ভারত সরকারের ২০২৩ সালে প্রণীত ডিজিটাল পার্সোনাল ডেটা প্রোটেকশন আইন (ডিপিডিপি অ্যাক্ট) এবং এর সাথে সম্পর্কিত ২০২৫ সালের (DPDP Act 2025) ড্রাফট নিয়মাবলী ভারতের স্টার্টআপ ইকোসিস্টেমের জন্য একটি যুগান্তকারী পরিবর্তন নিয়ে আসছে। এই আইনটি ভারতের প্রথম ব্যাপক ডেটা গোপনীয়তা আইন, যা ব্যক্তিগত ডেটা সংগ্রহ, প্রক্রিয়াকরণ, সংরক্ষণ এবং স্থানান্তর নিয়ন্ত্রণের জন্য ডিজাইন করা হয়েছে। ২০১৭ সালে সুপ্রিম কোর্টের কে.এস. পুত্তাস্বামী বনাম ভারত সরকার মামলায় গোপনীয়তাকে মৌলিক অধিকার হিসেবে ঘোষণার পর এই আইনটি ভারতের ডেটা সুরক্ষা কাঠামোর একটি মাইলফলক। স্টার্টআপগুলির জন্য, যারা প্রায়শই ডেটা-নির্ভর ব্যবসায়িক মডেলের উপর নির্ভর করে, এই আইনটি ব্যাপক চ্যালেঞ্জ এবং সুযোগ নিয়ে আসছে। এই প্রতিবেদনে আমরা ডিপিডিপি অ্যাক্টের স্টার্টআপগুলির উপর প্রভাব, সম্মতি চ্যালেঞ্জ এবং প্রস্তুতির পদক্ষেপগুলি বিশ্লেষণ করব।
ডিপিডিপি অ্যাক্টের মূল বৈশিষ্ট্য
ডিপিডিপি অ্যাক্ট ডিজিটাল ব্যক্তিগত ডেটা প্রক্রিয়াকরণের জন্য কঠোর নির্দেশিকা প্রদান করে। এর মূল বৈশিষ্ট্যগুলির মধ্যে রয়েছে:
সম্মতি ব্যবস্থাপনা: ডেটা সংগ্রহের আগে ডেটা প্রিন্সিপাল (ব্যক্তি) থেকে সুস্পষ্ট, স্বাধীন এবং অবহিত সম্মতি নেওয়া বাধ্যতামূলক। সম্মতি প্রত্যাহারের সুবিধা এবং ইংরেজি সহ ২২টি ভারতীয় ভাষায় গোপনীয়তা নোটিশ প্রদানের বাধ্যবাধকতা রয়েছে।
ডেটা সীমাবদ্ধতা: শুধুমাত্র নির্দিষ্ট উদ্দেশ্যে প্রয়োজনীয় ডেটা সংগ্রহ করা যাবে, এবং উদ্দেশ্য পূরণ হলে ডেটা মুছে ফেলতে হবে।
গুরুত্বপূর্ণ ডেটা ফিডুসিয়ারি (এসডিএফ): যেসব স্টার্টআপ প্রচুর পরিমাণে বা সংবেদনশীল ডেটা প্রক্রিয়া করে, তাদের এসডিএফ হিসেবে শ্রেণীবদ্ধ করা হতে পারে। এর ফলে ডেটা প্রোটেকশন ইমপ্যাক্ট অ্যাসেসমেন্ট (ডিপিআইএ), বার্ষিক অডিট এবং ভারতে ডেটা প্রোটেকশন অফিসার (ডিপিও) নিয়োগের মতো অতিরিক্ত সম্মতি প্রয়োজন হবে।
ডেটা লঙ্ঘন রিপোর্টিং: ডেটা লঙ্ঘনের ক্ষেত্রে ৭২ ঘণ্টার মধ্যে ডেটা প্রোটেকশন বোর্ড অফ ইন্ডিয়া (ডিপিবিআই) এবং প্রভাবিত ব্যক্তিদের অবহিত করতে হবে।
ক্রস-বর্ডার ডেটা স্থানান্তর: সরকার কর্তৃক নিষিদ্ধ দেশগুলি ব্যতীত অন্যান্য দেশে ডেটা স্থানান্তরের অনুমতি রয়েছে, তবে কঠোর শর্ত মেনে চলতে হবে।
স্টার্টআপগুলির উপর প্রভাব
ভারতের স্টার্টআপগুলি, বিশেষ করে ফিনটেক, এডটেক, হেলথটেক এবং ই-কমার্স খাতে, প্রচুর পরিমাণে ব্যক্তিগত ডেটা প্রক্রিয়া করে। ডিপিডিপি অ্যাক্ট তাদের জন্য বেশ কিছু চ্যালেঞ্জ এবং সুযোগ নিয়ে আসছে:
১. বর্ধিত সম্মতি ব্যয়: স্টার্টআপগুলিকে সম্মতি ব্যবস্থাপনা সিস্টেম, ডেটা এনক্রিপশন, এবং নিরাপত্তা ব্যবস্থায় বিনিয়োগ করতে হবে। এসডিএফ হিসেবে শ্রেণীবদ্ধ হলে, ডিপিও নিয়োগ এবং নিয়মিত অডিটের জন্য অতিরিক্ত ব্যয় হবে। এই খরচ সীমিত সম্পদের স্টার্টআপগুলির জন্য চ্যালেঞ্জিং হতে পারে।
২. শিশুদের ডেটা সুরক্ষা: এডটেক এবং গেমিং স্টার্টআপগুলিকে শিশুদের ডেটা প্রক্রিয়াকরণের জন্য পিতামাতার সম্মতি নিতে হবে, যা বয়স-গেটিং প্রযুক্তি এবং অতিরিক্ত সম্মতি প্রক্রিয়ার প্রয়োজন সৃষ্টি করে।
৩. ক্রস-বর্ডার ডেটা স্থানান্তর: অনেক স্টার্টআপ ক্লাউড পরিষেবার জন্য বিদেশী প্রযুক্তির উপর নির্ভর করে। ক্রস-বর্ডার ডেটা স্থানান্তরের নিয়ম তাদের ডেটা স্টোরেজ এবং প্রক্রিয়াকরণ কৌশল পুনর্বিবেচনা করতে বাধ্য করবে।
৪. জরিমানার ঝুঁকি: ডেটা লঙ্ঘন বা সম্মতি লঙ্ঘনের জন্য সর্বোচ্চ ২৫০ কোটি টাকা (প্রায় ৩০ মিলিয়ন মার্কিন ডলার) জরিমানা হতে পারে, যা ছোট স্টার্টআপগুলির জন্য ধ্বংসাত্মক হতে পারে।
৫. গ্রাহকের আস্থা: সম্মতি এবং স্বচ্ছতার উপর জোর দেওয়া স্টার্টআপগুলিকে গ্রাহকের আস্থা অর্জনে সহায়তা করবে, যা তাদের ব্র্যান্ড মূল্য বাড়াতে পারে।
সম্মতি চ্যালেঞ্জ
সীমিত সংস্থান: বড় প্রতিষ্ঠানের তুলনায় স্টার্টআপগুলির আর্থিক এবং প্রযুক্তিগত সংস্থান সীমিত। ডেটা ম্যাপিং, সম্মতি অডিট এবং নিরাপত্তা ব্যবস্থার জন্য প্রয়োজনীয় বিনিয়োগ তাদের জন্য চ্যালেঞ্জিং।
নীতিগত অনিশ্চয়তা: ডিপিডিপি অ্যাক্টের নিয়মাবলী এখনও চূড়ান্ত হয়নি, যা স্টার্টআপগুলির জন্য পরিকল্পনা এবং বাস্তবায়নকে জটিল করে তুলছে।
বিদেশী নিয়মের সঙ্গে সমন্বয়: যেসব স্টার্টআপ বিশ্বব্যাপী কাজ করে, তাদের ইউরোপের জিডিপিআর এবং ক্যালিফোর্নিয়ার সিসিপিএ-র সঙ্গে ডিপিডিপি অ্যাক্টের সমন্বয় করতে হবে, যা জটিল এবং ব্যয়বহুল।
শ্রমশক্তি প্রশিক্ষণ: কর্মীদের ডেটা গোপনীয়তা এবং নিরাপত্তা সম্পর্কে প্রশিক্ষণ দেওয়া এবং ফিশিং-এর মতো সাইবার হুমকি সম্পর্কে সচেতনতা বাড়ানো প্রয়োজন।
স্টার্টআপগুলির জন্য প্রস্তুতির পদক্ষেপ
১. ডেটা ম্যাপিং: স্টার্টআপগুলিকে তাদের ডেটা প্রবাহ ম্যাপ করতে হবে, যাতে ডেটা সংগ্রহ, স্টোরেজ এবং প্রক্রিয়াকরণের প্রক্রিয়া স্পষ্ট হয়।
২. গোপনীয়তা নীতি আপডেট: পরিষ্কার এবং সহজ ভাষায় গোপনীয়তা নোটিশ তৈরি করতে হবে এবং সম্মতি ফর্মে অপ্ট-ইন এবং অপ্ট-আউট বিকল্প অন্তর্ভুক্ত করতে হবে।
৩. নিরাপত্তা ব্যবস্থা: এনক্রিপশন, ডেটা ব্যাকআপ এবং নিয়মিত নিরাপত্তা অডিট বাস্তবায়ন করতে হবে।
৪. ডিপিও নিয়োগ: এসডিএফ হিসেবে শ্রেণীবদ্ধ হওয়ার সম্ভাবনা থাকলে, একজন ডেটা প্রোটেকশন অফিসার নিয়োগের জন্য প্রস্তুতি নিতে হবে।
৫. প্রশিক্ষণ কর্মসূচি: কর্মীদের জন্য নিয়মিত ডেটা গোপনীয়তা এবং সাইবার নিরাপত্তা প্রশিক্ষণের ব্যবস্থা করতে হবে।
বাংলার স্টার্টআপগুলির জন্য তাৎপর্য
পশ্চিমবঙ্গে ক্রমবর্ধমান স্টার্টআপ ইকোসিস্টেম, বিশেষ করে কলকাতা এবং শিলিগুড়ির মতো শহরে, এই আইনের প্রভাব অনুভব করবে। বাংলার ফিনটেক এবং এডটেক স্টার্টআপগুলি প্রচুর পরিমাণে ব্যক্তিগত ডেটা প্রক্রিয়া করে, যেমন আর্থিক তথ্য এবং ছাত্রদের ডেটা। এই আইন তাদের গ্রাহকের আস্থা বাড়াতে সাহায্য করবে, তবে সম্মতি ব্যয় এবং নীতিগত অনিশ্চয়তা তাদের জন্য চ্যালেঞ্জ তৈরি করবে। সরকার স্টার্টআপগুলির জন্য কিছু ছাড় দিতে পারে, যেমন সম্মতি প্রয়োজনীয়তা থেকে অব্যাহতি, যা বাংলার স্টার্টআপগুলির জন্য স্বস্তির কারণ হতে পারে।
ডিপিডিপি অ্যাক্ট ২০২৫ ভারতের স্টার্টআপগুলির জন্য একটি দ্বি-মুখী তলোয়ার। এটি গ্রাহকের আস্থা বাড়ানোর এবং বিশ্বব্যাপী বাজারে প্রতিযোগিতার সুযোগ প্রদান করবে, তবে সম্মতি ব্যয় এবং নীতিগত জটিলতা ছোট স্টার্টআপগুলির জন্য চ্যালেঞ্জ তৈরি করবে। বাংলার স্টার্টআপগুলিকে এখন থেকেই ডেটা ম্যাপিং, নিরাপত্তা ব্যবস্থা এবং প্রশিক্ষণে বিনিয়োগ শুরু করতে হবে। ডিপিডিপি অ্যাক্টের সফল বাস্তবায়ন ভারতের ডিজিটাল অর্থনীতিকে শক্তিশালী করবে এবং স্টার্টআপগুলিকে গ্লোবাল স্টেজে আরও প্রতিযোগিতামূলক করে তুলবে।