सीमा पार डेटा स्थानांतरण: एससीसी, बीसीआर, और पर्याप्तता निर्णय
अंतर्राष्ट्रीय डेटा स्थानांतरण वैश्विक गोपनीयता अनुपालन के सबसे तकनीकी रूप से जटिल और कानूनी रूप से अनिश्चित क्षेत्रों में से एक है। जब व्यक्तिगत डेटा सीमाओं के पार जाता है - यूरोपीय संघ से अमेरिकी क्लाउड सर्वर तक, जापान से एक बहुराष्ट्रीय वैश्विक मानव संसाधन प्रणाली तक, ब्राजील से एक भारतीय प्रसंस्करण केंद्र तक - कई कानूनी ढांचे एक साथ लागू होते हैं, प्रत्येक को डेटा स्थानांतरित होने से पहले विशिष्ट स्थानांतरण तंत्र की आवश्यकता होती है।
श्रेम्स II निर्णय (सीजेईयू, 16 जुलाई, 2020) ने गोपनीयता शील्ड को अमान्य करके और संगठनों को मानक संविदात्मक क्लॉज-आधारित स्थानांतरणों के लिए स्थानांतरण प्रभाव आकलन (टीआईए) आयोजित करने की आवश्यकता देकर अंतरराष्ट्रीय स्थानांतरण परिदृश्य को मौलिक रूप से उलट दिया। तब से, तीन प्रमुख विकास हुए हैं: ईयू-यूएस डेटा गोपनीयता फ्रेमवर्क पर्याप्तता (जुलाई 2023), अद्यतन ईयू एससीसी (जून 2021), और चीन (पीआईपीएल), भारत (डीपीडीपी अधिनियम), और सऊदी अरब (पीडीपीएल) जैसे देशों से राष्ट्रीय स्तर के स्थानांतरण प्रतिबंधों का प्रसार। यह मार्गदर्शिका अंतर्राष्ट्रीय डेटा स्थानांतरण भूलभुलैया से निपटने के लिए एक व्यापक रोडमैप प्रदान करती है।
मुख्य बातें
- ईयू जीडीपीआर पर्याप्त सुरक्षा या उचित सुरक्षा उपायों के बिना गैर-ईईए देशों में व्यक्तिगत डेटा के हस्तांतरण को प्रतिबंधित करता है
- पर्याप्तता संबंधी निर्णय सबसे सरल तंत्र हैं - यदि गंतव्य देश के पास यूरोपीय संघ की पर्याप्तता है तो किसी अतिरिक्त सुरक्षा उपाय की आवश्यकता नहीं है
- मानक संविदात्मक खंड (2021 एससीसी) सबसे व्यापक रूप से उपयोग किया जाने वाला तंत्र है - नियंत्रक-से-नियंत्रक, नियंत्रक-से-प्रोसेसर, प्रोसेसर-से-नियंत्रक और प्रोसेसर-से-प्रोसेसर स्थानांतरण को कवर करने वाले चार मॉड्यूल
- एससीसी-आधारित स्थानांतरणों के लिए स्थानांतरण प्रभाव आकलन (टीआईए) आवश्यक हैं - यह आकलन करें कि गंतव्य देश का कानून प्रभावी सुरक्षा सक्षम करता है या नहीं
- बाध्यकारी कॉर्पोरेट नियम (बीसीआर) इंट्राग्रुप ट्रांसफर के लिए काम करते हैं लेकिन इसके लिए ईयू डीपीए अनुमोदन की आवश्यकता होती है - 2-3 साल की प्रक्रिया
- ईयू-यूएस डेटा गोपनीयता फ्रेमवर्क (जुलाई 2023) यूएस हस्तांतरण के लिए एक पर्याप्तता-आधारित तंत्र प्रदान करता है - डीपीएफ प्रमाणन स्थिति सत्यापित करें
- चीन पीआईपीएल, सऊदी अरब पीडीपीएल, और भारत डीपीडीपी सभी अपने स्वयं के तंत्र की आवश्यकता वाले आउटबाउंड स्थानांतरण प्रतिबंध लगाते हैं
- प्रादेशिक डेटा स्थानीयकरण आवश्यकताएँ (सीआईआईओ के लिए रूस, चीन, सऊदी स्वास्थ्य/वित्त डेटा) कुछ आउटबाउंड स्थानांतरणों को पूरी तरह से प्रतिबंधित करती हैं
स्थानांतरण प्रतिबंधों का कानूनी आधार
ईयू जीडीपीआर अध्याय V
जीडीपीआर अध्याय V (अनुच्छेद 44-49) स्थापित करता है कि व्यक्तिगत डेटा केवल किसी तीसरे देश में स्थानांतरित किया जा सकता है यदि:
- यूरोपीय आयोग ने उस देश के लिए पर्याप्तता निर्णय अपनाया है (अनुच्छेद 45)
- उचित सुरक्षा उपाय मौजूद हैं (अनुच्छेद 46) - एससीसी, बीसीआर, बाध्यकारी प्रतिबद्धताओं के साथ अनुमोदित आचार संहिता, अनुमोदित प्रमाणन तंत्र, सार्वजनिक प्राधिकरणों के बीच कानूनी रूप से बाध्यकारी उपकरण
- एक विशिष्ट अपमान लागू होता है (अनुच्छेद 49) - स्पष्ट सहमति, अनुबंध की आवश्यकता, कानूनी दावे, महत्वपूर्ण हित, सार्वजनिक हित, सार्वजनिक रजिस्टर
सिद्धांत: यूरोपीय संघ के व्यक्तिगत डेटा को जहां कहीं भी प्रवाहित किया जाए, उसे समान स्तर की सुरक्षा का आनंद लेना चाहिए। स्थानांतरण तंत्र वह उपकरण है जो सैद्धांतिक रूप से इसे प्राप्त करता है।
मुख्य मामला कानून
श्रेम्स I (सीजेईयू, 2015): ईयू-यूएस हस्तांतरण के लिए सेफ हार्बर ढांचे को अमान्य कर दिया, यह पाते हुए कि अमेरिकी राष्ट्रीय सुरक्षा कानून ने जीडीपीआर सिद्धांतों के प्रभावी प्रवर्तन को रोक दिया।
श्रेम्स II (सीजेईयू, 2020): अमान्य गोपनीयता शील्ड (सेफ हार्बर का उत्तराधिकारी); पाया गया कि मॉडल क्लॉज (एससीसी) सैद्धांतिक रूप से वैध हैं लेकिन नियंत्रकों/प्रोसेसरों को मामले-दर-मामले सत्यापित करना होगा कि गंतव्य देश प्रभावी सुरक्षा प्रदान करता है। इससे टीआईए आवश्यकता उत्पन्न हुई।
ईयू-यूएस डेटा गोपनीयता ढांचा (आयोग निर्णय, जुलाई 2023): सिग्नल इंटेलिजेंस सुधार पर अमेरिकी कार्यकारी आदेश 14086 (अक्टूबर 2022) के बाद अपनाया गया। प्रमाणित डीपीएफ प्रतिभागियों के लिए पर्याप्तता प्रदान करता है। मैक्स श्रेम्स द्वारा आयरिश अदालतों में चुनौती दी गई - श्रेम्स III की कार्यवाही जारी है लेकिन डीपीएफ तब तक वैध रहेगा जब तक सीजेईयू निलंबन जारी नहीं करता।
पर्याप्तता निर्णय
सबसे सरल स्थानांतरण तंत्र: यदि आयोग ने गंतव्य देश के लिए पर्याप्तता निर्णय अपनाया है तो किसी अतिरिक्त सुरक्षा उपाय की आवश्यकता नहीं है।
वर्तमान ईयू पर्याप्तता निर्णय (मार्च 2026 तक):
- अंडोरा, अर्जेंटीना, कनाडा (वाणिज्यिक संगठन), फरो आइलैंड्स, ग्वेर्नसे, इज़राइल, आइल ऑफ मैन, जापान, जर्सी, न्यूजीलैंड, कोरिया गणराज्य, स्विट्जरलैंड, यूनाइटेड किंगडम, उरुग्वे, संयुक्त राज्य अमेरिका (ईयू-यूएस डेटा गोपनीयता फ्रेमवर्क - केवल डीपीएफ के तहत प्रमाणित संगठन)
महत्वपूर्ण चेतावनी:
- यूएस: केवल ईयू-यूएस डीपीएफ के तहत प्रमाणित संगठनों के लिए पर्याप्तता। गैर-प्रमाणित अमेरिकी कंपनियों में स्थानांतरण के लिए एससीसी, बीसीआर या अन्य तंत्र की आवश्यकता होती है। पर्याप्तता पर भरोसा करने से पहले DPF वेबसाइट (dataprivacyframework.gov) पर DPF प्रमाणन स्थिति सत्यापित करें।
- कनाडा: पर्याप्तता PIPEDA के तहत वाणिज्यिक संगठनों को कवर करती है - सभी कनाडाई संस्थाओं या प्रांतीय निजी क्षेत्र के कानूनों को कवर नहीं करती है
- जापान: पर्याप्तता यूरोपीय संघ के व्यक्तिगत डेटा के लिए पूरक नियमों के अधीन है
- यूके: चार साल के सूर्यास्त खंड के साथ जून 2021 में पर्याप्तता निर्णय अपनाया गया; 2025 में नवीनीकरण की उम्मीद है
पर्याप्तता निर्णय समीक्षा के अधीन हैं और निलंबित किए जा सकते हैं - श्रेम्स II मामला पर्याप्तता-निर्भरता के जोखिम को दर्शाता है। आकस्मिक एससीसी दस्तावेज़ीकरण बनाए रखें, यहां तक कि जहां पर्याप्तता वर्तमान में लागू होती है।
मानक संविदात्मक खंड (ईयू एससीसी 2021)
2021 ईयू एससीसी (आयोग निर्णय 2021/914, 4 जून, 2021) ने पुराने मॉडल खंडों को बदल दिया और सभी चार स्थानांतरण परिदृश्यों को कवर करते हुए एक मॉड्यूलर संरचना पेश की:
चार मॉड्यूल
मॉड्यूल 1 - नियंत्रक से नियंत्रक (सी2सी): दो डेटा नियंत्रक। इसके लिए सबसे आम: असंबद्ध कंपनियों के बीच डेटा साझा करना, ग्राहक डेटा को सीआरएम विक्रेताओं को भेजना जो स्वयं के उद्देश्यों के लिए प्रक्रिया करेंगे, संयुक्त डेटा साझेदारी।
मॉड्यूल 2 - कंट्रोलर टू प्रोसेसर (सी2पी): डेटा कंट्रोलर प्रोसेसिंग को तीसरे पक्ष के प्रोसेसर को आउटसोर्स करता है। इनके लिए सबसे आम: क्लाउड सेवाएँ, SaaS, IT आउटसोर्सिंग, एनालिटिक्स सेवाएँ, डेटा सेंटर।
मॉड्यूल 3 - प्रोसेसर से प्रोसेसर (पी2पी): उप-प्रोसेसर व्यवस्था। इसका उपयोग तब किया जाता है जब एक प्रोसेसर एक उप-प्रोसेसर का उपयोग करता है।
मॉड्यूल 4 - प्रोसेसर से नियंत्रक (पी2सी): प्रोसेसर नियंत्रक को डेटा लौटाता है। कम आम; विशिष्ट वास्तुकला परिदृश्यों में उपयोग किया जाता है।
एससीसी अनिवार्य घटक
2021 एससीसी में अनिवार्य खंड शामिल हैं जिन्हें संशोधित नहीं किया जा सकता है:
- खंड 2: प्रभाव और अपरिवर्तनीयता - पक्ष सहमत हैं कि खंडों को अनुमत तरीकों के अलावा संशोधित नहीं किया जा सकता है
- खंड 7: डॉकिंग खंड - अतिरिक्त पार्टियों को शामिल होने की अनुमति देना
- खंड 9: उप-प्रोसेसर प्राधिकरण दृष्टिकोण (सामान्य या विशिष्ट लिखित प्राधिकरण)
- खंड 17: शासी कानून (एक सदस्य राज्य कानून होना चाहिए जहां कम से कम एक पार्टी स्थापित हो; या तीसरे पक्ष के लाभार्थी अधिकारों की अनुमति देने वाला सदस्य राज्य कानून)
- खंड 18: फोरम का चुनाव (एससीसी को नियंत्रित करने वाले सदस्य राज्य की सक्षम अदालतें)
पार्टियाँ क्या अनुकूलित कर सकती हैं:
- न्यूनतम से अधिक अतिरिक्त सुरक्षा उपाय (ईडीपीबी द्वारा प्रोत्साहित)
- व्यवसाय-विशिष्ट अनुबंध सामग्री (प्रसंस्करण का विवरण, डेटा की श्रेणियां, तकनीकी उपाय)
- उप-प्रोसेसर प्राधिकरण दृष्टिकोण (सामान्य या विशिष्ट)
- गंतव्य देश में डेटा विषयों के लिए निवारण तंत्र
यूके आईडीटीए
यूके (ईयू नहीं) से स्थानांतरण के लिए, आईसीओ के अंतर्राष्ट्रीय डेटा ट्रांसफर समझौते (आईडीटीए) या ईयू एससीसी में आईडीटीए परिशिष्ट का उपयोग करें। इन्हें 21 सितंबर, 2022 तक यूके हस्तांतरण के लिए ईयू एससीसी की जगह ले ली गई (पहले से मौजूद ईयू एससीसी अनुबंधों के लिए 21 मार्च, 2024 तक विस्तार के साथ)।
स्थानांतरण प्रभाव आकलन (टीआईए)
श्रेम्स II के बाद, ईडीपीबी ने एससीसी-आधारित स्थानांतरणों के लिए अनिवार्य टीआईए आवश्यकता के साथ स्थानांतरणों पर सिफारिशें 01/2020 प्रकाशित कीं। टीआईए एक दस्तावेजी विश्लेषण है जो यह आकलन करता है कि गंतव्य देश का कानूनी ढांचा हस्तांतरित डेटा की प्रभावी सुरक्षा को रोकता है या नहीं।
टीआईए चरण (ईडीपीबी अनुशंसाएँ 01/2020)
चरण 1 - अपने स्थानांतरणों को जानें: प्रोसेसर और उप-प्रोसेसरों के माध्यम से आगे के स्थानांतरण सहित सभी स्थानांतरणों को मैप करें।
चरण 2 - उपयोग किए गए स्थानांतरण उपकरणों को सत्यापित करें: पुष्टि करें कि कौन सा स्थानांतरण तंत्र लागू होता है (एससीसी मॉड्यूल, पर्याप्तता, आदि)।
चरण 3 - तीसरे देश के कानून का आकलन करें: मूल्यांकन करें कि क्या गंतव्य देश का कानून एससीसी की प्रभावशीलता में बाधा डालता है। प्रासंगिक कारक:
- क्या देश सरकार को आवश्यक और आनुपातिक से अधिक व्यक्तिगत डेटा तक पहुंच की अनुमति देता है?
- अधिकारों का उल्लंघन होने पर क्या यूरोपीय संघ के व्यक्तियों के लिए प्रभावी कानूनी उपाय हैं?
- क्या देश में कोई स्वतंत्र पर्यवेक्षी प्राधिकरण है?
चरण 4 - पूरक उपायों को पहचानें और अपनाएं: यदि टीआईए समस्याग्रस्त गंतव्य देश कानून की पहचान करता है, तो पूरक उपायों को लागू करें:
तकनीकी उपाय:
- एंड-टू-एंड एन्क्रिप्शन (जहां आयातक के पास डिक्रिप्शन कुंजी तक पहुंच नहीं है)
- स्थानांतरण से पहले यूरोपीय संघ की ओर से छद्म नामकरण
- स्प्लिट/मल्टी-पार्टी प्रोसेसिंग जहां किसी भी एकल आयातक के पास पूर्ण डेटा तक पहुंच नहीं है
- शून्य-ज्ञान वास्तुकला
संविदात्मक उपाय:
- पारदर्शिता दायित्व (आयातक डेटा प्रकटीकरण के लिए किसी भी कानूनी रूप से बाध्यकारी अनुरोध के बारे में निर्यातक को सूचित करता है)
- जहां कानूनी रूप से संभव हो, आयातक डेटा प्रकटीकरण अनुरोधों को चुनौती देता है
- संसाधित डेटा को न्यूनतम आवश्यक तक कम करना
संगठनात्मक उपाय:
- सरकारी पहुंच को सीमित करने वाली आंतरिक नीतियां
- कानून प्रवर्तन अनुरोधों को संभालने के लिए उपयुक्त तकनीकी कर्मचारी
चरण 5 - औपचारिक प्रक्रियात्मक कदम उठाएं: पूर्ण एससीसी, अद्यतन रिकॉर्ड, दस्तावेज़ टीआईए।
चरण 6 - उचित अंतराल पर पुनर्मूल्यांकन करें: टीआईए एक बार का अभ्यास नहीं है - पुनर्मूल्यांकन तब करें जब: गंतव्य देश के कानून में बदलाव हो, एससीसी में संशोधन हो, ईडीपीबी या राष्ट्रीय डीपीए से महत्वपूर्ण नए मार्गदर्शन सामने आएं।
टीआईए देश-विशिष्ट विचार
| गंतव्य देश | प्रमुख टीआईए मुद्दे | स्थिति |
|---|---|---|
| संयुक्त राज्य अमेरिका | धारा 702 FISA निगरानी; कार्यकारी आदेश 14086 सुधार | डीपीएफ प्रमाणित संस्थाओं के लिए पर्याप्तता प्रदान करता है; गैर-प्रमाणित संस्थाओं को पूर्ण टीआईए की आवश्यकता होती है |
| चीन | सीएसएल/पीआईपीएल डेटा एक्सेस दायित्व; व्यापक राष्ट्रीय सुरक्षा प्रावधान | महत्वपूर्ण टीआईए चुनौतियाँ; एन्क्रिप्शन और डेटा न्यूनतमकरण पर विचार करें |
| भारत | आईटी अधिनियम के तहत अवरोधन की शक्तियां; डीपीडीपी अधिनियम स्थानांतरण नियम | टीआईए दिए गए निगरानी ढांचे को चुनौती दे रहा है |
| रूस | डेटा स्थानीयकरण; रोसकोम्नाडज़ोर पहुंच | यूरोपीय संघ के अनुपालन के लिए स्थानांतरण काफी हद तक अव्यावहारिक है |
| सऊदी अरब | सरकारी डेटा पहुंच शक्तियां; पीडीपीएल स्थानांतरण तंत्र | केस-दर-केस टीआईए मूल्यांकन की आवश्यकता |
बाध्यकारी कॉर्पोरेट नियम (बीसीआर)
बीसीआर एक सक्षम ईयू पर्यवेक्षी प्राधिकरण द्वारा अनुमोदित इंट्राग्रुप डेटा सुरक्षा नियमों को कानूनी रूप से बाध्यकारी हैं। वे सबसे मजबूत स्थानांतरण तंत्र हैं लेकिन कार्यान्वयन के लिए सबसे जटिल भी हैं।
बीसीआर कवर:
- नियंत्रक बीसीआर: एक कॉर्पोरेट समूह के भीतर इंट्राग्रुप स्थानांतरण की अनुमति दें जहां समूह के सभी सदस्य नियंत्रक के रूप में कार्य करते हैं
- प्रोसेसर बीसीआर: प्रोसेसर (इंट्राग्रुप सेवा कंपनियों सहित) को ईयू नियंत्रकों से डेटा प्राप्त करने और संसाधित करने की अनुमति दें
बीसीआर के लाभ:
- एक बार मंजूरी मिलने के बाद, कवर किए गए इंट्राग्रुप प्रवाह के लिए प्रति-स्थानांतरण तंत्र की आवश्यकता नहीं है
- उच्चतम स्तर की अनुपालन प्रतिबद्धता प्रदर्शित करता है
- कुछ डीपीए बीसीआर-धारक समूहों को अधिक भरोसेमंद मानते हैं
बीसीआर आवश्यकताएँ (अनुच्छेद 47 जीडीपीआर और ईडीपीबी दिशानिर्देश):
- समूह के सभी सदस्यों पर बाध्यकारी और तीसरे पक्ष के लाभार्थियों के रूप में डेटा विषयों द्वारा लागू करने योग्य
- समूह संरचना और समूह सदस्यों को स्पष्ट रूप से निर्दिष्ट करें
- समूह के भीतर सभी स्थानान्तरण और स्थानान्तरण के सेट को कवर करें
- इसमें शामिल होना चाहिए: डेटा प्रोसेसिंग उद्देश्य, डेटा श्रेणियां, प्राप्तकर्ता, भंडारण अवधि, गैर-ईयू समूह के सदस्यों के लिए जानकारी
- डेटा विषय अधिकारों को निर्दिष्ट करें, जिसमें उनका उपयोग करने का तरीका भी शामिल है
- अनुपालन सत्यापन (ऑडिट, प्रशिक्षण) शामिल करें
- परिवर्तनों के लिए रिपोर्टिंग तंत्र
- डीपीए के साथ सहयोग तंत्र
बीसीआर प्रक्रिया: प्रमुख पर्यवेक्षी प्राधिकरण (डीपीए जहां कंपनी का ईयू मुख्यालय स्थित है) पर आवेदन करें। प्रमुख डीपीए अन्य ईयू डीपीए के साथ पारस्परिक मान्यता प्रक्रिया संचालित करता है। समयरेखा: आम तौर पर आवेदन से अनुमोदन तक 2-3 वर्ष। एप्लिकेशन के लिए व्यापक दस्तावेज़ीकरण की आवश्यकता होती है.
स्वीकृत बीसीआर धारक: आईबीएम, मैरियट, बीसीजी, अर्न्स्ट एंड यंग, जॉनसन एंड जॉनसन सहित 100 से अधिक बहुराष्ट्रीय समूहों के पास ईयू आयोग द्वारा अनुमोदित बीसीआर हैं।
गैर-ईयू देश स्थानांतरण प्रतिबंध
यूरोपीय संघ के बाहर के कई देश अब अपने स्वयं के आउटबाउंड डेटा स्थानांतरण प्रतिबंध लगाते हैं। यह बहुराष्ट्रीय संगठनों के लिए द्विदिश अनुपालन जटिलता पैदा करता है।
चीन पीआईपीएल
सीएसी सुरक्षा मूल्यांकन इनके लिए आवश्यक है: सीआईआईओ; प्रतिवर्ष 100,000+ व्यक्तियों के डेटा का स्थानांतरण। कम मात्रा के हस्तांतरण के लिए मानक अनुबंध (ईयू एससीसी पर आधारित लेकिन चीन-विशिष्ट)। इंट्राग्रुप स्थानांतरण के लिए प्रमाणन तंत्र। (पूर्ण विवरण के लिए समर्पित चीन पीआईपीएल गाइड देखें।)
सऊदी अरब पीडीपीएल
अधिकांश आउटबाउंड स्थानांतरणों के लिए एसडीएआईए अनुमोदन या पर्याप्तता आवश्यक है। सेक्टर-विशिष्ट स्थानीयकरण (स्वास्थ्य, वित्त) कुछ हस्तांतरणों को पूरी तरह से प्रतिबंधित कर सकता है। एसडीएआईए द्वारा विकास के तहत मानक संविदात्मक खंड तंत्र।
भारत डीपीडीपी अधिनियम
सकारात्मक सूची दृष्टिकोण - केंद्र सरकार की अधिसूचना द्वारा विशेष रूप से प्रतिबंधित देशों को छोड़कर सभी देशों में स्थानांतरण की अनुमति। सेक्टर-विशिष्ट स्थानीयकरण (आरबीआई, स्वास्थ्य) स्वतंत्र रूप से लागू होता रहता है।
ब्राज़ील एलजीपीडी
एएनपीडी पर्याप्तता निर्णय या संविदात्मक सुरक्षा उपायों की आवश्यकता है। एएनपीडी मानक संविदात्मक खंड टेम्पलेट विकसित कर रहा है। वैकल्पिक तंत्र के रूप में स्पष्ट सहमति उपलब्ध है।
रूस
संघीय कानून संख्या 149-एफजेड और संघीय कानून संख्या 152-एफजेड के लिए आवश्यक है कि रूसी नागरिकों के व्यक्तिगत डेटा को शुरू में रूस के भीतर एकत्र और संसाधित किया जाए। रूसी स्थानीयकरण के बाद ही सीमा पार स्थानांतरण की अनुमति है। व्यवहार में, प्रतिबंध और प्रौद्योगिकी प्रतिबंध रूस से डेटा स्थानांतरण को बेहद जटिल बनाते हैं।
सीमा पार स्थानांतरण अनुपालन चेकलिस्ट
- सभी सीमा-पार डेटा स्थानांतरण मैप किए गए (नियंत्रक, प्रोसेसर, उप-प्रोसेसर प्रवाह)
- प्रत्येक प्रवाह के लिए स्थानांतरण तंत्र निर्धारित (पर्याप्तता, एससीसी, बीसीआर, अपमान)
- ईयू पर्याप्तता गंतव्य सत्यापित (यूएस प्राप्तकर्ताओं के लिए डीपीएफ प्रमाणीकरण की जांच की गई)
- ईयू एससीसी चयनित: प्रत्येक स्थानांतरण संबंध के लिए सही मॉड्यूल
- एससीसी अनुबंध पूर्ण: डेटा विवरण, तकनीकी/संगठनात्मक उपाय
- एससीसी-आधारित स्थानांतरणों के लिए स्थानांतरण प्रभाव आकलन आयोजित किया गया
- जहां टीआईए मुद्दों की पहचान करता है वहां अनुपूरक उपाय लागू किए जाते हैं
- यूके आईडीटीए या परिशिष्ट का उपयोग यूके से स्थानांतरण के लिए किया जाता है (ईयू एससीसी नहीं)
- यदि इंट्राग्रुप पैमाने पर स्थानांतरण होता है तो बीसीआर आवेदन प्रस्तुत किया जाता है
- उप-प्रोसेसर एससीसी श्रृंखला लागू की गई (मॉड्यूल 3 या उप-प्रोसेसरों का नियंत्रक अनुमोदन)
- गैर-ईयू आउटबाउंड स्थानांतरण प्रतिबंधों का मूल्यांकन किया गया (पीआईपीएल, पीडीपीएल, डीपीडीपी, एलजीपीडी)
- विनियमित क्षेत्रों के लिए डेटा स्थानीयकरण आवश्यकताओं का मूल्यांकन किया गया
- टीआईए पुनर्मूल्यांकन कार्यक्रम स्थापित किया गया
- स्थानांतरण तंत्र को प्रतिबिंबित करने के लिए प्रसंस्करण गतिविधियों के रिकॉर्ड अद्यतन किए गए
- अपमान के तहत स्थानांतरण के लिए डीपीए अधिसूचना आवश्यकताओं का मूल्यांकन किया गया
अक्सर पूछे जाने वाले प्रश्न
क्या हम मौजूदा अनुबंधों के लिए पुराने ईयू एससीसी (2021 से पहले) का उपयोग कर सकते हैं?
नहीं, पुराने ईयू एससीसी को 2021 एससीसी से बदलने की संक्रमण समय सीमा 27 दिसंबर, 2022 थी। पुराने ईयू एससीसी अब मान्य नहीं हैं। यदि आपके पास अभी भी पुराने एससीसी (निर्णय 2001/497/ईसी, 2004/915/ईसी, या 2010/87/ईयू के तहत जारी) को संदर्भित करने वाले अनुबंध हैं, तो उन अनुबंधों को 2021 एससीसी में अद्यतन किया जाना चाहिए। किसी भी नए अनुबंध को 2021 एससीसी का उपयोग करना होगा। पुराने एससीसी पर भरोसा जारी रखने से आपका संगठन प्रवर्तन कार्रवाई के दायरे में आ जाता है।
क्या हमें प्रत्येक डेटा स्थानांतरण के लिए एक एससीसी की आवश्यकता है, या केवल एक समग्र समझौते की?
SCCs को डेटा निर्यातक और डेटा आयातक की प्रत्येक जोड़ी के बीच निष्पादित किया जाना चाहिए। यदि आपकी कंपनी (ईयू-आधारित) व्यक्तिगत डेटा प्राप्त करने वाले 10 अलग-अलग क्लाउड विक्रेताओं का उपयोग करती है, तो आपको 10 अलग-अलग एससीसी समझौतों की आवश्यकता है। एक एकल एससीसी समझौते के भीतर, आप डेटा की कई श्रेणियों, कई डेटा विषयों और कई उद्देश्यों को कवर कर सकते हैं - लेकिन प्रत्येक द्विपक्षीय संबंध को अपने स्वयं के निष्पादित समझौते की आवश्यकता होती है। कई विक्रेताओं वाले बड़े संगठनों के लिए, एससीसी इन्वेंट्री और नवीनीकरण ट्रैकिंग प्रणाली बनाए रखना आवश्यक है।
ईयू-यूएस डेटा गोपनीयता फ्रेमवर्क क्या है और हम इसका उपयोग कैसे करते हैं?
ईयू-यूएस डेटा प्राइवेसी फ्रेमवर्क (डीपीएफ) सिग्नल इंटेलिजेंस के लिए गोपनीयता सुरक्षा उपायों को मजबूत करने पर अमेरिकी कार्यकारी आदेश 14086 के बाद 10 जुलाई, 2023 को यूरोपीय आयोग द्वारा अपनाया गया एक पर्याप्तता तंत्र है। यह व्यक्तिगत डेटा को एससीसी या टीआईए के बिना यूरोपीय संघ से प्रमाणित अमेरिकी संगठनों तक प्रवाहित करने की अनुमति देता है। डीपीएफ का उपयोग करने के लिए: (1) अमेरिकी प्राप्तकर्ता को अमेरिकी वाणिज्य विभाग को स्व-प्रमाणित करना होगा; (2) dataprivacyframework.gov पर प्रमाणीकरण सत्यापित करें; (3) प्रमाणित होने पर, EU→US द्वारा उस संगठन में स्थानांतरण के लिए किसी अतिरिक्त तंत्र की आवश्यकता नहीं होती है। डीपीएफ को कानूनी रूप से चुनौती दी जा रही है (श्रेम्स III) - एक आकस्मिकता के रूप में एससीसी बैकअप दस्तावेज़ बनाए रखें।
सबसे आम टीआईए निष्कर्ष क्या हैं जो समस्याएं पैदा करते हैं?
सबसे आम समस्याग्रस्त टीआईए निष्कर्षों में शामिल हैं: (1) व्यापक सरकारी निगरानी पहुंच - विशेष रूप से अमेरिकी धारा 702 एफआईएसए और अन्य देशों में समकक्ष प्राधिकरण जो न्यायिक निरीक्षण के बिना थोक संग्रह की अनुमति देते हैं; (2) राष्ट्रीय सुरक्षा कानून जो गोपनीयता सुरक्षा को खत्म करते हैं - सत्तावादी राज्यों में आम हैं; (3) यूरोपीय संघ के व्यक्तियों के लिए प्रभावी कानूनी उपायों का अभाव - जहां अदालतें स्वतंत्र नहीं हैं या यूरोपीय संघ के व्यक्तियों की कोई प्रतिष्ठा नहीं है; (4) प्रोसेसर पर लगाए गए डेटा एक्सेस दायित्व - उदाहरण के लिए, सीआईआईओ के लिए सीएसएल/पीआईपीएल के तहत चीन के दायित्व। जहां टीआईए समस्याओं की पहचान करता है, तकनीकी उपाय (एन्क्रिप्शन, छद्मनामकरण) आमतौर पर विशिष्ट जोखिम को संबोधित करने के लिए लागू किए जाते हैं - लेकिन वास्तव में पहचानी गई पहुंच को रोकना चाहिए, न कि केवल दावा करना चाहिए।
क्या अनुच्छेद 49 के तहत अपमान नियमित स्थानांतरण के लिए काम करते हैं?
नहीं, ईडीपीबी ने लगातार कहा है कि अनुच्छेद 49 का अपमान केवल सामयिक और गैर-दोहराव वाले स्थानांतरणों के लिए है। स्पष्ट सहमति (निराकरण 49(1)(ए)) नियमित स्थानांतरण के लिए विशेष रूप से समस्याग्रस्त है: सहमति विशिष्ट होनी चाहिए (गंतव्य देश का नाम देना और स्थानांतरण के जोखिमों को समझाना), स्वतंत्र रूप से दी जानी चाहिए (जो रोजगार या आवश्यक सेवाओं के संदर्भ में मुश्किल हो सकती है), और प्रत्येक स्थानांतरण से पहले स्पष्ट रूप से प्राप्त की जानी चाहिए। व्यवस्थित, चल रहे डेटा प्रवाह के लिए - जैसे क्लाउड सेवाएं, एचआर सिस्टम, या सीआरएम सिस्टम - अपमान उचित नहीं है। नियमित स्थानांतरण के लिए एससीसी, बीसीआर या पर्याप्तता तंत्र का उपयोग करें।
हम उप-प्रोसेसर डेटा स्थानांतरण कैसे संभालते हैं?
उप-प्रोसेसर स्थानांतरण को उपयुक्त स्थानांतरण तंत्र द्वारा कवर किया जाना चाहिए। ईयू एससीसी मॉड्यूल 2 (कंट्रोलर-टू-प्रोसेसर) के तहत, प्रोसेसर को केवल पर्याप्त देशों में या एससीसी के तहत स्थित उप-प्रोसेसर को संलग्न करना होगा। मॉड्यूल 3 (प्रोसेसर-टू-प्रोसेसर) उप-प्रोसेसर संबंध को कवर करता है। नियंत्रक को उप-प्रोसेसरों के बारे में सूचित किया जाना चाहिए और अनुमोदित किया जाना चाहिए (या तो विशेष रूप से या अधिसूचना के साथ श्रेणी के अनुसार)। उप-प्रोसेसरों को प्रोसेसर के समान डेटा सुरक्षा दायित्वों से बाध्य होना चाहिए - आमतौर पर मॉड्यूल 3 एससीसी को शामिल करने वाले उप-प्रसंस्करण समझौते के माध्यम से। कई संगठन एक उप-प्रोसेसर सूची बनाए रखते हैं और गोपनीयता नोटिस के माध्यम से डेटा विषयों को सूचित करते हैं।
अगले चरण
सीमा पार डेटा स्थानांतरण अनुपालन एक सतत प्रबंधन गतिविधि है - एक बार की परियोजना नहीं। जैसे-जैसे नए देश के कानून आउटबाउंड ट्रांसफ़र को प्रतिबंधित करते हैं, पर्याप्तता निर्णय कानूनी चुनौती के अंतर्गत आते हैं, और आपका विक्रेता परिदृश्य विकसित होता है, आपकी ट्रांसफ़र तंत्र सूची को गति बनाए रखनी चाहिए।
ECOSIRE संगठनों को स्थानांतरण तंत्र ढांचे को डिजाइन करने, स्थानांतरण प्रभाव आकलन करने और अंतरराष्ट्रीय डेटा संचालन के लिए तकनीकी सुरक्षा उपायों को लागू करने में मदद करता है। हमारा अनुभव ईयू जीडीपीआर, यूके जीडीपीआर, पीआईपीएल, एलजीपीडी और उभरते राष्ट्रीय ढांचे तक फैला हुआ है।
आरंभ करें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। सीमा पार डेटा स्थानांतरण आवश्यकताएँ जटिल, क्षेत्राधिकार-विशिष्ट हैं, और अदालती निर्णयों और नियामक मार्गदर्शन के माध्यम से तेजी से बदलाव के अधीन हैं। अपने संगठन के स्थानांतरण प्रवाह के लिए विशिष्ट सलाह के लिए योग्य कानूनी परामर्शदाता से परामर्श लें।
लेखक
ECOSIRE Research and Development Team
ECOSIRE में एंटरप्राइज़-ग्रेड डिजिटल उत्पाद बना रहे हैं। Odoo एकीकरण, ई-कॉमर्स ऑटोमेशन, और AI-संचालित व्यावसायिक समाधानों पर अंतर्दृष्टि साझा कर रहे हैं।
संबंधित लेख
China PIPL Compliance: Cross-Border Data Transfer Guide
Complete guide to China's Personal Information Protection Law (PIPL) covering processing rules, cross-border transfer mechanisms, CAC enforcement, and compliance steps.
Cross-Border Data Transfer Regulations: Navigating International Data Flows
Navigate cross-border data transfer regulations with SCCs, adequacy decisions, BCRs, and transfer impact assessments for GDPR, UK, and APAC compliance.
Cross-Border eCommerce Logistics: Shipping, Customs, and Fulfillment Strategies
Cross-border eCommerce logistics guide. Covers international shipping, customs clearance, duties calculation, fulfillment networks, returns, and compliance.