පෞද්ගලිකත්ව ප්‍රතිපත්තිය

1. අපි collect කරන data

Sellers ලාට: email address, password (hashed), ඔබ enter කරන shop details (name, WhatsApp number, description, social links, address, payment-method labels), product data, upload කරපු images. Buyers ලාට: cart contents (ඔබේ browser එකේ store වෙනවා, අපේ servers වල නෙවෙයි), සහ — order එකක් send කරන්න tap කරපු වෙලාවට — ඔබ confirm කරන order details. WhatsApp message එකට ඔබම type කරන්නේ නැත්නම් අපි buyer phone numbers, names, හරි addresses collect කරන්නේ නෑ. /apply complete කරන applicants ලාට: section 11 බලන්න. ඔබ අපට යවන messages (WhatsApp + contact form): section 12 බලන්න.

2. ඇයි අපි collect කරන්නේ (PDPA lawful basis)

Sri Lankan Personal Data Protection Act (PDPA, No. 9 of 2022) සහ EU General Data Protection Regulation (අදාල තැන්වල) යටතේ lawful bases තුනක් මත අපි personal data process කරනවා: (a) performance of a contract — ඔබේ shop එක run කරන්න, application එක process කරන්න, platform එක provide කරන්න; (b) legitimate interests — abuse වළක්වන්න, platform එක secure කරන්න, basic operational analytics (third parties වලට sell කරන්නේ නෑ, targeted advertising වලට use කරන්නේ නෑ); (c) consent — ඔබ explicitly opt in කරපු වෙලාවට (service announcements, approval එකට පස්සේ WhatsApp follow-up). legal@chatkatalog.com වෙත email කරලා ඕන වෙලාවක consent withdraw කරන්න පුළුවන්.

3. Cookies සහ analytics

අත්‍යවශ්‍ය cookies කිහිපයක් අපි use කරනවා: auth session cookie එකක් (sellers ලාට විතරක්), language preference cookie එකක් (pref_locale), සහ signup, /apply, contact forms වල bots block කරන්න Cloudflare Turnstile cookie එකක්. ඊට අමතරව aggregate behaviour analytics (page views, session length, traffic sources) වලට Google Analytics 4 (`_ga`, `_ga_<container>` prefix කරපු cookies) සහ performance monitoring වලට Cloudflare Web Analytics (cookie-free, aggregate-only) use කරනවා. දෙකම personal identification carry කරන්නේ නෑ, advertising එකකට fuel කරන්නේත් නෑ. පළමු visit එකේදී cookie notice එකක් පෙන්නලා දින 90කට dismiss වෙනවා; Google Analytics tracking එකෙන් globally opt out වෙන්න official Google Analytics opt-out browser add-on එක (https://tools.google.com/dlpage/gaoptout) use කරන්න පුළුවන්. Advertising හරි remarketing pixels අපි engage කරන්නේ නෑ.

4. කා සමඟ share කරනවද (subprocessors)

Cloudflare (hosting, CDN, bot mitigation, R2 මඟින් image storage, Cloudflare Web Analytics), Supabase (database, auth), Google LLC (Google Analytics 4 — aggregate behaviour analytics), Sentry (error monitoring; PII send කරන්න කලින් scrub කරනවා), Resend (transactional email — application confirmations, approval සහ rejection emails, contact-form acknowledgements), Zoho Mail (administrative email). හැම එකක්ම තමන්ගේ privacy terms යටතේ operate වෙනවා. අපි personal data sell කරන්නේ නෑ, marketing හරි advertising subprocessors engage කරන්නේ නෑ.

5. Data store කරන තැන

අපේ primary database සහ image storage ශ්‍රී ලංකාවට low latency එකක් තියෙන infrastructure regions තෝරගෙන host කරපු. සමහර subprocessors (Cloudflare, Sentry, Resend) ඔවුන්ගේ service එක provide කරන වෙලාවට Sri Lanka වෙතින් පිට data process කරන්න පුළුවන්. හැම subprocessor කෙනෙක්ගේම standard contractual safeguards අපි rely වෙනවා, සහ Data Protection Authority එක formal cross-border directive එකක් issue කරපුවාම ඒකට align කරනවා.

6. කොච්චර කාලයක් තබාගන්නවද

Active seller accounts: account එක open තියෙන තාක්. Closed seller accounts: දින 30ක්, ඊටපස්සේ delete. Operational logs: දින 90යි. Backups: දින 30ක rolling. Applications, rejected: rejection decision එකෙන් පස්සේ දින 90ක්, ඊටපස්සේ delete. Applications, review නැතුව pending: දින 30ක්, ඊටපස්සේ auto-rejected (90-day deletion clock start වෙනවා). Applications, approved-but-expired-unconsumed: invite expiry එකෙන් පස්සේ දින 30ක්, ඊටපස්සේ auto-rejected (90-day deletion clock). Applications, consumed (ඔබ signup සහ onboard කරපු): seller account එක තියෙන තාක් රඳවාගන්නවා. Contact-form messages: archive කරපුවාම දින 180ක්, ඊටපස්සේ delete.

Inactive shops සහ ඒවායේ data කවදා remove කරන්න පුළුවන්ද කියන විස්තර වලට, අපේ Terms එකේ Account inactivity සහ shop ඉවත් කිරීම section එක බලන්න.

7. ඔබේ rights (PDPA + GDPR)

Data copy එකක් request කරන්න (PDPA right of access; GDPR Article 15), corrections ඉල්ලන්න (PDPA right to rectification; GDPR Article 16), deletion ඉල්ලන්න (PDPA right of erasure; GDPR Article 17), processing restrict කරන්න (GDPR Article 18), processing වලට object කරන්න (GDPR Article 21), හරි portability request කරන්න (GDPR Article 20) පුළුවන්. Requests business days 21ක් ඇතුළත action කරනවා. legal@chatkatalog.com email කරන්න. Self-service export සහ account deletion roadmap එකේ.

8. ළමුන්

ChatKatalog 18 හැවිරිදි අඩු කෙනෙක්ට intended නෙවෙයි (අපේ seller terms 18+ require කරනවා). ළමුන්ගෙන් data දැනුවත්ව collect කරන්නේ නෑ.

9. මේ policy එකේ වෙනස්කම්

වැදගත් වෙනස්කම් active sellers ලාට email එකෙන් දැනුම් දෙනවා. මේ පිටුවේ ඉහළින් තියෙන "Last updated" date එක authoritative.

10. සම්බන්ධතා

Data requests, questions, complaints: legal@chatkatalog.com. Privacy Contact title එක (Privacy Officer vs. Data Protection Officer) M4.6 audit එකේ counsel review එකේ pending.

11. ඔබ apply කරන වෙලාවට අපි collect කරන දේවල්

Account එකක් හැදෙන්න කලින් /apply form එකෙන් අපි collect කරන්නේ: ඔබේ full name (full_name), email address (email), WhatsApp number (whatsapp_number), city (city), address (address), business / shop name (business_name), ඔබ විකුණන දේ ගැන one-line description එකක් (what_you_sell), ඔබ tick කරන product categories (product_categories), optional free-text "other" category එක (product_categories_other), ඔබේ shop size (shop_size), ඔබ දැන් sell කරන channels (current_channels), ඔබේ social හරි online presence එකේ optional link එකක් (social_url), optional applicant notes (applicant_notes), සහ ඔබ submit කරපු language එක (apply_locale) — සහ legal-acceptance booleans 4ක් (accepted_seller_rights, accepted_age, accepted_no_prohibited, accepted_terms_and_privacy). මේ information අපි use කරන්නේ application එක review කරන්න සහ (approve වුණොත්) onboarding පටන්ගන්න ඔබව contact කරන්න විතරයි. Catalog එකේ list වෙන goods වලට responsible seller කෙනෙක් identify කරන එක Sri Lankan PDPA එක යටතේ අවශ්‍යයි — ඒකයි address එක අහන්නේ; ඒක publicly පෙන්නන්නේ නෑ. Application retention section 6 එක follow කරනවා: rejected applications දින 90ක් තබාගන්නවා එතකොට delete; review නැති pending applications දින 30ක් එතකොට auto-reject (90-day clock පටන්ගන්නවා); approved-but-expired-unconsumed applications same as pending stale.

12. ඔබ අපට යවන messages (WhatsApp + contact form)

ChatKatalog ට WhatsApp එකෙන් message කරන වෙලාවට, ඒ messages WhatsApp ගේ terms යටතේ ඔබේ device එකේ රැඳෙනවා; අපි ලැබෙන්නේ ඔබ යවන දේ විතරයි. Application එක ගැන ඔබව contact කරන්න (/apply වල working number එකක් දුන්න වෙලාවට), approval invite link එක deliver කරන්න, සහ අන්තර්වාර ops follow-up වලට WhatsApp අපි use කරනවා. මේ site එකේ contact form එක submit කරන වෙලාවට අපි collect කරන්නේ: ඔබේ full name (full_name), email address (email), ඔබ set කරන subject line එක (subject), message body එක (message), සහ ඔබ submit කරපු locale එක (locale: en හරි si). Contact messages archive කරපුවාම දින 180ක් රඳවාගන්නවා, ඊටපස්සේ delete (section 6).

13. Sellers ලාගේ data separate කරන්නේ කොහොමද

ChatKatalog කියන්නේ multi-tenant platform එකක්: හැම seller කෙනෙක්ගේම shop, products, images, orders, සහ customer-confirmed data shared infrastructure එකේ database level row-level security එකකින් store වෙනවා. හැම row එකක්ම owning seller ගේ identifier carry කරනවා; database policies default එකේ shop boundary එක හරහා reads සහ writes block කරනවා. ඒ policies bypass කරන්න පුළුවන් service-role credential එක administrative endpoints කිහිපයකට පමණක් restrict කරපු — M4.6 security audit එකේදී review කරපු. එක seller කෙනෙක්ගේ catalog හරි customer-message data වෙන seller කෙනෙකුට අපි sell කරන්නේ නෑ, share කරන්නේ නෑ, expose කරන්නේ නෑ.