Soulad13. dubna 2026 | FlexyConsent

Indický zákon DPDP: souhlas s cookies pro největší digitální trh na světě

Indie přijala v roce 2023 zákon Digital Personal Data Protection Act (DPDP Act) a prováděcí pravidla, která jej operacionalizují, nyní vstoupila v účinnost. S více než 850 miliony uživatelů internetu je Indie trhem, který si žádný globální vydavatel, inzerent ani provozovatel SaaS nemůže dovolit podcenit – a zákon DPDP zavádí povinnosti ohledně souhlasu, které se významně liší od GDPR, CCPA a dalších rámců, které možná již podporujete.

Tento průvodce vysvětluje, jak zákon DPDP nahlíží na cookies a sledovací identifikátory, na koho se vztahuje a jak má vypadat souladný zážitek se souhlasem pro uživatele v Indii.

Na koho se zákon DPDP vztahuje

Zákon DPDP upravuje zpracování digitálních osobních údajů v Indii, jakož i zpracování mimo Indii, které souvisí s nabídkou zboží nebo služeb osobám v Indii. V praxi platí, že pokud je váš web přístupný uživatelům v Indii a shromažďujete prostřednictvím něj osobní údaje – včetně cookies, SDK, pixelů nebo fingerprintingu – zákon se na vás s velkou pravděpodobností vztahuje.

Zákon používá dva klíčové role: Data Fiduciary (ekvivalent správce podle GDPR) a Data Processor. Malý počet největších provozovatelů může být označen jako Significant Data Fiduciaries, což spouští další povinnosti, jako jsou posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessments) a jmenování pověřence pro ochranu osobních údajů s bydlištěm v Indii.

Jak zákon DPDP nahlíží na cookies a trackery

Na rozdíl od směrnice ePrivacy zákon DPDP nevyčleňuje cookies jako samostatnou kategorii. Místo toho reguluje jakékoli zpracování digitálních osobních údajů. To znamená, že cookies, identifikátory zařízení, IP adresy, reklamní ID a hashované e-maily spadají do působnosti, pokud jsou – přímo nebo nepřímo – spojeny s identifikovatelnou osobou.

Dopad pro vydavatele je přímočarý: pokud cookie nebo tag na vašem webu způsobuje, že jsou osobní údaje shromažďovány nebo sdíleny, potřebujete platný právní základ. Podle zákona DPDP je tímto základem téměř vždy souhlas, s úzkým souborem výjimek pro „legitimate uses“ definovaných zákonem.

Jak vypadá platný souhlas

Zákon DPDP nastavuje pro souhlas vysokou laťku. Musí být svobodný, konkrétní, informovaný, nepodmíněný a jednoznačný a vyjádřený jasným aktivním úkonem. Předem zaškrtnutá políčka, předpokládaný souhlas z pokračujícího prohlížení a „cookie wall“ návrhy, které podmiňují přístup přijetím, nejsou s těmito požadavky slučitelné.

Dvě další, specificky DPDP pravidla jsou pro UX souhlasu zásadní:

Rozčleněné oznámení: Před nebo v okamžiku udělení souhlasu musíte uživateli poskytnout jasné oznámení, které identifikuje shromažďovaná data, účely zpracování a způsob, jakým může uživatel souhlas odvolat nebo podat stížnost k Data Protection Board of India.
Srozumitelný jazyk a vícejazyčná podpora: Oznámení musí být dostupná v angličtině a v kterémkoli z 22 úředních jazyků Indie, který si uživatel zvolí. CMP, které nedokáže zobrazit obsah souhlasu v hindštině, tamilštině, bengálštině, maráthštině a dalších hlavních jazycích, bude mít s dodržením požadavků problém.

Údaje dětí a rodičovský souhlas

Zákon DPDP považuje každého mladšího 18 let za dítě a vyžaduje ověřitelný rodičovský souhlas před zpracováním jeho osobních údajů. Také zakazuje behaviorální monitorování a cílenou reklamu zaměřenou na děti. Jakýkoli web, který je přístupný nezletilým v Indii – což v praxi znamená téměř každý web – potřebuje strategii věkového ověřování nebo přístupu založeného na riziku a musí být schopen blokovat sledovací skripty, pokud rodičovský souhlas chybí.

Práva uživatelů, která musí vaše CMP podporovat

Data Principals (uživatelé) v Indii mají soubor práv, která musí být uplatnitelná prostřednictvím vaší vrstvy souhlasu a preferencí:

Právo na přístup k souhrnu svých osobních údajů, které jsou zpracovávány.
Právo na opravu a výmaz svých údajů.
Právo odvolat souhlas kdykoli, stejně snadno, jako byl udělen.
Právo určit zmocněnce, který bude uplatňovat práva v případě smrti nebo nezpůsobilosti.
Právo na vyřízení stížnosti, nejprve u Data Fiduciary a poté u Data Protection Board of India.

Souladné CMP by mělo poskytovat trvalý odkaz na nastavení preferencí, podporovat jedním kliknutím odvolatelný souhlas a zaznamenávat události souhlasu způsobem, který lze na vyžádání předložit během šetření.

Přeshraniční předávání údajů

Zákon DPDP uplatňuje k mezinárodním přenosům přístup „negativního seznamu“: osobní údaje lze předávat mimo Indii, pokud cílová země není výslovně omezena centrální vládou. To je benevolentnější než režim přiměřenosti podle GDPR, nicméně stále byste měli zdokumentovat, do kterých třetích zemí jsou údaje uživatelů z Indie předávány, a sledovat zveřejňovaný seznam omezených zemí.

Sankce a vymáhání

Finanční sankce podle zákona DPDP jsou značné. Data Protection Board může uložit pokuty až do výše ₹250 crore (přibližně 30 milionů USD) za neprovedení přiměřených bezpečnostních opatření a až do výše ₹200 crore za nesplnění povinností vůči dětem. Nedostatky související se souhlasem – včetně získávání souhlasu prostřednictvím nevyhovujících bannerů – podléhají pokutám až do výše ₹50 crore za každé poru��ení.

Zavedení souhlasu v souladu s DPDP ve vašem CMP

Geolokujte uživatele z Indie a použijte šablonu souhlasu specifickou pro DPDP místo opětovného použití banneru pro GDPR. Požadovaný obsah oznámení a jazykové možnosti se liší.
Zobrazujte oznámení ve více indických jazycích. Minimálně podporujte hindštinu a angličtinu a přidejte regionální jazyky podle rozložení vaší návštěvnosti.
Ve výchozím stavu blokujte všechny neesenciální trackery. Reklamní, analytické a třetí strany (SDK) načítejte až po aktivním udělení souhlasu.
Jasně oddělte účely. Neslučujte reklamu, analytiku a personalizaci do jediné akce „přijmout“, pokud je rozumné očekávat, že uživatel může chtít souhlasit s některými, ale ne se všemi.
Zaznamenávejte události souhlasu a odvolání s časovým razítkem, přesnou verzí zobrazeného oznámení a volbou jazyka uživatele, abyste mohli doložit soulad během regulačních šetření.
Poskytněte viditelný odkaz na nastavení preferencí na každé stránce, který uživatelům umožní kdykoli souhlas zkontrolovat, upravit nebo odvolat.

DPDP vs. GDPR: praktické rozdíly

Žádný právní základ „oprávněného zájmu“. Zákon DPDP neuznává oprávněný zájem jako obecný právní základ tak, jak to činí GDPR. Souhlas má větší váhu, a proto je UX návrh ještě důležitější.
Přísnější pravidla pro děti. Věk digitálního souhlasu je 18 let, nikoli 13 nebo 16, a cílená reklama na nezletilé je výslovně zakázána.
Požadavek vícejazyčného oznámení je pro zákon DPDP jedinečný a nelze jej splnit pouze anglickým bannerem.
Povinnosti Significant Data Fiduciary vytvářejí druhou úroveň souladu pro vysoce rizikové provozovatele, která nemá v GDPR přímý ekvivalent.

Závěr

Zákon DPDP zařazuje Indii do moderního globálního rámce ochrany osobních údajů s vlastní specifickou podobou – důrazem na souhlas, vícejazyčným návrhem a mimořádně silnou ochranou nezletilých. Vydavatelé a platformy, které již provozují CMP v kvalitě odpovídající GDPR, mají náskok, přesto však budou muset upravit obsah bannerů, jazykovou podporu, práci s věkem a logování, aby splnili požadavky DPDP. Považovat Indii za „jen další jurisdikci GDPR“ je nejrychlejší cesta, jak skončit před Data Protection Board.