लीक हुए डिजिटल ओम्निबस ड्राफ्ट में यूरोपीय संघ परिषद ने GDPR 'व्यक्तिगत डेटा' परिभाषा में बदलावों को खारिज किया

यूरोपीय डिजिटल नीति के लिए एक महत्वपूर्ण मोड़ में, यूरोपीय संघ की परिषद के एक लीक हुए समझौते के पाठ से पता चलता है कि सदस्य देश सामान्य डेटा संरक्षण विनियमन (GDPR) के तहत "व्यक्तिगत डेटा" की परिभाषा में प्रस्तावित परिवर्तनों को रोकने की दिशा में बढ़ रहे हैं। 20 फरवरी, 2026 का यह दस्तावेज़, जिसे साइप्रस प्रेसीडेंसी द्वारा प्रसारित किया गया है, यूरोपीय आयोग के अधिक व्यापक—और विवादास्पद—संशोधनों के बजाय यथास्थिति बनाए रखने के लिए एक दृढ़ प्राथमिकता का संकेत देता है।

ब्रसेल्स में उच्च स्तरीय राजनयिक बैठकों से ठीक पहले सामने आया यह मसौदा तथाकथित "डिजिटल ओम्निबस" के लिए एक महत्वपूर्ण मोड़ है। इस विधायी पैकेज का उद्देश्य यूरोपीय संघ की डिजिटल नियम पुस्तिका को सुव्यवस्थित करना और इसे उन्नत कृत्रिम बुद्धिमत्ता और सर्वव्यापी एज कंप्यूटिंग के युग के अनुकूल बनाना था। हालांकि, व्यक्तिगत डेटा की संशोधित परिभाषा को हटाने का निर्णय बताता है कि सदस्य देश मौलिक गोपनीयता परिभाषाओं के "पेंडोरा बॉक्स" को फिर से खोलने से कतरा रहे हैं।

यथास्थिति की स्थिरता

लगभग एक दशक से, व्यक्तिगत डेटा की परिभाषा यूरोपीय गोपनीयता कानून के आधार के रूप में कार्य कर रही है। वर्तमान GDPR के तहत, व्यक्तिगत डेटा को किसी पहचाने गए या पहचाने जाने योग्य प्राकृतिक व्यक्ति से संबंधित किसी भी जानकारी के रूप में परिभाषित किया गया है। डिजिटल ओम्निबस के लिए यूरोपीय आयोग के मूल प्रस्ताव ने इसे परिष्कृत करने की मांग की थी, जिससे संभावित रूप से मेटाडेटा और व्यवहारिक पहचानकर्ताओं की अधिक सूक्ष्म श्रेणियों को शामिल करने के लिए दायरे को व्यापक बनाया जा सके जो तेजी से AI प्रणालियों द्वारा उत्पन्न किए जा रहे हैं।

इन संशोधनों को समाप्त करने का परिषद का निर्णय "सुरक्षा पहले" दृष्टिकोण को दर्शाता है। मौजूदा पाठ पर टिके रहकर, सदस्य देश उस भारी कानूनी अनिश्चितता से बचते हैं जो एक नई परिभाषा से उत्पन्न होती। व्यवसायों के लिए, परिभाषा में बदलाव का मतलब वर्तमान में मौजूद हर डेटाबेस, हर सहमति फॉर्म और हर डेटा प्रोसेसिंग समझौते का पुनर्मूल्यांकन करना होता। परिषद ने तकनीकी सटीकता की आयोग की इच्छा के बजाय नियामक स्थिरता को प्राथमिकता दी है।

परिभाषा क्यों मायने रखती है

यह कदम इतना महत्वपूर्ण क्यों है, इसे समझने के लिए कोई व्यक्तिगत डेटा की परिभाषा को GDPR के "क्षेत्राधिकार हुक" के रूप में सोच सकता है। यदि जानकारी का कोई टुकड़ा उस परिभाषा के अंतर्गत आता है, तो यूरोपीय संघ के गोपनीयता कानून का पूरा भार लागू होता है। यदि यह बाहर गिरता है, तो डेटा को बहुत कम प्रतिबंधों के साथ स्थानांतरित, बेचा या विश्लेषण किया जा सकता है।

प्रस्तावित विस्तार के आलोचकों ने तर्क दिया कि एक व्यापक परिभाषा अनजाने में उस "अनाम" (anonymized) डेटा को भी दायरे में ले लेती जो वर्तमान में चिकित्सा अनुसंधान और बुनियादी ढांचे की योजना के लिए उपयोग किया जाता है। दूसरी ओर, गोपनीयता समर्थकों को चिंता है कि पुरानी परिभाषा को बनाए रखकर, यूरोपीय संघ आधुनिक मशीन लर्निंग द्वारा उत्पन्न "पुनः पहचान" (re-identification) के जोखिमों को दूर करने में विफल हो रहा है, जहां स्पष्ट रूप से अनाम डेटा बिंदुओं को जोड़कर किसी व्यक्ति की पहचान उजागर की जा सकती है।

साइप्रस प्रेसीडेंसी का संतुलन कार्य

साइप्रस, जिसके पास वर्तमान में परिषद की घूर्णन अध्यक्षता है, के पास अलग-अलग डिजिटल प्राथमिकताओं वाले सत्ताईस सदस्य देशों के बीच एक मध्य मार्ग खोजने का कठिन कार्य है। लीक हुए समझौते के पाठ से पता चलता है कि साइप्रस की टीम "परिभाषा के ओवरहाल" के बजाय "प्रक्रियात्मक सद्भाव" पर ध्यान केंद्रित कर रही है।

विवादास्पद व्यक्तिगत डेटा संशोधनों को हटाकर, प्रेसीडेंसी संभवतः डिजिटल ओम्निबस के शेष हिस्से के लिए रास्ता साफ करने की कोशिश कर रही है। इस पैकेज में सीमा पार प्रवर्तन और राष्ट्रीय डेटा संरक्षण प्राधिकरणों (DPAs) के बीच सहयोग पर महत्वपूर्ण अपडेट शामिल हैं। यदि व्यक्तिगत डेटा की परिभाषा मेज पर बनी रहती, तो यह पूरी विधायी प्रक्रिया को वर्षों तक रोक सकती थी।

तकनीकी उद्योग के लिए निहितार्थ

तकनीकी क्षेत्र के लिए, इस लीक को काफी हद तक राहत के रूप में देखा जा रहा है। उद्योग ने लंबे समय से तर्क दिया है कि GDPR पहले से ही नेविगेट करने के लिए पर्याप्त जटिल है। इसके सबसे मौलिक शब्द की बदलती परिभाषा ने एक "अनुपालन का चलता-फिरता लक्ष्य" बना दिया होता।

आगे क्या होगा?

कथित तौर पर 27 फरवरी को सदस्य देशों के राजनयिकों द्वारा मसौदे पर चर्चा की गई थी। यदि परिषद इस स्थिति को बनाए रखती है, तो अगला चरण परिषद, यूरोपीय संसद और यूरोपीय आयोग के बीच "ट्रायलॉग" (trilogue) वार्ता होगी। संसद ऐतिहासिक रूप से डेटा विषय के अधिकारों के प्रति अधिक सुरक्षात्मक रही है और आयोग द्वारा मूल रूप से परिकल्पित कुछ व्यापक सुरक्षा को फिर से पेश करने के लिए लड़ सकती है।

हालांकि, इस मुद्दे पर परिषद का एकजुट मोर्चा एक मजबूत संकेत भेजता है: यूरोप की राष्ट्रीय सरकारें वर्तमान में गोपनीयता के मूल सिद्धांतों के आमूल-चूल पुनर्रचना के मूड में नहीं हैं। वे चाहते हैं कि नियम बेहतर तरीके से काम करें, जरूरी नहीं कि वे व्यापक हों।

संगठनों के लिए व्यावहारिक सुझाव

जबकि व्यक्तिगत डेटा की परिभाषा समान रह सकती है, प्रवर्तन परिदृश्य अभी भी बदल रहा है। डिजिटल ओम्निबस के आगे बढ़ने के साथ संगठनों को निम्नलिखित पर ध्यान केंद्रित करना चाहिए:

• अपनी डेटा मैपिंग का ऑडिट करें: भले ही परिभाषा न बदले, अदालतों (जैसे CJEU) द्वारा व्याख्या विकसित होती रहती है। सुनिश्चित करें कि आपकी डेटा सूची अद्यतित है।
• प्रक्रियात्मक अनुपालन पर ध्यान दें: डिजिटल ओम्निबस द्वारा DPA पूछताछ का जवाब देने के लिए सख्त समयसीमा पेश करने की संभावना है। अपने आंतरिक रिपोर्टिंग वर्कफ़्लो की समीक्षा करें।
• ट्रायलॉग की निगरानी करें: अंतिम पाठ अभी तय नहीं हुआ है। आने वाले महीनों में इस परिषद के मसौदे पर यूरोपीय संसद की प्रतिक्रिया पर कड़ी नजर रखें।
• एनोनिमाइजेशन में निवेश करें: कानूनी परिभाषा के बावजूद, जोखिम कम करने का सबसे अच्छा तरीका यह सुनिश्चित करना है कि डेटा वास्तव में अत्याधुनिक तकनीकों का उपयोग करके अनाम किया गया है जो पुनः पहचान का विरोध करते हैं।

स्रोत

• European Council: Council of the European Union Overview
• Euractiv: Digital & Media Policy Reports
• Politico Europe: Tech and Data Protection Coverage
• European Commission: GDPR Procedural Rules and Digital Omnibus Documentation
• Official Journal of the European Union: GDPR Text and Definitions