बवेरियन डेटा संरक्षण आयुक्त ने संयुक्त राज्य अमेरिका में डेटा के हस्तांतरण के संबंध में मेलचिम्प और श्रेम्प्स II फैसले के खिलाफ बात की है।

यह कोई जुर्माना नहीं है, न ही कोई सज़ा, बल्कि एक कानूनी मिसाल जो भविष्य में यूरोपीय संदर्भ में आगे की गति के लिए कई लीवर पैदा कर सकती है। लेकिन वास्तव में यह किस बारे में है? और यह निर्णय इतना महत्वपूर्ण क्यों हो सकता है?

हम इस बारे में बात कर रहे हैं Mailchimp, बाज़ार में सबसे प्रसिद्ध बल्क ईमेल टूल में से एक, ई यूरोपीय क्षेत्र के बाहर व्यक्तिगत डेटा भेजने काविशेष रूप से संयुक्त राज्य अमेरिका में. एक नाजायज प्रक्रिया, भले ही वह कुछ संविदात्मक शर्तों पर आधारित हो - खासकर यदि उसका पालन नहीं किया जाता है आगे के उपाय. और यह वास्तव में ये "आगे के उपाय" हैं, जो वास्तव में कभी निर्दिष्ट नहीं किए गए हैं, जो चर्चा का कारण बन रहे हैं।

श्रेम्स II निर्णय: क्या हुआ?

La बेएलडीए, या बवेरियन डीपीए, बवेरियन गोपनीयता गारंटर, ने हाल ही में संयुक्त राज्य अमेरिका में डेटा के हस्तांतरण के संबंध में श्रेम्स II निर्णय में पाए गए संकेतों का पालन करने में विफलता के कारण मेलचिम्प के खिलाफ फैसला सुनाया है।

निर्णय एक बहुत ही महत्वपूर्ण मिसाल कायम करता है डिजिटल कानून के क्षेत्र में. हालांकि कोई मौद्रिक या जेल दंड नहीं था, यह श्रेम्स II के बाद का पहला मामला है जो अधिकारियों द्वारा औपचारिक निर्णय के अधीन है। लेकिन चलिए क्रम से चलते हैं।

श्रेम्स II क्या है, वह निर्णय जो गोपनीयता कवच को अमान्य कर देता है?

सीजेईयू (यूरोपीय संघ के न्याय न्यायालय) ने 2015 में कार्यकर्ता वकील श्रेम्स के माध्यम से डेटा सुरक्षा पर स्पष्टीकरण के लिए एक अनुरोध भेजा था। इसका उद्देश्य आयरिश डेटा सुरक्षा पर्यवेक्षक से फेसबुक को यूरोपीय संघ से अमेरिका में डेटा स्थानांतरित करने के लिए मजबूर करने के लिए कहना था। मानक संविदात्मक धाराएँ।

हम जीडीपीआर जारी होने से पहले की अवधि और डेटा प्रोसेसिंग पर सभी खंडों के बारे में बात कर रहे हैं। यह फैसला 16 जुलाई, 2020 को आया और श्रेम्स II ने यूरोपीय संघ से अमेरिका में डेटा ट्रांसफर के लिए एक तंत्र के रूप में गोपनीयता शील्ड को अमान्य कर दिया, जो अमेरिकी डेटा के संबंध में अमेरिकी कंपनियों के लिए महत्वपूर्ण मार्गदर्शन प्रदान करता है। 'यूरोप।

संक्षेप में, संयुक्त राज्य अमेरिका में स्थानांतरण प्रदान करने के लिए, यह आवश्यक था डेटा सुरक्षा का पर्याप्त स्तर सुनिश्चित करें. आप कैसे हैं? Google और Microsoft जैसी बड़ी कंपनियों के डेटा केंद्र रणनीतिक रूप से पूरी दुनिया में स्थित हैं। हालाँकि, संयुक्त राज्य अमेरिका में व्यक्तिगत डेटा पर कानून यूरोपीय संघ से भिन्न हैं। दूसरे शब्दों में: एनएसए सुरक्षा एजेंसी इसे किसी भी समय एक्सेस कर सकती है।

जीडीपीआर के अपवाद इसी के लिए हैं: वे इसी बारे में हैं यूरोपीय आयोग और पर्यवेक्षी प्राधिकरण द्वारा अनुमोदित खंड जिन्हें कंपनी के अनुरोध पर अनुमोदित किया जाता है, और केवल अध्यादेश में वर्णित गतिविधि के लिए विशिष्ट मूल्य है। डेटा सुरक्षा के लिए विभिन्न मशीनों में एससीसी, या मानक अनुबंध खंड भी शामिल है। व्यवहार में, यूरोप में स्थित कंपनी और विदेशी कंपनी दोनों को एक विशिष्ट अनुबंध का उपयोग करने के लिए सहमत होना होगा जिसे पहले यूरोपीय संघ द्वारा अनुमोदित किया जाना चाहिए। डेटा विनिमय को प्रभावी बनाने के लिए SCC पर हस्ताक्षर करने की आवश्यकता होगी।

फिर भी श्रेम्स II का शासन किसी तरह से हुआ है आम तौर पर उपयोग की जाने वाली मानक प्रक्रियाओं को कम कर दिया गया, "अतिरिक्त उपाय" लागू किए गए”। इस मामले की अस्पष्टता ने कई कंपनियों को इस गुत्थी से बचने के लिए प्रेरित किया है, बस इसे नज़रअंदाज़ करने के लिए इसे दरकिनार कर दिया है। हालाँकि, अधिकारियों को कुछ करना होगा और शायद, BayLDA के फैसले से, समझौते की दिशा में एक नया कदम उठाया जा सकता है।

बवेरिया में क्या हुआ? "आगे के उपायों" के बारे में क्या?

एक बवेरियन नागरिक को, मेलचिम्प के माध्यम से एक स्थानीय पत्रिका की ओर से एक मेलिंग सूची प्राप्त हुई, उसने सक्षम प्राधिकारी के पास शिकायत दर्ज करने का निर्णय लिया। इस प्राधिकरण ने यह कहकर अपने हाथ आगे बढ़ा दिए हैं कि यूरोपीय संघ का डेटा संयुक्त राज्य अमेरिका को भेजना हमेशा नाजायज नहीं होता है, हालाँकि ऐसा तब होता है जब यूरोपीय न्यायालय द्वारा व्याख्या किए गए जीडीपीआर के निर्देशों का सम्मान नहीं किया जाता है। संक्षेप में: मेलचिम्प ने यह काम किया, लेकिन यह नहीं कहा गया है कि यूएसए में डेटा ट्रांसफर धोखाधड़ी था। सबसे पहले आपको उपयोग की गई स्थानांतरण विधियों का अध्ययन करके इसे प्रदर्शित करने की आवश्यकता है।

एक अमेरिकी कंपनी मेलचिम्प अपना लेकर आई है "अतिरिक्त उपायों" की व्याख्या जिसके बारे में हमने पहले बात की थी. हालाँकि, श्रेम्स II से, अंतिम संस्करण अभी तक प्रकाशित नहीं हुआ है।

हालाँकि पर्यवेक्षी प्राधिकरण ने किसी तरह से मेलचिम्प के प्रस्ताव का समर्थन किया है, कंपनी को कम से कम अमेरिकी क्षेत्र में डेटा भेजने की समस्या का समाधान करना चाहिए था, ऑपरेशन के जोखिम की डिग्री का आकलन करने के लिए कम से कम एक डीपीआईए करना चाहिए था। कहने की आवश्यकता नहीं कि यह मूल्यांकन कभी नहीं किया गया।

इन "अतिरिक्त उपायों" को पूर्ण रूप से प्रकाशित करने में विफलता के कारण ही प्राधिकरण ने मेलचिम्प को मंजूरी नहीं देने का निर्णय लिया है। और न ही डेटा नियंत्रक है.

यह इतना महत्वपूर्ण निर्णय क्यों है?

मेलचिम्प का निर्णय मौलिक है क्योंकि, अगर पहली बार पढ़ने पर यह ढेर सारी धोखाधड़ी वाली कार्रवाइयों का अग्रदूत लग सकता है, तो इसके बजाय यह श्रेम्स II वाक्य को लागू करने की दिशा में पहला कदम है, जो अब तक धूल फांक रहा है।

किस प्रकार का जुर्माना लगाया गया?

जैसा कि हमने कहा, मेलचिम्प को किसी भी प्रकार का जुर्माना नहीं मिला है। हालाँकि, प्राधिकरण ने यह सुनिश्चित किया कि, हालाँकि डेटा को अस्वीकार्य तरीकों का उपयोग करके स्थानांतरित किया गया था, अधिकृत व्यक्ति - यानी स्वतंत्र नागरिक - के पास मंजूरी का अनुरोध करने की कोई शक्ति नहीं थी।

संक्षेप में, एक निजी व्यक्ति यह Mailchimp जैसे मामले में इंस्टेंस को स्थानांतरित नहीं कर सकता है. आख़िरकार, यह मामला इच्छुक पक्ष के अधिकारों और स्वतंत्रता से संबंधित नहीं है, बल्कि इसका उद्देश्य कानून को लागू करने में सार्वजनिक हित पर ज़ोर देना है।

इस निर्णय के संभावित भविष्य परिदृश्य क्या हैं?

यह कहना मुश्किल है कि इस वाक्य के वास्तविक परिणाम क्या होंगे, जिसे फिलहाल एक वैध मिसाल माना जा सकता है। वास्तव में, ऐसा हो सकता है कि अन्य अधिकारी मौद्रिक प्रतिबंधों के बिना अवैधता के निर्णयों की ओर झुकें। या फिर इन "अतिरिक्त उपायों" का बहुप्रतीक्षित विकास हो सकता है।

एकमात्र निश्चित बात यह है कि जुर्माने के बावजूद, मेलचिम्प ने अपनी छवि खोते हुए अपने ग्राहकों के सामने एक बुरा प्रभाव डाला है।