ডেটা সুরক্ষা এবং সুরক্ষা বাধ্যবাধকতাও কঠোর করা হচ্ছে। শুধুমাত্র সাংগঠনিক এবং প্রযুক্তিগত উভয় ক্ষেত্রেই যথাযথ নিরাপত্তা থাকা উচিত নয়, ব্যবস্থাগুলি অবশ্যই প্রক্রিয়াকৃত ডেটার ন্যূনতমকরণ এবং অধিকার প্রয়োগ করার ক্ষমতা নিশ্চিত করতে হবে। উদাহরণস্বরূপ, ডেটা সহজে মুছে ফেলা ছাড়া সংরক্ষণ করা যাবে না, এমন কিছু যা সমস্যা তৈরি করতে পারে, বিশেষত ব্যাকআপগুলির সাথে। ব্যবস্থাগুলিকে নিশ্চিত করতে হবে যে শুধুমাত্র নির্দিষ্ট এবং পূর্বনির্ধারিত উদ্দেশ্যে প্রয়োজনীয় ডেটা প্রক্রিয়া করা হয়। একে ডিজাইন দ্বারা গোপনীয়তা বলা হয় : সিস্টেমটি জড়িতদের গোপনীয়তার গ্যারান্টি দেওয়ার জন্য ডিজাইন করা হয়েছে। একটি সম্পর্কিত ধারণা হল ডিফল্টরূপে গোপনীয়তা: সিস্টেমটি যতটা সম্ভব গোপনীয়তা-বান্ধব হিসাবে কাজ করে, যদি না বিশেষ কিছু করা হয় বা সংশ্লিষ্ট ব্যক্তি একটি সেটিং পরিবর্তন না করেন। যাইহোক, সিস্টেমের ডিফল্ট সেটিংস যতটা সম্ভব গোপনীয়তা-বান্ধব হিসাবে সেট করা উচিত।
তৃতীয় পক্ষের সাথে কাজ করা
বাস্তবে, ডেটা প্রায়ই একাধিক পক্ষ দ্বারা প্রক্রিয়া করা হবে। এটি সাধারণত কন্ট্রোলার এবং প্রসেসরের মধ্যে সম্পর্ক নিয়ে উদ্বেগ প্রকাশ করে। এর মধ্যে সেই দলগুলি অন্তর্ভুক্ত রয়েছে যেগুলি ডেটা হোস্ট করে বা এর পক্ষে ইমেল পাঠায়৷ রেগুলেশন, Wbp-এর মতো, শর্ত দেয় যে একটি প্রক্রিয়াকরণ চুক্তি অবশ্যই শেষ করতে হবে। যাইহোক, প্রবিধানটি বেশ কয়েকটি নির্দিষ্ট পয়েন্ট চিহ্নিত করে যা এই চুক্তিতে অন্তর্ভুক্ত করা আবশ্যক, যার মধ্যে রয়েছে:
ডেটা প্রক্রিয়াকরণের উদ্দেশ্য;
ব্যক্তিগত তথ্যের ধরন যা প্রক্রিয়া করা হয়;
যথাযথভাবে ডেটা সুরক্ষিত করা;
নিরীক্ষা চালানো;
উপরন্তু, প্রসেসরকে এখন থেকে নিয়ন্ত্রকের পূর্ব লিখিত সম্মতি ছাড়া ব্যক্তিগত ডেটা প্রক্রিয়া করার জন্য কোনও বহিরাগত পক্ষকে নিযুক্ত করার অনুমতি দেওয়া হবে না।
তথ্য ফাঁস
জানুয়ারী 1, 2016 থেকে, নেদারল্যান্ডস Wbp-এ ডেটা ফাঁসের জন্য একটি রিপোর্টিং বাধ্যবাধকতা পেয়েছে। প্রবিধান কার্যকর হওয়ার সাথে সাথে এটির মেয়াদ শেষ হয়ে যাবে। তারপর থেকে, প্রবিধানের প্রবিধান প্রযোজ্য। এটি মোটামুটিভাবে একই জিনিসের পরিমাণ: যদি ডেটা দুর্ঘটনাক্রমে বা ইচ্ছাকৃতভাবে হারিয়ে যায় বা রাস্তায় শেষ হয়ে যায়, তাহলে এটি 72 ঘন্টার মধ্যে সুপারভাইজারকে জানাতে হবে। যদি ফাঁসটি ক্ষতিগ্রস্তদের জন্য একটি উচ্চ ঝুঁকি তৈরি করার সম্ভাবনা থাকে, তাহলে তাদেরও ফাঁস সম্পর্কে অবহিত করা উচিত।
যদি ডেটা দুর্ঘটনাক্রমে বা ইচ্ছাকৃতভাবে হারিয়ে ইতালির ফোন নাম্বার কয়টা যায় বা রাস্তায় শেষ হয়ে যায়, তাহলে এটি অবশ্যই 72 ঘন্টার মধ্যে সুপারভাইজারকে জানাতে হবে।
নতুন কি হল যে প্রসেসর ডাটা লঙ্ঘনের বিষয়ে কন্ট্রোলারের কাছে রিপোর্ট করতে বাধ্য, এমন কিছু যা Wbp-এর অধীনে স্পষ্টভাবে প্রতিষ্ঠিত নয় (তবে অবশ্যই যেকোন প্রসেসর চুক্তিতে চুক্তিবদ্ধভাবে অন্তর্ভুক্ত করা যেতে পারে)। আমাদের বর্তমান রিপোর্টিং বাধ্যবাধকতার সাথে সবচেয়ে গুরুত্বপূর্ণ পার্থক্য হল যে ফাঁসটি আসলেই যদি লিক হয়ে থাকে তবেই কেবল সুপারভাইজারকে রিপোর্ট করতে হবে। আমাদের বর্তমান রিপোর্টিং বাধ্যবাধকতা ইতিমধ্যেই একটি ঘটনাকে ডেটা লঙ্ঘন বলে অভিহিত করে যখন ব্যক্তিগত ডেটার বেআইনি প্রক্রিয়াকরণকে উড়িয়ে দেওয়া যায় না।
গোপনীয়তা কর্মকর্তা
গোপনীয়তা অফিসার হলেন একজন ব্যক্তি যিনি একটি প্রতিষ্ঠানের মধ্যে ব্যক্তিগত ডেটা পরিচালনার উপর নজর রাখেন এবং সংস্থাটি আইন এবং প্রযোজ্য প্রবিধান মেনে চলে কিনা তা পরীক্ষা করে। গোপনীয়তা কর্মকর্তাকে অবশ্যই একটি গোপনীয়তা সংস্থান হিসাবে স্বাধীনভাবে কাজ করতে সক্ষম হতে হবে এবং অভ্যন্তরীণ এবং বাহ্যিকভাবে নিয়োগ করা যেতে পারে। গোপনীয়তা অফিসার সরকারী সংস্থাগুলির জন্য বাধ্যতামূলক হবে, তবে সেই সংস্থাগুলির জন্যও যেগুলি পদ্ধতিগতভাবে বৃহৎ স্কেলে লোকদের পর্যবেক্ষণ করে বা যেগুলি বৃহৎ স্কেলে বিশেষ ব্যক্তিগত ডেটা প্রক্রিয়া করে (যেমন চিকিৎসা বা অপরাধমূলক ডেটা)।
যাইহোক, একটি সদস্য রাষ্ট্র নিজেই সেই ক্ষেত্রে পরিপূরক করতে পারে যেখানে একজন গোপনীয়তা অফিসার বাধ্যতামূলক। এর মানে হল যে নেদারল্যান্ডস সিদ্ধান্ত নিতে পারে যে উপরের মামলাগুলি ছাড়াও, একটি সংস্থাও একটি গোপনীয়তা অফিসার নিয়োগ করতে বাধ্য যদি, উদাহরণস্বরূপ, এটি 250 জন কর্মচারী নিয়োগ করে। নেদারল্যান্ডসে অতিরিক্ত মামলা প্রযোজ্য হবে কিনা তা এখনও স্পষ্ট নয়।