Standartlar, Düzenlemeler ve Uyumluluk
Taslak Kanun Rıza, Güvenlik ve Sorumluluk Beklentilerini Artırıyor
Prajeet Nair (@prajeetspeaks) •
14 Kasım 2025
Elektronik ve Bilgi Teknolojileri Bakanlığı Cuma günü, Hindistan’ın Dijital Kişisel Verilerin Korunması Yasasını kabul etmesinden iki yıl sonra, ülkenin kişisel verilerin işlenmesine yönelik ilk özel yasasını uygulamaya koyan kuralları yayınladı. İlk olarak DPDP Yasası’nın idari hükümleri yürürlüğe girecek ve geri kalan yükümlülükler önümüzdeki 18 ay içinde aşamalı olarak uygulamaya konulacak.
Ayrıca bakınız: Canlı Web Semineri I Uyumluluktan Siber Dirençliliğe – Güvenliğin Ön Planda Olduğu Bir Çağda DPDP Yasasını Yorumlamak
En son taslak, şirketlerin, uyumsuzluğun maliyetini etkili bir şekilde artırarak DPDP Yasası kapsamında kişisel verileri nasıl toplaması, güvence altına alması, saklaması ve silmesi gerektiğini belirtiyor. Taslak, veri korumayı bir arka ofis işlevi yerine yönetim kurulu düzeyinde bir sorumluluk haline getiren denetimler, değerlendirmeler ve ihlal raporlamaya yönelik yeni gereklilikler ile üst düzey liderliği doğrudan zor durumda bırakıyor.
Bunun acil organizasyonel etkisi, artık tüm kuruluşların hangi verilerin toplanacağını, hangi amaç için ve nasıl kullanılacağını belirten açık bildirimler sunması ve aynı zamanda Veri Sorumlularına veya veri sahiplerine rızayı geri çekmek için basit mekanizmalar sunması gerektiğidir.
Bu değişim, şirketleri izin yaşam döngüsü yönetimini doğrudan uygulamalara, veritabanlarına ve kullanıcı yolculuklarına yerleştirmeye zorluyor.
CISO’lar için bu, haklarla ilgili süreçlerin hem güvenli hem de teknik olarak uygulanabilir olmasını sağlamak amacıyla güvenlik, BT, hukuk ve mühendislik ekipleri arasında daha derin bir koordinasyon anlamına gelir.
Taslağın Veri Mutemetleri olarak bilinen verileri toplayanlara yönelik görevlerinde güvenlik beklentileri açıkça ifade ediliyor. Taslakta “makul güvenlik önlemleri”, işlenen verilerin doğruluğu, amaç yerine getirildikten sonra silinmesi ve hem yetkililere hem de bireylere ihlal bildirimi yapılması çağrısında bulunuluyor.
Bu, kuruluşların ihlallere karşı hazırlıklı olmasını, güçlü iç kontrolleri uygulamasını ve bir olay durumunda eylemlerini belgelemesini gerektiren bir uyumluluk temeli oluşturacaktır. Veri doğruluğuna ve zamanında silinmesine yapılan vurgu aynı zamanda organizasyonları disiplinli veri saklama politikaları benimsemeye zorlayarak, saldırı yüzeylerini artıran gereksiz depolamayı azaltır.
Taslakta ayrıca, şirketlerin verileri uygun şekilde korumamaları halinde cezalandırılabilecekleri başarısızlıklara yönelik ceza bazlı yaptırımların da ana hatları çiziliyor. Her ne kadar bu bölümde fiili ceza miktarları listelenmese de hükümet, işletmelerin finansal ve itibar açısından risklerini artıran caydırıcılık odaklı bir yaklaşım kullanmayı planlıyor. CIO’lar ve CISO’lar, bu riske maruz kalmayı yönetmek için daha fazla gözetime, denetim kayıtlarına ve belgelenmiş uyumluluk kanıtlarına ihtiyaç duyacaktır.
Siber hukuk uzmanı Prashant Mali, hükümetin kavramı belirsiz bırakmak yerine rıza yöneticilerinin nasıl çalışması gerektiğini tam olarak açıkladığını söyledi. Rıza yöneticisi, DPDP Yasası kapsamında yetkilendirilen ve bireylerin farklı kuruluşların kişisel verilerini nasıl kullandığına ilişkin onaylarını vermesine, yönetmesine, incelemesine ve geri çekmesine yardımcı olan bir aracıdır. “Nihai kurallar, kayıt kriterleri, görevler, askıya alma ve iptal mekanizmaları da dahil olmak üzere tüm yaşam döngüsünü operasyonel hale getirdi. Uyumluluk ekipleri nihayet eyleme dönüştürülebilir kontrol listelerine sahip.”
Çocuklara ait veriler daha fazla ilgi görmektedir. Firmaların, bir çocuğun verilerini toplamadan önce gerçek bir ebeveynin veya velinin izin verdiğini onaylaması gerekecek ve çocukların profilini çıkarmalarına veya reklamlarla onları hedeflemelerine izin verilmeyecek. Eğitim teknolojisi, tüketici uygulamaları ve çevrimiçi hizmetler gibi sektörlerdeki kuruluşların, özellikle genç kullanıcıları nasıl dahil edecekleri ve verilerini dahili sistemler aracılığıyla nasıl taşıyacakları konusunda uyumlu olduklarından emin olmak için artık yeni doğrulama süreçlerine ve yeniden tasarlanmış sistemlere ihtiyacı olacak.
Küresel Standartların Karşılaştırılması
Birden fazla yetki alanında faaliyet gösteren şirketler için DPDP, küresel normlardan önemli yönlerden farklılık göstermektedir. DPDP, hem kapsam hem de operasyonel derinlik açısından GDPR’den farklılık göstererek Hint kuruluşları için farklı bir uyumluluk ortamı yaratıyor.
GDPR, ister dijital ister kağıt üzerinde olsun, tüm kişisel verileri kapsar ve işlenmesi için çeşitli yasal gerekçelere olanak tanır. DPDP ise aksine, yalnızca dijital kişisel veriler için geçerlidir ve daha az alternatif dayanak sunarak rızaya çok daha fazla dayanır. Bu durum, kuruluşların veri yaşam döngüsü boyunca onayı güvence altına alma, takip etme ve yönetme konusunda daha ağır bir operasyonel yük getirmektedir.
Kullanıcı hakları da önemli ölçüde farklılık göstermektedir. GDPR, taşınabilirlik ve itiraz gibi daha geniş bir haklar paketi sunarken, DPDP erişim, düzeltme, silme, şikayetlerin giderilmesi ve aday gösterilme haklarına odaklanmaktadır. Her iki çerçeve de çocuk verileri için güçlü korumalar gerektirir, ancak DPDP’nin nihai kuralları, GDPR’nin kuruluşun takdirine bıraktığı operasyonel mekanizmalar olan Digital Locker tabanlı doğrulama, belirteç eşleme ve yapılandırılmış yaş kontrolleri dahil olmak üzere daha kuralcı doğrulama adımları sunar.
Güvenlik ve ihlal yükümlülükleri de vurgu açısından farklılık göstermektedir. DPDP, GDPR’de açıkça belirtilmeyen gereksinimlerin yanı sıra belirli güvenlik önlemlerini, şifrelemeyi, maskelemeyi, takma ad kullanmayı ve tokenleştirmeyi ve bir yıl boyunca zorunlu günlük tutmayı zorunlu kılar. Her iki çerçeve kapsamında da ihlal bildirimi 72 saatlik bir raporlama penceresi içerir ancak DPDP ayrıca etkilenen kullanıcılarla anında ve net iletişim kurulmasını gerektirir.
DPDP Yasası aynı zamanda hükümet organlarının sosyal yardımlar, hizmetler, harcama akışları ve yasal yetkiler (daha önceki taslaklarda belirsiz olan alanlar) için verileri nasıl işleyebileceğini de açıklığa kavuşturuyor.
Aslında GDPR daha geniş ve ilkelere dayalı olsa da DPDP daha dar ama önemli ölçüde daha kuralcıdır. CISO’lar ve CIO’lar için bu, Hindistan yasalarının daha açık operasyonel kontroller, daha sıkı güvenlik önlemleri ve ihlaller ve izin yönetimi konusunda daha sıkı hesap verebilirlik gerektirdiği anlamına geliyor.
Mali, daha net yönlendirmeleri memnuniyetle karşılamasına rağmen pratik zorluklar konusunda uyardı. “Uyum maliyetleri artacak. Şifreleme, günlüğe kaydetme, izleme ve bir yıllık saklama, özellikle KOBİ’ler için ağır işlerdir. Ayrıca ‘gecikmeden” şirketleri davaya maruz bırakabilir” dedi.