Atbilstība2026. gada 13. apr. | FlexyConsent

Indijas DPDP Act: sīkdatņu piekrišana pasaulē lielākajam digitālajam tirgum

Indija 2023. gadā pieņēma Digital Personal Data Protection Act (DPDP Act), un noteikumi, kas nodrošina tā praktisku piemērošanu, tagad ir stājušies spēkā. Ar vairāk nekā 850 miljoniem interneta lietotāju Indija ir tirgus, kuru nedrīkst ignorēt neviens globāls izdevējs, reklāmdevējs vai SaaS operators — un DPDP Act ievieš piekrišanas pienākumus, kas jūtami atšķiras no GDPR, CCPA un citiem regulējumiem, kurus jūs, iespējams, jau ievērojat.

Šajā ceļvedī skaidrots, kā DPDP Act attiecas uz sīkdatnēm un izsekošanas identifikatoriem, uz ko tas ir attiecināms un kādai jāizskatās atbilstošai piekrišanas pieredzei Indijas lietotājiem.

Uz ko attiecas DPDP Act

DPDP Act regulē digitālo personas datu apstrādi Indijas teritorijā, kā arī apstrādi ārpus Indijas, ja tā saistīta ar preču vai pakalpojumu piedāvāšanu personām Indijā. Praktiski tas nozīmē: ja jūsu vietne ir pieejama Indijas lietotājiem un jūs tajā vācat personas datus — tostarp izmantojot sīkdatnes, SDK, pikseļus vai pirkstu nospiedumu veidošanu — likums gandrīz noteikti attiecas arī uz jums.

Likums izmanto divas galvenās lomas: Data Fiduciary (līdzīga GDPR pārziņa lomai) un Data Processor. Neliela daļa lielāko operatoru var tikt klasificēti kā Significant Data Fiduciary, kas nozīmē papildu pienākumus, piemēram, Data Protection Impact Assessments veikšanu un Data Protection Officer iecelšanu ar dzīvesvietu Indijā.

Kā DPDP Act regulē sīkdatnes un izsekotājus

Atšķirībā no ePrivacy direktīvas DPDP Act neizdala sīkdatnes kā atsevišķu kategoriju. Tā vietā tas regulē jebkādu digitālo personas datu apstrādi. Tas nozīmē, ka sīkdatnes, ierīces identifikatori, IP adreses, reklāmas ID un hash e-pasti ietilpst tvērumā, ja tie ir tieši vai netieši saistīti ar identificējamu personu.

Izdevējiem secinājums ir vienkāršs: ja sīkdatne vai tags jūsu vietnē izraisa personas datu vākšanu vai izpaušanu, jums ir nepieciešams derīgs tiesiskais pamats. Saskaņā ar DPDP Act šis pamats gandrīz vienm��r ir piekrišana, ar šauru izņēmumu loku „legitimate uses”, kas definēti pašā likumā.

Kādai jābūt derīgai piekrišanai

DPDP Act nosaka augstu piekrišanas standartu. Tai jābūt brīvprātīgai, konkrētai, informētai, beznosacījuma un nepārprotamai, un izteiktai ar skaidru, apzinātu darbību. Iepriekš atzīmēti lodziņi, netieša piekrišana, turpinot pārlūkošanu, un “cookie wall” dizaini, kas piekļuvi saturam pakārto piekrišanai, nav savienojami ar šīm prasībām.

Divi papildu DPDP specifiski noteikumi ir īpaši svarīgi piekrišanas lietotāja pieredzei:

Detalizēts paziņojums: Pirms piekrišanas vai tās sniegšanas brīdī lietotājam jāsniedz skaidrs paziņojums, kurā identificēti vācamie dati, apstrādes nolūki un paskaidrots, kā lietotājs var atsaukt piekrišanu vai iesniegt sūdzību Indijas Data Protection Board.
Vienkārša valoda un daudzvalodu atbalsts: Paziņojumiem jābūt pieejamiem angļu valodā un jebkurā no 22 Indijas oficiālajām valodām, ko izvēlas lietotājs. CMP, kas nevar attēlot piekrišanas saturu hindi, tamilu, bengāļu, marathu un citās nozīmīgās valodās, saskarsies ar grūtībām nodrošināt atbilstību.

Bērnu dati un vecāku piekrišana

DPDP Act par bērnu uzskata ikvienu, kas jaunāks par 18 gadiem, un pirms viņu personas datu apstrādes pieprasa pārbaudāmu vecāku piekrišanu. Tā arī aizliedz uzvedības uzraudzību un mērķētu reklāmu, kas vērsta uz bērniem. Jebkura vietne, kas ir pieejama nepilngadīgajiem Indijā — praksē gandrīz jebkura vietne — ir atkarīga no vecumu pārbaudošas vai riska balstītas pieejas un tai jāspēj bloķēt izsekošanas skriptus, ja vecāku piekrišana nav saņemta.

Lietotāju tiesības, kuras jūsu CMP ir jānodrošina

Data Principals (lietotājiem) Indijā ir vairāku veidu tiesības, kurām jābūt īstenojamām caur jūsu piekrišanas un preferenču slāni:

Tiesības piekļūt kopsavilkumam par viņu personas datiem, kas tiek apstrādāti.
Tiesības uz labošanu un dzēšanu attiecībā uz viņu datiem.
Tiesības atsaukt piekrišanu jebkurā brīdī tikpat vienkārši, kā to bija dot.
Tiesības norīkot pilnvaroto personu, kas īstenos šīs tiesības viņu nāves vai rīcībnespējas gadījumā.
Tiesības uz sūdzības izskatīšanu, vispirms pie Data Fiduciary un pēc tam Indijas Data Protection Board.

Atbilstošam CMP jānodrošina pastāvīga piekļuves saite uz preferencēm, jāatbalsta piekrišanas atsaukšana ar vienu klikšķi un jākārto piekrišanas notikumu žurnāls tādā veidā, lai to varētu iesniegt pēc pieprasījuma izmeklēšanas laikā.

Pārrobežu datu nodošana

DPDP Act pārrobežu nodošanu regulē pēc “negatīvā saraksta” pieejas: personas datus drīkst nodot ārpus Indijas, ja vien konkrētā saņēmējvalsts nav iekļauta Indijas centrālās valdības noteiktajā ierobežojumu sarakstā. Tas ir pielaidīgāks risinājums nekā GDPR „adekvātuma” mehānisms, taču jums joprojām būtu jāfiksē, kuras trešās valstis saņem Indijas lietotāju datus, un regulāri jāpārbauda publicētais ierobežoto valstu saraksts.

Sodi un uzraudzība

Saskaņā ar DPDP Act paredzētie finanšu sodi ir būtiski. Data Protection Board var noteikt sodu līdz ₹250 crore (aptuveni $30 million USD) par nespēju nodrošināt saprātīgus drošības pasākumus un līdz ₹200 crore par pienākumu neizpildi attiecībā uz bērniem. Piekrišanas pārkāpumi — tostarp piekrišanas vākšana ar neatbilstošiem baneriem — var tikt sodīti līdz ₹50 crore par katru pārkāpumu.

DPDP atbilstošas piekrišanas ieviešana jūsu CMP

Ģeogrāfiski identificējiet Indijas lietotājus un piemērojiet DPDP specifisku piekrišanas veidni, nevis izmantojiet atkārtoti GDPR baneri. Paziņojumu saturs un valodu izvēle atšķiras.
Attēlojiet paziņojumus vairākās Indijas valodās. Kā minimums nodrošiniet hindi un angļu valodu un papildiniet ar reģionālajām valodām atbilstoši jūsu trafika sadalījumam.
Pēc noklusējuma bloķējiet visus ne-esenciālos izsekotājus. Reklāmu, analītikas un trešo pušu SDK ielāde drīkst notikt tikai pēc skaidras piekrišanas.
Skaidri nošķiriet nolūkus. Neapvienojiet reklāmu, analītiku un personalizāciju vienā “akceptēt” darbībā, ja lietotājs saprātīgi varētu vēlēties piekrist vienam nolūkam, bet ne otram.
Reģistrējiet piekrišanas un atsaukšanas notikumus ar laika zīmogiem, tieši attēloto paziņojuma versiju un lietotāja izvēlēto valodu, lai uzraugošajām iestādēm varētu sniegt pierādījumus par atbilstību.
Nodrošiniet redzamu saiti uz preferencēm katrā lapā, kas jebkurā brīdī ļauj lietotājiem pārskatīt, mainīt vai atsaukt piekrišanu.

DPDP un GDPR: praktiskās atšķirības

Nav „legitimate interests” pamata. DPDP Act neatzīst „legitimate interests” kā vispārīgu tiesisko pamatu tādā veidā, kā to dara GDPR. Piekrišana iegūst lielāku nozīmi, tādēļ UX dizains ir īpaši svarīgs.
Stingrāki noteikumi par bērniem. Digitālās piekrišanas vecums ir 18 gadi, nevis 13 vai 16, un mērķēta reklāma nepilngadīgajiem ir skaidri aizliegta.
Daudzvalodu paziņojumu prasība ir unikāla DPDP Act iezīme, un to nevar izpildīt ar tikai angļu valodā veidotu baneri.
Significant Data Fiduciary pienākumi veido otru atbilstības līmeni augsta riska operatoriem, kam nav tieša analoga GDPR.

Nobeigums

DPDP Act iepozicionē Indiju mūsdienu globālajā datu aizsardzības vidē ar paša izveidotu pieeju — piekrišana pirmajā vietā, no dizaina daudzvalodīga un īpaši aizsargājoša pret bērnu datu izmantošanas riskiem. Izdevēji un platformas, kas jau izmanto GDPR līmeņa CMP, ir soli priekšā, taču joprojām būs jāpielāgo baneru saturs, valodu atbalsts, vecuma pārvaldība un žurnālošana, lai izpildītu DPDP prasības. Uztvert Indiju kā “kārtējo GDPR jurisdikciju” ir ātrākais ceļš līdz sarunai ar Data Protection Board.