UK GDPR ও কুকি সম্মতি: ব্রেক্সিটের পর ICO-এর প্রয়োজনীয়তা
ব্রেক্সিট-পরবর্তী যুক্তরাজ্যের গোপনীয়তা পরিস্থিতি
যখন যুক্তরাজ্য ইউরোপীয় ইউনিয়ন থেকে বেরিয়ে আসে, তখন তারা ডেটা সুরক্ষা ফেলে যায়নি। যুক্তরাজ্য EU GDPR-কে দেশীয় আইনে অন্তর্ভুক্ত করে UK GDPR হিসেবে, যা Data Protection Act 2018-এর পাশাপাশি কার্যকর। কুকির ক্ষেত্রে বিশেষভাবে, Privacy and Electronic Communications Regulations (PECR) — যা যুক্তরাজ্যে ePrivacy Directive-এর বাস্তবায়ন — কার্যকর রয়েছে। এর ফলে এমন একটি গোপনীয়তা কাঠামো তৈরি হয়েছে যা ইইউর কাঠামোর সঙ্গে ঘনিষ্ঠভাবে মিল রাখে, কিন্তু যুক্তরাজ্যের Information Commissioner's Office (ICO) স্বাধীনভাবে তা প্রয়োগ করে।
ওয়েবসাইট পরিচালকদের জন্য এর অর্থ হলো, যুক্তরাজ্যের দর্শকদের সেবা দিতে গেলে আলাদা কিছু নিয়ম, নির্দেশিকা এবং প্রয়োগের ধরণে মনোযোগ দিতে হবে। যদিও মূল বিষয়বস্তু EU GDPR-এর মতোই, সূক্ষ্ম পার্থক্যগুলো গুরুত্বপূর্ণ।
UK GDPR বনাম EU GDPR: মূল পার্থক্যগুলো
মূল নীতি ও প্রয়োজনীয়তার দিক থেকে UK GDPR মূলত EU GDPR-এর সঙ্গে অভিন্ন। তবে ব্রেক্সিটের পর থেকে কয়েকটি পার্থক্য দেখা দিয়েছে:
- তদারকি কর্তৃপক্ষ: UK GDPR-এর একমাত্র তদারকি কর্তৃপক্ষ হলো ICO, যা EU ডেটা সুরক্ষা কর্তৃপক্ষগুলোর ভূমিকা প্রতিস্থাপন করেছে। শুধুমাত্র যুক্তরাজ্যের বাসিন্দাদের প্রভাবিত করে এমন একই ডেটা প্রক্রিয়াকরণ কার্যকলাপের জন্য আপনাকে একসঙ্গে ICO এবং কোনো EU DPA উভয়ের দ্বারাই জরিমানা করা যাবে না।
- ডেটা পর্যাপ্ততা: ইইউ ২০২১ সালের জুনে যুক্তরাজ্যকে একটি adequacy decision প্রদান করেছে, যা ইইউ থেকে যুক্তরাজ্যে ব্যক্তিগত ডেটা অবাধে প্রবাহিত হতে দেয়। এই সিদ্ধান্ত নিয়মিত পর্যালোচনার অধীন। যুক্তরাজ্যও পাল্টা হিসেবে EEA-কে পর্যাপ্ত (adequate) হিসেবে স্বীকৃতি দিয়েছে।
- আন্তর্জাতিক স্থানান্তর: আন্তর্জাতিক ডেটা স্থানান্তরের জন্য যুক্তরাজ্যের নিজস্ব কাঠামো রয়েছে, যেখানে European Commission-এর পরিবর্তে Secretary of State adequacy decision নেন। আন্তর্জাতিক স্থানান্তরে যুক্তরাজ্য তুলনামূলকভাবে বেশি নমনীয় পন্থার ইঙ্গিত দিয়েছে, যদিও মূল সুরক্ষাগুলো অপরিবর্তিত রয়েছে।
- প্রয়োগের ধরন: ICO ঐতিহাসিকভাবে আক্রমণাত্মক জরিমানার চেয়ে সংলাপ ও নির্দেশিকাকে অগ্রাধিকার দিয়েছে। UK GDPR-এর অধীনে সর্ব��চ্চ জরিমানার সীমা ইইউর মতোই: সর্বোচ্চ GBP 17.5 মিলিয়ন বা বৈশ্বিক বার্ষিক টার্নওভারের ৪ শতাংশ, যেটি বেশি।
- সম্ভাব্য বিচ্যুতি: যুক্তরাজ্য সরকার Data Protection and Digital Information Bill-এর মাধ্যমে সংস্কারের কথা বিবেচনা করেছে, যা legitimate interest মূল্যায়ন, গবেষণা-সংক্রান্ত ছাড় এবং Data Protection Officer-এর ভূমিকার ক্ষেত্রে পরিবর্তন আনতে পারে। ভবিষ্যৎ পরিবর্তনের জন্য ওয়েবসাইট পরিচালকদের এই আইন প্রণয়ন প্রক্রিয়ার দিকে নজর রাখা উচিত।
PECR: যুক্তরাজ্যের কুকি আইন
UK GDPR যেখানে ব্যক্তিগত ডেটা প্রক্রিয়াকরণের সাধারণ কাঠামো দেয়, সেখানে PECR কুকি ও অনু���ূপ প্রযুক্তিগুলোকে বিশেষভাবে নিয়ন্ত্রণ করে। PECR, GDPR-এর আগের আইন এবং যুক্তরাজ্যে EU ePrivacy Directive বাস্তবায়ন করে। কুকি সংক্রান্ত এর মূল প্রয়োজনীয়তাগুলো হলো:
- সম্মতি প্রয়োজন ব্যবহারকারীর ডিভাইসে কোনো non-essential কুকি সেট করার আগে। এর মধ্যে analytics কুকি, বিজ্ঞাপন কুকি এবং সোশ্যাল মিডিয়া কুকি অন্তর্ভুক্ত।
- তথ্য প্রদান করতে হবে কোন কুকি সেট করা হচ্ছে এবং সেগুলো কী উদ্দেশ্যে ব্যবহার করা হচ্ছে, তা পরিষ্কার ও সহজ ভাষায় জানাতে হবে।
- সম্মতি হতে হবে স্বেচ্ছায় দেওয়া, নির্দিষ্ট এবং অবহিত। আগে থেকে টিক দেওয়া ���ক্স (pre-ticked boxes) বৈধ সম্মতি হিসেবে গণ্য হয় না।
- কঠোরভাবে প্রয়োজনীয় কুকি অব্যাহতি পায়। ব্যবহারকারী যে সেবা স্পষ্টভাবে চেয়েছে তা প্রদানের জন্য অপরিহার্য কুকি (যেমন লগইন সেশনের কুকি বা শপিং কার্টের কুকি) এর জন্য সম্মতি প্রয়োজন হয় না।
PECR-এর সম্মতির মানদণ্ড GDPR-এর consent সংজ্ঞার সঙ্গে সামঞ্জস্যপূর্ণ, অর্থাৎ বাস্তবে এর প্রয়োজনীয়তাগুলো EU ePrivacy Directive-এর অধীনের প্রয়োজনীয়তার সঙ্গে খুবই মিল। একটি কুকি ব্যানার যদি ইইউর নিয়মের সঙ্গে সঙ্গতিপূর্ণ হয়, সাধারণত তা PECR-এর সঙ্গেও সঙ্গতিপূর্ণ হবে।
কুকি ব্যানার নিয়ে ICO-���র নির্দেশিকা
ICO কুকি কমপ্লায়েন্স নিয়ে বিস্তারিত নির্দেশিকা প্রকাশ করেছে, যা শুধুমাত্র PECR-এর টেক্সটের বাইরেও যায়। ICO-এর নির্দেশিকা থেকে মূল পয়েন্টগুলো হলো:
সম্মতি হতে হবে স্পষ্ট ও ইতিবাচক
শুধু ওয়েবসাইট ব্রাউজিং চালিয়ে যাওয়া সম্মতি হিসেবে গণ্য হয় না। ICO স্পষ্টভাবে জানিয়েছে যে implied consent বৈধ নয়। non-essential কুকি সেট করার আগে ব্যবহারকারীকে একটি পরিষ্কার, ইতিবাচক পদক্ষেপ (যেমন "Accept" বোতামে ক্লিক করা) নিতে হবে।
প্রত্যাখ্যান করাও সমান সহজ হতে হবে
কুকি ব্যানারে dark patterns নিয়ে ICO ক্রমশ বেশি সরব হচ্ছে। বিশেষভাবে:
- "Accept All"-এর সমতুল্য একটি "Reject All" বা অনুরূপ অপশন একই স্তরে থ���কতে হবে। "Manage Preferences" স্ক্রিনের ভেতরে লুকিয়ে reject অপশন রাখা গ্রহণযোগ্য নয়।
- ভিজ্যুয়াল ডিজাইনে রং, আকার বা অবস্থান ব্যবহার করে ব্যবহারকারীকে সম্মতির দিকে প্রলুব্ধ করা যাবে না।
- ভাষা হতে হবে নিরপেক্ষ এবং এমনভাবে লেখা যাবে না যাতে ব্যবহারকারীকে অপরাধবোধে বা চাপে ফেলে সম্মতি আদায় করা হয়।
বিভাগভিত্তিক সূক্ষ্ম নিয়ন্ত্রণ
ব্যবহারকারীরা যেন নির্দিষ্ট কুকি বিভাগের (analytics, marketing, functional) জন্য আলাদাভাবে সম্মতি দিতে পারে, এমন সুযোগ থাকা উচিত; তাদেরকে যেন সব-বা-কিছু-না ধরনের পছন্দে বাধ্য না করা হয়। ICO নির্দিষ্ট সংখ্যক বিভাগের বাধ্যবাধকতা দেয়নি, তবে সূক্ষ্ম নিয়ন্ত্রণ প্রদান করা ভালো চর্চা হিসেবে গণ্য হয় এবং GDPR-এর purpose limitation নীতির অধীনে প্রয়োজনীয়ও হতে পারে।
কুকি ওয়াল সমস্যাজনক
কুকি ওয়াল — যেখানে ব্যবহারকারী সব কুকি গ্রহণ না করলে ওয়েবসাইটে প্রবেশাধিকার দেওয়া হয় না — ICO-এর দৃষ্টিতে সাধারণত বৈধ সম্মতি হিসেবে গণ্য হওয়ার সম্ভাবনা কম, কারণ এখানে সম্মতি স্বেচ্ছায় দেওয়া হয় না। অর্থের বিনিময়ে প্রদত্ত কনটেন্টের ক্ষেত্রে, যেখানে সত্যিকারের কুকি-মুক্ত বিকল্প দেওয়া হয়, সেখানে ব্যতিক্রম থাকতে পারে।
সাম্প্রতিক ICO প্রয়োগমূলক পদক্ষেপ
সাম্প্রতিক বছরগুলোতে ICO ধীরে ধীরে কুকি কমপ্লায়েন্সের ওপর ফোকাস বাড়িয়েছে। উল্লেখযোগ্য পদক্ষেপগুলোর মধ্যে রয়েছে:
- সেক্টর-ব্যাপী অডিট: ICO বিভিন্ন সেক্টরের শীর্ষ ১০০টি যুক্তরাজ্যভিত্তিক ওয়েবসাইটের অডিট করেছে এবং ব্যাপক অসঙ্গতির দিকগুলো তুলে ধরে প্রতিবেদন প্রকাশ করেছে। সাধারণ সমস্যার মধ্যে ছিল সম্মতির আগে কুকি সেট করা, reject অপশনের অনুপস্থিতি, এবং কুকির উদ্দেশ্য সম্পর্কে অপর্যাপ্ত তথ্য।
- সতর্কতামূলক চিঠি: অডিটের পর, যেসব প্রতিষ্ঠানের কুকি চর্চা মানদণ্ডে পৌঁছায়নি, ত���দেরকে ICO সতর্কতামূলক চিঠি পাঠিয়েছে। অধিকাংশ প্রতিষ্ঠান এই চিঠি পাওয়ার পর তাদের চর্চা সংশোধন করেছে।
- Adtech তদন্ত: ICO real-time bidding ইকোসিস্টেম নিয়ে চলমান তদন্ত পরিচালনা করেছে, যেখানে প্রোগ্রাম্যাটিক বিজ্ঞাপন কুকির মাধ্যমে পর্যাপ্ত সম্মতি ছাড়াই বিপুল পরিমাণ ব্যক্তিগত ডেটা শেয়ার হওয়া নিয়ে উদ্বেগ প্রকাশ করা হয়েছে।
- পাবলিক সেক্টরে প্রয়োগ: সরকারী ওয়েবসাইটগুলোকেও ICO ছাড় দেয়নি; তারা পাবলিক সেক্টর সংস্থাগুলোর কুকি চর্চা নিয়ে নির্দেশিকা ও সতর্কতা জারি করেছে।
যদিও ICO এখনো কেবল কুকি লঙ্ঘনের জন্য ���ল্লেখযোগ্য আর্থিক জরিমানা আরোপ করেনি, প্রবণতা স্পষ্টভাবে আরও কঠোর প্রয়োগের দিকে। নিয়ন্ত্রক সংস্থা জানিয়েছে যে তারা এখনই প্রতিষ্ঠানগুলোর কাছ থেকে কমপ্লায়েন্স আশা করে এবং যারা উন্নতি করবে না, তাদের বিরুদ্ধে প্রয়োগমূলক ব্যবস্থা নেওয়া হবে।
আন্তর্জাতিক ডেটা স্থানান্তর: যুক্তরাজ্য থেকে ইইউ এবং তার বাইরে
কুকি সম্মতি আন্তর্জাতিক ডেটা স্থানান্তরের সঙ্গে গুরুত্বপূর্ণভাবে জড়িত। যখন analytics বা বিজ্ঞাপন কুকি যুক্তরাজ্যের বাইরে অবস্থিত সার্ভারে ডেটা পাঠায় — যেমন Google Analytics গুগলের সার্ভারে ডেটা পাঠায়, এবং Facebook Pixel Meta-র সার্ভারে ডেটা পাঠায় — তখন UK GDPR-এর অধীনে এগুলো আন্তর্জাতিক ডেটা স্থানান্তর হিসেবে গণ্য হয়।
বর্তমান ব্যবস্থা:
- যুক্তরাজ্য থেকে EEA: যুক্তরাজ্যের EEA adequacy স্বীকৃতির অধীনে ডেটা অবাধে প্রবাহিত হয়।
- যুক্তরাজ্য থেকে যুক্তরাষ্ট্র: EU-US Data Privacy Framework-এর UK Extension সার্টিফাইড মার্কিন সংস্থাগুলোর কাছে ডেটা স্থানান্তরের একটি ব্যবস্থা দেয়। Google এবং Meta এই ফ্রেমওয়ার্কের অধীনে সার্টিফাইড।
- যুক্তরাজ্য থেকে অন্যান্য দেশ: Standard Contractual Clauses (যুক্তরাজ্য সংস্করণ) বা binding corporate rules-এর মতো উপযুক্ত সুরক্ষা ব্যবস্থা প্রয়োজন।
বাস্তবিক অর্থে, আপনি যদি Google Analytics, Google Ads বা অন্যান্য বড় বিজ্ঞাপন প্ল্যাটফর্ম ব্যবহার করেন, তাহলে আন্তর্জাতিক স্থানান্তরের প্রয়োজনীয় মেকানিজম সাধারণত আগে থেকেই স্থাপিত থাকে। তবে আপনাকে আপনার প্রাইভেসি পলিসিতে এসব স্থানান্তর নথিভুক্ত করতে হবে এবং আপনার কুকি ব্যানারে উল্লেখ করতে হবে যে ডেটা আন্তর্জাতিকভাবে স্থানান্তরিত হতে পারে।
UK-নির্দিষ্ট কমপ্লায়েন্সের জন্য FlexyConsent Geo-Targeting
FlexyConsent যুক্তরাজ্যের দর্শকদের জন্য নিবেদিত geo-targeting প্রদান করে, যা যুক্তরাজ্যের নির্দিষ্ট নিয়ন্ত্রক কাঠামোর সঙ্গে সঙ্গতিপূর্ণতা নিশ্চি�� করে:
- PECR-সঙ্গতিপূর্ণ ব্যানার: যুক্তরাজ্যের দর্শকরা এমন একটি সম্মতি ব্যানার দেখে যা ICO-এর প্রয়োজনীয়তা পূরণ করে, যার মধ্যে সমানভাবে দৃশ্যমান reject অপশন এবং বিভাগভিত্তিক সূক্ষ্ম নিয়ন্ত্রণ রয়েছে। স্পষ্ট সম্মতি পাওয়ার আগে কোনো কুকি সেট করা হয় না।
- ইইউ কনফিগারেশন থেকে আলাদা: প্রয়োজনীয়তাগুলো মিল থাকলেও, FlexyConsent যুক্তরাজ্য ও ইইউর সম্মতি অভিজ্ঞতা আলাদাভাবে কনফিগার করার সুযোগ রাখে। এতে UK-EU নিয়ন্ত্রক বিচ্যুতি ঘটলেও আপনার বাস্তবায়ন ভবিষ্যত-নিরাপদ থাকে।
- ICO-সমন্বিত ডিজাইন: FlexyConsent-এর ডিফল্ট ব্যা��ার টেমপ্লেটগুলো dark patterns এড়াতে ICO নির্দেশিকা অনুসরণ করে। Accept এবং reject অপশন ভিজ্যুয়ালি সমান, ভাষা নিরপেক্ষ, এবং ডিজাইন ব্যবহারকারীর পছন্দকে প্রভাবিত করে না।
- Consent Mode V2 ইন্টিগ্রেশন: একটি Google-certified CMP হিসেবে FlexyConsent যুক্তরাজ্যের দর্শকদের জন্য Google সেবাগুলোর কাছে সঠিক consent সিগন্যাল পাঠায়। এতে conversion modelling এবং Smart Bidding UK consent প্রয়োজনীয়তা মেনে চলার পাশাপাশি সঠিকভাবে কাজ করতে পারে।
- IAB TCF 2.3 সাপোর্ট: প্রোগ্রাম্যাটিক বিজ্ঞাপন ব্যবহারকারী প্রকাশকদের জন্য FlexyConsent যুক্তরাজ্য-উপযোগী TCF consent string তৈরি করে, যা যুক্তরাজ্য বাজারে কার্যরত demand-side এবং supply-side প্ল্যাটফর্মগুলো স্বীকৃতি দেয়।
FlexyConsent-এর প্ল্যান EUR 0 per month থেকে শুরু, এবং এতে WordPress, Shopify ও PrestaShop-এর জন্য নেটিভ ইন্টিগ্রেশন রয়েছে। বিশেষ করে যুক্তরাজ্যভিত্তিক ব্যবসার জন্য, একটি সার্টিফাইড CMP বাস্তবায়ন করা ICO-এর কাছে সক্রিয় কমপ্লায়েন্স প্রদর্শন করে — যা প্রয়োগমূলক ব্যবস্থা নেওয়ার সময় নিয়ন্ত্রক সংস্থা বিবেচনায় নেয় বলে ইঙ্গিত দিয়েছে।
মূল বার্তা: ব্রেক্সিট-পরবর্তী যুক্তরাজ্যের গোপনীয়তা কাঠামো ইইউর কাঠামোর সঙ্গে ঘনিষ্ঠভাবে মিল রাখলেও এটি নিজস্ব নিয়ন্ত্রক, নিজস্ব প্রয়োগের ধরণ এবং ভবিষ্যতে নিজস্ব আইনগত দিকনির্দেশনার অধীনে পরিচালিত হয়। আপাতত যুক্তরাজ্যের দর্শকদের ইইউ দর্শকদের মতো একই নিয়মের অধীন ধরে নেওয়া নিরাপদ, তবে যুক্তরাজ্য-নির্দিষ্ট সম্মতি অভিজ্ঞতা কনফিগার করার সক্ষমতা বজায় রাখা আপনার সাইটকে ভবিষ্যতে সম্ভাব্য বিচ্যুতির সঙ্গে মানিয়ে নেওয়ার অবস্থানে রাখে। এই জটিলতা ব্যবস্থাপনার সবচেয়ে বাস্তবসম্মত উপায় হলো একটি geo-aware CMP ব্যবহার করা।