Vastavus13. aprill 2026 | FlexyConsent

India DPDP seadus: küpsiste nõusolek maailma suurimal digiturul

India võttis 2023. aastal vastu Digital Personal Data Protection Act’i (DPDP seadus) ning seda rakendavad reeglid on nüüd jõus. Rohkem kui 850 miljoni internetikasutajaga India on turg, mida ükski globaalne väljaandja, reklaamija ega SaaS-teenuse pakkuja ei saa endale lubada valesti käsitleda — ja DPDP seadus toob kaasa nõusolekunõuded, mis erinevad oluliselt GDPR-ist, CCPA-st ja teistest raamistikest, mida sa juba võib-olla toetad.

See juhend selgitab, kuidas DPDP seadus käsitleb küpsiseid ja jälgimistunnuseid, kellele see kehtib ning milline näeb India kasutajate jaoks välja nõuetele vastav nõusolemuskogemus.

Kellele DPDP seadus kehtib

DPDP seadus reguleerib digitaalsete isikuandmete töötlemist India territooriumil, samuti väljaspool Indiat toimuvat töötlemist, kui see on seotud kaupade või teenuste pakkumisega India isikutele. Praktikas tähendab see, et kui sinu veebisait on India kasutajatele kättesaadav ja sa kogud selle kaudu isikuandmeid — sealhulgas küpsiste, SDK-de, pikslite või sõrmejälgede abil —, siis kehtib seadus peaaegu kindlasti ka sinu suhtes.

Seadus kasutab kahte põhiosalist: Data Fiduciary (ligikaudu GDPR-i mõistes vastutav töötleja) ja Data Processor (volitatud töötleja). Väike hulk suurimaid tegutsejaid võib määratleda Significant Data Fiduciary staatusesse, mis toob kaasa täiendavad kohustused, nagu andmekaitsealase mõjuhinnangu koostamine ja Indias elava andmekaitseametniku määramine.

Kuidas DPDP seadus käsitleb küpsiseid ja jälgijaid

Erinevalt ePrivaatsuse direktiivist ei käsitle DPDP seadus küpsiseid eraldi kategooriana. Selle asemel reguleerib see igasugust digitaalsete isikuandmete töötlemist. See tähendab, et küpsised, seadme identifikaatorid, IP-aadressid, reklaami-ID-d ja räsi-kujul e-posti aadressid kuuluvad kõik reguleerimisalasse, kui need on otseselt või kaudselt seotud tuvastatava isikuga.

Väljaandjate jaoks on järeldus lihtne: kui mõni sinu saidi küpsis või silt põhjustab isikuandmete kogumise või jagamise, on sul vaja kehtivat õiguslikku alust. DPDP seaduse järgi on selleks aluseks peaaegu alati nõusolek, millele lisandub üksnes kitsas erandite ring seaduses määratletud „legitiimsete kasutuste” jaoks.

Milline on kehtiv nõusolek

DPDP seadus seab nõusolekule kõrge lati. Nõusolek peab olema vaba, konkreetne, teadlik, tingimusteta ja ühemõtteline ning väljendatud selge aktiivse toiminguga. Eelnevalt märgitud linnukesed, vaikimisi eeldatud nõusolek jätkuva sirvimise põhjal ning „küpsiseseina” lahendused, mis seovad juurdepääsu sisule nõusoleku andmisega, ei ole nende nõuetega kooskõlas.

Nõusoleku kasutajakogemuse (UX) jaoks on olulised kaks DPDP-spetsiifilist reeglit:

Üksikasjalik teave: Enne nõusoleku andmist või selle andmise ajal pead kasutajale esitama selge teate, milles on välja toodud kogutavad andmed, töötlemise eesmärgid ning see, kuidas kasutaja saab nõusoleku tagasi võtta või esitada kaebuse India Data Protection Board’ile.
Lihtne keel ja mitmekeelne tugi: Teated peavad olema kättesaadavad inglise keeles ja kõigis 22 India ametlikus keeles, mille kasutaja valib. CMP, mis ei suuda kuvada nõusolekusisu hindi, tamili, bengali, marathi ja muudes suuremates keeltes, jääb nõuetele vastavusega hätta.

Laste andmed ja vanemlik nõusolek

DPDP seadus käsitleb alla 18-aastaseid isikuid lastena ning nõuab nende isikuandmete töötlemiseks kontrollitavat vanemlikku nõusolekut. Samuti keelab see käitumusliku jälgimise ja sihitud reklaami, mis on suunatud lastele. Iga veebisait, mis on Indias alaealistele kättesaadav — mis praktikas tähendab peaaegu kõiki saite —, vajab vanusekontrolli või riskipõhist strateegiat ning peab suutma blokeerida jälgimisskriptid, kui vanemlik nõusolek puudub.

Kasutajaõigused, mida sinu CMP peab toetama

India Data Principal’id (kasutajad) omavad õigusi, mis peavad olema sinu nõusoleku- ja eelistuskihtide kaudu teostatavad:

Õigus juurdepääsule kokkuvõttele nende isikuandmetest, mida töödeldakse.
Õigus andmete parandamisele ja kustutamisele.
Õigus nõusoleku tagasivõtmisele igal ajal sama lihtsasti, kui see anti.
Õigus nimetada esindaja, kes saab nende õigusi kasutada surma või teovõimetuse korral.
Õigus kaebuste lahendamisele esmalt Data Fiduciary tasandil ja seejärel India Data Protection Board’i juures.

Nõuetele vastav CMP peaks pakkuma püsivat eelistuste linki, toetama ühe klõpsuga nõusoleku tagasivõtmist ning logima nõusolekusündmusi viisil, mida saab uurimise korral tõendina esitada.

Andmete piiriülesed edastused

DPDP seadus kasutab rahvusvaheliste edastuste puhul „negatiivse nimekirja” lähenemist: isikuandmeid võib Indiast välja saata, välja arvatud juhtudel, kui sihtriik on India keskvalitsuse poolt konkreetselt piirangute nimekirja kantud. See on lubavam kui GDPR-i adekvaatsusrežiim, kuid sa peaksid siiski dokumenteerima, millised kolmandad riigid saavad India kasutajate andmeid, ning jälgima avaldatud piirangute nimekirja.

Karistused ja jõustamine

DPDP seaduse alusel määratavad rahalised karistused on märkimisväärsed. Data Protection Board võib määrata kuni ₹250 crore (ligikaudu 30 miljonit USA dollarit) suuruse trahvi, kui ei ole rakendatud mõistlikke turvameetmeid, ning kuni ₹200 crore lastega seotud kohustuste täitmata jätmise eest. Nõusolekuga seotud rikkumised — sealhulgas nõuetele mittevastavate bännerite kaudu kogutud nõusolek — võivad kaasa tuua kuni ₹50 crore suuruse trahvi iga rikkumise eest.

DPDP-le vastava nõusoleku rakendamine sinu CMP-s

Tuvasta geograafiliselt India kasutajad ja rakenda DPDP-spetsiifilist nõusolekumalli, selle asemel et taaskasutada GDPR-i bännerit. Nõutav teabesisu ja keelevalikud on erinevad.
Kuva teated mitmes India keeles. Vähemalt toeta hindi ja inglise keelt ning lisa piirkondlikud keeled vastavalt oma liikluse jaotusele.
Blokeeri vaikimisi kõik mittehädavajalikud jälgijad. Laadi reklaami-, analüütika- ja kolmandate osapoolte SDK-d alles pärast selgesõnalist nõusolekut.
Erista eesmärgid selgelt. Ära koonda reklaami, analüütikat ja isikupärastamist ühe „nõustu” toimingu alla, kui kasutaja võiks mõistlikult soovida anda nõusoleku mõneks eesmärgiks, kuid mitte teiseks.
Logi nõusoleku andmise ja tagasivõtmise sündmused koos ajatemplite, kuvatud teate täpse versiooni ja kasutaja keelevalikuga, et saaksid regulatiivsete päringute korral vastavust tõendada.
Paku nähtav eelistuste link igal lehel, mis võimaldab kasutajatel igal ajal nõusolekut üle vaadata, seda uuendada või tagasi võtta.

DPDP vs GDPR: praktilised erinevused

Puudub „legitiimsete huvide” alus. DPDP seadus ei tunnista legitiimseid huve üldise õigusliku alusena samal viisil nagu GDPR. Nõusolekul on suurem kaal, mistõttu on UX-disain veelgi olulisem.
Rangemad reeglid laste suhtes. Digitaalne nõusolekuiga on 18, mitte 13 või 16, ning alaealistele suunatud sihitud reklaam on selgesõnaliselt keelatud.
Mitmekeelne teabenõue on DPDP seadusele omane ega ole täidetav üksnes ingliskeelse bänneriga.
Significant Data Fiduciary kohustused loovad kõrge riskiga tegutsejatele teise vastavustaseme, millel puudub otsene analoog GDPR-is.

Kokkuvõte

DPDP seadus toob India kaasaegsele globaalsele andmekaitsemaastikule, kuid oma eripärase lähenemisega — nõusolek on esikohal, mitmekeelsus on sisse ehitatud ning alaealiste kaitse on erakordselt tugev. Väljaandjatel ja platvormidel, kes juba kasutavad GDPR-i tasemel CMP-d, on küll eelis, kuid nad peavad siiski kohandama bänneri sisu, keeletoe, vanusekäsitluse ja logimise, et vastata DPDP nõuetele. India käsitlemine kui „veel üht GDPR-i jurisdiktsiooni” on kõige kiirem tee India Data Protection Board’i ette sattumiseks.