Hieronder staan enkele van de belangrijkste aspecten van de voorgestelde "Digital Personal Data Protection Bill".
* De overheid krijgt de bevoegdheid om te bepalen naar welke landen bedrijven persoonlijke gegevens mogen doorsturen. Hierdoor zullen bedrijven gebruikersgegevens naar servers in landen op die lijst kunnen sturen.
* De regering heeft de bevoegdheid om overheidsinstanties die gegevens verwerken uit te sluiten van de voorgestelde wet in het belang van de nationale veiligheid.
* De overheid zal een "Raad voor Gegevensbescherming" oprichten die moet toezien op de naleving van de voorgestelde wet. De raad zal ook klachten van gebruikers behandelen.
* Bedrijven van "aanzienlijke" omvang - gebaseerd op factoren zoals de hoeveelheid gegevens die zij verwerken - moeten een onafhankelijke gegevenscontroleur aanstellen om de naleving van de bepalingen van de wet te evalueren.
* Het College Bescherming Persoonsgegevens kan financiële sancties opleggen bij niet-naleving. Als entiteiten er niet in slagen om redelijke beveiligingsmaatregelen te nemen om datalekken te voorkomen, kan dit boetes tot 2,5 miljard roepies ($30,6 miljoen) tot gevolg hebben, aldus het ontwerpvoorstel.
* Bedrijven zullen verplicht worden om te stoppen met het bewaren van gebruikersgegevens als deze niet langer het zakelijke doel dienen waarvoor ze verzameld zijn. Gebruikers hebben het recht op correctie en verwijdering van hun persoonlijke gegevens.
* Geen enkel bedrijf of organisatie mag persoonsgegevens verwerken die "waarschijnlijk schadelijk" zijn voor kinderen, en reclame mag niet op kinderen gericht zijn. Voordat persoonsgegevens van een kind worden verwerkt, is toestemming van de ouders vereist.
* De wet is van toepassing op online verzamelde persoonsgegevens en gedigitaliseerde offline gegevens. De wet is ook van toepassing op de verwerking van persoonsgegevens in het buitenland, als deze gegevens betrekking hebben op de profilering van Indiase gebruikers of de verkoop van diensten aan hen.
