Skip to main content

क्या Schrems II निर्णय का अर्थ यह है कि Google Analytics GDPR के अनुरूप नहीं है?

यूरोपीय संघ और अमेरिका में कई कंपनियों के लिए, 2022 ने प्रबंधन के लिए एक और संकट जोड़ा: Schrems II का अनुवर्ती यह घोषित करना कि Google Analytics GDPR का अनुपालन नहीं करता है।

श्रेम्स II क्या है?

डेटा प्रोटेक्शन कमिश्नर बनाम फेसबुक आयरलैंड और मैक्सिमिलियन श्रेम्स, जिसे श्रेम्स II के नाम से भी जाना जाता है, 16 जुलाई 2020 को संपन्न हुआ। संक्षेप में, यूरोपीय न्यायालय के निर्णय ने ईयू-यूएस गोपनीयता शील्ड को रद्द कर दिया, वह समझौता जो व्यक्तिगत के लिए सुरक्षा आवश्यकताओं को निर्दिष्ट करता है। यूरोपीय संघ के नागरिकों का डेटा अमेरिका भेजा गया।

इस मामले ने किसी भी यूएस स्वामित्व वाले और संचालित सर्वर के जीडीपीआर-अनुपालन उपयोग पर सवाल उठाया, इस तथ्य से उपजी है कि ईयू से व्यक्तिगत डेटा यूएस में फेसबुक क्लाउड सर्वर पर भेजा जा रहा था, और - क्लाउड अधिनियम के तहत, यूएस फॉरेन इंटेलिजेंस सर्विलांस अधिनियम, और अन्य आधिकारिक नीतियां - तब अमेरिकी खुफिया एजेंसियों द्वारा एक्सेस की जा सकती थीं। संक्षेप में, यूरोपीय संघ के नागरिकों का व्यक्तिगत डेटा जीडीपीआर के अनुसार पर्याप्त रूप से संरक्षित नहीं है जब इसे अमेरिकी कंपनियों के सर्वर पर स्थानांतरित किया जाता है।

ऑस्ट्रिया में श्रेम्स II का निर्णय

श्रेम्स II के फैसले के बाद, मैक्स श्रेम्सद्वारा स्थापित गैर-लाभकारी नोयब (यूरोपियन सेंटर फॉर डिजिटल राइट्स) ने विभिन्न कंपनियों के खिलाफ 101 शिकायतें दर्ज कीं, जिन्होंने यूरोपीय संघ के नागरिकों का डेटा अमेरिकी कंपनियों को हस्तांतरित किया। ऐसी ही एक शिकायत एक स्वास्थ्य वेबसाइट netdocktor.at के खिलाफ थी, जो वेबसाइट विज़िटर को ट्रैक करने के लिए Google Analytics का उपयोग करती थी। कई कंपनियों की तरह, यूरोपीय न्यायालय के निर्णय के बावजूद, netdoktor ने Google Analytics का उपयोग करना जारी रखा। Google, साथ ही अन्य यूएस-आधारित कंपनियों (अमेज़ॅन, फेसबुक, माइक्रोसॉफ्ट, आदि) ने यूरोपीय संघ के भागीदारों को यह समझाने में मदद करने के लिए मानक अनुबंध खंड (एससीसी) और तकनीकी और संगठनात्मक उपायों (टीओएम) पर भरोसा किया है कि उनके भौतिक और डिजिटल सुरक्षा उपाय ( डेटा केंद्रों के चारों ओर बाड़, डेटा एन्क्रिप्शन, छद्म नाम डेटा, आदि) उनके डेटा की सुरक्षा के लिए पर्याप्त थे।

लेकिन नेटडॉक्टर मामले में, ऑस्ट्रियाई डेटा प्रोटेक्शन अथॉरिटी ("डेटेंसचुट्ज़बेहोर्डे" या "डीएसबी") ने फैसला किया है कि यह पर्याप्त नहीं है। Google Analytics GDPR का उल्लंघन करता हैवे समझाते हैं:

" उल्लिखित संविदात्मक और संगठनात्मक उपायों के संबंध में, यह स्पष्ट नहीं है कि उपरोक्त विचारों के अर्थ में [माप] किस हद तक प्रभावी हैं।"

" जहां तक तकनीकी उपायों का संबंध है, यह भी पहचानने योग्य नहीं है (...) कि किस हद तक [उपाय] वास्तव में अमेरिकी कानून को ध्यान में रखते हुए अमेरिकी खुफिया एजेंसियों द्वारा पहुंच को रोकेगा या सीमित करेगा।"

इस फैसले के आधार पर कई विशेषज्ञों का मानना है कि यह तो अभी शुरुआत है. अभी भी कई शिकायतें हैं जो अदालत में अपना दिन पाने की प्रतीक्षा कर रही हैं, और उम्मीद है कि इसी तरह के निर्णय अन्य यूरोपीय संघ के सदस्य देशों द्वारा किए जाएंगे।

DSB ने अपने निर्णय में यह भी कहा कि वे यूरोपीय संघ के डेटा निर्यातक की स्पष्ट सहमति के बिना अमेरिकी सरकार को डेटा हस्तांतरण नियमों के संबंध में Google की और जांच करेंगे।

इस मामले में अभी तक कोई दंड नहीं दिया गया है, लेकिन अगर अदालत ऐसा करने का फैसला करती है, तो वे कंपनी के वैश्विक कारोबार के 4% के बराबर हो सकते हैं।

Google Analytics उपयोगकर्ताओं पर प्रभाव

हम वकील नहीं हैं और हम कानूनी सलाह नहीं दे सकते हैं, लेकिन ऐसा लगता है कि कोई भी कंपनी जो यूएस-आधारित कंपनियों द्वारा प्रदान की जाने वाली सेवाओं के माध्यम से यूरोपीय संघ के नागरिकों के डेटा को संसाधित करती है, वह जोखिम में है। वेब एनालिटिक्स के मामले में, Google Analytics दुनिया में नंबर एक है, लेकिन कई अन्य लोगों से सावधान रहने की जरूरत है। हमेशा जांचें कि कंपनी कहां शामिल है और उनके डेटा केंद्र कहां स्थित हैं।

दीर्घकालिक, इसका मतलब है कि अमेरिकी सरकार और अमेरिकी प्रदाताओं को अपनी वर्तमान नीतियोंऔर बुनियादी ढांचे में भारी बदलाव करना होगा: कानून पारित करना जो विदेशी नागरिकों के डेटा की सुरक्षा करता है और यूएस के बाहर विदेशी डेटा की मेजबानी करता है। यूरोपीय आयोग ईयू-यूएस गोपनीयता शील्ड के लिए एक प्रतिस्थापन खोजने के लिए उत्सुक है, लेकिन वर्तमान समय में आगे कोई कानूनी रास्ता नहीं है। बातचीत जारी है, लेकिन अभी भी अमेरिकी पक्ष में कानूनी बदलाव की आवश्यकता है। और वर्तमान राजनीतिक और आर्थिक माहौल के आधार पर, ये चीजें निकट भविष्य के लिए असंभव लगती हैं।

वेब एनालिटिक्स डेटा का भविष्य

चूंकि अदालत ने निष्कर्ष निकाला है कि Google Analytics GDPR के अनुरूप नहीं है, जिसे Google ने हाल के एक बयान में अस्वीकार कर दियाहै, सवाल यह है कि कंपनियां सुरक्षित, कम जोखिम वाले वेब एनालिटिक्स डेटा के लिए कहां जाती हैं। पहला कदम यूरोपीय संघ में स्थित उन कंपनियों पर शोध करना होगा, जो आईपी गुमनामी का उपयोग करती हैं, जो उपयोगकर्ता डेटा संग्रहीत नहीं करती हैं, और जो जीडीपीआर, टीटीडीएसजी, सीसीपीए और अन्य डेटा गोपनीयता कानूनों के अनुरूप हैं - जैसे विज़िटर एनालिटिक्स!

पूर्ण DSB निर्णय, जर्मन में, यहांपाया जा सकता है।