Skip to content
reader.me

GDPR ও নথি: PDF আপলোড করা নিয়ে আইন যা বলে

ব্যক্তিগত তথ্যসহ একটি PDF ক্লাউড টুলে আপলোড করা GDPR দায়িত্ব ডেকে আনতে পারে। কোনটিকে প্রক্রিয়াকরণ বলে, প্রসেসর কে, এবং কেন লোকাল জেতে।

AG Antonia González · ২৩ জুন, ২০২৬ · 7 মিনিট পড়া

আপনি একটি ইনভয়েস একটি বিনামূল্যের অনলাইন টুলে টেনে এনে ছোট করেন। এতে একজন ক্লায়েন্টের নাম, একটি ঠিকানা, হয়তো একটি কর আইডি আছে। পাঁচ সেকেন্ড পরে আপনার হাতে একটি ছোট ফাইল এবং আপনি এগিয়ে যান। এইমাত্র কি আইনি কিছু ঘটল?

GDPR-এর অধীনে, খুব সম্ভবত হ্যাঁ। আর বেশিরভাগ মানুষ কখনো এটা নিয়ে ভাবে না, কারণ নথিটি নিরীহ দেখাচ্ছিল আর টুলটি বিনামূল্যের দেখাচ্ছিল।

এটি আইনি পরামর্শ নয়। আমি আপনার আইনজীবী নই এবং প্রতিটি পরিস্থিতির নিজস্ব বিস্তারিত আছে। কিন্তু নিয়মগুলোর গঠন বোঝা মূল্যবান, কারণ এটি বদলে দেয় যে অন্যের তথ্যসহ নথি আপনার কীভাবে সামলানো উচিত।

GDPR যাকে “প্রক্রিয়াকরণ” বলে

মানুষ ধরে নেয় GDPR ডেটাবেস ও মার্কেটিং তালিকা নিয়ে। আসল সংজ্ঞা অনেক বিস্তৃত। প্রক্রিয়াকরণ হলো ব্যক্তিগত তথ্য নিয়ে আপনি যা করেন প্রায় তার সবকিছুই: সংগ্রহ করা, সংরক্ষণ করা, পড়া, পরিবর্তন করা, শেয়ার করা, মুছে ফেলা। নিয়মটি আক্ষরিক অর্থেই “পরামর্শ” (consultation) ও “ব্যবহার” (use)-কে প্রক্রিয়াকরণের রূপ হিসেবে তালিকাভুক্ত করে।

তাই যখন আপনার PDF-এ ব্যক্তিগত তথ্য থাকে (একটি নাম ও একটি ফোন নম্বরই যথেষ্ট) এবং আপনি সেই ফাইল নিয়ে কিছু করেন, তখন আপনি ব্যক্তিগত তথ্য প্রক্রিয়া করছেন। এটি সংকুচিত করা গণনায় ধরা হয়। মার্জ করা ধরা হয়। রূপান্তর করা ধরা হয়।

শুধু এটাই কোনো সমস্যা নয়। ব্যবসা সারাদিন ব্যক্তিগত তথ্য প্রক্রিয়া করে। GDPR যে প্রশ্ন করে তা হলো আপনি কীভাবে এটি করেন, এবং পথে আর কে তথ্যটি স্পর্শ করে।

কেন আপলোড করা একজন “প্রসেসর” নিয়ে আসে

এখানেই ক্লাউড অংশটি গুরুত্বপূর্ণ। আপনি যখন সেই ইনভয়েসটি একটি বাহ্যিক পরিষেবায় আপলোড করেন, ফাইলটি আপনার নিয়ন্ত্রণ থেকে বেরিয়ে অন্য কারো সার্ভারে গিয়ে নামে। সেই কোম্পানিটি এখন আপনার পক্ষে ব্যক্তিগত তথ্য প্রক্রিয়া করে। GDPR-এ তাদের একটি নাম আছে: একজন প্রসেসর। আপনি, যিনি এটি করার সিদ্ধান্ত নিয়েছেন, হলেন নিয়ন্ত্রণকারী (controller)।

যে মুহূর্তে একজন প্রসেসর জড়িত হয়, নিয়ন্ত্রণকারী আসল দায়িত্ব কাঁধে তুলে নেয়। বড়টি হলো অনুচ্ছেদ ২৮: আপনার সেই প্রসেসরের সঙ্গে একটি লিখিত চুক্তি দরকার, যাকে প্রায়ই Data Processing Agreement বলা হয়। এতে স্পষ্ট করে বলতে হয় তারা তথ্য নিয়ে কী করতে পারে, কীভাবে তারা তা রক্ষা করে, কখন তারা মুছে ফেলে এবং তারা সেটি অন্য কাউকে দিতে পারে কিনা।

থামুন এবং গত মাসে ব্যবহার করা বিনামূল্যের PDF টুলটির কথা ভাবুন। আপনি কি তাদের সঙ্গে একটি DPA স্বাক্ষর করেছিলেন? তাদের সার্ভার কোথায় বসে তা কি পড়েছিলেন? তাদের সাবপ্রসেসর কারা তা কি যাচাই করেছিলেন? প্রায় নিশ্চিতভাবেই না। আপনি অন্য কারো ব্যক্তিগত তথ্যসহ একটি ফাইল এমন একটি কোম্পানিতে আপলোড করেছিলেন যার সঙ্গে আপনার কোনো চুক্তি নেই। এটাই ফাঁকটি।

আন্তর্জাতিক স্থানান্তরের ফাঁদ

সার্ভার EU-এর বাইরে হলে এটি আরও জটিল হয়। অন্য দেশের কোনো প্রদানকারীর কাছে ব্যক্তিগত তথ্য পাঠানো একটি স্থানান্তর (transfer), এবং GDPR সেগুলোকে সীমাবদ্ধ করে। এর জন্য আপনার একটি বৈধ আইনি ভিত্তি দরকার, যেমন standard contractual clauses বা সেই দেশের জন্য একটি adequacy decision।

বেশিরভাগ বিনামূল্যের টুল আপনাকে বলে না তারা কোথায় চলে। ফাইলটি অন্য একটি মহাদেশের ডেটা সেন্টারে প্রক্রিয়া হতে পারে, একটি কিউয়ের মধ্য দিয়ে যেতে পারে, একটি স্টোরেজ বাকেটে ক্যাশ হতে পারে, আর আপনার তা জানার কোনো উপায় থাকবে না। একটি ব্যক্তিগত ছুটির ছবির জন্য ঠিক আছে। ক্লায়েন্টের তথ্যে ভরা একটি চুক্তির জন্য, আপনি নীরবে একটি আন্তর্জাতিক স্থানান্তর করে ফেলেছেন যা আপনি নথিভুক্ত করতে পারবেন না।

ন্যূনতমকরণ, যে নীতিটি সবাই ভুলে যায়

GDPR-এর একটি নীতি আছে যাকে ডেটা ন্যূনতমকরণ বলে। আপনার শুধু সেই ব্যক্তিগত তথ্যই প্রক্রিয়া করা উচিত যা আপনার আসলে দরকার, এবং সবচেয়ে কম অনুপ্রবেশকারী উপায়ে। এর একটি জ্ঞাতিভাই নীতিও আছে: একটি প্রক্রিয়া ডিজাইন করার সময় গোপনীয়তা নিয়ে ভাবুন, পরে নয়।

একটি PDF সংকুচিত করার মতো সহজ কাজে এটি প্রয়োগ করুন। একটি ক্লায়েন্টের চুক্তি ছোট করতে কি আপনার সেটি একটি তৃতীয় পক্ষের সার্ভারে পাঠানো দরকার? না। সংকোচন আপনার নিজের মেশিনেই ঘটতে পারে। এটি বাইরে পাঠানো একটি প্রসেসর যোগ করে, এমন একটি চুক্তি যা আপনার নেই, এবং হয়তো এমন একটি স্থানান্তর যা আপনি ন্যায্যতা দিতে পারবেন না, সবই কেবল একটি ফাইলের আকার বদলের জন্য। এটা ন্যূনতমকরণের ঠিক উল্টো।

কেন লোকাল প্রক্রিয়াকরণ এর বেশিরভাগ এড়িয়ে যায়

এখানে সেই অংশটি যা পুরো সমস্যাটিকে ছোট করে দেয়। যদি ফাইলটি কখনো আপনার ডিভাইস ছেড়ে না যায়, তবে কোনো তৃতীয় পক্ষ এটি প্রক্রিয়া করে না। কোনো প্রসেসর না থাকা মানে অনুচ্ছেদ ২৮-এর কোনো চুক্তির পেছনে ছোটার দরকার নেই। কিছুই সীমানা পার হয় না, তাই ন্যায্যতা দেওয়ার মতো কোনো স্থানান্তর নেই। আপনি এখনো নিয়ন্ত্রণকারী, আপনি এখনো ডেটা সাবজেক্টের প্রতি স্বাভাবিক যত্নের ঋণী, কিন্তু কাগজপত্রের একটি বড় অংশ কেবল প্রযোজ্য হয় না, কারণ আর কেউ তথ্যটি স্পর্শ করেনি।

এটাই সেই ধারণা যা সম্পূর্ণভাবে আপনার ব্রাউজারে চলা টুলের পেছনে আছে। কোডটি স্থানীয়ভাবে, আপনার কম্পিউটারের মেমরিতে কাজটি করে, এবং আপনার PDF জায়গাতেই থাকে। এভাবেই আমরা reader.me বানিয়েছি। যখন আপনি একটি PDF সংকুচিত করেন, ফাইলটি আপনার ব্রাউজারে প্রক্রিয়া হয় এবং কখনো আমাদের কোনো সার্ভারে পৌঁছায় না। আপনার ব্রাউজারের DevTools খুলুন, Network ট্যাব দেখুন, এবং আপনি নিশ্চিত করতে পারবেন আপনার নথিসহ কিছুই বাইরে যায় না।

ব্যবসা ও ফ্রিল্যান্সারদের জন্য ব্যবহারিক পদক্ষেপ

কয়েকটি অভ্যাস যা আপনাকে সঠিক দিকে রাখে:

  • নাম, আইডি বা যোগাযোগের বিবরণসহ যেকোনো নথিকে ব্যক্তিগত তথ্য হিসেবে গণ্য করুন। ইনভয়েস, চুক্তি, CV এবং চিকিৎসা ফর্ম সবই এর আওতায় পড়ে।
  • কোনো ক্লাউড টুলে কিছু আপলোড করার আগে জিজ্ঞেস করুন প্রসেসর কে। কোনো DPA নেই, সার্ভারের অবস্থান নিয়ে স্পষ্ট উত্তর নেই? এর মধ্য দিয়ে ক্লায়েন্টের তথ্য পাঠাবেন না।
  • রুটিন কাজের জন্য লোকাল টুল ডিফল্ট করুন যেমন সংকোচন, মার্জ বা স্প্লিট করা। যদি এটি আপনার ব্রাউজারে চলতে পারে, তবে যাচাই করার মতো কোনো প্রসেসর নেই।
  • একটি সংক্ষিপ্ত নথি রাখুন কোন পরিষেবাগুলো ব্যক্তিগত তথ্য স্পর্শ করে। GDPR এমনিতেও নিয়ন্ত্রণকারীদের কাছ থেকে এটা জানার প্রত্যাশা করে।
  • যখন আপনার সত্যিই একটি ক্লাউড পরিষেবা দরকার, এমন একটি বেছে নিন যা একটি আসল DPA দেয় এবং আপনাকে বলে তথ্য কোথায় থাকে।

নিয়মগুলো ভারী শোনায়, কিন্তু প্রতিদিনের সমাধান হালকা। বেশিরভাগ PDF কাজে কোনো সার্ভারের দরকারই নেই। ফাইলটি আপনার মেশিনে রাখুন, আর বেশিরভাগ আইনি ভার প্রথমেই আপনার ঘাড়ে এসে পড়ে না।

বিভাগ অনুযায়ী অন্বেষণ করুন