anonym.legal
Takaisin BlogiinGDPR & Vaatimustenmukaisuus

Intian DPDPA 2023: Mitä maailman väkirikkaimman maan tietosuojalaki tarkoittaa globaalille tietojenkäsittelylle

Intian DPDPA kattaa 1,4 miljardia ihmistä ja tietosuojalautakunta aloitti toimintansa vuonna 2025. Sakot jopa ₹250 crore (≈27 miljoonaa euroa). Aadhaar-tunnistus 1,36 miljardille biometriselle henkilöllisyysnumeroa kantavalle. Mitä globaalien yritysten on tiedettävä.

March 7, 202610 min lukuaika
India DPDPAAadhaar PAN detectionIndian privacy lawAsia Pacific compliancedata protection

Intian digitaalinen henkilökohtaisen tietosuojan laki (DPDPA 2023) asettaa tietosuojavaatimuksia 1,4 miljardille ihmiselle — maailman suurin tietosuojakehys väestön mukaan. Intian tietosuojalautakunta aloitti toimintansa vuonna 2025, mikä merkitsee aktiivisen valvonnan alkua. Globaalien organisaatioiden, jotka palvelevat intialaisia kuluttajia, käsittelevät intialaisten työntekijöiden tietoja tai toimivat intialaisten IT-palveluntarjoajien kanssa, on nyt noudatettava DPDPA:ta aktiivisena vaatimuksena.

DPDPA: Keskeinen kehys

Territoriaalinen soveltamisala: DPDPA koskee digitaalisten henkilökohtaisten tietojen käsittelyä Intiassa ja käsittelyä Intian ulkopuolella, kun tavoitteena on tarjota tavaroita tai palveluja Intiassa oleville henkilöille. Kuten GDPR:n extraterritoriaalinen ulottuvuus, DPDPA koskee kaikkia organisaatioita, jotka palvelevat intialaisia kuluttajia riippumatta siitä, missä käsittely tapahtuu.

Maksimimaksut: Jopa ₹250 crore (noin 27 miljoonaa euroa nykyisillä valuuttakursseilla) per rikkomus. Tietosuojalautakunta voi määrätä seuraamuksia vakavuuden, keston ja laajuuden perusteella.

Käsittelyn oikeudelliset perusteet: Suostumus (vapaaehtoinen, tietoinen, erityinen, yksiselitteinen) tai lain mukaan määritellyt lailliset käyttötarkoitukset (työllisyys, oikeudelliset velvoitteet, elintärkeät edut, julkiset etuudet, tutkimus/arkistointi, kansallinen turvallisuus).

Tieto-oikeudet: Oikeus saada tietoa käsittelystä, oikeus oikaisuun ja poistamiseen, oikeus valittaa ja oikeus nimetä edustaja toimintakyvyttömyystilanteissa.

Tietosuojaedustajat (vastaa GDPR:n rekisterinpitäjiä): Henkilökohtaisia tietoja käsittelevät organisaatiot ovat "Tietosuojaedustajia", joilla on velvollisuuksia turvallisuussuojaa, tietoturvaloukkauksista ilmoittamista tietosuojalautakunnalle 72 tunnin kuluessa ja tietosuojavastaavan nimittämistä merkittäville tietosuojaedustajille.

Aadhaar: Maailman suurin biometrinen henkilöllisyysjärjestelmä

Aadhaar on Intian kansallinen biometrinen henkilöllisyysjärjestelmä — 12-numeroista ainutlaatuista tunnistetta, joka on linkitetty jokaisen haltijan sormenjälkiin ja iiris-skannauksiin. Myönnetty 1,36 miljardille intialaiselle asukkaalle, Aadhaar on käytössä:

  • Hallituksen etuuksien jakaminen (PAN-hyvinvointiohjelmat)
  • Pankki- ja rahoituspalvelujen todennus (eKYC)
  • Matkapuhelinnumeron rekisteröinti (pakollinen SIM-todennus)
  • Terveydenhuoltopalvelujen käyttö
  • Työllisyyden todennus

Aadhaar-numerot näkyvät Intian rahoitus-, terveydenhuolto- ja hallintodokumenteissa. Aadhaar-laki 2016 asettaa erityisiä rajoituksia Aadhaar-käytölle — sitä ei voida käyttää pakollisena henkilöllisyystodistuksena yksityispalveluille, eikä sitä voida tallentaa tietokantoihin yli erityisten valtuutettujen käyttötarkoitusten.

Tunnistusvaatimukset: Aadhaar seuraa erityistä 12-numeroista muotoa, jossa on Verhoeff-tarkistussumman validointi. Toisin kuin yksinkertaisemmissa kansallisissa tunnisteissa, Aadhaar käyttää Verhoeff-algoritmia (monimutkainen ryhmäteoreettinen virheentunnistusjärjestelmä) tarkistussumman laskemiseen. Yleiset kaavojen tunnistustyökalut eivät tunnista Aadhaar-numeroita intialaisissa asiakirjoissa, ja työkalut, jotka toteuttavat kaavojen tunnistuksen ilman Verhoeff-validointia, tuottavat väärien positiivisten tulosten mistä tahansa 12-numeroisesta numerosta.

Muita intialaisia PII-tunnisteita

PAN (Pysyvä tilinumero): 10-merkkinen alfanumeerinen verotunniste muodossa AAAAA9999A (5 kirjainta + 4 numeroa + 1 kirjain). 4. merkki koodaa verovelvollisen tyypin, 5. merkki on verovelvollisen nimen ensimmäinen kirjain. PAN on pakollinen yli ₹50,000:n taloudellisissa transaktioissa ja esiintyy käytännössä kaikissa intialaisissa talousasiakirjoissa.

Intialainen passi: Muoto X, jota seuraa 7 numeroa. Muoto on erityinen Intian passin myöntämisjärjestelmälle.

Intialainen ajokortti: Osavaltion koodipohjainen muoto (esimerkiksi DL-0420110149646 Delhistä) — muoto vaihtelee myöntämisvaltioittain samankaltaisesti Brasilian RG:n kanssa.

Pankkitilit: Ei standardimuotoa Intiassa — pankkitilit vaihtelevat 9:stä 18:aan numeroon pankista riippuen, ilman kansallista standardointia. IFSC-koodit (11-merkkiset pankkikonttorikoodit) näkyvät tilinumeroiden yhteydessä maksudokumenteissa.

Matkapuhelinnumerot: 10-numeroista muotoa, jossa on suuntanumero +91. Intian matkapuhelinliittymien määrä (1,2 miljardia matkapuhelinliittymää) tarkoittaa, että puhelinnumerot ovat yleisiä intialaisissa kaupallisissa asiakirjoissa.

DPDPA:n tekniset vaatimukset

DPDPA:n turvallisuussuojaa koskeva vaatimus ilmaistaan tulosten kautta eikä erityisten teknisten toimenpiteiden (toisin kuin HIPAA:n luetellut vaatimukset):

Turvallisuussuoja: Tietosuojaedustajien on toteutettava "kohtuulliset turvallisuussuojat", jotka ovat asianmukaisia riskiin nähden. DPDPA-säännöt (odotettavissa 2025) määrittelevät vähimmäistekniset standardit.

Tietoturvaloukkauksista ilmoittaminen: 72 tunnin kuluessa tietosuojalautakunnalle kaikista henkilökohtaisista tietoturvaloukkauksista. Tämä aikaraja on vaativampi kuin GDPR:n 72 tuntia DPA:lle — GDPR sallii 72 tuntia DPA-ilmoitukseen ja erilliset aikarajat rekisteröidyn ilmoittamiseen. DPDPA vaatii molemmat samassa 72 tunnin aikarajassa merkittävien loukkausten osalta.

Tietojen paikallisuus (merkittävät tietosuojaedustajat): Merkittävien tietosuojaedustajien — jotka Intian hallitus on nimennyt käsittelyn määrän ja herkkyyden perusteella — on saatettu vaatia säilyttämään kopio henkilökohtaisista tiedoista Intiassa. Erityiset paikallisuusvaatimukset määritellään säännöissä, mutta monikansallisten yritysten, jotka käsittelevät suuria määriä intialaisia henkilökohtaisia tietoja, tulisi valmistautua mahdollisiin paikallisuusvelvoitteisiin.

Rajasiirrot: DPDPA rajoittaa henkilökohtaisten tietojen siirtoja maihin, jotka eivät ole hallituksen hyväksymällä listalla. Hyväksyttyä maaluetteloa ei ole viimeistelty vuoden 2025 aikana, mikä luo epävarmuutta EU-Intia-tietovirroille. EU-Intia-siirtoasema poikkeaa GDPR:n EU-US DPF:stä — ei ole olemassa voimassa olevaa kahdenvälistä riittävyyssopimusta, ja organisaatioita kehotetaan toteuttamaan sopimuksellisia suojatoimia, kun sääntelykehys kehittyy.

Globaalien organisaatioiden, joilla on Intia-toimintoja: Aadhaar- ja PAN-tunnistus validoiduilla tarkistussummilla, intialaisen passin ja ajokortin muototuki sekä DPDPA:n oikeudellisiin perusteisiin liittyvien käsittelytarkoitusten dokumentointi ovat DPDPA-yhteensopivuuden perus tekniset vaatimukset.

Lähteet:

Liittyvät Artikkelit

GDPR & Vaatimustenmukaisuus

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

GDPR & Vaatimustenmukaisuus

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

GDPR & Vaatimustenmukaisuus

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Valmiina suojaamaan tietojasi?

Aloita PII-anonymisointi yli 285 entiteettityypillä 48 kielellä.

Aloita Ilmainen KokeiluKatso Ominaisuudet