Súlad13. apr 2026 | FlexyConsent

Indický zákon DPDP Act: súhlas s cookies pre najväčší digitálny trh na svete

India prijala v roku 2023 Digital Personal Data Protection Act (DPDP Act) a vykonávacie pravidlá už nadobudli účinnosť. S viac ako 850 miliónmi používateľov internetu je India trhom, ktorý si žiadny globálny vydavateľ, inzerent ani prevádzkovateľ SaaS nemôže dovoliť podceniť — a DPDP Act prináša nové požiadavky na súhlas, ktoré sa významne líšia od GDPR, CCPA a iných rámcov, ktoré možno už podporujete.

Táto príručka vysvetľuje, ako DPDP Act pristupuje ku cookies a sledovacím identifikátorom, na koho sa vzťahuje a ako vyzerá súladný súhlasový zážitok pre používateľov v Indii.

Na koho sa DPDP Act vzťahuje

DPDP Act upravuje spracúvanie digitálnych osobných údajov v rámci Indie, ako aj spracúvanie mimo Indie, ktoré súvisí s ponukou tovarov alebo služieb jednotlivcom v Indii. V praxi, ak je váš web dostupný používateľom v Indii a zhromažďujete cez neho osobné údaje — vrátane tých získaných prostredníctvom cookies, SDK, pixelov alebo fingerprintingu — zákon sa na vás takmer s istotou vzťahuje.

Zákon používa dva kľúčové pojmy: Data Fiduciary (ekvivalent prevádzkovateľa podľa GDPR) a Data Processor. Malý počet najväčších subjektov môže byť označený ako Significant Data Fiduciary, čo spúšťa dodatočné povinnosti, ako sú posudzovanie vplyvu na ochranu údajov a vymenovanie poverenca pre ochranu osobných údajov so sídlom v Indii.

Ako DPDP Act pristupuje ku cookies a trackerom

Na rozdiel od smernice ePrivacy DPDP Act nevyčleňuje cookies ako samostatnú kategóriu. Namiesto toho reguluje akékoľvek spracúvanie digitálnych osobných údajov. Znamená to, že cookies, identifikátory zariadení, IP adresy, reklamné ID aj hašované e-maily spadajú do pôsobnosti zákona vždy, keď sú — priamo alebo nepriamo — prepojené s identifikovateľnou osobou.

Dôsledok pre vydavateľov je priamočiary: ak cookie alebo tag na vašom webe vedie k zhromažďovaniu alebo zdieľaniu osobných údajov, potrebujete platný právny základ. Podľa DPDP Act je týmto základom takmer vždy súhlas, s úzkym okruhom výnimiek pre „legitimate uses“ definovaných v zákone.

Ako vyzerá platný súhlas

DPDP Act nastavuje vysokú latku pre súhlas. Musí byť dobrovoľný, konkrétny, informovaný, bezpodmienečný a jednoznačný a prejavený zreteľným aktívnym úkonom. Vopred zaškrtnuté políčka, odvodenie súhlasu z pokračovania v prehliadaní a „cookie wall“ dizajny, ktoré podmieňujú prístup prijatím, nie sú s týmito požiadavkami zlučiteľné.

Pre UX súhlasu sú dôležité dve ďalšie, špecificky DPDP pravidlá:

Rozčlenené oznámenie: Pred alebo v čase udelenia súhlasu musíte používateľovi poskytnúť jasné oznámenie, ktoré identifikuje zhromažďované údaje, účely spracúvania a spôsob, akým môže používateľ súhlas odvolať alebo podať sťažnosť na Data Protection Board of India.
Jasný jazyk a viacjazyčná podpora: Oznámenia musia byť dostupné v angličtine a v ktoromkoľvek z 22 úradných jazykov Indie, ktorý si používateľ zvolí. CMP, ktoré nedokáže zobraziť obsah súhlasu v jazykoch hindčina, tamilčina, bengálčina, maráthčina a ďalších hlavných jazykoch, bude mať problém s dodržiavaním pravidiel.

Údaje detí a rodičovský súhlas

DPDP Act považuje každého mladšieho ako 18 rokov za dieťa a pred spracúvaním jeho osobných údajov vyžaduje overiteľný rodičovský súhlas. Zároveň zakazuje behaviorálne monitorovanie a cielenú reklamu smerovanú na deti. Každý web, ktorý je dostupný maloletým v Indii — čo v praxi znamená takmer každý web — potrebuje stratégiu vekového overovania alebo prístup založený na posúdení rizika a musí vedieť zablokovať sledovacie skripty, ak rodičovský súhlas chýba.

Práva používateľov, ktoré musí vaše CMP podporovať

Data Principals (používatelia) v Indii majú súbor práv, ktoré musia byť uplatniteľné prostredníctvom vašej vrstvy súhlasu a preferencií:

Právo na prístup k súhrnu svojich spracúvaných osobných údajov.
Právo na opravu a vymazanie svojich údajov.
Právo kedykoľvek odvolať súhlas rovnako jednoducho, ako bol udelený.
Právo určiť zástupcu, ktorý bude uplatňovať práva v prípade smrti alebo nespôsobilosti.
Právo na vybavenie sťažnosti, najskôr u Data Fiduciary a následne na Data Protection Board of India.

Súladné CMP by malo poskytovať trvalý odkaz na preferencie, podporovať jedným kliknutím odvolateľný súhlas a zaznamenávať udalosti súhlasu tak, aby ich bolo možné na po��iadanie predložiť pri vyšetrovaní.

Medzinárodné prenosy údajov

DPDP Act uplatňuje pri medzinárodných prenosoch prístup „negatívneho zoznamu“: osobné údaje možno prenášať mimo Indie, pokiaľ cieľová krajina nie je osobitne obmedzená ústrednou vládou. Je to miernejší režim než systém primeranosti podľa GDPR, napriek tomu by ste však mali zdokumentovať, do ktorých tretích krajín sú údaje používateľov z Indie prenášané, a sledovať zverejňovaný zoznam obmedzených destinácií.

Sankcie a vymáhanie

Finančné sankcie podľa DPDP Act sú značné. Data Protection Board môže uložiť pokuty až do výšky ₹250 crore (približne $30 million USD) za zlyhanie pri prijatí primeraných bezpečnostných opatrení a až do ₹200 crore za nesplnenie povinností voči deťom. Zlyhania súvisiace so súhlasom — vrátane získavania súhlasu prostredníctvom nevyhovujúcich bannerov — podliehajú pokutám až do výšky ₹50 crore za jedno porušenie.

Implementácia súladu s DPDP vo vašom CMP

Geograficky detegujte používateľov z Indie a použite pre nich špecifickú šablónu súhlasu podľa DPDP namiesto opätovného použitia banneru pre GDPR. Požadovaný obsah oznámenia aj jazykové možnosti sú odlišné.
Zobrazujte oznámenia vo viacerých indických jazykoch. Minimálne podporujte hindčinu a angličtinu a na základe distribúcie vašej návštevnosti doplňte regionálne jazyky.
V predvolenom nastavení blokujte všetky nevyhnutne nepotrebné trackery. Reklamné, analytické a iné SDK tretích strán načítavajte až po udelení aktívneho súhlasu.
Jasne oddeľte účely spracúvania. Nebalíte reklamu, analytiku a personalizáciu do jediného tlačidla „prijať“, ak je rozumné predpokladať, že používateľ môže súhlasiť s niektorými účelmi a iné odmietnuť.
Protokolujte udalosti súhlasu a jeho odvolania s časovou pečiatkou, presnou verziou zobrazeného oznámenia a zvoleným jazykom používateľa, aby ste vedeli preukázať súlad pri regulačnom šetrení.
Poskytujte viditeľný odkaz na preferencie na každej stránke, ktorý používateľom umožní kedykoľvek prezrieť, aktualizovať alebo odvolať súhlas.

DPDP vs. GDPR: praktické rozdiely

Žiadny právny základ „oprávneného záujmu“. DPDP Act neuznáva „legitimate interests“ ako všeobecný právny základ tak, ako to robí GDPR. Väčší dôraz sa kladie na súhlas, a preto je dôležitejší aj UX dizajn.
Prísnejšie pravidlá pre deti. Vek digitálneho súhlasu je 18 rokov, nie 13 alebo 16, a cielená reklama na maloletých je výslovne zakázaná.
Požiadavka viacjazyčného oznámenia je špecifikom DPDP Act a nemožno ju splniť iba anglickým bannerom.
Povinnosti pre Significant Data Fiduciary vytvárajú druhú úroveň súladu pre vysokorizikových prevádzkovateľov, ktorá nemá priamy ekvivalent v GDPR.

Záver

DPDP Act zaraďuje Indiu medzi moderné globálne režimy ochrany údajov s vlastnou, osobitou podobou — dôrazom na súhlas, viacjazyčným dizajnom a mimoriadne silnou ochranou maloletých. Vydavatelia a platformy, ktoré už prevádzkujú CMP v súlade s GDPR, majú náskok, no aj tak budú musieť upraviť obsah bannerov, jazykovú podporu, prácu s vekom používateľov a zaznamenávanie súhlasov, aby splnili požiadavky DPDP. Považovať Indiu za „len ďalšiu GDPR jurisdikciu“ je najrýchlejšia cesta, ako sa ocitnúť pred Data Protection Board.