डेटा प्रसंस्करण अनुबंध

1. दायरा, अनुप्रयोग, और कानूनी ढांचा

यह डेटा प्रोसेसिंग समझौता ("डीपीए") तब लागू होता है जब निम्नलिखित शर्तें पूरी हो जाती हैं:

• ग्राहक व्यक्तिगत डेटा प्रसंस्करण गतिविधियों के उद्देश्यों और साधनों को निर्धारित करने के लिए कानूनी अधिकार के साथ डेटा नियंत्रक के रूप में कार्य करता है
• Trackr.bot केवल नियंत्रक की ओर से और हमारी तकनीकी व परिचालन क्षमताओं के भीतर, उनके दस्तावेजी निर्देशों के अनुसार ही व्यक्तिगत डेटा पर संसाधन करता है।
• प्रसंस्करण गतिविधियाँ यूके जीडीपीआर, ईयू जीडीपीआर, या समकक्ष डेटा सुरक्षा विनियमों के दायरे में आती हैं
• इस प्रसंस्करण में लागू डेटा संरक्षण कानून के तहत परिभाषित व्यक्तिगत डेटा शामिल है
• ग्राहक ने प्रसंस्करण के लिए उपयुक्त वैध आधार स्थापित किया है और सभी नियंत्रक दायित्वों का अनुपालन करता है

2. परिभाषाएँ और कानूनी व्याख्या

• "कंट्रोलर" का अर्थ वह ग्राहक है जो हमारी निगरानी सेवाओं के माध्यम से व्यक्तिगत डेटा के प्रसंस्करण के उद्देश्यों और साधनों को निर्धारित करता है और लागू डेटा संरक्षण कानून के तहत कंट्रोलर की जिम्मेदारियों के लिए कानूनी रूप से उत्तरदायी है
• "प्रोसेसर" का अर्थ है Trackr.bot जब नियंत्रक की ओर से और हमारी सेवा क्षमताओं और परिचालन मापदंडों के भीतर प्रलेखित निर्देशों के अनुसार व्यक्तिगत डेटा को संसाधित करता है
• "व्यक्तिगत डेटा" का अर्थ है किसी पहचाने गए या पहचाने जाने योग्य प्राकृतिक व्यक्ति से संबंधित कोई भी जानकारी जो निगरानी की गई सामग्री के भीतर निहित है, उससे प्राप्त होती है, या आकस्मिक रूप से एकत्र की गई है
• "प्रसंस्करण" का अर्थ व्यक्तिगत डेटा पर किया गया कोई भी संचालन है, जिसमें संग्रह, रिकॉर्डिंग, संगठन, संरचना, भंडारण, अनुकूलन, पुनः प्राप्ति, परामर्श, उपयोग, प्रकटीकरण, प्रसार, प्रतिबंध, मिटाना, या विनाश शामिल है
• "डेटा विषय" का अर्थ है पहचाना गया या पहचाने जाने योग्य प्राकृतिक व्यक्ति जिसका व्यक्तिगत डेटा हमारी सेवाओं के माध्यम से संसाधित किया जाता है
• "सब-प्रोसेसर" का अर्थ है कोई भी तृतीय पक्ष जिसे उपयुक्त संविदात्मक सुरक्षा उपायों के तहत व्यक्तिगत डेटा प्रसंस्करण से संबंधित सेवाएं प्रदान करने में सहायता के लिए प्रोसेसर द्वारा नियोजित किया गया हो
• "लागू कानून" का अर्थ यूके जीडीपीआर, ईयू जीडीपीआर, और प्रसंस्करण गतिविधियों पर लागू होने वाले अन्य सभी प्रासंगिक डेटा संरक्षण, गोपनीयता, और साइबर सुरक्षा कानून हैं।

3. नियंत्रक की बाध्यताएँ और अनुपालन आवश्यकताएँ

3.1 कानूनी आधार और वैधता आवश्यकताएँ

कंट्रोलर यह प्रतिनिधित्व, वारंटी और प्रतिज्ञा करता है कि:

• प्रोसेसर को प्रदान किए गए सभी प्रसंस्करण निर्देशों के पास पर्याप्त दस्तावेज़ीकरण के साथ यूके जीडीपीआर के अनुच्छेद 6 के तहत उपयुक्त और वैध कानूनी आधार है
• जहाँ विशेष श्रेणी के डेटा शामिल हैं, वहाँ यूके जीडीपीआर के अनुच्छेद 9 के तहत अतिरिक्त शर्तें उपयुक्त साक्ष्य के साथ पूरी की जाती हैं
• निगरानी गतिविधियों के लिए सभी आवश्यक सहमति, अनुमति और कानूनी प्राधिकरण प्राप्त कर लिए गए हैं
• प्रसंस्करण डेटा न्यूनता, उद्देश्य सीमा, सटीकता, भंडारण सीमा, और अन्य डेटा सुरक्षा सिद्धांतों के अनुरूप है
• सभी संबंधित डेटा विषयों को आवश्यक जानकारी के साथ उपयुक्त गोपनीयता सूचनाएं प्रदान की गई हैं
• जहाँ कानून द्वारा आवश्यक है, वहाँ उपयुक्त शमन उपायों के साथ डेटा संरक्षण प्रभाव आकलन किए गए हैं
• नियंत्रक के पास नियामक दायित्वों और संभावित देनदारियों को पूरा करने के लिए उपयुक्त संसाधन और क्षमताएं हैं

3.2 निगरानी प्राधिकरण और तीसरे पक्ष के अधिकार

नियंत्रक आगे यह प्रतिनिधित्व और आश्वासन देता है:

• निर्दिष्ट वेबसाइटों और सामग्री की निगरानी के लिए सभी आवश्यक अधिकारों, अनुमतियों और कानूनी प्राधिकरण का होना
• सभी लागू सेवा शर्तों, robots.txt निर्देशों, तकनीकी प्रतिबंधों और उद्योग मानकों का अनुपालन
• बौद्धिक संपदा अधिकारों, गोपनीयता अधिकारों, गोपनीयता दायित्वों, या अन्य तीसरे पक्ष के अधिकारों का उल्लंघन न करना
• लागू होने वाले क्षेत्र-विशिष्ट नियमों, पेशेवर मानकों और नैतिक दिशानिर्देशों का पालन
• जहाँ लागू हो, सीमा-पार डेटा हस्तांतरण के लिए उपयुक्त सुरक्षा उपायों का कार्यान्वयन
• सभी कानूनी आधारों और प्राधिकरणों का समर्थन करने वाले व्यापक दस्तावेज़ीकरण का रखरखाव

3.3 डेटा विषय अधिकार प्रबंधन ढांचा

नियंत्रक निम्नलिखित के लिए एकमात्र जिम्मेदारी स्वीकार करता है:

• कानूनी समयसीमा के भीतर सभी डेटा विषय अधिकार अनुरोधों को प्राप्त करना, मूल्यांकन करना और उन पर प्रतिक्रिया देना
• लागू कानून के तहत अधिकार अनुरोधों की वैधता, दायरा और उचित प्रतिक्रिया निर्धारित करना
• हमारी क्षमताओं के भीतर सत्यापित अधिकार अनुरोधों के तकनीकी कार्यान्वयन के लिए प्रोसेसर को स्पष्ट निर्देश प्रदान करना
• डेटा विषयों के साथ उनके व्यक्तिगत डेटा और अधिकारों के संबंध में सभी प्रत्यक्ष संचार का प्रबंधन करना
• नियामक अनुपालन के लिए अधिकार अनुरोधों और प्रतिक्रियाओं का व्यापक रिकॉर्ड बनाए रखना
• अधिकार अनुरोध अनुपालन से संबंधित सभी लागतों, खर्चों और देनदारियों को वहन करना

4. प्रोसेसर की बाध्यताएँ और सेवा ढांचा

4.1 प्रसंस्करण निर्देश और तकनीकी सीमाएँ

प्रोसेसर व्यक्तिगत डेटा को निम्नलिखित के अनुसार संसाधित करने के लिए प्रतिबद्ध है:

• हमारे सेवा इंटरफ़ेस, कॉन्फ़िगरेशन सेटिंग्स, और अधिकृत संचार चैनलों के माध्यम से प्रदान किए गए दस्तावेज़ीकृत निर्देश
• ग्राहक खाते के डैशबोर्ड और सेवा नियंत्रणों के भीतर निर्दिष्ट विन्यास पैरामीटर
• उचित प्रमाणीकरण के साथ आधिकारिक समर्थन चैनलों के माध्यम से प्रस्तुत लिखित निर्देश
• हमारे सेवा प्लेटफ़ॉर्म क्षमताओं में अंतर्निहित तकनीकी विनिर्देश और परिचालन सीमाएँ
• अनुपालन, सुरक्षा, या परिचालन उद्देश्यों के लिए प्रसंस्करण की आवश्यकता वाली लागू कानूनी बाध्यताएँ

4.2 कर्मचारी प्राधिकरण और गोपनीयता ढांचा

प्रोसेसर यह सुनिश्चित करता है कि व्यक्तिगत डेटा को संसाधित करने के लिए अधिकृत सभी कर्मचारी:

• वे व्यापक गोपनीयता दायित्वों से बंधे होते हैं जो रोजगार समाप्ति से परे तक विस्तारित होते हैं
• डेटा संरक्षण सिद्धांतों, सुरक्षा आवश्यकताओं और परिचालन प्रक्रियाओं पर उचित प्रशिक्षण प्राप्त करते हैं
• जहाँ उपयुक्त हो, आवश्यक पृष्ठभूमि जांच और सुरक्षा मंजूरी प्रक्रियाओं से गुज़र चुके हों
• भूमिका-आधारित प्राधिकरण नियंत्रणों के साथ सख्त 'जानने की आवश्यकता' पहुँच सिद्धांतों के तहत काम करते हैं
• डेटा सुरक्षा उल्लंघनों के लिए अनुशासनात्मक प्रक्रियाओं और संभावित कानूनी कार्रवाई के अधीन हैं
• निरंतर व्यावसायिक विकास के माध्यम से वर्तमान प्रशिक्षण और सुरक्षा जागरूकता बनाए रखें

4.3 तकनीकी और संगठनात्मक सुरक्षा उपाय

प्रोसेसर व्यापक सुरक्षा उपाय लागू करता है, जिनमें शामिल हैं:

• डेटा संचरण (TLS 1.3) और भंडारण (AES-256) के लिए उन्नत एन्क्रिप्शन प्रोटोकॉल, कुंजी प्रबंधन के साथ
• मल्टी-लेयर्ड एक्सेस कंट्रोल्स, प्रमाणीकरण प्रणालियाँ, और प्राधिकरण फ्रेमवर्क ऑडिट ट्रेल्स के साथ
• निरंतर सुरक्षा निगरानी, घुसपैठ का पता लगाना, स्वचालित खतरे की प्रतिक्रिया, और घटना प्रबंधन
• नियमित सुरक्षा मूल्यांकन, भेद्यता परीक्षण, पैठ परीक्षण, और तृतीय-पक्ष ऑडिट
• एन्क्रिप्शन, भौगोलिक रिडंडेंसी, और परीक्षण किए गए रिकवरी प्रक्रियाओं के साथ व्यापक बैकअप प्रणालियाँ
• उन्नत घटना प्रतिक्रिया प्रोटोकॉल, सुरक्षा उल्लंघन सूचना प्रक्रियाएं, और फोरेंसिक क्षमताएं

5. डेटा विषय अधिकार सहायता ढांचा

5.1 तकनीकी सहायता क्षमताएँ और दायरा

प्रोसेसर हमारे तकनीकी क्षमताओं के भीतर डेटा विषय अधिकारों के कार्यान्वयन के लिए उचित तकनीकी सहायता प्रदान करेगा:

• डेटा पहुँच: उपयुक्त प्रमाणीकरण के साथ सत्यापित अनुरोधों के तीस (30) दिनों के भीतर मानक प्रारूपों (JSON, CSV, XML) में संरचित डेटा निर्यात का निर्माण
• डेटा सुधार: नियंत्रक के निर्देश पर व्यक्तिगत डेटा का सुधार, जहाँ मौजूदा सिस्टम क्षमताओं के भीतर तकनीकी रूप से संभव हो
• डेटा मिटाना: नियंत्रक के निर्देशों के अनुसार निर्दिष्ट व्यक्तिगत डेटा का हटाना, जो बैकअप प्रतिधारण चक्रों और कानूनी दायित्वों के अधीन है
• डेटा पोर्टेबिलिटी: स्वचालित प्रसंस्करण गतिविधियों पर जहां लागू हो, संरचित, मशीन-पठनीय डेटा प्रारूपों की प्रावधान
• प्रसंस्करण प्रतिबंध: मौजूदा सिस्टम आर्किटेक्चर के भीतर तकनीकी रूप से संभव होने पर प्रसंस्करण सीमाओं का कार्यान्वयन

5.2 सहायता सीमाएँ और व्यावसायिक प्रतिबंध

• तकनीकी सहायता हमारे मौजूदा सेवा प्लेटफ़ॉर्म में अंतर्निहित क्षमताओं तक सीमित है, बिना किसी कस्टम विकास के
• जटिल या गैर-मानक अनुरोधों के लिए विस्तारित प्रसंस्करण अवधि और अतिरिक्त लागतों की आवश्यकता हो सकती है
• प्रोसेसर डेटा विषय अनुरोधों की वैधता, दायरा या अनुपालन के संबंध में कानूनी सलाह प्रदान नहीं कर सकता
• नियंत्रक कानूनी अनुपालन, प्रतिक्रिया की पर्याप्तता, और नियामक संपर्क के लिए एकमात्र रूप से जिम्मेदार रहता है
• विशेष जांच की आवश्यकता वाले तकनीकी रूप से जटिल अनुरोधों के लिए प्रतिक्रिया समय बढ़ाया जा सकता है
• सभी तकनीकी सहायता हमारी परिचालन प्राथमिकताओं और संसाधन उपलब्धता के अधीन प्रदान की जाती है

6. उप-प्रोसेसर प्रबंधन और प्राधिकरण ढांचा

6.1 वर्तमान उप-प्रोसेसर प्राधिकरण

कंट्रोलर हमारी सब-प्रोसेसर सूची में सूचीबद्ध सब-प्रोसेसरों को नियुक्त करने के लिए सामान्य लिखित प्राधिकरण प्रदान करता है। सभी सब-प्रोसेसर डेटा प्रसंस्करण समझौतों द्वारा बाध्य हैं जो उपयुक्त निगरानी के साथ समतुल्य सुरक्षा मानकों और सुरक्षा दायित्वों को प्रदान करते हैं।

6.2 उप-प्रोसेसर परिवर्तन प्रबंधन और अधिसूचना

सब-प्रोसेसरों में जोड़ या परिवर्तन के लिए:

• कंट्रोलर के पंजीकृत खाता पते पर ईमेल के माध्यम से तीस (30) दिन पहले लिखित सूचना
• उप-प्रोसेसर सेवाओं, डेटा प्रसंस्करण गतिविधियों, और सुरक्षा उपायों के संबंध में व्यापक जानकारी
• सूचना अवधि के भीतर उचित औचित्य के साथ प्रस्तावित परिवर्तनों पर आपत्ति करने का नियंत्रक का अवसर
• यदि वैध आपत्तियों को वैकल्पिक व्यवस्थाओं के माध्यम से समायोजित नहीं किया जा सकता है तो सेवाओं को समाप्त करने का अधिकार
• गंभीर सुरक्षा घटनाओं के लिए त्वरित सूचना के साथ आपातकालीन उप-प्रोसेसर संलग्न करना अनुमत है
• सभी सब-प्रोसेसर परिवर्तन हमारी व्यावसायिक आवश्यकताओं और परिचालन जरूरतों के अधीन हैं

6.3 उप-प्रोसेसर अनुपालन और निगरानी

प्रोसेसर यह सुनिश्चित करता है कि सभी उप-प्रोसेसर:

• सुधारित सुरक्षा प्रावधानों के साथ अनुच्छेद 28 यूके जीडीपीआर आवश्यकताओं को पूरा करने वाले व्यापक डेटा प्रसंस्करण समझौते निष्पादित करें
• प्रसंस्करण जोखिमों के अनुरूप उपयुक्त तकनीकी और संगठनात्मक उपाय लागू करें
• मान्यता प्राप्त ऑडिट फ्रेमवर्क के माध्यम से नियमित सुरक्षा और अनुपालन मूल्यांकन से गुजरना
• डेटा सुरक्षा और सुरक्षा से संबंधित वर्तमान प्रमाणपत्रों (ISO 27001, SOC 2, आदि) को बनाए रखें।
• सेवा समाप्ति पर डेटा हटाने या लौटाने के लिए संविदात्मक प्रतिबद्धताएँ प्रदान करें
• निरंतर प्रदर्शन निगरानी और अनुपालन सत्यापन प्रक्रियाओं के अधीन रहें

7. अंतर्राष्ट्रीय डेटा हस्तांतरण सुरक्षा उपाय

7.1 स्थानांतरण तंत्र का कार्यान्वयन

यूके और यूरोपीय आर्थिक क्षेत्र के बाहर व्यक्तिगत डेटा हस्तांतरण के लिए:

• उपयुक्तता निर्णय: वर्तमान यूरोपीय आयोग या यूके सरकार के उपयुक्तता निर्णय वाले देशों को स्थानांतरण
• मानक संविदात्मक प्रावधान: वर्तमान ईयू मानक संविदात्मक प्रावधानों और यूके अंतर्राष्ट्रीय डेटा हस्तांतरण परिशिष्ट का कार्यान्वयन
• प्रमाणन कार्यक्रम: जहाँ लागू हो, EU-US डेटा गोपनीयता फ्रेमवर्क प्रमाणपत्रों का उपयोग
• पूरक उपाय: हस्तांतरण प्रभाव मूल्यांकन के आधार पर अतिरिक्त तकनीकी और संविदात्मक सुरक्षा उपाय

7.2 स्थानांतरण प्रभाव मूल्यांकन और निगरानी

प्रोसेसर अंतरराष्ट्रीय स्थानांतरण व्यवस्थाओं का मूल्यांकन करता है, जिनमें शामिल हैं:

• डेटा संरक्षण और सुरक्षा को प्रभावित करने वाले गंतव्य देश के कानूनों की नियमित समीक्षा
• स्थानांतरण तंत्र की प्रभावशीलता को प्रभावित कर सकने वाले कानूनी विकास की निगरानी
• जहाँ स्थानांतरण जोखिम मूल्यांकन आवश्यकता दर्शाते हैं, वहाँ अतिरिक्त सुरक्षा उपायों का कार्यान्वयन
• नियामक निरीक्षण के लिए स्थानांतरण सुरक्षा उपायों और प्रभाव मूल्यांकनों का दस्तावेजीकरण

8. डेटा प्रतिधारण और विलोपन ढांचा

8.1 प्रतिधारण अवधि प्रबंधन

• नियंत्रक द्वारा निर्दिष्ट प्रतिधारण अवधियों के अनुसार व्यक्तिगत डेटा सेवा सेटिंग्स में कॉन्फ़िगर किया जाता है
• अधिकतम प्रतिधारण अवधि चौबीस (24) महीने की है, जब तक कि कानूनी दायित्वों के कारण विस्तार की आवश्यकता न हो
• कॉन्फ़िगर किए गए शेड्यूल और प्रतिधारण नीतियों के अनुसार स्वचालित हटाने की प्रक्रियाएँ लागू की जाती हैं
• तकनीकी पुनर्प्राप्ति उद्देश्यों के लिए बैकअप डेटा नब्बे (90) दिनों तक अतिरिक्त प्रतिधारण अवधियों के अधीन है
• प्राथमिक प्रतिधारण अवधियों से परे वैध व्यावसायिक उद्देश्यों के लिए रखे गए डेटा पर अनामीकरण प्रक्रियाएं लागू की जाती हैं

8.2 डेटा हटाने की प्रक्रियाएं और सत्यापन

• उद्योग-मानक डेटा विनाश पद्धतियों और ओवरराइटिंग तकनीकों का उपयोग करके सुरक्षित विलोपन
• तकनीकी सीमाओं के भीतर सभी सिस्टमों, बैकअप और सब-प्रोसेसर वातावरण में व्यापक विलोपन
• नियंत्रक के अनुरोध पर उचित अग्रिम सूचना के साथ हटाने का प्रमाणन प्रदान किया जाता है
• भौगोलिक रूप से वितरित प्रणालियों और बैकअप अवसंरचनाओं के लिए विस्तारित हटाने की समय-सीमाएँ
• कानूनी दायित्वों के कारण, जहाँ अनुपालन उद्देश्यों के लिए डेटा को बनाए रखना आवश्यक हो, हटाने में रोक या देरी हो सकती है

9. व्यक्तिगत डेटा उल्लंघन प्रबंधन

9.1 प्रोसेसर सूचना दायित्व

कंट्रोलर के डेटा को प्रभावित करने वाले व्यक्तिगत डेटा उल्लंघनों के बारे में अवगत होने पर:

• जहाँ परिचालन रूप से संभव हो, बिना किसी अनावश्यक देरी के और सत्तर-दो (72) घंटों के भीतर नियंत्रक को सूचना
• प्रकृति, दायरा, प्रभावित डेटा श्रेणियाँ, और प्रभाव मूल्यांकन सहित उल्लंघन की व्यापक जानकारी
• लागू किए गए नियंत्रण उपायों और चल रही प्रतिक्रिया गतिविधियों का विस्तृत विवरण
• संभावित परिणामों का आकलन और नियंत्रक की प्रतिक्रिया कार्रवाइयों के लिए सिफारिशें
• जांच और निवारण के दौरान अतिरिक्त जानकारी उपलब्ध होने पर निरंतर अपडेट
• ऑपरेशनल आवश्यकताओं को बनाए रखते हुए जांच गतिविधियों में सहयोग

9.2 कंट्रोलर प्रतिक्रिया जिम्मेदारियाँ

कंट्रोलर निम्नलिखित के लिए विशेष जिम्मेदारी स्वीकार करता है:

• लागू कानून और नियामक दायित्वों के तहत उल्लंघन सूचना आवश्यकताओं का आकलन
• जहाँ कानूनी रूप से आवश्यक हो, वहाँ वैधानिक समयसीमा के भीतर पर्यवेक्षी प्राधिकरणों को सूचना देना
• कानून द्वारा निर्धारित उच्च-जोखिम उल्लंघनों के संबंध में प्रभावित डेटा विषयों के साथ संचार
• नियामक प्राधिकरणों के साथ समन्वय और आवश्यक उल्लंघन दस्तावेज़ प्रदान करना
• सभी उल्लंघन प्रतिक्रिया गतिविधियों और संचार के लिए कानूनी और नियामक अनुपालन
• नियमन कार्रवाई सहित उल्लंघन घटनाओं से उत्पन्न होने वाली सभी लागतें, व्यय और देयताएँ

10. ऑडिट अधिकार और अनुपालन सत्यापन

10.1 सूचना प्रावधान और दस्तावेजीकरण

प्रोसेसर अनुच्छेद 28 अनुपालन प्रदर्शित करने के लिए आवश्यक जानकारी प्रदान करेगा, जिसमें शामिल हैं:

• व्यक्तिगत डेटा प्रसंस्करण से संबंधित वर्तमान सुरक्षा नीतियां, प्रक्रियाएं और तकनीकी दस्तावेज़ीकरण
• उप-प्रोसेसर समझौतों का सारांश और पर्याप्त सुरक्षा का प्रदर्शन करने वाली सुरक्षा मूल्यांकन रिपोर्टें
• डेटा तक पहुंच वाले कर्मियों के लिए कर्मचारी प्रशिक्षण रिकॉर्ड और गोपनीयता समझौते की पुष्टि
• मान्यता प्राप्त तृतीय-पक्ष मूल्यांकन संगठनों से सुरक्षा प्रमाणन रिपोर्ट और ऑडिट निष्कर्ष
• घटना प्रतिक्रिया प्रक्रियाएं और उल्लंघन सूचना प्रोटोकॉल, जिनकी क्षमताएं दस्तावेजीकृत हैं
• गोपनीयता दायित्वों और व्यावसायिक परिचालन आवश्यकताओं के अधीन अनुपालन दस्तावेज़ीकरण

10.2 निरीक्षण और ऑडिट प्रक्रियाएं

• कंट्रोलर उचित अग्रिम सूचना और औचित्य के साथ अतिरिक्त अनुपालन जानकारी का अनुरोध कर सकता है
• भौतिक ऑडिट सुरक्षा आवश्यकताओं, अग्रिम समय-निर्धारण और लागत व्यवस्थाओं के अधीन आयोजित किए जा सकते हैं
• प्रत्यक्ष नियंत्रक ऑडिट के स्थान पर मान्यता प्राप्त प्रमाणन निकायों से प्राप्त तृतीय-पक्ष ऑडिटर रिपोर्टें स्वीकार की जाती हैं
• ऑडिट का दायरा सीधे नियंत्रक के व्यक्तिगत डेटा से संबंधित प्रसंस्करण गतिविधियों तक सीमित है
• व्यावसायिक संचालन की सुरक्षा के लिए सभी ऑडिट जानकारी और निष्कर्षों पर गोपनीयता दायित्व लागू होते हैं
• ऑडिट गतिविधियाँ हमारी परिचालन आवश्यकताओं और व्यावसायिक निरंतरता पर विचारों के अधीन हैं

11. देयता ढांचा और जोखिम आवंटन

11.1 नियंत्रक की क्षतिपूर्ति संबंधी बाध्यताएँ

कंट्रोलर निम्नलिखित से उत्पन्न होने वाले दावों, क्षतियों, लागतों और खर्चों से प्रोसेसर को क्षतिपूर्ति करने के लिए सहमत है:

• डेटा संरक्षण कानूनों, विनियमों, या पर्यवेक्षी प्राधिकरण की आवश्यकताओं का नियंत्रक द्वारा अनुपालन न करना
• अनधिकृत निगरानी गतिविधियाँ या तृतीय-पक्ष सेवा शर्तों और कानूनी प्रतिबंधों का उल्लंघन
• अनुपयुक्त कानूनी आधार, अपर्याप्त सहमति, या डेटा संरक्षण सिद्धांतों का अनुपालन न करना
• उपयुक्त गोपनीयता सूचनाएं प्रदान करने या आवश्यक प्राधिकरण प्राप्त करने में नियंत्रक की विफलता
• नियामक जुर्माने, दंड, या प्रतिबंध जो नियंत्रक की डेटा सुरक्षा अनुपालन विफलताओं से उत्पन्न होते हैं
• नियंत्रक की निगरानी गतिविधियों या डेटा संग्रह प्रथाओं से संबंधित तृतीय-पक्ष के दावे
• इस DPA के तहत नियंत्रक द्वारा प्रस्तुत बयानों, वारंटियों या दायित्वों का उल्लंघन

12. अनुबंध समाप्ति और डेटा प्रबंधन

12.1 समाप्ति घटनाएँ और प्रक्रियाएँ

यह डीपीए स्वचालित रूप से निम्नलिखित पर समाप्त हो जाता है:

• पक्षों के बीच अंतर्निहित सेवा समझौते का समाप्ति या अवधि समाप्ति
• प्रोसेसर सेवाओं के माध्यम से नियंत्रक द्वारा व्यक्तिगत डेटा प्रसंस्करण बंद करना
• तीस (30) दिनों के लिखित नोटिस और सुधार का अवसर दिए जाने के बाद किसी भी पक्ष द्वारा महत्वपूर्ण उल्लंघन
• कानूनी या नियामक आवश्यकताएँ जो प्रसंस्करण संबंधों को जारी रखने पर रोक लगाती हैं
• किसी भी पक्ष द्वारा व्यावसायिक परिचालन आवश्यकताएँ या वाणिज्यिक विचार

12.2 समाप्ति के बाद डेटा प्रबंधन

डीपीए समाप्ति पर:

• प्रोसेसर व्यक्तिगत डेटा लौटाने या कानूनी दायित्वों के लिए आवश्यक होने को छोड़कर सभी व्यक्तिगत डेटा प्रसंस्करण गतिविधियों को बंद कर देगा
• डेटा की वापसी या सुरक्षित विलोपन कंट्रोलर के निर्देशों और हमारी तकनीकी क्षमताओं के अनुसार होगा
• तकनीकी पुनर्प्राप्ति उद्देश्यों के लिए प्राथमिक हटाने के बाद बैकअप डेटा नब्बे (90) दिनों तक बना रह सकता है
• उचित अग्रिम सूचना और प्रशासनिक शुल्क पर अनुरोध करने पर विलोपन का प्रमाणपत्र प्रदान किया जाएगा
• बाकी बची जिम्मेदारियों में गोपनीयता, देयता की सीमा, और क्षतिपूर्ति प्रावधान शामिल हैं
• डेटा को तब तक रखा जा सकता है जब तक कानूनी दायित्वों या वैध व्यावसायिक हितों द्वारा आवश्यक हो

13. शासी कानून और विवाद समाधान

13.1 कानूनी ढांचा और क्षेत्राधिकार

• यह डीपीए इंग्लैंड और वेल्स के कानूनों के अनुसार शासित और व्याख्यायित किया जाता है
• विवाद, जहाँ कानून द्वारा अनुमत हो, लंदन कोर्ट ऑफ इंटरनेशनल आर्बिट्रेशन (LCIA) नियमों के तहत बाध्यकारी मध्यस्थता के अधीन हैं
• संविदात्मक विवाद समाधान की परवाह किए बिना पर्यवेक्षी प्राधिकरण पूर्ण नियामक अधिकार बनाए रखते हैं
• डेटा सुरक्षा उल्लंघनों के लिए अंग्रेजी न्यायालयों के माध्यम से आपातकालीन निषेधाज्ञा राहत उपलब्ध है
• जहाँ मध्यस्थता निषिद्ध है, उपभोक्ता उपयोगकर्ताओं के पास कानूनी कार्यवाही के लिए वैधानिक अधिकार बने रहते हैं

13.2 नियामक अनुपालन और प्राधिकरण मान्यता

दोनों पक्ष स्वीकार करते हैं कि पर्यवेक्षी प्राधिकरणों के पास हैं:

• संविदात्मक व्यवस्थाओं की परवाह किए बिना डेटा संरक्षण अनुपालन पर स्वतंत्र क्षेत्राधिकार
• लागू डेटा संरक्षण कानून के तहत जुर्माना, दंड और सुधारात्मक उपाय लगाने का अधिकार
• संविदात्मक प्रावधानों की परवाह किए बिना जांच करने और सहयोग की मांग करने का अधिकार
• अनुपालन उल्लंघनों के लिए प्रसंस्करण गतिविधियों को निलंबित या प्रतिबंधित करने का आदेश देने की शक्ति
• नियामक आवश्यकताओं के साथ असंगत होने पर संविदात्मक प्रावधानों को अधिलेखित करने का अधिकार

14. संपर्क जानकारी और कानूनी संचार