ডেটা প্রসেসিং চুক্তি

সর্বশেষ আপডেট: ২৩ মে, ২০২৬

এই ডেটা প্রসেসিং চুক্তি ("DPA") Monoid ("প্রসেসর") এবং Monoid-এর অ্যানালিটিক্স পরিষেবা ব্যবহারকারী ওয়েবসাইট মালিক ("কন্ট্রোলার") এর মধ্যে প্রবেশ করা হয়েছে। এটি ব্যবহারের শর্তাবলীর অংশ গঠন করে এবং কন্ট্রোলারের পক্ষ থেকে Monoid দ্বারা পরিচালিত ব্যক্তিগত ডেটার প্রক্রিয়াকরণ পরিচালনা করে।

১. সংজ্ঞা

"Personal Data", "Controller", "Processor", "Data Subject", "Processing" এবং "Supervisory Authority" এর অর্থ EU General Data Protection Regulation (GDPR) 2016/679-এ প্রদত্ত। "Sub-Processor" মানে এই DPA-এর অধীনে Personal Data প্রক্রিয়া করতে Processor দ্বারা নিযুক্ত যেকোনো তৃতীয় পক্ষ।

২. বিষয়বস্তু এবং প্রক্রিয়াকরণের প্রকৃতি

Processor গোপনীয়তা-প্রথম ওয়েব অ্যানালিটিক্স প্রদান করে। প্রক্রিয়াকরণে অন্তর্ভুক্ত: Controller-এর ওয়েবসাইট দর্শকদের কাছ থেকে অজ্ঞাত পেজভিউ সংকেত গ্রহণ, একটি দৈনিক-ঘূর্ণায়মান SHA-256 দর্শক হ্যাশ গণনা (IP + User-Agent + সার্ভার-সাইড সল্ট + তারিখ), সমষ্টিগত অ্যানালিটিক্স ডেটা সংরক্ষণ (পেজ পথ, রেফারার হোস্টনেম, দেশের কোড, ডিভাইসের ধরন, ব্রাউজার ফ্যামিলি, দৈনিক দর্শক গণনা), এবং Controller-এর ড্যাশবোর্ডে সমষ্টিগত পরিসংখ্যান উপলব্ধ করা। কাঁচা IP ঠিকানা এবং User-Agent স্ট্রিং শুধুমাত্র মেমরিতে হ্যাশ গণনা করতে ব্যবহৃত হয় এবং কখনই সংরক্ষিত হয় না।

৩. সময়কাল

এই DPA যতদিন Controller একটি Monoid অ্যাকাউন্ট বজায় রাখে ততদিন কার্যকর। এটি অ্যাকাউন্ট মুছে ফেলার সাথে স্বয়ংক্রিয়ভাবে সমাপ্ত হয়।

৪. Processor বাধ্যবাধকতা (Art. 28(3) GDPR)

Processor করবে:

  • শুধুমাত্র Controller-এর নথিভুক্ত নির্দেশাবলী অনুসারে Personal Data প্রক্রিয়া করুন, যেখানে প্রযোজ্য আইন দ্বারা এটি করা প্রয়োজন তা ব্যতীত।
  • Personal Data প্রক্রিয়া করার জন্য অনুমোদিত ব্যক্তিরা গোপনীয়তার প্রতি প্রতিশ্রুতিবদ্ধ বা গোপনীয়তার একটি উপযুক্ত আইনি বাধ্যবাধকতার অধীনে রয়েছেন তা নিশ্চিত করুন।
  • উপযুক্ত প্রযুক্তিগত এবং সাংগঠনিক ব্যবস্থা বাস্তবায়ন করুন (Art. 32 GDPR) — HTTPS-শুধু প্রেরণ, PBKDF2-SHA256 পাসওয়ার্ড হ্যাশিং, httpOnly সেশন কুকি, Zod অনুরোধ যাচাইকরণ এবং সমস্ত সংবেদনশীল এন্ডপয়েন্টে রেট-লিমিটিং সহ।
  • Controller-এর পূর্ব লিখিত অনুমোদন ছাড়া একটি Sub-Processor নিযুক্ত করবেন না (অনুমোদন এই Terms এবং DPA গ্রহণ করে দেওয়া হয়; Section 6-এ তালিকাভুক্ত Sub-Processor-গুলি এতদ্বারা প্রাক-অনুমোদিত)।
  • /privacy-এ নথিভুক্ত অ্যাকাউন্ট-স্তরের সরঞ্জাম প্রদান করে এবং যেখানে প্রযুক্তিগতভাবে অসম্ভব, ৩০ দিনের মধ্যে ইমেইলকৃত অনুরোধের প্রতিক্রিয়া জানিয়ে ডেটা বিষয়ের অনুরোধ পূরণে Controller-কে সহায়তা করুন (অ্যাক্সেস, মুছে ফেলা, পোর্টেবিলিটি, আপত্তি)।
  • সম্মতি প্রদর্শনের জন্য প্রয়োজনীয় তথ্য প্রদান, ডেটা সুরক্ষা প্রভাব মূল্যায়ন সমর্থন এবং তত্ত্বাবধান কর্তৃপক্ষের সাথে সহযোগিতা সহ Art. 32–36 GDPR-এর অধীনে এর বাধ্যবাধকতার সাথে Controller-কে সহায়তা করুন।
  • পরিষেবার শেষে Controller-এর কাছে সমস্ত Personal Data মুছে ফেলুন বা ফেরত দিন এবং প্রযোজ্য আইন দ্বারা স্টোরেজ প্রয়োজন না হলে বিদ্যমান কপি মুছুন। অ্যাকাউন্ট মুছে ফেলা সমস্ত অ্যানালিটিক্স ডেটার তাৎক্ষণিক ক্যাসকেড অপসারণ ট্রিগার করে।
  • এই DPA-এর সাথে সম্মতি প্রদর্শন করতে এবং Controller বা Controller দ্বারা নিযুক্ত একজন অডিটর দ্বারা পরিচালিত অডিট এবং পরিদর্শনে অনুমতি দিতে এবং অবদান রাখতে প্রয়োজনীয় সমস্ত তথ্য উপলব্ধ করুন।

৫. Controller বাধ্যবাধকতা

Controller করবে: (ক) নিশ্চিত করুন যে Personal Data প্রক্রিয়া করার জন্য Processor-কে নির্দেশ দেওয়ার একটি বৈধ ভিত্তি রয়েছে; (খ) নিশ্চিত করুন যে ট্র্যাকার স্ক্রিপ্ট শুধুমাত্র Controller-এর মালিকানাধীন বা নিয়ন্ত্রিত ওয়েবসাইটগুলিতে ডিপ্লয় করা হয়; (গ) এর নিজস্ব গোপনীয়তা নীতিতে অ্যানালিটিক্স পরিষেবার যথাযথ প্রকাশ অন্তর্ভুক্ত করুন; এবং (ঘ) প্রক্রিয়াকরণ নির্দেশাবলীর যেকোনো পরিবর্তন সম্পর্কে Processor-কে তাৎক্ষণিকভাবে অবহিত করুন।

৬. Sub-processor

Controller নিম্নলিখিত Sub-Processor-গুলিকে অনুমোদিত করে:

  • Cloudflare, Inc. (US) — এজ কম্পিউট এবং D1 ডাটাবেস অবকাঠামো। স্থানান্তর প্রক্রিয়া: EU Standard Contractual Clauses (SCCs), EU–US Data Privacy Framework, Swiss–US DPF, UK IDTA। DPA: cloudflare.com/trust-hub/gdpr/
  • Resend, Inc. (US) — লেনদেনমূলক ইমেইল ডেলিভারি। স্থানান্তর প্রক্রিয়া: EU SCCs। DPA: resend.com/legal/dpa
  • Stripe, Inc. (US) — পেমেন্ট প্রক্রিয়াকরণ (শুধুমাত্র Controller-এর বিলিং; কোনো দর্শক অ্যানালিটিক্স ডেটা Stripe-এর সাথে শেয়ার করা হয় না)। স্থানান্তর প্রক্রিয়া: EU SCCs, EU–US DPF, UK IDTA। DPA: stripe.com/legal/dpa

Processor Sub-Processor-গুলির যেকোনো অভিপ্রেত পরিবর্তনের কমপক্ষে ৩০ দিন আগে লিখিত নোটিশ (নিবন্ধিত অ্যাকাউন্ট ইমেইলের মাধ্যমে) প্রদান করবে, Controller-কে আপত্তি করার সুযোগ দেবে।

৭. আন্তর্জাতিক স্থানান্তর

Personal Data Section 6-এ তালিকাভুক্ত Sub-Processor-গুলির মাধ্যমে মার্কিন যুক্তরাষ্ট্রে স্থানান্তরিত হতে পারে। প্রতিটি স্থানান্তর উপরে নির্দেশিত একটি উপযুক্ত নিরাপত্তা (EU SCCs, EU–US Data Privacy Framework, Swiss–US DPF, বা UK IDTA) দ্বারা আচ্ছাদিত। কোনো অন্য তৃতীয়-দেশ স্থানান্তর ঘটে না।

৮. নিরাপত্তা এবং লঙ্ঘন বিজ্ঞপ্তি

Processor এই DPA-এর অধীনে প্রক্রিয়াকৃত ডেটাকে প্রভাবিত করে এমন একটি Personal Data লঙ্ঘন সম্পর্কে সচেতন হওয়ার পরে অযথা বিলম্ব ছাড়াই এবং যেকোনো ক্ষেত্রে ২৪ ঘণ্টার মধ্যে Controller-কে অবহিত করবে। বিজ্ঞপ্তি Controller-এর নিবন্ধিত অ্যাকাউন্ট ইমেইলে করা হবে এবং অন্তর্ভুক্ত থাকবে: লঙ্ঘনের প্রকৃতি, ডেটা বিষয় এবং প্রভাবিত রেকর্ডের বিভাগ এবং আনুমানিক সংখ্যা, সম্ভাব্য পরিণতি এবং গৃহীত বা প্রস্তাবিত ব্যবস্থা।

৯. অডিট অধিকার

Controller প্রতি ক্যালেন্ডার বছরে একবার Processor-এর নিরাপত্তা ব্যবস্থার একটি লিখিত সারাংশ অনুরোধ করতে পারে। যেখানে একটি নিয়ন্ত্রক প্রয়োজনীয়তা একটি অন-সাইট অডিট বাধ্যতামূলক করে, পক্ষগুলি আগে থেকে সময়, পরিধি এবং গোপনীয়তা বাধ্যবাধকতার উপর সম্মত হবে।

১০. শাসক আইন

এই DPA ব্রাজিলের আইন দ্বারা পরিচালিত হয়, ব্যতীত যেখানে বাধ্যতামূলক EU, UK বা সুইস ডেটা সুরক্ষা আইন Controller-কে অতিরিক্ত অধিকার দেয় যা পরিত্যাগ করা যায় না।

১১. যোগাযোগ

এই DPA সম্পর্কে প্রশ্ন: monoid@monoid.website