हम कौन हैं?
डेटा नियंत्रक का नाम और संपर्क विवरण प्रदान करें। यह आम तौर पर आपका व्यवसाय होगा या आप, यदि आप एकमात्र व्यापारी हैं। जहां लागू हो, आपको नियंत्रक के प्रतिनिधि और/या डेटा सुरक्षा अधिकारी की पहचान और संपर्क विवरण शामिल करना चाहिए।
हम कौन सी जानकारी एकत्र करते हैं?
आपके द्वारा एकत्रित की जाने वाली व्यक्तिगत जानकारी के प्रकार निर्दिष्ट करें, जैसे नाम, पते, उपयोगकर्ता नाम, आदि। आपको विशिष्ट विवरण शामिल करना चाहिए:
आप डेटा कैसे एकत्र करते हैं (उदाहरण के लिए जब कोई उपयोगकर्ता आपकी सेवाओं को पंजीकृत करता है, खरीदता है या उपयोग करता है, संपर्क फ़ॉर्म पूरा करता है, न्यूज़लेटर के लिए साइन अप करता है, आदि)
प्रत्येक डेटा संग्रह विधि के माध्यम से आप कौन सा विशिष्ट डेटा एकत्र करते हैं
यदि आप तृतीय पक्षों से डेटा एकत्र करते हैं, तो आपको डेटा और स्रोत की श्रेणियां निर्दिष्ट करनी होंगी
यदि आप संवेदनशील व्यक्तिगत डेटा या वित्तीय जानकारी को संसाधित करते हैं, और आप इसे कैसे संभालते हैं
आप उपयोगकर्ता को व्यक्तिगत डेटा और संवेदनशील व्यक्तिगत डेटा के संबंध में प्रासंगिक परिभाषाएं प्रदान करना चाह सकते हैं।
हम व्यक्तिगत जानकारी का उपयोग कैसे करते हैं?
उन सभी सेवा- और व्यवसाय-संबंधी उद्देश्यों का विस्तार से वर्णन करें जिनके लिए आप डेटा संसाधित करेंगे। उदाहरण के लिए, इसमें निम्न चीज़ें शामिल हो सकती हैं:
सामग्री, व्यावसायिक जानकारी या उपयोगकर्ता अनुभव का निजीकरण
खाता सेट अप और प्रशासन
विपणन और घटना संचार प्रदान करना
चुनाव और सर्वेक्षण करना
आंतरिक अनुसंधान और विकास के उद्देश्य
सामान और सेवाएं प्रदान करना
कानूनी दायित्व (जैसे धोखाधड़ी की रोकथाम)
आंतरिक लेखापरीक्षा आवश्यकताओं को पूरा करना
कृपया ध्यान दें कि यह सूची संपूर्ण नहीं है। आपको उन सभी उद्देश्यों को रिकॉर्ड करना होगा जिनके लिए आप व्यक्तिगत डेटा को संसाधित करते हैं।
आपके व्यक्तिगत डेटा को संसाधित करने के लिए हमारे पास क्या कानूनी आधार है?
जीडीपीआर में निहित प्रासंगिक प्रसंस्करण शर्तों का वर्णन करें। छह संभावित कानूनी आधार हैं:
अनुमति
अनुबंध
वैध हित
महत्वपूर्ण हित
सार्वजनिक कार्य
कानूनी दायित्व
आपके प्रसंस्करण पर लागू होने वाले सभी आधारों पर विस्तृत जानकारी प्रदान करें, और क्यों। यदि आप सहमति पर भरोसा करते हैं, तो बताएं कि व्यक्ति अपनी सहमति को कैसे वापस ले सकते हैं और उसका प्रबंधन कैसे कर सकते हैं। यदि आप वैध हितों पर भरोसा करते हैं, तो स्पष्ट रूप से बताएं कि ये क्या हैं।
यदि आप विशेष श्रेणी के व्यक्तिगत डेटा को संसाधित कर रहे हैं, तो आपको छह प्रसंस्करण शर्तों में से कम से कम एक को पूरा करना होगा, साथ ही जीडीपीआर के तहत प्रसंस्करण के लिए अतिरिक्त आवश्यकताओं को भी पूरा करना होगा। लागू होने वाले सभी अतिरिक्त आधारों पर जानकारी प्रदान करें।
हम व्यक्तिगत डेटा कब साझा करते हैं?
समझाएं कि आप व्यक्तिगत डेटा को गोपनीय रखेंगे और उन परिस्थितियों का वर्णन करेंगे जब आप इसे प्रकट या साझा कर सकते हैं। उदाहरण के लिए, जब आपकी सेवाएं प्रदान करने या आपके व्यवसाय संचालन का संचालन करने के लिए आवश्यक हो, जैसा कि प्रसंस्करण के लिए आपके उद्देश्यों में उल्लिखित है। आपको इसके बारे में जानकारी प्रदान करनी चाहिए:
आप डेटा कैसे साझा करेंगे
आपके पास क्या सुरक्षा उपाय होंगे
आप किन पार्टियों के साथ डेटा साझा कर सकते हैं और क्यों
हम व्यक्तिगत डेटा कहाँ संग्रहीत और संसाधित करते हैं?
यदि लागू हो, तो स्पष्ट करें कि क्या आप डेटा विषय के गृह देश के बाहर डेटा संग्रहीत और संसाधित करने का इरादा रखते हैं। डेटा को आपकी गोपनीयता नीति और उस देश के लागू कानून के अनुसार संसाधित किया जाता है, जहां डेटा स्थित है, यह सुनिश्चित करने के लिए आप जो कदम उठाएंगे, उसकी रूपरेखा तैयार करें।
यदि आप यूरोपीय आर्थिक क्षेत्र के बाहर डेटा स्थानांतरित करते हैं, तो डेटा गोपनीयता सुरक्षा का उचित स्तर प्रदान करने के लिए आपके द्वारा किए जाने वाले उपायों की रूपरेखा तैयार करें। उदाहरण के लिए संविदात्मक खंड, डेटा हस्तांतरण समझौते, आदि।
हम व्यक्तिगत डेटा कैसे सुरक्षित करते हैं?
डेटा सुरक्षा के प्रति अपने दृष्टिकोण और व्यक्तिगत जानकारी की सुरक्षा के लिए आपके द्वारा उपयोग की जाने वाली तकनीकों और प्रक्रियाओं का वर्णन करें। उदाहरण के लिए, ये उपाय हो सकते हैं:
आकस्मिक हानि से डेटा की सुरक्षा के लिए
अनधिकृत पहुंच, उपयोग, विनाश या प्रकटीकरण को रोकने के लिए
व्यापार निरंतरता और आपदा वसूली सुनिश्चित करने के लिए
व्यक्तिगत जानकारी तक पहुंच प्रतिबंधित करने के लिए
कानून और आपकी व्यावसायिक नीतियों के अनुसार गोपनीयता प्रभाव आकलन करने के लिए
डेटा सुरक्षा पर कर्मचारियों और ठेकेदारों को प्रशिक्षित करने के लिए
अनुबंधों और सुरक्षा समीक्षाओं के उपयोग के माध्यम से तीसरे पक्ष के जोखिमों का प्रबंधन करने के लिए
कृपया ध्यान दें कि यह सूची संपूर्ण नहीं है। व्यक्तिगत डेटा की सुरक्षा के लिए आपको उन सभी तंत्रों को रिकॉर्ड करना चाहिए जिन पर आप भरोसा करते हैं। आपको यह भी बताना चाहिए कि क्या आपका संगठन कुछ स्वीकृत मानकों या नियामक आवश्यकताओं का पालन करता है।
हम आपका व्यक्तिगत डेटा कितने समय तक रखते हैं?
प्रत्येक प्रसंस्करण उद्देश्य के संबंध में जानकारी रखने की अवधि के बारे में विशिष्ट जानकारी प्रदान करें। GDPR के लिए आवश्यक है कि आप डेटा को यथोचित रूप से आवश्यक से अधिक समय तक बनाए रखें। अपने डेटा का विवरण शामिल करें या अवधारण शेड्यूल रिकॉर्ड करें, या अतिरिक्त संसाधनों से लिंक करें जहां ये प्रकाशित किए गए हैं।
यदि आप एक विशिष्ट अवधि नहीं बता सकते हैं, तो आपको यह निर्धारित करने के लिए मानदंड निर्धारित करने की आवश्यकता है कि आप डेटा को कितने समय तक रखना चाहते हैं (उदाहरण के लिए स्थानीय कानून, संविदात्मक दायित्व, आदि)
आपको यह भी रेखांकित करना चाहिए कि जब आपको डेटा की आवश्यकता नहीं रह जाती है तो आप उसका सुरक्षित तरीके से निपटान कैसे करते हैं।
व्यक्तिगत डेटा के संबंध में आपके अधिकार
जीडीपीआर के तहत, आपको डेटा विषयों के व्यक्तिगत डेटा तक पहुंचने और नियंत्रित करने के अधिकार का सम्मान करना चाहिए। अपने गोपनीयता नोटिस में, आपको इनके संबंध में उनके अधिकारों को रेखांकित करना चाहिए:
व्यक्तिगत जानकारी तक पहुंच
सुधार और हटाना
सहमति वापस लेना (यदि सहमति की शर्त पर डेटा संसाधित करना है)
डेटा सुवाह्यता
प्रसंस्करण और आपत्ति का प्रतिबंध
सूचना आयुक्त कार्यालय में शिकायत दर्ज कराना
आपको यह बताना चाहिए कि व्यक्ति अपने अधिकारों का प्रयोग कैसे कर सकते हैं, और आप विषय डेटा अनुरोधों का जवाब देने की योजना कैसे बनाते हैं। बताएं कि क्या कोई प्रासंगिक छूट लागू हो सकती है और कोई पहचान सत्यापन प्रक्रिया निर्धारित करें जिस पर आप भरोसा कर सकते हैं।
उन परिस्थितियों का विवरण शामिल करें जहां डेटा विषय के अधिकार सीमित हो सकते हैं, उदाहरण के लिए यदि डेटा विषय अनुरोध को पूरा करने से किसी अन्य व्यक्ति के बारे में व्यक्तिगत डेटा का खुलासा हो सकता है, या यदि आपको उस डेटा को हटाने के लिए कहा जाता है जिसे आपको कानून द्वारा रखना आवश्यक है।
स्वचालित निर्णय लेने और प्रोफाइलिंग का उपयोग
जहां आप प्रोफाइलिंग या अन्य स्वचालित निर्णय लेने का उपयोग करते हैं, आपको अपनी गोपनीयता नीति में इसका खुलासा करना होगा। ऐसे मामलों में, आपको किसी भी स्वचालित निर्णय लेने के अस्तित्व पर विवरण प्रदान करना होगा, साथ ही इसमें शामिल तर्क के बारे में जानकारी, और व्यक्ति के प्रसंस्करण के संभावित महत्व और परिणामों के बारे में जानकारी प्रदान करनी होगी।
हमसे कैसे संपर्क करें?
बताएं कि डेटा विषय कैसे संपर्क कर सकता है यदि उनके पास आपकी गोपनीयता प्रथाओं, उनकी व्यक्तिगत जानकारी के बारे में प्रश्न या चिंताएं हैं, या यदि वे शिकायत दर्ज करना चाहते हैं। उन सभी तरीकों का वर्णन करें जिनसे वे आपसे संपर्क कर सकते हैं - जैसे ऑनलाइन, ईमेल या डाक द्वारा।
यदि लागू हो, तो आप इसके बारे में जानकारी भी शामिल कर सकते हैं:
कुकी और अन्य तकनीकों का उपयोग
आप आगे की जानकारी के लिए एक लिंक शामिल कर सकते हैं, या नीति के भीतर वर्णन कर सकते हैं यदि आप अपनी वेबसाइट पर उपयोगकर्ता वरीयताओं को संग्रहीत और प्रबंधित करने, विज्ञापन देने, सामग्री को सक्षम करने या अन्यथा उपयोगकर्ता और उपयोग डेटा का विश्लेषण करने के लिए कुकीज़, ट्रैकिंग और समान तकनीकों को सेट और उपयोग करना चाहते हैं। आप किस प्रकार की कुकीज़ और तकनीकों का उपयोग करते हैं, आप उनका उपयोग क्यों करते हैं और कोई व्यक्ति उन्हें कैसे नियंत्रित और प्रबंधित कर सकता है, इस बारे में जानकारी प्रदान करें।
अन्य वेबसाइटों / तृतीय पक्ष सामग्री से लिंक करना
यदि आप अपनी वेबसाइट से बाहरी साइटों और संसाधनों से लिंक करते हैं, तो इस बारे में विशिष्ट रहें कि क्या यह समर्थन है, और यदि आप किसी लिंक की गई वेबसाइट की सामग्री (या उसमें निहित जानकारी) के लिए कोई जिम्मेदारी लेते हैं।
आप अपने व्यवसाय की परिस्थितियों के आधार पर अपनी गोपनीयता नीति में अन्य वैकल्पिक खंड जोड़ने पर विचार कर सकते हैं।