Kepatuhan13 Apr 2026 | FlexyConsent

DPDP Act India: Persetujuan Cookie kanggo Pasar Digital Paling Gedhé ing Donya

India ngesahaké Digital Personal Data Protection Act (DPDP Act) ing taun 2023, lan aturan pelaksana sing nggawé undang-undang iki bisa mlaku saiki wis ditrapaké. Kanthi luwih saka 850 yuta pangguna internèt, India iku pasar sing ora bisa dianggep remèh déning panèrbit, pengiklan, utawa operator SaaS global endi waé — lan DPDP Act nggawa kuwajiban persetujuan sing béda banget karo GDPR, CCPA, lan kerangka liyané sing bisa uga wis panjenengan dhukung.

Pandhuan iki njlèntrèhaké carané DPDP Act ngatur cookie lan pangidèn pelacakan, sapa sing kena undang-undang iki, lan kaya ngapa pengalaman persetujuan sing patuh kanggo pangguna India.

Sapa sing Kena DPDP Act

DPDP Act ngatur pamroṣèsan data pribadi digital ing sajroning India, uga pamroṣèsan sanjabané India sing ana hubungané karo nawakaké barang utawa jasa marang individu ing India. Ing praktèké, yèn situs panjenengan bisa diakses déning pangguna India lan panjenengan nglumpukaké data pribadi liwat situs kasebut — klebu lumantar cookie, SDK, piksel, utawa fingerprinting — undang-undang iki mèh mesthi kena marang panjenengan.

Undang-undang iki nggunakaké rong peran utama: Data Fiduciary (padha karo pengendali ing GDPR) lan Data Processor. Sawetara sithik operator paling gedhé bisa ditetepaké dadi Significant Data Fiduciary, sing nukulaké kuwajiban tambahan kayata Data Protection Impact Assessments lan ngangkat Data Protection Officer sing manggon ing India.

Carané DPDP Act Ngatur Cookie lan Pelacak

Béda karo ePrivacy Directive, DPDP Act ora misahaké cookie dadi kategori dhéwé. Nanging, undang-undang iki ngatur saben pamroṣèsan data pribadi digital. Tegesé, cookie, pangidèn piranti, alamat IP, ID iklan, lan email sing di-hash kabèh mlebu ing cakupan yèn padha disambungaké — langsung utawa ora langsung — marang wong sing bisa dikenali.

Akibaté kanggo panèrbit lugu: yèn cookie utawa tag ing situs panjenengan marakaké data pribadi dikumpulaké utawa diwènèhaké, panjenengan butuh dhasar ukum sing sah. Miturut DPDP Act, dhasar kasebut mèh tansah arupa persetujuan, kanthi sawetara sithik pangecualian kanggo "panganggonan sing sah" sing ditetepaké déning Undang-Undang.

Kaya Ngapa Persetujuan sing Sah

DPDP Act nemtokaké standar sing dhuwur kanggo persetujuan. Persetujuan kudu bebas, spesifik, diwènèhaké kanthi ngertos, tanpa sarat, lan jelas, sarta kudu dituduhaké liwat tumindak afirmatif sing gamblang. Kothak centhang sing wis kacentheng sadurungé, persetujuan sing disimpulaké saka tetep njlajahi, lan desain "cookie wall" sing nggawé akses gumantung marang panampan — kabèh iku ora cocog karo syarat iki.

Ana rong aturan spesifik DPDP liyané sing penting kanggo UX persetujuan:

Pengumuman terperinci: Sadurungé utawa nalika persetujuan diwènèhaké, panjenengan kudu ngwènèhi pengumuman sing cetha marang pangguna, sing nyebutaké data sing dikumpulaké, tujuan pamroṣèsan, lan carané pangguna bisa narik persetujuan utawa ngajokaké keluhan marang Data Protection Board of India.
Basa sing gampang dimangertèni lan dhukungan multibasa: Pengumuman kudu kasedhiya ing basa Inggris lan salah sawijiné saka 22 basa resmi India (scheduled languages) sing dipilih pangguna. CMP sing ora bisa nampilaké isi persetujuan ing basa Hindi, Tamil, Bengali, Marathi, lan basa-basa gedhé liyané bakal angèl kanggo patuh.

Data Bocah lan Persetujuan Wong Tuwa

DPDP Act nganggep sapa waé sing umuré kurang saka 18 taun dadi bocah lan mbutuhaké persetujuan wong tuwa sing bisa diverifikasi sadurungé mroṣes data pribadiné. Undang-undang iki uga nglarang pemantauan prilaku lan iklan bertarget sing ditujokaké marang bocah. Situs apa waé sing bisa diakses déning bocah ing sajroning India — sing ing praktèké tegesé mèh kabèh situs — butuh strategi age-gating utawa adhedhasar risiko, lan kudu bisa mblokir skrip pelacakan yèn persetujuan wong tuwa ora ana.

Hak Pangguna sing Kudu Didhukung CMP Panjenengan

Data Principal (pangguna) ing India duwé sakumpulan hak sing kudu bisa ditindakaké lumantar lapisan persetujuan lan preferensi panjenengan:

Hak akses marang ringkesan data pribadiné sing lagi diproses.
Hak kanggo ngoreksi lan mbusak dataé.
Hak narik persetujuan kapan waé, kanthi gampang sing padha kaya nalika mènèhi.
Hak nominasi individu liya kanggo nindakaké hakéa menawa séda utawa ora mampu.
Hak penyelesaian keluhan, luwih dhisik marang Data Fiduciary, banjur marang Data Protection Board of India.

CMP sing patuh kudu nampilaké tautan preferensi sing permanèn, ndhukung panarikan persetujuan kanthi siji klik, lan nyathet kedadèyan persetujuan sajroning cara sing bisa diproduksi yèn dijaluk nalika panyelidikan.

Transfer Data Ngliwati Wates Negara

DPDP Act nggunakaké pendhekatan "dhaptar negatif" kanggo transfer internasional: data pribadi bisa ditransfer menyang sanjabané India kajaba yèn negara tujuan kanthi khusus diwatesi déning Pamaréntah Pusat. Iki luwih longgar tinimbang sistem adequacy GDPR, nanging panjenengan tetep kudu nyathet negara katelu apa waé sing nampa data saka pangguna India lan mantau dhaptar watesan sing kapublikasi.

Sanksi lan Penegakan

Sanksi finansial miturut DPDP Act cukup gedhé. Data Protection Board bisa ngetrapaké denda nganti ₹250 crore (watara $30 yuta USD) amarga ora nindakaké langkah keamanan sing lumrah, lan nganti ₹200 crore amarga ora nyukupi kuwajiban marang bocah. Kegagalan sing ana hubungané karo persetujuan — klebu ngumpulaké persetujuan liwat banner sing ora patuh — bisa kena denda nganti ₹50 crore saben pelanggaran.

Ngetrapaké Persetujuan sing Patuh DPDP ing CMP Panjenengan

Ndeteksi pangguna India adhedhasar geografi lan trapaké template persetujuan khusus DPDP, ora nganggo ulang banner GDPR. Isi pengumuman sing dibutuhaké lan pilihan basa béda.
Nampilaké pengumuman ing pirang-pirang basa India. Saora-oraé ndhukung basa Hindi lan Inggris, banjur tambahaké basa dhaérah adhedhasar distribusi trafik panjenengan.
Mblokir kabèh pelacak non-esensial kanthi standar. Muat iklan, analitik, lan SDK pihak katelu mung sawisé persetujuan afirmatif diwènèhaké.
Pisahaké tujuan kanthi cetha. Aja nyatukaké iklan, analitik, lan personalisasi dadi siji tumindak "tampa" yèn pangguna kanthi wajar bisa uga kepéngin ménèhi persetujuan marang sawetara, ora kabèh.
Cathet kedadèyan persetujuan lan panarikan kanthi stempel wektu, versi pengumuman sing persis ditampilaké, lan pilihan basa pangguna, supaya panjenengan bisa mbuktèkaké kepatuhan nalika penyelidikan regulator.
Nyedhiyakaké tautan preferensi sing katon ing saben kaca, sing ngidini pangguna mriksa, nganyari, utawa narik persetujuan kapan waé.

DPDP vs. GDPR: Béda Praktis

Ora ana dhasar "kepentingan sah". DPDP Act ora ngakoni kepentingan sah minangka dhasar hukum umum kaya GDPR. Persetujuan duwé bobot luwih gedhé, dadi desain UX luwih penting.
Aturan luwih ketat kanggo bocah. Umur persetujuan digital iku 18 taun, dudu 13 utawa 16, lan iklan bertarget marang bocah dilarang kanthi cetha.
Syarat pengumuman multibasa iku khusus kanggo DPDP Act lan ora bisa dipenuhi mung nganggo banner basa Inggris.
Kuwajiban Significant Data Fiduciary nggawé tingkat kepatuhan kapindho kanggo operator berisiko dhuwur sing ora duwé padhanan langsung ing GDPR.

Kesimpulan

DPDP Act nggawa India mlebu lanskap perlindhungan data global modèrn kanthi ciri khas dhéwé — ngutamakaké persetujuan, multibasa saka desainé, lan nglindhungi bocah ing tingkat sing ora lumrah. Panèrbit lan platform sing wis nglakokaké CMP taraf GDPR duwé keunggulan wiwitan, nanging sijiné kudu tetep nyesuekaké isi banner, dhukungan basa, panangan umur, lan pencatatan supaya cocog karo syarat DPDP. Nganggep India minangka "yurisdiksi GDPR liyané" iku cara paling cepet supaya pungkasané ngadhepi Data Protection Board.