कानूनी · डीपीए

डेटा प्रोसेसिंग एडेंडम

यह डीपीए upDevTeam LTD ('प्रोसेसर') और GoDesk सेवा के किसी भी ग्राहक के बीच लागू होता है, जो सेवा का उपयोग करते समय पहचान योग्य व्यक्तियों के व्यक्तिगत डेटा को जीडीपीआर के तहत 'कंट्रोलर' के रूप में प्रोसेस करता है। यह सेवा की शर्तों में संदर्भ द्वारा शामिल किया गया है।

अंतिम अपडेट: 2026-05-06

TL;DR

यदि आप GoDesk का उपयोग व्यवसाय ग्राहकों, कर्मचारियों या किसी अन्य पहचान योग्य लोगों का समर्थन करने के लिए करते हैं, तो आप कंट्रोलर हैं और हम प्रोसेसर हैं। यह डीपीए निर्धारित करता है कि हम आपके पक्ष में व्यक्तिगत डेटा को जीडीपीआर अनुच्छेद 28 के तहत कैसे संभालते हैं।

हमारी सेवा की शर्तों को स्वीकार करके आप इस डीपीए को भी स्वीकार करते हैं। एंटरप्राइज ग्राहकों को यदि काउंटर-साइन PDF की आवश्यकता है, तो वे info@godeskflow.com पर एक का अनुरोध कर सकते हैं।

सामग्री

01परिभाषाएँ
02स्कोप और भूमिकाएँ
03प्रसंस्करण का विवरण (अनुच्छेद 28(3) GDPR)
04प्रोसेसर की प्रतिबद्धताएँ
05उप-प्रोसेसर
06सुरक्षा उपाय
07अंतरराष्ट्रीय हस्तांतरण
08डेटा-विशय अनुरोध
09व्यक्तिगत डेटा उल्लंघन
10ऑडिट
11वापसी और मिटाना
12जिम्मेदारी
13अवधि
14नीति संविधान
15संपर्क

01परिभाषाएँ

सप्ताक्षरित शब्दों का अर्थ जीडीपीआर में उन्हें दिए गए अर्थों के अनुसार होता है। निम्नलिखित शब्दों का अर्थ नीचे दिया गया है।

ग्राहक व्यक्तिगत डेटा: व्यक्तिगत डेटा जो ग्राहक या इसके अंत उपयोगकर्ता GoDesk सेवा के माध्यम से भेजते हैं, या संग्रहीत करते हैं, और जिसे हम ग्राहक की ओर से प्रोसेसर के रूप में प्रोसेस करते हैं।
जीडीपीआर: यूरोपीय संसद और परिषद का विनियमन (ईयू) 2016/679 27 अप्रैल 2016 (जनरल डेटा प्रोटेक्शन रेगुलेशन), और किसी भी राष्ट्रीय कार्यान्वयन विधायी, जिसमें यूके जीडीपीआर शामिल है।
प्रोसेसर: upDevTeam LTD।
कंट्रोलर: ग्राहक।
उप-प्रोसेसर: कोई भी तीसरा पक्ष प्रोसेसर जिसे ग्राहक व्यक्तिगत डेटा को प्रोसेस करने के लिए upDevTeam LTD द्वारा लगाया गया है।
मानक संविदात्मक धाराएँ: तीसरे देशों में व्यक्तिगत डेटा के हस्तांतरण के लिए जीडीपीआर के अनुसार मानक संविदात्मक धाराएँ, जिन्हें आयोग द्वारा कार्यान्वयन निर्णय (ईयू) 2021/914 (मॉड्यूल 2 / मॉड्यूल 3 यदि लागू हो) द्वारा अपनाया गया है।

02स्कोप और भूमिकाएँ

यह डीपीए ग्राहक द्वारा सेवा प्रदान करने के दौरान upDevTeam LTD द्वारा ग्राहक व्यक्तिगत डेटा को प्रोसेस करने के लिए लागू होता है।

पार्टी इस बात की स्वीकृति देती हैं कि ऐसी प्रोसेसिंग के संबंध में ग्राहक कंट्रोलर होता है और upDevTeam LTD प्रोसेसर होता है।

upDevTeam LTD अपनी स्वयं की व्यावसायिक गतिविधियों (खाते बिलिंग, एंटी-एब्यूज़, विपणन) के संबंध में भी डेटा को कंट्रोलर के रूप में प्रोसेस करता है। गोपनीयता नीति उस प्रोसेसिंग का वर्णन करती है।

03प्रसंस्करण का विवरण (अनुच्छेद 28(3) GDPR)

विषय वस्तु: ग्राहक को GoDesk रिमोट-डेस्कटॉप सेवा प्रदान करना।
अवधि: जब तक ग्राहक सेवा का उपयोग करता है, साथ ही अनुभाग 11 में सहमति से किसी भी पोस्ट-टर्मिनेशन रखरखाव।
स्वभाव और उद्देश्य: सेवा के संचालन के लिए आवश्यक होस्टिंग, ट्रांसमिशन, प्रमाणीकरण, टेलीमेट्री, समर्थन और अन्य प्रसंस्करण।
डेटा के श्रेणियाँ: खाते के पहचानकर्ता (ईमेल, पीयर आईडी), कनेक्शन मेटाडेटा (टाइमस्टैम्प, आईपी), और कोई भी व्यक्तिगत डेटा जिसे ग्राहक उपकरण नाम या सत्र मेटाडेटा में डालता है। सत्र सामग्री अंत-से-अंत एन्क्रिप्टेड है और हमारे लिए स्पष्ट पाठ के रूप में उपलब्ध नहीं है।
डेटा विषयों की श्रेणियाँ: ग्राहक के अंतिम उपयोगकर्ता, कर्मचारी, ठेकेदार, और कोई भी व्यक्ति जिनके उपकरणों तक ग्राहक द्वारा सेवा के माध्यम से पहुँच प्राप्त की जाती है।
विशेष श्रेणियों का डेटा: upDevTeam LTD द्वारा प्रोसेसर के रूप में एकत्रित नहीं किया गया। ग्राहक को उपकरण नाम या अन्य स्पष्ट पाठ मेटाडेटा में विशेष श्रेणी का डेटा डालने से बचना चाहिए।

04प्रोसेसर की प्रतिबद्धताएँ

upDevTeam LTD:

ग्राहक के दस्तावेजीकृत निर्देशों के अनुसार ही ग्राहक व्यक्तिगत डेटा को संसाधित करेगा, जिसमें अनुबंध और इस DPA में निर्धारित निर्देश शामिल हैं, जब तक कि EU या सदस्य-राज्य कानून द्वारा आवश्यकता न हो;
सुनिश्चित करेगा कि ग्राहक व्यक्तिगत डेटा को संसाधित करने के लिए अधिकृत कर्मचारी उचित गोपनीयता प्रतिबद्धताओं से बंधे हों;
अनुच्छेद 6 में वर्णित तकनीकी और संगठनात्मक उपायों को लागू और बनाए रखेगा;
उप-प्रोसेसर को नियोजित करने के लिए अनुच्छेद 28(2) और (4) GDPR में निर्धारित शर्तों का सम्मान करेगा (अनुच्छेद 5);
प्रसंस्करण की प्रकृति को ध्यान में रखते हुए, अनुच्छेद 32 से 36 GDPR के तहत अपनी प्रतिबद्धताओं को पूरा करने में ग्राहक की सहायता करेगा;
अनुच्छेद 28 GDPR के अनुपालन को प्रदर्शित करने के लिए सभी आवश्यक जानकारी उपलब्ध कराएगा।

05उप-प्रोसेसर

ग्राहक upDevTeam LTD को निम्नलिखित उप-प्रोसेसर को शामिल करने की अनुमति देता है:

Supabase, Inc.: खाता डेटाबेस, प्रमाणीकरण, टेलीमेट्री भंडारण। EU में होस्ट किया गया।
Hetzner Online GmbH: रिलाय तथा वेब बुनियादी ढांचे के लिए गणना और बैंडविड्थ (साइप्रस और जर्मनी)।
Cloudflare, Inc.: DNS, CDN, एज सुरक्षा।
Google Ireland Ltd.: वैकल्पिक एनालिटिक्स, केवल तब जब ग्राहक के अंतिम उपयोगकर्ता कुकी बैनर के माध्यम से सहमति देते हैं।
Stripe Payments Europe Ltd.: भुगतान योजनाओं के लिए कार्ड प्रोसेसिंग।

हम ग्राहक को उप-प्रोसेसर को जोड़ने या बदलने से कम से कम 30 दिनों का नोटिस देंगे, godeskflow.com/dpa पर परिवर्तन पोस्ट करके या खाते के संपर्क पर ईमेल करके। यदि ग्राहक डेटा-सुरक्षा कारणों पर उचित आपत्ति करता है, तो हम समाधान खोजने के लिए अच्छे विश्वास में काम करेंगे; यदि कोई समझौता नहीं हो सकता है, तो ग्राहक आसानी से प्रभावित सेवा को समाप्त कर सकता है।

हम अपने उप-प्रोसेसर के कार्यों और चूकों के लिए ग्राहक के प्रति उत्तरदायी रहते हैं जैसे वे हमारे स्वयं के हों।

06सुरक्षा उपाय

हम जोखिम के लिए उपयुक्त तकनीकी और संगठनात्मक उपाय लागू और बनाए रखते हैं, जिसमें शामिल हैं:

TLs 1.3 के दौरान, बैकअप के लिए AES-256-GCM में, अंत-से-अंत एन्क्रिप्टेड सत्र सामग्री के लिए X25519 + ED25519 की कुंजी आदान-प्रदान;
कम से कम विशेषाधिकार डिफ़ॉल्ट और कर्मचारियों के लिए अनिवार्य दो-चरणीय प्रमाणीकरण के साथ भूमिका-आधारित पहुंच नियंत्रण;
उत्पादन प्रणालियों पर प्रशासनिक क्रियाओं का केंद्रीकृत ऑडिट लॉगिंग;
भेद्यता प्रबंधन, निर्भरता स्कैनिंग, और समय पर सुरक्षा पैचिंग;
ISO 27001-संशोधित डेटा-सेंटर्स के ऑपरेटरों को शारीरिक सुरक्षा सौंपना;
डॉक्यूमेंटेड घटना-प्रतिक्रिया प्रक्रिया के साथ ऑन-कॉल रोटेशन।

07अंतरराष्ट्रीय हस्तांतरण

ग्राहक व्यक्तिगत डेटा EEA में होस्ट किया गया है। जहाँ ग्राहक व्यक्तिगत डेटा का EEA के बाहर हस्तांतरण आवश्यक है (जैसे कि जब कोई अमेरिकी-आधारित उप-प्रोसेसर शामिल हो), पक्ष मानक संविदा खंड को संदर्भ द्वारा शामिल करते हैं, जिसमें upDevTeam LTD उस आगे के हस्तांतरण के लिए 'डेटा एक्सपोर्टर' के रूप में कार्य कर रहा है और उप-प्रोसेसर को 'डेटा आयातक' के रूप में।

यदि ग्राहक EEA के बाहर स्थित है और व्यक्तिगत डेटा upDevTeam LTD से ग्राहक की ओर प्रवाहित होता है, तो पार्टियाँ SCCs (मॉड्यूल 4) को संबंधित स्थानांतरण के लिए शामिल करती हैं।

हम प्रत्येक गैर-EEA उप-प्रसंस्कर्ता के लिए एक स्थानांतरण-प्रभाव आकलन पूरा करते हैं और यदि आकलन की सिफारिश की गई हो, तो अतिरिक्त उपायों (एन्क्रिप्शन, छद्म नामकरण) को लागू करते हैं।

08डेटा-विशय अनुरोध

यदि हमें ग्राहक व्यक्तिगत डेटा के संबंध में किसी डेटा विषय से अनुरोध मिलता है, तो हम सीधे जवाब नहीं देंगे, केवल प्राप्ति की पुष्टि करेंगे और डेटा विषय को ग्राहक की ओर निर्देशित करेंगे। हम अनुरोध को तुरंत ग्राहक को भेज देंगे।

हम ग्राहक को पहुँच, सुधार, मिटाने, प्रतिबंध, पोर्टेबिलिटी और आपत्ति अनुरोधों का जवाब देने में उचित सहायता प्रदान करेंगे, प्रसंस्करण की प्रकृति और हमारे लिए उपलब्ध जानकारी को ध्यान में रखते हुए। जहाँ अनुरोध अत्यधिक या स्पष्ट रूप से निराधार है, हम एक उचित शुल्क ले सकते हैं।

09व्यक्तिगत डेटा उल्लंघन

हम ग्राहक को बिना अनावश्यक देरी के, और किसी भी स्थिति में 72 घंटों के भीतर, ग्राहक व्यक्तिगत डेटा से संबंधित व्यक्तिगत डेटा उल्लंघन के बारे में सूचित करेंगे। अधिसूचना में ज्ञात सीमा के भीतर लेख 33(3) GDPR द्वारा आवश्यक जानकारी शामिल होगी, और जैसे-जैसे जांच आगे बढ़ेगी, अपडेट प्रदान किए जाएंगे।

हम ग्राहक के साथ उल्लंघन को नियंत्रित करने, जांच करने और दस्तावेज़ित करने के लिए सहयोग करेंगे, और ग्राहक की पूर्व स्वीकृति के बिना इसके बारे में कोई सार्वजनिक बयान नहीं देंगे सिवाय जब कानून द्वारा आवश्यक हो।

10ऑडिट

हम ग्राहक को लेख 28 GDPR के साथ अनुपालन प्रदर्शित करने के लिए आवश्यक जानकारी प्रदान करते हैं (a) इस DPA के माध्यम से, (b) अनुरोध पर उपलब्ध सुरक्षा श्वेत पत्र के माध्यम से, और (c) प्रासंगिक उप-प्रसंस्कर्ताओं के हालिया तीसरे पक्ष के ऑडिट रिपोर्ट (जैसे SOC 2 रिपोर्ट) के माध्यम से।

यदि ग्राहक को यह उचित रूप से विश्वास है कि अनुभाग 10.1 में संदर्भित सामग्री अपर्याप्त है, तो ग्राहक, अपने खर्च पर और कम से कम 30 दिनों के लिखित नोटिस पर, प्रति वर्ष एक बार (सिवाय जब कोई महत्वपूर्ण उल्लंघन हो) हमारे इस DPA के साथ अनुपालन का ऑडिट कर सकता है, बशर्ते कि ऑडिट (i) सामान्य व्यवसाय घंटों के दौरान किया जाए, (ii) हमारे संचालन में विघ्न न डाले, (iii) एक स्वतंत्र ऑडिटर द्वारा किया जाए जो उपयुक्त गोपनीयता प्रतिबंधों के अंतर्गत बंधा हो, और (iv) अन्य ग्राहकों के सुविधाओं या डेटा तक पहुँच ना हो।

ऑडिट रिपोर्ट upDevTeam LTD की गोपनीय जानकारी हैं और इन्हें केवल नियामकों और कानूनी सलाहकारों के साथ गोपनीयता के तहत साझा किया जा सकता है।

11वापसी और मिटाना

सेवा की समाप्ति पर, हम ग्राहक के विकल्प पर और समाप्ति की तारीख के 30 दिनों के भीतर, या तो सभी ग्राहक व्यक्तिगत डेटा को संरचित इलेक्ट्रॉनिक प्रारूप में वापस करेंगे या इसे सुरक्षित रूप से मिटा देंगे, सिवाय इस सीमा के कि रखरखाव EU या सदस्य-राज्य कानून द्वारा आवश्यक है।

बैकअप प्रतिलिपियाँ हमारे मानक रोलिंग-बैकअप रखरखाव के अनुसार मिटाई जाएँगी (वर्तमान में 35 दिन)। बैकअप तब तक सुरक्षा उपायों द्वारा सुरक्षित रहते हैं जो अनुभाग 6 में हैं जब तक कि उन्हें अधिलेखित न किया जाए।

12जिम्मेदारी

इस DPA के अंतर्गत उत्पन्न जिम्मेदारी सेवा की शर्तों के तहत जिम्मेदारी की सीमा के अनुभाग द्वारा नियंत्रित की जाती है।

जहाँ लेख 82 GDPR संयुक्त नियंत्रकों, प्रोसेसर, और उप-प्रसंस्कर्ताओं के बीच जिम्मेदारी का आवंटन करता है, पार्टियाँ उस कानूनी आवंटन का पालन करने के लिए सहमत होती हैं।

13अवधि

यह DPA उस दिन से प्रभावी होती है जब ग्राहक सेवा की शर्तें स्वीकार करता है और तब तक जारी रहती है जब तक upDevTeam LTD ग्राहक की ओर से ग्राहक व्यक्तिगत डेटा संसाधित करता है, साथ ही अनुभाग 9, 10 और 11 के तहत दायित्वों को पूरा करने के लिए आवश्यक कोई भी जीवित अवधि।

14नीति संविधान

यह DPA साइप्रस गणराज्य के कानूनों द्वारा नियंत्रित है, सिवाय इसके कि जहाँ SCCs लागू होते हैं, SCCs में पहचान की गई नीति संविधान SCCs के क्षेत्र में मामलों के लिए सर्वोच्च रहती है।

15संपर्क

इस DPA के तहत नोटिस info@godeskflow.com (डेटा-प्रसंस्करण मामलों के लिए) और info@godeskflow.com (डेटा-विशय और पर्यवेक्षण प्राधिकरण मामलों के लिए) पर भेजे जाने चाहिए।

यदि आपको upDevTeam LTD के लेटरहेड पर इस DPA की काउंटर-हस्ताक्षरित प्रति की आवश्यकता है, तो info@godeskflow.com पर लिखें। इस DPA का अंग्रेजी संस्करण नियंत्रक संस्करण है।