ইউরোপিয়ান ইউনিয়ন জেনারেল ডাটা প্রটেকশন রেগুলেশন
২৬ ফেব্রূয়ারি, ২০১৮, সোমবার।
আর মাত্র ৮৭ দিন বাকি। এই ৮৭ দিনের মধ্যে অর্থাৎ ২৫ মে ২০১৮-এর মধ্যে GDPR ইমপ্লিমেন্ট করতে না পারলে কোম্পানি গুলোর ২০ মিলিয়ন ইউরো কিংবা বাৎসরিক লাভের ৪% - দুটোর মধ্যে যেটা বেশি, সেই পরিমাণ জরিমানা দিতে হতে পারে !!
এটা নিয়ে খুব বেশি হৈচৈ শোনা যাচ্ছে না। কিন্তু কোম্পনি গুলোর এটা নিয়ে বেশ মাথা খারাপ অবস্থা।
কিন্তু কী এই GDPR? এটা ইউরোপিয়ান ইউনিয়নের পাশ করা তার নাগরিকদের ব্যক্তিগত তথ্য ও তথ্য স্বাধীনতার জন্য করা আইন "জেনারেল ডাটা প্রটেকশন রেগুলেশন"।
বিবিসি -র এই ভিডিওটা দেখে শুরু করা যাক:
মূলতঃ GDPR -এর কথা হচ্ছে: যেকোনো ইউরোপিয়ান নাগরিকের (GDPR -র ভাষায় ডাটা সাব্জেক্ট) ব্যক্তিগত ডাটা (কিংবা প্রসেস করা ডাটা?):
১. ডাটা সাবজেক্ট বা ইউরোপিয়ান নাগরিক চাইলে সম্পূর্ণ মুছে ফেলতে হবে (Right to be forgotten)।
২. কোম্পানির কাছে থাকা সব তথ্য ডাটা সাবজেক্ট চাইলে মেশিন রিডেবল ফরম্যাটে এক্সপোর্ট করতে হবে।
৩. কোনো ডাটা চুরির ঘটনা ঘটলে নির্দিষ্ট সময়ের মধ্যে তা জানাতে হবে।
৪. থার্ড পার্টি কোনো কোম্পানির কাছে থাকা ডাটা-এর বেলায়ও এই শর্ত প্রযোজ্য হবে।
৫. ডাটা সাবজেক্ট চাইলে তার তথ্য (মুছে না ফেললেও) প্রসেস করা বন্ধ করতে হবে।
৬. ডাটা সাবজেক্ট চাইলে কোম্পানির কাছে থাকা তার তথ্য আপডেট করতে পারবে।
বলে রাখা ভালো: তাই বলে কোনো দাগি আসামি কিন্তু তার সব তথ্য সব জায়গা থেকে মুছে ফেলার দাবি বা অনুরোধ করতে পারবে না।
শুনতে খুব স্বাভাবিক মনে হলেও এইখানে কিন্তু অনেক মারপ্যাচ আছে। যেমন: ধরা যাক, EU নাগরিক কেউ কোনো পরীক্ষা দিলো, সেই পরীক্ষা থেকে তার সম্পর্কে (বিহেভিয়ার কিংবা স্কিল ইত্যাদি) যা জানা যাবে, সেই তথ্যের বেলায়ও কী এইসব শর্ত প্রযোজ্য হবে? কিংবা ধরা যাক, কোনো জব ক্যান্ডিডেট-এর সম্পর্কে কিছু ইন্টারনাল নোট লিখে রাখা হয়েছে, যা ইমেইল-এ শেয়ার করা হয়েছে - সেক্ষেত্রে কী হবে? অথবা ডাটা ওয়্যারহাউস -এ রাখা অনেক পুরোনো ডাটা (যেইগুলো ডাটাবেস ব্যাকআপ হিসাবে রাখা আছে) সেইগুলোর জন্যেও কী এইসব নিয়ম প্রযোজ্য হবে?
অনেকে হয়তো ভাবছেন, EU নাগরিকদের জন্য এইসব, আমার বাংলাদেশের তাতে কী? কিন্তু এই নিয়ম বা আইন কিন্তু শুধু ইউরোপিয়ান দেশের জন্য প্রযোজ্য না, বরং যে কোনো দেশের যেকোনো কোম্পনির, যাদের কাছে EU নাগরিকদের ডাটা আছে তাদের বেলায়ও প্রযোজ্য হবে। বাংলাদেশে বেড়াতে এসে কোনো EU নাগরিক যদি আড়ং থেকে কিছু কেনে, কিংবা কোনো হোটেলে থাকে - সেক্ষেত্রেও এই আইন প্রয়োগ হবে। আর অনলাইনে কিছু কিনলে তো বাংলাদেশে আসারও দরকার নেই।
যাই হোক, আমি যেই কোম্পনীতে কাজ করি, সেখানে GDPR - ইমপ্লিমেন্ট করার কাজ শুরু হয়েছে। প্রাথমিক পর্যায়ে ডাটাবেসগুলোর সবগুলো টেবিল-কলাম চেক করে দেখা হচ্ছে যে কোন গুলো এই নিয়মের মধ্যে পড়বে। অর্থাৎ, কোন কোন টেবিলের কোন কোনো কলামে ইউসার ইনফরমেশন আছে। পরের পর্যায়ে সেইগুলি ডিলিট, এনোনিমাইজ আর এক্সপোর্টের কাজ শুরু করা হবে। সময় মতো শেষ হয় কিনা সেটাই দেখার বিষয়।
GDPR-র মূল ওয়েবসাইট, এই লিংকে লিস্ট করা বর্তমান নিয়মের সাথে এর মূল তফাৎ, কিংবা Bozho -র লেখা এই আর্টিকেল পড়লে আরো ভালোভাবে এই ব্যাপারে জানা যাবে। আর আগের মতো আবারো বলি, কারো কাছে আরো ভালো কোনো আর্টিকেল-র লিংক জানা থাকলে শেয়ার করবেন প্লিজ।
ধন্যবাদ।
--ইশতিয়াক
২৬ ফেব্রূয়ারি, ২০১৮, সোমবার।
আর মাত্র ৮৭ দিন বাকি। এই ৮৭ দিনের মধ্যে অর্থাৎ ২৫ মে ২০১৮-এর মধ্যে GDPR ইমপ্লিমেন্ট করতে না পারলে কোম্পানি গুলোর ২০ মিলিয়ন ইউরো কিংবা বাৎসরিক লাভের ৪% - দুটোর মধ্যে যেটা বেশি, সেই পরিমাণ জরিমানা দিতে হতে পারে !!
এটা নিয়ে খুব বেশি হৈচৈ শোনা যাচ্ছে না। কিন্তু কোম্পনি গুলোর এটা নিয়ে বেশ মাথা খারাপ অবস্থা।
কিন্তু কী এই GDPR? এটা ইউরোপিয়ান ইউনিয়নের পাশ করা তার নাগরিকদের ব্যক্তিগত তথ্য ও তথ্য স্বাধীনতার জন্য করা আইন "জেনারেল ডাটা প্রটেকশন রেগুলেশন"।
বিবিসি -র এই ভিডিওটা দেখে শুরু করা যাক:
মূলতঃ GDPR -এর কথা হচ্ছে: যেকোনো ইউরোপিয়ান নাগরিকের (GDPR -র ভাষায় ডাটা সাব্জেক্ট) ব্যক্তিগত ডাটা (কিংবা প্রসেস করা ডাটা?):
২. কোম্পানির কাছে থাকা সব তথ্য ডাটা সাবজেক্ট চাইলে মেশিন রিডেবল ফরম্যাটে এক্সপোর্ট করতে হবে।
৩. কোনো ডাটা চুরির ঘটনা ঘটলে নির্দিষ্ট সময়ের মধ্যে তা জানাতে হবে।
৪. থার্ড পার্টি কোনো কোম্পানির কাছে থাকা ডাটা-এর বেলায়ও এই শর্ত প্রযোজ্য হবে।
৫. ডাটা সাবজেক্ট চাইলে তার তথ্য (মুছে না ফেললেও) প্রসেস করা বন্ধ করতে হবে।
৬. ডাটা সাবজেক্ট চাইলে কোম্পানির কাছে থাকা তার তথ্য আপডেট করতে পারবে।
বলে রাখা ভালো: তাই বলে কোনো দাগি আসামি কিন্তু তার সব তথ্য সব জায়গা থেকে মুছে ফেলার দাবি বা অনুরোধ করতে পারবে না।
শুনতে খুব স্বাভাবিক মনে হলেও এইখানে কিন্তু অনেক মারপ্যাচ আছে। যেমন: ধরা যাক, EU নাগরিক কেউ কোনো পরীক্ষা দিলো, সেই পরীক্ষা থেকে তার সম্পর্কে (বিহেভিয়ার কিংবা স্কিল ইত্যাদি) যা জানা যাবে, সেই তথ্যের বেলায়ও কী এইসব শর্ত প্রযোজ্য হবে? কিংবা ধরা যাক, কোনো জব ক্যান্ডিডেট-এর সম্পর্কে কিছু ইন্টারনাল নোট লিখে রাখা হয়েছে, যা ইমেইল-এ শেয়ার করা হয়েছে - সেক্ষেত্রে কী হবে? অথবা ডাটা ওয়্যারহাউস -এ রাখা অনেক পুরোনো ডাটা (যেইগুলো ডাটাবেস ব্যাকআপ হিসাবে রাখা আছে) সেইগুলোর জন্যেও কী এইসব নিয়ম প্রযোজ্য হবে?
অনেকে হয়তো ভাবছেন, EU নাগরিকদের জন্য এইসব, আমার বাংলাদেশের তাতে কী? কিন্তু এই নিয়ম বা আইন কিন্তু শুধু ইউরোপিয়ান দেশের জন্য প্রযোজ্য না, বরং যে কোনো দেশের যেকোনো কোম্পনির, যাদের কাছে EU নাগরিকদের ডাটা আছে তাদের বেলায়ও প্রযোজ্য হবে। বাংলাদেশে বেড়াতে এসে কোনো EU নাগরিক যদি আড়ং থেকে কিছু কেনে, কিংবা কোনো হোটেলে থাকে - সেক্ষেত্রেও এই আইন প্রয়োগ হবে। আর অনলাইনে কিছু কিনলে তো বাংলাদেশে আসারও দরকার নেই।
যাই হোক, আমি যেই কোম্পনীতে কাজ করি, সেখানে GDPR - ইমপ্লিমেন্ট করার কাজ শুরু হয়েছে। প্রাথমিক পর্যায়ে ডাটাবেসগুলোর সবগুলো টেবিল-কলাম চেক করে দেখা হচ্ছে যে কোন গুলো এই নিয়মের মধ্যে পড়বে। অর্থাৎ, কোন কোন টেবিলের কোন কোনো কলামে ইউসার ইনফরমেশন আছে। পরের পর্যায়ে সেইগুলি ডিলিট, এনোনিমাইজ আর এক্সপোর্টের কাজ শুরু করা হবে। সময় মতো শেষ হয় কিনা সেটাই দেখার বিষয়।
GDPR-র মূল ওয়েবসাইট, এই লিংকে লিস্ট করা বর্তমান নিয়মের সাথে এর মূল তফাৎ, কিংবা Bozho -র লেখা এই আর্টিকেল পড়লে আরো ভালোভাবে এই ব্যাপারে জানা যাবে। আর আগের মতো আবারো বলি, কারো কাছে আরো ভালো কোনো আর্টিকেল-র লিংক জানা থাকলে শেয়ার করবেন প্লিজ।
ধন্যবাদ।
--ইশতিয়াক
No comments:
Post a Comment