Usklađenost13. travnja 2026. | FlexyConsent

Indijski DPDP Act: privola za kolačiće na najvećem svjetskom digitalnom tržištu

Indija je 2023. donijela Digital Personal Data Protection Act (DPDP Act), a pravila koja ga operacionaliziraju sada su stupila na snagu. S više od 850 milijuna internetskih korisnika, Indija je tržište koje si nijedan globalni izdavač, oglašivač ili SaaS operator ne može priuštiti pogrešno shvatiti — a DPDP Act uvodi obveze privole koje se značajno razlikuju od GDPR‑a, CCPA‑a i drugih okvira koje možda već podržavate.

Ovaj vodič objašnjava kako DPDP Act tretira kolačiće i identifikatore za praćenje, na koga se primjenjuje i kako izgleda usklađeno iskustvo privole za korisnike u Indiji.

Na koga se DPDP Act primjenjuje

DPDP Act uređuje obradu digitalnih osobnih podataka unutar Indije, kao i obradu izvan Indije koja je povezana s ponudom dobara ili usluga pojedincima u Indiji. U praksi, ako je vaša web‑stranica dostupna korisnicima u Indiji i putem nje prikupljate osobne podatke — uključujući putem kolačića, SDK‑ova, piksela ili fingerprintinga — Zakon se gotovo sigurno primjenjuje na vas.

Zakon koristi dvije ključne uloge: Data Fiduciary (ekvivalent voditelju obrade prema GDPR‑u) i Data Processor. Mali broj najvećih operatora može biti označen kao Significant Data Fiduciaries, što pokreće dodatne obveze poput procjena učinka na zaštitu podataka (Data Protection Impact Assessments) i imenovanja službenika za zaštitu podataka (Data Protection Officer) sa sjedištem u Indiji.

Kako DPDP Act tretira kolačiće i trackere

Za razliku od Direktive o privatnosti i elektroničkim komunikacijama (ePrivacy Directive), DPDP Act ne izdvaja kolačiće kao zasebnu kategoriju. Umjesto toga, regulira bilo koju obradu digitalnih osobnih podataka. To znači da su kolačići, identifikatori uređaja, IP adrese, oglasni ID‑evi i hashirane e‑mail adrese obuhvaćeni kad su povezani — izravno ili neizravno — s identificiranom ili identificirajućom osobom.

Implikacija za izdavače je jednostavna: ako kolačić ili oznaka (tag) na vašoj stranici dovodi do prikupljanja ili dijeljenja osobnih podataka, trebate valjanu pravnu osnovu. Prema DPDP Actu ta je osnova gotovo uvijek privola, uz uzak skup iznimaka za „legitimate uses” definiranih Zakonom.

Kako izgleda valjana privola

DPDP Act postavlja visok prag za privolu. Ona mora biti slobodna, posebna, informirana, bezuvjetna i nedvosmislena, te izražena jasnom afirmativnom radnjom. Prethodno označeni okviri, implicirana privola nastavkom pregledavanja i „cookie wall” dizajni koji uvjetuju pristup prihvaćanjem nisu u skladu s tim zahtjevima.

Dva dodatna, za DPDP specifična pravila važna su za UX privole:

Stavkovno (itemised) obavještavanje: Prije ili u trenutku davanja privole morate korisniku pružiti jasnu obavijest koja identificira podatke koji se prikupljaju, svrhe obrade te način na koji korisnik može povući privolu ili podnijeti pritužbu Data Protection Board of India.
Jezik razumljiv korisniku i višejezična podrška: Obavijesti moraju biti dostupne na engleskom i na bilo kojem od 22 službena jezika Indije koji korisnik odabere. CMP koji ne može prikazati sadržaj privole na hindskom, tamilskom, bengalskom, marathskom i drugim glavnim jezicima teško će biti usklađen.

Podaci djece i roditeljska privola

DPDP Act svaku osobu mlađu od 18 godina smatra djetetom i zahtijeva provjerljivu roditeljsku privolu prije obrade njezinih osobnih podataka. Također zabranjuje bihevioralno praćenje i ciljano oglašavanje usmjereno na djecu. Svaka web‑stranica koja je dostupna maloljetnicima u Indiji — što u praksi znači gotovo svaka stranica — treba strategiju provjere dobi ili pristupa temeljenu na riziku te mora biti u mogućnosti blokirati skripte za praćenje kada roditeljska privola izostane.

Korisnička prava koja vaš CMP mora podržavati

Data Principals (korisnici) u Indiji imaju skup prava koja moraju biti provediva putem vašeg sloja za privole i postavke:

Pravo na pristup sažetku svojih osobnih podataka koji se obrađuju.
Pravo na ispravak i brisanje svojih podataka.
Pravo na povlačenje privole u bilo kojem trenutku, jednako jednostavno kao i njezino davanje.
Pravo na imenovanje druge osobe koja će ostvarivati prava u slučaju smrti ili nesposobnosti.
Pravo na podnošenje pritužbe (grievance redressal), najprije Data Fiduciaryju, a zatim Data Protection Board of India.

Usklađeni CMP trebao bi imati trajnu poveznicu na postavke, podržavati povlačenje privole jednim klikom i bilježiti događaje privole na način koji se može predočiti na zahtjev tijekom nadzora ili istrage.

Prekogranični prijenosi podataka

DPDP Act primjenjuje pristup „negativne liste” na međunarodne prijenose: osobni podaci mogu se prenositi izvan Indije osim ako je država odredišta posebno ograničena odlukom središnje vlade (Central Government). To je dopuštenije od GDPR režima primjerenosti, ali i dalje biste trebali dokumentirati u koje se treće zemlje prenose podaci korisnika iz Indije i pratiti objavljeni popis ograničenja.

Novčane kazne i provedba

Financijske kazne prema DPDP Actu znatne su. Data Protection Board može izreći kazne do ₹250 crore (otprilike 30 milijuna USD) zbog nepoduzimanja razumnih sigurnosnih mjera, te do ₹200 crore zbog neispunjavanja obveza prema djeci. Povrede povezane s privolom — uključujući prikupljanje privole putem neusklađenih bannera — podliježu kaznama do ₹50 crore po povredi.

Implementacija privole usklađene s DPDP‑om u vašem CMP‑u

Geo‑detektirajte korisnike iz Indije i primijenite poseban DPDP predložak privole umjesto ponovne uporabe GDPR bannera. Sadržaj obavijesti i jezične opcije razlikuju se.
Prikazujte obavijesti na više indijskih jezika. Najmanje podržite hindski i engleski, a zatim dodajte regionalne jezike prema distribuciji prometa.
Blokirajte sve neesencijalne trackere prema zadanim postavkama. Učitajte oglasne, analitičke i treće SDK‑ove tek nakon afirmativne privole.
Jasno razdvojite svrhe. Ne objedinite oglašavanje, analitiku i personalizaciju u jednu radnju „prihvaćam” ako korisnik razumno može željeti pristati na neke, ali ne i na druge svrhe.
Bilježite događaje privole i povlačenja s vremenskim oznakama, točnom verzijom prikazane obavijesti i odabranim jezikom korisnika, kako biste mogli dokazati usklađenost tijekom regulatornih postupaka.
Osigurajte vidljivu poveznicu na postavke na svakoj stranici, koja korisnicima omogućuje pregled, ažuriranje ili povlačenje privole u bilo kojem trenutku.

DPDP vs. GDPR: praktične razlike

Nema osnove „legitimate interests”. DPDP Act ne prepoznaje legitimate interests kao opću pravnu osnovu na način na koji to čini GDPR. Privola ima veću težinu, pa je dizajn korisničkog iskustva još važniji.
Stroža pravila za djecu. Dob digitalne privole je 18 godina, a ne 13 ili 16, a ciljano oglašavanje maloljetnicima izričito je zabranjeno.
Zahtjev za višejezičnim obavijestima jedinstven je za DPDP Act i ne može se ispuniti bannerom samo na engleskom jeziku.
Obveze za Significant Data Fiduciary stvaraju drugi stupanj usklađenosti za visokorizične operatore koji nema izravnu analogiju u GDPR‑u.

Zaključak

DPDP Act uvodi Indiju u suvremeni globalni krajolik zaštite podataka s vlastitim, prepoznatljivim obilježjima — privola je u središtu, višejezičnost je ugrađena u dizajn, a zaštita maloljetnika je iznimno naglašena. Izdavači i platforme koji već koriste CMP usklađen s GDPR‑om imaju prednost, ali i dalje moraju prilagoditi sadržaj bannera, jezičnu podršku, postupanje s dobi i logiranje kako bi ispunili zahtjeve DPDP‑a. Tretiranje Indije kao „još jedne GDPR jurisdikcije” najbrži je put do pojavljivanja pred Data Protection Boardom.