Uzingatiaji13 Apr 2026 | FlexyConsent

Sheria ya DPDP ya India: Idhini ya Vidakuzi kwa Soko Kubwa Zaidi la Kidijitali Duniani

India ilipitisha Digital Personal Data Protection Act (DPDP Act) mwaka 2023, na kanuni za utekelezaji wake sasa zimeanza kufanya kazi. Kwa watumiaji wa intaneti zaidi ya milioni 850, India ni soko ambalo hakuna mchapishaji, mtangazaji, au mtoa huduma wa SaaS wa kimataifa anayeweza kulikosea — na DPDP Act inaleta wajibu wa idhini unaotofautiana kwa kiasi kikubwa na GDPR, CCPA, na miundombinu mingine ambayo huenda tayari unaitekeleza.

Mwongozo huu unaeleza jinsi DPDP Act inavyoshughulikia vidakuzi na vitambulishi vya ufuatiliaji, inamhusu nani, na muonekano wa uzoefu wa idhini unaozingatia sheria kwa watumiaji wa India unapaswa kuwa vipi.

Ni Nani Anaangukia Chini ya DPDP Act

DPDP Act inasimamia uchakataji wa data binafsi ya kidijitali ndani ya India, pamoja na uchakataji nje ya India unaohusiana na utoaji wa bidhaa au huduma kwa watu walio India. Kwa vitendo, kama tovuti yako inapatikana kwa watumiaji wa India na unakusanya data binafsi kupitia tovuti hiyo — ikijumuisha kupitia vidakuzi, SDKs, pikseli, au fingerprinting — basi Sheria hii kwa kiwango kikubwa sana inakuhusu.

Sheria inatumia wahusika wawili wakuu: Data Fiduciary (sawa na controller chini ya GDPR) na Data Processor. Idadi ndogo ya waendeshaji wakubwa zaidi wanaweza kuteuliwa kuwa Significant Data Fiduciaries, jambo linalochochea wajibu wa ziada kama vile kutekeleza Data Protection Impact Assessments na kuteua Data Protection Officer anayeishi India.

Jinsi DPDP Act Inavyoshughulikia Vidakuzi na Vifuatiliaji

Tofauti na ePrivacy Directive, DPDP Act haitenganishi vidakuzi kama kundi maalum. Badala yake, inadhibiti aina yoyote ya uchakataji wa data binafsi ya kidijitali. Hii ina maana kuwa vidakuzi, vitambulishi vya kifaa, anwani za IP, vitambulishi vya utangazaji, na barua pepe zilizo-hashiwa vyote viko ndani ya wigo wa sheria vinapohusishwa — moja kwa moja au kwa njia isiyo ya moja kwa moja — na mtu anayetambulika.

Hitimisho kwa wachapishaji ni rahisi: ikiwa kidakuzi au lebo kwenye tovuti yako kinasababisha data binafsi kukusanywa au kushirikiwa, unahitaji msingi halali wa kisheria. Chini ya DPDP Act, msingi huo kwa karibu kila wakati ni idhini, isipokuwa katika orodha finyu ya misingi ya "matumizi halali" iliyoainishwa na Sheria.

Idhini Halali Inapaswa Kuwa Vipi

DPDP Act inaweka kiwango cha juu kwa idhini. Lazima iwe huru, maalum, yenye ufahamu, isiyo na masharti, na isiyoeleweka vibaya, na ielezwe kupitia tendo la wazi la kukubali. Visanduku vilivyotiwa tiki tayari, idhini inayodaiwa kutokana na kuendelea kuvinjari, na miundo ya "cookie wall" inayofungamanisha upatikanaji wa huduma na kukubalika havipatani na mahitaji haya.

Kanuni mbili za ziada mahususi za DPDP ni muhimu kwa muundo wa UX ya idhini:

Notisi iliyoainishwa kwa vipengele: Kabla au wakati wa kukusanya idhini, lazima umpe mtumiaji notisi iliyo wazi inayoainisha data inayokusanywa, madhumuni ya uchakataji, na jinsi mtumiaji anavyoweza kuondoa idhini au kuweka malalamiko kwa Data Protection Board of India.
Lugha rahisi na msaada wa lugha nyingi: Notisi lazima zipatikane kwa Kiingereza na katika mojawapo ya lugha 22 rasmi za India anayoichagua mtumiaji. CMP ambayo haiwezi kuwasilisha maudhui ya idhini kwa Kihindi (Hindi), Kitamili (Tamil), Kibengali, Kimarathi, na lugha nyingine kuu itapata ugumu kutii sheria.

Data ya Watoto na Idhini ya Wazazi

DPDP Act inamchukulia mtu yeyote aliye chini ya miaka 18 kama mtoto na inahitaji idhini ya mzazi inayoweza kuthibitishwa kabla ya kuchakata data yake binafsi. Pia inakataza ufuatiliaji wa tabia na utangazaji lengwa unaoelekezwa kwa watoto. Tovuti yoyote inayoweza kufikiwa na watu walio chini ya umri wa miaka 18 nchini India — ambayo kivitendo ina maana karibu kila tovuti — inahitaji mkakati wa kuweka kikomo kwa umri au mkakati unaozingatia tathmini ya hatari, na lazima iweze kuzuia script za ufuatiliaji wakati idhini ya mzazi haipo.

Haki za Watumiaji Ambazo CMP Yako Lazima Iziunge Mkono

Data Principals (watumiaji) nchini India wana seti ya haki ambazo lazima ziweze kutekelezeka kupitia safu yako ya idhini na mapendeleo:

Haki ya kupata ufikiaji wa muhtasari wa data zao binafsi inayochakatwa.
Haki ya kusahihishwa na kufutwa kwa data zao.
Haki ya kuondoa idhini wakati wowote, kwa urahisi uleule kama wa kuitoa.
Haki ya kuteua mtu mwingine atakayetekeleza haki zao endapo kutatokea kifo au ulemavu wa kutoweza kuamua.
Haki ya kupata suluhisho la malalamiko, kwanza kwa Data Fiduciary na kisha kwa Data Protection Board of India.

CMP inayozingatia sheria inapaswa kutoa kiungo cha kudumu cha mapendeleo, kuunga mkono kuondoa idhini kwa kubofya mara moja, na kuainisha matukio ya idhini kwa njia ambayo yanaweza kuwasilishwa inapohitajika wakati wa uchunguzi.

Uhamishaji wa Data Nje ya Mipaka

DPDP Act inatumia mbinu ya "orodha hasi" kwa uhamishaji wa kimataifa: data binafsi inaweza kuhamishwa nje ya India isipokuwa nchi lengwa imezuiwa mahsusi na Serikali Kuu. Hii ni huria zaidi kuliko utaratibu wa adequacy wa GDPR, lakini bado unapaswa kurekodi ni nchi zipi za tatu zinazopokea data kutoka kwa watumiaji wa India na kufuatilia orodha ya vikwazo inapotangazwa.

Adhabu na Utekelezaji

Adhabu za kifedha chini ya DPDP Act ni kubwa. Data Protection Board inaweza kutoza faini ya hadi ₹250 crore (takribani $30 million USD) kwa kushindwa kuchukua hatua zinazofaa za ulinzi wa usalama, na hadi ₹200 crore kwa kushindwa kutekeleza wajibu unaohusiana na watoto. Makosa yanayohusiana na idhini — ikijumuisha ukusanyaji wa idhini kupitia mabango yasiyozingatia masharti — yanaweza kutozwa faini ya hadi ₹50 crore kwa kila ukiukaji.

Kutekeleza Idhini Inayozingatia DPDP Ndani ya CMP Yako

Tambua watumiaji wa India kwa kutumia geo-detection na utumie kiolezo mahususi cha idhini ya DPDP badala ya kurudia bango la GDPR. Maudhui ya notisi na chaguo za lugha yanatofautiana.
Onyesha notisi katika lugha mbalimbali za India. Angalau, ungeunge mkono Kihindi na Kiingereza, kisha uongeze lugha za kikanda kulingana na mgawanyo wa trafiki yako.
Zuiya vifuatiliaji visivyo muhimu kwa chaguo-msingi. Pakia vipengele vya matangazo, uchanganuzi (analytics), na SDKs za wahusika wengine tu baada ya kupata idhini ya wazi.
Tenganisha madhumuni kwa uwazi. Usiviunganishe matangazo, uchanganuzi, na urekebishaji wa maudhui kwa mtumiaji katika kitendo kimoja cha "kubali" ikiwa mtumiaji anaweza kwa mantiki kutaka kukubali baadhi na kukataa mengine.
Rekodi matukio ya utoaji na uondoaji wa idhini pamoja na mihuri ya muda (timestamps), toleo halisi la notisi lililoonyeshwa, na lugha aliyoichagua mtumiaji, ili uweze kuthibitisha ufuataji wa sheria wakati wa uchunguzi wa mdhibiti.
Toa kiungo kinachoonekana cha mapendeleo kwenye kila ukurasa kinachomruhusu mtumiaji kukagua, kusasisha, au kuondoa idhini wakati wowote.

DPDP dhidi ya GDPR: Tofauti za Kivitendo

Hakuna msingi wa "maslahi halali". DPDP Act haitambui maslahi halali kama msingi wa jumla wa kisheria kama ambavyo GDPR inafanya. Idhini ina uzito mkubwa zaidi, hivyo muundo wa UX una umuhimu mkubwa.
Kanuni kali zaidi kwa watoto. Umri wa idhini ya kidijitali ni miaka 18, si 13 au 16, na utangazaji lengwa kwa walio chini ya umri huo umekatazwa waziwazi.
Sharti la notisi za lugha nyingi ni la kipekee kwa DPDP Act na haliwezi kutimizwa kwa bango la Kiingereza pekee.
Wajibu wa Significant Data Fiduciary unaanzisha ngazi ya pili ya uzingatiaji kwa waendeshaji walio katika hatari ya juu ambayo haina kifananishi cha moja kwa moja chini ya GDPR.

Hitimisho

DPDP Act inaingiza India katika mandhari ya kisasa ya ulinzi wa data duniani ikiwa na ladha yake ya kipekee — kipaumbele kikiwa idhini, muundo wa lugha nyingi tangu mwanzo, na ulinzi wa kiwango cha juu kwa watoto. Wachapishaji na majukwaa ambayo tayari yanaendesha CMP inayofikia viwango vya GDPR wana faida ya kuanza mapema, lakini bado watahitaji kurekebisha maudhui ya mabango, msaada wa lugha, mbinu ya kushughulikia umri, na mbinu za kurekodi matukio ili kuendana na matakwa ya DPDP. Kuiangalia India kama "eneo jingine tu la GDPR" ni njia ya haraka zaidi ya kujikuta mbele ya Data Protection Board.