ভারতের DPDP আইন: বিশ্বের বৃহত্তম ডিজিটাল বাজারে কুকি সম্মতি
ভারত ২০২৩ সালে Digital Personal Data Protection Act (DPDP Act) পাস করেছে, এবং এটিকে কার্যকর করার জন্য প্রয়োজনীয় বিধিগুলো এখন কার্যকর হয়েছে। ৮৫০ মিলিয়নেরও বেশি ইন্টারনেট ব্যবহারকারী নিয়ে ভারত এমন একটি বাজার, যাকে কোনো বৈশ্বিক প্রকাশক, বিজ্ঞাপনদাতা বা SaaS অপারেটর ভুলভাবে সামলানোর ঝুঁকি নিতে পারে না — এবং DPDP আইন এমন কিছু সম্মতি-সংক্রান্ত বাধ্যবাধকতা এনেছে, যা আপনার আগে থেকেই সমর্থিত GDPR, CCPA এবং অন্যান্য ফ্রেমওয়ার্ক থেকে অর্থবহভাবে ভিন্ন।
এই গাইডে ব্যাখ্যা করা হয়েছে DPDP আইন কুকি ও ট্র্যাকিং আইডেন্টিফায়ারকে কীভাবে বিবেচনা করে, কার ওপর এটি প্রযোজ্য, এবং ভারতীয় ব্যবহারকারীদের জন্য সঙ্গতিপূর্ণ সম্মতি অভিজ্ঞতা দেখতে কেমন হওয়া উচিত।
DPDP আইন কার ওপর প্রযোজ্য
DPDP আইন ভারতের ভেতরে ডিজিটাল ব্যক্তিগত ডেটা প্রক্রিয়াকরণ, এবং ভারতের বাইরে এমন প্রক্রিয়াকরণ নিয়ন্ত্রণ করে যা ভারতে অবস্থানরত ব্যক্তিদের পণ্য বা সেবা প্রস্তাবের সঙ্গে সম্পর্কিত। বাস্তবে, আপনার ওয়েবসাইট যদি ভারতীয় ব্যবহারকারীদের জন্য অ্যাক্সেসযোগ্য হয় এবং আপনি সেখানে থেকে ব্যক্তিগত ডেটা সংগ্রহ করেন — কুকি, SDK, পিক্সেল বা ফিঙ্গারপ্রিন্টিংয়ের মাধ্যমে সহ — তবে প্রায় নিশ্চিতভাবেই এই আইন আপনার ওপর প্রযোজ্য।
আইনটি দুটি মূল ভূমিকা ব্যবহার করে: Data Fiduciary (GDPR-এর controller-এর সমতুল্য) এবং Data Processor। অল্প কিছু বৃহত্তম অপারেটরকে Significant Data Fiduciaries হিসেবে মনোনীত করা হতে পারে, যার ফলে অতিরিক্ত বাধ্যবাধকতা তৈরি হয়, যেমন Data Protection Impact Assessment করা এবং ভারতে অবস্থানরত একজন Data Protection Officer নিয়োগ করা।
DPDP আইন কুকি ও ট্র্যাকারকে কীভাবে বিবেচনা করে
ePrivacy Directive-এর মতো DPDP আইন কুকিকে আলাদা কোনো শ্রেণি হিসেবে চিহ্নিত করে না। বরং এটি যেকোনো ডিজিটাল ব্যক্তিগত ডেটা প্রক্রিয়াকরণকে নিয়ন্ত্রণ করে। অর্থাৎ কুকি, ডিভাইস আইডেন্টিফায়ার, IP ঠিকানা, advertising ID, এবং hashed ইমেল — এগুলো যখন সরাসরি বা পরোক্ষভাবে কোনো শনাক্তযোগ্য ব্যক্তির সঙ্গে যুক্ত থাকে, তখন সবই এই আইনের আওতায় পড়ে।
প্রকাশকদের জন্য এর তাৎপর্য সরল: আপনার সাইটের কোনো কুকি বা ট্যাগ যদি ব্যক্তিগত ডেটা সংগ্রহ বা শেয়ার হওয়ার কারণ হয়, তবে আপনার একটি বৈধ আইনগত ভিত্তি থাকা দরকার। DPDP আইনের অধীনে, সেই ভিত্তি প্রায় সব ক্ষেত্রেই consent, কেবলমাত্র আইনে সংজ্ঞায়িত কিছু সীমিত "legitimate uses" ব্যতিক্রম হিসেবে রয়েছে।
বৈধ সম্মতি দেখতে কেমন হওয়া উচিত
DPDP আইন সম্মতির জন্য উচ্চ মান নির্ধারণ করেছে। সম্মতি হতে হবে স্বেচ্ছাসম্মত, নির্দিষ্ট, অবহিত, শর্তহীন এবং অসন্���িগ্ধ, এবং তা একটি স্পষ্ট ইতিবাচক পদক্ষেপের মাধ্যমে প্রকাশিত হতে হবে। আগে থেকেই টিক দেওয়া বক্স, ব্রাউজিং চালিয়ে যাওয়াকে সম্মতি ধরে নেওয়া, এবং এমন "cookie wall" নকশা যা অ্যাক্সেসকে গ্রহণযোগ্যতার ওপর নির্ভরশীল করে — এগুলো এই প্রয়োজনীয়তার সঙ্গে সামঞ্জস্যপূর্ণ নয়।
সম্মতি UX-এর জন্য DPDP-নির্দিষ্ট আরও দুটি নিয়ম গুরুত্বপূর্ণ:
- আইটেমাইজড নোটিশ: সম্মতির আগে বা সম্মতির সময়, আপনাকে ব্যবহারকারীকে একটি স্পষ্ট নোটিশ দিতে হবে, যেখানে কোন ডেটা সংগ্রহ করা হচ্ছে, প্রক্রিয়াকরণের উদ্দেশ্য কী, এবং কীভাবে ব্যবহা���কারী সম্মতি প্রত্যাহার করতে পারবেন বা Data Protection Board of India-এর কাছে অভিযোগ দায়ের করতে পারবেন — তা উল্লেখ থাকবে।
- সহজ ভাষা ও বহুভাষিক সাপোর্ট: নোটিশ ইংরেজিতে এবং ভারতের ২২টি তফসিলভুক্ত ভাষার যেকোনো একটি, যা ব্যবহারকারী নির্বাচন করেন, সেই ভাষায় উপলব্ধ থাকতে হবে। এমন CMP যা সম্মতির কনটেন্টকে হিন্দি, তামিল, বাংলা, মারাঠি এবং অন্যান্য প্রধান ভাষায় দেখাতে পারে না, তাদের জন্য সঙ্গতিপূর্ণ থাকা কঠিন হবে।
শিশুদের ডেটা এবং পিতামাতার সম্মতি
DPDP আইন ১৮ বছরের কম বয়সী সবাইকে শিশু হিসেবে বিবেচনা করে এবং তাদের ব্যক্ত���গত ডেটা প্রক্রিয়াকরণের আগে যাচাইযোগ্য পিতামাতার সম্মতি চায়। এটি শিশুদের উদ্দেশে আচরণগত পর্যবেক্ষণ এবং লক্ষ্যভিত্তিক বিজ্ঞাপনকেও নিষিদ্ধ করে। ভারতে অপ্রাপ্তবয়স্কদের জন্য অ্যাক্সেসযোগ্য এমন যেকোনো ওয়েবসাইট — যা বাস্তবে প্রায় সব সাইটই —কে একটি age-gating বা ঝুঁকি-ভিত্তিক কৌশল নিতে হবে, এবং পিতামাতার সম্মতি অনুপস্থিত থাকলে ট্র্যাকিং স্ক্রিপ্ট ব্লক করতে সক্ষম হতে হবে।
আপনার CMP-কে যে ব্যবহারকারী অধিকারগুলো সমর্থন করতে হবে
ভারতের Data Principal (ব্যবহারকারী) দের কিছু অধিকার রয়েছে, যা আপনার সম্মতি ও প্রেফারেন্স স্তরের মাধ্যমে কার্যকর করা সম্ভব হতে হবে:
- অ্যাক্সেসের অধিকার — তাদের ব্যক্তিগত ডেটা প্রক্রিয়াকরণের একটি সারাংশ পাওয়ার অধিকার।
- সংশোধন ও মুছে ফেলার অধিকার — তাদের ডেটা সংশোধন ও অপসারণের অধিকার।
- সম্মতি প্রত্যাহারের অধিকার — যেকোনো সময়, যেভাবে সম্মতি দেওয়া হয়েছিল, একই সহজতায় তা প্রত্যাহার করার অধিকার।
- মনোনয়নের অধিকার — মৃত্যু বা অক্ষমতার ক্ষেত্রে তাদের অধিকার প্রয়োগের জন্য অন্য কাউকে মনোনীত করার অধিকার।
- অভিযোগ নিষ্পত্তির অধিকার — প্রথমে Data Fiduciary-এর কাছে, এবং প্রয়োজনে Data Protection Board of India-এর কাছে।
একটি সঙ্গতিপূর্ণ CMP-তে স্থায়ী প্রেফারেন্স লিংক থাকা উচিত, এক-ক্লিক সম্মতি প্রত্যাহার সমর্থন করা উচিত, এবং সম্মতি ইভেন্টগুলো এমনভাবে লগ করা উচিত, যা তদন্তের সময় অনুরোধ করলে উপস্থাপন করা যায়।
সীমান্ত-পার ডেটা স্থানান্তর
DPDP আইন আন্তর্জাতিক ডেটা স্থানান্তরের ক্ষেত্রে "নেগেটিভ লিস্ট" পদ্ধতি গ্রহণ করেছে: ব্যক্তিগত ডেটা ভারত থেকে বাইরে স্থানান্তর করা যেতে পারে, যদি না গন্তব্য দেশকে কেন্দ্র সরকার বিশেষভাবে সীমাবদ্ধ তালিকায় রাখে। এটি GDPR-এর adequacy ব্যবস্থার তুলনায় বেশি উদার, তবে আপনাকে তবুও নথিভুক্ত করতে হবে কোন কোন তৃতীয় দেশে ভারতীয় ব্যবহারকারীদের ডেটা যাচ্ছে এবং প্রকাশিত সীমাবদ্ধতার তালিকা নিয়মিত পর্যবেক্ষণ করতে হবে।
জরিমানা ও প্রয়োগ
DPDP আইনের অধীনে আর্থিক জরিমানা উল্লেখযোগ্য। Data Protection Board যুক্তিসঙ্গত নিরাপত্তা সুরক্ষা না নেওয়ার জন্য সর্বোচ্চ ₹২৫০ কোটি (প্রায় ৩০ মিলিয়ন মার্কিন ডলার) পর্যন্ত জরিমানা আরোপ করতে পারে, এবং শিশুদের প্রতি দায়িত্ব পালনে ব্যর্থতার জন্য সর্বোচ্চ ₹২০০ কোটি পর্যন্ত জরিমানা হতে পারে। সম্মতি-সংক্রান্ত ব্যর্থতা — যার ���ধ্যে অসঙ্গতিপূর্ণ ব্যানারের মাধ্যমে সম্মতি সংগ্রহ করাও অন্তর্ভুক্ত — প্রতি লঙ্ঘনে সর্বোচ্চ ₹৫০ কোটি পর্যন্ত জরিমানার আওতায় পড়ে।
আপনার CMP-তে DPDP-সঙ্গতিপূর্ণ সম্মতি বাস্তবায়ন
- ভারতীয় ব্যবহারকারীদের জিও-ডিটেক্ট করুন এবং GDPR ব্যানার পুনর্ব্যবহার না করে DPDP-নির্দিষ্ট সম্মতি টেমপ্লেট প্রয়োগ করুন। প্রয়োজনীয় নোটিশ কনটেন্ট ও ভাষা বিকল্প ভিন্ন।
- একাধিক ভারতীয় ভাষায় নোটিশ দেখান। ন্যূনতমভাবে হিন্দি ও ইংরেজি সমর্থন করুন, এবং আপনার ট্রাফিক বণ্টনের ভিত্তিতে আঞ্চলিক ভাষা যোগ করুন।
- ডিফল্টভাবে সব অ-আবশ্যিক ট্র্যাকার ব্লক করুন। বিজ্ঞাপন, অ্যানালিটিক্স এবং তৃতীয় পক্ষের SDK কেবল স্পষ্ট সম্মতির পর লোড করুন।
- উদ্দেশ্যগুলো স্পষ্টভাবে আলাদা করুন। বিজ্ঞাপন, অ্যানালিটিক্স এবং পার্সোনালাইজেশনকে এমন একটি একক "accept" অ্যাকশনে বেঁধে দেবেন না, যেখানে ব্যবহারকারী যুক্তিসঙ্গতভাবে কিছুতে সম্মতি দিতে চাইতে পারেন, কিন্তু অন্যগুলোতে না।
- সম্মতি ও প্রত্যাহার ইভেন্ট লগ করুন — টাইমস্ট্যাম্প, প্রদর্শিত নোটিশের সুনির্দিষ্ট সংস্করণ, এবং ব্যবহারকারীর ভাষা নির্বাচনসহ — যাতে নিয়ন্ত্রক অনুসন্ধানের সময় আপনি সঙ্গতিপূর্ণতার প্রমাণ দিতে পারেন।
- প্রতিটি পৃষ্ঠায় দৃশ্যমান প্রেফারেন্স লিংক দিন, যা ব্যবহারকারীদের যেকোনো সময় সম্মতি পর্যালোচনা, আপডেট বা প্রত্যাহার করার সুযোগ দেয়।
DPDP বনাম GDPR: ব্যবহারিক পার্থক্য
- কোনো "legitimate interests" ভিত্তি নেই। DPDP আইন GDPR-এর মতো সাধারণ আইনগত ভিত্তি হিসেবে legitimate interests-কে স্বীকৃতি দেয় না। সম্মতির গুরুত্ব তাই বেশি, এবং UX ডিজাইনের গুরুত্বও বাড়ে।
- শিশুদের জন্য কঠোর নিয়ম। ডিজিটাল সম্মতির বয়স ১৮, ১৩ বা ১৬ নয়, এবং অপ্রাপ্তবয়স্কদের উদ্দেশে লক্ষ��যভিত্তিক বিজ্ঞাপন স্পষ্টভাবে নিষিদ্ধ।
- বহুভাষিক নোটিশের প্রয়োজনীয়তা DPDP আইনের জন্য অনন্য, এবং কেবল ইংরেজি ব্যানার দিয়ে এটি পূরণ করা যায় না।
- Significant Data Fiduciary সংক্রান্ত বাধ্যবাধকতা উচ্চ-ঝুঁকিপূর্ণ অপারেটরদের জন্য দ্বিতীয় স্তরের সঙ্গতিপূর্ণতার কাঠামো তৈরি করে, যার সরাসরি কোনো GDPR সমতুল্য নেই।
উপসংহার
DPDP আইন ভারতকে নিজস্ব স্বতন্ত্র বৈশিষ্ট্যসহ আধুনিক বৈশ্বিক ডেটা সুরক্ষা পরিমণ্ডলে নিয়ে এসেছে — consent-first, নকশাগতভাবে বহুভাষিক, এবং অস্বাভাবিক মাত্রায় অপ্রাপ্তবয়স্কদের সুরক্ষামুখী। ইত���মধ্যে GDPR-গ্রেড CMP পরিচালনাকারী প্রকাশক ও প্ল্যাটফর্মগুলোর একটি অগ্রগতি থাকলেও, তাদের এখনও ব্যানারের কনটেন্ট, ভাষা সাপোর্ট, বয়স-সংক্রান্ত হ্যান্ডলিং এবং লগিং সামঞ্জস্য করতে হবে DPDP-এর প্রয়োজনীয়তা পূরণের জন্য। ভারতকে "আরেকটি GDPR জুরিসডিকশন" হিসেবে ধরে নেওয়া Data Protection Board-এর সামনে গিয়ে দাঁড়ানোর সবচেয়ে দ্রুত উপায়।