انطباق۱۳ آوریل ۲۰۲۶ | FlexyConsent

قانون حفاظت از داده‌های شخصی دیجیتال هند (DPDP): رضایت کوکی برای بزرگ‌ترین بازار دیجیتال جهان

هند در سال ۲۰۲۳ قانون Digital Personal Data Protection (قانون DPDP) را تصویب کرد و مقررات اجرایی آن اکنون لازم‌الاجرا شده‌اند. با بیش از ۸۵۰ میلیون کاربر اینترنت، هند بازاری است که هیچ ناشر، تبلیغ‌دهنده یا ارائه‌دهنده SaaS جهانی نمی‌تواند در آن اشتباه کند — و قانون DPDP الزامات رضایتی‌ای معرفی می‌کند که به‌طور معناداری با GDPR، CCPA و سایر چارچوب‌هایی که شاید هم‌اکنون از آن‌ها پشتیبانی می‌کنید متفاوت است.

این راهنما توضیح می‌دهد قانون DPDP با کوکی‌ها و شناسه‌های رهگیری چگونه برخورد می‌کند، شامل چه کسانی می‌شود، و تجربه رضایت منطبق برای کاربران هندی چه شکلی دارد.

قانون DPDP شامل چه کسانی می‌شود

قانون DPDP پردازش داده‌های شخصی دیجیتال در داخل هند، و همچنین پردازشی را که در خارج از هند انجام می‌شود اما به عرضه کالا یا خدمات به افراد در هند مربوط است، تنظیم می‌کند. در عمل، اگر وب‌سایت شما برای کاربران هندی قابل دسترس است و از طریق آن داده شخصی جمع‌آوری می‌کنید — از جمله از طریق کوکی‌ها، SDKها، پیکسل‌ها یا اثرانگشت‌گیری — این قانون تقریباً حتماً شامل حال شما می‌شود.

این قانون از دو نقش کلیدی استفاده می‌کند: Data Fiduciary (معادل کنترل‌کننده در GDPR) و Data Processor. تعداد کمی از بزرگ‌ترین بازیگران ممکن است به‌عنوان Significant Data Fiduciaries تعیین شوند که تعهدات اضافی‌ای مانند انجام ارزیابی تأثیر حفاظت از داده و انتصاب یک مسئول حفاظت از داده مقیم هند را فعال می‌کند.

قانون DPDP با کوکی‌ها و رهگیرها چگونه برخورد می‌کند

برخلاف دستورالعمل ePrivacy، قانون DPDP کوکی‌ها را به‌عنوان یک دسته جداگانه برجسته نمی‌کند. در عوض، هرگونه پردازش داده‌های شخصی دیجیتال را تنظیم می‌کند. این یعنی کوکی‌ها، شناسه‌های دستگاه، آدرس‌های IP، شناسه‌های تبلیغاتی و ایمیل‌های هش‌شده، هرگاه به‌طور مستقیم یا غیرمستقیم به یک شخص قابل شناسایی مرتبط شوند، در دامنه شمول قرار می‌گیرند.

نتیجه برای ناشران روشن است: اگر یک کوکی یا تگ در سایت شما باعث جمع‌آوری یا اشتراک‌گذاری داده شخصی شود، به یک مبنا�� مشروع معتبر نیاز دارید. تحت قانون DPDP، این مبنا تقریباً همیشه رضایت است، با مجموعه محدودی از استثناها برای «استفاده‌های مشروع» که در قانون تعریف شده‌اند.

رضایت معتبر چه شکلی دارد

قانون DPDP سطح بالایی برای رضایت تعیین می‌کند. رضایت باید آزادانه، مشخص، آگاهانه، بدون قید و شرط و صریح باشد و از طریق یک اقدام تأییدی روشن ابراز شود. جعبه‌های از پیش تیک‌خورده، رضایت ضمنی از ادامه مرور، و طراحی‌های «دیوار کوکی» که دسترسی را مشروط به پذیرش می‌کنند، با این الزامات سازگار نیستند.

دو قاعده خاص DPDP دیگر برای تجربه کاربری رضایت اهمیت دارند:

داده کودکان و رضایت والدین

قانون DPDP هر فرد زیر ۱۸ سال را کودک تلقی می‌کند و پیش از پردازش داده‌های شخصی او، رضایت قابل‌تأیید والدین را الزامی می‌داند. این قانون همچنین پایش رفتاری و تبلیغات هدفمند متوجه کودکان را ممنوع می‌کند. هر وب‌سایتی که برای افراد نابالغ در هند قابل دسترس است — که در عمل یعنی تقریباً هر سایت — باید یک راهبرد سن‌سنجی یا مبتنی بر ریسک داشته باشد و بتواند در صورت نبود رضایت والدین، اسکریپت‌های رهگیری را مسدود کند.

حقوق کاربر که CMP شما باید پشتیبانی کند

Data Principalها (کاربران) در هند مجموعه‌ای از حقوق دارند که باید از طریق لایه رضایت و ترجیحات شما قابل اعمال باشند:

یک CMP منطبق باید یک لینک دائمی ترجیحات نمایش دهد، از پس‌گرفتن رضایت با یک کلیک پشتیبانی کند، و رویدادهای رضایت را به‌گونه‌ای ثبت کند که در صورت درخواست در جریان یک تحقیق قابل ا��ائه باشد.

انتقال برون‌مرزی داده‌ها

قانون DPDP رویکرد «فهرست منفی» را برای انتقال‌های بین‌المللی اتخاذ می‌کند: انتقال داده‌های شخصی به خارج از هند مجاز است مگر این‌که کشور مقصد به‌طور مشخص توسط دولت مرکزی محدود شده باشد. این رویکرد از رژیم کفایت GDPR آسان‌گیرانه‌تر است، اما همچنان باید مستند کنید کدام کشورهای ثالث داده کاربران هندی را دریافت می‌کنند و فهرست محدودیت‌های منتشرشده را پایش کنید.

جرایم و اجرای قانون

جرایم مالی تحت قانون DPDP قابل‌توجه‌اند. Data Protection Board می‌تواند برای عدم اتخاذ تدابیر امنیتی معقول، جریمه‌هایی تا سقف ۲۵۰ کرور روپیه (حدود ۳۰ میلیون دلار آمریکا) و برای عدم انجام تعهدات مربوط به کودکان، تا سقف ۲۰۰ کرور روپیه اعمال کند. تخلفات مرتبط با رضایت — از جمله جمع‌آوری رضایت از طریق بنرهای نامنطبق — مشمول جریمه‌هایی تا سقف ۵۰ کرور روپیه برای هر تخلف هستند.

پیاده‌سازی رضایت منطبق با DPDP در CMP خود

  1. کاربران هندی را به‌صورت جغرافیایی شناسایی کنید و به‌جای استفاده مجدد از بنر GDPR، یک الگوی رضایت ویژه DPDP اعمال کنید. محتوای اطلاعیه و گزینه‌های زبانی موردنیاز متفاوت‌اند.
  2. اطلاعیه‌ها را به چندین زبان هندی نمایش دهید. حداقل از هندی و انگلیسی پشتیبانی کنید و بر اساس توزیع ترافیک خود، زبان‌های منطقه‌ای را اضافه کنید.
  3. همه رهگیرهای غیرضروری را به‌طور پیش‌فرض مسدود کنید. تبلیغات، آنالیتیکس و SDKهای شخص ثالث را فقط پس از اخذ رضایت صریح بارگذاری کنید.
  4. اهداف را به‌روشنی تفکیک کنید. اگر کاربر منطقی است که بخواهد به برخی اهداف رضایت بدهد و به برخی دیگر نه، تبلیغات، آنالیتیکس و شخصی‌سازی را در یک اقدام «پذیرش» واحد تجمیع نکنید.
  5. رویدادهای رضایت و پس‌گرفتن را ثبت کنید همراه با برچسب زمانی، نسخه دقیق اطلاعیه نمایش‌داده‌شده و زبان انتخابی کاربر، تا بتوانید در جریان پرس‌وجوهای نهاد ناظر، انطباق خود را اثبات کنید.
  6. یک لینک ترجیحات قابل مشاهده فراهم کنید در هر صفحه که به کاربران اجازه دهد هر زمان بخواهند رضایت خود را مرور، به‌روزرسانی یا پس بگیرند.

تفاوت‌های عملی DPDP و GDPR

جمع‌بندی

قانون DPDP هند را با طعم خاص خود — مبتنی بر رضایت، ذاتاً چندزبانه و به‌طور غیرمعمولی حامی افراد نابالغ — وارد چشم‌انداز مدرن جهانی حفاظت از داده می‌کند. ناشران و پلتفرم‌هایی که هم‌اکنون یک CMP در سطح GDPR اجرا می‌کنند، یک مزیت اولیه دارند، اما همچنان باید محتوای بنر، پشتیبانی زبانی، مدیریت سن و ثبت رویدادها را برای برآورده کردن الزامات DPDP تنظیم کنند. تلقی هند به‌عنوان «فقط یک حوزه قضایی دیگر شبیه GDPR» سریع‌ترین راه برای قرار گرفتن در برابر Data Protection Board است.

← وبaderegistrdelays delays خواندن همه →