Compliance13. april 2026 | FlexyConsent

Indiens DPDP-lov: Cookie-samtykke i verdens største digitale marked

Indien vedtog Digital Personal Data Protection Act (DPDP-loven) i 2023, og de regler, der operationaliserer den, er nu trådt i kraft. Med mere end 850 millioner internetbrugere er Indien et marked, som ingen global udgiver, annoncør eller SaaS‑operatør har råd til at fejle på – og DPDP-loven indfører samtykkekrav, der adskiller sig væsentligt fra GDPR, CCPA og andre rammer, du måske allerede understøtter.

Denne guide forklarer, hvordan DPDP-loven behandler cookies og tracking‑identifikatorer, hvem den gælder for, og hvordan en samtykkeoplevelse, der overholder reglerne, ser ud for indiske brugere.

Hvem DPDP-loven gælder for

DPDP-loven regulerer behandling af digital persondata i Indien samt behandling uden for Indien, der vedrører udbud af varer eller tjenester til personer i Indien. I praksis gælder: hvis dit website er tilgængeligt for indiske brugere, og du indsamler persondata via det – herunder via cookies, SDK’er, pixels eller fingerprinting – gælder loven næsten med sikkerhed for dig.

Loven opererer med to centrale roller: Data Fiduciary (svarende til en dataansvarlig efter GDPR) og Data Processor. Et mindre antal af de største aktører kan udpeges som Significant Data Fiduciaries, hvilket udløser yderligere forpligtelser såsom Data Protection Impact Assessments og udpegning af en Data Protection Officer bosiddende i Indien.

Hvordan DPDP-loven behandler cookies og trackere

I modsætning til ePrivacy-direktivet udskiller DPDP-loven ikke cookies som en særskilt kategori. I stedet regulerer den enhver behandling af digital persondata. Det betyder, at cookies, enheds‑ID’er, IP‑adresser, reklame‑ID’er og hashed e‑mails alle er omfattet, når de er knyttet – direkte eller indirekte – til en identificerbar person.

Konsekvensen for udgivere er enkel: hvis en cookie eller et tag på dit site medfører, at der indsamles eller deles persondata, skal du have et gyldigt behandlingsgrundlag. Efter DPDP-loven er dette grundlag næsten altid samtykke, med en snæver række undtagelser for "legitimate uses", som er defineret i loven.

Hvordan gyldigt samtykke ser ud

DPDP-loven opstiller en høj standard for samtykke. Det skal være frivilligt, specifikt, informeret, ubetinget og utvetydigt og gives gennem en klar bekræftende handling. Forudafkrydsede felter, stiltiende samtykke gennem fortsat brug af websitet og "cookie‑mure", hvor adgang betinges af accept, er ikke forenelige med disse krav.

To yderligere DPDP‑specifikke regler er vigtige for samtykke‑UX:

Specificeret (itemised) information: Før eller på tidspunktet for samtykke skal du give brugeren en klar information, der identificerer de data, der indsamles, formålene med behandlingen, og hvordan brugeren kan trække samtykke tilbage eller indgive en klage til Data Protection Board of India.
Letforståeligt sprog og flersproget understøttelse: Information skal være tilgængelig på engelsk og på et hvilket som helst af Indiens 22 officielle sprog, som brugeren vælger. En CMP, der ikke kan vise samtykketekster på hindi, tamil, bengali, marathi og andre store sprog, vil få svært ved at overholde reglerne.

Behandling af børns data og forældresamtykke

DPDP-loven betragter alle under 18 år som børn og kræver verificerbart forældresamtykke, før deres persondata må behandles. Den forbyder også adfærdsbaseret overvågning og målrettet reklame rettet mod børn. Ethvert website, der er tilgængeligt for mindreårige i Indien – hvilket i praksis betyder næsten alle sites – skal have en strategi for aldersafgrænsning eller risikobaseret tilgang og skal kunne blokere tracking‑scripts, når forældresamtykke mangler.

Brugerrettigheder, som din CMP skal understøtte

Data Principals (brugere) i Indien har en række rettigheder, som skal kunne udøves via dit samtykke‑ og præference‑lag:

Ret til indsigt i en oversigt over deres persondata, der behandles.
Ret til berigtigelse og sletning af deres data.
Ret til at trække samtykke tilbage til enhver tid, med samme lethed som det blev givet.
Ret til at udpege en anden person til at udøve rettighederne i tilfælde af død eller inhabilitet.
Ret til klageadgang, først hos Data Fiduciary og derefter hos Data Protection Board of India.

En CMP, der overholder reglerne, bør tilbyde et vedvarende link til præferencer, understøtte tilbagetrækning af samtykke med ét klik og logge samtykkehændelser på en måde, der kan fremlægges efter anmodning under en undersøgelse.

Grænseoverskridende dataoverførsler

DPDP-loven anvender en "negativliste"‑tilgang til internationale overførsler: persondata kan overføres ud af Indien, medmindre destinationslandet specifikt er begrænset af centralregeringen. Dette er mere lempeligt end GDPR’s tilstrækkelighedsordning, men du bør stadig dokumentere, hvilke tredjelande modtager data fra indiske brugere, og overvåge den offentliggjorte liste over begrænsede lande.

Sanktioner og håndhævelse

De økonomiske sanktioner efter DPDP-loven er betydelige. Data Protection Board kan pålægge bøder på op til ₹250 crore (omtrent 30 millioner USD) for manglende rimelige sikkerhedsforanstaltninger og op til ₹200 crore for manglende opfyldelse af forpligtelser vedrørende børn. Overtrædelser relateret til samtykke – herunder indhentning af samtykke via bannere, der ikke overholder kravene – kan udløse bøder på op til ₹50 crore pr. overtrædelse.

Implementering af DPDP‑kompatibelt samtykke i din CMP

Geo‑detekter indiske brugere og anvend en DPDP‑specifik samtykkeskabelon i stedet for blot at genbruge et GDPR‑banner. Kravene til information og sprogvalg er anderledes.
Vis information på flere indiske sprog. Understøt som minimum hindi og engelsk, og tilføj regionale sprog baseret på din trafikfordeling.
Bloker alle ikke‑nødvendige trackere som standard. Indlæs annonce‑, analyse‑ og tredjeparts‑SDK’er først efter aktivt samtykke.
Adskil formål tydeligt. Saml ikke reklame, analyse og personalisering i én samlet "accept"‑handling, hvis en bruger med rimelighed kan ønske at give samtykke til nogle, men ikke andre.
Log samtykke‑ og tilbagetrækningshændelser med tidsstempler, den præcise version af informationen, der blev vist, og brugerens sprogvalg, så du kan dokumentere overholdelse under tilsynssager.
Giv et synligt præference‑link på alle sider, som gør det muligt for brugere at gennemgå, opdatere eller trække samtykke tilbage til enhver tid.

DPDP vs. GDPR: Praktiske forskelle

Intet behandlingsgrundlag "legitimate interests". DPDP-loven anerkender ikke legitimate interests som et generelt behandlingsgrundlag på samme måde som GDPR. Samtykke vægter tungere, så UX‑design bliver endnu vigtigere.
Strengere regler for børn. Den digitale samtykkealder er 18 år, ikke 13 eller 16, og målrettet reklame til mindreårige er udtrykkeligt forbudt.
Kravet om flersproget information er unikt for DPDP-loven og kan ikke opfyldes med et banner kun på engelsk.
Forpligtelser for Significant Data Fiduciary skaber et ekstra compliance‑niveau for højrisko‑aktører, som ikke har nogen direkte pendant i GDPR.

Konklusion

DPDP-loven placerer Indien i den moderne globale databeskyttelsesramme med sin egen særlige profil – samtykkebaseret, flersproget fra starten og med en usædvanlig stærk beskyttelse af mindreårige. Udgivere og platforme, der allerede driver en GDPR‑kompatibel CMP, har et forspring, men de skal stadig justere bannerindhold, sprogunderstøttelse, håndtering af alder og logning for at opfylde DPDP‑kravene. At behandle Indien som "bare endnu en GDPR‑jurisdiktion" er den hurtigste vej til at ende foran Data Protection Board.