Logo

स्टैम्पज़ी डेटा प्रोसेसिंग परिशिष्ट (DPA)

प्रभावी तिथि: Jan 14, 2026

अंतिम अपडेट: Jan 14, 2026

विषय-सूची

यह डेटा प्रोसेसिंग परिशिष्ट (“DPA”) Elyon Techno Labs Inc (“स्टैम्पज़ी” का संचालन करने वाला) और इन शर्तों को स्वीकार करने वाली इकाई (“खुदरा विक्रेता” या “ग्राहक”) के बीच स्टैम्पज़ी सेवा के उपयोग के लिए समझौते का हिस्सा बनता है। यह DPA वहां और उस सीमा तक लागू होता है जहाँ स्टैम्पज़ी सेवा प्रदान करने के दौरान खुदरा विक्रेता की ओर से व्यक्तिगत डेटा संसाधित करता है।

यदि इस DPA और अन्य शर्तों के बीच कोई संघर्ष होता है, तो यह DPA केवल पार्टियों के डेटा प्रोसेसिंग दायित्वों के संबंध में लागू होगा।

1) पक्ष (Parties)

डेटा प्रोसेसर / सेवा प्रदाता:
Elyon Techno Labs Inc (“स्टैम्पज़ी,” “प्रोसेसर”)
पता: Hilton Court, Mississauga, Ontario, Canada
ईमेल: [privacy@stampezee.com]

डेटा नियंत्रक / व्यावसायिक ग्राहक:
इस DPA को स्वीकार करने या हस्ताक्षर करने वाली खुदरा विक्रेता इकाई (“ग्राहक,” “नियंत्रक”)

2) परिभाषाएं

यहां परिभाषित नहीं किए गए बड़े अक्षरों वाले शब्दों का अर्थ मुख्य समझौते/शर्तों में दिया गया है।

  • “लागू डेटा सुरक्षा कानून”: इस DPA के तहत व्यक्तिगत डेटा के प्रसंस्करण पर लागू सभी गोपनीयता और डेटा सुरक्षा कानून, जिनमें (जहां लागू हो) GDPR/UK GDPR, कनाडाई गोपनीयता कानून और खुदरा विक्रेता के उपयोग से संबंधित अन्य स्थानीय कानून शामिल हैं।
  • “नियंत्रक” (Controller): वह इकाई जो व्यक्तिगत डेटा के प्रसंस्करण के उद्देश्यों और साधनों को निर्धारित करती है।
  • “प्रोसेसर” (Processor): वह इकाई जो नियंत्रक की ओर से व्यक्तिगत डेटा संसाधित करती है।
  • “व्यक्तिगत डेटा”: किसी पहचाने गए या पहचान योग्य व्यक्ति से संबंधित जानकारी।
  • “प्रसंस्करण” (Processing): व्यक्तिगत डेटा पर की जाने वाली कोई भी कार्रवाई (एकत्र करना, संग्रहीत करना, उपयोग करना, साझा करना, हटाना आदि)।
  • “उप-प्रसाधक” (Sub-processor): खुदरा विक्रेता की ओर से व्यक्तिगत डेटा संसाधित करने के लिए स्टैम्पज़ी द्वारा नियुक्त एक तृतीय पक्ष।
  • “सुरक्षा घटना”: सुरक्षा का उल्लंघन जिसके कारण व्यक्तिगत डेटा का आकस्मिक या गैरकानूनी विनाश, हानि, परिवर्तन, अनधिकृत प्रकटीकरण या पहुंच होती है (जिसे कभी-कभी “व्यक्तिगत डेटा उल्लंघन” कहा जाता है)।

3) पार्टियों की भूमिकाएं

3.1 नियंत्रक / प्रोसेसर भूमिकाएं

  • खुदरा विक्रेता खुदरा विक्रेता के वफादारी कार्यक्रमों (जैसे, अंतिम उपयोगकर्ता भागीदारी डेटा, स्टैम्पिंग इतिहास, रिडेम्पशन, प्रोग्राम संचार) के संबंध में संसाधित व्यक्तिगत डेटा का नियंत्रक है जिसे खुदरा विक्रेता सेवा के भीतर निर्धारित और कॉन्फ़िगर करता है।
  • स्टैम्पज़ी ऐसे व्यक्तिगत डेटा का प्रोसेसर है क्योंकि वह सेवा प्रदान करने के लिए खुदरा विक्रेता की ओर से इसे संसाधित करता है।

3.2 स्टैम्पज़ी द्वारा स्वतंत्र नियंत्रक प्रसंस्करण

स्टैम्पज़ी इनके लिए एक स्वतंत्र नियंत्रक के रूप में (खुदरा विक्रेता की ओर से नहीं) कुछ डेटा संसाधित कर सकता है:

  • खुदरा विक्रेता के लिए खाता प्रशासन (जैसे, बिलिंग संपर्क, योजना प्रबंधन),
  • सुरक्षा, धोखाधड़ी की रोकथाम, दुरुपयोग का पता लगाना,
  • प्लेटफ़ॉर्म संचालन और कानूनी अनुपालन,
  • जहां संभव हो समेकित/गुमनाम एनालिटिक्स का उपयोग करके उत्पाद में सुधार।

4) प्रसंस्करण विवरण

4.1 विषय वस्तु

एक डिजिटल वफादारी और पुरस्कार मंच का प्रावधान जो खुदरा विक्रेताओं को स्टैम्प कार्ड, अभियान और पुरस्कार बनाने और प्रबंधित करने में सक्षम बनाता है, और अंतिम उपयोगकर्ताओं को भाग लेने में सक्षम बनाता है।

4.2 अवधि

प्रसंस्करण खुदरा विक्रेता द्वारा सेवा के उपयोग की अवधि तक जारी रहता है, और उसके बाद केवल तभी आवश्यक होता है जब:

  • हटाने/वापसी के दायित्वों,
  • कानूनी अनुपालन,
  • कानून द्वारा अनुमत सुरक्षा लॉग और विवाद समाधान के लिए।

4.3 प्रकृति और उद्देश्य

प्रसंस्करण गतिविधियों में शामिल हो सकते हैं: सेवा प्रदान करने के लिए व्यक्तिगत डेटा एकत्र करना, रिकॉर्ड करना, व्यवस्थित करना, संरचित करना, संग्रहीत करना, पुनर्प्राप्त करना, उपयोग करना, संचारित करना और हटाना।

4.4 डेटा विषयों की श्रेणियां

  • खुदरा विक्रेता कर्मचारी (लॉयल्टी एक्जीक्यूटिव एक्सेस सहित)
  • खुदरा विक्रेता के अंतिम उपयोगकर्ता/ग्राहक
  • खुदरा विक्रेता व्यवस्थापक उपयोगकर्ता और बिलिंग संपर्क

4.5 व्यक्तिगत डेटा की श्रेणियां

कॉन्फ़िगरेशन और उपयोग के आधार पर, व्यक्तिगत डेटा में शामिल हो सकते हैं:

  • पहचानकर्ता: नाम, ईमेल, फोन नंबर (यदि उपयोग किया जाता है), उपयोगकर्ता आईडी
  • खाता डेटा: लॉगिन मेटाडेटा, भूमिका/अनुमतियां
  • लॉयल्टी डेटा: अर्जित स्टैम्प, शामिल हुए स्टैम्प कार्ड, रिडेम्पशन इतिहास, गतिविधि टाइमस्टैम्प
  • स्टोर इंटरैक्शन डेटा: उपयोग की गई शाखा, प्रस्ताव इंटरैक्शन, इंटरैक्ट किए गए अभियान
  • डिवाइस/तकनीकी डेटा: आईपी पता, डिवाइस का प्रकार, ऐप संस्करण, इवेंट लॉग (जहां एकत्र किए गए हों)
  • समर्थन डेटा: समर्थन के लिए प्रस्तुत संदेश और संबंधित मेटाडेटा

4.6 विशेष श्रेणियां / संवेदनशील डेटा

खुदरा विक्रेताओं को संवेदनशील/विशेष-श्रेणी डेटा (स्वास्थ्य, बायोमेट्रिक्स, धर्म, आदि) अपलोड या संसाधित नहीं करना चाहिए जब तक कि:

  • कानून द्वारा स्पष्ट रूप से आवश्यक न हो और कानूनी आधार मौजूद न हो, और
  • खुदरा विक्रेता ने आवश्यक सहमति/प्राधिकरण प्राप्त कर लिया हो, और
  • सेवा उचित रूप से कॉन्फ़िगर की गई हो।

स्टैम्पज़ी को मानक वफादारी संचालन के लिए संवेदनशील डेटा की आवश्यकता नहीं है।

5) खुदरा विक्रेता (नियंत्रक) दायित्व

खुदरा विक्रेता सहमत है:

  1. इसके पास व्यक्तिगत डेटा संसाधित करने और स्टैम्पज़ी को इसे संसाधित करने के लिए निर्देश देने के सभी आवश्यक अधिकार, नोटिस, सहमति और कानूनी आधार हैं।
  2. यह अंतिम उपयोगकर्ताओं और कर्मचारियों को आवश्यक गोपनीयता नोटिस प्रदान करेगा।
  3. यह सेवा को जिम्मेदारी से कॉन्फ़िगर करेगा और केवल अपने कार्यक्रम के लिए आवश्यक डेटा एकत्र करेगा।
  4. यह स्टैम्पज़ी को लागू डेटा सुरक्षा कानूनों के उल्लंघन में व्यक्तिगत डेटा संसाधित करने का निर्देश नहीं देगा।
  5. यह अपने वफादारी कार्यक्रम के नियमों, संदेश सामग्री और संचार की वैधता के लिए जिम्मेदार है।
  6. यह गोपनीयता बनाए रखेगा और स्टाफ खातों (लॉयल्टी एक्जीक्यूटिव एक्सेस और एडमिन एक्सेस) तक पहुंच को नियंत्रित करेगा।
  7. यदि इसे लगता है कि प्रसंस्करण गैरकानूनी है या यदि उसे स्टैम्पज़ी की सहायता की आवश्यकता वाले डेटा विषय अनुरोध प्राप्त होते हैं, तो यह तुरंत स्टैम्पज़ी को सूचित करेगा।

6) स्टैम्पज़ी (प्रोसेसर) दायित्व

स्टैम्पज़ी करेगा:

  1. व्यक्तिगत डेटा को केवल दस्तावेजी निर्देशों पर ही संसाधित करेगा (जिसमें यह DPA और खुदरा विक्रेता का सेवा का कॉन्फ़िगरेशन/उपयोग शामिल है), जब तक कि कानून द्वारा आवश्यक न हो।
  2. यह सुनिश्चित करेगा कि व्यक्तिगत डेटा संसाधित करने के लिए अधिकृत कर्मी गोपनीयता से बंधे हैं।
  3. व्यक्तिगत डेटा की सुरक्षा के लिए उचित तकनीकी और संगठनात्मक उपाय लागू करेगा (अनुभाग 9 देखें)।
  4. इस DPA के तहत अनुमत (जैसे, उप-प्रसाधक) के अलावा अन्य तृतीय पक्षों को व्यक्तिगत डेटा का खुलासा नहीं करेगा।
  5. अनुभाग 10 और 11 में बताए अनुसार खुदरा विक्रेता की सहायता करेगा।

7) उप-प्रसाधक (Sub-processors)

7.1 प्राधिकरण

खुदरा विक्रेता स्टैम्पज़ी को सेवा प्रदान करने के लिए उप-प्रसाधकों का उपयोग करने के लिए सामान्य प्राधिकरण प्रदान करता है।

7.2 उप-प्रसाधक दायित्व

स्टैम्पज़ी को उप-प्रसाधकों को इस DPA के अनुरूप डेटा सुरक्षा दायित्वों से सहमत होने की आवश्यकता होगी, जिसमें उचित सुरक्षा उपाय शामिल हैं।

7.3 उप-प्रसाधक सूची और अपडेट

स्टैम्पज़ी उप-प्रसाधकों की एक सूची यहां उपलब्ध कराएगा: [link-to-subprocessors-page]

स्टैम्पज़ी समय-समय पर उप-प्रसाधकों को अपडेट कर सकता है। जहां कानून द्वारा आवश्यक हो, स्टैम्पज़ी डैशबोर्ड नोटिस, ईमेल या उप-प्रसाधक पृष्ठ पर पोस्ट करके महत्वपूर्ण परिवर्तनों की सूचना प्रदान करेगा।

7.4 उप-प्रसाधकों के लिए देयता

स्टैम्पज़ी लागू डेटा सुरक्षा कानूनों और स्टैम्पज़ी द्वारा की गई संविदात्मक प्रतिबद्धताओं के लिए आवश्यक सीमा तक उप-प्रसाधकों के दायित्वों के प्रदर्शन के लिए जिम्मेदार रहता है।

8) अंतर्राष्ट्रीय स्थानांतरण

वैश्विक बुनियादी ढांचे और उप-प्रसाधकों के कारण व्यक्तिगत डेटा खुदरा विक्रेता के अधिकार क्षेत्र से बाहर के देशों में संसाधित किया जा सकता है।

स्टैम्पज़ी जहां आवश्यक हो उचित स्थानांतरण सुरक्षा उपायों को लागू करने के लिए उचित कदम उठाएगा (जैसे, संविदात्मक सुरक्षा और स्थानांतरण के लिए उपयुक्त अन्य उपाय)।

9) सुरक्षा उपाय

स्टैम्पज़ी व्यक्तिगत डेटा की सुरक्षा के लिए डिज़ाइन किए गए उचित उपायों को लागू करेगा, जैसे:

  • आंतरिक प्रणालियों के लिए एक्सेस कंट्रोल और न्यूनतम-विशेषाधिकार सिद्धांत,
  • ट्रांजिट में एन्क्रिप्शन (जहां ट्रांसपोर्ट लेयर द्वारा समर्थित हो),
  • सुरक्षित पासवर्ड स्टोरेज (हैशिंग) और प्रमाणीकरण नियंत्रण,
  • संदिग्ध गतिविधि और दुरुपयोग के लिए निगरानी/लॉगिंग,
  • नियमित पैचिंग और भेद्यता प्रबंधन अभ्यास (व्यावसायिक रूप से उचित),
  • सेवा के लिए उपयुक्त बैकअप और रिकवरी अभ्यास।

खुदरा विक्रेता स्वीकार करता है कि किसी भी प्रणाली को 100% सुरक्षित होने की गारंटी नहीं दी जा सकती है और वह अपने स्वयं के सुरक्षा अभ्यासों (सुरक्षित उपकरण, कर्मचारी प्रशिक्षण, क्रेडेंशियल सुरक्षा) को बनाए रखने के लिए सहमत है।

10) सुरक्षा घटनाएं

10.1 अधिसूचना

इस DPA के तहत संसाधित व्यक्तिगत डेटा से जुड़ी सुरक्षा घटना के बारे में पता चलने पर, स्टैम्पज़ी खुदरा विक्रेता को अनुचित देरी के बिना सूचित करेगा और खुदरा विक्रेता को कानूनी दायित्वों को पूरा करने में मदद करने के लिए उचित रूप से आवश्यक जानकारी प्रदान करेगा।

10.2 जानकारी और सहयोग

स्टैम्पज़ी उपलब्ध और उचित सीमा तक प्रदान करेगा:

  • घटना की प्रकृति,
  • प्रभावित डेटा विषयों/डेटा रिकॉर्ड की श्रेणियां और अनुमानित संख्या (यदि ज्ञात हो),
  • संभावित परिणाम (यदि मूल्यांकन किया गया हो),
  • घटना के समाधान के लिए उठाए गए या प्रस्तावित उपाय।

10.3 खुदरा विक्रेता की जिम्मेदारियां

खुदरा विक्रेता यह निर्धारित करने के लिए जिम्मेदार है कि क्या प्रभावित व्यक्तियों या नियामकों को नोटिस प्रदान किया जाना चाहिए, जब तक कि कानून किसी विशिष्ट मामले में वह दायित्व स्टैम्पज़ी पर न डाले।

11) डेटा विषय अनुरोध

यदि स्टैम्पज़ी को किसी अंतिम उपयोगकर्ता या अन्य डेटा विषय से खुदरा विक्रेता की ओर से संसाधित व्यक्तिगत डेटा से संबंधित गोपनीयता अधिकारों का उपयोग करने का अनुरोध प्राप्त होता है, तो स्टैम्पज़ी:

  • पुनर्निर्देशित करेगा (जहां उचित हो) अनुरोधकर्ता को खुदरा विक्रेता के पास, और/या
  • सूचित करेगा (जहां संभव हो) खुदरा विक्रेता को, और
  • लागू डेटा सुरक्षा कानूनों द्वारा आवश्यक होने पर खुदरा विक्रेता को जवाब देने के लिए (उपलब्ध उपकरणों और सहायता के माध्यम से) उचित सहायता प्रदान करेगा।

खुदरा विक्रेता कानूनी समय सीमा के भीतर ऐसे अनुरोधों का जवाब देने के लिए जिम्मेदार है।

12) DPIA और परामर्श के साथ सहायता

लागू डेटा सुरक्षा कानूनों द्वारा आवश्यक सीमा तक और प्रसंस्करण की प्रकृति और उपलब्ध जानकारी को ध्यान में रखते हुए, स्टैम्पज़ी इनके साथ उचित सहायता प्रदान करेगा:

  • डेटा सुरक्षा प्रभाव आकलन (DPIA), और
  • नियामकों के साथ परामर्श,
    जो इस DPA के तहत प्रसंस्करण तक सीमित है।

13) व्यक्तिगत डेटा को हटाना और वापस करना

13.1 अवधि के दौरान

खुदरा विक्रेता उपलब्ध सेवा सुविधाओं के माध्यम से कुछ डेटा हटा सकता है।

13.2 समाप्ति पर

सेवा की समाप्ति/विराम पर, स्टैम्पज़ी एक उचित अवधि के भीतर:

  • खुदरा विक्रेता की ओर से संसाधित व्यक्तिगत डेटा को हटा देगा या वापस कर देगा, इसके अधीन:
    • कुछ डेटा को रखने के लिए कानूनी दायित्व,
    • दुरुपयोग की रोकथाम और सिस्टम की अखंडता के लिए रखे गए सुरक्षा लॉग,
    • मानक डिजास्टर रिकवरी अभ्यासों के हिस्से के रूप में सीमित अवधि के लिए रखे गए बैकअप।

13.3 अवशिष्ट डेटा

बैकअप से हटाना बैकअप शेड्यूल के अनुसार रोलिंग आधार पर हो सकता है। स्टैम्पज़ी रखे गए बैकअप डेटा के लिए सुरक्षा बनाए रखेगा।

14) ऑडिट और अनुपालन

14.1 ऑडिट अधिकार

खुदरा विक्रेता इस DPA के साथ स्टैम्पज़ी के अनुपालन की पुष्टि करने के लिए उचित जानकारी का अनुरोध कर सकता है।

14.2 ऑडिट सीमाएं

कोई भी ऑडिट:

  • इस DPA के तहत प्रसंस्करण तक सीमित होना चाहिए,
  • जब तक कोई सुरक्षा घटना न हो, [वर्ष में एक बार] से अधिक नहीं होनी चाहिए,
  • गोपनीयता के अधीन होना चाहिए,
  • संचालन को अनुचित रूप से बाधित नहीं करना चाहिए,
  • खुदरा विक्रेता के खर्च पर आयोजित किया जाना चाहिए।

स्टैम्पज़ी सारांश, दस्तावेज़, या प्रतिष्ठित तृतीय-पक्ष ऑडिट रिपोर्ट (यदि कोई हो) प्रदान करके ऑडिट अनुरोधों को संतुष्ट कर सकता है।

15) गोपनीयता

प्रत्येक पक्ष दूसरे की गोपनीय जानकारी की रक्षा करेगा। व्यक्तिगत डेटा तक पहुंच रखने वाले स्टैम्पज़ी कर्मियों और उप-प्रसाधकों को गोपनीयता दायित्वों से बाध्य किया जाएगा।

16) देयता

गोपनीयता और डेटा सुरक्षा मुद्दों के लिए देयता मुख्य समझौते/शर्तों द्वारा शासित होती है, सिवाय इसके कि जहां लागू डेटा सुरक्षा कानूनों को अन्यथा आवश्यक हो।

17) प्राथमिकता का क्रम

यदि कोई संघर्ष होता है:

  1. विशिष्ट बातचीत की गई शर्तों के साथ कोई भी हस्ताक्षरित DPA (यदि लागू हो), फिर
  2. यह DPA, फिर
  3. मुख्य समझौता/शर्तें।

18) संपर्क

DPA और डेटा सुरक्षा प्रश्नों के लिए:
ईमेल: [privacy@stampezee.com]

कॉल बुक करें