Адпаведнасць патрабаванням13 красавіка 2026 | FlexyConsent

Закон Індыі DPDP: згода на cookie для найбуйнейшага лічбавага рынку свету

Індыя прыняла Закон аб абароне лічбавых персанальных даных (Закон DPDP) у 2023 годзе, і правілы, якія ўводзяць яго ў дзеянне, цяпер уступілі ў сілу. З больш чым 850 мільёнамі інтэрнэт-карыстальнікаў Індыя — гэта рынак, на якім ніводзін глабальны выдавец, рэкламадаўца або SaaS-аператар не можа дазволіць сабе памыліцца, а Закон DPDP уводзіць абавязацельствы па згодзе, якія істотна адрозніваюцца ад GDPR, CCPA і іншых нарматыўных баз, якія вы, магчыма, ужо падтрымліваеце.

Гэты дапаможнік тлумачыць, як Закон DPDP трактуе cookie і ідэнтыфікатары адсочвання, да каго ён прымяняецца і як выглядае адпаведны вопыт згоды для індыйскіх карыстальнікаў.

Да каго прымяняецца Закон DPDP

Закон DPDP рэгулюе апрацоўку лічбавых персанальных даных у межах Індыі, а таксама апрацоўку за межамі Індыі, звязаную з прапановай тавараў або паслуг асобам у Індыі. На практыцы, калі ваш сайт даступны індыйскім карыстальнікам і вы збіраеце праз яго персанальныя даныя — у тым ліку праз cookie, SDK, пікселі або фінгерпрынтынг — Закон амаль напэўна прымяняецца да вас.

Закон выкарыстоўвае дзве ключавыя ролі: Даверанай асобы даных (эквівалент кантролёра ў GDPR) і Апрацоўшчыка даных. Невялікая колькасць найбуйнейшых аператараў можа быць прызначана Значнымі даверанымі асобамі даных, што цягне дадатковыя абавязацельствы, такія як ацэнкі ўздзеяння на абарону даных і прызначэнне спецыяліста па абароне даных, які пражывае ў Індыі.

Як Закон DPDP трактуе cookie і трэкеры

У адрозненне ад Дырэктывы ePrivacy, Закон DPDP не вылучае cookie як асобную катэгорыю. Замест гэтага ён рэгулюе любую апрацоўку лічбавых персанальных даных. Гэта азначае, што cookie, ідэнтыфікатары прылад, IP-адрасы, рэкламныя ідэнтыфікатары і хэшаваныя электронныя адрасы — усе трапляюць у сферу дзеяння, калі яны звязаны — прама або ўскосна — з ідэнтыфікаваным чалавекам.

Вывад для выдаўцоў просты: калі cookie або тэг на вашым сайце выклікае збор або перадачу персанальных даных, вам патрэбна сапраўднае прававое падставы. Паводле Закона DPDP такім падставай амаль заўсёды з'яўляецца згода, з вузкім наборам выключэнняў для «законных відаў выкарыстання», вызначаных Законам.

Як выглядае сапраўдная згода

Закон DPDP устанаўлівае высокую планку для згоды. Яна павінна быць свабоднай, канкрэтнай, інфармаванай, безумоўнай і недвухсэнсоўнай і выказана праз яснае сцвярджальнае дзеянне. Папярэдне адзначаныя палі, маецца на ўвазе згода з працягу прагляду і дызайны «cookie wall», якія абумоўліваюць доступ прыняццем, несумяшчальныя з гэтымі патрабаваннямі.

Два дадатковыя спецыфічныя для DPDP правілы важныя для UX згоды:

Дэталізаванае паведамленне: да або падчас атрымання згоды вы павінны даць карыстальніку яснае паведамленне, якое вызначае збіраемыя даныя, мэты апрацоўкі і тое, як карыстальнік можа адклікаць згоду або падаць скаргу ў Савет па абароне даных Індыі.
Простая мова і шматмоўная падтрымка: паведамленні павінны быць даступныя на англійскай і на любой з 22 афіцыйных моў Індыі, якую выбірае карыстальнік. CMP, якая не можа адлюстроўваць змесціва згоды на хіндзі, тамільскай, бенгальскай, маратхі і іншых асноўных мовах, будзе з цяжкасцю адпавядаць патрабаванням.

Даныя дзяцей і бацькоўская згода

Закон DPDP лічыць любую асобу маладзей за 18 гадоў дзіцём і патрабуе правяральнай бацькоўскай згоды перад апрацоўкай яго персанальных даных. Ён таксама забараняе паводніцкі маніторынг і таргетаваную рэкламу, накіраваную на дзяцей. Любы сайт, даступны непаўналетнім у Індыі — што на практыцы азначае амаль кожны сайт — мае патрэбу ў стратэгіі ўзроставай праверкі або ацэнкі рызык і павінен мець магчымасць блакаваць скрыпты адсочвання пры адсутнасці бацькоўскай згоды.

Правы карыстальнікаў, якія павінна падтрымліваць ваша CMP

Суб'екты даных (карыстальнікі) у Індыі маюць набор правоў, якія павінны быць ажыццяўляльнымі праз ваш пласт згоды і пераваг:

Права на доступ да зводкі апрацоўваных персанальных даных.
Права на выпраўленне і выдаленне сваіх даных.
Права адклікаць згоду у любы час з той жа лёгкасцю, што і пры яе прадастаўленні.
Права прызначыць іншую асобу для ажыццяўлення правоў у выпадку смерці або недзеяздольнасці.
Права на разгляд скаргаў, спачатку ў Даверанай асобы даных, а затым у Савеце па абароне даных Індыі.

Адпаведная CMP павінна прадастаўляць пастаянную спасылку на перавагі, падтрымліваць адклік згоды ў адзін клік і рэгістраваць падзеі згоды так, каб іх можна было прадаставіць па запыце падчас расследавання.

Трансгранічная перадача даных

Закон DPDP прымяняе падыход «негатыўнага спіса» да міжнародных перадач: персанальныя даныя могуць перадавацца за межы Індыі, калі толькі краіна прызначэння спецыяльна не абмежавана Цэнтральным урадам. Гэта больш ліберальна, чым рэжым адэкватнасці GDPR, але вам усё роўна варта дакументаваць, якія трэція краіны атрымліваюць даныя ад індыйскіх карыстальнікаў, і адсочваць апублікаваны спіс абмежаванняў.

Штрафы і правапрымяненне

Фінансавыя штрафы паводле Закона DPDP істотныя. Савет па абароне даных можа накладаць штрафы да 250 крор рупій (прыкладна 30 мільёнаў долараў ЗША) за непрыняцце разумных мер бяспекі і да 200 крор рупій за невыкананне абавязацельстваў у дачыненні да дзяцей. Парушэнні, звязаныя са згодай — уключаючы збор згоды праз неадпаведныя банеры — падлягаюць штрафам да 50 крор рупій за парушэнне.

Укараненне адпаведнай DPDP згоды ў вашай CMP

Вызначайце па геалакацыі індыйскіх карыстальнікаў і прымяняйце спецыфічны для DPDP шаблон згоды, а не паўторна выкарыстоўвайце банер GDPR. Патрабуемае змесціва паведамлення і моўныя опцыі адрозніваюцца.
Адлюстроўвайце паведамленні на некалькіх індыйскіх мовах. Як мінімум падтрымлівайце хіндзі і англійскую і дадавайце рэгіянальныя мовы ў залежнасці ад размеркавання вашага трафіку.
Блакуйце ўсе неістотныя трэкеры па змаўчанні. Загружайце рэкламныя, аналітычныя і іншародныя SDK толькі пасля сцвярджальнай згоды.
Выразна падзяляйце мэты. Не аб'ядноўвайце рэкламу, аналітыку і персаналізацыю ў адзінае дзеянне «прыняць», калі карыстальнік мог бы разумна захацець пагадзіцца на адны, але не на іншыя.
Рэгіструйце падзеі згоды і адкліку з часавымі меткамі, дакладнай версіяй паказанага паведамлення і выбарам мовы карыстальніка, каб вы маглі даказаць адпаведнасць падчас рэгулятарных праверак.
Прадастаўляйце бачную спасылку на перавагі на кожнай старонцы, якая дазваляе карыстальнікам праглядаць, абнаўляць або адклікаць згоду ў любы час.

DPDP супраць GDPR: практычныя адрозненні

Няма падставы «законных інтарэсаў». Закон DPDP не прызнае законныя інтарэсы ў якасці агульнага прававога падставы, як гэта робіць GDPR. Згода мае большую вагу, таму дызайн UX важнейшы.
Больш строгія правілы ў дачыненні да дзяцей. Узрост лічбавай згоды — 18 гадоў, а не 13 або 16, і таргетаваная рэклама непаўналетнім прама забаронена.
Патрабаванне шматмоўнага паведамлення унікальна для Закона DPDP і не можа быць задаволена банерам толькі на англійскай.
Абавязацельствы Значнай даверанай асобы даных ствараюць другі ўзровень адпаведнасці для аператараў высокай рызыкі, у якога няма прамога аналага ў GDPR.

Заключэнне

Закон DPDP уводзіць Індыю ў сучасны глабальны ландшафт абароны даных са сваім асаблівым адценнем — згода ў першую чаргу, шматмоўнасць па дызайне і абарона непаўналетніх у незвычайнай ступені. Выдаўцы і платформы, якія ўжо эксплуатуюць CMP узроўню GDPR, маюць фору, але ім усё роўна трэба будзе скарэктаваць змесціва банераў, моўную падтрымку, апрацоўку ўзросту і вядзенне журналаў, каб адпавядаць патрабаванням DPDP. Стаўленне да Індыі як да «яшчэ адной юрысдыкцыі GDPR» — самы хуткі спосаб апынуцца перад Саветам па абароне даных.