Indiens Digital Personal Data Protection Act (DPDPA 2023) etablerer databeskyttelseskrav for 1,4 milliarder mennesker — verdens største databeskyttelsesramme efter befolkning. Databeskyttelsesrådet i Indien blev operationelt i 2025, hvilket markerer begyndelsen på aktiv håndhævelse. For globale organisationer, der betjener indiske forbrugere, behandler indiske medarbejderdata eller opererer med indiske IT-serviceudbydere, er DPDPA-overholdelse nu et aktivt overholdelseskrav.
DPDPA: Nøgleoversigt over rammerne
Territorial omfang: DPDPA gælder for behandling af digitale personoplysninger inden for Indien og for behandling uden for Indien med det formål at tilbyde varer eller tjenester til personer i Indien. Ligesom GDPR's ekstraterritoriale rækkevidde gælder DPDPA for enhver organisation, der betjener indiske forbrugere, uanset hvor behandlingen finder sted.
Maksimale bøder: Op til ₹250 crore (ca. €27 millioner til nuværende valutakurser) pr. overtrædelse. Databeskyttelsesrådet kan pålægge sanktioner baseret på alvorlighed, varighed og omfang.
Juridiske grundlag for behandling: Samtykke (frivilligt, informeret, specifikt, entydigt) eller legitime anvendelser defineret i loven (ansættelse, juridiske forpligtelser, vitale interesser, offentlige interessefunktioner, forskning/arkivering, national sikkerhed).
Rettigheder for datahaverne: Ret til information om behandling, ret til berigtigelse og sletning, ret til klagebehandling og ret til at udpege en repræsentant i tilfælde af incapacity.
Datafiduciaries (ækvivalent til GDPR-controllere): Organisationer, der behandler personoplysninger, er "Data Fiduciaries" med forpligtelser til sikkerhedsforanstaltninger, underretning om brud til Databeskyttelsesrådet inden for 72 timer og udnævnelse af en Databeskyttelsesofficer for betydelige datafiduciaries.
Aadhaar: Verdens største biometriske ID-system
Aadhaar er Indiens nationale biometriske identitetssystem — et 12-cifret unikt identifikationsnummer knyttet til hver indehavers fingeraftryk og iris-scanninger. Udstedt til 1,36 milliarder indiske borgere, bruges Aadhaar til:
- Udbetaling af offentlige ydelser (PAN velfærdsschemer)
- Bank- og finansielle tjenesteydelser autentificering (eKYC)
- Registrering af mobiltelefonnumre (obligatorisk SIM-verifikation)
- Adgang til sundhedsydelser
- Ansættelsesverifikation
Aadhaar-numre fremgår i næsten alle indiske finansielle, sundheds- og administrative dokumenter. Aadhaar-loven fra 2016 pålægger specifikke restriktioner for brug af Aadhaar — det kan ikke bruges som obligatorisk identifikation for private tjenester og må ikke opbevares i databaser ud over specifikke autoriserede anvendelsestilfælde.
Detektionskrav: Aadhaar følger et specifikt 12-cifret format med Verhoeff kontrolcifervalidation. I modsætning til enklere nationale identifikatorer bruger Aadhaar Verhoeff-algoritmen (et komplekst gruppe-teoretisk fejlregistreringssystem) til beregning af kontrolciferen. Generiske mønster-genkendelsesværktøjer overser Aadhaar i indiske dokumenter, og værktøjer, der implementerer mønster-genkendelse uden Verhoeff-validering, genererer falske positiver fra ethvert 12-cifret nummer.
Andre indiske PII-identifikatorer
PAN (Permanent Account Number): 10-tegns alfanumerisk skatteidentifikator i formatet AAAAA9999A (5 bogstaver + 4 cifre + 1 bogstav). Det 4. tegn koder typen af skatteyder, det 5. tegn er det første bogstav i skatteyderens navn. PAN er obligatorisk for finansielle transaktioner over ₹50.000 og fremgår i næsten alle indiske finansielle dokumenter.
Indisk pas: Format X efterfulgt af 7 cifre. Format-specifikt for Indiens pasudstedelsessystem.
Indisk kørekort: Stat-kode baseret format (DL-0420110149646 for Delhi, for eksempel) — format varierer efter udstedelsesstat ligesom Brasils RG.
Bankkontonumre: Ingen standardformat i Indien — bankkontonumre varierer fra 9 til 18 cifre afhængigt af banken, uden national standardisering. IFSC-koder (11-tegns bankfilialkoder) fremgår sammen med kontonumre i betalingsdokumenter.
Mobilnumre: 10-cifret format med landekode +91. Indiens mobilpenetration (1,2 milliarder mobilabonnenter) betyder, at telefonnumre er allestedsnærværende i indiske kommercielle dokumenter.
DPDPA tekniske krav
DPDPA's krav til sikkerhedsforanstaltninger udtrykkes i form af resultater snarere end specifikke tekniske foranstaltninger (i modsætning til HIPAA's opregnede krav):
Sikkerhedsforanstaltninger: Datafiduciaries skal implementere "rimelige sikkerhedsforanstaltninger" passende til risikoen. DPDPA-reglerne (forventet 2025) vil specificere minimum tekniske standarder.
Brudunderretning: Inden for 72 timer til Databeskyttelsesrådet for ethvert brud på personoplysninger. Denne tidslinje er mere krævende end GDPR's 72 timer til DPA — GDPR tillader 72 timer til DPA-underretning og separate tidslinjer for underretning af den registrerede. DPDPA kræver begge i samme 72-timers vindue for betydelige brud.
Data-lokalisering (betydelige datafiduciaries): Betydelige datafiduciaries — dem, der er udpeget af den indiske regering baseret på volumen og følsomhed af behandlingen — kan blive pålagt at opretholde en kopi af personoplysninger inden for Indien. De specifikke lokalisationskrav vil blive defineret i reglerne, men multinationale virksomheder, der behandler store mængder indiske personoplysninger, bør forberede sig på potentielle lokalisationsforpligtelser.
Grænseoverskridende overførsler: DPDPA begrænser overførsler af personoplysninger til lande, der ikke er på en regeringsgodkendt liste. Den godkendte landeliste er ikke blevet afsluttet pr. 2025, hvilket skaber overholdelsesusikkerhed for EU-Indien datastreams. EU-Indien overførselsposition adskiller sig fra GDPR's EU-US DPF — der er ikke eksisterende bilaterale tilstrækkelighedsaftaler, og organisationer anbefales at implementere kontraktlige sikkerhedsforanstaltninger, mens det regulatoriske rammeværk udvikles.
For globale organisationer med aktiviteter i Indien: Aadhaar- og PAN-detektion med validerede kontrolcifre, støtte til indisk pas- og kørekortsformat og dokumentation af behandlingsformål, der er i overensstemmelse med DPDPA's juridiske grundlag, er de grundlæggende tekniske krav til DPDPA-overholdelse.
Kilder: