আমরা কারা?
ডেটা কন্ট্রোলারের নাম এবং যোগাযোগের বিশদ প্রদান করুন। এটি সাধারণত আপনার ব্যবসা বা আপনি হবে, যদি আপনি একজন একমাত্র ব্যবসায়ী হন। যেখানে প্রযোজ্য, আপনাকে কন্ট্রোলারের প্রতিনিধি এবং/অথবা ডেটা সুরক্ষা অফিসারের পরিচয় এবং যোগাযোগের বিশদ অন্তর্ভুক্ত করতে হবে।
আমরা কোন তথ্য সংগ্রহ করি?
আপনি যে ধরনের ব্যক্তিগত তথ্য সংগ্রহ করেন তা উল্লেখ করুন, যেমন নাম, ঠিকানা, ব্যবহারকারীর নাম ইত্যাদি। আপনার এতে নির্দিষ্ট বিবরণ অন্তর্ভুক্ত করা উচিত:
আপনি কীভাবে ডেটা সংগ্রহ করেন (যেমন যখন একজন ব্যবহারকারী নিবন্ধন করেন, ক্রয় করেন বা আপনার পরিষেবা ব্যবহার করেন, একটি যোগাযোগ ফর্ম পূরণ করেন, একটি নিউজলেটারে সাইন আপ করেন, ইত্যাদি)
প্রতিটি ডেটা সংগ্রহ পদ্ধতির মাধ্যমে আপনি কোন নির্দিষ্ট ডেটা সংগ্রহ করেন
আপনি যদি তৃতীয় পক্ষের কাছ থেকে ডেটা সংগ্রহ করেন তবে আপনাকে অবশ্যই ডেটা এবং উত্সের বিভাগগুলি নির্দিষ্ট করতে হবে
আপনি যদি সংবেদনশীল ব্যক্তিগত ডেটা বা আর্থিক তথ্য প্রক্রিয়া করেন এবং আপনি কীভাবে এটি পরিচালনা করেন
আপনি ব্যবহারকারীকে ব্যক্তিগত ডেটা এবং সংবেদনশীল ব্যক্তিগত ডেটা সম্পর্কিত প্রাসঙ্গিক সংজ্ঞা প্রদান করতে চাইতে পারেন।
আমরা কীভাবে ব্যক্তিগত তথ্য ব্যবহার করব?
আপনি ডেটা প্রক্রিয়া করবেন এমন সমস্ত পরিষেবা- এবং ব্যবসা-সম্পর্কিত উদ্দেশ্যগুলি বিশদভাবে বর্ণনা করুন। উদাহরণস্বরূপ, এর মধ্যে এমন কিছু থাকতে পারে:
বিষয়বস্তু ব্যক্তিগতকরণ, ব্যবসার তথ্য বা ব্যবহারকারীর অভিজ্ঞতা
অ্যাকাউন্ট সেট আপ এবং প্রশাসন
বিপণন এবং ঘটনা যোগাযোগ প্রদান
জরিপ এবং জরিপ পরিচালনা
অভ্যন্তরীণ গবেষণা এবং উন্নয়ন উদ্দেশ্য
পণ্য এবং পরিষেবা প্রদান
আইনি বাধ্যবাধকতা (যেমন জালিয়াতি প্রতিরোধ)
অভ্যন্তরীণ নিরীক্ষা প্রয়োজনীয়তা পূরণ
দয়া করে মনে রাখবেন এই তালিকাটি সম্পূর্ণ নয়। আপনি ব্যক্তিগত ডেটা প্রক্রিয়া করার জন্য সমস্ত উদ্দেশ্য রেকর্ড করতে হবে।
আপনার ব্যক্তিগত তথ্য প্রক্রিয়াকরণের জন্য আমাদের কি আইনি ভিত্তি আছে?
GDPR-এর মধ্যে থাকা প্রাসঙ্গিক প্রক্রিয়াকরণের শর্তগুলি বর্ণনা করুন। ছয়টি সম্ভাব্য আইনি ভিত্তি রয়েছে:
সম্মতি
চুক্তি
বৈধ স্বার্থ
গুরুত্বপূর্ণ স্বার্থ
পাবলিক টাস্ক
আইনি বাধ্যবাধকতা
আপনার প্রক্রিয়াকরণের জন্য প্রযোজ্য সমস্ত ভিত্তির উপর বিস্তারিত তথ্য প্রদান করুন এবং কেন। আপনি যদি সম্মতির উপর নির্ভর করেন তবে ব্যাখ্যা করুন কিভাবে ব্যক্তিরা তাদের সম্মতি প্রত্যাহার এবং পরিচালনা করতে পারে। আপনি যদি বৈধ স্বার্থের উপর নির্ভর করেন তবে এগুলি কী তা স্পষ্টভাবে ব্যাখ্যা করুন।
আপনি যদি বিশেষ ক্যাটাগরির ব্যক্তিগত ডেটা প্রসেস করে থাকেন, তাহলে আপনাকে অবশ্যই ছয়টি প্রসেসিং শর্তের মধ্যে অন্তত একটি পূরণ করতে হবে, সেইসাথে GDPR-এর অধীনে প্রক্রিয়াকরণের জন্য অতিরিক্ত প্রয়োজনীয়তা পূরণ করতে হবে। প্রযোজ্য সমস্ত অতিরিক্ত ভিত্তিতে তথ্য প্রদান করুন।
আমরা কখন ব্যক্তিগত ডেটা শেয়ার করি?
ব্যাখ্যা করুন যে আপনি গোপনীয়ভাবে ব্যক্তিগত ডেটা ব্যবহার করবেন এবং আপনি যখন এটি প্রকাশ বা ভাগ করতে পারেন তখন পরিস্থিতি বর্ণনা করবেন। যেমন, আপনার পরিষেবা প্রদান করার জন্য বা আপনার ব্যবসায়িক ক্রিয়াকলাপ পরিচালনা করার জন্য প্রয়োজন হলে, প্রক্রিয়াকরণের জন্য আপনার উদ্দেশ্যগুলিতে বর্ণিত। আপনি তথ্য প্রদান করা উচিত:
আপনি কিভাবে ডেটা শেয়ার করবেন
আপনার জায়গায় কি সুরক্ষা থাকবে
আপনি কোন পক্ষের সাথে ডেটা শেয়ার করতে পারেন এবং কেন
আমরা ব্যক্তিগত ডেটা কোথায় সঞ্চয় ও প্রক্রিয়া করি?
প্রযোজ্য হলে, ব্যাখ্যা করুন যে আপনি ডেটা সাবজেক্টের দেশের বাইরে ডেটা সংরক্ষণ এবং প্রক্রিয়া করতে চান কিনা। আপনার গোপনীয়তা নীতি এবং যে দেশে ডেটা রয়েছে সেই দেশের প্রযোজ্য আইন অনুসারে ডেটা প্রক্রিয়া করা হয়েছে তা নিশ্চিত করতে আপনি যে পদক্ষেপগুলি নেবেন তার রূপরেখা দিন।
আপনি যদি ইউরোপীয় অর্থনৈতিক এলাকার বাইরে ডেটা স্থানান্তর করেন, তাহলে ডেটা গোপনীয়তা সুরক্ষার উপযুক্ত স্তর প্রদানের জন্য আপনি যে ব্যবস্থাগুলি রাখবেন তার রূপরেখা দিন। যেমন চুক্তিভিত্তিক ধারা, তথ্য স্থানান্তর চুক্তি ইত্যাদি।
আমরা কীভাবে ব্যক্তিগত ডেটা সুরক্ষিত করব?
ডেটা নিরাপত্তার প্রতি আপনার দৃষ্টিভঙ্গি এবং ব্যক্তিগত তথ্য সুরক্ষার জন্য আপনি যে প্রযুক্তি এবং পদ্ধতিগুলি ব্যবহার করেন তা বর্ণনা করুন৷ উদাহরণস্বরূপ, এই ব্যবস্থা হতে পারে:
দুর্ঘটনাজনিত ক্ষতির বিরুদ্ধে ডেটা রক্ষা করতে
অননুমোদিত অ্যাক্সেস, ব্যবহার, ধ্বংস বা প্রকাশ প্রতিরোধ করতে
ব্যবসার ধারাবাহিকতা এবং দুর্যোগ পুনরুদ্ধার নিশ্চিত করতে
ব্যক্তিগত তথ্য অ্যাক্সেস সীমিত করতে
আইন এবং আপনার ব্যবসার নীতি অনুসারে গোপনীয়তার প্রভাব মূল্যায়ন পরিচালনা করতে
ডেটা নিরাপত্তার বিষয়ে কর্মীদের এবং ঠিকাদারদের প্রশিক্ষণ দিতে
চুক্তি এবং নিরাপত্তা পর্যালোচনা ব্যবহারের মাধ্যমে তৃতীয় পক্ষের ঝুঁকি পরিচালনা করতে
দয়া করে মনে রাখবেন এই তালিকাটি সম্পূর্ণ নয়। ব্যক্তিগত ডেটা সুরক্ষিত রাখার জন্য আপনি যে সমস্ত মেকানিজমের উপর নির্ভর করেন তা আপনার রেকর্ড করা উচিত। আপনার সংস্থাটি কিছু স্বীকৃত মান বা নিয়ন্ত্রক প্রয়োজনীয়তা মেনে চলে কিনা তাও আপনাকে জানাতে হবে।
আমরা কতক্ষণ আপনার ব্যক্তিগত ডেটা রাখব?
প্রতিটি প্রক্রিয়াকরণের উদ্দেশ্যে আপনি কত সময়ের জন্য তথ্য রাখবেন তার নির্দিষ্ট তথ্য প্রদান করুন। জিডিপিআর আপনাকে যুক্তিসঙ্গতভাবে প্রয়োজনের চেয়ে বেশি সময় ডেটা ধরে রাখতে চায়। আপনার ডেটা বা রেকর্ড ধরে রাখার সময়সূচীর বিশদ বিবরণ অন্তর্ভুক্ত করুন, বা অতিরিক্ত সংস্থানগুলির লিঙ্ক যেখানে এগুলি প্রকাশিত হয়।
আপনি যদি একটি নির্দিষ্ট সময়কাল বলতে না পারেন, তাহলে কতক্ষণের জন্য ডেটা রাখতে হবে তা নির্ধারণ করতে আপনি যে মানদণ্ড প্রয়োগ করবেন তা নির্ধারণ করতে হবে (যেমন স্থানীয় আইন, চুক্তির বাধ্যবাধকতা ইত্যাদি)
আপনার আর প্রয়োজন না থাকার পরে কীভাবে আপনি নিরাপদে ডেটা নিষ্পত্তি করবেন তার রূপরেখাও আপনার উচিৎ।
ব্যক্তিগত ডেটা সম্পর্কিত আপনার অধিকার
জিডিপিআর-এর অধীনে, আপনাকে অবশ্যই ডেটা বিষয়গুলির ব্যক্তিগত ডেটা অ্যাক্সেস এবং নিয়ন্ত্রণ করার অধিকারকে সম্মান করতে হবে। আপনার গোপনীয়তা বিজ্ঞপ্তিতে, আপনাকে অবশ্যই তাদের অধিকারের রূপরেখা দিতে হবে:
ব্যক্তিগত তথ্য অ্যাক্সেস
সংশোধন এবং মুছে ফেলা
সম্মতি প্রত্যাহার (যদি সম্মতির শর্তে ডেটা প্রক্রিয়া করা হয়)
ডেটা বহনযোগ্যতা
প্রক্রিয়াকরণ এবং আপত্তির সীমাবদ্ধতা
তথ্য কমিশনারের কার্যালয়ে অভিযোগ দায়ের করা
আপনার ব্যাখ্যা করা উচিত কিভাবে ব্যক্তিরা তাদের অধিকার প্রয়োগ করতে পারে এবং আপনি কীভাবে সাবজেক্ট ডেটা অনুরোধে সাড়া দেওয়ার পরিকল্পনা করছেন। কোনো প্রাসঙ্গিক ছাড় প্রযোজ্য হতে পারে কিনা তা জানান এবং আপনি নির্ভর করতে পারেন এমন কোনো পরিচয় যাচাইকরণ পদ্ধতি নির্ধারণ করুন।
এমন পরিস্থিতির বিশদ অন্তর্ভুক্ত করুন যেখানে ডেটা বিষয়ের অধিকার সীমিত হতে পারে, যেমন যদি ডেটা বিষয়ের অনুরোধ পূরণ করা অন্য ব্যক্তির সম্পর্কে ব্যক্তিগত ডেটা প্রকাশ করতে পারে, বা যদি আপনাকে ডেটা মুছতে বলা হয় যা আপনাকে আইন অনুসারে রাখতে হবে।
স্বয়ংক্রিয় সিদ্ধান্ত গ্রহণ এবং প্রোফাইলিংয়ের ব্যবহার
যেখানে আপনি প্রোফাইলিং বা অন্যান্য স্বয়ংক্রিয় সিদ্ধান্ত গ্রহণ ব্যবহার করেন, আপনাকে অবশ্যই আপনার গোপনীয়তা নীতিতে এটি প্রকাশ করতে হবে। এই ধরনের ক্ষেত্রে, আপনাকে অবশ্যই যেকোনো স্বয়ংক্রিয় সিদ্ধান্ত গ্রহণের অস্তিত্বের বিশদ বিবরণ প্রদান করতে হবে, সাথে যুক্ত যুক্তি সম্পর্কিত তথ্য এবং ব্যক্তির প্রক্রিয়াকরণের সম্ভাব্য তাত্পর্য এবং পরিণতিগুলি।
আমাদের সাথে কিভাবে যোগাযোগ করবেন?
আপনার গোপনীয়তা অনুশীলন, তাদের ব্যক্তিগত তথ্য, অথবা যদি তারা অভিযোগ দায়ের করতে চান তাহলে কীভাবে ডেটা বিষয়ের সাথে যোগাযোগ করা যেতে পারে তা ব্যাখ্যা করুন। তারা আপনার সাথে যোগাযোগ করতে পারে এমন সমস্ত উপায় বর্ণনা করুন – যেমন অনলাইনে, ইমেল বা ডাকযোগে।
প্রযোজ্য হলে, আপনি এতে তথ্যও অন্তর্ভুক্ত করতে পারেন:
কুকিজ এবং অন্যান্য প্রযুক্তির ব্যবহার
আপনি আরও তথ্যের জন্য একটি লিঙ্ক অন্তর্ভুক্ত করতে পারেন, অথবা নীতির মধ্যে বর্ণনা করতে পারেন যদি আপনি কুকিজ, ট্র্যাকিং এবং অনুরূপ প্রযুক্তিগুলি আপনার ওয়েবসাইটে ব্যবহারকারীর পছন্দগুলি সংরক্ষণ এবং পরিচালনা করতে, বিজ্ঞাপন দিতে, সামগ্রী সক্ষম করতে বা অন্যথায় ব্যবহারকারী এবং ব্যবহার ডেটা বিশ্লেষণ করতে চান। আপনি কি ধরণের কুকি এবং প্রযুক্তি ব্যবহার করেন, কেন আপনি সেগুলি ব্যবহার করেন এবং একজন ব্যক্তি কীভাবে সেগুলি নিয়ন্ত্রণ ও পরিচালনা করতে পারে সে সম্পর্কে তথ্য সরবরাহ করুন৷
অন্যান্য ওয়েবসাইট / তৃতীয় পক্ষের সামগ্রীর সাথে লিঙ্ক করা
আপনি যদি আপনার ওয়েবসাইট থেকে বাহ্যিক সাইট এবং সংস্থানগুলির সাথে লিঙ্ক করেন, তাহলে এটি অনুমোদন গঠন করে কিনা তা নির্দিষ্ট করুন এবং আপনি যদি কোনো লিঙ্কযুক্ত ওয়েবসাইটের বিষয়বস্তুর (বা তথ্যের মধ্যে থাকা) কোনো দায়িত্ব নেন।
আপনি আপনার ব্যবসার পরিস্থিতির উপর নির্ভর করে আপনার গোপনীয়তা নীতিতে অন্যান্য ঐচ্ছিক ধারা যোগ করার কথা বিবেচনা করতে পারেন।