প্রকাশকদের জন্য ২০২৬ সালের EU-US Data Privacy Framework (DPF) কুকি সম্মতি গাইড
EU-US Data Privacy Framework (DPF) হলো সেই আইনি কাঠামো যা ইউরোপীয় ব্যক্তিগত ডেটা — কুকি শনাক্তকারী, IP ঠিকানা, হ্যাশ করা ইমেইল এবং বিজ্ঞাপন অনুরোধের পেলোড সহ — মার্কিন-ভিত্তিক ভেন্ডরদের কাছে প্রতিটি প্রকাশককে নিজস্ব Standard Contractual Clauses আলাদাভাবে আলোচনা ছাড়াই পাঠানোর সুযোগ দেয়। ২০২৩ সালের জুলাইয়ে ইউরোপীয় কমিশন কর্তৃক গৃহীত এবং এখন বাস্তবে কয়েক বছর ধরে প্রয়োগ হচ্ছে, DPF হলো অবৈধ ঘোষিত Privacy Shield প্রতিস্থাপনের তৃতীয় প্রচেষ্টা, এবং এটি আবারও ইউরোপীয় ইউনিয়নের বিচার আদালতে আইনি চ্যালেঞ্জের মুখে। মার্কিন-সদর SSPs, DSPs, অ্যানালিটিক্স টুলস এবং CMPs এর মাধ্যমে EU ট্র্যাফিক পরিচালনাকারী প্রকাশকদের জন্য DPF — এবং এর উপরে থাকা সম্মতি স্তর — বোঝাটা আর ঐচ্ছিক নয়। এই গাইড ব্যাখ্যা করে DPF আসলে কী অনুমোদন দেয়, কুকি সম্মতি কীভাবে এতে ফিট করে, এবং ফ্রেমওয়ার্ক আবারও বাতিল হলে আপনার ট্রান্সফার রক্ষণযোগ্য রাখার অপারেশনাল পদক্ষেপগুলো।
DPF আসলে কী করে
DPF হলো GDPR-এর আর্টিকেল ৪৫ এর অধীনে ইউরোপীয় কমিশন কর্তৃক জারি করা একটি পর্যাপ্ততা সিদ্ধান্ত। পর্যাপ্ততা সিদ্ধান্ত বলে যে তৃতীয় দেশ — এক্ষেত্রে মার্কিন যুক্তরাষ্ট্র — শুধুমাত্র একটি নির্দিষ্ট ফ্রেমওয়ার্কে যোগ দেওয়া সংগঠনগুলির জন্য EU-এর সমতুল্য মাত্রার ব্যক্তিগত ডেটা সুরক্ষা প্রদান করে। DPF হলো ঐচ্ছিক যোগদানের প্রক্রিয়া। মার্কিন কোম্পানিগুলো বাণিজ্য বিভাগের সাথে স্ব-প্রত্যয়ন করে, গোপনীয়তার নীতিমালার একটি সেটের প্রতি প্রতিশ্রুতিবদ্ধ হয়, এবং সেই প্রতিশ্রুতির জন্য FTC বা DOT এর প্রয়োগের অধীনে আসে।
EU প্রকাশকের জন্য ব্যবহারিক প্রভাব হলো ব্যক্তিগত ডেটা পৃথক Standard Contractual Clauses (SCCs), সেই ভেন্ডরের জন্য তৈরি Transfer Impact Assessments, বা Schrems II রায়ের পরে প্রয়োজনীয় পরিপূরক ব্যবস্থা ছাড়াই DPF-সার্টিফাইড মার্কিন ভেন্ডরের কাছে স্থানান্তর করা যেতে পারে। DPF আইনি ভিত্তির স্তরে ভারী কাজটি করে।
তিনটি জিনিস DPF করে না, এবং প্রকাশকরা ধারাবাহিকভাবে এগুলো ভুল করেন:
- এটি সম্মতি প্রতিস্থাপন করে না। EU পরিদর্শকের কাছে অ-প্রয়োজনীয় কুকি সেট করার জন্য ডেটা কোথায় যাচ্ছে তা নির্বিশেষে এখনও GDPR/ePrivacy-মানের সম্মতি প্রয়োজন।
- এটি অ-সার্টিফাইড মার্কিন ভেন্ডরদের কাছে ট্রান্সফার কভার করে না। আপনার SSP বা অ্যানালিটিক্স প্রদানকারী সক্রিয় DPF তালিকায় না থাকলে, আপনার এখনও SCCs এবং TIA প্রয়োজন।
- এটি সার্টিফাইড সুযোগের বাইরে কার্যরত মার্কিন সহযোগী প্রতিষ্ঠানে ট্রান্সফার কভার করে না। অনেক বড় ভেন্ডর শুধুমাত্র নির্দিষ্ট ব্যবসায়িক লাইন সার্টিফাই করে।
কুকি সম্মতি এখনও সামনের দরজা
DPF যাত্রার ট্রান্সফার দিকটি সমাধান করে। একটি কুকি ড্রপ হওয়ার মুহূর্তে, একটি বিজ্ঞাপন ID পড়া হওয়ার মুহূর্তে, বা একটি ট্যাগে একটি ইভেন্ট পাঠানো হওয়ার মুহূর্তে এটি কিছুই করে না। সেই মুহূর্ত ePrivacy Directive (আর্টিকেল ৫(৩)) এবং GDPR (আর্টিকেল ৬ ও ৭) দ্বারা পরিচালিত হয়। উভয়ই টার্মিনাল সরঞ্জাম স্টোরেজে যেকোনো অ-কঠোর-প্রয়োজনীয় অ্যাক্সেসের জন্য পূর্ব, অবহিত, নির্দিষ্ট এবং স্বাধীনভাবে প্রদত্ত সম্মতি দাবি করে।
অন্য কথায়, এমনকি যদি আপনার স্ট্যাকের প্রতিটি ভেন্ডর DPF-সার্টিফাইড হয়, তবুও আপনার এমন একটি Consent Management Platform দরকার যা:
- সম্মতি ক্যাপচার করার আগে অ-প্রয়োজনীয় কুকি এবং ট্যাগ ব্লক করে।
- সবকিছু প্রত্যাখ্যান করুনের সমতায় সবকিছু গ্রহণ করুনের সাথে একটি স্পষ্ট পছন্দ উপস্থাপন করে (EDPB ২০২২ সাল থেকে এ বিষয়ে স্পষ্ট)।
- সম্মতি ইভেন্টটি ট্যাম্পার-প্রমাণ টাইমস্ট্যাম্প এবং ব্যবহারকারী আসলে যে নোটিশটি দেখেছিলেন তার একটি কপি সহ রেকর্ড করে।
- TCF v2.3, Google Consent Mode v2, বা ভেন্ডর-নেটিভ API এর মাধ্যমে প্রতিটি ডাউনস্ট্রিম টুলে সম্মতির অবস্থা ফরওয়ার্ড করে।
DPF ট্রান্সফারের জন্য আইনি ভিত্তি প্রতিস্থাপন করে; CMP সংগ্রহের জন্য আইনি ভিত্তি সরবরাহ করে। যেকোনো দিক এড়িয়ে যাওয়া আপনাকে ঝুঁকিতে ফেলে।
একজন ভেন্ডরের DPF স্ট্যাটাস যেভাবে যাচাই করবেন
মার্কিন বাণিজ্য বিভাগ dataprivacyframework.gov-এ আনুষ্ঠানিক DPF তালিকা বজায় রাখে। কোনো ভেন্ডরের DPF দাবিতে নির্ভর করার আগে, তাদের তালিকায় তিনটি জিনিস পরীক্ষা করুন।
সক্রিয় সার্টিফিকেশন স্ট্যাটাস
সার্টিফিকেশন বার্ষিকভাবে নবায়ন করতে হবে। যে ভেন্ডরের স্ট্যাটাস নিষ্ক্রিয়, প্রত্যাহার, বা মেয়াদোত্তীর্ণ পড়ে তার উপর আপনার ট্রান্সফার মেকানিজম হিসাবে নির্ভর করা যাবে না, এমনকি যদি তাদের মার্কেটিং পেজ এখনও DPF ব্যাজ প্রদর্শন করে। তালিকাটি আপনার ভেন্ডর ইনভেন্টরিতে টেনে আনুন এবং ত্রৈমাসিকভাবে পুনরায় পরীক্ষা করুন।
কভার করা সত্তা এবং অ্যাফিলিয়েট
অনেক হোল্ডিং কোম্পানি কিছু অ্যাফিলিয়েট সার্টিফাই করে, অন্যগুলো করে না। আপনার DPA-তে চুক্তি সত্তা অবশ্যই সার্টিফাইড সত্তার সাথে মেলে হতে হবে। একটি সাধারণ ভুল হলো Acme Inc.-এর ডেলাওয়্যারে DPF সার্টিফিকেশন থাকলে Acme Marketing UK Ltd-এর সাথে স্বাক্ষর করা — ডেটা প্রবাহ তখন সার্টিফাইড সুযোগ থেকে বেরিয়ে যায়।
কভার করা ডেটার বিভাগ
DPF শুধুমাত্র HR ডেটা, শুধুমাত্র নন-HR ডেটা, বা উভয়ের জন্য সার্টিফিকেশনের সুযোগ দেয়। একটি নন-HR-only সার্টিফিকেশন আপনার বিজ্ঞাপন এবং অ্যানালিটিক্স ডেটা কভার করে; একটি HR-only সার্টিফিকেশন করে না। তালিকাটি সাবধানে পড়ুন।
ভেন্ডর DPF-সার্টিফাইড না হলে কী করবেন
অনেক দরকারী মার্কিন ভেন্ডর — বিশেষত ছোট বিজ্ঞাপন-প্রযুক্তি খেলোয়াড় এবং নিশ অ্যানালিটিক্স টুলস — কখনও সার্টিফাই করেনি বা তাদের সার্টিফিকেশন মেয়াদোত্তীর্ণ হতে দিয়েছে। তাদের জন্য, DPF অপ্রাসঙ্গিক এবং আপনি ২০২৩-পূর্ব টুলকিটে ফিরে যান:
- Standard Contractual Clauses (SCCs) — ২০২১ সালের মডিউল-২ বা মডিউল-৩ সংস্করণ, উভয় পক্ষ কর্তৃক স্বাক্ষরিত এবং DPA-তে অন্তর্ভুক্ত।
- Transfer Impact Assessment (TIA) — মার্কিন নজরদারি আইন, ঝুঁকিপূর্ণ ডেটার বিভাগ, এবং এক্সপোজার প্রশমনকারী প্রযুক্তিগত ও সাংগঠনিক ব্যবস্থার ভেন্ডর-নির্দিষ্ট বিশ্লেষণ।
- পরিপূরক ব্যবস্থা — ট্রানজিটে ও বিশ্রামে এনক্রিপশন, সিউডোনিমাইজেশন, চুক্তিগত স্বচ্ছতার প্রতিশ্রুতি, এবং মার্কিন সরকারের অ্যাক্সেস অনুরোধের জন্য একটি নথিভুক্ত প্রতিক্রিয়া পরিকল্পনা।
একটি রেজিস্টার বজায় রাখুন যা আপনার স্ট্যাকের প্রতিটি মার্কিন ভেন্ডর, প্রতিটির জন্য ব্যবহৃত আইনি ভিত্তি (DPF, SCCs, ডেরোগেশন), এবং সর্বশেষ পর্যালোচনার তারিখ তালিকাভুক্ত করে। নিয়ন্ত্রক এবং অডিটররা এই রেজিস্টার চাইবেন; এটি না থাকাটা নিজেই একটি সন্ধান।
Schrems III ঝুঁকি এবং ভবিষ্যৎ-প্রমাণ করার উপায়
গোপনীয়তা সমর্থক Max Schrems এবং তার সংগঠন NOYB DPF গৃহীত হওয়ার কিছুক্ষণ পরে এর বিরুদ্ধে একটি মামলা দায়ের করেছিল, যুক্তি দিয়ে যে EO 14086 নির্বাহী আদেশের অধীনে মার্কিন নজরদারি সংস্কার এখনও EU মৌলিক অধিকারের মানদণ্ড থেকে কম। CJEU-তে একটি রেফারেন্ল ব্যাপকভাবে প্রত্যাশিত, এবং ফ্রেমওয়ার্কটি বাতিল হওয়ার একটি অতুচ্ছ সম্ভাবনা রয়েছে — বিশ বছরে তৃতীয়।
যে প্রকাশকরা ২০২০ সালে Privacy Shield-কে একমাত্র ট্রান্সফার মেকানিজম হিসাবে বিবেচনা করেছিল তাদের Schrems II এটি বাতিল করলে রাতারাতি সংগ্রাম করতে হয়েছিল। DPF-কে একটি প্রাথমিক মেকানিজম হিসাবে বিবেচনা করে একটি ব্যাকআপ প্রস্তুত রেখে এবার একই সংগ্রাম এড়ানো সম্ভব।
প্রতিটি DPA-তে SCCs রাখুন
জোর দিন যে আপনার DPA-তে ২০২১ সালের SCCs একটি ফলব্যাক ক্লজ হিসাবে অন্তর্ভুক্ত করা হয়েছে যা স্বয়ংক্রিয়ভাবে সক্রিয় হয় যদি DPF পর্যাপ্ততা সিদ্ধান্ত বাতিল হয় বা ভেন্ডরের সার্টিফিকেশন মেয়াদোত্তীর্ণ হয়। এটি এখন স্ট্যান্ডার্ড ভাষা; যদি একজন ভেন্ডর প্রত্যাখ্যান করে, তাহলে এটি একটি সতর্কতার সংকেত।
যেভাবেই হোক TIA চালান
DPF TIA-এর জন্য আইনি প্রয়োজনীয়তা সরিয়ে দেয়, কিন্তু একটি হালকা TIA চালানো — বিশেষত সংবেদনশীল বিজ্ঞাপন সংকেত বা বড় EU জনসংখ্যা পরিচালনাকারী ভেন্ডরদের জন্য — ফ্রেমওয়ার্ক ভেঙ্গে পড়লে আপনাকে রক্ষণযোগ্য ডকুমেন্টেশন দেয়। খরচ কম রাখতে ভেন্ডর জুড়ে একই টেম্পলেট পুনরায় ব্যবহার করুন।
যেখানে গণিত কাজ করে সেখানে স্থানীয়করণ করুন
কিছু ব্যবহারের ক্ষেত্রে — ফার্স্ট-পার্টি অ্যানালিটিক্স, লগ-ইন করা ব্যবহারকারীদের আচরণগত ডেটা, বা সংবেদনশীল-কন্টেন্ট সাইট — EU-হোস্টেড, EU-নিয়ন্ত্রিত ভেন্ডরে চলে যাওয়া ট্রান্সফার প্রশ্নটি সম্পূর্ণরূপে দূর করে। খরচ-সুবিধা শুধুমাত্র উচ্চ-ঝুঁকি বা উচ্চ-ভলিউম প্রবাহের জন্য কাজ করে, কিন্তু এটি একটি বিকল্প হিসাবে রোডম্যাপে থাকা উচিত।
DPF-কে আপনার CMP-এ সংযুক্ত করা
একটি আধুনিক CMP সরাসরি DPF প্রয়োগ করে না — GPP বা TCF-এ কোনো ক্ষেত্র নেই যা বলে "এই ট্রান্সফার DPF-কভার্ড।" CMP-কে যা করতে হবে তা হলো প্রতিটি ভেন্ডরের জন্য এমনভাবে সম্মতি সংগ্রহ করা যা একজন নিয়ন্ত্রক শেষ পর্যন্ত যে ডকুমেন্টেশন চাইবেন তা সমর্থন করে।
প্রতি-ভেন্ডর বিস্তারিততা
সমস্ত মার্কিন বিজ্ঞাপন-প্রযুক্তি ভেন্ডরকে একটি "মার্কেটিং" টগলে বান্ডেল করা আর রক্ষণযোগ্য নয়। TCF v2.3 ভেন্ডর তালিকা, যা বেশিরভাগ সার্টিফাইড CMPs সিঙ্ক করে, প্রতি-ভেন্ডর উদ্দেশ্য এবং আইনি ভিত্তি প্রদান করে। এটি ব্যবহার করুন। যখন একজন নিয়ন্ত্রক জিজ্ঞেস করেন "Y তারিখে ভেন্ডর X-এ কোন ভিত্তিতে ব্যক্তিগত ডেটা প্রবাহিত হয়েছিল," আপনি একটি TCF স্ট্রিং, একটি DPF সার্টিফিকেশন রেকর্ড, এবং একটি DPA-তে নির্দেশ করতে সক্ষম হওয়া উচিত।
ব্যানারে গোপনীয়তা নোটিশ মিরর করুন
আপনার গোপনীয়তা নোটিশে প্রাপকদের তালিকা সম্মতির পরে লোড করা ভেন্ডরদের তালিকার সাথে ঠিক মিলতে হবে। অমিলগুলো সবচেয়ে সহজ প্রয়োগ লক্ষ্য — স্প্যানিশ AEPD এবং ফ্রেঞ্চ CNIL উভয়ই ২০২৪ সালে সক্রিয় অংশীদারদের বাদ দেওয়া ভেন্ডর তালিকার জন্য প্রকাশকদের জরিমানা করেছে।
সম্মতির সময় ভেন্ডর স্ট্যাটাস লগ করুন
প্রতিটি সম্মতি ইভেন্টের জন্য সঞ্চয় করুন TCF GVL-এ কোন ভেন্ডররা ছিল, কোনগুলি DPF-সার্টিফাইড ছিল, এবং প্রতিটি কোন আইনি ভিত্তিতে নির্ভর করেছিল তার স্ন্যাপশট। এটি সেই অডিট ট্রেইল যা একটি চাপযুক্ত নিয়ন্ত্রক চিঠিকে একটি রুটিন প্রতিক্রিয়ায় পরিণত করে। FlexyConsent এবং অন্যান্য Google-সার্টিফাইড CMPs এই লগিং বাক্সের বাইরে অফার করে; অনেক পুরানো ব্যানার করে না।
ব্যবহারিক মাইগ্রেশন চেকলিস্ট
আপনি যদি একটি বিদ্যমান সাইটকে প্রাক-DPF বা আংশিক-DPF সেটআপ থেকে একটি পরিষ্কার ২০২৬ কনফিগারেশনে সরাচ্ছেন, তাহলে এই তালিকার মধ্য দিয়ে কাজ করুন:
- আপনার ট্যাগ ম্যানেজার, বিজ্ঞাপন স্ট্যাক, এবং সার্ভার-সাইড কন্টেইনারে প্রতিটি মার্কিন ভেন্ডর তালিকাভুক্ত করুন।
- সক্রিয় DPF তালিকার বিরুদ্ধে প্রতিটি ক্রস-রেফারেন্স করুন। DPF-কভার্ড, SCC-কভার্ড, বা পদক্ষেপ প্রয়োজন হিসাবে শ্রেণীবদ্ধ করুন।
- স্বয়ংক্রিয় ফলব্যাক হিসাবে ২০২১ SCCs অন্তর্ভুক্ত করতে DPA আপডেট করুন।
- DPF স্ট্যাটাস নির্বিশেষে উচ্চ-ঝুঁকির ভেন্ডরদের জন্য TIA চালান।
- নিশ্চিত করুন যে আপনার CMP একটি প্রতি-ভেন্ডর সম্মতি UI প্রদান করে এবং TCF v2.3 সমর্থন করে।
- যাচাই করুন Google Consent Mode v2 GA4, Ads, এবং যেকোনো সিগন্যাল-লস টুলে সংযুক্ত।
- ক্যালেন্ডারে সার্টিফিকেশন, GVL সদস্যপদ, এবং DPA সংস্করণ পুনরায় পরীক্ষা করতে একটি ত্রৈমাসিক পর্যালোচনা সেট করুন।
- DPF বাতিল হলে কী পরিবর্তন হয় তা একসাথে আইনি ও বিজ্ঞাপন অপ্স উভয়কে সংক্ষিপ্তভাবে জানান, যাতে প্রতিক্রিয়া পরিকল্পনা চাপে উদ্ভাবিত না হয়।
সাধারণ ভ্রান্ত ধারণাসমূহ
প্রকাশক অডিটে কিছু ত্রুটি পুনরাবৃত্তি হয় এবং স্পষ্ট সংশোধন প্রয়োজন।
"DPF-সার্টিফাইড মানে আমাদের সম্মতি প্রয়োজন নেই।" না। DPF একটি ট্রান্সফার মেকানিজম। সম্মতি একটি সংগ্রহের প্রয়োজনীয়তা। তারা বিভিন্ন আইনি স্তরে অবস্থান করে।
"আমাদের CDN মার্কিন-ভিত্তিক, তাই DPF এটি কভার করে।" শুধুমাত্র যদি CDN নিজেই প্রাসঙ্গিক ডেটা বিভাগের জন্য DPF-সার্টিফাইড হয়। অনেক পরিকাঠামো প্রদানকারী EU অঞ্চল অফার করে যা সম্পূর্ণভাবে প্রশ্নটি এড়িয়ে যায়।
"ভেন্ডর X বলে তারা DPF-প্রস্তুত।" মার্কেটিং ভাষা। আনুষ্ঠানিক তালিকা, সার্টিফাইড সত্তার নাম, এবং ডেটার বিভাগ পরীক্ষা করুন।
"DPF কুকি ব্যানার প্রতিস্থাপন করে।" না। ePrivacy Directive-এর পূর্ব-সম্মতি নিয়ম GDPR-এর ট্রান্সফার নিয়ম থেকে স্বাধীন। উভয়ই প্রযোজ্য।
মূল বিষয়
DPF ২০২৬ সালের ট্রান্সআটলান্টিক বিজ্ঞাপন-প্রযুক্তি ২০২১ সালের তুলনায় অপারেশনালভাবে সহজ করে তোলে, কিন্তু এটি প্রকাশকদের কুকি সম্মতি, ভেন্ডর যথাযথ পরিশ্রম, বা ট্রান্সফার ডকুমেন্টেশন থেকে মুক্তি দেয় না। DPF-কে কয়েকটির মধ্যে একটি বৈধ ট্রান্সফার মেকানিজম হিসাবে বিবেচনা করুন, SCCs-কে একটি চুক্তিগত ফলব্যাক হিসাবে রাখুন, একটি CMP চালান যা একটি বজায় রাখা ভেন্ডর ইনভেন্টরির বিরুদ্ধে প্রতি-ভেন্ডর সম্মতি লগ করে, এবং অনুমান করুন যে ফ্রেমওয়ার্কের আইনি স্থিতিশীলতা শর্তসাপেক্ষ। যে প্রকাশকরা এখন সেই স্থিতিস্থাপকতা তৈরি করে তাদের Schrems III রায় আগের দুটির মতো অবতরণ করলে রাতারাতি পুনর্নির্মাণ করতে হবে না। যারা DPF-কে একটি স্থায়ী উত্তর হিসাবে বিবেচনা করে তারা Privacy Shield বাতিলের পরে যে একই সংগ্রাম হয়েছিল তার জন্য নিজেদের প্রস্তুত করছে — শুধুমাত্র এবার নিয়ন্ত্রকরা কম ধৈর্যশীল এবং জরিমানা বড়।