anonym.legal
Bloga DönGDPR & Uyumluluk

Hindistan'ın DPDPA 2023: Dünyanın En Kalabalık Ülkesinin Gizlilik Yasası Küresel Veri İşleme İçin Ne Anlama Geliyor

Hindistan'ın DPDPA'sı 1.4 milyar insanı kapsıyor ve Veri Koruma Kurulu 2025'te faaliyete geçti. İhlaller için ₹250 crore'a kadar (≈€27M) para cezaları. 1.36 milyar biyometrik kimlik sahibi için Aadhaar tespiti. Küresel şirketlerin bilmesi gerekenler.

March 7, 202610 dk okuma
India DPDPAAadhaar PAN detectionIndian privacy lawAsia Pacific compliancedata protection

Hindistan'ın Dijital Kişisel Veri Koruma Yasası (DPDPA 2023), 1.4 milyar insan için veri koruma gerekliliklerini belirlemektedir — bu, dünya genelinde nüfusa göre en büyük veri koruma çerçevesidir. Hindistan Veri Koruma Kurulu 2025'te faaliyete geçti ve aktif uygulamanın başlangıcını işaret etti. Hindistan'daki tüketicilere hizmet veren, Hindistan'daki çalışan verilerini işleyen veya Hindistan'daki BT hizmet sağlayıcılarıyla çalışan küresel organizasyonlar için DPDPA uyumu artık aktif bir uyum gerekliliğidir.

DPDPA: Ana Çerçeve Genel Görünümü

Sınır ötesi kapsam: DPDPA, Hindistan içinde dijital kişisel verilerin işlenmesine ve Hindistan'daki bireylere mal veya hizmet sunma amacıyla Hindistan dışında yapılan işleme uygulanır. GDPR'ın sınır ötesi erişimi gibi, DPDPA, işlemenin nerede gerçekleştiğine bakılmaksızın Hindistan'daki tüketicilere hizmet veren her organizasyona uygulanır.

Maksimum cezalar: İhlal başına ₹250 crore'a kadar (mevcut döviz kurlarına göre yaklaşık €27 milyon). Veri Koruma Kurulu, ceza uygulamalarını ihlalin ciddiyetine, süresine ve ölçeğine göre belirleyebilir.

İşleme için yasal dayanaklar: Rıza (gönüllü, bilgilendirilmiş, belirli, belirsiz olmayan) veya Yasada tanımlanan meşru kullanımlar (istihdam, yasal yükümlülükler, hayati çıkarlar, kamu yararı işlevleri, araştırma/arşivleme, ulusal güvenlik).

Veri sahiplerinin hakları: İşleme hakkında bilgi edinme hakkı, düzeltme ve silme hakkı, şikayet çözümleme hakkı ve kapasite kaybı durumları için bir temsilci atama hakkı.

Veri sorumluları (GDPR denetleyicilerine eşdeğer): Kişisel verileri işleyen organizasyonlar "Veri Sorumluları" olarak adlandırılır ve güvenlik önlemleri, Veri Koruma Kurulu'na 72 saat içinde ihlal bildiriminde bulunma ve önemli veri sorumluları için bir Veri Koruma Görevlisi atama yükümlülükleri vardır.

Aadhaar: Dünyanın En Büyük Biyometrik Kimlik Sistemi

Aadhaar, Hindistan'ın ulusal biyometrik kimlik sistemidir — her sahibinin parmak izleri ve iris taramaları ile bağlantılı 12 haneli benzersiz bir kimlik numarasıdır. 1.36 milyar Hindistan sakinine verilen Aadhaar, aşağıdaki alanlarda kullanılmaktadır:

  • Devlet yardımlarının dağıtımı (PAN sosyal yardım programları)
  • Bankacılık ve finansal hizmetler kimlik doğrulaması (eKYC)
  • Mobil telefon numarası kaydı (zorunlu SIM doğrulaması)
  • Sağlık hizmetlerine erişim
  • İstihdam doğrulaması

Aadhaar numaraları, Hindistan'daki finansal, sağlık ve idari belgelerde sıkça yer almaktadır. Aadhaar Yasası 2016, Aadhaar kullanımına belirli kısıtlamalar getirmektedir — özel hizmetler için zorunlu kimlik olarak kullanılamaz ve belirli yetkilendirilmiş kullanım durumları dışında veritabanlarında saklanamaz.

Tespit gereklilikleri: Aadhaar, Verhoeff kontrol basamağı doğrulama ile belirli bir 12 haneli formatı takip eder. Daha basit ulusal tanımlayıcılardan farklı olarak, Aadhaar, kontrol basamağı hesaplaması için Verhoeff algoritmasını (karmaşık bir grup teorisi hata tespit şeması) kullanır. Genel kalıp eşleştirme araçları, Hindistan belgelerinde Aadhaar'ı atlar ve Verhoeff doğrulaması olmadan kalıp eşleştirme uygulayan araçlar, herhangi bir 12 haneli sayıdan yanlış pozitif sonuçlar üretir.

Diğer Hindistan PII Tanımlayıcıları

PAN (Sürekli Hesap Numarası): AAAAA9999A formatında 10 karakterli alfanümerik vergi tanımlayıcısı (5 harf + 4 rakam + 1 harf). 4. karakter, vergi mükellefinin türünü kodlar, 5. karakter ise vergi mükellefinin adının ilk harfidir. PAN, ₹50,000 üzerindeki finansal işlemler için zorunludur ve neredeyse tüm Hindistan finansal belgelerinde yer alır.

Hindistan pasaportu: 7 rakamdan önce X formatı. Hindistan'ın pasaport verme sistemine özgü format.

Hindistan sürücü belgesi: Eyalet koduna dayalı format (örneğin Delhi için DL-0420110149646) — format, Brezilya'nın RG'sine benzer şekilde, verildiği eyalete göre değişir.

Banka hesap numaraları: Hindistan'da standart bir format yoktur — banka hesap numaraları, bankaya bağlı olarak 9 ile 18 rakam arasında değişir ve ulusal bir standartlaşma yoktur. IFSC kodları (11 karakterli banka şube kodları), ödeme belgelerinde hesap numaralarıyla birlikte görünür.

Mobil numaralar: Ülke kodu +91 ile birlikte 10 haneli format. Hindistan'ın mobil penetrasyonu (1.2 milyar mobil abone) telefon numaralarının Hindistan ticari belgelerinde yaygın olduğu anlamına gelir.

DPDPA Teknik Gereklilikleri

DPDPA'nın güvenlik önlemleri gerekliliği, belirli teknik önlemler yerine sonuçlar açısından ifade edilmektedir (HIPAA'nın sıralı gerekliliklerinden farklı olarak):

Güvenlik önlemleri: Veri Sorumluları, riske uygun "makul güvenlik önlemleri" uygulamak zorundadır. DPDPA Kuralları (2025'te bekleniyor) minimum teknik standartları belirleyecektir.

İhlal bildirimi: Herhangi bir kişisel veri ihlali için Veri Koruma Kurulu'na 72 saat içinde bildirim yapılmalıdır. Bu zaman dilimi, GDPR'ın DPA'ya bildirim için 72 saatlik süresinden daha talepkardır — GDPR, DPA bildirim için 72 saat ve veri sahibi bildirimi için ayrı zaman dilimleri tanımaktadır. DPDPA, önemli ihlaller için her ikisini de aynı 72 saatlik pencerede gerektirir.

Veri yerelleştirmesi (önemli veri sorumluları): Hindistan hükümeti tarafından işleme hacmi ve hassasiyetine göre belirlenen önemli veri sorumluları, kişisel verilerin bir kopyasını Hindistan içinde tutmak zorunda kalabilirler. Belirli yerelleştirme gereklilikleri Kurallarda tanımlanacaktır, ancak büyük hacimlerde Hindistan kişisel verisi işleyen çok uluslu şirketlerin potansiyel yerelleştirme yükümlülüklerine hazırlıklı olmaları gerekmektedir.

Sınır ötesi transferler: DPDPA, kişisel verilerin hükümet onaylı liste dışında ülkelere transferlerini kısıtlamaktadır. Onaylı ülke listesi 2025 itibarıyla kesinleşmemiştir, bu da AB-Hindistan veri akışları için uyum belirsizliği yaratmaktadır. AB-Hindistan transfer pozisyonu, GDPR'ın AB-ABD DPF'sinden farklıdır — mevcut bir ikili yeterlilik düzenlemesi yoktur ve organizasyonların düzenleyici çerçeve gelişirken sözleşmesel güvenlik önlemleri uygulamaları önerilmektedir.

Hindistan'daki operasyonları olan küresel organizasyonlar için: Geçerli kontrol basamakları ile Aadhaar ve PAN tespiti, Hindistan pasaportu ve sürücü belgesi format desteği ve DPDPA yasal dayanakları ile uyumlu işleme amaçlarının belgelenmesi, DPDPA uyumu için temel teknik gerekliliklerdir.

Kaynaklar:

İlgili Makaleler

GDPR & Uyumluluk

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

GDPR & Uyumluluk

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

GDPR & Uyumluluk

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Verilerinizi korumaya hazır mısınız?

48 dilde 285+ varlık türü ile PII anonimleştirmeye başlayın.

Ücretsiz Deneme BaşlatÖzellikleri Görüntüle