Digital Personal Data Protection (DPDP) Rules, 2025

The Government of India notified the Digital Personal Data Protection (DPDP) Rules, 2025 on 14 November 2025, operationalizing the DPDP Act, 2023. OBJECTIVE: Create a comprehensive framework to protect personal data, curb unauthorized commercial data use, reduce digital harms, and create safe space for innovation. KEY FEATURES: - 18-month phased compliance period for organizations - Data Protection Board of India: 4 members, fully digital, complaints via online portal and app - TDSAT (Telecom Disputes Settlement and Appellate Tribunal) is the appellate authority - Children's data: Verifiable parental consent required (exceptions for healthcare, education, safety) - Data fiduciary obligations: clear consent notices, reasonable security, breach reporting, respond to requests within 90 days - Significant Data Fiduciaries: independent audits and impact assessments (12-month cycle) CITIZEN RIGHTS: Consent/refuse data use, access and correct data, request erasure, appoint representatives, nominate guardians PENALTIES: Up to Rs 250 crore for inadequate security; Rs 200 crore for breach notification failures or children's data violations; Rs 50 crore for other violations Developed after 6,915 inputs from consultations in 7 cities

भारत सरकार ने 14 नवंबर 2025 को डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) नियम, 2025 अधिसूचित किए, जो DPDP अधिनियम, 2023 को क्रियान्वित करते हैं। उद्देश्य: व्यक्तिगत डेटा की सुरक्षा, अनधिकृत वाणिज्यिक डेटा उपयोग पर रोक, डिजिटल नुकसान कम करना और नवाचार के लिए सुरक्षित स्थान बनाना। प्रमुख विशेषताएं: - संगठनों के लिए 18 महीने की चरणबद्ध अनुपालन अवधि - भारत का डेटा संरक्षण बोर्ड: 4 सदस्य, पूरी तरह डिजिटल - TDSAT अपीलीय प्राधिकरण है - बच्चों का डेटा: सत्यापन योग्य अभिभावकीय सहमति आवश्यक - डेटा न्यासी दायित्व: स्पष्ट सहमति सूचनाएं, उचित सुरक्षा, उल्लंघन रिपोर्टिंग नागरिक अधिकार: डेटा उपयोग पर सहमति/अस्वीकृति, डेटा तक पहुंच और सुधार, मिटाने का अनुरोध दंड: अपर्याप्त सुरक्षा के लिए 250 करोड़ रुपये तक; उल्लंघन अधिसूचना विफलता या बच्चों के डेटा उल्लंघन के लिए 200 करोड़ रुपये; अन्य उल्लंघनों के लिए 50 करोड़ रुपये

• DPDP Rules 2025 notified on November 14, 2025 operationalizing the DPDP Act 2023 with 18-month phased compliance period for organizations
• Data Protection Board of India with 4 members, fully digital operations; TDSAT is the appellate authority
• Children's data requires verifiable parental consent with exceptions for healthcare, education, and safety
• Citizen rights include consent/refuse data use, access and correct data, request erasure, appoint representatives, and nominate guardians
• Penalties: up to Rs 250 crore for inadequate security, Rs 200 crore for breach notification failures or children's data violations, Rs 50 crore for other violations
• Significant Data Fiduciaries must conduct independent audits and impact assessments on 12-month cycles