Kepada Siapa DPDP Act Berlaku

DPDP Act mengatur pemrosesan data pribadi digital di dalam India, serta pemrosesan di luar India yang terkait dengan penawaran barang atau jasa kepada individu di India. Dalam praktiknya, jika situs Anda dapat diakses oleh pengguna di India dan Anda mengumpulkan data pribadi melalui situs tersebut — termasuk melalui cookie, SDK, piksel, atau sidik jari perangkat (fingerprinting) — Undang-Undang ini hampir pasti berlaku bagi Anda.

Undang-Undang ini menggunakan dua peran kunci: Data Fiduciary (setara dengan controller di GDPR) dan Data Processor. Sejumlah kecil operator terbesar dapat ditetapkan sebagai Significant Data Fiduciary, yang memicu kewajiban tambahan seperti Data Protection Impact Assessment dan penunjukan Data Protection Officer yang berdomisili di India.

Bagaimana DPDP Act Mengatur Cookie dan Pelacak

Berbeda dengan ePrivacy Directive, DPDP Act tidak menyebutkan cookie sebagai kategori terpisah. Sebaliknya, ia mengatur setiap pemrosesan data pribadi digital. Ini berarti cookie, pengenal perangkat, alamat IP, ID iklan, dan email yang di-hash semuanya termasuk dalam cakupan ketika mereka terhubung — secara langsung maupun tidak langsung — ke seseorang yang dapat diidentifikasi.

Implikasinya bagi penerbit cukup jelas: jika sebuah cookie atau tag di situs Anda menyebabkan data pribadi dikumpulkan atau dibagikan, Anda memerlukan dasar hukum yang sah. Berdasarkan DPDP Act, dasar tersebut hampir selalu berupa persetujuan, dengan sekumpulan kecil pengecualian untuk "penggunaan yang sah" yang didefinisikan oleh Undang-Undang.

Seperti Apa Persetujuan yang Sah Itu

DPDP Act menetapkan standar yang tinggi untuk persetujuan. Persetujuan harus bebas, spesifik, diberikan secara sadar, tanpa syarat, dan tidak ambigu, serta dinyatakan melalui tindakan afirmatif yang jelas. Kotak centang yang sudah tercentang, persetujuan yang disimpulkan dari penjelajahan yang berlanjut, dan desain "cookie wall" yang mensyaratkan akses berdasarkan penerimaan tidak sesuai dengan persyaratan ini.

Dua aturan spesifik DPDP lainnya penting untuk UX persetujuan:

• Pemberitahuan terperinci: Sebelum atau pada saat persetujuan diberikan, Anda harus memberikan pemberitahuan yang jelas kepada pengguna yang mengidentifikasi data yang dikumpulkan, tujuan pemrosesan, serta bagaimana pengguna dapat menarik persetujuan atau mengajukan keluhan ke Data Protection Board of India.
• Bahasa yang jelas dan dukungan multibahasa: Pemberitahuan harus tersedia dalam bahasa Inggris dan dalam salah satu dari 22 bahasa resmi India (scheduled languages) yang dipilih pengguna. CMP yang tidak dapat menampilkan konten persetujuan dalam bahasa Hindi, Tamil, Bengali, Marathi, dan bahasa-bahasa besar lainnya akan kesulitan untuk patuh.

Data Anak dan Persetujuan Orang Tua

DPDP Act memperlakukan siapa pun yang berusia di bawah 18 tahun sebagai anak dan mewajibkan persetujuan orang tua yang dapat diverifikasi sebelum memproses data pribadi mereka. Undang-Undang ini juga melarang pemantauan perilaku dan iklan bertarget yang ditujukan kepada anak-anak. Setiap situs yang dapat diakses oleh anak di bawah umur di India — yang dalam praktiknya berarti hampir semua situs — memerlukan strategi pembatasan usia (age-gating) atau berbasis risiko, serta harus mampu memblokir skrip pelacakan ketika persetujuan orang tua tidak ada.

Hak Pengguna yang Harus Didukung CMP Anda

Data Principal (pengguna) di India memiliki sejumlah hak yang harus dapat dijalankan melalui lapisan persetujuan dan preferensi Anda:

• Hak atas akses terhadap ringkasan data pribadi mereka yang sedang diproses.
• Hak atas koreksi dan penghapusan data mereka.
• Hak untuk menarik persetujuan kapan saja, dengan kemudahan yang sama seperti saat memberikannya.
• Hak untuk menominasikan individu lain untuk melaksanakan haknya jika terjadi kematian atau ketidakmampuan.
• Hak atas penyelesaian keluhan, pertama kepada Data Fiduciary dan kemudian kepada Data Protection Board of India.

CMP yang patuh harus menampilkan tautan preferensi yang permanen, mendukung penarikan persetujuan dengan sekali klik, dan mencatat peristiwa persetujuan dengan cara yang dapat diproduksi atas permintaan selama investigasi.

Transfer Data Lintas Batas

DPDP Act menggunakan pendekatan "daftar negatif" untuk transfer internasional: data pribadi dapat ditransfer ke luar India kecuali negara tujuan secara khusus dibatasi oleh Pemerintah Pusat. Pendekatan ini lebih longgar daripada rezim adequacy GDPR, tetapi Anda tetap harus mendokumentasikan negara ketiga mana yang menerima data dari pengguna India dan memantau daftar pembatasan yang dipublikasikan.

Sanksi dan Penegakan

Sanksi finansial berdasarkan DPDP Act sangat signifikan. Data Protection Board dapat menjatuhkan denda hingga ₹250 crore (sekitar $30 juta USD) karena kegagalan menerapkan pengamanan keamanan yang wajar, dan hingga ₹200 crore karena kegagalan memenuhi kewajiban terhadap anak-anak. Kegagalan terkait persetujuan — termasuk mengumpulkan persetujuan melalui banner yang tidak patuh — dapat dikenakan denda hingga ₹50 crore per pelanggaran.

Menerapkan Persetujuan yang Patuh DPDP di CMP Anda

1. Deteksi pengguna India berdasarkan geografi dan terapkan template persetujuan khusus DPDP daripada menggunakan ulang banner GDPR. Konten pemberitahuan yang diwajibkan dan opsi bahasa berbeda.
2. Tampilkan pemberitahuan dalam beberapa bahasa India. Minimal dukung Hindi dan Inggris, lalu tambahkan bahasa-bahasa daerah berdasarkan distribusi trafik Anda.
3. Blokir semua pelacak non-esensial secara default. Muat iklan, analitik, dan SDK pihak ketiga hanya setelah persetujuan afirmatif diberikan.
4. Pisahkan tujuan dengan jelas. Jangan menggabungkan iklan, analitik, dan personalisasi ke dalam satu tindakan "terima" jika pengguna secara wajar mungkin ingin menyetujui sebagian tetapi tidak semuanya.
5. Catat peristiwa persetujuan dan penarikan dengan stempel waktu, versi pemberitahuan yang tepat yang ditampilkan, dan pilihan bahasa pengguna, sehingga Anda dapat membuktikan kepatuhan selama penyelidikan regulasi.
6. Sediakan tautan preferensi yang terlihat di setiap halaman yang memungkinkan pengguna untuk meninjau, memperbarui, atau menarik persetujuan kapan saja.

DPDP vs. GDPR: Perbedaan Praktis

• Tidak ada dasar "kepentingan sah". DPDP Act tidak mengakui kepentingan sah sebagai dasar hukum umum seperti halnya GDPR. Persetujuan memegang bobot yang lebih besar, sehingga desain UX menjadi lebih penting.
• Aturan yang lebih ketat untuk anak-anak. Usia persetujuan digital adalah 18 tahun, bukan 13 atau 16, dan iklan bertarget kepada anak di bawah umur secara tegas dilarang.
• Persyaratan pemberitahuan multibahasa unik untuk DPDP Act dan tidak dapat dipenuhi hanya dengan banner berbahasa Inggris.
• Kewajiban Significant Data Fiduciary menciptakan tingkat kepatuhan kedua untuk operator berisiko tinggi yang tidak memiliki padanan langsung dalam GDPR.

Kesimpulan

DPDP Act membawa India ke dalam lanskap perlindungan data global modern dengan karakter khasnya sendiri — mengutamakan persetujuan, multibahasa sejak awal desain, dan melindungi anak di bawah umur pada tingkat yang tidak biasa. Penerbit dan platform yang sudah menjalankan CMP bertaraf GDPR memiliki keunggulan awal, tetapi mereka tetap perlu menyesuaikan konten banner, dukungan bahasa, penanganan usia, dan pencatatan agar sesuai dengan persyaratan DPDP. Memperlakukan India sebagai "sekadar yurisdiksi GDPR lainnya" adalah cara tercepat untuk berakhir di hadapan Data Protection Board.