Atitiktis2026 m. bal. 13 d. | FlexyConsent

Indijos DPDP Act: slapukų sutikimas didžiausioje pasaulio skaitmeninėje rinkoje

Indija 2023 m. priėmė Digital Personal Data Protection Act (DPDP Act), o jį įgyvendinančios taisyklės dabar jau įsigaliojo. Turėdama daugiau nei 850 milijonų interneto naudotojų, Indija yra rinka, kurios sau negali leisti neteisingai suprasti joks pasaulinis leidėjas, reklamuotojas ar SaaS operatorius — o DPDP Act įtvirtina sutikimo prievoles, kurios iš esmės skiriasi nuo GDPR, CCPA ir kitų jau galbūt palaikomų teisinių sistemų.

Šis vadovas paaiškina, kaip DPDP Act reglamentuoja slapukus ir sekimo identifikatorius, kam jis taikomas ir kaip atrodo reikalavimus atitinkantis sutikimo patyrimas Indijos naudotojams.

Kam taikomas DPDP Act

DPDP Act reglamentuoja skaitmeninių asmens duomenų tvarkymą Indijoje, taip pat ir tvarkymą už Indijos ribų, kai jis susijęs su prekių ar paslaugų siūlymu Indijoje esantiems asmenims. Praktiškai tai reiškia, kad jei jūsų svetainė yra prieinama Indijos naudotojams ir per ją renkate asmens duomenis — taip pat ir slapukų, SDK, pikselių ar „fingerprinting“ būdu, — šis aktas beveik neabejotinai jums taikomas.

Aktas naudoja du pagrindinius vaidmenis: Data Fiduciary (atitinkantį GDPR duomenų valdytoją) ir Data Processor. Nedidelė didžiausių veiklos vykdytojų dalis gali būti paskirta Significant Data Fiduciary, o tai užtraukia papildomas prievoles, pavyzdžiui, Data Protection Impact Assessment atlikimą ir Data Protection Officer, gyvenančio Indijoje, paskyrimą.

Kaip DPDP Act traktuoja slapukus ir sekiklius

Skirtingai nei ePrivacy direktyva, DPDP Act neišskiria slapukų kaip atskiros kategorijos. Vietoj to jis reglamentuoja bet kokį skaitmeninių asmens duomenų tvarkymą. Tai reiškia, kad slapukai, įrenginių identifikatoriai, IP adresai, reklamos ID ir suhešinti el. pašto adresai visi patenka į taikymo sritį, kai jie tiesiogiai ar netiesiogiai susiejami su atpažįstamu asmeniu.

Leidėjams išvada paprasta: jei dėl jūsų svetainėje esančio slapuko ar žymos renkami arba dalijamasi asmens duomenimis, jums reikalingas galiojantis teisinis pagrindas. Pagal DPDP Act šis pagrindas beveik visada yra sutikimas, išskyrus siaurą akto numatytų „teisėtų naudojimo atvejų“ sąrašą.

Koks yra galiojantis sutikimas

DPDP Act nustato aukštą kartelę sutikimui. Jis turi būti laisvas, konkretus, informuotas, besąlyginis ir nedviprasmiškas, ir išreikštas aiškiu patvirtinamuoju veiksmu. Iš anksto pažymėti langeliai, numanomas sutikimas iš tęstinio naršymo ir „cookie wall“ tipo sprendimai, pagal kuriuos prieiga priklauso nuo priėmimo, su šiais reikalavimais nesuderinami.

Sutikimo naudotojo patirčiai aktualios dar dvi DPDP specifinės taisyklės:

Detalus pranešimas: prieš sutikimą arba jo gavimo metu naudotojui turite pateikti aiškų pranešimą, identifikuojantį renkamus duomenis, tvarkymo tikslus ir tai, kaip naudotojas gali atšaukti sutikimą arba pateikti skundą Data Protection Board of India.
Paprasta kalba ir daugiakalbis palaikymas: pranešimai turi būti prieinami anglų kalba ir bet kuria iš 22 oficialių (scheduled) Indijos kalbų, kurią pasirenka naudotojas. CMP, kuris negali pateikti sutikimo turinio hindi, tamilų, bengalų, marati ir kitomis didelėmis kalbomis, vargu ar atitiks reikalavimus.

Vaikų duomenys ir tėvų sutikimas

DPDP Act kiekvieną jaunesnį nei 18 metų asmenį laiko vaiku ir reikalauja patikrinamo tėvų sutikimo prieš tvarkant jų asmens duomenis. Jis taip pat draudžia elgesio stebėseną ir tikslinę reklamą, skirtą vaikams. Bet kuri svetainė, prieinama nepilnamečiams Indijoje — o tai praktiškai reiškia beveik kiekvieną svetainę — turi numatyti amžiaus patikrinimo arba rizika grindžiamą strategiją ir privalo gebėti blokuoti sekimo skriptus, kai tėvų sutikimo nėra.

Naudotojų teisės, kurias privalo palaikyti jūsų CMP

Indijos Data Principal (naudotojai) turi teisių rinkinį, kuris per jūsų sutikimo ir nuostatų sluoksnį turi būti įgyvendinamas:

Teisė susipažinti su savo tvarkomų asmens duomenų santrauka.
Teisė į duomenų ištaisymą ir ištrynimą.
Teisė atšaukti sutikimą bet kuriuo metu taip pat paprastai, kaip jis buvo duotas.
Teisė paskirti kitą asmenį teisėms įgyvendinti mirties ar neveiksnumo atveju.
Teisė į skundų nagrinėjimą, pirmiausia pas Data Fiduciary, o paskui pas Data Protection Board of India.

Reikalavimus atitinkanti CMP turėtų rodyti nuolatinę nuostatų nuorodą, palaikyti sutikimo atšaukimą vienu paspaudimu ir registruoti sutikimo įvykius taip, kad juos būtų galima pateikti paprašius tyrimo metu.

Duomenų perdavimas per sienas

DPDP Act taiko „neigiamo sąrašo“ požiūrį tarptautiniams perdavimams: asmens duomenis galima perduoti už Indijos ribų, nebent paskirties šalį konkrečiai apribotų Centrinė vyriausybė. Tai yra liberaliau nei GDPR adekvatumo režimas, tačiau vis tiek turėtumėte dokumentuoti, kurios trečiosios šalys gauna duomenis iš Indijos naudotojų, ir stebėti skelbiamą apribojimų sąrašą.

Sankcijos ir vykdymas

Finansinės sankcijos pagal DPDP Act yra reikšmingos. Data Protection Board gali skirti iki ₹250 crore (apie 30 milijonų JAV dolerių) dydžio baudą už tai, kad nesiimta pagrįstų saugumo priemonių, ir iki ₹200 crore už prievolių vaikams nevykdymą. Su sutikimu susiję pažeidimai — įskaitant sutikimo rinkimą per reikalavimų neatitinkančius baneriais — užtraukia iki ₹50 crore baudą už kiekvieną pažeidimą.

DPDP reikalavimus atitinkančio sutikimo įgyvendinimas jūsų CMP

Pagal geografinę vietą identifikuokite Indijos naudotojus ir taikykite specialų DPDP sutikimo šabloną, o ne pakartotinai naudokite GDPR banerį. Reikalaujamas pranešimo turinys ir kalbos pasirinkimai skiriasi.
Rodykite pranešimus keliomis Indijos kalbomis. Mažiausiai palaikykite hindi ir anglų, o pagal srauto pasiskirstymą pridėkite regionines kalbas.
Pagal numatytuosius nustatymus blokuokite visus nebūtinus sekiklius. Reklamos, analitikos ir trečiųjų šalių SDK kraukite tik gavę patvirtinamąjį sutikimą.
Aiškiai atskirkite tikslus. Nesujunkite reklamos, analitikos ir personalizavimo į vieną „priimti“ veiksmą, jei naudotojas pagrįstai gali norėti sutikti tik su kai kuriais tikslais, bet ne su kitais.
Registruokite sutikimo ir atšaukimo įvykius su laiko žymėmis, tikslia rodomo pranešimo versija ir naudotojo pasirinkta kalba, kad galėtumėte įrodyti atitiktį atliekant reguliavimo institucijos tyrimus.
Kiekviename puslapyje pateikite matomą nuostatų nuorodą, leidžiančią naudotojams bet kada peržiūrėti, atnaujinti arba atšaukti sutikimą.

DPDP prieš GDPR: praktiniai skirtumai

Nėra „teisėto intereso“ pagrindo. DPDP Act nepripažįsta teisėto intereso kaip bendro teisinio pagrindo, kaip tai daro GDPR. Sutikimas įgyja didesnę reikšmę, todėl UX dizainas tampa svarbesnis.
Griežtesnės taisyklės vaikams. Skaitmeninio sutikimo amžius yra 18 metų, o ne 13 ar 16, ir tikslinė reklama nepilnamečiams aiškiai draudžiama.
Daugiakalbio pranešimo reikalavimas yra unikalus DPDP Act atžvilgiu ir negali būti patenkintas vien angliškai pateiktu baneriu.
Significant Data Fiduciary prievolės sukuria antrąjį atitikties lygį didelės rizikos veiklos vykdytojams, kuris neturi tiesioginio atitikmens GDPR.

Išvada

DPDP Act įveda Indiją į šiuolaikinį pasaulinį duomenų apsaugos kraštovaizdį su savitu skoniu — sutikimas pirmiausia, daugiakalbiškumas jau projektuojant ir neįprastai stiprus nepilnamečių gynimas. Leidėjai ir platformos, jau valdantys GDPR lygio CMP, turi pranašumą, tačiau jiems vis tiek teks pritaikyti banerių turinį, kalbų palaikymą, amžiaus tvarkymą ir įvykių registravimą DPDP reikalavimams. Laikyti Indiją „dar viena GDPR jurisdikcija“ — tai greičiausias kelias atsidurti prieš Data Protection Board.