Ogólne rozporządzenie o ochronie danych jest bezpośrednio stosowane w całym Europejskim Obszarze Gospodarczym od 25 maja 2018 roku. Indyjska Ustawa o Ochronie Danych Osobowych Cyfrowych z 2023 roku uzyskała zgodę prezydencką w sierpniu 2023 roku, ale pozostawała uśpiona w oczekiwaniu na przepisy wykonawcze. Te przepisy, Zasady Ochrony Danych Osobowych Cyfrowych z 2025 roku, zostały notyfikowane 13 listopada 2025 roku, uruchamiając etapowe wejście w życie: przepisy dotyczące Rady Ochrony Danych weszły w życie natychmiast, obowiązki rejestracyjne dla Menedżerów Zgody następują po roku, a materialne obowiązki i prawa podmiotów danych stają się egzekwowalne od 13 maja 2027 roku (Ministry of Electronics and Information Technology 2025; Shardul Amarchand Mangaldas 2025). To, co następuje, zestawia zatem dojrzały, w pełni egzekwowany reżim z młodym, który jest prawnie kompletny, ale operacyjnie wciąż znajduje się w swoim okresie przygotowania do zgodności. Stan prawny podano na 6 czerwca 2026 roku, co pozostawia mniej więcej jedenaście miesięcy, zanim materialne obowiązki i prawa podmiotów danych DPDP staną się egzekwowalne 13 maja 2027 roku. Dla programu, który musi oprzeć przetwarzanie zgodne z prawem na nowo na zgodzie, zintegrować Menedżera Zgody i postawić reżim dla osób poniżej osiemnastego roku życia, jedenaście miesięcy to jeden horyzont planowania, a nie komfortowy margines.
Wspólne pochodzenie i trzy rozbieżności, które mają znaczenie
Oba prawa mają wspólne pochodzenie. Indyjscy twórcy zapożyczyli z RODO słownictwo rozliczalności, ograniczenia celu, minimalizacji danych i zgody, a podobieństwo jest na tyle bliskie, że międzynarodowa korporacja z działającym programem RODO ma już mniej więcej siedemdziesiąt procent tego, czego wymaga DPDP. Pozostałe trzydzieści procent to miejsce, w którym leżą pieniądze i ryzyko, ponieważ rozbieżności są strukturalne, a nie kosmetyczne.
Trzy różnice dominują nad wszystkim innym. Po pierwsze, przetwarzanie zgodne z prawem: RODO oferuje sześć podstaw prawnych, w tym elastyczny test wyważania prawnie uzasadnionych interesów, podczas gdy DPDP uznaje jedynie zgodę oraz zamkniętą listę wyliczonych zgodnych z prawem zastosowań, nie pozostawiając żadnej ogólnej furtki, gdy zgoda jest niepraktyczna. Po drugie, katalog praw: RODO przyznaje osiem praw podmiotom danych, w tym przenoszenie, sprzeciw i ochronę przed decyzjami opartymi wyłącznie na automatyzacji, podczas gdy DPDP przyznaje węższy zestaw i dodaje swoiste prawo nominacji. Po trzecie, ekonomia egzekwowania: RODO ogranicza kary do większej z kwot dwadzieścia milionów euro lub cztery procent światowego rocznego obrotu i daje jednostkom prawo prywatne do odszkodowania, podczas gdy DPDP nakłada stałe kary pieniężne do dwustu pięćdziesięciu crore rupii bez powiązania z obrotem, bez odpowiedzialności karnej i bez prawa do dochodzenia roszczeń prywatnych.
Dla organizacji o podwójnym statusie praktyczny wniosek jest taki, że zgodność z RODO jest konieczna, ale niewystarczająca. Program klasy RODO musi zostać rozszerzony, a nie jedynie skopiowany, aby wchłonąć architekturę DPDP opartą na pierwszeństwie zgody, jego reżim dla dzieci poniżej osiemnastego roku życia, jego podejście oparte na liście negatywnej do transferów transgranicznych oraz jego zasadę zgłaszania naruszeń, która nie toleruje żadnego progu ryzyka.
Dwie liczby ujmują stawkę. RODO reguluje dane osobowe mniej więcej czterystu pięćdziesięciu milionów osób w Europejskim Obszarze Gospodarczym; DPDP reguluje dane prawie półtora miliarda podmiotów danych w Indiach, około trzy razy więcej. Choć więc pułap kary DPDP za przypadek jest niższy i stały, obciążenie operacyjne, jakie nakłada, czyli pobieranie i wycofywanie zgody, obsługa praw oraz zgłaszanie naruszeń bez progu, działa w znacznie większej skali populacji. Wydajność, która jest komfortowa dla europejskiej bazy użytkowników, może zostać przytłoczona przez indyjską, a tę wydajność trzeba zbudować, zanim zegar wybije: skoro materialne obowiązki są egzekwowalne od 13 maja 2027 roku, mniej więcej jedenaście miesięcy od chwili pisania, okno na zaprojektowanie potoków zgody, praw i naruszeń dla ponad miliarda podmiotów jest wąskie.
Instrumenty, status i architektura regulacyjna
RODO jest rozporządzeniem, co oznacza, że stosuje się bezpośrednio w każdym państwie członkowskim bez transpozycji krajowej, choć państwa członkowskie zachowują ograniczone pole do stanowienia prawa w określonych kwestiach, takich jak wiek zgody cyfrowej i dane pracownicze. Jest egzekwowane przez sieć niezależnych krajowych Organów Nadzorczych koordynowanych przez Europejską Radę Ochrony Danych, przy czym mechanizm spójności i punkt kompleksowej obsługi rozstrzygają sprawy transgraniczne. Stanowienie przepisów, wytyczne i egzekwowanie spoczywają zatem na niezależnych regulatorach oraz, ostatecznie, na sądach i Trybunale Sprawiedliwości Unii Europejskiej (nasza strona ram RODO podsumowuje pokrótce jego obowiązki, kogo wiąże oraz oficjalne źródło).
Architektura DPDP jest bardziej scentralizowana i bardziej kierowana przez władzę wykonawczą. Ustawa DPDP jest aktem podstawowym; szczegóły operacyjne mieszczą się w Zasadach DPDP, które ustanawia i może zmieniać Rząd Centralny (nasza strona ram DPDP przedstawia pokrótce kluczowe obowiązki ustawy, kogo wiąże oraz oficjalne źródło). Rada Ochrony Danych Indii jest organem orzekającym, ale jest węższa niż europejski Organ Nadzorczy: bada naruszenia i nakłada kary, lecz nie wydaje wiążących kodeksów ani wytycznych, a uprawnienie do stanowienia materialnych przepisów spoczywa raczej na Rządzie Centralnym niż na Radzie. Odwołania od decyzji Rady kierowane są do Trybunału Rozstrzygania Sporów i Apelacji Telekomunikacyjnych. Konsekwencją projektową jest to, że w Indiach władza wykonawcza zachowuje dźwignie (wyłączenia, ograniczenia transferu, zmiany przepisów), które w Europie spoczywają w rękach niezależnych organów lub sądów.
Zakres i zasięg
RODO reguluje dane osobowe przetwarzane w całości lub częściowo w sposób zautomatyzowany oraz przetwarzanie niezautomatyzowane, gdy dane stanowią lub mają stanowić część systemu uporządkowanego. Wydziela szczególną kategorię danych wrażliwych na mocy artykułu 9: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, przynależność do związków zawodowych, dane genetyczne i biometryczne, zdrowie oraz życie seksualne lub orientacja, z których każde podlega zaostrzonym warunkom. DPDP jest węższe pod jednym względem i bardziej płaskie pod innym. Reguluje wyłącznie cyfrowe dane osobowe, to znaczy dane w formie zdigitalizowanej lub dane zebrane na papierze, a następnie zdigitalizowane, i nie reguluje wyłącznie niecyfrowych zapisów. Co kluczowe, nie czyni żadnego ustawowego rozróżnienia między zwykłymi a wrażliwymi danymi osobowymi. Nie ma poziomu szczególnej kategorii; dokumentacja zdrowotna i historie zakupów podlegają tym samym podstawowym zasadom, a dodatkowa ochrona pojawia się jedynie pośrednio przez mechanizm Znaczącego Powiernika Danych i przepisy dotyczące dzieci. Dla organizacji o podwójnym statusie ta asymetria działa w obie strony: prawo indyjskie nie nakłada warunków z artykułu 9, ale dojrzały administrator zazwyczaj utrzyma swoje kontrole danych wrażliwych z RODO globalnie, zamiast prowadzić dwa schematy klasyfikacji danych.
Oba prawa sięgają poza swoje rodzime terytorium. RODO, na mocy artykułu 3, stosuje się do przetwarzania w kontekście jednostki organizacyjnej w UE niezależnie od miejsca przetwarzania oraz do administratorów spoza Unii, którzy oferują towary lub usługi osobom w Unii albo monitorują ich zachowanie. DPDP, na mocy sekcji 3, stosuje się do przetwarzania cyfrowych danych osobowych w Indiach oraz do przetwarzania poza Indiami, gdy jest ono związane z oferowaniem towarów lub usług podmiotom danych w Indiach. DPDP pomija wyraźny człon RODO dotyczący monitorowania zachowania, więc czyste profilowanie indyjskich rezydentów bez oferty towarów lub usług mieści się w bardziej szarej strefie niż jego europejski odpowiednik.
| Wymiar | RODO | DPDP |
|---|---|---|
| Forma objętych danych | Zautomatyzowane plus uporządkowane ręczne systemy uporządkowane | Wyłącznie cyfrowe (od urodzenia cyfrowe lub następnie zdigitalizowane) |
| Poziom danych wrażliwych | Tak (szczególne kategorie z artykułu 9) | Brak poziomu ustawowego |
| Wyzwalacz eksterytorialny | Jednostka organizacyjna; oferowanie; monitorowanie zachowania | Oferowanie towarów lub usług podmiotom w Indiach |
| Wyłączone przetwarzanie | Czysto osobiste lub domowe; ściganie przestępstw na mocy odrębnej dyrektywy | Osobiste lub domowe; pewne dane opublikowane; szerokie wyłączenia państwowe |
Aktorzy i słownictwo
Architektura ról odwzorowuje się na tyle czysto, że tłumaczenie jest w większości jeden do jednego, co pomaga przy redagowaniu polityk dwujęzycznych. Administrator z RODO staje się Powiernikiem Danych z DPDP, ujęciem opartym na zaufaniu, którego operacyjne obowiązki mimo to przypominają te administratora. Podmiot przetwarzający z RODO staje się Podmiotem Przetwarzającym Dane, choć DPDP kieruje większość obowiązków podmiotu przetwarzającego przez umowę z powiernikiem, zamiast nakładać wiele bezpośrednich obowiązków ustawowych. Podmiot danych staje się Podmiotem Danych, a w przypadku dziecka podmiotem jest dziecko, podczas gdy zgodę wykonuje rodzic lub opiekun prawny. Organ Nadzorczy znajduje swój odpowiednik w Radzie Ochrony Danych Indii, która orzeka i karze, ale nie wydaje wiążących wytycznych i nie jest zatem pełnospektralnym regulatorem. Dwie role DPDP nie mają odpowiednika w RODO: Znaczący Powiernik Danych, wyznaczona przez rząd klasa o zaostrzonych obowiązkach, oraz Menedżer Zgody, specyficzny dla Indii zarejestrowany pośrednik, za pośrednictwem którego podmioty udzielają, przeglądają i wycofują zgodę.
Przetwarzanie zgodne z prawem: centralna rozbieżność
To tu oba reżimy rozchodzą się najbardziej znacząco. RODO, na mocy artykułu 6, przewiduje sześć podstaw prawnych: zgodę, wykonanie umowy, wypełnienie obowiązku prawnego, ochronę żywotnych interesów, wykonanie zadania w interesie publicznym oraz prawnie uzasadnione interesy administratora lub strony trzeciej z zastrzeżeniem testu wyważania wobec praw podmiotu danych. Podstawa prawnie uzasadnionych interesów jest celowo otwarta; to koń roboczy, który pozwala organizacjom przetwarzać dane w celu zapobiegania oszustwom, bezpieczeństwa sieci, marketingu bezpośredniego i administracji wewnątrzgrupowej bez ubiegania się o zgodę na każdą operację.
DPDP uznaje jedynie dwie drogi do zgodności z prawem: zgodę na mocy sekcji 6 oraz zamkniętą listę pewnych zgodnych z prawem zastosowań na mocy sekcji 7. Lista zgodnych z prawem zastosowań jest wyliczona i skończona: dobrowolne udostępnienie danych przez podmiot w określonym celu, funkcje państwowe oraz świadczenie subsydiów lub usług, zgodność z prawem lub nakazami sądowymi, stany nagłe medyczne, cele związane z zatrudnieniem oraz sytuacje klęski lub porządku publicznego, wśród garstki innych. Nie ma żadnego rezydualnego testu wyważania. Jeśli czynność przetwarzania nie odwzorowuje się na pozycję z listy, jedyną drogą zgodną z prawem jest zgoda. To pojedyncza najważniejsza różnica operacyjna dla międzynarodowej korporacji, ponieważ przepływy danych, które Europa obsługuje spokojnie w oparciu o prawnie uzasadnione interesy, na przykład szeroka analityka, wzbogacanie marketingowe lub transgraniczne raportowanie grupowe, mogą wymagać w Indiach jawnej architektury zgody.
Sam standard zgody jest na papierze podobny. Oba wymagają, aby zgoda była dobrowolna, konkretna, świadoma, jednoznaczna i sygnalizowana wyraźnym działaniem potwierdzającym, oraz oba wymagają, aby wycofanie było tak samo łatwe jak udzielenie. DPDP nakłada na to dwie cechy specyficzne dla Indii. Po pierwsze, informacja towarzysząca prośbie o zgodę musi być wyszczególniona i, na żądanie, dostępna w języku angielskim lub którymkolwiek z języków z Ósmego Załącznika do Konstytucji. Po drugie, zgoda może być pośredniczona przez Menedżera Zgody, zarejestrowaną platformę, która daje podmiotom jeden pulpit do udzielania i odwoływania uprawnień między powiernikami, konstrukcję instytucjonalną bez odpowiednika w RODO.
Zgodność z RODO jest konieczna, ale niewystarczająca. Program klasy RODO musi zostać rozszerzony, a nie jedynie skopiowany, aby wchłonąć architekturę DPDP opartą na pierwszeństwie zgody.
Prawa, obowiązki i dzieci
RODO przyznaje szeroki zestaw praw: dostęp, sprostowanie, usunięcie, ograniczenie przetwarzania, przenoszenie danych, sprzeciw, w tym wobec marketingu bezpośredniego, oraz prawo do niepodlegania decyzji opartej wyłącznie na automatyzacji wywołującej skutki prawne lub podobnie istotne na mocy artykułu 22. DPDP przyznaje węższy zestaw: dostęp do podsumowania danych osobowych i przetwarzania, sprostowanie i usunięcie, rozpatrywanie skarg oraz wyróżniające się prawo nominacji, które pozwala podmiotowi wyznaczyć inną osobę do wykonywania jego praw w razie śmierci lub niezdolności. Luki mają znaczenie. DPDP nie zawiera samodzielnego prawa do przenoszenia danych, ogólnego prawa do sprzeciwu, prawa do ograniczenia ani ochrony w stylu artykułu 22 przed podejmowaniem decyzji w sposób zautomatyzowany. Z drugiej strony prawo nominacji nie ma europejskiego odpowiednika.
| Prawo | RODO | DPDP |
|---|---|---|
| Dostęp | Tak (Art 15) | Tak (podsumowanie danych i przetwarzania) |
| Sprostowanie lub korekta | Tak (Art 16) | Tak |
| Usunięcie | Tak (Art 17) | Tak (przy wycofaniu lub zakończeniu celu) |
| Ograniczenie przetwarzania | Tak (Art 18) | Nie |
| Przenoszenie danych | Tak (Art 20) | Nie |
| Sprzeciw | Tak (Art 21) | Nie |
| Zabezpieczenia przed decyzjami zautomatyzowanymi | Tak (Art 22) | Nie |
| Rozpatrywanie skarg | Przez skargę do Organu Nadzorczego | Tak (prawo ustawowe wobec powiernika) |
| Nominacja | Nie | Tak |
Oba reżimy są zbudowane na rozliczalności, ale rozdzielają cięższe obowiązki odmiennie. Na mocy RODO każdy administrator dźwiga podstawowy poziom dokumentacji rozliczalności: rejestry czynności przetwarzania na mocy artykułu 30 z wyłączeniem dla małych organizacji, ochronę danych w fazie projektowania i domyślnie na mocy artykułu 25, ocenę skutków dla ochrony danych przy przetwarzaniu wysokiego ryzyka na mocy artykułu 35 oraz wiążące umowy z podmiotami przetwarzającymi na mocy artykułu 28. Inspektor ochrony danych jest obowiązkowy na mocy artykułu 37 tam, gdzie główne czynności obejmują systematyczne monitorowanie na dużą skalę lub przetwarzanie szczególnych kategorii danych na dużą skalę, a administratorzy spoza Unii muszą wyznaczyć przedstawiciela w UE na mocy artykułu 27. DPDP stosuje lżejszy uniwersalny poziom bazowy i koncentruje ciężkie obowiązki na Znaczącym Powierniku Danych. Każdy powiernik musi wdrożyć rozsądne zabezpieczenia bezpieczeństwa, honorować informację i zgodę, usuwać dane przy wycofaniu lub gdy cel zostanie spełniony oraz zapewnić zgodność podmiotu przetwarzającego przez umowę. Tylko podmioty wyznaczone przez Rząd Centralny jako Znaczący Powiernicy Danych muszą dodatkowo wyznaczyć Inspektora Ochrony Danych z siedzibą w Indiach, zaangażować niezależnego audytora danych oraz przeprowadzać okresowe oceny skutków i audyty. Wyzwalaczem jest zatem wyznaczenie rządowe, a nie samodzielnie oceniany test ryzyka z RODO.
Oba reżimy wyróżniają dzieci, i tu DPDP jest surowsze. RODO, na mocy artykułu 8, ustala wiek ważnej zgody na usługi społeczeństwa informacyjnego na szesnaście lat, pozwalając państwom członkowskim obniżyć go do nie mniej niż trzynastu. DPDP traktuje każdego poniżej osiemnastego roku życia jako dziecko i wymaga weryfikowalnej zgody rodzica lub opiekuna prawnego przed przetwarzaniem danych dziecka. Idzie dalej, zakazując przetwarzania mogącego wywołać szkodliwe skutki dla dobrostanu dziecka oraz wprost zakazując śledzenia behawioralnego, monitorowania behawioralnego i reklamy ukierunkowanej skierowanej do dzieci, z zastrzeżeniem ograniczonych wyłączeń, które rząd może notyfikować. Dla globalnej usługi cyfrowej jest to znaczące ograniczenie projektowe: warstwa weryfikacji wieku i zgody rodzicielskiej skalibrowana do europejskiego progu trzynastu do szesnastu lat nie spełni indyjskiej zasady poniżej osiemnastego roku życia, a stosy technologii reklamowej muszą umieć wyłączyć ukierunkowanie behawioralne dla indyjskich małoletnich w skali populacji.
Transfery transgraniczne: lustrzane domyślne ustawienia
Modele transferu są niemal lustrzanymi odbiciami w swojej domyślnej postawie. RODO, w rozdziale V, wychodzi od zakazu: dane osobowe mogą opuścić EOG jedynie na mocy decyzji o adekwatności, odpowiednich zabezpieczeń, takich jak standardowe klauzule umowne lub wiążące reguły korporacyjne, albo wąskiego zestawu odstępstw. Ciężar ustanowienia zgodnego z prawem mechanizmu transferu spoczywa na eksporterze, a orzecznictwo Schrems II wymaga oceny skutków transferu pod kątem środowiska nadzoru kraju przeznaczenia. To model białej listy: zakaz domyślny, dozwolony jedynie tam, gdzie mechanizm jest na miejscu.
DPDP wychodzi od zezwolenia. Transfery są domyślnie dozwolone do każdego kraju, a Rząd Centralny może wydać listę negatywną ograniczającą transfery do określonych jurysdykcji. To model czarnej listy: zezwolenie domyślne, zablokowane jedynie tam, gdzie przeznaczenie zostanie wymienione. Zasadniczo jest on znacznie bardziej liberalny, ale dwa zastrzeżenia to łagodzą. Po pierwsze, żadna lista negatywna nie została jeszcze wypełniona, więc praktyczne kontury pozostają niepewne. Po drugie, sektorowe zasady lokalizacji danych, zwłaszcza ze strony Reserve Bank of India dla danych płatniczych, nadal obowiązują ponad DPDP i mogą być surowsze niż ogólny reżim. Dla międzynarodowej korporacji asymetria jest wyraźna: przenoszenie danych UE do Indii wymaga udokumentowanego mechanizmu z artykułu 46, podczas gdy przenoszenie danych indyjskich do UE obecnie nie wymaga niczego na mocy samego DPDP, choć rozważny ład utrzymuje zabezpieczenia umowne tak czy inaczej.
Zgłaszanie naruszeń: brakujący filtr istotności
Oba reżimy zbiegają się na zegarze siedemdziesięciu dwóch godzin, ale ostro rozchodzą się co do progu i odbiorców. RODO wymaga zgłoszenia Organowi Nadzorczemu bez zbędnej zwłoki i, gdy to wykonalne, w ciągu siedemdziesięciu dwóch godzin od powzięcia wiadomości, ale jedynie gdy naruszenie może skutkować ryzykiem dla praw i wolności jednostek; dotknięte jednostki są powiadamiane jedynie tam, gdzie ryzyko jest wysokie. Próg ryzyka odfiltrowuje trywialne incydenty. Zasady DPDP nie nakładają żadnego progu ryzyka. Po powzięciu wiadomości o jakimkolwiek naruszeniu danych osobowych powiernik musi poinformować dotknięte podmioty danych bez zwłoki oraz musi przekazać Radzie Ochrony Danych wstępne zawiadomienie, a następnie szczegółowy raport w ciągu siedemdziesięciu dwóch godzin, obejmujący naruszenie, jego okoliczności, środki zaradcze i tożsamość ewentualnej strony odpowiedzialnej (MediaNama 2025; Ministry of Electronics and Information Technology 2025). Brak filtra istotności oznacza, że indyjskie wolumeny zgłaszania naruszeń będą wyższe niż ich europejskie odpowiedniki, a wobec populacji prawie półtora miliarda podmiotów maszyneria powiadamiania musi odpowiednio się skalować. Podręczniki reagowania na incydenty dostrojone do bramki ryzyka RODO muszą zostać ponownie spisane, aby powiadamiać o każdym kwalifikującym się naruszeniu zarówno Radę, jak i dotknięte jednostki.
| Aspekt | RODO | DPDP |
|---|---|---|
| Powiadomienie organu | W ciągu 72 godzin, jeśli ryzyko dla praw | Wstępne zawiadomienie, następnie szczegółowy raport w ciągu 72 godzin, brak progu |
| Powiadomienie jednostki | Tylko jeśli wysokie ryzyko | Zawsze, bez zwłoki |
| Filtr istotności | Tak (oparty na ryzyku) | Brak |
Ekonomia egzekwowania
Ekonomia egzekwowania różni się rodzajem, a nie tylko stopniem. Administracyjne kary RODO sięgają dziesięciu milionów euro lub dwóch procent światowego rocznego obrotu w niższym poziomie oraz do dwudziestu milionów euro lub czterech procent światowego rocznego obrotu w wyższym poziomie, którakolwiek z kwot jest większa. Powiązanie z obrotem skaluje czynnik odstraszający do rozmiaru przedsiębiorstwa. RODO tworzy też prawo prywatne: podmioty danych mogą dochodzić odszkodowania za szkodę majątkową i niemajątkową na mocy artykułu 82 oraz mogą wnosić skargi i dążyć do środków sądowych. DPDP nakłada stałe kary pieniężne nieprzywiązane do obrotu, ustalone w odniesieniu do harmonogramów i ograniczone na przypadek: do dwustu pięćdziesięciu crore rupii za brak rozsądnych zabezpieczeń bezpieczeństwa, do dwustu crore rupii za uchybienia w zgłaszaniu naruszeń lub w obowiązkach dotyczących danych dzieci oraz niższe pułapy za inne uchybienia. Na mocy DPDP nie ma odpowiedzialności karnej i, co ważne, nie ma prawa do dochodzenia roszczeń prywatnych ani ustawowego odszkodowania dla jednostek; egzekwowanie biegnie przez Radę Ochrony Danych, a kary trafiają do państwa. DPDP wprowadza też kary dla podmiotów danych za składanie fałszywych lub niepoważnych skarg, co nie ma odpowiednika w RODO. Efektem netto jest to, że dla bardzo dużego przedsiębiorstwa oparty na obrocie pułap RODO może przyćmić stały pułap DPDP, podczas gdy dla tego samego przedsiębiorstwa DPDP usuwa ekspozycję na pozwy zbiorowe i indywidualne spory, która towarzyszy zgodności z RODO w Europie.
Wyłączenia
RODO utrzymuje wyłączenia wąskie i związane regułami. Artykuł 23 pozwala prawu państwa członkowskiego ograniczać prawa jedynie tam, gdzie jest to konieczne i proporcjonalne dla wyliczonych celów interesu publicznego, a istnieją szczególne wyłączenia dla dziennikarstwa, ekspresji akademickiej, artystycznej i literackiej oraz dla badań i archiwizacji z zastrzeżeniem zabezpieczeń. DPDP przyznaje szersze i bardziej kontrolowane przez władzę wykonawczą wyłączenia. Sekcja 17 pozwala Rządowi Centralnemu wyłączyć instrumentalności państwa z większości Ustawy w interesie suwerenności, bezpieczeństwa, porządku publicznego i przyjaznych stosunków oraz przewiduje wyłączenia dla przetwarzania niezbędnego do badań, archiwizacji lub celów statystycznych, dla pewnych start-upów na mocy notyfikacji oraz dla egzekwowania praw przysługujących z mocy prawa. Szerokość wyłączeń skierowanych do państwa oraz fakt, że są one nadawane i ograniczane przez władzę wykonawczą, a nie przez niezależny organ lub sąd, jest jedną z najbardziej dyskutowanych cech indyjskiego reżimu i powracającym tematem w komentarzach społeczeństwa obywatelskiego (Internet Freedom Foundation 2025).
Które kontrole musi dodać program o podwójnym statusie
Dla organizacji wewnątrz obu reżimów modelem operacyjnym jest zbieżność z celowym rozejściem. Pragmatyczną architekturą jest prowadzenie jednego, globalnego poziomu bazowego klasy RODO i dobudowanie modułów specyficznych dla Indii, zamiast utrzymywania dwóch niezależnych programów. Aktywa RODO nadające się do ponownego użycia są znaczne: rejestry przetwarzania, kontrole bezpieczeństwa i reagowania na naruszenia, narzędzia praw podmiotów danych do dostępu, korekty i usunięcia, szablony zawierania umów z podmiotami przetwarzającymi oraz dyscyplina prywatności w fazie projektowania, wszystkie przenoszą się na DPDP z drobną adaptacją. Dodatki specyficzne dla Indii to miejsce, w którym koncentruje się wysiłek, i są to dokładnie te kontrole, których programowi opartemu wyłącznie na RODO będzie brakować w dniu egzekwowania 13 maja 2027 roku: projekt podstawy prawnej oparty na pierwszeństwie zgody, który nie wspiera się na prawnie uzasadnionych interesach; integracja z Menedżerem Zgody lub gotowość na niego; reżim dla dzieci poniżej osiemnastego roku życia z weryfikowalną zgodą rodzicielską i tłumieniem reklamy behawioralnej; przepływ nominacji; proces naruszeń, który powiadamia o każdym kwalifikującym się incydencie bez bramki ryzyka; oraz czujne śledzenie rządowej listy negatywnej transferów transgranicznych i sektorowych zasad lokalizacji. Z drugiej strony organizacja nie może wycofać żadnej maszynerii RODO, ponieważ węższy zestaw praw DPDP i liberalny model transferu nie rozluźniają obowiązków europejskich.
Co zmienia oprzyrządowanie CCI
Program dwureżimowy zawodzi najczęściej nie na polityce, lecz na nieznajomości, w kategoriach dowodowych, gdzie znajdują się dane osobowe, na której podstawie prawnej opiera się każdy przepływ i ile kosztowałoby zdarzenie egzekwowania. Prymitywy CCI atakują dokładnie te luki, a każde twierdzenie poniżej jest redukcją prawdopodobieństwa wspartą istniejącym produktem, a nie gwarancją.
NetDiagramer mapuje rzeczywisty majątek danych, przepływy między systemami i jurysdykcje, które każdy przepływ przekracza. Dla problemu transferu jest to fundamentalne: nie możesz zastosować białej listy mechanizmów z artykułu 46 RODO ani śledzić czarnej listy DPDP, jeśli nie widzisz, które przepływy opuszczają EOG lub lądują w Indiach. Ta sama topologia ujawnia każdy przepływ obecnie wspierający się na prawnie uzasadnionych interesach, czyli dokładnie tę populację, którą trzeba oprzeć na nowo na zgodzie, zanim DPDP zacznie obowiązywać.
EviGen zamienia rozliczalność z ćwiczenia dokumentacyjnego w zautomatyzowane dowody. Rejestry przetwarzania na mocy artykułu 30, księgi zgody oraz artefakty oceny skutków i audytu, które Znaczący Powiernik Danych musi wytworzyć, są generowane i utrzymywane na bieżąco z żywego majątku, a nie rekonstruowane z arkuszy kalkulacyjnych w czasie audytu. Jeden potok dowodowy obsługuje zarówno europejski obowiązek rejestrowy, jak i indyjskie obowiązki rozliczalności i audytu.
Evidence Vault daje procesowi naruszeń odporną na manipulacje oś czasu, której potrzebuje, by przetrwać zasadę DPDP bez progu. Gdy każdy kwalifikujący się incydent musi dotrzeć do Rady w ciągu siedemdziesięciu dwóch godzin, a do każdego dotkniętego podmiotu bez zwłoki, ograniczeniem nie jest gotowość, lecz zdolność do szybkiego złożenia dającej się obronić relacji o tym, co się stało, kiedy i komu. Ten sam skarbiec zaspokaja prowadzenie zapisów z artykułów 33 i 34 RODO.
cVaR wycenia rozbieżną ekonomię egzekwowania w pieniądzu. Kwantyfikuje ekspozycję pod oboma pułapami, czterema procentami powiązanymi z obrotem RODO i stałymi dwustu pięćdziesięcioma crore za przypadek DPDP, tak aby zarząd widział swoją powierzchnię kar dwureżimowych jako jedną liczbę, a nie dwie prawne abstrakcje, i mógł uszeregować remediację według oczekiwanej redukcji straty.
Domain Separation utrzymuje europejski i indyjski majątek danych logicznie rozdzielonym, tak aby wymagania lokalizacji, przyszła lista negatywna i odmienne reżimy podstaw prawnych mogły być egzekwowane per jurysdykcja bez rozdzielania całego programu na dwa. To kontrola, która czyni zbieżność z celowym rozejściem wykonalną, a nie jedynie aspiracyjną.
Postawienie podwójnego mandatu na czas
Materialne obowiązki DPDP lądują 13 maja 2027 roku. Od chwili pisania to około jedenastu miesięcy, co czyta się jako odległe, a nie jest: ponowne zaprojektowanie oparte na pierwszeństwie zgody, integracja z Menedżerem Zgody i reżim dla dzieci poniżej osiemnastego roku życia to programy wielokwartalne i częściej biegną szeregowo niż równolegle, ponieważ każdy zależy od czystego widoku majątku danych, którego większość organizacji jeszcze nie ma. Licząc wstecz od maja 2027 roku, prace nad odkrywaniem i mapowaniem danych muszą rozpocząć się w tym kwartale, aby fazy budowy, testowania i audytu zmieściły się przed egzekwowaniem. Tam, gdzie organizacja potrzebuje starszego przywództwa w zakresie prywatności, by poprowadzić tę budowę bez dodawania stałego personelu, CISO jako usługa CCI oferuje pulę ośmiu lub więcej praktyków z certyfikatem CISSP do pokrycia tymczasowego, ułamkowego, na żądanie lub po incydencie, z zachowaną niezależnością, ponieważ CCI nie audytuje tam, gdzie kieruje. Ta pula nie jest wyłącznie europejska: CCI ma praktyków z certyfikatem CISSP z siedzibą w Indiach, starszych specjalistów od prywatności danych, którzy znają DPDP, model Menedżera Zgody oraz obowiązki językowe z Ósmego Załącznika od środka. To ma znaczenie w praktyce, ponieważ Znaczący Powiernik Danych musi wyznaczyć Inspektora Ochrony Danych z domicylem w Indiach, a lokalny lider prywatności skraca też dystans do indyjskiego radcy prawnego, Rady Ochrony Danych i realiów zgody w skali krajowej.
Drugą powracającą luką jest luka fundamentalna, a nie prawna: większość organizacji nie potrafi powiedzieć, w kategoriach dowodowych, gdzie faktycznie znajdują się ich dane osobowe. Specjaliści CCI od inwentaryzacji danych mapują dokładnie to w obrębie starszych majątków, gorących danych w żywych systemach i zimnych danych w archiwach i kopiach zapasowych, uporządkowanych zapisów w bazach danych oraz znacznie trudniejszego nieuporządkowanego rozproszenia w dokumentach, skrzynkach pocztowych, udziałach plików i magazynach obiektów. Ta inwentaryzacja jest warunkiem wstępnym wszystkiego, co dalej, ponownego oparcia zgody, przepływów praw i usunięcia, widoku transferu transgranicznego i oceny zakresu naruszenia, z których żadnemu nie można ufać, jeśli mapa majątku jest niekompletna. Tam, gdzie luką jest oprzyrządowanie szyte na miarę, wewnętrzny zespół badawczo-rozwojowy, akademicy, badacze ze stopniem doktorskim i inżynierowie, którzy zbudowali NetDiagramer, EviGen, cVaR i DORA-MAST, potrafią skomponować te prymitywy, wczytywanie inwentaryzacji, dowody konfiguracji, mapowanie topologii i kwantyfikację, w szybki zestaw narzędzi gotowości dwureżimowej. To stwierdzone jako zdolność, z wdrożonymi produktami jako dowodem, a nie jako obietnica ze stoperem. Aby zakreślić ocenę gotowości dwureżimowej, porozmawiaj z praktykiem.
Główna macierz porównawcza
| Wymiar | RODO | DPDP |
|---|---|---|
| Instrument | Rozporządzenie (UE) 2016/679 | Ustawa DPDP 2023 + Zasady DPDP 2025 |
| W mocy | 25 maja 2018 | Etapowo; materialne obowiązki od 13 maja 2027 |
| Objęte dane | Zautomatyzowane i uporządkowane ręczne; poziom wrażliwych | Wyłącznie cyfrowe; brak poziomu wrażliwych |
| Wyzwalacz eksterytorialny | Jednostka organizacyjna; oferowanie; monitorowanie | Oferowanie towarów lub usług podmiotom w Indiach |
| Podstawy prawne | Sześć, w tym prawnie uzasadnione interesy | Zgoda plus zamknięta lista zgodnych z prawem zastosowań |
| Reżim danych wrażliwych | Szczególne kategorie z artykułu 9 | Brak (pośrednio przez SDF i dzieci) |
| Wiek dzieci | 16 (państwa członkowskie mogą obniżyć do 13) | Poniżej 18; zakaz reklamy behawioralnej |
| Prawa | Osiem, w tym przenoszenie, sprzeciw, Art 22 | Dostęp, korekta, usunięcie, skarga, nominacja |
| Inspektor ochrony danych | Obowiązkowy w oparciu o ryzyko | Tylko Znaczący Powiernicy Danych; z siedzibą w Indiach |
| Model transgraniczny | Biała lista (zakaz domyślny) | Czarna lista (zezwolenie domyślne) |
| Zgłoszenie naruszenia | 72h do ON jeśli ryzyko; jednostki jeśli wysokie ryzyko | 72h do Rady plus wszystkie dotknięte podmioty, brak progu |
| Kara maksymalna | EUR 20m lub 4% globalnego obrotu | INR 250 crore za przypadek, brak powiązania z obrotem |
| Prawo do dochodzenia roszczeń prywatnych | Tak (Art 82) | Brak |
| Regulator | Niezależne Organy Nadzorcze | Rada Ochrony Danych (wyłącznie orzekająca) |
| Stanowienie przepisów | EDPB, Komisja, Organy Nadzorcze | Rząd Centralny |
Akronimy
| Akronim | Rozwinięcie (angielski) | Tłumaczenie polskie |
|---|---|---|
| BCR | Binding Corporate Rules | Wiążące reguły korporacyjne |
| CJEU | Court of Justice of the European Union | Trybunał Sprawiedliwości Unii Europejskiej |
| DPDP | Digital Personal Data Protection | Ochrona Danych Osobowych Cyfrowych |
| DPIA | Data Protection Impact Assessment | Ocena skutków dla ochrony danych |
| DPO | Data Protection Officer | Inspektor ochrony danych |
| EDPB | European Data Protection Board | Europejska Rada Ochrony Danych |
| EEA | European Economic Area | Europejski Obszar Gospodarczy |
| GDPR | General Data Protection Regulation | Ogólne rozporządzenie o ochronie danych |
| MeitY | Ministry of Electronics and Information Technology (India) | Ministerstwo Elektroniki i Technologii Informacyjnych (Indie) |
| RBI | Reserve Bank of India | Bank Rezerw Indii |
| SA | Supervisory Authority | Organ Nadzorczy |
| SCC | Standard Contractual Clauses | Standardowe klauzule umowne |
| SDF | Significant Data Fiduciary | Znaczący Powiernik Danych |
| TDSAT | Telecom Disputes Settlement and Appellate Tribunal | Trybunał Rozstrzygania Sporów i Apelacji Telekomunikacyjnych |
References
- European Parliament and Council (2016). Regulation (EU) 2016/679 (General Data Protection Regulation). https://eur-lex.europa.eu/eli/reg/2016/679/oj
- Government of India (2023). The Digital Personal Data Protection Act, 2023. https://www.meity.gov.in/static/uploads/2024/06/2bf1f0e9f04e6fb4f8fef35e82c42aa5.pdf
- Ministry of Electronics and Information Technology (2025). Government notifies DPDP Rules to empower citizens and protect privacy. Press Information Bureau. https://www.pib.gov.in/PressReleasePage.aspx?PRID=2190014
- Ministry of Electronics and Information Technology (2025). Digital Personal Data Protection Rules, 2025 (notification). https://static.pib.gov.in/WriteReadData/specificdocs/documents/2025/nov/doc20251117695301.pdf
- Shardul Amarchand Mangaldas & Co (2025). Enforcement of the DPDP Act and notification of the DPDP Rules. https://www.amsshardul.com/insight/enforcement-of-the-dpdp-act-and-notification-of-the-dpdp-rules/
- MediaNama (2025). Data breach reporting timeline of DPDP Rules 2025 explained. https://www.medianama.com/2025/11/223-data-breach-reporting-timeline-of-dpdp-rules-2025-explained/
- Internet Freedom Foundation (2025). Statement on DPDP Rules 2025. https://internetfreedom.in/
- India Briefing (2025). Digital Personal Data Protection (DPDP) Rules 2025 notified. https://www.india-briefing.com/news/dpdp-rules-2025-india-data-protection-law-compliance-40769.html