Indijski Data Protection and Privacy Act (DPDPA) je v letu 2024 postal novost. Indijski Data Protection Board (DPDP) je издal 28 odločb v zvezi z skladnostjo DPDPA.
Za državo s 1,4 milijarde prebivalci in Aadhar sistemom, je ta zakonodaja revolucionarna.
DPDPA in GDPR
Indijski DPDPA je bil večinoma napravljen po GDPR. Kot je GDPR, ima svoje posebnosti:
| Aspekt | GDPR | DPDPA |
|---|---|---|
| Geografski obseg | EU | Indija |
| Raven kazni | do 4% BDP-ja | do 500 milijonov rupij (~6 M USD) |
| Pravica do pozabe | Ja | Omejeno |
| Kategorije oseb | Oseba | Oseba + Velik podatkov Upravljalci |
| DPA zahteva | Obavezna | Obavezna |
Aadhar
Aadhar je nacionalni identifikacijski sistem za Indijo. Vsak indijski državljan ima:
- Aadhar zgodovine (12 napak)
- Aadhar podatki: Imena, datum rojstva, naslov, fotografije, prstni odtiski, duhovniki fotografije
- Aadhar Aadhaar-linked računi: Bančne račune, SIM kartice, davčne račune
Indijski DPDP je odločil, da morajo biti Aadhar podatki posebej zaščiteni. Vsaka obdelava mora imeti:
- Pravne osnove: Zakon ali privolitev
- Dokumentacija: DPA za obdelovalce
- Šifriranje: Enkriptiranje Aadhar podatkov
- Minimizacija: Samo potrebni podatki
Primer: UIDAI (2023)
Unique Identification Authority of India (UIDAI) je agencija, ki upravlja Aadhar sistem. V letu 2023 je bila kršenost podatkov, ki je vplivala na 13 milijonov oseb. UIDAI je shranil Aadhar podatke brez ustrezne šifriranja.
Indijski DPDP je odločil, da je UIDAI kršil:
- DPDPA Člen 8 (Pravne osnove)
- DPDPA Člen 12 (Šifriranje)
Kazni: 100 milijonov rupij (~1,2 milijona USD).
Kaj je potrebno?
Za skladnost z DPDPA morajo indijska podjetja:
- Aadhar podatki: Posebna zaščita za Aadhar
- Enkriptiranje: Šifriranje vseh občutljivih podatkov
- DPA: Pogodba za obdelavo podatkov
- Dokumentacija: Vedenja o obdelavi podatkov
- Obvestilo: Obvestilo v primeru kršenja