Съответствие13 април 2026 г. | FlexyConsent

Законът на Индия DPDP: Съгласие за бисквитки за най-големия дигитален пазар в света

Индия прие Digital Personal Data Protection Act (DPDP Act) през 2023 г., а правилата за неговото прилагане вече влязоха в сила. С повече от 850 милиона интернет потребители Индия е пазар, който нито един глобален издател, рекламодател или SaaS оператор не може да си позволи да подцени — а Законът DPDP въвежда задължен��я за съгласие, които се различават съществено от GDPR, CCPA и други рамки, които вече може да поддържате.

Това ръководство обяснява как Законът DPDP третира бисквитките и проследяващите идентификатори, за кого се прилага и как изглежда съответстващо изживяване по отношение на съгласието за индийските потребители.

За кого се прилага Законът DPDP

Законът DPDP урежда обработването на цифрови лични данни в рамките на Индия, както и обработването извън Индия, което е свързано с предлагане на стоки или услуги на лица в Индия. На практика, ако вашият уебсайт е достъпен за индийски потребители и събирате лични данни чрез него — включително чрез бисквитки, SDK, пиксели или „fingerprinting“ — Законът почти със сигурност се прилага за вас.

Законът използва две ключови роли: Data Fiduciary (еквивалент на администратор по GDPR) и Data Processor. Малък брой от най-големите оператори могат да бъдат определени като Significant Data Fiduciaries, което задейства допълнителни задължения като оценки на въздействието върху защитата на данните и назначаване на длъжностно лице по защита на данните, което е местно лице в Индия.

Как Законът DPDP третира бисквитките и тракерите

За разлика от Директивата за поверителност и електронни съобщения (ePrivacy Directive), Законът DPDP не отделя бисквитките като самостоятелна категория. Вместо това той регулира всяка обработка на цифрови лични данни. Това означава, че бисквитки, идентификатори на устройства, IP адреси, рекламни ID и хеширани имейли попадат в обхвата, когато са свързани — пряко или непряко — с идентифицируемо лице.

Последицата за издателите е ясна: ако дадена бисквитка или таг на вашия сайт води до събиране или споделяне на лични данни, ви е необходимо валидно правно основание. Съгласно Закона DPDP това основание почти винаги е съгласие, с тесен набор от изключения за „legitimate uses“, определени в Закона.

Как изглежда валидното съгласие

Законът DPDP поставя висока летва за съгласието. То трябва да бъде свободно дадено, конкретно, информирано, безусловно и недвусмислено и да бъде изразено чрез ясно потвърждаващ�� действие. Предварително отметнати полета, подразбиращо се съгласие от продължаване на браузването и „cookie wall“ дизайни, които обвързват достъпа с приемане, не са съвместими с тези изисквания.

Две допълнителни, специфични за DPDP правила са важни за UX на съгласието:

Подробно (itemised) уведомление: Преди или в момента на даване на съгласие трябва да предоставите на потребителя ясно уведомление, в което се посочват събираните данни, целите на обработването и как потребителят може да оттегли съгласието си или да подаде жалба до Data Protection Board of India.
Ясен език и многоезична поддръжка: Уведомленията трябва да са налични на английски и на всеки от 22-те официално признати езика на Индия, който потребителят избере. CMP, който не може да показва съдържанието за съгласие на хинди, тамилски, бенгалски, маратхи и други основни езици, ще има затруднения да спазва изискванията.

Данни на деца и родителско съгласие

Законът DPDP третира всеки под 18 години като дете и изисква проверимо родителско съгласие преди обработване на неговите лични данни. Също така забранява поведенческо наблюдение и таргетирана реклама, насочени към деца. Всеки уебсайт, който е достъпен за непълнолетни в Индия — което на практика означава почти всеки сайт — се нуждае от стратегия за проверка на възрастта или базирана на риска, и трябва да може да блокира проследяващи скриптове, когато липсва родителско съгласие.

Права на потребителите, които вашият CMP тряб��а да поддържа

Data Principals (потребителите) в Индия имат набор от права, които трябва да могат да бъдат упражнявани чрез вашия слой за съгласие и предпочитания:

Право на достъп до обобщена информация за личните им данни, които се обработват.
Право на коригиране и изтриване на техните данни.
Право да оттеглят съгласие по всяко време, с толкова лесна процедура, колкото и даването му.
Право да посочат (nominate) друго лице, което да упражнява правата им в случай на смърт или нетрудоспособност.
Право на разглеждане на жалби, първо пред Data Fiduciary, а след това пред Data Protection Board of India.

Съответстващ CMP трябва да предоставя постоянна връзка към настройките на предпочитанията, да поддържа еднократно (one-click) оттегляне на съгласие и да регистрира събитията по съгласие по начин, който може да бъде представен при поискване по време на проверка.

Трансгранични прехвърляния на данни

Законът DPDP прилага подход „negative list“ към международните прехвърляния: лични данни могат да бъдат прехвърляни извън Индия, освен ако държавата на местоназначение не е изрично ограничена от централното правителство. Това е по-либерално от режима на адекватност по GDPR, но все пак трябва да документирате в кои трети държави се изпращат данни на индийски потребители и да следите публикувания списък с ограничения.

Санкции и прилагане

Финансовите санкции по Закона DPDP са значителни. Data Protection Board може да налага глоби до ₹250 crore (приблизително 30 милиона щатски долара) за неспособност да се вземат разумни мерки за сигурност и до ₹200 crore за неизпълнение на задълженията по отношение на деца. Нарушения, свързани със съгласието — включително събиране на съгласие чрез несъответстващи банери — подлежат на глоби до ₹50 crore за всяко нарушение.

Прилагане на съгласие, съвместимо с DPDP, във вашия CMP

Геолокирайте индийските потребители и прилагайте специфичен за DPDP шаблон за съгласие, вместо да използвате повторно банер за GDPR. Изискваното съдържание на уведомлението и езиковите опции са различни.
Показвайте уведомления на няколко индийски езика. Най-малкото поддържайте хинди и английски и добавяйте регионални езици според разпределението на трафика.
Блокирайте по подразбиране всички неосновни тракери. Зареждайте рекламни, аналитични и външни SDK едва след изрично съгласие.
Разграничете ясно целите. Не обединявайте реклама, анализ и персонализация в едно действие „приемам“, ако потребителят разумно би могъл да иска да даде съгласие за едни, но не и за други.
Регистрирайте събитията по съгласие и оттегляне с времеви печати, точната версия на показаното уведомление и избрания от потребителя език, за да можете да докажете съответствие при регулаторни проверки.
Осигурете видима връзка към настройките на предпочитанията на всяка страница, която позволява на потребителите да преглеждат, актуализират или оттеглят съгласието си по всяко време.

DPDP срещу GDPR: практически разлики

Без основание „легитимен интерес“. Законът DPDP не признава „legitimate interests“ като общо правно основание по начина, по който го прави GDPR. Съгласието има по-голяма тежест, така че UX дизайнът е още по-важен.
По-строги правила за деца. Възрастта за цифрово съгласие е 18 години, а не 13 или 16, и таргетираната рекл��ма към непълнолетни е изрично забранена.
Изискването за многоезично уведомление е уникално за Закона DPDP и не може да бъде изпълнено с банер само на английски.
Задълженията за Significant Data Fiduciary създават второ ниво на съответствие за оператори с висок риск, което няма пряк аналог в GDPR.

Заключение

Законът DPDP въвежда Индия в съвременния глобален пейзаж на защита на данните със собствен, отличителен характер — ориентиран към съгласие, многоезичен по замисъл и в необичайно висока степен защитен спрямо непълнолетните. Издателите и платформите, които вече оперират CMP, съвместим с GDPR, имат преднина, но все пак ще трябва да коригират съдържанието на банерите, езиковата поддръжка, обработката на възрастта и логването, за да отговорят на изискванията на DPDP. Да третирате Индия като „просто още една GDPR юрисдикция“ е най-бързият начин да се озовете пред Data Protection Board.