تعمیل13 اپر 2026 | FlexyConsent

بھارت کا DPDP Act: دنیا کی سب سے بڑی ڈیجیٹل مارکیٹ کے لیے کوکی کنسنٹ

بھارت نے 2023 میں Digital Personal Data Protection Act (DPDP Act) منظور کیا، اور اب اس کو نافذ کرنے والے قواعد بھی عمل میں آ چکے ہیں۔ 850 ملین سے زیادہ انٹرنیٹ صارفین کے ساتھ، بھارت ایسی مارکیٹ ہے جسے کوئی بھی عالمی پبلشر، مشتہر، یا SaaS آپریٹر نظر انداز کرنے کا متحمل نہیں ہو سکتا — اور DPDP Act ایسے کنسنٹ تقاضے لے کر آتا ہے جو GDPR، CCPA اور دیگر فریم ورکس سے، جن کی آپ پہلے سے پیروی کر رہ�� ہوں گے، معنی خیز طور پر مختلف ہیں۔

یہ گائیڈ وضاحت کرتی ہے کہ DPDP Act کوکیز اور ٹریکنگ شناخت کنندگان کو کیسے برتتا ہے، یہ کن پر لاگو ہوتا ہے، اور بھارتی صارفین کے لیے ایک مطابقت رکھنے والا کنسنٹ تجربہ کیسا ہونا چاہیے۔

DPDP Act کن پر لاگو ہوتا ہے

DPDP Act بھارت کے اندر ڈیجیٹل ذاتی ڈیٹا کی پروسیسنگ کو منظم کرتا ہے، اور اس پروسیسنگ کو بھی جو بھارت سے باہر ہو مگر بھارت میں افراد کو سامان یا خدمات کی پیشکش سے متعلق ہو۔ عملی طور پر، اگر آپ کی ویب سائٹ بھارتی صارفین کے لیے قابل رسائی ہے اور آپ اس کے ذریعے ذاتی ڈیٹا جمع کرتے ہیں — بشمول کوکیز، SDKs، پکسلز یا فنگر پرنٹنگ کے ذریعے — تو یہ قانون غالباً آپ پر لاگو ہوتا ہے۔

قانون دو اہم کرداروں کا استعمال کرتا ہے: Data Fiduciary (جو GDPR کے کنٹرولر کے مساوی ہے) اور Data Processor۔ چند بڑے آپریٹرز کو Significant Data Fiduciaries نامزد کیا جا سکتا ہے، جس سے اضافی ذمہ داریاں پیدا ہوتی ہیں، جیسے Data Protection Impact Assessments اور بھارت میں مقیم Data Protection Officer کی تقرری۔

DPDP Act کوکیز اور ٹریکرز کو کیسے برتتا ہے

ePrivacy Directive کے برعکس، DPDP Act کوکیز کو الگ زمرے کے طور پر مخصوص نہیں کرتا۔ اس کے بجائے، یہ ہر ایسی پروسیسنگ کو منظم کرتا ہے جو ڈیجیٹل ذاتی ڈیٹا سے متعلق ہو۔ اس کا مطلب ہے کہ کوکیز، ڈیوائس آئیڈیز، IP ایڈریسز، اشتہاری IDs، اور ہیشڈ ای میلز، سب اس وقت دائرہ کار میں آتے ہیں جب وہ براہِ راست یا بالواسطہ کسی قابل شناخت شخص سے جوڑے جا سکیں۔

پبلشرز کے لیے اس کا نتیجہ سیدھا ہے: اگر آپ کی سائٹ پر کوئی کوکی یا ٹیگ ذاتی ڈیٹا کے جمع ہونے یا شیئر ہونے کا سبب بنتا ہے، تو آپ کو ایک جائز قانونی بنیاد درکار ہے۔ DPDP Act کے تحت یہ بنیاد تقریباً ہمیشہ کنسنٹ ہو گی، اور صرف قانون میں متعین چند محدود "مشروعہ جائز استعمال" کی صورتوں میں استثنا مل سکتا ہے۔

درست / معتبر کنسنٹ کیسا دکھائی دیتا ہے

DPDP Act کنسنٹ کے لیے اونچا معیار مقرر کرتا ہے۔ کنسنٹ بلا جبر، مخصوص، باخبر، غیر مشروط، اور غیر مبہم ہونا چاہیے، اور اسے واضح مثبت اقدام کے ذریعے ظاہر کیا جانا ضروری ہے۔ پہلے سے ٹِک کی ہوئی باکسز، براؤزنگ جاری رکھنے کو خاموشی سے کنسنٹ مان لینا، اور ایسے "کوکی والز" جو رسائی کو قبولیت سے مشروط کر دیں، ان تقاضوں سے ہم آہنگ نہیں ہیں۔

کنسنٹ کے یوزر ایکسپیریئنس کے لیے دو اضافی، DPDP مخصوص اصول اہم ہیں:

آئٹمائزڈ نوٹس: کنسنٹ سے پہلے یا اس کے وقت، آپ کو صارف کو واضح نوٹس دینا ہوگا جس میں جمع ہونے والے ڈیٹا کی شناخت ہو، پروسیسنگ کے مقاصد بیان ہوں، اور یہ بتایا جائے کہ صارف کنسنٹ کیسے واپس لے سکتا ہے یا Data Protection Board of India کے پاس شکایت کیسے درج کر سکتا ہے۔
سادہ زبان اور کثیر لسانی معاونت: نوٹس انگریزی میں بھی دستیاب ہونے چاہئیں اور بھارت کی 22 شیڈیول زبانوں میں سے جسے صارف منتخب کرے، اس میں بھی۔ ایسا CMP جو کنسنٹ کا مواد ہندی، تمل، بنگالی، مراٹھی اور دیگر بڑی زبانوں میں پیش نہیں کر سکتا، تعمیل میں مشکل کا شکار ہوگا۔

بچوں کا ڈیٹا اور والدین کا کنسنٹ

DPDP Act 18 سال سے کم عمر ہر فرد کو بچہ تصور کرتا ہے اور ان کے ذاتی ڈیٹا پر پروسیسنگ سے پہلے قابل تصدیق والدینی کنسنٹ کو لازم قرار دیتا ہے۔ یہ بچوں پر مبنی رویہ جاتی مانیٹرنگ اور ٹارگٹڈ اشتہارات کو بھی ممنوع قرار دیتا ہے۔ کوئی بھی ویب سائٹ جو بھارت میں کم عمر افراد کے لیے دستیاب ہے — جو عملی طور پر تقریباً ہر سائٹ بنتی ہے — اسے عمر کی جانچ (age-gating) یا رسک پر مبنی حکمتِ عملی اپن��نی ہوگی، اور اس قابل ہونا ہوگا کہ والدینی کنسنٹ نہ ہونے کی صورت میں ٹریکنگ اسکرپٹس کو بلاک کر سکے۔

وہ صارف حقوق جن کی آپ کے CMP میں سپورٹ ضروری ہے

بھارت میں Data Principals (صارفین) کو حقوق کا ایک مجموعہ حاصل ہے، جنہیں آپ کی کنسنٹ اور ترجیحی (preferences) لیئر کے ذریعے قابلِ عمل بنایا جانا ضروری ہے:

رسائی کا حق تاکہ وہ اپنے پروسیس ہونے والے ذاتی ڈیٹا کا خلاصہ حاصل کر سکیں۔
درستگی اور اخفا (حذف) کا حق تاکہ وہ اپنے ڈیٹا کی تصحیح یا مٹانے کا مطالبہ کر سکیں۔
کنسنٹ واپس لینے کا حق کسی بھی وقت، اور اتنی ہی آسانی کے ساتھ جتنی آسانی سے کنسنٹ دیا گیا تھا۔
نامزدگی کا حق کہ وہ اپنی وفات یا نا اہلی کی صورت میں اپنے حقوق استعمال کرنے کے لیے کسی اور فرد کو نامزد کر سکیں۔
شکایت کے ازالے کا حق — پ��لے Data Fiduciary کے ساتھ، اور پھر Data Protection Board of India کے ساتھ۔

مطابقت رکھنے والا CMP ایک مستقل ترجیحات (preferences) لنک ظاہر کرے، ایک کلک میں کنسنٹ واپس لینے کی سہولت فراہم کرے، اور کنسنٹ ایونٹس اس انداز سے لاگ کرے کہ کسی تفتیش کے دوران درخواست پر پیش کیے جا سکیں۔

سرحد پار ڈیٹا کی منتقلیاں

DPDP Act بین الاقوامی منتقلیوں کے لیے "منفی فہرست" (negative list) کا طریقہ اپناتا ہے: ذاتی ڈیٹا کو بھارت سے باہر منتقل کیا جا سکتا ہے جب تک کہ مرکزی حکومت کسی مخصوص ملک کو پابندی کی فہرست میں شامل نہ کر دے۔ یہ GDPR کے adequacy نظام کے مقابلے میں زیادہ نرمی پر مبنی ہے، لیکن پھر بھی آپ کو یہ دستاویزی شکل میں رکھنا چاہیے کہ بھارتی صارفین کا ڈیٹا کن تیسرے ممالک کو جاتا ہے، اور شائع شدہ پابندیوں کی فہرست پر نظر رکھنی چاہیے۔

سزائیں اور نفاذ

DPDP Act کے تحت مالی سزائیں خاصی بھاری ہیں۔ Data Protection Board معقول حفاظتی انتظامات نہ کرنے پر زیادہ سے زیادہ ₹250 کروڑ (تقریباً $30 million USD) تک جرمانہ عائد کر سکتا ہے، اور بچوں سے متعلق ذمہ داریاں پوری نہ کرنے پر زیادہ سے زیادہ ₹200 کروڑ تک جرمانہ ممکن ہے۔ کنسنٹ سے متعلق ناکامیاں — بشمول غیر مطابقت رکھنے والے بینرز کے ذریعے کنسنٹ حاصل کرنا — ہر خلاف ورزی پر زیادہ سے زیادہ ₹50 کروڑ تک کے جرمانے کا باعث بن سکتی ہیں۔

اپنے CMP میں DPDP کے مطابق کنسنٹ نافذ کرنا

بھارتی صارفین کو جیو ڈیٹیکٹ کریں اور GDPR بینر کو دوبارہ استعمال کرنے کے بجائے DPDP مخصوص کنسنٹ ٹیمپلیٹ لاگو کریں۔ مطلوبہ نوٹس کا مواد اور زبان کے اختیارات مختلف ہیں۔
نوٹسز کو متعدد بھارتی زبانوں میں دکھائیں۔ کم از کم ہندی اور انگریزی کی سپورٹ دیں، اور اپنی ٹریفک کی تقسیم کے مطابق علاقائی زبانیں شامل کریں۔
تمام غیر ضروری ٹریکرز کو بذریعہ ڈیفالٹ بلاک کریں۔ اشتہارات، اینالیٹکس، اور تھرڈ پارٹی SDKs کو صرف واضح مثبت کنسنٹ کے بعد لوڈ کریں۔
مقاصد کو واضح طور پر الگ رکھیں۔ اشتہارات، اینالیٹکس، اور پرسنلائزیشن کو ایک ہی "قبول کریں" ایکشن میں نہ سمیٹیں، اگر یہ معقول ہے کہ صارف کچھ کے لیے کنسنٹ دے اور کچھ کے لیے نہ دے۔
کنسنٹ اور واپسی (withdrawal) کے ایونٹس لاگ کریں جن میں ٹائم اسٹیمپس، دکھائے گئے نوٹس کا عین ورژن، اور صارف کا منتخب کردہ زبان آپشن شامل ہو، تاکہ ریگولیٹری انکوائری کے دوران آپ تعمیل کا ثبوت فراہم کر سکیں۔
ہر صفحے پر نمایاں ترجیحات کا لنک فراہم کریں جو صارفین کو کسی بھی وقت کنسنٹ کا جائزہ لینے، اسے اپ ڈیٹ کرنے، یا واپس لینے کی سہولت دے۔

DPDP بمقابلہ GDPR: عملی فرق

"مشروعہ مفادات" کی عمومی بنیاد نہیں۔ DPDP Act GDPR کی طرح "legitimate interests" کو عمومی قانونی ��نیاد کے طور پر تسلیم نہیں کرتا۔ کنسنٹ کی اہمیت زیادہ ہے، اس لیے UX ڈیزائن اور بھی اہم ہو جاتا ہے۔
بچوں کے حوالے سے سخت تر قوانین۔ ڈیجیٹل کنسنٹ کی عمر 18 سال ہے، 13 یا 16 نہیں، اور کم عمر افراد کو ٹارگٹ کرنے والے اشتہارات واضح طور پر ممنوع ہیں۔
کثیر لسانی نوٹس کی لازمی شرط DPDP Act کی ایک منفرد خصوصیت ہے، جسے صرف انگریزی بینر کے ذریعے پورا نہیں کیا جا سکتا۔
Significant Data Fiduciary کی ذمہ داریاں ہائی رسک آپریٹرز کے لیے تعمیل کی دوسری سطح بناتی ہیں، جس کا GDPR میں کوئی براہِ راست متبادل نہیں۔

نتیجہ

DPDP Act بھارت کو جدید عالمی ڈیٹا پروٹیکشن منظرنامے میں ایک منفرد رنگ کے ساتھ شامل کرتا ہے — کنسنٹ کو مرکزیت دینے والا، ڈیزائن کے اعتبار سے کثیر لسانی، اور کم عمر افراد کے تحفظ کے لیے غیر معمولی حد تک محتاط۔ ایسے پبلشرز ا��ر پلیٹ فارمز جو پہلے سے GDPR معیار کا CMP چلا رہے ہیں، انہیں ضرور برتری حاصل ہے، لیکن پھر بھی انہیں بینر کے مواد، زبان کی سپورٹ، عمر کے حوالے سے ہینڈلنگ، اور لاگنگ کے پہلوؤں کو DPDP کے تقاضوں کے مطابق ایڈجسٹ کرنا ہوگا۔ بھارت کو "بس ایک اور GDPR جسٹڈکشن" سمجھنا، آپ کو بہت جلد Data Protection Board کے سامنے لا کھڑا کر سکتا ہے۔