Усклађеност13. апр 2026. | FlexyConsent

Индијски DPDP Act: сагласност за колачиће на највећем дигиталном тржишту на свету

Индија је 2023. усвојила Digital Personal Data Protection Act (DPDP Act), а правила која омогућавају његову примену сада су ступила на снагу. Са више од 850 million корисника интернета, Индија је тржиште које ниједан глобални издавач, оглашивач или SaaS оператер не сме да занемари — а DPDP Act уводи обавезе у погледу сагласности које се значајно разликују од GDPR, CCPA и других оквира које можда већ подржавате.

Овај водич објашњава како DPDP Act третира колачиће и идентификаторе за праћење, на кога се примењује и како изгледа усклађено искуство давања сагласности за кориснике у Индији.

На кога се DPDP Act примењује

DPDP Act уређује обраду дигиталних личних података унутар Индије, као и обраду ван Индије која је повезана са понудом добара или услуга појединцима у Индији. У пракси, ако је ваш веб‑сајт доступан корисницима у Индији и преко њега прикупљате личне податке — укључујући путем колачића, SDK‑ова, пиксела или fingerprinting‑а — овај закон се готово сигурно односи на вас.

Закон користи две кључне улоге: Data Fiduciary (еквивалент GDPR контролору) и Data Processor. Мали број највећих оператера може бити означен као Significant Data Fiduciary, што повлачи додатне обавезе, као што су процена утицаја на зашти��у података и именовање службеника за заштиту података који има пребивалиште у Индији.

Како DPDP Act третира колачиће и тракере

За разлику од ePrivacy Directive, DPDP Act не издваја колачиће као посебну категорију. Уместо тога, регулише сваку обраду дигиталних личних података. То значи да су колачићи, идентификатори уређаја, IP адресе, advertising ID‑јеви и hash‑оване имејл адресе обухваћени када су повезани — директно или индиректно — са идентификованом особом.

Последице за издаваче су јасне: ако колачић или таг на вашем сајту доводи до прикупљања или дељења личних података, потребан вам је ваљан правни основ. Према DPDP Act, тај основ је готово увек сагласност, уз уски скуп изузетака за „legitimate uses“ дефинисаних законом.

Како изг��еда ваљана сагласност

DPDP Act поставља висок праг за сагласност. Она мора бити слободна, специфична, информисана, безусловна и недвосмислена, и изражена јасном активношћу корисника. Унапред означена поља, имплицитна сагласност наставком прегледања и „cookie wall“ решења која условљавају приступ прихватањем, нису у складу са овим захтевима.

Два додатна, за DPDP специфична правила су битна за UX сагласности:

Појединачно навођење ставки у обавештењу: Пре или у тренутку прикупљања сагласности, морате кориснику дати јасно обавештење које идентификује које се податке прикупљају, у коју сврху се обрађују и како корисник може да опозове сагласност или поднесе притужбу Data Protection Board of India.
Јасан језик и вишејезичка подршка: Обавештења морају бити доступна на енглеском и на било ком од 22 службена језика Индије који корисник одабере. CMP који не може да прикаже садржај за сагласност на хинди, тамилском, бенгалском, маратхи и другим већим језицима, тешко да ће бити усклађен.

Подаци о деци и родитељска сагласност

DPDP Act сваку особу млађу од 18 година третира као дете и захтева верификовану родитељску сагласност пре обраде њених личних података. Такође забрањује понашајно праћење и таргетирано оглашавање усмерено на децу. Сваки веб‑сајт који је доступан малолетницима у Индији — што у пракси значи готово сваки сајт — мора имати стратегију провере узраста или процене ризика и мора бити у могућности да блокира скриптове за праћење када родитељска сагласност није дата.

Права корисника која ваш CMP мора да подржи

Data Principals (корисници) у Индији имају скуп права која морају бити остварива кроз ваш слој за сагласност и преференце:

Право на приступ сажетку личних података који се обрађују.
Право на исправку и брисање њихових података.
Право на опозив сагласности у било ком тренутку, под исто тако једноставним условима као и приликом давања.
Право да номинују друго лице које ће остваривати њихова права у случају смрти или неспособности.
Право на подношење притужбе, најпре Data Fiduciary‑ју, а затим Data Protection Board of India.

Усклађен CMP треба да обезбеди трајно видљив линк ка префе��енцама, подржи једним кликом опозив сагласности и бележи догађаје сагласности на начин који се може презентовати на захтев током инспекције.

Трансфери података преко границе

DPDP Act примењује приступ „негативне листе“ на међународне трансфере: лични подаци се могу преносити ван Индије, осим ако је одређена држава експлицитно ограничена од стране централне владе. Ово је либералније од GDPR режима адекватности, али и даље треба да документовате које треће државе примају податке корисника из Индије и да пратите објављену листу ограничења.

Казне и спровођење

Финансијске казне према DPDP Act су значајне. Data Protection Board може изрећи новчане казне до ₹250 crore (приближно $30 million USD) за пропуст у предузимању разумних безбед��осних мера, и до ₹200 crore за пропуст у испуњавању обавеза према деци. Прекршаји у вези са сагласношћу — укључујући прикупљање сагласности путем неусклађених банера — подлежу казнама до ₹50 crore по повреди.

Имплементација DPDP‑усклађене сагласности у вашем CMP

Геолокацијом откријте кориснике из Индије и примените посебан DPDP шаблон за сагласност уместо да поново користите GDPR банер. Садржај обавештења и језичке опције су другачији.
Приказујте обавештења на више индијских језика. Најмање подржите хинди и енглески, а затим додајте регионалне језике на основу структуре посета.
Блокирајте све неесенцијалне тракере по подразумеваној вредности. Учитавајте огласне скриптове, аналитичке алате и треће SDK‑ове тек након изричите сагласности.
Јасно раздвојите сврхе. Не групишите оглашавање, аналитику и персонализацију у једну радњу „прихвати“ ако корисник реално може желети да пристане на неке, а не на друге.
Бележите догађаје давања и опозива сагласности са временским жигом, тачном верзијом обавештења која је приказана и избором језика корисника, како бисте могли да докажете усклађеност током регулаторних поступака.
Обезбедите видљив линк ка преференцама на свакој страници, који омогућава корисницима да прегледају, ажурирају или опозову сагласност у било ком тренутку.

DPDP vs. GDPR: практичне разлике

Нема основа „legitimate interests“. DPDP Act не препознаје legitimate interests као општи правни основ на начин на који то чини GDPR. Сагласност има већу тежину, па UX дизајн постаје још важнији.
Строжа правила за децу. Узраст за дигиталну сагласност је 18, а не 13 или 16 година, и таргетирано оглашавање малолетницима је изричито забрањено.
Захтев за вишејезичким обавештењем јединствен је за DPDP Act и не може се испунити банером само на енглеском.
Обавезе за Significant Data Fiduciary стварају други ниво усклађености за операторе високог ризика, који нема директан еквивалент у GDPR.

Закључак

DPDP Act уводи Индију у савремени глобални оквир заштите података са сопственим, препознатљивим карактеристикама — сагласност је у првом плану, вишејезичност је уграђена у дизајн, а ��аштита малолетника је наглашена у необично високој мери. Издавачи и платформе који већ управљају CMP‑ом усклађеним са GDPR имају предност, али и даље морају да прилагоде садржај банера, језичку подршку, руковање узрастом и евидентирање како би испунили DPDP захтеве. Третирање Индије као „још једне GDPR јурисдикције“ најбржи је пут до појављивања пред Data Protection Board.