डेटा प्रोसेसिंग एग्रीमेंट

अंतिम बार अपडेट किया गया: 23 मई, 2026

यह डेटा प्रोसेसिंग एग्रीमेंट ("DPA") Monoid ("प्रोसेसर") और Monoid की एनालिटिक्स सेवा का उपयोग करने वाले वेबसाइट मालिक ("नियंत्रक") के बीच दर्ज किया गया है। यह उपयोग की शर्तों का हिस्सा बनता है और नियंत्रक की ओर से Monoid द्वारा किए गए व्यक्तिगत डेटा के प्रसंस्करण को नियंत्रित करता है।

1. परिभाषाएँ

"व्यक्तिगत डेटा", "नियंत्रक", "प्रोसेसर", "डेटा विषय", "प्रसंस्करण", और "पर्यवेक्षी प्राधिकरण" के अर्थ EU General Data Protection Regulation (GDPR) 2016/679 में दिए गए हैं। "उप-प्रोसेसर" का अर्थ इस DPA के तहत व्यक्तिगत डेटा संसाधित करने के लिए प्रोसेसर द्वारा संलग्न कोई भी तृतीय पक्ष है।

2. विषय और प्रसंस्करण की प्रकृति

प्रोसेसर गोपनीयता-प्रथम वेब एनालिटिक्स प्रदान करता है। प्रसंस्करण में शामिल हैं: नियंत्रक की वेबसाइट विज़िटर्स से अनाम पेजव्यू संकेत प्राप्त करना, एक दैनिक-घूर्णन SHA-256 विज़िटर हैश (IP + User-Agent + सर्वर-साइड साल्ट + दिनांक) की गणना करना, एकत्रित एनालिटिक्स डेटा (पृष्ठ पथ, रेफरर होस्टनाम, देश कोड, डिवाइस प्रकार, ब्राउज़र परिवार, दैनिक विज़िटर गणना) संग्रहीत करना, और नियंत्रक के डैशबोर्ड में एकत्रित आँकड़े उपलब्ध कराना। कच्चे IP पते और User-Agent स्ट्रिंग्स का उपयोग केवल हैश की गणना के लिए मेमोरी में किया जाता है और कभी संग्रहीत नहीं किए जाते।

3. अवधि

यह DPA तब तक प्रभावी है जब तक नियंत्रक एक Monoid खाता बनाए रखता है। यह खाता हटाने पर स्वचालित रूप से समाप्त हो जाता है।

4. प्रोसेसर दायित्व (Art. 28(3) GDPR)

प्रोसेसर निम्नलिखित करेगा:

  • व्यक्तिगत डेटा केवल नियंत्रक के दस्तावेजी निर्देशों पर संसाधित करें, सिवाय इसके जहाँ लागू कानून द्वारा ऐसा करने की आवश्यकता हो।
  • सुनिश्चित करें कि व्यक्तिगत डेटा संसाधित करने के लिए अधिकृत व्यक्तियों ने स्वयं को गोपनीयता के लिए प्रतिबद्ध किया है या गोपनीयता के उचित वैधानिक दायित्व के तहत हैं।
  • उचित तकनीकी और संगठनात्मक उपाय (Art. 32 GDPR) लागू करें — जिसमें HTTPS-केवल प्रेषण, PBKDF2-SHA256 पासवर्ड हैशिंग, httpOnly सत्र कुकीज़, Zod अनुरोध सत्यापन, और सभी संवेदनशील एंडपॉइंट पर रेट-लिमिटिंग शामिल हैं।
  • नियंत्रक के पूर्व लिखित प्राधिकरण के बिना एक उप-प्रोसेसर को संलग्न न करें (प्राधिकरण इन शर्तों और DPA की स्वीकृति द्वारा दिया गया है; धारा 6 में सूचीबद्ध उप-प्रोसेसर एतद्द्वारा पूर्व-अधिकृत हैं)।
  • /privacy पर दस्तावेजित खाता-स्तरीय टूल प्रदान करके और, जहाँ तकनीकी रूप से असंभव हो, 30 दिनों के भीतर ईमेल किए गए अनुरोधों का जवाब देकर डेटा विषय अनुरोधों (पहुँच, मिटाना, पोर्टेबिलिटी, आपत्ति) को पूरा करने में नियंत्रक की सहायता करें।
  • अनुपालन प्रदर्शित करने के लिए आवश्यक जानकारी प्रदान करने, डेटा संरक्षण प्रभाव आकलन का समर्थन करने, और पर्यवेक्षी प्राधिकरणों के साथ सहयोग करने सहित Art. 32–36 GDPR के तहत अपने दायित्वों में नियंत्रक की सहायता करें।
  • सेवा के अंत में नियंत्रक को सभी व्यक्तिगत डेटा हटाएँ या वापस करें, और मौजूदा प्रतियाँ हटाएँ जब तक कि भंडारण की लागू कानून द्वारा आवश्यकता न हो। खाता हटाने से सभी एनालिटिक्स डेटा का तत्काल कैस्केड निष्कासन होता है।
  • इस DPA के अनुपालन को प्रदर्शित करने के लिए आवश्यक सभी जानकारी उपलब्ध कराएँ और नियंत्रक या नियंत्रक द्वारा अनिवार्य ऑडिटर द्वारा किए गए ऑडिट और निरीक्षण की अनुमति दें और उनमें योगदान दें।

5. नियंत्रक के दायित्व

नियंत्रक करेगा: (a) यह सुनिश्चित करना कि उसके पास व्यक्तिगत डेटा संसाधित करने के लिए प्रोसेसर को निर्देश देने का कानूनी आधार है; (b) यह सुनिश्चित करना कि ट्रैकर स्क्रिप्ट केवल नियंत्रक के स्वामित्व या नियंत्रित वेबसाइटों पर परिनियोजित है; (c) अपनी स्वयं की गोपनीयता नीति में एनालिटिक्स सेवा का उचित प्रकटीकरण शामिल करना; और (d) प्रसंस्करण निर्देशों में किसी भी परिवर्तन के बारे में प्रोसेसर को तुरंत सूचित करना।

6. उप-प्रोसेसर

नियंत्रक निम्नलिखित उप-प्रोसेसर को अधिकृत करता है:

  • Cloudflare, Inc. (US) — एज कंप्यूट और D1 डेटाबेस इंफ्रास्ट्रक्चर। स्थानांतरण तंत्र: EU Standard Contractual Clauses (SCCs), EU–US Data Privacy Framework, Swiss–US DPF, UK IDTA। DPA: cloudflare.com/trust-hub/gdpr/
  • Resend, Inc. (US) — ट्रांज़ैक्शनल ईमेल डिलीवरी। स्थानांतरण तंत्र: EU SCCs। DPA: resend.com/legal/dpa
  • Stripe, Inc. (US) — भुगतान प्रसंस्करण (केवल नियंत्रक की बिलिंग; कोई विज़िटर एनालिटिक्स डेटा Stripe के साथ साझा नहीं किया जाता)। स्थानांतरण तंत्र: EU SCCs, EU–US DPF, UK IDTA। DPA: stripe.com/legal/dpa

प्रोसेसर उप-प्रोसेसर में किसी भी इच्छित परिवर्तन की कम से कम 30 दिन पहले लिखित सूचना (पंजीकृत खाता ईमेल के माध्यम से) प्रदान करेगा, जिससे नियंत्रक को आपत्ति करने का अवसर मिलेगा।

7. अंतरराष्ट्रीय स्थानांतरण

व्यक्तिगत डेटा को धारा 6 में सूचीबद्ध उप-प्रोसेसर के माध्यम से संयुक्त राज्य अमेरिका में स्थानांतरित किया जा सकता है। प्रत्येक स्थानांतरण ऊपर बताए गए अनुसार एक उचित सुरक्षा उपाय (EU SCCs, EU–US Data Privacy Framework, Swiss–US DPF, या UK IDTA) द्वारा कवर किया गया है। कोई अन्य तीसरे देश के स्थानांतरण नहीं होते।

8. सुरक्षा और उल्लंघन अधिसूचना

प्रोसेसर इस DPA के तहत संसाधित डेटा को प्रभावित करने वाले व्यक्तिगत डेटा उल्लंघन से अवगत होने के बाद बिना किसी अनुचित देरी के, और किसी भी मामले में 24 घंटों के भीतर नियंत्रक को सूचित करेगा। अधिसूचना नियंत्रक के पंजीकृत खाता ईमेल पर की जाएगी और इसमें शामिल होगा: उल्लंघन की प्रकृति, प्रभावित डेटा विषयों और रिकॉर्ड की श्रेणियाँ और अनुमानित संख्या, संभावित परिणाम, और उठाए गए या प्रस्तावित उपाय।

9. ऑडिट अधिकार

नियंत्रक प्रति कैलेंडर वर्ष एक बार प्रोसेसर के सुरक्षा उपायों के लिखित सारांश का अनुरोध कर सकता है। जहाँ एक नियामक आवश्यकता ऑन-साइट ऑडिट को अनिवार्य करती है, पक्ष पहले से समय, दायरे और गोपनीयता दायित्वों पर सहमत होंगे।

10. शासी कानून

यह DPA ब्राज़ील के कानूनों द्वारा शासित है, सिवाय इसके जहाँ अनिवार्य EU, UK, या स्विस डेटा संरक्षण कानून नियंत्रक को अतिरिक्त अधिकार प्रदान करते हैं जिन्हें छोड़ा नहीं जा सकता।

11. संपर्क

इस DPA के बारे में प्रश्न: monoid@monoid.website