জিডিপিআর কমপ্লায়েন্স চেকলিস্ট – আইবিএম ব্লগ

জেনারেল ডেটা প্রোটেকশন রেগুলেশন (GDPR) হল একটি ইউরোপীয় ইউনিয়ন (EU) আইন যা সংস্থাগুলি কীভাবে সংগ্রহ এবং ব্যবহার করে তা নিয়ন্ত্রণ করে ব্যক্তিগত তথ্য. EU-তে কাজ করা বা EU-র বাসিন্দাদের ডেটা পরিচালনা করা যেকোন কোম্পানিকে অবশ্যই GDPR প্রয়োজনীয়তা মেনে চলতে হবে।

যাইহোক, GDPR সম্মতি অগত্যা একটি সহজবোধ্য বিষয় নয়। আইন একটি সেট রূপরেখা তথ্য গোপনীয়তা ব্যবহারকারীদের জন্য অধিকার এবং ব্যক্তিগত তথ্য প্রক্রিয়াকরণের জন্য নীতির একটি সিরিজ। সংস্থাগুলিকে অবশ্যই এই অধিকার এবং নীতিগুলি বজায় রাখতে হবে, তবে জিডিপিআর প্রতিটি কোম্পানির জন্য কিছু জায়গা ছেড়ে দেয় কিভাবে তা নির্ধারণ করতে।

বাজি বেশি, এবং জিডিপিআর অ-সম্মতির জন্য উল্লেখযোগ্য জরিমানা আরোপ করে। সবচেয়ে গুরুতর লঙ্ঘনের জন্য 20,000,000 ইউরো পর্যন্ত জরিমানা হতে পারে বা আগের বছরে সংস্থার বিশ্বব্যাপী বিশ্বব্যাপী টার্নওভারের 4%। জিডিপিআর নিয়ন্ত্রকরা অবৈধ ডেটা প্রক্রিয়াকরণ কার্যক্রমও বন্ধ করতে পারে এবং সংস্থাগুলিকে পরিবর্তন করতে বাধ্য করতে পারে।

নীচের চেকলিস্টটি মূল GDPR প্রবিধানগুলিকে কভার করে৷ একটি সংস্থা কীভাবে এই প্রবিধানগুলি পূরণ করে তা নির্ভর করবে তার অনন্য পরিস্থিতির উপর, যার মধ্যে এটি যে ধরণের ডেটা সংগ্রহ করে এবং কীভাবে সেই ডেটা ব্যবহার করে।

জিডিপিআর বেসিক

GDPR ইউরোপিয়ান ইকোনমিক এরিয়া (EEA) ভিত্তিক যেকোনো সংস্থার ক্ষেত্রে প্রযোজ্য। EEA-তে 27টি EU সদস্য রাষ্ট্র ছাড়াও আইসল্যান্ড, লিচেনস্টাইন এবং নরওয়ে অন্তর্ভুক্ত রয়েছে।

GDPR EEA-এর বাইরের সংস্থাগুলির ক্ষেত্রেও প্রযোজ্য যদি:

• কোম্পানী নিয়মিতভাবে EEA বাসিন্দাদের পণ্য বা পরিষেবা অফার করে, এমনকি যদি কোন টাকা বিনিময় না হয়।
• কোম্পানি নিয়মিতভাবে EEA বাসিন্দাদের কার্যকলাপ নিরীক্ষণ করে, যেমন ট্র্যাকিং কুকি ব্যবহার করে।
• কোম্পানিটি EEA ভিত্তিক একটি কোম্পানির পক্ষে ডেটা প্রক্রিয়া করে।

GDPR শুধুমাত্র বাণিজ্যিক উদ্দেশ্যে গ্রাহকের ডেটা ব্যবহার করে এমন ব্যবসার ক্ষেত্রেই প্রযোজ্য নয়। এটি প্রায় যে কোনও সংস্থার ক্ষেত্রে প্রযোজ্য যা কোনও উদ্দেশ্যে EEA বাসিন্দাদের ডেটা প্রক্রিয়া করে৷ স্কুল, হাসপাতাল এবং সরকারী সংস্থা সবই জিডিপিআর কর্তৃপক্ষের অধীনে পড়ে।

জিডিপিআর থেকে অব্যাহতিপ্রাপ্ত একমাত্র ডেটা প্রসেসিং কার্যক্রম হল জাতীয় নিরাপত্তা বা আইন প্রয়োগকারী কার্যক্রম এবং ডেটার সম্পূর্ণ ব্যক্তিগত ব্যবহার।

দরকারী সংজ্ঞা

GDPR কিছু নির্দিষ্ট পরিভাষা ব্যবহার করে। সম্মতির প্রয়োজনীয়তাগুলি বোঝার জন্য, সংস্থাগুলিকে অবশ্যই বুঝতে হবে যে এই প্রসঙ্গে এই শর্তগুলির অর্থ কী৷

GDPR সংজ্ঞায়িত করে ব্যক্তিগত তথ্য একজন শনাক্তযোগ্য মানুষের সাথে সম্পর্কিত যেকোন তথ্য হিসাবে। ইমেল ঠিকানা থেকে রাজনৈতিক মতামত সবকিছু ব্যক্তিগত তথ্য হিসাবে গণনা করা হয়.

A তথ্য বিষয় তথ্যের মালিক মানুষ। অন্যভাবে বলুন, এটি সেই ব্যক্তি যার সাথে ডেটা সম্পর্কিত। বলুন একটি কোম্পানি এসএমএসের মাধ্যমে মার্কেটিং বার্তা পাঠাতে ফোন নম্বর সংগ্রহ করে। সেই ফোন নম্বরগুলির মালিকরা ডেটা সাবজেক্ট হবে।

যখন GDPR ডেটা বিষয়গুলিকে বোঝায়, তখন এর অর্থ হল ডেটা বিষয় যারা EEA-তে থাকে৷ GDPR-এর অধীনে ডেটা গোপনীয়তার অধিকার পাওয়ার জন্য বিষয়গুলিকে EU নাগরিক হতে হবে না। তাদের শুধুমাত্র EEA বাসিন্দা হতে হবে।

A ডেটা কন্ট্রোলার কোন সংস্থা, গোষ্ঠী বা ব্যক্তি যা ব্যক্তিগত ডেটা প্রাপ্ত করে এবং এটি কীভাবে ব্যবহার করা হয় তা নির্ধারণ করে। পূর্ববর্তী উদাহরণে ফিরে আসা, বিপণনের উদ্দেশ্যে ফোন নম্বর সংগ্রহকারী একটি কোম্পানি একটি নিয়ন্ত্রক হবে। 

তথ্য প্রক্রিয়াজাতকরণ ডেটা সংগ্রহ করা, সংরক্ষণ করা বা বিশ্লেষণ করা সহ কোন কাজ করা হয়। ক ডাটা প্রসেসর যে কোন প্রতিষ্ঠান বা অভিনেতা এই ধরনের কর্ম সঞ্চালন.

একটি কোম্পানি একটি নিয়ামক এবং একটি প্রসেসর উভয়ই হতে পারে, যেমন একটি কোম্পানি যে উভয়ই ফোন নম্বর সংগ্রহ করে এবং বিপণন বার্তা পাঠাতে ব্যবহার করে। প্রসেসরগুলিতে তৃতীয় পক্ষগুলিও অন্তর্ভুক্ত থাকে যেগুলি নিয়ন্ত্রকদের পক্ষে ডেটা প্রক্রিয়া করে, যেমন একটি ক্লাউড স্টোরেজ পরিষেবা যা অন্য ব্যবসার জন্য একটি ফোন নম্বর ডেটাবেস হোস্ট করে।

তত্ত্বাবধায়ক কর্তৃপক্ষ নিয়ন্ত্রক সংস্থাগুলি হল GDPR প্রয়োজনীয়তা প্রয়োগ করে৷ প্রতিটি EEA দেশের নিজস্ব তত্ত্বাবধায়ক কর্তৃপক্ষ আছে।

ডেটা সুরক্ষা এবং সুরক্ষা সমাধানগুলি অন্বেষণ করুন৷

GDPR কমপ্লায়েন্স চেকলিস্ট

একটি উচ্চ স্তরে, একটি সংস্থা GDPR অনুগত হয় যদি:

• ডেটা প্রসেসিং নীতি মেনে চলে
• ডেটা বিষয়ের অধিকার বজায় রাখে
• উপযুক্ত ডেটা নিরাপত্তা ব্যবস্থা প্রয়োগ করে
• ডেটা স্থানান্তর এবং ডেটা ভাগ করে নেওয়ার নিয়মগুলি অনুসরণ করে

নিম্নলিখিত চেকলিস্ট এই প্রয়োজনীয়তাগুলি আরও ভেঙে দেয়। এই প্রয়োজনীয়তাগুলি পূরণ করার জন্য একটি সংস্থা যে বাস্তব পদক্ষেপগুলি গ্রহণ করে তা অন্যান্য কারণগুলির মধ্যে তার অবস্থান, সংস্থান এবং ডেটা প্রক্রিয়াকরণ কার্যক্রমের উপর নির্ভর করবে।

ডেটা প্রসেসিং নীতি

জিডিপিআর ব্যক্তিগত ডেটা প্রক্রিয়াকরণের সময় সংস্থাগুলিকে অবশ্যই অনুসরণ করতে হবে এমন নীতিগুলির একটি সেট তৈরি করে৷ নীতিমালা নিম্নরূপ।

তথ্য প্রক্রিয়াকরণের জন্য সংস্থার একটি বৈধ ভিত্তি রয়েছে।

GDPR সেই পরিস্থিতিতে সংজ্ঞায়িত করে যেগুলির অধীনে কোম্পানিগুলি ব্যক্তিগত ডেটাকে আইনিভাবে প্রক্রিয়া করতে পারে৷ কোনও সংস্থাকে কোনও তথ্য সংগ্রহ করার আগে অবশ্যই তার আইনি ভিত্তি স্থাপন এবং নথিভুক্ত করতে হবে। সংস্থাটিকে ডেটা সংগ্রহের সময়ে ব্যবহারকারীদের কাছে এই ভিত্তিটি যোগাযোগ করতে হবে। এটি সত্যের পরে ভিত্তি পরিবর্তন করতে পারে না যদি না এটি করতে ব্যবহারকারীর সম্মতি থাকে।

সম্ভাব্য বৈধ ভিত্তিগুলির মধ্যে রয়েছে:

• সংস্থার কাছে তাদের ডেটা প্রক্রিয়া করার জন্য বিষয়ের সম্মতি রয়েছে। নোট করুন যে ব্যবহারকারীর সম্মতি শুধুমাত্র বৈধ, যদি এটি অবহিত, ইতিবাচক এবং অবাধে দেওয়া হয়।
  • অবহিত সম্মতি মানে কোম্পানি স্পষ্টভাবে ব্যাখ্যা করে যে এটি কোন ডেটা সংগ্রহ করছে এবং কীভাবে সেই ডেটা ব্যবহার করবে।
  • ইতিবাচক সম্মতি মানে ব্যবহারকারীকে সম্মতি দেখানোর জন্য কিছু ইচ্ছাকৃত পদক্ষেপ নিতে হবে, যেমন একটি বিবৃতিতে স্বাক্ষর করা বা একটি বাক্স চেক করা। সম্মতি ডিফল্ট বিকল্প হতে পারে না।
  • অবাধে সম্মতি দেওয়া হয়েছে মানে কোম্পানি ডেটা বিষয়কে প্রভাবিত বা জোর করার চেষ্টা করে না। বিষয় যে কোনো সময় তাদের সম্মতি প্রত্যাহার করতে সক্ষম হতে হবে.

• তথ্য প্রক্রিয়া করার জন্য সংস্থার একটি আইনি বাধ্যবাধকতা রয়েছে।

• সংস্থাটিকে ডেটা বিষয় বা অন্য ব্যক্তির জীবন রক্ষার জন্য ডেটা প্রক্রিয়া করতে হবে।

• সংগঠনটি জনস্বার্থের কারণে তথ্য প্রক্রিয়া করছে, যেমন সাংবাদিকতা বা জনস্বাস্থ্য।

• সংস্থাটি একটি সরকারী কার্য সম্পাদনের জন্য একটি পাবলিক কর্তৃপক্ষ ডেটা প্রক্রিয়াকরণ করে।

• সংস্থাটি একটি বৈধ স্বার্থ অনুসরণ করার জন্য ডেটা প্রক্রিয়া করছে৷
  • A বৈধ সুদ ডেটা প্রক্রিয়াকরণের মাধ্যমে নিয়ামক বা অন্য পক্ষ লাভ করতে পারে এমন একটি সুবিধা। উদাহরণগুলির মধ্যে রয়েছে কর্মীদের উপর ব্যাকগ্রাউন্ড চেক করা বা কর্পোরেট নেটওয়ার্কে আইপি ঠিকানাগুলি ট্র্যাক করা সাইবার নিরাপত্তা উদ্দেশ্য একটি বৈধ স্বার্থের ভিত্তিতে দাবি করার জন্য, সংস্থাকে অবশ্যই প্রমাণ করতে হবে যে প্রক্রিয়াকরণ প্রয়োজনীয় এবং বিষয়ের অধিকার লঙ্ঘন করে না। 

সংস্থাটি একটি নির্দিষ্ট উদ্দেশ্যে ডেটা সংগ্রহ করে এবং শুধুমাত্র সেই উদ্দেশ্যে এটি ব্যবহার করে।

উদ্দেশ্য সীমাবদ্ধতার GDPR নীতি অনুসারে, ডেটা সংগ্রহের জন্য নিয়ন্ত্রকদের অবশ্যই একটি চিহ্নিত এবং নথিভুক্ত উদ্দেশ্য থাকতে হবে। নিয়ামককে অবশ্যই এই উদ্দেশ্যটি সংগ্রহের সময়ে ব্যবহারকারীদের সাথে যোগাযোগ করতে হবে এবং এটি শুধুমাত্র এই নামের উদ্দেশ্যে ডেটা ব্যবহার করতে পারে।

সংস্থাটি শুধুমাত্র প্রয়োজনীয় ন্যূনতম পরিমাণ ডেটা সংগ্রহ করে।

কন্ট্রোলাররা শুধুমাত্র তাদের উল্লিখিত উদ্দেশ্য পূরণের জন্য প্রয়োজনীয় ন্যূনতম পরিমাণ ডেটা সংগ্রহ করতে পারে।

সংস্থাটি ডেটা সঠিক এবং আপ টু ডেট রাখে।

নিয়ন্ত্রকদের অবশ্যই তাদের কাছে থাকা ব্যক্তিগত ডেটা সঠিক এবং বর্তমান তা নিশ্চিত করার জন্য যুক্তিসঙ্গত পদক্ষেপ নিতে হবে। 

সংস্থাটি ডেটা মুছে দেয় যখন এটির আর প্রয়োজন হয় না।

GDPR-এর জন্য কঠোর ডেটা ধারণ এবং মুছে ফেলার নীতি প্রয়োজন। কোম্পানিগুলি কেবলমাত্র সেই ডেটা সংগ্রহের জন্য নির্দিষ্ট উদ্দেশ্য পূরণ না হওয়া পর্যন্ত ডেটা রাখতে পারে এবং তাদের আর প্রয়োজন না হলে অবশ্যই ডেটা মুছে ফেলতে হবে।

শিশুদের ডেটা বা বিশেষ বিভাগের ডেটা প্রক্রিয়া করার সময় সংস্থাটি অতিরিক্ত সতর্কতা অবলম্বন করে।

কন্ট্রোলার এবং প্রসেসরদের অবশ্যই নির্দিষ্ট ধরণের ব্যক্তিগত ডেটাতে অতিরিক্ত সুরক্ষা প্রয়োগ করতে হবে।

বিশেষ বিভাগ ডেটাতে একজন ব্যক্তির জাতি এবং বায়োমেট্রিক্সের মতো অত্যন্ত সংবেদনশীল ডেটা অন্তর্ভুক্ত থাকে। সংস্থাগুলি শুধুমাত্র খুব সীমিত পরিস্থিতিতে বিশেষ বিভাগের ডেটা প্রক্রিয়া করতে পারে, যেমন গুরুতর জনস্বাস্থ্যের হুমকি প্রতিরোধ করা। কোম্পানিগুলি বিষয়ের সুস্পষ্ট সম্মতিতে বিশেষ বিভাগের ডেটা প্রক্রিয়া করতে পারে।

অপরাধী দোষী সাব্যস্ত তথ্য শুধুমাত্র সরকারী কর্তৃপক্ষ দ্বারা নিয়ন্ত্রণ করা যেতে পারে। প্রসেসর শুধুমাত্র একটি সরকারী কর্তৃপক্ষের নির্দেশে এই তথ্য প্রক্রিয়া করতে পারেন.

প্রক্রিয়াকরণের আগে কন্ট্রোলারদের অবশ্যই পিতামাতার সম্মতি নিতে হবে শিশুদের তথ্য। বিষয়ের বয়স এবং পিতামাতার পরিচয় যাচাই করার জন্য তাদের অবশ্যই যুক্তিসঙ্গত পদক্ষেপ নিতে হবে। শিশুদের কাছ থেকে তথ্য সংগ্রহ করলে, নিয়ন্ত্রকদের অবশ্যই শিশু-বান্ধব ভাষায় গোপনীয়তা বিজ্ঞপ্তি উপস্থাপন করতে হবে।

প্রতিটি EEA রাজ্য GDPR এর অধীনে "শিশু" এর নিজস্ব সংজ্ঞা সেট করে। এগুলি "13 বছরের কম বয়সী যে কেউ" থেকে "16 বছরের কম বয়সী যে কেউ" পর্যন্ত। 

সংস্থাটি সমস্ত ডেটা প্রক্রিয়াকরণ কার্যক্রম নথিভুক্ত করে।

250 টিরও বেশি কর্মচারী সহ সংস্থাগুলিকে অবশ্যই ডেটা প্রক্রিয়াকরণের রেকর্ড রাখতে হবে। 250 টিরও কম কর্মচারী সহ সংস্থাগুলিকে অবশ্যই রেকর্ড রাখতে হবে যদি তারা অত্যন্ত সংবেদনশীল ডেটা প্রক্রিয়া করে, নিয়মিতভাবে ডেটা প্রক্রিয়া করে বা এমনভাবে ডেটা প্রক্রিয়া করে যা ডেটা বিষয়গুলির জন্য একটি উল্লেখযোগ্য ঝুঁকি তৈরি করে।

নিয়ন্ত্রকদের অবশ্যই জিনিসগুলি নথিভুক্ত করতে হবে যেমন তারা যে ডেটা সংগ্রহ করে, তারা সেই ডেটা দিয়ে কী করে, ডেটা প্রবাহ মানচিত্র এবং ডেটা সুরক্ষা। প্রসেসরদের অবশ্যই নথিভুক্ত করতে হবে যে নিয়ামকগুলির জন্য তারা কাজ করে, প্রতিটি নিয়ামকের জন্য তারা যে ধরনের প্রক্রিয়াকরণ করে এবং তারা যে নিরাপত্তা নিয়ন্ত্রণগুলি ব্যবহার করে।

সম্মতি নিশ্চিত করার জন্য নিয়ন্ত্রক চূড়ান্তভাবে দায়ী। 

GDPR-এর অধীনে, সম্মতির জন্য চূড়ান্ত দায়িত্ব ডেটার নিয়ন্ত্রকের উপর নির্ভর করে। এর অর্থ হল কন্ট্রোলারকে অবশ্যই নিশ্চিত করতে হবে-এবং প্রমাণ করতে সক্ষম হতে হবে- যে এর তৃতীয় পক্ষের প্রসেসরগুলি সমস্ত প্রাসঙ্গিক জিডিপিআর প্রয়োজনীয়তা পূরণ করে। 

ডেটা বিষয়ের অধিকার

GDPR ডেটা বিষয়কে তাদের ডেটার উপর নির্দিষ্ট অধিকার প্রদান করে। কন্ট্রোলার এবং প্রসেসরদের অবশ্যই এই অধিকারগুলিকে সম্মান করতে হবে।

সংস্থাটি ডেটা বিষয়গুলিকে তাদের অধিকার প্রয়োগ করার সহজ উপায় সরবরাহ করে।

সংস্থাগুলিকে অবশ্যই ডেটা বিষয়গুলিকে তাদের ডেটার উপর তাদের অধিকার জাহির করার একটি সহজ উপায় দিতে হবে। এই অধিকার অন্তর্ভুক্ত:

• অ্যাক্সেস করার অধিকার: বিষয়গুলি অবশ্যই তাদের ডেটার অনুলিপি অনুরোধ করতে এবং গ্রহণ করতে সক্ষম হতে হবে, সেইসাথে কোম্পানি কীভাবে ডেটা ব্যবহার করে সে সম্পর্কে প্রাসঙ্গিক তথ্য।

• সংশোধনের অধিকার: বিষয়গুলি অবশ্যই তাদের ডেটা সংশোধন বা আপডেট করতে সক্ষম হবে।

• মুছে ফেলার অধিকার: বিষয় তাদের ডেটা মুছে ফেলার অনুরোধ করতে সক্ষম হতে হবে. 

• প্রক্রিয়াকরণ সীমাবদ্ধ করার অধিকার: সাবজেক্টদের অবশ্যই তাদের ডেটা কীভাবে ব্যবহার করা হয় তা সীমাবদ্ধ করতে সক্ষম হতে হবে যদি তারা সন্দেহ করে যে ডেটাটি ভুল, আর প্রয়োজন নেই বা অপব্যবহার হচ্ছে। 

• আপত্তি করার অধিকার: বিষয় প্রসেসিং আপত্তি করতে সক্ষম হতে হবে. যেসব বিষয় আগে তাদের সম্মতি দিয়েছে তারা যে কোনো সময় সহজেই তা প্রত্যাহার করতে সক্ষম হবে।

• ডেটা বহনযোগ্যতার অধিকার: বিষয়গুলির তাদের ডেটা স্থানান্তর করার অধিকার রয়েছে এবং নিয়ন্ত্রক এবং প্রসেসরদের অবশ্যই এই স্থানান্তরগুলি সহজতর করতে হবে৷

সাধারণভাবে, সংস্থাগুলিকে অবশ্যই 30 দিনের মধ্যে সমস্ত ডেটা বিষয় অ্যাক্সেসের অনুরোধের জবাব দিতে হবে। কোম্পানিগুলিকে অবশ্যই একটি বিষয়ের অনুরোধ মেনে চলতে হবে যদি না কোম্পানি প্রমাণ করতে পারে যে এটি না করার একটি বৈধ, ওভাররাইডিং কারণ রয়েছে৷

যদি একটি সংস্থা একটি অনুরোধ প্রত্যাখ্যান করে, তবে কেন তা ব্যাখ্যা করতে হবে। সংস্থাটিকে অবশ্যই বিষয়বস্তুকে জানাতে হবে যে কীভাবে কোম্পানির ডেটা সুরক্ষা অফিসার বা প্রাসঙ্গিক তত্ত্বাবধায়ক কর্তৃপক্ষের কাছে সিদ্ধান্তের বিরুদ্ধে আপিল করতে হবে৷

সংস্থাটি ডেটা বিষয়গুলিকে স্বয়ংক্রিয় সিদ্ধান্তগুলির প্রতিদ্বন্দ্বিতা করার একটি উপায় অফার করে৷

GDPR-এর অধীনে, ডেটা বিষয়গুলির স্বয়ংক্রিয় সিদ্ধান্ত গ্রহণের প্রক্রিয়াগুলির দ্বারা আবদ্ধ না হওয়ার অধিকার রয়েছে যা তাদের উপর উল্লেখযোগ্য প্রভাব ফেলতে পারে। এর মধ্যে রয়েছে প্রোফাইলিং, যা জিডিপিআর একজন ব্যক্তির কিছু দিক মূল্যায়ন করার জন্য অটোমেশন ব্যবহার হিসাবে সংজ্ঞায়িত করে, যেমন তাদের কাজের কর্মক্ষমতা ভবিষ্যদ্বাণী করা।

যদি কোনও সংস্থা স্বয়ংক্রিয় সিদ্ধান্তগুলি ব্যবহার করে, তবে এটি অবশ্যই ডেটা বিষয়গুলিকে সেই সিদ্ধান্তগুলির প্রতিদ্বন্দ্বিতা করার একটি উপায় দিতে হবে। বিষয়গুলিও অনুরোধ করতে পারে যে একজন মানব কর্মচারী তাদের প্রভাবিত করে এমন কোনও স্বয়ংক্রিয় সিদ্ধান্ত পর্যালোচনা করুন।

সংস্থাটি কীভাবে ব্যক্তিগত ডেটা ব্যবহার করে সে সম্পর্কে স্বচ্ছ।

কন্ট্রোলার এবং প্রসেসরদের অবশ্যই সক্রিয়ভাবে এবং স্পষ্টভাবে ডেটা বিষয়গুলিকে ডেটা প্রসেসিং কার্যকলাপ সম্পর্কে অবহিত করতে হবে, যার মধ্যে তারা যে ডেটা সংগ্রহ করে, তারা এটির সাথে কী করে এবং কীভাবে বিষয়গুলি ডেটার উপর তাদের অধিকার প্রয়োগ করতে পারে।

এই তথ্য সাধারণত তথ্য সংগ্রহের সময় বিষয় উপস্থাপিত একটি গোপনীয়তা বিজ্ঞপ্তি মাধ্যমে যোগাযোগ করা আবশ্যক. কোম্পানী সরাসরি বিষয় থেকে ব্যক্তিগত তথ্য সংগ্রহ না করলে, গোপনীয়তা নোটিশ এক মাসের মধ্যে বিষয়গুলিকে পাঠাতে হবে। কোম্পানিগুলি গোপনীয়তা নীতিগুলিতে এই বিবরণগুলি অন্তর্ভুক্ত করতে পারে যা তাদের ওয়েবসাইটে সর্বজনীনভাবে অ্যাক্সেসযোগ্য। 

ডেটা গোপনীয়তা এবং সুরক্ষা ব্যবস্থা

GDPR-এর জন্য নিয়ন্ত্রক এবং প্রসেসরদের ব্যক্তিগত ডেটার অপব্যবহার রোধ করতে এবং ডেটা বিষয়গুলিকে ক্ষতির হাত থেকে রক্ষা করার জন্য পদক্ষেপ নিতে হবে।

প্রতিষ্ঠানটি উপযুক্ত সাইবার নিরাপত্তা নিয়ন্ত্রণ বাস্তবায়ন করেছে।

কন্ট্রোলার এবং প্রসেসর স্থাপন করা আবশ্যক সুরক্ষা ব্যবস্থা ব্যক্তিগত তথ্যের গোপনীয়তা এবং অখণ্ডতা রক্ষা করতে। GDPR-এর জন্য কোনো নির্দিষ্ট নিয়ন্ত্রণের প্রয়োজন নেই, তবে এটি বলে যে কোম্পানিগুলিকে অবশ্যই প্রযুক্তিগত এবং সাংগঠনিক উভয় ব্যবস্থাই গ্রহণ করতে হবে।

প্রযুক্তিগত ব্যবস্থা প্রযুক্তি সমাধান অন্তর্ভুক্ত, যেমন পরিচয় এবং অ্যাক্সেস পরিচালনা (IAM) প্ল্যাটফর্ম, স্বয়ংক্রিয় ব্যাকআপ এবং তথ্য নিরাপত্তা সরঞ্জাম. যদিও GDPR স্পষ্টভাবে আদেশ দেয় না এনক্রিপ্টিং তথ্য, এটি সুপারিশ করে যে সংস্থাগুলি যেখানেই সম্ভব ছদ্মনামকরণ এবং বেনামীকরণ ব্যবহার করে৷

সাংগঠনিক ব্যবস্থা কর্মচারী প্রশিক্ষণ অন্তর্ভুক্ত, চলমান ঝুঁকি নিরুপন এবং অন্যান্য নিরাপত্তা নীতি এবং প্রক্রিয়া। নতুন সিস্টেম এবং পণ্য তৈরি বা প্রয়োগ করার সময় কোম্পানিগুলিকে অবশ্যই ডিজাইন এবং ডিফল্টভাবে ডেটা সুরক্ষার নীতি অনুসরণ করতে হবে।

সংস্থাটি প্রয়োজনীয় হিসাবে ডেটা সুরক্ষা প্রভাব মূল্যায়ন (DPIAs) পরিচালনা করে।

যদি কোনও কোম্পানি এমনভাবে ডেটা প্রক্রিয়া করার পরিকল্পনা করে যা বিষয়গুলির অধিকারের জন্য একটি উচ্চ ঝুঁকি তৈরি করে, তবে এটি প্রথমে একটি ডেটা সুরক্ষা প্রভাব মূল্যায়ন (DPIA) পরিচালনা করতে হবে। প্রক্রিয়াকরণের প্রকারগুলি যা একটি DPIA কে ট্রিগার করতে পারে তার মধ্যে রয়েছে স্বয়ংক্রিয় প্রোফাইলিং এবং ব্যক্তিগত ডেটার বিশেষ বিভাগগুলির বড় আকারের প্রক্রিয়াকরণ, অন্যদের মধ্যে।

একটি DPIA-কে অবশ্যই ব্যবহার করা ডেটা, উদ্দিষ্ট প্রক্রিয়াকরণ এবং প্রক্রিয়াকরণের উদ্দেশ্য বর্ণনা করতে হবে। এটি প্রক্রিয়াকরণের ঝুঁকি এবং সেই ঝুঁকিগুলি কমানোর উপায়গুলি চিহ্নিত করতে হবে। যদি উল্লেখযোগ্য নিরবচ্ছিন্ন ঝুঁকি বিদ্যমান থাকে, তবে এগিয়ে যাওয়ার আগে সংস্থাকে অবশ্যই একটি তত্ত্বাবধায়ক কর্তৃপক্ষের সাথে পরামর্শ করতে হবে।

সংস্থাটি প্রয়োজনে ডেটা সুরক্ষা কর্মকর্তা (ডিপিও) নিয়োগ করেছে।

একটি সংস্থাকে অবশ্যই একটি ডেটা সুরক্ষা অফিসার (DPO) নিয়োগ করতে হবে যদি এটি একটি বৃহৎ স্কেলে বিষয়গুলি পর্যবেক্ষণ করে বা একটি মূল কার্যকলাপ হিসাবে বিশেষ বিভাগের ডেটা প্রক্রিয়া করে। সকল সরকারি কর্তৃপক্ষকে অবশ্যই ডিপিও নিয়োগ করতে হবে।

সংস্থাটি জিডিপিআর অনুগত থাকে তা নিশ্চিত করার জন্য ডিপিও দায়ী৷ মূল দায়িত্বগুলির মধ্যে রয়েছে ডেটা সুরক্ষা কর্তৃপক্ষের সাথে সমন্বয় করা, জিডিপিআর প্রয়োজনীয়তাগুলির বিষয়ে সংস্থাকে পরামর্শ দেওয়া এবং ডিপিআইএগুলির তত্ত্বাবধান করা।

ডিপিও একজন স্বাধীন অফিসার হতে হবে যিনি সরাসরি ব্যবস্থাপনার সর্বোচ্চ স্তরে রিপোর্ট করেন। সংগঠনটি তাদের দায়িত্ব পালনের জন্য ডিপিওর বিরুদ্ধে প্রতিশোধ নিতে পারে না।

তথ্য লঙ্ঘন ঘটলে সংস্থা তত্ত্বাবধায়ক কর্তৃপক্ষ এবং ডেটা বিষয়গুলিকে অবহিত করে।

সংস্থাগুলিকে অবশ্যই সবচেয়ে বেশি রিপোর্ট করতে হবে ব্যক্তিগত তথ্য লঙ্ঘন 72 ঘন্টার মধ্যে সংশ্লিষ্ট তত্ত্বাবধায়ক কর্তৃপক্ষের কাছে। যদি লঙ্ঘন ডেটা বিষয়গুলির জন্য একটি ঝুঁকি তৈরি করে, তবে সংস্থাকে অবশ্যই বিষয়গুলিকে অবহিত করতে হবে। সংস্থাগুলিকে অবশ্যই বিষয়গুলিকে সরাসরি অবহিত করতে হবে যদি না সরাসরি যোগাযোগ অযৌক্তিক হয়, এই ক্ষেত্রে একটি পাবলিক নোটিশ গ্রহণযোগ্য।

যে প্রসেসরগুলি লঙ্ঘনের শিকার হয় তাদের অবশ্যই অযথা বিলম্ব না করে প্রাসঙ্গিক নিয়ন্ত্রকদের অবহিত করতে হবে।

EEA এর বাইরে অবস্থিত হলে, সংস্থাটি EEA-তে একজন প্রতিনিধি নিয়োগ করেছে।

EEA-এর বাইরের যেকোন কোম্পানি যে নিয়মিতভাবে EEA বাসিন্দাদের ডেটা প্রক্রিয়া করে বা বিশেষভাবে সংবেদনশীল ডেটা প্রক্রিয়া করে তাদের অবশ্যই EEA-এর মধ্যে একজন প্রতিনিধি নিয়োগ করতে হবে। প্রতিনিধি কোম্পানির পক্ষ থেকে সরকারী কর্তৃপক্ষের সাথে সমন্বয় করে এবং GDPR সম্মতি সংক্রান্ত বিষয়গুলির জন্য যোগাযোগের পয়েন্ট হিসাবে কাজ করে।

ডেটা স্থানান্তর এবং ডেটা ভাগ করে নেওয়া

GDPR কীভাবে সংস্থাগুলি EEA-এর মধ্যে এবং বাইরে অন্যান্য সংস্থাগুলির সাথে ব্যক্তিগত ডেটা ভাগ করে তার জন্য নিয়ম সেট করে৷

সংস্থাটি প্রসেসরের সাথে সম্পর্ক পরিচালনা করতে আনুষ্ঠানিক ডেটা প্রক্রিয়াকরণ চুক্তি ব্যবহার করে।

একজন নিয়ামক প্রসেসর এবং অন্যান্য তৃতীয় পক্ষের সাথে ব্যক্তিগত ডেটা ভাগ করতে পারে, তবে এই সম্পর্কগুলি আনুষ্ঠানিক ডেটা প্রক্রিয়াকরণ চুক্তি দ্বারা নিয়ন্ত্রিত হতে হবে। এই চুক্তিগুলিকে অবশ্যই GDPR-এর ক্ষেত্রে সমস্ত পক্ষের অধিকার এবং দায়িত্বগুলির রূপরেখা দিতে হবে৷

তৃতীয় পক্ষের প্রসেসর শুধুমাত্র নিয়ামকের নির্দেশ অনুসারে ডেটা প্রক্রিয়া করতে পারে। তারা তাদের নিজস্ব উদ্দেশ্যে একটি নিয়ামকের ডেটা ব্যবহার করতে পারে না। সাব-প্রসেসরের সাথে ডেটা শেয়ার করার আগে একটি প্রসেসরকে অবশ্যই কন্ট্রোলারের কাছ থেকে অনুমোদন নিতে হবে।

সংস্থাটি শুধুমাত্র EEA এর বাইরে অনুমোদিত ডেটা স্থানান্তর পরিচালনা করে।

একজন নিয়ন্ত্রক শুধুমাত্র EEA এর বাইরে অবস্থিত তৃতীয় পক্ষের সাথে ডেটা শেয়ার করতে পারে যদি ডেটা স্থানান্তর নিম্নলিখিত মানদণ্ডগুলির মধ্যে অন্তত একটি পূরণ করে:

• ইউরোপীয় কমিশন সেই দেশের ডেটা গোপনীয়তা আইনকে পর্যাপ্ত বলে মনে করেছে যেখানে তৃতীয় পক্ষ রয়েছে।
• ইউরোপীয় কমিশন পর্যাপ্ত ডেটা সুরক্ষা নীতি এবং নিয়ন্ত্রণের জন্য তৃতীয় পক্ষকে বিবেচনা করেছে।
• নিয়ামক স্থানান্তর করা ডেটার সুরক্ষা এবং গোপনীয়তা নিশ্চিত করার জন্য প্রয়োজনীয় সমস্ত পদক্ষেপ নিয়েছে।

GDPR সম্মতি সমাধানগুলি অন্বেষণ করুন৷

GDPR সম্মতি একটি চলমান প্রক্রিয়া, এবং একটি সংস্থার প্রয়োজনীয়তা পরিবর্তন হতে পারে কারণ এটি নতুন ডেটা সংগ্রহ করে এবং নতুন ধরনের প্রক্রিয়াকরণ কার্যক্রমে নিযুক্ত হয়।

IBM Security® Guardium®-এর মতো ডেটা সুরক্ষা এবং সম্মতি সমাধানগুলি জিডিপিআর সম্মতিতে পৌঁছানোর এবং বজায় রাখার প্রক্রিয়াটিকে সুগম করতে সাহায্য করতে পারে। গার্ডিয়াম স্বয়ংক্রিয়ভাবে জিডিপিআর-নিয়ন্ত্রিত ডেটা আবিষ্কার করতে পারে, সেই ডেটার জন্য সম্মতি বিধি প্রয়োগ করতে পারে, ডেটা ব্যবহার নিরীক্ষণ করতে পারে এবং সংস্থাগুলিকে ডেটা সুরক্ষার হুমকির প্রতিক্রিয়া জানাতে ক্ষমতায়ন করতে পারে।

আইবিএম-এর ডেটা নিরাপত্তা এবং কমপ্লায়েন্স পণ্যের স্যুট সম্পর্কে আরও জানুন।