EDPB-র ২০২৬ সালের প্রয়োগের লক্ষ্য হলো আপনার প্রাইভেসি নোটিস

দুই বছর ধরে ব্যয়বহুল GDPR প্রশ্নটি স্থানান্তরিত হয়েছে। প্রথমে নিয়ন্ত্রকরা নিরীক্ষা করতেন আপনার একটি বৈধ ভিত্তি (lawful basis) আছে কি না, এরপর আপনি সময়মতো ডেটা মুছেছেন কি না। ২০২৬ সালের ১৯ মার্চ ইউরোপীয় ডেটা প্রোটেকশন বোর্ড পরবর্তী সুইপটি তৃতীয় একটি লক্ষ্যের দিকে তাক করল: আপনি কী সংগ্রহ করেন সে বিষয়ে আপনার প্রাইভেসি নোটিস সৎ কি না।

২০২৬ সালের সমন্বিত পদক্ষেপ কী নিরীক্ষা করে

EDPB-র Coordinated Enforcement Framework (CEF) প্রতি বছর পুরো ব্লক জুড়ে একটি অভিন্ন থিম পরিচালনা করে। ২০২৫ সালের পদক্ষেপ মুছে ফেলার অধিকার (right to erasure) পরীক্ষা করেছিল। ২০২৬ সালের পদক্ষেপ — পঞ্চমটি — GDPR-এর Article 12, 13, ও 14 অনুযায়ী transparency এবং তথ্য সরবরাহের বাধ্যবাধকতা পরীক্ষা করে।

পঁচিশটি ডেটা প্রোটেকশন কর্তৃপক্ষ এতে অংশ নিচ্ছে। তাদের ঘোষণা পদ্ধতির ব্যাপারে স্পষ্ট: অংশগ্রহণকারী DPA-রা "শীঘ্রই ইউরোপ জুড়ে বিভিন্ন খাতের controller-দের সঙ্গে যোগাযোগ করবে, প্রয়োগমূলক পদক্ষেপ অথবা তথ্য-অনুসন্ধানমূলক কার্যক্রমের মাধ্যমে।" প্রাপ্ত ফলাফলগুলো ২০২৬ সালের দ্বিতীয়ার্ধে একটি সংহত EDPB রিপোর্টে একত্রিত করা হবে, এবং থাকবে "জাতীয় ও EU উভয় স্তরে লক্ষ্যভিত্তিক ফলো-আপ।"

এটি কোনো নির্দেশনা নয়। এটি একটি সমন্বিত প্রমাণের অনুরোধ—আপনার সাইটের ডকুমেন্টটি আপনার ডেটাবেসের ডেটার সঙ্গে মেলে কি না, তার প্রমাণ।

Article 13 আসলে আপনাকে কী প্রকাশ করতে বাধ্য করে

অবহিত হওয়ার অধিকার "আমরা আপনার প্রাইভেসিকে মূল্য দিই" বলা একটি অনুচ্ছেদ দিয়ে পূরণ হয় না। Article 13 — যা প্রযোজ্য হয় যখন আপনি সরাসরি ভিজিটরের কাছ থেকে ডেটা সংগ্রহ করেন — তালিকাবদ্ধ করে দেয় সংগ্রহের মুহূর্তে একটি নোটিসে কী কী থাকতে হবে:

• controller-এর পরিচয় ও যোগাযোগের বিবরণ।
• প্রসেসিংয়ের উদ্দেশ্য (purposes) এবং প্রতিটির জন্য বৈধ ভিত্তি (legal basis)।
• ডেটার প্রাপক (recipients) বা প্রাপকের শ্রেণিসমূহ।
• কোনো তৃতীয় দেশে স্থানান্তর এবং তার জন্য নিরাপত্তা ব্যবস্থা।
• সংরক্ষণের মেয়াদ (retention period), অথবা তা নির্ধারণে ব্যবহৃত মানদণ্ড।
• ডেটা সাবজেক্টের অধিকার: অ্যাক্সেস, সংশোধন, মুছে ফেলা, সীমিতকরণ, আপত্তি, পোর্টেবিলিটি।
• স্বয়ংক্রিয় সিদ্ধান্তগ্রহণ (automated decision-making)-এর অস্তিত্ব, প্রোফাইলিং সহ, এবং এর অন্তর্নিহিত যুক্তি সম্পর্কে অর্থবহ তথ্য।

প্রতিটি ধারা আপনার স্ট্যাক সম্পর্কিত একটি বাস্তব তথ্যের সঙ্গে মেলে। একটি নোটিস তখনই সঠিক যখন প্রতিটি প্রকাশ সত্য। এটিই ঠিক যা একটি তথ্য-অনুসন্ধানমূলক কার্যক্রম যাচাই করে — নোটিসটি আছে কি না তা নয়, বরং তা বাস্তবতা বর্ণনা করে কি না।

কেন নজরদারিমূলক অ্যানালিটিক্স নোটিসকে ভঙ্গুর করে তোলে

একটি সাধারণ অ্যানালিটিক্স ইন্টিগ্রেশন ওই তালিকার মধ্য দিয়ে চালান, প্রকাশের সংখ্যা বেড়ে যায়। ক্রস-সাইট identifier সহ একটি আচরণগত ট্যাগের অর্থ হলো আপনার কাছে নাম দেওয়ার মতো প্রাপক (recipients) আছে — ভেন্ডর, তার বিজ্ঞাপন অংশীদার, তার পরিমাপ নেটওয়ার্ক। এর অর্থ সাধারণত ঘোষণা ও সুরক্ষা দেওয়ার মতো একটি তৃতীয়-দেশ স্থানান্তর (third-country transfer) থাকে। মাসের পর মাস কোনো ভিজিটরকে অনুসরণ করা একটি স্থিতিশীল identifier হলো প্রোফাইলিং (profiling), যা স্বয়ংক্রিয় সিদ্ধান্তগ্রহণের ধারাটিকে টেনে আনে। সংরক্ষণের মেয়াদ (retention period) যা-ই হোক ভেন্ডরের ডিফল্ট, যা এখন আপনাকে জানতে হবে এবং সঠিকভাবে বলতে হবে।

এগুলোর প্রতিটিই এমন একটি বাক্য যা ভুল হতে পারে। ভেন্ডর একটি সাব-প্রসেসর যোগ করা মাত্র, একটি অঞ্চল পরিবর্তন করা মাত্র, বা সংরক্ষণ বাড়ানো মাত্র নোটিসটি বাস্তবতা থেকে সরে যায় — এবং আপনি খুব কমই তা জানতে পারেন। একটি transparency নিরীক্ষার আওতায়, প্রাপক বা সংরক্ষণকে কম করে দেখানো নোটিস কোনো টাইপো নয়। এটিই সেই লঙ্ঘন যা প্রকাশ করার জন্যই CEF তৈরি।

একটি সংক্ষিপ্ত নোটিসই হলো প্রতিরক্ষণযোগ্য নোটিস

একটি transparency নিরীক্ষায় উত্তীর্ণ হওয়ার সবচেয়ে সস্তা উপায় হলো প্রকাশ করার মতো অল্প কিছু থাকা। এটি একটি ডেটা-মডেল বৈশিষ্ট্য, কপিরাইটিং বৈশিষ্ট্য নয়।

একটি cookie-মুক্ত ট্র্যাকার একটি Article 13 নোটিসের অ্যানালিটিক্স অংশকে কয়েকটি সৎ লাইনে সংকুচিত করে। কোনো তৃতীয়-পক্ষ প্রাপক নেই কারণ কিছুই শেয়ার করা হয় না। কোনো প্রোফাইলিং নেই কারণ কোনো identifier টিকে থাকে না। ভিজিটরের পরিচয় হলো edge-এ in-memory-তে গণনা করা একটি একমুখী দৈনিক hash:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

কাঁচা IP ও User-Agent শুধু ওই digest গণনা করতেই ব্যবহৃত হয় এবং কখনো লেখা হয় না; D1 ইনপুট নয়, hash সংরক্ষণ করে। যেহেতু তারিখটি একটি ইনপুট, hash প্রতি মধ্যরাতে ঘুরে যায়, তাই বর্ণনা করার মতো কোনো ক্রস-সেশন প্রোফাইল নেই। সংরক্ষণ একটি কঠিন, বলার-যোগ্য সীমা — পেজভিউ ৭৩০ দিন পর মুছে ফেলা হয় — কোনো ভেন্ডর ডিফল্ট নয় যা আপনাকে খুঁজে বের করতে হবে।

ফলস্বরূপ যে প্রকাশ আসে তা সংক্ষিপ্ত কারণ প্রসেসিংটাই ছোট। এটি বলে: আমরা সমষ্টিগত পেজভিউ গণনা করি, edge-এ দেশ ও স্থূল ডিভাইস টাইপ নির্ণয় করি, কারও সঙ্গে শেয়ার করি না, কোনো প্রোফাইল তৈরি করি না, এবং সর্বোচ্চ দুই বছর ডেটা রাখি। প্রতিটি ধারা schema-র বিপরীতে যাচাইযোগ্য।

একই কার্যক্রমের Article 30 অর্ধাংশ

ভিজিটরের জন্য transparency (Article 12–14)-এর একটি অভ্যন্তরীণ যমজ আছে: Article 30 প্রসেসিং কার্যক্রমের রেকর্ড, সেই ডকুমেন্ট যা একটি কর্তৃপক্ষ সবার আগে চায়। এতে অবশ্যই উদ্দেশ্য, প্রাপক, স্থানান্তর ও সংরক্ষণ তালিকাভুক্ত করতে হয় — পাবলিক নোটিসের মতো একই বাস্তব তথ্য, তবে controller-এর দিক থেকে।

যখন এই দুটো অমিল হয়, ব্যবধানটাই হয় ফাইন্ডিং। যে স্ট্যাক কোনো ব্যক্তিগত identifier সংরক্ষণ করে না এবং কিছুই শেয়ার করে না, তা উভয় ডকুমেন্টকে সারিবদ্ধ রাখে, কারণ দুই দিকেই রেকর্ড করার মতো প্রায় কিছুই নেই।

একটি প্রাইভেসি নোটিস হলো আপনার ডেটা মডেল সম্পর্কে একটি প্রতিশ্রুতি। ২০২৬ সালের সুইপ যাচাই করে প্রতিশ্রুতিটি সত্য কি না। সবচেয়ে কম ঝুঁকিপূর্ণ প্রতিশ্রুতি হলো সেটাই যা আপনি ভাবনাচিন্তা ছাড়াই রাখতে পারেন — কারণ আপনি কখনো সেই জিনিসটাই সংগ্রহ করেননি যা না হলে আপনাকে ব্যাখ্যা করতে হতো।

সূত্র

• EDPB transparency ও তথ্য সরবরাহের বাধ্যবাধকতার ওপর ২০২৬ সালের Coordinated Enforcement Action চালু করল
• Coordinated Enforcement Framework: EDPB ২০২৬ সালের জন্য বিষয় নির্বাচন করল
• GDPR Article 13 — ডেটা সাবজেক্টের কাছ থেকে ব্যক্তিগত ডেটা সংগ্রহের ক্ষেত্রে যে তথ্য সরবরাহ করতে হবে
• GDPR Article 30 — প্রসেসিং কার্যক্রমের রেকর্ড
• ICO — অবহিত হওয়ার অধিকার