Zgodność13 kwi 2026 | FlexyConsent

Indyjska ustawa DPDP Act: zgoda na pliki cookie na największym rynku cyfrowym świata

Indie przyjęły ustawę Digital Personal Data Protection Act (DPDP Act) w 2023 roku, a przepisy wykonawcze wdrażające jej postanowienia właśnie weszły w życie. Z ponad 850 milionami użytkowników internetu Indie są rynkiem, na który żaden globalny wydawca, reklamodawca ani operator SaaS nie może sobie pozwolić patrzeć z przymrużeniem oka — a DPDP Act wprowadza obowiązki związane ze zgodą, które w istotny sposób różnią się od GDPR, CCPA i innych ram, które być może już obsługujesz.

Niniejszy przewodnik wyjaśnia, jak DPDP Act traktuje pliki cookie i identyfikatory śledzące, kogo obejmuje oraz jak powinna wyglądać zgodna z prawem ścieżka wyrażania zgody dla użytkowników z Indii.

Zakres stosowania DPDP Act

DPDP Act reguluje przetwarzanie cyfrowych danych osobowych na terytorium Indii, a także przetwarzanie poza Indiami, jeśli jest związane z oferowaniem towarów lub usług osobom w Indiach. W praktyce, jeśli Twoja strona jest dostępna dla użytkowników z Indii i zbierasz za jej pośrednictwem dane osobowe — w tym za pomocą plików cookie, SDK, pikseli lub fingerprintingu — ustawa niemal na pewno ma do Ciebie zastosowanie.

Ustawa posługuje się dwoma kluczowymi rolami: Data Fiduciary (odpowiednik administratora w rozumieniu GDPR) oraz Data Processor. Nieliczna grupa największych podmiotów może zostać wyznaczona jako Significant Data Fiduciaries, co uruchamia dodatkowe obowiązki, takie jak przeprowadzanie Data Protection Impact Assessments oraz powołanie Data Protection Officer zamieszkującego w Indiach.

Jak DPDP Act traktuje pliki cookie i trackery

W przeciwieństwie do dyrektywy ePrivacy, DPDP Act nie wydziela plików cookie jako osobnej kategorii. Zamiast tego reguluje każde przetwarzanie cyfrowych danych osobowych. Oznacza to, że pliki cookie, identyfikatory urządzeń, adresy IP, identyfikatory reklamowe oraz haszowane adresy e-mail mieszczą się w jej zakresie, jeśli są powiązane — bezpośrednio lub pośrednio — z możliwą do zidentyfikowania osobą.

Konsekwencja dla wydawców jest prosta: jeśli jakikolwiek plik cookie lub tag na Twojej stronie powoduje zbieranie lub udostępnianie danych osobowych, potrzebujesz ważnej podstawy prawnej. Na gruncie DPDP Act podstawą tą jest niemal zawsze zgoda, z wąskim katalogiem wyjątków w postaci „legitimate uses” zdefiniowanych w ustawie.

Jak wygląda ważna zgoda

DPDP Act ustala wysoki próg dla zgody. Musi ona być dobrowolna, konkretna, poinformowana, bezwarunkowa i jednoznaczna oraz wyrażona poprzez wyraźne, potwierdzające działanie użytkownika. Wstępnie zaznaczone pola, dorozumiana zgoda wynikająca z dalszego przeglądania strony czy projekty „cookie wall”, które uzależniają dostęp od akceptacji, nie są zgodne z tymi wymogami.

Dla projektowania UX zgody istotne są dwa dodatkowe, specyficzne dla DPDP wymogi:

Zindywidualizowana informacja: Przed lub w momencie wyrażania zgody musisz przekazać użytkownikowi jasną informację, identyfikującą zbierane dane, cele przetwarzania oraz sposób wycofania zgody lub złożenia skargi do Data Protection Board of India.
Prosty język i wielojęzyczność: Informacje muszą być dostępne w języku angielskim oraz w dowolnym z 22 języków urzędowych Indii, które wybierze użytkownik. CMP, które nie potrafi wyświetlić treści zgody w językach hindi, tamilskim, bengalskim, marackim i innych głównych językach, będzie miało problem z zapewnieniem zgodności.

Dane dzieci i zgoda rodzicielska

DPDP Act uznaje każdą osobę poniżej 18 roku życia za dziecko i wymaga wiarygodnej zgody rodzica przed przetwarzaniem jego danych osobowych. Zabrania również behawioralnego monitorowania oraz reklamy ukierunkowanej kierowanej do dzieci. Każda strona internetowa dostępna dla nieletnich w Indiach — co w praktyce oznacza niemal każdą stronę — potrzebuje strategii weryfikacji wieku lub podejścia opartego na analizie ryzyka i musi być w stanie blokować skrypty śledzące, gdy zgoda rodzicielska nie została udzielona.

Prawa użytkowników, które musi obsługiwać Twoje CMP

Data Principals (użytkownicy) w Indiach mają zestaw praw, które muszą być realizowalne poprzez warstwę zgód i preferencji:

Prawo dostępu do podsumowania przetwarzanych danych osobowych.
Prawo do sprostowania i usunięcia swoich danych.
Prawo do wycofania zgody w dowolnym momencie, z taką samą łatwością, z jaką została udzielona.
Prawo do wyznaczenia osoby, która będzie wykonywać prawa w przypadku śmierci lub niezdolności użytkownika.
Prawo do rozpatrzenia skargi, najpierw przez Data Fiduciary, a następnie przez Data Protection Board of India.

Zgodne CMP powinno udostępniać trwały link do preferencji, obsługiwać jednoklikowe wycofanie zgody oraz rejestrować zdarzenia związane ze zgodą w sposób, który można przedstawić na żądanie podczas postępowania wyjaśniającego.

Transgraniczne przekazywanie danych

DPDP Act przyjmuje podejście „listy negatywnej” do transferów międzynarodowych: dane osobowe mogą być przekazywane poza Indie, o ile dany kraj docelowy nie został wprost ograniczony przez rząd centralny. Jest to bardziej liberalne podejście niż reżim adekwatności GDPR, ale mimo to powinieneś udokumentować, do których państw trzecich trafiają dane użytkowników z Indii i monitorować publikowaną listę państw objętych ograniczeniami.

Kary i egzekwowanie przepisów

Kary finansowe na mocy DPDP Act są znaczące. Data Protection Board może nałożyć grzywnę do ₹250 crore (około $30 million USD) za brak podjęcia rozsądnych środków bezpieczeństwa oraz do ₹200 crore za niewywiązanie się z obowiązków wobec dzieci. Naruszenia związane ze zgodą — w tym pozyskiwanie jej za pomocą niezgodnych z wymogami banerów — podlegają karom do ₹50 crore za każde naruszenie.

Wdrażanie zgody zgodnej z DPDP w Twoim CMP

Wykrywaj geolokalizację użytkowników z Indii i stosuj szablon zgody specyficzny dla DPDP, zamiast ponownie używać banera GDPR. Wymagana treść informacji oraz opcje językowe są inne.
Wyświetlaj informacje w wielu językach Indii. Co najmniej obsługuj hindi i angielski oraz dodawaj języki regionalne zgodnie z rozkładem ruchu.
Domyślnie blokuj wszystkie trackery niebędące niezbędnymi. Ładuj reklamy, analitykę i zewnętrzne SDK dopiero po wyrażeniu jednoznacznej zgody.
Wyraźnie rozdzielaj cele przetwarzania. Nie łącz reklamy, analityki i personalizacji w jedno działanie „akceptuję”, jeśli użytkownik może w rozsądny sposób chcieć zgodzić się na niektóre cele, a na inne nie.
Rejestruj zdarzenia związane ze zgodą i jej wycofaniem wraz ze znacznikami czasu, dokładną wersją wyświetlonej informacji oraz wybranym przez użytkownika językiem, aby móc wykazać zgodność podczas kontroli regulatora.
Zapewnij widoczny link do preferencji na każdej stronie, umożliwiający użytkownikom przeglądanie, aktualizację lub wycofanie zgody w dowolnym momencie.

DPDP vs. GDPR: praktyczne różnice

Brak podstawy „legitimate interests”. DPDP Act nie uznaje „legitimate interests” jako ogólnej podstawy prawnej, tak jak robi to GDPR. Zgoda ma większe znaczenie, więc projektowanie UX jest jeszcze ważniejsze.
Bardziej rygorystyczne zasady dotyczące dzieci. Wiek cyfrowej zgody to 18 lat, a nie 13 czy 16, a reklama ukierunkowana do nieletnich jest wprost zakazana.
Wymóg wielojęzycznej informacji jest unikalny dla DPDP Act i nie może zostać spełniony banerem wyłącznie w języku angielskim.
Obowiązki Significant Data Fiduciary tworzą drugi poziom zgodności dla podmiotów wysokiego ryzyka, który nie ma bezpośredniego odpowiednika w GDPR.

Konkluzja

DPDP Act wprowadza Indie do nowoczesnego, globalnego krajobrazu ochrony danych, nadając mu własną, charakterystyczną specyfikę — podejście „consent-first”, wbudowaną wielojęzyczność oraz ponadprzeciętną ochronę nieletnich. Wydawcy i platformy, które już korzystają z CMP klasy GDPR, mają przewagę startową, ale nadal muszą dostosować treść banerów, obsługę języków, zarządzanie wiekiem użytkowników i logowanie zdarzeń, aby spełnić wymogi DPDP. Traktowanie Indii jako „kolejnej jurysdykcji GDPR” to najszybsza droga do spotkania z Data Protection Board.