GDPR Compliance: ডেটা প্রাইভেসি রক্ষায় ইউরোপীয় ইউনিয়নের সাইবার আইন মান্য করা!

GDPR মূলত ১৯৯৫ সালের EU Data Protection Directive-এর আধুনিক উত্তরসূরি। প্রায় দুই দশক ধরে ডিজিটাল প্রযুক্তি বিকশিত হয়েছে, সোশ্যাল মিডিয়া এসেছে, ক্লাউড কম্পিউটিং বিস্তার পেয়েছে, কিন্তু আইন তাল মেলাতে পারেনি। ২০১৬ সালে GDPR পাস হয় এবং দুই বছরের প্রস্তুতিকাল শেষে ২০১৮ সালে কার্যকর হয়।

GDPR-এর সংজ্ঞা অনুযায়ী Personal Data হলো এমন যেকোনো তথ্য যা একজন চিহ্নিত বা চিহ্নিতকরণযোগ্য প্রাকৃতিক ব্যক্তির সাথে সম্পর্কিত। এর মধ্যে রয়েছে নাম, পরিচয়পত্র নম্বর, লোকেশন ডেটা, অনলাইন আইডেন্টিফায়ার (IP Address, Cookie ID), শারীরিক, শারীরবৃত্তীয়, জিনগত, মানসিক, অর্থনৈতিক, সাংস্কৃতিক, বা সামাজিক পরিচয়। Sensitive Personal Data বা Special Category Data-এর মধ্যে আছে জাতিগত উৎপত্তি, রাজনৈতিক মতামত, ধর্মীয় বিশ্বাস, ট্রেড ইউনিয়ন সদস্যপদ, জিনগত ডেটা, বায়োমেট্রিক ডেটা, স্বাস্থ্য তথ্য, এবং যৌন জীবন বা যৌন পরিচয় সংক্রান্ত তথ্য।

GDPR-এর পরিধি ভৌগোলিকভাবে অনেক বিস্তৃত। এটি শুধু EU-তে অবস্থিত প্রতিষ্ঠানের ক্ষেত্রে প্রযোজ্য নয়; EU-এর বাইরে অবস্থিত যেকোনো প্রতিষ্ঠান যদি EU-নাগরিকদের ডেটা প্রসেস করে, পণ্য বা সেবা অফার করে, কিংবা তাদের আচরণ মনিটর করে—তাহলে তারাও এই আইনের আওতাভুক্ত। বাংলাদেশি কোনো SaaS কোম্পানি যদি ফ্রান্সের গ্রাহকদের কাছে সেবা বিক্রি করে, তাদের অবশ্যই GDPR মান্য করতে হবে।

GDPR-এর আর্টিকেল ৫-এ সাতটি মৌলিক নীতি বর্ণিত আছে যা প্রতিটি ডেটা প্রসেসিং কার্যক্রমকে নিয়ন্ত্রণ করে। প্রথমটি Lawfulness, Fairness and Transparency—ডেটা সংগ্রহের আইনি ভিত্তি থাকতে হবে এবং প্রক্রিয়াটি গ্রাহকের কাছে স্পষ্ট হতে হবে। দ্বিতীয়টি Purpose Limitation—নির্দিষ্ট, সুস্পষ্ট এবং বৈধ উদ্দেশ্যে ডেটা সংগ্রহ করতে হবে, অন্য উদ্দেশ্যে পুনঃব্যবহার করা যাবে না।

তৃতীয় নীতি Data Minimization—যতটুকু প্রয়োজন ঠিক ততটুকুই সংগ্রহ করতে হবে। চতুর্থ নীতি Accuracy—ডেটা সঠিক এবং প্রয়োজনে আপডেট রাখতে হবে। পঞ্চম নীতি Storage Limitation—যতদিন প্রয়োজন ঠিক ততদিনই সংরক্ষণ করতে হবে। ষষ্ঠ নীতি Integrity and Confidentiality—যথাযথ নিরাপত্তা ব্যবস্থা প্রয়োগ করতে হবে।

সপ্তম এবং সবচেয়ে গুরুত্বপূর্ণ নীতি হলো Accountability—Controller-কে প্রমাণ করতে হবে যে তারা GDPR মান্য করছে। এর জন্য Record of Processing Activities (ROPA), Privacy Impact Assessment, এবং অভ্যন্তরীণ নীতিমালা থাকতে হবে।

ডেটা প্রসেসিং-এর জন্য GDPR ছয়টি আইনি ভিত্তি (Lawful Basis) নির্ধারণ করেছে: Consent, Contract, Legal Obligation, Vital Interest, Public Task, এবং Legitimate Interest। প্রতিটি প্রসেসিং কার্যক্রমের জন্য অন্তত একটি বৈধ আইনি ভিত্তি প্রতিষ্ঠা করতে হবে।

GDPR ব্যক্তিকে তার নিজের ডেটার উপর অভূতপূর্ব নিয়ন্ত্রণ প্রদান করেছে। Right to Information—গ্রাহকদের জানানো হবে তাদের ডেটা কীভাবে ব্যবহার হচ্ছে, কে প্রসেস করছে, কতদিন সংরক্ষিত থাকবে। Right of Access—গ্রাহক তার সম্পর্কে সংগৃহীত সমস্ত ডেটার একটি অনুলিপি চাইতে পারেন, যা Data Subject Access Request (DSAR) নামে পরিচিত।

Right to Rectification—ভুল বা অসম্পূর্ণ ডেটা সংশোধনের অধিকার। Right to Erasure বা "Right to be Forgotten"—নির্দিষ্ট পরিস্থিতিতে ব্যক্তিগত তথ্য মুছে ফেলার অধিকার। Right to Restriction of Processing—প্রসেসিং সাময়িকভাবে স্থগিত করার অধিকার।

Right to Data Portability—গ্রাহক তার ডেটা একটি Structured, Common, Machine-Readable Format-এ পাওয়ার এবং অন্য Controller-এ স্থানান্তরের অধিকার রাখেন। Right to Object—Direct Marketing-এর মতো নির্দিষ্ট প্রসেসিং-এ আপত্তি জানানোর অধিকার। Rights Related to Automated Decision-Making—সম্পূর্ণ স্বয়ংক্রিয় সিদ্ধান্ত গ্রহণ (যেমন AI-Based Loan Approval) থেকে বাঁচার অধিকার এবং মানব হস্তক্ষেপ দাবি করার ক্ষমতা।

প্রতিষ্ঠানগুলোকে DSAR-এর জবাব এক মাসের মধ্যে দিতে হয়; জটিল ক্ষেত্রে দুই মাস বাড়ানো যায়। এই অধিকারগুলো ব্যবহারিকভাবে কার্যকর করতে প্রতিষ্ঠানের অভ্যন্তরীণ Process, Tooling, এবং Data Inventory থাকা অপরিহার্য।

GDPR-এ দুটি প্রধান ভূমিকা রয়েছে: Data Controller এবং Data Processor। Controller সেই সত্তা যে ডেটা প্রসেসিং-এর "উদ্দেশ্য এবং উপায়" নির্ধারণ করে। উদাহরণস্বরূপ, একটি ই-কমার্স কোম্পানি গ্রাহকদের তথ্য সংগ্রহ করলে তারা Controller।

Processor হলো সেই সত্তা যে Controller-এর পক্ষে ডেটা প্রসেস করে। ক্লাউড সার্ভিস প্রোভাইডার, ইমেইল মার্কেটিং প্ল্যাটফর্ম, বা পেরোল প্রসেসিং কোম্পানি সাধারণত Processor। Controller এবং Processor-এর মধ্যে Data Processing Agreement (DPA) স্বাক্ষর করা বাধ্যতামূলক, যেখানে দায়িত্ব, নিরাপত্তা মান, এবং Sub-Processor ব্যবহারের শর্ত উল্লেখ থাকবে।

Joint Controller-এর ধারণাও রয়েছে, যেখানে দুই বা ততোধিক প্রতিষ্ঠান যৌথভাবে উদ্দেশ্য এবং উপায় নির্ধারণ করে। এক্ষেত্রে তাদের মধ্যে দায়িত্বের স্পষ্ট বণ্টন প্রয়োজন।

কিছু প্রতিষ্ঠানের জন্য Data Protection Officer (DPO) নিয়োগ বাধ্যতামূলক—বিশেষত যখন প্রতিষ্ঠান বড় আকারে Sensitive Data প্রসেস করে, সিস্টেমেটিক্যালি ব্যক্তিদের মনিটর করে, কিংবা পাবলিক অথরিটি হয়। DPO স্বাধীনভাবে কাজ করেন এবং সরাসরি সর্বোচ্চ ম্যানেজমেন্টকে রিপোর্ট করেন।

GDPR কার্যকর হওয়ার পর থেকে বিভিন্ন প্রতিষ্ঠানকে রেকর্ড পরিমাণ জরিমানা করা হয়েছে। ২০২৩ সালে Meta-কে আইরিশ Data Protection Commission ১.২ বিলিয়ন ইউরো জরিমানা করে EU-USA ডেটা ট্রান্সফার লঙ্ঘনের জন্য—যা এ পর্যন্ত সর্বোচ্চ। Amazon-কে লুক্সেমবার্গের নিয়ন্ত্রক ৭৪৬ মিলিয়ন ইউরো জরিমানা করে।

Google-কে ফরাসি CNIL ৫০ মিলিয়ন ইউরো জরিমানা করেছিল ২০১৯ সালে, কারণ Android সেটআপের সময় পর্যাপ্ত স্বচ্ছতা ছিল না এবং বৈধ Consent পাওয়া যায়নি। British Airways-এর ২০১৮ সালের ডেটা ব্রিচ—যেখানে ৪০০,০০০ গ্রাহকের পেমেন্ট কার্ড তথ্য ফাঁস হয়েছিল—এর জন্য তাদের ২২ মিলিয়ন পাউন্ড জরিমানা হয়।

H&M-কে জার্মানিতে ৩৫ মিলিয়ন ইউরো জরিমানা করা হয় কারণ তারা কর্মীদের ব্যক্তিগত জীবন, পারিবারিক সমস্যা এবং চিকিৎসা ইতিহাস সম্পর্কে অবৈধভাবে তথ্য সংগ্রহ ও সংরক্ষণ করত।

GDPR-এর সর্বোচ্চ জরিমানা বার্ষিক গ্লোবাল টার্নওভারের ৪% অথবা ২০ মিলিয়ন ইউরো—যেটি বেশি। এই মাত্রার আর্থিক ঝুঁকি প্রতিষ্ঠানগুলোকে গুরুত্ব সহকারে কমপ্লায়েন্স গ্রহণে বাধ্য করেছে।

GDPR-এর আর্টিকেল ৩৩ অনুযায়ী, Personal Data Breach ঘটলে Controller-কে অবগত হওয়ার ৭২ ঘণ্টার মধ্যে Supervisory Authority-কে অবহিত করতে হবে। যদি ব্রিচে গ্রাহকদের জন্য High Risk থাকে, তাহলে গ্রাহকদেরও সরাসরি অবহিত করতে হবে।

ব্রিচ নোটিফিকেশনে অন্তর্ভুক্ত থাকতে হবে: ব্রিচের প্রকৃতি, প্রভাবিত ডেটা সাবজেক্ট ও রেকর্ডের আনুমানিক সংখ্যা, DPO-এর যোগাযোগের তথ্য, সম্ভাব্য পরিণতি, এবং গৃহীত বা প্রস্তাবিত প্রতিকার ব্যবস্থা।

কার্যকর ব্রিচ ম্যানেজমেন্টের জন্য Incident Response Plan প্রস্তুত রাখা, Tabletop Exercise চালানো, এবং Detection টুল মোতায়েন করা জরুরি। অনেক প্রতিষ্ঠান এখন SIEM, EDR, এবং Data Loss Prevention সিস্টেমে বিনিয়োগ করছে যাতে ব্রিচ দ্রুত শনাক্ত করা যায়।

GDPR কমপ্লায়েন্স অর্জনের জন্য কাঠামোগত পদ্ধতি প্রয়োজন। প্রথম ধাপ হলো Data Mapping—প্রতিষ্ঠান কী ধরনের ডেটা সংগ্রহ করে, কোথায় সংরক্ষণ করে, কে অ্যাক্সেস পায়, এবং কোথায় ট্রান্সফার হয় তা চিহ্নিত করা। OneTrust, TrustArc, BigID-এর মতো প্ল্যাটফর্ম এই কাজে সাহায্য করে।

দ্বিতীয় ধাপ হলো Privacy by Design এবং Privacy by Default প্রয়োগ করা। নতুন সিস্টেম ডিজাইনের শুরু থেকেই প্রাইভেসি বিবেচনা করতে হবে, এবং ডিফল্ট সেটিংস সবচেয়ে প্রাইভেসি-সংরক্ষণমূলক হতে হবে।

তৃতীয় ধাপে Data Protection Impact Assessment (DPIA) করতে হবে যেকোনো উচ্চ-ঝুঁকিপূর্ণ প্রসেসিং-এর আগে—যেমন বড় আকারের প্রোফাইলিং, পাবলিক স্পেস মনিটরিং, কিংবা Sensitive Data প্রসেসিং।

চতুর্থত, প্রযুক্তিগত নিরাপত্তা পদক্ষেপ নিতে হবে: Encryption at Rest এবং in Transit, Pseudonymization, Access Control, Multi-Factor Authentication, এবং নিয়মিত Vulnerability Assessment। ISO 27001 এবং SOC 2 সার্টিফিকেশন GDPR-এর সাথে সমন্বয়পূর্ণ।

পঞ্চমত, ভেন্ডর ম্যানেজমেন্ট গুরুত্বপূর্ণ। প্রতিটি Third-Party Processor-এর সাথে DPA স্বাক্ষর, তাদের Security Posture যাচাই, এবং Sub-Processor চেইন স্বচ্ছতার সাথে বজায় রাখতে হবে।

ষষ্ঠত, EU-এর বাইরে ডেটা ট্রান্সফারের জন্য পর্যাপ্ত সুরক্ষা ব্যবস্থা যেমন Standard Contractual Clauses (SCCs), Binding Corporate Rules (BCRs), বা Adequacy Decision-এর উপর নির্ভর করতে হবে। Schrems II মামলার পর USA-তে ডেটা ট্রান্সফার বিশেষভাবে সংবেদনশীল হয়ে উঠেছে।

সপ্তমত, কর্মী প্রশিক্ষণে নিয়মিত বিনিয়োগ করতে হবে। GDPR কমপ্লায়েন্স শেষ পর্যন্ত মানুষের আচরণের উপর নির্ভরশীল—একজন কর্মী যদি অসতর্কভাবে ইমেইল ফরোয়ার্ড করে, পুরো কমপ্লায়েন্স ব্যর্থ হতে পারে।