlakatlarga uzatishdan tashqari holda Hindistondan tashqariga uzatilishi mumkin. Bu GDPR’dagi adequacy rejimiga qaraganda erkinroq, biroq siz baribir hindistonlik foydalanuvchilarning ma’lumotlari qaysi uchinchi mamlakatlarga uzatilayotganini hujjatlashtirishingiz va e’lon qilingan cheklovlar ro‘yxatini kuzatib borishingiz lozim.

Jarimalar va ijroga qaratilgan choralar

DPDP Act bo‘yicha moliyaviy jarimalar juda katta. Data Protection Board xavfsizlik kafolatlarini ta’minlash bo‘yicha "asosli choralar"ni ko‘rmaganingiz uchun ₹250 croregacha (taxminan $30 million USD) jarima, bolalar bo‘yicha majburiyatlarni bajarmaganingiz uchun esa ₹200 croregacha jarima qo‘llashi mumkin. Rozilik bilan bog‘liq kamchiliklar — shu jumladan talabga javob bermaydigan bannerlar orqali rozilik to‘plash — har bir buzilish uchun ₹50 crore gacha jarimaga olib kelishi mumkin.

CMP’ingizda DPDP’ga mos rozilikni joriy etish

1. Hindiston foydalanuvchilarini geo-aniqlang va GDPR bannerini qayta ishlatish o‘rniga DPDP’ga xos rozilik shablonini qo‘llang. Talab etiladigan xabarnoma mazmuni va til variantlari boshqacha.
2. Xabarnomalarni bir nechta hindistonlik tillarda ko‘rsating. Hech bo‘lmaganda hind va ingliz tillarini qo‘llab-quvvatlang, va trafik taqsimotiga qarab mintaqaviy tillarni qo‘shing.
3. Zarur bo‘lmagan barcha trekerlarni standart holatda bloklang. Reklama, analitika va uchinchi tomon SDK’larini faqat ijobiy rozilikdan so‘ng yuklang.
4. Maqsadlarni aniq ajrating. Agar foydalanuvchi ba’zilariga rozilik berib, boshqalariga bermaslikni mantiqan xohlashi mumkin bo‘lsa, reklama, analitika va shaxsiylashtirishni bitta "qabul qilish" harakatiga jamlamang.
5. Rozilik va bekor qilish hodisalarini jurnalga yozing — vaqt belgisi, ko‘rsatilgan xabarnoma aniq versiyasi va foydalanuvchi tanlagan til bilan birga, shunda tartibga soluvchi tekshiruvlarda muvofiqlikni isbotlay olasiz.
6. Har bir sahifada ko‘rinadigan ustuvorliklar havolasini taqdim eting, u foydalanuvchilarga istalgan vaqtda rozilikni ko‘rib chiqish, yangilash yoki bekor qilish imkonini bersin.

DPDP va GDPR: amaliy farqlar

• "Legitimate interests" asosi yo‘q. DPDP Act GDPR’dagi kabi umumiy qonuniy asos sifatida legitimate interests’ni tan olmaydi. Rozilik yanada muhimroq ahamiyat kasb etadi, shu sababli UX dizayni ham ko‘proq ahamiyatga ega.
• Bolalar bo‘yicha qoidalar yanada qat’iy. Raqamli rozilik yoshi 13 yoki 16 emas, 18 yosh deb belgilangan va voyaga yetmaganlarga qaratilgan nishonga olingan reklama aniq tarzda taqiqlanadi.
• Ko‘p tilli xabarnoma talabi DPDP Act’ga xos bo‘lib, faqat ingliz tilidagi banner bilan bajarib bo‘lmaydi.
• Significant Data Fiduciary majburiyatlari yuqori xavfli operatorlar uchun, GDPR’da bevosita o‘xshashi bo‘lmagan ikkinchi muvofiqlik darajasini yaratadi.

Xulosa

DPDP Act Hindistonni zamonaviy global ma’lumotlarni himoya qilish landshaftiga o‘ziga xos tus bilan olib kiradi — rozilik birinchi o‘rinda, dizayn bo‘yicha ko‘p tillilik va bolalarni noodatiy darajada himoya qilish. Allaqachon GDPR darajasidagi CMP ishlatayotgan nashriyotlar va platformalar ma’lum ustunlikka ega, biroq DPDP talablariga moslashish uchun banner mazmuni, til qo‘llab-quvvatlashi, yosh bilan ishlash tartibi va jurnal yuritishni baribir moslashtirishlari kerak bo‘ladi. Hindistonni "navbatdagi bir GDPR yurisdiksiyasi, xolos" deb qabul qilish — Data Protection Board qarshisida paydo bo‘lishning eng tezkor yo‘lidir.