डेटा प्रोसेसिंग एग्रीमेंट (DPA)
GDPR-अनुपालन डेटा प्रोसेसिंग शर्तें
DPA एक नज़र में
- 1आप (ग्राहक) डेटा नियंत्रक हैं - आप प्रोसेसिंग के उद्देश्यों और साधनों को निर्धारित करते हैं
- 2हम डेटा प्रोसेसर हैं - हम केवल आपकी निर्देशों पर डेटा प्रोसेस करते हैं
- 3शून्य दस्तावेज़ रखरखाव - दस्तावेज़ प्रोसेसिंग के तुरंत बाद हटाए जाते हैं
- 4ग्राहक-विशिष्ट एन्क्रिप्शन YOUR डेटा को YOUR अनूठे कुंजियों के साथ संरक्षित करता है
- 5SOC 2 प्रमाणित तृतीय-पक्ष AI सेवाएँ अनुबंधित डेटा सुरक्षा दायित्वों के तहत
- 6हम सभी GDPR डेटा विषय अधिकारों (पहुँच, हटाना, पोर्टेबिलिटी, आदि) में सहायता करते हैं
- 7EU से USA डेटा स्थानांतरण के लिए मानक अनुबंध क्लॉज (SCCs)
संधि उद्देश्य
यह डेटा प्रोसेसिंग एग्रीमेंट (DPA) सेवा की शर्तों का हिस्सा है और GDPR और अन्य लागू डेटा संरक्षण कानूनों के अनुसार व्यक्तिगत डेटा के प्रोसेसिंग को नियंत्रित करता है .
भूमिकाएँ और जिम्मेदारियाँ
आप (ग्राहक) = डेटा नियंत्रक
आप प्रसंस्करण के उद्देश्य और साधन तय करते हैं
हम (LoanIntelligence.ai) = डेटा प्रोसेसर
हम डेटा केवल आपके निर्देशों पर संसाधित करते हैं
प्रसंस्करण का दायरा
प्रसंस्करण का उद्देश्य
ऋण दस्तावेज़ों से संरचित डेटा निकालें ताकि डेटा सटीकता और गुणवत्ता विश्लेषण हो सके, वित्तीय गणनाएँ करें (DSCR, LTV, P&I, NOI), मालिकाना एल्गोरिदम और संकेत प्रणालियों के माध्यम से डेटा गुणवत्ता सुनिश्चित करें, और परिणामों को आपके Google Sheets (यदि अधिकृत हो) के साथ समन्वयित करें
व्यक्तिगत डेटा के प्रकार
उधारकर्ता के नाम, पते, SSNs, TINs, वित्तीय डेटा (आय, संपत्ति, देनदारियाँ), रोजगार जानकारी, संपत्ति डेटा, और ऋण लेनदेन विवरण। महत्वपूर्ण: हम अस्थायी प्रसंस्करण से परे व्यक्तिगत डेटा को संग्रहीत नहीं करते (प्रत्येक प्रसंस्करण रन के दौरान)। सभी स्थायी डेटा एन्क्रिप्टेड है और YOUR Google Drive AppData में संग्रहीत है।
डेटा विषय
ऋण आवेदक, सह-उधारकर्ता, सह-हस्ताक्षरकर्ता, संपत्ति मालिक, गारंटर, और व्यवसाय मालिक (व्यावसायिक ऋणों के लिए).
प्रसंस्करण निर्देश
अनुमत गतिविधियाँ
निषिद्ध गतिविधियाँ
उप-प्रोसेसर
तीसरे पक्ष जिनका हम सेवा प्रदान करने के लिए उपयोग करते हैं
तीसरे पक्ष AI सेवाएँ
उद्देश्य: दस्तावेज़ प्रसंस्करण (OCR, वर्गीकरण, निष्कर्षण)
स्थान: यूएसए
सुरक्षा उपाय: SOC 2 टाइप I और टाइप II प्रमाणित, DPAs स्थापित, डेटा ट्रांज़िट में एन्क्रिप्टेड, अनुबंध के अनुसार आपके डेटा का प्रशिक्षण के लिए उपयोग करने से प्रतिबंधित
गूगल LLC
उद्देश्य: OAuth प्रमाणीकरण, ड्राइव API, शीट्स API
स्थान: यूएसए (आपका विकल्प)
सुरक्षा उपाय: SOC 2 टाइप II, ISO 27001, मानक अनुबंध प्रावधान (SCCs)
स्ट्राइप इंक.
उद्देश्य: भुगतान प्रसंस्करण (ईमेल, केवल ग्राहक आईडी - कोई क्रेडिट कार्ड नहीं)
स्थान: यूएसए
सुरक्षा उपाय: PCI-DSS Level 1 प्रमाणित, GDPR-अनुपालन
क्लाउड अवसंरचना प्रदाता
उद्देश्य: होस्टिंग और कंप्यूटिंग
स्थान: यूएसए
सुरक्षा उपाय: SOC 2 टाइप II प्रमाणित डेटा सेंटर
हम स्वामित्व वाले एल्गोरिदम और सिग्नल सिस्टम का उपयोग करते हैं, जो SOC 2 प्रमाणित तृतीय-पक्ष AI सेवाओं के साथ संयोजित हैं। सभी उप-प्रोसेसर अनुबंधीय डेटा सुरक्षा दायित्वों के तहत कार्य करते हैं.
उप-प्रोसेसर में परिवर्तन
हम आपको उप-प्रोसेसर में किसी भी परिवर्तन के 30 दिन पहले सूचित करेंगे। आप उचित डेटा सुरक्षा आधारों पर 14 दिनों के भीतर आपत्ति कर सकते हैं.
डेटा विषय अधिकार सहायता
हम कैसे आपकी GDPR जिम्मेदारियों को पूरा करने में मदद करते हैं
प्रवेश का अधिकार (अनुच्छेद 15)
हम JSON प्रारूप में डेटा निर्यात 30 दिनों के भीतर आपकी अनुरोध पर प्रदान करते हैं.
सुधार का अधिकार (अनुच्छेद 16)
हम आपके अनुरोध पर गलत डेटा को अपडेट करते हैं.
मिटाने का अधिकार / भुलाए जाने का अधिकार (अनुच्छेद 17)
हम आपकी अनुरोध के 24 घंटे के भीतर सभी व्यक्तिगत डेटा को हटा देते हैं.
प्रसंस्करण सीमित करने का अधिकार (अनुच्छेद 18)
हम आपके अनुरोध पर प्रसंस्करण को निलंबित करते हैं.
डेटा पोर्टेबिलिटी का अधिकार (अनुच्छेद 20)
हम डेटा को संरचित, मशीन-पठन योग्य JSON प्रारूप में प्रदान करते हैं.
आपत्ति का अधिकार (अनुच्छेद 21)
हम गैर-आवश्यक प्रसंस्करण से बाहर निकलने की अनुमति देते हैं.
स्वचालित निर्णय-निर्माण से संबंधित अधिकार (अनुच्छेद 22)
हम AI प्रसंस्करण लॉजिक पर पारदर्शिता प्रदान करते हैं और डेटा गुणवत्ता सुनिश्चित करते हैं.
अनुरोध प्रक्रिया
यदि हमें डेटा विषय का अनुरोध प्राप्त होता है, तो हम इसे 2 व्यावसायिक दिनों के भीतर आपको अग्रेषित करते हैं। आप डेटा विषय को उत्तर देने के लिए जिम्मेदार हैं (GDPR के अनुसार 30 दिनों के भीतर)। हम आवश्यक डेटा निर्यात, हटाने, या सुधार प्रदान करके सहायता करते हैं, आपके अनुरोध के 7 व्यावसायिक दिनों के भीतर.
शून्य-रिटेंशन लाभ
हमारी शून्य-रिटेंशन वास्तुकला के कारण: (1) ऋण दस्तावेज़ों में व्यक्तिगत डेटा को संग्रहीत नहीं किया जाता है (क्षणिक प्रसंस्करण), (2) निकाला गया डेटा केवल आपका Google Drive AppData (एनक्रिप्टेड) में संग्रहीत होता है, (3) डेटा विषय के अनुरोध को आपके खाते को हटाकर पूरा किया जा सकता है (हमारे सभी सिस्टम 24 घंटे के भीतर साफ़ हो जाते हैं) या आप स्वयं अपने Google Drive से डेटा हटाकर।
सुरक्षा उपाय
हम आपके डेटा की सुरक्षा कैसे करते हैं
एन्क्रिप्शन
पहुँच नियंत्रण
शून्य रिटेंशन वास्तुकला
डेटा उल्लंघन सूचना
तात्कालिक प्रतिक्रिया (के भीतर 1 घंटे)
भंग को नियंत्रित करें, दायरे और प्रभाव का आकलन करें, जांच शुरू करें.
कंट्रोलर सूचना (के भीतर 72 घंटे)
प्री-लिमिनरी विवरण के साथ ईमेल के माध्यम से आपको सूचित करें (भंग की प्रकृति, प्रभावित डेटा, अनुमानित प्रभाव).
पूर्ण रिपोर्ट (के भीतर 7 दिन)
विस्तृत घटना रिपोर्ट जिसमें विवरण, प्रभावित डेटा विषय/रिकॉर्ड, परिणाम, सुधारात्मक उपाय, और स
हम आपकी सहायता करते हैं
भंग की स्थिति
November 14, 2025 के अनुसार: कोई व्यक्तिगत डेटा भंग नहीं, कोई अनधिकृत पहुँच घटना नहीं, कोई एन्क्रिप्शन कुंजी समझौता नहीं। हमारी शून्य-धारण वास्तुकला जोखिम को कम करती है (दस्तावेज़ केवल प्रोसेसिंग रन के दौरान मौजूद होते हैं), ग्राहक-विशिष्ट एन्क्रिप्शन ग्राहकों को अलग करता है (एक के भंग से अन्य प्रभावित नहीं होते), और स्वचालित कुंजी घुमाव प्रभाव को सीमित करता है (समझौता की गई कुंजी केवल एक प्रोसेसिंग रन के लिए वैध है)। .
अंतरराष्ट्रीय डेटा हस्तांतरण (EU से USA)
मानक संविदात्मक शर्तें (SCCs)
हम यूरोपीय आयोग द्वारा अनुमोदित मानक संविदात्मक शर्तों पर निर्भर करते हैं (निर्णय (EU) 2021/914, मॉड्यूल दो: नियंत्रक से प्रोसेसर स्थानांतरण).
अतिरिक्त तकनीकी उपाय
यूएस सरकार पहुँच अनुरोध
हम यूएस निगरानी कानूनों (FISA, CLOUD Act) के अधीन हैं। हालांकि, हमारी शून्य-ज्ञान वास्तुकला सुनिश्चित करती है कि भले ही डेटा का खुलासा करने के लिए मजबूर किया जाए, हम कुंजियों (जो YOUR Google Drive में संग्रहीत हैं) के बिना आपकी डेटा को डिक्रिप्ट नहीं कर सकते। शून्य दस्तावेज़ धारणा का मतलब है कि खुलासा के लिए न्यूनतम डेटा उपलब्ध है। हम सरकार के अनुरोधों (कानून द्वारा निषिद्ध होने पर छोड़कर) के बारे में आपको सूचित करेंगे और व्यापक या अवैध अनुरोधों को चुनौती देंगे। अब तक: शून्य सरकारी डेटा अनुरोध प्राप्त हुए हैं (14 नवंबर, 2025 को)।
समाप्ति पर डेटा विलोपन
24 घंटों के भीतर
30 दिनों के भीतर
एन्क्रिप्टेड बैकअप से सभी व्यक्तिगत डेटा हटाएँ और हटाई गई डेटा को ओवरराइट करें (सुरक्षित विलोपन).
विलोपन प्रमाणपत्र
अनुरोध पर, हम एक विलोपन प्रमाणपत्र प्रदान करते हैं जिसमें विलोपन की तिथि, हटाए गए डेटा के वर्ग, और उपयोग किए गए सुरक्षित विलोपन तरीकों की पुष्टि होती है.
ऑडिट अधिकार
आपके ऑडिट अधिकार
आप हमारे इस DPA के अनुपालन का वार्षिक रूप से एक बार ऑडिट कर सकते हैं (30 दिन अग्रिम सूचना आवश्यक). ऑडिट गैर-विघटनकारी होने चाहिए, व्यापारिक घंटों के दौरान, और गोपनीयता समझौते के अधीन. आप सभी ऑडिट लागत वहन करते हैं.
तृतीय-पक्ष ऑडिट रिपोर्ट
प्रत्यक्ष ऑडिट के बजाय, आप हमारे SOC 2 Type II रिपोर्ट (उपलब्ध होने पर), तृतीय-पक्ष सुरक्षा ऑडिट रिपोर्ट, या मानकीकृत प्रश्नावली के लिखित उत्तर माँग सकते हैं.
दायित्व की सीमा
GDPR अनुच्छेद 82 के तहत, हम उन क्षतियों के लिए उत्तरदायी हैं जो GDPR दायित्वों का उल्लंघन करने वाले प्रोसेसिंग से उत्पन्न होते हैं, प्रोसेसरों के लिए या जब हम आपके वैध निर्देशों के बाहर या विपरीत कार्य करते हैं. हमारी कुल ज़िम्मेदारी सेवा शर्तों में निर्दिष्ट राशियों तक सीमित है, सिवाय गंभीर लापरवाही, जानबूझकर दुष्कर्म, या कानून द्वारा सीमित नहीं की जा सकने वाली ज़िम्मेदारी के.
मदद की ज़रूरत है?
इस DPA के साथ मदद चाहिए?
GDPR, SCC, या DPA संबंधित प्रश्नों के लिए, हमारे कानूनी टीम को [email protected] पर ईमेल करें.
हम एक व्यापारिक दिन के भीतर जवाब देते हैं.