GDPR ডেটা ট্রান্সফারই একমাত্র কমপ্লায়েন্স ঝুঁকি যা আপনি আর্কিটেকচার দিয়েই দূর করতে পারেন

বেশিরভাগ GDPR ঝুঁকি পদ্ধতিগত — একটি নোটিস যা আপনি আবার লিখতে পারেন, একটি রিটেনশন উইন্ডো যা আপনি ছোট করতে পারেন, একটি consent ফ্লো যা আপনি ঠিক করতে পারেন। আন্তর্জাতিক ডেটা ট্রান্সফার আলাদা। এগুলো এমন একটি আইনি উপকরণের উপর নির্ভর করে যা আপনি নিয়ন্ত্রণও করেন না, প্যাচও করতে পারেন না, এবং সেই উপকরণটি এক দশকে দুবার বাতিল হয়েছে। এর একমাত্র টেকসই সমাধান আর্কিটেকচারগত: ডেটা প্রথমে ট্রান্সফারই না করা।

ট্রান্সফার মেকানিজম বারবার ভেঙে পড়ছে

GDPR-এর Chapter V কোনো বৈধ ট্রান্সফার মেকানিজম ছাড়া এমন কোনো দেশে ব্যক্তিগত ডেটা পাঠানো নিষিদ্ধ করে যেখানে পর্যাপ্ত মাত্রার সুরক্ষা নেই। EU-থেকে-US প্রবাহের জন্য, সেই মেকানিজমের একটি কবরস্থান আছে। CJEU ২০১৫ সালে Safe Harbour (Schrems I) এবং ২০২০ সালে Privacy Shield (Schrems II) বাতিল করে, দুটোই কারণ US নজরদারি আইন EU নাগরিকদের কোনো প্রকৃত প্রতিকার দেয়নি।

বর্তমান উপকরণটি হলো EU-US Data Privacy Framework (DPF), যা ২০২৩ সালে গৃহীত হয়। ৩ সেপ্টেম্বর ২০২৫-এ EU-র General Court Latombe v Commission (Case T-553/23)-এ এর বিরুদ্ধে প্রথম চ্যালেঞ্জ খারিজ করে দেয় এবং Commission-এর adequacy decision বহাল রাখে।

কিন্তু এখানেই গল্প শেষ নয়। Latombe ৩১ অক্টোবর ২০২৫-এ Court of Justice-এ একটি আপিল দায়ের করেছেন, এবং noyb — Max Schrems-এর সংস্থা — ইঙ্গিত দিয়েছে যে তারা DPF-এর বিরুদ্ধে সেই একই নজরদারি ভিত্তিতে একটি আরও ব্যাপক চ্যালেঞ্জ প্রস্তুত করছে, যে ভিত্তিগুলো আগের দুটি ফ্রেমওয়ার্ককে ডুবিয়েছিল। যে আদালত Safe Harbour এবং Privacy Shield-কে শেষ করেছিল, সেটিই আবার এটি খতিয়ে দেখবে।

কেন এটি বিশেষত অ্যানালিটিক্সের উপরই এসে পড়ে

অ্যানালিটিক্স হলো সবচেয়ে সাধারণ উপায় যেখানে একটি ছোট EU সাইট না জেনেই US ট্রান্সফার করে ফেলে। ব্রাউজার একটি event পাঠায়; একটি US-সদর দপ্তরযুক্ত অ্যানালিটিক্স প্রদানকারী US অবকাঠামোতে ভিজিটরের IP address এবং আচরণগত ডেটা গ্রহণ করে। এটি ব্যক্তিগত ডেটার একটি ট্রান্সফার, এবং এটি যেকোনো নির্দিষ্ট দিনে DPF-এর যে আইনি অবস্থা থাকে তাই উত্তরাধিকারসূত্রে পায়।

রেগুলেটররা DPF অস্তিত্বে আসার আগেই এটিকে বেআইনি হিসেবে গণ্য করেছিল। noyb-এর সমন্বিত অভিযোগের পর, Austrian DSB ২০২২ সালে রায় দেয় যে Google Analytics-এর মাধ্যমে EU-থেকে-US ট্রান্সফার Chapter V লঙ্ঘন করে, এবং ফ্রান্স, ইতালি, ডেনমার্ক, ফিনল্যান্ড, সুইডেন ও নরওয়ের DPAs একই যুক্তিতে এর অনুসরণ করে। US সার্ভারে পৌঁছানো IP address-ই যথেষ্ট ছিল।

যদি CJEU DPF বাতিল করে, তাহলে এই রায়গুলো রাতারাতি আবার সেই টেমপ্লেট হয়ে উঠবে — প্রতিটি টুলের জন্য যা এখনও EU ভিজিটর ডেটা US-এ রুট করছে।

আর্কিটেকচার দিয়ে ঝুঁকিটি দূর করা

আপনি DPF-কে আরও স্থিতিশীল করতে পারবেন না। কিন্তু আপনি এমন একটি ডেটা প্রবাহ তৈরি করতে পারেন যেখানে শুরু থেকেই Chapter V-এর কোনো এক্সপোজার নেই। দুটি বৈশিষ্ট্য এটি করে দেয়:

এজ (edge)-এ, ইন-রিজন প্রসেস করুন। Cloudflare-এর Data Localization Suite কোনো Worker-কে প্রসেসিং ও logs EU ডেটা সেন্টারে সীমাবদ্ধ রাখতে দেয়, যাতে রিকোয়েস্ট যে রিজন থেকে উদ্ভূত হয়েছে সেটি কখনও না ছাড়ে। ডেটা কোথায় হ্যান্ডল করা হবে সেই সিদ্ধান্তটি একটি অবকাঠামোগত কনফিগারেশনে পরিণত হয় — কোনো আইনি উপকরণ নয় যা আপিলে টিকে থাকবে বলে আপনি আশা করেন।

শনাক্তকারী ইনপুট কখনও persist করবেন না। কাঁচা IP এবং User-Agent যা একটি রিকোয়েস্টকে "ব্যক্তিগত ডেটা" করে তোলে, সেগুলো মেমরিতে কেবল ততক্ষণই থাকে যতক্ষণ একটি দৈনিক visitor hash গণনা করা যায়, তারপর সেগুলো ফেলে দেওয়া হয়:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

যা সংরক্ষিত হয় তা হলো hash, ইনপুট নয়। যেহেতু salt প্রতিদিন ঘোরে এবং গোপন থাকে, তাই hash-কে কোনো ব্যক্তির কাছে ফিরিয়ে নেওয়া যায় না বা দিনগুলোর মধ্য দিয়ে জোড়া দেওয়া যায় না। কোনো profile নেই, এবং শনাক্তকারী কিছুই কখনও সীমানা অতিক্রম করে না কারণ শনাক্তকারী কিছুই কখনও সংরক্ষণ করা হয় না।

আপনি প্রবাহের ভূগোল wire-এ যাচাই করতে পারেন। একটি pageview beacon হলো আপনার নিয়ন্ত্রণাধীন একটি first-party endpoint-এ একটিমাত্র রিকোয়েস্ট:

POST /collect HTTP/2
Host: api.monoid.website
Content-Type: application/json

{"site_id":"...","path":"/pricing","referrer":"..."}

যদি api.monoid.website EU edge nodes-এ resolve করে এবং Worker তার storage EU-তে pin করে, তাহলে path-এ কোনো US প্রসেসর নেই, নির্ভর করার মতো কোনো adequacy decision নেই, এবং প্রকাশ করার মতো কোনো ট্রান্সফার নেই। তবুও ভিজিটরের দেশ আপনার কাছে পৌঁছে যায় — যা edge-এর নিজস্ব geolocation থেকে উদ্ভূত, কোনো তৃতীয় পক্ষের কাছে IP পাঠানোর মাধ্যমে নয়।

এটি যে কমপ্লায়েন্স অবস্থান তৈরি করে

যে ট্রান্সফার আপনি কখনও করেনই না, সেটি এমন একটি ট্রান্সফার যা আপনাকে কখনও রক্ষা করতে হয় না। আপনার records of processing-এ উদ্ধৃত করার মতো কোনো DPF নেই, বজায় রাখার মতো কোনো standard contractual clauses নেই, আইনি ভিত্তি পরিবর্তিত হলে আবার করার মতো কোনো transfer impact assessment নেই, এবং কোনো তৃতীয় দেশে এমন কোনো sub-processor নেই যা ২০২৬ সালে রেগুলেটররা যে স্বচ্ছতা নিয়মগুলো অডিট করছে তার অধীনে প্রকাশ করতে হবে।

অন্য প্রতিটি অ্যানালিটিক্স কমপ্লায়েন্স কাজ এমন কিছু যা আপনি চালিয়ে যেতে থাকেন। ট্রান্সফার দূর করা এমন কিছু যা আপনি একবার, আর্কিটেকচারে, করেন এবং তারপর সেটি নিয়ে ভাবা বন্ধ করে দেন — CJEU আপিলে যা-ই রায় দিক না কেন।

সূত্র

• Court of Justice of the EU — প্রেস বিজ্ঞপ্তি: General Court Latombe-এর মামলা খারিজ করল (Case T-553/23)
• IAPP — European General Court Latombe-এর চ্যালেঞ্জ খারিজ করল, EU-US Data Privacy Framework বহাল রাখল
• noyb — Austrian DSB: Google Analytics-এ EU-US ডেটা ট্রান্সফার অবৈধ
• noyb — আরও EU DPAs Google Analytics বন্ধ করার আদেশ দিল
• Cloudflare — Data Localization Suite