Соответствие требованиям13 апреля 2026 | FlexyConsent

Закон Индии DPDP: согласие на cookie для крупнейшего цифрового рынка мира

Индия приняла Закон о защите цифровых персональных данных (Закон DPDP) в 2023 году, и правила, которые вводят его в действие, теперь вступили в силу. С более чем 850 миллионами интернет-пользователей Индия — это рынок, на котором ни один глобальный издатель, рекламодатель или SaaS-оператор не может позволить себе ошибиться, а Закон DPDP вводит обязательства по согласию, которые существенно отличаются от GDPR, CCPA и других нормативных баз, которые вы, возможно, уже поддерживаете.

Это руководство объясняет, как Закон DPDP трактует cookie и идентификаторы отслеживания, к кому он применяется и как выглядит соответствующий опыт согласия для индийских пользователей.

К кому применяется Закон DPDP

Закон DPDP регулирует обработку цифровых персональных данных в пределах Индии, а также обработку за пределами Индии, связанную с предложением товаров или услуг лицам в Индии. На практике, если ваш сайт доступен индийским пользователям и вы собираете через него персональные данные — в том числе через cookie, SDK, пиксели или фингерпринтинг — Закон почти наверняка применяется к вам.

Закон использует две ключевые роли: Доверенное лицо данных (эквивалент контролёра в GDPR) и Обработчик данных. Небольшое число крупнейших операторов может быть назначено Значимыми доверенными лицами данных, что влечёт дополнительные обязательства, такие как оценки воздействия на защиту данных и назначение специалиста по защите данных, проживающего в Индии.

Как Закон DPDP трактует cookie и трекеры

В отличие от Директивы ePrivacy, Закон DPDP не выделяет cookie как отдельную категорию. Вместо этого он регулирует любую обработку цифровых персональных данных. Это означает, что cookie, идентификаторы устройств, IP-адреса, рекламные идентификаторы и хешированные электронные адреса — все попадают в сферу действия, когда они связаны — прямо или косвенно — с идентифицируемым лицом.

Вывод для издателей прост: если cookie или тег на вашем сайте вызывает сбор или передачу персональных данных, вам нужно действительное правовое основание. По Закону DPDP таким основанием почти всегда является согласие, с узким набором исключений для «законных видов использования», определённых Законом.

Как выглядит действительное согласие

Закон DPDP устанавливает высокую планку для согласия. Оно должно быть свободным, конкретным, информированным, безусловным и недвусмысленным и выражено через ясное утвердительное действие. Предварительно отмеченные поля, подразумеваемое согласие из продолжения просмотра и дизайны «cookie wall», обусловливающие доступ принятием, несовместимы с этими требованиями.

Два дополнительных специфичных для DPDP правила важны для UX согласия:

Детализированное уведомление: до или во время получения согласия вы должны дать пользователю ясное уведомление, определяющее собираемые данные, цели обработки и то, как пользователь может отозвать согласие или подать жалобу в Совет по защите данных Индии.
Простой язык и многоязычная поддержка: уведомления должны быть доступны на английском и на любом из 22 официальных языков Индии, который выбирает пользователь. CMP, которая не может отображать содержимое согласия на хинди, тамильском, бенгальском, маратхи и других основных языках, будет с трудом соответствовать требованиям.

Данные детей и родительское согласие

Закон DPDP считает любого лица младше 18 лет ребёнком и требует проверяемого родительского согласия перед обработкой его персональных данных. Он также запрещает поведенческий мониторинг и таргетированную рекламу, направленную на детей. Любой сайт, доступный несовершеннолетним в Индии — что на практике означает почти каждый сайт — нуждается в стратегии возрастной проверки или оценки рисков и должен иметь возможность блокировать скрипты отслеживания при отсутствии родительского согласия.

Права пользователей, которые должна поддерживать ваша CMP

Субъекты данных (пользователи) в Индии имеют набор прав, которые должны быть осуществимы через ваш слой согласия и предпочтений:

Право на доступ к сводке обрабатываемых персональных данных.
Право на исправление и удаление своих данных.
Право отозвать согласие в любое время с той же лёгкостью, что и при его предоставлении.
Право назначить другое лицо для осуществления прав в случае смерти или недееспособности.
Право на рассмотрение жалоб, сначала у Доверенного лица данных, а затем в Совете по защите данных Индии.

Соответствующая CMP должна предоставлять постоянную ссылку на предпочтения, поддерживать отзыв согласия в один клик и регистрировать события согласия так, чтобы их можно было предоставить по запросу во время расследования.

Трансграничная передача данных

Закон DPDP применяет подход «негативного списка» к международным передачам: персональные данные могут передаваться за пределы Индии, если только страна назначения специально не ограничена Центральным правительством. Это более либерально, чем режим адекватности GDPR, но вам всё равно следует документировать, какие третьи страны получают данные от индийских пользователей, и отслеживать опубликованный список ограничений.

Штрафы и правоприменение

Финансовые штрафы по Закону DPDP существенны. Совет по защите данных может налагать штрафы до 250 крор рупий (примерно 30 миллионов долларов США) за непринятие разумных мер безопасности и до 200 крор рупий за невыполнение обязательств в отношении детей. Нарушения, связанные с согласием — включая сбор согласия через несоответствующие баннеры — подлежат штрафам до 50 крор рупий за нарушение.

Внедрение соответствующего DPDP согласия в вашей CMP

Определяйте по геолокации индийских пользователей и применяйте специфичный для DPDP шаблон согласия, а не повторно используйте баннер GDPR. Требуемое содержимое уведомления и языковые опции отличаются.
Отображайте уведомления на нескольких индийских языках. Как минимум поддерживайте хинди и английский и добавляйте региональные языки в зависимости от распределения вашего трафика.
Блокируйте все несущественные трекеры по умолчанию. Загружайте рекламные, аналитические и сторонние SDK только после утвердительного согласия.
Чётко разделяйте цели. Не объединяйте рекламу, аналитику и персонализацию в единое действие «принять», если пользователь мог бы разумно захотеть согласиться на одни, но не на другие.
Регистрируйте события согласия и отзыва с временными метками, точной версией показанного уведомления и выбором языка пользователя, чтобы вы могли доказать соответствие во время регуляторных проверок.
Предоставляйте видимую ссылку на предпочтения на каждой странице, которая позволяет пользователям просматривать, обновлять или отзывать согласие в любое время.

DPDP против GDPR: практические различия

Нет основания «законных интересов». Закон DPDP не признаёт законные интересы в качестве общего правового основания, как это делает GDPR. Согласие имеет больший вес, поэтому дизайн UX важнее.
Более строгие правила в отношении детей. Возраст цифрового согласия — 18 лет, а не 13 или 16, и таргетированная реклама несовершеннолетним прямо запрещена.
Требование многоязычного уведомления уникально для Закона DPDP и не может быть удовлетворено баннером только на английском.
Обязательства Значимого доверенного лица данных создают второй уровень соответствия для операторов высокого риска, у которого нет прямого аналога в GDPR.

Заключение

Закон DPDP вводит Индию в современный глобальный ландшафт защиты данных со своим особым оттенком — согласие в первую очередь, многоязычность по дизайну и защита несовершеннолетних в необычной степени. Издатели и платформы, уже эксплуатирующие CMP уровня GDPR, имеют фору, но им всё равно нужно будет скорректировать содержимое баннеров, языковую поддержку, обработку возраста и ведение журналов, чтобы соответствовать требованиям DPDP. Отношение к Индии как к «ещё одной юрисдикции GDPR» — самый быстрый способ оказаться перед Советом по защите данных.