13 ноября 2025 года Министерство электроники и информационных технологий Индии (MeitY) опубликовало Правила защиты цифровых персональных данных 2025 года. Этому предшествовало почти 10 месяцев ожидания: проект Правил был обнародован 3 января 2025 года и прошёл длительный этап обсуждений и доработки.
С появлением Правил впервые начинает полноценно действовать Закон о защите цифровых персональных данных 2023 года (DPDPA) - это первый в истории Индии комплексный закон о защите персональных данных. Хотя сам закон был принят парламентом ещё в августе 2023 года, до настоящего момента он оставался во многом рамочным: в нём были заложены принципы и общие обязанности, но отсутствовали чёткие механизмы реализации. Эти механизмы определены через новые Правила.
DPDPA приходит на смену прежнему регулированию - Правилам об информационных технологиях 2011 года, действовавшим на основании Закона об информационных технологиях 2000 года. При этом переход будет постепенным: старый режим продолжит применяться до завершения поэтапного внедрения нового закона.
Для бизнеса это означает начало масштабного переходного периода. Компании, работающие в Индии, обязаны выполнить основные требования DPDPA в течение 12-18 месяцев. В их числе:
назначение менеджеров по согласиям и специалистов по защите персональных данных;
внедрение систем, обеспечивающих получение явного и проверяемого согласия пользователей;
создание процедур для уведомления о нарушениях безопасности персональных данных в течение 72 часов.
Индия переходит от фрагментарного и устаревшего регулирования к полноценной, структурированной системе защиты персональных данных, которая будет напрямую влиять как на бизнес, так и на права пользователей.
