anonym.legal
Tillbaka till BloggenGDPR & Efterlevnad

Indiens DPDPA 2023: Vad världens mest folkrika lands dataskyddslag innebär för global databehandling

Indiens DPDPA omfattar 1,4 miljarder människor och Dataskyddsnämnden blev verksam 2025. Böter upp till ₹250 crore (≈€27M). Aadhaar-detektering för 1,36 miljarder biometriska ID-innehavare. Vad globala företag måste veta.

March 7, 202610 min läsning
India DPDPAAadhaar PAN detectionIndian privacy lawAsia Pacific compliancedata protection

Indiens Digital Personal Data Protection Act (DPDPA 2023) fastställer dataskyddskrav för 1,4 miljarder människor — världens största dataskyddsramverk efter befolkning. Dataskyddsnämnden i Indien blev verksam 2025, vilket markerar början på aktivt genomförande. För globala organisationer som betjänar indiska konsumenter, behandlar indiska anställdas data eller arbetar med indiska IT-tjänsteleverantörer är DPDPA-efterlevnad nu ett aktivt efterlevnadskrav.

DPDPA: Nyckelramöversikt

Territoriell räckvidd: DPDPA gäller för behandling av digital personlig data inom Indien och för behandling utanför Indien i syfte att erbjuda varor eller tjänster till individer i Indien. Precis som GDPR:s extraterritoriella räckvidd gäller DPDPA för alla organisationer som betjänar indiska konsumenter oavsett var behandlingen sker.

Maximala böter: Upp till ₹250 crore (ungefär €27 miljoner vid nuvarande växelkurser) per överträdelse. Dataskyddsnämnden kan ålägga straff baserat på allvarlighetsgrad, varaktighet och omfattning.

Juridiska grunder för behandling: Samtycke (frivilligt, informerat, specifikt, entydigt) eller legitima användningar definierade i lagen (anställning, juridiska skyldigheter, vitala intressen, offentliga intressefunktioner, forskning/arkivering, nationell säkerhet).

Rättigheter för dataprinciper: Rätt till information om behandling, rätt till rättelse och radering, rätt till klagomålshantering och rätt att utse en representant för oförmågesituationer.

Datafiduciärer (motsvarar GDPR-kontrollanter): Organisationer som behandlar personlig data är "Datafiduciärer" med skyldigheter för säkerhetsskydd, anmälan av överträdelser till Dataskyddsnämnden inom 72 timmar och utnämning av en dataskyddsombud för betydande datafiduciärer.

Aadhaar: Världens största biometriska ID-system

Aadhaar är Indiens nationella biometriska identitetssystem — ett 12-siffrigt unikt identifieringsnummer kopplat till varje innehavares fingeravtryck och irisavläsningar. Utfärdat till 1,36 miljarder indiska invånare, används Aadhaar för:

  • Utbetalning av statliga förmåner (PAN välfärdsprogram)
  • Bank- och finanstjänster autentisering (eKYC)
  • Registrering av mobiltelefonnummer (obligatorisk SIM-verifiering)
  • Tillgång till hälso- och sjukvårdstjänster
  • Anställningsverifiering

Aadhaar-nummer förekommer i indiska finansiella, hälso- och administrativa dokument. Aadhaar-lagen 2016 inför specifika begränsningar för användning av Aadhaar — det kan inte användas som obligatorisk identifiering för privata tjänster och får inte lagras i databaser utöver specifika auktoriserade användningsfall.

Detektionskrav: Aadhaar följer ett specifikt 12-siffrigt format med Verhoeff kontrollsiffra validering. Till skillnad från enklare nationella identifierare använder Aadhaar Verhoeff-algoritmen (ett komplext gruppteoretiskt felupptäcktschema) för beräkning av kontrollsiffran. Generiska mönsterigenkänning verktyg missar Aadhaar i indiska dokument, och verktyg som implementerar mönsterigenkänning utan Verhoeff-validering genererar falska positiva resultat från vilket 12-siffrigt nummer som helst.

Andra indiska PII-identifikatorer

PAN (Permanent Account Number): 10-teckens alfanumerisk skatteidentifierare i formatet AAAAA9999A (5 bokstäver + 4 siffror + 1 bokstav). Den 4:e tecknet kodar typen av skattebetalare, den 5:e tecknet är den första bokstaven i skattebetalarens namn. PAN är obligatorisk för finansiella transaktioner över ₹50,000 och förekommer i praktiskt taget alla indiska finansiella dokument.

Indiskt pass: Format X följt av 7 siffror. Format specifikt för Indiens passutfärdande system.

Indiskt körkort: Statligt kodbaserat format (DL-0420110149646 för Delhi, till exempel) — formatet varierar beroende på utfärdande stat, liknande Brasiliens RG.

Bankkontonummer: Inga standardformat i Indien — bankkontonummer varierar från 9 till 18 siffror beroende på banken, utan någon nationell standardisering. IFSC-koder (11-teckens bankfilialkoder) förekommer tillsammans med kontonummer i betalningsdokument.

Mobilnummer: 10-siffrigt format med landskod +91. Indiens mobilpenetration (1,2 miljarder mobilabonnenter) innebär att telefonnummer är allestädes närvarande i indiska kommersiella dokument.

DPDPA Tekniska krav

DPDPA:s krav på säkerhetsskydd uttrycks i termer av resultat snarare än specifika tekniska åtgärder (till skillnad från HIPAA:s uppräknade krav):

Säkerhetsskydd: Datafiduciärer måste implementera "rimliga säkerhetsskydd" som är lämpliga för risken. DPDPA-reglerna (förväntas 2025) kommer att specificera minimala tekniska standarder.

Överträdelserapportering: Inom 72 timmar till Dataskyddsnämnden för varje överträdelse av personlig data. Denna tidslinje är mer krävande än GDPR:s 72 timmar till DPA — GDPR tillåter 72 timmar för DPA-anmälan och separata tidslinjer för dataskyddssubjektets anmälan. DPDPA kräver båda inom samma 72-timmarsfönster för betydande överträdelser.

Databasering (betydande datafiduciärer): Betydande datafiduciärer — de som utsetts av den indiska regeringen baserat på volym och känslighet av behandlingen — kan behöva behålla en kopia av personlig data inom Indien. De specifika lokaliseringskraven kommer att definieras i regler, men multinationella företag som behandlar stora volymer av indisk personlig data bör förbereda sig för potentiella lokaliseringsskyldigheter.

Gränsöverskridande överföringar: DPDPA begränsar överföringar av personlig data till länder som inte finns på en regeringsgodkänd lista. Den godkända länderlistan har inte fastställts per 2025, vilket skapar osäkerhet kring efterlevnad för EU-Indien datatrafik. EU-Indien överföringsposition skiljer sig från GDPR:s EU-US DPF — det finns ingen befintlig bilateralt adekvansarrangemang, och organisationer rekommenderas att implementera kontraktsmässiga skyddsåtgärder medan det regulatoriska ramverket utvecklas.

För globala organisationer med verksamhet i Indien: Aadhaar och PAN-detektering med validerade kontrollsiffror, stöd för indiskt pass och körkortformat, samt dokumentation av behandlingsändamål i linje med DPDPA:s juridiska grunder är de grundläggande tekniska kraven för DPDPA-efterlevnad.

Källor:

Relaterade Artiklar

GDPR & Efterlevnad

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

GDPR & Efterlevnad

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

GDPR & Efterlevnad

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Redo att skydda din data?

Börja anonymisera PII med 285+ entitetstyper på 48 språk.

Börja Gratis ProvperiodVisa Funktioner