डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट 2023 (DPDP Act) अब उन भारतीय D2C, फिनटेक, EdTech और SaaS ब्रांड्स के लिए लागू है जो भारतीय नागरिकों का व्यक्तिगत डेटा प्रोसेस करते हैं। WhatsApp मार्केटिंग — परिभाषा के अनुसार — व्यक्तिगत फोन नंबर, मैसेजिंग हिस्ट्री और इंटरैक्शन डेटा कलेक्ट करती है, जो इसे सीधे DPDP Act के दायरे में रखती है। नियमों के उल्लंघन पर पेनल्टी ₹250 करोड़ प्रति breach तक है। यह गाइड 2026 की भारतीय प्लेबुक है — कैसे DPDP Act WhatsApp मार्केटिंग पर लागू होता है, valid opt-in क्या होता है, notice और erasure rights जो हर ब्रांड को सपोर्ट करने चाहिए, और सात-चरणीय compliance चेकलिस्ट जिसे भारतीय D2C टीमों को अगले campaign send से पहले पूरा करना चाहिए।
भारतीय WhatsApp मार्केटिंग के लिए DPDP Act क्यों ज़रूरी है
DPDP Act यह नियंत्रित करता है कि भारतीय ब्रांड्स व्यक्तिगत डेटा को कैसे कलेक्ट, स्टोर, प्रोसेस, शेयर और डिलीट करते हैं। WhatsApp फोन नंबर, conversation history, opt-in रिकॉर्ड्स और मैसेज metadata — सभी इस Act के तहत व्यक्तिगत डेटा हैं। जो ब्रांड्स Act का उल्लंघन करते हैं उन्हें ₹250 करोड़ प्रति breach तक की पेनल्टी (या cumulative violations पर अधिक) और Data Protection Board of India के बाध्यकारी compliance आदेश का सामना करना पड़ता है। Meta की WhatsApp Business Messaging Policy पहले से opt-in की मांग करती है, लेकिन DPDP Act consent format, notice obligations और data subject rights पर भारत-कानून-विशिष्ट आवश्यकताएँ जोड़ता है।
DPDP के तहत valid WhatsApp Opt-In क्या होता है
DPDP के तहत valid opt-in के लिए चार elements एक साथ होने चाहिए:
- Free, specific, informed और unambiguous consent. Pre-checked box, opt-out option, या T&C में छिपी हुई भाषा इस मानक को पूरा नहीं करती।
- Collection के समय या उससे पहले Notice जारी होना चाहिए. यूज़र को बताया जाना चाहिए कि कौन सा डेटा कलेक्ट हो रहा है, क्यों, किसके साथ शेयर होता है, और अपने rights कैसे exercise करें।
- हर processing purpose के लिए granular consent. Marketing, transactional और analytics consent अलग-अलग collect करने योग्य होने चाहिए।
- Consent जितनी आसानी से दिया गया था, उतनी ही आसानी से withdraw होना चाहिए. Standard pattern: यदि opt-in एक button tap था, तो opt-out भी एक button tap (या message reply) होना चाहिए।
स्वीकार्य Opt-In Sources
| Channel | DPDP-valid? | शर्तें |
|---|---|---|
| Website पर explicit checkbox के साथ sign-up form | हाँ | Checkbox default में untick; notice link visible; granular consent options दिखें |
| Click-to-WhatsApp ad reply | हाँ | User-initiated message consent imply करता है; पहले reply में notice text अब भी ज़रूरी |
| WhatsApp form submission | हाँ | Native Flow में explicit opt-in field capture किया गया हो |
| QR code scan + reply | हाँ | CTWA जैसा — user-initiated |
| Public listings से scrape किया गया फोन नंबर | नहीं | Public availability का मतलब consent नहीं है |
| पुराने CRM से imported customer database | शर्तसहित | केवल तभी valid यदि original consent DPDP-aligned था और records auditable हैं |
| List broker से खरीदा गया फोन नंबर | नहीं | Hard violation; तत्काल liability |
| Checkout पर pre-checked checkbox | नहीं | Pre-ticked = freely given नहीं |
DPDP-Aligned Consent Flow
यह consent capture pattern है जो भारतीय D2C ब्रांड्स को audit के तहत defensible होने के लिए ship करना चाहिए:
Sign-up form structure:
[Form fields: name, email, phone]
[ ] मैं {Brand} से products, offers और updates के बारे में
WhatsApp marketing messages प्राप्त करने के लिए सहमत हूँ।
मैं STOP reply करके कभी भी opt out कर सकता/सकती हूँ।
(link to Privacy Notice)
[ ] मैं अपने orders और account के बारे में {Brand} से
transactional WhatsApp messages प्राप्त करने के लिए सहमत हूँ।
दोनों checkbox default में untick।
Marketing box tick किए बिना submit करने पर account बनेगा
लेकिन यूज़र marketing audience में add नहीं होगा।Consent timestamp, IP address, source URL, और consent के समय दिखाया गया exact text capture करें। इन्हें immutable consent log में store करें। जब regulator proof माँगे, तो आप दिखा सकें "user X ने text Y को timestamp Z पर source W से सहमति दी।"
Notice Obligations
हर consent collection point पर एक स्पष्ट notice surface होना चाहिए जिसमें शामिल हो:
- Collect किए जा रहे personal data की categories (फोन, नाम, ईमेल, conversation history)।
- Processing के purposes (marketing, transactional, analytics, customer service)।
- Third parties जिनके साथ डेटा शेयर होता है (Meta, RichAutomate या आपका BSP, payment processors, hosting providers)।
- Retention periods (जैसे, conversation history 12 महीने तक रखी जाती है जब तक कानूनी compliance में लंबे समय की ज़रूरत न हो)।
- यूज़र के rights: access, correction, erasure, data portability, grievance।
- Grievance officer से contact channel।
Notice English और कम-से-कम एक भारतीय भाषा में उपलब्ध होना चाहिए जो आपके audience के लिए relevant हो (देशव्यापी ब्रांड्स के लिए हिन्दी, state-केंद्रित ब्रांड्स के लिए regional languages)।
Get the DPDP WhatsApp checklist
A founder-led WhatsApp reply with the DPDP consent + audit-log checklist for WhatsApp Business messaging. India-hosted. No spam.
Data Subject Rights जिन्हें आपको Support करना ज़रूरी है
Right to Access
यूज़र आपके पास उनका जो personal data है, उसकी copy माँग सकते हैं। 30 दिनों में machine-readable format में डेटा प्रदान करें। शामिल: फोन नंबर, conversation history, message metadata, opt-in records, attribute / tag data।
Right to Correction
यूज़र inaccurate डेटा में सुधार माँग सकते हैं। 30 दिनों में update करें। WhatsApp-विशिष्ट: यह अक्सर display name, फोन नंबर changes, या आपके CRM में attribute corrections पर लागू होता है।
Right to Erasure
यूज़र अपने डेटा का deletion request कर सकते हैं। कानूनी obligation के लिए retention आवश्यक न होने पर 30 दिनों में honor करें। Erase करें: opt-in record, contact attributes, conversation history, marketing audiences। अपने BSP और किसी भी sub-processors को सूचित करें।
Right to Withdraw Consent
यूज़र कभी भी consent withdraw कर सकते हैं, उतनी ही आसानी से जैसा दिया था। Standard pattern: STOP keyword जो तत्काल audience removal + suppression list addition + delivery confirmation ट्रिगर करता है। प्राप्ति के 60 सेकंड के भीतर honor करें।
Right to Grievance
हर ब्रांड को एक grievance officer का ईमेल और ब्रांड की response timeline publish करनी चाहिए। DPDP Act reasonable time में response की माँग करता है; practice में, acknowledgment के लिए 7 दिन और resolution के लिए 30 दिन का target रखें।
सात-चरणीय DPDP Compliance चेकलिस्ट
- अपने मौजूदा WhatsApp audience का audit करें. पहचानें कि कौन से contacts के पास DPDP-aligned consent records हैं और कौन से के पास नहीं। बिना records वाली list liability है।
- DPDP-aligned consent capture implement करें हर signup point पर: website forms, checkout, CTWA replies, in-store QR codes।
- एक Privacy Notice publish करें English और हिन्दी में (न्यूनतम) सभी DPDP requirements को कवर करते हुए।
- STOP keyword handling build करें BSP स्तर पर — auto-removal, suppression list, sub-second response। RichAutomate का flow execution service इसे natively सपोर्ट करता है।
- Grievance officer ईमेल set up करें और इसे अपनी website footer, signup forms और Privacy Notice पर publish करें।
- Data subject request workflow implement करें: 30 दिनों के भीतर access, correction, erasure और consent-withdrawal requests handle करने के लिए एक single internal process।
- Re-consent campaign चलाएँ उन audiences के लिए जिनके पास DPDP-aligned records नहीं हैं। एक single message भेजकर यूज़र्स से opt-in confirm करने को कहें। जो confirm नहीं करते उन्हें marketing audience से हटा दें।
गैर-Compliance के लिए Penalties
| Violation | अधिकतम Penalty |
|---|---|
| Reasonable security measures न लेना | ₹250 करोड़ |
| Data breach की सूचना न देना | ₹200 करोड़ |
| Children's data obligations का non-compliance | ₹200 करोड़ |
| Significant data fiduciary obligations का non-compliance | ₹150 करोड़ |
| सामान्य DPDP obligations का non-compliance | ₹50 करोड़ |
अधिकांश भारतीय D2C ब्रांड्स के लिए, गैर-compliant WhatsApp marketing operation चलाने की cumulative liability न्यूनतम ₹50 करोड़ है यदि कोई complaint Data Protection Board तक पहुँचती है। Significant Data Fiduciaries के रूप में designated बड़े ब्रांड्स के लिए यह सीमा ₹150 करोड़ तक जाती है।
आम भ्रांतियाँ
- "Meta की opt-in policy काफी है।" नहीं। Meta opt-in की माँग करता है, लेकिन DPDP Act भारत-विशिष्ट consent format और notice requirements जोड़ता है। दोनों लागू होते हैं।
- "मेरे customer ने T&C accept की, तो उन्होंने marketing के लिए consent दिया।" नहीं। Bundled consent valid नहीं है। Marketing consent अलग से और specifically capture होना चाहिए।
- "मेरा मौजूदा customer database grandfathered है।" नहीं। DPDP enforcement से पहले कलेक्ट किया गया डेटा scope में है जब तक original collection ने DPDP-equivalent standards को पूरा न किया हो।
- "BSP मेरे लिए compliance handle करता है।" नहीं। ब्रांड data fiduciary है। BSP data processor है। Liability ब्रांड पर है।
RichAutomate पर DPDP-aligned WhatsApp setup ship करें।
Built-in consent logging, STOP keyword handling, audit-ready opt-in records, और grievance workflow templates। भारतीय compliance के लिए भारतीय engineering।