Genel Veri Koruma Yönetmeliği 25 Mayıs 2018'den beri Avrupa Ekonomik Alanı genelinde doğrudan uygulanabilir durumdadır. Hindistan'ın 2023 tarihli Dijital Kişisel Veri Koruma Yasası Ağustos 2023'te cumhurbaşkanlığı onayı aldı ancak ikincil kuralları beklerken atıl kaldı. Bu kurallar, 2025 tarihli Dijital Kişisel Veri Koruma Kuralları, 13 Kasım 2025'te bildirildi ve aşamalı bir yürürlüğü tetikledi: Veri Koruma Kurulu hükümleri derhal yürürlüğe girdi, Rıza Yöneticileri için kayıt görevleri bir yıllık dönemeçte gelir ve esasa ilişkin yükümlülükler ile veri sahibi hakları 13 Mayıs 2027'den itibaren uygulanabilir hale gelir (Ministry of Electronics and Information Technology 2025; Shardul Amarchand Mangaldas 2025). Bunu izleyen şey, dolayısıyla olgun, tam olarak uygulanan bir rejimi, hukuken tamamlanmış ancak operasyonel olarak hâlâ uyum hazırlık süresi içinde olan genç bir rejimle karşılaştırır. Yasanın durumu 6 Haziran 2026 itibarıyla belirtilmiştir, bu da DPDP'nin esasa ilişkin görevleri ve veri sahibi hakları 13 Mayıs 2027'de uygulanabilir hale gelmeden önce kabaca on bir ay bırakır. Yasal işlemeyi yeniden rıza üzerine oturtması, bir Rıza Yöneticisi entegre etmesi ve on sekiz yaş altı için bir rejim kurması gereken bir program için on bir ay tek bir planlama ufkudur, rahat bir pay değildir.
Ortak köken ve önemli olan üç ayrışma
İki yasanın ortak bir kökeni vardır. Hindistan'ın metin yazarları GDPR'nin hesap verebilirlik, amaç sınırlaması, veri minimizasyonu ve rıza söz dağarcığını ödünç aldılar ve benzerlik, işleyen bir GDPR programına sahip çok uluslu bir şirketin DPDP'nin gerektirdiğinin kabaca yüzde yetmişine zaten sahip olacağı kadar yakındır. Geriye kalan yüzde otuz, paranın ve riskin bulunduğu yerdir, çünkü ayrışmalar kozmetik değil yapısaldır.
Üç fark diğer her şeye baskın çıkar. Birincisi, yasal işleme: GDPR, esnek meşru menfaatler dengeleme testi dahil altı hukuki dayanak sunarken, DPDP yalnızca rızayı ve sayılı meşru kullanımların kapalı bir listesini tanır, rıza pratik olmadığında hiçbir genel amaçlı geri dönüş bırakmaz. İkincisi, haklar kataloğu: GDPR, taşınabilirlik, itiraz ve yalnızca otomatik kararlara karşı koruma dahil sekiz veri sahibi hakkı tanırken, DPDP daha dar bir küme tanır ve kendine özgü bir aday gösterme hakkı ekler. Üçüncüsü, uygulama ekonomisi: GDPR cezaları yirmi milyon avro veya dünya çapındaki yıllık cironun yüzde dördünün büyük olanı ile sınırlar ve bireylere tazminat için özel bir hak verir, oysa DPDP ciroyla bağlantı olmaksızın, cezai sorumluluk olmaksızın ve özel dava hakkı olmaksızın iki yüz elli crore rupiye kadar sabit parasal cezalar uygular.
İkili tabi kuruluş için pratik ders, GDPR uyumunun gerekli ama yeterli olmadığıdır. GDPR düzeyinde bir program, DPDP'nin rıza öncelikli mimarisini, on sekiz yaş altı çocuk rejimini, sınır ötesi aktarımlara negatif liste yaklaşımını ve hiçbir risk eşiğine tahammül etmeyen ihlal bildirimi kuralını özümsemek için yalnızca kopyalanmamalı, genişletilmelidir.
İki sayı, riskin çerçevesini çizer. GDPR, Avrupa Ekonomik Alanı genelinde kabaca dört yüz elli milyon kişinin kişisel verilerini yönetir; DPDP, Hindistan'da neredeyse bir buçuk milyar veri sahibinin verilerini, yaklaşık üç katını yönetir. Dolayısıyla DPDP'nin örnek başına ceza tavanı daha düşük ve sabit olsa da, dayattığı operasyonel yük, yani rıza yakalama ve geri çekme, hak yönetimi ve eşiksiz ihlal bildirimi, çok daha büyük bir nüfus ölçeğinde işler. Bir Avrupa kullanıcı tabanı için rahat olan kapasite, bir Hindistan tabanı tarafından bunaltılabilir ve bu kapasitenin saat dolmadan önce inşa edilmesi gerekir: esasa ilişkin görevler 13 Mayıs 2027'den itibaren uygulanabilir olduğundan, yazım tarihinden kabaca on bir ay sonra, bir milyardan fazla sahip için rıza, hak ve ihlal hatlarını mühendislemek için pencere dardır.
Araçlar, durum ve düzenleyici mimari
GDPR bir yönetmeliktir, yani ulusal aktarım olmaksızın her Üye Devlette doğrudan uygulanır, ancak Üye Devletler dijital rıza yaşı ve istihdam verileri gibi belirli noktalarda yasama için sınırlı bir alan korur. Avrupa Veri Koruma Kurulu aracılığıyla koordine edilen bağımsız ulusal Denetim Makamları ağı tarafından uygulanır ve tutarlılık mekanizması ile tek durak noktası sınır ötesi vakaları çözer. Dolayısıyla kural koyma, rehberlik ve uygulama bağımsız düzenleyicilerde ve nihayetinde mahkemelerde ve Avrupa Birliği Adalet Divanı'nda yer alır (GDPR çerçeve sayfamız yükümlülüklerini, kimi bağladığını ve resmi kaynağı kısaca özetler).
DPDP mimarisi daha merkezi ve daha yürütme öncülüklüdür. DPDP Yasası birincil mevzuattır; operasyonel ayrıntı, Merkezi Hükümetin yaptığı ve değiştirebileceği DPDP Kurallarında yer alır (DPDP çerçeve sayfamız yasanın temel yükümlülüklerini, kimi bağladığını ve resmi kaynağı kısaca ortaya koyar). Hindistan Veri Koruma Kurulu yargılama organıdır ancak bir Avrupa Denetim Makamından daha dardır: ihlalleri soruşturur ve cezalar uygular ama bağlayıcı kodlar veya rehberlik yayımlamaz ve esasa ilişkin kural koyma yetkisi Kuruldan ziyade Merkezi Hükümette bulunur. Kurul kararlarına karşı temyizler Telekomünikasyon Anlaşmazlıkları Çözüm ve Temyiz Mahkemesi'ne gider. Tasarım sonucu, Hindistan'da siyasi yürütmenin, Avrupa'da bağımsız makamlarda veya mahkemelerde bulunan kaldıraçları (istisnalar, aktarım kısıtlamaları, kural değişiklikleri) elinde tutmasıdır.
Kapsam ve erişim
GDPR, tamamen veya kısmen otomatik yollarla işlenen kişisel verileri ve verilerin bir dosyalama sisteminin parçasını oluşturduğu veya oluşturmasının amaçlandığı otomatik olmayan işlemeyi yönetir. Madde 9 kapsamında özel bir hassas veri kategorisini ayırır: ırksal veya etnik köken, siyasi görüşler, dini inançlar, sendika üyeliği, genetik ve biyometrik veriler, sağlık ve cinsel yaşam veya yönelim, her biri ağırlaştırılmış koşullara tabidir. DPDP bir açıdan daha dar, başka bir açıdan daha düzdür. Yalnızca dijital kişisel verileri, yani dijitalleştirilmiş formdaki verileri veya kâğıt üzerinde toplanıp sonra dijitalleştirilen verileri yönetir ve tamamen dijital olmayan kayıtları düzenlemez. Kritik olarak, sıradan ve hassas kişisel veriler arasında hiçbir yasal ayrım yapmaz. Özel kategori katmanı yoktur; sağlık kayıtları ve alışveriş geçmişleri aynı taban kurallar altında yer alır, ek koruma yalnızca dolaylı olarak Önemli Veri Mütevellisi mekanizması ve çocuk hükümleri aracılığıyla gelir. İkili tabi bir kuruluş için bu asimetri her iki yöne de keser: Hindistan yasası Madde 9 koşulları dayatmaz, ancak olgun bir veri sorumlusu genellikle iki veri sınıflandırma şeması yürütmek yerine GDPR hassas veri kontrollerini küresel olarak yerinde tutar.
Her iki yasa da kendi yurt topraklarının ötesine ulaşır. GDPR, Madde 3 kapsamında, işlemenin nerede gerçekleştiğine bakılmaksızın bir AB yerleşim yeri bağlamındaki işlemeye ve Birlik içindeki bireylere mal veya hizmet sunan ya da davranışlarını izleyen Birlik dışındaki veri sorumlularına uygulanır. DPDP, bölüm 3 kapsamında, Hindistan içindeki dijital kişisel verilerin işlenmesine ve Hindistan dışındaki işlemeye, Hindistan'daki veri sahiplerine mal veya hizmet sunmayla bağlantılı olduğunda uygulanır. DPDP, GDPR'nin açık davranış izleme kolunu atlar, dolayısıyla Hindistan sakinlerinin mal veya hizmet sunumu olmaksızın salt profillenmesi, Avrupa eşdeğerinden daha gri bir bölgede yer alır.
| Boyut | GDPR | DPDP |
|---|---|---|
| Kapsanan veri biçimi | Otomatik artı yapılandırılmış manuel dosyalama sistemleri | Yalnızca dijital (doğuştan dijital veya sonradan dijitalleştirilmiş) |
| Hassas veri katmanı | Evet (Madde 9 özel kategorileri) | Yasal katman yok |
| Ülke dışı tetikleyici | Yerleşim yeri; sunma; davranış izleme | Hindistan'daki sahiplere mal veya hizmet sunma |
| Hariç tutulan işleme | Tamamen kişisel veya hane içi; ayrı bir direktif kapsamında kolluk | Kişisel veya yerel; bazı yayımlanmış veriler; geniş devlet istisnaları |
Aktörler ve söz dağarcığı
Rol mimarisi, çeviriyi çoğunlukla bire bir kılacak kadar temiz eşlenir, bu da iki dilli politikalar yazarken yardımcı olur. GDPR veri sorumlusu, operatif yükümlülükleri yine de bir sorumlununkilere benzeyen, güvene dayalı bir çerçeveleme olan DPDP Veri Mütevellisine dönüşür. GDPR veri işleyeni, DPDP'nin çoğu işleyen görevini doğrudan birçok yasal görev dayatmak yerine mütevellinin sözleşmesi aracılığıyla yönlendirmesine rağmen, Veri İşleyene dönüşür. Veri sahibi, Veri Sahibine dönüşür ve bir çocuk için sahip çocuktur, rıza ise bir ebeveyn veya yasal vasi tarafından kullanılır. Denetim Makamı, yargılayan ve cezalandıran ancak bağlayıcı rehberlik yayımlamayan ve dolayısıyla tam spektrumlu bir düzenleyici olmayan Hindistan Veri Koruma Kurulu'nda muadilini bulur. İki DPDP rolünün GDPR karşılığı yoktur: ağırlaştırılmış görevler taşıyan, hükümet tarafından belirlenen bir sınıf olan Önemli Veri Mütevellisi ve sahiplerin rıza verdiği, gözden geçirdiği ve geri çektiği, Hindistan'a özgü kayıtlı bir aracı olan Rıza Yöneticisi.
Yasal işleme: merkezi ayrışma
İki rejimin en sonuç doğuracak şekilde ayrıldığı yer burasıdır. GDPR, Madde 6 kapsamında altı hukuki dayanak sağlar: rıza, bir sözleşmenin ifası, bir yasal yükümlülüğe uyum, hayati menfaatlerin korunması, kamu yararına bir görevin yerine getirilmesi ve veri sahibinin haklarına karşı bir dengeleme testine tabi olarak sorumlunun veya bir üçüncü tarafın meşru menfaatleri. Meşru menfaatler dayanağı kasıtlı olarak açık dokuludur; kuruluşların her işlem için rıza aramadan dolandırıcılık önleme, ağ güvenliği, doğrudan pazarlama ve grup içi yönetim amacıyla veri işlemesini sağlayan yük beygiridir.
DPDP yasallığa yalnızca iki yol tanır: bölüm 6 kapsamında rıza ve bölüm 7 kapsamında belirli meşru kullanımların kapalı bir listesi. Meşru kullanımlar listesi sayılı ve sonludur: sahibin verilerinin belirli bir amaç için gönüllü sağlanması, devlet işlevleri ve sübvansiyon veya hizmetlerin sağlanması, yasa veya mahkeme emirlerine uyum, tıbbi aciller, istihdamla ilgili amaçlar ve afet veya kamu düzeni durumları, birkaç başkasının yanında. Hiçbir artık dengeleme testi yoktur. Bir işleme faaliyeti listedeki bir maddeye eşlenmiyorsa, tek yasal yol rızadır. Bu, çok uluslu bir şirket için tek en önemli operasyonel farktır, çünkü Avrupa'nın meşru menfaatler altında rahatça ele aldığı veri akışları, örneğin geniş analitik, pazarlama zenginleştirme veya sınır ötesi grup raporlaması, Hindistan'da açık bir rıza mimarisi gerektirebilir.
Rıza standardının kendisi kâğıt üzerinde benzerdir. Her ikisi de rızanın özgür, belirli, bilgilendirilmiş, açık ve net bir olumlu eylemle işaretlenmiş olmasını gerektirir ve her ikisi de geri çekmenin verme kadar kolay olmasını gerektirir. DPDP bunun üstüne Hindistan'a özgü iki özellik ekler. Birincisi, bir rıza talebine eşlik eden bildirim, kalemlere ayrılmış olmalı ve talep üzerine İngilizce veya Anayasa'nın Sekizinci Çizelgesi'ndeki dillerden herhangi birinde mevcut olmalıdır. İkincisi, rıza, sahiplere mütevelliler arasında izinleri verme ve geri çekme için tek bir gösterge paneli veren, kayıtlı bir platform olan ve GDPR eşdeğeri olmayan kurumsal bir yapı olan bir Rıza Yöneticisi aracılığıyla aracılanabilir.
GDPR uyumu gereklidir ama yeterli değildir. GDPR düzeyinde bir program, DPDP'nin rıza öncelikli mimarisini özümsemek için yalnızca kopyalanmamalı, genişletilmelidir.
Haklar, yükümlülükler ve çocuklar
GDPR geniş bir haklar dizisi tanır: erişim, düzeltme, silme, işlemenin kısıtlanması, veri taşınabilirliği, doğrudan pazarlamaya itiraz dahil itiraz ve Madde 22 kapsamında hukuki veya benzer şekilde önemli etkiler doğuran yalnızca otomatik bir karara tabi olmama hakkı. DPDP daha dar bir küme tanır: kişisel verilerin ve işlemenin özetine erişim, düzeltme ve silme, şikayet giderimi ve bir sahibin ölüm veya iş göremezlik durumunda haklarını kullanması için başka bir bireyi belirlemesine olanak tanıyan ayırt edici bir aday gösterme hakkı. Boşluklar önemlidir. DPDP, bağımsız bir veri taşınabilirliği hakkı, genel bir itiraz hakkı, bir kısıtlama hakkı veya otomatik karar vermeye karşı Madde 22 tarzı bir koruma içermez. Tersine, aday gösterme hakkının Avrupa karşılığı yoktur.
| Hak | GDPR | DPDP |
|---|---|---|
| Erişim | Evet (Mad 15) | Evet (verilerin ve işlemenin özeti) |
| Düzeltme | Evet (Mad 16) | Evet |
| Silme | Evet (Mad 17) | Evet (geri çekme veya amaç tamamlanması üzerine) |
| İşlemenin kısıtlanması | Evet (Mad 18) | Hayır |
| Veri taşınabilirliği | Evet (Mad 20) | Hayır |
| İtiraz | Evet (Mad 21) | Hayır |
| Otomatik kararlara karşı korumalar | Evet (Mad 22) | Hayır |
| Şikayet giderimi | Denetim Makamına şikayet yoluyla | Evet (mütevelliye karşı yasal hak) |
| Aday gösterme | Hayır | Evet |
Her iki rejim de hesap verebilirlik üzerine kuruludur ancak daha ağır görevleri farklı dağıtır. GDPR kapsamında her veri sorumlusu bir hesap verebilirlik belgeleme taban çizgisi taşır: küçük kuruluş muafiyetiyle Madde 30 kapsamında işleme faaliyetleri kayıtları, Madde 25 kapsamında tasarım gereği ve varsayılan olarak veri koruma, yüksek riskli işleme için Madde 35 kapsamında bir veri koruma etki değerlendirmesi ve Madde 28 kapsamında bağlayıcı işleyen sözleşmeleri. Bir veri koruma görevlisi, temel faaliyetlerin büyük ölçekli sistematik izleme veya özel kategori verilerin büyük ölçekli işlenmesini içerdiği durumlarda Madde 37 kapsamında zorunludur ve Birlik dışındaki sorumlular Madde 27 kapsamında bir AB temsilcisi atamalıdır. DPDP daha hafif bir evrensel taban çizgisi uygular ve ağır görevleri Önemli Veri Mütevellisinde yoğunlaştırır. Her mütevelli makul güvenlik önlemleri uygulamalı, bildirim ve rızayı onurlandırmalı, geri çekme üzerine veya amaç yerine getirildikten sonra verileri silmeli ve sözleşme yoluyla işleyen uyumunu sağlamalıdır. Yalnızca Merkezi Hükümetin Önemli Veri Mütevellileri olarak belirlediği kuruluşlar ek olarak Hindistan merkezli bir Veri Koruma Görevlisi atamalı, bağımsız bir veri denetçisi görevlendirmeli ve periyodik etki değerlendirmeleri ve denetimler yürütmelidir. Dolayısıyla tetikleyici, GDPR'nin öz değerlendirmeli risk testi değil, hükümet tarafından belirlenmedir.
Her iki rejim de çocukları ayrı tutar ve burada DPDP daha katıdır. GDPR, Madde 8 kapsamında bilgi toplumu hizmetleri için geçerli rıza yaşını on altı olarak belirler ve Üye Devletlerin bunu on üçten az olmamak üzere düşürmesine izin verir. DPDP on sekiz yaşın altındaki herkesi çocuk olarak ele alır ve bir çocuğun verilerini işlemeden önce doğrulanabilir ebeveyn veya yasal vasi rızası gerektirir. Bir çocuğun esenliği üzerinde zararlı etkilere yol açması muhtemel işlemeyi yasaklayarak ve çocuklara yönelik davranışsal izleme, davranışsal takip ve hedefli reklamcılığı, hükümetin bildirebileceği sınırlı istisnalara tabi olarak doğrudan yasaklayarak daha ileri gider. Küresel bir dijital hizmet için bu anlamlı bir tasarım kısıtıdır: on üçten on altıya bir Avrupa eşiğine kalibre edilmiş bir yaş güvencesi ve ebeveyn rızası katmanı, Hindistan'ın on sekiz yaş altı kuralını karşılamayacaktır ve reklam teknolojisi yığınları, Hindistanlı küçükler için davranışsal hedeflemeyi nüfus ölçeğinde kapatabilmelidir.
Sınır ötesi aktarımlar: ayna görüntüsü varsayılanlar
Aktarım modelleri varsayılan duruşlarında neredeyse ayna görüntüleridir. GDPR, V. Bölüm'de yasaktan başlar: kişisel veriler AEA'dan yalnızca bir yeterlilik kararı, standart sözleşme maddeleri veya bağlayıcı kurumsal kurallar gibi uygun güvenceler ya da dar bir istisnalar kümesi kapsamında ayrılabilir. Yasal bir aktarım mekanizması tesis etme yükü ihracatçıya aittir ve Schrems II içtihadı, varış ülkesinin gözetim ortamının bir aktarım etki değerlendirmesini gerektirir. Bu bir beyaz liste modelidir: varsayılan olarak yasak, yalnızca bir mekanizma yerinde olduğunda izinli.
DPDP izinden başlar. Aktarımlar varsayılan olarak herhangi bir ülkeye izinlidir ve Merkezi Hükümet, belirli yargı bölgelerine aktarımları kısıtlayan bir negatif liste yayımlayabilir. Bu bir kara liste modelidir: varsayılan olarak izin, yalnızca bir varış adlandırıldığında engellenir. İlke olarak çok daha müsamahakârdır ancak iki çekince bunu yumuşatır. Birincisi, henüz hiçbir negatif liste doldurulmamıştır, dolayısıyla pratik hatlar belirsiz kalır. İkincisi, sektörel veri yerelleştirme kuralları, özellikle ödeme verileri için Reserve Bank of India'dan gelenler, DPDP'nin üstünde uygulanmaya devam eder ve genel rejimden daha katı olabilir. Çok uluslu bir şirket için asimetri çarpıcıdır: AB verilerini Hindistan'a taşımak belgelenmiş bir Madde 46 mekanizması gerektirir, oysa Hindistan verilerini AB'ye taşımak şu anda DPDP'nin kendisi kapsamında hiçbir şey gerektirmez, ancak basiretli yönetişim her durumda sözleşmesel güvenceleri yerinde tutar.
İhlal bildirimi: eksik önemlilik filtresi
Her iki rejim de yetmiş iki saatlik bir saatte birleşir ancak eşik ve hedef kitle konusunda keskin biçimde ayrışır. GDPR, gereksiz gecikme olmaksızın ve mümkün olduğunda farkına vardıktan sonraki yetmiş iki saat içinde Denetim Makamına bildirim gerektirir, ancak yalnızca ihlalin bireylerin hak ve özgürlükleri için bir riske yol açması muhtemel olduğunda; etkilenen bireyler yalnızca riskin yüksek olduğu durumlarda bilgilendirilir. Risk eşiği önemsiz olayları süzer. DPDP Kuralları hiçbir risk eşiği dayatmaz. Herhangi bir kişisel veri ihlalinin farkına varılması üzerine mütevelli, etkilenen veri sahiplerini gecikmeksizin bilgilendirmeli ve Veri Koruma Kuruluna bir ilk bildirim, ardından ihlali, koşullarını, hafifletmeyi ve sorumlu herhangi bir tarafın kimliğini kapsayan ayrıntılı bir raporu yetmiş iki saat içinde sunmalıdır (MediaNama 2025; Ministry of Electronics and Information Technology 2025). Bir önemlilik filtresinin yokluğu, Hindistan ihlal raporlama hacimlerinin Avrupa eşdeğerlerinden daha yüksek olacağı anlamına gelir ve neredeyse bir buçuk milyar sahipten oluşan bir nüfusa karşı bildirim mekanizması buna göre ölçeklenmelidir. GDPR'nin risk kapısına ayarlanmış olay müdahale kılavuzları, niteleyen her ihlali hem Kurula hem de etkilenen bireylere bildirmek için yeniden kâğıda dökülmelidir.
| Yön | GDPR | DPDP |
|---|---|---|
| Makam bildirimi | 72 saat içinde, haklar için risk varsa | İlk bildirim, ardından 72 saat içinde ayrıntılı rapor, eşik yok |
| Birey bildirimi | Yalnızca yüksek risk varsa | Her zaman, gecikmeksizin |
| Önemlilik filtresi | Evet (riske dayalı) | Yok |
Uygulama ekonomisi
Uygulama ekonomisi yalnızca derecede değil, türde farklılaşır. GDPR'nin idari para cezaları, alt kademe için on milyon avroya veya dünya çapındaki yıllık cironun yüzde ikisine ve üst kademe için yirmi milyon avroya veya dünya çapındaki yıllık cironun yüzde dördüne, hangisi büyükse, kadar çıkar. Ciro bağlantısı, caydırıcılığı teşebbüsün büyüklüğüne ölçeklendirir. GDPR ayrıca özel bir hak yaratır: veri sahipleri Madde 82 kapsamında maddi ve manevi zarar için tazminat talep edebilir ve şikayetler sunabilir ve adli çözümler arayabilir. DPDP, ciroya bağlı olmayan, çizelgelere göre belirlenen ve örnek başına sınırlanan sabit parasal cezalar uygular: makul güvenlik önlemleri almama için iki yüz elli crore rupiye kadar, ihlal bildirimindeki veya çocukların verileri yükümlülüklerindeki başarısızlıklar için iki yüz crore rupiye kadar ve diğer kusurlar için daha düşük tavanlar. DPDP kapsamında cezai sorumluluk yoktur ve önemli olarak, bireylere özel dava hakkı ve yasal tazminat yoktur; uygulama Veri Koruma Kurulu aracılığıyla işler ve cezalar devlete ödenir. DPDP ayrıca yanlış veya asılsız şikayetler sunan veri sahipleri üzerinde cezalar getirir, ki bunun bir GDPR karşılığı yoktur. Net etki, çok büyük bir işletme için GDPR'nin ciroya dayalı tavanının DPDP'nin sabit tavanını gölgede bırakabilmesi, aynı işletme için ise DPDP'nin Avrupa'da GDPR uyumuna gölge düşüren toplu dava ve bireysel dava maruziyetini ortadan kaldırmasıdır.
İstisnalar
GDPR istisnaları dar ve kurala bağlı tutar. Madde 23, Üye Devlet yasasının hakları yalnızca sayılı kamu yararı amaçları için gerekli ve orantılı olduğu durumlarda kısıtlamasına izin verir ve gazetecilik, akademik, sanatsal ve edebi ifade ile güvencelere tabi araştırma ve arşivleme için özel istisnalar vardır. DPDP daha geniş ve daha yürütme kontrollü istisnalar verir. Bölüm 17, Merkezi Hükümetin egemenlik, güvenlik, kamu düzeni ve dostane ilişkiler çıkarına devlet kurumlarını Yasanın çoğundan muaf tutmasına izin verir ve araştırma, arşivleme veya istatistiksel amaçlar için gerekli işleme, bildirim yoluyla belirli girişimler ve yasal hakların uygulanması için istisnalar sağlar. Devlete yönelik istisnaların genişliği ve bunların bağımsız bir makam veya mahkeme tarafından değil yürütme tarafından verildiği ve sınırlandığı gerçeği, Hindistan rejiminin en çok tartışılan özelliklerinden biri ve sivil toplum yorumunda yinelenen bir temadır (Internet Freedom Foundation 2025).
İkili tabi bir programın eklemesi gereken kontroller
Her iki rejimin içindeki bir kuruluş için işletim modeli, kasıtlı ayrışmayla yakınsamadır. Pragmatik mimari, iki bağımsız program sürdürmek yerine tek, GDPR düzeyinde küresel bir taban çizgisi yürütmek ve Hindistan'a özgü modülleri eklemektir. Yeniden kullanılabilir GDPR varlıkları önemlidir: işleme kayıtları, güvenlik ve ihlal müdahalesi kontrolleri, erişim, düzeltme ve silme için veri sahibi hakları araçları, işleyen sözleşme şablonları ve tasarımla mahremiyet disiplini, hepsi küçük bir uyarlamayla DPDP'ye aktarılır. Hindistan'a özgü eklemeler, çabanın yoğunlaştığı yerdir ve bunlar tam olarak yalnızca GDPR'ye dayalı bir programın 13 Mayıs 2027 uygulama tarihinde eksik olacağı kontrollerdir: meşru menfaatlere yaslanmayan rıza öncelikli bir hukuki dayanak tasarımı; bir Rıza Yöneticisiyle entegrasyon veya ona hazırlık; doğrulanabilir ebeveyn rızası ve davranışsal reklam bastırma ile on sekiz yaş altı çocuk rejimi; bir aday gösterme iş akışı; niteleyen her olayı risk kapısı olmaksızın bildiren bir ihlal süreci; ve hükümetin sınır ötesi negatif listesi ile sektörel yerelleştirme kuralları üzerinde bir gözlem. Tersine, kuruluş herhangi bir GDPR mekanizmasını emekliye ayıramaz, çünkü DPDP'nin daha dar haklar kümesi ve müsamahakâr aktarım modeli Avrupa görevlerini gevşetmez.
CCI'nin araçları neyi değiştirir
İkili rejim programı en sık politikada değil, kanıt açısından kişisel verilerin nerede bulunduğunu, her akışın hangi hukuki dayanağa dayandığını ve bir uygulama olayının ne kadara mal olacağını bilmemekte başarısız olur. CCI'nin temel öğeleri tam olarak bu boşluklara saldırır ve aşağıdaki her iddia bir garanti değil, mevcut bir ürünle desteklenen bir olasılık azaltmadır.
NetDiagramer, gerçek veri mülkünü, sistemler arasındaki akışları ve her akışın geçtiği yargı bölgelerini haritalar. Aktarım sorunu için bu temeldir: hangi akışların AEA'dan ayrıldığını veya Hindistan'a indiğini göremezseniz GDPR'nin Madde 46 mekanizmaları beyaz listesini uygulayamaz veya DPDP'nin kara listesini izleyemezsiniz. Aynı topoloji, şu anda meşru menfaatlere yaslanan her akışı, yani DPDP yürürlüğe girmeden önce rıza üzerine yeniden oturtulması gereken tam nüfusu ortaya çıkarır.
EviGen, hesap verebilirliği bir belgeleme alıştırmasından otomatik kanıta dönüştürür. Madde 30 kapsamındaki işleme kayıtları, rıza defterleri ve bir Önemli Veri Mütevellisinin üretmesi gereken etki değerlendirmesi ve denetim eserleri, denetim zamanında elektronik tablolardan yeniden oluşturulmak yerine canlı mülkten üretilir ve güncel tutulur. Tek bir kanıt hattı hem Avrupa kayıt görevine hem de Hindistan hesap verebilirlik ve denetim görevlerine hizmet eder.
Evidence Vault, ihlal sürecine DPDP'nin eşiksiz kuralından sağ çıkmak için ihtiyaç duyduğu kurcalamaya dayanıklı zaman çizelgesini verir. Niteleyen her olayın yetmiş iki saat içinde Kurula ve etkilenen her sahibe gecikmeksizin ulaşması gerektiğinde, kısıt istek değil, ne olduğuna, ne zaman ve kime dair savunulabilir bir hesabı hızlıca bir araya getirme yeteneğidir. Aynı kasa, GDPR'nin Madde 33 ve 34 kayıt tutma görevini karşılar.
cVaR, ayrışan uygulama ekonomisini parayla fiyatlandırır. Maruziyeti her iki tavan altında da, GDPR'nin ciroya bağlı yüzde dördü ve DPDP'nin örnek başına sabit iki yüz elli crore'u, ölçer, böylece bir yönetim kurulu ikili rejim ceza yüzeyini iki hukuki soyutlama yerine tek bir sayı olarak görür ve remediasyonu beklenen kayıp azaltmaya göre sıralayabilir.
Domain Separation, Avrupa ve Hindistan veri mülklerini mantıksal olarak ayrılabilir tutar, böylece yerelleştirme gereksinimleri, gelecekteki bir negatif liste ve farklı hukuki dayanak rejimleri, tüm programı ikiye çatallamadan yargı bölgesi başına uygulanabilir. Bu, kasıtlı ayrışmayla yakınsamayı özlemsel değil işletilebilir kılan kontroldür.
İkili mandayı zamanında ayağa kaldırmak
DPDP'nin esasa ilişkin görevleri 13 Mayıs 2027'de iner. Yazım tarihinden itibaren bu yaklaşık on bir aydır, ki bu uzak gibi okunur ve değildir: rıza öncelikli bir yeniden mimari, bir Rıza Yöneticisi entegrasyonu ve on sekiz yaş altı bir rejim çok çeyreklik programlardır ve çoğu kuruluşun henüz sahip olmadığı temiz bir veri mülkü görünümüne bağlı olduğundan paralel yerine seri olarak daha sık çalışırlar. Mayıs 2027'den geriye sayıldığında, inşa, test ve denetim aşamalarının uygulamadan önce sığması için keşif ve veri haritalama çalışmalarının bu çeyrekte başlaması gerekir. Bir kuruluşun kalıcı personel eklemeden bu inşayı yürütmek için kıdemli mahremiyet liderliğine ihtiyaç duyduğu yerde, CCI'nin Hizmet Olarak CISO'su, geçici, kısmi, çağrı üzerine veya olay sonrası kapsam için sekiz veya daha fazla CISSP sertifikalı uygulayıcıdan oluşan bir havuz sunar, bağımsızlık korunur çünkü CCI yönettiği yerde denetlemez. Bu havuz yalnızca Avrupa'ya özgü değildir: CCI'nin Hindistan merkezli CISSP sertifikalı uygulayıcıları vardır, DPDP'yi, Rıza Yöneticisi modelini ve Sekizinci Çizelge dil yükümlülüklerini içeriden bilen kıdemli veri mahremiyeti uzmanları. Bu pratikte önemlidir, çünkü bir Önemli Veri Mütevellisi Hindistan'da ikamet eden bir Veri Koruma Görevlisi atamalıdır ve yerel bir mahremiyet lideri ayrıca Hindistan hukuk danışmanına, Veri Koruma Kuruluna ve ulusal ölçekte rızanın gerçeklerine olan mesafeyi kısaltır.
Diğer yinelenen boşluk yasal değil temeldir: çoğu kuruluş, kanıt açısından kişisel verilerinin gerçekte nerede bulunduğunu söyleyemez. CCI'nin veri envanteri uzmanları, eski mülkler, canlı sistemlerdeki sıcak veriler ve arşivlerdeki ve yedeklerdeki soğuk veriler, veritabanlarındaki yapılandırılmış kayıtlar ve belgelerdeki, posta kutularındaki, dosya paylaşımlarındaki ve nesne depolarındaki çok daha zor yapılandırılmamış yayılma genelinde tam olarak bunu haritalar. Bu envanter, alt akıştaki her şeyin önkoşuludur, rıza yeniden oturtma, hak ve silme iş akışları, sınır ötesi aktarım görünümü ve ihlal kapsamı değerlendirmesi, mülk haritası eksikse hiçbirine güvenilemez. Boşluğun özel araçlar olduğu yerde, NetDiagramer, EviGen, cVaR ve DORA-MAST'ı inşa eden akademisyenler, doktora araştırmacıları ve mühendislerden oluşan kurum içi Ar-Ge ekibi, bu temel öğeleri, envanter alımı, yapılandırma kanıtı, topoloji haritalama ve ölçme, hızlı bir ikili rejim hazırlık araç setine besteleyebilir. Bu, kronometre vaadi olarak değil, sevk edilen ürünler kanıt olarak, bir yetenek olarak belirtilmiştir. Bir ikili rejim hazırlık değerlendirmesini kapsamlandırmak için bir uygulayıcıyla konuşun.
Yan yana ana matris
| Boyut | GDPR | DPDP |
|---|---|---|
| Araç | Tüzük (AB) 2016/679 | DPDP Yasası 2023 + DPDP Kuralları 2025 |
| Yürürlükte | 25 Mayıs 2018 | Aşamalı; esasa ilişkin görevler 13 Mayıs 2027'den |
| Kapsanan veri | Otomatik ve yapılandırılmış manuel; hassas katman | Yalnızca dijital; hassas katman yok |
| Ülke dışı tetikleyici | Yerleşim yeri; sunma; izleme | Hindistan'daki sahiplere mal veya hizmet sunma |
| Hukuki dayanaklar | Altı, meşru menfaatler dahil | Rıza artı kapalı meşru kullanımlar listesi |
| Hassas veri rejimi | Madde 9 özel kategorileri | Yok (SDF ve çocuklar yoluyla dolaylı) |
| Çocuk yaşı | 16 (Üye Devletler 13'e düşürebilir) | 18 yaş altı; davranışsal reklam yasağı |
| Haklar | Sekiz, taşınabilirlik, itiraz, Mad 22 dahil | Erişim, düzeltme, silme, şikayet, aday gösterme |
| Veri koruma görevlisi | Riske dayalı zorunlu | Yalnızca Önemli Veri Mütevellileri; Hindistan merkezli |
| Sınır ötesi model | Beyaz liste (varsayılan yasak) | Kara liste (varsayılan izin) |
| İhlal bildirimi | Risk varsa SA'ya 72s; yüksek risk varsa bireyler | Kurula 72s artı tüm etkilenen sahipler, eşik yok |
| Azami ceza | EUR 20m veya küresel cironun %4'ü | INR 250 crore örnek başına, ciro bağlantısı yok |
| Özel dava hakkı | Evet (Mad 82) | Yok |
| Düzenleyici | Bağımsız Denetim Makamları | Veri Koruma Kurulu (yalnızca yargılama) |
| Kural koyma | EDPB, Komisyon, Denetim Makamları | Merkezi Hükümet |
Kısaltmalar
| Kısaltma | Açılım (İngilizce) | Türkçe çeviri |
|---|---|---|
| BCR | Binding Corporate Rules | Bağlayıcı kurumsal kurallar |
| CJEU | Court of Justice of the European Union | Avrupa Birliği Adalet Divanı |
| DPDP | Digital Personal Data Protection | Dijital Kişisel Veri Koruma |
| DPIA | Data Protection Impact Assessment | Veri koruma etki değerlendirmesi |
| DPO | Data Protection Officer | Veri koruma görevlisi |
| EDPB | European Data Protection Board | Avrupa Veri Koruma Kurulu |
| EEA | European Economic Area | Avrupa Ekonomik Alanı |
| GDPR | General Data Protection Regulation | Genel Veri Koruma Yönetmeliği |
| MeitY | Ministry of Electronics and Information Technology (India) | Elektronik ve Bilgi Teknolojisi Bakanlığı (Hindistan) |
| RBI | Reserve Bank of India | Hindistan Merkez Bankası |
| SA | Supervisory Authority | Denetim Makamı |
| SCC | Standard Contractual Clauses | Standart sözleşme maddeleri |
| SDF | Significant Data Fiduciary | Önemli Veri Mütevellisi |
| TDSAT | Telecom Disputes Settlement and Appellate Tribunal | Telekomünikasyon Anlaşmazlıkları Çözüm ve Temyiz Mahkemesi |
References
- European Parliament and Council (2016). Regulation (EU) 2016/679 (General Data Protection Regulation). https://eur-lex.europa.eu/eli/reg/2016/679/oj
- Government of India (2023). The Digital Personal Data Protection Act, 2023. https://www.meity.gov.in/static/uploads/2024/06/2bf1f0e9f04e6fb4f8fef35e82c42aa5.pdf
- Ministry of Electronics and Information Technology (2025). Government notifies DPDP Rules to empower citizens and protect privacy. Press Information Bureau. https://www.pib.gov.in/PressReleasePage.aspx?PRID=2190014
- Ministry of Electronics and Information Technology (2025). Digital Personal Data Protection Rules, 2025 (notification). https://static.pib.gov.in/WriteReadData/specificdocs/documents/2025/nov/doc20251117695301.pdf
- Shardul Amarchand Mangaldas & Co (2025). Enforcement of the DPDP Act and notification of the DPDP Rules. https://www.amsshardul.com/insight/enforcement-of-the-dpdp-act-and-notification-of-the-dpdp-rules/
- MediaNama (2025). Data breach reporting timeline of DPDP Rules 2025 explained. https://www.medianama.com/2025/11/223-data-breach-reporting-timeline-of-dpdp-rules-2025-explained/
- Internet Freedom Foundation (2025). Statement on DPDP Rules 2025. https://internetfreedom.in/
- India Briefing (2025). Digital Personal Data Protection (DPDP) Rules 2025 notified. https://www.india-briefing.com/news/dpdp-rules-2025-india-data-protection-law-compliance-40769.html