1. परिभाषाएँ
इस डेटा प्रसंस्करण समझौते के उद्देश्यों के लिए:
- "व्यक्तिगत डेटा" का अर्थ किसी पहचाने गए या पहचाने जाने योग्य प्राकृतिक व्यक्ति से संबंधित कोई भी जानकारी है, जैसा कि GDPR के अनुच्छेद 4(1) में परिभाषित है
- "प्रसंस्करण" का अर्थ व्यक्तिगत डेटा पर की गई कोई भी कार्रवाई है, जिसमें संग्रह, भंडारण, उपयोग, प्रकटीकरण या विलोपन शामिल है, जैसा कि GDPR के अनुच्छेद 4(2) में परिभाषित है
- "नियंत्रक" का अर्थ वह ग्राहक है जो व्यक्तिगत डेटा के प्रसंस्करण के उद्देश्यों और साधनों को निर्धारित करता है
- "प्रोसेसर" का अर्थ Morlivo है, जो नियंत्रक की ओर से व्यक्तिगत डेटा का प्रसंस्करण करता है
- "उप-प्रोसेसर" का अर्थ कोई भी तृतीय पक्ष है जिसे प्रोसेसर द्वारा नियंत्रक की ओर से व्यक्तिगत डेटा संसाधित करने के लिए नियुक्त किया गया है
- "डेटा विषय" का अर्थ एक पहचाना गया या पहचाने जाने योग्य प्राकृतिक व्यक्ति है जिसका व्यक्तिगत डेटा संसाधित किया जाता है
2. प्रसंस्करण विवरण
प्रोसेसर केवल नियंत्रक के प्रलेखित निर्देशों पर व्यक्तिगत डेटा का प्रसंस्करण करेगा, जिसमें व्यक्तिगत डेटा के तृतीय देश में स्थानांतरण के संबंध में भी शामिल है, जब तक कि संघ या सदस्य राज्य कानून द्वारा ऐसा करने की आवश्यकता न हो जिसके अधीन प्रोसेसर है।
प्रसंस्करण का विवरण इस प्रकार है:
- विषय वस्तु: अनुवाद, ट्रांसक्रिप्शन और भाषा प्रसंस्करण सेवाओं का प्रावधान
- अवधि: अंतर्निहित सेवा समझौते की अवधि के लिए
- प्रकृति और उद्देश्य: अनुवाद, ट्रांसक्रिप्शन और संबंधित भाषा सेवाएँ प्रदान करने के लिए ग्राहक सामग्री का प्रसंस्करण
- डेटा विषयों की श्रेणियाँ: अंतिम उपयोगकर्ता और वे व्यक्ति जिनका डेटा ग्राहक सामग्री में शामिल है
- व्यक्तिगत डेटा के प्रकार: नाम, संपर्क जानकारी, और प्रसंस्करण के लिए जमा की गई सामग्रियों में शामिल कोई भी अन्य व्यक्तिगत डेटा
3. सुरक्षा उपाय
प्रोसेसर GDPR के अनुच्छेद 32 के अनुसार जोखिम के अनुरूप सुरक्षा स्तर सुनिश्चित करने के लिए उचित तकनीकी और संगठनात्मक उपाय लागू करेगा। इन उपायों में शामिल हैं:
- व्यक्तिगत डेटा का रेस्ट पर (AES-256) और ट्रांज़िट में (TLS 1.2+) एन्क्रिप्शन
- प्रसंस्करण प्रणालियों और सेवाओं की निरंतर गोपनीयता, अखंडता, उपलब्धता और लचीलापन सुनिश्चित करने की क्षमता
- भौतिक या तकनीकी घटना की स्थिति में व्यक्तिगत डेटा की उपलब्धता और पहुँच को समय पर बहाल करने की क्षमता
- तकनीकी और संगठनात्मक उपायों की प्रभावशीलता का नियमित परीक्षण, मूल्यांकन और आकलन
- व्यक्तिगत डेटा का छद्मनामकरण जहाँ तकनीकी रूप से व्यवहार्य और उचित हो
- न्यूनतम विशेषाधिकार के सिद्धांत पर आधारित सख्त पहुँच नियंत्रण
- डेटा एक्सेस की व्यापक ऑडिट लॉगिंग और निगरानी
प्रोसेसर यह सुनिश्चित करेगा कि व्यक्तिगत डेटा संसाधित करने के लिए अधिकृत व्यक्तियों ने गोपनीयता की प्रतिबद्धता ली है या उचित वैधानिक गोपनीयता दायित्व के अधीन हैं।
4. उप-प्रोसेसर
नियंत्रक प्रोसेसर को उप-प्रोसेसर नियुक्त करने के लिए सामान्य प्राधिकरण प्रदान करता है। प्रोसेसर उप-प्रोसेसर की एक अद्यतन सूची बनाए रखेगा और अनुरोध पर इसे नियंत्रक को उपलब्ध कराएगा। उप-प्रोसेसर की वर्तमान सूची हमारे गोपनीयता नीति पृष्ठ पर प्रकाशित है।
प्रोसेसर उप-प्रोसेसर के जोड़ने या बदलने से संबंधित किसी भी इच्छित परिवर्तन की सूचना नियंत्रक को देगा, नियंत्रक को ऐसे परिवर्तनों पर आपत्ति करने का उचित अवसर प्रदान करेगा। जहाँ प्रोसेसर किसी उप-प्रोसेसर को नियुक्त करता है, प्रोसेसर अनुबंध के माध्यम से उस उप-प्रोसेसर पर इस DPA में निर्धारित समान डेटा सुरक्षा दायित्वों को लागू करेगा।
प्रोसेसर इस DPA के तहत किसी भी उप-प्रोसेसर के दायित्वों के प्रदर्शन के लिए नियंत्रक के प्रति पूरी तरह उत्तरदायी रहेगा।
5. डेटा विषय अधिकार
प्रोसेसर GDPR के अध्याय III के तहत अपने अधिकारों का प्रयोग करने वाले डेटा विषयों के अनुरोधों का उत्तर देने के अपने दायित्व को पूरा करने में नियंत्रक की सहायता करेगा, जिसमें शामिल हैं:
- पहुँच का अधिकार (अनुच्छेद 15)
- सुधार का अधिकार (अनुच्छेद 16)
- विलोपन का अधिकार (अनुच्छेद 17)
- प्रसंस्करण प्रतिबंध का अधिकार (अनुच्छेद 18)
- डेटा पोर्टेबिलिटी का अधिकार (अनुच्छेद 20)
- आपत्ति का अधिकार (अनुच्छेद 21)
यदि प्रोसेसर को किसी डेटा विषय से सीधे अनुरोध प्राप्त होता है, तो प्रोसेसर अनुरोध को तुरंत नियंत्रक को अग्रेषित करेगा और नियंत्रक द्वारा अधिकृत किए जाने तक डेटा विषय को सीधे प्रतिक्रिया नहीं देगा।
6. अंतर्राष्ट्रीय स्थानांतरण
प्रोसेसर GDPR के अध्याय V द्वारा आवश्यक उचित सुरक्षा उपाय लागू होने तक व्यक्तिगत डेटा को किसी तृतीय देश या अंतर्राष्ट्रीय संगठन को स्थानांतरित नहीं करेगा। अनुमोदित स्थानांतरण तंत्र में शामिल हैं:
- यूरोपीय आयोग द्वारा अपनाए गए मानक संविदात्मक खंड (SCCs) (आयोग कार्यान्वयन निर्णय (EU) 2021/914)
- GDPR के अनुच्छेद 45 के अनुसार पर्याप्तता निर्णय
- सक्षम पर्यवेक्षी प्राधिकरण द्वारा अनुमोदित बाइंडिंग कॉर्पोरेट नियम
एंटरप्राइज़ ग्राहक व्यक्तिगत डेटा के प्रसंस्करण और भंडारण को विशिष्ट भौगोलिक क्षेत्रों (EU, US, या APAC) तक सीमित करने के लिए डेटा रेज़िडेंसी सेटिंग्स कॉन्फ़िगर कर सकते हैं, जिससे सीमा-पार स्थानांतरण की आवश्यकता कम हो जाती है।
7. उल्लंघन सूचना
प्रोसेसर GDPR के अनुच्छेद 4(12) में परिभाषित व्यक्तिगत डेटा उल्लंघन की जानकारी होने के बाद बिना अनुचित देरी के, और किसी भी स्थिति में अड़तालीस (48) घंटों के भीतर नियंत्रक को सूचित करेगा।
सूचना में शामिल होगा:
- व्यक्तिगत डेटा उल्लंघन की प्रकृति का विवरण, जिसमें संबंधित डेटा विषयों और रिकॉर्ड की श्रेणियाँ और अनुमानित संख्या शामिल है
- प्रोसेसर के डेटा सुरक्षा संपर्क बिंदु का नाम और संपर्क विवरण
- उल्लंघन के संभावित परिणामों का विवरण
- उल्लंघन को संबोधित करने के लिए किए गए या प्रस्तावित उपायों का विवरण, जिसमें इसके प्रतिकूल प्रभावों को कम करने के उपाय शामिल हैं
8. ऑडिट और निरीक्षण
प्रोसेसर GDPR के अनुच्छेद 28 में निर्धारित दायित्वों के अनुपालन को प्रदर्शित करने के लिए आवश्यक सभी जानकारी नियंत्रक को उपलब्ध कराएगा। प्रोसेसर उचित अग्रिम सूचना और गोपनीयता दायित्वों के अधीन, नियंत्रक या नियंत्रक द्वारा अधिकृत ऑडिटर द्वारा किए गए ऑडिट, जिसमें निरीक्षण शामिल हैं, की अनुमति देगा और उनमें योगदान देगा।
9. अवधि और डेटा विलोपन
यह DPA अंतर्निहित सेवा समझौते की अवधि तक प्रभावी रहेगा। सेवा समझौते की समाप्ति पर, प्रोसेसर नियंत्रक की पसंद पर, सभी व्यक्तिगत डेटा हटा देगा या वापस कर देगा और मौजूदा प्रतियाँ हटा देगा, जब तक कि संघ या सदस्य राज्य कानून को व्यक्तिगत डेटा के भंडारण की आवश्यकता न हो। प्रोसेसर नियंत्रक के अनुरोध पर लिखित रूप में प्रमाणित करेगा कि उसने इस दायित्व का पालन किया है।