Efterlevnad13 apr. 2026 | FlexyConsent

Indiens DPDP Act: Cookie-samtycke för världens största digitala marknad

Indien antog Digital Personal Data Protection Act (DPDP Act) 2023, och de regler som operationaliserar lagen har nu trätt i kraft. Med mer än 850 miljoner internetanvändare är Indien en marknad som ingen global utgivare, annonsör eller SaaS‑operatör har råd att missbedöma – och DPDP Act inför samtyckeskrav som skiljer sig på ett meningsfullt sätt från GDPR, CCPA och andra ramverk som du kanske redan följer.

Den här guiden förklarar hur DPDP Act behandlar cookies och spårningsidentifierare, vem lagen gäller för och hur en samtyckesupplevelse som uppfyller kraven ser ut för indiska användare.

Vem DPDP Act gäller för

DPDP Act reglerar behandling av digitala personuppgifter i Indien, liksom behandling utanför Indien som rör erbjudande av varor eller tjänster till individer i Indien. I praktiken gäller: om din webbplats är tillgänglig för indiska användare och du samlar in personuppgifter via den – inklusive via cookies, SDK:er, pixlar eller fingerprinting – omfattas du med största sannolikhet av lagen.

Lagen använder två nyckelroller: Data Fiduciary (motsvarar en personuppgiftsansvarig enligt GDPR) och Data Processor. Ett mindre antal av de största aktörerna kan utses till Significant Data Fiduciaries, vilket utlöser ytterligare skyldigheter såsom konsekvensbedömningar avseende dataskydd och utnämning av ett dataskyddsombud bosatt i Indien.

Hur DPDP Act behandlar cookies och trackers

Till skillnad från ePrivacy Directive pekar inte DPDP Act ut cookies som en särskild kategori. I stället reglerar lagen all behandling av digitala personuppgifter. Detta innebär att cookies, enhetsidentifierare, IP‑adresser, annons‑ID:n och hashade e‑postadresser alla omfattas när de – direkt eller indirekt – kan kopplas till en identifierbar person.

För utgivare är implikationen enkel: om en cookie eller tagg på din webbplats leder till att personuppgifter samlas in eller delas, behöver du en giltig rättslig grund. Enligt DPDP Act är den grunden nästan alltid samtycke, med ett snävt undantag för "legitimate uses" som definieras i lagen.

Hur ett giltigt samtycke ser ut

DPDP Act ställer höga krav på samtycke. Det måste vara fritt, specifikt, informerat, ovillkorligt och otvetydigt, och uttryckas genom en tydlig bekräftande åtgärd. Förkryssade rutor, underförstått samtycke genom fortsatt surfande och "cookie‑väggar" som villkorar åtkomst med accept är inte förenliga med dessa krav.

Två ytterligare DPDP‑specifika regler är viktiga för samtyckes‑UX:

Specificerad information: Före eller vid tidpunkten för samtycke måste du ge användaren tydlig information där du anger vilka uppgifter som samlas in, ändamålen med behandlingen och hur användaren kan återkalla samtycke eller lämna in ett klagomål till Data Protection Board of India.
Klartext och flerspråkigt stöd: Information måste finnas tillgänglig på engelska och på valfri av Indiens 22 officiella språk som användaren väljer. En CMP som inte kan visa samtyckestexter på hindi, tamil, bengali, marathi och andra större språk får svårt att uppfylla kraven.

Barns data och föräldrasamtycke

DPDP Act betraktar alla under 18 år som barn och kräver verifierbart föräldrasamtycke innan deras personuppgifter behandlas. Lagen förbjuder också beteendebaserad övervakning och riktad annonsering som riktar sig till barn. Alla webbplatser som är tillgängliga för minderåriga i Indien – vilket i praktiken innebär nästan alla webbplatser – behöver en strategi för ålderskontroll eller riskbaserad hantering och måste kunna blockera spårningsskript när föräldrasamtycke saknas.

Användarrättigheter som din CMP måste stödja

Data Principals (användare) i Indien har en uppsättning rättigheter som måste kunna utövas via ditt lager för samtycke och preferenser:

Rätt till tillgång till en sammanfattning av de personuppgifter om dem som behandlas.
Rätt till rättelse och radering av sina uppgifter.
Rätt att återkalla samtycke när som helst, lika enkelt som det gavs.
Rätt att utse en företrädare som kan utöva rättigheterna vid dödsfall eller oförmåga.
Rätt till prövning av klagomål, först hos Data Fiduciary och därefter hos Data Protection Board of India.

En CMP i enlighet med kraven bör exponera en ständig länk till inställningar, stödja ett enda klick för att återkalla samtycke och logga samtyckeshändelser på ett sätt som kan läggas fram på begäran vid en tillsynsutredning.

Gränsöverskridande överföringar av data

DPDP Act använder en "negativlista" för internationella överf��ringar: personuppgifter får överföras utanför Indien om inte mottagarlandet uttryckligen är begränsat av centralregeringen. Detta är mer tillåtande än GDPR:s adekvansmekanism, men du bör ändå dokumentera vilka tredjeländer som tar emot uppgifter från indiska användare och övervaka den offentliggjorda begränsningslistan.

Sanktioner och tillsyn

De ekonomiska sanktionerna enligt DPDP Act är betydande. Data Protection Board kan besluta om böter på upp till ₹250 crore (ungefär $30 million USD) för underlåtenhet att vidta rimliga säkerhetsåtgärder, och upp till ₹200 crore för underlåtenhet att uppfylla skyldigheter gentemot barn. Brister kopplade till samtycke – inklusive insamling av samtycke via banners som inte uppfyller kraven – kan leda till böter på upp till ₹50 crore per överträdelse.

Att implementera DPDP‑kompatibelt samtycke i din CMP

Geo‑identifiera indiska användare och tillämpa en särskild DPDP‑mall för samtycke i stället för att återanvända en GDPR‑banner. Den information som krävs och språkvalen är annorlunda.
Visa information på flera indiska språk. Stöd som minimum hindi och engelska, och lägg till regionala språk baserat på din trafikfördelning.
Blockera alla icke‑nödvändiga trackers som standard. Ladda annons‑, analys‑ och tredjeparts‑SDK:er först efter ett aktivt samtycke.
Åtskilj ändamål tydligt. Slå inte ihop annonsering, analys och personalisering i en enda "acceptera"‑åtgärd om en användare rimligen kan vilja samtycka till vissa men inte andra.
Logga samtycke och återkallelser med tidsstämpel, exakt vilken informationsversion som visades och vilket språk användaren valde, så att du kan styrka efterlevnad vid myndighetsförfrågningar.
Erbjud en synlig länk till inställningar på varje sida som gör det möjligt för användare att granska, uppdatera eller återkalla samtycke när som helst.

DPDP vs. GDPR: praktiska skillnader

Ingen grund "berättigat intresse". DPDP Act erkänner inte berättigat intresse som en generell rättslig grund på samma sätt som GDPR gör. Samtycke väger tyngre, vilket gör UX‑design ännu viktigare.
Strängare regler för barn. Den digitala samtyckesåldern är 18, inte 13 eller 16, och riktad annonsering till minderåriga är uttryckligen förbjuden.
Flerspråkiga informationskrav är unika för DPDP Act och kan inte uppfyllas med en banner enbart på engelska.
Significant Data Fiduciary-skyldigheter skapar ett andra efterlevnadslager för högriskaktörer som saknar direkt motsvarighet i GDPR.

Slutsats

DPDP Act placerar Indien i det moderna globala dataskyddslandskapet med en egen tydlig profil – samtycke i första rummet, flerspråkigt från grunden och med ett ovanligt starkt skydd för minderåriga. Utgivare och plattformar som redan driver en CMP på GDPR‑nivå har ett försprång, men de behöver ändå justera bannerinnehåll, språkstöd, åldershantering och loggning för att uppfylla DPDP‑kraven. Att behandla Indien som "bara ännu en GDPR‑jurisdiktion" är det snabbaste sättet att hamna inför Data Protection Board.