Hindistan’da veri gizliliği yıllardır gri bir bölgede yaşıyordu. Ödeme gişelerinde talep edilen cep telefonu numaraları. Aadhaar fotokopileri otelin çekmecelerinde başıboş duruyor. Bir hizmeti kullanmayı bıraktıktan çok sonra gelen pazarlama mesajları. Kanunlar devreye girene kadar çoğumuz bunu normal karşıladık.
O an geldi.
Dijital Kişisel Verilerin Korunması Kanunu (DPDP Yasası), 2023, aşağıdakiler tarafından desteklenmektedir: Dijital Kişisel Verilerin Korunması Kuralları, 2025 Elektronik ve Bilgi Teknolojileri Bakanlığı (MeitY) tarafından 13 Kasım 2025’te bildirilen bu düzenleme, Hindistan’da kişisel verilerin nasıl işlenmesi gerektiği konusunda belirleyici bir değişikliğe işaret ediyor. Ülke 2026’ya girerken işletmeler en kritik aşamaya giriyor: uygulama.
Şirketlerin artık bir 18 aylık pencere BT, hukuk, İK, pazarlama ve satıcı ekosistemlerindeki sistemleri, süreçleri ve hesap verebilirlik çerçevelerini yeniden tasarlamak. Değişiklik kozmetik değil. Yapısaldır.
Haydarabad Uluslararası Bilgi Teknolojileri Enstitüsü (IIIT Haydarabad) Direktörü Sandeep Shukla’nın açıkça ifade ettiği gibi:
“Eh, Hint Şirketlerinin şu ana kadar müşterilerinin mahremiyeti konusunda oldukça ihmalkar davrandığını söyleyebilirim. Nereye giderseniz gidin, cep telefonu numaranızı istiyorlar.”
DPDP Yasası kişisel verilere bu kadar kayıtsız kalmanın önümüzdeki on yılda da devam etmemesini sağlamak için tasarlanmıştır.
Aşağıda, DPDP Yasası’nın, işletmeler, tüketiciler ve dijital ekonomi için gerçek dünyadaki etkileriyle birlikte, Hint şirketlerinin 2026’da verileri işleme biçimini değiştirecek sekiz temel yolu bulacaksınız.
1. Gizlilik Arka Ofisten Toplantı Odasına Taşınacak
Şimdiye kadar Hindistan kuruluşlarındaki veri koruması büyük ölçüde uyumluluk ekiplerinin veya BT güvenliğinin sorumluluğundaydı. Bu model 2026’da geçerli olmayacak.
DPDP çerçevesi, özellikle ihlal veya sistemik uyumsuzluk durumlarında, kişisel verilerin nasıl işlendiği konusunda üst düzey liderliği doğrudan sorumlu kılar. Gizlilik riski giderek daha fazla finansal veya operasyonel risk gibi ele alınacaktır.
YOTTA’nın CISO ve CTSO’su Shashank Bajpai’ye göre, “DPDP Yasası (2023), Kasım 2025’te bildirilen Kurallar aracılığıyla yürürlüğe giriyor; sonuç, 2026’yı doğrudan uygulama aşamasına yerleştiren kademeli bir uyumluluk takvimi oldu. Bu, 2026’yı, planlamanın ölçülebilir operasyonel çalışma haline geldiği ve düzenleyicilerin gözle görülür ilerleme bekleyeceği geçiş yılı haline getiriyor.”
2026’da gizlilik kararları giderek daha fazla kurulların, CXO’ların ve risk komitelerinin elinde olacak. Onaydan vazgeçme oranları, ihlallere müdahale süresi ve üçüncü taraf riskine maruz kalma gibi ölçümler, BT dipnotları değil, liderlik düzeyindeki görüşmeler haline gelecektir.
2. Rıza Açık, Parçalı ve Geri Alınabilir Hale Gelecek
Kullanıcıların yaşayacağı en gözle görülür değişikliklerden biri, rızanın nasıl aranacağıdır.
DPDP Yasası uyarınca, onayın spesifik, bilgilendirici, net ve geri çekilmesi kolay olması gerekir. Önceden işaretlenmiş kutucuklar ve muğlak “bu hizmeti kullanarak” ifadeleri artık yeterli olmayacaktır.
Gauravdeep Singh, Eyalet Başkanı (Dijital Dönüşüm), e-Görev Ekibi, MeitY olarak, açıklıyor“Veri Sorumlusu = SİZ.”
İster konum erişimi isteyen bir yemek dağıtım uygulaması olsun ister işlem geçmişini işleyen bir fintech platformu olsun, bireyler verilerinin nasıl kullanıldığını kontrol etme ve daha sonra fikirlerini değiştirme hakkını elde eder.
3. Veri İstifleme Sorumluluğa Dönüşecektir
Pek çok Hintli şirket için gereğinden fazla veri toplamak zararsız görülüyordu. DPDP Yasası uyarınca riskli hale geliyor.
Kuruluşların artık verilerin neden toplandığını, ne kadar süreyle saklandığını ve nasıl güvenli bir şekilde imha edildiğini tanımlaması gerekiyor. Kişisel veriler artık belirtilen bir amaç için gerekli değilse, süresiz olarak saklanamaz.
Shukla, kötü uygulamaların ne kadar derinlere kök salmış olduğunun altını çiziyor: “Oteller, aadhaar kartınızı veya sürücü belgenizi alıp, müşteriye bu tür PII verilerinin güvenli ve emniyetli bir şekilde imha edilmesine ilişkin politikalarını müşteriye hiçbir zaman söylemeden kopyalayıp dosyaların içindeki çekmecelerde saklıyor.”
2026’da tanımsız saklama artık kabul edilemez.
4. Üçüncü Taraf Satıcılar Tarayıcının Altına Girecek
Bulut sağlayıcılar, ödeme ağ geçitleri, CRM platformları gibi veri işlemcileri artık gölgede çalışmayacak.
DPDP Yasası, Veri Mutemetleri (verilerin nasıl kullanılacağına karar veren şirketler) ile Veri İşleyicileri (verileri kendi adına işleyenler) arasında açıkça ayrım yapmaktadır. İhlal bir satıcıda meydana gelse bile mutemetler sorumlu olmaya devam eder.
Bu, şirketleri aşağıdakileri yapmaya zorlayacaktır:
- Satıcıları düzenli olarak denetleyin
- Sözleşmeleri DPDP hükümleriyle yeniden yazın
- Sınır ötesi veri akışlarını izleyin
Shukla’nın belirttiği gibi, “Mağazalar, E-ticaret kuruluşları, işletmeler, kamu hizmetleri çok fazla müşteri kişisel bilgisi topluyor ve faturalandırma, pazarlama ve sosyal yardım için sıklıkla üçüncü taraf veri işlemcisini kullanıyor. Verileri nasıl işlediklerini neredeyse hiç öğrenemiyoruz.”
2026 yılında şirketlerin tedarikçileri denetlemesi, sözleşmeleri güçlendirmesi ve işleyicilerin DPDP uyumlu uygulamalara uymasını sağlaması gerekecek çünkü sorumluluk mütevelli heyetinde kalacak.
5. İhlal Müdahalesi Zamanlanacak, Test Edilecek ve Görünür Olacak
Veri ihlalleri artık sadece teknik bir olay değil, hukuki bir olaydır.
DPDP Kuralları, kuruluşların ihlalleri tanımlanmış süreçler ve sorumlulukla tespit etmesini, değerlendirmesini ve bunlara yanıt vermesini gerektirir. Sessizlik veya gecikme yalnızca düzenleyici sonuçları daha da kötüleştirecektir.
Bajpai’nin belirttiği gibi, “Pratik etki hemen ortaya çıkıyor: şirketler politika belgelerinden uygulanan izin sistemlerine, güvenlik kontrollerine, ihlal iş akışlarına ve satıcı yönetimine geçmelidir.”
Masa üstü tatbikatlar, ihlal simülasyonları ve adli tıp hazırlığı isteğe bağlı değil standart hale gelecektir.
6. Önemli Veri Mütevellileri (SDF’ler) Daha Ağır Yükümlülüklerle Karşılaşacak
DPDP Yasası kapsamında tüm şirketlere eşit muamele edilmemektedir. Büyük miktarda hassas kişisel verileri işleyen Önemli Veri Güvencelileri (SDF’ler), aşağıdakiler de dahil olmak üzere daha katı yükümlülüklerle karşı karşıya kalacak:
- Veri Koruma Etki Değerlendirmeleri
- Hindistan merkezli Veri Koruma Görevlilerinin Atanması
- Düzenli bağımsız denetimler
Meta, Google, Amazon gibi küresel platformlar ve büyük Hint fintech’leri baskıyı ilk hissedecek ancak dalga etkisi tüm ekosistemi etkileyecek.
7. Yeni Bir Gizlilik Altyapısı Ortaya Çıkacak
DPDP çerçevesi yalnızca düzenleme değil, ekosistem inşasıdır.
Bajpai’nin gözlemlediği gibi, “Bu sadece bir düzenleme değil; bulut, kimlik, güvenlik ve RegTech konularında yerel yetenek oluşturmaya yönelik ekonomik bir stratejidir.”
Rıza Yöneticileri, denetçiler, gizlilik teknolojisi satıcıları ve uyumluluk platformları 2026’da hızla büyüyecek. Hintli startuplar için DPDP uyumluluğu başlı başına bir iş fırsatı haline geliyor.
8. Güven Rekabet Avantajına Dönüşecek
Belki de en büyük değişiklik psikolojiktir. 2026’da kullanıcılar giderek daha fazla şunu soracak:
- Bu uygulama neden verilerime ihtiyaç duyuyor?
- Rızamı geri çekebilir miyim?
- Bir ihlal olursa ne olur?
Bir Reddit kullanıcısı riski kısa ve öz bir şekilde yakaladı: “Kağıt üzerinde DPDP Yasası harika görünüyor… Ancak bir yasa ancak kamuoyunun onun etrafındaki farkındalığı kadar güçlüdür.”
Şeffaf iletişim kuran ve kullanıcı tercihlerine saygı duyan şirketler güven kazanacak. Bunu yapmayanlar, düzenleyiciler devreye girmeden çok önce müşterilerini kaybedecek.
2026’ya Hazırlık: Farkındalıktan Aksiyona
Anhad CEO’su Hareesh Tibrewala olarak, notlar“Kuruluşların artık DPDP uygulamasına yönelik bir yol haritası hazırlama fırsatı var.”
Ancak pek çok işletme için zorluk, özellikle zaman çizelgeleri ve sorumluluklar konusundaki netliğin hâlâ gelişmekte olduğu bir dönemde, farkındalığı eyleme dönüştürmekte yatmaktadır.
Bu endişe vatandaşların ötesine geçerek şirketlerin kendilerine kadar uzanıyor; şirketlerin çoğu hâlâ rıza yönetimi, veri güveni yükümlülükleri ve ihlallere yanıt verme gereklilikleri gibi temel kavramlarla boğuşuyor. İhlallerin niteliğine ve ciddiyetine göre sıralanan cezalar (önemli para cezalarından yüzlerce crore’a varan tutarlara kadar) nedeniyle, bu anlayış eksikliği pahalıya mal olabilir.
2026’da düzenleyiciler artık niyet aramayacak, infazın kanıtını arayacak. Bajpai olarak “Bu, 2026’yı planlamanın ölçülebilir operasyonel çalışmaya dönüştüğü ve düzenleyicilerin gözle görülür ilerleme bekleyeceği bir dönüm yılı haline getiriyor.”
Şirketler Şimdi Ne Yapmalı: Pratik Bir DPDP Yasasına Hazırlık Kontrol Listesi
Hindistan, DPDP’nin tam olarak uygulanmasına yaklaştıkça, erken harekete geçen kuruluşlar, uyumluluğun çok daha az yıkıcı olduğunu görecektir. İşletmeler en azından aşağıdaki adımlara odaklanmalıdır:
- Kişisel veri akışlarını eşleyin: Hangi kişisel verilerin toplandığını, nerede bulunduğunu, bu verilere kimlerin erişebildiğini ve bunları hangi üçüncü tarafların işlediğini tanımlayın.
- Onay mekanizmalarını inceleyin: Web siteleri, uygulamalar ve dahili sistemler genelinde izin taleplerinin açık, amaca özel ve geri çekilmesinin kolay olduğundan emin olun.
- Saklama ve silme politikalarını tanımlayın: Farklı kategorilerdeki kişisel verilerin ne kadar süreyle saklanacağını belirleyin ve güvenli imha süreçlerini belgeleyin.
- Üçüncü taraf riskini değerlendirin: DPDP uyumlu kontrolleri ve sözleşme yükümlülüklerini doğrulamak için satıcıları, bulut sağlayıcılarını ve işleyicileri denetleyin.
- İhlallere müdahale hazırlığını güçlendirin: Yalnızca kağıt üzerindeki politikaları değil, test edilmiş olay müdahale ve bildirim iş akışlarını uygulamaya koyun.
- Çalışanları farklı işlevlerde eğitin: BT ve hukuk ekiplerinin ötesinde farkındalık yaratın; gizlilik sorunları genellikle günlük operasyonel hatalarla başlar.
- Sahiplik ve sorumluluk atayın: DPDP uyumluluğu, raporlama ve sürekli izlemeden kimin sorumlu olduğunu açıkça tanımlayın.
Bu adımlar kutuları işaretlemekle ilgili değildir; gizliliğe öncelik veren bir çalışma ortamı için kas hafızası oluşturmaya yöneliktirler.
2026 Gizliliğin Gerçeğe Dönüştüğü Yıl mı?
DPDP Yasası anında mükemmellik vaat etmiyor. Bunun gerektirdiği şey sorumluluktur.
2026 yılına gelindiğinde gizlilik, politika belgelerinden ürün tasarımına, yasal ayrıntılı baskılardan liderlik kontrol panellerine ve reaktif düzeltmelerden proaktif yönetişime geçecek. Geciken kuruluşlar yalnızca düzenleyici cezalarla karşı karşıya kalmayacak, aynı zamanda gizlilik bilincinin giderek arttığı bir pazarda müşterilerin güvenini kaybetme riskiyle de karşı karşıya kalacaklar.
Sandeep Shukla’nın da uyardığı gibi, “Kuruluşların her düzeyinde uygun bir uygulamanın görülmesi muhtemelen yıllar alacaktır.”
Ama yön bellidir. Hindistan’daki kişisel veriler artık gelişigüzel ele alınamayacak.
DPDP Yasası, resmi olmayan veri işlemenin sonunu ve daha disiplinli, şeffaf ve hesap verebilir bir dijital ekonominin başlangıcını işaret ediyor.