17 ноября 2025 г. Правительство Индии официально опубликовало Правила о цифровой защите персональных данных 2025 года (Digital Personal Data Protection Rules, 2025), принятые во исполнение Закона о цифровой защите персональных данных 2023 года (DPDP Act).
Правила вводят трёхэтапную модель применения, предусматривающую поэтапное вступление в силу различных регуляторных требований. Для российских и международных компаний, работающих на индийском рынке или обрабатывающих данные граждан Индии, важно учитывать установленные сроки и предстоящие обязательства.
Изменения
Правила структурируют запуск регулирования через три фазы, позволяя органам власти и организациям подготовиться к переходу на полное соблюдение требований DPDP Act.
Фаза 1 (вступила в силу 14 ноября 2025)
Сразу после публикации были введены правила, касающиеся создания и функционирования Совета по защите данных (Data Protection Board). Эти нормы устанавливают:
- порядок формирования и назначения членов;
- процедуры работы и цифрового взаимодействия;
- условия службы.
Хотя данные положения не содержат прямых обязательств для организаций, они запускают работу Совета и формируют основу для Enforcement-механизмов DPDP Act.
Фаза 2 (вступает в силу 14 ноября 2026)
На втором этапе активируется Правило 4, посвящённое менеджерам по согласию (Consent Managers) – участникам цифровой экосистемы, обеспечивающим передачу и управление согласиями между субъектами данных и операторами.
Требования к регистрации менеджеров по согласию включают:
- регистрация компании в Индии;
- наличие достаточных технических, операционных и финансовых ресурсов;
- финансовая устойчивость и надлежащее корпоративное управление;
- минимальный собственный капитал 2 крор рупий;
- подтверждённый объём бизнеса и перспективы развития;
- соответствие руководства критерию «fit and proper»;
- независимая сертификация, подтверждающая соответствие платформы стандартам Совета.
Ключевые обязанности менеджеров по согласию:
- обеспечение корректного потока согласий между субъектами и операторами данных;
- недопущение доступа к передаваемым данным;
- ведение полной документации согласий, уведомлений и обмена данными;
- предоставление доступа к записям и их хранение в установленные сроки;
- поддержание сайта или приложения;
- запрет на субподряд ключевых обязанностей;
- принятие мер безопасности против утечек;
- предотвращение конфликта интересов;
- функционирование с высоким уровнем фидуциарной ответственности перед субъектами данных.
Фаза 3 (вступает в силу 14 мая 2027)
На заключительном этапе запускаются основные операционные нормы, включая:
- требования к уведомлениям о конфиденциальности и процедурам получения согласия;
- права субъектов данных;
- меры безопасности и уведомления о нарушениях;
- порядок хранения и удаления данных;
- обработку данных детей;
- обязанности Significant Data Fiduciaries;
- правила трансграничной передачи данных;
- установленные законом исключения.
Фаза 3 является ключевой с точки зрения комплаенса, поскольку именно на этом этапе вступает в силу большая часть обязательных требований для бизнеса.
Выводы
Этапность вступления Правил позволяет компаниям адаптироваться к новому регулированию и выстраивать поэтапную модель подготовки. Наиболее ресурсоёмкие требования ожидаются в фазах 2 и 3 в части внедрения платформ управления согласием, обеспечения прав субъектов данных и выполнения требований по безопасности.
Организациям, обрабатывающим данные граждан Индии, имеет смысл заранее оценить:
-
необходимость участия в экосистеме Consent Managers;
-
потребности в корректировке внутренних политик и процессов;
-
готовность инфраструктуры к требованиям по уведомлениям, хранению, удалению и безопасности данных;
-
возможное влияние на существующие трансграничные потоки данных.
Ожидается, что Совет по защите данных будет постепенно публиковать дополнительные разъяснения и стандарты, в том числе технические, применимые к фидуциарам данных и менеджерам по согласию.
Скачать дайджест