डाटा प्रोसेसिंग समझौता
यह डेटा प्रोसेसिंग समझौता (डीपीए) सामान्य डेटा संरक्षण विनियमन (जीडीपीआर) के अनुच्छेद 28 के अनुसार बनाया गया है और सेवा की शर्तों का हिस्सा है। यह हमारे ग्राहकों की ओर से क्लाइंटफ्लो द्वारा व्यक्तिगत डेटा के प्रसंस्करण को नियंत्रित करता है।
संस्करण 2.0 | अंतिम अद्यतन: दिसंबर 2024
1. पार्टियाँ
डेटा नियंत्रक
आप, ग्राहक (प्रसंस्करण के उद्देश्यों और साधनों का निर्धारण करने वाली इकाई)
डेटा प्रोसेसर
क्लाइंटफ़्लो (आपकी ओर से व्यक्तिगत डेटा संसाधित करना)
1.1 प्रसंस्करण का दायरा
यह डीपीए व्यक्तिगत डेटा के प्रसंस्करण पर लागू होता है जहां:
- क्लाइंटफ्लो सेवा प्रदान करने के हिस्से के रूप में नियंत्रक की ओर से व्यक्तिगत डेटा संसाधित करता है
- प्रसंस्करण नियंत्रक के ग्राहक संबंधों के प्रबंधन से संबंधित है
- डेटा विषय नियंत्रक के ग्राहक और व्यावसायिक संपर्क हैं
प्रसंस्करण गतिविधियाँ
- ग्राहक संपर्क जानकारी का भंडारण और संगठन
- भुगतान लेनदेन की रिकॉर्डिंग और ट्रैकिंग
- अधिकृत संचार (अनुस्मारक, सूचनाएं) भेजना
- एकत्रित डेटा के आधार पर विश्लेषण और रिपोर्ट तैयार करना
2. डेटा श्रेणियाँ
| वर्ग | उदाहरण | उद्देश्य |
|---|---|---|
| Account Data | Email, name, profile picture | Service access |
| Customer Data | Client names, phones, emails | CRM functionality |
| Payment Records | Amounts, dates, statuses | Payment tracking |
| Usage Data | Login times, feature usage | Security, improvement |
3. प्रोसेसर दायित्व
हम ऐसा करेंगे:
- केवल आपके दस्तावेजी निर्देशों पर डेटा संसाधित करें
- सुनिश्चित करें कि कर्मचारी गोपनीयता से बंधे हैं
- उचित सुरक्षा उपाय लागू करें
- डेटा विषय अनुरोधों में सहायता करें
- 72 घंटों के भीतर डेटा उल्लंघनों के बारे में आपको सूचित करें
- समाप्ति पर डेटा हटाएं (प्रतिधारण अवधि के बाद)
4. सुरक्षा उपाय
तकनीकी
- टीएलएस 1.3 (पारगमन)
- एईएस-256 (आराम पर)
- ओएथ 2.0 प्रमाणीकरण
- भूमिका-आधारित पहुंच नियंत्रण
- वास्तविक समय की निगरानी
संगठनात्मक
- लिखित सुरक्षा और डेटा हैंडलिंग प्रथाएँ
- घटना प्रतिक्रिया प्रक्रिया
- विक्रेता और उप-प्रोसेसर समीक्षाएँ
- डेटा तक पहुँच वाले किसी भी व्यक्ति के लिए गोपनीयता दायित्व
- उत्पादन प्रणालियों के लिए परिवर्तन प्रबंधन
5. उप-प्रोसेसर
हम निम्नलिखित अधिकृत उप-प्रोसेसरों का उपयोग करते हैं:
| प्रदाता | सेवा | जगह | DPF |
|---|---|---|---|
| Google Cloud | Authentication | USA | हाँ |
| iyzico | Payments | Turkey | एससीसी |
| Meta (WhatsApp) | Messaging | USA | हाँ |
| Resend | USA | एससीसी | |
| Hetzner | Hosting & Database | Germany (EU) | एससीसी |
| Cloudflare | CDN & Storage | EU | हाँ |
डीपीएफ = ईयू-यूएस डेटा गोपनीयता फ्रेमवर्क प्रमाणित
उप-प्रोसेसर परिवर्तन
हम आपको उप-प्रोसेसरों में किसी भी इच्छित परिवर्तन के बारे में सूचित करेंगे:
- उप-प्रोसेसरों को जोड़ने या बदलने से पहले कम से कम 14 दिन की अग्रिम सूचना
- आपके पंजीकृत खाते के ईमेल पते पर ईमेल के माध्यम से अधिसूचना
- आप हमसे संपर्क करके 14 दिनों के भीतर परिवर्तनों पर आपत्ति कर सकते हैं
- यदि आपकी आपत्ति का समाधान नहीं किया जा सकता है, तो आप प्रभावित सेवाओं को समाप्त कर सकते हैं
5.1 लेखापरीक्षा अधिकार
नियंत्रक को इस डीपीए के अनुपालन को सत्यापित करने का अधिकार है:
- प्रासंगिक दस्तावेज और प्रमाणन का अनुरोध करें
- कम से कम 30 दिनों के लिखित नोटिस के साथ ऑडिट करें
- ऑडिट सामान्य व्यावसायिक घंटों के दौरान आयोजित किया जाएगा
- ऑडिटर को एक गोपनीयता समझौते पर हस्ताक्षर करना होगा
जांच का पैमाना
- सुरक्षा उपाय और तकनीकी सुरक्षा उपाय
- उप-प्रोसेसर अनुपालन
- डेटा प्रबंधन प्रक्रियाएं
- घटना प्रतिक्रिया क्षमताएं
ऑडिट की लागत नियंत्रक द्वारा वहन की जाएगी जब तक कि ऑडिट में महत्वपूर्ण गैर-अनुपालन का पता नहीं चलता।
6. डेटा प्रतिधारण एवं विलोपन
हम व्यक्तिगत डेटा को केवल वर्णित उद्देश्यों के लिए आवश्यक अवधि तक, या लागू कानून द्वारा आवश्यक रूप से (उदाहरण के लिए, तुर्की कर प्रक्रिया कानून और तुर्की वाणिज्यिक संहिता, जो लेखांकन और वाणिज्यिक रिकॉर्ड को 10 वर्षों तक रखने की आवश्यकता होती है) बनाए रखते हैं।
| समय | कार्रवाई |
|---|---|
| खाता हटाने के अनुरोध पर | सक्रिय ग्राहक डेटा को 30 दिनों के भीतर हटा दिया जाता है या अनाम कर दिया जाता है |
| 10 वर्षों तक | कर और वाणिज्यिक कानून द्वारा आवश्यक होने पर भुगतान और चालान रिकॉर्ड बनाए रखे जाते हैं |
| समाप्ति पर | जब तक क़ानूनी रिटेंशन दायित्व लागू न हों, व्यक्तिगत डेटा 30 दिनों के भीतर वापस कर दिया जाता है या हटा दिया जाता है |
7. सीसीपीए प्रावधान
सीसीपीए के तहत, हम एक "सेवा प्रदाता" के रूप में कार्य करते हैं और:
- केवल निर्दिष्ट व्यावसायिक उद्देश्यों के लिए डेटा संसाधित करें
- व्यक्तिगत जानकारी न बेचें
- उपभोक्ता अधिकारों के अनुरोधों में सहायता करें
- उचित सुरक्षा उपाय लागू करें
8. डेटा उल्लंघन अधिसूचना
व्यक्तिगत डेटा उल्लंघन की स्थिति में, हम निम्नलिखित के लिए प्रतिबद्ध हैं:
अधिसूचना समयरेखा
- उल्लंघन के बारे में पता चलने के 72 घंटों के भीतर आपको सूचित करें
- उल्लंघन के दायरे और प्रभाव का प्रारंभिक मूल्यांकन प्रदान करें
- 5 व्यावसायिक दिनों के भीतर विस्तृत लिखित अधिसूचना दें
अधिसूचना सामग्री
- उल्लंघन की प्रकृति, जिसमें प्रभावित डेटा विषयों की श्रेणियाँ और अनुमानित संख्या शामिल है
- फ़ॉलो-अप प्रश्नों के लिए गोपनीयता संपर्क विवरण
- उल्लंघन के संभावित परिणामों का विवरण
- उल्लंघन का समाधान करने के लिए उठाए गए या प्रस्तावित उपाय
- संभावित प्रतिकूल प्रभावों को कम करने के उपाय
हम आपकी जांच और किसी भी नियामक पूछताछ में पूरा सहयोग करेंगे, और लागू कानून के अनुसार पर्यवेक्षी अधिकारियों और प्रभावित व्यक्तियों को उल्लंघन की सूचनाएं देने में सहायता करेंगे।
9. अंतर्राष्ट्रीय डेटा स्थानांतरण
जब व्यक्तिगत डेटा यूरोपीय आर्थिक क्षेत्र (ईईए) के बाहर स्थानांतरित किया जाता है, तो हम उचित सुरक्षा उपाय सुनिश्चित करते हैं:
स्थानांतरण तंत्र
EU Adequacy Decisions
यूरोपीय आयोग द्वारा पर्याप्त समझे गए देशों को हस्तांतरण
EU-US Data Privacy Framework
DPF के तहत प्रमाणित यूएस-आधारित प्रोसेसरों के लिए
Standard Contractual Clauses (SCCs)
अन्य हस्तांतरणों के लिए यूरोपीय आयोग अनुमोदित खंड (2021 संस्करण)
हम जहां आवश्यक हो वहां स्थानांतरण प्रभाव आकलन करते हैं और अनिवार्य रूप से समकक्ष स्तर की सुरक्षा सुनिश्चित करने के लिए आवश्यक होने पर पूरक उपाय (तकनीकी, संगठनात्मक और संविदात्मक) लागू करते हैं।
आप अनुरोध पर प्रासंगिक स्थानांतरण तंत्र की प्रतियों का अनुरोध कर सकते हैं।
10. दायित्व और क्षतिपूर्ति
प्रोसेसर दायित्व
क्लाइंटफ्लो उस प्रसंस्करण के कारण होने वाले नुकसान के लिए उत्तरदायी होगा जो इस डीपीए का अनुपालन नहीं करता है या जहां हमने नियंत्रक के वैध निर्देशों के बाहर या उसके विपरीत कार्य किया है।
नियंत्रक दायित्व
नियंत्रक उस प्रसंस्करण के कारण होने वाले नुकसान के लिए उत्तरदायी होगा जो लागू डेटा सुरक्षा कानून का उल्लंघन करता है या इस डीपीए के तहत नियंत्रक के दायित्वों का पालन नहीं करता है।
सीमाएँ
- कोई भी पक्ष अप्रत्यक्ष, आकस्मिक, या परिणामी क्षति के लिए उत्तरदायी नहीं होगा
- इस डीपीए के तहत कुल कुल दायित्व दावे से पहले 12 महीनों में भुगतान की गई फीस तक सीमित है
- ये सीमाएँ गोपनीयता के उल्लंघन, जानबूझकर किए गए कदाचार, या घोर लापरवाही पर लागू नहीं होती हैं
प्रत्येक पक्ष इस डीपीए या लागू डेटा संरक्षण कानूनों के क्षतिपूर्ति करने वाले पक्ष के उल्लंघन से उत्पन्न होने वाले तीसरे पक्ष के दावों के खिलाफ दूसरे को क्षतिपूर्ति देने के लिए सहमत है।
11. समाप्ति और डेटा रिटर्न
अवधि
यह डीपीए सेवा अनुबंध की अवधि तक और जब तक हम आपकी ओर से व्यक्तिगत डेटा संसाधित करते हैं तब तक प्रभावी रहता है।
समाप्ति पर
- आपकी पसंद पर, हम 30 दिनों के भीतर सभी व्यक्तिगत डेटा वापस कर देंगे या हटा देंगे
- आप आमतौर पर उपयोग किए जाने वाले मशीन-पठनीय प्रारूप में डेटा निर्यात का अनुरोध कर सकते हैं
- हम अनुरोध पर विलोपन को प्रमाणित करेंगे
- डेटा को लागू कानून द्वारा आवश्यक होने पर बनाए रखा जा सकता है
गोपनीयता, दायित्व और डेटा सुरक्षा अधिकारों से संबंधित अनुभाग इस डीपीए की समाप्ति से बचे रहेंगे।