डाटा प्रोसेसिंग समझौता
यह डेटा प्रोसेसिंग समझौता (डीपीए) सामान्य डेटा संरक्षण विनियमन (जीडीपीआर) के अनुच्छेद 28 के अनुसार बनाया गया है और सेवा की शर्तों का हिस्सा है। यह हमारे ग्राहकों की ओर से क्लाइंटफ्लो द्वारा व्यक्तिगत डेटा के प्रसंस्करण को नियंत्रित करता है।
संस्करण 2.0 | अंतिम अद्यतन: दिसंबर 2024
1. पार्टियाँ
डेटा नियंत्रक
आप, ग्राहक (प्रसंस्करण के उद्देश्यों और साधनों का निर्धारण करने वाली इकाई)
डेटा प्रोसेसर
क्लाइंटफ़्लो (आपकी ओर से व्यक्तिगत डेटा संसाधित करना)
1.1 प्रसंस्करण का दायरा
यह डीपीए व्यक्तिगत डेटा के प्रसंस्करण पर लागू होता है जहां:
- क्लाइंटफ्लो सेवा प्रदान करने के हिस्से के रूप में नियंत्रक की ओर से व्यक्तिगत डेटा संसाधित करता है
- प्रसंस्करण नियंत्रक के ग्राहक संबंधों के प्रबंधन से संबंधित है
- डेटा विषय नियंत्रक के ग्राहक और व्यावसायिक संपर्क हैं
प्रसंस्करण गतिविधियाँ
- ग्राहक संपर्क जानकारी का भंडारण और संगठन
- भुगतान लेनदेन की रिकॉर्डिंग और ट्रैकिंग
- अधिकृत संचार (अनुस्मारक, सूचनाएं) भेजना
- एकत्रित डेटा के आधार पर विश्लेषण और रिपोर्ट तैयार करना
2. डेटा श्रेणियाँ
| वर्ग | उदाहरण | उद्देश्य |
|---|---|---|
| Account Data | Email, name, profile picture | Service access |
| Customer Data | Client names, phones, emails | CRM functionality |
| Payment Records | Amounts, dates, statuses | Payment tracking |
| Usage Data | Login times, feature usage | Security, improvement |
3. प्रोसेसर दायित्व
हम ऐसा करेंगे:
- केवल आपके दस्तावेजी निर्देशों पर डेटा संसाधित करें
- सुनिश्चित करें कि कर्मचारी गोपनीयता से बंधे हैं
- उचित सुरक्षा उपाय लागू करें
- डेटा विषय अनुरोधों में सहायता करें
- 72 घंटों के भीतर डेटा उल्लंघनों के बारे में आपको सूचित करें
- समाप्ति पर डेटा हटाएं (प्रतिधारण अवधि के बाद)
4. सुरक्षा उपाय
तकनीकी
- टीएलएस 1.3 (पारगमन)
- एईएस-256 (आराम पर)
- ओएथ 2.0 प्रमाणीकरण
- भूमिका-आधारित पहुंच नियंत्रण
- वास्तविक समय की निगरानी
संगठनात्मक
- सुरक्षा नीतियां
- घटना प्रतिक्रिया योजना
- नियमित ऑडिट
- विक्रेता सुरक्षा समीक्षा
- कर्मचारी प्रशिक्षण
5. उप-प्रोसेसर
हम निम्नलिखित अधिकृत उप-प्रोसेसरों का उपयोग करते हैं:
| प्रदाता | सेवा | जगह | DPF |
|---|---|---|---|
| Google Cloud | Authentication | USA | हाँ |
| iyzico | Payments | Turkey | एससीसी |
| Meta (WhatsApp) | Messaging | USA | हाँ |
| Resend | USA | एससीसी | |
| Hetzner | Hosting & Database | Germany (EU) | एससीसी |
| Cloudflare | CDN & Storage | EU | हाँ |
डीपीएफ = ईयू-यूएस डेटा गोपनीयता फ्रेमवर्क प्रमाणित
उप-प्रोसेसर परिवर्तन
हम आपको उप-प्रोसेसरों में किसी भी इच्छित परिवर्तन के बारे में सूचित करेंगे:
- उप-प्रोसेसरों को जोड़ने या बदलने से पहले कम से कम 14 दिन की अग्रिम सूचना
- आपके पंजीकृत खाते के ईमेल पते पर ईमेल के माध्यम से अधिसूचना
- आप हमसे संपर्क करके 14 दिनों के भीतर परिवर्तनों पर आपत्ति कर सकते हैं
- यदि आपकी आपत्ति का समाधान नहीं किया जा सकता है, तो आप प्रभावित सेवाओं को समाप्त कर सकते हैं
5.1 लेखापरीक्षा अधिकार
नियंत्रक को इस डीपीए के अनुपालन को सत्यापित करने का अधिकार है:
- प्रासंगिक दस्तावेज और प्रमाणन का अनुरोध करें
- कम से कम 30 दिनों के लिखित नोटिस के साथ ऑडिट करें
- ऑडिट सामान्य व्यावसायिक घंटों के दौरान आयोजित किया जाएगा
- ऑडिटर को एक गोपनीयता समझौते पर हस्ताक्षर करना होगा
जांच का पैमाना
- सुरक्षा उपाय और तकनीकी सुरक्षा उपाय
- उप-प्रोसेसर अनुपालन
- डेटा प्रबंधन प्रक्रियाएं
- घटना प्रतिक्रिया क्षमताएं
ऑडिट की लागत नियंत्रक द्वारा वहन की जाएगी जब तक कि ऑडिट में महत्वपूर्ण गैर-अनुपालन का पता नहीं चलता।
6. डेटा प्रतिधारण एवं विलोपन
आपका डेटा खाता पुनर्प्राप्ति और नियामक अनुपालन के लिए संरक्षित है।
| समय | कार्रवाई |
|---|---|
| Immediately | Account deactivated |
| Indefinite | Data preserved (archived) |
| Anytime | Account can be reactivated |
7. सीसीपीए प्रावधान
सीसीपीए के तहत, हम एक "सेवा प्रदाता" के रूप में कार्य करते हैं और:
- केवल निर्दिष्ट व्यावसायिक उद्देश्यों के लिए डेटा संसाधित करें
- व्यक्तिगत जानकारी न बेचें
- उपभोक्ता अधिकारों के अनुरोधों में सहायता करें
- उचित सुरक्षा उपाय लागू करें
8. डेटा उल्लंघन अधिसूचना
व्यक्तिगत डेटा उल्लंघन की स्थिति में, हम निम्नलिखित के लिए प्रतिबद्ध हैं:
अधिसूचना समयरेखा
- उल्लंघन के बारे में पता चलने के 72 घंटों के भीतर आपको सूचित करें
- उल्लंघन के दायरे और प्रभाव का प्रारंभिक मूल्यांकन प्रदान करें
- 5 व्यावसायिक दिनों के भीतर विस्तृत लिखित अधिसूचना दें
अधिसूचना सामग्री
- उल्लंघन की प्रकृति जिसमें श्रेणियों और प्रभावित डेटा विषयों की अनुमानित संख्या शामिल है
- हमारे डेटा संरक्षण अधिकारी का नाम और संपर्क विवरण
- उल्लंघन के संभावित परिणामों का विवरण
- उल्लंघन को संबोधित करने के लिए किए गए या प्रस्तावित उपाय
- संभावित प्रतिकूल प्रभावों को कम करने के उपाय
हम आपकी जांच और किसी भी नियामक पूछताछ में पूरा सहयोग करेंगे, और लागू कानून के अनुसार पर्यवेक्षी अधिकारियों और प्रभावित व्यक्तियों को उल्लंघन की सूचनाएं देने में सहायता करेंगे।
9. अंतर्राष्ट्रीय डेटा स्थानांतरण
जब व्यक्तिगत डेटा यूरोपीय आर्थिक क्षेत्र (ईईए) के बाहर स्थानांतरित किया जाता है, तो हम उचित सुरक्षा उपाय सुनिश्चित करते हैं:
स्थानांतरण तंत्र
EU Adequacy Decisions
Transfers to countries deemed adequate by the European Commission
EU-US Data Privacy Framework
For US-based processors certified under the DPF
Standard Contractual Clauses (SCCs)
EU Commission approved clauses (2021 version) for other transfers
हम जहां आवश्यक हो वहां स्थानांतरण प्रभाव आकलन करते हैं और अनिवार्य रूप से समकक्ष स्तर की सुरक्षा सुनिश्चित करने के लिए आवश्यक होने पर पूरक उपाय (तकनीकी, संगठनात्मक और संविदात्मक) लागू करते हैं।
आप अनुरोध पर प्रासंगिक स्थानांतरण तंत्र की प्रतियों का अनुरोध कर सकते हैं।
10. दायित्व और क्षतिपूर्ति
प्रोसेसर दायित्व
क्लाइंटफ्लो उस प्रसंस्करण के कारण होने वाले नुकसान के लिए उत्तरदायी होगा जो इस डीपीए का अनुपालन नहीं करता है या जहां हमने नियंत्रक के वैध निर्देशों के बाहर या उसके विपरीत कार्य किया है।
नियंत्रक दायित्व
नियंत्रक उस प्रसंस्करण के कारण होने वाले नुकसान के लिए उत्तरदायी होगा जो लागू डेटा सुरक्षा कानून का उल्लंघन करता है या इस डीपीए के तहत नियंत्रक के दायित्वों का पालन नहीं करता है।
सीमाएँ
- कोई भी पक्ष अप्रत्यक्ष, आकस्मिक, या परिणामी क्षति के लिए उत्तरदायी नहीं होगा
- इस डीपीए के तहत कुल कुल दायित्व दावे से पहले 12 महीनों में भुगतान की गई फीस तक सीमित है
- ये सीमाएँ गोपनीयता के उल्लंघन, जानबूझकर किए गए कदाचार, या घोर लापरवाही पर लागू नहीं होती हैं
प्रत्येक पक्ष इस डीपीए या लागू डेटा संरक्षण कानूनों के क्षतिपूर्ति करने वाले पक्ष के उल्लंघन से उत्पन्न होने वाले तीसरे पक्ष के दावों के खिलाफ दूसरे को क्षतिपूर्ति देने के लिए सहमत है।
11. समाप्ति और डेटा रिटर्न
अवधि
यह डीपीए सेवा अनुबंध की अवधि तक और जब तक हम आपकी ओर से व्यक्तिगत डेटा संसाधित करते हैं तब तक प्रभावी रहता है।
समाप्ति पर
- आपकी पसंद पर, हम 30 दिनों के भीतर सभी व्यक्तिगत डेटा वापस कर देंगे या हटा देंगे
- आप आमतौर पर उपयोग किए जाने वाले मशीन-पठनीय प्रारूप में डेटा निर्यात का अनुरोध कर सकते हैं
- हम अनुरोध पर विलोपन को प्रमाणित करेंगे
- डेटा को लागू कानून द्वारा आवश्यक होने पर बनाए रखा जा सकता है
गोपनीयता, दायित्व और डेटा सुरक्षा अधिकारों से संबंधित अनुभाग इस डीपीए की समाप्ति से बचे रहेंगे।