প্রেক্ষাপট
সম্প্রতি, ভারতের সুপ্রিম কোর্ট কেন্দ্রীয় সরকারকে একটি আনুষ্ঠানিক নোটিশ পাঠিয়েছে। ডিজিটাল ব্যক্তিগত ডেটা সুরক্ষা (DPDP) আইন, ২০২৩ এবং DPDP বিধিমালা, ২০২৫-এর কিছু ধারার সাংবিধানিক বৈধতাকে চ্যালেঞ্জ করে একটি আবেদনের প্রেক্ষিতে এই পদক্ষেপ নেওয়া হয়েছে। আদালত বিশেষভাবে খতিয়ে দেখছে যে, সরকারি সংস্থাগুলোকে দেওয়া ব্যাপক ছাড় এবং তথ্য জানার অধিকার (RTI) আইন-এর ধারা ৮(১)(জে) সংশোধন করার ফলে নাগরিকদের অধিকার খর্ব হচ্ছে কি না এবং জনগণের ‘জানার অধিকারে’ অসাংবিধানিক বাধা সৃষ্টি হচ্ছে কি না।
১. প্রয়োগ এবং পরিধি
ডিজিটাল ফোকাস: এই আইনটি সেইসব ব্যক্তিগত তথ্য বা ডেটার ক্ষেত্রে প্রযোজ্য যা ডিজিটাল আকারে সংগ্রহ করা হয়েছে অথবা অফলাইনে সংগ্রহ করে পরে ডিজিটাইজ (কম্পিউটারে নথিবদ্ধ) করা হয়েছে।
ভৌগোলিক সীমানা: এটি ভারতের অভ্যন্তরে ডেটা প্রসেসিং-এর ক্ষেত্রে প্রযোজ্য। এছাড়া ভারতের বাইরের কোনো সংস্থা যদি ভারতীয় নাগরিকদের পণ্য বা পরিষেবা দেওয়ার উদ্দেশ্যে ডেটা ব্যবহার করে, তবে তাদের ক্ষেত্রেও এই আইন কার্যকর হবে।
ব্যতিক্রম: ব্যক্তিগত বা ঘরোয়া কাজের জন্য ব্যবহৃত ডেটা অথবা কোনো ব্যক্তি নিজেই যদি নিজের তথ্য জনসমক্ষে প্রকাশ করেন, তবে সেই তথ্যের ক্ষেত্রে এই আইন প্রযোজ্য নয়।
২. মূল সংজ্ঞাসমূহ (Key Definitions)
ডেটা প্রিন্সিপাল (Data Principal): সেই ব্যক্তি যার ব্যক্তিগত তথ্য নিয়ে কাজ করা হচ্ছে। শিশুদের ক্ষেত্রে (১৮ বছরের নিচে) বা প্রতিবন্ধী ব্যক্তিদের ক্ষেত্রে তাঁদের বাবা-মা বা আইনগত অভিভাবক ‘ডেটা প্রিন্সিপাল’ হিসেবে গণ্য হবেন।
ডেটা ফিডুশিয়ারি (Data Fiduciary): সেই ব্যক্তি, সংস্থা বা রাষ্ট্র, যারা তথ্য কেন এবং কীভাবে ব্যবহার করা হবে তা নির্ধারণ করে।
ডেটা প্রসেসর (Data Processor): যে কোনো সংস্থা যারা ‘ডেটা ফিডুশিয়ারি’-র হয়ে তথ্য প্রসেস বা বিন্যাস করে।
কনসেন্ট ম্যানেজার (Consent Manager): একটি নিবন্ধিত মাধ্যম যা ব্যক্তিদের তাঁদের সম্মতির (Consent) হিসাব রাখতে, পর্যালোচনা করতে বা সম্মতি তুলে নিতে সাহায্য করে।
৩. DPDP আইনের সাতটি মূল নীতি
এই আইনটি “SARAL” (সহজ, প্রবেশযোগ্য, যুক্তিসঙ্গত এবং কার্যকরী আইন) কাঠামোর ওপর ভিত্তি করে তৈরি:
1. সম্মতি এবং বৈধ ব্যবহার: তথ্য ব্যবহারের জন্য স্পষ্ট সম্মতি থাকতে হবে এবং তা আইনি কাজে ব্যবহার করতে হবে।
2. উদ্দেশ্যের সীমাবদ্ধতা: সম্মতি নেওয়ার সময় যে নির্দিষ্ট কাজের কথা বলা হয়েছিল, শুধুমাত্র সেই কাজেই তথ্য ব্যবহার করা যাবে।
3. ন্যূনতম তথ্য সংগ্রহ: শুধুমাত্র যতটুকু তথ্য প্রয়োজন, সেটুকুই সংগ্রহ করতে হবে।
4. নির্ভুলতা: তথ্য যেন সঠিক এবং আপ-টু-ডেট (হালনাগাদ) থাকে তা নিশ্চিত করতে হবে।
5. সংরক্ষণের সময়সীমা: কাজ শেষ হয়ে গেলে তথ্য মুছে ফেলতে (Delete) হবে।
6. নিরাপত্তা ব্যবস্থা: তথ্য চুরি বা ফাঁস হওয়া রোধ করতে প্রয়োজনীয় ব্যবস্থা নিতে হবে।
7. জবাবদিহিতা: এই আইন মেনে চলার জন্য তথ্য ব্যবহারকারী সংস্থা বা ফিডুশিয়ারি দায়বদ্ধ থাকবে।
৪. গুরুত্বপূর্ণ ডেটা ফিডুশিয়ারি
তথ্যের পরিমাণ এবং জাতীয় নিরাপত্তার ঝুঁকি বিবেচনা করে কেন্দ্র সরকার কিছু সংস্থাকে SDF হিসেবে ঘোষণা করতে পারে। তাদের জন্য অতিরিক্ত কিছু নিয়ম রয়েছে:
ভারতে বসবাসকারী একজন ডেটা সুরক্ষা কর্মকর্তা (DPO) নিয়োগ করা।
একজন স্বাধীন ডেটা অডিটর নিয়োগ করা।
ডেটা সুরক্ষা প্রভাব মূল্যায়ন (DPIA) পরিচালনা করা।
৫. নাগরিকদের (ডেটা প্রিন্সিপাল) অধিকার ও কর্তব্য
অধিকার: তথ্য জানার অধিকার, ভুল তথ্য সংশোধন বা মুছে ফেলার অধিকার, অভিযোগ জানানোর অধিকার এবং মনোনীত করার অধিকার (মৃত্যু বা অক্ষমতার ক্ষেত্রে অন্য কেউ যেন অধিকার প্রয়োগ করতে পারে)।
কর্তব্য: নাগরিকরা কোনো ভুল তথ্য দিতে পারবেন না, আসল তথ্য গোপন করতে পারবেন না বা মিথ্যা অভিযোগ করতে পারবেন না। এই কর্তব্য পালনে ব্যর্থ হলে ১০,০০০ টাকা পর্যন্ত জরিমানা হতে পারে।
৬. ভারতের ডেটা সুরক্ষা বোর্ড (DPBI)
ধরণ: এটি একটি আধা-বিচারবিভাগীয় (quasi-judicial) সংস্থা যা ডিজিটাল মাধ্যম ব্যবহার করে অভিযোগের বিচার করবে।
ক্ষমতা: এটি সাক্ষী তলব করতে পারে, নথিপত্র পরীক্ষা করতে পারে এবং আর্থিক জরিমানা আরোপ করতে পারে।
আপিল: এই বোর্ডের সিদ্ধান্তের বিরুদ্ধে টেলিকম বিরোধ নিষ্পত্তি ও আপিল ট্রাইব্যুনাল (TDSAT)-এ আবেদন করা যাবে।
৭. জরিমানা এবং ছাড়
জরিমানা: ডেটা চুরি বা ফাঁস হওয়া রোধে ব্যর্থ হলে ২৫০ কোটি টাকা পর্যন্ত জরিমানা হতে পারে। এই আইনে জেলের কোনো বিধান নেই; শাস্তি শুধুমাত্র আর্থিক।
রাষ্ট্রের জন্য ছাড়: দেশের সার্বভৌমত্ব, নিরাপত্তা বা জনশৃঙ্খলার স্বার্থে সরকার তার সংস্থাগুলোকে এই আইনের আওতা থেকে ছাড় দিতে পারে।
RTI সংশোধন: এই আইন RTI আইনের ধারা ৮(১)(জে) সংশোধন করে সব ধরণের “ব্যক্তিগত তথ্য” প্রকাশ নিষিদ্ধ করেছে, যা আগে “জনস্বার্থে” প্রকাশ করা যেত।
Q. ডিজিটাল ব্যক্তিগত ডেটা সুরক্ষা (DPDP) আইন, ২০২৩ প্রসঙ্গে নিচের বিবৃতিগুলো বিবেচনা করুন:
1. এই আইনটি ডিজিটাল ব্যক্তিগত তথ্য এবং কাগজে কলমে থাকা ফিজিক্যাল তথ্য—উভয় ক্ষেত্রেই প্রযোজ্য।
2. এই আইনের অধীনে, একজন ব্যক্তির মৃত্যু বা অক্ষমতার ক্ষেত্রে তাঁর ডেটা সংক্রান্ত অধিকার প্রয়োগের জন্য তিনি যে কাউকে মনোনীত করার অধিকার রাখেন।
3. ভারতের ডেটা সুরক্ষা বোর্ড সেইসব ব্যক্তিদের ক্ষতিপূরণ দেওয়ার ক্ষমতা রাখে যাদের তথ্যের গোপনীয়তা কোনো সংস্থা লঙ্ঘন করেছে।
4. এই আইনটি জনস্বার্থের খাতিরে সরকারি কর্মকর্তাদের ব্যক্তিগত তথ্য প্রকাশের যে সুযোগ RTI আইনে ছিল, তা বাতিল করেছে।
উপরের কয়টি বিবৃতি সঠিক?
(a) মাত্র একটি
(b) মাত্র দুটি
(c) মাত্র তিনটি
(d) চারটিই সঠিক
সমাধান: উত্তর (b)
বিবৃতি 1 ভুল: এই আইনটি শুধুমাত্র ডিজিটাল ব্যক্তিগত তথ্যের ক্ষেত্রে প্রযোজ্য। ফিজিক্যাল বা এনালগ তথ্যের ক্ষেত্রে এটি প্রযোজ্য নয়।
বিবৃতি 2 সঠিক: এই আইনে মনোনীত করার অধিকার (Right to Nominate) দেওয়া হয়েছে।
বিবৃতি 3 ভুল: বোর্ড বড় অঙ্কের জরিমানা (২৫০ কোটি পর্যন্ত) করতে পারলেও, সেই টাকা ভারতের সঞ্চিত তহবিলে (Consolidated Fund of India) জমা হয়। ক্ষতিগ্রস্ত ব্যক্তিকে সরাসরি ক্ষতিপূরণ দেওয়ার কোনো ব্যবস্থা এই আইনে নেই।
বিবৃতি 4 সঠিক: DPDP আইন RTI আইনকে সংশোধন করে ব্যক্তিগত তথ্য প্রকাশের ক্ষেত্রে যে "জনস্বার্থের" ছাড় ছিল, তা পুরোপুরি সরিয়ে দিয়েছে।