Indias Digital Personal Data Protection Act (DPDPA 2023) etablerer krav til databeskyttelse for 1,4 milliarder mennesker — verdens største databeskyttelsesrammeverk etter befolkning. Databeskyttelsesstyret i India ble operativt i 2025, noe som markerer begynnelsen på aktiv håndheving. For globale organisasjoner som betjener indiske forbrukere, behandler indiske ansattdata, eller opererer med indiske IT-tjenesteleverandører, er DPDPA-overholdelse nå et aktivt krav til overholdelse.
DPDPA: Nøkkelrammeverk Oversikt
Territorial omfang: DPDPA gjelder for behandling av digitale personopplysninger innen India, og for behandling utenfor India med det formål å tilby varer eller tjenester til enkeltpersoner i India. På samme måte som GDPRs ekstraterritoriale rekkevidde, gjelder DPDPA for enhver organisasjon som betjener indiske forbrukere uavhengig av hvor behandlingen skjer.
Maksimale bøter: Opptil ₹250 crore (omtrent €27 millioner til dagens valutakurser) per brudd. Databeskyttelsesstyret kan ilegge straffer basert på alvorlighetsgrad, varighet og omfang.
Juridiske grunnlag for behandling: Samtykke (frivillig, informert, spesifikt, entydig) eller legitime bruksområder definert i loven (sysselsetting, juridiske forpliktelser, vitale interesser, offentlige interessefunksjoner, forskning/arkivering, nasjonal sikkerhet).
Rettigheter for dataprinsipper: Rett til informasjon om behandling, rett til korrigering og sletting, rett til klagebehandling, og rett til å utpeke en representant for situasjoner med manglende kapasitet.
Datavernere (tilsvarende GDPR-kontrollere): Organisasjoner som behandler personopplysninger er "Datavernere" med forpliktelser til sikkerhetsbeskyttelser, bruddnottifisering til Databeskyttelsesstyret innen 72 timer, og utnevnelse av en databeskyttelsesansvarlig for betydelige datavernere.
Aadhaar: Verdens største biometriske ID-system
Aadhaar er Indias nasjonale biometriske identitetssystem — et 12-sifret unikt identifikasjonsnummer knyttet til hver innehavers fingeravtrykk og iris-skanninger. Utstedt til 1,36 milliarder indiske innbyggere, brukes Aadhaar til:
- Utbetaling av offentlige ytelser (PAN velferdsordninger)
- Bank- og finansielle tjenester autentisering (eKYC)
- Registrering av mobiltelefonnummer (obligatorisk SIM-verifisering)
- Tilgang til helsetjenester
- Ansettelsesverifisering
Aadhaar-numre vises i indiske finansielle, helsemessige og administrative dokumenter. Aadhaar-loven 2016 pålegger spesifikke restriksjoner på bruken av Aadhaar — det kan ikke brukes som obligatorisk identifikasjon for private tjenester og kan ikke lagres i databaser utover spesifikke autoriserte bruksområder.
Deteksjonskrav: Aadhaar følger et spesifikt 12-sifret format med Verhoeff sjekksiffervalidering. I motsetning til enklere nasjonale identifikatorer, bruker Aadhaar Verhoeff-algoritmen (et komplekst gruppe-teoretisk feildeteksjonssystem) for sjekksifferberegning. Generiske mønstergjenkjenningsverktøy overser Aadhaar i indiske dokumenter, og verktøy som implementerer mønstergjenkjenning uten Verhoeff-validering genererer falske positiver fra ethvert 12-sifret nummer.
Andre indiske PII-identifikatorer
PAN (Permanent Account Number): 10-tegn alfanumerisk skatteidentifikator i formatet AAAAA9999A (5 bokstaver + 4 sifre + 1 bokstav). Den 4. karakteren koder for typen skattebetaler, den 5. karakteren er den første bokstaven i skattebetalerens navn. PAN er obligatorisk for finansielle transaksjoner over ₹50,000 og vises i praktisk talt alle indiske finansdokumenter.
Indisk pass: Format X etterfulgt av 7 sifre. Formatet er spesifikt for Indias passutstedelsessystem.
Indisk førerkort: Statkode-basert format (DL-0420110149646 for Delhi, for eksempel) — formatet varierer etter utstedelsesstat, likt Brasils RG.
Bankkontonumre: Ingen standardformat i India — bankkontonumre varierer fra 9 til 18 sifre avhengig av banken, uten nasjonal standardisering. IFSC-koder (11-tegn bankfilialkoder) vises sammen med kontonumre i betalingsdokumenter.
Mobilnumre: 10-sifret format med landskode +91. Indias mobilpenetrasjon (1,2 milliarder mobilabonnenter) betyr at telefonnumre er allestedsnærværende i indiske kommersielle dokumenter.
DPDPA Tekniske Krav
DPDPA's krav til sikkerhetsbeskyttelser uttrykkes i form av resultater snarere enn spesifikke tekniske tiltak (i motsetning til HIPAA's opplistede krav):
Sikkerhetsbeskyttelser: Datavernere må implementere "rimelige sikkerhetsbeskyttelser" som er passende for risikoen. DPDPA-reglene (forventet 2025) vil spesifisere minimum tekniske standarder.
Bruddnottifisering: Innen 72 timer til Databeskyttelsesstyret for ethvert brudd på personopplysninger. Denne tidslinjen er mer krevende enn GDPRs 72 timer til DPA — GDPR tillater 72 timer for DPA-nottifisering og separate tidslinjer for datakrevende nottifisering. DPDPA krever begge i samme 72-timers vindu for betydelige brudd.
Data-lokalisering (betydelige datavernere): Betydelige datavernere — de som er utpekt av den indiske regjeringen basert på volum og følsomhet av behandling — kan bli pålagt å opprettholde en kopi av personopplysninger innen India. De spesifikke lokaliseringskravene vil bli definert i reglene, men multinasjonale selskaper som behandler store mengder indiske personopplysninger bør forberede seg på potensielle lokaliseringsforpliktelser.
Grensekryssende overføringer: DPDPA begrenser overføringer av personopplysninger til land som ikke er på en regjering-godkjent liste. Den godkjente landlisten har ikke blitt endelig fastsatt per 2025, noe som skaper usikkerhet for overføringer av data mellom EU og India. EU-Indias overføringsposisjon er forskjellig fra GDPRs EU-US DPF — det finnes ingen eksisterende bilateral tilstrekkelighetsordning, og organisasjoner anbefales å implementere kontraktsmessige sikkerhetsforanstaltninger mens det regulatoriske rammeverket utvikles.
For globale organisasjoner med virksomhet i India: Aadhaar og PAN-detektering med validerte sjekksiffer, støtte for indiske pass- og førerkortsformater, og dokumentasjon av behandlingsformål som er i samsvar med DPDPA's juridiske grunnlag er de grunnleggende tekniske kravene for DPDPA-overholdelse.
Kilder: