UU PDP কী কভার করে এবং কার উপর প্রযোজ্য

UU PDP হল ইন্দোনেশিয়ার প্রথম ব্যাপক ব্যক্তিগত ডেটা সুরক্ষা আইন। এর আগে ইন্দোনেশিয়ায় ডেটা সুরক্ষার নিয়মকানুন বিভিন্ন সেক্টরাল বিধিমালায় ছড়িয়ে ছিল — ব্যাংকিং, টেলিকম, ই-কমার্স, ইলেক্ট্রনিক সিস্টেম। UU PDP এগুলিকে একটি একক অনুভূমিক শাসনব্যবস্থায় একত্রিত করে যা নিয়ন্ত্রক কোথায় প্রতিষ্ঠিত তা নির্বিশেষে ইন্দোনেশিয়ান ডেটা সাবজেক্টদের ব্যক্তিগত ডেটা পরিচালনাকারী যেকোনো নিয়ন্ত্রক বা প্রসেসরের উপর প্রযোজ্য।

এই বাহ্যিক আঞ্চলিক প্রভাব বিদেশী প্রকাশকদের জন্য সবচেয়ে গুরুত্বপূর্ণ তথ্য। একটি মার্কিন, ইইউ বা সিঙ্গাপুর-ভিত্তিক প্রকাশক যারা ইন্দোনেশিয়ায় শারীরিকভাবে অবস্থিত ব্যবহারকারীদের কাছে কন্টেন্ট পরিবেশন করেন তারা UU PDP-এর আওতায় পড়েন। উপস্থিতি পরীক্ষা কার্যকরী, আনুষ্ঠানিক নয়: যদি নিয়ন্ত্রক ইন্দোনেশিয়ান ব্যবহারকারীদের লক্ষ্য করে — Bahasa Indonesia কন্টেন্ট, ইন্দোনেশিয়ান পেমেন্ট অপশন বা ভৌগোলিকভাবে লক্ষ্যায়িত বিজ্ঞাপনের মাধ্যমে — UU PDP পুরোপুরি প্রযোজ্য।

Article 22 অনুযায়ী সম্মতির মান

UU PDP-এর Article 22 সম্মতি সংজ্ঞায়িত করে এবং ইন্দোনেশিয়ান ট্র্যাফিকের জন্য লক্ষ্যায়িত যেকোনো কুকি ব্যানারের মূল ভিত্তি। Article-টি সম্মতি হওয়ার দাবি করে:

• স্পষ্ট — নীরবতা, পূর্ব-টিক করা বাক্স এবং সাইট ব্যবহার অব্যাহত রাখা সম্মতি গঠন করে না। ব্যবহারকারীকে একটি ইতিবাচক পদক্ষেপ নিতে হবে।
• নির্দিষ্ট — সম্মতি একটি নির্ধারিত প্রক্রিয়াকরণ উদ্দেশ্যের সাথে সংযুক্ত হতে হবে। দশটি ভিন্ন উদ্দেশ্য কভার করে একটি একক Accept-All বোতাম অত্যন্ত দুর্বল।
• অবহিত — সম্মতি দেওয়ার আগে ডেটা সাবজেক্টকে নিয়ন্ত্রকের পরিচয়, ডেটা বিভাগ, উদ্দেশ্য, ধারণ সময়কাল, প্রাপক এবং তাদের অধিকার পেতে হবে।
• লিখিতভাবে নথিভুক্ত বা ইলেক্ট্রনিকভাবে রেকর্ড করা — Article 22(3) নিয়ন্ত্রককে সম্মতি প্রমাণ করতে সক্ষম হওয়ার দাবি করে। একটি হ্যাশড ব্যবহারকারী শনাক্তকারীর সাথে ম্যাপ করা টাইমস্ট্যাম্পযুক্ত সম্মতি লগ এই প্রয়োজনীয়তা পূরণ করে; ব্যবহারকারী Accept-এ ক্লিক করেছেন বলে অস্পষ্ট দাবি যথেষ্ট নয়।
• সমতুল্য শর্তে প্রত্যাহারযোগ্য — প্রত্যাহার মূল মঞ্জুরির মতোই সহজ হতে হবে। একটি প্রত্যাখ্যান পথ যেখানে তিনটি ক্লিক প্রয়োজন যখন গ্রহণ একটিতে সম্পন্ন হয় তা সম্মতসম্পন্ন নয়।

অনুশীলনকারীরা এই প্রয়োজনীয়তাগুলি চিনবেন: সেগুলি প্রায় এক-এক অনুপাতে GDPR-এর Article 7-এ ম্যাপ করে। পার্থক্য ধারণায় নয়, সুযোগ ও প্রয়োগে।

সম্মতির বাইরে আইনগত ভিত্তি

GDPR-এর মতো, UU PDP কিছু প্রক্রিয়াকরণের জন্য সম্মতি ছাড়া অন্য আইনগত ভিত্তি স্বীকার করে। Article 20 ছয়টি আইনগত ভিত্তি তালিকাভুক্ত করে: সম্মতি, চুক্তি পালন, আইনি বাধ্যবাধকতা, গুরুত্বপূর্ণ স্বার্থ, সার্বজনীন কাজ এবং বৈধ স্বার্থ। তবে বেশিরভাগ কুকি এবং ট্র্যাকিং কার্যক্রমের জন্য, শুধুমাত্র সম্মতিই বাস্তবসম্মতভাবে উপলব্ধ, কারণ ব্যবহারকারী যে পরিষেবা চেয়েছেন তা প্রদানের জন্য অপরিহার্য কুকিগুলির জন্য কঠোর-প্রয়োজনীয়তা ব্যতিক্রম সংকীর্ণ এবং বিজ্ঞাপন বা বিশ্লেষণে বিস্তৃত নয়।

কঠোর-প্রয়োজনীয়তা ব্যতিক্রম

সেশন কুকি, লগইন কুকি, ভাষা পছন্দ কুকি এবং শপিং কার্ট কুকিগুলি অত্যন্ত কম ঝুঁকিতে চুক্তি পালন বা বৈধ স্বার্থের অন্তর্ভুক্ত। এগুলির জন্য স্পষ্ট সম্মতি প্রয়োজন নেই, যদিও তাদের বিভাগগুলি এখনও গোপনীয়তা বিজ্ঞপ্তিতে প্রকাশ করতে হবে। অন্য সব কিছু — বিশ্লেষণ, বিজ্ঞাপন, রিটার্গেটিং, তৃতীয় পক্ষের পিক্সেল, ফিঙ্গারপ্রিন্টিং — Article 22 সম্মতির দাবি করে।

শিশুদের ডেটা

Article 25 ১৮ বছরের কম বয়সী ডেটা সাবজেক্টদের যেকোনো প্রক্রিয়াকরণের জন্য পিতামাতার সম্মতির দাবি করে। এটি ডিজিটাল সম্মতির ডিফল্ট বয়সের জন্য GDPR-এর ১৬ (যা সদস্য রাষ্ট্রগুলি ১৩-এ নামাতে পারে)-এর চেয়ে কঠোর। Bahasa Indonesia-তে শিশু-কেন্দ্রিক কন্টেন্ট চালানো একজন প্রকাশকের থ্রেশহোল্ডকে ১৮ হিসাবে বিবেচনা করা উচিত এবং স্ব-ঘোষণা চেকবক্সের পরিবর্তে পিতামাতার যাচাইকরণ প্রবাহ কনফিগার করা উচিত।

সীমান্ত-পারাপার ডেটা স্থানান্তর

Article 56 ইন্দোনেশিয়ার বাইরে ব্যক্তিগত ডেটা স্থানান্তর পরিচালনা করে। একটি নিয়ন্ত্রক তিনটি শর্তের মধ্যে অন্তত একটি পূরণ হলেই অন্য দেশে ডেটা স্থানান্তর করতে পারে: গন্তব্য দেশের UU PDP-এর সাথে তুলনীয় পর্যাপ্ত ব্যক্তিগত ডেটা সুরক্ষার স্তর, যথাযথ সুরক্ষামূলক ব্যবস্থা বা ডেটা সাবজেক্ট স্থানান্তরে স্পষ্ট সম্মতি দিয়েছেন।

ইন্দোনেশিয়ার যোগাযোগ ও তথ্যবিজ্ঞান মন্ত্রণালয় (Kominfo) এখনো পর্যাপ্ততার তালিকা প্রকাশ করেনি। বাস্তবে, GDPR এখতিয়ার, মার্কিন যুক্তরাষ্ট্র, সিঙ্গাপুর বা অস্ট্রেলিয়ায় ডেটা স্থানান্তরকারী প্রকাশকরা যথাযথ সুরক্ষামূলক ব্যবস্থার উপর নির্ভর করেন — সাধারণত UU PDP-এর সাথে অভিযোজিত প্রামাণিক চুক্তির ধারা, একটি বাধ্যকারী ধারা সহ যা ডাউনস্ট্রিম সাব-প্রসেসরদের UU PDP অধিকার মেনে চলতে বাধ্য করে। একাধিক অঞ্চল থেকে পরিচালিত বিজ্ঞাপন-প্রযুক্তি বিক্রেতাদের জন্য, আপনার ডেটা প্রক্রিয়াকরণ চুক্তিতে অবশ্যই উল্লেখ করতে হবে কোন অঞ্চলগুলি ইন্দোনেশিয়ান ব্যবহারকারীর ডেটা পরিচালনা করে এবং প্রতিটি হপে কী সুরক্ষামূলক ব্যবস্থা প্রযোজ্য।

ডেটা সাবজেক্টের অধিকার এবং ৭২ ঘণ্টার উইন্ডো

UU PDP ইন্দোনেশিয়ান ডেটা সাবজেক্টদের GDPR-এর মতো অধিকার দেয়: অ্যাক্সেস, সংশোধন, মুছে ফেলা, প্রক্রিয়াকরণে আপত্তি, ডেটা বহনযোগ্যতা এবং স্বয়ংক্রিয় সিদ্ধান্তকে চ্যালেঞ্জ করার অধিকার। দুটি বিশেষত্ব প্রকাশকদের জন্য গুরুত্বপূর্ণ।

প্রথমত, Article 30 নিয়ন্ত্রককে একটি যুক্তিসংগত সময়ের মধ্যে অধিকার অনুরোধে সাড়া দিতে বলে, যা বাস্তবায়ন বিধিমালা স্বীকৃতির জন্য তিন কার্যদিবস এবং সারবস্তু প্রতিক্রিয়ার জন্য সর্বোচ্চ চৌদ্দ কার্যদিবস হিসাবে নির্ধারণ করেছে। এটি GDPR-এর এক মাসের ডিফল্টের চেয়ে দ্রুত।

দ্বিতীয়ত, Article 46 ব্যক্তিগত ডেটা লঙ্ঘনের 3 x 24 hours — অর্থাৎ ৭২ ঘণ্টার মধ্যে — প্রভাবিত ডেটা সাবজেক্ট এবং ব্যক্তিগত ডেটা সুরক্ষা কর্তৃপক্ষকে বিজ্ঞপ্তি দেওয়ার দাবি করে। ঘড়ি শুরু হয় যখন নিয়ন্ত্রক লঙ্ঘন নিশ্চিত করে, কখন তা সনাক্ত করা যেত তা থেকে নয়।

জরিমানা এবং সাম্প্রতিক প্রয়োগ

UU PDP-এর জরিমানা ব্যবস্থায় অনেক প্রকাশক প্রাথমিকভাবে যা অনুমান করেছিলেন তার চেয়ে বেশি দাঁত আছে। Article 57 বার্ষিক রাজস্বের ২% পর্যন্ত প্রশাসনিক নিষেধাজ্ঞার ব্যবস্থা করে। Article 67 to 73 সবচেয়ে গুরুতর লঙ্ঘনের জন্য ছয় বছর পর্যন্ত কারাদণ্ড এবং ৬ বিলিয়ন rupiah পর্যন্ত জরিমানাসহ ফৌজদারি নিষেধাজ্ঞার ব্যবস্থা করে, যার মধ্যে রয়েছে ব্যক্তিগত ডেটার অবৈধ সংগ্রহ এবং অবৈধ প্রকাশ।

২০২৫ সালের মধ্যে প্রয়োগ ছিল নরম-প্রবর্তন পর্যায়ে, Kominfo জরিমানার পরিবর্তে সতর্কতা পত্র এবং সংশোধনমূলক আদেশ জারি করছিল। সেই পর্যায় ২০২৬ সালের শুরুতে শেষ হয়েছে। UU PDP-এর অধীনে প্রথম প্রধান প্রশাসনিক জরিমানা — ২০২৬ সালের মার্চে অপর্যাপ্ত লঙ্ঘন বিজ্ঞপ্তি এবং অপ্রাপ্তবয়স্ক-লক্ষ্যিত পণ্যলাইনে পিতামাতার সম্মতি না থাকার জন্য একটি দেশীয় ই-কমার্স অপারেটরকে জারি করা — স্পষ্ট নির্দেশক হিসাবে প্রতিষ্ঠিত করে যে প্রয়োগ এখন সক্রিয়।

একটি সম্মতসম্পন্ন প্রকাশক ব্যানার কেমন দেখায়

২০২৬ সালে ইন্দোনেশিয়ান ট্র্যাফিক পরিবেশনকারী একজন প্রকাশকের জন্য, ব্যবহারিক কনফিগারেশন হল:

ব্যানারটি Bahasa Indonesia-তে স্থানীয়করণ করুন

Article 22-এর অবহিত-সম্মতি প্রয়োজনীয়তা Bahasa-ভাষার ব্যবহারকারীকে দেখানো ইংরেজি-ভাষার ব্যানার দ্বারা পূরণ হয় না। CMP-কে অবশ্যই ভৌগোলিক অবস্থান, IP বা Accept-Language হেডার দ্বারা ইন্দোনেশিয়ান ব্যবহারকারীদের সনাক্ত করতে হবে এবং Bahasa Indonesia-তে ব্যানার, গোপনীয়তা বিজ্ঞপ্তি এবং বিস্তারিত নিয়ন্ত্রণ পরিবেশন করতে হবে।

সম্মতিকে শুধুমাত্র অপ্ট-ইন হিসাবে বিবেচনা করুন

ব্যবহারকারী স্পষ্টভাবে গ্রহণ না করা পর্যন্ত কোনো ট্র্যাকিং, বিজ্ঞাপন বা বিশ্লেষণ স্ক্রিপ্ট সক্রিয় হতে পারবে না। পূর্ব-টিক করা বিভাগ, চলমান ব্রাউজিং থেকে বোঝানো সম্মতি এবং "by using this site you agree" বিজ্ঞপ্তি সবই অসম্মত।

নথিভুক্ত সম্মতি লগ বজায় রাখুন

Article 22(3) স্পষ্ট: নিয়ন্ত্রককে অবশ্যই প্রমাণ তৈরি করতে সক্ষম হতে হবে। একটি সম্মতি লগ যা একটি ব্যবহারকারী শনাক্তকারীকে একটি টাইমস্ট্যাম্প, দেখানো ব্যানারের সংস্করণ এবং করা পছন্দগুলির সাথে ম্যাপ করে, সেটি হল যে নথিটি Kominfo যেকোনো অডিট বা অভিযোগ তদন্তে অনুরোধ করবে।

প্রত্যাহারকে সত্যিই সমতুল্য করুন

একটি স্থায়ী ভাসমান সম্মতি আইকন, গোপনীয়তা পছন্দ পৃষ্ঠায় এক-ক্লিক প্রত্যাখ্যান বা ডেটা-সংগ্রহকারী ইমেইলে স্পষ্ট আনসাবস্ক্রাইব — প্রতিটিই একটি যুক্তিসংগত বাস্তবায়ন। ৪০০০-শব্দের গোপনীয়তা নীতিতে কবর দেওয়া লিঙ্ক নয়।

সব একত্রিত করা

UU PDP GDPR-এর ক্লোন নয়, তবে পরিণত ইউরোপীয় সম্মতি প্রোগ্রামসহ প্রকাশকদের লক্ষ্যমাত্রা সমন্বয় সহ তাদের বিদ্যমান সম্মতি অবকাঠামো ইন্দোনেশিয়ায় প্রসারিত করার জন্য যথেষ্ট কাছাকাছি: Bahasa স্থানীয়করণ, পিতামাতার সম্মতির জন্য ১৮-বছর বয়সের থ্রেশহোল্ড, ৭২-ঘণ্টার লঙ্ঘন বিজ্ঞপ্তি এবং স্পষ্টভাবে UU PDP কভার করে এমন প্রামাণিক চুক্তির ধারা। সেই অবকাঠামো ছাড়া প্রকাশকদের UU PDP-কে এটি তৈরির ট্রিগার হিসাবে বিবেচনা করা উচিত। ইন্দোনেশিয়ান প্রয়োগ এখন সক্রিয়, এবং Kominfo তদন্ত শুরু হওয়ার পরে প্রতিকারের খরচ সর্বদা লঞ্চের আগে ব্যানারটি সঠিকভাবে স্থাপন করার খরচের চেয়ে বেশি।