Help Center

सहायता केंद्र

Twelve quick answers to the most common DPDP Act 2023 + Rules 2025 implementation questions. Searchable, bilingual EN/Hindi.

DPDP अधिनियम 2023 + नियम 2025 कार्यान्वयन के लिए बारह त्वरित उत्तर। खोज योग्य, द्विभाषी EN/Hindi।

1. What is the DPDP Act 2023 in one paragraph?

1. एक अनुच्छेद में DPDP अधिनियम 2023 क्या है?

The Digital Personal Data Protection Act, 2023 (Act No. 22 of 2023) is India's first comprehensive privacy statute. It binds anyone who processes the digital personal data of Data Principals located in India, including foreign-incorporated entities (Section 3(b) extraterritorial reach). Enforcement is staged via Rules 2025; full commencement is targeted for 13 May 2027 with penalties up to Rs 250 Cr.

डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 (अधिनियम संख्या 22, 2023) भारत का पहला व्यापक गोपनीयता क़ानून है। यह भारत में स्थित डेटा प्रिंसिपल्स के डिजिटल व्यक्तिगत डेटा को संसाधित करने वाले किसी भी व्यक्ति पर लागू होता है, चाहे वे विदेश में पंजीकृत हों (धारा 3(ख) — अतिरिक्त-क्षेत्रीय पहुंच)। पूर्ण कार्यान्वयन 13 मई 2027 निर्धारित है, अधिकतम जुर्माना 250 करोड़ रुपये।

2. Data Fiduciary vs Data Processor — what's the difference?

2. डेटा फ़िड्यूशियरी बनाम डेटा प्रोसेसर — क्या अंतर है?

A Data Fiduciary determines the purpose and means of processing (Section 2(i)). A Data Processor processes data on behalf of a Fiduciary under contract (Section 2(k)). DPDP Bridge runs entirely on the Fiduciary side — your SaaS is the Fiduciary, your customers are the Fiduciary's Data Principals.

एक डेटा फ़िड्यूशियरी प्रसंस्करण का उद्देश्य और साधन तय करता है (धारा 2(झ))। एक डेटा प्रोसेसर अनुबंध के तहत Fiduciary की ओर से डेटा संसाधित करता है (धारा 2(ट))। DPDP Bridge पूरी तरह Fiduciary की ओर चलता है।

3. When am I a Significant Data Fiduciary (SDF)?

3. मैं Significant Data Fiduciary (SDF) कब होता हूँ?

Section 10(1) lets the Central Government designate any Fiduciary as SDF based on data volume, sensitivity, risk to electoral democracy, sovereignty / integrity. Rule 13 / Third Schedule signal a 2-crore-DAU bar as a working threshold. SDFs must appoint a DPO based in India, run an annual DPIA, and audit their compliance per Section 10(2).

धारा 10(1) के तहत केंद्र सरकार किसी भी Fiduciary को डेटा वॉल्यूम, संवेदनशीलता और जोखिम के आधार पर SDF नामित कर सकती है। नियम 13 / तृतीय अनुसूची 2 करोड़ DAU की सूचक सीमा बताती है। SDF को भारत में स्थित DPO नियुक्त करना और वार्षिक DPIA चलाना अनिवार्य है।

4. What goes into a Section 5 / Eighth Schedule notice?

4. धारा 5 / आठवीं अनुसूची नोटिस में क्या होना चाहिए?

The Eighth Schedule items: (i) the personal data being collected, (ii) the specified purpose, (iii) the way to withdraw consent, (iv) the way to file a grievance, and (v) the way to complain to the Data Protection Board. Notice must be itemised and in any of the 22 Eighth-Schedule languages on request. We ship a copy-paste template at /dpdp-compliance.html#notice.

आठवीं अनुसूची आइटम: (i) एकत्रित किया जा रहा व्यक्तिगत डेटा, (ii) निर्दिष्ट उद्देश्य, (iii) सहमति वापस लेने का तरीका, (iv) शिकायत दर्ज करने का तरीका, और (v) डेटा संरक्षण बोर्ड को शिकायत करने का तरीका। 22 आठवीं-अनुसूची भाषाओं में अनुरोध पर उपलब्ध होना चाहिए।

5. What's the 72-hour breach notification flow?

5. 72-घंटे की उल्लंघन सूचना प्रवाह क्या है?

Section 8(6) requires notice to the Data Protection Board AND to affected Data Principals "as may be prescribed". Rule 7 prescribes 72 hours from awareness for the DPB notice. DPDP Bridge logs detected_at + notification_due_at + status; the breach console flips to overdue if you cross the deadline. Sample DPB notice template is shipped under /dpdp-compliance.html#breach.

धारा 8(6) में डेटा संरक्षण बोर्ड और प्रभावित Data Principals को सूचना अनिवार्य है। नियम 7 इस सूचना के लिए जानकारी मिलने से 72 घंटे की समय-सीमा निर्धारित करता है। DPDP Bridge अनुपालन कंसोल आपकी समय-सीमा बीतने पर स्वतः overdue चिह्नित करता है।

6. What's the erasure / deletion timeline (Section 12, Rule 6)?

6. इरेज़र / डिलीशन समयसीमा क्या है (धारा 12, नियम 6)?

Section 12 grants the Data Principal a right to erasure on consent withdrawal or end-of-purpose. Rule 6 sets the maximum response window at 30 days from receipt unless a longer retention is mandated by law. DPDP Bridge auto-computes sla_due_at = received_at + 30 days and flips the row to overdue if the tenant misses the window.

धारा 12 के तहत Data Principal को सहमति वापसी या उद्देश्य समाप्ति पर इरेज़र का अधिकार है। नियम 6 अधिकतम 30 दिन की प्रतिक्रिया खिड़की तय करता है। DPDP Bridge स्वतः sla_due_at = received_at + 30 दिन गणना करता है।

7. What is the dpToken and why does my SDK need it?

7. dpToken क्या है और मेरे SDK को इसकी ज़रूरत क्यों है?

dpToken is a per-Data-Principal HMAC-SHA256 token your backend mints via POST /tenant/dp-token. It binds an erasure / consent withdrawal request to the currently authenticated user, so a stolen API key alone cannot forge an erasure for a different user. Tokens expire in 24 hours by default and rotate on every login.

dpToken एक प्रति-Data-Principal HMAC-SHA256 टोकन है जिसे आपका बैकएंड मिंट करता है। यह इरेज़र / सहमति वापसी अनुरोध को वर्तमान में प्रमाणित उपयोगकर्ता से बांधता है, ताकि चोरी हुई API कुंजी अकेले किसी अन्य उपयोगकर्ता के लिए जालसाजी न कर सके।

8. How do I authorise a sub-processor under DPDP Rules 2025?

8. DPDP नियम 2025 के अंतर्गत मैं उप-प्रोसेसर को कैसे अधिकृत करूँ?

Section 8(2) requires a written contract with every Processor that flows your obligations down. Rule 11 requires the Fiduciary to maintain an up-to-date list of Processors and pre-approve material changes. We expose /api/sub-processors + DPA template at /dpa.html.

धारा 8(2) में प्रत्येक Processor के साथ लिखित अनुबंध अनिवार्य है जो आपकी ज़िम्मेदारियाँ नीचे प्रवाहित करे। नियम 11 के तहत Fiduciary को Processors की अद्यतन सूची रखनी होगी।

9. What is MCIA arbitration and why is it in your Terms?

9. MCIA मध्यस्थता क्या है और यह आपकी शर्तों में क्यों है?

The Mumbai Centre for International Arbitration is a neutral institutional forum that issues internationally-enforceable awards under Indian law. We chose MCIA because (i) DPDP disputes can be sensitive enough to warrant private resolution, (ii) MCIA awards travel under the New York Convention, and (iii) the seat is in India which matches our customers' regulatory exposure.

मुंबई इंटरनेशनल आर्बिट्रेशन सेंटर एक तटस्थ संस्थागत मंच है जो भारतीय क़ानून के तहत अंतरराष्ट्रीय स्तर पर लागू करने योग्य आदेश जारी करता है। हमने MCIA को चुना क्योंकि DPDP विवाद संवेदनशील हो सकते हैं।

10. Why can't I unsubscribe from DPDP regulatory alerts?

10. मैं DPDP नियामक अलर्ट से सदस्यता क्यों नहीं रद्द कर सकता?

Rules drift notifications are statutory in spirit — when MeitY publishes an amendment we promise tenants that the alert lands within 5 business days, regardless of opt-out state. All other categories (weekly digest, product updates, inactive nudges) are one-click unsubscribable from any email footer.

नियम परिवर्तन सूचनाएँ अनिवार्य हैं — जब MeitY कोई संशोधन प्रकाशित करता है तो हम सुनिश्चित करते हैं कि अलर्ट 5 कार्यदिवसों के भीतर पहुंचे। अन्य श्रेणियों से एक-क्लिक में सदस्यता रद्द की जा सकती है।

11. How do I integrate the DPDP Bridge SDK?

11. मैं DPDP Bridge SDK कैसे एकीकृत करूँ?

Three steps: (1) issue an API key via POST /tenant/api-key; (2) embed our cookie-banner script on sign-up + account-settings pages; (3) on backend POST /consent/event the moment the Data Principal acts. SSR-safe — the script only renders on client. See examples at /docs.

तीन चरण: (1) POST /tenant/api-key के माध्यम से API कुंजी जारी करें; (2) हमारी cookie-banner स्क्रिप्ट को साइन-अप + खाता-सेटिंग्स पृष्ठों पर एम्बेड करें; (3) Data Principal कार्रवाई के तुरंत बाद बैकएंड से /consent/event POST करें।

12. Pricing — what do Starter and Pro include?

12. मूल्य निर्धारण — Starter और Pro में क्या शामिल है?

Starter ($199/month) covers up to 50,000 Data Principals, the consent SDK, erasure workflow, breach console, and a 14-day free trial. Pro ($499/month) targets Significant Data Fiduciaries: unlimited Data Principals, DPIA template, 10 webhooks, priority support. We accept INR-equivalent invoices for Indian entities — email hi@dpdp-bridge.com.

Starter ($199/माह) में 50,000 तक Data Principals, consent SDK, इरेज़र वर्कफ़्लो, breach कंसोल और 14-दिन निःशुल्क परीक्षण शामिल है। Pro ($499/माह) Significant Data Fiduciaries के लिए: असीमित DP, DPIA टेम्पलेट, 10 वेबहुक, प्राथमिकता समर्थन।