Samsvar13. apr 2026 | FlexyConsent

Indias DPDP Act: Informasjonskapsamtykke for verdens største digitale marked

India vedtok Digital Personal Data Protection Act (DPDP Act) i 2023, og reglene som operasjonaliserer den har nå trådt i kraft. Med mer enn 850 millioner internettbrukere er India et marked ingen global utgiver, annonsør eller SaaS‑operatør har råd til å bomme på – og DPDP Act innfører samtykkeplikter som skiller seg vesentlig fra GDPR, CCPA og andre rammeverk du kanskje allerede støtter.

Denne veiledningen forklarer hvordan DPDP Act behandler informasjonskapsler og sporingsidentifikatorer, hvem den gjelder for, og hvordan en samtykkeopplevelse i samsvar skal se ut for indiske brukere.

Hvem DPDP Act gjelder for

DPDP Act regulerer behandling av digital persondata i India, samt behandling utenfor India som gjelder tilbud av varer eller tjenester til enkeltpersoner i India. I praksis: hvis nettstedet ditt er tilgjengelig for brukere i India og du samler inn persondata gjennom det – inkludert via informasjonskapsler, SDK‑er, piksler eller fingeravtrykksteknologi – gjelder loven nesten helt sikkert for deg.

Loven bruker to sentrale roller: Data Fiduciary (tilsvarende en behandlingsansvarlig etter GDPR) og Data Processor. Et lite antall av de største aktørene kan utpekes som Significant Data Fiduciaries, noe som utløser ytterligere plikter som Data Protection Impact Assessments og utnevnelse av et personvernombud bosatt i India.

Hvordan DPDP Act behandler informasjonskapsler og trackere

I motsetning til ePrivacy‑direktivet skiller ikke DPDP Act ut informasjonskapsler som en egen kategori. I stedet regulerer den enhver behandling av digital persondata. Dette betyr at informasjonskapsler, enhetsidentifikatorer, IP‑adresser, annonse‑ID‑er og hashed e‑poster alle omfattes når de er knyttet – direkte eller indirekte – til en identifiserbar person.

Konsekvensen for utgivere er enkel: hvis en informasjonskapsel eller tag på nettstedet ditt fører til at persondata samles inn eller deles, trenger du et gyldig rettslig grunnlag. Etter DPDP Act er dette nesten alltid samtykke, med et snevert sett unntak for «legitimate uses» definert i loven.

Hvordan et gyldig samtykke ser ut

DPDP Act stiller høye krav til samtykke. Det må være fritt, spesifikt, informert, ubetinget og utvetydig, og komme til uttrykk gjennom en klar, aktiv handling. Forhåndsavkryssede bokser, underforstått samtykke gjennom fortsatt bruk av nettstedet, og «cookie wall»-design som gjør tilgang betinget av aksept, er ikke forenlig med disse kravene.

To ekstra DPDP‑spesifikke regler er viktige for samtykke‑UX:

Oppdelt (itemised) informasjon: Før eller på tidspunktet for samtykke må du gi brukeren tydelig informasjon som identifiserer hvilke data som samles inn, formålene med behandlingen, og hvordan brukeren kan trekke samtykket tilbake eller sende inn en klage til Data Protection Board of India.
Klarspråk og flerspråklig støtte: Informasjonen må være tilgjengelig på engelsk og på et hvilket som helst av Indias 22 offisielle språk som brukeren velger. En CMP som ikke kan vise samtykketekst på hindi, tamil, bengali, marathi og andre større språk, vil få problemer med å etterleve kravene.

Barns data og foreldresamtykke

DPDP Act anser alle under 18 år som barn og krever verifiserbart foreldresamtykke før deres persondata kan behandles. Den forbyr også atferdsovervåking og målrettet reklame rettet mot barn. Ethvert nettsted som er tilgjengelig for mindreårige i India – som i praksis betyr nesten alle nettsteder – trenger en strategi for alderskontroll eller risikobasert tilnærming, og må kunne blokkere sporingsskript når foreldresamtykke mangler.

Brukerrettigheter CMP‑en din må støtte

Data Principals (brukere) i India har en rekke rettigheter som må kunne utøves gjennom ditt lag for samtykke og preferanser:

Rett til innsyn i et sammendrag av egne persondata som behandles.
Rett til retting og sletting av egne data.
Rett til å trekke samtykke tilbake når som helst, like enkelt som det ble gitt.
Rett til å utpeke en annen person til å utøve rettigheter ved død eller manglende evne.
Rett til klagebehandling, først hos Data Fiduciary og deretter hos Data Protection Board of India.

En CMP i samsvar bør tilby en vedvarende lenke til preferanser, støtte ett‑klikks tilbaketrekking av samtykke, og loggføre samtykkehendelser på en måte som kan legges frem på forespørsel under en undersøkelse.

Grensekryssende dataoverføringer

DPDP Act bruker en «negativ liste»-tilnærming til internasjonale overføringer: persondata kan overføres ut av India med mindre mottakerlandet er spesielt begrenset av sentralregjeringen. Dette er mer tillatende enn GDPRs adekvansregime, men du bør likevel dokumentere hvilke tredjeland som mottar data fra indiske brukere og følge med på den offentliggjorte begrensningslisten.

Sanksjoner og håndheving

De økonomiske sanksjonene etter DPDP Act er betydelige. Data Protection Board kan ilegge bøter på opptil ₹250 crore (omtrent $30 million USD) for manglende rimelige sikkerhetstiltak, og opptil ₹200 crore for manglende oppfyllelse av plikter overfor barn. Samtykkerelaterte overtredelser – inkludert innhenting av samtykke gjennom bannere som ikke er i samsvar – kan straffes med bøter på opptil ₹50 crore per overtredelse.

Implementering av DPDP‑kompatibelt samtykke i CMP‑en din

Geo‑detekter brukere i India og bruk en egen DPDP‑mal for samtykke i stedet for å gjenbruke et GDPR‑banner. Kravene til innhold i informasjonen og språkvalg er annerledes.
Vis informasjon på flere indiske språk. Støtt som et minimum hindi og engelsk, og legg til regionale språk basert på trafikkfordelingen din.
Blokker alle ikke‑essensielle trackere som standard. Last inn annonse‑, analyse‑ og tredjeparts‑SDK‑er først etter aktivt samtykke.
Skill formål tydelig. Ikke slå sammen annonsering, analyse og personalisering i én «godta»-handling hvis en bruker med rimelighet kan ønske å samtykke til noe, men ikke alt.
Loggfør samtykke‑ og tilbaketrekkingshendelser med tidsstempel, nøyaktig versjon av informasjonen som ble vist, og brukerens språkvalg, slik at du kan dokumentere etterlevelse under tilsynssaker.
Gi en synlig preferanselenke på hver side som lar brukere gjennomgå, oppdatere eller trekke samtykke tilbake når som helst.

DPDP vs. GDPR: Praktiske forskjeller

Ingen grunnlag «legitimate interests». DPDP Act anerkjenner ikke legitimate interests som et generelt rettslig grunnlag slik GDPR gjør. Samtykke får derfor større betydning, og UX‑design blir viktigere.
Strengere regler for barn. Aldersgrensen for digitalt samtykke er 18, ikke 13 eller 16, og målrettet reklame mot mindreårige er uttrykkelig forbudt.
Kravet om flerspråklig informasjon er unikt for DPDP Act og kan ikke oppfylles med et banner kun på engelsk.
Significant Data Fiduciary-plikter skaper et eget samsvarsnivå for høyrisikoaktører som ikke har noen direkte parallell i GDPR.

Konklusjon

DPDP Act plasserer India i det moderne globale personvernbildet med en egen profil – samtykkebasert, flerspråklig fra grunnen av, og uvanlig beskyttende overfor mindreårige. Utgivere og plattformer som allerede driver en CMP på GDPR‑nivå, har et forsprang, men må likevel justere bannerinnhold, språkstøtte, håndtering av alder og logging for å oppfylle DPDP‑kravene. Å behandle India som «bare nok en GDPR‑jurisdiksjon» er den raskeste veien til å havne foran Data Protection Board.