Cyber Chatterjee

আপনার ফোন নম্বর অবশেষে আবার আপনার: ভারতের নতুন DPDP নিয়মগুলি আপনার ডিজিটাল জীবনকে পরিবর্তন করার ৫টি আশ্চর্যজনক উপায়

১৪ নভেম্বর, ২০২৫ তারিখে ভারত তার ডিজিটাল বিবর্তনের একটি গুরুত্বপূর্ণ মাইলফলক স্পর্শ করেছে যখন সরকার ডিজিটাল ব্যক্তিগত তথ্য সুরক্ষা (DPDP) বিধিমালা, ২০২৫ বিজ্ঞপ্তিত করে [৫৩, ১৩৭]। এই বিধিমালাটি ২০২৩ সালের DPDP আইনকে সম্পূর্ণভাবে কার্যকর করে এবং এটি একটি "SARAL" (সহজ, সুলভ, যুক্তিসঙ্গত এবং কার্যকরী) পদ্ধতির ওপর ভিত্তি করে তৈরি করা হয়েছে [৪৬, ৫৬, ১৩৮]। এই নতুন কাঠামোটি একদিকে যেমন নাগরিকদের তথ্যের সুরক্ষা নিশ্চিত করবে, অন্যদিকে ভারতের ডিজিটাল অর্থনীতিতে স্বচ্ছতা এবং জবাবদিহিতা বৃদ্ধি করবে [৩৯, ৫৩, ৬২]।

ভারতের নতুন তথ্য সুরক্ষা কাঠামোর মূল স্তম্ভসমূহ
ভারতের এই নতুন তথ্য সুরক্ষা ব্যবস্থা সাতটি মূল নীতির ওপর ভিত্তি করে তৈরি: সম্মতি এবং স্বচ্ছতা, ব্যবহারের সীমাবদ্ধতা, তথ্যের ন্যূনতম ব্যবহার, সঠিকতা, সংরক্ষণের সীমাবদ্ধতা, নিরাপত্তা ব্যবস্থা এবং জবাবদিহিতা [৪৭, ৫৭, ১১৩]। এই নীতিমালা অনুযায়ী, 'ব্যক্তিগত তথ্য' বলতে এমন ডিজিটাল তথ্যকে বোঝায় যার মাধ্যমে কোনো ব্যক্তিকে শনাক্ত করা সম্ভব [৪, ২২, ১০৯]।

এই ব্যবস্থায় 'ডেটা ফিউডুশিয়ারি' (Data Fiduciary) হলো সেই সংস্থা বা ব্যক্তি যারা ব্যক্তিগত তথ্য ব্যবহারের উদ্দেশ্য এবং পদ্ধতি নির্ধারণ করে [৫, ৫৮, ১১০]। এই সংস্থাগুলোকে এখন থেকে নাগরিকদের জন্য একাধিক ভাষায় সহজ ও স্বচ্ছ সম্মতির নোটিশ প্রদান করতে হবে [৩৮, ৪৩, ৫৪]। অন্যদিকে, যার তথ্য ব্যবহার করা হচ্ছে তাকে বলা হয় 'ডেটা প্রিন্সিপাল' (Data Principal) [৫৮, ১০৯]।

নাগরিকদের ক্ষমতায়ন: অধিকার এবং প্রতিকার :
নতুন বিধিমালার অধীনে নাগরিকরা তাদের তথ্যের ওপর বিশেষ নিয়ন্ত্রণ লাভ করেছেন। এখন তারা তাদের ব্যক্তিগত তথ্য অ্যাক্সেস করা, সংশোধন করা, আপডেট করা বা মুছে ফেলার অধিকার রাখেন [৪৫, ৬৯, ১২৫, ১৪৪]। এছাড়া একটি উল্লেখযোগ্য সংযোজন হলো 'মনোনয়নের অধিকার', যার মাধ্যমে একজন ব্যক্তি তার মৃত্যু বা অক্ষমতার ক্ষেত্রে তার তথ্যের অধিকার পরিচালনা করার জন্য প্রতিনিধি নিয়োগ করতে পারেন [২৬, ৪৫, ৬৯, ১৪৪]।

নাগরিকদের এই অধিকারগুলো সহজ করতে 'কনসেন্ট ম্যানেজার' (Consent Manager) নামক একটি ব্যবস্থার প্রবর্তন করা হয়েছে [৫৯, ৯০]। এগুলো হলো ভারত-ভিত্তিক নিবন্ধিত সংস্থা যারা নাগরিকদের জন্য একটি একক প্ল্যাটফর্ম প্রদান করবে যেখানে তারা বিভিন্ন ডিজিটাল পরিষেবার জন্য সম্মতি দিতে বা প্রত্যাহার করতে পারবেন [৪৩, ৫৯, ৯১]।
যদি কোনো নাগরিকের তথ্যের অধিকার লঙ্ঘিত হয়, তবে তারা ডেটা প্রোটেকশন বোর্ড অফ ইন্ডিয়া (DPB)-এর কাছে অভিযোগ জানাতে পারেন [৪৪, ৬১, ১১৬]। এটি একটি সম্পূর্ণ ডিজিটাল সংস্থা যা দেওয়ানী আদালতের ক্ষমতার অধিকারী এবং নিয়ম লঙ্ঘনকারীদের বিরুদ্ধে তদন্ত করতে পারে [৪৪, ১১৭, ১২৬]। বোর্ডের সিদ্ধান্তের বিরুদ্ধে আপিল করার জন্য টেলিকম ডিসপিউটস সেটেলমেন্ট অ্যান্ড অ্যাপিলিয়েট ট্রাইব্যুনাল (TDSAT) রয়েছে [৪৫, ৫৯, ৬৬]।

ব্যবসা প্রতিষ্ঠানের জন্য নিয়মাবলী: ১৮ মাসের সময়সীমা
এই বড় ধরনের পরিবর্তনের সাথে খাপ খাইয়ে নেওয়ার জন্য সরকার ব্যবসা প্রতিষ্ঠানগুলোকে ১৮ মাসের একটি পর্যায়ক্রমিক সময়সীমা প্রদান করেছে [৪২, ৬২, ১২০, ১৩৮]।
এই সময়ের মধ্যে প্রতিষ্ঠানগুলোকে যা করতে হবে:
অভিযোগ নিরসন এবং সমন্বয়ের জন্য একজন ডেটা প্রোটেকশন অফিসার (DPO) নিয়োগ করতে হবে [২৩, ৬৪, ১২৩]।

তথ্য কোথায় এবং কীভাবে সংরক্ষিত আছে তা শনাক্ত করার জন্য 'ডেটা ম্যাপিং' করতে হবে [১৩, ২৩]।

গোপনীয়তা নীতি বা প্রাইভেসি পলিসি সহজ ভাষায় পুনর্লিখন করতে হবে [২৬, ৬৩, ১৩৫]।

তথ্য ফাঁসের (Data Breach) ক্ষেত্রে দেরি না করে বোর্ড এবং ক্ষতিগ্রস্ত ব্যক্তিকে অবহিত করার প্রোটোকল তৈরি করতে হবে [৪৩, ৬৪, ১২২]।
সিগনিফিক্যান্ট ডেটা ফিউডুশিয়ারি (SDF) বা বড় সংস্থাগুলোর জন্য আরও কঠোর নিয়ম রয়েছে, যেমন নিয়মিত অডিট এবং তথ্যের ব্যবহারের ওপর ইমপ্যাক্ট অ্যাসেসমেন্ট করা [৪৪, ৬৫, ১২৪]।

সীমান্ত ছাড়িয়ে তথ্যের আদান-প্রদান এবং স্থানীয়করণ
DPDP আইন আন্তর্জাতিক তথ্য স্থানান্তরের ক্ষেত্রে একটি 'ব্ল্যাকলিস্ট' (Blacklist) পদ্ধতি অনুসরণ করে [৩, ৮]। অর্থাৎ, সরকার কর্তৃক নিষিদ্ধ দেশগুলো ছাড়া অন্য সব দেশে তথ্য স্থানান্তর করা যাবে [৩, ৮]। তবে, ভারতের কেন্দ্রীয় ব্যাংক (RBI) বা বীমা নিয়ন্ত্রক সংস্থা (IRDAI)-এর মতো সেক্টর-নির্দিষ্ট নিয়মগুলো তথ্যের স্থানীয়করণের ক্ষেত্রে কার্যকর থাকবে [৯, ১২]। উদাহরণস্বরূপ, পেমেন্ট সংক্রান্ত তথ্য অবশ্যই ভারতের সার্ভারে সংরক্ষণ করতে হবে [১২]।

ব্যবহারিক পরিবর্তন: আর ফোন নম্বর দেওয়ার বাধ্যবাধকতা নেই
সাধারণ গ্রাহকদের জন্য একটি বড় পরিবর্তন হলো, এখন থেকে কোনো দোকান বা রেস্তোরাঁ বিল করার জন্য গ্রাহকের মোবাইল নম্বর দাবি করতে পারবে না [৩৭, ১৩৬]। যদি কোনো গ্রাহক নম্বর দিতে অস্বীকার করেন, তবে দোকানদারকে বিকল্প কোনো পদ্ধতিতে (যেমন ছাপানো রসিদ) বিল প্রদান করতে হবে [১৩৬]। এছাড়া, যদি কোনো গ্রাহক তিন বছর কোনো দোকানে কেনাকাটা না করেন, তবে সেই দোকানের তথ্যভাণ্ডার থেকে গ্রাহকের তথ্য মুছে ফেলতে হবে [১৩৬]।

উদ্ভাবন বনাম ব্যক্তিগত গোপনীয়তা
যদিও এই আইনকে উদ্ভাবন-বান্ধব বলা হচ্ছে, তবে বিশেষজ্ঞরা মনে করেন যে এটি এআই (AI) এবং স্টার্টআপ খাতের জন্য কিছু চ্যালেঞ্জ তৈরি করতে পারে [৫১, ৫২, ১৪৯]। এআই সিস্টেমগুলো প্রশিক্ষণের জন্য আগে থেকে যে তথ্যগুলো ব্যবহার করেছে, সেগুলোতে মুছে ফেলার বা ব্যবহারের সীমাবদ্ধতার নিয়ম প্রয়োগ করা কঠিন হতে পারে [১৪৯, ১৫০]। তবে স্টার্টআপগুলোকে কিছু ক্ষেত্রে ছাড় দেওয়া হতে পারে যাতে তাদের অগ্রগতি ব্যাহত না হয় [১৬৪]।

বিতর্ক এবং আইনি চ্যালেঞ্জ
এই আইনের একটি বিতর্কিত দিক হলো আরটিআই (RTI) আইনের ধারা ৮(১)(জে) সংশোধন [৭২, ১২৭, ১৩৪]। সমালোচকদের মতে, এর ফলে দুর্নীতিবাজ কর্মকর্তারা ব্যক্তিগত তথ্যের দোহাই দিয়ে তথ্য প্রকাশে বাধা দিতে পারেন [৭৩, ১২৭, ১৩৪]। সুপ্রিম কোর্ট বর্তমানে এই বিষয়ে আসা চ্যালেঞ্জগুলো খতিয়ে দেখছে যাতে গোপনীয়তার অধিকার এবং তথ্যের অধিকারের মধ্যে ভারসাম্য বজায় থাকে [৭, ১৩৪]।

অমান্য করার ক্ষেত্রে কঠোর জরিমানা
এই নিয়মগুলো মেনে না চললে জরিমানার পরিমাণ অত্যন্ত বেশি। যেমন:
তথ্যের নিরাপত্তা নিশ্চিত করতে ব্যর্থ হলে ২৫০ কোটি টাকা পর্যন্ত জরিমানা [৪৮, ৬০, ৯৪, ১১৮]।
তথ্য ফাঁসের কথা বোর্ডকে না জানালে বা শিশুদের তথ্যের নিরাপত্তা লঙ্ঘন করলে ২০০ কোটি টাকা পর্যন্ত জরিমানা [৪৮, ৬০, ৯৪, ১১৯]।
অন্যান্য সাধারণ নিয়ম লঙ্ঘনের জন্য ৫০ কোটি টাকা পর্যন্ত জরিমানা হতে পারে [৪৮, ৬০, ৯৪, ১১৯]।

উপসংহার
DPDP বিধিমালা ২০২৫ ভারতের তথ্য শাসন ব্যবস্থার একটি আধুনিক রূপ [৫২, ১৩২]। ব্যক্তিকে এই ব্যবস্থার কেন্দ্রে রেখে ভারত তার ডিজিটাল অর্থনীতিতে ডিজিটাল আস্থা তৈরি করতে চাইছে [৫১, ৬১, ১৩৩]। যদিও ১৮ মাসের এই রূপান্তরকাল ব্যবসা প্রতিষ্ঠানগুলোর জন্য পরীক্ষার সময়, তবে চূড়ান্ত লক্ষ্য হলো ভারতের নাগরিকদের জন্য একটি নিরাপদ এবং স্বচ্ছ ডিজিটাল ভবিষ্যৎ নিশ্চিত করা |