Uyumluluk13 Nis 2026 | FlexyConsent

Hindistan’ın DPDP Act’i: Dünyanın En Büyük Dijital Pazarı İçin Çerez Onayı

Hindistan, 2023’te Dijital Kişisel Veri Koruma Yasası’nı (DPDP Act) kabul etti ve bu yasayı fiilen hayata geçiren kurallar artık yürürlüğe girdi. 850 milyondan fazla internet kullanıcısıyla Hindistan, hiçbir küresel yayıncı, reklamcı veya SaaS işletmecisinin yanlış yapmayı göze alamayacağı bir pazar — ve DPDP Act, halihazırda destekliyor olabileceğiniz GDPR, CCPA ve diğer çerçevelerden anlamlı biçimde farklı onay yükümlülükleri getiriyor.

Bu rehber, DPDP Act’in çerezler ve takip tanımlayıcılarını nasıl ele aldığını, kimlere uygulandığını ve Hindistan’daki kullanıcılar için uyumlu bir onay deneyiminin nasıl görünmesi gerektiğini açıklıyor.

DPDP Act Kimlere Uygulanır?

DPDP Act, Hindistan içindeki dijital kişisel verilerin işlenmesini ve ayrıca Hindistan’daki kişilere mal veya hizmet sunulmasıyla bağlantılı olarak Hindistan dışında gerçekleştirilen işlemleri düzenler. Pratikte, web siteniz Hindistan’daki kullanıcılar tarafından erişilebiliyorsa ve çerezler, SDK’lar, pikseller veya parmak izi alma gibi yollarla kişisel veri topluyorsanız, Yasa büyük olasılıkla size de uygulanır.

Yasa iki temel rol kullanır: Data Fiduciary (GDPR’deki veri sorumlusuna denk gelir) ve Data Processor. En büyük işletmecilerden az sayıda aktör Significant Data Fiduciary olarak sınıflandırılabilir; bu da Veri Koruma Etki Değerlendirmeleri ve Hindistan’da mukim bir Veri Koruma Görevlisi atanması gibi ilave yükümlülükleri tetikler.

DPDP Act Çerezler ve Takip Araçlarını Nasıl Ele Alır?

ePrivacy Directive’in aksine, DPDP Act çerezleri ayrı bir kategori olarak hedef almaz. Bunun yerine, her türlü dijital kişisel veri işlemesini düzenler. Bu; çerezlerin, cihaz tanımlayıcılarının, IP adreslerinin, reklam kimliklerinin ve hash’lenmiş e‑postaların, doğrudan veya dolaylı olarak tanımlanabilir bir kişiyle ilişkilendirildiklerinde kapsam dahilinde olduğu anlamına gelir.

Yayıncılar açısından sonuç açıktır: Sitenizdeki bir çerez veya etiket kişisel verinin toplanmasına veya paylaşılmasına yol açıyorsa, geçerli bir hukuki dayanağa ihtiyacınız vardır. DPDP Act kapsamında bu dayanak neredeyse her zaman onaydır; Yasa tarafından tanımlanan “meşru kullanımlar” için öngörülmüş dar bir istisna seti dışında.

Geçerli Onay Nasıl Görünür?

DPDP Act, onay için yüksek bir çıta koyar. Onayın özgür iradeyle verilmiş, belirli, bilgilendirilmiş, koşulsuz ve açık olması ve net bir olumlu işlemle ifade edilmesi gerekir. Önceden işaretli kutucuklar, gezinmeye devam edilmesinden çıkarılan zımni onay ve erişimi kabule bağlayan “çerez duvarı” tasarımları bu gerekliliklerle uyumlu değildir.

Onay kullanıcı deneyimi açısından önemli olan, DPDP’ye özgü iki ek kural vardır:

Kalem kalem bildirim: Onaydan önce veya onay anında, kullanıcıya toplanan verileri, işleme amaçlarını ve kullanıcının onayı nasıl geri çekebileceğini ya da Hindistan Veri Koruma Kurulu’na (Data Protection Board of India) nasıl şikayette bulunabileceğini açıkça belirten bir bildirim sunmanız gerekir.
Sade dil ve çok dilli destek: Bildirimlerin, kullanıcının seçtiği İngilizce ve Hindistan’daki 22 planlı dilden herhangi birinde sunulması gerekir. Onay içeriğini Hintçe, Tamilce, Bengalce, Marathice ve diğer büyük dillerde gösteremeyen bir CMP’nin uyum sağlaması zor olacaktır.

Çocukların Verileri ve Ebeveyn Onayı

DPDP Act, 18 yaşın altındaki herkesi çocuk olarak kabul eder ve kişisel verilerinin işlenmesinden önce doğrulanabilir ebeveyn onayı gerektirir. Ayrıca çocuklara yönelik davranışsal izlemeyi ve hedefli reklamları yasaklar. Hindistan’da küçüklerin erişebildiği — pratikte neredeyse tüm sitelerin — yaş doğrulama veya riske dayalı bir stratejiye sahip olması ve ebeveyn onayı bulunmadığında takip komut dosyalarını engelleyebilmesi gerekir.

CMP’nizin Desteklemesi Gereken Kullanıcı Hakları

Hindistan’daki Data Principal’lar (kullanıcılar), onay ve tercih katmanınız üzerinden kullanılabilir hale getirmeniz gereken bir dizi hakka sahiptir:

İşlenen kişisel verilerinin bir özetine erişim hakkı.
Verilerinin düzeltilmesi ve silinmesi hakkı.
Onayı, verilmesi kadar kolay bir şekilde istediği zaman geri çekme hakkı.
Ölüm veya ehliyetsizlik durumunda haklarını kullanmak üzere başka bir kişiyi tayin etme hakkı.
Önce Data Fiduciary nezdinde, ardından Hindistan Veri Koruma Kurulu’na (Data Protection Board of India) iletilmek üzere şikayetlerinin giderilmesi hakkı.

Uyumlu bir CMP, kalıcı bir tercih bağlantısı sunmalı, tek tıkla onay geri çekmeyi desteklemeli ve onay olaylarını, bir soruşturma sırasında talep edildiğinde sunulabilecek şekilde kaydetmelidir.

Sınır Ötesi Veri Aktarımları

DPDP Act, uluslararası aktarımlar için “negatif liste” yaklaşımı benimser: Kişisel veriler, varış ülkesi Merkez Hükümet tarafından özel olarak kısıtlanmadıkça Hindistan dışına aktarılabilir. Bu, GDPR’nin yeterlilik rejiminden daha izin vericidir; ancak yine de hangi üçüncü ülkelere Hindistanlı kullanıcılardan veri aktarıldığını belgelendirmeniz ve yayımlanan kısıtlama listesini izlemeniz gerekir.

Yaptırımlar ve Uygulama

DPDP Act kapsamındaki mali yaptırımlar oldukça yüksektir. Data Protection Board, makul güvenlik önlemlerini almamanız halinde ₹250 crore’a (yaklaşık $30 million USD) kadar, çocuklara yönelik yükümlülüklerinizi yerine getirmemeniz halinde ise ₹200 crore’a kadar para cezası uygulayabilir. Onayla ilgili ihlaller — uyumsuz banner’lar aracılığıyla onay toplamak da dahil — ihlal başına ₹50 crore’a kadar para cezasına tabidir.

CMP’nizde DPDP’ye Uygun Onay Nasıl Uygulanır?

Hindistan’daki kullanıcıları coğrafi olarak tespit edin ve GDPR banner’ını yeniden kullanmak yerine DPDP’ye özgü bir onay şablonu uygulayın. Gerekli bildirim içeriği ve dil seçenekleri farklıdır.
Bildirimleri birden çok Hint dilinde gösterin. Asgari olarak Hintçe ve İngilizce’yi destekleyin; ardından trafik dağılımınıza göre bölgesel diller ekleyin.
Gerekli olmayan tüm takip araçlarını varsayılan olarak engelleyin. Reklam, analiz ve üçüncü taraf SDK’larını yalnızca açık onaydan sonra yükleyin.
Amaçları net biçimde ayırın. Kullanıcının bazı amaçlara onay verip diğerlerini reddetmesinin makul olduğu durumlarda, reklam, analiz ve kişiselleştirmeyi tek bir “kabul et” eyleminde birleştirmeyin.
Onay ve geri çekme olaylarını kaydedin; zaman damgaları, gösterilen bildirim sürümü ve kullanıcının dil seçimiyle birlikte tutun ki düzenleyici incelemelerde uyumu belgeleyebilesiniz.
Her sayfada görünür bir tercih bağlantısı sağlayın; böylece kullanıcılar istedikleri anda onaylarını gözden geçirebilir, güncelleyebilir veya geri çekebilir.

DPDP ve GDPR: Pratik Farklar

“Meşru menfaat” temeli yok. DPDP Act, GDPR’deki gibi genel bir hukuki dayanak olarak meşru menfaat ilkesini tanımaz. Onay çok daha büyük önem taşır; dolayısıyla kullanıcı deneyimi tasarımı daha kritiktir.
Çocuklara ilişkin daha sıkı kurallar. Dijital onay yaşı 13 veya 16 değil, 18’dir ve küçüklere yönelik hedefli reklamlar açıkça yasaklanmıştır.
Çok dilli bildirim zorunluluğu DPDP Act’e özgüdür ve yalnızca İngilizce bir banner ile karşılanamaz.
Significant Data Fiduciary yükümlülükleri, GDPR’de doğrudan bir karşılığı olmayan, yüksek riskli işletmeciler için ikinci bir uyum katmanı yaratır.

Sonuç

DPDP Act, Hindistan’ı kendine özgü bir yaklaşımla modern küresel veri koruma manzarasına dahil ediyor — onay odaklı, tasarım gereği çok dilli ve olağanüstü ölçüde çocukları korumaya yönelik. Halihazırda GDPR düzeyinde bir CMP işleten yayıncılar ve platformlar önemli bir avantaja sahip; ancak yine de DPDP gerekliliklerine uymak için banner içeriğini, dil desteğini, yaşa ilişkin süreçleri ve kayıt tutmayı uyarlamaları gerekecek. Hindistan’�� “sadece bir başka GDPR bölgesi” olarak görmek, kendinizi en hızlı şekilde Data Protection Board önünde bulmanın yoludur.