GDPR मिटाने का अधिकार: EDPB 2025 कार्रवाई

GDPR मिटाने का अधिकार: EDPB 2025 निष्कर्ष

2026 के लिए अपडेट किया गया

EDPB की 2025 मिटाने की कार्रवाई

European Data Protection Board ने 2025 में एक बड़ी कार्रवाई की। इसमें GDPR Article 17 — मिटाने का अधिकार — शामिल था। EU और EEA में 32 DPAs ने भाग लिया। उन्होंने सभी ने एक साथ काम किया। लक्ष्य व्यापक विफलताओं को खोजना था, न कि एकल मामले।

यह कार्रवाई Coordinated Enforcement Framework, या CEF है। नौ DPAs ने तब से इसके परिणामों के आधार पर औपचारिक जांच खोली है।

सात बार-बार होने वाली विफलताएं

CEF रिपोर्ट ने उन समूहों में सात समस्याएं पाईं जिनकी उसने जांच की:

1. हटाने के अनुरोधों को संभालने के लिए कमजोर प्रक्रियाएं
2. वैध अनुरोधों की बहुत व्यापक अस्वीकृति
3. अनुरोध जमा करने वाले लोगों पर अनुचित बोझ
4. सभी systems में सभी व्यक्तिगत रिकॉर्ड ढूंढने में असमर्थता
5. 30-दिन GDPR प्रतिक्रिया विंडो से अधिक की देरी
6. लोगों को अनुरोध परिणामों के बारे में खराब प्रतिक्रिया
7. हटाने के बजाय दोषपूर्ण गुमनामी का उपयोग। समूहों ने "गुमनामी" का दावा किया लेकिन रिकॉर्ड अभी भी traceable थे।

सातवां बिंदु सबसे जटिल है। यह उस किसी भी समूह को प्रभावित करता है जो retained व्यक्तिगत items को कम करने के लिए इस विधि का उपयोग करता है।

गुमनामी बनाम हटाना

GDPR का मिटाने का अधिकार हमेशा पूर्ण हटाने का मतलब नहीं है। Recital 65 इस दृष्टिकोण की अनुमति देता है जब हटाना व्यवहार्य नहीं हो। Backup tapes और analytics systems सामान्य मामले हैं।

CEF दिखाता है कि इस विकल्प का दुरुपयोग किया जा रहा है। समूह सच्चे हटाने से बचने के लिए एक प्रक्रिया को "गुमनामी" label करते हैं। लेकिन प्रक्रिया अभी भी वास्तविक लोगों को traceable items छोड़ती है।

EDPB एक स्पष्ट रेखा खींचता है।

सच्ची गुमनामी का मतलब है कि items और एक व्यक्ति के बीच का link फिर से नहीं बनाया जा सकता। Controller के पास उन्हें फिर से जोड़ने का कोई तरीका नहीं है। किसी तीसरे पक्ष के पास उन्हें फिर से जोड़ने का कोई तरीका नहीं है। वे items GDPR दायरे से बाहर हैं। अनुरोध पूरा हो गया।

Pseudonymization अलग है। सही key के साथ फिर से जोड़ना अभी भी संभव है। व्यक्तिगत items अभी भी मौजूद हैं। अनुरोध पूरा नहीं हुआ। Items को हटाना होगा या key को नष्ट करना होगा।

दो-परत दृष्टिकोण

जो समूह analytics में इस विधि का उपयोग करते हैं उन्हें दो परतों की आवश्यकता है।

परत 1 — Ingestion: Raw व्यक्तिगत items यहां आते हैं। ये items हटाने के अनुरोधों के अधीन हैं। जब कोई व्यक्ति Article 17 अधिकारों का उपयोग करता है, तो इस परत में items हटाए जाते हैं।

परत 2 — Analytics: केवल गुमनाम outputs इस परत तक पहुंचते हैं। यदि प्रक्रिया पूर्ण और एकतरफा थी, तो ये outputs व्यक्तिगत नहीं हैं। हटाने का अनुरोध आने पर वे नहीं बदलते।

यह setup केवल तभी काम करता है जब masking चरण तीन tests पास करे।

पहला: एकतरफा। Reversible tokens और encrypted swaps योग्य नहीं होते।

दूसरा: पूर्ण। सभी प्रकार के पहचानकर्ताओं को संभाला जाना चाहिए। केवल नाम पर्याप्त नहीं हैं।

तीसरा: रिकॉर्ड पर। समूह को एक DPA को दिखाने में सक्षम होना चाहिए कि विधि कैसे काम करती है।

एक retailer जो customer नामों को encrypted tokens से swap करता है उसने pseudonymization किया है — सच्चा हटाना नहीं। analytics परत अभी भी व्यक्तिगत items रखती है। हटाने के अनुरोध अभी भी लागू होते हैं।

हमारा GDPR अनुपालन guide प्रत्येक दृष्टिकोण के लिए कानूनी आधार को कवर करता है। हमारा सुरक्षा अनुपालन overview आवश्यक controls सूचीबद्ध करता है। चरण-दर-चरण सहायता के लिए, हमारा GDPR गुमनामी ऑडिट guide देखें।

स्रोत

• EDPB 2025 CEF: मिटाने के अधिकार पर समन्वित प्रवर्तन कार्रवाई
• GDPR Article 17: मिटाने का अधिकार
• DLA Piper 2025: GDPR जुर्माने 2024 में €1.2B तक पहुंचे