গোপনীয়তা নীতি

সেকশন ১

কী কী তথ্য সংগ্রহ করি

আমরা তিন ধরনের তথ্য সংগ্রহ করি — ব্যক্তিগত, চিকিৎসা ও লেনদেন সংক্রান্ত।

ব্যক্তিগত তথ্য

অ্যাকাউন্ট তৈরি ও সেবা গ্রহণের জন্য নিম্নলিখিত তথ্য সংগ্রহ করি:

• নাম, বয়স, লিঙ্গ ও জন্মতারিখ।
• মোবাইল নম্বর ও ইমেইল ঠিকানা (যাচাইকৃত)।
• ঠিকানা — বিভাগ, জেলা, উপজেলা, পোস্ট কোড।
• প্রোফাইল ছবি (ঐচ্ছিক)।
• জাতীয় পরিচয়পত্র নম্বর — শুধুমাত্র প্রয়োজনীয় ক্ষেত্রে (যেমন বিমা দাবি, কর্পোরেট ভেরিফিকেশন)।

চিকিৎসা সংক্রান্ত তথ্য

• রক্তের গ্রুপ ও জীবনযাপনগত তথ্য (উচ্চতা, ওজন)।
• চিকিৎসা ইতিহাস, পূর্ববর্তী রোগ ও সার্জারি।
• ডিজিটাল প্রেসক্রিপশন ও টেস্ট রিপোর্ট।
• অ্যালার্জি, বর্তমান ঔষধ ও ক্রনিক ডিজঅর্ডার।
• টেলিমেডিসিন কনসালটেশন (চ্যাট, প্রয়োজনে রেকর্ডিং)।

চিকিৎসা সংক্রান্ত তথ্য বিশেষ-শ্রেণির সংবেদনশীল ডেটা; এর প্রতিটি অ্যাক্সেস লগ করা হয়।

লেনদেন ও ব্যবহারের তথ্য

• পেমেন্ট পদ্ধতি ও ট্রানজেকশন আইডি (কার্ডের ফুল নম্বর কখনোই সংরক্ষণ করি না)।
• অ্যাপয়েন্টমেন্ট ও বুকিং ইতিহাস।
• IP ঠিকানা, ডিভাইস ও ব্রাউজার তথ্য (নিরাপত্তার জন্য)।
• ক্লিক, পেজ ভিজিট ও সেশন সময়কাল (অ্যানালিটিক্সের জন্য বেনামি আকারে)।

সেকশন ২

কেন এই তথ্য ব্যবহার করি

সেবা প্রদান, যোগাযোগ ও সেবার মান উন্নয়নের নির্দিষ্ট উদ্দেশ্যে।

সেবা প্রদান ও পরিচালনা

• অ্যাপয়েন্টমেন্ট, টেলিমেডিসিন ও মেডিকেল রেকর্ড পরিচালনা।
• ডাক্তার ও রোগীর মধ্যে সুরক্ষিত যোগাযোগ সক্ষম করা।
• পেমেন্ট প্রক্রিয়াকরণ ও রিফান্ড।
• রিমাইন্ডার, কনফার্মেশন ও নোটিফিকেশন পাঠানো।

উন্নয়ন ও বিশ্লেষণ

• সেবার মান, কার্যকারিতা ও ব্যবহারকারী অভিজ্ঞতা উন্নয়ন।
• বেনামি (anonymized) ডেটা থেকে স্বাস্থ্য-প্রবণতা বিশ্লেষণ।
• ভুল, ত্রুটি ও জালিয়াতি সনাক্তকরণ।

আইনগত বাধ্যবাধকতা

• সরকারি স্বাস্থ্য রিপোর্টিং ও কর সংক্রান্ত প্রয়োজনীয়তা।
• আইনি অনুরোধ, সমন বা আদালতের আদেশ।

কোনো আইনি অনুরোধ পেলেও কেবল আইনত প্রয়োজনীয় ন্যূনতম তথ্যই সরবরাহ করা হয়।

সেকশন ৩

তথ্য সুরক্ষা ব্যবস্থা

প্রযুক্তিগত ও প্রক্রিয়াগত সুরক্ষা স্তরের বিবরণ।

প্রযুক্তিগত সুরক্ষা

• ২৫৬-bit SSL/TLS এনক্রিপশন — পরিবহন ও সংরক্ষণে।
• পাসওয়ার্ড bcrypt হ্যাশিং; কখনোই প্লেইন টেক্সটে সংরক্ষিত নয়।
• ক্লাউড ডেটাবেস ব্যাকআপ — দৈনিক ও স্বয়ংক্রিয় Disaster Recovery।
• WAF, DDoS প্রতিরোধ ও বট-শনাক্তকরণ।

অ্যাক্সেস কন্ট্রোল

• ভূমিকা-ভিত্তিক অনুমতি (RBAC) — কর্মী কেবল প্রয়োজনীয় ডেটা দেখেন।
• টু-ফ্যাক্টর অথেনটিকেশন (2FA) প্রশাসনিক অ্যাক্সেসে বাধ্যতামূলক।
• প্রতিটি অ্যাক্সেস ও পরিবর্তনের অডিট লগ ১২ মাস সংরক্ষিত।

নিয়মিত নিরাপত্তা পর্যালোচনা

• বার্ষিক পেনিট্রেশন টেস্ট ও দুর্বলতা স্ক্যান।
• কর্মীদের নিয়মিত সুরক্ষা প্রশিক্ষণ।
• সিকিউরিটি ইনসিডেন্ট রেসপন্স প্ল্যান (SIRP) ৭২ ঘণ্টার মধ্যে নোটিফিকেশন।

কোনো ডেটা লঙ্ঘন (data breach) ঘটলে আমরা আইন অনুসারে আপনাকে ও সংশ্লিষ্ট কর্তৃপক্ষকে অবিলম্বে অবহিত করব।

সেকশন ৪

তথ্য কাদের সাথে শেয়ার করি

সুনির্দিষ্ট ও সীমিত উদ্দেশ্যে নির্বাচিত পক্ষের সাথে।

অনুমোদিত প্রাপক

• ডাক্তার: চিকিৎসা প্রদানের জন্য — কেবল আপনার সম্মতিক্রমে শেয়ারকৃত রিপোর্ট।
• ফার্মেসি অংশীদার: ঔষধ ডেলিভারির জন্য কেবল প্রেসক্রিপশন তথ্য।
• ডায়াগনস্টিক সেন্টার: টেস্ট প্রক্রিয়াকরণে প্রয়োজনীয় ন্যূনতম তথ্য।
• পেমেন্ট গেটওয়ে: বিকাশ, স্ট্রাইপ, SSLCommerz — শুধু লেনদেন প্রক্রিয়াকরণে।

যা আমরা কখনোই করি না

• বিজ্ঞাপনী বা মার্কেটিং প্ল্যাটফর্মে তথ্য বিক্রয়।
• আপনার সম্মতি ছাড়া ডেটা ব্রোকার বা তৃতীয় পক্ষকে হস্তান্তর।
• চিকিৎসা ডেটা ব্যবহার করে বিজ্ঞাপন টার্গেটিং।

সমস্ত তৃতীয় পক্ষ ডেটা প্রসেসিং অ্যাগ্রিমেন্ট (DPA)-এ স্বাক্ষরিত এবং একই মানের সুরক্ষা মেনে চলে।

সেকশন ৫

কুকিজ ও ট্র্যাকিং প্রযুক্তি

কোন কুকি কেন ব্যবহার করি এবং কীভাবে নিয়ন্ত্রণ করবেন।

যে কুকিজ ব্যবহার করি

• অপরিহার্য কুকিজ: লগইন সেশন, কার্ট, নিরাপত্তা টোকেন — অক্ষম করা যায় না।
• কার্যকারিতা কুকিজ: পছন্দের ভাষা, থিম, রিজিয়ন।
• অ্যানালিটিক্স কুকিজ: Google Analytics (বেনামি IP) — সাইট পারফরম্যান্স বুঝতে।

কীভাবে নিয়ন্ত্রণ করবেন

• ব্রাউজার সেটিংস থেকে কুকিজ ব্লক বা ডিলিট করতে পারেন।
• প্রথম ভিজিটে কুকি ব্যানার থেকে অগ্রাধিকার সেট করুন।
• অপরিহার্য কুকি অক্ষম করলে কিছু ফিচার কাজ নাও করতে পারে।

সেকশন ৬

আপনার অধিকার ও নিয়ন্ত্রণ

নিজের তথ্যের উপর আপনার পূর্ণ অধিকার।

আপনার অধিকারসমূহ

• অ্যাক্সেস: আমাদের কাছে থাকা আপনার সমস্ত তথ্য দেখার অধিকার।
• সংশোধন: ভুল বা পুরাতন তথ্য সংশোধন।
• মুছে ফেলা ("Right to be Forgotten"): আইনি বাধ্যবাধকতা না থাকলে স্থায়ীভাবে মুছে ফেলার অনুরোধ।
• পোর্টেবিলিটি: সমস্ত ডেটা JSON/PDF আকারে ডাউনলোড।
• সম্মতি প্রত্যাহার: মার্কেটিং বা অ-অপরিহার্য প্রক্রিয়াকরণ থেকে যেকোনো সময় opt-out।
• অভিযোগ: আমাদের DPO-র কাছে এবং তারপর সরকারি কর্তৃপক্ষের কাছে অভিযোগ।

অধিকার প্রয়োগের পদ্ধতি

• প্রোফাইল → সেটিংস → "ডেটা ও গোপনীয়তা" পেজ থেকে অধিকাংশ অনুরোধ স্বয়ংক্রিয়ভাবে সম্পন্ন হয়।
• বা privacy@doctorpara.com-এ ইমেইল করুন।
• অনুরোধ ৩০ দিনের মধ্যে পর্যালোচিত ও কার্যকর হবে।

সেকশন ৭

তথ্য কতদিন সংরক্ষিত থাকে

বিভিন্ন ধরনের ডেটার নির্দিষ্ট সংরক্ষণ সময়সীমা।

সংরক্ষণ সময়সীমা

• অ্যাকাউন্ট তথ্য: অ্যাকাউন্ট সক্রিয় থাকা পর্যন্ত।
• মেডিকেল রেকর্ড: অ্যাকাউন্ট ডিলিটের পর ৭ বছর (চিকিৎসা আইন অনুসারে)।
• লেনদেন রেকর্ড: কর ও আর্থিক আইন অনুসারে ৫ বছর।
• লগইন/অডিট লগ: ১২ মাস।
• অ্যানালিটিক্স ডেটা: বেনামি আকারে অনির্দিষ্টকাল।

সংরক্ষণ সময় শেষে ডেটা স্থায়ীভাবে ও নিরাপদে মুছে ফেলা হয় (cryptographic erasure)।

সেকশন ৮

শিশুদের গোপনীয়তা

নাবালক ব্যবহারকারীদের জন্য বিশেষ সুরক্ষা।

বয়স ও অভিভাবকীয় সম্মতি

• আমাদের সেবা প্রাথমিকভাবে ১৮ বছর+ বয়সীদের জন্য।
• শিশুদের জন্য অ্যাপয়েন্টমেন্ট অভিভাবকের অ্যাকাউন্ট থেকে নিতে হবে।
• অভিভাবকীয় সম্মতি ছাড়া ১৩ বছরের কম বয়সীদের কাছ থেকে কোনো তথ্য সরাসরি সংগ্রহ করি না।
• যদি দেখা যায় কোনো নাবালক সরাসরি অ্যাকাউন্ট তৈরি করেছে — ৭ দিনের মধ্যে অ্যাকাউন্ট মুছে ফেলা হবে।

সেকশন ৯

আন্তর্জাতিক ডেটা ট্রান্সফার

যখন ডেটা বাংলাদেশের বাইরে প্রক্রিয়াজাত হয়।

ক্রস-বর্ডার ট্রান্সফার

• আমাদের প্রধান ডেটা সেন্টার বাংলাদেশে; কিছু ক্লাউড সার্ভিস (ইমেইল, ব্যাকআপ) সিঙ্গাপুর/ভারতে হোস্টেড।
• সকল আন্তর্জাতিক ট্রান্সফার Standard Contractual Clauses (SCC)-এর আওতায়।
• প্রাপক দেশের আইন বাংলাদেশের সমতুল্য সুরক্ষা না দিলে অতিরিক্ত সুরক্ষা ব্যবস্থা গ্রহণ।

সেকশন ১০

নীতি পরিবর্তন ও বিজ্ঞপ্তি

এই নীতি কীভাবে আপডেট হয় এবং আপনাকে কীভাবে জানানো হয়।

আপডেট প্রক্রিয়া

• ছোট পরিবর্তন (টাইপো, স্পষ্টীকরণ) এই পেজে সরাসরি প্রতিফলিত হয়।
• উল্লেখযোগ্য পরিবর্তনের ক্ষেত্রে কার্যকর হওয়ার ৩০ দিন আগে ইমেইল ও in-app নোটিফিকেশনে জানানো হয়।
• প্রতিটি পরিবর্তনের সংস্করণ ও তারিখ এই পেজের শীর্ষে দৃশ্যমান।

আপনি যদি নতুন নীতিতে অসম্মত হন — কার্যকর তারিখের আগে অ্যাকাউন্ট ডিলিট করার বিকল্প থাকবে।