Schrems II, पांच साल बाद

वह फैसला जिसे नियम बदलने में तीन घंटे लगे

16 जुलाई, 2020 को, लक्ज़मबर्ग समय के अनुसार सुबह लगभग सवा दस बजे, यूरोपीय संघ के न्यायालय (TJUE) ने मामला C-311/18 का फैसला सार्वजनिक किया। अगले तीन घंटों में, कानूनी शासन जिसने यूरोप से संयुक्त राज्य अमेरिका में व्यक्तिगत डेटा के दैनिक हस्तांतरण का समर्थन किया था — जिसे आधिकारिक तौर पर गोपनीयता शील्ड (Privacy Shield) कहा जाता था — अस्तित्व में नहीं रहा। जब यूरोपीय डेटा सुरक्षा अधिकारियों ने उस दिन दोपहर का भोजन समाप्त किया, तो वह ढांचा जिसके तहत उनकी कंपनियां और प्रशासन काम करते थे, अब काम का नहीं रहा।

इस फैसले को आज मैक्सिमिलियन श्रेम्स (Maximilian Schrems) के नाम पर Schrems II के रूप में जाना जाता है, जो ऑस्ट्रियाई कार्यकर्ता हैं जिनकी फेसबुक आयरलैंड के खिलाफ शिकायत ने इसे शुरू किया था। शिकायत, विशेष रूप से, फेसबुक आयरलैंड और फेसबुक संयुक्त राज्य अमेरिका के बीच हस्तांतरण से संबंधित थी। फैसला, सामान्य तौर पर, इससे बहुत आगे जाता है: यह तय करता है कि यूरोपीय क्षेत्र में एकत्र किए गए किसी भी व्यक्तिगत डेटा को संयुक्त राज्य अमेरिका में कैसे और किन शर्तों के तहत स्थानांतरित किया जा सकता है।

लगभग छह साल बाद, प्रतिस्थापन ढांचा मौजूद है — EU-US Data Privacy Framework, जिसे जुलाई 2023 में अपनाया गया था — और वह भी कानूनी दबाव में है। एक नया दौर Schrems तैयार हो रहा है। इस बीच, छोटे और मध्यम आकार के यूरोपीय व्यवसाय रोजमर्रा के कार्यों के लिए अमेरिकी क्लाउड सेवाओं का उपयोग करना जारी रखते हैं, अधिकांश यह जाने बिना कि उन सेवाओं का कानूनी प्रश्न जिस पर वे टिके हैं, अभी भी खुला है।

Schrems II ने वास्तव में क्या कहा

फैसला तीन टुकड़ों पर टिका है। पहला यूरोपीय संघ के मौलिक अधिकारों का चार्टर है, विशेष रूप से इसके artículos 7 (निजी और पारिवारिक जीवन), 8 (व्यक्तिगत डेटा की सुरक्षा) और 47 (प्रभावी न्यायिक सुरक्षा)। दूसरा सामान्य डेटा संरक्षण विनियमन है — RGPD जिसे कई यूरोपीय केवल कुकी नोटिस के लिए याद रखते हैं — विशेष रूप से इसका अध्याय V, artículos 44 से 50, अंतर्राष्ट्रीय हस्तांतरण पर। तीसरा अमेरिकी खुफिया कानून है: विदेशी खुफिया निगरानी अधिनियम की धारा 702, कानूनी शब्दजाल में FISA 702, और राष्ट्रपति का कार्यकारी आदेश 12333।

अदालत ने इसके विपरीत कार्यवाही की। मौलिक अधिकारों के चार्टर की आवश्यकता है कि यूरोपीय नागरिकों के व्यक्तिगत डेटा को, जब वे संघ छोड़ते हैं, तो RGPD द्वारा गारंटीकृत सुरक्षा के अनिवार्य रूप से समकक्ष स्तर का आनंद लेना चाहिए। प्रश्न, परिणामस्वरूप, यह था कि क्या संयुक्त राज्य अमेरिका वह अनिवार्य रूप से समकक्ष स्तर प्रदान करता है।

उत्तर नकारात्मक था, और बारीकियों के कारण नहीं। FISA 702 अमेरिकी सरकार को पूर्व व्यक्तिगत न्यायिक प्राधिकरण के बिना, प्रभावित व्यक्ति को अधिसूचना के बिना, और यूरोपीय के बराबर प्रभावी उपाय के बिना राष्ट्रीय क्षेत्र के बाहर स्थित गैर-अमेरिकियों के संचार एकत्र करने की अनुमति देता है। कार्यकारी आदेश 12333 राष्ट्रीय क्षेत्र के बाहर भी इसी तरह से उस क्षमता का विस्तार करता है। अदालत ने निष्कर्ष निकाला कि अमेरिकी कानूनी प्रणाली के सामने यूरोपीय नागरिक के पास चार्टर के लिए आवश्यक अनिवार्य रूप से समकक्ष सुरक्षा नहीं है। इसलिए, समानता मौजूद नहीं है।

इसलिए सीधा परिणाम: यूरोपीय आयोग का निर्णय 2016/1250, जिसने हस्तांतरण के लिए पर्याप्त ढांचे के रूप में प्राइवेसी शील्ड को मान्य किया था, अमान्य घोषित कर दिया गया। केवल उस ढांचे के तहत कवर किया गया कोई भी स्थानांतरण उसी क्षण से कानूनी आधार के बिना रह गया।

क्या जीवित रहा (और किन शर्तों के तहत)

Schrems II ने सभी उपकरणों को समाप्त नहीं किया। मानक अनुबंध खंड — अंतर्राष्ट्रीय शब्दजाल में SCC — जीवित रहे। वे यूरोपीय आयोग द्वारा अनुमोदित मॉडल अनुबंध हैं: एक यूरोपीय निर्यातक और गंतव्य देश का एक आयातक उन पर हस्ताक्षर करते हैं जो यूरोपीय मानक के अनुसार डेटा के उपचार के लिए प्रतिबद्ध हैं। जिस कंपनी ने सोचा कि उसने 17 जुलाई, 2020 को समस्या हल कर ली है, उसने अपने प्रदाता के साथ SCC पर हस्ताक्षर किए और संतुष्ट हो गई।

फैसले को धीरे-धीरे पढ़ने पर बेचैनी हुई। अदालत ने स्पष्ट किया कि SCC वैध बने हुए हैं, लेकिन उनकी वैधता एक शर्त पर निर्भर करती है जिसे रेखांकित किया जाना चाहिए: कि डेटा का आयातक अभ्यास में उनका पालन कर सके। यदि गंतव्य देश का राष्ट्रीय कानून उसे खंडों का पालन करने से रोकता है — क्योंकि, उदाहरण के लिए, FISA 702 के तहत एक आदेश उसे अपने यूरोपीय समकक्ष को सूचित किए बिना डेटा देने के लिए मजबूर करता है — तो खंड वास्तव में रक्षा नहीं करते हैं। और फिर, अदालत कहती है, यूरोपीय निर्यातक को स्थानांतरण को निलंबित करना चाहिए।

इसने यूरोपीय डेटा सुरक्षा अभ्यास में एक नई वस्तु पेश की: स्थानांतरण प्रभाव मूल्यांकन (Transfer Impact Assessment), या TIA के रूप में जाना जाता है। हर बार जब कोई यूरोपीय कंपनी SCC के संरक्षण में संयुक्त राज्य अमेरिका में डेटा स्थानांतरित करना चाहती है, तो उसे औपचारिक रूप से मूल्यांकन करना चाहिए कि क्या प्राप्तकर्ता उस पर लागू कानून को देखते हुए खंडों का पालन कर सकता है। यूरोपीय डेटा सुरक्षा बोर्ड (EDPB) ने TIA संचालित करने के तरीके पर विस्तृत मार्गदर्शन प्रकाशित किया। ईमानदार अभ्यास अक्सर एक ही परिणाम देता है: यदि आयातक क्लाउड दिग्गज की अमेरिकी सहायक कंपनी है, तो TIA का ईमानदार उत्तर यह है कि खंडों का पालन वैसे नहीं किया जा सकता जैसे वे लिखे गए हैं।

Privacy Framework और लंबित Schrems III

10 जुलाई, 2023 को, यूरोपीय आयोग ने एक नया पर्याप्तता निर्णय अपनाया: 2023/1795। यह मृत Privacy Shield की जगह लेता है और EU-US Data Privacy Framework के नाम से संचालित होता है। संयुक्त राज्य अमेरिका ने पहले कार्यकारी आदेश (Executive Order) 14086 के माध्यम से अपने आंतरिक शासन को संशोधित किया था, जो सिग्नल इंटेलिजेंस के दायरे को "आवश्यक और आनुपातिक" तक सीमित करता है — यूरोपीय पाठक के लिए परिचित शब्दावली, अमेरिकी प्रशासनिक अभ्यास के लिए इतनी नहीं — और डेटा प्रोटेक्शन रिव्यू कोर्ट (DPRC) नामक एक समीक्षा निकाय बनाता है। आयोग ने माना कि ये संशोधन अनिवार्य रूप से समकक्ष स्तर को बहाल करने के लिए पर्याप्त थे।

Schrems द्वारा स्थापित संगठन noyb ने 7 सितंबर, 2023 को नए निर्णय के खिलाफ शिकायत दर्ज की। तर्क अपेक्षित हैं: DPRC चार्टर के artículo 47 के अर्थ में एक स्वतंत्र अदालत नहीं है; "आवश्यक और आनुपातिक" अवधारणाएं यूरोपीय मानकों का यंत्रवत् अनुवाद नहीं करती हैं; और, अंत में, एक सुरक्षा जो कार्यकारी आदेश पर टिकी है उसे अगले कार्यकारी आदेश द्वारा रद्द किया जा सकता है। नए निर्णय पर TJUE का एक फैसला — जिसे कई लोग पहले से ही, कुछ इस्तीफे के साथ, Schrems III कह रहे हैं — आने वाले वर्षों में अपेक्षित है। परिणाम का अनुमान नहीं लगाया जा सकता है। तर्क की संरचना, किसी भी मामले में, 2020 की बहुत याद दिलाती है।

यूरोपीय PYME जो नहीं सुनती है

जबकि TJUE का बड़ा कक्ष विचार-विमर्श करता है, मध्यम आकार की कानूनी फर्म यूरोपीय क्षेत्रों में होस्ट किए गए लेकिन FISA 702 के अधीन अमेरिकी कंपनी के स्वामित्व वाले Microsoft 365 के माध्यम से अपने ग्राहकों के साथ पत्राचार का आदान-प्रदान करना जारी रखती है। निजी चिकित्सा परामर्श Google Workspace के माध्यम से कैलेंडर सिंक करता है। कर सलाहकार DocuSign के माध्यम से हस्ताक्षरित घोषणाएं भेजता है। मनोवैज्ञानिक Notion में स्प्रेडशीट से बिल बनाता है। श्रम कानून फर्म Dropbox में फाइलें संग्रहित करती है। और लगभग वे सभी, इसके अलावा, WhatsApp के माध्यम से अपने ग्राहकों की सेवा करते हैं। प्रदाताओं के अनुसार, यह सब पर्याप्तता निर्णय 2023/1795 के तहत संचालित हो सकता है। जिस दिन वह निर्णय Schrems III में गिरेगा, वे सभी संबंध उसी सेकंड असुरक्षित हो जाएंगे।

प्रश्न बयानबाजी का नहीं है। 2022 और 2024 के बीच, कई यूरोपीय अधिकारियों ने उचित स्थानांतरण उपकरण के बिना Google Analytics का उपयोग करने के लिए डेटा नियंत्रकों के खिलाफ मामलों का निपटारा किया, Privacy Framework के लागू होने से पहले ही TJUE के तर्क के शाब्दिक अनुप्रयोग में। फ्रांसीसी प्राधिकरण, CNIL, 2022 में मानदंड को औपचारिक रूप देने वाला पहला था; ऑस्ट्रियाई, इतालवी और अन्य अधिकारी कुछ ही समय बाद पीछे हो गए। यूरोपीय PYME के वर्तमान परिचालन डिजाइन के तहत गैर-अनुपालन, वास्तविक समय में दर्ज किया गया है जो देखना जानता है।

TIA एक उपकरण के रूप में, रस्म के रूप में नहीं

यूरोपीय कार्यालयों के माध्यम से प्रसारित होने वाली TIA का एक बड़ा हिस्सा, ध्यान से पढ़ने पर, औपचारिक अभ्यास हैं। वे अनुबंध उपकरणों को सूचीबद्ध करते हैं, प्रदाता के प्रमाणपत्रों की गणना करते हैं, तकनीकी गारंटी का हवाला देते हैं, बॉक्स को चेक करते हैं। बहुत कम लोग गंभीरता से पूछते हैं कि क्या FISA 702 आदेश प्रदाता को डेटा देने के लिए मजबूर करेगा। और भी कम लोग पूछते हैं कि Privacy Framework की काल्पनिक समीक्षा के तहत उस स्थानांतरण का क्या होगा। RGPD का artículo 5 डेटा नियंत्रक को अनुपालन प्रदर्शित करने में सक्षम होने की आवश्यकता है। एक TIA जो गंभीरता से नहीं की गई है वह कुछ भी साबित नहीं करती है; जो वह साबित करती है वह कागज पर अनुपालन करने की इच्छा है जबकि अभ्यास में इसके विपरीत किया जाता है।

TIA का ईमानदार संस्करण एक साधारण प्रश्न के साथ शुरू होता है: क्या होगा यदि कल इस प्रदाता को इस विशिष्ट डेटा पर FISA 702 आदेश प्राप्त हो? यदि ईमानदार उत्तर है "उसे हमें सूचित किए बिना उन्हें सौंपना होगा", तो अनुबंध खंड समस्या का समाधान नहीं करते हैं। जो इसे हल करता है, उन मामलों में जहां प्रश्न वास्तव में मायने रखता है, वह है उस प्रदाता के हाथों में डेटा न देना।

संरचनात्मक जोखिम के रूप में राजनीतिक परिवर्तन

एक अतिरिक्त स्तर है, राजनीतिक, जिसे बिना किसी नाटक के नामित करना उचित है। पर्याप्तता निर्णय 2023/1795 अंततः कार्यकारी आदेश 14086 पर निर्भर करता है, जिस पर अक्टूबर 2022 में राष्ट्रपति बिडेन ने हस्ताक्षर किए थे। एक कार्यकारी आदेश पर एक राष्ट्रपति द्वारा हस्ताक्षर किए जाते हैं और अगले द्वारा इसे रद्द, संशोधित या खाली किया जा सकता है। संयुक्त राज्य अमेरिका में यूरोपीय डेटा की सुरक्षा इस प्रकार एक प्रशासनिक निर्णय पर निर्भर करती है जिसे न तो अमेरिकी कांग्रेस गारंटी देती है और न ही अमेरिकी कानूनी प्रणाली उतनी मजबूती से रक्षा करती है जितनी वह अन्य आंतरिक मामलों की रक्षा करती है। जनवरी 2025 से एक नया प्रशासन संयुक्त राज्य अमेरिका पर शासन करता है, और EO 14086 की व्यावहारिक निरंतरता पर प्रश्न एक परिकल्पना से हटकर समकालीन हो गया है। कोई भी परिदृश्य जिसमें प्रशासन आदेश को वापस लेने या कम करने का निर्णय लेता है, यूरोपीय निर्णय को उस टुकड़े के बिना छोड़ देगा जिस पर वह बनाया गया था।

यह एक साजिश का तर्क नहीं है। यह कानूनी डिजाइन का शांत पठन है। ट्रान्साटलांटिक डेटा सुरक्षा ढांचे पहले ही दो बार गिर चुके हैं: 2015 में सेफ हार्बर (Schrems I फैसला), 2020 में प्राइवेसी शील्ड (Schrems II)। तीसरा अपने दो पूर्ववर्तियों की तुलना में अधिक नाजुक टुकड़े पर टिका है। एक यूरोपीय कंपनी जो आज उस टुकड़े पर अपने डेटा प्रसंस्करण का दांव लगा रही है, वह जोखिम प्रबंधन का निर्णय ले रही है, न कि केवल नियामक अनुपालन का।

पेशेवर पाठक के लिए

पेशेवर डेटा के लिए क्लाउड सेवा चुनने से पहले पूछे जाने वाले परिचालन प्रश्न — उस कठोरता के साथ जो एक डेटा सुरक्षा निरीक्षक उन्हें उठाएगा — निम्नलिखित हैं:

1. डेटा भौतिक रूप से कहाँ संग्रहीत है? यदि ऑपरेटर अमेरिकी है तो एक यूरोपीय क्षेत्र पर्याप्त उत्तर नहीं है।
2. सेवा का संचालन कौन करता है, यह किस अधिकार क्षेत्र में शामिल है, और इसे किन कानूनी आदेशों के अधीन किया जा सकता है?
3. कौन सा स्थानांतरण उपकरण लागू किया गया है: पर्याप्तता निर्णय 2023/1795, TIA के साथ SCC, RGPD के artículo 49 का उल्लंघन? क्या निरीक्षण के सामने उस विकल्प का बचाव किया जा सकता है?
4. यदि पर्याप्तता निर्णय कल गिर जाता है, तो गतिविधि बनाए रखने के लिए कौन सी परिचालन योजना मौजूद है?
5. क्या उस कार्य के लिए कोई यूरोपीय या स्व-होस्टेड विकल्प मौजूद है, और माइग्रेट करने की वास्तविक लागत क्या होगी?

रोजमर्रा के कार्यालय के सभी कार्यों के लिए एक ही उत्तर की आवश्यकता नहीं होती है। आंतरिक लेखांकन के लिए एक स्प्रेडशीट शायद इस स्तर तक प्रश्न नहीं उठाती है। ग्राहक की आपराधिक फाइल, मेडिकल रिकॉर्ड, कर्मचारियों का पेरोल, हाँ। आनुपातिकता वैध है; सामूहिक जड़ता जिसके साथ यूरोपीय PYME हर चीज के लिए अमेरिकी प्रदाताओं के पास रहा है — यहाँ तक कि सबसे संवेदनशील चीजों के लिए भी — वह नहीं है।

---

Schrems II इस जुलाई में छह साल का हो जाएगा। इस फैसले ने अधिकांश यूरोपीय कंपनियों की रोजमर्रा की आदतों को नहीं बदला है। हालांकि, इसने उन जोखिमों के मानचित्र को बदल दिया है जिनसे ये कंपनियां अवगत हैं। जब एक अमेरिकी प्रशासनिक निर्णय यूरोपीय विनियमन और एक PYME के वास्तविक संचालन के बीच आता है, तो कम से कम यह जानना उचित है कि निर्णय वहां है, और यह नाजुक है। हममें से जिन्होंने बिना किसी मध्यस्थ ऑपरेटर के आर्किटेक्चर को चुना है — वह धागा जो Cuadernos Lacre के माध्यम से चलता है — वे हर बार जब कोई Schrems अपील दायर करने के लिए बैठते हैं, तो इस तरह के विश्लेषण को लिखने से बचना पसंद करेंगे। लेकिन हम उन्हें करते रहेंगे।