ডেটা কন্ট্রোলারের নাম এবং যোগাযোগের বিশদ প্রদান করুন। এটি সাধারণত আপনার ব্যবসা বা আপনি হবে, যদি আপনি একজন একমাত্র ব্যবসায়ী হন। যেখানে প্রযোজ্য, আপনাকে কন্ট্রোলারের প্রতিনিধি এবং/অথবা ডেটা সুরক্ষা অফিসারের পরিচয় এবং যোগাযোগের বিশদ অন্তর্ভুক্ত করতে হবে।
আপনি যে ধরনের ব্যক্তিগত তথ্য সংগ্রহ করেন তা উল্লেখ করুন, যেমন নাম, ঠিকানা, ব্যবহারকারীর নাম ইত্যাদি। আপনার এতে নির্দিষ্ট বিবরণ অন্তর্ভুক্ত করা উচিত:
আপনি কীভাবে ডেটা সংগ্রহ করেন (যেমন যখন একজন ব্যবহারকারী নিবন্ধন করেন, ক্রয় করেন বা আপনার পরিষেবা ব্যবহার করেন, একটি যোগাযোগ ফর্ম পূরণ করেন, একটি নিউজলেটারে সাইন আপ করেন, ইত্যাদি)
প্রতিটি ডেটা সংগ্রহ পদ্ধতির মাধ্যমে আপনি কোন নির্দিষ্ট ডেটা সংগ্রহ করেন
আপনি যদি তৃতীয় পক্ষের কাছ থেকে ডেটা সংগ্রহ করেন তবে আপনাকে অবশ্যই ডেটা এবং উত্সের বিভাগগুলি নির্দিষ্ট করতে হবে
আপনি যদি সংবেদনশীল ব্যক্তিগত ডেটা বা আর্থিক তথ্য প্রক্রিয়া করেন এবং আপনি কীভাবে এটি পরিচালনা করেন
আপনি ব্যবহারকারীকে ব্যক্তিগত ডেটা এবং সংবেদনশীল ব্যক্তিগত ডেটা সম্পর্কিত প্রাসঙ্গিক সংজ্ঞা প্রদান করতে চাইতে পারেন।
আপনি ডেটা প্রক্রিয়া করবেন এমন সমস্ত পরিষেবা- এবং ব্যবসা-সম্পর্কিত উদ্দেশ্যগুলি বিশদভাবে বর্ণনা করুন। উদাহরণস্বরূপ, এর মধ্যে এমন কিছু থাকতে পারে:
বিষয়বস্তু ব্যক্তিগতকরণ, ব্যবসার তথ্য বা ব্যবহারকারীর অভিজ্ঞতা
অ্যাকাউন্ট সেট আপ এবং প্রশাসন
বিপণন এবং ঘটনা যোগাযোগ প্রদান
জরিপ এবং জরিপ পরিচালনা
অভ্যন্তরীণ গবেষণা এবং উন্নয়ন উদ্দেশ্য
পণ্য এবং পরিষেবা প্রদান
আইনি বাধ্যবাধকতা (যেমন জালিয়াতি প্রতিরোধ)
অভ্যন্তরীণ নিরীক্ষা প্রয়োজনীয়তা পূরণ
দয়া করে মনে রাখবেন এই তালিকাটি সম্পূর্ণ নয়। আপনি ব্যক্তিগত ডেটা প্রক্রিয়া করার জন্য সমস্ত উদ্দেশ্য রেকর্ড করতে হবে।
GDPR-এর মধ্যে থাকা প্রাসঙ্গিক প্রক্রিয়াকরণের শর্তগুলি বর্ণনা করুন। ছয়টি সম্ভাব্য আইনি ভিত্তি রয়েছে:
সম্মতি
চুক্তি
বৈধ স্বার্থ
গুরুত্বপূর্ণ স্বার্থ
পাবলিক টাস্ক
আইনি বাধ্যবাধকতা
আপনার প্রক্রিয়াকরণের জন্য প্রযোজ্য সমস্ত ভিত্তির উপর বিস্তারিত তথ্য প্রদান করুন এবং কেন। আপনি যদি সম্মতির উপর নির্ভর করেন তবে ব্যাখ্যা করুন কিভাবে ব্যক্তিরা তাদের সম্মতি প্রত্যাহার এবং পরিচালনা করতে পারে। আপনি যদি বৈধ স্বার্থের উপর নির্ভর করেন তবে এগুলি কী তা স্পষ্টভাবে ব্যাখ্যা করুন।
আপনি যদি বিশেষ ক্যাটাগরির ব্যক্তিগত ডেটা প্রসেস করে থাকেন, তাহলে আপনাকে অবশ্যই ছয়টি প্রসেসিং শর্তের মধ্যে অন্তত একটি পূরণ করতে হবে, সেইসাথে GDPR-এর অধীনে প্রক্রিয়াকরণের জন্য অতিরিক্ত প্রয়োজনীয়তা পূরণ করতে হবে। প্রযোজ্য সমস্ত অতিরিক্ত ভিত্তিতে তথ্য প্রদান করুন।
ব্যাখ্যা করুন যে আপনি গোপনীয়ভাবে ব্যক্তিগত ডেটা ব্যবহার করবেন এবং আপনি যখন এটি প্রকাশ বা ভাগ করতে পারেন তখন পরিস্থিতি বর্ণনা করবেন। যেমন, আপনার পরিষেবা প্রদান করার জন্য বা আপনার ব্যবসায়িক ক্রিয়াকলাপ পরিচালনা করার জন্য প্রয়োজন হলে, প্রক্রিয়াকরণের জন্য আপনার উদ্দেশ্যগুলিতে বর্ণিত। আপনি তথ্য প্রদান করা উচিত:
আপনি কিভাবে ডেটা শেয়ার করবেন
আপনার জায়গায় কি সুরক্ষা থাকবে
আপনি কোন পক্ষের সাথে ডেটা শেয়ার করতে পারেন এবং কেন
প্রযোজ্য হলে, ব্যাখ্যা করুন যে আপনি ডেটা সাবজেক্টের দেশের বাইরে ডেটা সংরক্ষণ এবং প্রক্রিয়া করতে চান কিনা। আপনার গোপনীয়তা নীতি এবং যে দেশে ডেটা রয়েছে সেই দেশের প্রযোজ্য আইন অনুসারে ডেটা প্রক্রিয়া করা হয়েছে তা নিশ্চিত করতে আপনি যে পদক্ষেপগুলি নেবেন তার রূপরেখা দিন।
আপনি যদি ইউরোপীয় অর্থনৈতিক এলাকার বাইরে ডেটা স্থানান্তর করেন, তাহলে ডেটা গোপনীয়তা সুরক্ষার উপযুক্ত স্তর প্রদানের জন্য আপনি যে ব্যবস্থাগুলি রাখবেন তার রূপরেখা দিন। যেমন চুক্তিভিত্তিক ধারা, তথ্য স্থানান্তর চুক্তি ইত্যাদি।
ডেটা নিরাপত্তার প্রতি আপনার দৃষ্টিভঙ্গি এবং ব্যক্তিগত তথ্য সুরক্ষার জন্য আপনি যে প্রযুক্তি এবং পদ্ধতিগুলি ব্যবহার করেন তা বর্ণনা করুন৷ উদাহরণস্বরূপ, এই ব্যবস্থা হতে পারে:
দুর্ঘটনাজনিত ক্ষতির বিরুদ্ধে ডেটা রক্ষা করতে
অননুমোদিত অ্যাক্সেস, ব্যবহার, ধ্বংস বা প্রকাশ প্রতিরোধ করতে
ব্যবসার ধারাবাহিকতা এবং দুর্যোগ পুনরুদ্ধার নিশ্চিত করতে
ব্যক্তিগত তথ্য অ্যাক্সেস সীমিত করতে
আইন এবং আপনার ব্যবসার নীতি অনুসারে গোপনীয়তার প্রভাব মূল্যায়ন পরিচালনা করতে
ডেটা নিরাপত্তার বিষয়ে কর্মীদের এবং ঠিকাদারদের প্রশিক্ষণ দিতে
চুক্তি এবং নিরাপত্তা পর্যালোচনা ব্যবহারের মাধ্যমে তৃতীয় পক্ষের ঝুঁকি পরিচালনা করতে
দয়া করে মনে রাখবেন এই তালিকাটি সম্পূর্ণ নয়। ব্যক্তিগত ডেটা সুরক্ষিত রাখার জন্য আপনি যে সমস্ত মেকানিজমের উপর নির্ভর করেন তা আপনার রেকর্ড করা উচিত। আপনার সংস্থাটি কিছু স্বীকৃত মান বা নিয়ন্ত্রক প্রয়োজনীয়তা মেনে চলে কিনা তাও আপনাকে জানাতে হবে।
প্রতিটি প্রক্রিয়াকরণের উদ্দেশ্যে আপনি কত সময়ের জন্য তথ্য রাখবেন তার নির্দিষ্ট তথ্য প্রদান করুন। জিডিপিআর আপনাকে যুক্তিসঙ্গতভাবে প্রয়োজনের চেয়ে বেশি সময় ডেটা ধরে রাখতে চায়। আপনার ডেটা বা রেকর্ড ধরে রাখার সময়সূচীর বিশদ বিবরণ অন্তর্ভুক্ত করুন, বা অতিরিক্ত সংস্থানগুলির লিঙ্ক যেখানে এগুলি প্রকাশিত হয়।
আপনি যদি একটি নির্দিষ্ট সময়কাল বলতে না পারেন, তাহলে কতক্ষণের জন্য ডেটা রাখতে হবে তা নির্ধারণ করতে আপনি যে মানদণ্ড প্রয়োগ করবেন তা নির্ধারণ করতে হবে (যেমন স্থানীয় আইন, চুক্তির বাধ্যবাধকতা ইত্যাদি)
আপনার আর প্রয়োজন না থাকার পরে কীভাবে আপনি নিরাপদে ডেটা নিষ্পত্তি করবেন তার রূপরেখাও আপনার উচিৎ।
জিডিপিআর-এর অধীনে, আপনাকে অবশ্যই ডেটা বিষয়গুলির ব্যক্তিগত ডেটা অ্যাক্সেস এবং নিয়ন্ত্রণ করার অধিকারকে সম্মান করতে হবে। আপনার গোপনীয়তা বিজ্ঞপ্তিতে, আপনাকে অবশ্যই তাদের অধিকারের রূপরেখা দিতে হবে:
ব্যক্তিগত তথ্য অ্যাক্সেস
সংশোধন এবং মুছে ফেলা
সম্মতি প্রত্যাহার (যদি সম্মতির শর্তে ডেটা প্রক্রিয়া করা হয়)
ডেটা বহনযোগ্যতা
প্রক্রিয়াকরণ এবং আপত্তির সীমাবদ্ধতা
তথ্য কমিশনারের কার্যালয়ে অভিযোগ দায়ের করা
আপনার ব্যাখ্যা করা উচিত কিভাবে ব্যক্তিরা তাদের অধিকার প্রয়োগ করতে পারে এবং আপনি কীভাবে সাবজেক্ট ডেটা অনুরোধে সাড়া দেওয়ার পরিকল্পনা করছেন। কোনো প্রাসঙ্গিক ছাড় প্রযোজ্য হতে পারে কিনা তা জানান এবং আপনি নির্ভর করতে পারেন এমন কোনো পরিচয় যাচাইকরণ পদ্ধতি নির্ধারণ করুন।
এমন পরিস্থিতির বিশদ অন্তর্ভুক্ত করুন যেখানে ডেটা বিষয়ের অধিকার সীমিত হতে পারে, যেমন যদি ডেটা বিষয়ের অনুরোধ পূরণ করা অন্য ব্যক্তির সম্পর্কে ব্যক্তিগত ডেটা প্রকাশ করতে পারে, বা যদি আপনাকে ডেটা মুছতে বলা হয় যা আপনাকে আইন অনুসারে রাখতে হবে।
যেখানে আপনি প্রোফাইলিং বা অন্যান্য স্বয়ংক্রিয় সিদ্ধান্ত গ্রহণ ব্যবহার করেন, আপনাকে অবশ্যই আপনার গোপনীয়তা নীতিতে এটি প্রকাশ করতে হবে। এই ধরনের ক্ষেত্রে, আপনাকে অবশ্যই যেকোনো স্বয়ংক্রিয় সিদ্ধান্ত গ্রহণের অস্তিত্বের বিশদ বিবরণ প্রদান করতে হবে, সাথে যুক্ত যুক্তি সম্পর্কিত তথ্য এবং ব্যক্তির প্রক্রিয়াকরণের সম্ভাব্য তাত্পর্য এবং পরিণতিগুলি।
আপনার গোপনীয়তা অনুশীলন, তাদের ব্যক্তিগত তথ্য, অথবা যদি তারা অভিযোগ দায়ের করতে চান তাহলে কীভাবে ডেটা বিষয়ের সাথে যোগাযোগ করা যেতে পারে তা ব্যাখ্যা করুন। তারা আপনার সাথে যোগাযোগ করতে পারে এমন সমস্ত উপায় বর্ণনা করুন – যেমন অনলাইনে, ইমেল বা ডাকযোগে।
প্রযোজ্য হলে, আপনি এতে তথ্যও অন্তর্ভুক্ত করতে পারেন:
আপনি আরও তথ্যের জন্য একটি লিঙ্ক অন্তর্ভুক্ত করতে পারেন, অথবা নীতির মধ্যে বর্ণনা করতে পারেন যদি আপনি কুকিজ, ট্র্যাকিং এবং অনুরূপ প্রযুক্তিগুলি আপনার ওয়েবসাইটে ব্যবহারকারীর পছন্দগুলি সংরক্ষণ এবং পরিচালনা করতে, বিজ্ঞাপন দিতে, সামগ্রী সক্ষম করতে বা অন্যথায় ব্যবহারকারী এবং ব্যবহার ডেটা বিশ্লেষণ করতে চান। আপনি কি ধরণের কুকি এবং প্রযুক্তি ব্যবহার করেন, কেন আপনি সেগুলি ব্যবহার করেন এবং একজন ব্যক্তি কীভাবে সেগুলি নিয়ন্ত্রণ ও পরিচালনা করতে পারে সে সম্পর্কে তথ্য সরবরাহ করুন৷
অন্যান্য ওয়েবসাইট / তৃতীয় পক্ষের সামগ্রীর সাথে লিঙ্ক করা
আপনি যদি আপনার ওয়েবসাইট থেকে বাহ্যিক সাইট এবং সংস্থানগুলির সাথে লিঙ্ক করেন, তাহলে এটি অনুমোদন গঠন করে কিনা তা নির্দিষ্ট করুন এবং আপনি যদি কোনো লিঙ্কযুক্ত ওয়েবসাইটের বিষয়বস্তুর (বা তথ্যের মধ্যে থাকা) কোনো দায়িত্ব নেন।
আপনি আপনার ব্যবসার পরিস্থিতির উপর নির্ভর করে আপনার গোপনীয়তা নীতিতে অন্যান্য ঐচ্ছিক ধারা যোগ করার কথা বিবেচনা করতে পারেন।