Индийският закон за защита на личните данни в цифров вид (DPDPA 2023) установява изисквания за защита на данните за 1,4 милиарда души — най-голямата рамка за защита на данните в света според населението. Съветът за защита на данните на Индия започна работа през 2025 г., отбелязвайки началото на активно правоприлагане. За глобални организации, обслужващи индийски потребители, обработващи данни на индийски служители или работещи с индийски доставчици на ИТ услуги, съответствието на DPDPA вече е активно изискване за съответствие.
DPDPA: Общ преглед на ключовата рамка
Териториален обхват: DPDPA се прилага за обработка на цифрови лични данни в Индия и за обработка извън Индия с цел предлагане на стоки или услуги на лица в Индия. Подобно на извънтериториалния обхват на GDPR, DPDPA се прилага за всяка организация, обслужваща индийски потребители, независимо къде се извършва обработката.
Максимални глоби: До ₹250 крори (приблизително 27 милиона евро по текущи обменни курсове) за нарушение. Съветът за защита на данните може да налага санкции въз основа на тежестта, продължителността и мащаба.
Правни основания за обработване: Съгласие (доброволно, информирано, конкретно, недвусмислено) или легитимни употреби, определени в Закона (работа, правни задължения, жизненоважни интереси, функции от обществен интерес, проучване/архивиране, национална сигурност).
**Основни права върху данните: ** Право на информация относно обработката, право на коригиране и изтриване, право на разглеждане на жалби и право на номиниране на представител за ситуации на недееспособност.
Довереници на данни (еквивалентни на GDPR администратори): Организациите, обработващи лични данни, са „Довереници на данни“ със задължения за предпазни мерки за сигурност, известие за нарушение до Съвета за защита на данните в рамките на 72 часа и назначаване на длъжностно лице по защита на данните за значими довереници на данни.
Aadhaar: Най-голямата биометрична система за самоличност в света
Aadhaar е националната биометрична система за самоличност на Индия — 12-цифрен уникален идентификационен номер, свързан с пръстовите отпечатъци и сканиранията на ириса на всеки притежател. Издаден на 1,36 милиарда жители на Индия, Aadhaar се използва за:
- Изплащане на държавни обезщетения (социални схеми PAN)
- Удостоверяване на банкови и финансови услуги (eKYC)
- Регистрация на номер на мобилен телефон (задължителна проверка на SIM)
- Достъп до здравни услуги
- Проверка на заетостта
Номерата на Aadhaar се появяват в индийските финансови, здравни и административни документи. Законът за Aadhaar от 2016 г. налага специфични ограничения върху използването на Aadhaar — не може да се използва като задължителна идентификация за частни услуги и не може да се съхранява в бази данни извън конкретни разрешени случаи на употреба.
Изисквания за откриване: Aadhaar следва специфичен 12-цифрен формат с проверка на Verhoeff с контролна цифра. За разлика от по-простите национални идентификатори, Aadhaar използва алгоритъма на Verhoeff (сложна групова теоретична схема за откриване на грешки) за изчисляване на контролната цифра. Общите инструменти за съпоставяне на шаблони пропускат Aadhaar в индийските документи, а инструментите, които прилагат съвпадение на шаблони без валидиране на Verhoeff, генерират фалшиви положителни резултати от всяко 12-цифрено число.
Други индийски PII идентификатори
PAN (постоянен номер на сметка): 10-знаков буквено-цифров данъчен идентификатор във формат AAAAA9999A (5 букви + 4 цифри + 1 буква). Четвъртият знак кодира вида на данъкоплатеца, 5-ият знак е първата буква от името на данъкоплатеца. PAN е задължителен за финансови транзакции над ₹50 000 и се появява в почти всички индийски финансови документи.
Индийски паспорт: Формат X, последван от 7 цифри. Формат, специфичен за индийската система за издаване на паспорти.
Индийска шофьорска книжка: Формат, базиран на щатски код (DL-0420110149646 за Делхи, например) — форматът варира според държавата на издаване, подобно на RG в Бразилия.
Номера на банкови сметки: Няма стандартен формат в Индия — номерата на банковите сметки варират от 9 до 18 цифри в зависимост от банката, без национална стандартизация. IFSC кодове (11-знакови кодове на банкови клонове) се появяват до номерата на сметки в платежните документи.
Мобилни номера: 10-цифрен формат с код на държавата +91. Мобилното проникване на Индия (1,2 милиарда мобилни абонати) означава, че телефонните номера са повсеместни в индийските търговски документи.
DPDPA Технически изисквания
Изискването за защита на сигурността на DPDPA се изразява по-скоро като резултати, отколкото като конкретни технически мерки (за разлика от изброените изисквания на HIPAA):
**Гаранции за сигурност: ** Доверителите на данни трябва да прилагат „разумни гаранции за сигурност“, подходящи за риска. Правилата DPDPA (очаква се през 2025 г.) ще определят минимални технически стандарти.
Известие за нарушение: В рамките на 72 часа до Съвета за защита на данните за всяко нарушение на сигурността на личните данни. Тази времева линия е по-взискателна от 72-те часа на GDPR към DPA — GDPR позволява 72 часа за уведомяване от DPA и отделни срокове за уведомяване на субекта на данни. DPDPA изисква и двете в един и същи 72-часов прозорец за значителни нарушения.
**Локализация на данни (значими довереници на данни): ** Значимите довереници на данни — тези, определени от индийското правителство въз основа на обема и чувствителността на обработката — може да се наложи да поддържат копие на лични данни в Индия. Конкретните изисквания за локализация ще бъдат определени в правилата, но мултинационалните компании, обработващи големи обеми индийски лични данни, трябва да се подготвят за потенциални задължения за локализация.
Трансгранични трансфери: DPDPA ограничава трансферите на лични данни към държави, които не са в списък, одобрен от правителството. Списъкът на одобрените държави не е финализиран към 2025 г., което създава несигурност за съответствие за потоците от данни ЕС-Индия. Позицията за трансфер между ЕС и Индия се различава от GDPR относно DPF ЕС-САЩ — няма съществуващо двустранно споразумение за адекватност и на организациите се препоръчва да прилагат договорни предпазни мерки, докато се развива регулаторната рамка.
За глобални организации с операции в Индия: откриването на Aadhaar и PAN с валидирани контролни цифри, поддръжка на формата за индийски паспорт и шофьорска книжка и документация за целите на обработката, съобразени с правните основи на DPDPA, са основните технически изисквания за съответствие с DPDPA.
Източници:
- MeitY: Министерство на електрониката и информационните технологии — DPDPA
- [DPDPA 2023: Пълен текст на Закона за защита на цифровите лични данни] (https://www.meity.gov.in/data-protection-framework)