GDPR डेटा ट्रांसफर वह एकमात्र अनुपालन जोखिम है जिसे आप आर्किटेक्चर से ही खत्म कर सकते हैं

अधिकांश GDPR जोखिम प्रक्रियात्मक होते हैं — एक नोटिस जिसे आप फिर से लिख सकते हैं, एक रिटेंशन विंडो जिसे आप छोटा कर सकते हैं, एक consent फ़्लो जिसे आप ठीक कर सकते हैं। अंतरराष्ट्रीय डेटा ट्रांसफर अलग हैं। ये एक ऐसे कानूनी साधन पर निर्भर करते हैं जिसे न तो आप नियंत्रित करते हैं और न ही पैच कर सकते हैं, और उस साधन को एक दशक में दो बार रद्द किया जा चुका है। इसका एकमात्र टिकाऊ समाधान आर्किटेक्चरल है: डेटा को पहली जगह में कभी ट्रांसफर ही न करें।

ट्रांसफर मैकेनिज्म बार-बार ढहता रहता है

GDPR का Chapter V बिना किसी वैध ट्रांसफर मैकेनिज्म के ऐसे देश में व्यक्तिगत डेटा भेजने से रोकता है जहाँ सुरक्षा का पर्याप्त स्तर न हो। EU-से-US प्रवाहों के लिए, उस मैकेनिज्म की एक कब्रगाह है। CJEU ने 2015 में Safe Harbour (Schrems I) और 2020 में Privacy Shield (Schrems II) को अमान्य कर दिया, दोनों ही इसलिए क्योंकि US निगरानी कानून ने EU नागरिकों को कोई वास्तविक उपाय नहीं दिया।

वर्तमान साधन है EU-US Data Privacy Framework (DPF), जिसे 2023 में अपनाया गया। 3 सितंबर 2025 को EU की General Court ने Latombe v Commission (Case T-553/23) में इसके खिलाफ पहली चुनौती को खारिज कर दिया और Commission के adequacy decision को बरकरार रखा।

लेकिन यहीं कहानी खत्म नहीं होती। Latombe ने 31 अक्टूबर 2025 को Court of Justice में अपील दायर की, और noyb — Max Schrems की संस्था — ने संकेत दिया है कि वह DPF के खिलाफ उन्हीं निगरानी आधारों पर एक व्यापक चुनौती तैयार कर रही है जिन्होंने पिछले दो फ्रेमवर्क को डुबो दिया था। जिस अदालत ने Safe Harbour और Privacy Shield को खत्म किया, वह एक बार फिर इस पर नज़र डालेगी।

यह खास तौर पर एनालिटिक्स पर ही क्यों आ गिरता है

एनालिटिक्स वह सबसे आम तरीका है जिससे कोई छोटी EU साइट बिना जाने-समझे US ट्रांसफर करने लगती है। ब्राउज़र एक event भेजता है; एक US-मुख्यालय वाला एनालिटिक्स प्रदाता US इन्फ्रास्ट्रक्चर पर विज़िटर का IP address और व्यवहारिक डेटा प्राप्त करता है। यह व्यक्तिगत डेटा का ट्रांसफर है, और यह उसी कानूनी स्थिति को विरासत में पा लेता है जो किसी भी दिए गए दिन DPF के पास होती है।

रेगुलेटर इसे DPF के अस्तित्व में आने से पहले ही गैरकानूनी मान चुके थे। noyb की समन्वित शिकायतों के बाद, Austrian DSB ने 2022 में फैसला सुनाया कि Google Analytics के ज़रिए EU-से-US ट्रांसफर Chapter V का उल्लंघन करते हैं, और फ्रांस, इटली, डेनमार्क, फ़िनलैंड, स्वीडन और नॉर्वे के DPAs ने उसी तर्क के साथ इसका अनुसरण किया। US सर्वर तक पहुँचने वाला IP address ही पर्याप्त था।

अगर CJEU DPF को अमान्य कर देता है, तो ये फैसले रातों-रात फिर से वही टेम्पलेट बन जाएंगे — हर उस टूल के लिए जो अब भी EU विज़िटर डेटा को US की ओर रूट कर रहा है।

जोखिम को आर्किटेक्चर से खत्म करना

आप DPF को अधिक स्थिर नहीं बना सकते। लेकिन आप एक ऐसा डेटा प्रवाह बना सकते हैं जिसमें शुरू से ही Chapter V का कोई एक्सपोज़र न हो। दो गुण ऐसा कर देते हैं:

एज (edge) पर, इन-रीजन प्रोसेस करें। Cloudflare की Data Localization Suite किसी Worker को प्रोसेसिंग और logs को EU डेटा सेंटरों तक सीमित करने देती है, ताकि रिक्वेस्ट उस रीजन को कभी न छोड़े जहाँ से वह उत्पन्न हुई थी। डेटा को कहाँ संभाला जाए, इसका निर्णय एक इन्फ्रास्ट्रक्चर कॉन्फ़िगरेशन बन जाता है — न कि कोई कानूनी साधन जिसके अपील में बचे रहने की आप उम्मीद करते हैं।

पहचान वाले इनपुट को कभी persist न करें। कच्चा IP और User-Agent जो किसी रिक्वेस्ट को "व्यक्तिगत डेटा" बनाते हैं, मेमोरी में केवल इतनी देर तक मौजूद रहते हैं कि एक दैनिक visitor hash की गणना हो जाए, फिर उन्हें छोड़ दिया जाता है:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

जो स्टोर होता है वह hash है, इनपुट नहीं। चूँकि salt रोज़ाना बदलता है और गुप्त रहता है, इसलिए hash को न तो किसी व्यक्ति तक उल्टा किया जा सकता है और न ही दिनों के पार जोड़ा जा सकता है। कोई profile नहीं होता, और पहचान वाला कुछ भी कभी सीमा पार नहीं करता क्योंकि पहचान वाला कुछ भी कभी रखा ही नहीं जाता।

आप प्रवाह की भौगोलिकता को wire पर ही सत्यापित कर सकते हैं। एक pageview beacon उस first-party endpoint के लिए एक ही रिक्वेस्ट होती है जिसे आप नियंत्रित करते हैं:

POST /collect HTTP/2
Host: api.monoid.website
Content-Type: application/json

{"site_id":"...","path":"/pricing","referrer":"..."}

अगर api.monoid.website EU edge nodes पर resolve होता है और Worker अपने storage को EU में pin करता है, तो path में कोई US प्रोसेसर नहीं है, भरोसा करने को कोई adequacy decision नहीं है, और खुलासा करने को कोई ट्रांसफर नहीं है। फिर भी विज़िटर का देश आपके पास पहुँच जाता है — जो edge के अपने geolocation से प्राप्त होता है, न कि IP को किसी तीसरे पक्ष तक भेजने से।

इससे जो अनुपालन मुद्रा बनती है

जो ट्रांसफर आप कभी करते ही नहीं, वह ऐसा ट्रांसफर है जिसका आपको कभी बचाव नहीं करना पड़ता। आपके records of processing में उद्धृत करने को कोई DPF नहीं है, बनाए रखने को कोई standard contractual clauses नहीं हैं, कानूनी आधार बदलने पर फिर से करने को कोई transfer impact assessment नहीं है, और किसी तीसरे देश में कोई sub-processor नहीं है जिसका खुलासा उन पारदर्शिता नियमों के तहत करना पड़े जिनका रेगुलेटर 2026 में ऑडिट कर रहे हैं।

हर दूसरा एनालिटिक्स अनुपालन कार्य कुछ ऐसा है जिसे आप करते रहते हैं। ट्रांसफर को खत्म करना कुछ ऐसा है जिसे आप एक बार, आर्किटेक्चर में, करते हैं और फिर उसके बारे में सोचना बंद कर देते हैं — चाहे CJEU अपील पर कुछ भी फैसला दे।

स्रोत

• Court of Justice of the EU — प्रेस विज्ञप्ति: General Court ने Latombe की कार्रवाई खारिज की (Case T-553/23)
• IAPP — European General Court ने Latombe चुनौती खारिज की, EU-US Data Privacy Framework को बरकरार रखा
• noyb — Austrian DSB: Google Analytics को EU-US डेटा ट्रांसफर अवैध
• noyb — और EU DPAs ने Google Analytics को रोकने का आदेश दिया
• Cloudflare — Data Localization Suite