মিসরের ব্যক্তিগত তথ্য সুরক্ষা আইন নং ১৫১ (২০২০) কুকি সম্মতি সম্মতি গাইড: প্রকাশকদের জন্য ২০২৬ সালের প্লেবুক
মিসরের ব্যক্তিগত তথ্য সুরক্ষা আইন নং ১৫১ (২০২০) — সাধারণত মিসরীয় PDPL নামে উল্লেখ করা হয় — ১৫ জুলাই ২০২০ সালে জারি করা হয়েছিল এবং ১৪ অক্টোবর ২০২০ সালে কার্যকর হয়েছিল। তারপর থেকে বেশিরভাগ সময় নির্বাহী বিধিমালার অনুপস্থিতি মানে আইনটি একটি প্রয়োগযোগ্য ব্যবস্থা নয় বরং নীতির একটি বিবৃতি হিসেবে রয়ে গিয়েছিল। আইনের অধীনে প্রতিষ্ঠিত এবং যোগাযোগ ও তথ্য প্রযুক্তি মন্ত্রণালয়ের সাথে সংযুক্ত নিয়ন্ত্রক ব্যক্তিগত তথ্য সুরক্ষা কেন্দ্র যখন তার অপারেশনাল কাঠামো, লাইসেন্সিং প্রয়োজনীয়তা এবং আইন ছেড়ে দেওয়া নির্বাহী বিধিমালা প্রকাশ করল তখন তা পরিবর্তিত হয়েছে। ২০২৬ সালের মধ্যে ব্যবস্থাটি সম্পূর্ণ অপারেশনাল, ডেটা কন্ট্রোলার এবং প্রসেসরদের জন্য লাইসেন্সিং ট্র্যাক সক্রিয়, এবং মিসরে পরিচালনাকারী বা মিসরকে টার্গেট করা প্রকাশকরা এমন একটি দেশীয় সম্মতি মানের অধীন যা যেকোনো পুরানো আঞ্চলিক মডেলের চেয়ে GDPR-এর কাছাকাছি। কুকি সম্মতির জন্য এর প্রভাব সরাসরি: পুরানো ব্যবস্থার অধীনে মিসরে কাজ করা একটি ব্যানার এখন যথেষ্ট নয়, এবং GDPR পূরণ করে এমন একটি ব্যানার PDPL পূরণ করবে শুধুমাত্র যখন ইন্টিগ্রেশন দুটি কাঠামো যেখানে পৃথক হয় সেই পয়েন্টগুলি বিবেচনা করে।
মিসরীয় PDPL আসলে কী প্রয়োজন
আইনটি কন্ট্রোলার বা প্রসেসর কোথায় প্রতিষ্ঠিত তা নির্বিশেষে মিসরীয় বাসিন্দাদের ব্যক্তিগত তথ্য প্রক্রিয়াকরণে, এবং ডেটা সাবজেক্টরা কোথায় অবস্থিত তা নির্বিশেষে মিসরে প্রতিষ্ঠিত কন্ট্রোলার ও প্রসেসরদের ক্ষেত্রে প্রযোজ্য। এই আঞ্চলিক বাইরে প্রসারিত GDPR-এর ধারা ৩ প্রতিফলিত করে এবং মানে হল মিসরের বাইরে সদর দপ্তর থাকলেও মিসরীয় পাঠক, অ্যাপ ইনস্টল বা অর্থপ্রদানকারী গ্রাহক আছে এমন প্রকাশক দৃঢ়ভাবে সুযোগের মধ্যে আছে। ব্যক্তিগত তথ্য ব্যাপকভাবে সংজ্ঞায়িত করা হয় যেকোনো শনাক্তযোগ্য বা শনাক্তযোগ্য প্রাকৃতিক ব্যক্তির সাথে সম্পর্কিত যেকোনো তথ্য হিসেবে, এবং সংবেদনশীল ব্যক্তিগত তথ্য — স্বাস্থ্য, বায়োমেট্রিক, জেনেটিক, মানসিক স্বাস্থ্য, আর্থিক, ধর্মীয় বিশ্বাস, রাজনৈতিক মতামত এবং অপরাধমূলক দোষী সাব্যস্ততা তথ্য সহ — উচ্চতর সম্মতি থ্রেশহোল্ড এবং অতিরিক্ত সুরক্ষার অধীন।
আইনটি প্রক্রিয়াকরণের জন্য আইনী ভিত্তি স্থাপন করে, ডেটা সাবজেক্টের অধিকারের স্ট্যান্ডার্ড স্লেট — প্রবেশ, সংশোধন, মুছে ফেলা, সীমাবদ্ধতা, আপত্তি এবং বহনযোগ্যতা — একটি কন্ট্রোলার-প্রসেসর জবাবদিহিতা কাঠামো, লঙ্ঘন বিজ্ঞপ্তি বাধ্যবাধকতা, সীমানা-পারাপার স্থানান্তর নিয়ন্ত্রণ, এবং ছোট লঙ্ঘনের জন্য EGP ১,০০,০০০ থেকে গুরুতর বা বারবার লঙ্ঘনের জন্য EGP ৫ মিলিয়ন পর্যন্ত জরিমানা সহ একটি প্রশাসনিক-জরিমানা ব্যবস্থা। সবচেয়ে গুরুতর বিভাগগুলিতে ফৌজদারি নিষেধাজ্ঞা প্রযোজ্য, যার মধ্যে অলাইসেন্সকৃত সীমানা-পারাপার স্থানান্তর এবং অনুমোদন ছাড়া সংবেদনশীল তথ্য প্রক্রিয়াকরণ অন্তর্ভুক্ত।
PDPL বিশেষভাবে কুকি সম্মতি কীভাবে পরিচালনা করে
ইইউ-এর ePrivacy নির্দেশিকার বিপরীতে, PDPL-এ কুকিজ সম্পর্কে আলাদা বিধান নেই। কুকিজ এবং অনুরূপ স্টোরেজ-এবং-অ্যাক্সেস প্রযুক্তিগুলি সাধারণ সম্মতি কাঠামোর মধ্যে পড়ে: যেকোনো ব্যক্তিগত তথ্য প্রক্রিয়াকরণ যা এর আইনী ভিত্তি হিসেবে সম্মতির উপর নির্ভর করে সেটি ডেটা সাবজেক্ট থেকে একটি স্পষ্ট, স্বেচ্ছামূলক, নির্দিষ্ট এবং নথিভুক্ত সম্মতির প্রকাশের ভিত্তিতে প্রাপ্ত হতে হবে। ব্যক্তিগত তথ্য সুরক্ষা কেন্দ্র, বিধিমালার পর্যায়ক্রমিক শুরুর সময় জারি করা তার নির্দেশনায়, নিশ্চিত করেছে যে পূর্বে টিক চিহ্নিত বাক্স, ব্রাউজিং চালিয়ে যাওয়া থেকে অনুমানকৃত অন্তর্নিহিত সম্মতি, এবং বান্ডেলড সম্মতি ব্যানারগুলি আইনের মান পূরণ করে না। এটি মিসরকে বৈশ্বিক গতিপথে দৃঢ়ভাবে স্থাপন করে এবং মানে হল যে প্রকাশকরা ইতিমধ্যে EEA-র জন্য যে ব্যবহারিক অবস্থান বজায় রাখে তা মিসরীয় ট্র্যাফিকের জন্য সঠিক সূচনা বিন্দু।
ব্যবহারিক প্রভাব হল যে কুকিজ এবং যেকোনো অনুরূপ প্রযুক্তি যা পরিষেবা প্রদানের জন্য কঠোরভাবে প্রয়োজনীয় নয় সেগুলি ব্যবহারকারী সক্রিয়ভাবে সম্মতি না দেওয়া পর্যন্ত সেট করা উচিত নয়। কঠোরভাবে-প্রয়োজনীয় কুকিজ — সেশন শনাক্তকারী, কার্ট বিষয়বস্তু, নিরাপত্তা টোকেন, লোড-ব্যালান্সিং কুকিজ — ব্যবহারকারী সক্রিয়ভাবে পরিষেবার অনুরোধ করেছেন এই ভিত্তিতে সম্মতি ছাড়াই সেট করা যেতে পারে। অন্য সবকিছু — অ্যানালিটিক্স, বিজ্ঞাপন, ব্যক্তিগতকরণ, A/B পরীক্ষা, সেশন রিপ্লে, এবং যেকোনো তৃতীয় পক্ষের ট্যাগ — আগে থেকে সম্মতি প্রয়োজন।
PDPL ব্যবহারিকভাবে GDPR থেকে কীভাবে আলাদা
ইন্টিগ্রেশন স্তরে তিনটি পার্থক্য গুরুত্বপূর্ণ। প্রথমত, PDPL সংবেদনশীল ব্যক্তিগত তথ্য প্রক্রিয়াকরণের সম্মতি লিখিতভাবে বা একটি নথিভুক্ত ইলেকট্রনিক সমতুল্যের মাধ্যমে প্রাপ্ত করতে হবে যা কন্ট্রোলার অনুরোধে প্রদান করতে পারে — GDPR-এর স্পষ্ট-সম্মতি প্রয়োজনীয়তার চেয়ে উচ্চতর প্রমাণমূলক মান। দ্বিতীয়ত, PDPL একটি লাইসেন্সিং ব্যবস্থা আরোপ করে: কন্ট্রোলার এবং প্রসেসরদের ব্যক্তিগত তথ্য সুরক্ষা কেন্দ্রে নিবন্ধন করতে হবে, এবং নির্দিষ্ট প্রক্রিয়াকরণ বিভাগ — সীমানা-পারাপার স্থানান্তর এবং সরাসরি বিপণন সহ — আলাদা অপারেশনাল লাইসেন্স প্রয়োজন। তৃতীয়ত, PDPL-এর সীমানা-পারাপার স্থানান্তর নিয়মগুলির জন্য হয় কেন্দ্রের পক্ষ থেকে পর্যাপ্ততার মনোনয়ন, একটি অনুমোদিত চুক্তিভিত্তিক সুরক্ষা, বা ডেটা সাবজেক্টের স্পষ্ট সম্মতি প্রয়োজন; মনোনয়ন বা সুরক্ষা ছাড়া এখতিয়ারে স্থানান্তর প্রাপকের নিজস্ব সম্মতি অবস্থান নির্বিশেষে সীমাবদ্ধ।
PDPL-এর অধীনে একটি সম্মতিসম্পন্ন কুকি ব্যানার কেমন দেখায়
প্রযুক্তিগত প্রয়োজনীয়তাগুলি প্রতিটি আধুনিক CMP ইতিমধ্যে যা তৈরি করে তার সাথে একত্রিত হয়, কিন্তু লেবেলিং, ডকুমেন্টেশন এবং সম্মতি লগ মিসরীয় বিশেষত্ব প্রতিফলিত করতে হবে। প্রথম স্তরের ব্যানারটি অবশ্যই ব্যবহারকারীকে একটি বাস্তব পছন্দ উপস্থাপন করতে হবে — গ্রহণ করুন, প্রত্যাখ্যান করুন, পরিচালনা করুন — যেখানে প্রত্যাখ্যান বিকল্পটি কমপক্ষে গ্রহণ বিকল্পের মতো বিশিষ্ট। বান্ডেলড সম্মতি নিষিদ্ধ, তাই দ্বিতীয় স্তরটি অবশ্যই ন্যূনতম অ্যানালিটিক্স, বিজ্ঞাপন এবং যেকোনো সীমানা-পারাপার স্থানান্তর-নির্ভর প্রক্রিয়াকরণ কভার করে বিভাগ-প্রতি অপট-ইনের অনুমতি দিতে হবে। বিভাগগুলি অবশ্যই ডিফল্টভাবে বন্ধ থাকতে হবে; ব্যবহারকারী সেগুলি ইতিবাচকভাবে চালু না করা পর্যন্ত ব্যানারটি ট্যাগ লোড করবে না।
ব্যানার থেকে দেওয়া গোপনীয়তা বিজ্ঞপ্তি অবশ্যই কন্ট্রোলারকে চিহ্নিত করতে হবে, কন্ট্রোলারের PDPL লাইসেন্স নম্বর প্রযোজ্য হলে, সংগৃহীত ব্যক্তিগত তথ্যের বিভাগ, প্রতিটি প্রক্রিয়াকরণের উদ্দেশ্যের আইনী ভিত্তি, ডেটা ধারণ মেয়াদ, মিসরের বাইরে অবস্থিত যেকোনো সাব-প্রসেসর সহ প্রাপকদের বিভাগ, আইনের অধীনে ডেটা সাবজেক্টের অধিকার এবং অভিযোগের জন্য ব্যক্তিগত তথ্য সুরক্ষা কেন্দ্রের যোগাযোগ বিবরণ। GDPR-এর ধারা ১৩ মান পূরণকারী একটি বিজ্ঞপ্তি উল্লেখযোগ্যভাবে ওভারল্যাপ করবে, কিন্তু মিসরীয় লাইসেন্স এবং কেন্দ্রের যোগাযোগ লাইনগুলি স্পষ্টভাবে যোগ করতে হবে।
ব্যক্তিগত তথ্য সুরক্ষা কেন্দ্রের পর্যালোচনা পাস করে এমন ইন্টিগ্রেশন প্যাটার্ন
রেফারেন্স ইমপ্লিমেন্টেশনের চারটি চলমান অংশ রয়েছে। প্রথমটি হল একটি CMP যা বিভাগ-প্রতি, ডিফল্ট-অফ অপট-ইন সমর্থন করে এবং একটি কাঠামোগত সম্মতি স্ট্রিংয়ের মাধ্যমে ব্যবহারকারীর পছন্দ প্রকাশ করে যা প্রকাশক সংরক্ষণ করতে পারে। দ্বিতীয়টি হল একটি ট্যাগ-লোডিং স্তর — একটি সার্ভার-সাইড ট্যাগ ম্যানেজার বা CMP-নেটিভ গেট — যা কঠোরভাবে অ-প্রয়োজনীয় কুকি সেট হওয়ার আগে সম্মতির অবস্থা প্রয়োগ করে। তৃতীয়টি হল একটি সম্মতি লগ, সার্ভার-সাইডে সংরক্ষিত, যা প্রতিটি সম্মতি ইভেন্টের জন্য বিভাগ প্রতি ব্যবহারকারীর পছন্দ, টাইমস্ট্যাম্প, ব্যানার সংস্করণ এবং একটি সংক্ষিপ্ত বা হ্যাশড IP শনাক্তকারী রেকর্ড করে যাতে কন্ট্রোলার কেন্দ্রের অনুরোধে রেকর্ড উপস্থাপন করতে পারে। চতুর্থটি হল একটি প্রত্যাহার পথ যা মূল অনুদানের মতো কমপক্ষে সহজ — সাধারণত ফুটারে একটি স্থায়ী ব্যানার পুনরায় খোলার লিঙ্ক।
- অ্যানালিটিক্স ট্যাগ — Google Analytics 4, Adobe Analytics, Matomo, Amplitude, Mixpanel, PostHog — শুধুমাত্র অ্যানালিটিক্স বিভাগ প্রদান করার পরে লোড করতে হবে। প্রতিটি প্ল্যাটফর্ম একটি সম্মতি-গেটেড কনফিগারেশন সমর্থন করে যা গেট ফ্লিপ হওয়ার আগে যেকোনো কুকি রাইট প্রতিরোধ করে।
- বিজ্ঞাপন ট্যাগ — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, প্রোগ্রামাটিক হেডার বিডার — একইভাবে গেট করতে হবে, এবং বিজ্ঞাপন অংশীদার মিসরের বাইরে ডেটা স্থানান্তর করলে প্রাপক এখতিয়ার গোপনীয়তা বিজ্ঞপ্তিতে উপস্থিত হতে হবে। সাধারণ বৈশ্বিক পরিষেবা প্রদানকারীদের দ্বারা প্রক্রিয়াকৃত প্রকাশ কেন্দ্রের নির্দেশনায় যথেষ্ট নয়।
- সেশন-রিপ্লে এবং হিটম্যাপ সরঞ্জাম — Hotjar, Microsoft Clarity, FullStory — একটি আলাদা, কঠোর গেটের পিছনে থাকতে হবে কারণ কেন্দ্র EDPB-এর দৃষ্টিভঙ্গির সাথে একমত হয়েছে যে ইনপুট ক্ষেত্রগুলির রেন্ডারিংয়ের জন্য স্পষ্ট এবং দানাদার সম্মতি প্রয়োজন।
- সীমানা-পারাপার স্থানান্তর প্রকাশ প্রতিটি প্রাপক এখতিয়ারের জন্য নির্দিষ্ট হতে হবে এবং স্থানান্তরের আইনী ভিত্তি উল্লেখ করতে হবে — একটি অনুমোদিত চুক্তিভিত্তিক সুরক্ষা, পর্যাপ্ততার মনোনয়ন, বা স্পষ্ট ডেটা-সাবজেক্ট সম্মতি।
২০২৬ সালের জন্য যাচাইকরণ, লাইসেন্সিং এবং অডিট অবস্থান
২০২৬ সালে একটি রক্ষণযোগ্য মিসরীয় স্থাপনা অবশ্যই চারটি প্রযুক্তিগত পরীক্ষায় উত্তীর্ণ হতে হবে। প্রথমত, একটি মিসরীয় IP ঠিকানা থেকে সরবরাহ করা একটি পরিষ্কার ব্রাউজার সেশন ব্যানার অ্যাকশন নেওয়ার আগে শূন্য অ-প্রয়োজনীয় কুকি তৈরি করতে হবে। দ্বিতীয়ত, reject-all পথ অবশ্যই কোনো অ্যাকশন না নেওয়া সেশনের মতো একই অবস্থানে পরিণত হতে হবে — কোনো অ্যানালিটিক্স ট্যাগ নেই, কোনো বিজ্ঞাপন ট্যাগ নেই, কোনো সেশন-রিপ্লে স্ক্রিপ্ট নেই। তৃতীয়ত, accept-all ফ্লো অবশ্যই শুধুমাত্র ব্যবহারকারী যে ট্যাগগুলিতে সম্মতি দিয়েছে সেগুলি তৈরি করতে হবে, এবং সম্মতি লগে একটি মিলে যাওয়া রেকর্ড থাকতে হবে। চতুর্থত, প্রত্যাহার ফ্লো অবশ্যই অবিলম্বে আরও ট্যাগ ফায়ার বন্ধ করতে হবে, সম্মতিপ্রাপ্ত সেশনের সময় সেট করা কুকিজ মেয়াদ শেষ করতে হবে এবং প্রাপক অংশীদারদের প্রয়োজনীয় যেকোনো ডাউনস্ট্রিম মুছে ফেলা বা অপট-আউট সংকেত ট্রিগার করতে হবে।
প্রযুক্তিগত পরীক্ষার বাইরে, লাইসেন্সিং এবং অডিট অবস্থান হল যা একটি স্থাপনাকে রক্ষণযোগ্য করে তোলে। নির্বাহী বিধিমালা দ্বারা নির্ধারিত সীমার উপরে মিসরীয় বাসিন্দাদের ব্যক্তিগত তথ্য প্রক্রিয়াকারী কন্ট্রোলারদের ব্যক্তিগত তথ্য সুরক্ষা কেন্দ্রে নিবন্ধিত হতে হবে, এবং নিবন্ধন রেকর্ড — সম্মতি লগ, গোপনীয়তা বিজ্ঞপ্তি, উচ্চ-ঝুঁকির প্রক্রিয়াকরণের জন্য ডেটা-সুরক্ষা-প্রভাব-মূল্যায়নের ফলাফল এবং যেকোনো সীমানা-পারাপার স্থানান্তর অনুমোদন সহ — কেন্দ্র একটি সম্মতি পর্যালোচনার সময় অনুরোধ করতে পারে এমন ডকুমেন্টেশন গঠন করে। একটি সার্ভার-সাইড লগ সহ সঠিকভাবে কনফিগার করা CMP, সম্মতির অবস্থা প্রয়োগকারী একটি ট্যাগ-লোডিং স্তর, প্রতিটি সীমানা-পারাপার স্থানান্তর গন্তব্যের নাম বলে এমন একটি গোপনীয়তা বিজ্ঞপ্তি এবং ফাইলে লাইসেন্সিং কাগজপত্র — এটিই মিসরীয় PDPL-কে একটি নিয়ন্ত্রক অজ্ঞাত থেকে প্রকাশকের MENA-অঞ্চল সম্মতি অবস্থানের একটি রক্ষণযোগ্য অংশে পরিণত করে।