বেনামীকরণ টুল GDPR: TikTok জরিমানা ব্যাখ্যা
TikTok নজির
মে ২০২৫ সালে, আইরিশ ডেটা সুরক্ষা কমিশন TikTok-কে €৫৩০ মিলিয়ন জরিমানা করেছে। TikTok ইইউ ব্যবহারকারীর তথ্য চীনে পাঠিয়েছিল। এর যথাযথ সুরক্ষা ছিল না।
মূল বিষয়টি সংকীর্ণ। লঙ্ঘন ছিল PII-এর রপ্তানি নিজেই। সংগ্রহ নয়। চীনে কী হয়েছিল তা নয়। ইইউ রেকর্ড অ-ইইউ সার্ভারে পাঠানো আর্টিকেল ৪৬(১) ভঙ্গ করেছিল।
GDPR আর্টিকেল ৪৪–৪৯ ইইউ রেকর্ডের যেকোনো সীমান্ত-পার স্থানান্তরে প্রযোজ্য। প্রতিটি স্থানান্তরের একটি আইনি ভিত্তি প্রয়োজন। সাধারণ বিকল্পগুলো:
- পর্যাপ্ততার সিদ্ধান্ত (ইইউ প্রাপক দেশের আইন অনুমোদন করে)
- প্রাপককে বাঁধাই করা স্ট্যান্ডার্ড চুক্তিভিত্তিক ধারা
- বড় বহুজাতিকদের জন্য বাঁধাই কর্পোরেট নিয়ম
- আরেকটি আর্টিকেল ৪৬ প্রক্রিয়া
GDPR জরিমানা ২০২৫ সাল পর্যন্ত €৫.৬৫ বিলিয়ন ছুঁয়েছে। সীমান্ত-পার লঙ্ঘন এখন প্রতি প্রয়োগ পদক্ষেপে গড়ে €১৮ মিলিয়ন (DLA Piper ২০২৫)। এগুলো সবচেয়ে ব্যয়বহুল GDPR বিভাগের মধ্যে।
বেনামীকরণ টুল সমস্যা
অনেক ইইউ ফার্ম তাদের বিষয়বস্তু থেকে PII সরাতে মার্কিন-ভিত্তিক টুল ব্যবহার করে। এটি নিরাপদ মনে হয়। ইইউ গ্রাহক বিষয়বস্তু আপলোড করুন। পরিষ্কার আউটপুট ফেরত পান। ইইউ-তে সংরক্ষণ করুন।
কিন্তু কাঁচা ব্যক্তিগত তথ্য প্রথমে একটি মার্কিন সার্ভার অতিক্রম করেছে। সেই অতিক্রমণ আর্টিকেল ৪৪–৪৯-এর অধীনে একটি রপ্তানি হিসেবে গণনা হয়। ভালো উদ্দেশ্য আইনি পরীক্ষা পরিবর্তন করে না। পরে PII সরানো পূর্ববর্তী স্থানান্তর বাতিল করে না। রপ্তানি ইতিমধ্যে ঘটেছে।
আইরিশ DPC-এর TikTok যুক্তি এখানে প্রযোজ্য। লঙ্ঘন হলো ইইউ ব্যবহারকারীর রেকর্ড অ-ইইউ সার্ভারে স্থানান্তর। একটি মার্কিন টুল যা মার্কিন সার্ভারে ইইউ PII পায় সে একটি রপ্তানি পেয়েছে। এটির SCC, পর্যাপ্ততার সিদ্ধান্ত বা BCR প্রয়োজন — অন্য যেকোনো সীমান্ত-পার স্থানান্তরের মতোই।
সংস্থাগুলো প্রায়ই এটি মিস করে। তারা ধরে নেয় বেনামীকরণের ফলাফল রপ্তানিকে ক্ষমা করে। এটি করে না। আইনি বিশ্লেষণ চলে কী ইইউ ছেড়েছে তার উপর, কী ফিরে এসেছে তার উপর নয়।
জিরো-নলেজ সমাধান
সমাধান স্থাপত্যগত। একটি টুল যা কখনও ব্যক্তিগত তথ্য পায় না সে সীমান্ত-পার লঙ্ঘন ঘটাতে পারে না।
জিরো-নলেজ ডিজাইন PII সনাক্তকরণ স্থানীয় রাখে। প্রক্রিয়াকরণ ব্যবহারকারীর ব্রাউজার বা স্থানীয় অ্যাপে চলে। টুলের সার্ভার শুধুমাত্র পরিষ্কার আউটপুট দেখে — বাস্তব নাম, আইডি এবং যোগাযোগ বিবরণের পরিবর্তে টোকেন।
GDPR-এর অধীনে, ব্যক্তিগত তথ্য ছাড়া আউটপুট রপ্তানি নিয়মের অধীনে নয়। ইইউ থেকে কোনো বাস্তব বিষয়বস্তু বের হয়নি।
আর্টিকেল ৩০ রেকর্ডের জন্য এই পার্থক্য গুরুত্বপূর্ণ। জিরো-নলেজ ইইউ টুলের জন্য একটি ROPA এন্ট্রি কোনো সীমান্ত-পার স্থানান্তর লগ করে না। একটি মার্কিন টুলের জন্য ROPA এন্ট্রি যা কাঁচা ইইউ PII পায় একটি রপ্তানি রেকর্ড করে। সেই এন্ট্রিতে একটি স্পষ্টভাবে নথিভুক্ত আইনি ভিত্তি প্রয়োজন।
আমাদের GDPR কমপ্লায়েন্স গাইড ROPA এন্ট্রিতে কী অন্তর্ভুক্ত করতে হবে তা কভার করে। আমাদের নিরাপত্তা কমপ্লায়েন্স ওভারভিউ সেগুলো সমর্থন করে প্রযুক্তিগত নিয়ন্ত্রণ ব্যাখ্যা করে। টুল জুড়ে ডকুমেন্টেশন টিপসের জন্য আমাদের বেনামীকরণ সামঞ্জস্যতা গাইড দেখুন।