Skladnost13. apr. 2026 | FlexyConsent

Indijski zakon DPDP: soglasje za piškotke na največjem digitalnem trgu na svetu

Indija je leta 2023 sprejela zakon Digital Personal Data Protection Act (DPDP Act), izvedbena pravila zanj pa so zdaj začela veljati. Z več kot 850 milijoni uporabnikov interneta je Indija trg, na katerem si noben globalni založnik, oglaševalec ali SaaS ponudnik ne more privoščiti napak – in DPDP Act uvaja obveznosti glede soglasja, ki se bistveno razlikujejo od GDPR, CCPA in drugih okvirov, ki jih morda že podpirate.

Ta vodnik pojasnjuje, kako DPDP Act obravnava piškotke in sledilne identifikatorje, za koga velja ter kako je videti skladna uporabniška izkušnja soglasja za uporabnike v Indiji.

Za koga velja DPDP Act

DPDP Act ureja obdelavo digitalnih osebnih podatkov v Indiji ter obdelavo zunaj Indije, kadar je povezana s ponujanjem blaga ali storitev posameznikom v Indiji. V praksi to pomeni: če je vaša spletna stran dostopna uporabnikom v Indiji in prek nje zbirate osebne podatke – tudi s pomočjo piškotkov, SDK-jev, pikslov ali prstnih odtisov naprav – se zakon skoraj zagotovo uporablja za vas.

Zakon uporablja dve ključni vlogi: Data Fiduciary (v grobem enakovredno upravljavcu po GDPR) in Data Processor. Manjše število največjih ponudnikov je lahko imenovanih Significant Data Fiduciaries, za katere veljajo dodatne obveznosti, kot sta ocena učinka v zvezi z varstvom podatkov in imenovanje pooblaščene osebe za varstvo podatkov s prebivališčem v Indiji.

Kako DPDP Act obravnava piškotke in sledilnike

Za razliko od direktive ePrivacy DPDP Act piškotkov ne izpostavlja kot ločene kategorije. Namesto tega ureja vsako obdelavo digitalnih osebnih podatkov. To pomeni, da so piškotki, identifikatorji naprav, IP naslovi, oglaševalski ID-ji in zgoščeni e‑poštni naslovi zajeti v področje uporabe, kadar so – neposredno ali posredno – povezani z določljivo osebo.

Posledica za založnike je preprosta: če piškotek ali oznaka na vašem spletišču povzroči zbiranje ali deljenje osebnih podatkov, potrebujete veljavno pravno podlago. Po DPDP Act je ta podlaga skoraj vedno soglasje, z ozkim naborom izjem za »upravičene uporabe«, ki jih določa zakon.

Kakšno je veljavno soglasje

DPDP Act postavlja visoka merila za soglasje. To mora biti svobodno dano, specifično, informirano, brezpogojno in nedvoumno, izraženo z jasno potrditveno dejanje. Vnaprej označena polja, domnevno soglasje na podlagi nadaljnjega brskanja in t. i. »cookie wall« zasnove, ki pogojujejo dostop z sprejemom, niso skladni s temi zahtevami.

Dve dodatni, za DPDP značilni pravili sta ključni za UX soglasja:

Postavkovno obvestilo: Pred ali ob trenutku podaje soglasja morate uporabniku jasno posredovati obvestilo, v katerem navedete, kateri podatki se zbirajo, za katere namene se obdelujejo ter kako lahko uporabnik soglasje prekliče ali vloži pritožbo pri Data Protection Board of India.
Jezik, ki je razumljiv, in večjezična podpora: Obvestila morajo biti na voljo v angleščini in v katerem koli od 22 uradnih jezikov Indije, ki jih izbere uporabnik. CMP, ki ne zna prikazati vsebine soglasja v hindijščini, tamilščini, bengalščini, maratščini in drugih večjih jezikih, se bo težko uskladil z zahtevami.

Otroški podatki in starševsko soglasje

DPDP Act vsako osebo, mlajšo od 18 let, obravnava kot otroka in pred obdelavo njenih osebnih podatkov zahteva preverljivo starševsko soglasje. Prav tako prepoveduje vedenjsko spremljanje in ciljno oglaševanje, usmerjeno na otroke. Vsaka spletna stran, ki je dostopna mladoletnikom v Indiji – kar v praksi pomeni skoraj vsako spletišče – potrebuje strategijo preverjanja starosti ali ocenjevanja tveganja ter mora znati blokirati sledilne skripte, kadar starševsko soglasje ni podano.

Pravice uporabnikov, ki jih mora podpirati vaš CMP

Data Principals (uporabniki) v Indiji imajo nabor pravic, ki morajo biti uresničljive prek vašega sloja za soglasja in nastavitve zasebnosti:

Pravica do dostopa do povzetka osebnih podatkov, ki se obdelujejo.
Pravica do popravka in izbrisa svojih podatkov.
Pravica do preklica soglasja kadarkoli, z enako lahkoto, kot je bilo dano.
Pravica do imenovanja druge osebe, ki lahko uveljavlja pravice v primeru smrti ali nesposobnosti uporabnika.
Pravica do obravnave pritožb, najprej pri Data Fiduciary in nato pri Data Protection Board of India.

Skladen CMP bi moral omogočati trajno vidno povezavo do nastavitev, podpirati enoklikovni preklic soglasja ter beležiti dogodke soglasja na način, ki ga lahko na zahtevo predložite med preiskavo.

Čezmejni prenosi podatkov

DPDP Act uporablja pristop »negativnega seznama« za mednarodne prenose: osebne podatke je dovoljeno prenašati izven Indije, razen če je država prejemnica posebej omejena s strani osrednje vlade. To je bolj permisivno kot režim ustreznosti po GDPR, kljub temu pa bi morali dokumentirati, katere tretje države prejemajo podatke uporabnikov iz Indije, in spremljati objavljeni seznam omejitev.

Kazni in izvrševanje

Finančne kazni po DPDP Act so visoke. Data Protection Board lahko izreče globe do ₹250 crore (približno $30 million USD) zaradi nesprejetja razumnih varnostnih ukrepov ter do ₹200 crore zaradi neizpolnjevanja obveznosti v zvezi z otroki. Kršitve, povezane s soglasjem – med drugim zbiranje soglasij prek neskladnih pasic – so lahko kaznovane z globami do ₹50 crore za vsako kršitev.

Uvedba soglasja skladno z DPDP v vašem CMP

Geo-locirajte uporabnike iz Indije in uporabite predlogo za soglasje, prilagojeno DPDP, namesto da bi ponovno uporabili GDPR pasico. Zahtevana vsebina obvestil in jezikovne možnosti so drugačne.
Prikazujte obvestila v več indijskih jezikih. Vsaj podprite hindijščino in angleščino ter glede na porazdelitev prometa dodajte regionalne jezike.
Privzeto blokirajte vse neobvezne sledilnike. Oglasne, analitične in druge zunanje SDK-je naložite šele po izrecnem soglasju.
Jasno ločite namene. Ne združujte oglaševanja, analitike in personalizacije v eno samo dejanje »sprejmi«, kadar bi uporabnik razumno lahko želel podati soglasje samo za nekatere od teh namenov.
Beležite dogodke soglasja in preklica z časovnim žigom, natančno različico prikazanega obvestila in izbranim jezikom uporabnika, da lahko dokažete skladnost v primeru regulatornih poizvedb.
Na vsaki strani ponudite vidno povezavo do nastavitev, prek katere lahko uporabniki kadarkoli pregledajo, posodobijo ali prekličejo soglasje.

DPDP v primerjavi z GDPR: praktične razlike

Brez podlage »legitimnih interesov«. DPDP Act ne priznava legitimnih interesov kot splošne pravne podlage, kot to počne GDPR. Soglasje ima večjo težo, zato ima zasnova uporabniške izkušnje še pomembnejšo vlogo.
Strožja pravila za otroke. Starost za digitalno soglasje je 18, ne 13 ali 16 let, ciljno oglaševanje mladoletnikom pa je izrecno prepovedano.
Zahteva po večjezičnem obveščanju je edinstvena za DPDP Act in je ni mogoče izpolniti z obvestilom samo v angleščini.
Obveznosti za Significant Data Fiduciary ustvarjajo drugi, strožji nivo skladnosti za ponudnike z visokim tveganjem, ki nima neposrednega ekvivalenta v GDPR.

Zaključek

DPDP Act Indijo umešča v sodobno globalno krajino varstva podatkov z lastno, prepoznavno usmeritvijo – soglasje je v ospredju, zasnova je večjezična in zaščita mladoletnikov je nadpovprečno stroga. Založniki in platforme, ki že uporabljajo CMP skladno z GDPR, imajo prednost, vendar morajo kljub temu prilagoditi vsebino pasic, jezikovno podporo, ravnanje z mladoletniki in beleženje, da bodo izpolnili zahteve DPDP. Obravnava Indije kot »še ene GDPR jurisdikcije« je najhitrejša pot pred Data Protection Board.