Založil jsem COREDO v roce 2016, kdy se ochrana údajů ze specializovaného právního tématu proměnila v systematický manažerský úkol. Od té doby tým COREDO realizoval desítky přeshraničních projektů v oblasti zakládání společností, získávání finančních licencí a zavádění compliance programů v EU, Velké Británii, Singapuru, SAE a Indii. Dnes chci rozebrat indický zákon Digital Personal Data Protection Act 2023 (DPDP Act 2023) jako nástroj řízení rizik a růstu, a ne jako „ještě jednu regulační překážku“. Můj přístup je maximálně praktický: vysvětluju, kde jsou rizika, kde lze ušetřit, a které kroky přinášejí rychlý efekt.
Proč je DPDP důležitý právě teď

Indické regulace osobních údajů procházejí kvalitativním posunem. Zákon DPDP není jen „místní GDPR“, ale samostatný model zaměřený na transparentnost zpracování a bezpečnost dat při intenzivní digitalizaci.
V centru zákona stojí: práva subjektu údajů v Indii (data principal), povinnosti společnosti jako data fiduciary, a provozní role data processor, který jedná pouze na pokyn fiduciary a nese odpovědnost podle smlouvy i zákona.
Dohled vykonává Data Protection Board of India (Rada pro ochranu dat). Tento orgán je oprávněn řešit stížnosti, vyšetřovat incidenty, vydávat příkazy a ukládat pokuty. Na rozdíl od evropského modelu s několika regulátory po jednotlivých státech buduje Indie jednotné rozhodovací místo, což zjednodušuje komunikaci a zvyšuje předvídatelnost praxe.
Podobnosti s GDPR jsou podstatné: práva na přístup, opravu, výmaz, požadavky na bezpečnost, oznamování narušení údajů. Rozdíly jsou také znatelné: zjednodušený systém právních důvodů (důraz na souhlas a „legitimní použití“), flexibilní přístup k přeshraničním přenosům a specifická pravidla pro děti.
Naše zkušenost v COREDO ukázala: firmy, které znovu použijí své GDPR-kontroly, dosahují souladu s DPDP rychleji, pokud je přizpůsobí místním reáliím.
Práva, povinnosti a odpovědnost

DPDP zakotvuje práva subjektu údajů: přístup k údajům a metadatům zpracování, oprava a vymazání, odvolání souhlasu, podání stížnosti a jmenování oprávněné osoby pro případ úmrtí nebo ztráty svéprávnosti. Tato práva vyžadují od podniků jasný postup DSAR (žádost subjektu údajů o přístup) a srozumitelnou politiku ochrany osobních údajů s požadavky DPDP na obsah a jazyk.
Povinnosti správce údajů zahrnují zákonnost zpracování, minimalizaci, přesnost, omezení podle účelů, bezpečnost a odpovědnost prostřednictvím dokumentace a procesů. Zpracovatel údajů je povinen zavést technická a organizační bezpečnostní opatření podle DPDP, uchovávat logy, zpracovávat údaje přísně podle pokynů a zajistit, aby subzpracovatelé měli stejné povinnosti.
Role DPO (pověřenec pro ochranu osobních údajů) vzniká u „významných“ správců údajů (Significant Data Fiduciary), které určí vláda podle kritérií rizika a rozsahu. DPO musí sídlit v Indii, být kontaktním místem pro Radu a podléhat představenstvu.
Praxe COREDO potvrzuje: i když vám není přidělen status SDF, jmenování osoby odpovědné za soukromí a zavedení zásad privacy by design a privacy by default snižuje náklady na incidenty a zvyšuje důvěru partnerů.
Zásady ochrany osobních údajů a požadavky DPDP nejsou formalitou. Dokument musí odrážet skutečné toky údajů, doby uchovávání, informace o přeshraničních přenosech a mechanismu řešení stížností.
Nastavujeme klientům nejen texty, ale i procesy: směrování žádostí, SLA pro odpovědi a integraci záznamů o souhlasu s CRM a marketingovými platformami.
Upozornění, incidenty a pokuty

Oznámení o narušení ochrany údajů v Indii se zasílá Data Protection Board a dotčeným subjektům údajů „v pořadí stanoveném zákonem“. Dokud jsou prováděcí předpisy upřesňovány, tým COREDO doporučuje interní SLA nejvýše 72 hodin pro prvotní oznámení regulátorovi a 5–7 dní pro dotčené osoby, s postupnou komunikací a plánem následné podpory po vydání.
Pokuty a odpovědnost podle DPDP jsou rozsáhlé: až stovky milionů indických rupií za každé porušení, s horní hranicí až 250 crore (2,5 mld INR) v závislosti na povaze nedodržení. Oddělené bloky sankcí souvisejí s požadavky na bezpečnost, právy dětí a včasným oznámením o narušení. Trestní odpovědnost není předmětem samotného DPDP, ale je možná podle souvisejících zákonů v případě podvodu, neoprávněného přístupu nebo sabotáže bezpečnostních kontrol informační bezpečnosti. Řešení vyvinuté v COREDO: kombinovat právní model odpovědnosti s kybernetickým pojištěním a smluvními doložkami o odškodnění.
Přenos osobních údajů do Indie

Indie umožňuje přeshraniční přenos osobních údajů na základě seznamu «přátelských» jurisdikcí, který schvaluje vláda. Do zveřejnění a aktualizace seznamu se spoléhejte na smluvní mechanismy a hodnocení rizik. V praxi COREDO se používají:
– Standard contractual clauses (SCC) a jejich přizpůsobení indickému právu. Zákon přímo SCC nezavádí, ale dobře funguje přístup s upravenými DPDP-klauzulemi, pokrývajícími práva a opravné prostředky subjektu údajů.
– Binding corporate rules (BCR) pro Indii – vnitřní firemní politika pro skupiny společností, doplněná lokálními DPDP-povinnostmi a mechanismem pro řešení stížností.
– Hodnocení přeshraničních rizik (Transfer Impact Assessment) s přihlédnutím k jurisdikci příjemce, praxím přístupu orgánů činných v trestním řízení a technickým opatřením snižujícím rizika reidentifikace.
Otázka lokalizace dat je v Indii předmětem diskuse. Není obecný požadavek uchovávat osobní údaje výhradně v zemi, ale odvětvoví regulátoři (finance, zdravotnictví, telekomunikace) mohou stanovit zvláštní pravidla.
Команда COREDO выстраивает «data residency map» по вертикалям бизнеса, чтобы снять риски на пресейле с enterprise-клиентами.
DPIA, opatření a riziko reidentifikace

Posouzení dopadu na ochranu osobních údajů (DPIA) podle DPDP, povinnost pro Significant Data Fiduciary a dobrá praxe pro všechny ostatní. Používáme metodiku, která zahrnuje:
- mapování toků dat a systémů;
- posouzení zákonnosti účelů a minimalizace;
- model hrozeb zohledňující specifická indická rizika;
- výpočet zbytkového rizika s ohledem na technická a organizační opatření.
Pseudonymizace a anonymizace podle DPDP jsou dva odlišné nástroje pro snížení rizik. Anonymizace vylučuje zpětnou identifikaci, pseudonymizace zachovává možnost propojení při existenci klíče.
Samostatně vypočítáváme riziko reidentifikace s ohledem na kombinaci datových sad, vzácné atributy a behaviorální stopy, a také uplatňujeme technická opatření, šifrování v klidu a při přenosu, kontrolu přístupu a správu oprávnění (PAM), záznamy přístupu a DLP politiky.
Řízení incidentů a politiky hlášení narušení (breach notification) se testují prostřednictvím pravidelných cvičení. Zahrnujeme: MTTR pro zablokování úniku, postup izolace kompromitovaných účtů, forenzní analýzu, scénářové texty oznámení, a plán spolupráce s Radou pro ochranu údajů. Praxe COREDO potvrzuje: společnosti, které zavedly continuous monitoring, řeší incidenty o 30–50 % rychleji a ztrácí méně zákazníků.
Speciální scénáře pro HR, marketing, SaaS a údaje o dětech
Požadavky DPDP na zpracování HR a mzdových údajů zaměstnanců v Indii se opírají o «legitimní použití» a povinnosti zaměstnavatele. Zde je klíčové:
- transparentnost vůči kandidátům a zaměstnancům;
- minimalizace osobních údajů, potvrzení a prověrek na pozadí;
- oddělené lhůty uchovávání a vymazání údajů při odmítnutí/ukončení pracovního poměru.
Jak DPDP ovlivňuje marketing, cílení a ukládání cookie? Pro online marketing je potřeba řízený souhlas: výslovný souhlas se sledováním, snadno dostupný mechanismus odvolání, zaznamenávání souhlasů a preferencí, shoda s pravidly pro cookies, zejména u behaviorální reklamy. Tým COREDO zavádí platformu pro správu souhlasů s zaznamenáváním souhlasů a auditem SDK/pixelů, aby vyloučil «temné vzory» a zajistil skutečnou transparentnost.
Vliv DPDP na poskytovatele SaaS a cloudové služby se projevuje v řízení řetězce dodavatelů, lokalizaci funkcí grievance redressal a DSAR, a přísné kontrole subprocesorů. Pro údaje o dětech (do 18 let) platí rodičovský souhlas, zákaz profilování a behaviorálního cílení, ověření věku. Zákon nevytváří samostatné kategorie pro citlivé a «kritické» osobní údaje, ale odvětvová pravidla (finance, zdravotnictví) ukládají zvýšené požadavky, které zohledňujeme v DPIA.
Řízení dodavatelského řetězce a smlouvy
Co zařadit do smlouvy s indickým zpracovatelem údajů podle požadavků DPDP:
- účely a právní důvody zpracování, seznam operací a kategorií údajů;
- požadavky na bezpečnost, šifrování, protokolování, PAM a DLP;
- postup DSAR, hlášení incidentů, lhůty a formát komunikace s Radou pro ochranu údajů;
- zákaz subprocesingu bez souhlasu, povinnosti k auditu a poskytování zpráv;
- bezpečnostní SLA, metriky a právo na ukončení při závažných porušeních.
Řízení třetích stran (vendor risk) vychází z prověrky dodavatelů
Due Diligence: hodnocení souladu, SOC 2/ISO 27001, pentestové zprávy, právní potvrzení, registr subprocesorů a kontinuální monitorování. Kontrola poskytovatelů cloudových služeb (AWS, Azure, GCP) zahrnuje ověření zón úložiště, mechanismy KMS, přístupové protokoly a obnovu po havárii.
Přearchivování a vedení rejstříku činností zpracování (RoPA): opora celého modelu: bez aktuálního rejstříku se ztrácí kontrola nad riziky.
audit souladu, interní i externí, se provádí podle kontrolních seznamů DPDP a příbuzných bezpečnostních standardů: ISO/IEC 27001, NIST, SOC 2. Řešení vyvinuté v COREDO kombinuje technické skenování (zranitelnosti aplikací, přístupy) a právní audit (politiky, smlouvy, TIAs), což poskytuje celistvý obraz a srozumitelnou mapu postupu.
Plán implementace DPDP
Praktický plán zavedení DPDP ve startupu:
- Jmenovat vlastníka oblasti ochrany soukromí a sestavit mapu systémů.
- Vytvořit RoPA a základní zásady ochrany osobních údajů.
- Spustit CMP, nastavit zaznamenávání souhlasů a odmítnutí cookies.
- Provést DPIA pro klíčové funkce a marketing, zavést šifrování a PAM.
- Schválit postup DSAR a řešení stížností, stanovit SLA.
- Zavést řízení incidentů a plán oznamování.
- Aktualizovat smlouvy se zpracovateli, zavést požadavky DPDP a audit.
- Nastavit přeshraniční přenosy: smluvní doložky, TIA, BCR podle potřeby.
- Školit zaměstnance, začlenit kontroly ochrany soukromí do CI/CD a code review (privacy engineering).
- Spustit metriky efektivity a pravidelné reporty pro C‑suite.
U zralých společností se přidávají: program kontinuálního monitorování, integrace privacy by design do produktové roadmapy, automatizace zpracování žádostí subjektů údajů, kontrola zavádění opatření ochrany soukromí v CI/CD procesu, a konsolidace zásad ochrany osobních údajů pro nadnárodní společnosti. korporátní řízení: role boardu a C‑suite – schvalovat rizikový apetýt, metriky a investice, ověřovat připravenost na kontroly Data Protection Board.
KPI souladu s DPDP pro představenstvo:
- MTTR na incidenty a doba reakce na incident;
- procento uzavřených DSAR v rámci SLA;
- podíl pokrytých rizik DPIA a procento kritických zranitelností uzavřených v termínu;
- procento dodavatelů s úspěšným hodnocením shody;
- TCO projektu compliance a ROI z implementace privacy by design (méně ztrát, vyšší konverze, rychlejší enterprise obchody);
- SLA pro oznámení Data Protection Board a jeho skutečné dodržování.
Lze použít mezinárodní standardy (ISO 27001, SOC 2) jako důkaz souladu s DPDP? Ano, je to silný základ, ale bez přizpůsobení indickým právům subjektů údajů, procesům řešení stížností a místním zvláštnostem není takový balíček považován za dostačující. Tým COREDO provádí gap assessment a nastavuje chybějící prvky.
Právní aspekty globálních společností
Jak může evropská společnost vyhovět DPDP při práci s indickými klienty? Pokud nabízíte zboží/služby osobám v Indii nebo sledujete jejich chování, jste podle DPDP správcem údajů. Není nutné mít registraci v Indii, ale povinnosti platí. Je potřeba místní zástupce nebo registrace v Indii? Role DPO je povinná a při udělení statusu významného správce údajů vznikají další povinnosti; zákon nezavádí registr kontrolorů.
Jak DPDP interaguje s GDPR и jinými regionálními zákony? Vycházíme z „společného jmenovatele“ založeného na GDPR, poté přidáváme indické specifika: údaje o dětech, mechanismus stížností, přeshraniční přenosy podle „bílého seznamu“, požadavky na DPO. Dopad na M&A: jaké dokumenty zkontrolovat při due diligence v indické jurisdikci podle DPDP? Vyžádejte si RoPA, DPIA: metodiku a šablony, logy souhlasů, deník incidentů a oznámení, rejstřík dodavatelů a subprocesorů, TIAs, toky s dětskými údaji, rejstřík stížností a korespondenci s regulátorem, a také zprávy z externích auditů.
Státní výjimky a zpracování státními orgány podle DPDP existují: jednotlivé úřady mohou získat výjimky ve prospěch bezpečnosti a veřejného pořádku. Specifika u kvazistátních struktur a veřejných zakázek vyžadují posouzení smluv a postupů přístupu k údajům; toto zahrnujeme do TIA a smluvních ustanovení. Spolupráce s orgány činnými v trestním řízení a žádosti o údaje jsou upraveny procesním právem; politika by měla popisovat rámec zpřístupnění, protokolování a minimalizace.
Regulatorní praxe a precedenty vymáhání v Indii se teprve formují, ale orientační body jsou jasné: Priorita: bezpečnost, údaje o dětech a řádná komunikace s Radou. Sankce jsou finančně významné a náhrady spotřebitelům jsou možné prostřednictvím mechanismů občanskoprávní odpovědnosti a hromadných žalob. Pojištění kyberrizik a krytí regulatorních pokut závisí na místním právu a pojistce; doporučujeme politiku kryjící tým pro řešení incidentů (IR), forenziku, PR a právní obhajobu.
Případové studie COREDO: udržitelné dodržování předpisů
Případ 1: SaaS‑platforma z EU se zákazníky v Indii. Úkol: dosažení souladu s DPDP bez zpomalení plánu vývoje produktu. Provedli jsme gap‑analýzu, nasadili CMP s granulárním souhlasem, přizpůsobili SCC indickým reáliím, provedli TIA pro přenos logů do cloudu v Singapuru a také zavedli šifrování a PAM. Výsledek: uzavření tří enterprise smluv v Indii za čtvrtletí a snížení MTTR incidentů o 42%.
Případ 2: poskytovatel fintech platebních služeb v Singapuru s back‑officem v Bangalore. Složitost — kombinace požadavků MAS, ISO 27001 a DPDP. Řešení vyvinuté v COREDO spojilo RoPA, DPIA, audit subprocesorů a smluvní model se striktními bezpečnostními SLA a právem na on‑site audit. Navíc jsme vybudovali mechanismus řešení stížností a DSAR proces pro indické uživatele. Výsledek: úspěšný audit klientské banky a expanze na indický trh.
Případ 3: HR‑tech z Velké Británie se zpracováním dotazníků kandidátů v Indii. Provedli jsme revizi náborových praktik, snížili množství shromažďovaných dokumentů, zavedli automatické vymazání při odmítnutí a funkce souhlasu pro prověrky minulosti. Zkušenost COREDO potvrzuje: snížení nadbytečného zpracování snížilo rizika a zároveň zvýšilo konverzi zaměstnavatelů, protože transparentnost se stala konkurenční výhodou.
Často kladené otázky
Jak dlouho a jaký rozpočet potřebují společnosti, aby dosáhly souladu s DPDP? Startup s jednoduchými toky: 8–12 týdnů, orientační rozpočet 30–80 tis. USD včetně nasazení CMP a základních technických kontrol. Střední společnost s dodavatelským řetězcem: 3–6 měsíců a 120–400 tis. USD, včetně auditu, aktualizace smluv a automatizace DSAR. Velké podniky s více regiony – etapový plán na 6–12 měsíců.
Jak minimalizovat provozní rizika při škálování v souvislosti s DPDP? Standardizujte smlouvy, automatizujte souhlasy a DSAR, integrujte privacy‑kontroly do CI/CD, zaveďte průběžné monitorování a pravidelná cvičení pro incidenty. Pro KPI a metriky efektivity compliance programu zvažte MTTR, % uzavřených DSAR v SLA, pokrytí DPIA, podíl hodnocených dodavatelů, soukromostní chyby na vydání a TCO.
Jaké sankce se skutečně uplatňují a jak to ovlivňuje finanční model? Očekávají se vysoké pokuty za údaje o dětech, nedostatečnou bezpečnost a ignorování oznámení. Do modelů zahrnujeme rezervu «privacy risk reserve» a upravujeme LTV/CAC s ohledem na reputační ztráty a výpadky.
Je potřeba místní zástupce? Není povinné pro všechny. Pro SDF je povinný DPO v Indii; ostatním stačí funkční mechanismus pro stížnosti a provozní připravenost. Lze použít ISO 27001 a SOC 2 jako důkaz? Ano, ale s lokálním rozšířením pro DPDP: práva subjektů, TIA, smluvní klauzule a procesy oznamování.
Jaké jsou zvláštnosti DPDP pro děti a «citlivá» data? Pro děti – souhlas rodičů, zákaz cílení a profilování, ověření věku. DPDP výslovně nerozlišuje «zvláštní kategorie», ale mohou platit odvětvové normy; zohledňujeme je prostřednictvím DPIA a smluv.
Jak připravit smluvní model pro dodavatelský řetězec? Zaveďte DPDP‑klauzule, přísný postup oznámení a auditu, omezení subprocesingu, požadavky na šifrování, auditní záznamy, PAM/DLP, SLA a náhrady. Jak DPDP spolupracuje s GDPR? Logika je kompatibilní, ale liší se právní základy zpracování a mechanismy přeshraničního přenosu; budujeme «jádro» na GDPR a přidáváme indické prvky.
Jaké záruky a pojištění doporučit? Kybernetické pojištění s krytím IR týmu, forenziky, PR a právní ochrany; ověřte krytí pro regulační šetření a výjimky týkající se pokut. Pro velké transakce klientům nabízíme bankovní záruky za SLA bezpečnosti a úschovu (escrow) na dodatečné náklady na nápravu.
Nástroje, dokumenty, šablony
Nástroje a služby:
- Platforma pro správu souhlasů pro soulad s DPDP a nástroje CMP a zaznamenávání souhlasů;
- Systém registrace zpracování (RoPA), integrovaný s CMDB;
- Platformy pro řízení požadavků na přeshraniční přenos a TIA;
- Služby DPIA a nezávislého auditu, průběžné monitorování a DLP;
- Technologická řešení pro pseudonymizaci/anonymizaci a správu klíčů.
Právní a korporátní dokumenty:
- Vzory zásad zpracování údajů v souladu s DPDP a místní oznámení o ochraně soukromí;
- Šablony smluv mezi správcem údajů a zpracovatelem údajů, doložky pro subprocesory a bezpečnostní SLA;
- Postupy zpracování práv subjektů údajů (DSAR), řešení stížností a protokol incidentů;
- Politiky uchovávání a mazání údajů, řízení životního cyklu dat (Data Lifecycle Management), plány obnovy po úniku dat;
- Průvodce auditem a interní kontrolou souladu s DPDP a Digital Personal Data Protection Act 2023 v ruštině pro představenstvo a C‑suite.
Technická operacionalizace:
- Protokolování a logování přístupů, řízení oprávnění, analýza hrozeb a hodnocení zranitelností aplikací;
- Kontrola souladu prostřednictvím průběžného monitorování, testování incidentů a tabulka regulovaných dob uchovávání;
- Řízení třetích stran a prověrka dodavatelů (Vendor Due Diligence), kontrola poskytovatelů cloudových služeb a smlouvy se subdodavateli.
Celkové náklady vlastnictví (TCO), návratnost investic (ROI) a restrukturalizace v oblasti souladu
Metriky a reportování pro představenstvo nejsou jen o rizicích. ROI z investic do souladu s DPDP pro mezinárodní podnikání se projevuje v:
- zrychlení enterprise transakcí a snížení nákladů na due diligence;
- snížení nákladů na incidenty a právní ochranu;
- nárůstu konverze díky transparentnosti a důvěryhodným mechanismům odvolání a kontroly.
Celkové náklady na vlastnictví (TCO) zahrnují nástroje, audit, právníky, školení a aktualizace IT. Naše zkušenost v COREDO ukázala: restrukturalizace dat pro minimalizaci rizik je silná páka ke snížení TCO. Odstraníte zbytečná pole, zkrátíte dobu uchovávání, použijete pseudonymizaci: snížíte plochu útoku a objemy DPIA, a tedy šetříte na údržbě a kontrolách.
Regulační horizonty a doporučení
Požadavky na lokalizaci dat a debaty kolem ní zůstávají ve veřejném diskurzu, ale firmám je důležité opírat se o platné předpisy a připravovat se na přizpůsobení. Pravidla pro oznamování a lhůty se mohou upřesňovat: včleňte do procesů flexibilitu.
Mechanismy hromadných žalob a kompenzací v Indii se vyvíjejí, proto je transparentnost a rychlé vyřízení nároků výhodnější než jakákoli právní obrana.
Pro společnosti s vysokým analytickým zatížením a Big Data v rámci DPDP navrhujeme «privacy sandbox»: datové sady s kvaziidentifikátory, kontrolní úkoly pro datové vědce, limity na joiny a posouzení reidentifikace před nasazením do produkce. Praktiky privacy engineering a Secure by Design se integrují do backlogu a Definition of Done, aby kvalita dodržování předpisů nezaostávala za rychlostí vývoje.
Partner pro růst v Indii
DPDP Act 2023: to není překážka, ale rámec udržitelného růstu na jednom z nejdynamičtějších trhů světa. Když je proces správně nastaven, urychlíte prodeje, snížíte náklady na incidenty a zvýšíte kapitál důvěry. Tým COREDO provází byznys od registrace právnické osoby a finančního licencování až po nastavení AML postupů a operacionalizaci požadavků na ochranu soukromí v EU, Asii a SNS, včetně Indie, Singapur a Dubaj.
Věřím v pragmatický compliance: srozumitelné kroky, měřitelné metriky a transparentní dohody. Pokud potřebujete plán implementace DPDP s ohledem na vaše odvětví, dodavatelský řetězec a produkt – praxe COREDO potvrzuje, že taková trajektorie je dosažitelná v rozumné lhůtě a s jasným ROI. Pojďme proměnit soulad s právními předpisy v konkurenční výhodu a základ pro dlouhodobé škálování.