GDPR (General Data Protection Regulation) এবং অন্যান্য নিরাপত্তা নিয়ন্ত্রণগুলি হলো এমন নিয়মাবলী যা ব্যক্তিগত তথ্যের নিরাপত্তা নিশ্চিত করার জন্য প্রতিষ্ঠিত হয়েছে। এই নিয়মাবলী প্রতিষ্ঠানের জন্য বাধ্যতামূলক, বিশেষ করে তাদের জন্য যারা ইউরোপীয় ইউনিয়নের (EU) নাগরিকদের তথ্য সংগ্রহ ও প্রক্রিয়া করে। নিম্নে GDPR এবং অন্যান্য গুরুত্বপূর্ণ নিরাপত্তা নিয়ন্ত্রণগুলোর বিস্তারিত আলোচনা করা হলো।
১. GDPR (General Data Protection Regulation)
GDPR হলো ইউরোপীয় ইউনিয়নের (EU) তথ্য সুরক্ষা এবং গোপনীয়তা আইন যা ২০১৮ সালের মে মাসে কার্যকর হয়। এর মূল উদ্দেশ্য হলো ব্যক্তিগত ডাটার সুরক্ষা নিশ্চিত করা এবং EU নাগরিকদের ডাটা প্রাইভেসি অধিকার রক্ষা করা।
GDPR এর প্রধান উদ্দেশ্য:
- ব্যক্তিগত তথ্যের সুরক্ষা: GDPR ব্যক্তিগত ডাটার অপব্যবহার, চুরি এবং অননুমোদিত অ্যাক্সেস থেকে রক্ষা করতে সাহায্য করে।
- ডাটা সুরক্ষা অধিকার প্রদান: এটি ইউরোপীয় নাগরিকদের ডাটা সুরক্ষার অধিকার প্রদান করে, যেমন ডাটা অ্যাক্সেস, সংশোধন, মুছতে বলা (right to be forgotten) ইত্যাদি।
- ট্রান্সপারেন্সি এবং কন্ট্রোল: ইউজারদের ডাটা প্রসেসিং এবং সংগ্রহ সম্পর্কে পরিষ্কার তথ্য প্রদান করতে বাধ্য করা হয়।
GDPR এর মূল বৈশিষ্ট্য:
- ডাটা সাবজেক্টের অধিকার:
- Right to Access: ইউজারদের তাদের ব্যক্তিগত তথ্য দেখতে এবং সেই তথ্য সংক্রান্ত পরিষ্কার ব্যাখ্যা চাওয়ার অধিকার।
- Right to Rectification: ভুল বা অসম্পূর্ণ তথ্য সংশোধন করার অধিকার।
- Right to Erasure (Right to be Forgotten): একটি ইউজারের তথ্য মুছে ফেলার অধিকার, যদি এটি আর প্রয়োজন না হয়।
- Right to Data Portability: ইউজারদের তাদের ডাটা এক সিস্টেম থেকে অন্য সিস্টেমে স্থানান্তর করার অধিকার।
- Data Processing Principles:
- Lawfulness, Fairness, and Transparency: ডাটা প্রসেসিং অবশ্যই আইনীভাবে, ন্যায়সঙ্গত এবং স্পষ্টভাবে হওয়া উচিত।
- Purpose Limitation: ডাটা শুধুমাত্র নির্দিষ্ট উদ্দেশ্যে সংগ্রহ এবং প্রক্রিয়া করা যেতে পারে।
- Data Minimization: শুধু প্রয়োজনীয় তথ্যই সংগ্রহ করতে হবে।
- Accuracy: ডাটা সঠিক এবং আপডেট থাকতে হবে।
- Data Breach Notification:
- যদি কোনো ডাটা লঙ্ঘন ঘটে, তবে ডাটা প্রসেসর বা কন্ট্রোলারকে ৭২ ঘণ্টার মধ্যে সংশ্লিষ্ট কর্তৃপক্ষ এবং প্রভাবিত ইউজারদের জানাতে হবে।
- Data Protection by Design and by Default:
- কোম্পানীগুলোকে শুরু থেকেই তাদের সিস্টেম এবং পরিষেবাগুলোর মধ্যে ডাটা সুরক্ষা অন্তর্ভুক্ত করতে হবে।
- Data Processing Agreement (DPA):
- ডাটা কন্ট্রোলার এবং ডাটা প্রসেসরের মধ্যে একটি চুক্তি থাকতে হবে, যা ডাটার প্রক্রিয়াকরণের শর্তাবলী নির্ধারণ করবে।
২. অন্যান্য নিরাপত্তা নিয়ন্ত্রণ
GDPR ছাড়াও বিভিন্ন নিরাপত্তা নিয়ন্ত্রণ রয়েছে যা বিশ্বের বিভিন্ন অঞ্চলে ব্যবহৃত হয়। এখানে কিছু গুরুত্বপূর্ণ নিরাপত্তা নিয়ন্ত্রণের বিস্তারিত আলোচনা করা হলো:
ক. CCPA (California Consumer Privacy Act)
CCPA হলো California রাজ্যের একটি গোপনীয়তা আইন যা ২০২০ সালে কার্যকর হয়। এটি ইউএস এর ভোক্তাদের ডাটা প্রাইভেসি অধিকার রক্ষা করে, বিশেষ করে ক্যালিফোর্নিয়ার বাসিন্দাদের জন্য।
- উদ্দেশ্য: ক্যালিফোর্নিয়া রাজ্যের বাসিন্দাদের তাদের ব্যক্তিগত তথ্যের উপর আরও নিয়ন্ত্রণ এবং অ্যাক্সেস প্রদান করা।
- প্রধান অধিকার:
- Right to Know: তথ্য সংগ্রহ করার সময়, ব্যক্তিদের জানানো হবে তাদের তথ্য কীভাবে ব্যবহার হচ্ছে।
- Right to Delete: ক্যালিফোর্নিয়া নাগরিকরা তাদের ব্যক্তিগত তথ্য মুছতে পারবেন।
- Right to Opt-Out: ব্যক্তি তাদের তথ্যের বিক্রয় বন্ধ করার জন্য "Opt-out" করতে পারবেন।
খ. HIPAA (Health Insurance Portability and Accountability Act)
HIPAA হলো মার্কিন যুক্তরাষ্ট্রের একটি আইন যা স্বাস্থ্যসেবা ডাটা সুরক্ষা এবং প্রাইভেসি নিশ্চিত করতে ব্যবহৃত হয়। এটি স্বাস্থ্য তথ্যের নিরাপত্তা, গোপনীয়তা এবং অ্যাক্সেস কন্ট্রোলের জন্য প্রয়োজনীয় নিয়ন্ত্রণ দেয়।
- প্রধান বৈশিষ্ট্য:
- Protected Health Information (PHI) সুরক্ষা।
- স্বাস্থ্য তথ্যের গোপনীয়তা এবং নিরাপত্তা নিশ্চিত করার জন্য সংগঠনের সুনির্দিষ্ট পদক্ষেপের প্রয়োজন।
- রোগীদের তথ্যের অ্যাক্সেস এবং ব্যবহার সীমাবদ্ধ করে।
গ. SOC 2 (System and Organization Controls 2)
SOC 2 হলো একটি সিকিউরিটি ফ্রেমওয়ার্ক যা সফটওয়্যার এবং ক্লাউড সার্ভিস কোম্পানির জন্য উপযুক্ত। এটি একটি মানদণ্ড যা ডেটার নিরাপত্তা, প্রাইভেসি এবং অ্যাক্সেস কন্ট্রোলের উপর নির্ভর করে।
- প্রধান নিয়ন্ত্রণগুলি:
- Security: সিস্টেমের নিরাপত্তা নিশ্চিত করতে পদক্ষেপ নেয়া।
- Availability: পরিষেবার প্রাপ্যতা নিশ্চিত করা।
- Confidentiality: সিস্টেমের মধ্যে গোপনীয় তথ্য সুরক্ষা।
- Privacy: ব্যক্তিগত তথ্যের সুরক্ষা নিশ্চিত করা।
ঘ. ISO/IEC 27001
ISO/IEC 27001 একটি আন্তর্জাতিক স্ট্যান্ডার্ড যা তথ্য সুরক্ষা ব্যবস্থাপনা সিস্টেম (ISMS) প্রতিষ্ঠার জন্য ব্যবহৃত হয়। এটি একটি কাঠামো প্রদান করে যা প্রতিষ্ঠানের তথ্য নিরাপত্তা পরিচালনার জন্য প্রয়োজনীয় পদক্ষেপ এবং কৌশলগুলি নির্ধারণ করে।
- প্রধান বৈশিষ্ট্য:
- Risk Management: তথ্য নিরাপত্তা ঝুঁকি নির্ধারণ এবং পরিচালনা করা।
- Security Controls: তথ্য সুরক্ষা নিশ্চিত করতে সিকিউরিটি কন্ট্রোলস তৈরি করা।
- Continuous Improvement: নিরাপত্তা ব্যবস্থাপনা সিস্টেমের উন্নতির জন্য নিয়মিত পর্যবেক্ষণ এবং রিভিউ।
উপসংহার:
- GDPR ইউরোপীয় ইউনিয়নের মধ্যে ডাটার গোপনীয়তা এবং নিরাপত্তার জন্য প্রধান নিয়মাবলী।
- CCPA, HIPAA, SOC 2, এবং ISO/IEC 27001 অন্যান্য গুরুত্বপূর্ণ নিরাপত্তা নিয়ন্ত্রণ যেগুলি ডাটা সুরক্ষা এবং প্রাইভেসির জন্য প্রতিটি অঞ্চলে আলাদা আলাদাভাবে প্রযোজ্য।
- ডাটা সুরক্ষা নিশ্চিত করার জন্য একটি শক্তিশালী এবং সুনির্দিষ্ট সিস্টেম গুরুত্বপূর্ণ, যা প্রতিষ্ঠানগুলির জন্য নিয়মিত মান অনুসরণ এবং প্রয়োগ নিশ্চিত করতে সহায়ক।