Відповідність13 квіт. 2026 | FlexyConsent

Закон Індії про Digital Personal Data Protection (DPDP Act): cookie‑згода для найбільшого цифрового ринку світу

У 2023 році Індія ухвалила Digital Personal Data Protection Act (DPDP Act), і правила, що забезпечують його практичне застосування, вже набрали чинності. З понад 850 мільйонами інтернет-користувачів Індія — це ринок, на якому жоден глобальний видавець, рекламодавець чи SaaS‑оператор не може дозволити собі помилитися, — а DPDP Act запроваджує обов’язки щодо згоди, які суттєво відрізняються від GDPR, CCPA та інших режимів, які ви, можливо, вже підтримуєте.

У цьому посібнику пояснюється, як DPDP Act ставиться до cookies та трекінгових ідентифікаторів, на кого він поширюється і як виглядає досвід отримання згоди, що відповідає вимогам, для користувачів з Індії.

На кого поширюється DPDP Act

DPDP Act регулює обробку цифрових персональних даних в межах Індії, а також обробку за її межами, якщо вона пов’язана з пропонуванням товарів або послуг особам в Індії. На практиці, якщо ваш вебсайт доступний користувачам з Індії і ви збираєте через нього персональні дані — зокрема за допомогою cookies, SDK, пікселів або фингерпринтингу — цей Закон майже напевно застосовується до вас.

Закон оперує двома ключовими ролями: Data Fiduciary (еквівалент контролера за GDPR) і Data Processor. Невелику кількість найбільших операторів може бути визначено як Significant Data Fiduciaries, що запускає додаткові обов’язки, такі як проведення оцінок впливу на захист даних (Data Protection Impact Assessments) і призначення посадової особи із захисту даних, яка проживає в Індії.

Як DPDP Act ставиться до cookies і трекерів

На відміну від ePrivacy Directive, DPDP Act не виділяє cookies в окрему категорію. Натомість він регулює будь-яку обробку цифрових персональних даних. Це означає, що cookies, ідентифікатори пристрою, IP‑адреси, рекламні ID та хешовані email‑адреси потрапляють у сферу дії, коли вони прямо або опосередковано пов’язані з ідентифікованою особою.

Д��я видавців наслідок очевидний: якщо cookie або тег на вашому сайті призводить до збирання або передавання персональних даних, вам потрібна чинна правова підстава. За DPDP Act такою підставою майже завжди є згода, з вузьким набором винятків для «legitimate uses», визначених Законом.

Як виглядає чинна згода

DPDP Act встановлює високі вимоги до згоди. Вона має бути вільною, конкретною, поінформованою, безумовною та однозначною і надаватися шляхом чіткої активної дії. Попередньо позначені чекбокси, «передбачувана» згода через подальше переглядання сайту та «cookie‑стіни», які ставлять доступ у залежність від погодження, не відповідають цим вимогам.

Для UX згоди мають значення ще дві специфічні для DPDP вимоги:

Деталізоване (itemised) повідомлення: До або в момент надання згоди ви повинні надати користувачеві зрозуміле повідомлення, в якому зазначається, які дані збираються, з якою метою вони обробляються та як користувач може відкликати згоду або подати скаргу до Data Protection Board of India.
Проста мова та багатомовна підтримка: Повідомлення мають бути доступні англійською та будь-якою з 22 офіційно затверджених мов Індії, яку обирає користувач. CMP, що не може відображати вміст щодо згоди гінді, тамільською, бенгальською, маратхі та іншими основними мовами, матиме труднощі з дотриманням вимог.

Дані дітей та батьківська згода

DPDP Act вважає дитиною будь-кого, хто не досяг 18 років, і вимагає перевіреної батьківської згоди до початку обробки її персональних даних. Також забороняється поведінковий моніторинг і таргетована реклама, спрямована на дітей. Будь-який вебсайт, доступний неповнолітнім в Індії — а на практиці це майже кожен сайт — має впровадити віковий контроль або ризик-орієнтовану стратегію та повинен мати можливість блокувати трекінгові скрипти, якщо батьківська згода відсутня.

Права користувачів, які ваш CMP має підтримувати

Data Principals (користувачі) в Індії мають набір прав, які мають бути реалізовані через ваш шар згоди та налаштувань:

Право на доступ до узагальненої інформації про персональні дані, які обробляються.
Право на виправлення та видалення своїх даних.
Право відкликати згоду у будь-який момент так само просто, як її надати.
Право призначити представника, який здійснюватиме права у разі смерті або недієздатності.
Право на розгляд скарг (grievance redressal), спочатку у Data Fiduciary, а потім у Data Protection Board of India.

CMP, що відповідає вимогам, має надавати постійне посилання на налаштування, підтримувати відкликання згоди в один клік і журналювати події, пов’язані із згодою, у спосіб, який можна продемонструвати на вимогу під час перевірки.

Транскордонна передача даних

DPDP Act застосовує до міжнародних передач підхід «негативного списку»: персональні дані можна передавати за межі Індії, якщо країна призначення не внесена до спеціального переліку обмежених Центральним урядом. Це більш ліберальний підхід, ніж режим адекватності за GDPR, але вам усе одно слід задокументувати, до яких третіх країн надсилаються дані користувачів з Індії, і відстежувати опублікований перелік обмежень.

Штрафи та нагляд

Фінансові санкції за DPDP Act є значними. Data Protection Board може накладати штрафи до ₹250 crore (приблизно $30 million USD) за неналежні заходи безпеки, і до ₹200 crore за невиконання обов’язків щодо дітей. Порушення, пов’язані зі згодою — зокрема отримання згоди через банери, що не відповідають вимогам, — караються штрафами до ₹50 crore за кожне порушення.

Впровадження згоди, сумісної з DPDP, у вашому CMP

Визначайте користувачів з Індії за геолокацією і застосовуйте окремий шаблон згоди для DPDP, а не перевикористовуйте банер для GDPR. Зміст повідомлень і мовні вимоги відрізняються.
Відображайте повідомлення кількома мовами Індії. Як мінімум підтримуйте гінді та англійську і додавайте регіональні мови відповідно до географії вашого трафіку.
Блокуйте всі несуто необхідні трекери за замовчуванням. Завантажуйте рекламні, аналітичні та сторонні SDK тільки після активної згоди.
Чітко розділяйте цілі обробки. Не об’єднуйте рекламу, аналітику та персоналізацію в одну кнопку «погодитися», якщо користувач обґрунтовано може бажати надати згоду на одні цілі, але не на інші.
Журналюйте події надання та відкликання згоди із фіксацією часу, точною версією показаного повідомлення та обраною користувачем мовою, щоб ви могли підтвердити дотримання вимог під час регуляторних перевірок.
Надавайте помітне посилання на налаштування на кожній сторінці, яке дозволяє користувачам у будь-який час переглядати, оновлювати або відкликати згоду.

DPDP vs GDPR: практичні відмінності

Відсутність підстави «legitimate interests». DPDP Act не визнає «legitimate interests» як загальну правову підставу, на відміну від GDPR. Згода має більшу вагу, тому UX‑дизайн набуває ще більшого значення.
Більш суворі правила щодо дітей. Вік цифрової згоди становить 18 років, а не 13 або 16, і таргетована реклама неповнолітнім прямо заборонена.
Вимога багатомовних повідомлень є унікальною для DPDP Act і не може бути виконана за допомогою банера лише англійською мовою.
Обов’язки для Significant Data Fiduciary створюють другий рівень відповідності для операторів підвищеного ризику, який не має прямого аналога в GDPR.

Висновок

DPDP Act інтегрує Індію в сучасний глобальний ландшафт захисту даних із власною специфікою — пріоритет згоди, вбудована багатомовність і надзвичайно сильний захист неповнолітніх. Видавці та платформи, які вже використовують CMP рівня GDPR, мають фору, але їм все одно доведеться адаптувати зміст банерів, мовну підтримку, механізми вікової обробки та журналювання, щоб відповідати вимогам DPDP. Сприймати Індію як «ще одну юрисдикцію GDPR» — найпростіший шлях опинитися перед Data Protection Board.