हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ें85% वैश्विक व्यवसाय व्यक्तिगत डेटा को सीमाओं के पार स्थानांतरित करते हैं, फिर भी केवल 34% के पास दस्तावेज़ हस्तांतरण तंत्र मौजूद हैं। श्रेम्स II द्वारा 2020 में ईयू-यूएस गोपनीयता शील्ड को अमान्य करने के बाद, सीमा पार डेटा स्थानांतरण डेटा संरक्षण कानून के सबसे जटिल क्षेत्रों में से एक बन गया है। ईयू-यूएस डेटा गोपनीयता फ्रेमवर्क ने यूएस ट्रांसफर के लिए आंशिक रूप से कानूनी निश्चितता बहाल की है, लेकिन वैश्विक डेटा ट्रांसफर प्रतिबंधों के व्यापक परिदृश्य का विस्तार जारी है।
यह मार्गदर्शिका सीमा पार डेटा स्थानांतरण नियमों की वर्तमान स्थिति को दर्शाती है और अंतरराष्ट्रीय स्तर पर संचालित होने वाले व्यवसायों के लिए व्यावहारिक कार्यान्वयन मार्गदर्शन प्रदान करती है।
मुख्य बातें
- यूरोपीय संघ केवल 15 देशों को "पर्याप्त" डेटा सुरक्षा प्रदान करने वाले देशों के रूप में मान्यता देता है --- अन्य सभी हस्तांतरणों के लिए अतिरिक्त तंत्र की आवश्यकता है
- मानक संविदात्मक खंड (एससीसी) सबसे आम स्थानांतरण तंत्र हैं लेकिन अब पूरक स्थानांतरण प्रभाव आकलन की आवश्यकता है
- डेटा स्थानीयकरण आवश्यकताएँ बढ़ रही हैं: चीन, रूस, भारत और सऊदी अरब कुछ डेटा को देश से बाहर जाने से रोकते हैं
- ईयू-यूएस डेटा गोपनीयता फ्रेमवर्क स्व-प्रमाणित अमेरिकी कंपनियों के लिए एक स्थानांतरण तंत्र प्रदान करता है
स्थानांतरण तंत्र पदानुक्रम
जीडीपीआर के तहत, व्यक्तिगत डेटा केवल इनमें से किसी एक तंत्र का उपयोग करके ईईए छोड़ सकता है (सरलता के क्रम में):
1. पर्याप्तता निर्णय
यूरोपीय आयोग ने निर्धारित किया है कि ये देश पर्याप्त सुरक्षा प्रदान करते हैं:
| देश/क्षेत्र | पर्याप्तता निर्णय तिथि | स्थिति |
|---|---|---|
| अंडोरा | 2010 | सक्रिय |
| अर्जेंटीना | 2003 | सक्रिय |
| कनाडा (पाइपेडा) | 2001 | सक्रिय (केवल वाणिज्यिक क्षेत्र) |
| फ़रो आइलैंड्स | 2010 | सक्रिय |
| ग्वेर्नसे | 2003 | सक्रिय |
| इजराइल | 2011 | सक्रिय |
| आइल ऑफ मैन | 2004 | सक्रिय |
| जापान | 2019 | सक्रिय |
| जर्सी | 2008 | सक्रिय |
| न्यूजीलैंड | 2012 | सक्रिय |
| कोरिया गणराज्य | 2022 | सक्रिय |
| स्विट्जरलैंड | 2000 | सक्रिय |
| यूनाइटेड किंगडम | 2021 | सक्रिय (जून 2025 तक, अपेक्षित नवीनीकरण) |
| उरुग्वे | 2012 | सक्रिय |
| संयुक्त राज्य अमेरिका | 2023 (डीपीएफ) | सक्रिय (केवल डीपीएफ प्रतिभागी) |
यदि आपका डेटा पर्याप्त देश में जाता है: किसी अतिरिक्त स्थानांतरण तंत्र की आवश्यकता नहीं है। इसे इंट्रा-ईईए ट्रांसफर की तरह प्रोसेस करें।
यदि सूची में नहीं है: आपको नीचे दिए गए तंत्रों में से एक की आवश्यकता है।
2. मानक अनुबंध खंड (एससीसी)
सबसे अधिक इस्तेमाल किया जाने वाला स्थानांतरण तंत्र। एससीसी पूर्व-अनुमोदित अनुबंध टेम्पलेट हैं जो डेटा आयातक को जीडीपीआर-समकक्ष सुरक्षा से बांधते हैं।
चार मॉड्यूल (प्रासंगिक मॉड्यूल का उपयोग करें):
| मॉड्यूल | पार्टियाँ | परिदृश्य |
|---|---|---|
| मॉड्यूल 1 | नियंत्रक से नियंत्रक | किसी विदेशी भागीदार के साथ ग्राहक डेटा साझा करना |
| मॉड्यूल 2 | नियंत्रक से प्रोसेसर | किसी विदेशी क्लाउड प्रदाता या SaaS विक्रेता का उपयोग करना |
| मॉड्यूल 3 | प्रोसेसर से प्रोसेसर | आपका प्रोसेसर एक विदेशी उप-प्रोसेसर का उपयोग करता है |
| मॉड्यूल 4 | प्रोसेसर से नियंत्रक | विदेशी नियंत्रक EU-आधारित प्रोसेसर को निर्देश देता है |
कार्यान्वयन चरण:
- ईईए के बाहर सभी डेटा ट्रांसफर की पहचान करें
- प्रत्येक स्थानांतरण के लिए उपयुक्त एससीसी मॉड्यूल का चयन करें
- अनुलग्नकों को पूरा करें (डेटा श्रेणियां, सुरक्षा उपाय, उप-प्रोसेसर)
- प्रत्येक प्राप्तकर्ता देश के लिए स्थानांतरण प्रभाव आकलन (टीआईए) आयोजित करें
- डेटा आयातक के साथ एससीसी पर हस्ताक्षर करें
- टीआईए में पहचाने गए किसी भी पूरक उपाय को लागू करें
3. बाध्यकारी कॉर्पोरेट नियम (बीसीआर)
समूह संस्थाओं के बीच डेटा स्थानांतरित करने वाली बहुराष्ट्रीय कंपनियों के लिए। बीसीआर एक प्रमुख पर्यवेक्षी प्राधिकरण द्वारा अनुमोदित होते हैं और विश्व स्तर पर अंतर-समूह स्थानांतरण के लिए एक रूपरेखा प्रदान करते हैं।
पेशेवर: एक बार स्वीकृत होने के बाद, सभी समूह संस्थाओं और सभी स्थानांतरण परिदृश्यों को कवर किया जाता है नुकसान: 12-24 महीने की अनुमोदन प्रक्रिया, महत्वपूर्ण लागत ($100K+), केवल समूह संस्थाओं के लिए
4. ईयू-यूएस डेटा गोपनीयता फ्रेमवर्क (डीपीएफ)
अमेरिकी कंपनियां डीपीएफ के तहत स्व-प्रमाणन कर सकती हैं, जो पर्याप्तता जैसी हस्तांतरण प्रणाली प्रदान करती है:
- कंपनी अमेरिकी वाणिज्य विभाग के साथ पंजीकृत है
- कंपनी डीपीएफ-अनुपालक गोपनीयता नीति प्रकाशित करती है
- कंपनी डीपीएफ सिद्धांतों (नोटिस, विकल्प, आगे स्थानांतरण, सुरक्षा, डेटा अखंडता, पहुंच, सहारा) के लिए प्रतिबद्ध है।
- वार्षिक पुन:प्रमाणन आवश्यक
सीमा: केवल डीपीएफ-प्रमाणित कंपनियों में स्थानांतरण को कवर करता है। इस तंत्र पर भरोसा करने से पहले DPF सूची की जांच करें।
स्थानांतरण प्रभाव आकलन (टीआईए)
जब आवश्यक हो
श्रेम्स II के बाद, गैर-पर्याप्त देशों में सभी एससीसी-आधारित स्थानांतरणों के लिए टीआईए की आवश्यकता होती है। टीआईए मूल्यांकन करता है कि क्या प्राप्तकर्ता देश के कानून एससीसी में सुरक्षा को कमजोर करते हैं।
टीआईए फ्रेमवर्क
| मूल्यांकन तत्व | मुख्य प्रश्न |
|---|---|
| डेटा विशेषताएँ | कौन सा डेटा? कितना संवेदनशील? आयतन? |
| देश के कानून प्राप्त करना | सरकारी निगरानी कानून? बाध्य पहुंच? |
| कानूनी सुरक्षा | स्वतंत्र न्यायपालिका? डेटा सुरक्षा प्राधिकरण? |
| व्यावहारिक अनुभव | क्या आयातक को सरकारी पहुँच अनुरोध प्राप्त हुए हैं? |
| अनुपूरक उपाय | क्या तकनीकी उपाय कानूनी जोखिमों को नकार सकते हैं? |
टीआईए परिणाम निर्णय वृक्ष
Does the receiving country have an adequacy decision?
Yes --> No TIA needed
No --> Conduct TIA
|
Does the receiving country have laws enabling
disproportionate government access to personal data?
No --> SCCs sufficient
Yes --> Can supplementary measures effectively prevent access?
Yes --> Implement measures + proceed with SCCs
No --> Transfer cannot proceed
अनुपूरक उपाय
| उपाय | प्रभावशीलता | केस का प्रयोग करें |
|---|---|---|
| एन्क्रिप्शन (ग्राहक द्वारा रखी गई कुंजियाँ) | उच्च | आराम और पारगमन में डेटा |
| छद्म नामकरण | उच्च | विश्लेषिकी, रिपोर्टिंग |
| स्प्लिट प्रोसेसिंग | मध्यम | संवेदनशील फ़ील्ड केवल ईईए में संसाधित |
| संविदात्मक प्रतिबंध | निम्न-मध्यम | आयातक से अतिरिक्त प्रतिबद्धताएं |
| लेखापरीक्षा अधिकार | निम्न | सत्यापन, रोकथाम नहीं |
डेटा स्थानीयकरण आवश्यकताएँ
डेटा स्थानीयकरण कानून वाले देश
| देश | आवश्यकता | दायरा | जुर्माना |
|---|---|---|---|
| चीन (पीआईपीएल + सीएसएल) | महत्वपूर्ण डेटा और महत्वपूर्ण डेटा को चीन में संग्रहीत किया जाना चाहिए; आउटबाउंड स्थानांतरण के लिए सुरक्षा मूल्यांकन | चौड़ा | 5% तक राजस्व |
| रूस (संघीय कानून 242-एफजेड) | रूसी नागरिक डेटा का प्रारंभिक प्रसंस्करण और भंडारण रूस में होना चाहिए | रूसी नागरिक डेटा | सेवाओं को अवरुद्ध करना |
| भारत (डीपीडीपी अधिनियम) | महत्वपूर्ण व्यक्तिगत डेटा को भारत में संसाधित किया जाना चाहिए (नियम लंबित) | परिभाषित किया जाना है | 250 करोड़ रुपये तक |
| सऊदी अरब (पीडीपीएल) | संवेदनशील डेटा को स्थानीय प्रसंस्करण की आवश्यकता हो सकती है; स्थानांतरण प्रतिबंध | व्यक्तिगत डेटा | SAR 5M तक |
| वियतनाम (पीडीपीडी) | घरेलू स्तर पर संग्रहित किया जाने वाला महत्वपूर्ण डेटा; सीमा पार स्थानांतरण के लिए टीआईए | वियतनामी नागरिक डेटा | प्रशासनिक दंड |
| इंडोनेशिया (पीडीपी कानून) | सरकारी क्षेत्र के डेटा को स्थानीय प्रसंस्करण की आवश्यकता हो सकती है | सरकारी डेटा | प्रशासनिक प्रतिबंध |
| तुर्की (केवीकेके) | स्थानांतरण के लिए सहमति या विशिष्ट कानूनी आधार + बोर्ड अनुमोदन की आवश्यकता होती है व्यक्तिगत डेटा | 1.8एम प्रयास करें |
क्लाउड आर्किटेक्चर पर प्रभाव
डेटा स्थानीयकरण क्लाउड अवसंरचना निर्णयों को प्रभावित करता है:
| परिदृश्य | वास्तुकला निहितार्थ |
|---|---|
| चीन स्थानीयकरण | चीन में अलग क्लाउड क्षेत्र (AWS चीन, अलीबाबा क्लाउड) |
| रूस स्थानीयकरण | स्थानीय सर्वर या स्थानीय क्लाउड प्रदाता |
| ईयू-केवल प्रसंस्करण | ईयू क्लाउड क्षेत्र चुनें; गैर-ईयू क्षेत्रों में कोई डेटा प्रतिकृति सुनिश्चित न करें |
| प्रतिबंधों के साथ बहु-क्षेत्र | क्षेत्रीय डेटाबेस के साथ हब-एंड-स्पोक आर्किटेक्चर |
सामान्य परिदृश्यों के लिए व्यावहारिक कार्यान्वयन
परिदृश्य 1: ईयू कंपनी यूएस सास का उपयोग कर रही है
स्थानांतरण तंत्र: पहले जांचें कि विक्रेता डीपीएफ-प्रमाणित है या नहीं। यदि हां, तो डीपीएफ आधार प्रदान करता है। यदि नहीं, तो एससीसी लागू करें (मॉड्यूल 2: नियंत्रक से प्रोसेसर तक)।
परिदृश्य 2: केंद्रीकृत मानव संसाधन वाली वैश्विक कंपनी
स्थानांतरण तंत्र: अंतर-समूह स्थानांतरण के लिए बीसीआर, या प्रत्येक इकाई जोड़ी के बीच एससीसी। उच्च जोखिम वाले देशों में स्थानांतरण के लिए टीआईए लागू करें।
परिदृश्य 3: ईकॉमर्स यूएस इन्फ्रास्ट्रक्चर से यूरोपीय संघ के ग्राहकों को सेवा प्रदान कर रहा है
स्थानांतरण तंत्र: आपकी ईयू इकाई (या ईयू प्रतिनिधि) और आपके अमेरिकी बुनियादी ढांचे के बीच एससीसी। ईयू में रखी चाबियों से ग्राहक डेटा एन्क्रिप्ट करें।
परिदृश्य 4: बहु-देशीय संचालन के लिए ओडू ईआरपी
स्थानांतरण तंत्र: यदि ईयू में होस्ट किया गया है, तो स्थानांतरण तब होता है जब: (1) गैर-ईयू देशों में कर्मचारी सिस्टम तक पहुंचते हैं (रिमोट एक्सेस एक स्थानांतरण है), (2) डेटा को गैर-ईयू बैकअप स्थानों पर दोहराया जाता है, (3) गैर-ईयू देशों में सहायक कर्मचारी ग्राहक/कर्मचारी डेटा तक पहुंचते हैं। प्रत्येक पहुंच बिंदु के लिए एससीसी लागू करें और भूगोल के अनुसार डेटा दृश्यता को सीमित करने के लिए ओडू एक्सेस समूहों का उपयोग करें।
अनुपालन चेकलिस्ट
- सभी सीमा पार डेटा ट्रांसफर को मैप करें (क्या डेटा, कहां, किसे, क्यों)
- प्रत्येक प्राप्तकर्ता देश की पर्याप्तता स्थिति सत्यापित करें
- गैर-पर्याप्त देशों के लिए उचित स्थानांतरण तंत्र (एससीसी, डीपीएफ, बीसीआर) लागू करें
- एससीसी-आधारित स्थानांतरणों के लिए पूर्ण स्थानांतरण प्रभाव आकलन
- जहां टीआईए जोखिमों की पहचान करते हैं वहां पूरक उपाय लागू करें
- अंतरराष्ट्रीय हस्तांतरण का खुलासा करने के लिए गोपनीयता नीतियों को अपडेट करें
- विक्रेता डीपीए में स्थानांतरण प्रावधान शामिल करें
- हर साल या जब प्राप्त देश के कानून बदलते हैं तो स्थानांतरण तंत्र की समीक्षा करें
- सभी स्थानांतरण मूल्यांकनों और निर्णयों का दस्तावेज़ीकरण बनाए रखें
अक्सर पूछे जाने वाले प्रश्न
क्या ईयू-यूएस डेटा गोपनीयता फ्रेमवर्क पर भरोसा करना सुरक्षित है?
डीपीएफ वर्तमान में वैध है और प्रमाणित अमेरिकी कंपनियों को स्थानांतरण के लिए कानूनी आधार प्रदान करता है। हालाँकि, इसे सेफ हार्बर और प्राइवेसी शील्ड को अमान्य करने वाली कानूनी चुनौती (ला क्वाडरेचर डू नेट) के समान ही सामना करना पड़ रहा है। विवेकपूर्ण संगठन डीपीएफ का उपयोग करते हैं लेकिन उनके पास बैकअप ट्रांसफर तंत्र के रूप में एससीसी भी होते हैं। यदि डीपीएफ अमान्य है, तो आप डेटा प्रवाह को बाधित किए बिना एससीसी पर वापस आ सकते हैं।
यदि हम वैध तंत्र के बिना डेटा स्थानांतरित करते हैं तो क्या होगा?
अनधिकृत स्थानांतरण प्रत्यक्ष जीडीपीआर उल्लंघन है, जिसके लिए 20 मिलियन यूरो या वैश्विक वार्षिक कारोबार का 4% तक जुर्माना लगाया जा सकता है। जुर्माने के अलावा, पर्यवेक्षी अधिकारी डेटा स्थानांतरण को निलंबित करने का आदेश दे सकते हैं, जो व्यवसाय संचालन को बाधित कर सकता है। 2023 में अनधिकृत ईयू-यूएस हस्तांतरण के लिए मेटा पर 1.2 बिलियन यूरो का जुर्माना लगाया गया था, जो अब तक का सबसे बड़ा जीडीपीआर जुर्माना है।
क्या एससीसी सभी प्रकार के डेटा स्थानांतरण को कवर करता है?
SCCs चार मॉड्यूल के माध्यम से अधिकांश वाणिज्यिक डेटा स्थानांतरण परिदृश्यों को कवर करते हैं। हालाँकि, एससीसी सार्वजनिक शक्तियों के प्रयोग में कार्यरत सार्वजनिक प्राधिकरणों द्वारा स्थानांतरण के लिए उपयुक्त नहीं हैं। उन मामलों के लिए, अनुच्छेद 49 के तहत अंतरराष्ट्रीय समझौते या विशिष्ट अपमान लागू हो सकते हैं।
सीमा पार आवश्यकताएं हमारी ओडू तैनाती को कैसे प्रभावित करती हैं?
यदि आपका ओडू इंस्टेंस ईयू में होस्ट किया गया है और ईयू के बाहर के कर्मचारियों या भागीदारों द्वारा एक्सेस किया जाता है, तो प्रत्येक रिमोट एक्सेस प्वाइंट एक डेटा ट्रांसफर होता है। यह सुनिश्चित करने के लिए ओडू एक्सेस समूहों को लागू करें कि गैर-ईयू उपयोगकर्ता केवल वही डेटा देख सकें जिनकी उन्हें आवश्यकता है। एन्क्रिप्टेड रिमोट एक्सेस के लिए वीपीएन कनेक्शन का उपयोग करें। यदि ईयू के बाहर ओडू की मेजबानी की जाती है, तो होस्टिंग प्रदाता के साथ एससीसी लागू करें और डेटाबेस एन्क्रिप्शन सुनिश्चित करें। ECOSIRE की Odoo बुनियादी ढांचा सेवाएं में अनुपालन-जागरूक परिनियोजन कॉन्फ़िगरेशन शामिल हैं।
आगे क्या आता है
सीमा पार स्थानांतरण अनुपालन डेटा प्रशासन पहेली का एक हिस्सा है। इसे अंतरराष्ट्रीय विक्रेताओं के साथ डीपीए के लिए डेटा गवर्नेंस फंडामेंटल्स, विक्रेता अनुबंध प्रबंधन और कार्यबल डेटा ट्रांसफर के लिए कर्मचारी डेटा गोपनीयता के साथ संयोजित करें।
सीमा पार अनुपालन परामर्श और अंतर्राष्ट्रीय डेटा प्रवाह मानचित्रण के लिए ECOSIRE से संपर्क करें।
ECOSIRE द्वारा प्रकाशित - व्यवसायों को आत्मविश्वास और अनुपालन के साथ डेटा को सीमाओं के पार ले जाने में मदद करना।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE के साथ अपना व्यवसाय बढ़ाएं
ईआरपी, ईकॉमर्स, एआई, एनालिटिक्स और ऑटोमेशन में एंटरप्राइज समाधान।
संबंधित लेख
Shopify Markets 2026: International Pricing, Tax, Currency Setup
Configure Shopify Markets for global expansion: per-country pricing, automatic tax, multi-currency, geolocation, domain strategy, and Markets Pro tradeoffs.
Shopify Payment Gateways by Country 2026: US, EU, India, MENA, LATAM
Complete guide to Shopify payment gateways by country: Shopify Payments, Stripe, Razorpay, Mercado Pago, Tap, PayMob, fees, eligibility, payout timelines.
ज़ोहो से ओडू प्रवासन: चरण-दर-चरण डेटा स्थानांतरण मार्गदर्शिका
सीआरएम, पुस्तकें, इन्वेंटरी और एचआर मॉड्यूल मैपिंग, एपीआई निर्यात, डेटा परिवर्तन और परीक्षण रणनीतियों को कवर करते हुए ज़ोहो से ओडू माइग्रेशन गाइड को पूरा करें।
Compliance & Regulation से और अधिक
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
GoHighLevel A2P 10DLC Compliance in 2026: Registration, Fees, and Fixing Blocked SMS
Complete GoHighLevel A2P 10DLC guide for 2026: brand and campaign registration steps, carrier fees, common rejection reasons, and how to fix filtered SMS.
GxP Validation for ERP Systems: What Your 2026 Validation RFP Must Require (CSV, IQ/OQ/PQ, Audit Trails)
What a GxP ERP validation RFP must require in 2026: CSV and CSA scope, 21 CFR Part 11, EU Annex 11, IQ/OQ/PQ deliverables, audit trails, and GAMP 5 risk.
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.