अनुपालन विरोधाभास
संस्थाएँ GDPR अनुपालन प्राप्त करने के लिए एनोनिमाइजेशन टूल लागू करती हैं। यह टूल अनुच्छेद 32 के तहत तकनीकी उपाय है जो व्यक्तिगत डेटा को अनधिकृत पहुंच से बचाता है। यह टूल समाधान के रूप में होना चाहिए। लेकिन यदि यह टूल गैर-ईयू सर्वरों पर ईयू व्यक्तिगत डेटा को प्रोसेस करता है, तो यह टूल स्वयं उस उल्लंघन को उत्पन्न कर रहा है जिसे रोकने के लिए इसे लागू किया गया था।
डच डेटा संरक्षण प्राधिकरण द्वारा अगस्त 2024 में उबर पर लगाया गया €290 मिलियन का जुर्माना — उस समय का सबसे बड़ा ईयू डेटा स्थानांतरण उल्लंघन जुर्माना — विशेष रूप से यूरोपीय ड्राइवर व्यक्तिगत डेटा (नाम, स्थान डेटा, भुगतान जानकारी, पहचान दस्तावेज) को उबर के अमेरिकी सर्वरों पर बिना उचित GDPR अनुच्छेद 46 सुरक्षा उपायों के स्थानांतरित करने के लिए था। यह स्थानांतरण प्रणालीगत और निरंतर था। डीपीए का निष्कर्ष: उबर का संचालन मॉडल, जो ईयू ड्राइवर डेटा को प्रोसेस करने के लिए अमेरिकी सर्वर अवसंरचना पर निर्भर था, एक निरंतर GDPR उल्लंघन था।
उबर का पैटर्न एनोनिमाइजेशन टूल पर लागू होता है: एक अमेरिकी आधारित SaaS टूल जो प्रोसेसिंग के लिए अमेरिकी अवसंरचना पर ईयू व्यक्तिगत डेटा प्राप्त करता है, वही प्रकार का स्थानांतरण कर रहा है जिसके लिए डच डीपीए ने उबर को मंजूरी दी थी। उद्देश्य (एनोनिमाइजेशन न कि सवारी प्रबंधन) कानूनी विश्लेषण को नहीं बदलता।
DPO समुदाय की मान्यता
DPO पेशेवर समुदाय इस विरोधाभास को शक्रेम्स II निर्णय (2020) के बाद से बढ़ती आवृत्ति के साथ चिह्नित कर रहा है, जिसने ईयू-यूएस प्राइवेसी शील्ड को अमान्य कर दिया और स्थापित किया कि अमेरिकी सर्वर अवसंरचना ईयू व्यक्तिगत डेटा स्थानांतरण के लिए अतिरिक्त सुरक्षा उपायों के बिना पूर्वानुमानित रूप से अपर्याप्त है। शक्रेम्स II निर्णय ने विश्लेषण बनाया: किसी भी अमेरिकी आधारित टूल के लिए जो ईयू व्यक्तिगत डेटा प्राप्त करता है, संगठन को स्थानांतरण के लिए कानूनी आधार का दस्तावेजीकरण करना चाहिए।
संविधानिक GDPR जुर्माने 2025 तक €5.65 बिलियन तक पहुँच गए (GDPR.eu)। सीमा पार स्थानांतरण उल्लंघनों का औसत अब प्रति प्रवर्तन कार्रवाई €18 मिलियन है (DLA Piper 2025)। प्रवर्तन की प्रवृत्ति का अर्थ है कि अनुपालन विरोधाभास एक सैद्धांतिक चिंता नहीं है - इसने महत्वपूर्ण प्रवर्तन कार्रवाइयाँ उत्पन्न की हैं और आगे भी उत्पन्न करती रहेगी।
ईयू-प्रथम आर्किटेक्चर
समाधान के लिए एनोनिमाइजेशन प्रोसेसिंग के लिए या तो ईयू आधारित सर्वर अवसंरचना की आवश्यकता होती है (डेटा कभी भी ईयू को नहीं छोड़ता) या शून्य-ज्ञान आर्किटेक्चर (कोई व्यक्तिगत डेटा सर्वर तक नहीं पहुँचता), या दोनों।
केवल ईयू आधारित होस्टिंग - एक अमेरिकी निगमित कंपनी जो ईयू सर्वरों पर होस्टिंग कर रही है - पर्याप्त नहीं हो सकता। शक्रेम्स II विश्लेषण अमेरिकी निगरानी कानूनों के अधीन अमेरिकी कंपनियों पर लागू होता है चाहे सर्वर स्थान कुछ भी हो: FISA धारा 702 और कार्यकारी आदेश 12333 अमेरिकी कंपनियों और उनकी सहायक कंपनियों पर लागू होते हैं, जिसका अर्थ है कि एक अमेरिकी मूल कंपनी जिसके ईयू-होस्टेड सर्वर हैं, को उन ईयू सर्वरों पर संग्रहीत डेटा तक पहुंच प्रदान करने के लिए मजबूर किया जा सकता है।
शून्य-ज्ञान आर्किटेक्चर सर्वर-स्थान की चिंता को समाप्त करता है: यदि कोई व्यक्तिगत डेटा सर्वर तक नहीं पहुँचता है, तो सर्वर का क्षेत्राधिकार अप्रासंगिक है। एनोनिमाइज्ड डेटा जो सर्वर तक पहुँचता है - एन्क्रिप्टेड टोकन, मास्क किए गए मान, अपरिवर्तनीय रूप से परिवर्तित डेटा - GDPR के तहत व्यक्तिगत डेटा नहीं है और स्थानांतरण विश्लेषण के अधीन नहीं है।
स्रोत: