Loading…
يستعير DPDPA الكثير من GDPR — تحديد الغرض، وحقوق أصحاب البيانات، والإخطار بالاختراق، وفكرة مسؤول حماية البيانات ذاتها. لكن إطار الهند أكثر اقتضابًا، وأكثر تمحورًا حول الموافقة، ويستغني عن الأساس القانوني لـ «المصالح المشروعة»، ويستخدم حدودًا قصوى بالكرور لكل مخالفة بدلًا من غرامات قائمة على نسبة من حجم الأعمال. إذا كنت تخدم أصحاب بيانات هنود من أي مكان في العالم، فأنت بحاجة إلى كلا المنظورين.
| البُعد | 🇮🇳 DPDPA | 🇪🇺 GDPR |
|---|---|---|
| الأداة القانونية | قانون حماية البيانات الشخصية الرقمية لعام 2023 + قواعد DPDP لعام 2025 (G.S.R. 846(E)) | اللائحة (الاتحاد الأوروبي) 2016/679 |
| تاريخ النفاذ | القانون: 11 أغسطس 2023؛ القواعد: على مراحل خلال 2025–2026 | 25 مايو 2018 |
| النطاق الإقليمي | معالجة البيانات الشخصية الرقمية لأصحاب البيانات الهنود — في أي مكان في العالم (القسم 3) | الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية + خارج الإقليم بموجب المادة 3 |
| الأسس القانونية | الموافقة أو "بعض الاستخدامات المشروعة" (القسم 7) — مُعرَّفة بشكل ضيّق | ستة أسس (المادة 6)؛ المصالح المشروعة متاحة على نطاق واسع |
| متطلبات الموافقة | حرة ومحددة ومستنيرة وغير مشروطة وصريحة — مع إشعار واضح (القسم 6) | ممنوحة بحرية ومحددة ومستنيرة وصريحة — قابلة للسحب (المادة 7) |
| مسؤول حماية البيانات | أمناء البيانات المهمّون (SDFs) — يجب تعيين DPO في الهند (القسم 10) | إلزامي في حالات محددة (المادة 37) |
| الممثل المحلي | غير مطلوب بموجب القانون (لكنه بالغ الأهمية تشغيليًا للتفاعل مع المجلس) | ممثل الاتحاد الأوروبي بموجب Article 27 إلزامي للمتحكمين من خارج الاتحاد الأوروبي |
| الحد الأقصى للغرامة (لكل حالة) | 250 كرور روبية (~30 مليون دولار أمريكي) — ضمانات الأمان (القاعدة 6) | 20 مليون يورو أو 4% من حجم الأعمال العالمي (المادة 83(5)) |
| هيكل العقوبات المتدرّج | 250 كرور للأمن · 200 كرور للإخطار بالاختراق · 150 كرور لبيانات الأطفال · 50 كرور لغيرها | مستويان: 10 ملايين يورو/2% (الأدنى) و20 مليون يورو/4% (الأعلى) |
| الإخطار بالاختراق | خلال 72 ساعة لمجلس حماية البيانات في الهند + أصحاب البيانات المتأثرين (القاعدة 7) | 72 ساعة للسلطة الإشرافية (المادة 33) + أصحاب البيانات في حال وجود مخاطر عالية (المادة 34) |
| الجهة المنظِّمة | مجلس حماية البيانات في الهند (DPBI) | 27 سلطة لحماية البيانات في الدول الأعضاء بالاتحاد الأوروبي + EDPB |
| بيانات الأطفال | موافقة والدية قابلة للتحقق لمن هم دون 18 عامًا (القسم 9). لا تتبُّع سلوكي، ولا إعلانات موجَّهة. | السن الافتراضي للموافقة 16 (يجوز للدول الأعضاء خفضه إلى 13) |
| حقوق صاحب البيانات | الوصول، والتصحيح، والمحو، ومعالجة التظلمات، والترشيح، وسحب الموافقة (الأقسام 11–14) | 8 حقوق (المواد 15–22) بما في ذلك قابلية النقل، والاعتراض على القرارات الآلية |
| الحق في قابلية النقل | غير ممنوح بموجب DPDPA | نعم — المادة 20 |
| الحق في الاعتراض على القرارات الآلية | غير ممنوح بموجب DPDPA | نعم — المادة 22 |
| النقل عبر الحدود | مسموح به ما لم تقيّد الحكومة المركزية الوجهة المحددة (القسم 16) | مقيّد — يتطلب SCC/BCR/الكفاية (الفصل الخامس) |
| توطين البيانات | لا يوجد توطين شامل في القانون؛ تستلزم قواعد RBI توطين بيانات المدفوعات | لا يفرض GDPR توطينًا؛ تفرض بعض الدول الأعضاء قواعد قطاعية |
| فئة البيانات الحساسة | غير مصنّفة صراحةً (مستوى واحد من البيانات الشخصية) | بيانات الفئات الخاصة (المادة 9) مع شرط الموافقة الصريحة |
| ما يعادل DPIA | إلزامي لأمناء البيانات المهمّين SDFs (القسم 10(2)) | إلزامي للمعالجة عالية المخاطر (المادة 35) |
| الطعن أمام سلطة مستقلة | محكمة تسوية نزاعات الاتصالات والاستئناف (TDSAT) | سبيل انتصاف قضائي مباشر + حق تقديم شكوى للسلطة الإشرافية (المواد 77–79) |
لا — رغم أنه يستعير مفردات GDPR. يضع DPDPA الموافقة في المقام الأول مع مجموعة أضيق من "الاستخدامات المشروعة"، ويُغفل الحق في قابلية نقل البيانات والحق في الاعتراض على القرارات الآلية، ويستخدم حدودًا قصوى بالكرور لكل مخالفة بدلًا من غرامات قائمة على نسبة من حجم الأعمال. ومع ذلك يمكن أن يصل التعرّض للعقوبات إلى 500 كرور روبية للمخالفات المنهجية.
لا — شغّل برنامجًا واحدًا مُحدَّد المعالم. استخدم متطلبات GDPR الأكثر صرامة (DPIA، وسحب الموافقة، والإخطار بالاختراق خلال 72 ساعة) كخط أساس، وأضِف الطبقات الخاصة بـ DPDPA (إخطار المجلس، وDPO في الهند لأمناء البيانات المهمّين، وقيود بيانات الأطفال).
نعم، إذا كنت تقدّم سلعًا أو خدمات لأصحاب البيانات في الهند (القسم 3(b)). ينطبق القانون خارج الإقليم بغضّ النظر عن موقع خوادمك أو كيانك.
القانون نافذ، لكن القواعد يجري تطبيقها على مراحل خلال 2025–2026. مجلس حماية البيانات قيد التشغيل. ويُتوقَّع تصاعد الإنفاذ خلال عام 2026 — استعدّ الآن.
الهند أكثر صرامة: يتطلّب من هم دون 18 عامًا موافقة والدية قابلة للتحقق، ويُحظر التتبُّع السلوكي أو الإعلانات الموجَّهة. أما سن الموافقة الافتراضي في GDPR فهو 16 مع السماح بخفضه إلى 13، ويُسمح بالتتبُّع السلوكي بموجب الموافقة وDPIA.
ليس في القانون، لكن مجلس حماية البيانات في الهند يتوقّع عمليًا وجود نقطة اتصال مُعيَّنة ومقيمة في الهند لأمناء البيانات المهمّين. وهذا هو الدور الذي تؤديه خدمة التمثيل في الهند لدينا.
خطّط الضوابط مرة واحدة، والتزم مرتين. يمنحك RegulatoryBridge مسار DSAR واحدًا، ومسؤول حماية بيانات (DPO) واحدًا، ودليل إجراءات واحدًا للخروقات — يغطي كلا الإطارين.