डेटा प्रसंस्करण समझौता

यह डेटा प्रसंस्करण समझौता ("DPA") लागू ऑर्डर फ़ॉर्म या सेवा समझौते में नियंत्रक के रूप में पहचानी गई इकाई ("नियंत्रक") और PZX (CNPJ: 62.054.402/0001-26), जिसका मुख्यालय साओ पाउलो राज्य, ब्राज़ील में है ("संचालक"), के बीच किया गया है, और Konn के उपयोग को नियंत्रित करने वाले समझौते ("समझौता") का हिस्सा है।

1. परिभाषाएँ

"व्यक्तिगत डेटा" का अर्थ है किसी पहचानी गई या पहचाने जाने योग्य प्राकृतिक व्यक्ति से संबंधित कोई भी जानकारी, जैसा कि ब्राज़ील के सामान्य डेटा संरक्षण कानून (LGPD, कानून संख्या 13.709/2018) द्वारा परिभाषित किया गया है।

"प्रसंस्करण" का अर्थ है व्यक्तिगत डेटा पर की गई कोई भी कार्रवाई, जिसमें संग्रह, भंडारण, उपयोग, पहुंच, ट्रांसमिशन और विलोपन शामिल हैं।

"नियंत्रक" का अर्थ है वह प्राकृतिक या कानूनी व्यक्ति जिसके पास व्यक्तिगत डेटा के प्रसंस्करण पर निर्णय लेने का अधिकार है।

"संचालक" का अर्थ है वह प्राकृतिक या कानूनी व्यक्ति जो नियंत्रक के निर्देशों के अनुसार नियंत्रक की ओर से व्यक्तिगत डेटा को संसाधित करता है।

"डेटा विषय" का अर्थ है वह प्राकृतिक व्यक्ति जिससे व्यक्तिगत डेटा संबंधित है।

"उप-संचालक" का अर्थ है नियंत्रक की ओर से व्यक्तिगत डेटा को संसाधित करने के लिए संचालक द्वारा नियुक्त कोई भी तीसरा पक्ष।

"सेवाएं" का अर्थ है Konn प्लेटफ़ॉर्म और समझौते के तहत PZX द्वारा उपलब्ध कराई गई कोई भी संबंधित सुविधाएँ।

2. कार्यक्षेत्र और संबंध

यह DPA सेवाओं के प्रावधान के संबंध में संचालक के रूप में PZX द्वारा नियंत्रक की ओर से व्यक्तिगत डेटा के प्रसंस्करण को नियंत्रित करता है।

नियंत्रक प्रसंस्करण के उद्देश्य और साधन निर्धारित करता है। PZX केवल इस DPA और समझौते में निर्धारित नियंत्रक के निर्देशों के अनुसार सेवाओं को प्रदान करने और संचालित करने के लिए व्यक्तिगत डेटा को संसाधित करता है।

3. प्रसंस्करण की प्रकृति, उद्देश्य और अवधि

प्रकृति: नियंत्रक और उसके अधिकृत उपयोगकर्ताओं द्वारा प्रस्तुत सामग्री का भंडारण, संगठन, अनुक्रमण, अर्थपूर्ण प्रसंस्करण, पुनर्प्राप्ति और प्रदर्शन।

उद्देश्य: दस्तावेज़ प्रबंधन, ज्ञान ग्राफ़, अर्थपूर्ण खोज और AI-सहायता प्राप्त संदर्भात्मक सुविधाओं सहित Konn प्लेटफ़ॉर्म का प्रावधान।

अवधि: समझौते की अवधि के लिए। समाप्ति पर, धारा 12 के प्रावधान लागू होते हैं।

4. व्यक्तिगत डेटा और डेटा विषयों की श्रेणियाँ

इस DPA के तहत संसाधित व्यक्तिगत डेटा की श्रेणियाँ नियंत्रक द्वारा प्रस्तुत सामग्री पर निर्भर करती हैं। इनमें शामिल हो सकते हैं, लेकिन इन्हीं तक सीमित नहीं हैं:

• पहचान और संपर्क डेटा: नियंत्रक के उपयोगकर्ताओं और अपलोड की गई सामग्री में उल्लिखित किसी भी व्यक्ति के नाम, ईमेल पते और पेशेवर जानकारी;

• संगठनात्मक डेटा: टीम संरचनाएँ, भूमिकाएँ और आंतरिक संचार;

• सामग्री डेटा: दस्तावेज़, नोट्स और ज्ञान प्रविष्टियाँ जिनमें नियंत्रक के कर्मचारियों, ग्राहकों या तीसरे पक्षों के बारे में व्यक्तिगत डेटा हो सकता है।

नियंत्रक स्वीकार करता है कि PZX सेवाओं पर अपलोड की गई सामग्री में निहित व्यक्तिगत डेटा की श्रेणियों को नियंत्रित या पूर्वानुमान नहीं कर सकता। नियंत्रक यह सुनिश्चित करने के लिए ज़िम्मेदार है कि सेवाओं को प्रस्तुत किया गया सभी व्यक्तिगत डेटा लागू कानून के तहत प्रसंस्करण के लिए एक वैध कानूनी आधार रखता है।

डेटा विषय मुख्य रूप से नियंत्रक के कर्मचारी और अधिकृत उपयोगकर्ता हैं, और संभावित रूप से वे तीसरे पक्ष हैं जिनका डेटा नियंत्रक द्वारा अपलोड की गई सामग्री में दिखाई देता है।

5. संचालक के दायित्व

PZX, संचालक के रूप में, निम्नलिखित का पालन करेगा:

5.1 निर्देशों का पालन: लागू कानून द्वारा आवश्यक होने के अलावा, केवल नियंत्रक के दस्तावेज़ित निर्देशों पर व्यक्तिगत डेटा को संसाधित करना। PZX यदि मानता है कि कोई निर्देश लागू कानून का उल्लंघन करता है, तो आगे बढ़ने से पहले नियंत्रक को सूचित करेगा।

5.2 गोपनीयता: यह सुनिश्चित करना कि व्यक्तिगत डेटा को संसाधित करने वाले अधिकृत कर्मी गोपनीयता दायित्वों से बंधे हैं।

5.3 सुरक्षा: व्यक्तिगत डेटा की सुरक्षा के लिए उपयुक्त तकनीकी और संगठनात्मक उपायों को लागू करना और बनाए रखना, जैसा कि धारा 8 में वर्णित है।

5.4 उप-संचालक: केवल धारा 7 के अनुसार उप-संचालकों को नियुक्त करना।

5.5 डेटा विषय अधिकार: डेटा विषय अधिकार अनुरोधों का जवाब देने में नियंत्रक की सहायता करना, जैसा कि धारा 9 में वर्णित है।

5.6 विलोपन: समाप्ति पर व्यक्तिगत डेटा को हटाना या वापस करना, जैसा कि धारा 12 में वर्णित है।

5.7 ऑडिट: इस DPA के अनुपालन को प्रदर्शित करने के लिए आवश्यक जानकारी उपलब्ध कराना, जैसा कि धारा 11 में वर्णित है।

5.8 घटना अधिसूचना: इस DPA के तहत संसाधित व्यक्तिगत डेटा से संबंधित किसी भी पुष्टि किए गए सुरक्षा घटना के बारे में जागरूक होने के बाद बिना किसी अनुचित देरी के, और 72 घंटे से अधिक नहीं, नियंत्रक को सूचित करना। अधिसूचना में घटना की प्रकृति, प्रभावित डेटा विषयों की श्रेणियाँ और अनुमानित संख्या, संभावित परिणाम, और लिए गए या प्रस्तावित उपाय शामिल होंगे।

6. नियंत्रक के दायित्व

नियंत्रक निम्नलिखित का पालन करेगा:

6.1 कानूनी आधार: यह सुनिश्चित करना कि सेवाओं को प्रस्तुत किया गया सभी व्यक्तिगत डेटा, जिसमें दस्तावेज़ों या ज्ञान सामग्री के हिस्से के रूप में अपलोड किए गए तीसरे पक्षों के बारे में डेटा शामिल है, के पास लागू कानून के तहत प्रसंस्करण के लिए एक वैध कानूनी आधार है।

6.2 शुद्धता: सटीक और अद्यतन निर्देश प्रदान करना और यह सुनिश्चित करना कि प्रस्तुत किया गया व्यक्तिगत डेटा इच्छित उद्देश्य के लिए पर्याप्त और प्रासंगिक है।

6.3 डेटा विषय अधिकार: नियंत्रक को निर्देशित डेटा विषय अनुरोधों को संभालना और संचालक की सहायता आवश्यक होने पर PZX के साथ समन्वय करना।

6.4 अनुपालन: नियंत्रक की क्षमता में सभी लागू डेटा सुरक्षा कानूनों का अनुपालन करना, जिसमें डेटा विषयों से कोई भी आवश्यक सहमति प्राप्त करना शामिल है।

7. उप-संचालक

7.1 वर्तमान उप-संचालक

नियंत्रक PZX को सेवाओं के संबंध में निम्नलिखित उप-संचालकों को नियुक्त करने के लिए अधिकृत करता है:

7.2 भविष्य के उप-संचालक

PZX सेवाओं के विकसित होने के साथ अतिरिक्त AI मॉडल प्रदाताओं (पुनः रैंकिंग, एम्बेडिंग या ऑडियो प्रसंस्करण सेवाओं के प्रदाताओं सहित, लेकिन इन्हीं तक सीमित नहीं) को नियुक्त कर सकता है। PZX नियंत्रक को उप-संचालकों के किसी भी इरादे से जोड़ने या प्रतिस्थापन के बारे में कम से कम 30 दिन पहले सूचित करेगा।

नियंत्रक नोटिस प्राप्त करने के 15 दिनों के भीतर PZX को लिखित रूप से सूचित करके उचित डेटा सुरक्षा आधारों पर एक नए उप-संचालक पर आपत्ति कर सकता है। यदि पक्ष आपत्ति को हल नहीं कर सकते हैं, तो नियंत्रक 30 दिनों की लिखित सूचना के साथ बिना दंड के समझौते को समाप्त कर सकता है।

7.3 उप-संचालक दायित्व

PZX सभी उप-संचालकों पर इस DPA में निर्धारित दायित्वों के समकक्ष डेटा सुरक्षा दायित्वों को लागू करेगा। PZX उप-संचालकों के दायित्वों के प्रदर्शन के लिए नियंत्रक के प्रति उत्तरदायी रहेगा।

8. सुरक्षा उपाय

PZX व्यक्तिगत डेटा की सुरक्षा के लिए निम्नलिखित तकनीकी और संगठनात्मक उपायों को लागू करता है:

• ट्रांज़िट (TLS) और विश्राम पर डेटा का एन्क्रिप्शन;

• टेनेंट अलगाव: प्रत्येक नियंत्रक का डेटा अन्य टेनेंट से तार्किक रूप से अलग होता है;

• अधिकृत कर्मियों तक पहुँच को सीमित करने वाला भूमिका-आधारित पहुँच नियंत्रण;

• सुरक्षा निगरानी और लॉगिंग;

• नियमित पहुँच समीक्षाएँ।

PZX समय के साथ इन उपायों को अद्यतन कर सकता है, बशर्ते कि अद्यतन सुरक्षा के समग्र स्तर को महत्वपूर्ण रूप से कम न करें।

9. डेटा विषय अधिकार

PZX लागू कानून के तहत डेटा विषय अधिकार अनुरोधों का जवाब देने में नियंत्रक की उसकी ज़िम्मेदारियों को पूरा करने में सहायता करेगा, जिसमें पहुँच, सुधार, विलोपन, पोर्टेबिलिटी और विरोध के लिए अनुरोध शामिल हैं।

नियंत्रक डेटा विषय अनुरोधों को प्राप्त करने और प्रारंभिक मूल्यांकन के लिए ज़िम्मेदार है। जहाँ एक अनुरोध को पूरा करने के लिए PZX द्वारा कार्रवाई की आवश्यकता होती है, नियंत्रक धारा 13 में संपर्क चैनल के माध्यम से PZX को अनुरोध प्रस्तुत करेगा। PZX 15 कार्य दिवसों के भीतर जवाब देगा।

10. अंतर्राष्ट्रीय डेटा स्थानांतरण

इस DPA के तहत संसाधित व्यक्तिगत डेटा को ब्राज़ील के बाहर के देशों में स्थानांतरित और संसाधित किया जा सकता है, जिसमें संयुक्त राज्य अमेरिका शामिल है, जहाँ PZX के उप-संचालक संचालित होते हैं। ऐसे स्थानांतरण LGPD के अनुच्छेद 33 के अनुसार पर्याप्त संविदात्मक सुरक्षा उपायों के आधार पर किए जाते हैं।

GDPR के अधीन नियंत्रकों के लिए, यूरोपीय आर्थिक क्षेत्र के बाहर के उप-संचालकों को स्थानांतरण लागू स्थानांतरण तंत्रों द्वारा नियंत्रित होते हैं, जिनमें आवश्यकतानुसार मानक संविदात्मक खंड शामिल हैं।

11. ऑडिट अधिकार

नियंत्रक के लिखित अनुरोध पर, PZX इस DPA के अनुपालन को प्रदर्शित करने के लिए उचित रूप से आवश्यक जानकारी उपलब्ध कराएगा। PZX अद्यतन प्रमाणन, सुरक्षा दस्तावेज़ या सारांश ऑडिट रिपोर्ट प्रदान करके इस दायित्व को पूरा कर सकता है।

नियंत्रक प्रति कैलेंडर वर्ष में एक से अधिक बार ऑन-साइट ऑडिट का अनुरोध नहीं कर सकता है, कम से कम 30 दिनों की लिखित सूचना के साथ और नियंत्रक की लागत पर। कोई भी ऑडिट इस तरह से संचालित किया जाना चाहिए कि वह PZX के संचालन को बाधित न करे या अन्य ग्राहकों के डेटा की सुरक्षा या गोपनीयता से समझौता न करे।

12. अवधि, समाप्ति और डेटा विलोपन

यह DPA समझौते की अवधि के लिए लागू रहता है।

समझौते की समाप्ति या समाप्ति पर:

• नियंत्रक के पास सेवाओं से अपने डेटा को निर्यात करने के लिए 30 दिन होंगे;

• इस अवधि के बाद, PZX तकनीकी रूप से व्यवहार्य होने पर उप-संचालकों द्वारा रखी गई प्रतियों सहित इस DPA के तहत संसाधित सभी व्यक्तिगत डेटा को 30 दिनों के भीतर हटा देगा;

• PZX नियंत्रक के अनुरोध पर विलोपन की लिखित पुष्टि प्रदान करेगा;

• PZX केवल लागू कानून द्वारा आवश्यक सीमा तक इस अवधि से परे व्यक्तिगत डेटा रख सकता है, इस स्थिति में डेटा इस DPA की गोपनीयता दायित्वों के अधीन रहेगा।

13. दायित्व

इस DPA के तहत प्रत्येक पक्ष का दायित्व समझौते में निर्धारित सीमाओं के अधीन है। इस DPA में कुछ भी किसी भी पक्ष के दायित्व को उन दायित्वों के लिए सीमित नहीं करता है जिन्हें लागू डेटा सुरक्षा कानून के तहत बाहर या सीमित नहीं किया जा सकता है।

14. शासी कानून

यह DPA ब्राज़ील संघीय गणराज्य के कानूनों, विशेष रूप से LGPD (कानून संख्या 13.709/2018) द्वारा शासित है। इस DPA से उत्पन्न होने वाले कोई भी विवाद जिन्हें सौहार्दपूर्ण ढंग से हल नहीं किया जा सकता है, साओ पाउलो राज्य, साओ पाउलो जिले के न्यायालयों में प्रस्तुत किए जाएंगे।

15. संपर्क

इस DPA, डेटा विषय अधिकार अनुरोधों या सुरक्षा घटनाओं से संबंधित मामलों के लिए:

• ईमेल: [email protected]

• वेबसाइट: pzx.app

डेटा सुरक्षा अधिकारी:

• नाम: Filipe Albuquerque Brauns Cazelgrandi

• ईमेल: [email protected]

अनुलग्नक A, प्रसंस्करण विवरण

यह अनुलग्नक धारा 3 का पूरक है और सेवाओं में परिवर्तनों को दर्शाने के लिए आपसी लिखित सहमति से अद्यतन किया जा सकता है।