2026-yilda DPDPAning tuzilishi

DPDPA Hindistonning bank, telekommunikatsiya va sog'liqni saqlash bo'yicha tarmoqqa xos qonunlaridan farq qiladigan mustaqil ma'lumotlarni himoya qilish qonunidir. Uning joriy etilishi Rozilik menejerining ekotizimi, DPBI va chegaralararo o'tkazma rejimi har biri ketma-ket onlayn rejimga o'tishi uchun ataylab bosqichma-bosqich edi.

2023-yil qabuli va 2024-2025-yillar joriy etilishi

DPDPA 2023-yil avgust oyida parlamentdan o'tdi va ko'p o'tmay prezidentlik roziligini oldi. Elektronika va axborot texnologiyalari vazirligi (MeitY) 2024-yilni amalga oshirish qoidalari bo'yicha maslahat o'tkazishga sarfladi va yakuniy qoidalar 2025-yil davomida bir necha transh bo'lib e'lon qilindi: avval Rozilik menejerini ro'yxatdan o'tkazish doirasi, keyin ma'lumotlar sub'ektining huquqlari tartiblari, keyin chegaralararo o'tkazma bildirishnomalari, keyin muhim ma'lumotlar ishonchli vakili chegaralari. 2026-yil boshida to'liq doira kuchda edi.

Kim tartibga solinadi

DPDPA Hindistondagi shaxslarning raqamli shaxsiy ma'lumotlarini qayta ishlashga nisbatan qo'llaniladi. U shuningdek Hindistondagi ma'lumotlar tamoyillariga tovar yoki xizmatlar taklif qilish bilan bog'liq qayta ishlash sodir bo'lganda hududdan tashqarida ham qo'llaniladi. Mahalliy sayt, hind tili versiyasi yoki hind IP manzillariga nisbatan sotib olingan dasturiy inventar orqali hind foydalanuvchilariga xizmat ko'rsatuvchi AQSh nashriyotchisi qamrov doirasida. Bu hudud tashqarisidagi qamrov qonunda aniq va DPBIning dastlabki yo'riqnomasida mustahkamlangan.

Terminologik bo'shliq

DPDPA GDPR va ko'plab yangi Osiyo doiralaridan farq qiladigan o'z lug'atidan foydalanadi. Ma'lumotlar ishonchli vakili — bu GDPRning nazoratchi deb atashi. Ma'lumotlar protsessori GDPRning protsessoriga to'g'ri mos keladi. Ma'lumotlar tamoyili — bu ma'lumotlar sub'ekti. Muhim ma'lumotlar ishonchli vakili markaziy hukumat tomonidan e'lon qilingan hajm yoki sezgirlik chegaralaridan yuqori nazoratchidir. DPDPAga birinchi marta duch keladigan xorijiy nashriyotchilar ko'pincha bu atamalarni noto'g'ri tasvirlaydi; erta to'g'ri tasvirlash keyinchalik chalkashlikni tejaydi.

Shaxsiy ma'lumotlar hisoblanadigan narsa

DPDPAning shaxsiy ma'lumotlar ta'rifi keng bo'lib xalqaro amaliyotni yaqindan kuzatadi. Shaxsiy ma'lumotlar bunday ma'lumotlar bilan yoki munosabatida aniqlanishi mumkin bo'lgan shaxs haqidagi har qanday ma'lumotdir. DPBI dastlabki yo'riqnoma orqali onlayn identifikatorlar — cookie-lar, reklama IDlari, IP manzillar, qurilma barmoq izlari va xatti-harakat profillari — shaxs bilan bevosita yoki oqilona vositalar orqali bog'lanishi mumkin bo'lganda shaxsiy ma'lumotlar ekanligini ko'rsatdi.

Sezgir kategoriya yo'q, lekin muhim ma'lumotlar ishonchli vakili qoidalari bor

GDPR, LGPD va PIPAdan farqli o'laroq DPDPA rasmiy ravishda sezgir shaxsiy ma'lumotlar kategoriyasini aniqlamaydi. O'rniga Qonun katta hajmda ma'lumotlarni qayta ishlayotgan, bolalar ma'lumotlarini qayta ishlayotgan, saylov yaxlitligiga ta'sir qilishi mumkin bo'lgan ma'lumotlarni qayta ishlayotgan yoki milliy xavfsizlikka ta'sir qilishi mumkin bo'lgan ma'lumotlarni qayta ishlayotgan nazoratchilarга qo'shimcha majburiyatlar qo'llovchi muhim ma'lumotlar ishonchli vakili belgilashiga tayanadi. Yalpi natija eng katta va eng sezgir protsessorlar uchun GDPRning sezgir kategoriya qoidalariga o'xshash, ammo arxitektura farqli.

Bu cookie-lar uchun nima uchun muhim

Oddiy reklama identifikatorini to'plovchi cookie shaxsiy ma'lumotdir, ammo u sezgir ko'rinadigan auditoriya segmentini oziqlantirayotgani uchun kuchaytirilgan majburiyatlarga tortilmaydi. Ammo muhim ma'lumotlar ishonchli vakili chegarasiga erishadigan nashriyotchi — masalan, o'nlab millionlab hind foydalanuvchilari bilan yirik platforma — majburiy Ma'lumotlarni himoya qilish bo'yicha xodim, davriy auditlar va Ma'lumotlarni himoya qilish ta'siri baholarini o'z ichiga olgan qo'shimcha majburiyatlarni qabul qiladi. Hajm chegaralari 2025-yilda e'lon qilindi; ko'pgina global platformalar endi qamrov doirasida.

DPDPA bo'yicha rozilik

DPDPA rozilikni o'z doirasining markaziga qo'yadi, ammo uni GDPR roziligi bilan bittaga bir tarzda mos kelmaydigan o'ziga xos talablar to'plami bilan belgilaydi.

Amaldagi rozilik standarti

DPDPA bo'yicha rozilik quyidagicha bo'lishi kerak:

• Erkin — foydalanuvchi aks holda haqli bo'lgan xizmat ko'rsatishga shart qilib qo'yilmagan va majburiy emas
• Aniq — aniq belgilangan maqsadga bog'liq, umumiy soyabon roziligiga emas
• Ma'lumotlangan — ma'lumotlar tamoyili qanday ma'lumotlar qayta ishlanayotganini va qanday maqsadda ekanligini tushunadi
• Shartsiz — rozilik tegishsiz shartlarga bog'liq emas
• Aniq ifodalangan — sukut yoki harakatsizlikdan xulosa chiqarilmaydi, balki aniq tasdiqlovchi harakat orqali ifodalangan

Band-band bildirishnoma talabi

DPDPA rozilik nuqtasida yoki undan oldin qayta ishlanadigan shaxsiy ma'lumotlarni, qayta ishlash maqsadini, ma'lumotlar tamoyili huquqlardan foydalanishi mumkin bo'lgan usulni va ma'lumotlar tamoyili Kengashga shikoyat qilishi mumkin bo'lgan usulni tavsiflovchi bildirishnoma talab qiladi. Bildirishnoma ingliz tilida va ma'lumotlar tamoyili so'rab turadigan Hindistonning 22 ta belgilangan tilidan birida mavjud bo'lishi kerak.

Rozilik menejerining arxitekturasi

Bu yerda DPDPA boshqa doiralardan eng keskin tarzda farqlanadi. Qonun Rozilik menejeri deb ataladigan litsenziyalangan rolni o'rnatadi — DPBI bilan ro'yxatdan o'tgan uchinchi tomon sub'ekt bo'lib, ma'lumotlar tamoyillariga bitta interfeysdan bir nechta ma'lumotlar ishonchli vakillarida rozilik berish, ko'rib chiqish, boshqarish va bekor qilish imkonini beruvchi o'zaro muvofiq rozilik panelini taqdim etadi. Rozilik menejerlari Kengash bilan ro'yxatdan o'tgan va texnik o'zaro muvofiqlik talablarini qondirishi kerak. Amalda ma'lumotlar ishonchli vakillari rozilikni to'g'ridan-to'g'ri o'zlarining CMP-lari orqali yoki ro'yxatdan o'tgan Rozilik menejeri orqali olishi mumkin va ko'p hollarda ma'lumotlar tamoyillari har bir saytning bannerini alohida boshqarish o'rniga Rozilik menejeri orqali roziligini markazlashtirishni tanlaydi.

Mos CMP qanday ko'rinadi

2026-yilda hind trafigi uchun sozlangan CMP quyidagilarni taqdim etishi kerak:

• Har qanday muhim bo'lmagan cookie yoki kuzatuvchi ishga tushmasidan oldin ko'rinadigan banner, teng vizual ko'zga ko'ringanligi bilan Qabul qilish, Rad etish va Sozlash harakatlari bilan
• So'ralganda ingliz tilida va foydalanuvchining afzal ko'rgan belgilangan tilida mavjudligi
• Tahlil, reklama, shaxsiylashtirish va chegaralararo o'tkazma shu jumladan har bir maqsad uchun batafsil rozilik tugmalari
• Huquqlar va DPBI shikoyat kanali jumladan to'liq band-band bildirishnomaga aniq havola
• Rozilik berish singari oson bo'lgan va oson topiluvchi rozilikni qaytarib olishning doimiy mexanizmi
• Rozilik holati ma'lumotlar tamoyilining tanlangan Rozilik menejeri bilan sinxronlanishi uchun ro'yxatdan o'tgan Rozilik menejerlari bilan texnik o'zaro muvofiqlik

Rozilik yozuvlari

Ma'lumotlar ishonchli vakillari kim, qachon, qaysi interfeys orqali, qaysi maqsad uchun rozilik berganini va keyingi o'zgarishlarni o'z ichiga olgan rozilik yozuvlarini saqlashi kerak. DPBI dastlabki bir necha ishlarida etarli bo'lmagan rozilik jurnallarini keltirdi va eksport qilinadigan, vaqt tamg'asi bosilgan rozilik yozuvlari asosiy kutilmovdir.

Chegaralararo ma'lumotlarni o'tkazish

DPDPAning chegaralararo o'tkazma doirasi hind rejimining eng o'ziga xos elementlaridan biri bo'lib GDPR, PIPA va o'zgartirilgan KVKK tomonidan qo'llanilgan muvofiqlik-artiqcha-himoyalar naqshidan mazmunli ravishda farq qiladi.

Bildirishnoma doirasi

DPDPA salbiy ro'yxat yondashuvida ishlaydi: chegaralararo o'tkazmalar odatda, markaziy hukumat tomonidan e'lon qilingan cheklangan yurisdiksiyalar ro'yxatida maqsad mamlakat paydo bo'lmasa, ruxsat etiladi. Bu GDPRning muvofiqlik modeliga teskari bo'lib, u o'tkazmalarni ijobiy muvofiqlik qarori yoki himoyalar bo'lmasa taqiqlangan deb hisoblaydi. DPDPAning yondashuvi yuzaki ko'rinishda ko'proq ruxsat beradi, ammo salbiy ro'yxat hukumat ixtiyori bilan kengaytirilishi mumkin va 2025-yilda bir nechta yurisdiksiya ma'lum ma'lumotlar toifalari uchun ro'yxatga kiritildi.

Bu operatsion jihatdan nima degani

2026-yilda ko'pgina dasturiy reklama oqimlari uchun javob shuki, asosiy reklama-texnologiya maqsadlariga chegaralararo o'tkazmalar, maqsad mamlakat cheklangan ro'yxatda bo'lmasa, ruxsat etiladi. Nashriyotchilar joriy e'lon qilingan ro'yxatni tekshirishi, o'tkazma va uning maqsadini hujjatlashtirishi va agar maqsad qo'shilsa oqimlarni qayta yo'naltirish yoki to'xtatib qo'yishga tayyor bo'lishi kerak. Bu ko'pgina oqimlar uchun GDPR o'tkazma mexanikasidan mazmunli ravishda soddaroq, ammo ehtiyotkorlik talabi haqiqiy.

Sohaga xos mahalliylashtirish

DPDPAdan alohida, bir nechta hind sohaviy tartibga soluvchilar — moliyaviy ma'lumotlar uchun Hindistonning Markaziy banki va sog'liqni saqlash ma'lumotlari uchun Sog'liqni saqlash vazirligi jumladan — DPDPAning ustida turadigan o'zlarining mahalliylashtirish talablariga ega. Ushbu tartibga solingan sektorlardan birida hind foydalanuvchilariga xizmat ko'rsatuvchi nashriyotchi ham DPDPA ham tegishli sohaviy qoidalarga rioya qilishi kerak.

Ma'lumotlar tamoyilining huquqlari

DPDPA ma'lumotlar tamoyillariga GDPRdan tanish ammo bir oz torroq huquqlar to'plamini beradi:

• Qayta ishlanayotgan shaxsiy ma'lumotlarga kirish huquqi, toifalar va protsessorlar jumladan
• Shaxsiy ma'lumotlarni to'g'rilash, to'ldirish va yangilash huquqi
• Belgilangan maqsad uchun endi zarur bo'lmagan shaxsiy ma'lumotlarni o'chirish huquqi
• O'lim yoki nochorlik holatida ma'lumotlar tamoyili nomidan huquqlardan foydalanish uchun boshqa shaxsni nomzod qilish huquqi
• Ma'lumotlar ishonchli vakili orqali shikoyat ko'rib chiqilish huquqi
• Shikoyat ko'rib chiqish qoniqarli bo'lmasa Ma'lumotlarni himoya qilish kengashiga shikoyat qilish huquqi

Huquqlar ro'yxatida nima yo'q

DPDPA mustaqil ko'chirish huquqini, qayta ishlashga itiraz qilishning umumiy huquqini yoki avtomatlashtirilgan qaror qabul qilishga qarshi aniq huquqni o'z ichiga olmaydi — garchi muhim ma'lumotlar ishonchli vakili rejimi va rozilikni qaytarib olish mexanizmi bir xil yerning ko'p qismini bilvosita qamrab olsa ham.

Javob muddatlari

Ma'lumotlar ishonchli vakillari e'lon qilingan Qoidalarda belgilangan muddatlarda ma'lumotlar tamoyilining so'rovlariga javob berishi kerak — bu ko'pgina hollarda belgilangan oynani oshirmaydigan oqilona davr ichida bo'lib DPBI mazmunli kechikishni muvofiqlik muvaffaqiyatsizligi deb hisoblaydi. Shikoyat ko'rib chiqish tizimi birinchi qadam; faqat hal etilmagan shikoyatlar Kengashga yetkaziladi.

Muhim ma'lumotlar ishonchli vakillari

Muhim ma'lumotlar ishonchli vakili (SDF) belgilanishi asosiy DPDPA talablaridan tashqari qo'shimcha majburiyatlarni qo'zg'atadi.

Qo'shimcha majburiyatlar

• Hindistonda joylashgan Ma'lumotlarni himoya qilish bo'yicha xodim tayinlash
• Belgilangan qayta ishlash faoliyatlari uchun davriy Ma'lumotlarni himoya qilish ta'siri baholari
• Davriy mustaqil auditlar
• Algoritmik qayta ishlash haqida qo'shimcha shaffoflik majburiyatlari
• Qattiqroq buzilish bildirishnomasi va yozuvlarni saqlash

Kim malakali

Hajm, qayta ishlangan shaxsiy ma'lumotlar hajmi, ma'lumotlar sezgirligi, ma'lumotlar tamoyillari uchun xavf, saylov demokratiyasiga, xavfsizlik va suverenituga potentsial ta'sir va jamoat tartibiga potentsial ta'sir barchasi omillar. Markaziy hukumat SDF-larni alohida yoki sinf bo'yicha e'lon qiladi. Hindistonga xizmat qiluvchi ko'pgina yirik global platformalar 2026-yilda e'lon qilingan sinflarga kiradi.

Bolalar ma'lumotlari

DPDPA bolani 18 yoshdan kichik har qanday shaxs deb belgilaydi — bu GDPRning standart 16 yoshi va turli past milliy chegaralardan yuqori chegara. Bolalarning shaxsiy ma'lumotlarini qayta ishlash uchun tekshiriladigan ota-ona roziligi talab etiladi va rozilik holatidan qat'i nazar bolalarni kuzatish, maqsadli reklama va xatti-harakat monitoringi cheklangan. Auditoriyasi sezilarli 18 yoshdan kichik trafikni o'z ichiga olgan nashriyotchilar yosh to'siqchasi, ota-ona roziligi oqimlari va voyaga yetmaganlar segmenti uchun cheklangan qayta ishlashni talab qiladi — bularning barchasi standart bo'yicha kamdan-kam xorijiy nashriyotchi bajargan haqiqiy muhandislik ishini talab qiladi.

Jarimalar va ijro

DPDPA tarixiy hind ma'muriy jarimalaridan yuqori va buzilish jiddiyligiga mazmunli ravishda moslangan jarima rejimini joriy qildi.

Ma'muriy jarimalar

DPDPA eng jiddiy buzilishlar uchun buzilish uchun INR 250 crore (taxminan USD 30 million) gacha jarima solishga ruxsat beradi. Pastroq darajadagi jarimalar rozilik, bildirishnoma, xavfsizlik, buzilish bildirishnomasi va shikoyat ko'rib chiqish atrofidagi muvaffaqiyatsizliklar uchun qo'llaniladi. DPBI 2025 va 2026-yilning boshida bir necha marta diapazonning o'rtasini qo'lladi va jarima tuzilmasi tizimli muvaffaqiyatsizlik bilan kuchayib borish uchun loyihalangan.

DPBIning ijro mavzulari

Dastlabki DPBI qarorlari takrorlanuvchi muammolarning kichik to'plami atrofida jamlashadi: haqiqiy rad etish opsiyasiz rozilik bannerlari, DPBI shikoyat kanallarini tavsiflamaydigan bildirishnomalar, cheklangan ro'yxatdagi maqsadlarga chegaralararo oqimlar, aslida javob bermaydigan shikoyat ko'rib chiqish tizimlari va Rozilik menejerining o'zaro muvofiqlik muvaffaqiyatsizliklari. Xorijiy nashriyotchilar bu toifalarning deyarli barchasida keltirilgan.

Obro'-e'tibor o'lchami

DPBI o'z qarorlarini ommaviy ravishda, ishonchli vakil nomi va muvaffaqiyatsizlik xulosasini o'z ichiga olgan holda nashr etadi. Tartibga solish ishqalanishining tezda media yoritilishiga va siyosiy e'tiborga aylanadigan hind bozorida, nashr etilgan DPBI qarori obro'-e'tibor narxi moliyaviy jarimadan tashqari mazmunli.

2026-yilda hind trafigi uchun audit tekshirish ro'yxati

• CMP banneri teng vizual ko'zga ko'ringanligi bilan Qabul qilish, Rad etish va Sozlash bilan taqdim etilmoqda
• Bildirishnoma ingliz tilida va tegishli bo'lgan joyda ma'lumotlar tamoyilining so'ralgan belgilangan tilida mavjud
• Bildirishnoma DPBI shikoyat kanalini va ma'lumotlar tamoyilining huquqlarini aniq tavsiflab bermoqda
• Rozilik maqsadlari batafsil, chegaralararo o'tkazma alohida maqsad sifatida
• Kamida bitta ro'yxatdan o'tgan Rozilik menejeri bilan texnik o'zaro muvofiqlik mavjud
• Rozilikni qaytarib olish rozilik berish singari oson va pastga yo'naltirilgan o'chirish va faollashtirish filtrlashini qo'zg'atadi
• Ma'lumotlar tamoyilining huquqlar ish oqimi — kirish, to'g'rilash, o'chirish, nomzod ko'rsatish — xodimlar bilan to'ldirilgan va hujjatlashtirilgan
• Shikoyat ko'rib chiqish kanali javob muddatlari kuzatilib xodimlar bilan to'ldirilgan
• Chegaralararo o'tkazma maqsadlari joriy cheklangan ro'yxatga nisbatan ko'rib chiqilgan va hujjatlashtirilgan
• Muhim ma'lumotlar ishonchli vakili majburiyatlari — DPO, DPIA, audit — chegara oshirilsa mavjud
• 18 yoshdan kichik foydalanuvchilar uchun yoshdan xabardor oqim, tegishli bo'lgan joyda tekshiriladigan ota-ona roziligi bilan
• Nashriyotchi tartibga solingan sektorda faoliyat yuritsa sohaga xos mahalliylashtirish va qayta ishlash qoidalari hujjatlashtirilgan va ularga rioya qilingan

2026-yil istiqboli

Hindistonning maxfiylik rejimi ikki yildan bir oz ko'proq vaqt ichida qonunchilik mavhumligidan operatsion haqiqatga o'tdi. DPDPAning arxitekturasi o'ziga xos — Rozilik menejerining ekotizimi ko'chma, o'zaro muvofiq rozilikda eng ko'zga ko'rinarli global tajriba bo'lib, o'tkazmalarning salbiy ro'yxat yondashuvi boshqa doiralarni boshqaradigan muvofiqlik-artiqcha-himoyalar naqshidan mazmunli ravishda farq qiladi. Allaqachon GDPR darajasidagi rozilik stekini ishlatayotgan nashriyotchilar uchun DPDPA muvofiqligiga tushish me'moriy emas, operatsion: Rozilik menejerining o'zaro muvofiqligi, belgilangan til bildirishnomalari, DPBI shikoyat oshkor qilishlari, 18 yoshdan past chegara va salbiy ro'yxat o'tkazma tekshiruvi. Agar ustuvorlik berilsa bo'shliq haftalar ichida yopilishi mumkin. DPBI eshiklariga kelmasidan oldin yopuvchi nashriyotchilar o'tishni sezishmaydi. Kutuvchilar esa 2026 va 2027-yillar ilgari o'tgan yillardan mazmunli ravishda qimmatroq ekanligini ko'radi.