जीडीपीआर का आईएसएस से सामना: अदालतें डेटा नियंत्रक भूमिकाओं की व्याख्या कैसे कर रही हैं

जेहोवान तोडिस्टाजात केस (C-25/17): संयुक्त नियंत्रण का ऑफलाइन अनुप्रयोग

भले ही ISS पर केंद्रित न हो, जेहोवान तोडिस्टाजात केस ने संयुक्त नियंत्रण के व्यापक दायरे को और मजबूत किया। धार्मिक समुदाय के सदस्यों ने दरवाजा-दरवाजा प्रचार के दौरान औपचारिक दस्तावेजीकरण या केंद्रीकृत भंडारण के बिना व्यक्तिगत डेटा एकत्र किया।

मुख्य निष्कर्ष:

• धार्मिक समुदाय और व्यक्तिगत सदस्य GDPR के तहत संयुक्त नियंत्रक थे, भले ही औपचारिक समन्वय या पूर्ण डेटासेट तक पहुंच न हो।
• न्यायालय ने साझा उद्देश्यों के महत्व पर जोर दिया नियंत्रण स्थापित करने में, भले ही तकनीकी साधन खंडित हों।

ISS के लिए निहितार्थ:

• प्लेटफॉर्म और संबद्ध संगठन जो उपयोगकर्ता डेटा संग्रह पर—यहां तक कि अनौपचारिक रूप से—सहयोग करते हैं, संयुक्त रूप से उत्तरदायी हो सकते हैं।
• अनौपचारिक या विकेंद्रीकृत प्रसंस्करण संरचनाएं संयुक्त नियंत्रण दायित्वों से इकाइयों को बचाती नहीं हैं।

बुंडेसकार्टेलाम्ट बनाम मेटा (केस T-201/22): प्रतिस्पर्धा GDPR से मिलती है

भले ही अभी भी न्यायिक विकास के अधीन हो, जर्मन प्रतिस्पर्धा प्राधिकरण का फेसबुक (अब मेटा) के खिलाफ केस अत्यधिक डेटा संग्रह प्रथाओं को GDPR और प्रतिस्पर्धा कानून दोनों के तहत चुनौती देता है। CJEU को स्पष्ट करना होगा कि क्या प्लेटफॉर्म प्रभुत्व और उपयोगकर्ता सहमति डेटा संरक्षण सिद्धांतों के तहत परस्पर क्रिया करते हैं।

उभरता रुझान:

• न्यायालय और नियामक प्लेटफॉर्म-व्यापी ट्रैकिंग और सेवाओं के पार डेटा एकीकरण को संभावित रूप से दुरुपयोगपूर्ण या गैरकानूनी मानने लगे हैं जब सूचित, स्वतंत्र रूप से दी गई सहमति न हो।

ISS प्रदाताओं के लिए मुख्य takeaways

1. संयुक्त नियंत्रण का सक्रिय रूप से मूल्यांकन करें
   किसी भी सहयोग जिसमें साझा टूल्स, प्लगइन्स, या एनालिटिक्स फीचर्स शामिल हों, संयुक्त जिम्मेदारियां पैदा कर सकते हैं। व्यवस्थाओं को औपचारिक बनाएं और अनुबंधों और प्राइवेसी पॉलिसी के माध्यम से भूमिकाओं को स्पष्ट करें।
2. प्रसंस्करण चरणों को विभाजित करें
   दायित्व केवल प्रसंस्करण के कुछ चरणों पर लागू हो सकता है। स्पष्ट रूप से पहचानें कि आपकी संगठन कहां डेटा संग्रह और हस्तांतरण शुरू करता है या योगदान देता है।
3. पारदर्शिता और सहमति तंत्रों को मजबूत करें
   तीसरे पक्ष के टूल्स एम्बेड कर रहे हैं? उन्हें प्रमुख रूप से खुलासा करें और जहां कानूनी रूप से आवश्यक हो, उपयोगकर्ता सहमति प्राप्त करें—विशेष रूप से मार्केटिंग और प्रोफाइलिंग के लिए।
4. संयुक्त नियंत्रक समझौते (JCA) लागू करें
   अनुच्छेद 26 GDPR के तहत, संयुक्त नियंत्रकों को एक संयुक्त नियंत्रक समझौता स्थापित करना चाहिए, जो जिम्मेदारियों को आवंटित करता है और डेटा विषयों के लिए संपर्क बिंदु प्रदान करता है।
5. डेटा संरक्षण से परे कानूनी विकासों का ट्रैक रखें
   संयुक्त नियंत्रण के मुद्दे अब प्रतिस्पर्धा कानून, उपभोक्ता संरक्षण, और प्लेटफॉर्म विनियमन से जुड़ गए हैं। डिजिटल सेवाओं को प्रभावित करने वाले व्यापक कानूनी रुझानों से अवगत रहें।

निष्कर्ष

CJEU का विकसित हो रहा केस लॉ दृढ़ रूप से स्थापित कर चुका है कि इंफॉर्मेशन सोसाइटी सर्विसेज वेबसाइट ऑपरेटरों, भागीदारों, और यहां तक कि उपयोगकर्ताओं के साथ नियंत्रण जिम्मेदारियां साझा कर सकती हैं, जो डेटा इंटरैक्शन की प्रकृति पर निर्भर करता है। कानूनी सलाहकारों और अनुपालन टीमों के लिए, एक प्लेटफॉर्म को तटस्थ होस्ट के रूप में वर्गीकृत करना पर्याप्त नहीं है। डेटा संग्रह और उपयोग पर वास्तविक प्रभाव अब निर्णायक कारक है।

जैसे-जैसे डिजिटल सर्विसेज एक्ट, ईप्राइवेसी रेगुलेशन, और चल रही GDPR प्रवर्तन के तहत नियामक वातावरण अधिक जटिल होता जा रहा है, ISS प्रदाताओं को डेटा गवर्नेंस और नियंत्रक जिम्मेदारियों के लिए व्यापक और दस्तावेजीकृत दृष्टिकोण अपनाना चाहिए।

अपने डेटा प्रसंस्करण संबंधों की समीक्षा करने या GDPR-अनुपालन संयुक्त नियंत्रक समझौतों के ड्राफ्टिंग में मदद चाहिए? हमारी डेटा संरक्षण टीम EU भर में प्लेटफॉर्मों और डिजिटल सेवा प्रदाताओं को कानूनी, पारदर्शी डेटा प्रथाओं को संरचित करने पर सलाह देती है। परामर्श के लिए संपर्क करें।