ब्रॉश बिजनेस पार्टनर डेटा प्रोसेसिंग समझौता

अंतिम बार संशोधित: 7 फरवरी, 2023



नियम एवं शर्तें:


यह डेटा प्रोसेसिंग अनुबंध ("पार्टनर डीपीए") आपके ("पार्टनर") और BROSH, Inc. ("BROSH") द्वारा किए गए अनुबंध(ओं) में शामिल किया गया है, और आपके और BROSH के बीच डेटा साझाकरण को नियंत्रित करता है (लेकिन पार्टनर और BROSH के बीच ग्राहक अनुबंधों को छोड़कर जो पार्टनर की BROSH उत्पादों और सेवाओं की खरीद और उपयोग को नियंत्रित करते हैं) ("पार्टनर अनुबंध")।

यह भागीदार डीपीए निम्नलिखित के प्रसंस्करण को कवर करता है: (1) व्यक्तिगत डेटा जिसे भागीदार भागीदार समझौते के संबंध में BROSH को अपलोड, स्थानांतरित या अन्यथा प्रदान करता है; और (2) व्यक्तिगत डेटा जिसे BROSH (या उसके ग्राहक) भागीदार समझौते के संबंध में भागीदार को अपलोड, स्थानांतरित या अन्यथा प्रदान करता है।

सामूहिक रूप से, इस पार्टनर डीपीए (नीचे परिभाषित एससीसी सहित) और पार्टनर अनुबंध को इस पार्टनर डीपीए में "अनुबंध" के रूप में संदर्भित किया गया है। अनुबंध की किसी भी शर्त के बीच किसी भी संघर्ष या असंगति की स्थिति में, निम्नलिखित दस्तावेजों के प्रावधान (वरीयता के क्रम में) प्रबल होंगे: (ए) एससीसी (बी) यह पार्टनर डीपीए; और (सी) पार्टनर अनुबंध।

इस साझेदार डीपीए का उद्देश्य ऐसे परिदृश्यों से निपटने के लिए एक ढांचा स्थापित करना है जहां:

  1. पार्टनर समझौते के संबंध में, ब्रॉश और पार्टनर प्रत्येक यूरोपीय व्यक्तिगत डेटा के नियंत्रक (जैसा कि नीचे परिभाषित किया गया है) हो सकते हैं और, कुछ मामलों में, उस यूरोपीय व्यक्तिगत डेटा को दूसरे पक्ष को हस्तांतरित कर सकते हैं ताकि वह अन्य पक्ष उस यूरोपीय व्यक्तिगत डेटा के नियंत्रक के रूप में कार्य कर सके;
  2. ब्रॉश और भागीदार दोनों ही यूरोपीय व्यक्तिगत डेटा के नियंत्रक हो सकते हैं और, कुछ मामलों में, उस यूरोपीय व्यक्तिगत डेटा को दूसरे पक्ष को हस्तांतरित कर सकते हैं ताकि वह दूसरा पक्ष प्रोसेसर के रूप में दूसरे पक्ष को कुछ सेवाएं प्रदान कर सके (उदाहरण के लिए, समाधान भागीदार के रूप में सेवाएं प्रदान करना या API कॉल पूरा करना); या
  3. ब्रॉश और पार्टनर, दोनों ही संयुक्त ग्राहक के यूरोपीय व्यक्तिगत डेटा के प्रोसेसर हो सकते हैं और संयुक्त ग्राहक के निर्देश पर प्रसंस्करण के लिए ऐसे डेटा को दूसरे पक्ष को हस्तांतरित कर सकते हैं।

1 कई। परिभाषाएं

"व्यवसाय" और "सेवा प्रदाता" का अर्थ वही होगा जो सीसीपीए में दिया गया है।

"कैलिफोर्निया व्यक्तिगत जानकारी" का तात्पर्य व्यक्तिगत डेटा से है जो CCPA के संरक्षण के अधीन है।

"सीसीपीए" का अर्थ है कैलिफोर्निया सिविल कोड धारा 1798.100 एट सीक्यू (जिसे कैलिफोर्निया उपभोक्ता गोपनीयता अधिनियम 2018 के रूप में भी जाना जाता है)।

"नियंत्रक" का तात्पर्य प्राकृतिक या कानूनी व्यक्ति, सार्वजनिक प्राधिकरण, एजेंसी या अन्य निकाय से है जो अकेले या दूसरों के साथ मिलकर व्यक्तिगत डेटा के प्रसंस्करण के उद्देश्यों और साधनों का निर्धारण करता है।

"डेटा सुरक्षा कानून" का अर्थ है डेटा सुरक्षा और गोपनीयता से संबंधित सभी लागू विश्वव्यापी कानून या विनियम जो अनुबंध के तहत संबंधित व्यक्तिगत डेटा को संसाधित करने की भूमिका में संबंधित पक्ष पर लागू होते हैं, जिसमें बिना किसी सीमा के यूरोपीय डेटा सुरक्षा कानून, CCPA और ऑस्ट्रेलिया और सिंगापुर के डेटा सुरक्षा और गोपनीयता कानून शामिल हैं; प्रत्येक मामले में समय-समय पर संशोधित, निरस्त, समेकित या प्रतिस्थापित किए गए। "यूरोप" का अर्थ है यूरोपीय संघ, यूरोपीय आर्थिक क्षेत्र और/या उनके सदस्य राज्य, स्विटजरलैंड और यूनाइटेड किंगडम।

"यूरोपीय डेटा संरक्षण कानून" का अर्थ यूरोप में लागू डेटा संरक्षण कानून है, जिसमें शामिल हैं: (i) व्यक्तिगत डेटा के प्रसंस्करण और ऐसे डेटा के मुक्त आवागमन के संबंध में प्राकृतिक व्यक्तियों की सुरक्षा पर यूरोपीय संसद और परिषद का विनियमन 2016/679 (सामान्य डेटा संरक्षण विनियमन) ("जीडीपीआर"); (ii) इलेक्ट्रॉनिक संचार क्षेत्र में व्यक्तिगत डेटा के प्रसंस्करण और गोपनीयता की सुरक्षा के संबंध में निर्देश 2002/58/ईसी; और (iii) (i) और (ii) के लागू राष्ट्रीय कार्यान्वयन; या (iii) जीडीपीआर क्योंकि यह यूरोपीय संघ (वापसी) अधिनियम 2018 ("यूके जीडीपीआर") की धारा 3 के आधार पर यूनाइटेड किंगडम के घरेलू कानून का हिस्सा है; और (iv) 19 जून 1992 को स्विस संघीय डेटा संरक्षण अधिनियम और इसका अध्यादेश ("स्विस डीपीए"); प्रत्येक मामले में, जैसा कि संशोधित, अधिक्रमित या प्रतिस्थापित किया जा सकता है।

"यूरोपीय व्यक्तिगत डेटा" से तात्पर्य ऐसे व्यक्तिगत डेटा से है, जिसका साझाकरण इस अनुबंध के अनुसार यूरोपीय डेटा संरक्षण कानूनों द्वारा विनियमित होता है।

"संयुक्त ग्राहक" का तात्पर्य पार्टनर और ब्रॉश दोनों का ग्राहक है।

"संयुक्त ग्राहक व्यक्तिगत डेटा" का तात्पर्य किसी भी व्यक्तिगत डेटा से है जिसके लिए संयुक्त ग्राहक नियंत्रक के रूप में कार्य करता है।

"ब्रॉश व्यक्तिगत डेटा" का तात्पर्य किसी भी व्यक्तिगत डेटा से है जिसके लिए ब्रॉश नियंत्रक के रूप में कार्य करता है।

"भागीदार का व्यक्तिगत डेटा" का तात्पर्य किसी भी व्यक्तिगत डेटा से है जिसके लिए भागीदार नियंत्रक के रूप में कार्य करता है।

"व्यक्तिगत डेटा" का तात्पर्य किसी पहचाने गए या पहचाने जाने योग्य व्यक्ति से संबंधित किसी भी जानकारी से है, जहां ऐसी जानकारी BROSH व्यक्तिगत डेटा, साझेदार व्यक्तिगत डेटा या संयुक्त ग्राहक व्यक्तिगत डेटा के अंतर्गत निहित है और लागू डेटा संरक्षण कानूनों के तहत व्यक्तिगत डेटा या व्यक्तिगत रूप से पहचान योग्य जानकारी के समान संरक्षित है।

"व्यक्तिगत डेटा उल्लंघन" का अर्थ है व्यक्तिगत डेटा का आकस्मिक या गैरकानूनी विनाश, हानि, परिवर्तन, अनधिकृत प्रकटीकरण या उस तक पहुंच।

"प्रसंस्करण" का अर्थ है व्यक्तिगत डेटा पर किया जाने वाला कोई भी ऑपरेशन या ऑपरेशनों का समूह, जिसमें संग्रह, रिकॉर्डिंग, संगठन, संरचना, भंडारण, अनुकूलन या परिवर्तन, पुनर्प्राप्ति, परामर्श, उपयोग, संचरण द्वारा प्रकटीकरण, प्रसार या अन्यथा उपलब्ध कराना, संरेखण या संयोजन, प्रतिबंध या व्यक्तिगत डेटा का विलोपन शामिल है। "प्रक्रिया", "प्रक्रियाएँ" और "प्रसंस्कृत" शब्दों को तदनुसार समझा जाएगा।

"प्रोसेसर" का अर्थ है एक प्राकृतिक या कानूनी व्यक्ति, सार्वजनिक प्राधिकरण, एजेंसी या अन्य निकाय जो नियंत्रक की ओर से व्यक्तिगत डेटा को संसाधित करता है।

"मानक संविदात्मक खंड" या "एससीसी" का अर्थ यूरोपीय आयोग के 4 जून 2021 के कार्यान्वयन निर्णय 2021/914 से संलग्न मानक संविदात्मक खंड हैं।

"उपप्रोसेसर" का तात्पर्य किसी ऐसी इकाई से है जो प्रोसेसर को प्रसंस्करण सेवाएं प्रदान करती है।

"पर्यवेक्षी प्राधिकरण" का तात्पर्य एक स्वतंत्र सार्वजनिक प्राधिकरण से है जिसे यूरोपीय आर्थिक क्षेत्र, स्विट्जरलैंड या यूनाइटेड किंगडम के किसी सदस्य राज्य द्वारा स्थापित किया जाता है।

"यूके परिशिष्ट" का अर्थ डेटा संरक्षण अधिनियम 2018 की धारा 119ए के तहत यूके आईसीओ द्वारा जारी अंतर्राष्ट्रीय डेटा स्थानांतरण परिशिष्ट (संस्करण बी.1.0) है, क्योंकि इसे संशोधित, प्रतिस्थापित या प्रतिस्थापित किया जा सकता है।

2. कानूनों का अनुपालन

दोनों पक्ष यह प्रतिनिधित्व और आश्वासन देंगे कि वे लागू डेटा संरक्षण कानूनों के तहत अपने-अपने दायित्वों और कर्तव्यों का पालन करेंगे।

3. संयुक्त प्रोसेसर परिदृश्य

प्रत्येक पक्ष, इस सीमा तक कि वह, दूसरे पक्ष के साथ, संयुक्त ग्राहक व्यक्तिगत डेटा के संबंध में एक प्रोसेसर के रूप में कार्य करता है, (i) संयुक्त ग्राहक के साथ किसी भी समझौते में निर्धारित निर्देशों और प्रतिबंधों का पालन करेगा; और (ii) लागू डेटा सुरक्षा कानूनों में निर्धारित डेटा सुरक्षा अधिकारों के प्रयोग को सक्षम करने के लिए दूसरे पक्ष के साथ उचित रूप से सहयोग करेगा। दोनों पक्ष स्वीकार करते हैं और सहमत हैं कि प्रत्येक पक्ष संयुक्त ग्राहक के लिए एक प्रोसेसर के रूप में कार्य कर रहा है और कोई भी पक्ष दूसरे को सबप्रोसेसर के रूप में नियुक्त नहीं कर रहा है।

4. नियंत्रक-से-नियंत्रक परिदृश्य

प्रत्येक पक्ष, इस सीमा तक कि वह दूसरे पक्ष के साथ मिलकर व्यक्तिगत डेटा के संबंध में नियंत्रक के रूप में कार्य करता है, लागू डेटा संरक्षण कानूनों में निर्धारित डेटा संरक्षण अधिकारों के प्रयोग को सक्षम करने के लिए दूसरे पक्ष के साथ यथोचित सहयोग करेगा।

दोनों पक्ष स्वीकार करते हैं और सहमत हैं कि प्रत्येक पक्ष व्यक्तिगत डेटा के संबंध में नियंत्रक के रूप में स्वतंत्र रूप से कार्य कर रहा है और दोनों पक्ष यूरोपीय डेटा संरक्षण कानूनों के तहत परिभाषित संयुक्त नियंत्रक नहीं हैं।

5. नियंत्रक-से-प्रोसेसर परिदृश्य

ए. पक्षों के संबंध। इस डीपीए की धारा 6-9 के संबंध में पक्षों के अधिकार, जिम्मेदारियाँ और दायित्व निम्नानुसार होंगे:

प्रसंस्करण कार्यों के लिए जहां BROSH भागीदार की ओर से और भागीदार के निर्देश पर व्यक्तिगत डेटा को संसाधित करता है, शब्द "प्रोसेसर" BROSH को संदर्भित करता है, शब्द "नियंत्रक" भागीदार को संदर्भित करता है, और शब्द "व्यक्तिगत डेटा" भागीदार के व्यक्तिगत डेटा को संदर्भित करता है। डेटा प्रोसेसिंग संचालन के लिए जहां भागीदार BROSH की ओर से और BROSH के निर्देश पर व्यक्तिगत डेटा को संसाधित करता है, शब्द "प्रोसेसर" भागीदार को संदर्भित करता है, शब्द "नियंत्रक" BROSH को संदर्भित करता है, और शब्द "व्यक्तिगत डेटा" BROSH के व्यक्तिगत डेटा को संदर्भित करता है।

बी. प्रसंस्करण का दायरा .

ऊपर अनुभाग 5.a में वर्णित परिदृश्यों के संदर्भ में, प्रत्येक पक्ष केवल लागू भागीदार अनुबंध और/या संयुक्त ग्राहक के साथ भागीदार के समझौते में निर्धारित उद्देश्यों के लिए व्यक्तिगत डेटा को संसाधित करने के लिए सहमत होता है। संदेह से बचने के लिए, संसाधित व्यक्तिगत डेटा की श्रेणियाँ और इस DPA के अधीन डेटा विषयों की श्रेणियाँ इस DPA की अनुसूची A में वर्णित हैं।

6. नियंत्रक दायित्व

नियंत्रक के रूप में पक्षकार इस बात पर सहमत हैं:

ए. प्रोसेसर को निर्देश प्रदान करना और अनुबंध के अनुसार प्रोसेसर द्वारा व्यक्तिगत डेटा के प्रसंस्करण के उद्देश्यों और साधनों का निर्धारण करना; और

B. नियंत्रक के लिए लागू डेटा सुरक्षा कानूनों द्वारा निर्धारित व्यक्तिगत डेटा के संबंध में अपने संरक्षण, सुरक्षा और अन्य दायित्वों का पालन करें: (i) उन व्यक्तियों के अधिकारों के प्रयोग के लिए एक प्रक्रिया स्थापित करना और बनाए रखना जिनके व्यक्तिगत डेटा को नियंत्रक की ओर से संसाधित किया जाता है; (ii) केवल उस डेटा को संसाधित करना जो वैध और वैध रूप से एकत्र किया गया है और यह सुनिश्चित करना कि ऐसा डेटा संबंधित उपयोगों के लिए प्रासंगिक और आनुपातिक होगा; और (iii) अपने कर्मियों या किसी तीसरे पक्ष द्वारा अपनी ओर से व्यक्तिगत डेटा तक पहुँचने या उसका उपयोग करने के लिए इस DPA के प्रावधानों का अनुपालन सुनिश्चित करना।

7. प्रोसेसर दायित्व
ए. प्रसंस्करण आवश्यकताएँ । प्रसंस्करणकर्ता के रूप में पक्षकार इस बात पर सहमत हैं:

क. व्यक्तिगत डेटा को (i) केवल प्रोसेसर के उत्पाद और सेवाओं को प्रदान करने, समर्थन करने और बेहतर बनाने के उद्देश्य से संसाधित करें (जिसमें अंतर्दृष्टि और अन्य रिपोर्टिंग प्रदान करना शामिल है), उचित तकनीकी और संगठनात्मक सुरक्षा उपायों का उपयोग करके; और (ii) नियंत्रक से प्राप्त निर्देशों के अनुपालन में। प्रोसेसर किसी अन्य उद्देश्य के लिए व्यक्तिगत डेटा का उपयोग या प्रसंस्करण नहीं करेगा। यदि प्रोसेसर इस DPA की धारा 6 - 9 के तहत आवश्यकताओं का अनुपालन नहीं कर सकता है, तो वह नियंत्रक को लिखित रूप में तुरंत सूचित करेगा, जिस स्थिति में नियंत्रक अनुबंध और किसी भी लागू भागीदार अनुबंध को समाप्त कर सकता है, या डेटा प्रसंस्करण संचालन को निलंबित करने सहित कोई अन्य उचित कार्रवाई कर सकता है;

ख. यदि प्रोसेसर की राय में नियंत्रक का कोई निर्देश लागू डेटा संरक्षण कानूनों का उल्लंघन करता है, तो नियंत्रक को तुरंत और बिना किसी अनावश्यक देरी के सूचित करें;

ग. यदि प्रोसेसर नियंत्रक की ओर से व्यक्तियों से व्यक्तिगत डेटा एकत्र कर रहा है, तो ऐसे व्यक्तिगत डेटा संग्रह के संबंध में नियंत्रक के निर्देशों का पालन करें;

d. यह सुनिश्चित करने के लिए व्यावसायिक रूप से उचित कदम उठाना कि (i) उसके द्वारा नियोजित व्यक्ति और (ii) प्रोसेसर की ओर से कार्य करने के लिए नियुक्त अन्य व्यक्ति समझौते की शर्तों और लागू साझेदार समझौतों का अनुपालन करें;

ई. प्रतिनिधित्व और वारंटी दें कि उसके कर्मचारी, अधिकृत एजेंट और कोई भी उपप्रोसेसर गोपनीयता के सख्त कर्तव्य (चाहे संविदात्मक कर्तव्य या वैधानिक कर्तव्य) के अधीन हैं, और किसी भी व्यक्ति को व्यक्तिगत डेटा को संसाधित करने की अनुमति नहीं देंगे जो गोपनीयता के ऐसे कर्तव्य के अधीन नहीं है;

यदि वह इस डीपीए के अनुसार अपने दायित्वों को पूरा करने में मदद के लिए उपप्रोसेसरों को नियुक्त करने का इरादा रखता है या ऐसे उपप्रोसेसरों को प्रसंस्करण गतिविधियों के सभी या हिस्से को सौंपता है, (i) नियंत्रक को प्रोसेसर द्वारा वर्तमान में नियुक्त उपप्रोसेसरों की एक सूची प्रदान करता है (BROSH के लिए ऐसी सूची https://www.brosh.io/pagex/hi/sub-processors-page.html पर ऑनलाइन उपलब्ध है), और कम से कम 30 दिन पहले किसी भी नए उपप्रोसेसरों की नियुक्ति के बारे में नियंत्रक को सूचित करता है, जिससे नियंत्रक को आपत्ति करने का अवसर मिलता है; (ii) डेटा सुरक्षा के संबंध में उपप्रोसेसरों के कृत्यों और चूक के लिए नियंत्रक के प्रति उत्तरदायी रहते हैं जहां ऐसे उपप्रोसेसर प्रोसेसर के निर्देशों पर कार्य करते हैं; और (iii) ऐसे उपप्रोसेसरों के साथ संविदात्मक व्यवस्था में प्रवेश करते हैं जो उन्हें यहां प्रदान किए गए डेटा संरक्षण और सूचना सुरक्षा के समान स्तर प्रदान करने के लिए बाध्य करते हैं;

जी. अनुरोध करने पर, नियंत्रक को प्रोसेसर की गोपनीयता और सुरक्षा नीतियों के बारे में जानकारी प्रदान करें; और

ज. यदि प्रोसेसर स्वतंत्र सुरक्षा समीक्षा करता है तो नियंत्रक को सूचित करें।

बी. नियंत्रक को सूचना । यदि प्रोसेसर को निम्नलिखित के बारे में पता चलता है तो प्रोसेसर तुरंत और बिना किसी अनावश्यक देरी के नियंत्रक को सूचित करेगा:

क. प्रोसेसर या उसके कर्मचारियों द्वारा इस डीपीए की धारा 6 - 9 या इस डीपीए के तहत संसाधित व्यक्तिगत डेटा की सुरक्षा से संबंधित लागू डेटा सुरक्षा कानूनों का कोई भी गैर-अनुपालन;

ख. कानून प्रवर्तन या सरकारी प्राधिकरण द्वारा व्यक्तिगत डेटा के प्रकटीकरण के लिए कोई कानूनी रूप से बाध्यकारी अनुरोध, जब तक कि प्रोसेसर को नियंत्रक को सूचित करने के लिए कानून द्वारा निषिद्ध नहीं किया जाता है, उदाहरण के लिए कानून प्रवर्तन अधिकारियों द्वारा जांच की गोपनीयता को बनाए रखने के लिए;

ग. व्यक्तिगत डेटा के संबंध में पर्यवेक्षी प्राधिकरण द्वारा कोई नोटिस, पूछताछ या जांच; या

d. नियंत्रक के डेटा विषयों से सीधे प्राप्त कोई भी शिकायत या अनुरोध (विशेष रूप से, व्यक्तिगत डेटा तक पहुँच, सुधार या अवरोधन के लिए अनुरोध)। नियंत्रक के पूर्व लिखित प्राधिकरण के बिना प्रोसेसर ऐसे किसी भी अनुरोध का जवाब नहीं देगा।

C. नियंत्रक को सहायता। प्रोसेसर नियंत्रक को निम्नलिखित के संबंध में समय पर और उचित सहायता प्रदान करेगा:

क. किसी व्यक्ति से लागू डेटा संरक्षण कानूनों के तहत अधिकारों का प्रयोग करने के लिए किसी भी अनुरोध का जवाब देना (जिसमें लागू होने पर पहुंच, सुधार, आपत्ति, विलोपन और डेटा पोर्टेबिलिटी के अधिकार शामिल हैं) और प्रोसेसर इस तरह का अनुरोध सीधे प्राप्त होने पर नियंत्रक को तुरंत सूचित करने के लिए सहमत होता है;

ख. व्यक्तिगत डेटा उल्लंघनों की जांच और पर्यवेक्षी प्राधिकरण और नियंत्रक डेटा विषयों को ऐसे व्यक्तिगत डेटा उल्लंघनों के बारे में अधिसूचना; और

ग. जहां उपयुक्त हो, डेटा संरक्षण प्रभाव आकलन की तैयारी करना और जहां आवश्यक हो, किसी पर्यवेक्षी प्राधिकरण के साथ परामर्श करना।

डी. आवश्यक प्रसंस्करण.

यदि प्रोसेसर को डेटा संरक्षण कानूनों के तहत अनुबंध के संबंध के अलावा किसी अन्य कारण से किसी व्यक्तिगत डेटा को संसाधित करने की आवश्यकता होती है, तो प्रोसेसर किसी भी प्रसंस्करण से पहले नियंत्रक को इस आवश्यकता के बारे में सूचित करेगा, जब तक कि प्रोसेसर को ऐसे प्रसंस्करण के बारे में नियंत्रक को सूचित करने से कानूनी रूप से प्रतिबंधित नहीं किया जाता है (उदाहरण के लिए, लागू यूरोपीय संघ के सदस्य राज्य कानूनों के तहत मौजूद गोपनीयता आवश्यकताओं के परिणामस्वरूप)।

ई. सुरक्षा . प्रोसेसर:

क. व्यक्तिगत डेटा की अनधिकृत या आकस्मिक पहुंच, हानि, परिवर्तन, प्रकटीकरण या विनाश से बचाने के लिए उचित संगठनात्मक और तकनीकी सुरक्षा उपायों (कर्मचारियों, सुविधाओं, हार्डवेयर और सॉफ्टवेयर, भंडारण और नेटवर्क, पहुंच नियंत्रण, निगरानी और लॉगिंग, भेद्यता और उल्लंघन का पता लगाने, घटना प्रतिक्रिया, पारगमन और आराम के दौरान व्यक्तिगत डेटा के एन्क्रिप्शन के संबंध में) को बनाए रखना;

ख. व्यक्तिगत डेटा के संबंध में प्रोसेसर के सभी कर्मियों की सुरक्षा, गोपनीयता और गोपनीयता सुरक्षा की पर्याप्तता के लिए जिम्मेदार होना और इस डीपीए की शर्तों को पूरा करने में ऐसे प्रोसेसर कर्मियों द्वारा किसी भी विफलता के लिए उत्तरदायी होना;

ग. यह पुष्टि करने के लिए उचित कदम उठाएं कि प्रोसेसर के सभी कर्मचारी इस डीपीए की आवश्यकताओं के अनुरूप व्यक्तिगत डेटा की सुरक्षा, गोपनीयता और निजता की रक्षा कर रहे हैं; और

घ. प्रोसेसर, उसके उपप्रोसेसरों, या प्रोसेसर की ओर से कार्य करने वाले किसी अन्य तृतीय पक्ष द्वारा किसी भी व्यक्तिगत डेटा उल्लंघन के बारे में नियंत्रक को बिना किसी देरी के और किसी भी स्थिति में व्यक्तिगत डेटा उल्लंघन के बारे में पता चलने के 48 घंटे के भीतर सूचित करें।

एफ. कैलिफोर्निया व्यक्तिगत जानकारी के लिए अतिरिक्त प्रावधान

जब प्रोसेसर नियंत्रक से प्राप्त निर्देशों के अनुसार कैलिफ़ोर्निया व्यक्तिगत जानकारी को संसाधित करता है, तो पक्ष स्वीकार करते हैं और सहमत होते हैं कि नियंत्रक एक व्यवसाय है और प्रोसेसर CCPA के उद्देश्यों के लिए एक सेवा प्रदाता है। पक्ष सहमत हैं कि प्रोसेसर कैलिफ़ोर्निया व्यक्तिगत जानकारी को सेवा प्रदाता के रूप में सख्ती से प्रोसेसर की सेवाओं को प्रदान करने, समर्थन करने और सुधारने के उद्देश्य से संसाधित करेगा (जिसमें अंतर्दृष्टि और अन्य रिपोर्टिंग प्रदान करना शामिल है) ("व्यावसायिक उद्देश्य") या CCPA द्वारा अन्यथा अनुमति दी गई है।

8. लेखापरीक्षा, प्रमाणीकरण

ए. पर्यवेक्षी प्राधिकरण लेखा परीक्षा .

यदि पर्यवेक्षी प्राधिकरण को डेटा सुरक्षा कानूनों के अनुपालन का पता लगाने या निगरानी करने के लिए डेटा प्रोसेसिंग सुविधाओं के ऑडिट की आवश्यकता होती है, जिनसे प्रोसेसर व्यक्तिगत डेटा संसाधित करता है, तो प्रोसेसर ऐसे ऑडिट में सहयोग करेगा। नियंत्रक प्रोसेसर को ऑडिट में सहयोग करने के लिए किए गए उसके उचित खर्चों की प्रतिपूर्ति करेगा, जब तक कि ऐसे ऑडिट से प्रोसेसर द्वारा इस DPA का गैर-अनुपालन सामने न आए।

बी. प्रोसेसर प्रमाणीकरण .

नियंत्रक के अनुरोध पर प्रोसेसर को (प्रति कैलेंडर वर्ष में एक अनुरोध से अधिक नहीं) ईमेल द्वारा (जहां BROSH प्रोसेसर है, ऐसे ईमेल privacy@brosh.io पर भेजे जाएंगे; जहां भागीदार प्रोसेसर है, भागीदार अनुरोध पर BROSH को डेटा संरक्षण के संबंध में ईमेल पत्राचार के लिए एकल संपर्क बिंदु स्थापित करेगा और प्रदान करेगा), लिखित रूप में इस DPA के अनुपालन को प्रमाणित करना होगा।

9. डेटा वापसी और हटाना

पक्ष सहमत हैं कि डेटा प्रोसेसिंग सेवाओं की समाप्ति पर या नियंत्रक के उचित अनुरोध पर, प्रोसेसर उचित उपाय करेगा और नियंत्रक की पसंद पर किसी भी उपप्रोसेसर को नियंत्रक को सभी यूरोपीय व्यक्तिगत डेटा और ऐसे डेटा की प्रतियाँ वापस करने या उन्हें सुरक्षित रूप से नष्ट करने के लिए बाध्य करेगा और नियंत्रक की संतुष्टि के लिए प्रदर्शित करेगा कि उसने ऐसे उपाय किए हैं, जब तक कि डेटा सुरक्षा कानून प्रोसेसर को प्रकट किए गए सभी या आंशिक यूरोपीय व्यक्तिगत डेटा को वापस करने या नष्ट करने से नहीं रोकते। ऐसे मामले में, प्रोसेसर अपने द्वारा बनाए गए यूरोपीय व्यक्तिगत डेटा की गोपनीयता को बनाए रखने के लिए सहमत होता है और यह लागू कानूनों का पालन करने के लिए ऐसी तिथि के बाद केवल ऐसे यूरोपीय व्यक्तिगत डेटा को सक्रिय रूप से संसाधित करेगा।

10. डेटा स्थानांतरण

जहां कहीं भी व्यक्तिगत डेटा को उसके मूल देश के बाहर स्थानांतरित किया जाता है, प्रत्येक पक्ष यह सुनिश्चित करेगा कि ऐसे स्थानांतरण डेटा संरक्षण कानूनों की आवश्यकताओं के अनुपालन में किए जाएं।

a. भागीदार का व्यक्तिगत डेटा । यूरोप के बाहर किसी ऐसे क्षेत्राधिकार में BROSH द्वारा प्रसंस्करण के लिए भागीदार से BROSH को यूरोपीय व्यक्तिगत डेटा के हस्तांतरण के लिए जो व्यक्तिगत डेटा के लिए पर्याप्त स्तर की सुरक्षा प्रदान नहीं करता है (लागू यूरोपीय डेटा संरक्षण कानूनों के अर्थ के भीतर), पार्टियां सहमत हैं कि:

(i) मानक संविदात्मक धाराएँ : पार्टियाँ नीचे धारा 10(सी) के तहत शामिल एससीसी के अनुपालन में यूरोपीय डेटा का पालन करने और उसे संसाधित करने के लिए सहमत हैं।

(ii) गोपनीयता शील्ड : हालांकि BROSH, Inc. केस C-311/18 में यूरोपीय संघ के न्यायालय के फैसले के आलोक में व्यक्तिगत डेटा के हस्तांतरण के लिए कानूनी आधार के रूप में EU-US गोपनीयता शील्ड पर भरोसा नहीं करता है, जब तक BROSH, Inc. गोपनीयता शील्ड के लिए स्व-प्रमाणित है, BROSH Inc. गोपनीयता शील्ड सिद्धांतों के अनुपालन में यूरोपीय व्यक्तिगत डेटा को संसाधित करेगा और साझेदार को बताएगा कि क्या वह इस आवश्यकता का अनुपालन करने में असमर्थ है।

पक्ष इस बात पर सहमत हैं कि डेटा विषय जिनके लिए BROSH इकाई यूरोपीय व्यक्तिगत डेटा को संसाधित करती है, वे SCC के तहत तीसरे पक्ष के लाभार्थी हैं। यदि BROSH इन आवश्यकताओं का अनुपालन करने में असमर्थ है या असमर्थ हो जाता है, तो यूरोपीय व्यक्तिगत डेटा को केवल यूरोपीय संघ के सदस्य राज्य के क्षेत्र में संसाधित और उपयोग किया जाएगा और यूरोपीय व्यक्तिगत डेटा को किसी गैर-ईयू देश में ले जाने के लिए यूरोपीय व्यक्तिगत डेटा के संबंध में भागीदार की पूर्व लिखित सहमति की आवश्यकता होगी। BROSH इस धारा 10(a) के प्रावधानों का अनुपालन करने में BROSH द्वारा किसी भी असमर्थता के बारे में भागीदार को तुरंत सूचित करेगा।

b. BROSH व्यक्तिगत डेटा। यूरोप के बाहर किसी ऐसे क्षेत्राधिकार में भागीदार द्वारा प्रसंस्करण के लिए BROSH से भागीदार को यूरोपीय व्यक्तिगत डेटा के हस्तांतरण के लिए जो व्यक्तिगत डेटा के लिए पर्याप्त स्तर की सुरक्षा प्रदान नहीं करता है (लागू यूरोपीय डेटा सुरक्षा कानूनों के अर्थ के भीतर), पक्ष सहमत हैं कि:

(i) मानक संविदात्मक धाराएँ : पार्टियाँ नीचे धारा 10(सी) के तहत शामिल एससीसी के अनुपालन में यूरोपीय डेटा का पालन करने और उसे संसाधित करने के लिए सहमत हैं।

(ii) गोपनीयता शील्ड : जब तक BROSH, Inc. गोपनीयता शील्ड के लिए स्व-प्रमाणित है, तब तक भागीदार गोपनीयता शील्ड सिद्धांतों के अनुपालन में यूरोपीय व्यक्तिगत डेटा को संसाधित करेगा और BROSH को बताएगा कि क्या वह इस आवश्यकता का अनुपालन करने में असमर्थ है।

पक्ष इस बात पर सहमत हैं कि जिन डेटा विषयों के लिए पार्टनर यूरोपीय व्यक्तिगत डेटा को संसाधित करता है, वे SCC के तहत तीसरे पक्ष के लाभार्थी हैं। यदि पार्टनर इन आवश्यकताओं का पालन करने में असमर्थ है या असमर्थ हो जाता है, तो यूरोपीय व्यक्तिगत डेटा को यूरोपीय संघ के सदस्य राज्य के क्षेत्र में ही संसाधित और उपयोग किया जाएगा और यूरोपीय व्यक्तिगत डेटा को किसी गैर-ईयू देश में ले जाने के लिए व्यक्तिगत डेटा के संबंध में BROSH की पूर्व लिखित सहमति की आवश्यकता होगी। पार्टनर को इस धारा 10(बी) के प्रावधानों का पालन करने में पार्टनर की किसी भी असमर्थता के बारे में तुरंत BROSH को सूचित करना होगा।

सी. मानक संविदात्मक खंड। पार्टियां स्वीकार करती हैं और सहमत हैं कि एससीसी के प्रयोजनों के लिए: (i) भागीदार व्यक्तिगत डेटा के संबंध में, "डेटा निर्यातक" भागीदार होगा और "डेटा आयातक" ब्रोश होगा (स्वयं और इसके सहयोगियों की ओर से कार्य करना); (ii) ब्रोश व्यक्तिगत डेटा के संबंध में "डेटा निर्यातक" ब्रोश होगा (स्वयं और इसके सहयोगियों की ओर से कार्य करना) और "डेटा आयातक" भागीदार होगा; (iii) मॉड्यूल वन शर्तें लागू होंगी जहां दोनों पक्ष नियंत्रक हैं और मॉड्यूल दो शर्तें लागू होंगी जहां एससीसी के तहत व्यक्तिगत डेटा प्राप्त करने वाला पक्ष नियंत्रक के रूप में दूसरे पक्ष की ओर से प्रोसेसर के रूप में कार्य कर रहा है; (iv) खंड 7 में, वैकल्पिक डॉकिंग खंड लागू होगा; (vii) खंड 17 और खंड 18(बी) में, एससीसी आयरलैंड गणराज्य या ईईए सदस्य राज्य के कानूनों द्वारा शासित होंगे और विवादों का निपटारा वहां के न्यायालयों में किया जाएगा जिसमें समझौते में प्रवेश करने वाली बीआरओएसएच कानूनी इकाई स्थापित है या, यदि ऐसा बीआरओएसएच ईईए में स्थापित नहीं है, तो आयरलैंड गणराज्य; (viii) एससीसी के अनुबंध I में, पक्षों का विवरण समझौते में दिया गया है; और (ix) एससीसी के अनुबंध I और अनुबंध II में शेष जानकारी इस डीपीए की अनुसूची ए में दी गई जानकारी के साथ पूरी मानी जाएगी।

डी. यूके ट्रांसफर। यूके जीडीपीआर के अधीन व्यक्तिगत डेटा के संबंध में, एससीसी उपरोक्त धारा 10(सी) और निम्नलिखित अतिरिक्त संशोधनों के अनुसार लागू होंगे: (i) एससीसी को यूके परिशिष्ट द्वारा निर्दिष्ट अनुसार संशोधित किया जाएगा, जिसे संदर्भ द्वारा शामिल किया जाएगा; (ii) यूके परिशिष्ट के भाग 1 में तालिका 1 से 3 को इस डीपीए की अनुसूची ए में निर्धारित प्रासंगिक जानकारी से भरा जाएगा; (iii) यूके परिशिष्ट के भाग 1 में तालिका 4 को "कोई नहीं" का चयन करके पूरा माना जाएगा; और (iv) एससीसी और यूके परिशिष्ट के बीच किसी भी संघर्ष को यूके परिशिष्ट की धारा 10 और धारा 11 के अनुसार हल किया जाएगा।

ई. स्विस ट्रांसफ़र। स्विस डीपीए के अधीन व्यक्तिगत डेटा के संबंध में, एससीसी उपरोक्त धारा 10(सी) और निम्नलिखित अतिरिक्त संशोधनों के अनुसार लागू होंगे: (i) "विनियमन (ईयू) 2016/679" और उसके विशिष्ट लेखों के संदर्भों को स्विस डीपीए और उसके समकक्ष लेखों या अनुभागों के संदर्भ के रूप में व्याख्या किया जाएगा; (ii) "ईयू", "संघ" और "सदस्य राज्य" के संदर्भों को "स्विट्जरलैंड" के संदर्भों से बदल दिया जाएगा; (iii) "सक्षम पर्यवेक्षी प्राधिकरण" और "सक्षम न्यायालयों" के संदर्भों को "स्विस संघीय डेटा संरक्षण सूचना आयुक्त" और "स्विट्जरलैंड की लागू अदालतों" के संदर्भों से बदल दिया जाएगा; और (iv) खंड 17 और खंड 18(बी) में, एससीसी स्विट्जरलैंड के कानूनों द्वारा शासित होंगे और विवादों का समाधान स्विट्जरलैंड की अदालतों के समक्ष किया जाएगा।

11. अवधि

यह डीपीए तब तक प्रभावी रहेगा जब तक कोई भी पक्ष साझेदार समझौते के अनुसार अपलोड किए गए या अन्यथा प्रदान किए गए व्यक्तिगत डेटा पर व्यक्तिगत डेटा प्रसंस्करण संचालन करता है।

12. क्षतिपूर्ति

प्रत्येक पक्ष दूसरे पक्ष और उसकी सहायक कंपनियों, सहयोगियों और उसके संबंधित अधिकारियों, निदेशकों, कर्मचारियों और एजेंटों को सभी नुकसानों, क्षतियों, देनदारियों, कमियों, कार्रवाइयों, निर्णयों, ब्याज, पुरस्कारों, दंडों, जुर्माने, लागतों या किसी भी प्रकार के खर्चों से बचाएगा, क्षतिपूर्ति करेगा और हानिरहित रखेगा, जिसमें उचित वकीलों की फीस, इसके तहत क्षतिपूर्ति के किसी भी अधिकार को लागू करने की लागत और किसी भी बीमा प्रदाता को आगे बढ़ाने की लागत शामिल है, जो इस डीपीए या यूरोपीय डेटा संरक्षण कानूनों में निहित लागू कानूनों, विनियमों या सिद्धांतों के तहत अपने किसी भी दायित्व का पालन करने में उल्लंघन करने वाले पक्ष की विफलता से उत्पन्न या परिणामस्वरूप दूसरे के खिलाफ किसी भी तीसरे पक्ष के दावे से उत्पन्न होती है। प्रत्येक पक्ष का दायित्व लागू भागीदार अनुबंध में दायित्व की सीमा के अधीन होगा।

शिड्यूल करें


अनुलग्नक ए - स्थानांतरण का विवरण

1. डेटा विषयों की श्रेणियाँ । हस्तांतरित व्यक्तिगत डेटा डेटा आयातक और डेटा निर्यातक के बीच समझौते के आधार पर, डेटा विषयों की निम्नलिखित श्रेणियों से संबंधित है:


BROSH सदस्य; डेटा निर्यातक के संभावित और वास्तविक ग्राहक और कर्मचारी; डेटा निर्यातक के विक्रय और विपणन प्रमुख; तथा तृतीय पक्ष जिनका डेटा निर्यातक के साथ व्यावसायिक संबंध है या हो सकता है (जैसे विज्ञापनदाता, ग्राहक, कॉर्पोरेट ग्राहक, ठेकेदार और उत्पाद उपयोगकर्ता)।

2. व्यक्तिगत डेटा की श्रेणियाँ हस्तांतरित व्यक्तिगत डेटा निम्नलिखित डेटा श्रेणियों से संबंधित है:

स्थानांतरित किया गया डेटा वह व्यक्तिगत डेटा है जो डेटा निर्यातक द्वारा पार्टनर एग्रीमेंट के संबंध में डेटा आयातक को प्रदान किया जाता है। इस तरह के व्यक्तिगत डेटा में पहला नाम, अंतिम नाम, ईमेल पता, संपर्क जानकारी, शिक्षा और कार्य इतिहास और BROSH सदस्य प्रोफाइल, बायोडाटा, बिक्री लीड और ग्राहक सूचियों से संबंधित CRM डेटा, डेटा निर्यातक द्वारा BROSH प्लेटफ़ॉर्म पर ली गई BROSH सदस्यों की पूर्वगामी और अन्य गतिविधियों के बारे में प्रदान की गई कोई भी जानकारी शामिल हो सकती है।

  1. संवेदनशील डेटा (यदि उपयुक्त हो) । स्थानांतरित किया गया व्यक्तिगत डेटा निम्नलिखित विशेष श्रेणियों के डेटा से संबंधित हो सकता है:
    कोई नहीं।
  2. स्थानांतरण की आवृत्ति .
    व्यक्तिगत डेटा लगातार स्थानांतरित किया जाता है।
  3. प्रसंस्करण की प्रकृति और उद्देश्य । स्थानांतरण निम्नलिखित उद्देश्यों के लिए किया जाता है:
    हस्तांतरण का उद्देश्य भागीदार अनुबंध द्वारा परिकल्पित पक्षों के बीच संबंधों को सक्षम बनाना है। "भागीदार अनुबंध" डेटा आयातक और डेटा निर्यातक द्वारा किया गया अनुबंध है जो उन पक्षों के बीच डेटा साझाकरण को नियंत्रित करता है (लेकिन भागीदार और BROSH के बीच ग्राहक अनुबंधों को छोड़कर जो भागीदार द्वारा BROSH उत्पादों और सेवाओं की खरीद को नियंत्रित करते हैं)।
  4. वह अवधि जिसके लिए व्यक्तिगत डेटा रखा जाएगा :
    पार्टियों के बीच हस्तांतरित व्यक्तिगत डेटा को केवल भागीदार समझौते के तहत अनुमत समय अवधि के लिए ही रखा जा सकता है। पार्टियां इस बात पर सहमत हैं कि प्रत्येक पक्ष, इस सीमा तक कि वह दूसरे पक्ष के साथ व्यक्तिगत डेटा के संबंध में नियंत्रक के रूप में कार्य करता है, डेटा सुरक्षा कानूनों में निर्धारित डेटा सुरक्षा अधिकारों के प्रयोग को सक्षम करने के लिए दूसरे पक्ष के साथ उचित रूप से सहयोग करेगा।
  5. प्रसंस्करण की विषय-वस्तु, प्रकृति और अवधि
    प्रसंस्करण की विषय-वस्तु, प्रकृति और अवधि इस डीपीए सहित अनुबंध में वर्णित है।
  6. सक्षम पर्यवेक्षी प्राधिकरण । मानक संविदात्मक खंडों के प्रयोजनों के लिए, सक्षम पर्यवेक्षी प्राधिकरण ईईए सदस्य राज्य का प्राधिकरण है जिसमें भागीदार या भागीदार का ईईए प्रतिनिधि स्थापित है (भागीदार व्यक्तिगत डेटा के संबंध में) या [आयरिश डेटा सुरक्षा आयुक्त] (BROSH व्यक्तिगत डेटा के संबंध में)। यूके और स्विस हस्तांतरण के प्रयोजनों के लिए, सक्षम पर्यवेक्षी प्राधिकरण यूनाइटेड किंगडम सूचना आयुक्त या स्विस संघीय डेटा सुरक्षा सूचना आयुक्त (जैसा लागू हो) है।

अनुलग्नक बी – सुरक्षा उपाय

हम आपके व्यक्तिगत डेटा की सुरक्षा में मदद करने के लिए कई तरह की सुरक्षा तकनीकों और प्रक्रियाओं का उपयोग करते हैं। सभी व्यक्तिगत डेटा को उचित भौतिक, तकनीकी और संगठनात्मक उपायों का उपयोग करके सुरक्षित किया जाता है। BROSH में सुरक्षा के बारे में अधिक जानकारी के लिए, कृपया https://www.brosh.io/pagex/hi/Security-Policy.html देखें

हम सामग्री और विज्ञापनों को निजीकृत करने, सोशल मीडिया सुविधाएँ प्रदान करने और हमारे ट्रैफ़िक का विश्लेषण करने के लिए कुकीज़ का उपयोग करते हैं। अधिक जानकारी के लिए, कृपया हमारी कुकी नीति पढ़ें