Reglufylgni13. apr. 2026 | FlexyConsent

DPDP-lögin á Indlandi: vafrakökusamþykki fyrir stærsta stafræna markað heims

Indland samþykkti Digital Personal Data Protection Act (DPDP Act) árið 2023 og reglurnar sem gera það að veruleika eru nú tekin gildi. Með meira en 850 milljónum netnotenda er Indland markaður sem enginn alþjóðlegur útgefandi, auglýsandi eða SaaS-rekstraraðili getur leyft sér að misskilja — og DPDP Act innleiðir samþykkisskyldur sem eru efnislega frábrugðnar GDPR, CCPA og öðrum ramma sem þú styður ef til vill nú þegar.

Þessi leiðarvísir útskýrir hvernig DPDP Act fjallar um vafrakökur og raknauðkenni, hverjum hann gildir um og hvernig samþykkisupplifun í samræmi við lög lítur út fyrir indverska notendur.

Hverjum DPDP Act gildir um

DPDP Act stýrir vinnslu stafrænna persónuupplýsinga innan Indlands, sem og vinnslu utan Indlands sem tengist því að bjóða vörur eða þjónustu til einstaklinga á Indlandi. Í reynd þýðir þetta að ef vefsíða þín er aðgengileg indverskum notendum og þú safnar persónuupplýsingum í gegnum hana — þar á meðal með vafrakökum, SDK-um, pixlum eða fingrafaragreiningu — gilda lögin nánast örugglega um þig.

Lögin nota tvö lykilhlutverk: Data Fiduciary (samsvarar ábyrgðaraðila samkvæmt GDPR) og Data Processor (vinnsluaðili). Lítill fjöldi stærstu aðila getur verið tilnefndur sem Significant Data Fiduciary, sem kveikir á viðbótarskyldum svo sem Data Protection Impact Assessments og skipan Data Protection Officer með búsetu á Indlandi.

Hvernig DPDP Act fjallar um vafrakökur og raknara

Ólíkt ePrivacy-tilskipuninni tekur DPDP Act ekki vafrakökur út sem sérstakan flokk. Þess í stað stýrir hann hvers kyns vinnslu stafrænna persónuupplýsinga. Þetta þýðir að vafrakökur, tækjaauðkenni, IP-tölur, auglýsingaauðkenni og tætt netföng falla öll undir umfangið þegar þau eru tengd — beint eða óbeint — við þekkjanlega manneskju.

Afleiðingin fyrir útgefendur er einföld: ef vafraköku eða merki á vefsíðu þinni veldur því að persónuupplýsingum er safnað eða þeim deilt, þarftu gilda lagalega undirstöðu. Samkvæmt DPDP Act er sú undirstaða nánast alltaf samþykki, með þröngum undantekningum fyrir „lögmæta notkun“ sem lögin skilgreina.

Hvernig gilt samþykki lítur út

DPDP Act setur háan þröskuld fyrir samþykki. Það verður að vera frjálst, sérhæft, upplýst, skilyrðislaust og ótvírætt, og gefið til kynna með skýrri staðfestandi aðgerð. Forhakaðir reitir, ætlað samþykki af áframhaldandi vafri og „cookie wall“-hönnun sem gerir aðgang að vefsíðu háð því að samþykkja eru ekki í samræmi við þessar kröfur.

Tvær viðbótarreglur, sérstakar fyrir DPDP, skipta máli fyrir samþykkisviðmót:

Sundurliðuð tilkynning: Fyrir eða á þeim tíma sem samþykki er veitt verður þú að gefa notandanum skýra tilkynningu sem auðkennir þau gögn sem safnað er, tilgang vinnslunnar og hvernig notandinn getur dregið samþykki til baka eða lagt fram kvörtun til Data Protection Board of India.
Einfalt mál og stuðningur við mörg tungumál: Tilkynningar verða að vera aðgengilegar á ensku og á einhverju af 22 skráðum tungumálum Indlands sem notandinn velur. CMP sem getur ekki birt samþykkisefni á hindí, tamílsku, bengalí, maratí og öðrum stórum tungumálum mun eiga erfitt með að fylgja reglum.

Gögn barna og samþykki foreldra

DPDP Act meðhöndlar hvern þann sem er yngri en 18 ára sem barn og krefst staðfestanlegs samþykkis foreldra áður en persónuupplýsingar þeirra eru unnar. Lögin banna einnig atferlisvöktun og markvissa auglýsingabirtingu sem beinist að börnum. Hver sú vefsíða sem er aðgengileg börnum á Indlandi — sem í reynd þýðir næstum hver einasta vefsíða — þarf aldursstjórnunar- eða áhættumiðaða aðferð og verður að geta lokað á raknaraskriftur þegar samþykki foreldra vantar.

Réttindi notenda sem CMP þitt verður að styðja

Data Principal (notendur) á Indlandi hafa röð réttinda sem verða að vera virk í samþykkis- og stillingalaginu þínu:

Réttur til aðgangs að samantekt á persónuupplýsingum þeirra sem eru í vinnslu.
Réttur til leiðréttingar og eyðingar gagna þeirra.
Réttur til að draga samþykki til baka hvenær sem er, jafn auðveldlega og hann var veittur.
Réttur til að tilnefna annan einstakling til að fara með réttindi sín í tilviki dauða eða ófærleika.
Réttur til kvörtunarúrlausnar, fyrst hjá Data Fiduciary og síðan hjá Data Protection Board of India.

Reglubundið CMP á að birta fastan stillingahlekk, styðja afturköllun samþykkis með einum smelli og skrá samþykkisatburði á þann hátt að hægt sé að framvísa þeim samkvæmt beiðni í rannsókn.

Gagnaflutningar yfir landamæri

DPDP Act beitir „neikvæðum lista“-nálgun við alþjóðlega flutninga: persónuupplýsingar má flytja út fyrir Indland nema áfangalandið sé sérstaklega takmarkað af miðstjórninni. Þetta er umburðarlyndara en adequacy-kerfi GDPR, en þú ættir samt að skjalfesta hvaða þriðju lönd taka við gögnum frá indverskum notendum og fylgjast með birtum takmarkanalista.

Sektir og framfylgd

Fjárhagslegar viðurlögin samkvæmt DPDP Act eru umtalsverð. Data Protection Board getur lagt á sektir allt að ₹250 crore (um það bil 30 milljónir USD) vegna þess að ekki eru gerðar eðlilegar öryggisráðstafanir, og allt að ₹200 crore vegna þess að ekki er staðið við skyldur gagnvart börnum. Samþykkistengd brot — þar á meðal að safna samþykki í gegnum banner sem uppfylla ekki kröfur — falla undir sektir allt að ₹50 crore á hverja brotagerð.

Innleiðing DPDP-samhæfðs samþykkis í CMP þínu

Greindu indverska notendur eftir landfræðilegri staðsetningu og notaðu sérstakt DPDP-samþykkissniðmát í stað þess að endurnýta GDPR-banner. Skylduefni tilkynningarinnar og tungumálavalkostir eru ólíkir.
Birtu tilkynningar á mörgum indverskum tungumálum. Að lágmarki skaltu styðja hindí og ensku, og bæta við svæðisbundnum tungumálum eftir dreifingu umferðar þinnar.
Lokaðu á alla ónauðsynlega raknara sjálfgefið. Hleðstu auglýsinga-, greiningar- og þriðja aðila SDK aðeins eftir að staðfestandi samþykki liggur fyrir.
Aðskildu tilgang skýrt. Ekki hnýta saman auglýsingum, greiningum og einstaklingsmiðun í eina „samþykkja“ aðgerð ef notandi gæti með góðum rökum viljað samþykkja sumt en ekki annað.
Skráðu samþykkis- og afturköllunaratburði með tímastimplum, nákvæmri útgáfu tilkynningarinnar sem sýnd var og tungumálavali notandans, svo þú getir sýnt fram á reglufylgni við eftirlitsfyrirspurnir.
Birtu sýnilegan stillingahlekk á hverri síðu sem leyfir notendum að fara yfir, uppfæra eða draga samþykki til baka hvenær sem er.

DPDP vs. GDPR: hagnýtur munur

Enginn „lögmætur hagsmunir“-grundvöllur. DPDP Act viðurkennir ekki lögmæta hagsmuni sem almennan lagalegan grundvöll eins og GDPR gerir. Samþykki vegur þyngra, svo hönnun notendaupplifunar skiptir meira máli.
Strangari reglur um börn. Aldur stafræns samþykkis er 18 ár, ekki 13 eða 16, og markvissar auglýsingar á börn eru beinlínis bannaðar.
Krafan um fjöltyngdar tilkynningar er sérstök fyrir DPDP Act og verður ekki uppfyllt með banner sem er eingöngu á ensku.
Skyldur Significant Data Fiduciary skapa annað stig reglufylgni fyrir áhættusama rekstraraðila sem á sér engan beinan samsvörun í GDPR.

Niðurstaða

DPDP Act færir Indland inn í nútíma alþjóðlegt persónuverndarlandslag með sínu eigin sérstaka bragði — með samþykki í fyrirrúmi, fjöltyngt frá upphafi og óvenju verndandi fyrir börn. Útgefendur og vettvangar sem þegar reka CMP á GDPR-stigi hafa forskot, en þeir þurfa engu að síður að aðlaga efni banneranna, tungumálastuðning, aldursmeðferð og skráningu til að uppfylla DPDP-kröfurnar. Að meðhöndla Indland sem „enn eina GDPR-lögsögu“ er fljótasta leiðin til að enda frammi fyrir Data Protection Board.