חוק ה‑DPDP של הודו: הסכמת קוקיז לשוק הדיגיטלי הגדול בעולם
הודו אישרה את חוק הגנת המידע האישי הדיגיטלי (DPDP Act) בשנת 2023, והתקנות המיישמות אותו נכנסו כעת לתוקף. עם יותר מ‑850 מיליון משתמשי אינטרנט, הודו היא שוק שאף מפרסם, מפרסם תוכן או מפעיל SaaS גלובלי אינו יכול להרשות לעצמו לטעות בו — וחוק ה‑DPDP מציג חובות הסכמה השונות באופן מהותי מ‑GDPR, CCPA וממסגרות אחרות שאולי אתם כבר תומכים בהן.
מדריך זה מסביר כיצד חוק ה‑DPDP מתייחס לקוקיז ומזהי מעקב, על מי הוא חל, וכיצד נראית חוויית הסכמה תואמת עבור משתמשים בהודו.
על מי חל חוק ה‑DPDP
חוק ה‑DPDP מסדיר את עיבוד המידע האישי הדיגיטלי בתוך הודו, וכן עיבוד מחוץ להודו הקשור להצעת טובין או שירותים ליחידים בהודו. בפועל, אם האתר שלכם נגיש למשתמשים מהודו ואתם אוספים דרכו מידע אישי — לרבות באמצעות קוקיז, SDKs, פיקסלים או טביעת אצבע דיגיטלית — החוק כמעט בוודאות חל עליכם.
החוק משתמש בשני תפקידים מרכזיים: Data Fiduciary (מקביל ל‑controller ב‑GDPR) ו‑Data Processor. מספר קטן של מפעילים גדולים במיוחד עשויים להיות מסווגים כ‑Significant Data Fiduciaries, מה שמפעיל חובות נוספות כגון ביצוע הערכות השפעה על הגנת מידע (Data Protection Impact Assessments) ומינוי קצין הגנת מידע (Data Protection Officer) שמקום מושבו בהודו.
כיצד חוק ה‑DPDP מתייחס לקוקיז ולמנגנוני מעקב
בניגוד להנחיית ה‑ePrivacy, חוק ה‑DPDP אינו מייחד את הקוקיז כקטגוריה נפרדת. במקום זאת, הוא מסדיר כל עיבוד של מידע אישי דיגיטלי. משמעות הדבר היא שקוקיז, מזהי מכשיר, כתובות IP, מזהי פרסום וכתובות אימייל מוצפנות (hashed emails) — כולם נכללים בהיקף החוק כאשר הם מקושרים — ישירות או בעקיפין — לאדם שניתן לזהותו.
המשמעות עבור מפרסמים ומוציאים לאור ברורה: אם קוקי או תגית באתר שלכם גורמים לאיסוף או לשיתוף מידע אישי, עליכם להסתמך על עילה חוקית תקפה. לפי חוק ה‑DPDP, העילה הזו היא כמעט תמיד הסכמה, עם סט מצומצם של חריגים ל"שימושים לגיטימיים" המוגדרים בחוק.
כיצד נראית הסכמה תקפה
חוק ה‑DPDP מציב רף גבוה להסכמה. עליה להיות חופשית, ספציפית, מדעת, בלתי מותנית וחד‑משמעית, ולהינתן באמצעות פעולה חיובית ברורה. תיבות סימון מסומנות מראש, הסכמה משתמעת מהמשך גלישה, ועיצובים מסוג "cookie wall" שמתנים גי��ה בקבלה — אינם עולים בקנה אחד עם דרישות אלה.
שתי הוראות נוספות, ייחודיות ל‑DPDP, חשובות במיוחד ל‑UX של הסכמה:
- הודעה מפורטת (Itemised notice): לפני או במועד מתן ההסכמה, עליכם לספק למשתמש הודעה ברורה המזהה את הנתונים הנאספים, את מטרות העיבוד, ואת האופן שבו המשתמש יכול למשוך את הסכמתו או להגיש תלונה ל‑Data Protection Board of India.
- שפה פשוטה ותמיכה רב‑לשונית: על ההודעות להיות זמינות באנגלית ובכל אחת מ‑22 השפות הרשמיות של הודו שהמשתמש בוחר. CMP שאינו מסוגל להציג תוכן הסכמה בהינדי, טמילית, בנגלית, מרתית ושפות מרכזיות נוספות יתקשה לעמוד בדרישות.
מידע על ילדים והסכמת הורים
חוק ה‑DPDP רואה בכל מי שטרם מלאו לו 18 כילד, ודורש הסכמה הורית ניתנת לאימות לפני עיבוד המידע האישי שלו. החוק גם אוסר ניטור התנהגותי ופרסום ממוקד המופנים לילדים. כל אתר הנגיש לקטינים בהודו — שבפועל משמעותו כמעט כל אתר — זקוק למנגנון סינון גיל (age‑gating) או אסטרטגיה מבוססת סיכון, וחייב להיות מסוגל לחסום סקריפטי מעקב כאשר אין הסכמה הורית.
זכויות משתמשים שה‑CMP שלכם חייב לתמוך בהן
Data Principals (משתמשים) בהודו נהנים ממערך זכויות שחייב להיות ניתן למימוש דרך שכבת ההסכמה וההעדפות שלכם:
- זכות גישה לתמצית של המידע האישי שלהם שעובר עיבוד.
- זכות לתיקון ומחיקה של המידע שלהם.
- זכות למשיכת הסכמה בכל עת, באותה קלות שבה ניתנה.
- זכות למנות אדם אחר שיממש את הזכויות במקרה של מוות או אובדן כושר.
- זכות למענה על תלונות (grievance redressal), תחילה מול ה‑Data Fiduciary ולאחר מכן מול ה‑Data Protection Board of India.
CMP תואם צריך להציג קישור העדפות קבוע, לתמוך במשיכת הסכמה בלחיצה אחת, ולתעד אירועי הסכמה באופן שניתן להציגו לפי דרישה במהלך חק��רה.
העברת מידע מעבר לגבולות
חוק ה‑DPDP מאמץ גישה של "רשימה שלילית" להעברות בינלאומיות: ניתן להעביר מידע אישי מחוץ להודו, אלא אם מדינת היעד הוגבלה במפורש על ידי הממשלה המרכזית. זהו מנגנון מקל יותר בהשוואה למשטר ה‑adequacy של ה‑GDPR, אך עדיין עליכם לתעד לאילו מדינות שלישיות מועבר מידע של משתמשים מהודו ולעקוב אחר רשימת ההגבלות המתפרסמת.
עיצומים ואכיפה
הקנסות הכספיים לפי חוק ה‑DPDP משמעותיים. ה‑Data Protection Board יכול להטיל קנסות של עד ₹250 קרור (כ‑30 מיליון דולר ארה"ב) על אי‑נקיטת אמצעי אבטחה סבירים, ועד ₹200 קרור על אי‑עמידה בחובות כלפי ילדים. כשלי הסכמה — לרבות איסוף הסכמה באמצעות באנרים שאינם תואמים — כפופים לקנסות של עד ₹50 קרור לכל הפרה.
יישום הסכמה תואמת DPDP ב‑CMP שלכם
- זיהוי גיאוגרפי של משתמשים מהודו והחלת תבנית הסכמה ייעודית ל‑DPDP במקום שימוש חוזר בבאנר GDPR. תוכן ההודעה ואפשרויות השפה שונים.
- הצגת הודעות במספר שפות הודיות. לכל הפחות, תמכו בהינדי ובאנגלית, והוסיפו שפות אזוריות בהתאם לפיזור התנועה שלכם.
- חסימת כל מנגנוני המעקב שאינם חיוניים כברירת מחדל. טעינת פרסום, אנליטיקה ו‑SDKs צד שלישי רק לאחר קבלת הסכמה מפורשת.
- הפרדה ברורה בין מטרות. אל תאחדו פרסום, אנליטיקה ואישית (personalization) לפעולת "קבל" אחת אם משתמש יכול באופן סביר לרצות להסכים לחלק מהן בלבד.
- תיעוד אירועי הסכמה ומשיכה עם חותמות זמן, גרסת ההודעה המדויקת שהוצגה, ובחירת השפה של המשתמש, כדי שתוכלו להוכיח ציות במהלך בירורים רגולטוריים.
- הצגת קישור העדפות בולט בכל עמוד, המאפשר למשתמשים לעיין, לעדכן או למשוך את הסכמתם בכל עת.
DPDP לעומת GDPR: הבדלים מעשיים
- אין עילת "אינטרסים לגיטימיים". חוק ה‑DPDP אינו מכיר באינטרסים לגיטימיים כעילה כללית לעיבוד, כפי שעושה ה‑GDPR. להסכמה יש משקל רב יותר, ולכן לעיצוב חוויית המשתמש יש חשיבות גדולה יותר.
- כללים מחמירים יותר לגבי ילדים. גיל ההסכמה הדיגיטלית הוא 18, לא 13 או 16, ופרסום ממוקד לקטינים אסור במפורש.
- דרישת הודעה רב‑לשונית היא ייחודית לחוק ה‑DPDP ואינה ניתנת למילוי באמצעות באנר באנגלית בלבד.
- חובות של Significant Data Fiduciary יוצרות שכבת ציות שנייה עבור מפעילים עתירי‑סיכון, שאין לה מקבילה ישירה ב‑GDPR.
סיכום
חוק ה‑DPDP מציב את הודו בתוך נוף הגנת המידע הגלובלי המודרני, עם מאפיינים ייחודיים — הסכמה תחילה, רב‑לשוניות כברירת מחדל, והגנה חריגה בעוצמתה על קטינים. מפרסמים ופלטפורמות שכבר מפעילים CMP ברמת GDPR נהנים מיתרון התחלתי, אך עדיין יצטרכו להתאים את תוכן הבאנר, תמיכת השפות, מנגנוני הטיפול בגיל ותיעוד האירועים כדי לעמוד בדרישות ה‑DPDP. התייחסות להודו כ"עוד תחום שיפוט של GDPR" בלבד היא הדרך המהירה ביותר למצוא את עצמכם מול ה‑Data Protection Board.