কার্যকর তারিখ: ২৫ জানুয়ারি, ২০২৩
প্রয়োগের সীমা: এই গোপনীয়তা নীতি TGV (tgvpn.io)-এর অধীনে সমস্ত MTProto প্রক্সি সেবা, ওয়েবসাইট এবং ক্লায়েন্টদের ক্ষেত্রে প্রযোজ্য। ইইউ বাসিন্দা এবং ইউরোপীয় ইউনিয়নের মধ্যে আমাদের সেবা অ্যাক্সেসকারী ব্যবহারকারীদের জন্য, আমরা ব্যবহারকারীর গোপনীয়তা এবং বৈধ ডেটা অধিকার রক্ষা করতে EU সাধারণ ডেটা সুরক্ষা বিধি (GDPR) (বিধি (EU) 2016/679) সম্পূর্ণরূপে মেনে চলি।
1. ডেটা নিয়ন্ত্রকের তথ্য (GDPR বাধ্যতামূলক প্রকাশ)
ডেটা নিয়ন্ত্রক হিসাবে, TGV ব্যবহারকারীদের তাদের GDPR অধিকার অনুশীলনে সহায়তা করার জন্য নিম্নলিখিত তথ্য প্রকাশ করে:
- ডেটা নিয়ন্ত্রক: TGV VPN সেবাসমূহ
- নিবন্ধিত ঠিকানা: ডাবলিন, আয়ারল্যান্ড (ইইউ)। বিস্তারিত ঠিকানা গোপনীয়তা ইমেইলের মাধ্যমে অনুরোধ সাপেক্ষে পাওয়া যাবে।
- ডেটা সুরক্ষা কর্মকর্তা (DPO): ডেডিকেটেড গোপনীয়তা ইমেইলের মাধ্যমে যোগাযোগ করুন: privacy@tgvpn.io
- ইইউ তত্ত্বাবধায়ক কর্তৃপক্ষ: ডেটা প্রোটেকশন কমিশন (DPC), আয়ারল্যান্ড। অফিসিয়াল অভিযোগ চ্যানেল: https://www.dataprotection.ie
- যোগাযোগ: গোপনীয়তা অনুসন্ধান, ডেটা অধিকার অনুরোধ এবং অভিযোগের জন্য দয়া করে ইমেইল করুন privacy@tgvpn.io। আমরা GDPR-এর প্রয়োজনীয় ৩০ দিনের মধ্যে বিনামূল্যে সাড়া দেব।
2. মূল GDPR সম্মতি নীতি (ধারা 5)
TGV GDPR ধারা 5-এর অধীনে সাতটি মূল নীতি কঠোরভাবে মেনে চলে। সমস্ত ডেটা প্রক্রিয়াকরণ কার্যক্রম সম্পূর্ণরূপে নিম্নলিখিত মান মেনে চলে:
- আইনসঙ্গতা, ন্যায্যতা ও স্বচ্ছতা: সমস্ত ডেটা প্রক্রিয়াকরণের স্পষ্ট আইনি ভিত্তি রয়েছে। আমরা প্রক্রিয়াকরণের উদ্দেশ্য, সীমা এবং পদ্ধতি সম্পূর্ণরূপে প্রকাশ করি, কোন গোপন বা বিভ্রান্তিকর বিবৃতি ছাড়া।
- উদ্দেশ্য সীমাবদ্ধতা: ডেটা শুধুমাত্র স্পষ্ট উদ্দেশ্যে প্রক্রিয়া করা হয় যার মধ্যে রয়েছে সেবা প্রদান, অ্যাকাউন্ট ব্যবস্থাপনা, নিরাপত্তা সুরক্ষা এবং সমস্যা সমাধান। কোন অপ্রাসঙ্গিক ব্যবহার অনুমোদিত নয়।
- ডেটা মিনিমাইজেশন: আমরা সেবা প্রদানের জন্য প্রয়োজনীয় ন্যূনতম ডেটা সংগ্রহ করি। কোন অপ্রয়োজনীয় ব্যক্তিগত বা সংবেদনশীল ডেটা সংগ্রহ করা হয় না।
- সঠিকতা: ব্যবহারকারীর ডেটা আপ-টু-ডেট রাখা হয় এবং সঠিকতা ও সম্পূর্ণতা নিশ্চিত করতে সংশোধনযোগ্য চ্যানেল রয়েছে।
- সংরক্ষণের সীমাবদ্ধতা: ডেটা শুধুমাত্র সর্বনিম্ন প্রয়োজনীয় সময়ের জন্য সংরক্ষণ করা হয় এবং আর প্রয়োজন না হলে স্থায়ীভাবে মুছে ফেলা হয়।
- অখণ্ডতা ও গোপনীয়তা: ডেটা ফাঁস, টেম্পারিং এবং অপব্যবহার রোধ করতে এনক্রিপশন এবং অ্যাক্সেস নিয়ন্ত্রণ ব্যবস্থা বাস্তবায়িত হয়েছে।
- জবাবদিহিতা: আমরা GDPR সম্মতি প্রমাণ করতে সম্পূর্ণ প্রক্রিয়াকরণ রেকর্ড বজায় রাখি এবং নিয়ন্ত্রক অডিট গ্রহণ করি।
3. সংগৃহীত ব্যক্তিগত ডেটা (ফিল্ড-নির্দিষ্ট বিবরণ)
3.1 অপরিহার্য সেবা ডেটা (মিনিমাইজড সংগ্রহ)
MTProto প্রক্সি সেবা প্রদানের জন্য, আমরা শুধুমাত্র নিম্নলিখিত অপরিহার্য ডেটা সংগ্রহ করি, কোন অপ্রয়োজনীয় সংগ্রহ ছাড়া:
- সংযোগ মেটাডেটা: স্থিতিশীলতা পর্যবেক্ষণ এবং সমস্যা সমাধানের জন্য সার্ভার আইপি, সংযোগ টাইমস্ট্যাম্প, সংযোগ বিচ্ছিন্ন সময় এবং ট্রাফিক ব্যবহারের অস্থায়ী রেকর্ড। প্রকৃত ব্যবহারকারীর আইপি, ব্রাউজিং বিষয়বস্তু এবং টেলিগ্রাম চ্যাট ডেটা কখনও লগ করা হয় না।
- ডিভাইস তথ্য: সেবা অভিযোজন এবং সংযোগ অপ্টিমাইজেশানের জন্য ডিভাইস মডেল, সিস্টেম সংস্করণ এবং ক্লায়েন্ট সংস্করণ।
- অ্যাকাউন্ট ডেটা (শুধুমাত্র অর্থ প্রদানকারী ব্যবহারকারী): নিবন্ধিত ইমেইল, অর্ডার আইডি এবং পেমেন্ট স্থিতি। সম্পূর্ণ পেমেন্ট শংসাপত্র শুধুমাত্র তৃতীয় পক্ষের পেমেন্ট প্রদানকারীদের দ্বারা প্রক্রিয়া করা হয় এবং TGV কখনও সংরক্ষণ করে না।
3.2 ডেটা যা আমরা কখনও সংগ্রহ করি না (GDPR রেড লাইন)
সর্বোচ্চ ব্যবহারকারীর গোপনীয়তা সুরক্ষার জন্য, TGV নিম্নলিখিত ডেটা সংগ্রহ কঠোরভাবে নিষিদ্ধ করে, ফাঁসের ঝুঁকি দূর করতে:
- প্রকৃত ব্যবহারকারীর আইপি ঠিকানা এবং ভৌগলিক অবস্থানের ডেটা;
- টেলিগ্রাম অ্যাকাউন্টের বিবরণ, চ্যাট ইতিহাস, যোগাযোগ এবং কল লগ;
- তৃতীয় পক্ষের অ্যাপ ডেটা, ব্রাউজিং রেকর্ড এবং সরকার-জারি করা শনাক্তকরণ তথ্য;
- কোন তৃতীয় পক্ষের বিশ্লেষণ বা বিজ্ঞাপন SDK নেই। ব্যবহারকারীর আচরণ ট্র্যাকিং সম্পূর্ণরূপে নিষ্ক্রিয়।
4. ডেটা প্রক্রিয়াকরণের আইনি ভিত্তি (GDPR ধারা 6)
- চুক্তি সম্পাদন (ধারা 6(1)(b)): MTProto প্রক্সি সেবা প্রদান, অর্ডার প্রক্রিয়াকরণ এবং চুক্তি সম্পাদনের জন্য ব্যবহারকারীর অ্যাকাউন্ট পরিচালনার জন্য ডেটা প্রক্রিয়াকরণ প্রয়োজনীয়।
- বৈধ স্বার্থ (ধারা 6(1)(f)): জালিয়াতি প্রতিরোধ, সাইবার আক্রমণ প্রশমন এবং সেবা স্থিতিশীলতার জন্য প্রক্রিয়াকরণ। একটি বৈধ স্বার্থ মূল্যায়ন (LIA) সম্পন্ন হয়েছে যাতে ব্যবহারকারীর মৌলিক অধিকারের সাথে কোন দ্বন্দ্ব না হয়।
- আইনি বাধ্যবাধকতা (ধারা 6(1)(c)): আইনি বাধ্যবাধকতা এবং বৈধ অফিসিয়াল আইন প্রয়োগকারী অনুরোধ মেনে চলার জন্য ডেটা প্রকাশের প্রয়োজন হতে পারে।
- স্পষ্ট সম্মতি (ধারা 6(1)(a))): অ-অপরিহার্য ডেটা প্রক্রিয়াকরণ শুধুমাত্র স্বেচ্ছায়, নির্দিষ্ট এবং প্রত্যাহারযোগ্য ব্যবহারকারীর সম্মতিতে ঘটবে। বিপণন যোগাযোগ ডিফল্টরূপে নিষ্ক্রিয়।
5. ডেটা সংরক্ষণ ও আন্তঃসীমান্ত স্থানান্তর (GDPR সম্মতি)
5.1 সংরক্ষণ মেয়াদ
- সংযোগ মেটাডেটা: সমস্যা সমাধানের জন্য অস্থায়ীভাবে ৭২ ঘণ্টা সংরক্ষণ করা হয়, তারপর স্থায়ীভাবে মুছে ফেলা হয়, কোন ব্যাকআপ নেই।
- অ্যাকাউন্ট ডেটা (অর্থ প্রদানকারী ব্যবহারকারী): অ্যাকাউন্ট বাতিলের পরে আর্থিক পুনর্মিলন এবং বিক্রয়োত্তর সহায়তার জন্য ৩০ দিন সংরক্ষণ করা হয়, তারপর সম্পূর্ণরূপে মুছে ফেলা হয়।
- আইনত প্রয়োজনীয় ডেটা: EU এবং স্থানীয় আইন দ্বারা প্রয়োজনীয় ন্যূনতম সময়ের জন্য সংরক্ষণ করা হয়।
5.2 সংরক্ষণের অবস্থান ও আন্তঃসীমান্ত স্থানান্তর
- ডেটা সংরক্ষণ: সমস্ত ব্যবহারকারীর ডেটা ইউরোপীয় ইউনিয়নের মধ্যে অবস্থিত সার্ভারে হোস্ট করা হয় (যেমন AWS ফ্রাঙ্কফুর্ট)। কোন ডেটা ইইউ এখতিয়ারের বাইরে সংরক্ষণ করা হয় না।
- আন্তঃসীমান্ত স্থানান্তর: সেবা পরিচালনার জন্য বাধ্যতামূলক না হলে অ-ইইউ অঞ্চলে স্থানান্তর কঠোরভাবে নিষিদ্ধ। প্রয়োজনীয় আন্তঃসীমান্ত ডেটা প্রবাহের জন্য স্ট্যান্ডার্ড চুক্তি ধারা (SCCs) এবং স্থানান্তর প্রভাব মূল্যায়ন (TIA) প্রয়োগ করা হবে।
6. ব্যবহারকারীর ডেটা অধিকার (GDPR ধারা 12-23)
- অ্যাক্সেসের অধিকার: আপনার ব্যক্তিগত ডেটার একটি অনুলিপি এবং প্রক্রিয়াকরণ কার্যক্রমের সম্পূর্ণ বিবরণ অনুরোধ করুন।
- সংশোধনের অধিকার: ভুল বা অসম্পূর্ণ ব্যক্তিগত ডেটা সংশোধন বা সম্পূর্ণ করার অনুরোধ করুন।
- মুছে ফেলার অধিকার (ভুলে যাওয়ার অধিকার): যখন ডেটা আর প্রয়োজন হয় না, সম্মতি প্রত্যাহার করা হয় বা প্রক্রিয়াকরণ অবৈধ হয় তখন আপনার ডেটা স্থায়ীভাবে মুছে ফেলার অনুরোধ করুন।
- প্রক্রিয়াকরণ সীমাবদ্ধতার অধিকার: ডেটা সঠিকতা বা বৈধ প্রক্রিয়াকরণ সম্পর্কে বিরোধ নিষ্পত্তির সময় ডেটা প্রক্রিয়াকরণ স্থগিত করুন।
- ডেটা বহনযোগ্যতার অধিকার: অন্য ডেটা নিয়ন্ত্রকের কাছে স্থানান্তরের জন্য আপনার ব্যক্তিগত ডেটা CSV/JSON ফরম্যাটে রপ্তানি করুন।
- আপত্তির অধিকার: বৈধ স্বার্থের ভিত্তিতে প্রক্রিয়াকরণের বিরুদ্ধে আপত্তি করুন, সরাসরি বিপণন কার্যক্রম সহ।
- সম্মতি প্রত্যাহারের অধিকার: পূর্বে প্রদত্ত সম্মতি যে কোনো সময় প্রত্যাহার করুন, পূর্ববর্তী প্রক্রিয়াকরণের বৈধতা প্রভাবিত না করে।
- অভিযোগ দাখিলের অধিকার: GDPR লঙ্ঘনের বিষয়ে EU ডেটা সুরক্ষা কর্তৃপক্ষের কাছে (যেমন আইরিশ DPC) অভিযোগ দাখিল করুন।
7. ডেটা সুরক্ষা ব্যবস্থা (GDPR ধারা 32)
- ট্রান্সমিশন এনক্রিপশন: সমস্ত সেবা যোগাযোগের জন্য TLS 1.3 এন্ড-টু-এন্ড এনক্রিপশন, ইন্টারসেপশন এবং টেম্পারিং প্রতিরোধ করে।
- স্টোরেজ এনক্রিপশন: সমস্ত সংরক্ষিত ব্যবহারকারী ডেটার জন্য AES-256 এনক্রিপশন, অননুমোদিত অ্যাক্সেস থেকে রক্ষা করে।
- অ্যাক্সেস নিয়ন্ত্রণ: ভূমিকা-ভিত্তিক অনুমতি ব্যবস্থাপনা, সমস্ত ডেটা অ্যাক্সেস অপারেশনের জন্য সম্পূর্ণ অডিট লগ সহ।
- নিরাপত্তা অডিট: নিয়মিত দুর্বলতা স্ক্যান, পেনিট্রেশন টেস্টিং এবং নিরাপত্তা পর্যালোচনা, ঝুঁকি প্রশমিত করতে।
- ডেটা লঙ্ঘন বিজ্ঞপ্তি: নিশ্চিত ডেটা লঙ্ঘনের ঘটনায় ৭২ ঘণ্টার মধ্যে প্রভাবিত ব্যবহারকারী এবং EU নিয়ন্ত্রকদের বিজ্ঞপ্তি দেওয়া হবে।
- কর্মী প্রশিক্ষণ: সমস্ত কর্মীদের জন্য নিয়মিত GDPR এবং ডেটা নিরাপত্তা প্রশিক্ষণ, গোপনীয়তা বাধ্যবাধকতা প্রয়োগ করতে।
8. তৃতীয় পক্ষের সাথে ডেটা ভাগাভাগি (কঠোরভাবে সীমাবদ্ধ)
- পেমেন্ট প্রদানকারী: পেমেন্ট প্রক্রিয়াকরণ সম্পন্ন করতে শুধুমাত্র অর্ডার আইডি, লেনদেনের পরিমাণ এবং পেমেন্ট স্থিতি ভাগ করা হয়। সংবেদনশীল পেমেন্ট বিবরণ সম্পূর্ণরূপে তৃতীয় পক্ষের বিক্রেতাদের দ্বারা পরিচালিত হয়।
- ক্লাউড অবকাঠামো প্রদানকারী: সার্ভার রক্ষণাবেক্ষণের জন্য শুধুমাত্র অ-ব্যবহারকারী অপারেশনাল ডেটা ভাগ করা হয়। EU-ভিত্তিক প্রদানকারীদের অগ্রাধিকার দেওয়া হয়।
- আইন প্রয়োগকারী: বৈধ আইনি পরোয়ানার প্রতিক্রিয়ায় ন্যূনতম ডেটা প্রকাশ। প্রকাশের আগে সমস্ত অনুরোধ আইনত পর্যালোচনা করা হয়।
আমরা কখনই বাণিজ্যিক উদ্দেশ্যে অননুমোদিত তৃতীয় পক্ষের কাছে ব্যবহারকারীর ব্যক্তিগত ডেটা বিক্রি, বাণিজ্য বা প্রকাশ করি না।
9. নাবালক সুরক্ষা (GDPR ধারা 8)
- আমরা জেনেশুনে নাবালকদের ব্যক্তিগত ডেটা সংগ্রহ করি না। অননুমোদিত ব্যবহার আবিষ্কৃত হলে নাবালক-সম্পর্কিত ডেটা তাত্ক্ষণিকভাবে মুছে ফেলা হবে।
- আইনি অভিভাবকরা বৈধ যাচাই সহ নাবালক ব্যবহারকারীর ডেটা মুছে ফেলার অনুরোধ করতে আমাদের গোপনীয়তা টিমের সাথে যোগাযোগ করতে পারেন।
10. নীতি আপডেট ও বিজ্ঞপ্তি
- এই গোপনীয়তা নীতি নিয়ন্ত্রক আপডেট বা সেবা সামঞ্জস্য প্রতিফলিত করতে সংশোধন করা যেতে পারে। উপাদানগত পরিবর্তন কমপক্ষে ৩০ দিন আগে ওয়েবসাইট বিজ্ঞপ্তি এবং ব্যবহারকারীর ইমেইলের মাধ্যমে ঘোষণা করা হবে।
- TGV MTProto প্রক্সি সেবা ব্যবহার অব্যাহত রাখা আপডেট হওয়া নীতির শর্তাবলী গ্রহণ করা নির্দেশ করে।
- ঐতিহাসিক নীতি সংস্করণগুলি সংরক্ষণ করা হয় এবং ইমেইল অনুরোধের ভিত্তিতে পাওয়া যায়।
11. যোগাযোগের তথ্য
- গোপনীয়তা অনুসন্ধান ও ডেটা অধিকার অনুরোধ: privacy@tgvpn.io
- গ্রাহক সহায়তা: support@tgvpn.io
- নিবন্ধিত ঠিকানা: ডাবলিন, আয়ারল্যান্ড (ইইউ)
- নিয়ন্ত্রক অভিযোগ: ডেটা প্রোটেকশন কমিশন (DPC) - আয়ারল্যান্ড: https://www.dataprotection.ie