गोपनीयता नीति — Babynama

जारीकर्ता: Gagahealth Private Limited (Babynama सेवा की संचालक)

यह नीति बताती है कि जब आप हमारी सेवा का उपयोग करते हैं, तो Babynama आपका व्यक्तिगत डेटा और आपके बच्चे का डेटा कैसे एकत्र करता है, उपयोग करता है, साझा करता है और सुरक्षित रखता है। Babynama एक डिजिटल पीडियाट्रिक केयर (बाल चिकित्सा) सेवा है। हम 0–5 वर्ष की आयु के बच्चों के माता-पिता को WhatsApp, हमारे iOS और Android ऐप्स, तथा हमारी वेबसाइट के माध्यम से MD-योग्यता प्राप्त बाल रोग विशेषज्ञों (पीडियाट्रिशियन) से जोड़ते हैं।

हमने यह सूचना सरल भाषा में लिखी है। यदि कुछ अस्पष्ट लगे, तो कृपया privacy@babynama.com पर ईमेल करें — हम आपको विस्तार से समझाएंगे।

यह नीति भारत के डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 ("DPDP अधिनियम") और डिजिटल व्यक्तिगत डेटा संरक्षण नियम, 2025 ("DPDP नियम") के अनुपालन में जारी की गई है। इस नीति का अंग्रेज़ी संस्करण भी इसके साथ प्रकाशित है।

1. हमारे बारे में (डेटा फिड्यूशियरी की पहचान)

आपके व्यक्तिगत डेटा के लिए उत्तरदायी Data Fiduciary (डेटा प्रन्यासी) है:

Gagahealth Private Limited
कॉरपोरेट आइडेंटिफिकेशन नंबर (CIN): U85190DL2022PTC395325
रजिस्टर्ड कार्यालय: 2-A/3, कुंदन मेंशन, आसफ अली रोड, नई दिल्ली — 110002, भारत
ब्रांड / सेवा का नाम: Babynama
वेबसाइट: https://babynama.com
सामान्य संपर्क ईमेल: contact@gagahealth.com

हम पूरी तरह से रिमोट (दूरस्थ) कार्य करते हैं। हमारा कोई भौतिक क्लिनिक या कॉल सेंटर नहीं है। सभी परामर्श चैट (WhatsApp और ऐप के माध्यम से) और वीडियो पर होते हैं।

2. डेटा संरक्षण अधिकारी (DPO) और शिकायत निवारण अधिकारी

हमने DPDP अधिनियम और सूचना प्रौद्योगिकी अधिनियम, 2000 के उद्देश्यों के लिए एक डेटा संरक्षण अधिकारी (Data Protection Officer, DPO) नियुक्त किया है, जो हमारे नामित शिकायत निवारण अधिकारी भी हैं।

नाम: आशीष मीणा (Ashish Meena)
भूमिका: डेटा संरक्षण अधिकारी एवं शिकायत निवारण अधिकारी
ईमेल: privacy@babynama.com
डाक पता: c/o Gagahealth Private Limited, 2-A/3, कुंदन मेंशन, आसफ अली रोड, नई दिल्ली — 110002

DPO को यह अधिकार है कि वे आपकी या आपके बच्चे के डेटा से जुड़ी किसी भी शिकायत, प्रश्न या अनुरोध को प्राप्त करें, उसकी जांच करें और उसका उत्तर दें। हम 48 घंटों के भीतर शिकायत की पावती (acknowledgement) देने और DPDP अधिनियम के अनुसार 30 दिनों के भीतर उसका समाधान करने का लक्ष्य रखते हैं।

3. हम कौन-सा व्यक्तिगत डेटा एकत्र करते हैं

हम केवल वही डेटा एकत्र करते हैं जो बाल चिकित्सा परामर्श सुरक्षित रूप से देने के लिए आवश्यक है। हम जिन श्रेणियों का डेटा प्रोसेस करते हैं:

3.1 माता-पिता / खाताधारक का डेटा

नाम, ईमेल पता, मोबाइल नंबर
WhatsApp नंबर (यदि आप WhatsApp पर हमसे संपर्क करते हैं)
बिलिंग पता और शहर
भुगतान संबंधी मेटाडेटा (ट्रांज़ैक्शन ID, राशि, भुगतान का तरीका — हम पूरा कार्ड नंबर या UPI PIN कभी संग्रहीत नहीं करते; यह जानकारी हमारे भुगतान भागीदार Razorpay के पास रहती है)
लॉगिन प्रमाण-पत्र (पासवर्ड केवल one-way hash के रूप में संग्रहीत होता है)

3.2 बच्चे का डेटा (वह बच्चा जिसके लिए आप परामर्श चाहते हैं)

बच्चे का पहला नाम (या निक-नेम), जन्म तिथि, लिंग
चिकित्सकीय जानकारी जो आप परामर्श के लिए साझा करते हैं: लक्षण, त्वचा/मल/रैश की तस्वीरें (यदि प्रासंगिक हों), ग्रोथ माप (वज़न, ऊँचाई, सिर की परिधि), फ़ीडिंग इतिहास, टीकाकरण इतिहास, पुराने प्रिस्क्रिप्शन और मेडिकल रिपोर्ट
परामर्श के दौरान डॉक्टर द्वारा बनाए गए नोट्स, निदान और प्रिस्क्रिप्शन (इलेक्ट्रॉनिक मेडिकल रिकॉर्ड, "EMR")

3.3 चैट और परामर्श सामग्री

हमारे डॉक्टरों और सपोर्ट टीम के साथ आपके द्वारा भेजे गए टेक्स्ट संदेश, वॉइस नोट्स, इमेज और दस्तावेज़
वीडियो परामर्श का मेटाडेटा (तिथि, समय, डॉक्टर का नाम, अवधि)। डिफ़ॉल्ट रूप से, हम वीडियो परामर्श रिकॉर्ड नहीं करते।

3.4 तकनीकी डेटा

डिवाइस का प्रकार, ऑपरेटिंग सिस्टम, ऐप का संस्करण, IP एड्रेस, क्रैश लॉग, बुनियादी एनालिटिक्स (आपने कौन-सी स्क्रीन खोली, किस समय)
यह डेटा Firebase Crashlytics और Firebase Analytics के माध्यम से एकत्र किया जाता है, जिसे गोपनीयता-संरक्षित मोड में कॉन्फ़िगर किया गया है।

हम निम्नलिखित जानकारी एकत्र नहीं करते: आधार नंबर, PAN, वोटर ID, बायोमेट्रिक डेटा, या सटीक GPS स्थान। बाल चिकित्सा सेवा देने के लिए हमें इनकी आवश्यकता नहीं है।

4. हम यह डेटा क्यों एकत्र करते हैं — और कानूनी आधार

DPDP अधिनियम के अनुसार, डेटा प्रोसेसिंग के हर कार्य का एक वैध कानूनी आधार होना चाहिए। हम जिन आधारों पर निर्भर हैं:

उद्देश्य 1 — बाल चिकित्सा परामर्श प्रदान करना और आपके बच्चे का मेडिकल रिकॉर्ड बनाए रखना।
कानूनी आधार: आपकी सहमति (consent) — साइन-अप पर और हर परामर्श की शुरुआत में ली जाती है (NMC Telemedicine Practice Guidelines, 2020 के अनुरूप)।

उद्देश्य 2 — बिलिंग, सब्सक्रिप्शन प्रबंधन, इनवॉइसिंग और रिफंड।
कानूनी आधार: आपके साथ किए गए अनुबंध (contract) का निष्पादन; DPDP अधिनियम §7 के अंतर्गत भुगतान प्रोसेसिंग का वैध उपयोग।

उद्देश्य 3 — ग्राहक सहायता और शिकायत निवारण।
कानूनी आधार: आपकी सहमति; आपके अनुरोध का उत्तर देने का वैध उपयोग।

उद्देश्य 4 — सुरक्षा और गुणवत्ता (क्लिनिकल ऑडिट, डॉक्टर के प्रदर्शन की समीक्षा, शिकायत की जांच)।
कानूनी आधार: आपकी सहमति; NMC दिशानिर्देशों के तहत स्वास्थ्य सेवा प्रदाता के रूप में हमारा कानूनी दायित्व।

उद्देश्य 5 — सेवा सुधार और एनालिटिक्स (यह समझना कि कौन-से फ़ीचर का उपयोग होता है)।
कानूनी आधार: आपकी सहमति। एनालिटिक्स समूहीकृत (aggregated) होते हैं और किसी व्यक्तिगत बच्चे की प्रोफ़ाइल नहीं बनाते।

उद्देश्य 6 — विपणन एवं प्रचार संचार (ऑफ़र, पेरेंटिंग टिप्स, नए फ़ीचर की घोषणाएँ)।
कानूनी आधार: आपकी अलग, ऑप्ट-इन सहमति। आप किसी भी समय यह सहमति वापस ले सकते हैं, और इससे आपकी सेवा प्रभावित नहीं होगी।

उद्देश्य 7 — कानूनी अनुपालन (जैसे, न्यायालय या नियामक के वैध आदेश का उत्तर देना; कर रिकॉर्ड रखना; CERT-In घटना रिपोर्टिंग)।
कानूनी आधार: कानूनी दायित्व।

5. बच्चों के डेटा के लिए विशेष सुरक्षा (DPDP अधिनियम §9)

हम 0–5 वर्ष की आयु के बच्चों के लिए सेवा देते हैं। DPDP अधिनियम बच्चों के डेटा को विशेष सुरक्षा देता है। हम इन नियमों का सख्ती से पालन करते हैं:

5.1 सत्यापन-योग्य अभिभावकीय सहमति (Verifiable Parental Consent)। बच्चे के डेटा की किसी भी प्रोसेसिंग से पहले, हम माता-पिता या वैध अभिभावक से सत्यापन-योग्य सहमति प्राप्त करते हैं। हम पंजीकृत मोबाइल नंबर पर OTP के माध्यम से माता-पिता की पहचान सत्यापित करते हैं, और साइन-अप तथा हर परामर्श की शुरुआत में माता-पिता की स्पष्ट स्वीकृति रिकॉर्ड करते हैं।

5.2 बच्चों पर लक्षित व्यवहारिक विज्ञापन नहीं। हम बच्चों के लिए behavioural advertising, targeted advertising, या profiling नहीं करते। किसी भी बच्चे के डेटा का उपयोग विज्ञापन दिखाने के लिए नहीं किया जाता।

5.3 बच्चों की निगरानी या ट्रैकिंग नहीं। हम बच्चे के स्थान, व्यवहार या गतिविधि की कोई ट्रैकिंग नहीं करते — सिवाय इसके कि जो परामर्श देने और माता-पिता द्वारा अनुरोधित मेडिकल रिकॉर्ड बनाए रखने के लिए सख्ती से आवश्यक हो।

5.4 विज्ञापनदाताओं या डेटा ब्रोकर के साथ साझा नहीं किया जाता। बच्चों का डेटा कभी बेचा, किराए पर दिया या विज्ञापन नेटवर्क, डेटा ब्रोकर या तृतीय-पक्ष विपणनकर्ताओं के साथ साझा नहीं किया जाता।

5.5 अभिभावकीय नियंत्रण। जिस माता/पिता ने साइन-अप किया है, वही बच्चे के रिकॉर्ड को नियंत्रित करते हैं। माता-पिता किसी भी समय बच्चे का डेटा देख सकते हैं, सुधार सकते हैं, निर्यात कर सकते हैं या हटा सकते हैं (देखें खंड 9)।

6. हम आपके डेटा का उपयोग कैसे करते हैं

हम एकत्रित व्यक्तिगत डेटा का उपयोग केवल खंड 4 में सूचीबद्ध उद्देश्यों के लिए करते हैं, और किसी अन्य उद्देश्य के लिए नहीं। विशेष रूप से:

आपको उपलब्ध पीडियाट्रिशियन से जोड़ने और आपका परामर्श चलाने के लिए।
आपके बच्चे का EMR बनाए रखने के लिए ताकि अगला परामर्श पिछले परामर्श पर आधारित हो सके।
अपॉइंटमेंट रिमाइंडर, प्रिस्क्रिप्शन PDF और फ़ॉलो-अप चेकलिस्ट भेजने के लिए।
आपके सब्सक्रिप्शन के भुगतान को प्रोसेस करने और इनवॉइस भेजने के लिए।
जब आप सपोर्ट को लिखें, तो उत्तर देने के लिए।
ऐप को बेहतर बनाने के लिए (बग ठीक करना, माता-पिता द्वारा अनुरोधित नए फ़ीचर जोड़ना)।
विपणन संचार भेजने के लिए — केवल यदि आपने ऑप्ट-इन किया हो।

7. हम डेटा किसके साथ साझा करते हैं

हम आपका डेटा केवल नीचे सूचीबद्ध पक्षों के साथ, केवल बताए गए उद्देश्यों के लिए, और केवल लिखित अनुबंधों (Data Processing Agreement) के अंतर्गत साझा करते हैं, जो उन्हें आपके डेटा को कानूनी और सुरक्षित रूप से संभालने के लिए बाध्य करते हैं।

7.1 Babynama के पीडियाट्रिशियन और क्लिनिकल टीम। जिस डॉक्टर से आप परामर्श करते हैं, वे आपके बच्चे का मेडिकल इतिहास और परामर्श से जुड़े संदेश देख सकते हैं। हमारे सभी डॉक्टर NMC-पंजीकृत हैं, चिकित्सकीय गोपनीयता से बंधे हैं, और हमारे साथ गोपनीयता समझौतों पर हस्ताक्षर करते हैं।

7.2 आंतरिक Babynama टीम। हमारी ऑपरेशंस, कस्टमर सपोर्ट और इंजीनियरिंग टीम के सदस्य केवल वही डेटा देखते हैं जो उनके काम के लिए आवश्यक है (least-privilege access, लॉग और ऑडिट किया गया)।

7.3 इंफ्रास्ट्रक्चर: Google Cloud Platform (GCP)। हमारा एप्लिकेशन, डेटाबेस और EMR भारत में स्थित GCP इंफ्रास्ट्रक्चर पर होस्ट किए गए हैं। GCP हमारे लिए Data Processor है।

7.4 Google Workspace। हम आंतरिक ईमेल, कैलेंडर और दस्तावेज़ संग्रहण के लिए Google Workspace का उपयोग करते हैं। Data Processor।

7.5 Meta WhatsApp Business Cloud API। यदि आप WhatsApp पर हमसे चैट करते हैं, तो आपके संदेश Meta के WhatsApp Business Cloud API से होकर गुज़रते हैं। Meta WhatsApp Business Data Transfer Addendum के अंतर्गत Data Processor के रूप में कार्य करता है।

7.6 Razorpay। सब्सक्रिप्शन भुगतान प्रोसेस करने के लिए हमारा भुगतान भागीदार। Razorpay केवल भुगतान लेन-देन के लिए Data Processor है।

7.7 Firebase (Crashlytics, Analytics, Cloud Messaging)। क्रैश रिपोर्टिंग, उपयोग एनालिटिक्स और पुश नोटिफिकेशन के लिए। व्यक्तिगत डेटा को न्यूनतम करने के लिए कॉन्फ़िगर किया गया।

7.8 कानूनी और नियामक निकाय। हम तब डेटा साझा कर सकते हैं जब किसी न्यायालय, भारत के डेटा संरक्षण बोर्ड (Data Protection Board of India), CERT-In, राष्ट्रीय चिकित्सा आयोग (NMC), या भारतीय कानून के अंतर्गत प्रकटीकरण के लिए सक्षम किसी अन्य प्राधिकरण से वैध आदेश प्राप्त हो।

हम आपका डेटा नहीं बेचते। हम आपका डेटा विज्ञापनदाताओं के साथ साझा नहीं करते।

8. हम आपका डेटा कितने समय तक रखते हैं

हम आपका डेटा केवल उतने ही समय तक रखते हैं जितने की हमें आवश्यकता हो। हमारी रिटेन्शन (संग्रहण अवधि) अनुसूची:

बच्चे का EMR और मेडिकल रिकॉर्ड — अंतिम परामर्श से 7 वर्ष (स्वास्थ्य सेवा रिकॉर्ड-कीपिंग मानदंडों के अनुरूप)।
माता-पिता का खाता और बच्चे की प्रोफ़ाइल — जब तक आप अपना खाता हटा न दें, तत्पश्चात अतिरिक्त 3 वर्ष; उसके बाद स्थायी रूप से हटा दिया जाता है।
चैट ट्रांसक्रिप्ट (ऐप के भीतर) — अंतिम परामर्श से 3 वर्ष।
WhatsApp संदेश — Meta के सर्वर पर अस्थायी रूप से रहते हैं; हम EMR में एक सिंक्ड कॉपी रखते हैं।
वीडियो परामर्श रिकॉर्डिंग — डिफ़ॉल्ट रूप से हम रिकॉर्ड नहीं करते। यदि कभी रिकॉर्ड किया गया, तो 30 दिनों के भीतर हटा दी जाती है।
कस्टमर-खाता प्रोफ़ाइल — खाता बंद होने के बाद 1 वर्ष (विवाद समाधान के लिए), फिर हटा दिया जाता है।
भुगतान मेटाडेटा — 8 वर्ष (भारतीय कर कानून के अंतर्गत अनिवार्य)।
ऑडिट और सुरक्षा लॉग — 90 दिन हॉट स्टोरेज और 1 वर्ष कोल्ड स्टोरेज (CERT-In Directions, 2022 के अनुरूप)।
विपणन-सहमति रिकॉर्ड — जब तक आप सहमति वापस न लें, तत्पश्चात अनुपालन साक्ष्य के लिए 3 वर्ष।
कर्मचारी रिकॉर्ड (हमारे स्टाफ़) — समाप्ति से 3 वर्ष।

पूर्ण रिटेन्शन अनुसूची संदर्भ: Babynama का आंतरिक एसेट रजिस्टर (REG-01)। प्रति अनुरोध पर उपलब्ध है।

9. एक डेटा प्रिंसिपल के रूप में आपके अधिकार (DPDP अधिनियम §11–§15)

एक Data Principal के रूप में, DPDP अधिनियम के अंतर्गत आपको निम्नलिखित अधिकार प्राप्त हैं। यदि आप अपने बच्चे की ओर से डेटा प्रोसेस करवा रहे हैं, तो आप ये अधिकार बच्चे की ओर से प्रयोग कर सकते हैं।

9.1 सूचना का अधिकार (§11)। आप हमसे पुष्टि माँग सकते हैं कि हम आपका (या आपके बच्चे का) कौन-सा व्यक्तिगत डेटा रखते हैं, उसके साथ क्या कर रहे हैं, और किनके साथ साझा किया है।

9.2 सुधार का अधिकार (§12)। आप हमसे किसी भी गलत, अधूरे, या पुराने डेटा को सही करने, पूरा करने या अद्यतन करने के लिए कह सकते हैं।

9.3 मिटाने का अधिकार (§12)। आप हमसे अपना डेटा (या अपने बच्चे का डेटा) हटाने का अनुरोध कर सकते हैं — किसी भी कानूनी दायित्व के अधीन (जैसे 7 वर्ष का EMR नियम या 8 वर्ष का कर-रिकॉर्ड नियम)। जहाँ हमें कानूनन डेटा रखना होगा, हम आपको कारण और अवधि बताएंगे।

9.4 शिकायत निवारण का अधिकार (§13)। यदि आप हमारे उत्तर से संतुष्ट नहीं हैं, तो आप हमारे शिकायत अधिकारी के पास शिकायत दर्ज कर सकते हैं (खंड 2)। यदि फिर भी समाधान न हो, तो आप Data Protection Board of India से शिकायत कर सकते हैं।

9.5 नामांकन का अधिकार (§14)। आप किसी अन्य व्यक्ति को अपनी मृत्यु या असमर्थता की स्थिति में अपने अधिकारों का प्रयोग करने के लिए नामित कर सकते हैं। इसके लिए कृपया privacy@babynama.com पर ईमेल करें।

9.6 सहमति वापस लेने का अधिकार (§6(4))। आप किसी भी समय अपनी सहमति वापस ले सकते हैं। सहमति वापस लेना उससे पहले की गई प्रोसेसिंग की वैधता को प्रभावित नहीं करता। यदि आप सेवा-प्रदान के लिए सहमति वापस लेते हैं, तो हम सेवा बंद कर देंगे; यदि आप केवल विपणन-सहमति वापस लेते हैं, तो सेवा अप्रभावित जारी रहेगी।

10. अपने अधिकारों का प्रयोग कैसे करें

आप ऊपर बताए गए किसी भी अधिकार का प्रयोग इन तरीकों से कर सकते हैं:

privacy@babynama.com पर ईमेल भेजकर, या
Babynama ऐप में "Privacy and Data" सेक्शन का उपयोग करके (Settings → Privacy and Data → Submit Request), या
डाक से लिखकर: The Data Protection Officer, Gagahealth Private Limited, 2-A/3, कुंदन मेंशन, आसफ अली रोड, नई दिल्ली — 110002।

उत्तर की समय-सीमा। हम 48 घंटों के भीतर आपके अनुरोध की पावती देंगे और DPDP अधिनियम तथा नियमों के अनुसार 30 दिनों के भीतर ठोस उत्तर देंगे।

आपके अधिकारों का प्रयोग करने के लिए कोई शुल्क नहीं है। आपके अनुरोध पर कार्य करने से पहले हम आपकी पहचान सत्यापित करने के लिए कह सकते हैं (आमतौर पर पंजीकृत मोबाइल नंबर पर OTP के माध्यम से), ताकि आपका डेटा किसी अन्य व्यक्ति को न दिया जाए।

11. सीमा-पार डेटा हस्तांतरण (Cross-Border Data Transfers)

आपका डेटा मुख्य रूप से भारत में स्थित इंफ्रास्ट्रक्चर पर संग्रहीत है।

दो प्रकार का डेटा भारत की सीमा पार जा सकता है:

11.1 WhatsApp संदेश। यदि आप WhatsApp पर हमसे संपर्क करते हैं, तो संदेश Meta के WhatsApp Business Cloud API से होकर गुज़रते हैं। Meta का बुनियादी ढाँचा वैश्विक है; कुछ प्रोसेसिंग भारत के बाहर हो सकती है। यह हस्तांतरण Meta के WhatsApp Business Data Transfer Addendum और मानक संविदात्मक सुरक्षा-उपायों के अंतर्गत है।

11.2 कस्टमर सपोर्ट और इंजीनियरिंग टूलिंग। हमारे कुछ आंतरिक टूल (जैसे, Google Workspace ईमेल, कुछ Google Cloud सपोर्ट फ़ंक्शन) में Google कर्मियों द्वारा डेटा देखा जा सकता है, जो वैश्विक सपोर्ट मॉडल के तहत भारत के बाहर स्थित हो सकते हैं; यह Google के संविदात्मक सुरक्षा-उपायों के अधीन है।

हम किसी ऐसे देश में डेटा हस्तांतरित नहीं करते जिसे भारत सरकार ने DPDP अधिनियम के तहत प्रतिबंधित किया हो। यदि हमारा हस्तांतरण फ़ुटप्रिंट बदलता है, तो हम इस खंड को अद्यतन करेंगे।

12. सुरक्षा उपाय

हम उद्योग-मानक सुरक्षा प्रथाओं का पालन करते हैं। मुख्य बिंदु:

सभी डेटा-इन-ट्रांज़िट के लिए TLS 1.2 या उच्चतर।
हमारे डेटाबेस, EMR और बैकअप के लिए AES-256 एन्क्रिप्शन (एट-रेस्ट)।
हमारे सभी स्टाफ और प्रशासनिक खातों के लिए Multi-Factor Authentication (MFA) अनिवार्य है; डॉक्टर प्रमाणीकरण के लिए हर परामर्श सत्र पर one-time password (OTP) का उपयोग होता है।
रोल-बेस्ड एक्सेस कंट्रोल (RBAC): स्टाफ केवल अपनी भूमिका के लिए आवश्यक डेटा देख सकते हैं।
रोगी डेटा तक सभी पहुँच लॉग की जाती है और समीक्षा की जाती है।
पासवर्ड एक तरफ़ा हैश (bcrypt / Argon2id) के रूप में संग्रहीत होते हैं, सादे पाठ में कभी नहीं।
हम स्वतंत्र विशेषज्ञों द्वारा समय-समय पर भेद्यता मूल्यांकन और पैनेट्रेशन टेस्ट (VAPT) कराते हैं।
हम ISO/IEC 27001:2022 के अनुरूप एक Information Security Management System संचालित करते हैं।

इन उपायों के बावजूद, इंटरनेट पर कोई भी प्रणाली 100% सुरक्षित नहीं है। यदि कोई सुरक्षा घटना आपके डेटा को प्रभावित करती है, तो हम नीचे खंड 13 के अनुसार कार्य करेंगे।

13. डेटा उल्लंघन की सूचना (Data Breach Notification)

यदि कोई व्यक्तिगत डेटा उल्लंघन (data breach) होता है जो आपको या आपके बच्चे को नुकसान पहुँचा सकता है:

हम DPDP नियम 7 के अनुसार उल्लंघन की जानकारी होने के 72 घंटों के भीतर Data Protection Board of India को सूचित करेंगे।
जहाँ घटना CERT-In Directions, 2022 के दायरे में आती है, हम 6 घंटों के भीतर भारतीय कंप्यूटर इमरजेंसी रिस्पॉन्स टीम (CERT-In) को रिपोर्ट करेंगे।
हम आपको सीधे — ऐप संदेश, ईमेल या SMS के माध्यम से — उल्लंघन की प्रकृति, प्रभावित डेटा, हमारी कार्रवाई, और आपको क्या करना चाहिए, के बारे में सूचित करेंगे।

सामान्य, कम-जोखिम वाली घटनाएँ जो व्यक्तिगत डेटा को प्रभावित नहीं करतीं, आंतरिक रूप से संभाली जाती हैं और संभवतः आपको सीधी सूचना नहीं दी जाएगी।

14. बच्चों का डेटा — संक्षेप में

चूँकि हमारी पूरी सेवा बच्चों के स्वास्थ्य के आसपास बनी है, हम मुख्य प्रतिबद्धताएँ दोहराते हैं:

हम किसी बच्चे का व्यक्तिगत डेटा केवल सत्यापन-योग्य अभिभावकीय सहमति के साथ प्रोसेस करते हैं।
हम बच्चों को किसी भी प्रकार का विज्ञापन नहीं दिखाते।
हम बच्चों की प्रोफ़ाइलिंग, व्यवहारिक विज्ञापन, ट्रैकिंग या निगरानी नहीं करते — सिवाय परामर्श के लिए आवश्यक न्यूनतम के।
हम बच्चों का डेटा विपणनकर्ताओं या डेटा ब्रोकरों के साथ नहीं बेचते या साझा करते।
माता-पिता किसी भी समय बच्चे का रिकॉर्ड देख, सुधार, निर्यात या हटा सकते हैं।

यदि आपको लगता है कि किसी बच्चे का डेटा उचित अभिभावकीय सहमति के बिना एकत्र किया गया है, तो कृपया privacy@babynama.com पर लिखें — हम 48 घंटों के भीतर जांच करेंगे।

15. इस नीति में अद्यतन

हम समय-समय पर इस नीति को अद्यतन कर सकते हैं, जैसे-जैसे हमारी सेवा विकसित होती है या कानून बदलता है। जब हम कोई महत्वपूर्ण बदलाव करेंगे, तो हम:

इस पृष्ठ पर और Babynama ऐप में सूचना पोस्ट करेंगे।
आपके अधिकारों को प्रभावित करने वाले महत्वपूर्ण परिवर्तनों के लिए, आपको सीधे ईमेल भेजेंगे।

पुराने संस्करण privacy@babynama.com पर अनुरोध पर उपलब्ध हैं।

महत्वपूर्ण डेटा फिड्यूशियरी (Significant Data Fiduciary, SDF) स्थिति। DPDP अधिनियम §10 और DPDP नियम 8 के अंतर्गत, केंद्र सरकार कुछ Data Fiduciaries को प्रोसेस किए गए डेटा की मात्रा और संवेदनशीलता के आधार पर "Significant Data Fiduciary" के रूप में नामित कर सकती है। Gagahealth वर्तमान में प्रकाशित मानदंडों के विरुद्ध अपनी स्थिति का पुनर्मूल्यांकन कर रहा है; यह मूल्यांकन Q3 2026 में पूरा होने का लक्ष्य है। यदि हमारी स्थिति बदलती है, तो हम इस नीति को अद्यतन करेंगे और नियमों द्वारा अपेक्षित अतिरिक्त प्रकटीकरण जोड़ेंगे।

16. हमसे संपर्क करें / शिकायत निवारण

अपने डेटा या इस नीति के बारे में किसी भी प्रश्न, अनुरोध या शिकायत के लिए, कृपया संपर्क करें:

डेटा संरक्षण अधिकारी एवं शिकायत निवारण अधिकारी
नाम: आशीष मीणा (Ashish Meena)
ईमेल: privacy@babynama.com
डाक पता: Gagahealth Private Limited, 2-A/3, कुंदन मेंशन, आसफ अली रोड, नई दिल्ली — 110002, भारत

Babynama सेवा के बारे में सामान्य प्रश्नों के लिए: contact@gagahealth.com

यदि आप हमारे उत्तर से संतुष्ट नहीं हैं, तो आपको DPDP अधिनियम, 2023 के अंतर्गत स्थापित Data Protection Board of India में शिकायत दर्ज करने का अधिकार है।

इस गोपनीयता नीति का अंग्रेज़ी संस्करण इसके साथ उपलब्ध है। दोनों के बीच किसी भी असंगति की स्थिति में, कानूनी उद्देश्यों के लिए अंग्रेज़ी संस्करण मान्य होगा, परंतु हम सद्भावना से दोनों की भावना का सम्मान करेंगे।

गोपनीयता नीति का अंत।