Loading…
DPDPA во многом заимствует из GDPR — ограничение цели, права субъектов данных, уведомление о нарушениях, само понятие Сотрудника по защите данных. Но индийская нормативная база более лаконична, в большей степени ориентирована на согласие, отказывается от законного основания «законные интересы» и использует предельные суммы в крорах за каждое нарушение вместо штрафов в процентах от оборота. Если вы обслуживаете индийских субъектов данных из любой точки мира, вам необходимы обе точки зрения.
| Параметр | 🇮🇳 DPDPA | 🇪🇺 GDPR |
|---|---|---|
| Правовой акт | Закон о защите цифровых персональных данных 2023 года + Правила DPDP 2025 года (G.S.R. 846(E)) | Регламент (ЕС) 2016/679 |
| Дата вступления в силу | Закон: 11 авг. 2023 г.; Правила: поэтапно в 2025–2026 гг. | 25 мая 2018 г. |
| Территориальная сфера действия | Обработка цифровых персональных данных индийских субъектов данных — в любой точке мира (раздел 3) | ЕС/ЕЭЗ + экстерриториально согласно ст. 3 |
| Законные основания | Согласие ЛИБО «определённые законные виды использования» (раздел 7) — узко определены | Шесть оснований (ст. 6); законные интересы широко доступны |
| Требования к согласию | Свободное, конкретное, информированное, безусловное, недвусмысленное — с чётким уведомлением (раздел 6) | Свободно данное, конкретное, информированное, недвусмысленное — отзываемое (ст. 7) |
| Сотрудник по защите данных | Значимые фидуциары данных (SDF) — обязаны назначить DPO в Индии (раздел 10) | Обязателен в установленных случаях (ст. 37) |
| Местный представитель | Не требуется по закону (но операционно критичен для взаимодействия с Советом) | Представитель ЕС по статье 27 обязателен для контролёров, не входящих в ЕС |
| Максимальный штраф (за случай) | 250 крор рупий (~30 млн долл. США) — меры безопасности (Правило 6) | 20 млн евро или 4% мирового оборота (ст. 83(5)) |
| Многоуровневая структура штрафов | 250 крор за безопасность · 200 крор за уведомление о нарушениях · 150 крор за данные детей · 50 крор за прочее | Два уровня: 10 млн евро/2% (нижний) и 20 млн евро/4% (верхний) |
| Уведомление о нарушении | В течение 72 часов в Совет по защите данных Индии + затронутым субъектам данных (Правило 7) | 72 часа надзорному органу (ст. 33) + субъектам данных при высоком риске (ст. 34) |
| Регулятор | Совет по защите данных Индии (DPBI) | 27 DPA государств-членов ЕС + EDPB |
| Данные детей | Проверяемое согласие родителей для лиц до 18 лет (раздел 9). Никакого поведенческого отслеживания, никакой таргетированной рекламы. | Возраст согласия по умолчанию 16 лет (государства-члены могут снизить до 13) |
| Права субъекта данных | Доступ, исправление, удаление, рассмотрение жалоб, назначение, отзыв согласия (разделы 11–14) | 8 прав (ст. 15–22), включая переносимость, возражение против автоматизированных решений |
| Право на переносимость | Не предоставляется в рамках DPDPA | Да — ст. 20 |
| Право возражать против автоматизированных решений | Не предоставляется в рамках DPDPA | Да — ст. 22 |
| Трансграничная передача | Разрешена, если Центральное правительство не ограничивает конкретное направление (раздел 16) | Ограничена — требуются SCC/BCR/адекватность (Глава V) |
| Локализация данных | В Законе нет всеобъемлющей локализации; правила RBI требуют локализации платёжных данных | GDPR не требует локализации; некоторые государства-члены вводят отраслевые правила |
| Категория чувствительных данных | Явно не категоризированы (единый уровень персональных данных) | Данные особой категории (ст. 9) с требованием явного согласия |
| Эквивалент DPIA | Обязателен для SDF (раздел 10(2)) | Обязателен для обработки с высоким риском (ст. 35) |
| Апелляция в независимый надзорный орган | Трибунал по урегулированию споров и апелляциям в сфере телекоммуникаций (TDSAT) | Прямое судебное средство правовой защиты + право на жалобу в DPA (ст. 77–79) |
Нет — хотя он заимствует терминологию GDPR. DPDPA ориентирован прежде всего на согласие с более узким набором «законных видов использования», не предусматривает права на переносимость данных и права возражать против автоматизированных решений, а также использует предельные суммы в крорах за каждое нарушение вместо штрафов в процентах от оборота. При этом размер штрафных санкций всё равно может достигать 500 крор рупий за систематические нарушения.
Нет — реализуйте одну сопоставленную программу. Используйте более строгие требования GDPR (DPIA, отзыв согласия, уведомление о нарушении за 72 часа) в качестве базовой основы и добавьте специфичные для DPDPA надстройки (уведомление Совета, DPO в Индии для SDF, ограничения по данным детей).
Да, если вы предлагаете товары или услуги субъектам данных в Индии (раздел 3(b)). Закон применяется экстерриториально независимо от того, где находятся ваши серверы или юридическое лицо.
Закон вступил в силу, но Правила внедряются поэтапно в течение 2025–2026 гг. Совет по защите данных функционирует. Ожидается, что правоприменение усилится в течение 2026 года — готовьтесь уже сейчас.
Индия строже: для лиц до 18 лет требуется проверяемое согласие родителей и запрещается поведенческое отслеживание или таргетированная реклама. Возраст согласия по умолчанию в GDPR составляет 16 лет с возможностью снижения до 13, а поведенческое отслеживание разрешено при наличии согласия и DPIA.
В Законе нет, но на практике Совет по защите данных Индии ожидает наличия назначенного контактного лица, проживающего в Индии, для Значимых фидуциаров данных. Именно эту роль выполняет наша услуга представительства в Индии.
Сопоставьте средства контроля один раз, соответствуйте дважды. RegulatoryBridge предоставляет вам единый конвейер DSAR, единого DPO, единый план реагирования на нарушения — охватывающий обе системы.