anonym.legal

By · Last updated 2026-06-05

Tillbaka till BloggenGDPR & Efterlevnad

Indiens DPDPA 2023: Global integritetseffekt

Indiens DPDPA täcker 1,4 miljarder människor och Dataskyddsnämnden blev operativ 2025. Böter upp till 250 crore rupier (≈27 miljoner euro). Aadhaar-identifiering för 1.

June 5, 202610 min läsning
India DPDPAAadhaar PAN detectionIndian privacy lawAsia Pacific compliancedata protection

Indiens DPDPA 2023: Teknisk efterlevnad för globala team

Indiens Digital Personal Data Protection Act täcker 1,4 miljarder människor. Det är världens folkrikaste integritetslag. Dataskyddsnämnden blev aktiv 2025. Tillsynen har inletts. Om ditt företag betjänar indiska användare, hanterar indisk personals akter eller arbetar med indiska IT-leverantörer är denna lag nu en reell skyldighet.

Vad DPDPA täcker

Territoriell räckvidd: Lagen täcker behandling inom Indien. Den täcker också behandling utanför Indien när syftet är att sälja varor eller tjänster till indiska användare. Precis som GDPR följer den personen — inte servern.

Maximala böter: Upp till 250 crore rupier per intrång. Det är ungefär 27 miljoner euro till aktuella kurser. Böterna beror på hur allvarligt intrånget var och hur länge det pågick.

Rättsliga grunder: Samtycke måste vara fritt, informerat och tydligt. Andra giltiga grunder inkluderar anställning, rättsliga skyldigheter, vitala behov, allmänt intresse och forskning.

Individuella rättigheter: Människor kan fråga hur deras uppgifter används. De kan begära rättelse eller radering. De kan lämna in ett klagomål. De kan utse en företrädare om de förlorar sin handlingsförmåga.

Data Fiduciaries: Detta är DPDPA:s benämning för personuppgiftsansvariga. De måste skydda personuppgifter. De måste rapportera intrång till nämnden inom 72 timmar. De måste utse ett dataskyddsombud om de är ett Significant Data Fiduciary.

Aadhaar: Ett unikt identifieringsproblem

Aadhaar är Indiens nationella biometriska ID-system. Varje innehavare får ett 12-siffrigt nummer kopplat till fingeravtryck och iris-skanningar. Ungefär 1,36 miljarder invånare har ett. Banker, myndigheter, mobiloperatörer och sjukhus använder alla systemet.

Aadhaar-nummer förekommer i finansiella, medicinska och administrativa filer. Aadhaar Act 2016 begränsar dess användning. Privata tjänster kan inte kräva det som obligatorisk identifiering. Lagring är begränsad till specifikt tillåtna fall.

Varför identifiering är svår: Aadhaar använder Verhoeff-metoden för sin kontrollsiffra. Ett verktyg som bara söker efter 12-siffriga strängar flaggar vilket 12-siffrigt nummer som helst. Det skapar falska träffar. God identifiering kräver Verhoeff-kontrolllogik. Enkel mönstermatchning räcker inte.

Andra indiska PII-format

PAN (Permanent Account Number): Ett 10-teckens skatte-ID. Format: fem bokstäver, fyra siffror, en bokstav. Den fjärde bokstaven visar skattebetalartyp. Den femte är den första bokstaven i skattebetalarens namn. PAN krävs för alla transaktioner över 50 000 rupier. Det är vanligt i indiska finansiella filer.

Indiskt pass: Bokstaven X följt av sju siffror. Detta format är unikt för Indien.

Körkort: Varje delstat har sitt eget format. Ett Delhi-körkort kan se ut som DL-0420110149646.

Bankkonton: Det finns ingen nationell standard. Kontonummer har 9 till 18 siffror. IFSC-koder — 11-teckniga bankfilialkoder — förekommer bredvid kontonummer i betalningsfiler.

Mobilnummer: Tio siffror med landskod +91. Indien har 1,2 miljarder mobilabonnenter. Telefonnummer förekommer ofta i kommersiella dokument.

Se hur anonym.legal hanterar alla indiska PII-format på /blog/apac-pii-detection-thai-indonesian-vietnamese-2025.

DPDPA:s tekniska krav

Säkerhetsskyddsåtgärder: DPDPA kräver "rimliga säkerhetsskyddsåtgärder" anpassade till risk. Lagen definierar detta via utfall. Den ger ingen fastställd lista med åtgärder. Minimitekniska standarder kommer i DPDPA-reglerna. Dessa förväntas från 2025 och framåt.

Intrångsanmälan: Rapportera alla personuppgiftsintrång till nämnden inom 72 timmar. Under GDPR gäller det fönstret enbart tillsynsmyndigheten. Under DPDPA kräver stora intrång notification till nämnden och till drabbade personer. Båda måste ske inom 72 timmar.

Lokalisering: Regeringen kan peka ut företag som Significant Data Fiduciaries. Dessa företag kan behöva behålla en kopia av uppgifter i Indien. Slutliga regler är ännu inte fastställda.

Gränsöverskridande överföringar: Lagen blockerar överföringar till länder som inte finns på en godkänd lista. Den listan hade inte fastställts per 2025. Det finns inget EU-Indien-adekvansbeslut. Företag med EU-Indien-flöden bör sätta avtal på plats nu.

För en bild av hur gränsöverskridande regler staplas i olika lagar, se /blog/global-pii-compliance-2025-gdpr-lgpd-dpdp-ssn.

Din tekniska baschecklista

Om du hanterar indiska personuppgifter, börja här:

  • Aadhaar-identifiering med Verhoeff-kontrollsifferlogik.
  • PAN-identifiering med kontroll av skattebetalartypskaraktär.
  • Stöd för indiska pass och delstatskörkort.
  • Bankkontoidentifiering för längder på 9–18 siffror med IFSC-koder.
  • Ändamålsposter som stämmer överens med DPDPA:s rättsliga grunder.
  • En intrångsplan som uppfyller 72-timmarsfönstret.

Läs om hur ett enda förinställt alternativ täcker alla indiska PII-typer på /blog/global-privacy-compliance-gdpr-ccpa-pdpa-one-tool-2025.

Källor

Relaterade Artiklar

GDPR & Efterlevnad

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Efterlevnad

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Efterlevnad

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Redo att skydda din data?

Börja anonymisera PII med 285+ entitetstyper på 48 språk.

Börja Gratis ProvperiodVisa Funktioner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.