डॉक्युसाइन सप्लिमेंटल डेटा प्रोसेसिंग परिशिष्ट

डॉक्युसाइन सप्लिमेंटल डेटा प्रोसेसिंग परिशिष्ट

सामग्री लपवा
1 हा DPA कसा अंमलात आणायचा
2 हा DPA कसा लागू होतो
3 शेड्यूल 1 वर्तमान सब-प्रोसेसर सूची
4 शेड्यूल 2 वैयक्तिक डेटा प्रक्रियेसाठी लागू SaaS सेवा
5 शेड्यूल 3 प्रक्रियेचा तपशील
6 शेड्यूल 4 स्वतःची सुरक्षा नियंत्रणे 3.3
7 अनुसूची 5 युरोपियन तरतुदी
8 कागदपत्रे / संसाधने
8.1 संदर्भ
9 संबंधित पोस्ट

हा DPA कसा अंमलात आणायचा

  1. या पूरक DPA मध्ये दोन भाग असतात: पूरक DPA चा मुख्य भाग आणि अनुसूची 1, 2, 3, 4 आणि 5.
  2. हा पूरक DPA स्वतःच्या वतीने पूर्व-स्वाक्षरी केलेला आहे.
  3. हा पूरक DPA पूर्ण करण्यासाठी, ग्राहकाने हे करणे आवश्यक आहे:
    a. ग्राहकाचे नाव आणि ग्राहक पत्ता विभाग पूर्ण करा.
    b. स्वाक्षरी बॉक्समध्ये माहिती पूर्ण करा आणि सही करा.
    c. शेड्यूल 3 ("प्रक्रियेचे तपशील") वरील माहिती प्रक्रिया करावयाच्या डेटाचे विषय आणि श्रेणी अचूकपणे प्रतिबिंबित करते याची पडताळणी करा.
    d. पूर्ण केलेले आणि स्वाक्षरी केलेले पूरक DPA मालकाकडे पाठवा privacy@owndata.com.

या ईमेल पत्त्यावर वैधपणे पूर्ण केलेला पूरक DPA स्वतःच्या प्राप्तीनंतर, हा पूरक DPA कायदेशीररित्या बंधनकारक होईल.

पृष्ठ 3 वरील या पुरवणी डीपीएची स्वाक्षरी मानक करारातील कलमे (त्यांच्या परिशिष्टांसह) आणि यूके परिशिष्ट यांची स्वाक्षरी आणि स्वीकृती आहे असे मानले जाईल, दोन्ही येथे संदर्भाद्वारे समाविष्ट केले आहेत.

हा DPA कसा लागू होतो

या पुरवणी डीपीएवर स्वाक्षरी करणारी ग्राहक संस्था कराराचा पक्ष असल्यास, हा पूरक डीपीए कराराचा किंवा विद्यमान डीपीएचा एक परिशिष्ट आहे आणि त्याचा भाग बनतो. अशा परिस्थितीत, कराराचा पक्ष असलेला किंवा विद्यमान DPA ही स्वतःची संस्था या DPA ची पक्षकार आहे.

जर या पुरवणी डीपीएवर स्वाक्षरी करणाऱ्या ग्राहक घटकाने करारनामा किंवा विद्यमान डीपीएच्या अनुषंगाने स्वत:च्या किंवा त्याच्या संलग्न कंपनीसोबत ऑर्डर फॉर्म अंमलात आणला असेल, परंतु तो स्वतः कराराचा किंवा विद्यमान डीपीएचा पक्ष नसेल, तर हा पूरक डीपीए त्या ऑर्डर फॉर्मचा परिशिष्ट आहे आणि लागू नूतनीकरण ऑर्डर फॉर्म आणि अशा ऑर्डर फॉर्मचा पक्षकार असलेली स्वतःची संस्था या पुरवणी डीपीएचा पक्ष आहे.

या पुरवणी डीपीएवर स्वाक्षरी करणारी ग्राहक संस्था ऑर्डर फॉर्मचा किंवा कराराचा किंवा विद्यमान डीपीएचा पक्षकार नसल्यास, हा पूरक डीपीए वैध नाही आणि कायदेशीररित्या बंधनकारक नाही. अशा घटकाने विनंती करावी की ग्राहक संस्था जो कराराचा पक्ष आहे किंवा विद्यमान डीपीए आहे त्यांनी हा पूरक डीपीए कार्यान्वित करावा.

जर पुरवणी DPA वर स्वाक्षरी करणारी ग्राहक संस्था ऑर्डर फॉर्म किंवा मास्टर सबस्क्रिप्शन कराराचा पक्ष नसेल किंवा विद्यमान DPA थेट स्वत:च्या सोबत नसेल, परंतु त्याऐवजी स्वतःच्या सेवांच्या अधिकृत पुनर्विक्रेत्याद्वारे अप्रत्यक्षपणे ग्राहक असेल, तर हा पूरक DPA वैध नाही आणि आहे. कायदेशीर बंधनकारक नाही. अशा घटकाने अधिकृत पुनर्विक्रेत्याशी संपर्क साधून त्या पुनर्विक्रेत्याशी केलेल्या करारामध्ये सुधारणा आवश्यक आहे की नाही यावर चर्चा करावी.

या पुरवणी डीपीए आणि ग्राहक आणि स्वतःच्या (मर्यादेशिवाय, करार किंवा विद्यमान डीपीएसह) यांच्यातील इतर कोणत्याही करारामध्ये कोणताही विरोध किंवा विसंगती असल्यास, या पूरक डीपीएच्या अटी नियंत्रित आणि प्रचलित असतील.

हे पूरक डेटा प्रोसेसिंग परिशिष्ट, त्याची वेळापत्रके आणि परिशिष्टांसह, (“पूरक DPA”) OwnBackup Inc. (“स्वतःचे”) आणि ग्राहक यांच्यात वर ओळखल्या गेलेल्या (“विद्यमान DPA”) विद्यमान डेटा प्रोसेसिंग परिशिष्टाचा भाग आहे. हा पूरक DPA आणि विद्यमान DPA एकत्रितपणे वैयक्तिक डेटाच्या प्रक्रियेबाबत पक्षांच्या कराराचे दस्तऐवजीकरण करण्यासाठी संपूर्ण डेटा प्रोसेसिंग करार (“DPA”) तयार करेल. जर अशा ग्राहक संस्था आणि मालकाने करार केला नसेल, तर हा DPA निरर्थक आहे आणि कोणताही कायदेशीर परिणाम होणार नाही.

वर नाव दिलेली ग्राहक संस्था स्वतःसाठी या पुरवणी DPA मध्ये प्रवेश करते आणि, जर तिचे कोणतेही सहयोगी वैयक्तिक डेटाचे नियंत्रक म्हणून काम करत असतील तर, त्या अधिकृत संलग्नांच्या वतीने. येथे परिभाषित न केलेल्या सर्व कॅपिटल अटींचा करारामध्ये नमूद केलेला अर्थ असेल.

कराराअंतर्गत ग्राहकाला SaaS सेवा प्रदान करताना, स्वत: ग्राहकाच्या वतीने वैयक्तिक डेटावर प्रक्रिया करू शकते. पक्ष अशा प्रक्रियेच्या संदर्भात खालील पूरक अटींशी सहमत आहेत.

  1. व्याख्या
    "सीसीपीए" म्हणजे कॅलिफोर्निया ग्राहक गोपनीयता कायदा, Cal. सिव्ही. कोड § 1798.100 इ. seq., कॅलिफोर्निया प्रायव्हसी राइट्स ऍक्ट ऑफ 2020 द्वारे सुधारित केल्यानुसार आणि कोणत्याही अंमलबजावणी नियमांसह.
    "नियंत्रक" वैयक्तिक डेटाच्या प्रक्रियेची उद्दिष्टे आणि माध्यमे निर्धारित करणारी संस्था आणि CCPA मध्ये परिभाषित केल्यानुसार "व्यवसाय" म्हणून देखील संदर्भित असल्याचे मानले जाते.
    "ग्राहक" म्हणजे वर नाव दिलेली संस्था आणि त्याची संलग्न संस्था.
    "डेटा संरक्षण कायदे आणि नियम" म्हणजे युरोपियन युनियन आणि त्याचे सर्व कायदे आणि नियम
    सदस्य राष्ट्रे, युरोपियन इकॉनॉमिक एरिया आणि त्याची सदस्य राज्ये, युनायटेड किंगडम, स्वित्झर्लंड, युनायटेड स्टेट्स, कॅनडा, न्यूझीलंड आणि ऑस्ट्रेलिया आणि त्यांचे संबंधित राजकीय उपविभाग, वैयक्तिक डेटाच्या प्रक्रियेस लागू. यामध्ये खालील गोष्टींचा समावेश आहे, परंतु त्यापुरते मर्यादित नाही, लागू होण्याच्या मर्यादेपर्यंत: GDPR, UK डेटा संरक्षण कायदा, CCPA, व्हर्जिनिया ग्राहक डेटा संरक्षण कायदा (“VCDPA”), कोलोरॅडो गोपनीयता कायदा आणि संबंधित नियम (“CPA” "), Utah Consumer Privacy Act ("UCPA"), आणि वैयक्तिक डेटा गोपनीयता आणि ऑनलाइन मॉनिटरिंग ("CPDPA") संबंधित कनेक्टिकट कायदा.
    "डेटा विषय" म्हणजे ओळखली जाणारी किंवा ओळखण्यायोग्य व्यक्ती ज्यांच्याशी वैयक्तिक डेटा संबंधित आहे आणि त्यात समाविष्ट आहे "ग्राहक" डेटा संरक्षण कायदे आणि नियमांमध्ये परिभाषित केल्याप्रमाणे. "युरोप" म्हणजे युरोपियन युनियन, युरोपियन इकॉनॉमिक एरिया, स्वित्झर्लंड आणि युनायटेड किंगडम. युरोपमधून वैयक्तिक डेटाच्या हस्तांतरणासाठी लागू होणाऱ्या अतिरिक्त तरतुदी अनुसूची 5 मध्ये आहेत. अनुसूची 5 काढून टाकल्यास, ग्राहक हमी देतो की तो युरोपच्या डेटा संरक्षण कायदे आणि नियमांच्या अधीन असलेल्या वैयक्तिक डेटावर प्रक्रिया करणार नाही.
    "GDPR" म्हणजे वैयक्तिक डेटाच्या प्रक्रियेशी संबंधित नैसर्गिक व्यक्तींच्या संरक्षणावर आणि अशा डेटाच्या मुक्त हालचालींबद्दल आणि निर्देश 2016/679 रद्द करण्याबाबत युरोपियन संसदेचे आणि 27 एप्रिल 2016 च्या परिषदेचे नियमन (EU) 95/46 /EC (सामान्य डेटा संरक्षण नियमन).
    "स्वतःचा गट" म्हणजे वैयक्तिक डेटाच्या प्रक्रियेत गुंतलेली स्वतःची आणि त्याच्या संलग्न संस्था.
    "वैयक्तिक डेटा" याचा अर्थ (i) ओळखल्या जाणाऱ्या किंवा ओळखण्यायोग्य नैसर्गिक व्यक्ती आणि (ii) ओळखल्या जाणाऱ्या किंवा ओळखण्यायोग्य कायदेशीर अस्तित्वाशी संबंधित कोणतीही माहिती (जेथे अशी माहिती वैयक्तिक डेटा, वैयक्तिक माहिती किंवा लागू डेटा संरक्षण कायदे आणि नियमांनुसार वैयक्तिकरित्या ओळखण्यायोग्य माहिती सारखीच संरक्षित आहे. ), जेथे प्रत्येक (i) किंवा (ii) साठी, असा डेटा ग्राहक डेटा असतो.
    "वैयक्तिक डेटा प्रक्रिया सेवा" म्हणजे शेड्यूल 2 मध्ये सूचीबद्ध केलेल्या SaaS सेवा, ज्यासाठी Own वैयक्तिक डेटावर प्रक्रिया करू शकते.
    "प्रक्रिया करत आहे" संकलन, रेकॉर्डिंग, संस्था, संरचना, स्टोरेज, अनुकूलन किंवा बदल, पुनर्प्राप्ती, सल्लामसलत, वापर, प्रसार, प्रसार किंवा अन्यथा प्रकटीकरण यासारख्या स्वयंचलित मार्गांनी वैयक्तिक डेटावर केले जाणारे कोणतेही ऑपरेशन किंवा ऑपरेशन्सचा संच. उपलब्ध करणे, संरेखन किंवा संयोजन, निर्बंध, मिटवणे किंवा नष्ट करणे.
    “प्रोसेसर” म्हणजे CCPA द्वारे परिभाषित केलेल्या संज्ञानुसार लागू असलेल्या कोणत्याही “सेवा प्रदात्या”सह, नियंत्रकाच्या वतीने वैयक्तिक डेटावर प्रक्रिया करणारी संस्था.
    "मानक करारातील कलमे" म्हणजे युरोपियन कमिशनच्या अंमलबजावणीच्या निर्णयाशी संलग्नक
    (EU) 2021/914 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj) 4 जून 2021 च्या मानक कराराच्या कलमांवर तृतीय देशांमध्ये स्थापित केलेल्या प्रोसेसरला वैयक्तिक डेटा हस्तांतरित करण्यासाठी युरोपियन संसद आणि युरोपियन युनियन परिषदेच्या नियमन (EU) 2016/679 नुसार आणि युनायटेडसाठी आवश्यक सुधारणांच्या अधीन किंगडम आणि स्वित्झर्लंडचे पुढील अनुसूची 5 मध्ये वर्णन केले आहे.
    “सब-प्रोसेसर” म्हणजे स्वतःच्या, स्वतःच्या गटाच्या सदस्याद्वारे किंवा दुसऱ्या सब-प्रोसेसरद्वारे गुंतलेला कोणताही प्रोसेसर.
    "पर्यवेक्षी प्राधिकरण" म्हणजे सरकारी किंवा सरकारी चार्टर्ड नियामक संस्था ज्यात ग्राहकावर बंधनकारक कायदेशीर अधिकार आहे.
    "यूके परिशिष्ट" म्हणजे युनायटेड किंगडम इंटरनॅशनल डेटा ट्रान्सफर ॲडेंडम टू ईयू कमिशन स्टँडर्ड कॉन्ट्रॅक्टुअल क्लॉज (२१ मार्च २०२२ रोजी उपलब्ध https://ico.org.uk/for-organisations/guideto-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transferagreement-and-guidance/), अनुसूची 5 मध्ये वर्णन केल्याप्रमाणे पूर्ण केले.
    "यूके डेटा संरक्षण कायदा" म्हणजे वैयक्तिक डेटाच्या प्रक्रियेच्या संदर्भात नैसर्गिक व्यक्तींच्या संरक्षणावर आणि इंग्लंड आणि वेल्स, स्कॉटलंड आणि नॉर्दर्नच्या कायद्याचा भाग असलेल्या अशा डेटाच्या मुक्त हालचालींबाबत युरोपियन संसदेचे आणि परिषदेचे नियमन 2016/679. युनायटेड किंगडमच्या डेटा संरक्षण कायदे आणि नियमांद्वारे वेळोवेळी सुधारित केल्याप्रमाणे युरोपियन युनियन (विथड्रॉल) कायदा 3 च्या कलम 2018 नुसार आयर्लंड.
  2. प्राधान्य क्रम
    a. या पुरवणी DPA आणि विद्यमान DPA मधील कोणत्याही विसंगतीच्या बाबतीत, येथे समाविष्ट केलेल्या मानक कराराच्या कलमांचा अपवाद वगळता, ज्याला प्राधान्य दिले जाईल, विद्यमान DPA च्या अटी प्रचलित असतील.
  3. दायित्वाची मर्यादा
    a. डेटा संरक्षण कायदे आणि नियमांद्वारे परवानगी दिलेल्या मर्यादेपर्यंत, प्रत्येक पक्षाचे आणि त्याच्या सर्व संलग्नांचे दायित्व, एकत्रितपणे घेतलेले, या पुरवणी DPA मधून उद्भवलेले किंवा संबंधित, मग ते करारात असो, टोर्ट किंवा दायित्वाच्या इतर कोणत्याही सिद्धांताअंतर्गत, "दायित्व मर्यादा" कलमांच्या अधीन आहे, आणि करारातील दायित्व वगळणारी किंवा मर्यादित करणारी अशी इतर कलमे आणि पक्षाच्या दायित्वासाठी अशा कलमांमधील कोणताही संदर्भ म्हणजे त्या पक्षाची आणि त्याच्या सर्व संलग्न संस्थांची एकत्रित जबाबदारी.
  4. ट्रान्सफर मेकॅनिझममध्ये बदल
    a. डेटा संरक्षण कायदे आणि नियमांच्या अर्थामध्ये डेटा संरक्षणाची पुरेशी पातळी सुनिश्चित न करणार्‍या एक किंवा अधिक देशांमध्ये वैयक्तिक डेटा हस्तांतरित करण्याच्या सुविधेसाठी पक्षांद्वारे वर्तमान हस्तांतरण यंत्रणा अवैध ठरल्यास, सुधारित केली जाते. , किंवा बदललेले पक्ष कराराद्वारे विचारात घेतलेल्या वैयक्तिक डेटाची सतत प्रक्रिया चालू ठेवण्यासाठी अशी पर्यायी हस्तांतरण यंत्रणा कार्यान्वित करण्यासाठी सद्भावनेने कार्य करतील. अशा पर्यायी हस्तांतरण यंत्रणेचा वापर प्रत्येक पक्षाच्या अशा हस्तांतरण यंत्रणेच्या वापरासाठी सर्व कायदेशीर आवश्यकतांच्या पूर्ततेच्या अधीन असेल.

पक्षांच्या अधिकृत स्वाक्षरींनी या कराराची रीतसर अंमलबजावणी केली आहे, ज्यामध्ये सर्व लागू वेळापत्रके, परिशिष्टे आणि परिशिष्ट समाविष्ट आहेत.

स्वाक्षरी

वेळापत्रकांची यादी

अनुसूची 1: सध्याची सब-प्रोसेसर यादी
अनुसूची 2: वैयक्तिक डेटा प्रक्रियेसाठी लागू SaaS सेवा
अनुसूची 3: प्रक्रियेचा तपशील
अनुसूची 4: स्वतःची सुरक्षा नियंत्रणे
अनुसूची 5: युरोपियन तरतुदी

शेड्यूल 1 वर्तमान सब-प्रोसेसर सूची

सब-प्रोसेसरचे नाव सब-प्रोसेसर पत्ता प्रक्रियेचे स्वरूप प्रक्रियेचा कालावधी प्रक्रियेचे स्थान
OwnBackup लिमिटेड 3 Aluf Kalman Magen StZ, तेल अवीव 6107075, इस्रायल ग्राहक समर्थन आणि देखभाल कराराच्या मुदतीसाठी. इस्रायल
ऍमेझॉन Web सेवा, Inc.* ४१० टेरी अव्हेन्यू नॉर्थ, सिएटल, वॉशिंग्टन ९८१०९, यूएसए ऍप्लिकेशन होस्टिंग आणि डेटा स्टोरेज कराराच्या मुदतीसाठी. युनायटेड स्टेट्स, कॅनडा, जर्मनी, युनायटेड किंगडम किंवा ऑस्ट्रेलिया
मायक्रोसॉफ्ट कॉर्पोरेशन (Azure)* वन मायक्रोसॉफ्ट वे, रेडमंड, वॉशिंग्टन 98052, यूएसए ऍप्लिकेशन होस्टिंग आणि डेटा स्टोरेज कराराच्या मुदतीसाठी. नेदरलँड किंवा युनायटेड स्टेट्स
Elasticsearch, Inc.** 800 वेस्ट एल कॅमिनो रिअल, सुट 350, माउंटन View, कॅलिफोर्निया 94040, यूएसए अनुक्रमणिका आणि शोध कराराच्या मुदतीसाठी. नेदरलँड किंवा युनायटेड स्टेट्स

* ग्राहक Amazon पैकी एक निवडू शकतात. Web सेवा किंवा Microsoft (Azure) आणि ग्राहकाच्या SaaS सेवांच्या प्रारंभिक सेटअप दरम्यान प्रक्रियेचे इच्छित स्थान.
** केवळ संग्रहित ग्राहकांना लागू होते जे Microsoft (Azure) क्लाउडमध्ये उपयोजित करणे निवडतात.

शेड्यूल 2 वैयक्तिक डेटा प्रक्रियेसाठी लागू SaaS सेवा

  • सेवेसाठी आता पुनर्प्राप्त करा
  • डायनॅमिक्ससाठी पुनर्प्राप्त करा
  • Salesforce साठी पुनर्प्राप्त करा
  • सेल्सफोर्ससाठी गव्हर्नन्स प्लस
  • संग्रहण
  • आपले स्वतःचे की व्यवस्थापन आणा
  • वेग वाढवा

शेड्यूल 3 प्रक्रियेचा तपशील

डेटा निर्यातक

पूर्ण कायदेशीर नाव: वर नमूद केल्याप्रमाणे ग्राहकाचे नाव
मुख्य पत्ता: वर नमूद केल्याप्रमाणे ग्राहकाचा पत्ता
संपर्क: अन्यथा प्रदान न केल्यास हा ग्राहक खात्यावरील प्राथमिक संपर्क असेल.
संपर्क ईमेल: अन्यथा प्रदान न केल्यास हा ग्राहक खात्यावरील प्राथमिक संपर्क ईमेल पत्ता असेल.

डेटा आयातक 

पूर्ण कायदेशीर नाव: OwnBackup Inc.
मुख्य पत्ता: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, USA
संपर्क: गोपनीयता अधिकारी
संपर्क ईमेल: privacy@owndata.com

प्रक्रियेचे स्वरूप आणि उद्देश

करार आणि आदेशांनुसार SaaS सेवा पार पाडण्यासाठी आणि SaaS सेवांचा वापर करताना ग्राहकाने दिलेल्या सूचनांनुसार आवश्यकतेनुसार वैयक्तिक डेटावर स्वतः प्रक्रिया करेल.

प्रक्रियेचा कालावधी

अन्यथा लेखी सहमती नसल्यास, कराराच्या कालावधीसाठी वैयक्तिक डेटावर स्वतः प्रक्रिया करेल.

धारणा

दस्तऐवजात निर्दिष्ट केलेल्या कमाल प्रतिधारण कालावधीच्या अधीन, अन्यथा लेखी सहमती नसल्यास, कराराच्या कालावधीसाठी स्वतःचा वैयक्तिक डेटा SaaS सेवांमध्ये ठेवेल.

हस्तांतरणाची वारंवारता

SaaS सेवांच्या वापराद्वारे ग्राहकाने निर्धारित केल्याप्रमाणे.

सब-प्रोसेसरकडे हस्तांतरण 

करार आणि आदेशांनुसार SaaS सेवा करणे आवश्यक आहे आणि अनुसूची 1 मध्ये पुढे वर्णन केल्याप्रमाणे.

डेटा विषयांच्या श्रेणी

ग्राहक वैयक्तिक डेटा SaaS सेवांना सबमिट करू शकतो, ज्याची मर्यादा ग्राहकाद्वारे त्याच्या विवेकबुद्धीनुसार निर्धारित आणि नियंत्रित केली जाते आणि ज्यामध्ये डेटा विषयांच्या खालील श्रेणींशी संबंधित वैयक्तिक डेटाचा समावेश असू शकतो परंतु त्यापुरता मर्यादित नाही:

  • ग्राहकांचे संभाव्य, ग्राहक, व्यावसायिक भागीदार आणि विक्रेते (जे नैसर्गिक व्यक्ती आहेत)
  • कर्मचारी किंवा ग्राहकाच्या संभाव्य, ग्राहक, व्यवसाय भागीदार आणि विक्रेत्यांचे संपर्क व्यक्ती
  • ग्राहकाचे कर्मचारी, एजंट, सल्लागार, फ्रीलांसर (जे नैसर्गिक व्यक्ती आहेत) ग्राहकाचे वापरकर्ते SaaS सेवा वापरण्यासाठी ग्राहकाने अधिकृत केलेले

वैयक्तिक डेटाचा प्रकार

ग्राहक वैयक्तिक डेटा SaaS सेवांना सबमिट करू शकतो, ज्याची मर्यादा ग्राहकाद्वारे त्याच्या विवेकबुद्धीनुसार निर्धारित आणि नियंत्रित केली जाते आणि ज्यामध्ये वैयक्तिक डेटाच्या खालील श्रेणींचा समावेश असू शकतो परंतु त्यापुरता मर्यादित नाही:

  • नाव आणि आडनाव
  • शीर्षक
  • स्थिती
  • नियोक्ता
  • संपर्क माहिती (कंपनी, ईमेल, फोन, भौतिक व्यवसाय पत्ता)
  • आयडी डेटा
  • व्यावसायिक जीवन डेटा
  • वैयक्तिक जीवन डेटा
  • स्थानिकीकरण डेटा

डेटाच्या विशेष श्रेणी (योग्य असल्यास)

ग्राहक वैयक्तिक डेटाच्या विशेष श्रेणी SaaS सेवांना सबमिट करू शकतो, ज्याची मर्यादा ग्राहकाद्वारे त्याच्या विवेकबुद्धीनुसार निर्धारित आणि नियंत्रित केली जाते आणि ज्यामध्ये स्पष्टतेसाठी अनुवांशिक डेटाची प्रक्रिया, बायोमेट्रिक डेटा अनन्य हेतूने समाविष्ट असू शकतो. नैसर्गिक व्यक्ती किंवा आरोग्याशी संबंधित डेटा ओळखणे. Own डेटा आणि इतर वैयक्तिक डेटाच्या विशेष श्रेणींचे संरक्षण कसे करते यासाठी अनुसूची 4 मधील उपाय पहा.

शेड्यूल 4 स्वतःची सुरक्षा नियंत्रणे 3.3

  1. परिचय
    1. स्वतःचे सॉफ्टवेअर-एज-ए-सर्व्हिस ऍप्लिकेशन्स (सास सर्व्हिसेस) सुरुवातीपासूनच सुरक्षितता लक्षात घेऊन डिझाइन केले गेले होते. SaaS सेवा विविध प्रकारच्या सुरक्षा जोखमींना संबोधित करण्यासाठी अनेक स्तरांवर विविध सुरक्षा नियंत्रणांसह वास्तुबद्ध केल्या आहेत. ही सुरक्षा नियंत्रणे बदलू शकतात; तथापि, कोणतेही बदल संपूर्ण सुरक्षा स्थिती राखतील किंवा सुधारतील.
    2. खालील नियंत्रणांचे वर्णन दोन्ही Amazon वरील SaaS सेवा अंमलबजावणीवर लागू होते Web खालील एन्क्रिप्शन विभागात नमूद केल्याशिवाय सेवा (AWS) आणि Microsoft Azure (Azure) प्लॅटफॉर्म (एकत्र आमचे क्लाउड सेवा प्रदाते किंवा CSPs म्हणून संदर्भित). खालील “सुरक्षित सॉफ्टवेअर डेव्हलपमेंट” अंतर्गत प्रदान केल्याशिवाय नियंत्रणांचे हे वर्णन RevCult सॉफ्टवेअरला लागू होत नाही.
  2. ऑडिट आणि प्रमाणपत्रे
    1. SaaS सेवा ISO/IEC 27001:2013 (माहिती सुरक्षा व्यवस्थापन प्रणाली) आणि ISO/IEC 27701:2019 (गोपनीयता माहिती व्यवस्थापन प्रणाली) अंतर्गत प्रमाणित आहेत.
    2. खालील ट्रस्ट सेवा निकषांसाठी माहिती सुरक्षा पद्धती, धोरणे, कार्यपद्धती आणि ऑपरेशन्सची प्रभावीता स्वतंत्रपणे सत्यापित करण्यासाठी स्वत:चे SSAE-2 अंतर्गत वार्षिक SOC18 प्रकार II ऑडिट केले जाते: सुरक्षा, उपलब्धता, गोपनीयता आणि प्रक्रिया अखंडता.
    3. Own त्याच्या संगणकीय आणि SaaS सेवांसाठी स्टोरेजसाठी जागतिक CSP क्षेत्रांचा वापर करते. AWS आणि Azure हे SOC1 – SSAE-18, SOC2, SOC3, ISO 27001 आणि HIPAA सह अनेक मान्यता असलेल्या उच्च-स्तरीय सुविधा आहेत.
  3. Web अनुप्रयोग सुरक्षा नियंत्रणे
    1. SaaS सेवांमध्ये ग्राहक प्रवेश केवळ HTTPS (TLS1.2+) द्वारे आहे, अंतिम-वापरकर्ता आणि अनुप्रयोग दरम्यान आणि स्वतःचा आणि तृतीय-पक्ष डेटा स्रोत (उदा., Salesforce) दरम्यान संक्रमणामध्ये डेटाचे एन्क्रिप्शन स्थापित करते.
    2. ग्राहकाचे SaaS सेवा प्रशासक आवश्यकतेनुसार SaaS सेवा वापरकर्ते आणि संबंधित प्रवेशाची तरतूद आणि तरतूद रद्द करू शकतात.
    3. ग्राहकांना मल्टी-ऑर्ग परवानग्या व्यवस्थापित करण्यास सक्षम करण्यासाठी SaaS सेवा भूमिका-आधारित प्रवेश नियंत्रणे प्रदान करतात.
    4. ग्राहकाचे SaaS सेवा प्रशासक वापरकर्तानाव, क्रिया, टाइमस्ट यासह ऑडिट ट्रेल्समध्ये प्रवेश करू शकतातamp, आणि स्त्रोत IP पत्ता फील्ड. ऑडिट नोंदी असू शकतात viewग्राहकाच्या SaaS सेवा प्रशासकाद्वारे ed आणि निर्यात केलेले SaaS सेवा तसेच SaaS सेवा API द्वारे लॉग इन केले.
    5. स्त्रोत IP पत्त्याद्वारे SaaS सेवांमध्ये प्रवेश प्रतिबंधित केला जाऊ शकतो.
    6. SaaS सेवा ग्राहकांना वेळ-आधारित वन-टाइम पासवर्डचा वापर करून SaaS सेवा खात्यांमध्ये प्रवेश करण्यासाठी बहु-घटक प्रमाणीकरण सक्षम करण्याची परवानगी देतात.
    7. SaaS सेवा ग्राहकांना SAML 2.0 ओळख प्रदात्यांद्वारे सिंगल साइन-ऑन सक्षम करण्याची परवानगी देतात.
    8. SaaS सेवा ग्राहकांना कॉर्पोरेट धोरणांमध्ये SaaS सेवा पासवर्ड संरेखित करण्यात मदत करण्यासाठी सानुकूल करण्यायोग्य पासवर्ड धोरणे सक्षम करण्याची परवानगी देतात.
  4. एनक्रिप्शन
    1. बाकीच्या वेळी डेटा एन्क्रिप्शनसाठी Own खालील SaaS सेवा पर्याय ऑफर करते:
      1. मानक अर्पण.
        • डेटा AES-256 सर्व्हर-साइड एन्क्रिप्शन वापरून FIPS 140-2 अंतर्गत प्रमाणित केलेल्या की व्यवस्थापन प्रणालीद्वारे एनक्रिप्ट केला जातो.
        • लिफाफा एन्क्रिप्शनचा वापर अशा प्रकारे केला जातो की मास्टर की कधीही हार्डवेअर सुरक्षा मॉड्यूल (HSM) सोडत नाही.
        • एनक्रिप्शन की प्रत्येक दोन वर्षांनी फिरवल्या जातात.
      2. Advanced Key Management (AKM) पर्याय.
        • ग्राहक-प्रदान केलेल्या मास्टर एन्क्रिप्शन की (CMK) सह समर्पित ऑब्जेक्ट स्टोरेज कंटेनरमध्ये डेटा एन्क्रिप्ट केला जातो.
        • AKM भविष्यातील कीचे संग्रहण करण्यास आणि दुसर्‍या मास्टर एनक्रिप्शन कीसह फिरविण्यास परवानगी देते.
        • ग्राहक मास्टर एनक्रिप्शन की रद्द करू शकतो, परिणामी डेटाची तात्काळ प्रवेशयोग्यता होऊ शकते.
      3. तुमची स्वतःची की व्यवस्थापन प्रणाली (KMS) पर्याय आणा (केवळ AWS वर उपलब्ध).
        • AWS KMS चा वापर करून ग्राहकाच्या स्वतःच्या, स्वतंत्रपणे खरेदी केलेल्या खात्यामध्ये कूटबद्धीकरण की तयार केल्या जातात.
        • ग्राहक एन्क्रिप्शन की धोरण परिभाषित करतो जे ग्राहकाच्या AWS वरील SaaS सेवा खात्याला ग्राहकाच्या स्वतःच्या AWS KMS वरून की ऍक्सेस करण्याची परवानगी देते.
        • Own द्वारे व्यवस्थापित केलेल्या समर्पित ऑब्जेक्ट स्टोरेज कंटेनरमध्ये डेटा एन्क्रिप्ट केला जातो आणि ग्राहकाची एन्क्रिप्शन की वापरण्यासाठी कॉन्फिगर केला जातो.
        • ओनशी संवाद न साधता, एन्क्रिप्शन कीचा स्वतःचा ॲक्सेस रद्द करून ग्राहक एनक्रिप्टेड डेटाचा ॲक्सेस त्वरित रद्द करू शकतो.
        • स्वत:च्या कर्मचाऱ्यांना कधीही एन्क्रिप्शन कीमध्ये प्रवेश नाही आणि ते थेट KMS मध्ये प्रवेश करत नाहीत.
        • समर्पित ऑब्जेक्ट स्टोरेजद्वारे की पुनर्प्राप्तीसह सर्व मुख्य वापर क्रियाकलाप ग्राहकाच्या KMS मध्ये लॉग इन केले जातात.
      4. SaaS सेवा आणि तृतीय-पक्ष डेटा स्रोत (उदा., Salesforce) दरम्यान संक्रमणामध्ये एन्क्रिप्शन TLS 1.2+ आणि OAuth 2.0 सह HTTPS वापरते.
  5. नेटवर्क
    1. नेटवर्क प्रवेश आणि बाहेर पडणे प्रतिबंधित करण्यासाठी SaaS सेवा CSP नेटवर्क नियंत्रणे वापरतात.
    2. नेटवर्क प्रवेश मर्यादित करण्यासाठी आणि अधिकृत अंत्यबिंदूंपर्यंत बाहेर पडण्यासाठी स्टेटफुल सुरक्षा गट नियुक्त केले जातात.
    3. SaaS सेवा बहु-स्तरीय नेटवर्क आर्किटेक्चर वापरतात, ज्यामध्ये एकाधिक, तार्किकदृष्ट्या विभक्त Amazon Virtual Private Clouds (VPCs) किंवा Azure Virtual Networks (VNets), खाजगी, DMZs आणि CSP पायाभूत सुविधांमध्ये अविश्वासू झोन यांचा समावेश आहे.
    4. AWS मध्ये, VPC S3 एंडपॉईंट निर्बंध प्रत्येक प्रदेशात फक्त अधिकृत VPCs कडून प्रवेशाची परवानगी देण्यासाठी वापरले जातात.
  6. देखरेख आणि लेखापरीक्षण
    1. SaaS सेवा प्रणाली आणि नेटवर्कचे सुरक्षा घटना, सिस्टम आरोग्य, नेटवर्क असामान्यता आणि उपलब्धतेसाठी परीक्षण केले जाते.
    2. SaaS सेवा नेटवर्क क्रियाकलापांचे निरीक्षण करण्यासाठी आणि संशयास्पद वर्तनाबद्दल सावध करण्यासाठी एक घुसखोरी शोध प्रणाली (IDS) वापरते.
    3. SaaS सेवा वापरतात web सर्व लोकांसाठी अनुप्रयोग फायरवॉल (WAFs). web सेवा
    4. स्थानिक सिस्लॉग सर्व्हर आणि प्रदेश विशिष्ट SIEM वर स्वतःचे लॉग ऍप्लिकेशन, नेटवर्क, वापरकर्ता आणि ऑपरेटिंग सिस्टम इव्हेंट. या नोंदी आपोआप विश्लेषित केल्या जातात आणि पुन्हाviewसंशयास्पद क्रियाकलाप आणि धमक्यांसाठी एड. कोणत्याही विसंगती योग्य म्हणून वाढवल्या जातात.
    5. SaaS सर्व्हिसेसचे नेटवर्क आणि सुरक्षा वातावरण, वापरकर्ता विसंगती चेतावणी, आदेश आणि नियंत्रण (C&C) हल्ला टोपण, स्वयंचलित धमकी शोधणे आणि तडजोड (IOC) च्या संकेतकांचे सतत सुरक्षा विश्लेषण प्रदान करणारे सुरक्षा माहिती आणि इव्हेंट व्यवस्थापन (SIEM) सिस्टम स्वतः वापरते. ). या सर्व क्षमता स्वतःच्या सुरक्षा आणि ऑपरेशन कर्मचाऱ्यांद्वारे प्रशासित केल्या जातात.
    6. स्वतःची घटना प्रतिसाद टीम निरीक्षण करते security@owndata.com उर्फ आणि जेव्हा योग्य असेल तेव्हा कंपनीच्या इन्सिडेंट रिस्पॉन्स प्लॅन (IRP) नुसार प्रतिसाद देते.
  7. खात्यांमधील अलगाव
    1. प्रक्रियेदरम्यान ग्राहक खात्यांचा डेटा वेगळा करण्यासाठी SaaS सेवा लिनक्स सँडबॉक्सिंग वापरतात. हे कोणत्याही विसंगतीची खात्री करण्यास मदत करते (उदाample, सुरक्षा समस्या किंवा सॉफ्टवेअर बगमुळे) एका स्वतःच्या खात्यापुरते मर्यादित राहते.
    2. भाडेकरू डेटा प्रवेश डेटासह अद्वितीय IAM वापरकर्त्यांद्वारे नियंत्रित केला जातो tagging जे अनधिकृत वापरकर्त्यांना भाडेकरू डेटामध्ये प्रवेश करण्यास अनुमती देते.
  8. आपत्ती पुनर्प्राप्ती
    1. एकाधिक उपलब्धता-झोनमध्ये एनक्रिप्टेड ग्राहक डेटा संचयित करण्यासाठी स्वतःचे CSP ऑब्जेक्ट स्टोरेज वापरते.
    2. ऑब्जेक्ट स्टोरेजवर साठवलेल्या ग्राहक डेटासाठी, Own स्वत:च्या आपत्ती पुनर्प्राप्ती आणि बॅकअप धोरणांचे पालन करण्यास समर्थन देण्यासाठी स्वयंचलित वृद्धत्वासह ऑब्जेक्ट आवृत्ती वापरते. या ऑब्जेक्ट्ससाठी, Own's सिस्टम 0 तासांच्या रिकव्हरी पॉइंट ऑब्जेक्टिव्ह (RPO) चे समर्थन करण्यासाठी डिझाइन केलेले आहेत (म्हणजे, कोणत्याही ऑब्जेक्टच्या आधीच्या 14-दिवसांच्या कालावधीत अस्तित्वात असलेल्या कोणत्याही आवृत्तीवर पुनर्संचयित करण्याची क्षमता).
    3. स्वत:च्या कॉन्फिगरेशन मॅनेजमेंट ऑटोमेशनवर आधारित उदाहरणाची पुनर्बांधणी करून गणना उदाहरणाची कोणतीही आवश्यक पुनर्प्राप्ती पूर्ण केली जाते.
    4. स्वतःची आपत्ती पुनर्प्राप्ती योजना 4-तास पुनर्प्राप्ती वेळेच्या उद्दिष्टाला (RTO) समर्थन देण्यासाठी डिझाइन केलेली आहे.
  9. भेद्यता व्यवस्थापन
    1. स्वतःचे नियतकालिक करतात web अनुप्रयोग सुरक्षा नियंत्रणे योग्यरित्या लागू आणि प्रभावीपणे कार्य करत आहेत याची खात्री करण्यासाठी त्याच्या सतत देखरेख कार्यक्रमाचा एक भाग म्हणून ऍप्लिकेशन भेद्यता मूल्यांकन, स्थिर कोड विश्लेषण आणि बाह्य डायनॅमिक मूल्यांकन.
    2. अर्ध-वार्षिक आधारावर, स्वतःचे नेटवर्क आणि दोन्ही कार्य करण्यासाठी स्वतंत्र तृतीय-पक्ष पेनिट्रेशन टेस्टर्स नियुक्त करतात web असुरक्षा मूल्यांकन. या बाह्य ऑडिटच्या व्याप्तीमध्ये ओपन विरुद्ध अनुपालन समाविष्ट आहे Web ऍप्लिकेशन सिक्युरिटी प्रोजेक्ट (OWASP) टॉप 10 Web असुरक्षा (www.owasp.org).
    3. ओळखल्या गेलेल्या भेद्यता दूर करण्यासाठी असुरक्षितता मूल्यांकन परिणाम स्वतःच्या सॉफ्टवेअर डेव्हलपमेंट लाइफसायकल (SDLC) मध्ये समाविष्ट केले जातात. ठराविक असुरक्षा प्राधान्याने ठरवल्या जातात आणि रिझोल्यूशनद्वारे ट्रॅक करण्यासाठी स्वतःच्या अंतर्गत तिकीट प्रणालीमध्ये प्रवेश केला जातो.
  10. घटना प्रतिसाद
    1. संभाव्य सुरक्षेचे उल्लंघन झाल्यास, स्वतःची घटना प्रतिसाद टीम परिस्थितीचे मूल्यांकन करेल आणि योग्य शमन धोरण विकसित करेल. संभाव्य उल्लंघनाची पुष्टी झाल्यास, Own ताबडतोब उल्लंघन कमी करण्यासाठी आणि फॉरेन्सिक पुरावे जतन करण्यासाठी कार्य करेल आणि प्रभावित ग्राहकांच्या संपर्काच्या प्राथमिक बिंदूंना त्यांना परिस्थितीबद्दल माहिती देण्यासाठी आणि रिझोल्यूशन स्थिती अद्यतने प्रदान करण्यासाठी अनावश्यक विलंब न करता सूचित करेल.
  11. सुरक्षित सॉफ्टवेअर विकास
    1. Own संपूर्ण सॉफ्टवेअर डेव्हलपमेंट लाइफ सायकलमध्ये Own आणि RevCult सॉफ्टवेअर ॲप्लिकेशन्ससाठी सुरक्षित विकास पद्धती वापरते. या पद्धतींमध्ये स्टॅटिक कोड ॲनालिसिस, सेल्सफोर्स सिक्युरिटी रीview RevCult अनुप्रयोगांसाठी आणि ग्राहकांच्या सेल्सफोर्स उदाहरणांमध्ये स्थापित केलेल्या स्वतःच्या अनुप्रयोगांसाठी, पीअर रीview कोड बदल, किमान विशेषाधिकाराच्या तत्त्वावर आधारित स्त्रोत कोड रेपॉजिटरी प्रवेश प्रतिबंधित करणे आणि स्त्रोत कोड रेपॉजिटरी प्रवेश आणि बदल लॉग करणे.
  12. समर्पित सुरक्षा टीम
    1. Own कडे 100 वर्षांहून अधिक एकत्रित बहुआयामी माहिती सुरक्षा अनुभव असलेली एक समर्पित सुरक्षा टीम आहे. याव्यतिरिक्त, टीम सदस्य अनेक उद्योग-मान्यता प्रमाणपत्रे राखतात, ज्यात CISM, CISSP आणि ISO 27001 लीड ऑडिटर्सचा समावेश आहे परंतु त्यांच्यापुरता मर्यादित नाही.
  13. गोपनीयता आणि डेटा संरक्षण
    1. Own डेटा विषय प्रवेश विनंत्यांना मूळ समर्थन प्रदान करते, जसे की मिटवण्याचा अधिकार (विसरण्याचा अधिकार) आणि अनामिकरण, डेटा गोपनीयता नियमांचे पालन करण्यास समर्थन देण्यासाठी, सामान्य डेटा संरक्षण नियमन (GDPR), आरोग्य विमा पोर्टेबिलिटी आणि उत्तरदायित्व कायदा. (HIPAA), आणि कॅलिफोर्निया ग्राहक गोपनीयता कायदा (CCPA). Own आंतरराष्ट्रीय डेटा हस्तांतरणासाठी कायदेशीर आवश्यकतांसह गोपनीयता आणि डेटा संरक्षण कायदे संबोधित करण्यासाठी डेटा प्रोसेसिंग परिशिष्ट देखील प्रदान करते.
  14. पार्श्वभूमी तपासणी
    1. स्वत: चे कर्मचारी पार्श्वभूमी तपासण्याचे पॅनेल करते, ज्यात गुन्हेगारी पार्श्वभूमी तपासण्यांचा समावेश आहे, ज्यांना ग्राहकांच्या डेटामध्ये प्रवेश असू शकतो, लागू कायद्याच्या अधीन असलेल्या कर्मचाऱ्यांच्या निवासस्थानाच्या अधिकारक्षेत्रावर आधारित.
  15. विमा
    स्वतःचे, किमान, खालील विमा संरक्षण राखते: (अ) सर्व लागू कायद्यानुसार कामगारांचा भरपाई विमा; (b) मालकीच्या नसलेल्या आणि भाड्याने घेतलेल्या वाहनांसाठी ऑटोमोबाईल दायित्व विमा, $1,000,000 च्या एकत्रित मर्यादेसह; (c) व्यावसायिक सामान्य उत्तरदायित्व (सार्वजनिक दायित्व) विमा प्रति घटना $1,000,000 च्या सिंगल मर्यादा कव्हरेजसह आणि $2,000,000 सामान्य एकूण कव्हरेज; (d) चुका आणि चुकणे (व्यावसायिक नुकसानभरपाई) विमा $20,000,000 प्रति इव्हेंट आणि $20,000,000 एकूण $5,000,000 च्या मर्यादेसह, प्राथमिक आणि अतिरिक्त स्तरांसह, आणि सायबर दायित्व, तंत्रज्ञान आणि व्यावसायिक सेवा, तंत्रज्ञान उत्पादने, डेटा आणि नेटवर्क सुरक्षा, उल्लंघन प्रतिसाद, नियामक संरक्षण आणि दंड, सायबर खंडणी आणि डेटा पुनर्प्राप्ती दायित्वे; आणि (ई) $XNUMX च्या कव्हरेजसह कर्मचारी अप्रामाणिकता/गुन्हा विमा. विनंती केल्यावर स्वत: ग्राहकाला अशा विम्याचा पुरावा देईल.

अनुसूची 5 युरोपियन तरतुदी

हे शेड्यूल केवळ युरोपमधून वैयक्तिक डेटाच्या (पुढील हस्तांतरणासह) हस्तांतरणास लागू होईल जे या तरतुदींचा वापर न केल्यास, ग्राहक किंवा स्वत: ला लागू डेटा संरक्षण कायदे आणि नियमांचे उल्लंघन करण्यास कारणीभूत ठरेल.

  1. डेटा ट्रान्सफरसाठी हस्तांतरण यंत्रणा.
    a) मानक कराराची कलमे या पुरवणी DPA अंतर्गत वैयक्तिक डेटाच्या कोणत्याही हस्तांतरणास युरोपमधून अशा देशांना लागू होतात जे अशा प्रदेशांच्या डेटा संरक्षण कायदे आणि नियमांच्या अंतर्गत डेटा संरक्षणाची पुरेशी पातळी सुनिश्चित करत नाहीत, ज्या मर्यादेपर्यंत अशा हस्तांतरणाच्या अधीन आहेत. अशा डेटा संरक्षण कायदे आणि नियमांना. डेटा आयातकर्ता म्हणून मानक कराराच्या कलमांमध्ये स्वतःचा प्रवेश होतो. या शेड्यूलमधील अतिरिक्त अटी अशा डेटा ट्रान्सफरसाठी देखील लागू होतात.
  2. मानक कराराच्या कलमांच्या अधीन राहून बदल्या.
    a) मानक कराराच्या कलमांद्वारे कव्हर केलेले ग्राहक. मानक करारातील कलमे आणि या अनुसूचीमध्ये निर्दिष्ट केलेल्या अतिरिक्त अटी (i) ग्राहकांना लागू होतात, ज्या प्रमाणात ग्राहक युरोपचे डेटा संरक्षण कायदे आणि नियमांच्या अधीन आहे आणि (ii) त्याच्या अधिकृत संलग्न. मानक कराराच्या कलम आणि या अनुसूचीच्या उद्देशाने, अशा संस्था "डेटा निर्यातदार" आहेत.
    b) मॉड्यूल्स. पक्ष सहमत आहेत की जेथे मानक कराराच्या कलमांमध्ये पर्यायी मॉड्यूल लागू केले जाऊ शकतात, फक्त "मॉड्यूल टू: प्रोसेसरवर कंट्रोलर ट्रान्सफर" असे लेबल केलेले लागू केले जातील.
    c) सूचना. पक्ष मान्य करतात की, करारानुसार आणि विद्यमान DPA नुसार ग्राहकाच्या वैयक्तिक डेटा प्रक्रिया सेवांचा वापर हा मानक कराराच्या कलम 8.1 च्या उद्देशांसाठी वैयक्तिक डेटावर प्रक्रिया करण्याच्या ग्राहकाने दिलेल्या सूचना मानल्या जातात.
    d) नवीन सब-प्रोसेसरची नियुक्ती आणि सध्याच्या सब-प्रोसेसरची यादी. मानक कराराच्या क्लॉज 2(अ) च्या पर्याय 9 च्या अनुषंगाने, ग्राहक सहमत आहे की विद्यमान DPA मध्ये वर्णन केल्यानुसार स्वत:चे नवीन सब प्रोसेसर गुंतवू शकतात आणि स्वत:चे संबद्ध उप-प्रोसेसर म्हणून राखले जाऊ शकतात आणि स्वतःचे आणि स्वतःचे संबद्ध संलग्न करू शकतात डेटा प्रोसेसिंग सेवांच्या तरतुदीशी संबंधित तृतीय-पक्ष उप-प्रोसेसर. सब-प्रोसेसरची वर्तमान सूची अनुसूची 1 प्रमाणे संलग्न आहे.
    e) सब-प्रोसेसर करार. पक्ष सहमत आहेत की सब-प्रोसेसरला डेटा ट्रान्सफर करणे हे मानक कराराच्या कलमांव्यतिरिक्त हस्तांतरण यंत्रणेवर अवलंबून असू शकते (उदा.ample, बंधनकारक कॉर्पोरेट नियम), आणि अशा उप-प्रोसेसर्ससह स्वत:चे करार मानक कराराच्या कलम 9(b) च्या विरुद्ध काहीही असले तरीही, मानक कराराच्या कलमांचा समावेश करू शकत नाहीत किंवा मिरर करू शकत नाहीत. तथापि, सब-प्रोसेसरसह अशा कोणत्याही करारामध्ये अशा सब-प्रोसेसरद्वारे प्रदान केलेल्या सेवांना लागू असलेल्या मर्यादेपर्यंत, ग्राहक डेटाच्या संरक्षणासंबंधी या पुरवणी DPA मधील डेटा संरक्षण दायित्वे कमी संरक्षणात्मक नसतील. सब-प्रोसेसर कराराच्या प्रती ज्या ग्राहकाने मानक कराराच्या क्लॉज 9(c) नुसार ग्राहकाला प्रदान केल्या पाहिजेत त्या केवळ ग्राहकाच्या लेखी विनंतीनुसार स्वत: द्वारे प्रदान केल्या जातील आणि त्यामध्ये सर्व व्यावसायिक माहिती असू शकते किंवा संबंधित कलमे असू शकतात. मानक कराराची कलमे किंवा त्यांचे समतुल्य, स्वतःच्या द्वारे आधीच काढले.
    f) ऑडिट आणि प्रमाणपत्रे. पक्ष मान्य करतात की मानक कराराच्या कलम 8.9 आणि कलम 13(b) मध्ये वर्णन केलेले ऑडिट विद्यमान DPA च्या अटींनुसार केले जातील.
    g) डेटा पुसून टाकणे. पक्ष मान्य करतात की मानक कराराच्या क्लॉज 8.5 किंवा क्लॉज 16(d) द्वारे विचार केलेला डेटा पुसून टाकणे किंवा परत करणे विद्यमान डीपीएच्या अटींनुसार केले जाईल आणि हटविण्याचे कोणतेही प्रमाणन केवळ ग्राहकाच्या मालकाद्वारे प्रदान केले जाईल. विनंती
    h) तृतीय-पक्ष लाभार्थी. पक्ष सहमत आहेत की SaaS सेवांच्या स्वरूपाच्या आधारावर, ग्राहक मानक कराराच्या कलम 3 च्या क्लॉज XNUMX अंतर्गत डेटा विषयांवरील त्याच्या जबाबदाऱ्या पूर्ण करण्यास परवानगी देण्यासाठी आवश्यक सर्व सहाय्य प्रदान करेल.
    i) प्रभाव मूल्यांकन. मानक कराराच्या कलम 14 नुसार पक्षांनी हस्तांतरणाच्या विशिष्ट परिस्थितीच्या संदर्भात, गंतव्य देशाचे कायदे आणि पद्धती, तसेच विशिष्ट पूरक करार, संस्थात्मक आणि तांत्रिक संदर्भात विश्लेषण केले आहे. लागू होणार्‍या सुरक्षा उपायांनी, आणि, त्या वेळी त्यांना वाजवीपणे ज्ञात असलेल्या माहितीच्या आधारे, निर्धारित केले आहे की गंतव्य देशाचे कायदे आणि पद्धती पक्षांना मानक कराराच्या कलमांतर्गत प्रत्येक पक्षाच्या जबाबदाऱ्या पूर्ण करण्यापासून प्रतिबंधित करत नाहीत.
    j) नियमन कायदा आणि मंच. OPTION 2 ते क्लॉज 17 च्या संदर्भात पक्ष सहमत आहेत की, EU सदस्य राज्य ज्यामध्ये डेटा निर्यातक स्थापित केला गेला आहे तो तृतीय-पक्ष लाभार्थी अधिकारांना परवानगी देत ​​​​नाही, मानक करारातील कलमे कायद्याद्वारे शासित होतील. आयर्लंड. क्लॉज 18 नुसार, मानक कराराच्या कलमांशी संबंधित विवाद करारामध्ये निर्दिष्ट केलेल्या न्यायालयांद्वारे सोडवले जातील, जोपर्यंत असे न्यायालय EU सदस्य राज्यामध्ये स्थित नाही, अशा परिस्थितीत अशा विवादांचे मंच आयर्लंडचे न्यायालय असेल. .
    k) परिशिष्ट. मानक कराराच्या कलमांच्या अंमलबजावणीच्या उद्देशाने, अनुसूची 3: प्रक्रियेचे तपशील ANNEX IA आणि IB, अनुसूची 4 म्हणून समाविष्ट केले जातील: स्वतःची सुरक्षा नियंत्रणे (जे वेळोवेळी अद्यतनित केले जाऊ शकतात. https://www.owndata.com/trust/) परिशिष्ट II, आणि अनुसूची 1 म्हणून समाविष्ट केले जाईल: वर्तमान सब प्रोसेसर सूची (वेळोवेळी अद्यतनित केली जाऊ शकते.  https://www.owndata.com/legal/sub-p/) परिशिष्ट III म्हणून समाविष्ट केले जाईल.
    l) व्याख्या. या अनुसूचीच्या अटी स्पष्ट करण्याच्या हेतूने आहेत आणि मानक कराराच्या कलमांमध्ये सुधारणा करू नयेत. या अनुसूचीच्या मुख्य भागामध्ये आणि मानक कराराच्या कलमांमध्ये कोणताही संघर्ष किंवा विसंगती असल्यास, मानक करार कलम प्रचलित असतील.
  3. तरतुदी स्वित्झर्लंडमधून हस्तांतरणासाठी लागू पक्ष सहमत आहेत की स्वित्झर्लंडमधून वैयक्तिक डेटाचे हस्तांतरण सुलभ करण्यासाठी मानक कराराच्या कलमांच्या लागू होण्याच्या उद्देशाने खालील अतिरिक्त तरतुदी लागू होतील: (i) नियमन (EU) 2016/679 चे कोणतेही संदर्भ संबंधित तरतुदींचा संदर्भ देण्यासाठी अर्थ लावले जातील डेटा संरक्षणावरील स्विस फेडरल कायदा आणि स्वित्झर्लंडचे इतर डेटा संरक्षण कायदे (“स्विस डेटा संरक्षण कायदे”), (ii) “सदस्य राज्य” किंवा “EU सदस्य राज्य” किंवा “EU” चे कोणतेही संदर्भ स्वित्झर्लंडच्या संदर्भासाठी अर्थ लावले जातील , आणि (iii) पर्यवेक्षी प्राधिकरणाचे कोणतेही संदर्भ, स्विस फेडरल डेटा संरक्षण आणि माहिती आयुक्तांकडे संदर्भित करण्यासाठी अर्थ लावले जातील.
  4. a) तक्ता 1: पक्ष, त्यांचे तपशील आणि त्यांचे संपर्क हे अनुसूची 3 मध्ये नमूद केलेले आहेत.
    b) तक्ता 2: “मंजूर EU मानक करार कलमे” हे या अनुसूची 5 मध्ये नमूद केल्याप्रमाणे मानक कराराचे कलम असतील.
    c) तक्ता 3: या अनुसूची 2 च्या कलम 5(k) मध्ये नमूद केल्यानुसार परिशिष्ट I(A), I(B), आणि II पूर्ण केले आहेत.
    d) तक्ता 4: UK परिशिष्टाच्या कलम 19 मध्ये वर्णन केलेल्या वैकल्पिक लवकर संपुष्टात येण्याचा अधिकार स्वतःचा वापर करू शकतो.

डॉक्युसाइन सप्लिमेंटल डेटा प्रोसेसिंग परिशिष्ट

कागदपत्रे / संसाधने

डॉक्युसाइन सप्लिमेंटल डेटा प्रोसेसिंग परिशिष्ट [pdf] सूचना
पूरक डेटा प्रक्रिया परिशिष्ट, डेटा प्रक्रिया परिशिष्ट, प्रक्रिया परिशिष्ट, परिशिष्ट

संदर्भ

संबंधित पोस्ट

एक टिप्पणी द्या

तुमचा ईमेल पत्ता प्रकाशित केला जाणार नाही. आवश्यक फील्ड चिन्हांकित आहेत *