डेटा प्रसंस्करण परिशिष्ट
यह डेटा प्रसंस्करण परिशिष्ट (“DPA”), Anysphere, Inc. (“Anysphere” या “Vendor”) और Customer के बीच हुए Master Services Agreement (“Agreement”) के अनुसार, सेवा के माध्यम से Customer द्वारा प्रदान किए गए Personal Data के Anysphere द्वारा किए जाने वाले प्रसंस्करण को नियंत्रित करता है। यह DPA Personal Data के प्रसंस्करण के संबंध में Customer के निर्देशों तथा दोनों पक्षों के अधिकारों और दायित्वों को निर्धारित करता है। इस DPA में अन्यथा निर्दिष्ट होने को छोड़कर, Agreement बिना किसी संशोधन के पूर्ण रूप से प्रभावी रहेगा। यदि इस DPA और Agreement के बीच कोई विरोध होता है, तो उस विरोध की सीमा तक यह DPA प्रभावी होगा।
-
परिभाषाएँ। इस DPA के प्रयोजनों के लिए, निम्नलिखित शब्दों के अर्थ नीचे दिए अनुसार होंगे। इस DPA में उपयोग किए गए, लेकिन परिभाषित न किए गए, बड़े अक्षरों में लिखे गए शब्दों के वही अर्थ होंगे जो समझौते में दिए गए हैं। इस DPA में प्रयुक्त अन्य सभी शब्द, जो अन्यथा समझौते में परिभाषित नहीं हैं, उनके वही संबंधित अर्थ होंगे जो उन्हें गोपनीयता कानूनों में दिए गए हैं।
-
“नियंत्रक से प्रसंस्कर्ता उपबंध” का अर्थ है: (a) GDPR के अधीन आने वाले व्यक्तिगत डेटा के अंतरण के संबंध में, 4 जून 2021 के Commission Decision 2021/914 में निर्धारित, तीसरे देशों को व्यक्तिगत डेटा के अंतरण के लिए मानक संविदात्मक उपबंध, जिसमें विशेष रूप से Module 2 (Controller to Processor) (“EU SCCs”) शामिल है; और (b) UK GDPR के अधीन आने वाले व्यक्तिगत डेटा के अंतरण के संबंध में, UK Information Commissioner द्वारा जारी EU Commission Standard Contractual Clauses (version B.1.0) का International Data Transfer Addendum (“UK Addendum”), प्रत्येक मामले में, जैसा कि समय-समय पर संशोधित, अपडेट या प्रतिस्थापित किया गया हो।
-
“EU/UK गोपनीयता कानून” का अर्थ है: (a) General Data Protection Regulation 2016/679 (the “GDPR”); (b) Privacy and Electronic Communications Directive 2002/58/EC; (c) UK Data Protection Act 2018, UK General Data Protection Regulation, जैसा कि UK Data Protection Act 2018 में परिभाषित है और Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 द्वारा संशोधित है (जो UK Data Protection Act 2018 के साथ मिलकर “UK GDPR” कहलाता है), तथा Privacy and Electronic Communications Regulations 2003; और (d) कोई भी प्रासंगिक कानून, निदेश, आदेश, नियम, विनियम या अन्य बाध्यकारी साधन, जो उपरोक्त में से किसी को लागू करता हो, प्रत्येक मामले में, जैसा लागू हो और समय-समय पर प्रभावी हो, तथा जैसा कि समय-समय पर संशोधित, समेकित, पुनः अधिनियमित या प्रतिस्थापित किया गया हो।
-
“व्यक्तिगत डेटा” का अर्थ है ऐसी कोई भी जानकारी, जिसे Vendor, Customer की ओर से सेवा प्रदान करने के लिए संसाधित करता है और जो किसी भी गोपनीयता कानून के तहत “personal data” या “personal information” के रूप में परिभाषित है।
-
“गोपनीयता कानून” का अर्थ है, जैसा लागू हो, EU/UK गोपनीयता कानून, US गोपनीयता कानून, और किसी भी अधिकार-क्षेत्र का कोई भी समान कानून, जो डेटा सुरक्षा, गोपनीयता या व्यक्तिगत डेटा के उपयोग से संबंधित हो, प्रत्येक मामले में, जैसा लागू हो और समय-समय पर प्रभावी हो, तथा जैसा कि समय-समय पर संशोधित, समेकित, पुनः अधिनियमित या प्रतिस्थापित किया गया हो।
-
“प्रसंस्कर्ता से प्रसंस्कर्ता उपबंध” का अर्थ है: (a) GDPR के अधीन आने वाले व्यक्तिगत डेटा के अंतरण के संबंध में, 4 जून 2021 के Commission Decision 2021/914 में निर्धारित, तीसरे countries को personal data के अंतरण के लिए मानक संविदात्मक उपबंध, जिसमें विशेष रूप से Module 3 (Processor to Processor) शामिल है; और (b) UK GDPR के अधीन आने वाले व्यक्तिगत डेटा के अंतरण के संबंध में, UK Information Commissioner द्वारा जारी EU Commission Standard Contractual Clauses (version B.1.0) का International Data Transfer Addendum, प्रत्येक मामले में, जैसा कि समय-समय पर संशोधित, अपडेट या प्रतिस्थापित किया गया हो।
-
“तृतीय देश” का अर्थ है European Economic Area या UK के डेटा सुरक्षा कानूनों के दायरे से बाहर कोई भी देश या क्षेत्र, जैसा प्रासंगिक हो, उन देशों या क्षेत्रों को छोड़कर जिन्हें संबंधित सक्षम प्राधिकरण द्वारा समय-समय पर व्यक्तिगत डेटा के लिए पर्याप्त सुरक्षा प्रदान करने वाला माना गया हो।
-
“US गोपनीयता कानून” का अर्थ है, जैसा लागू हो, California Consumer Privacy Act, जैसा कि California Privacy Rights Act द्वारा संशोधित है, Virginia Consumer Data Protection Act, Colorado Privacy Act, Connecticut Data Privacy Act, Utah Consumer Privacy Act, और किसी भी राज्य का कोई भी समान कानून, जो डेटा सुरक्षा, गोपनीयता या व्यक्तिगत डेटा के उपयोग से संबंधित हो।
-
-
संशोधन। पक्ष इस बात पर सहमत हैं कि यदि Privacy Laws के अनुपालन में, Agreement या इस DPA के तहत परिकल्पित तरीके से Personal Data का प्रसंस्करण जारी रखने के लिए Vendor के लिए परिवर्तन आवश्यक हों, या Privacy Laws की कानूनी व्याख्या से संबंधित मुद्दों का समाधान करना हो, तो वे इस DPA में संशोधनों पर सद्भावना के साथ बातचीत करेंगे। Vendor, Privacy Laws या विकसित होती कानूनी आवश्यकताओं के अनुपालन के लिए, आवश्यकतानुसार इस DPA को अपडेट करने का अधिकार सुरक्षित रखता है, बशर्ते कि ऐसे कोई भी अपडेट Customer के अधिकारों को महत्वपूर्ण रूप से कम न करें या इस DPA के तहत Customer के दायित्वों में महत्वपूर्ण रूप से वृद्धि न करें। Vendor ऐसे किसी भी अपडेट के प्रभावी होने की तिथि से कम-से-कम तीस (30) दिन पहले Customer को लिखित रूप में सूचित करेगा, जब तक कि कानून के अनुसार इससे कम सूचना अवधि आवश्यक न हो।
-
पक्षों की भूमिकाएँ। पक्ष स्वीकार करते हैं कि Privacy Laws के प्रयोजनों के लिए, Customer “service recipient,” “controller,” “business,” या Privacy Laws के अंतर्गत प्रदान किए गए किसी भी समान पद के रूप में माना जाएगा, और Vendor “service provider,” “processor,” “contractor,” या Privacy Laws के अंतर्गत प्रदान किए गए किसी भी समान पद के रूप में माना जाएगा।
-
प्रसंस्करण का विवरण। पक्ष सहमत हैं कि प्रसंस्करण का विवरण इसके साथ संलग्न Annex 1 में वर्णित है।
-
ग्राहक के दायित्व। ग्राहक, सेवा के संबंध में Vendor को Personal Data प्रदान करते समय, सभी Privacy Laws का अनुपालन करेगा। ग्राहक यह अभ्यावेदन और वारंटी देता है कि: (a) ग्राहक पर लागू Privacy Laws, Vendor को ग्राहक से प्राप्त निर्देशों का पालन करने और इस DPA के तहत Vendor के दायित्वों को पूरा करने से नहीं रोकते; (b) सभी Personal Data एकत्र किया गया था और हर समय ग्राहक द्वारा या ग्राहक की ओर से, सभी Privacy Laws के अनुपालन में, संसाधित और अनुरक्षित किया गया था, जिसमें व्यक्तियों को सूचना देने और/या उनकी सहमति प्राप्त करने से संबंधित किसी भी दायित्व का अनुपालन भी शामिल है; और (c) ग्राहक के पास Personal Data को Vendor को प्रकट करने और Vendor को इस DPA में निर्धारित अनुसार Personal Data को संसाधित करने में सक्षम बनाने का वैध आधार है। यदि ग्राहक यह निर्धारित करता है कि Agreement के तहत Personal Data का संसाधन Privacy Laws का अनुपालन नहीं करता है या नहीं करेगा, तो ग्राहक बिना अनुचित विलंब के Vendor को सूचित करेगा, ऐसी स्थिति में Vendor के लिए ऐसे Personal Data का संसाधन जारी रखना आवश्यक नहीं होगा।
-
व्यक्तिगत डेटा का प्रसंस्करण। ग्राहक इस DPA के अंतर्गत संसाधित सभी व्यक्तिगत डेटा का स्वामित्व अपने पास रखता है। विक्रेता व्यक्तिगत डेटा का प्रसंस्करण केवल: (i) सेवा प्रदान करने के लिए करेगा, जैसा कि Annex 1 में आगे वर्णित है, तथा ग्राहक द्वारा समय-समय पर दिए गए प्रलेखित निर्देशों के अनुसार और उनमें निर्दिष्ट उद्देश्यों के लिए, जिसमें सेवा के माध्यम से प्रदान की गई सहमतियाँ और प्राधिकरण शामिल हैं; (ii) विक्रेता पर लागू कानूनी दायित्वों के अनुपालन के लिए; और (iii) ग्राहक द्वारा लिखित रूप में अन्यथा निर्देश दिए जाने पर। यदि विक्रेता यह निर्धारित करता है कि वह अब लागू गोपनीयता कानूनों के तहत अपने दायित्वों को पूरा नहीं कर सकता या व्यक्तिगत डेटा के उपयोग के संबंध में ग्राहक के किसी निर्देश का पालन नहीं कर सकता, तो वह बिना अनुचित विलंब के ग्राहक को सूचित करेगा। गोपनीयता कानूनों के तहत जहाँ तक आवश्यक हो, और उचित लिखित सूचना मिलने पर, यदि ग्राहक को युक्तिसंगत रूप से यह विश्वास हो कि विक्रेता गोपनीयता कानूनों या इस DPA का उल्लंघन करते हुए व्यक्तिगत डेटा का उपयोग कर रहा है, तो विक्रेता ग्राहक को यह अधिकार देगा कि वह यह सुनिश्चित करने में सहायता हेतु युक्तिसंगत और उपयुक्त कदम उठाए कि विक्रेता व्यक्तिगत डेटा का उपयोग गोपनीयता कानूनों के तहत ग्राहक के दायित्वों के अनुरूप तरीके से करे, तथा व्यक्तिगत डेटा के किसी भी अनधिकृत उपयोग को रोके और उसका निवारण करे। विक्रेता यह सुनिश्चित करेगा कि व्यक्तिगत डेटा का प्रसंस्करण करने वाला प्रत्येक कर्मचारी या अन्य व्यक्ति, इस Agreement के प्रावधानों के अनुसार, ऐसे व्यक्तिगत डेटा के संबंध में उपयुक्त गोपनीयता दायित्व के अधीन हो।
-
निषेध। लागू गोपनीयता कानूनों के तहत जहाँ तक आवश्यक हो, Vendor को निम्नलिखित करने से प्रतिबंधित किया जाता है: (a) Personal Data को बेचना, सिवाय इसके कि वह पहचान-रहित, समेकित या गुमनाम रूप में हो; (b) क्रॉस-संदर्भ व्यवहारगत विज्ञापन के उद्देश्यों के लिए Personal Data को साझा करना; (c) Personal Data को किसी भी ऐसे उद्देश्य के लिए बनाए रखना, उपयोग करना, या प्रकट करना, जो (i) सेवा निष्पादित करने के विशिष्ट उद्देश्य, (ii) पहचान-रहित, समेकित या गुमनाम डेटा का उपयोग करके सेवा का विकास, सुधार, या संवर्धन करने, या (iii) गोपनीयता कानूनों के तहत अन्यथा अनुमत उद्देश्यों, के अलावा हो; (d) ऊपर वर्णित स्थितियों को छोड़कर, Vendor और Customer के बीच प्रत्यक्ष व्यावसायिक संबंध के बाहर Personal Data को बनाए रखना, उपयोग करना, या प्रकट करना; और (e) Customer से, या Customer की ओर से, प्राप्त Personal Data को उस Personal Data के साथ संयोजित करना जो Vendor के उन व्यक्ति(यों) के साथ अलग इंटरैक्शन से एकत्र किया गया हो, जिनसे वह Personal Data संबंधित है, या किसी अन्य स्रोत से प्राप्त हुआ हो, सिवाय इसके कि यह किसी व्यावसायिक उद्देश्य को पूरा करने के लिए हो या गोपनीयता कानूनों के तहत अन्यथा अनुमत हो।
-
उपप्रसंस्कर्ताओं का उपयोग। यदि Vendor अपनी ओर से व्यक्तिगत डेटा का प्रसंस्करण करने के लिए किसी उपप्रसंस्कर्ता को नियुक्त करता है:
-
ग्राहक एतद्द्वारा Vendor को, इस धारा 8 की आवश्यकताओं के अधीन, Annex 2 में उल्लिखित उप-प्रसंस्कर्ताओं को नियुक्त करने के लिए सामान्य लिखित प्राधिकरण प्रदान करता है।
-
यदि Vendor किसी नए उप-प्रसंस्कर्ता को नियुक्त करता है या किसी उप-प्रसंस्कर्ता को जोड़ने या बदलने से संबंधित कोई परिवर्तन करने का इरादा रखता है, तो वह trust.cursor.com/subprocessors पर अपडेट पोस्ट करके ग्राहक को तीस (30) कार्यदिवस पहले लिखित सूचना देगा। इस अवधि के दौरान, ग्राहक व्यक्तिगत डेटा की गोपनीयता या सुरक्षा, या गोपनीयता कानूनों के साथ उप-प्रसंस्कर्ता के अनुपालन से संबंधित उचित और प्रलेखित आधारों पर ऐसी नियुक्ति या प्रतिस्थापन पर आपत्ति कर सकता है (और यदि ग्राहक ऐसी आपत्ति नहीं करता है, तो Vendor नियुक्ति या प्रतिस्थापन के साथ आगे बढ़ सकता है)। ऐसी अत्यावश्यक परिस्थितियों में, जिनमें उप-प्रसंस्कर्ता से संबंधित तत्काल परिवर्तन आवश्यक हों (उदा., सुरक्षा घटनाएँ, सेवा में व्यवधान), Vendor परिवर्तनों के साथ आगे बढ़ सकता है और उसके बाद दस (10) कार्यदिवसों के भीतर सूचना दे सकता है। यदि ग्राहक, यहाँ वर्णित अनुसार, किसी उप-प्रसंस्कर्ता की नियुक्ति या प्रतिस्थापन पर आपत्ति करता है, तो Vendor ग्राहक की चिंताओं का समाधान करने के लिए व्यावसायिक रूप से उचित प्रयास करेगा, जिसमें किसी भिन्न उप-प्रसंस्कर्ता का प्रस्ताव देना या पहचाने गए जोखिमों को कम करने के लिए अतिरिक्त सुरक्षा उपाय कार्यान्वित करना शामिल हो सकता है। यदि पक्षकार ग्राहक की लिखित आपत्ति सूचना के तीस (30) दिनों के भीतर उस आपत्ति का समाधान करने में असमर्थ रहते हैं, तो ग्राहक Vendor को लिखित सूचना देकर सेवा के प्रभावित हिस्से को समाप्त कर सकता है। ऐसी समाप्ति की स्थिति में, Vendor समाप्त की गई सेवा के शेष अप्रयुक्त भाग के लिए अग्रिम रूप से भुगतान किए गए किसी भी शुल्क का आनुपातिक रिफंड ग्राहक को प्रदान करेगा।
-
Vendor उप-प्रसंस्कर्ताओं को केवल ऐसे लिखित समझौते के तहत नियुक्त करेगा, जिसमें उप-प्रसंस्कर्ता पर ऐसे दायित्व लगाए गए हों जो उन्हें इस DPA में प्रदान किए गए डेटा सुरक्षा के कम-से-कम समान स्तर का पालन करने के लिए बाध्य करें। ऐसे उप-प्रसंस्कर्ताओं द्वारा अपने-अपने दायित्वों का पालन न करने के लिए Vendor ग्राहक के प्रति उत्तरदायी होगा।
-
-
सहायता। Privacy Laws के तहत जहाँ तक आवश्यक हो, और processing की प्रकृति को ध्यान में रखते हुए, Vendor, Personal Data के processing के संबंध में, तथा Customer को उससे उत्पन्न अपने दायित्वों का पालन करने में सक्षम बनाने के लिए, उपयुक्त तकनीकी और संगठनात्मक उपायों के माध्यम से Customer को युक्तिसंगत सहायता प्रदान करेगा, जिसमें शामिल है: (a) Privacy Laws के तहत व्यक्तियों के अधिकारों के अनुसार उनके अनुरोधों का जवाब देना, जिसमें प्रासंगिक Personal Data उपलब्ध कराना, उसे हटाना या सुधारना, या जहाँ तक संभव हो Customer को ऐसा करने में सक्षम करना शामिल है; (b) Personal Data की प्रकृति के अनुरूप युक्तिसंगत सुरक्षा प्रक्रियाओं और प्रथाओं को कार्यान्वित करना, ताकि Personal Data को अनधिकृत या अवैध पहुँच, विनाश, उपयोग, संशोधन या प्रकटीकरण से सुरक्षित रखा जा सके; (c) Personal Data breaches के बारे में प्रासंगिक सक्षम प्राधिकरणों और/या प्रभावित व्यक्तियों को सूचित करना; (d) data protection impact assessments करना और, यदि आवश्यक हो, प्रासंगिक सक्षम प्राधिकरणों के साथ पूर्व परामर्श करना; और (e) इस DPA में प्रवेश करना।
-
सुरक्षा उपाय। Vendor, उपलब्ध अत्याधुनिक मानकों, कार्यान्वयन की लागत, तथा प्रसंस्करण की प्रकृति, दायरे, संदर्भ और उद्देश्य को ध्यान में रखते हुए, Annex 3 में निर्धारित, या अन्यथा समय-समय पर Customer और Vendor के बीच सहमति से तय और प्रलेखित, जोखिम के अनुरूप सुरक्षा स्तर प्रदान करने के लिए उपयुक्त तकनीकी और संगठनात्मक उपाय लागू करेगा, और यह सुनिश्चित करेगा कि उसके अधिकृत कर्मी उनका पालन करें। प्रसंस्करण की अवधि के दौरान Vendor सेवाओं की समग्र सुरक्षा में कोई महत्वपूर्ण कमी नहीं करेगा। Privacy Laws के तहत जितनी सीमा तक आवश्यक हो, Vendor बिना अनावश्यक विलंब के, और किसी भी स्थिति में अड़तालीस (48) घंटों के भीतर, Customer को लिखित रूप में सुरक्षा के किसी भी ऐसे उल्लंघन की सूचना देगा, जिसके परिणामस्वरूप Personal Data का आकस्मिक या अवैध विनाश, हानि, परिवर्तन, अनधिकृत प्रकटीकरण, या उस तक अनधिकृत पहुँच होती है; और उल्लंघन के बारे में अतिरिक्त जानकारी चरणबद्ध रूप से, जैसे-जैसे अधिक विवरण उपलब्ध होते जाएँगे, प्रदान की जाएगी। Customer सहमत है कि, उपर्युक्त को सीमित किए बिना, Service के अपने उपयोग के लिए केवल Customer स्वयं जिम्मेदार है, जिसमें शामिल है: (a) Service तक पहुँच के लिए Customer द्वारा उपयोग किए जाने वाले खाता प्रमाणीकरण क्रेडेंशियल, सिस्टम और डिवाइस को सुरक्षित रखना; (b) Customer के उन सिस्टम और डिवाइस को सुरक्षित रखना जिनका वह Service के साथ उपयोग करता है; और (c) Customer Data के अपने बैकअप बनाए रखना।
-
पहुँच और ऑडिट। ग्राहक के उचित अनुरोध पर, Vendor ग्राहक को अपने पास उपलब्ध ऐसी जानकारी उपलब्ध कराएगा जो इस DPA के तहत अपने दायित्वों के संबंध में Vendor के अनुपालन को प्रदर्शित करने के लिए युक्तिसंगत रूप से आवश्यक हो, और ग्राहक द्वारा या ग्राहक के निर्देश पर नियुक्त किसी अन्य ऑडिटर द्वारा, जिसे Vendor युक्तिसंगत रूप से स्वीकार करता हो, किए गए ऑडिट, जिसमें निरीक्षण भी शामिल हैं, की अनुमति देगा और उनमें सहयोग करेगा। ऐसे ऑडिट का पूरा खर्च ग्राहक वहन करेगा, जब तक कि कोई महत्वपूर्ण उल्लंघन सामने न आए। ग्राहक को ऐसा आकलन प्रत्येक बारह (12) महीनों में एक से अधिक बार करने की अनुमति नहीं होगी, और वह भी Vendor को तीस (30) दिन पहले लिखित सूचना देने पर, तथा केवल तब जब पक्षकार ऑडिट के दायरे पर सहमत हो जाएँ और ऑडिटर गोपनीयता के दायित्व से बंधा हो। इसके अतिरिक्त, यदि किसी व्यक्तिगत डेटा उल्लंघन के बाद या किसी नियामक अथवा डेटा संरक्षण प्राधिकरण के अनुरोध पर Vendor के डेटा संरक्षण अनुपालन को लेकर युक्तिसंगत चिंताएँ हों, तो ग्राहक एक अतिरिक्त ऑडिट कर सकता है। ग्राहक द्वारा या उसके निर्देश पर किए गए ऑडिट के विकल्प के रूप में, Privacy Laws द्वारा जहाँ तक अनुमति हो, Vendor अपने खर्च पर एक योग्य और स्वतंत्र ऑडिटर से Vendor की नीतियों तथा उसके तकनीकी और संगठनात्मक उपायों का आकलन करवा सकता है, जो Privacy Laws के तहत उसके दायित्वों के समर्थन में हों। ऐसा आकलन उपयुक्त और स्वीकृत control standard या framework तथा assessment procedure का उपयोग करके किया जाएगा, और उचित अनुरोध पर Vendor ऐसे आकलन की रिपोर्ट ग्राहक को प्रदान करेगा। उपर्युक्त के बावजूद, किसी भी स्थिति में Vendor को ग्राहक को ऐसी जानकारी, सुविधाओं या प्रणालियों तक पहुँच देने की आवश्यकता नहीं होगी, जहाँ ऐसा करने से Vendor अन्य ग्राहकों के प्रति अपने गोपनीयता संबंधी दायित्वों या अपने कानूनी दायित्वों का उल्लंघन करता हो।
-
व्यक्तिगत डेटा का विलोपन। ग्राहक के लिखित निर्देश पर, सेवा प्रदान किए जाने की अवधि समाप्त होने पर, विक्रेता ऐसे अनुरोध के तीस (30) दिनों के भीतर, ग्राहक के अनुरोधानुसार सभी व्यक्तिगत डेटा को मिटा देगा या ग्राहक को लौटा देगा, जब तक कि कानूनन व्यक्तिगत डेटा को सुरक्षित रखना आवश्यक न हो; और अनुरोध पर इसका लिखित प्रमाणन भी प्रदान करेगा।
-
डेटा अंतरण। जिस हद तक Vendor किसी Third Country में EU/UK Privacy Laws के अधीन आने वाले Personal Data का प्रसंस्करण करता है, और data importer के रूप में कार्य कर रहा है, Vendor data importer के दायित्वों का पालन करेगा और Customer, Controller to Processor Clauses में निर्धारित data exporter के दायित्वों का पालन करेगा, जिन्हें इसके द्वारा इस DPA में सम्मिलित किया जाता है और इसका अभिन्न भाग बनाया जाता है, और:
-
ऐसे Controller to Processor Clauses के Annex I या Part 1 (जैसा प्रासंगिक हो) के प्रयोजनों के लिए, Customer एक नियंत्रक है और Vendor एक प्रोसेसर है, और Agreement, इस DPA तथा Annex 1 में दिए गए पक्षकारों, संपर्क व्यक्ति के विवरण और प्रोसेसिंग विवरण लागू होंगे, तथा Start Date, Agreement की प्रभावी तिथि होगी, और किसी पक्ष द्वारा इस Agreement के निष्पादन के संबंध में दिए गए हस्ताक्षर (किसी भी रूप में) और ऐसे हस्ताक्षरों की तिथियाँ उस पक्ष से आवश्यक दिनांकित हस्ताक्षर मानी जाएँगी;
-
यदि लागू हो, तो UK Addendum के Part 1 के प्रयोजनों के लिए, प्रासंगिक Addendum EU SCCs (जैसा कि उस शब्द को UK Addendum में परिभाषित किया गया है) वे EU SCCs हैं, जिन्हें इस Section 13 के आधार पर इस DPA में शामिल किया गया है। इस DPA और SCCs के बीच किसी भी टकराव या अस्पष्टता की स्थिति में, SCCs प्रभावी होंगे;
-
ऐसे Controller to Processor Clauses के Annex II या Part 1 (जैसा प्रासंगिक हो) के प्रयोजनों के लिए, तकनीकी और संगठनात्मक सुरक्षा उपाय, तथा Customer की सहायता के लिए Vendor द्वारा अपनाए गए तकनीकी और संगठनात्मक उपाय, जैसा कि प्रत्येक Annex 3 में दिया गया है, लागू होंगे; और
-
यदि लागू हो, तो ऐसे Controller to Processor Clauses के Annex III या Part 1 (जैसा प्रासंगिक हो) के प्रयोजनों के लिए, Schedule 4 (Authorized Sub-contractors) में दी गई अधिकृत उप-ठेकेदारों की सूची लागू होगी;
-
यदि लागू हो, तो निम्नलिखित के प्रयोजनों के लिए: (i) Clause 9 में Option 2 (“सामान्य लिखित प्राधिकरण”) को चयनित माना जाएगा और Section 8 में निर्दिष्ट नोटिस अवधि लागू होगी; (ii) Clause 11(a) में, स्वतंत्र विवाद समाधान से संबंधित वैकल्पिक शब्दावली को हटाया हुआ माना जाएगा; (iii) Clause 13 और Annex I.C के लिए, सक्षम पर्यवेक्षी प्राधिकरण Ireland Data Protection Commission होगा; (iv) Clauses 17 और 18 में, Option 1 को चयनित माना जाएगा और शासकीय कानून तथा सक्षम न्यायालय The Republic of Ireland के होंगे; (vi) Part 1 के लिए, आयातक के रूप में Vendor ऐसे UK Addendum के Section 19 के अनुसार UK Addendum को समाप्त कर सकता है;
-
Vendor किसी तृतीय देश में Personal Data को प्रोसेस करने के लिए किसी संबद्ध इकाई या तृतीय-पक्ष उप-प्रोसेसर को नियुक्त कर सकता है, जिस स्थिति में Vendor, Customer की ओर से, अपने द्वारा नियुक्त किसी भी प्रासंगिक उप-प्रोसेसर (जिसमें संबद्ध इकाइयाँ शामिल हैं) के साथ Processor to Processor Clauses निष्पादित करेगा; और
-
Privacy Laws के अनुपालन को सुनिश्चित करने के लिए, Vendor डेटा ट्रांसफर हेतु adequacy decision, EU-US Data Privacy Framework, Privacy Laws के अंतर्गत विशिष्ट परिस्थितियों के लिए derogations, या किसी अन्य वैध तंत्र पर भरोसा कर सकता है।
-
ऐसे ट्रांसफ़रों से संबंधित सीमा-पार डेटा ट्रांसफ़र या उन ट्रांसफ़रों के संबंध में लागू Privacy Laws के अनुपालन से जुड़ा कोई भी विवाद, Agreement में निर्दिष्ट शासकीय कानून और क्षेत्राधिकार के अनुसार सुलझाया जाएगा।
अनुलग्नक 1
प्रसंस्करण का विवरण
1. प्रसंस्करण की प्रकृति
- Agreement में वर्णित अनुसार Customer को Vendor की सेवा प्रदान करने के संबंध में, Vendor द्वारा Personal Data तक पहुँच, उसका उपयोग, प्रकटीकरण, भंडारण, विलोपन और/या अन्य प्रसंस्करण।
2. प्रसंस्करण का/के उद्देश्य
- Agreement में वर्णित अनुसार Vendor द्वारा Customer को सेवा प्रदान करना।
3. उन व्यक्तियों की श्रेणियाँ जिनके Personal Data का प्रसंस्करण किया जाता है
- Customer के अधिकृत उपयोगकर्ता।
4. प्रसंस्करण किए गए Personal Data की श्रेणियाँ
- व्यक्तियों से संबंधित वह डेटा, जिसे Vendor ने Customer की ओर से एकत्र किया है या जो Customer ने अन्यथा Vendor को प्रदान किया है।
5. प्रसंस्करण के अधीन Personal Data के वे प्रकार जिन्हें Privacy Laws के तहत “sensitive” या “special category” माना जाता है
- Customer, और/या उसके कार्मिक, this Agreement के तहत कोई भी संवेदनशील या special category डेटा प्रदान नहीं करेंगे, और Customer द्वारा प्रदान किए गए संवेदनशील डेटा के प्रसंस्करण के लिए Vendor उत्तरदायी नहीं होगा। Vendor जानबूझकर Personal Data की किसी भी special category को एकत्र या Process नहीं करता है।
6. प्रसंस्करण की आवृत्ति (उदा. एकबारगी या सतत) और अवधि
- प्रासंगिक Personal Data का प्रसंस्करण सतत आधार पर, Agreement की अवधि तक और Agreement में वर्णित समाप्ति-पश्चात किसी भी प्रतिधारण अवधि के दौरान किया जाता है।
7. Section 8 के अनुसार अधिकृत किसी भी उप-प्रोसेसर द्वारा किए गए प्रसंस्करण का विषय-वस्तु, प्रकृति और अवधि
- जैसा कि इस अनुलग्नक 1 और अनुलग्नक 2 में वर्णित है।
अनुलग्नक 2
अधिकृत उप-प्रोसेसर
Vendor के अधिकृत sub-processors की सूची https://trust.cursor.com/subprocessors पर संधारित और अपडेट की जाती है।
अनुलग्नक 3
तकनीकी और संगठनात्मक उपाय
यह अनुलग्नक 3, Data Processing Agreement (“DPA”) के तहत Anysphere, Inc. (“Anysphere”) द्वारा लागू किए गए तकनीकी और संगठनात्मक सुरक्षा उपायों को निर्धारित करता है। Anysphere SOC 2 Type II प्रमाणित है, और आप हमारे ट्रस्ट सेंटर, https://trust.cursor.com (“Trust Center”) के माध्यम से हमारे प्रमाणन की एक प्रति प्राप्त कर सकते हैं। इसके अतिरिक्त, Anysphere की सुरक्षा प्रथाओं का आगे वर्णन हमारे सुरक्षा पृष्ठ पर किया गया है, जो https://www.cursor.com/security पर उपलब्ध है। Anysphere के तकनीकी और संगठनात्मक सुरक्षा उपायों में शामिल हैं:
-
पहुंच नियंत्रण: व्यक्तिगत डेटा तक पहुँच केवल अधिकृत कर्मियों तक सीमित है। पहुँच को सुरक्षित रखने के लिए भूमिका-आधारित पहुंच नियंत्रण और बहु-कारक प्रमाणीकरण जैसे मजबूत प्रमाणीकरण तंत्रों का उपयोग किया जाता है।
-
कर्मचारी प्रशिक्षण और जागरूकता: कर्मचारियों को डेटा सुरक्षा, गोपनीयता और सुरक्षा संबंधी सर्वोत्तम प्रथाओं पर नियमित प्रशिक्षण दिया जाता है।
-
डेटा एन्क्रिप्शन: Anysphere उद्योग-मानक एन्क्रिप्शन प्रोटोकॉल का उपयोग करता है, ताकि यह सुनिश्चित किया जा सके कि व्यक्तिगत डेटा संग्रहित अवस्था में और ट्रांज़िट के दौरान एन्क्रिप्टेड रहे। एन्क्रिप्शन कुंजियों का सुरक्षित रूप से प्रबंधन किया जाता है और उन्हें नियमित रूप से रोटेट किया जाता है।
-
अवसंरचना सुरक्षा: Anysphere की अवसंरचना रूपरेखा और सुरक्षा प्रोटोकॉल का विवरण हमारे ट्रस्ट सेंटर में दिया गया है।
-
नेटवर्क सुरक्षा: नेटवर्क सुरक्षा फ़ायरवॉल, घुसपैठ का पता लगाने और रोकथाम प्रणालियों के परिनियोजन के माध्यम से बनाए रखी जाती है, और नियमित रूप से भेद्यता आकलन तथा पैठ परीक्षण किए जाते हैं। आप हमारे ट्रस्ट सेंटर के माध्यम से हमारी Penetration Test Report की एक प्रति का अनुरोध कर सकते हैं।
-
एप्लिकेशन सुरक्षा: सुरक्षित सॉफ़्टवेयर विकास प्रथाओं, जिसमें कोड समीक्षाएँ और सुरक्षा टेस्टिंग शामिल हैं, का पालन किया जाता है, और सामान्य वेब खतरों से सुरक्षा के लिए वेब एप्लिकेशन फ़ायरवॉल का उपयोग किया जाता है।
-
डेटा बैकअप और पुनर्प्राप्ति: व्यक्तिगत डेटा का नियमित बैकअप लिया जाता है और उसे सुरक्षित रूप से संग्रहीत किया जाता है। साथ ही, आपदा पुनर्प्राप्ति और व्यावसायिक निरंतरता योजनाएँ लागू हैं और उनका समय-समय पर परीक्षण किया जाता है।
-
डेटा सेंटर सुरक्षा: डेटा सेंटर भौतिक सुरक्षा नियंत्रणों, जिसमें पहुंच नियंत्रण, निगरानी प्रणालियाँ और सुरक्षा कर्मी शामिल हैं, द्वारा सुरक्षित किए जाते हैं। डेटा सेंटर तक पहुँच केवल अधिकृत कर्मियों तक सीमित है।
-
कार्यालय सुरक्षा: कार्यालय परिसरों को पहुंच नियंत्रण, अलार्म प्रणालियों और निगरानी कैमरों से सुरक्षित किया जाता है, और आगंतुकों के लिए साइन इन करना आवश्यक होता है तथा उन्हें अधिकृत कर्मियों के साथ रखा जाता है।
-
सुरक्षा निगरानी: Anysphere सुरक्षा घटनाओं का पता लगाने और उनका जवाब देने के लिए प्रणालियों और नेटवर्कों की निरंतर निगरानी करता है। सुरक्षा इवेंट्स के सहसंबंध और विश्लेषण के लिए सुरक्षा सूचना और इवेंट प्रबंधन प्रणालियों का उपयोग किया जाता है।
-
घटना प्रतिक्रिया: सुरक्षा घटनाओं को शीघ्र और प्रभावी ढंग से संभालने के लिए एक घटना प्रतिक्रिया योजना लागू है, और डेटा उल्लंघन सूचना प्रक्रियाएँ लागू कानूनों और विनियमों के अनुरूप हैं।
-
डिज़ाइन द्वारा गोपनीयता: Privacy by Design के कार्यान्वयन के माध्यम से डेटा सुरक्षा सिद्धांतों को प्रणालियों और प्रक्रियाओं के डिज़ाइन और विकास में एकीकृत किया जाता है। जोखिमों की पहचान करने और उन्हें कम करने के लिए नियमित गोपनीयता प्रभाव आकलन किए जाते हैं।
-
डेटा न्यूनतमकरण: व्यक्तिगत डेटा का संग्रहण और प्रसंस्करण निर्दिष्ट उद्देश्यों के लिए जितना आवश्यक हो, उतने तक सीमित रखा जाता है, और जहाँ उपयुक्त हो वहाँ डेटा अनामीकरण तथा छद्मनामकरण तकनीकों का उपयोग किया जाता है।
-
निरंतर निगरानी और सुधार: Anysphere अपनी डेटा गोपनीयता और सुरक्षा नीतियों की लगातार निगरानी करता है, और हमारे उपयोगकर्ताओं के डेटा के लिए उच्चतम स्तर की सुरक्षा सुनिश्चित करने हेतु आवश्यकता अनुसार सुधार और अपडेट लागू करता है। हम अपने क्लाइंट्स का विश्वास और भरोसा बनाए रखने के लिए उद्योग की सर्वोत्तम प्रथाओं और बदलती कानूनी आवश्यकताओं के अनुरूप अग्रणी बने रहने का प्रयास करते हैं।
इन उपायों को कार्यान्वित करके, Anysphere डेटा गोपनीयता और सुरक्षा के उच्च मानकों को बनाए रखने के लिए प्रतिबद्ध है, जिससे हमारे उपयोगकर्ता सेवा का लाभ उठा सकें।