Сәйкестік13 сәу. 2026 | FlexyConsent

Үндістанның DPDP Act заңы: әлемнің ең ірі цифрлық нарығындағы cookie келісімі

Үндістан 2023 жылы Digital Personal Data Protection Act (DPDP Act) заңын қабылдады, ал оны іске асыратын ережелер қазір күшіне енді. 850 миллионнан асатын интернет-пайдаланушысымен Үндістан ешбір жаһандық баспагер, жарнама беруші немесе SaaS операторы қате істей алмайтын нарық болып табылады — ал DPDP Act сіз қазірдің өзінде қолдайтын GDPR, CCPA және басқа құрылымдардан мәнді түрде өзгеше келісім міндеттемелерін енгізеді.

Бұл нұсқаулық DPDP Act cookie файлдары мен бақылау идентификаторларын қалай реттейтінін, ол кімге қолданылатынын және үнді пайдаланушылары үшін сәйкес келісім тәжірибесі қалай көрінетінін түсіндіреді.

DPDP Act кімге қолданылады

DPDP Act Үндістан ішіндегі цифрлық дербес деректерді өңдеуді, сондай-ақ Үндістандағы жеке тұлғаларға тауарлар немесе қызметтер ұсынуға қатысты Үндістаннан тыс өңдеуді реттейді. Іс жүзінде, егер сіздің сайтыңыз үнді пайдаланушылары үшін қолжетімді болса және сіз оның арқылы дербес деректерді жинасаңыз — cookie, SDK, пиксель немесе fingerprinting арқылы — заң сізге дерлік міндетті түрде қолданылады.

Заң екі негізгі рөлді пайдаланады: Data Fiduciary (GDPR бойынша бақылаушыға тең) және Data Processor. Ең ірі операторлардың шағын тобы Significant Data Fiduciary болып белгіленуі мүмкін, бұл Data Protection Impact Assessment өткізу және Үндістанда тұратын Data Protection Officer тағайындау сияқты қосымша міндеттемелерді іске қосады.

DPDP Act cookie мен трекерлерді қалай реттейді

ePrivacy директивасынан айырмашылығы, DPDP Act cookie файлдарын жеке санат ретінде бөліп көрсетпейді. Оның орнына ол цифрлық дербес деректердің кез келген өңделуін реттейді. Бұл cookie, құрылғы идентификаторлары, IP мекенжайлары, жарнама ID-лері және хештелген электрондық пошта мекенжайлары — егер олар тікелей немесе жанама түрде идентификацияланатын тұлғамен байланысты болса, барлығы заң аясына кіреді дегенді білдіреді.

Баспагерлер үшін салдар қарапайым: егер сайтыңыздағы cookie немесе тег дербес деректердің жиналуына немесе бөлісілуіне әкелсе, сізге жарамды құқықтық негіз қажет. DPDP Act бойынша бұл негіз дерлік әрдайым — келісім, заңмен белгіленген «заңды пайдалану» шеңберіндегі шектеулі ерекшеліктермен.

Жарамды келісім қандай болады

DPDP Act келісім үшін жоғары жолақ қояды. Ол еркін, нақты, ақпараттандырылған, шартсыз және бір мәнді болуы керек және нақты растаушы әрекет арқылы білдірілуі тиіс. Алдын ала белгіленген құсбелгілер, шолуды жалғастырудан туындаған тұспалданған келісім және қабылдауды қол жеткізудің шартына айналдыратын «cookie wall» типтес дизайндар осы талаптармен үйлеспейді.

Келісім UX үшін тағы екі DPDP-ге тән ереже маңызды:

Баптап көрсетілген хабарлама: Келісім алдында немесе оны беру сәтінде пайдаланушыға жиналатын деректерді, өңдеу мақсаттарын және пайдаланушының келісімін қалай қайтарып ала алатынын немесе Data Protection Board of India-ға шағым қалай бере алатынын анықтайтын нақты хабарлама беру керек.
Қарапайым тіл және көптілді қолдау: Хабарламалар ағылшын тілінде және пайдаланушы таңдаған Үндістанның 22 белгіленген (scheduled) тілдерінің кез келгенінде қолжетімді болуы керек. Келісім мазмұнын хинди, тамил, бенгал, маратхи және басқа ірі тілдерде көрсете алмайтын CMP-ке сәйкес келу қиынға соғады.

Балалар деректері және ата-ана келісімі

DPDP Act 18 жасқа толмаған кез келген адамды бала деп санайды және олардың дербес деректерін өңдеуден бұрын расталатын ата-ана келісімін талап етеді. Ол сондай-ақ балаларға бағытталған мінез-құлықтық бақылау мен мақсатты жарнамаға тыйым салады. Үндістанда кәмелетке толмағандар үшін қолжетімді кез келген веб-сайт — бұл іс жүзінде барлық дерлік сайт дегенді білдіреді — жасты тексеру немесе тәуекелге негізделген стратегияны қажет етеді және ата-ана келісімі болмаған кезде бақылау скрипттерін блоктай алуы керек.

Сіздің CMP қолдауы тиіс пайдаланушы құқықтары

Үндістандағы Data Principal (пайдаланушылар) сіздің келісім мен параметрлер қабатыңыз арқылы жүзеге асырылуы мүмкін құқықтар жиынтығына ие:

Өңделіп жатқан өздерінің дербес деректерінің қысқаша мазмұнына қолжеткізу құқығы.
Өз деректерін түзету және жою құқығы.
Кез келген уақытта, оны беру кезіндегі сияқты оңай келісімді кері қайтарып алу құқығы.
Қайтыс болу немесе әрекетке қабілетсіздік жағдайында құқықтарды жүзеге асыру үшін басқа адамды тағайындау құқығы.
Алдымен Data Fiduciary-ге, содан кейін Data Protection Board of India-ға шағымдану құқығы.

Сәйкес CMP тұрақты параметрлер сілтемесін көрсетіп, бір шертумен келісімді кері қайтарып алуды қолдап, тергеу кезінде сұраным бойынша ұсынуға болатын түрде келісім оқиғаларын тіркеуі керек.

Трансшекаралық деректер тасымалы

DPDP Act халықаралық тасымалдауға «теріс тізім» тәсілін қолданады: дербес деректерді Үндістаннан тыс тасымалдауға болады, егер мақсатты елді Орталық үкімет арнайы шектемесе. Бұл GDPR-дың adequacy режиміне қарағанда көбірек еркіндік береді, бірақ үнді пайдаланушыларынан деректерді қабылдайтын қандай үшінші елдер бар екенін құжаттап, жарияланған шектеу тізімін бақылап отыру керек.

Айыппұлдар мен құқық қолдану

DPDP Act бойынша қаржылық айыппұлдар елеулі. Data Protection Board қауіпсіздіктің ақылға қонымды шараларын қолданбағаны үшін ₹250 крорға (шамамен 30 миллион АҚШ доллары) дейін, ал балаларға қатысты міндеттемелерді орындамағаны үшін ₹200 крорға дейін айыппұл сала алады. Келісімге қатысты бұзушылықтар — оның ішінде сәйкес келмейтін баннерлер арқылы келісім жинау — әр бұзушылыққа ₹50 крорға дейін айыппұлға тартылады.

CMP-те DPDP-ге сәйкес келісімді іске асыру

Үнді пайдаланушыларын геолокация арқылы анықтаңыз және GDPR баннерін қайта пайдаланудың орнына DPDP-ге арналған арнайы келісім үлгісін қолданыңыз. Қажетті хабарлама мазмұны мен тіл опциялары басқаша.
Хабарламаларды бірнеше үнді тілінде көрсетіңіз. Ең аз дегенде хинди мен ағылшынды қолдап, трафик таралуыңызға сәйкес өңірлік тілдерді қосыңыз.
Әдепкі бойынша маңызды емес барлық трекерлерді бұғаттаңыз. Жарнама, аналитика және үшінші тарап SDK-ларын тек растаушы келісім алынғаннан кейін ғана жүктеңіз.
Мақсаттарды анық ажыратыңыз. Егер пайдаланушы бір-екеуіне ғана келісім бергісі келуі мүмкін болса, жарнаманы, аналитиканы және дербестендіруді бір ғана «қабылдау» әрекетіне біріктірмеңіз.
Келісім және кері қайтарып алу оқиғаларын тіркеңіз — уақыт белгілерімен, көрсетілген хабарламаның дәл нұсқасымен және пайдаланушының тіл таңдауымен, реттеуші тергеу жағдайында сәйкестігіңізді дәлелдей алу үшін.
Әрбір бетте көрінетін параметрлер сілтемесін ұсыныңыз, ол пайдаланушыларға кез келген уақытта келісімді қарап шығуға, жаңартуға немесе кері қайтарып алуға мүмкіндік береді.

DPDP пен GDPR: тәжірибелік айырмашылықтар

«Заңды мүдде» негізі жоқ. DPDP Act GDPR сияқты заңды мүддені жалпы құқықтық негіз ретінде танымайды. Келісімнің салмағы артады, сондықтан UX дизайн маңызы да өседі.
Балаларға қатысты қатаңырақ ережелер. Цифрлық келісімнің жас шегі 13 немесе 16 емес, 18 жас, және кәмелетке толмағандарға бағытталған мақсатты жарнамаға анық тыйым салынған.
Көптілді хабарлама талабы DPDP Act-ке ғана тән және тек ағылшын тіліндегі баннермен орындалмайды.
Significant Data Fiduciary міндеттемелері жоғары тәуекелді операторлар үшін GDPR-дағы тікелей аналогы жоқ сәйкестіктің екінші деңгейін жасайды.

Қорытынды

DPDP Act Үндістанды деректерді қорғаудың қазіргі жаһандық ландшафтына өзіндік ерекше дәмі бар қалпында — келісімді бірінші қоятын, дизайны бойынша көптілді және кәмелетке толмағандарды әдеттегіден тыс қорғайтын заңмен — енгізеді. GDPR деңгейіндегі CMP-ті қазірдің өзінде жұмыс істеп жатқан баспагерлер мен платформаларда алғашқы артықшылық бар, бірақ DPDP талаптарын қанағаттандыру үшін баннер мазмұнын, тілдік қолдауды, жасты өңдеуді және журналдауды реттеуге тура келеді. Үндістанды «тек тағы бір GDPR юрисдикциясы» ретінде қабылдау — Data Protection Board алдында табылудың ең жылдам жолы.