ডেটা প্রসেসিং চুক্তি (DPA)
GDPR-সম্মত ডেটা প্রসেসিং শর্তাবলী
এক নজরে DPA
- 1আপনি (গ্রাহক) ডেটা নিয়ন্ত্রক - আপনি উদ্দেশ্য ও প্রক্রিয়াকরণ পদ্ধতি নির্ধারণ করেন
- 2আমরা ডেটা প্রসেসর - আমরা শুধুমাত্র আপনার নির্দেশ অনুসারে ডেটা প্রক্রিয়া করি
- 3শূন্য ডকুমেন্ট রক্ষণাবেক্ষণ - ডকুমেন্টগুলো প্রক্রিয়াকরণ শেষে সাথে সাথে মুছে ফেলা হয়
- 4গ্রাহক-নির্দিষ্ট এনক্রিপশন আপনার ডেটাকে আপনার অনন্য কী দিয়ে সুরক্ষা দেয়
- 5SOC 2 সার্টিফাইড তৃতীয়-পক্ষ AI পরিষেবা চুক্তিমূলক ডেটা সুরক্ষা বাধ্যবাধকতার অধীনে
- 6আমরা সমস্ত GDPR ডেটা বিষয় অধিকার (প্রবেশ, মুছে ফেলা, বহনযোগ্যতা, ইত্যাদি)-এ সহায়তা করি
- 7ইউরোপীয় ইউনিয়ন থেকে যুক্তরাষ্ট্রে ডেটা স্থানান্তরের জন্য স্ট্যান্ডার্ড চুক্তি শর্তাবলী (SCCs)
চুক্তির উদ্দেশ্য
এই ডেটা প্রসেসিং চুক্তি (DPA) পরিষেবা শর্তাবলীর অংশ গঠন করে এবং GDPR ও অন্যান্য প্রযোজ্য ডেটা সুরক্ষা আইন অনুসারে ব্যক্তিগত ডেটা প্রক্রিয়াকরণ পরিচালনা করে.
ভূমিকা ও দায়িত্ব
আপনি (গ্রাহক) = তথ্য নিয়ন্ত্রক
আপনি উদ্দেশ্য এবং প্রক্রিয়াকরণ পদ্ধতি নির্ধারণ করেন
আমরা (LoanIntelligence.ai) = তথ্য প্রক্রিয়াকর
আমরা কেবলমাত্র আপনার নির্দেশে তথ্য প্রক্রিয়া করি
প্রক্রিয়াকরণ পরিসর
প্রক্রিয়াকরণের উদ্দেশ্য
ঋণ ডকুমেন্ট থেকে গঠিত তথ্য বের করে ডেটা নির্ভুলতা ও গুণগত বিশ্লেষণের জন্য, আর্থিক গণনা করুন (DSCR, LTV, P&I, NOI), স্বতন্ত্র অ্যালগরিদম ও সংকেত সিস্টেমের মাধ্যমে ডেটা গুণগত মান নিশ্চিত করুন, এবং অনুমোদিত হলে আপনার Google Sheets এ ফলাফল সিঙ্ক করুন
ব্যক্তিগত তথ্যের ধরন
ঋণগ্রহীতার নাম, ঠিকানা, SSN, TIN, আর্থিক তথ্য (আয়, সম্পদ, দায়), কর্মসংস্থান তথ্য, সম্পত্তি তথ্য, এবং লোন লেনদেনের বিবরণ। গুরুত্বপূর্ণ: আমরা অস্থায়ী প্রক্রিয়াকরণের পর ব্যক্তিগত তথ্য ধরে রাখি না (প্রতিটি প্রক্রিয়াকরণ চলাকালীন)। সমস্ত স্থায়ী তথ্য এনক্রিপ্টেড থাকে এবং আপনার Google Drive AppData এ সংরক্ষিত হয়।
ডেটা বিষয়
লোন আবেদনকারী, সহ-ঋণগ্রহীতা, সহ-স্বাক্ষরকারী, সম্পত্তি মালিক, গ্যারান্টার, এবং ব্যবসায়িক মালিক (বাণিজ্যিক লোনের জন্য) .
প্রক্রিয়াকরণ নির্দেশনা
অনুমোদিত কার্যক্রম
নিষিদ্ধ কার্যক্রম
সাব-প্রসেসর
আমরা যেসব তৃতীয় পক্ষকে সেবা প্রদানে ব্যবহার করি
তৃতীয়-পক্ষ AI সেবা
উদ্দেশ্য: ডকুমেন্ট প্রক্রিয়াকরণ (OCR, শ্রেণীবিভাগ, বের করা)
অবস্থান: যুক্তরাষ্ট্র
সুরক্ষা: SOC 2 টাইপ I এবং টাইপ II সার্টিফাইড, DPA গুলি কার্যকর, ট্রানজিটে ডাটা এনক্রিপ্টেড, চুক্তিবদ্ধভাবে আপনার ডেটা প্রশিক্ষণের জন্য ব্যবহার করা নিষিদ্ধ
গুগল এলএলসি
উদ্দেশ্য: OAuth প্রমাণীকরণ, Drive API, Sheets API
অবস্থান: যুক্তরাষ্ট্র (আপনার পছন্দ)
সুরক্ষা: SOC 2 টাইপ II, ISO 27001, স্ট্যান্ডার্ড চুক্তিগত ধারা (SCCs)
Stripe Inc.
উদ্দেশ্য: পেমেন্ট প্রক্রিয়াকরণ (ইমেল, গ্রাহক আইডি মাত্র - ক্রেডিট কার্ড নয়)
অবস্থান: যুক্তরাষ্ট্র
সুরক্ষা: PCI-DSS Level 1 সার্টিফাইড, GDPR-সম্মত
ক্লাউড অবকাঠামো সরবরাহকারী
উদ্দেশ্য: হোস্টিং এবং কম্পিউটিং
অবস্থান: যুক্তরাষ্ট্র
সুরক্ষা: SOC 2 টাইপ II সার্টিফাইড ডেটা সেন্টার
আমরা মালিকানা অ্যালগরিদম এবং সংকেত সিস্টেম ব্যবহার করি SOC 2 সার্টিফাইড তৃতীয়-পক্ষ AI পরিষেবাগুলির সাথে। সমস্ত সাব-প্রসেসর চুক্তিভিত্তিক ডেটা সুরক্ষা বাধ্যবাধকতার অধীনে কাজ করে.
সাব-প্রসেসরদের পরিবর্তন
আমরা আপনাকে সাব-প্রসেসরদের যে কোনও পরিবর্তনের পূর্বে 30 দিন আগে জানিয়ে দেব। আপনি যুক্তিযুক্ত ডেটা সুরক্ষা ভিত্তিতে 14 দিনের মধ্যে আপত্তি জানাতে পারেন.
ডেটা সাবজেক্ট অধিকার সহায়তা
আমরা কীভাবে আপনাকে GDPR বাধ্যবাধকতা পূরণে সহায়তা করি
অ্যাক্সেসের অধিকার (প্রবন্ধ 15)
আমরা আপনার অনুরোধের 30 দিনের মধ্যে JSON ফরম্যাটে ডেটা রপ্তানি সরবরাহ করি.
সংশোধনের অধিকার (প্রবন্ধ 16)
আমরা আপনার অনুরোধে অকার্যকর ডেটা আপডেট করি.
মুছে ফেলার অধিকার / ভুলে যাওয়ার অধিকার (প্রবন্ধ 17)
আমরা আপনার অনুরোধের 24 ঘন্টার মধ্যে সমস্ত ব্যক্তিগত ডেটা মুছে ফেলি.
প্রক্রিয়াকরণের সীমাবদ্ধতার অধিকার (প্রবন্ধ 18)
আমরা আপনার অনুরোধে প্রক্রিয়াকরণ স্থগিত করি.
ডেটা বহনযোগ্যতার অধিকার (প্রবন্ধ 20)
আমরা সংগঠিত, মেশিন-পাঠযোগ্য JSON ফরম্যাটে ডেটা সরবরাহ করি.
আপত্তির অধিকার (প্রবন্ধ 21)
আমরা অপ্রয়োজনীয় প্রক্রিয়াকরণ থেকে অপ্ট-আউট অনুমোদন করি.
স্বয়ংক্রিয় সিদ্ধান্ত গ্রহণের সাথে সম্পর্কিত অধিকারসমূহ (প্রবন্ধ 22)
আমরা এআই প্রসেসিং লজিকের উপর স্বচ্ছতা প্রদান করি এবং ডেটা গুণমান নিশ্চিত করি.
অনুরোধ প্রক্রিয়া
যদি আমরা ডেটা বিষয়ের অনুরোধ পাই, আমরা তা আপনাকে 2 ব্যবসায়িক দিনের মধ্যে ফরওয়ার্ড করি। আপনি ডেটা বিষয়ের প্রতি উত্তর দেওয়ার দায়িত্বে থাকেন (GDPR অনুযায়ী 30 দিনের মধ্যে)। আমরা প্রয়োজনীয় ডেটা রপ্তানি, মুছে ফেলা বা সংশোধন 7 ব্যবসায়িক দিনের মধ্যে আপনার অনুরোধের পর সরবরাহ করে সহায়তা করি.
শূন্য রক্ষণাবেক্ষণ সুবিধা
আমাদের শূন্য রক্ষণাবেক্ষণ আর্কিটেকচারের কারণে: (১) ঋণ নথিতে ব্যক্তিগত তথ্য NOT রক্ষিত হয় (অস্থায়ী প্রক্রিয়াকরণ), (২) বের করা ডেটা কেবল YOUR Google Drive AppData তে সংরক্ষিত হয় (এনক্রিপ্টেড), (৩) ডেটা বিষয়ের অনুরোধগুলি আপনার অ্যাকাউন্ট মুছে ফেলে পূরণ করা যেতে পারে (আমাদের সমস্ত সিস্টেম ২৪ ঘন্টার মধ্যে মুছে ফেলে) অথবা আপনি ম্যানুয়ালি আপনার নিজস্ব Google Drive থেকে ডেটা মুছে ফেলে।
নিরাপত্তা ব্যবস্থা
আমরা কীভাবে আপনার ডেটা সুরক্ষিত করি
এনক্রিপশন
অ্যাক্সেস নিয়ন্ত্রণ
শূন্য রক্ষণাবেক্ষণ আর্কিটেকচার
ডেটা লঙ্ঘন বিজ্ঞপ্তি
ত্বরিত প্রতিক্রিয়া ( 1 ঘন্টার মধ্যে )
ব্রীচ সীমিত করুন, পরিসর ও প্রভাব মূল্যায়ন করুন, তদন্ত শুরু করুন.
কন্ট্রোলারকে অবহিত করা ( 72 ঘন্টার মধ্যে )
প্রাথমিক বিবরণসহ ইমেইলের মাধ্যমে আপনাকে অবহিত করুন (ব্রীচের প্রকৃতি, প্রভাবিত ডেটা, আনুমানিক প্রভাব).
সম্পূর্ণ প্রতিবেদন ( 7 দিনের মধ্যে )
বিস্তারিত ঘটনাপ্রতিবেদন, যেটি অন্তর্ভুক্ত করে বর্ণনা, প্রভাবিত ডেটা বিষয়/রেকর্ড, পরিণতি, সমাধানমূলক ব্যবস্থা ও সুপারিশ.
আমরা আপনাকে সহায়তা করি
ব্রীচের অবস্থা
November 14, 2025 পর্যন্ত: শূন্য ব্যক্তিগত ডেটা ব্রীচ, শূন্য অননুমোদিত অ্যাক্সেস ঘটনা, শূন্য এনক্রিপশন কী বিপর্যয়। আমাদের জিরো-রিটেনশন আর্কিটেকচার এক্সপোজারকে কমিয়ে দেয় (ডকুমেন্ট শুধুমাত্র প্রসেসিং রান চলাকালে থাকে), গ্রাহক-নির্দিষ্ট এনক্রিপশন গ্রাহকদের আলাদা করে (একজনের ব্রীচ অন্যদের প্রভাবিত করে না), এবং স্বয়ংক্রিয় কী রোটেশন প্রভাব সীমিত করে (দুর্বৃত্ত কী শুধুমাত্র এক প্রসেসিং রান পর্যন্ত বৈধ).
আন্তর্জাতিক ডেটা স্থানান্তর (ইইউ থেকে যুক্তরাষ্ট্র)
স্ট্যান্ডার্ড কন্ট্র্যাকচুয়াল ক্লজ (SCCs)
আমরা ইউরোপীয় কমিশন অনুমোদিত স্ট্যান্ডার্ড কন্ট্র্যাকচুয়াল ক্লজের ওপর নির্ভর করি (ডিসিশন (EU) 2021/914, মডিউল দুই: কন্ট্রোলার থেকে প্রসেসর ট্রান্সফার).
অতিরিক্ত টেকনিক্যাল ব্যবস্থা
যুক্তরাষ্ট্র সরকারের অ্যাক্সেস অনুরোধ
আমরা যুক্তরাষ্ট্রের নজরদারি আইন (FISA, CLOUD Act)-এর অধীনস্থ। তবে আমাদের জিরো-নলেজ আর্কিটেকচার নিশ্চিত করে যে, ডেটা প্রকাশ করতে বাধ্য হলেও, আমরা কী ছাড়া (YOUR Google Drive-এ সংরক্ষিত) আপনার ডেটা ডিক্রিপ্ট করতে পারি না। জিরো ডকুমেন্ট রিটেনশন মানে প্রকাশযোগ্য ডেটা ন্যূনতম। আমরা সরকারী অনুরোধগুলির বিষয়ে আপনাকে অবহিত করব (যদি আইন দ্বারা নিষিদ্ধ না হয়) এবং অত্যধিক বা অবৈধ অনুরোধকে চ্যালেঞ্জ করব। এখন পর্যন্ত: জিরো সরকারী ডেটা অনুরোধ গ্রহণ করা হয়েছে (as of November 14, 2025)।
সমাপ্তির পর ডেটা মুছে ফেলা
24 ঘন্টার মধ্যে
30 দিনের মধ্যে
এনক্রিপ্টেড ব্যাকআপ থেকে সমস্ত ব্যক্তিগত তথ্য মুছে ফেলুন এবং মুছে ফেলা ডেটা ওভাররাইট করুন (নিরাপদ মুছে ফেলা).
মুছে ফেলার সার্টিফিকেট
অনুরোধের ভিত্তিতে, আমরা মুছে ফেলার সার্টিফিকেট প্রদান করি যা মুছে ফেলার তারিখ, মুছে ফেলা তথ্যের বিভাগ, এবং ব্যবহৃত নিরাপদ মুছে ফেলা পদ্ধতি নিশ্চিত করে.
অডিট অধিকার
আপনার অডিট অধিকার
আপনি প্রতি বছর একবার এই DPA অনুযায়ী আমাদের সামঞ্জস্য অডিট করতে পারেন (30 দিনের অগ্রিম নোটিশ প্রয়োজন)। অডিটগুলি বিঘ্নমুক্ত হতে হবে, ব্যবসায়িক সময়ে, এবং গোপনীয়তা চুক্তির অধীন হবে। আপনি সমস্ত অডিট খরচ বহন করবেন.
তৃতীয় পক্ষের অডিট প্রতিবেদন
সরাসরি অডিটের পরিবর্তে, আপনি আমাদের SOC 2 টাইপ II রিপোর্ট (উপলব্ধ হলে), তৃতীয় পক্ষের সিকিউরিটি অডিট রিপোর্ট, অথবা স্ট্যান্ডার্ডাইজড প্রশ্নপত্রের লিখিত উত্তর অনুরোধ করতে পারেন.
দায় সীমাবদ্ধতা
GDPR আর্টিকেল 82 এর অধীনে, আমরা প্রোসেসরের জন্য GDPR বাধ্যবাধকতা লঙ্ঘনকারী বা যখন আমরা আপনার বৈধ নির্দেশনার বাইরে বা বিপরীতে কাজ করি তখন সৃষ্ট ক্ষতির জন্য দায়বদ্ধ। আমাদের মোট দায় পরিষেবার শর্তাবলীতে উল্লেখিত পরিমাণে সীমিত, গুরুতর অবহেলা, ইচ্ছাকৃত অসদাচরণ, বা আইন দ্বারা সীমিত করা যায় না এমন দায় ছাড়া.
সাহায্য দরকার?
এই DPA নিয়ে সাহায্য দরকার?
GDPR, SCC, বা DPA-সংক্রান্ত প্রশ্নের জন্য, আমাদের আইনি দলকে [email protected] এ ইমেইল করুন।
আমরা একটি ব্যবসায়িক দিনের মধ্যে উত্তর দেব.