Logo
+91 8882400643 [email protected]

Создание сертифицированных дата-центров в Индии и последствия Союзного бюджета 2026

С развитием сектора дата-центров Индия стала одним из ведущих направлений для инвестиций в данную отрасль. Публикация руководящих принципов по налоговым льготам, а также установление Министерством электроники и информационных технологий (MeitY) стандартов и требований к сертификации помогают обеспечить уверенность компаний, намеренных инвестировать в этот сектор, в наличии достаточного нормативного контроля.

Для инвесторов, стремящихся развивать, эксплуатировать и понимать, как создать дата-центр в Индии, важно осознавать, что инвестиции больше не ограничиваются инфраструктурой и капитальными затратами, а также включают необходимость прохождения многоуровневого регулируемого процесса с целью получения статуса «сертифицированного дата-центра».

Кроме того, в свете направлений, вытекающих из Союзного бюджета 2026 года («Бюджет 2026»), пошаговое понимание процесса создания дата-центра, требований и более широких руководящих принципов имеет решающее значение для любого инвестора, стремящегося к успешной реализации проекта.

Нормативно-правовая база

С юридической точки зрения Индия разрешает до 100% иностранных инвестиций в дата-центры по автоматическому маршруту при условии, что инвестирующая организация не относится к категории ограниченных стран. В противном случае потребуется предварительное одобрение правительства.

Одним из наиболее важных юридических аспектов для иностранных инвесторов в сфере дата-центров является законодательная база Индии, касающаяся конфиденциальности и безопасности данных. Обязательства по защите данных в Индии регулируются Законом об информационных технологиях 2000 года и последующими правилами, в частности Правилами информационных технологий (разумные методы и процедуры безопасности и конфиденциальные персональные данные или информация) 2011 года, которые устанавливают базовые стандарты обработки конфиденциальных персональных данных и внедрения разумных мер безопасности для их защиты.

Однако принятие Закона о защите цифровых персональных данных 2023 года («DPDP Act») теперь служит основным законодательством Индии, регулирующим обработку цифровых персональных данных. Хотя Закон DPDP получил одобрение и вступил в силу в 2023 году, его внедрение осуществляется поэтапно. После публикации правил в рамках Закона DPDP правительство Индии обозначило четкие сроки реализации, при этом различные положения Закона DPDP и соответствующих правил будут вводиться и применяться постепенно. Соответственно, инвесторам становится крайне важно согласовать свои договорные отношения с клиентами, соглашения об обработке данных, структуры кибербезопасности и механизмы реагирования на инциденты с требованиями Закона DPDP и подзаконных актов.

Кроме того, учитывая, что дата-центр в ИТ-индустрии представляет собой сочетание недвижимости, инфраструктуры и операторов данных, потребуется получение всех необходимых лицензий, применимых к коммерческим предприятиям, работающим в данной отрасли, включая операционные лицензии в соответствии с законами штатов о магазинах и коммерческих учреждениях, экологические разрешения на строительство и эксплуатацию, сертификат об отсутствии возражений пожарной службы (NOC) и многие другие.

Сертифицированный дата-центр: концепция и правовая основа

«Сертифицированный дата-центр» — это объект, официально признанный и сертифицированный MeitY, который соответствует критериям приемлемости в отношении технических, эксплуатационных стандартов и стандартов безопасности, включая следующие основные требования:

  • Требования к земле и местоположению, при которых предполагаемый земельный участок должен быть зонирован для промышленного использования и размещения дата-центров в соответствии с законодательством соответствующего штата.
  • Инфраструктурные и технические стандарты, обеспечивающие архитектуру высокой доступности, надежную энергетическую инфраструктуру, современные системы охлаждения и управления температурой, а также масштабируемый дизайн для поддержки облачных нагрузок.
  • Соответствие стандартам ISO и международным стандартам, применимым к системам управления информацией, институциональным стандартам, управлению ИТ-услугами и другим требованиям.
  • Безопасность данных и кибербезопасность, обеспечивающие соблюдение Закона DPDP, требований кибербезопасности, строгий контроль доступа и шифрование, проведение аудитов безопасности и мониторинга.
  • Соблюдение экологических норм и норм безопасности, включая надлежащее использование возобновляемых источников энергии и соблюдение требований по управлению отходами и выбросами.

Вышеуказанное признание со стороны MeitY является не просто административным требованием, а служит нормативным подтверждением того, что рассматриваемый дата-центр соответствует установленным пороговым значениям и имеет право на получение льгот, включая предусмотренные Бюджетом 2026.

Предварительная оценка: земля, экология и разрешения

Для эксплуатации и создания дата-центров в Индии рекомендуется выбирать стабильное и низкорисковое местоположение с достаточной площадью земли, пригодной для промышленного использования. Многие штаты (например, Уттар-Прадеш, Карнатака и др.) также предоставляют льготы, такие как освобождение от уплаты налога на электроэнергию на определенный период, что может повлиять на жизнеспособность проекта. Поэтому выбор площадки должен осуществляться с особой тщательностью с учетом льгот на уровне штата, нормативных требований и общей пригодности, поскольку перед окончательным выбором земли необходимо оценить множество факторов. Предварительная оценка и ключевые требования к разрешениям включают, помимо прочего, следующее:

  • Получение NOC для подтверждения права собственности на землю и соответствующего зонирования;
  • Получение утверждения строительного плана от местного органа власти в соответствии с применимым законодательством;
  • Получение всех экологических разрешений от соответствующих ведомств и органов штата;
  • Получение одобрения пожарной безопасности от пожарного департамента штата в соответствии с установленными нормами;
  • Получение одобрения от электроэнергетической компании с указанием необходимой нагрузки и организация выделенного/резервного электроснабжения;
  • Получение телекоммуникационного подключения от лицензированных поставщиков;
  • Подача заявки в MeitY для получения статуса «дата-центр»;
  • Получение дополнительных разрешений от SEZ/государственных ИТ-органов.

Союзный бюджет 2026

Льготы, предусмотренные Бюджетом 2026, делают Индию конкурентоспособным мировым центром для дата-центров, облачных вычислений и инфраструктуры искусственного интеллекта. С принятием Бюджета 2026 правительство Индии представило налоговую структуру, направленную на привлечение долгосрочных иностранных инвестиций в экосистему дата-центров страны. Наиболее значительным нововведением стало введение налоговых каникул до 2047 года для всех соответствующих иностранных поставщиков облачных услуг, работающих через инфраструктуру дата-центров Индии.

Эти налоговые каникулы направлены на стимулирование поставщиков облачных услуг и технологических компаний к созданию и расширению своего присутствия в стране. Предоставляя долгосрочные налоговые льготы, правительство Индии стремится не только привлечь инвестиции, но и обеспечить развитие цифровой инфраструктуры внутри страны.

В рамках Бюджета 2026 введенное налоговое освобождение распространяется на доходы, полученные соответствующими иностранными организациями от облачных операций, осуществляемых через дата-центры, расположенные в Индии. Примечательно, что указанные доходы не будут облагаться налогом при условии соблюдения следующих критериев:

  • Иностранная компания должна быть зарегистрирована в соответствии с соответствующими положениями.
  • Иностранная компания должна получать услуги дата-центра от индийской компании, управляющей объектом дата-центра.
  • Используемый объект дата-центра должен быть признан и сертифицирован MeitY в соответствии с установленными стандартами и требованиями сертификации.

Снижая налоговую неопределенность, правительство Индии фактически уменьшило барьер входа для глобальных поставщиков облачных услуг и повысило привлекательность Индии как направления для инвестиций в дата-центры.

В заключение следует отметить, что Индия представляет собой привлекательную возможность для инвестиций в дата-центры благодаря либеральным нормам ПИИ и налоговым льготам в рамках Бюджета 2026. Однако инвесторам необходимо ориентироваться во все более структурированной нормативной среде, особенно в отношении защиты данных, лицензирования телекоммуникаций и инфраструктурных разрешений. Получение статуса «дата-центр» от MeitY остается ключевым как для соблюдения требований, так и для получения льгот, что делает нормативное соответствие необходимым условием успешной деятельности.

Часто задаваемые вопросы

Q1. Наш дата-центр уже имеет сертификаты ISO/IEC 27001 и TIA-942. Нужно ли нам отдельное уведомление MeitY для получения налоговых льгот по Союзному бюджету 2026?

Да. Хотя сертификаты ISO/IEC 27001, ISO 20000-1 и TIA-942 являются обязательными требованиями, учитываемыми при оценке MeitY, они не заменяют официальное уведомление MeitY. Закон о финансах 2026 года уточняет, что дата-центр должен быть создан в рамках утвержденной схемы, уведомленной центральным правительством, и должен принадлежать и управляться индийской компанией — требования, выходящие за рамки только ISO-сертификации. На данный момент отдельная схема или руководящие принципы еще не опубликованы, поэтому существующим дата-центрам рекомендуется следить за публикацией соответствующей схемы центральным правительством и своевременно оценивать свою правомочность. Инвесторы должны рассматривать уведомление MeitY как отдельный нормативный этап по сравнению с технической сертификацией и заранее готовить необходимую документацию, чтобы избежать задержек в получении налоговых льгот.

Q2. Как иностранному поставщику облачных услуг, стремящемуся получить налоговые льготы в рамках Бюджета 2026, необходимо структурировать свою деятельность в Индии, чтобы избежать непреднамеренного создания риска налогооблагаемого постоянного представительства (PE)?

Министерство финансов разъяснило, что освобождение гарантирует, что глобальный доход иностранных облачных компаний не будет облагаться налогом в Индии только потому, что они приобретают услуги дата-центров внутри страны, напрямую устраняя давние опасения гиперскейлеров по поводу риска создания налогооблагаемого присутствия за счет использования внутренней инфраструктуры данных. Для получения права на льготу должны быть выполнены четыре основных условия: иностранный поставщик облачных услуг должен быть зарегистрирован в соответствии с соответствующими положениями; компания дата-центра, у которой приобретаются услуги, должна быть индийской компанией; дата-центр должен быть сертифицирован MeitY; а облачные услуги, предоставляемые индийским пользователям, должны осуществляться через индийскую компанию-реселлера, которая также должна быть индийской компанией. Иностранным инвесторам следует заранее привлекать индийских налоговых консультантов для структурирования основных соглашений об оказании услуг таким образом, чтобы четко разделять глобальные и внутренние потоки доходов до открытия периода действия льготы с налогового года 2026–27.

Q3. Каковы основные обязательства по соблюдению Закона DPDP, которые оператор дата-центра должен встроить в свою инфраструктуру и контракты, и каковы критические сроки?

Операторы дата-центров выступают как обработчики данных для своих облачных арендаторов и как операторы персональных данных для собственных операционных данных, создавая многоуровневые обязательства, которые должны быть встроены в техническую инфраструктуру и контракты задолго до начала правоприменения. Закон DPDP устанавливает три критически важных срока: Совет по защите данных начал функционировать в ноябре 2025 года; система регистрации Consent Manager вступает в силу 13 ноября 2026 года; а полное соблюдение требований — включая уведомления о конфиденциальности, системы согласия, меры безопасности, протоколы уведомления об утечках, политики хранения данных и инфраструктуру прав субъектов данных — должно быть обеспечено к 13 мая 2027 года. Учитывая, что штрафы могут достигать ₹250 crore за каждое нарушение, причем самые высокие штрафы применяются за неспособность внедрить разумные меры безопасности или выполнить требования по уведомлению об утечках, соблюдение DPDP должно быть заложено в архитектуру объекта и систему управления с самого начала, а не внедряться позднее.

Q4. Процесс сертификации MeitY все еще развивается. Какие практические шаги инвестор может предпринять уже сейчас, чтобы минимизировать риски для сроков проекта, пока ожидается окончательная схема?

Пассивное ожидание не является жизнеспособной стратегией, учитывая, что вся система налоговых льгот зависит от уведомления MeitY. Инвесторам следует параллельно с развитием площадки обеспечивать готовность к соблюдению требований, незамедлительно получая международно признанные сертификаты, поскольку поставщики облачных услуг, аккредитованные MeitY, обязаны соблюдать международные стандарты сертификации, такие как ISO 27001:2017, ISO 27017:2015, ISO 27018:2019 и ISO 20000-1:2018, а проверки соответствия составляют первый этап оценки MeitY перед передачей заявок в STQC для детального аудита. Кроме того, обеспечение того, чтобы дата-центр с самого начала принадлежал и управлялся индийской зарегистрированной компанией, активное участие в консультациях MeitY и NASSCOM, а также раннее получение доступа к земле и энергоснабжению являются критически важными шагами, поскольку первые участники рынка получат экономические и нормативные преимущества, которые поздние игроки уже не смогут воспроизвести, учитывая прогнозируемое расширение мощности Индии примерно с 1,35 ГВт до 8 ГВт к 2030 году.

This content is originally Posted in English: Setting Up Notified Data Centers in India and Union Budget 2026 Implications

GDPR против индийского закона о данных — что следует знать российскому бизнесу?

Для российского бизнеса, расширяющегося на глобальном уровне, соблюдение международных правил защиты данных стал стратегическим приоритетом. Большинство компаний, уже работающих в Европе, знакомы с Общий регламент по защите данных (GDPR) — всеобъемлющая и строгая система, внедренная во всем Европейском Союзе. Но если вы хотите начать или расширить деятельность в Индии, понимая Закон о защите цифровых персональных данных 2023 года (Закон DPDP) имеет решающее значение.

Хотя оба закона направлены на защиту конфиденциальности персональных данных и регулируют обработку данных, они различаются по сфере применения, применению, юридической терминологии и обязательствам. Для российских компаний, уже соблюдающих GDPR, хорошая новость заключается в том, что многие существующие меры по обеспечению соответствия могут быть адаптированы для Индии, но не без корректировки.

В Ахлават и партнеры, мы помогаем иностранным предприятиям, в том числе российским фирмам, получить юридические услуги в Индии адаптированные к местной нормативно-правовой базе. Эта статья поможет вам разобраться в сравнении GDPR и индийского законодательства о данных, а также в практических шагах, которые следует предпринять российским компаниям для легальной работы в обоих регионах.

Юрисдикция: где применяются законы?

GDPR применяется к:

  • Все организации, обрабатывающие персональные данные физических лиц в ЕС или ЕЭЗ, независимо от того, где находится компания.
  • Компании из стран, не входящих в ЕС, предлагающие товары или услуги гражданам ЕС или контролирующие их поведение.

Закон Индии о DPDP применяется к:

  • Собранные персональные данные в Индии и обработаны в цифровом виде, даже если обработка происходит за пределами Индии.
  • Иностранные компании, обрабатывающие персональные данные граждан Индии, деловые цели, включая профилирование и маркетинг.

Если ваш российский бизнес собирает или обрабатывает данные из Индийские пользователи, даже без физического присутствия в Индии, Вы обязаны соблюдать Закон DPDP.

Объем персональных данных

GDPR определяет персональные данные как любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу, включая имена, IP-адреса, медицинские записи, биометрические данные и т. д. Он также различает персональные данные и данные специальной категории (конфиденциальная информация, требующая повышенной защиты).

Закон о ДПДП определяет персональные данные более просто как любые данные о человеке, которого можно идентифицировать. Хотя он не делает явного различия между конфиденциальными данными данные детей и обработчики больших объемов данных (значимые доверенные лица данных) относятся с особой осторожностью.

В то время как GDPR классифицирует данные с большей степенью детализации, DPDP принимает широкий и единообразный подход к персональным данным, но вводит специальные положения, основанные на характере обработчика.

Правовая основа обработки данных

GDPR допускает шесть правовых оснований для обработки данных:

  • Согласие
  • Договорная необходимость
  • Юридическое обязательство
  • Жизненно важные интересы
  • Публичная задача
  • Законные интересы

Закон о ДПДП в значительной степени основанный на согласии, и не предоставляет тот же набор альтернативных правовых оснований. Однако он включает в себя определенные «законное использование», например, соблюдение законов или постановлений суда, где согласие не требуется.

Российский бизнес в Индии должен полагаться в первую очередь на явное согласие пользователя для сбора и обработки персональных данных, в отличие от более широких правовых основ GDPR.

Требования согласия

GDPR и DPDP требуют, чтобы согласие должно быть свободно данным, информированным, конкретным и недвусмысленным, но они немного отличаются по исполнению.

  • Под GDPR, согласие может быть подписаться с помощью флажков или цифровых подписей и должны быть так же легко снять, как и дать.
  • The Закон о ДПДП требует, чтобы согласие было сопровождается уведомлением о конфиденциальности на понятном языке и напрямую привязанные к конкретной цели обработки.

В Индии вы также должны предложить возможность отозвать согласие и удалять связанные с ними данные по запросу.

Российские компании, входящие в Индию, должны рассмотреть и перепроектировать свои механизмы сбора согласия для соответствия стандартам DPDP — даже если они уже соответствуют GDPR.

Права субъектов данных

GDPR предоставляет широкий спектр прав отдельным лицам (субъектам данных), включая:

  • Право на доступ
  • Право на исправление
  • Право на стирание (право быть забытым)
  • Право ограничить обработку
  • Право на переносимость данных
  • Право на возражение

Закон о ДПДП также предлагает основные права, но более ограничено:

  • Право на доступ к персональным данным
  • Право на исправление и удаление
  • Право на рассмотрение жалобы
  • Право назначать лицо для осуществления прав в случае смерти или недееспособности

Индийское законодательство не включает переносимость данных или право на возражение как показано в GDPR, что делает его немного менее экспансивный с точки зрения прав пользователя.

Трансграничная передача данных

GDPR требует, чтобы передача данных за пределы ЕС происходила только тогда, когда принимающая страна обеспечивает адекватный уровень защиты. Это позволяет стандартные договорные условия (СДУ) или обязательные корпоративные правила (BCR) для других юрисдикций.

The Закон о ДПДП по умолчанию разрешает трансграничные переводы, за исключением страны, на которые индийское правительство наложило ограничения. В настоящее время список юрисдикций, подпадающих под ограничения, отсутствует, что предоставляет компаниям определенную гибкость.

Режим передачи данных в Индии менее строгий чем GDPR — по крайней мере, пока. Но российским компаниям всё равно следует использовать надлежащие соглашения об обработке данных и механизмы раскрытия информации.

Обязанности обработчика данных/доверительного управляющего

Оба закона налагают обязательства на субъект, ответственный за обработку данных.

Под GDPR, компании должны:

  • Руководить Оценки воздействия на защиту данных (DPIA)
  • Назначить Сотрудники по защите данных (DPO) в особых случаях
  • Поддерживайте Запись действий по обработке (RoPA)
  • Осуществлять конфиденциальность по умолчанию и замыслу
  • Сообщайте о нарушениях в 72 часа

Под Закон о ДПДП, компании должны:

  • Осуществлять меры безопасности (хотя подробности пока не обнародованы)
  • Уведомить Совет по защите данных Индии и пострадавшие лица в случае нарушения
  • Уничтожить данные когда цель достигнута или по запросу
  • Назначить DPO и поведение аудиты если классифицировано как Важные доверенные лица данных

Хотя GDPR стал более структурированным и подробным, индийское законодательство развивается. Российским компаниям следует следить за будущими правилами выданные правительством Индии для обеспечения соблюдения требований.

Данные о детях

GDPR и DPDP имеют строгие условия для обработки данных, касающихся детей.

  • GDPR устанавливает возраст согласия на 16 лет (государства-члены могут снизить это число до 13).
  • ДПДП считает любого, кто находится под 18 лет ребенок и требует проверяемое родительское согласие для любого сбора данных.

Если ваше мобильное приложение или веб-сайт ориентированы на молодых пользователей в Индии, вы должны создать механизмы возрастного контроля и родительского согласия соответственно.

Blog CTA

Штрафы за несоблюдение

GDPR Известен своим строгим контролем. Штрафы могут достигать:

  • 20 миллионов евро или 4% мирового годового оборота, в зависимости от того, что выше.

Закон о ДПДП также вводит существенные штрафы:

  • До 250 крор рупий (около 30 миллионов долларов США) за неспособность защитить данные или предотвратить утечки.
  • Многоуровневые штрафы в зависимости от типа нарушения.

Однако GDPR имеет больше зрелые механизмы принуждения, в то время как Индия Совет по защите данных все еще находится в стадии внедрения.

Оба закона несут большие финансовые штрафы Небольшая ошибка может стоить миллионы, делая необходим проактивный юридический консультант.

Документация и аудит

  • GDPR требуется подробная документация журналов согласия, использования данных, отчетов о нарушениях и DPIA.
  • Под Закон о ДПДП, документация подразумевается, но менее формализована, хотя это может измениться, как только Индия выпустит свой правила и стандарты.

Если классифицировано как Важные доверительные данные В Индии ваш российский бизнес должен будет вести аудиторские следы, отчеты о соответствии и назначение DPO —аналогично предписаниям GDPR.

Сводная таблица: GDPR и индийский закон DPDP

Аспект GDPR Закон DPDP (Индия)
Правовая основа 6 оснований, включая согласие В первую очередь согласие + законное использование
Возраст согласия 13–16 лет 18 лет
Трансграничные переводы Ограничено, если не обеспечены достаточные гарантии Разрешено, за исключением стран с ограниченным доступом
Индивидуальные права Обширный (включая переносимость, возражение) Ограничено (нет переносимости/возражений)
Орган принудительного исполнения Независимые регуляторы ЕС Совет по защите данных Индии
Максимальное наказание 20 миллионов евро или 4% от мирового дохода 250 крор рупий (~30 миллионов долларов США)
Требование DPO Обязательно в сценариях высокого риска Требуется для значительных доверительных управляющих

Заключительные мысли: как Ahlawat & Associates может помочь

Ориентироваться в сложном мире глобальной защиты данных непросто, особенно учитывая различия в законодательстве разных юрисдикций. Российским компаниям, выходящим на индийский рынок, необходимо:

  • Осознайте, что Одного лишь соответствия GDPR недостаточно
  • Понять уникальные обязательства в соответствии с Законом Индии о защите прав потребителей и благополучия человека
  • Изменить внутренние системы, политики и механизмы согласия
  • Подготовьтесь к меняющимся правилам соблюдения и правоприменения

Свяжитесь с нами