আপনার ব্যবসার জন্য GDPR কিভাবে একটি সত্যিকারের চ্যালেঞ্জ?

যেহেতু GDPR ট্রিগারের সময়সীমা প্রায় তার দ্বারপ্রান্তে, কোম্পানিগুলির উন্মাদ প্রস্তুতি সবেমাত্র শেষ হতে চলেছে৷ বিপুল সংখ্যক ডেটা লঙ্ঘন দেখে, EU ব্যবহারকারীর গোপনীয়তাকে সংস্থাগুলির জন্য সর্বোচ্চ অগ্রাধিকারের জন্য এক ধাপ এগিয়ে নিয়েছিল৷

ডেটা সুরক্ষা এবং সুরক্ষার জন্য এই নতুন কাঠামো সংস্থাগুলির জন্য বিভিন্ন বাধ্যবাধকতাকে প্রশস্ত করেছে৷ যদিও বেশ কিছু কোম্পানি ইতিমধ্যেই জিডিপিআর মেনে চলছে, তবুও কিছু কোম্পানি আছে যারা এই প্রবিধান তৈরি করতে লড়াই করছে৷

জিডিপিআর বাস্তবায়ন একদিন বা এক মাসের ব্যাপার নয়। কিন্তু এর পরিপ্রেক্ষিতে কোম্পানিগুলিকে জিডিপিআর কমপ্লায়েন্সের প্রয়োজনীয়তা মেটাতে তাদের সম্পূর্ণ অভ্যন্তরীণ নীতি, পদ্ধতি এবং প্রক্রিয়াগুলিকে সংশোধন করতে হবে৷

জিডিপিআর, এর প্রভাব এবং জিডিপিআর কমপ্লায়েন্সের চাহিদা পূরণের জন্য কোন ব্যবসার উদ্যোগ নিচ্ছে সে সম্পর্কে সম্পূর্ণ চিত্র পেতে আমাদের পূর্ববর্তী নিবন্ধগুলি পড়ুন।

GDPR যে সমস্ত বড় চ্যালেঞ্জগুলি নিজের সাথে নিয়ে আসে তা এখানে তালিকাভুক্ত করা হয়েছে!

অভিযোজনযোগ্যতা

25 মে শুধুমাত্র একটি সূচনা বিন্দু। জিডিপিআর-এ ব্যবহৃত ভাষাটি বেশ অস্পষ্ট, যা কোম্পানিগুলির প্রক্রিয়াগুলি বুঝতে সমস্যা তৈরি করছে। রিপোর্ট অনুযায়ী শুধুমাত্র 25% ব্যবসার এই নিয়ম সম্পর্কে একটি গুরুতর ধারণা আছে। এছাড়াও, প্রধান উদ্বেগের বিষয় হল এটি পৌঁছানোর জন্য খরচ-  অভ্যন্তরীণ নীতিগুলিতে সীমাহীন সংখ্যক পরিবর্তন এবং আপডেটের জন্য প্রচুর বিনিয়োগ এবং প্রচেষ্টার প্রয়োজন৷

এছাড়াও, এই নিয়ম এবং প্রবিধানগুলি নতুন তাই কোম্পানিগুলির নতুন পরিবর্তনগুলির সাথে মানিয়ে নিতে কিছু সময় লাগতে পারে৷ তবে সংগঠিত সমাধানগুলি অবশ্যই তাদেরকে পরবর্তীতে যারা মানিয়ে নেওয়ার চেষ্টা করবে তাদের চেয়ে আরও ভালভাবে সামঞ্জস্য করতে সাহায্য করবে।

ছোট ব্যবসার জন্য একটি বিশাল চ্যালেঞ্জ

বৃহৎ স্কেল সংস্থা থেকে শুরু করে ছোট আকারের সংস্থাগুলি থেকে ব্যবসার মাঝামাঝি, সকলের কাছেই সংবেদনশীল ডেটা রয়েছে যা তাদের রক্ষা করা দরকার। GDPR-এর অধীনে কম্পাইল করার সময়, ছোট কোম্পানিগুলিকে যে প্রধান সমস্যাগুলির মুখোমুখি হতে হয় তা হল:

• উচ্চ বিনিয়োগ উচ্চ-প্রযুক্তির নিরাপত্তা কর্মসূচি আনতে পারে
• এর জন্য DPO (ডেটা প্রোটেকশন অফিসার) নিয়োগ।
• ডেটা লঙ্ঘনের ক্ষেত্রে 72 ঘন্টার মধ্যে রিপোর্ট করার জন্য কর্মচারীদের প্রশিক্ষণ দেওয়া।
• সাপ্লাই চেইনের সাথে মান নিয়ন্ত্রণ বজায় রাখা- আপনার ব্যবসার সাথে জড়িত সমস্ত সরবরাহকারী এবং ঠিকাদারদের জিডিপিআর অনুগত হওয়া উচিত তা যাচাই করা।
• ডেটা পোর্টেবিলিটির জন্য প্রস্তুত করুন- যদি কোনো গ্রাহক তাদের ডেটার একটি অনুলিপি চান।
• সদস্যদের নিয়োগ করা যারা শুধুমাত্র ডেটা বিষয়ের অনুরোধগুলি অ্যাক্সেস করার জন্য দায়ী৷

ছোট আকারের কোম্পানিগুলির কাছে এই চ্যালেঞ্জগুলি পরিচালনা করার জন্য কম সংস্থান রয়েছে এবং কোনও ত্রুটি ঘটলে কম মার্জিন রয়েছে (যা হওয়া খুবই স্বাভাবিক)

নিয়মিত ডেটা বিষয়ের অনুরোধ

এটি সংগঠনের জন্য সবচেয়ে বড় পরিবর্তন এবং চ্যালেঞ্জ। তারা অবিলম্বে সব তথ্য বিষয় অনুরোধ মোকাবেলা করতে হবে. যেহেতু GDPR ব্যক্তি এবং ব্যবহারকারীদের অধিকার প্রদান করে:

–       কোম্পানি কোন ডেটা সঞ্চয় করে সে সম্পর্কে জিজ্ঞাসা করতে

–       কিভাবে তাদের ডেটা ব্যবহার করা হচ্ছে

– কী ধরনের ব্যক্তিগত ডেটা উদ্বিগ্ন

– তাদের সংবেদনশীল তথ্য প্রক্রিয়াকরণের উদ্দেশ্য

–       যে কোনো সময় তাদের ডেটা মুছে ফেলুন এবং

– তত্ত্বাবধায়ক কর্তৃপক্ষের কাছে একটি অভিযোগ দায়ের করুন

এটা স্পষ্ট যে প্রতিদিনের ভিত্তিতে অনুসন্ধানগুলি চালু হবে। যেহেতু কোনো কোম্পানি ব্যবহারকারীদের এই অধিকার লঙ্ঘন করতে পারে না, তাই তাদের অবশ্যই এমন প্রক্রিয়া সেট আপ করতে হবে যা প্রতিটি ডেটা বিষয়ের অনুরোধ আসার সময় প্রয়োজনীয় দলের সদস্যদের সতর্ক করে। প্রদত্ত তথ্য ব্যবহারকারীদের কাছে স্বচ্ছ, ন্যায্য এবং সংক্ষিপ্ত হওয়া উচিত। ভোক্তাদের বিভ্রান্ত ও বিভ্রান্ত করার জন্য প্রতিষ্ঠানগুলো আর কোনো জটিল ভাষা ব্যবহার করতে পারে না।

DPO বাধ্যতামূলক

EU দেশ জুড়ে ডেটা প্রোটেকশন হারমোনাইজেশনের লক্ষ্যে, ডেটা প্রোটেকশন অফিসার (DPO) নিয়োগ করা ব্যবসার উপর একটি বড় GDPR প্রভাব হিসাবে দেখা যেতে পারে। GDPR এর 37 অনুচ্ছেদ অনুসারে, প্রতিটি পাবলিক কর্তৃপক্ষের জন্য একটি DPO ঠিক করা যেখানে ডেটার ক্রমাগত পর্যবেক্ষণ এবং প্রক্রিয়াকরণ বাধ্যতামূলক করা হয়েছে৷

GDPR নতুন চাকরির সুযোগ নিয়ে আসে। DPO হল সেই ব্যক্তি যার অবশ্যই ডেটা সুরক্ষা আইন সম্পর্কে বিশেষজ্ঞ জ্ঞান থাকতে হবে। একজন ডিপিওর দক্ষতার স্তর সম্পর্কে জিডিপিআর স্পষ্টভাবে প্রকাশ করেনি, তবে মূলত ডেটা প্রক্রিয়াকরণের জটিলতা অনুসারে একজন ডিপিওর যত বেশি দক্ষতা থাকা উচিত।

ADPO কর্তব্য এবং দায়িত্ব পালন করা উচিত যেমন:

• অভ্যন্তরীণ ডেটা সুরক্ষা বিষয়গুলি পরিচালনা করুন
• ব্যক্তির অধিকার এবং সম্মতির দেখাশোনা করুন
• মনিটরিং কমপ্লায়েন্স এবং অন্যান্য সুরক্ষা আইন
• অনুশীলনের প্রয়োজনীয়তার গুরুত্ব সম্পর্কে কর্মীদের প্রশিক্ষণ দেওয়া
• কন্ট্রোলার এবং প্রসেসরের সাথে হাতে হাত মিলিয়ে কাজ করা

ডেটা হ্যাক বৃদ্ধি

যেহেতু সংস্থাগুলি নতুন ডেটা সুরক্ষা প্রবিধান মেনে চলার চেষ্টা করছে, একই সময়ে রিপোর্ট আসছে যে সাইবার অপরাধীরা ইতিমধ্যেই মেনে চলেনি এমন সংস্থাগুলির জন্য GDPR পেনাল্টির চেয়ে কিছুটা কম মুক্তিপণের জন্য সংস্থাগুলিকে চাঁদাবাজি করছে৷ যত বেশি লোক অনলাইন দুনিয়ায় লিপ্ত হচ্ছে, তত বেশি সম্ভাবনা বেড়েছে যে তারা বর্ধিত র্যানসমওয়্যার, BEC (বিজনেস ইমেল কম্প্রোমাইজ) চাঁদাবাজি আক্রমণ এবং ক্রিপ্টোকারেন্সি মাইনিং দ্বারা সংক্রামিত হতে পারে।

যদিও এই প্রবিধানটি আমাদের সমস্ত ডেটা নিরাপদ করতে সাহায্য করবে, তবুও হ্যাকাররা হ্যাক করতে চলেছে৷

সুতরাং, ক্রস-জেনারেশনাল সিকিউরিটি পদ্ধতি অবলম্বন করা প্রয়োজন যা ডেটা হ্যাক হওয়ার ঝুঁকি কমাতে সাহায্য করবে।

অফিসিয়াল সত্তার উপর বোঝা

এখানে জড়িত মূল খেলোয়াড় হল কন্ট্রোলার এবং প্রসেসর।

নিয়ন্ত্রক "কী", "কেন" এবং "কীভাবে" ব্যক্তির ব্যক্তিগত তথ্যের প্রক্রিয়াকরণ হচ্ছে এই প্রশ্নের উত্তর দেওয়ার জন্য তারাই দায়ী। এটি যেকোন সত্তা, সরকারী কর্তৃপক্ষ, ব্যক্তি বা কোন সংস্থা বা সংস্থা হতে পারে।

নিয়ন্ত্রকের প্রধান ভূমিকা হল একজন ব্যক্তির ডেটা ব্যবহার সম্পর্কে একটি ছবি পরিষ্কার রাখা এবং ব্যবহারকারীর কাছ থেকে কোনো সম্মতি পাওয়া গেলে (যা যথাযথভাবে পরিচালনা করা হয় না) কোম্পানিকে জরিমানা দিতে হবে (জিডিপিআর অনুযায়ী)।

প্রসেসর যারা ব্যবহারকারীদের ব্যক্তিগত তথ্য প্রক্রিয়া করে। GDPR পরিভাষায়, একজন প্রসেসর হল একজন আইনী ব্যক্তি বা সংস্থা যিনি নিয়ন্ত্রকদের পক্ষে ডেটা প্রক্রিয়া করেন। সহজ কথায়, একজন নিয়ন্ত্রক হলেন এমন একজন যিনি প্রক্রিয়াকরণ কার্যক্রম সম্পর্কে সিদ্ধান্ত নেন বা সিদ্ধান্ত নেন এবং প্রসেসর সেই কাজগুলি সম্পাদন করে।

নিয়ন্ত্রক হলেন সেই ব্যক্তি যিনি আরও চিকিত্সা করার জন্য প্রসেসর নির্বাচন করেন- তাই সঠিকভাবে এবং সঠিক দিকনির্দেশনা চালানো উভয়ের উপরই সমান বোঝা হয়ে যায়। এছাড়াও, একবার প্রক্রিয়াকরণ সম্পন্ন হলে ডেটা মুছে ফেলা প্রসেসরের দায়িত্ব৷

বিপণনকারীদের জন্য প্রধান হুমকি

বিপণনকারীরা মূলত ভোক্তাদের ডেটার উপর নির্ভরশীল। সূত্রের মতে, শুধুমাত্র 20% ব্যবহারকারীর বিশ্বাস আছে যে এই ডেটা সুরক্ষা প্রবিধান কার্যকর হওয়ার পরেও কোম্পানিগুলি তাদের ডেটা কঠোরভাবে ব্যবহার, পরিচালনা এবং সুরক্ষা করতে পারবে না৷

ডেটা অ্যাক্সেস করার জন্য ডেটা অনুমতি নেওয়া থেকে শুরু করে, বিপণনকারীদের এই বিষয়টির যত্ন নেওয়ার দায়িত্ব হয়ে ওঠে যে ব্যবহারকারীরা সহজেই ডেটা অ্যাক্সেস করতে পারেন যা লাভ তৈরির জন্য তৃতীয় পক্ষের কাছে ব্যবহার করা বা বিক্রি করা হচ্ছে। যেহেতু বিপণনকারীরা আপনার পৃষ্ঠার সাথে সংযোগ করতে রাজি হওয়ার আগে আপনি কী পরিমাণ ডেটা সংগ্রহ করছেন তা বোঝার জন্য এবং নিজেকে জিজ্ঞাসা করুন যে আপনার আসলেই বৈবাহিক তথ্য বা পছন্দের খাবারের পছন্দের প্রয়োজন আছে কিনা।

কিছু ক্ষেত্র যেখানে জিডিপিআর আপনার বিপণন কার্যক্রমকে প্রভাবিত করবে:

• ওয়েবসাইট কুকিজ- আপনার সুবিধার জন্য ভিজিটর অনুসন্ধান প্যাটার্ন সংগ্রহ করা আর গ্রহণ করা হবে না! এখন বিপণনকারীদের আপনার সাইটের কুকির জন্য সম্মতি নিতে হবে যা স্বচ্ছ এবং দ্ব্যর্থহীন হওয়া উচিত। এছাড়াও, আপনাকে অবশ্যই তাদের একটি পৃথক উপায় দিতে হবে যার মাধ্যমে তারা চাইলে তাদের সম্মতি প্রত্যাহার করতে পারে।
• গ্রাহক ডেটা ব্যবস্থাপনার উপর প্রধান প্রভাব- বিপণনকারীদের পুনর্বিবেচনা করতে হবে তারা কী ধরনের ডেটা সঞ্চয় করে, কীভাবে তারা সঞ্চয় করে, কীভাবে তারা এটি প্রক্রিয়া করে, কার কাছে তারা ভাগ করে এবং স্থানান্তর করে এবং অবশেষে কীভাবে এটি অ্যাক্সেস করা হয়।
• ই-মেইল মার্কেটিং এর উপর প্রভাব- বিপণনকারীদের তাদের ব্যবহারকারীদের সম্পর্কে একটি পরিষ্কার ডকুমেন্টেশন রাখতে হবে যারা আপনার কাছ থেকে ইমেল পেতে সম্মত হয়েছে যে তথ্য সহ আপনি কীভাবে এটি বাজারজাত করতে যাচ্ছেন। আপনি যদি কোনো তৃতীয় পক্ষের কাছ থেকে ব্যবহারকারীদের তালিকা পান তাহলে আপনাকে নিশ্চিত করতে হবে যে তাদের কাছে একই ধরনের নথি আছে।

জিডিপিআর লঙ্ঘনের পরিণতি

যেহেতু, এই প্রবিধানটি প্রতিটি সংস্থাকে প্রভাবিত করবে যেখানেই থাকুক না কেন, যদি আপনার কোম্পানি কম্পাইল করার জন্য কোনো ব্যবস্থা না নেয়। ব্যবসার উপর জিডিপিআর প্রভাব বেশ খাড়া কারণ লঙ্ঘনের প্রকৃতির উপর নির্ভর করে শাস্তির কাঠামো দুটি স্তরে বিভক্ত।

1. উচ্চতর ফাইন থ্রেশহোল্ড যখন সংস্থা লঙ্ঘন করে তখন মেনে চলে:

–       ব্যক্তিগত অধিকার

–       একজন ব্যবহারকারীর সম্মতি

– ডেটা স্থানান্তর

–       ডেটা প্রক্রিয়াকরণ (যখন এটি একটি নির্দিষ্ট সময়ের জন্য সীমিত ছিল)

যদি এই নিবন্ধগুলি অপবিত্র করা হয় তবে কোম্পানির টার্নওভারের 4% বা €20 মিলিয়ন পর্যন্ত জরিমানা- যেটি বেশি, চার্জ করা হবে৷

2. লোয়ার ফাইন থ্রেশহোল্ড কন্ট্রোলার, প্রসেসর এবং অন্যান্য নজরদারি সংস্থার উপর আরোপ করা হয়। ক্ষেত্রে:

–     যদি কোনো শিশুর ব্যক্তিগত তথ্য সম্মতি ছাড়াই অর্জিত ও প্রক্রিয়া করা হয়

–     তথ্য লঙ্ঘনের 72 ঘন্টার মধ্যে তত্ত্বাবধায়ক কর্তৃপক্ষকে অবহিত করা না হলে

–    যদি ব্যবহারকারী বা গ্রাহকদের তথ্য ফাঁস করা হয় তাদের নির্দিষ্ট সময়সীমার মধ্যে অবহিত করা হয় এবং,

–   নজরদারি সংস্থা, ডিপিও (ডেটা প্রোটেকশন অফিসার) এবং সার্টিফিকেশন সংস্থা ইত্যাদির অন্যান্য বাধ্যবাধকতা৷

যদি এই নিবন্ধগুলি অপবিত্র করা হয় তবে কোম্পানির টার্নওভারের 2% বা €10 মিলিয়ন পর্যন্ত জরিমানা- যেটি বেশি, চার্জ করা হবে৷

যদিও জিডিপিআর বেশ কিছু উল্লেখযোগ্য পরিবর্তন আনছে, এটি বিদ্যমান নীতি ও ব্যবস্থার সম্পূর্ণ প্রস্থান নয়। এই প্রবিধানটি তার সমস্ত চ্যালেঞ্জ এবং ত্রুটিগুলির সাথে থাকবে, একই সময়ে সংস্থাগুলিকে কান্নাকাটি বন্ধ করতে হবে এবং এর সুযোগগুলিও বুঝতে হবে। এই বৈপ্লবিক ডেটা সুরক্ষা প্রবিধানটি তার সম্ভাব্যতার উপর দাঁড়াবে নাকি এটি লাল ফিতাকে স্তম্ভিত করবে 25 মে, 2018 তারিখে এটির প্রয়োগের বিষয়ে সিদ্ধান্ত নেওয়া হবে৷