डेटा प्रसंस्करण अनुबंध पूरक
इस दस्तावेज़ की अंग्रेज़ी भाषा की संस्करण ही इस डेटा प्रसंस्करण अनुबंध पूरक का कानूनी रूप से बाध्यकारी एवं प्रामाणिक संस्करण है। कोई भी अनुवाद केवल सूचनात्मक प्रयोजनों के लिए प्रदान किया जाता है। किसी भी विरोध, विसंगति या असंगति की स्थिति में, सभी परिस्थितियों में अंग्रेज़ी संस्करण ही कड़ाई से प्रभावी होगा।
डेटा प्रसंस्करण अनुबंध पूरक
यह डेटा प्रसंस्करण अनुबंध पूरक ("DPA"), CeroVueltas सेवा की शर्तों ("अनुबंध") का अभिन्न अंग है और उसमें संदर्भ द्वारा समाविष्ट है। यह SUITE IMPERIAL LLC, एक न्यू मैक्सिको सीमित देयता कंपनी, जो CeroVueltas ("CeroVueltas") के व्यापारिक नाम से कार्य करती है, तथा अनुबंध को स्वीकार करने वाली इकाई ("ग्राहक") के मध्य निष्पादित है। यह DPA उस सीमा तक लागू होता है जहाँ तक CeroVueltas, सेवाओं के संबंध में ग्राहक की ओर से व्यक्तिगत डेटा का प्रसंस्करण करती है। अनुबंध को स्वीकार करके या सेवाओं का उपयोग करके, ग्राहक इस DPA को स्वीकार करता है।
1. परिभाषाएँ
- "लागू डेटा संरक्षण कानून" से तात्पर्य उन सभी गोपनीयता एवं डेटा संरक्षण कानूनों से है जो इस DPA के अंतर्गत प्रसंस्कृत व्यक्तिगत डेटा पर लागू होते हैं, जिनमें यथा-प्रयोज्य निम्नलिखित सम्मिलित हैं: CPRA द्वारा संशोधित कैलिफ़ोर्निया उपभोक्ता गोपनीयता अधिनियम ("CCPA"); अन्य अमेरिकी राज्यों के व्यापक गोपनीयता कानून (जिनमें कोलोराडो, कनेक्टिकट, टेक्सास, यूटा और वर्जीनिया के कानून सम्मिलित हैं) ("अमेरिकी राज्य गोपनीयता कानून"); और केवल जहाँ ग्राहक के उपयोग पर लागू हो, EU सामान्य डेटा संरक्षण विनियमन 2016/679 ("GDPR"), UK GDPR, स्विस FADP, ब्राज़ील का LGPD, अर्जेंटीना का Ley 25.326, और मेक्सिको का LFPDPPP।
- "व्यक्तिगत डेटा" से तात्पर्य ग्राहक डेटा में निहित किसी पहचाने गए या पहचाने जाने योग्य प्राकृतिक व्यक्ति से संबंधित किसी भी जानकारी से है, जिसे CeroVueltas ग्राहक की ओर से प्रसंस्कृत करती है। "नियंत्रक," "प्रसंस्करणकर्ता," "व्यवसाय," "सेवा प्रदाता," "डेटा विषय," "उपभोक्ता," "विक्रय," "साझाकरण," और "प्रसंस्करण" शब्दों के वही अर्थ हैं जो लागू डेटा संरक्षण कानूनों में दिए गए हैं।
- "सुरक्षा घटना" से तात्पर्य सुरक्षा के उस पुष्टिकृत उल्लंघन से है जिसके परिणामस्वरूप CeroVueltas द्वारा प्रसंस्कृत व्यक्तिगत डेटा का आकस्मिक या गैरकानूनी विनाश, हानि, परिवर्तन, अनधिकृत प्रकटीकरण या उस तक अनधिकृत पहुँच होती है।
- "उप-प्रसंस्करणकर्ता" से तात्पर्य किसी ऐसे तृतीय पक्ष से है जिसे CeroVueltas ने ग्राहक की ओर से व्यक्तिगत डेटा प्रसंस्कृत करने के लिए नियुक्त किया है, जिसमें होस्टिंग प्रदाता और तृतीय-पक्ष कृत्रिम बुद्धिमत्ता API प्रदाता सम्मिलित हैं।
- "SCCs" से तात्पर्य यूरोपीय आयोग के निर्णय (EU) 2021/914 द्वारा अनुमोदित मानक संविदात्मक खंडों से है।
यहाँ परिभाषित न किए गए बड़े अक्षरों वाले शब्दों के वही अर्थ हैं जो अनुबंध में दिए गए हैं।
2. भूमिकाएँ और कार्यक्षेत्र
2.1 भूमिकाएँ। ग्राहक व्यक्तिगत डेटा का नियंत्रक (या व्यवसाय) है, अथवा किसी तृतीय-पक्ष नियंत्रक की ओर से प्रसंस्करणकर्ता के रूप में कार्य करता है। CeroVueltas, ग्राहक के प्रलेखित निर्देशों पर कार्य करने वाला एक प्रसंस्करणकर्ता (या सेवा प्रदाता) है।
2.2 ग्राहक के निर्देश। CeroVueltas व्यक्तिगत डेटा का प्रसंस्करण केवल निम्नलिखित के लिए करेगी: (a) अनुबंध में वर्णित सेवाओं को प्रदान करने, सुरक्षित करने, अनुरक्षित करने और समस्या-निवारण के लिए; (b) इस DPA और अनुलग्नक I में प्रलेखित रूप में; और (c) ग्राहक के अन्य प्रलेखित, विधिसम्मत निर्देशों के अनुसार। अनुबंध, सेवाओं का ग्राहक का विन्यास (जिसमें ज्ञान आधार और रूटिंग नियम सम्मिलित हैं), और डैशबोर्ड का उपयोग ग्राहक के निर्देश माने जाएँगे। यदि CeroVueltas की राय में कोई निर्देश लागू डेटा संरक्षण कानूनों का उल्लंघन करता है, तो वह ग्राहक को इसकी सूचना देगी।
2.3 ग्राहक की जिम्मेदारियाँ। ग्राहक पूर्णतः उत्तरदायी है: (a) व्यक्तिगत डेटा की सटीकता, गुणवत्ता और वैधता तथा उसे प्राप्त करने के साधनों के लिए; (b) अंतिम उपयोगकर्ताओं को सभी कानूनी रूप से आवश्यक सूचनाएँ प्रदान करने और उनसे सभी कानूनी रूप से आवश्यक सहमतियाँ प्राप्त करने के लिए (जिसमें वेबसाइट विजेट, सत्र कैप्चर और स्वचालित/AI-संचालित संचार सम्मिलित हैं); और (c) यह सुनिश्चित करने के लिए कि उसके निर्देश लागू डेटा संरक्षण कानूनों का अनुपालन करते हैं।
3. CCPA और अमेरिकी राज्य गोपनीयता कानून की शर्तें
उस सीमा तक जहाँ CeroVueltas CCPA या अमेरिकी राज्य गोपनीयता कानूनों के अधीन व्यक्तिगत डेटा का प्रसंस्करण करती है, CeroVueltas:
(a) सेवा प्रदाता / प्रसंस्करणकर्ता के रूप में कार्य करती है और व्यक्तिगत डेटा का प्रसंस्करण केवल अनुबंध और अनुलग्नक I में वर्णित व्यावसायिक प्रयोजनों के लिए करेगी;
(b) व्यक्तिगत डेटा का विक्रय या साझाकरण नहीं करेगी;
(c) ग्राहक के साथ प्रत्यक्ष व्यावसायिक संबंध के बाहर या निर्दिष्ट व्यावसायिक प्रयोजनों के अतिरिक्त किसी अन्य प्रयोजन के लिए व्यक्तिगत डेटा को प्रतिधारित, उपयोग या प्रकट नहीं करेगी, सिवाय उन मामलों के जो लागू डेटा संरक्षण कानूनों द्वारा अनुमत हों;
(d) व्यक्तिगत डेटा को अन्य स्रोतों से प्राप्त व्यक्तिगत जानकारी के साथ संयोजित नहीं करेगी, सिवाय उन मामलों के जो लागू डेटा संरक्षण कानूनों द्वारा अनुमत हों (जैसे, सुरक्षा और धोखाधड़ी रोकथाम के लिए);
(e) प्रमाणित करती है कि वह इस धारा 3 में निहित प्रतिबंधों को समझती है और उनका अनुपालन करेगी;
(f) ग्राहक को सूचित करेगी यदि वह यह निर्धारित करती है कि वह लागू डेटा संरक्षण कानूनों के अंतर्गत अपने दायित्वों को पूरा करने में अब सक्षम नहीं है, जिस स्थिति में ग्राहक अनधिकृत प्रसंस्करण को रोकने और उसका निवारण करने के लिए उचित एवं समुचित कदम उठा सकता है; और
(g) ग्राहक को धारा 9 में उल्लिखित लेखापरीक्षा तंत्र के माध्यम से यह सुनिश्चित करने के लिए उचित कदम उठाने का अधिकार प्रदान करती है कि CeroVueltas व्यक्तिगत डेटा का उपयोग ग्राहक के दायित्वों के अनुरूप करती है।
4. गोपनीयता
CeroVueltas यह सुनिश्चित करेगी कि व्यक्तिगत डेटा के प्रसंस्करण के लिए अधिकृत कर्मियों पर लिखित गोपनीयता दायित्व या उचित वैधानिक गोपनीयता कर्तव्य आरोपित हो, और वे व्यक्तिगत डेटा तक केवल आवश्यकता-आधारित (need-to-know) सिद्धांत पर पहुँच प्राप्त करें।
5. उप-प्रसंस्करणकर्ता
5.1 सामान्य प्राधिकरण। ग्राहक CeroVueltas को उप-प्रसंस्करणकर्ताओं को नियुक्त करने के लिए सामान्य लिखित प्राधिकरण प्रदान करता है, जिसमें होस्टिंग अवसंरचना प्रदाता और गतिशील रूटिंग के लिए उपयोग किए जाने वाले तृतीय-पक्ष कृत्रिम बुद्धिमत्ता API प्रदाता सम्मिलित हैं। प्रमुख उप-प्रसंस्करणकर्ताओं की वर्तमान सूची हमारी उप-प्रसंस्करणकर्ता सूची पर अनुरक्षित है।
5.2 अद्यतन और आपत्ति। CeroVueltas किसी प्रमुख उप-प्रसंस्करणकर्ता को जोड़ने या प्रतिस्थापित करने से पूर्व उप-प्रसंस्करणकर्ता सूची को अद्यतन करेगी और अद्यतन सूचनाओं की सदस्यता लेने का तंत्र प्रदान करती है। ग्राहक किसी अद्यतन के दस (10) दिनों के भीतर privacidad@cerovueltas.com पर लिखित सूचना द्वारा उचित, प्रलेखित डेटा-संरक्षण आधारों पर आपत्ति कर सकता है। यदि पक्षकार तीस (30) दिनों के भीतर सद्भावपूर्वक आपत्ति का समाधान नहीं कर पाते, तो ग्राहक का एकमात्र और अनन्य उपाय प्रभावित सेवाओं की समाप्ति होगा। इस धारा के अंतर्गत समाप्ति पर ग्राहक पहले से उपभोग की गई क्षमता, उपयोग किए गए उपयोग कोटा, या समाप्त सेवा शेष के लिए किसी भी धनवापसी, क्रेडिट या प्रतिपूर्ति का हकदार नहीं होगा।
5.3 प्रवाह-अधोगामी दायित्व। CeroVueltas उप-प्रसंस्करणकर्ताओं पर डेटा संरक्षण दायित्व आरोपित करेगी जो इस DPA से सारभूत रूप से कम सुरक्षात्मक नहीं होंगे, और अनुबंध में निहित सीमाओं के अधीन, अपने उप-प्रसंस्करणकर्ताओं के प्रदर्शन के लिए उसी सीमा तक उत्तरदायी रहेगी जिस सीमा तक वह स्वयं सेवाएँ प्रदान करने पर उत्तरदायी होती।
5.4 AI प्रशिक्षण निषेध। अनुबंध की धारा 10.2 के अनुरूप, CeroVueltas AI या मशीन लर्निंग मॉडल को प्रशिक्षित करने के लिए व्यक्तिगत डेटा, ग्राहक डेटा, ज्ञान आधार सामग्री, या अंतिम उपयोगकर्ता संदेशों का उपयोग नहीं करती, और ऐसे तृतीय-पक्ष AI उप-प्रसंस्करणकर्ताओं का चयन करती है जिनकी प्रकाशित नीतियाँ उनके सामान्य-प्रयोजन आधार मॉडलों को प्रशिक्षित करने के लिए API डेटा के उपयोग को प्रतिबंधित करती हैं। ग्राहक स्वीकार करता है कि ये उप-प्रसंस्करणकर्ता अपनी-अपनी नीतियों के अनुसार, सुरक्षा, दुरुपयोग-निगरानी और विश्वास-एवं-सुरक्षा प्रयोजनों के लिए API लॉग को अस्थायी रूप से प्रतिधारित कर सकते हैं।
6. सुरक्षा
6.1 उपाय। CeroVueltas अनुलग्नक II में वर्णित अनुसार, सुरक्षा घटनाओं से व्यक्तिगत डेटा की सुरक्षा के लिए व्यावसायिक रूप से उचित तकनीकी और संगठनात्मक उपायों को लागू और अनुरक्षित करेगी। CeroVueltas इन उपायों को अद्यतन कर सकती है, बशर्ते कि अद्यतन समग्र सुरक्षा स्तर को सारभूत रूप से कम न करें।
6.2 सुरक्षा घटना अधिसूचना। CeroVueltas ग्राहक के व्यक्तिगत डेटा को प्रभावित करने वाली सुरक्षा घटना की पुष्टि के बाद बिना अनुचित विलंब के, और किसी भी स्थिति में बहत्तर (72) घंटों के भीतर, ग्राहक को सूचित करेगी। अधिसूचना में, जहाँ तक ज्ञात हो, निम्नलिखित सम्मिलित होगा: घटना की प्रकृति, प्रभावित डेटा की श्रेणियाँ और अनुमानित मात्रा, संभावित परिणाम, और उठाए गए या प्रस्तावित उपाय। CeroVueltas की अधिसूचना दोष या दायित्व की स्वीकृति नहीं है। नियामकों, डेटा विषयों या उपभोक्ताओं को किसी भी कानूनी रूप से आवश्यक अधिसूचना के लिए ग्राहक पूर्णतः उत्तरदायी है।
7. सहायता
प्रसंस्करण की प्रकृति को ध्यान में रखते हुए, CeroVueltas ग्राहक को निम्नलिखित में उचित सहायता प्रदान करेगी: (a) डेटा विषय / उपभोक्ता अनुरोधों (पहुँच, विलोपन, सुधार, पोर्टेबिलिटी, ऑप्ट-आउट) का उत्तर देना — जहाँ ऐसे अनुरोध CeroVueltas को सीधे प्राप्त होते हैं, वह अनुरोधकर्ता को ग्राहक के पास पुनर्निर्देशित करेगी; (b) डेटा संरक्षण प्रभाव आकलन और पर्यवेक्षी प्राधिकरणों के साथ पूर्व परामर्श, जहाँ GDPR द्वारा आवश्यक हो; और (c) ग्राहक की सुरक्षा और उल्लंघन-अधिसूचना दायित्वों के अनुपालन में।
प्रशासनिक शुल्क: इस धारा के अंतर्गत CeroVueltas द्वारा प्रदान की गई कोई भी मैनुअल, तकनीकी या अनुकूलित प्रशासनिक सहायता जो एक साधारण स्वचालित प्लेटफ़ॉर्म कार्य या बुनियादी पुनर्निर्देशन से अधिक हो (जिसमें बिना किसी सीमा के, मैनुअल रूप से वार्तालाप इतिहास निकालना या तकनीकी दस्तावेज़ीकरण संकलित करना सम्मिलित है), USD 150 प्रति घंटे के प्रशासनिक सेवा शुल्क के अधीन होगी, जो न्यूनतम एक (1) घंटे के वेतन-वृद्धि में बिल की जाएगी, और जिसका भुगतान ग्राहक द्वारा ऐसी सहायता के निष्पादन से पूर्व पूर्णतः अग्रिम रूप से किया जाना अनिवार्य है।
8. डेटा वापसी और विलोपन
अनुबंध की समाप्ति या अवसान पर, CeroVueltas तीस (30) दिनों के भीतर, सक्रिय उत्पादन प्रणालियों से सभी व्यक्तिगत डेटा को हटा देगी या अनामीकृत कर देगी, सिवाय उन मामलों के जहाँ लागू कानून द्वारा या कर/वित्तीय लेखापरीक्षण के लिए प्रतिधारण आवश्यक हो (ऐसे अभिलेखों के लिए सात (7) वर्ष से अधिक नहीं)। स्वचालित बैकअप में व्यक्तिगत डेटा नब्बे (90) दिनों के भीतर हटाया या अधिलेखित किया जाएगा। अनुबंध की अवधि के दौरान, ग्राहक डैशबोर्ड या उपलब्ध APIs के माध्यम से ग्राहक डेटा निर्यात कर सकता है।
9. लेखापरीक्षा
9.1 लेखापरीक्षा रिपोर्ट। लिखित अनुरोध पर, बारह (12) महीनों में एक बार से अधिक नहीं, CeroVueltas ऐसे अनुरोध की प्राप्ति के पैंतालीस (45) दिनों के भीतर, इस DPA के अनुपालन को प्रदर्शित करने के लिए उचित रूप से आवश्यक दस्तावेज़ीकरण उपलब्ध कराएगी। ऐसा दस्तावेज़ीकरण कड़ाई से मानक सुरक्षा सारांशों, अक्सर पूछे जाने वाले प्रश्नों, या सामान्य नीति अवलोकनों तक सीमित होगा जैसा CeroVueltas उस समय अपने ग्राहकों को सामान्यतः उपलब्ध कराती है।
9.2 नियामक और अनिवार्य लेखापरीक्षा। जहाँ लागू डेटा संरक्षण कानून ग्राहक को लेखापरीक्षा संचालित करने का एक अनिवार्य, अपरित्याज्य कानूनी अधिकार प्रदान करते हैं जिसे धारा 9.1 के अंतर्गत प्रदान किए गए दस्तावेज़ीकरण द्वारा उचित रूप से संतुष्ट नहीं किया जा सकता, ग्राहक ऐसी लेखापरीक्षा कड़ाई से निम्नलिखित संचयी शर्तों के अधीन आरंभ कर सकता है:
(a) ग्राहक को CeroVueltas को विस्तृत लेखापरीक्षा योजना सहित कम से कम साठ (60) कैलेंडर दिनों की लिखित सूचना प्रदान करनी होगी;
(b) लेखापरीक्षा विशेष रूप से CeroVueltas द्वारा लिखित रूप में अनुमोदित एक स्वतंत्र, प्रमाणित तृतीय-पक्ष लेखापरीक्षक (कड़ाई से किसी मान्यता प्राप्त "बिग फोर" लेखांकन और लेखापरीक्षा फर्म तक सीमित) द्वारा संचालित की जाएगी, जो एक कड़े गैर-प्रकटीकरण अनुबंध से बाध्य होगा; ग्राहक के आंतरिक कर्मचारी, कार्मिक, या प्रत्यक्ष/अप्रत्यक्ष प्रतिस्पर्धी लेखापरीक्षक के रूप में कार्य करने से पूर्णतः प्रतिबंधित हैं;
(c) लेखापरीक्षा का कार्यक्षेत्र कड़ाई से CeroVueltas कार्मिकों द्वारा दूरस्थ स्क्रीन-शेयरिंग के माध्यम से प्रदान किए गए अनुकूलित अनुपालन साक्ष्य, संपादित सिस्टम लॉग और सुरक्षा वास्तुकला वॉकथ्रू की दूरस्थ डेस्कटॉप समीक्षा तक सीमित होगा;
(d) स्पष्ट पहुँच निषेध: किसी भी परिस्थिति में लेखापरीक्षक या ग्राहक को CeroVueltas के स्वामित्व या उपयोग में आने वाली किसी भी प्रणाली, अवसंरचना, नेटवर्क, सॉफ़्टवेयर, डेटाबेस, परिवेश, कार्मिक, या किसी अन्य भौतिक या डिजिटल संपत्ति, संसाधन, या किसी भी प्रकार की मालिकाना जानकारी तक कोई भौतिक या तार्किक पहुँच प्रदान नहीं की जाएगी। लेखापरीक्षा कड़ाई से CeroVueltas द्वारा स्पष्ट रूप से प्रदान या प्रदर्शित साक्ष्य की दूरस्थ दृश्य समीक्षा तक सीमित है;
(e) ग्राहक बाह्य लेखापरीक्षक द्वारा वहन की गई सभी लागतों, शुल्कों और व्ययों का एक सौ प्रतिशत (100%) वहन करेगा; और
(f) ग्राहक CeroVueltas को USD 1,500 प्रति दिन (या उसके किसी भाग) का अनिवार्य प्रशासनिक और परिचालन व्यवधान शुल्क अदा करेगा जिस दिन लेखापरीक्षा समीक्षा निष्पादित की जाती है, जिसका भुगतान पूर्णतः अग्रिम रूप से किया जाना अनिवार्य है। CeroVueltas को अधिकार है कि यदि समीक्षा से सिस्टम अस्थिरता उत्पन्न होती है, बौद्धिक संपदा के प्रकटीकरण का जोखिम होता है, या परिचालन सुरक्षा सीमाओं का उल्लंघन होता है, तो वह लेखापरीक्षा को तत्काल निलंबित या समाप्त कर सकती है।
10. अंतर्राष्ट्रीय डेटा अंतरण
10.1 प्रसंस्करण स्थान। सेवाएँ संयुक्त राज्य अमेरिका में होस्ट और संचालित हैं। ग्राहक स्वीकार करता है और निर्देश देता है कि व्यक्तिगत डेटा का प्रसंस्करण संयुक्त राज्य अमेरिका में और हमारी उप-प्रसंस्करणकर्ता सूची में सूचीबद्ध उप-प्रसंस्करणकर्ताओं के न्यायक्षेत्रों में किया जाएगा।
10.2 EEA/UK/स्विस अंतरण। केवल उस सीमा तक जहाँ ग्राहक GDPR, UK GDPR, या स्विस FADP के अधीन व्यक्तिगत डेटा CeroVueltas को अंतरित करता है, SCCs को निम्नानुसार संदर्भ द्वारा समाविष्ट किया जाता है:
| मद | अनुप्रयोग |
|---|---|
| मॉड्यूल | मॉड्यूल दो (नियंत्रक → प्रसंस्करणकर्ता); मॉड्यूल तीन (प्रसंस्करणकर्ता → प्रसंस्करणकर्ता) जहाँ ग्राहक एक प्रसंस्करणकर्ता है |
| खंड 7 (डॉकिंग) | लागू नहीं |
| खंड 9 (उप-प्रसंस्करणकर्ता) | विकल्प 2 (सामान्य प्राधिकरण), धारा 5.2 के अनुसार सूचना अवधि |
| खंड 11 (निवारण) | वैकल्पिक भाषा लागू नहीं |
| खंड 17 (शासी कानून) | आयरलैंड के कानून |
| खंड 18 (न्यायालय) | आयरलैंड के न्यायालय |
| अनुलग्नक I–II | इस DPA के अनुलग्नक I–II द्वारा पूर्ण |
| UK अंतरण | UK अंतर्राष्ट्रीय डेटा अंतरण अनुबंध पूरक (IDTA Addendum) लागू होता है, जिसकी तालिकाएँ इस DPA द्वारा पूर्ण की गई हैं |
| स्विस अंतरण | SCCs को स्विस FDPIC की आवश्यकतानुसार अनुकूलित किया गया है (GDPR के संदर्भ FADP के रूप में पढ़े जाएँ; पर्यवेक्षी प्राधिकरण FDPIC है) |
10.3 ग्राहक की जिम्मेदारी। नियंत्रक के रूप में ग्राहक, अपने विशिष्ट उपयोग के मामले और डेटा विषयों के लिए अंतर्राष्ट्रीय अंतरणों की वैधता निर्धारित करने के लिए उत्तरदायी रहता है। CeroVueltas यह कोई प्रतिनिधित्व नहीं करती कि किसी उप-प्रसंस्करणकर्ता का न्यायक्षेत्र "पर्याप्त" माना जाता है।
11. दायित्व और प्राथमिकता क्रम
11.1 इस DPA (जिसमें SCCs सम्मिलित हैं) से उत्पन्न या उससे संबंधित प्रत्येक पक्ष का दायित्व कड़ाई से अनुबंध (सेवा की शर्तें) में निर्धारित बहिष्करणों और दायित्व की व्यापक सीमाओं के अधीन है, जिसमें दायित्व सीमाएँ, क्षतिपूर्ति प्रक्रियाएँ, वर्ग-कार्रवाई अधित्याग और मध्यस्थता प्रावधान सम्मिलित हैं। यह DPA अनुबंध के किसी भी दायित्व सीमा या विवाद समाधान प्रावधान को संशोधित, अधिक्रमित, विस्तारित या कम नहीं करता।
11.2 विरोध की स्थिति में: (a) SCCs इस DPA पर केवल उन अंतरणों के संबंध में प्रभावी होंगे जिन्हें वे नियंत्रित करते हैं; (b) यह DPA अनुबंध पर केवल व्यक्तिगत डेटा के प्रसंस्करण के तकनीकी तंत्र के संबंध में प्रभावी होगा; और (c) अनुबंध (सेवा की शर्तें) अन्य सभी मामलों में कड़ाई से प्रभावी होगा, जिसमें बिना किसी सीमा के, दायित्व, क्षति, विवाद समाधान और शासी कानून के सभी मामले सम्मिलित हैं।
12. अवधि, अद्यतन और शासी कानून
यह DPA तब तक प्रभावी रहेगा जब तक CeroVueltas ग्राहक की ओर से व्यक्तिगत डेटा का प्रसंस्करण करती है। CeroVueltas अनुबंध की धारा 21.6 के अनुसार, लागू डेटा संरक्षण कानूनों या सेवाओं में परिवर्तनों को प्रतिबिंबित करने के लिए उचित रूप से आवश्यकतानुसार इस DPA को अद्यतन कर सकती है। जहाँ SCCs अन्यथा अपेक्षित न करें, यह DPA अनुबंध की धारा 19 में निर्दिष्ट कानूनों द्वारा शासित होगा।
अनुलग्नक I — प्रसंस्करण का विवरण
| मद | विवरण |
|---|---|
| डेटा निर्यातक | ग्राहक (नियंत्रक या प्रसंस्करणकर्ता) |
| डेटा आयातक | SUITE IMPERIAL LLC d/b/a CeroVueltas (प्रसंस्करणकर्ता), न्यू मैक्सिको, USA |
| डेटा विषयों की श्रेणियाँ | WhatsApp या वेबसाइट विजेट के माध्यम से ग्राहक के साथ संचार करने वाले अंतिम उपयोगकर्ता; ग्राहक के अधिकृत कार्मिक और खाता उपयोगकर्ता |
| व्यक्तिगत डेटा की श्रेणियाँ | नाम, फ़ोन नंबर, WhatsApp प्रोफ़ाइल नाम और ID, संदेश सामग्री, वार्तालाप मेटाडेटा, संपर्क डेटा, खाता क्रेडेंशियल, बिलिंग संपर्क विवरण, और कोई भी व्यक्तिगत डेटा जो ग्राहक ज्ञान आधार या ग्राहक डेटा में सम्मिलित करता है |
| संवेदनशील डेटा | कोई नहीं अभिप्रेत। ग्राहक संवेदनशील/विशेष-श्रेणी डेटा तब तक प्रस्तुत नहीं करेगा जब तक कि कानूनी रूप से अनुमत और लिखित रूप में संविदात्मक रूप से सहमत न हो |
| प्रकृति और प्रयोजन | होस्टिंग, इनबाउंड संदेश रूटिंग, वेक्टर एन्कोडिंग (RAG), तृतीय-पक्ष APIs के माध्यम से AI-संचालित प्रतिक्रिया उत्पादन, डैशबोर्ड विश्लेषण, सहायता, सुरक्षा और समस्या-निवारण |
| अवधि | अनुबंध की अवधि और धारा 8 में विलोपन अवधियाँ |
| आवृत्ति | निरंतर |
| सक्षम पर्यवेक्षी प्राधिकरण (SCCs) | डेटा निर्यातक की स्थापना के आधार पर SCCs के खंड 13 के अनुसार निर्धारित |
अनुलग्नक II — तकनीकी और संगठनात्मक उपाय
- एन्क्रिप्शन और छद्मनामीकरण: पारगमन में TLS 1.2+; डेटाबेस और महत्वपूर्ण संचार के लिए विश्राम पर AES-256-GCM। डेटाबेस क्वेरी में PII पहचानकर्ताओं के लिए क्रिप्टोग्राफ़िक छद्मनामीकरण का उपयोग।
- पहुँच नियंत्रण: प्रदाता-स्तरीय MFA समर्थन के साथ पहचान प्रदाताओं (जैसे, Google/Facebook Login/ईमेल) के माध्यम से SSO एकीकरण; भूमिका-आधारित पहुँच; तार्किक किरायेदार पृथक्करण (ग्राहक ID के अनुसार कड़ा डेटाबेस-स्तरीय दायरा)।
- सत्र सुरक्षा: सुरक्षित उपसर्ग कुकीज़, कड़ी SameSite नीतियों, CSRF टोकनीकरण और कड़े निष्क्रिय सत्र टाइमआउट का उपयोग करते हुए ज़ीरो-ट्रस्ट सत्र प्रबंधन।
- DDoS और दुरुपयोग रोकथाम: दुरुपयोग और संसाधन थकावट को कम करने के लिए परमाणु ट्रैकिंग और कड़े पेलोड आकार प्रतिबंधों के साथ स्वचालित दर सीमन।
- AI सुरक्षा: प्रतिकूल इनपुट और RAG पॉइज़निंग को कम करने के लिए स्वचालित प्रॉम्प्ट इंजेक्शन पहचान तंत्र और गतिशील स्वच्छता प्रोटोकॉल।
- स्वचालित PII संपादन: डेटाबेस अंतर्ग्रहण से पूर्व सिस्टम ऑडिट लॉग में व्यक्तिगत पहचान योग्य जानकारी (ईमेल, फ़ोन नंबर, पासवर्ड) की स्वचालित मास्किंग।
- अवसंरचना और गुप्त प्रबंधन: मान्यता प्राप्त प्रमाणपत्र (जैसे, SOC 2, ISO 27001) बनाए रखने वाले प्रतिष्ठित क्लाउड प्रदाताओं पर होस्टिंग। क्रेडेंशियल प्रकटीकरण को रोकने के लिए केंद्रीकृत, क्लाउड-समर्थित गुप्त प्रबंधन। कड़ी सामग्री सुरक्षा नीति (CSP) प्रवर्तन।
- भेद्यता प्रबंधन: आवधिक पैचिंग, निर्भरता समीक्षा और सुरक्षित आधारभूत परिनियोजन कार्यप्रवाह (ज़ीरो-डाउनटाइम पाइपलाइन)।
- व्यावसायिक निरंतरता: स्वचालित बैकअप; गतिशील APIs के लिए प्रलेखित घटना-प्रतिक्रिया और फ़ॉलबैक रूटिंग प्रक्रियाएँ।
- डेटा जीवनचक्र: धारा 8 के अनुसार स्वचालित GDPR/SOC2 विलोपन प्रोटोकॉल (जैसे, 72-व्यावसायिक-घंटे शुद्धिकरण विंडो) और बैकअप-अधिलेखन प्रक्रियाएँ।
अनुलग्नक III — उप-प्रसंस्करणकर्ता
प्रमुख उप-प्रसंस्करणकर्ताओं (होस्टिंग और AI प्रदाताओं) की वर्तमान सूची हमारी उप-प्रसंस्करणकर्ता सूची पर अनुरक्षित है, जिसे संदर्भ द्वारा समाविष्ट किया गया है।
संपर्क: privacidad@cerovueltas.com | legal@cerovueltas.com
SUITE IMPERIAL LLC, न्यू मैक्सिको, USA