General Data Protection Regulation (GDPR) কি? বিস্তারিত।
General Data Protection Regulation (GDPR) — বিস্তারিত
GDPR কী?
GDPR হলো একটি ইউরোপীয় ইউনিয়নের নিয়ন্ত্রক আইন — Regulation (EU) 2016/679 — যার উদ্দেশ্য ব্যক্তিগত তথ্যের (personal data) গোপনীয়তা ও সুরক্ষা নিশ্চিত করা। এই আইনটি ২৫ মে, ২০১৮ থেকে কার্যকর।
GDPR ব্যক্তিগত তথ্য সংগ্রহ, প্রক্রিয়াকরণ, সংরক্ষণ এবং শেয়ারিং‑এর নিয়ম নির্ধারণ করে এবং ব্যক্তি (data subject)‑কে তাদের তথ্য সম্পর্কে বেশ কয়েকটি অধিকার দেয়।
প্রযোজ্য ক্ষেত্র (Scope)
- বিষয়গত: GDPR ব্যক্তিগত তথ্য প্রক্রিয়াকরণ‑এ প্রযোজ্য — যেমন নাম, ইমেইল, ঠিকানা, আইপি ঠিকানা, বায়োমেট্রিক ডেটা ইত্যাদি।
- আঞ্চলিক: EU‑এর ভেতরে বা EU নাগরিকদের সম্পর্কে তথ্য প্রক্রিয়াকরণ করলে (চাইলে সংস্থা EU‑র বাইরে থেকেও) GDPR প্রযোজ্য।
মূল নীতিসমূহ (Core Principles)
- বৈধতা, ন্যায্যতা ও স্বচ্ছতা — প্রক্রিয়াকরণ যেন আইনসম্মত ও স্পষ্টভাবে করা হয়।
- উল্লেখ্য উপেক্ষা (Purpose limitation) — তথ্য নির্দিষ্ট ও বৈধ উদ্দেশ্যে সংগ্রহ করা হবে।
- তথ্য হ্রাস (Data minimisation) — প্রয়োজন মাত্রাই তথ্য সংগ্রহ করা।
- সঠিকতা (Accuracy) — তথ্য সঠিক ও হালনাগাদ রাখা।
- সংরক্ষণ সীমাবদ্ধতা (Storage limitation) — অনবশ্যক যদি পর্যন্ত তথ্য রাখা যাবে না।
- অখণ্ডতা ও গোপনীয়তা (Integrity & Confidentiality) — উপযুক্ত নিরাপত্তা নিশ্চিত করা।
- দায়বদ্ধতা (Accountability) — নিয়ন্ত্রককে প্রমাণ করতে হবে তারা GDPR মেনে চলছে।
ব্যক্তির অধিকার (Rights of Data Subjects)
- অ্যাক্সেসের অধিকার — ব্যক্তি জানতে পারবেন তাদের কোন ডেটা রাখা আছে।
- সংশোধনের অধিকার — ভুল ডেটা সংশোধন করার।
- মুছিয়ে দেওয়ার অধিকার (Right to be forgotten) — নির্দিষ্ট শর্তে ডেটা মুছে দেওয়ার দাবি করা যাবে।
- প্রক্রিয়াকরণ সীমাবদ্ধ করার অধিকার।
- ডেটা পোর্টেবিলিটির অধিকার — ডেটা নিরাপদ, সাধারণ ফরম্যাটে পেতে ও অন্য প্রোভাইডারে স্থানান্তর করতে পারা।
- বিরোধ করার অধিকার — বিশেষত সরাসরি বিপণন (direct marketing)‑এ বিরোধ করার অধিকার।
- স্বয়ংক্রিয় সিদ্ধান্ত গ্রহণ এবং প্রোফাইলিং‑এর বিরুদ্ধে অধিকার।
- অভিযোগ করার অধিকার — নিয়ন্ত্রক কর্তৃপক্ষের কাছে অভিযোগ জানানো যাবে।
নিয়ন্ত্রক ও প্রক্রিয়াকরণকারীর দায়িত্ব (Controllers & Processors)
GDPR অনুযায়ী ডেটা নিয়ন্ত্রক (data controller) ও প্রক্রিয়াকরণকারী (data processor) বিভিন্ন দায়িত্ব পালন করবে — যেমন ডেটার উপযুক্ত প্রক্রিয়াকরণ নিশ্চিত করা, নিরাপত্তা ব্যবস্থা গ্রহণ, এবং রেকর্ড রাখা।
প্রধান দায়িত্বগুলো:
- Data Protection by Design and by Default অনুশীলন করা।
- রেকর্ড রাখা — কোন ডেটা কীভাবে ও কেন প্রক্রিয়াকরণ হচ্ছে তার বিবরণ সংরক্ষণ।
- উপযুক্ত প্রযুক্তিগত ও সাংগঠনিক নিরাপত্তা ব্যবস্থা নেওয়া।
- ডেটা লঙ্ঘন ঘটলে কর্তৃপক্ষকে ও প্রাসঙ্গিক ক্ষেত্রে প্রভাবিত ব্যক্তিদের জানানো।
- উচ্চ ঝুঁকির প্রক্রিয়াকরণে Data Protection Impact Assessment (DPIA) করা।
- যেখানে প্রযোজ্য সেখানে Data Protection Officer (DPO) নিযুক্ত করা।
- ইউরোপের বাইরে তথ্য প্রেরণে নিরাপদ ব্যাবস্থা গ্রহণ (যেমন যথোপযুক্ত অনুবর্তিতা বা উপযুক্ত নিরাপত্তা প্রণালী)।
জরিমানা ও তথ্যহানির পরিণতি
GDPR লঙ্ঘনের ক্ষেত্রে বড় ধরনের জরিমানা আরোপ করা যেতে পারে — সর্বোচ্চ ২০ মিলিয়ন ইউরো বা গ্লোবাল টার্নওভার-এর ৪% (যে‑টিই বেশি), এছাড়া অন্যান্য আইনগত ও ব্যবসায়িক প্রভাবও পড়তে পারে।
বাংলাদেশ বা তৃতীয়‑দেশে প্রযোজ্যতা
যদিও GDPR একটি EU বিধি, তার আঞ্চলিক কভারেজ বহির্ভূত সংস্থাকেও প্রযোজ্য করে যদি তারা EU‑র ব্যক্তিদের ডেটা প্রক্রিয়াকরণ করে। ফলে EU‑র সাথে ব্যবসা বা EU‑ভিত্তিক গ্রাহক থাকলে বাংলাদেশি সংস্থাগুলোকেও GDPR বিবেচনা করতে হবে।
আরও পড়ুন ও সূত্র
মূল উৎস ও বিস্তারিত লেখা পাওয়া যায়: gdpr-info.eu
