'अस्पष्टता' का जाल: EDPB का नया केस डाइजेस्ट हमें वैध हित (Legitimate Interest) के बारे में क्या सिखाता है

क्या आपने कभी सोचा है कि यूरोपीय डेटा सुरक्षा अधिकारियों के बंद दरवाजों के पीछे वास्तव में क्या होता है जब वे 'वैध हित' (Legitimate Interest) की खामियों पर बहस करते हैं? वर्षों से, इस विशिष्ट कानूनी आधार को कुछ लोगों द्वारा 'जेल से बाहर निकलने के कार्ड' के रूप में माना जाता रहा है—डेटा प्रोसेस करने का एक ऐसा तरीका जब सहमति (consent) बहुत बोझिल लगती है। लेकिन यूरोपीय डेटा सुरक्षा बोर्ड (EDPB) की एक बड़ी नई रिपोर्ट बताती है कि अस्पष्ट औचित्य का युग आधिकारिक तौर पर समाप्त हो गया है।

26 मार्च, 2026 को, EDPB ने वैध हित पर अपना 'वन-स्टॉप-शॉप केस डाइजेस्ट' जारी किया। एक डिजिटल जासूस के रूप में जो अपना दिन गोपनीयता नीतियों के विश्लेषण में बिताता है, मैं इस रिपोर्ट को नियामक भूलभुलैया में नेविगेट करने वाले किसी भी व्यक्ति के लिए एक महत्वपूर्ण दिशा-सूचक के रूप में देखता हूं। यह केवल पुरानी फाइलों का संग्रह नहीं है; यह एक स्पष्ट संकेत है कि नियामक 'व्यावसायिक हितों' को दखल देने वाली डेटा प्रथाओं के लिए ढाल के रूप में इस्तेमाल होते देख थक चुके हैं।

उद्देश्य बनाम हित: एक बारीक रेखा

रिपोर्ट के सबसे महत्वपूर्ण हिस्सों में से एक यह है कि कैसे EDPB 'उद्देश्य' (purpose) और 'हित' (interest) के बीच एक रेखा खींचता है। इसे दूसरे तरीके से कहें तो, 'उद्देश्य' आपका विशिष्ट लक्ष्य है—जैसे न्यूज़लेटर भेजना—जबकि 'हित' व्यापक लाभ है, जैसे बिक्री बढ़ाना।

मेरे काम में, मैं अक्सर कंपनियों को इन दोनों को मिलाते हुए देखता हूं। वे कह सकते हैं कि उनका वैध हित 'मार्केटिंग के लिए डेटा प्रोसेसिंग' है। EDPB का कहना है कि यह पर्याप्त नहीं है। आपको उस प्रोसेसिंग में अपने अंतर्निहित दांव (stake) की पहचान करनी होगी। इसे घर बनाने की तरह सोचें: उद्देश्य ब्लूप्रिंट है, लेकिन हित वह कारण है जिसके लिए आप इसे बना रहे हैं। यदि नींव अस्थिर या अपरिभाषित है, तो पूरा कानूनी ढांचा ढह जाता है।

तीन सबसे आम विफलताएं

जब मैं डेटा उल्लंघन या नियामक ऑडिट का विश्लेषण करता हूं, तो मैं पैटर्न की तलाश करता हूं। EDPB ने भी यही किया, तीन आवर्ती गलतियों की पहचान की जो गैर-अनुपालन प्रोसेसिंग की ओर ले जाती हैं।

पहला, कई नियंत्रक (controllers) अपने हित को स्पष्टता के साथ व्यक्त करने में विफल रहते हैं। बिना किसी विवरण के 'उपयोगकर्ता अनुभव में सुधार' जैसे अमूर्त शब्दों का उपयोग करना एक खतरे का संकेत है। दूसरा, कंपनियां डेटा एकत्र करना शुरू करने से पहले वैध हित मूल्यांकन (LIA) करने में विफल हो रही हैं। व्यवहार में, LIA बाद में दिया जाने वाला औचित्य नहीं होना चाहिए; यह इस बात का एक कठोर, प्रलेखित परीक्षण होना चाहिए कि क्या आपकी ज़रूरतें उपयोगकर्ता के अधिकारों से अधिक महत्वपूर्ण हैं। अंत में, रिपोर्ट आवश्यकता परीक्षण (necessity test) में विफलता पर प्रकाश डालती है। यदि आप कम दखल देने वाले, गोपनीयता-संरक्षण साधनों—जैसे कि छद्म नाम (pseudonymous) डेटा का उपयोग करके—अपना लक्ष्य प्राप्त कर सकते हैं, तो आपकी वर्तमान विधि संभवतः गैरकानूनी है।

'सामान्य अभ्यास' का भ्रम

तकनीकी दुनिया में एक निरंतर मिथक है कि यदि आपके उद्योग में हर कोई ऐसा कर रहा है, तो यह ठीक ही होगा। EDPB की रिपोर्ट इस भ्रम को तोड़ती है। नियामकों ने पाया कि सिर्फ इसलिए कि एक डेटा अभ्यास किसी विशिष्ट क्षेत्र में 'सामान्य' है, इसका मतलब यह नहीं है कि उपयोगकर्ता को उचित रूप से इसकी अपेक्षा करनी चाहिए।

अनिवार्य रूप से, डेटा विषय की 'उचित अपेक्षाएं' पारदर्शिता से जुड़ी होती हैं। यदि कोई उपयोगकर्ता मौसम ऐप खोलता है, तो वे उम्मीद करते हैं कि उनके स्थान का उपयोग पूर्वानुमान के लिए किया जाएगा, न कि बाजार विश्लेषण के लिए हेज फंड को बेचा जाएगा। भले ही बाजार का हर मौसम ऐप ऐसा करता हो, फिर भी यह उल्लंघन बना रहता है यदि यह वह नहीं है जिसकी व्यक्ति प्रदान की गई सेवा के आधार पर स्वाभाविक रूप से अपेक्षा करेगा।

नए हित: टैक्सियों से लेकर हवाई यातायात तक

जबकि रिपोर्ट के अधिकांश निर्णय स्थापित आधारों पर टिके हैं, कुछ 'नए' हितों ने मेरा ध्यान खींचा। उदाहरण के लिए, कुछ अधिकारियों ने स्वीकार किया कि ड्राइवर की सुरक्षा सुनिश्चित करने के लिए टैक्सी यात्रियों को रेटिंग देना एक वैध हित है। इसी तरह, तीसरे पक्ष के उपयोग के लिए वैश्विक हवाई यातायात डेटा रिकॉर्ड करना विशिष्ट परिस्थितियों में स्वीकार्य माना गया।

ये उदाहरण दिखाते हैं कि GDPR कोई स्थिर दीवार नहीं है; यह एक लचीला ढांचा है। हालांकि, ये सफलताएं केवल इसलिए संभव थीं क्योंकि इसमें शामिल कंपनियां अपने विवरणों में सूक्ष्म थीं और अपने सुरक्षा उपायों में मजबूत थीं। उन्होंने केवल अनुमति नहीं मांगी; उन्होंने साबित किया कि उनकी विशिष्ट विधि ही महत्वपूर्ण सुरक्षा या परिचालन लक्ष्य प्राप्त करने का एकमात्र तरीका थी।

समय का पहिया पीछे नहीं घूम सकता

एक अंतिम, महत्वपूर्ण निष्कर्ष: आप पूर्वव्यापी रूप से अपना कानूनी आधार नहीं बदल सकते। यदि आपने सहमति (consent) के आधार पर डेटा प्रोसेसिंग शुरू की है और वह सहमति वापस ले ली जाती है, तो आप डेटा रखने के लिए अचानक 'वैध हित' का दावा नहीं कर सकते। मैंने कंपनियों को बीच में ही अपने कानूनी आधारों को बदलने की कोशिश करते देखा है जब उन्हें एहसास होता है कि उन्होंने गलती की है। OSS के निर्णय स्पष्ट हैं: एक बार जब आप एक रास्ता चुन लेते हैं, तो आपको उस पर टिके रहना चाहिए। यह प्रारंभिक डिजाइन चरण—Privacy by Design—को पहले से कहीं अधिक महत्वपूर्ण बनाता है।

आपके अगले ऑडिट के लिए व्यावहारिक कदम

चाहे आप अपनी इंजीनियरिंग टीम के लिए अनुवादक के रूप में कार्य करने वाले डेटा सुरक्षा अधिकारी हों या अनुपालन में रहने की कोशिश करने वाले व्यवसाय के स्वामी हों, यह सुनिश्चित करने के लिए यहां एक चेकलिस्ट दी गई है कि आपका वैध हित जांच के दायरे में बना रहे:

• 'क्यों' और 'क्या' को परिभाषित करें: अपने दस्तावेज़ीकरण में विशिष्ट प्रोसेसिंग उद्देश्य से अपने व्यावसायिक हित को स्पष्ट रूप से अलग करें।
• 'कम दखल देने वाला' परीक्षण: एक नई सुविधा लॉन्च करने से पहले, पूछें: 'क्या इसे कम डेटा के साथ करने का कोई तरीका है?' यदि उत्तर हाँ है, तो आपको उस विधि का उपयोग करना चाहिए।
• अपनी गोपनीयता सूचना अपडेट करें: सामान्य कानूनी भाषा से दूर हटें। उस विशिष्ट लाभ की व्याख्या करें जिसे आप प्राप्त करना चाहते हैं ताकि उपयोगकर्ता आश्चर्यचकित न हों।
• संतुलन कार्य का दस्तावेजीकरण करें: आपका LIA एक जीवंत दस्तावेज़ होना चाहिए जो व्यक्ति के संभावित जोखिमों के विरुद्ध आपके हितों को तौलता है।

अंततः, गोपनीयता एक मौलिक मानवाधिकार है, न कि केवल एक अनुपालन चेकबॉक्स। पारदर्शी और आनुपातिक होकर, आप डेटा को एक विषाक्त संपत्ति के रूप में नहीं, बल्कि एक साझा जिम्मेदारी के रूप में देखते हैं।

स्रोत

• General Data Protection Regulation (GDPR), Article 6(1)(f)
• General Data Protection Regulation (GDPR), Articles 13, 14, and 60
• EDPB One-stop-shop Case Digest - Legitimate Interest (March 2026)
• EDPB Guidelines 1/2024 on the processing of personal data based on Article 6(1)(f) GDPR

अस्वीकरण: यह लेख केवल सूचनात्मक और पत्रकारिता के उद्देश्यों के लिए है और औपचारिक कानूनी सलाह नहीं है। यदि आप किसी विशिष्ट नियामक समस्या का सामना कर रहे हैं, तो कृपया एक योग्य कानूनी पेशेवर से परामर्श लें।