Hindistan DPDP Yasası 2023: Dijital Kişisel Verilerin Korunmasına Uygunluk

Hindistan'ın 11 Ağustos 2023'te yürürlüğe giren 2023 Dijital Kişisel Verileri Koruma Yasası (DPDP Yasası), Hindistan'ın gizlilik düzenlemesine yaklaşımında önemli bir değişimi temsil ediyor. Adalet Srikrishna Komitesi raporu (2017), çok sayıda Taslak Kişisel Verileri Koruma Yasa Tasarısı ve mahremiyetin temel bir hak olduğunu onaylayan bir Yüksek Mahkeme kararı (Adalet K.S. Puttaswamy vs. Hindistan Birliği, 2017) dahil olmak üzere neredeyse on yıllık yasama müzakerelerinin ardından, Hindistan artık kapsamlı, uygulanabilir bir veri koruma çerçevesine sahip.

DPDP Yasası, "veri mutemetliği", "veri sorumlusu" ve "rıza yöneticisi" gibi kavramları getiriyor, uygulama makamı olarak Hindistan Veri Koruma Kurulu'nu (DPBI) kuruyor ve ihlal başına ₹ 250 crore'ye (~ 30 milyon ABD doları) kadar mali cezalar belirliyor. Kanun şu anda yürürlüktedir ve uygulama kurallarının 2025-2026'da tamamlanıp duyurulması beklenmektedir.

Önemli Çıkarımlar

• 2023 Sayılı DPDP Yasası, Hindistan'da dijital kişisel veri işleme için ve Hindistan vatandaşlarına sunulan hizmetler için bölge dışında geçerlidir.
• Rıza, belirli amaçlara yönelik (istihdam, yasal işlemler, kamu yararı) "meşru kullanımlar" ile desteklenen birincil yasal dayanaktır.
• "Önemli Veri Mutemetleri", DPIA gereklilikleri ve bağımsız bir Veri Denetçisinin atanması dahil olmak üzere daha yüksek yükümlülüklerle karşı karşıyadır
• Hindistan Veri Koruma Kurulu (DPBI), soruşturma, hüküm verme ve ceza verme yetkisine sahip icra makamıdır
• İhlal başına maksimum ceza ₹250 crore'dir (~30 milyon $); birden fazla ihlal için cezalar kümülatiftir
• Merkezi Hükümet bildirimi ile özel olarak kısıtlananlar dışındaki tüm ülkelere sınır ötesi veri aktarımlarına izin verilmektedir.
• Veri sorumluları (bireyler) erişim, düzeltme, silme, aday gösterme ve şikayet giderme haklarına sahiptir
• Uygulama kuralları (henüz sonuçlandırılmamış), onay bildirimi formatı, saklama süreleri ve Önemli Veri Güvencesi kriterleri dahil olmak üzere temel operasyonel gereklilikleri belirleyecektir.

---

DPDP Yasası 2023: Çerçeveye Genel Bakış

Anahtar Terminoloji

DPDP Yasası, GDPR'den etkilenen çerçevelerden farklı olarak kendi terminolojisini sunar:

• Kişisel veri: Bu verilerle veya bu verilerle ilişkili olarak kimliği belirlenebilen bir kişiye ilişkin her türlü veri
• Dijital kişisel veriler: Dijital formdaki kişisel veriler veya daha sonra dijital hale getirilen dijital olmayan kişisel veriler
• Veri sorumlusu: Kişisel verilerin ilgili olduğu kişi (GDPR'nin "veri sahibi"ne eşdeğerdir)
• Veri emanetçisi: İşlemenin amacını ve yöntemini tek başına veya başkalarıyla birlikte belirleyen herhangi bir kişi (GDPR'nin "veri denetleyicisine" eşdeğerdir)
• Veri işleyicisi: Kişisel verileri veri emanetçisi adına işleyen kişi
• Önemli veri emanetçisi (SDF): Verilerin hacmi/hassasiyeti, veri sorumlularına yönelik risk, ulusal güvenlik hususları ve diğer kriterlere dayalı olarak Merkezi Hükümet tarafından belirlenen bir veri emanetçisi

Kapsam

DPDP Yasası aşağıdakiler için geçerlidir:

1. Hindistan'da dijital kişisel verilerin işlenmesi
2. Dijital kişisel verilerin Hindistan dışında işlenmesi — Hindistan'daki veri sorumlularına ürün veya hizmet sunmak amacıyla yapılıyorsa

Muafiyetler: Kişisel veya evsel amaçlarla işleme; Veri sorumlusu tarafından kamuya açıklanmış veya veri sorumlusunun kanunen kamuya açıklanması gereken kişisel veriler.

---

Vakıf Olarak Onay

Birden fazla eşit yasal dayanağa sahip küresel veri koruma yasalarının çoğunun aksine, DPDP Yasası rızayı birincil yasal dayanak haline getirir ve belirli numaralandırılmış kategoriler için "meşru kullanımlar" ile desteklenir. Bu, önemli pratik sonuçları olan temel bir tasarım tercihidir.

Onay Gereksinimleri

DPDP Yasası uyarınca onay şu şekilde olmalıdır:

• Ücretsiz: Zorlama veya koşulluluk yok
• Özel: Açıklanan her amaç için
• Bilgilendirilmiş: Açık bir izin bildirimine dayanmaktadır
• Koşulsuz: Gerekenden fazla veri sağlanması şartına bağlı değil
• Belirsiz: Açık olumlu ayrımcılık

Rıza bildirimi gereklilikleri (Bölüm 5 ve 7): Rıza istemeden önce, veri sorumluları aşağıdakileri içeren bir bildirim sağlamalıdır:

• İşlenecek kişisel verilerin tanımı
• İşleme amacı
• Veri sorumlusunun haklarını nasıl kullanabileceği
• Veri mutemetine şikayetlerin iletilme şekli
• DPBI'ye şikâyette bulunulma şekli

Bildirimler İngilizce ve Anayasanın Sekizinci Çizelgesinde belirtilen dillerde (22 resmi dil) olmalıdır; bu, tüketiciye yönelik işletmeler için önemli bir operasyonel gerekliliktir.

Rıza yöneticileri: DPDP Yasası, veri sorumluları adına rızayı yöneten aracılar olarak hareket eden kayıtlı kuruluşlar olan rıza yöneticilerini uygulamaya koyar. Veri sorumluları, tek bir izin yöneticisi aracılığıyla birden fazla veri mutemetindeki onaylarını yönetebilir. Bu, Hindistan'ın çerçevesine özgü yenilikçi bir mekanizmadır.

Meşru Kullanımlar (Bölüm 7)

Belirli "meşru kullanımlar" için izinsiz işlemeye izin verilir:

1. Devlet işlevleri: Sübvansiyonlar, avantajlar, hizmetler, sertifikalar, lisanslar sağlamak için devlet araçlarıyla yapılan işlemler
2. Tıbbi acil durum: Hayatı tehdit eden veya acil sağlık riskini tehdit eden tıbbi acil durumun tedavisi
3. Salgın/afet: Salgın hastalıklara, pandemilere veya felaketlere müdahale
4. İstihdam amaçları: İstihdamla ilgili olarak kanunlar kapsamındaki yükümlülüklerin yerine getirilmesi veya hakların kullanılması için yapılan işlemler (istihdam öncesi inceleme dahil)
5. Mahkeme kararları: Mahkeme kararlarının gerektirdiği işlemler
6. Araştırma ve istatistik: Dolandırıcılığın önlenmesi/tespiti, kredi puanlama, hukuki araştırma, istatistiksel amaçlarla işleme - belirlenen standartlar dahilinde
7. Adil ve makul amaçlar: Merkezi Hükümet tarafından adil ve makul olarak belirlenen amaçlar doğrultusunda işleme

---

Veri Sorumlusu Hakları

DPDP Yasası veri sorumlularına aşağıdaki hakları verir (Bölüm 11-14):

Önemli eksiklik: DPDP Yasası, GDPR ile aynı biçimde taşınabilirlik, kısıtlama veya otomatik karar almaya itiraz konusunda açık haklar içermemektedir. Merkezi Hükümetin uygulama kuralları, önceden belirlenmiş standartlar aracılığıyla bunların bazılarını ele alabilir.

Müdahale zaman çizelgesi: Kanunda zaman çizelgeleri belirtilmemektedir; bunların uygulama kurallarında belirtilmesi beklenmektedir. Veri sorumluları, şikayetleri belirlenen bir süre içinde kabul etmeli ve bunları başka bir öngörülen süre içinde çözmelidir.

---

Veri Güvencesi Yükümlülükleri

Genel Yükümlülükler (Bölüm 8)

Tüm veri emanetçileri şunları yapmalıdır:

• Veri doğruluğunu koruyun (tamlık, doğruluk, amaca yönelik tutarlılık)
• Şifreleme, erişim kontrolleri ve olaylara müdahale dahil veri güvenliği önlemlerini uygulayın
• Amacın gerçekleşmesi veya rızanın geri alınması durumunda kişisel verileri silin (yasal zorunluluk saklamayı gerektirmediği sürece)
• Veri sorumlusu şikayetleri için bir şikayet görevlisi (veya görevli/mekanizma) bulundurun
• Doğrulanabilir ebeveyn izni olmadan çocukların verilerini işlememek (18 yaşın altındaki çocuklar için)
• Çocukların davranışlarını takip etmeyin veya izlemeyin veya reklamları çocuklara hedeflemeyin

Çocukların Verilerinin Korunması

DPDP Yasası'nda çocukların (18 yaşın altındaki bireyler) verileriyle ilgili katı hükümler bulunmaktadır:

• İşleme doğrulanabilir ebeveyn izni gerektirir
• Çocuklara yönelik izleme, davranışsal izleme ve hedefli reklamların yasaklanması
• Çocukların verilerinin onların refahına zarar verecek şekilde işlenmemesi

Uygulama kuralları, doğrulanabilir ebeveyn iznine ilişkin teknik mekanizmayı belirleyecektir; bu, tüketici uygulamaları için önemli bir kullanıcı deneyimi ve teknik zorluktur.

Önemli Veri Güvenceleri (SDF'ler)

Merkezi Hükümet, belirli veri mutemetlerini aşağıdaki faktörlere dayalı olarak Önemli Veri Mutemetleri olarak atayacaktır:

• İşlenen kişisel verilerin hacmi ve hassasiyeti
• Veri sorumlularının haklarına yönelik risk
• Hindistan'ın egemenliği ve bütünlüğü üzerindeki potansiyel etki
• Seçim demokrasisine yönelik risk
• Devletin güvenliği
• Kamu düzeni

SDF'ler ek yükümlülüklerle karşı karşıyadır (Bölüm 10):

• Veri Koruma Etki Değerlendirmesi (DPIA): Yüksek riskli işleme faaliyetleri için DPIA'ları yürütün ve belgeleyin
• Veri Denetimi: Bağımsız bir veri denetçisi tarafından periyodik denetim
• Veri Koruma Görevlisi (DPO): Hindistan merkezli bir DPO'yu kilit yönetici personel olarak atayın
• Diğer önlemler: Merkezi Hükümet tarafından öngörüldüğü şekilde

SDF'nin belirlenmesine ilişkin kriterler henüz kesinleşmedi; uygulama kuralları eşik değerleri belirleyecek. Uluslararası emsallere göre, milyonlarca Hintli kullanıcıya sahip teknoloji şirketleri, sosyal medya platformları ve büyük e-ticaret işletmeleri muhtemelen adaylardır.

---

Sınır Ötesi Veri Aktarımı

DPDP Yasası'nın 16. Maddesi kayda değer bir yaklaşım benimsiyor: Kişisel veriler, Merkezi Hükümet bildirimi ile özel olarak kısıtlananlar hariç Hindistan dışındaki herhangi bir ülkeye aktarılabilir.

Bu pozitif liste/negatif kısıtlama yaklaşımıdır; varsayılan olarak transferlere izin verilir, ancak hükümet ulusal güvenlik, stratejik veya diğer nedenlerden dolayı belirli ülkelere yapılan transferleri kısıtlayabilir.

Pratik çıkarımlar:

• İşletmeler, aktarım başına değerlendirme olmaksızın verileri uluslararası olarak aktarabilir (ülke kısıtlamalarına tabidir)
• Merkezi Hükümet kısıtlı ülkelerin bir listesini yayınlayacak; işletmelerin kısıtlamaları izlemesi ve uygulaması gerekiyor
• Sektöre özel yerelleştirme gereklilikleri (RBI kapsamındaki mali veriler, NMC/Sağlık Bakanlığı kapsamındaki sağlık verileri) DPDP Yasası ile birlikte uygulanmaya devam ediyor

Mevcut durum: 2026'nın başı itibarıyla herhangi bir ülke kısıtlaması bildirimi yayınlanmamıştır. Uygulama kuralları, kısıtlı listenin yayınlanması ve güncellenmesine yönelik çerçeveyi oluşturacaktır.

---

Hindistan Veri Koruma Kurulu (DPBI)

Bölüm 18, DPBI'yi aşağıdaki yetkilere sahip bağımsız bir yargı organı olarak kurar:

• Veri sorumlularından gelen şikayetleri almak ve araştırmak
• İddia edilen ihlallere ilişkin soruşturmaların yürütülmesi
• Mali cezalar dahil geçiş emirleri
• Veri mutemetlerine ve işleyicilere talimat vermek
• Politika eylemi için konuları Merkezi Hükümete iletin

DPBI Yapısı: Merkezi Hükümet tarafından atanan bir Başkan tarafından yönetilir; üyeler teknoloji, hukuk ve kamu politikası alanlarında uzmanlardan oluşmaktadır. DPBI henüz oluşturulmamıştır; operasyonel hazırlığı, uygulama kurallarına ve hükümet atamalarına bağlı olacaktır.

Soruşturma süreci: Veri sorumluları, veri mütevelli heyetinin dahili şikayet mekanizmasını tükettikten sonra DPBI'ye şikayette bulunabilir. DPBI soruşturma yapabilir, belge arayabilir, tanıkları çağırabilir ve sebep gösteren bildirimler yayınlayabilir. Kuruluşların ceza kararından önce dinlenilme hakları vardır.

Cezalar

DPDP Yasası bir ceza planı oluşturur (DPBI Programı):

Cezalar ihlal başına geçerlidir ve kümülatif olabilir; güvenlik hatası ve bildirim başarısızlığını içeren tek bir veri ihlali, teorik olarak toplamda ₹450 crore tutarında cezaya neden olabilir.

---

İhlal Bildirimi

Bölüm 8, veri mutemetlerinin herhangi bir kişisel veri ihlali konusunda DPBI'yi (ve veri sorumlularını öngörülen yollarla) bilgilendirmesini gerektirir. GDPR'nin risk temelli eşiğinden farklı olarak (yalnızca "yüksek riskle sonuçlanması muhtemeldir"), DPDP Yasası, dijital kişisel verileri etkileyen tüm ihlallerin bildirilmesini zorunlu kılıyor gibi görünüyor. Uygulama kuralları şunları belirleyecektir:

• Bildirim için zaman çizelgesi
• Bildirimin şekli ve içeriği
• Etkilenen veri sorumlularını bilgilendirme şekli

Belirli bir zaman çizelgesinin bulunmaması durumunda, en iyi uygulama, GDPR'nin DPBI bildirimine yönelik 72 saatlik standardına uyum sağlamak ve yüksek riskli ihlaller için aşırı gecikme olmadan veri sorumlularını bilgilendirmektir.

---

DPDP Yasası Uygulama Zaman Çizelgesi

Ağustos 2023: DPDP Yasası yürürlüğe girdi ve Başkanlık onayı aldı

2024: Kuralların uygulanmasına ilişkin hükümet istişareleri; Paydaş geri bildirim dönemleri

2025–2026: Aşağıdakileri belirten uygulama kurallarının bildirilmesi bekleniyor:

• Onay bildirimi formatı ve dil gereksinimleri
• Veri saklama süreleri
• SDF belirleme kriterleri ve eşikleri
• Doğrulanabilir ebeveyn izni mekanizması
• İzin yöneticisi kayıt gereksinimleri
• DPBI yapısı ve operasyonel prosedürleri
• Veri denetçisi yeterlilik gereksinimleri

Mevcut durum: Kanun yürürlüktedir ancak operasyonel gerekliliklerin çoğu uygulama kurallarına bağlıdır. İşletmeler, kural gelişmelerini izlerken GDPR düzeyindeki titizliği varsayarak uyumluluk programları tasarlamalıdır.

---

DPDP Yasasına Uygunluk Kontrol Listesi

• Uygulanabilirlik analizi tamamlandı (Hindistan operasyonları, Hintli müşteriler)
• Tüm işleme faaliyetleri için kişisel veri envanteri tamamlandı
• Bölüm 5 ve 7 gerekliliklerini karşılayan geliştirilmiş onay bildirimi
• Onay mekanizması uygulandı (olumlu, spesifik, koşulsuz)
• Onay bildiriminin geçerli Hint dillerine çevrilmesi planlanıyor
• İzinsiz işleme için tamamlanan meşru kullanım analizi
• Çocuklara ait verilerin tanımlanması tamamlandı — ebeveyn izni mekanizması planlandı
• Belgelenen veri sorumlusu hakları prosedürleri (erişim, düzeltme, silme, aday gösterme)
• Şikayet görevlisi belirlendi ve iletişim bilgileri yayınlandı
• Uygulanan güvenlik önlemleri (şifreleme, erişim kontrolü, olay müdahalesi)
• İhlal bildirim prosedürü belgelendi (DPBI raporlama gerekliliklerine uygun)
• Veri saklama ve silme prosedürleri belgelendi ve otomatikleştirildi
• Sınır ötesi transfer değerlendirmesi — kısıtlı ülke listesi izlemesi planlandı
• SDF atama değerlendirmesi — hak kazanma olasılığı varsa ek yükümlülüklere hazırlanın
• Yüksek riskli işlemler için oluşturulan DPIA süreci
• DPDP Yasası yükümlülüklerine ilişkin çalışan eğitimi tamamlandı

---

Sıkça Sorulan Sorular

DPDP Yasası 2023 tam olarak yürürlükte mi?

DPDP Yasası Ağustos 2023'te yasalaştı ve Cumhurbaşkanlığının onayını aldı. Ancak birçok hüküm, operasyonel gereklilikleri belirleyen uygulama kurallarına (Yasa kapsamında kurallar olarak adlandırılır) bağlıdır. 2026'nın başı itibarıyla uygulama kuralları tam olarak bildirilmemiştir. Kanunun kendisi yürürlüktedir - yani ilkeleri ve bazı yükümlülükleri geçerlidir - ancak ayrıntılı uyumluluk gereklilikleri (rıza bildirimi formatı, SDF kriterleri, DPBI prosedürleri) kuralları beklemektedir. İşletmeler uyumluluk çerçevelerini şimdiden hazırlamalı ve kurallar yayınlandıkça bunları güncellemelidir.

DPDP Yasasının GDPR'den farkı nedir?

Birkaç önemli farklılık: (1) DPDP Yasası, sınırlı "meşru kullanımlar" ile rızayı birincil temel olarak kullanır - GDPR'nin altı eşit yasal dayanağı vardır; (2) DPDP Yasası, varsayılan olarak sınır ötesi aktarımlara izin verir (hükümetin kısıtlama getirdiği ülkeler istisnası hariç) — GDPR, yeterli koruma mevcut olmadığı sürece aktarımları kısıtlar; (3) DPDP Yasası, veri taşınabilirliğine veya işlemede kısıtlamaya ilişkin açık haklar içermemektedir; (4) DPDP Yasası benzersiz bir yenilik olan izin yöneticilerini tanıtıyor; (5) DPDP Yasası'nın ceza yapısı (maksimum ₹250 crore), GDPR'nin büyük çokuluslu şirketler için potansiyel maksimumlarından daha düşüktür; (6) DPDP Yasası yalnızca dijital kişisel veriler için geçerlidir - GDPR, formattan bağımsız olarak tüm kişisel veriler için geçerlidir.

Kimin Önemli Veri Sorumlusu olarak atanması muhtemeldir?

Bölüm 10'daki kriterler, SDF'lerin şunları içereceğini önermektedir: Hindistan'da faaliyet gösteren büyük sosyal medya platformları, önemli miktarda Hintli kullanıcı tabanına sahip büyük e-ticaret şirketleri, hassas verileri (sağlık, finans) büyük ölçekte işleyen şirketler, önemli işlem hacimlerine sahip teknoloji şirketleri. GDPR'nin benzer "büyük ölçekli sistematik izleme" eşiğine ve Hindistan'ın büyüklüğüne (1,4 milyar nüfus) dayanarak, özellikle tüketici interneti, fintech ve sağlık teknolojisi sektörlerinde milyonlarca Hintli kullanıcıya sahip şirketlerin SDF olasılığını değerlendirmeleri ve artan yükümlülüklere hazırlanmaları gerekiyor.

İzin yöneticisi hükümleri nelerdir?

Onay yöneticileri, veri sorumlularının birden fazla veri mutemetliği genelinde onay verebileceği, yönetebileceği, inceleyebileceği ve geri çekebileceği birlikte çalışabilir platformlar sağlayan DPBI'ye kayıtlı kuruluşlardır. Veri mutemetleri, bir rıza yöneticisi aracılığıyla alınan rızaya dayalı olarak işlemekten sorumludur. Bu, bireylere dijital ekosistemdeki rızalarına ilişkin merkezi bir görünüm ve kontrol sağlamak için tasarlanmıştır. Onay yöneticilerine yönelik kayıt gereklilikleri ve teknik standartlar, uygulama kurallarında belirtilecektir.

DPDP Yasası çalışan verilerine nasıl uygulanır?

İstihdam verileri "meşru kullanımlar" hükmü (Bölüm 7(f)) aracılığıyla ele alınır; istihdamla ilgili yükümlülüklerin yerine getirilmesi veya yasa kapsamındaki hakların kullanılması amacıyla işlenmesi (istihdam öncesi doğrulama, özgeçmiş kontrolleri, maaş bordrosu, sosyal haklar dahil), rıza gerektirmeden meşru kullanım olarak nitelendirilir. Ancak istihdam amaçlarının ötesindeki çalışan verileri rıza gerektirecektir. Uygulama kurallarının istihdamla ilgili meşru kullanımların kapsamını netleştirmesi bekleniyor.

Hala geçerli olan sektöre özel veri yerelleştirme gereksinimleri var mı?

Evet. DPDP Yasası'nın sınır ötesi aktarım hükümleri, sektöre özgü yerelleştirme gerekliliklerinin yerine geçmez. Hindistan Merkez Bankası (RBI), Hindistan'da finansal verilerin depolanmasını gerektirir (Ödeme Sistemi Veri Depolama Yönergesi, 2018). Ulusal Tıp Komisyonu ve Sağlık Bakanlığı'nın sağlık verilerinin yerelleştirilmesi gereklilikleri vardır. IRDAI'nin (sigorta) sigorta şirketleri için veri yerelleştirme gereksinimleri vardır. Düzenlemeye tabi sektörlerdeki işletmelerin hem DPDP Yasasını hem de sektöre özgü gereklilikleri karşılaması gerekir.

---

Sonraki Adımlar

Hindistan'ın DPDP Yasası, Hindistan operasyonları, müşterileri veya çalışanları olan tüm işletmeler için önemli bir düzenleyici gelişmeyi temsil etmektedir. Kuralların uygulanması henüz tamamlanma aşamasındayken uyumluluk programınızı şimdi oluşturmak (özellikle izin mekanizmaları, veri sorumlusu hakları ve güvenlik önlemleri etrafında), kurallar bildirildiğinde uyumluluğu verimli bir şekilde elde etmenizi sağlar.

ECOSIRE'ın teknoloji uygulama ekibi, işletmelerin Hindistan pazarına göre uyarlanmış DPDP uyumlu veri mimarileri, izin yönetimi sistemleri ve gizlilik işlemleri iş akışları tasarlamasına yardımcı olur.

Başlayın: ECOSIRE Hizmetleri

Yasal Uyarı: Bu kılavuz yalnızca bilgilendirme amaçlıdır ve yasal tavsiye niteliğinde değildir. DPDP Yasası'nın uygulama kuralları beklemededir; kurallar bildirildikçe gereksinimler gelişecektir. Kuruluşunuza özel tavsiyeler için Hindistan'daki kalifiye hukuk müşavirine danışın.