Общий регламент о защите данных напрямую применяется на всей территории Европейского экономического пространства с 25 мая 2018 года. Индийский Закон о защите цифровых персональных данных 2023 года получил президентское одобрение в августе 2023 года, но оставался бездействующим в ожидании подзаконных правил. Эти правила, Правила защиты цифровых персональных данных 2025 года, были уведомлены 13 ноября 2025 года, запустив поэтапное введение в действие: положения о Совете по защите данных вступили в силу немедленно, обязанности по регистрации для Менеджеров согласия наступают через год, а материальные обязанности и права субъектов данных подлежат исполнению с 13 мая 2027 года (Ministry of Electronics and Information Technology 2025; Shardul Amarchand Mangaldas 2025). Поэтому далее зрелый, полностью применяемый режим сопоставляется с молодым, который юридически завершён, но операционно всё ещё находится внутри своего срока подготовки к соответствию. Состояние закона приводится по состоянию на 6 июня 2026 года, что оставляет примерно одиннадцать месяцев до того, как материальные обязанности и права субъектов данных DPDP станут подлежащими исполнению 13 мая 2027 года. Для программы, которая должна заново переоснователь законную обработку на согласие, интегрировать Менеджера согласия и выстроить режим для лиц младше восемнадцати лет, одиннадцать месяцев составляют единый горизонт планирования, а не комфортный запас.
Общее происхождение и три расхождения, которые имеют значение
Оба закона имеют общее происхождение. Индийские разработчики позаимствовали у GDPR словарь подотчётности, ограничения цели, минимизации данных и согласия, и сходство достаточно близкое, чтобы транснациональная корпорация с работающей программой GDPR уже обладала примерно семьюдесятью процентами того, что требует DPDP. Оставшиеся тридцать процентов составляют место, где сидят деньги и риск, потому что расхождения структурны, а не косметичны.
Три различия доминируют над всем остальным. Во-первых, законная обработка: GDPR предлагает шесть правовых оснований, включая эластичный тест балансировки законных интересов, тогда как DPDP признаёт только согласие и закрытый перечень перечисленных законных применений, не оставляя никакого универсального запасного варианта, когда согласие непрактично. Во-вторых, каталог прав: GDPR предоставляет восемь прав субъектам данных, включая переносимость, возражение и защиту от решений, основанных исключительно на автоматизации, тогда как DPDP предоставляет более узкий набор и добавляет своеобразное право назначения. В-третьих, экономика правоприменения: GDPR ограничивает штрафы большей из величин, двадцать миллионов евро или четыре процента мирового годового оборота, и даёт лицам частное право на компенсацию, тогда как DPDP налагает фиксированные денежные наказания до двухсот пятидесяти crore рупий без привязки к обороту, без уголовной ответственности и без частного права на иск.
Для организации с двойным статусом практический урок состоит в том, что соответствие GDPR необходимо, но недостаточно. Программу уровня GDPR нужно расширить, а не просто скопировать, чтобы вобрать архитектуру DPDP, основанную на приоритете согласия, её режим для детей младше восемнадцати лет, её подход на основе негативного перечня к трансграничным передачам и её правило уведомления о нарушениях, которое не терпит никакого порога риска.
Две цифры обрамляют ставки. GDPR регулирует персональные данные примерно четырёхсот пятидесяти миллионов человек на всей территории Европейского экономического пространства; DPDP регулирует данные почти полутора миллиардов субъектов данных в Индии, примерно втрое больше. Поэтому, хотя потолок наказания DPDP за случай ниже и фиксирован, операционная нагрузка, которую он налагает, а именно захват и отзыв согласия, обработка прав и уведомление о нарушениях без порога, работает в гораздо большем масштабе населения. Мощность, комфортная для европейской пользовательской базы, может быть перегружена индийской, и эту мощность нужно построить до того, как часы остановятся: поскольку материальные обязанности подлежат исполнению с 13 мая 2027 года, примерно через одиннадцать месяцев с момента написания, окно для инженерной проработки конвейеров согласия, прав и нарушений для более чем миллиарда субъектов узко.
Инструменты, статус и регуляторная архитектура
GDPR является регламентом, что означает, что он применяется напрямую в каждом государстве-члене без национальной транспозиции, хотя государства-члены сохраняют ограниченное пространство для законотворчества по конкретным пунктам, таким как возраст цифрового согласия и данные о трудоустройстве. Он применяется сетью независимых национальных Надзорных органов, координируемых через Европейский совет по защите данных, при этом механизм согласованности и единое окно разрешают трансграничные дела. Таким образом, нормотворчество, руководящие указания и правоприменение лежат на независимых регуляторах и, в конечном счёте, на судах и Суде Европейского союза (наша страница рамок GDPR кратко резюмирует его обязанности, кого он связывает и официальный источник).
Архитектура DPDP более централизована и более ориентирована на исполнительную власть. Закон DPDP является первичным законодательством; операционная детализация содержится в Правилах DPDP, которые издаёт и может изменять Центральное правительство (наша страница рамок DPDP кратко излагает ключевые обязанности закона, кого он связывает и официальный источник). Совет по защите данных Индии является арбитражным органом, но он уже европейского Надзорного органа: он расследует нарушения и налагает наказания, но не издаёт обязательные кодексы или руководящие указания, а полномочие по материальному нормотворчеству принадлежит скорее Центральному правительству, чем Совету. Апелляции на решения Совета направляются в Трибунал по урегулированию споров и апелляциям в области телекоммуникаций. Проектное следствие состоит в том, что в Индии политическая исполнительная власть сохраняет рычаги (исключения, ограничения передачи, изменения правил), которые в Европе принадлежат независимым органам или судам.
Сфера действия и охват
GDPR регулирует персональные данные, обрабатываемые полностью или частично автоматизированными средствами, и неавтоматизированную обработку, когда данные образуют или предназначены образовать часть картотечной системы. Он выделяет особую категорию чувствительных данных согласно статье 9: расовое или этническое происхождение, политические взгляды, религиозные убеждения, членство в профсоюзах, генетические и биометрические данные, здоровье и половая жизнь или ориентация, каждое из которых подлежит усиленным условиям. DPDP уже в одном отношении и площе в другом. Он регулирует только цифровые персональные данные, то есть данные в оцифрованной форме или данные, собранные на бумаге и затем оцифрованные, и не регулирует чисто нецифровые записи. Критически, он не проводит никакого законодательного различия между обычными и чувствительными персональными данными. Нет уровня особой категории; медицинские записи и истории покупок подпадают под одни и те же базовые правила, а дополнительная защита приходит лишь косвенно через механизм Значимого фидуциария данных и положения о детях. Для организации с двойным статусом эта асимметрия режет в обе стороны: индийский закон не налагает условий статьи 9, но зрелый контролёр обычно сохранит свои контроли чувствительных данных GDPR глобально, а не будет вести две схемы классификации данных.
Оба закона простираются за пределы своей родной территории. GDPR, согласно статье 3, применяется к обработке в контексте учреждения в ЕС независимо от того, где происходит обработка, и к контролёрам за пределами Союза, которые предлагают товары или услуги лицам в Союзе либо отслеживают их поведение. DPDP, согласно разделу 3, применяется к обработке цифровых персональных данных в Индии и к обработке за пределами Индии, когда она связана с предложением товаров или услуг субъектам данных в Индии. DPDP опускает явное звено GDPR об отслеживании поведения, поэтому чистое профилирование индийских резидентов без предложения товаров или услуг находится в более серой зоне, чем его европейский эквивалент.
| Измерение | GDPR | DPDP |
|---|---|---|
| Форма охватываемых данных | Автоматизированные плюс структурированные ручные картотечные системы | Только цифровые (цифровые от рождения или впоследствии оцифрованные) |
| Уровень чувствительных данных | Да (особые категории статьи 9) | Нет законодательного уровня |
| Экстерриториальный триггер | Учреждение; предложение; отслеживание поведения | Предложение товаров или услуг субъектам в Индии |
| Исключённая обработка | Чисто личная или бытовая; правоприменение по отдельной директиве | Личная или домашняя; некоторые опубликованные данные; широкие государственные исключения |
Акторы и словарь
Архитектура ролей отображается достаточно чисто, чтобы перевод был в основном один к одному, что помогает при составлении двуязычных политик. Контролёр из GDPR становится Фидуциарием данных из DPDP, основанным на доверии оформлением, чьи операционные обязанности тем не менее напоминают обязанности контролёра. Обработчик из GDPR становится Обработчиком данных, хотя DPDP направляет большинство обязанностей обработчика через договор с фидуциарием, а не налагает множество прямых законодательных обязанностей. Субъект данных становится Субъектом данных, а для ребёнка субъектом является ребёнок, тогда как согласие осуществляется родителем или законным опекуном. Надзорный орган находит свой аналог в Совете по защите данных Индии, который выносит решения и наказывает, но не издаёт обязательные руководящие указания и поэтому не является полноспектральным регулятором. Две роли DPDP не имеют аналога в GDPR: Значимый фидуциарий данных, назначаемый правительством класс с усиленными обязанностями, и Менеджер согласия, специфичный для Индии зарегистрированный посредник, через которого субъекты предоставляют, пересматривают и отзывают согласие.
Законная обработка: центральное расхождение
Именно здесь оба режима расходятся наиболее существенным образом. GDPR, согласно статье 6, предусматривает шесть правовых оснований: согласие, исполнение договора, соблюдение правового обязательства, защиту жизненно важных интересов, выполнение задачи в общественных интересах и законные интересы контролёра или третьей стороны с учётом теста балансировки против прав субъекта данных. Основание законных интересов намеренно открыто по своему характеру; это рабочая лошадка, которая позволяет организациям обрабатывать данные для предотвращения мошенничества, сетевой безопасности, прямого маркетинга и внутригрупповой администрации без запроса согласия на каждую операцию.
DPDP признаёт только два пути к законности: согласие согласно разделу 6 и закрытый перечень определённых законных применений согласно разделу 7. Перечень законных применений перечислен и конечен: добровольное предоставление данных субъектом для определённой цели, государственные функции и предоставление субсидий или услуг, соблюдение закона или судебных постановлений, медицинские чрезвычайные ситуации, цели, связанные с трудоустройством, и ситуации бедствия или общественного порядка, среди горстки прочих. Никакого остаточного теста балансировки нет. Если деятельность по обработке не отображается на пункт из перечня, единственный законный путь есть согласие. Это единственное наиболее важное операционное различие для транснациональной корпорации, потому что потоки данных, которые Европа спокойно обрабатывает на основании законных интересов, например широкая аналитика, маркетинговое обогащение или трансграничная групповая отчётность, могут потребовать в Индии явной архитектуры согласия.
Сам стандарт согласия на бумаге похож. Оба требуют, чтобы согласие было свободным, конкретным, информированным, недвусмысленным и сигнализируемым чётким утвердительным действием, и оба требуют, чтобы отзыв был так же лёгок, как и предоставление. DPDP надстраивает поверх этого две специфичные для Индии особенности. Во-первых, уведомление, сопровождающее запрос на согласие, должно быть детализировано по пунктам и, по запросу, доступно на английском или любом из языков из Восьмого приложения к Конституции. Во-вторых, согласие может опосредоваться через Менеджера согласия, зарегистрированную платформу, которая даёт субъектам единую панель для предоставления и отзыва разрешений между фидуциариями, институциональную конструкцию без эквивалента в GDPR.
Соответствие GDPR необходимо, но недостаточно. Программу уровня GDPR нужно расширить, а не просто скопировать, чтобы вобрать архитектуру DPDP, основанную на приоритете согласия.
Права, обязанности и дети
GDPR предоставляет широкий набор прав: доступ, исправление, удаление, ограничение обработки, переносимость данных, возражение, включая против прямого маркетинга, и право не быть субъектом решения, основанного исключительно на автоматизации, порождающего правовые или аналогично значимые последствия, согласно статье 22. DPDP предоставляет более узкий набор: доступ к сводке персональных данных и обработки, исправление и удаление, рассмотрение жалоб и отличительное право назначения, которое позволяет субъекту назначить другое лицо для осуществления его прав в случае смерти или недееспособности. Пробелы имеют значение. DPDP не содержит самостоятельного права на переносимость данных, общего права на возражение, права на ограничение и защиты в стиле статьи 22 от автоматизированного принятия решений. Напротив, право назначения не имеет европейского аналога.
| Право | GDPR | DPDP |
|---|---|---|
| Доступ | Да (Ст 15) | Да (сводка данных и обработки) |
| Исправление или корректировка | Да (Ст 16) | Да |
| Удаление | Да (Ст 17) | Да (при отзыве или завершении цели) |
| Ограничение обработки | Да (Ст 18) | Нет |
| Переносимость данных | Да (Ст 20) | Нет |
| Возражение | Да (Ст 21) | Нет |
| Гарантии в отношении автоматизированных решений | Да (Ст 22) | Нет |
| Рассмотрение жалоб | Через жалобу в Надзорный орган | Да (законное право против фидуциария) |
| Назначение | Нет | Да |
Оба режима построены на подотчётности, но распределяют более тяжёлые обязанности по-разному. Согласно GDPR каждый контролёр несёт базовый уровень документации подотчётности: реестры деятельности по обработке согласно статье 30 с исключением для малых организаций, защиту данных по дизайну и по умолчанию согласно статье 25, оценку воздействия на защиту данных для высокорисковой обработки согласно статье 35 и обязывающие договоры с обработчиками согласно статье 28. Инспектор по защите данных обязателен согласно статье 37 там, где основные виды деятельности включают крупномасштабный систематический мониторинг или крупномасштабную обработку данных особых категорий, а контролёры за пределами Союза должны назначить представителя в ЕС согласно статье 27. DPDP применяет более лёгкий универсальный базовый уровень и концентрирует тяжёлые обязанности на Значимом фидуциарии данных. Каждый фидуциарий должен внедрить разумные меры безопасности, соблюдать уведомление и согласие, удалять данные при отзыве или после того, как цель достигнута, и обеспечивать соответствие обработчика через договор. Только субъекты, назначенные Центральным правительством Значимыми фидуциариями данных, должны дополнительно назначить Инспектора по защите данных, базирующегося в Индии, привлечь независимого аудитора данных и проводить периодические оценки воздействия и аудиты. Таким образом, триггером является правительственное назначение, а не самооцениваемый тест риска из GDPR.
Оба режима выделяют детей, и здесь DPDP строже. GDPR, согласно статье 8, устанавливает возраст действительного согласия для услуг информационного общества в шестнадцать лет, позволяя государствам-членам снизить его не менее чем до тринадцати. DPDP считает любого младше восемнадцати лет ребёнком и требует проверяемого согласия родителя или законного опекуна перед обработкой данных ребёнка. Он идёт дальше, запрещая обработку, способную причинить вредные последствия для благополучия ребёнка, и прямо запрещая поведенческое отслеживание, поведенческий мониторинг и таргетированную рекламу, направленную на детей, с учётом ограниченных исключений, которые правительство может уведомить. Для глобального цифрового сервиса это значимое проектное ограничение: слой проверки возраста и родительского согласия, откалиброванный под европейский порог от тринадцати до шестнадцати лет, не удовлетворит индийскому правилу младше восемнадцати, а стеки рекламных технологий должны уметь отключать поведенческий таргетинг для индийских несовершеннолетних в масштабе населения.
Трансграничные передачи: зеркальные значения по умолчанию
Модели передачи почти зеркальны в своей позиции по умолчанию. GDPR, в главе V, исходит из запрета: персональные данные могут покинуть ЕЭЗ только по решению об адекватности, при надлежащих гарантиях, таких как стандартные договорные положения или обязательные корпоративные правила, либо при узком наборе отступлений. Бремя установления законного механизма передачи лежит на экспортёре, а юриспруденция Schrems II требует оценки воздействия передачи на среду надзора страны назначения. Это модель белого списка: запрет по умолчанию, разрешено только там, где механизм на месте.
DPDP исходит из разрешения. Передачи разрешены в любую страну по умолчанию, а Центральное правительство может издать негативный перечень, ограничивающий передачи в указанные юрисдикции. Это модель чёрного списка: разрешение по умолчанию, заблокировано только там, где назначение поименовано. В принципе он гораздо более либерален, но два предостережения это смягчают. Во-первых, ни один негативный перечень ещё не заполнен, поэтому практические контуры остаются неопределёнными. Во-вторых, секторальные правила локализации данных, в частности от Reserve Bank of India для платёжных данных, продолжают применяться поверх DPDP и могут быть строже общего режима. Для транснациональной корпорации асимметрия разительна: перемещение данных ЕС в Индию требует документированного механизма по статье 46, тогда как перемещение индийских данных в ЕС в настоящее время не требует ничего согласно самому DPDP, хотя благоразумное управление сохраняет договорные гарантии в любом случае.
Уведомление о нарушениях: отсутствующий фильтр существенности
Оба режима сходятся на часовом отсчёте в семьдесят два часа, но резко расходятся по порогу и аудитории. GDPR требует уведомления Надзорного органа без неоправданной задержки и, где это осуществимо, в течение семидесяти двух часов с момента осведомлённости, но только там, где нарушение, вероятно, приведёт к риску для прав и свобод лиц; затронутые лица уведомляются только там, где риск высок. Порог риска отфильтровывает тривиальные инциденты. Правила DPDP не налагают никакого порога риска. При осведомлённости о любом нарушении персональных данных фидуциарий должен информировать затронутых субъектов данных без задержки и должен предоставить Совету по защите данных первоначальное уведомление с последующим подробным отчётом в течение семидесяти двух часов, охватывающим нарушение, его обстоятельства, смягчение и личность любой ответственной стороны (MediaNama 2025; Ministry of Electronics and Information Technology 2025). Отсутствие фильтра существенности означает, что индийские объёмы отчётности о нарушениях будут выше их европейских эквивалентов, а против населения почти в полтора миллиарда субъектов механизм уведомления должен масштабироваться соответственно. Сценарии реагирования на инциденты, настроенные на порог риска GDPR, должны быть переписаны, чтобы уведомлять о каждом квалифицирующем нарушении как Совет, так и затронутых лиц.
| Аспект | GDPR | DPDP |
|---|---|---|
| Уведомление органа | В течение 72 часов, если риск для прав | Первоначальное уведомление, затем подробный отчёт в течение 72 часов, без порога |
| Уведомление лица | Только если высокий риск | Всегда, без задержки |
| Фильтр существенности | Да (на основе риска) | Нет |
Экономика правоприменения
Экономика правоприменения различается по виду, а не только по степени. Административные штрафы GDPR доходят до десяти миллионов евро или двух процентов мирового годового оборота для нижнего уровня и до двадцати миллионов евро или четырёх процентов мирового годового оборота для верхнего уровня, в зависимости от того, что больше. Привязка к обороту масштабирует сдерживание к размеру предприятия. GDPR также создаёт частное право: субъекты данных могут требовать компенсацию за материальный и нематериальный ущерб согласно статье 82 и могут подавать жалобы и добиваться судебных средств защиты. DPDP налагает фиксированные денежные наказания, не привязанные к обороту, установленные со ссылкой на расписания и ограниченные за случай: до двухсот пятидесяти crore рупий за непринятие разумных мер безопасности, до двухсот crore рупий за провалы в уведомлении о нарушениях или в обязанностях по данным детей и более низкие потолки за прочие нарушения. Согласно DPDP нет уголовной ответственности и, что важно, нет частного права на иск и законной компенсации лицам; правоприменение идёт через Совет по защите данных, а наказания уплачиваются государству. DPDP также вводит наказания для субъектов данных за подачу ложных или необоснованных жалоб, что не имеет аналога в GDPR. Чистый эффект состоит в том, что для очень крупного предприятия основанный на обороте потолок GDPR может затмить фиксированный потолок DPDP, тогда как для того же предприятия DPDP снимает экспозицию на коллективные иски и индивидуальные тяжбы, которая омрачает соответствие GDPR в Европе.
Исключения
GDPR держит исключения узкими и связанными правилами. Статья 23 позволяет закону государства-члена ограничивать права только там, где это необходимо и соразмерно для перечисленных целей общественного интереса, и существуют конкретные исключения для журналистики, академического, художественного и литературного самовыражения, а также для исследований и архивирования с учётом гарантий. DPDP предоставляет более широкие и более контролируемые исполнительной властью исключения. Раздел 17 позволяет Центральному правительству освобождать государственные структуры от большей части Закона в интересах суверенитета, безопасности, общественного порядка и дружественных отношений и предусматривает исключения для обработки, необходимой для исследований, архивирования или статистических целей, для определённых стартапов по уведомлению и для обеспечения соблюдения законных прав. Широта исключений, обращённых к государству, и тот факт, что они предоставляются и ограничиваются исполнительной властью, а не независимым органом или судом, является одной из наиболее обсуждаемых черт индийского режима и повторяющейся темой в комментариях гражданского общества (Internet Freedom Foundation 2025).
Какие контроли должна добавить программа с двойным статусом
Для организации внутри обоих режимов операционной моделью является конвергенция с намеренным расхождением. Прагматичная архитектура состоит в том, чтобы вести единый, глобальный базовый уровень класса GDPR и надстраивать специфичные для Индии модули, а не поддерживать две независимые программы. Повторно используемые активы GDPR существенны: реестры обработки, контроли безопасности и реагирования на нарушения, инструментарий прав субъектов данных для доступа, корректировки и удаления, шаблоны заключения договоров с обработчиками и дисциплина приватности по дизайну, всё переносится на DPDP с незначительной адаптацией. Специфичные для Индии дополнения составляют место, где концентрируется усилие, и это в точности те контроли, которых программе, основанной только на GDPR, будет недоставать в день правоприменения 13 мая 2027 года: дизайн правового основания на основе приоритета согласия, который не опирается на законные интересы; интеграция с Менеджером согласия или готовность к нему; режим для детей младше восемнадцати лет с проверяемым родительским согласием и подавлением поведенческой рекламы; рабочий процесс назначения; процесс нарушений, который уведомляет о каждом квалифицирующем инциденте без порога риска; и наблюдение за правительственным негативным перечнем трансграничных передач и секторальными правилами локализации. Напротив, организация не может вывести из эксплуатации никакую механику GDPR, потому что более узкий набор прав DPDP и либеральная модель передачи не ослабляют европейские обязанности.
Что меняет инструментарий CCI
Программа двойного режима терпит неудачу чаще всего не на политике, а на незнании, в доказательных терминах, где сидят персональные данные, на какое правовое основание опирается каждый поток и во что обошлось бы событие правоприменения. Примитивы CCI атакуют именно эти пробелы, и каждое утверждение ниже представляет собой снижение вероятности, подкреплённое существующим продуктом, а не гарантию.
NetDiagramer наносит на карту фактический массив данных, потоки между системами и юрисдикции, которые пересекает каждый поток. Для проблемы передачи это фундаментально: вы не можете применить белый список механизмов статьи 46 GDPR или следить за чёрным списком DPDP, если не видите, какие потоки покидают ЕЭЗ или приземляются в Индии. Та же топология выявляет каждый поток, опирающийся в настоящее время на законные интересы, то есть в точности ту совокупность, которую необходимо заново переоснователь на согласие, прежде чем DPDP начнёт действовать.
EviGen превращает подотчётность из документационного упражнения в автоматизированные доказательства. Реестры обработки согласно статье 30, журналы согласия и артефакты оценки воздействия и аудита, которые должен производить Значимый фидуциарий данных, генерируются и поддерживаются актуальными из живого массива, а не реконструируются из электронных таблиц во время аудита. Один доказательный конвейер обслуживает как европейскую обязанность ведения реестров, так и индийские обязанности подотчётности и аудита.
Evidence Vault даёт процессу нарушений устойчивую к подделке временную шкалу, которая нужна ему, чтобы выжить при беспороговом правиле DPDP. Когда каждый квалифицирующий инцидент должен достичь Совета в течение семидесяти двух часов, а каждого затронутого субъекта без задержки, ограничением является не готовность, а способность быстро собрать защищаемый отчёт о том, что произошло, когда и с кем. Тот же сейф удовлетворяет ведению записей по статьям 33 и 34 GDPR.
cVaR оценивает расходящуюся экономику правоприменения в деньгах. Он квантифицирует экспозицию под обоими потолками, четырьмя процентами, привязанными к обороту GDPR, и фиксированными двумястами пятьюдесятью crore за случай DPDP, так что совет директоров видит свою поверхность наказаний двойного режима как одно число, а не две правовые абстракции, и может ранжировать ремедиацию по ожидаемому снижению потерь.
Domain Separation сохраняет европейский и индийский массивы данных логически разделимыми, так что требования локализации, будущий негативный перечень и различающиеся режимы правовых оснований могут применяться по юрисдикции без разветвления всей программы надвое. Это контроль, который делает конвергенцию с намеренным расхождением работоспособной, а не лишь желательной.
Как успеть выстроить двойной мандат вовремя
Материальные обязанности DPDP приземляются 13 мая 2027 года. С момента написания это около одиннадцати месяцев, что читается как далёкое, но таковым не является: переархитектура на основе приоритета согласия, интеграция с Менеджером согласия и режим для детей младше восемнадцати лет являются многоквартальными программами, и они чаще идут последовательно, чем параллельно, потому что каждая зависит от чистого вида массива данных, которого у большинства организаций ещё нет. Отсчитывая назад от мая 2027 года, работа по обнаружению и картированию данных должна начаться в этом квартале, чтобы фазы построения, тестирования и аудита уместились до правоприменения. Там, где организации нужно старшее руководство в области приватности, чтобы вести это построение без добавления постоянного персонала, услуга CCI «CISO как услуга» предлагает пул из восьми или более практиков с сертификатом CISSP для временного, частичного, по требованию или постинцидентного покрытия, с сохранённой независимостью, потому что CCI не аудирует там, где руководит. Этот пул не только европейский: у CCI есть базирующиеся в Индии практики с сертификатом CISSP, старшие специалисты по приватности данных, которые знают DPDP, модель Менеджера согласия и языковые обязанности Восьмого приложения изнутри. Это имеет значение на практике, потому что Значимый фидуциарий данных должен назначить Инспектора по защите данных с домицилем в Индии, а местный лидер приватности также сокращает дистанцию до индийского юрисконсульта, Совета по защите данных и реалий согласия в национальном масштабе.
Другой повторяющийся пробел является фундаментальным, а не правовым: большинство организаций не могут сказать, в доказательных терминах, где фактически сидят их персональные данные. Специалисты CCI по инвентаризации данных наносят на карту именно это в пределах унаследованных массивов, горячих данных в живых системах и холодных данных в архивах и резервных копиях, структурированных записей в базах данных и гораздо более сложного неструктурированного разброса в документах, почтовых ящиках, файловых хранилищах и объектных хранилищах. Эта инвентаризация является предпосылкой всего, что идёт дальше: повторного переоснователивания согласия, рабочих процессов прав и удаления, вида трансграничной передачи и оценки масштаба нарушения, ни одному из которых нельзя доверять, если карта массива неполна. Там, где пробел представляет собой инструментарий, сшитый по мерке, внутренняя команда исследований и разработок, академики, исследователи со степенью доктора и инженеры, которые построили NetDiagramer, EviGen, cVaR и DORA-MAST, могут скомпоновать эти примитивы, прием инвентаризации, доказательства конфигурации, картирование топологии и квантификацию, в быстрый набор инструментов готовности двойного режима. Это заявлено как способность, с поставленными продуктами в качестве доказательства, а не как обещание с секундомером. Чтобы определить масштаб оценки готовности двойного режима, поговорите с практиком.
Сводная основная матрица
| Измерение | GDPR | DPDP |
|---|---|---|
| Инструмент | Регламент (ЕС) 2016/679 | Закон DPDP 2023 + Правила DPDP 2025 |
| В силе | 25 мая 2018 | Поэтапно; материальные обязанности с 13 мая 2027 |
| Охватываемые данные | Автоматизированные и структурированные ручные; уровень чувствительных | Только цифровые; нет уровня чувствительных |
| Экстерриториальный триггер | Учреждение; предложение; мониторинг | Предложение товаров или услуг субъектам в Индии |
| Правовые основания | Шесть, включая законные интересы | Согласие плюс закрытый перечень законных применений |
| Режим чувствительных данных | Особые категории статьи 9 | Нет (косвенно через SDF и детей) |
| Возраст детей | 16 (государства-члены могут снизить до 13) | Младше 18; запрет поведенческой рекламы |
| Права | Восемь, включая переносимость, возражение, Ст 22 | Доступ, корректировка, удаление, жалоба, назначение |
| Инспектор по защите данных | Обязателен на основе риска | Только Значимые фидуциарии данных; базирующийся в Индии |
| Трансграничная модель | Белый список (запрет по умолчанию) | Чёрный список (разрешение по умолчанию) |
| Уведомление о нарушении | 72ч в НО если риск; лица если высокий риск | 72ч в Совет плюс все затронутые субъекты, без порога |
| Максимальное наказание | EUR 20m или 4% мирового оборота | INR 250 crore за случай, без привязки к обороту |
| Частное право на иск | Да (Ст 82) | Нет |
| Регулятор | Независимые Надзорные органы | Совет по защите данных (только арбитражный) |
| Нормотворчество | EDPB, Комиссия, Надзорные органы | Центральное правительство |
Аббревиатуры
| Аббревиатура | Расшифровка (английский) | Русский перевод |
|---|---|---|
| BCR | Binding Corporate Rules | Обязательные корпоративные правила |
| CJEU | Court of Justice of the European Union | Суд Европейского союза |
| DPDP | Digital Personal Data Protection | Защита цифровых персональных данных |
| DPIA | Data Protection Impact Assessment | Оценка воздействия на защиту данных |
| DPO | Data Protection Officer | Инспектор по защите данных |
| EDPB | European Data Protection Board | Европейский совет по защите данных |
| EEA | European Economic Area | Европейское экономическое пространство |
| GDPR | General Data Protection Regulation | Общий регламент о защите данных |
| MeitY | Ministry of Electronics and Information Technology (India) | Министерство электроники и информационных технологий (Индия) |
| RBI | Reserve Bank of India | Резервный банк Индии |
| SA | Supervisory Authority | Надзорный орган |
| SCC | Standard Contractual Clauses | Стандартные договорные положения |
| SDF | Significant Data Fiduciary | Значимый фидуциарий данных |
| TDSAT | Telecom Disputes Settlement and Appellate Tribunal | Трибунал по урегулированию споров и апелляциям в области телекоммуникаций |
References
- European Parliament and Council (2016). Regulation (EU) 2016/679 (General Data Protection Regulation). https://eur-lex.europa.eu/eli/reg/2016/679/oj
- Government of India (2023). The Digital Personal Data Protection Act, 2023. https://www.meity.gov.in/static/uploads/2024/06/2bf1f0e9f04e6fb4f8fef35e82c42aa5.pdf
- Ministry of Electronics and Information Technology (2025). Government notifies DPDP Rules to empower citizens and protect privacy. Press Information Bureau. https://www.pib.gov.in/PressReleasePage.aspx?PRID=2190014
- Ministry of Electronics and Information Technology (2025). Digital Personal Data Protection Rules, 2025 (notification). https://static.pib.gov.in/WriteReadData/specificdocs/documents/2025/nov/doc20251117695301.pdf
- Shardul Amarchand Mangaldas & Co (2025). Enforcement of the DPDP Act and notification of the DPDP Rules. https://www.amsshardul.com/insight/enforcement-of-the-dpdp-act-and-notification-of-the-dpdp-rules/
- MediaNama (2025). Data breach reporting timeline of DPDP Rules 2025 explained. https://www.medianama.com/2025/11/223-data-breach-reporting-timeline-of-dpdp-rules-2025-explained/
- Internet Freedom Foundation (2025). Statement on DPDP Rules 2025. https://internetfreedom.in/
- India Briefing (2025). Digital Personal Data Protection (DPDP) Rules 2025 notified. https://www.india-briefing.com/news/dpdp-rules-2025-india-data-protection-law-compliance-40769.html