top of page

नीति—जीडीपीआर डेटा सुरक्षा नीति

 

आपको इस नीति को अवश्य पढ़ना चाहिए क्योंकि यह निम्नलिखित के बारे में महत्वपूर्ण जानकारी देती है:

 

  • डेटा सुरक्षा सिद्धांत जिनका फर्म को पालन करना चाहिए;

  • व्यक्तिगत जानकारी (या डेटा) और संवेदनशील व्यक्तिगत जानकारी (या डेटा) का क्या अर्थ है;

  • हम डेटा सुरक्षा सिद्धांतों के अनुसार व्यक्तिगत जानकारी और संवेदनशील व्यक्तिगत जानकारी को कैसे एकत्र, उपयोग और (अंततः) हटाते हैं;

  • जहां अधिक विस्तृत गोपनीयता जानकारी मिल सकती है, उदाहरण के लिए हम आपके बारे में एकत्रित और उपयोग की जाने वाली व्यक्तिगत जानकारी के बारे में, इसका उपयोग कैसे किया जाता है, संग्रहीत और स्थानांतरित किया जाता है, किन उद्देश्यों के लिए, उस जानकारी को सुरक्षित रखने के लिए उठाए गए कदम और इसे कितने समय तक रखा जाता है;

  • डेटा सुरक्षा के संबंध में आपके अधिकार और दायित्व; और

  • इस नीति का पालन करने में विफलता के परिणाम।

 

  1. परिचय

 

  1. फर्म नौकरी आवेदकों के बारे में और वर्तमान और पूर्व कर्मचारियों, अस्थायी और एजेंसी के कर्मचारियों, ठेकेदारों, प्रशिक्षुओं, स्वयंसेवकों और प्रशिक्षुओं के बारे में व्यक्तिगत जानकारी (जिसे डेटा भी कहा जाता है) को कई विशिष्ट कानूनी उद्देश्यों के लिए प्राप्त करता है, रखता है और उपयोग करता है, जैसा कि में निर्धारित किया गया है। फर्म की डेटा सुरक्षा गोपनीयता भर्ती और रोजगार से संबंधित नोटिस।

 

  1. यह नीति निर्धारित करती है कि हम अपने डेटा सुरक्षा दायित्वों का पालन कैसे करते हैं और अपने कार्यबल से संबंधित व्यक्तिगत जानकारी की रक्षा करना चाहते हैं। इसका उद्देश्य यह भी सुनिश्चित करना है कि कर्मचारी व्यक्तिगत जानकारी के संग्रह, उपयोग और विलोपन को नियंत्रित करने वाले नियमों को समझते हैं और उनका पालन करते हैं, जिस तक उनके काम के दौरान उनकी पहुंच हो सकती है।

 

  1. हम अपने डेटा सुरक्षा दायित्वों का पालन करने के लिए प्रतिबद्ध हैं, और इस बारे में संक्षिप्त, स्पष्ट और पारदर्शी होने के लिए कि हम अपने कार्यबल से संबंधित व्यक्तिगत जानकारी कैसे प्राप्त करते हैं और उसका उपयोग करते हैं, और कैसे (और कब) हम उस जानकारी को हटाते हैं जब इसकी आवश्यकता नहीं रह जाती है।

 

  1. फर्म के डेटा संरक्षण अधिकारी, फर्म और उसके कर्मचारियों को अपने डेटा संरक्षण दायित्वों पर सूचित करने और सलाह देने के लिए और उन दायित्वों और फर्म की नीतियों के अनुपालन की निगरानी के लिए जिम्मेदार हैं। यदि आपके पास इस नीति की सामग्री के बारे में कोई प्रश्न या टिप्पणी है या यदि आपको अधिक जानकारी की आवश्यकता है, तो आपको डेटा सुरक्षा अधिकारी ईमेल से संपर्क करना चाहिए:dpo@confirmsend.co.

 

  1. दायरा

 

  1. यह नीति नौकरी के आवेदकों और कर्मचारियों, अस्थायी और एजेंसी के कर्मचारियों, प्रशिक्षुओं, स्वयंसेवकों और प्रशिक्षुओं सहित वर्तमान और पूर्व कर्मचारियों की व्यक्तिगत जानकारी पर लागू होती है।

 

  1. कर्मचारियों को फर्म की डेटा सुरक्षा गोपनीयता सूचना और जहां उपयुक्त हो, इंटरनेट, ईमेल और संचार, निगरानी, सोशल मीडिया, सूचना सुरक्षा, डेटा प्रतिधारण और आपराधिक रिकॉर्ड जानकारी सहित अन्य प्रासंगिक नीतियों का उल्लेख करना चाहिए, जिसमें संबंधित जानकारी शामिल है। उन संदर्भों में व्यक्तिगत जानकारी की सुरक्षा।

 

  1. हम अपने डेटा सुरक्षा दायित्वों के अनुसार नियमित रूप से इस नीति की समीक्षा करेंगे और इसे अपडेट करेंगे। यह किसी भी कर्मचारी के रोजगार अनुबंध का हिस्सा नहीं है और हम समय-समय पर इसमें संशोधन, अद्यतन या पूरक कर सकते हैं। हम किसी भी नई या संशोधित नीति को अपनाए जाने से पहले कर्मचारियों को प्रसारित करेंगे।

 

  1. परिभाषाएं

 

  1. आपराधिक रिकॉर्ड की जानकारी

यानी आपराधिक दोषसिद्धि और अपराधों, आरोपों, कार्यवाहियों और संबंधित सुरक्षा उपायों से संबंधित व्यक्तिगत जानकारी;

 

  1. डेटा भंग

इसका अर्थ सुरक्षा का उल्लंघन है, जिसके कारण दुर्घटनावश या गैर-कानूनी विनाश, हानि, परिवर्तन, व्यक्तिगत जानकारी का अनधिकृत प्रकटीकरण या उस तक पहुंच होती है;

 

  1. डेटा विषय

का अर्थ है वह व्यक्ति जिससे व्यक्तिगत जानकारी संबंधित है;

 

  1. व्यक्तिगत जानकारी

(कभी-कभी व्यक्तिगत डेटा के रूप में जाना जाता है) का अर्थ है किसी व्यक्ति से संबंधित जानकारी जिसे उस जानकारी से (प्रत्यक्ष या अप्रत्यक्ष रूप से) पहचाना जा सकता है;

 

  1. प्रसंस्करण की जानकारी

जानकारी प्राप्त करना, रिकॉर्ड करना, व्यवस्थित करना, भंडारण करना, संशोधन करना, पुनः प्राप्त करना, खुलासा करना और/या जानकारी को नष्ट करना, या इसके साथ कुछ भी उपयोग करना या करना;

 

  1. छद्मनाम

वह प्रक्रिया जिसके द्वारा व्यक्तिगत जानकारी को इस तरह से संसाधित किया जाता है कि अतिरिक्त जानकारी के उपयोग के बिना किसी व्यक्ति की पहचान करने के लिए इसका उपयोग नहीं किया जा सकता है, जिसे अलग से रखा जाता है और यह सुनिश्चित करने के लिए तकनीकी और संगठनात्मक उपायों के अधीन है कि व्यक्तिगत जानकारी को जिम्मेदार नहीं ठहराया जा सकता है। एक पहचान योग्य व्यक्ति;

 

  1. संवेदनशील व्यक्तिगत जानकारी

(कभी-कभी 'व्यक्तिगत डेटा की विशेष श्रेणियों' या 'संवेदनशील व्यक्तिगत डेटा' के रूप में जाना जाता है) का अर्थ है किसी व्यक्ति की जाति, जातीय मूल, राजनीतिक राय, धार्मिक या दार्शनिक मान्यताओं, ट्रेड यूनियन सदस्यता (या गैर-सदस्यता), आनुवंशिकी जानकारी के बारे में व्यक्तिगत जानकारी, बायोमेट्रिक जानकारी (जहां किसी व्यक्ति की पहचान करने के लिए उपयोग की जाती है) और किसी व्यक्ति के स्वास्थ्य, यौन जीवन या यौन अभिविन्यास से संबंधित जानकारी।

 

  1. डेटा संरक्षण सिद्धांत

 

  1. व्यक्तिगत जानकारी संसाधित करते समय फर्म निम्नलिखित डेटा सुरक्षा सिद्धांतों का पालन करेगी:

 

  1. हम व्यक्तिगत जानकारी को कानूनी, निष्पक्ष और पारदर्शी तरीके से संसाधित करेंगे;

 

  1. हम केवल निर्दिष्ट, स्पष्ट और वैध उद्देश्यों के लिए व्यक्तिगत जानकारी एकत्र करेंगे, और इसे ऐसे तरीके से संसाधित नहीं करेंगे जो उन वैध उद्देश्यों के साथ असंगत हो;

 

  1. हम केवल उस व्यक्तिगत जानकारी को संसाधित करेंगे जो प्रासंगिक उद्देश्यों के लिए पर्याप्त, प्रासंगिक और आवश्यक हो;

 

  1. हम सटीक और अद्यतित व्यक्तिगत जानकारी रखेंगे, और यह सुनिश्चित करने के लिए उचित कदम उठाएंगे कि गलत व्यक्तिगत जानकारी को बिना किसी देरी के हटा दिया जाए या ठीक कर लिया जाए;

 

  1. हम व्यक्तिगत जानकारी को ऐसे रूप में रखेंगे जो डेटा विषयों की पहचान की अनुमति देता है, जिसके लिए जानकारी संसाधित की जाती है, उसके लिए आवश्यक नहीं है; और

 

  1. हम यह सुनिश्चित करने के लिए उपयुक्त तकनीकी और संगठनात्मक उपाय करेंगे कि व्यक्तिगत जानकारी को अनधिकृत या गैरकानूनी प्रसंस्करण के खिलाफ और आकस्मिक नुकसान, विनाश या क्षति के खिलाफ सुरक्षित रखा जाए।

 

  1. व्यक्तिगत जानकारी को संसाधित करने के लिए आधार

 

  1. किसी भी प्रोसेसिंग गतिविधि के संबंध में, हम पहली बार प्रोसेसिंग शुरू होने से पहले, और उसके जारी रहने तक नियमित रूप से:

 

  1. विशेष प्रसंस्करण गतिविधि के उद्देश्यों की समीक्षा करें, और उस प्रसंस्करण के लिए सबसे उपयुक्त कानूनी आधार (या आधार) का चयन करें, अर्थात:

 

  1. डेटा विषय ने प्रसंस्करण के लिए सहमति दी है;

 

  1. कि प्रसंस्करण एक अनुबंध के प्रदर्शन के लिए आवश्यक है जिसके लिए डेटा विषय पार्टी है या अनुबंध में प्रवेश करने से पहले डेटा विषय के अनुरोध पर कदम उठाने के लिए;

 

  1. फर्म जिस कानूनी दायित्व के अधीन है, उसके अनुपालन के लिए प्रसंस्करण आवश्यक है;

 

  1. डेटा विषय या किसी अन्य प्राकृतिक व्यक्ति के महत्वपूर्ण हितों की सुरक्षा के लिए प्रसंस्करण आवश्यक है;

 

  1. सार्वजनिक हित में किए गए कार्य के प्रदर्शन के लिए प्रसंस्करण आवश्यक है

 

  1. फर्म या किसी तीसरे पक्ष के वैध हितों के प्रयोजनों के लिए प्रसंस्करण आवश्यक है, सिवाय इसके कि उन हितों को मौलिक अधिकारों और डेटा विषय की स्वतंत्रता के हितों द्वारा ओवरराइड किया जाता है - नीचे खंड 5.2 देखें।

 

  1. सिवाय इसके कि जहां प्रसंस्करण सहमति पर आधारित है, खुद को संतुष्ट करें कि प्रासंगिक कानूनी आधार के उद्देश्य के लिए प्रसंस्करण आवश्यक है (यानी कि उस उद्देश्य को प्राप्त करने का कोई अन्य उचित तरीका नहीं है);

 

  1. डेटा संरक्षण सिद्धांतों के साथ हमारे अनुपालन को प्रदर्शित करने में मदद करने के लिए हमारे निर्णय को दस्तावेज करें कि कौन सा कानूनी आधार लागू होता है;

 

 

  1. हमारे प्रासंगिक गोपनीयता नोटिस में प्रसंस्करण के उद्देश्यों और इसके लिए कानूनी आधार दोनों के बारे में जानकारी शामिल करें;

 

  1. जहां संवेदनशील व्यक्तिगत जानकारी को संसाधित किया जाता है, उस जानकारी को संसाधित करने के लिए एक वैध विशेष स्थिति की भी पहचान करें (नीचे पैरा 6.2.2 देखें), और इसे प्रलेखित करें; और

 

  1. जहां आपराधिक अपराध की जानकारी संसाधित की जाती है, उस जानकारी को संसाधित करने के लिए एक वैध स्थिति की पहचान भी करें और इसे प्रलेखित करें।

 

  1. यह निर्धारित करते समय कि फर्म के वैध हित वैध प्रसंस्करण के लिए सबसे उपयुक्त आधार हैं, हम:

 

  1. यह सुनिश्चित करने के लिए कि हम अपने निर्णय को सही ठहरा सकते हैं, वैध हितों का मूल्यांकन (एलआईए) करें और इसका रिकॉर्ड रखें;

 

  1. यदि LIA एक महत्वपूर्ण गोपनीयता प्रभाव की पहचान करती है, तो विचार करें कि क्या हमें डेटा सुरक्षा प्रभाव मूल्यांकन (DPIA) करने की भी आवश्यकता है

 

  1. एलआईए को समीक्षा के अधीन रखें, और परिस्थितियों में बदलाव होने पर इसे दोहराएं; और

 

  1. हमारे प्रासंगिक गोपनीयता नोटिस में हमारे वैध हितों के बारे में जानकारी शामिल करें।

 

  1. संवेदनशील व्यक्तिगत जानकारी

 

  1. संवेदनशील व्यक्तिगत जानकारी को कभी-कभी 'व्यक्तिगत डेटा की विशेष श्रेणियों' या 'संवेदनशील व्यक्तिगत डेटा' के रूप में संदर्भित किया जाता है।

 

  1. फर्म को समय-समय पर संवेदनशील व्यक्तिगत जानकारी को संसाधित करने की आवश्यकता हो सकती है। हम केवल संवेदनशील व्यक्तिगत जानकारी को संसाधित करेंगे यदि:

 

  1. जैसा कि ऊपर पैरा 5.1.1 में निर्धारित किया गया है, हमारे पास ऐसा करने के लिए एक वैध आधार है, उदाहरण के लिए यह रोजगार अनुबंध के प्रदर्शन के लिए आवश्यक है, फर्म के कानूनी दायित्वों का पालन करने के लिए या फर्म के वैध हितों के प्रयोजनों के लिए; और

 

  1. संवेदनशील व्यक्तिगत जानकारी को संसाधित करने के लिए विशेष शर्तों में से एक लागू होती है, उदाहरण के लिए:

 

  1. दिए गए डेटा विषय ने स्पष्ट सहमति दी है;

 

  1. फर्म या डेटा विषय के रोजगार कानून के अधिकारों या दायित्वों का प्रयोग करने के प्रयोजनों के लिए प्रसंस्करण आवश्यक है;

 

  1. डेटा विषय के महत्वपूर्ण हितों की रक्षा के लिए प्रसंस्करण आवश्यक है, और डेटा विषय शारीरिक रूप से सहमति देने में अक्षम है;

 

  1. प्रसंस्करण व्यक्तिगत डेटा से संबंधित है जिसे डेटा विषय द्वारा स्पष्ट रूप से सार्वजनिक किया जाता है;

 

  1. प्रसंस्करण कानूनी दावों की स्थापना, अभ्यास या बचाव के लिए आवश्यक है; या

 

  1. पर्याप्त जनहित के कारणों के लिए प्रसंस्करण आवश्यक है।

 

  1. किसी भी संवेदनशील व्यक्तिगत जानकारी को संसाधित करने से पहले, कर्मचारियों को डेटा संरक्षण अधिकारी को प्रस्तावित प्रसंस्करण के बारे में सूचित करना चाहिए, ताकि डेटा संरक्षण अधिकारी यह आकलन कर सके कि प्रसंस्करण ऊपर उल्लिखित मानदंडों का अनुपालन करता है या नहीं।

 

  1. संवेदनशील व्यक्तिगत जानकारी तब तक संसाधित नहीं की जाएगी जब तक:

 

  1. पैरा 6.3 में उल्लिखित मूल्यांकन हो चुका है; और

 

  1. व्यक्ति को प्रसंस्करण की प्रकृति, जिस उद्देश्य के लिए इसे किया जा रहा है और इसके लिए कानूनी आधार के बारे में उचित रूप से सूचित किया गया है (गोपनीयता नोटिस के माध्यम से या अन्यथा)।

 

  1. फर्म किसी भी व्यक्ति की संवेदनशील व्यक्तिगत जानकारी के आधार पर स्वचालित निर्णय लेने (प्रोफाइलिंग सहित) नहीं करेगी।

 

  1. फर्म का डेटा प्रोटेक्शन प्राइवेसी नोटिस फर्म द्वारा प्रोसेस की जाने वाली संवेदनशील व्यक्तिगत जानकारी के प्रकार, इसके लिए क्या उपयोग किया जाता है और प्रोसेसिंग के लिए कानूनी आधार निर्धारित करता है।

 

  1. संवेदनशील व्यक्तिगत जानकारी के संबंध में, फर्म यह सुनिश्चित करने के लिए नीचे पैरा 6.8 और 6.9 में निर्धारित प्रक्रियाओं का पालन करेगी कि यह ऊपर पैरा 4 में निर्धारित डेटा सुरक्षा सिद्धांतों का अनुपालन करती है।

 

  1. भर्ती प्रक्रिया के दौरान: अधिकारी प्रबंधक, डेटा सुरक्षा अधिकारी के मार्गदर्शन से यह सुनिश्चित करेगा कि (जहां कानून अन्यथा अनुमति देता है उसे छोड़कर):

 

  1. शॉर्ट-लिस्टिंग, साक्षात्कार और निर्णय लेने के चरणों के दौरान, संवेदनशील व्यक्तिगत जानकारी, जैसे नस्ल या जातीय मूल, ट्रेड यूनियन सदस्यता या स्वास्थ्य से संबंधित कोई प्रश्न नहीं पूछा जाता है;

 

  1. यदि संवेदनशील व्यक्तिगत जानकारी प्राप्त होती है, उदाहरण के लिए आवेदक इसे अपने सीवी या साक्षात्कार के दौरान मांगे बिना प्रदान करता है, तो इसका कोई रिकॉर्ड नहीं रखा जाता है और इसके किसी भी संदर्भ को तुरंत हटा दिया जाता है या संपादित कर दिया जाता है

 

  1. किसी भी पूर्ण किए गए समान अवसर निगरानी फॉर्म को व्यक्ति के आवेदन फॉर्म से अलग रखा जाता है, और शॉर्टलिस्टिंग, साक्षात्कार या भर्ती निर्णय लेने वाले व्यक्ति द्वारा नहीं देखा जाता है;

 

  1. रोजगार के प्रस्ताव को बिना शर्त किए जाने से पहले 'काम करने के अधिकार' की जांच की जाती है, न कि पहले शॉर्ट-लिस्टिंग, साक्षात्कार या निर्णय लेने के चरणों के दौरान;

 

  1. हम भर्ती के संबंध में स्वास्थ्य प्रश्न नहीं पूछेंगे या केवल एक बार रोजगार का प्रस्ताव दिए जाने के बाद स्वास्थ्य प्रश्न पूछेंगे।

 

  1. रोजगार के दौरान: कार्यालय प्रबंधक, डेटा संरक्षण अधिकारी के मार्गदर्शन में निम्नलिखित को संसाधित करेगा:

 

  1. बीमार वेतन देने, बीमारी की अनुपस्थिति के रिकॉर्ड रखने, कर्मचारियों की उपस्थिति की निगरानी करने और रोजगार से संबंधित स्वास्थ्य और बीमारी के लाभों को सुविधाजनक बनाने के प्रयोजनों के लिए स्वास्थ्य जानकारी;

 

  1. समान अवसरों की निगरानी और वेतन समानता रिपोर्टिंग के उद्देश्यों के लिए संवेदनशील व्यक्तिगत जानकारी। जहां संभव होगा, इस जानकारी को गुप्त रखा जाएगा; और

 

  1. स्टाफ प्रशासन और 'चेक ऑफ' के प्रशासन के प्रयोजनों के लिए ट्रेड यूनियन सदस्यता जानकारी।

 

 

  1. आपराधिक रिकॉर्ड की जानकारी

 

  1. आपराधिक रिकॉर्ड की जानकारी को फर्म की आपराधिक रिकॉर्ड सूचना नीति के अनुसार संसाधित किया जाएगा।

 

  1. डेटा सुरक्षा प्रभाव आकलन (डीपीआईए)

 

  1. जहां प्रसंस्करण के परिणामस्वरूप किसी व्यक्ति के डेटा संरक्षण अधिकारों के लिए उच्च जोखिम होने की संभावना है (उदाहरण के लिए जहां फर्म प्रौद्योगिकी के एक नए रूप का उपयोग करने की योजना बना रही है), हम प्रसंस्करण शुरू करने से पहले, मूल्यांकन करने के लिए एक डीपीआईए करेंगे:

 

  1. क्या प्रसंस्करण आवश्यक है और इसके उद्देश्य के संबंध में आनुपातिक है;

 

  1. व्यक्तियों के लिए जोखिम; और

 

  1. उन जोखिमों को दूर करने और व्यक्तिगत जानकारी की सुरक्षा के लिए क्या उपाय किए जा सकते हैं।

 

  1. प्रौद्योगिकी के किसी भी नए रूप को पेश करने से पहले, जिम्मेदार प्रबंधक को डेटा संरक्षण अधिकारी से संपर्क करना चाहिए ताकि एक डीपीआईए किया जा सके।

 

  1. किसी भी डीपीआईए के दौरान, भागीदार डेटा संरक्षण अधिकारी की सलाह और किसी भी अन्य प्रासंगिक हितधारकों के विचार प्राप्त करेगा।

 

  1. दस्तावेज़ीकरण और रिकॉर्ड

 

  1. हम उन प्रसंस्करण गतिविधियों के लिखित रिकॉर्ड रखेंगे जो उच्च जोखिम वाले हैं, यानी जिनके परिणामस्वरूप व्यक्तियों के अधिकारों और स्वतंत्रता के लिए जोखिम हो सकता है या संवेदनशील व्यक्तिगत जानकारी या आपराधिक रिकॉर्ड जानकारी शामिल हो सकती है, जिसमें निम्न शामिल हैं:

 

  1. नियोक्ता के संगठन का नाम और विवरण (और जहां लागू हो, अन्य नियंत्रकों, नियोक्ता के प्रतिनिधि और डीपीओ का)

 

  1. प्रसंस्करण के उद्देश्य;

 

  1. व्यक्तियों की श्रेणियों और व्यक्तिगत डेटा की श्रेणियों का विवरण;

 

  1. व्यक्तिगत डेटा के प्राप्तकर्ताओं की श्रेणियां;

 

  1. जहां प्रासंगिक हो, तीसरे देशों में स्थानांतरण का विवरण, जिसमें स्थानांतरण तंत्र सुरक्षा उपायों के दस्तावेज शामिल हैं;

 

  1. जहां संभव हो, प्रतिधारण कार्यक्रम; और

 

  1. जहां संभव हो, तकनीकी और संगठनात्मक सुरक्षा उपायों का विवरण।

 

  1. प्रसंस्करण गतिविधियों के हमारे रिकॉर्ड के हिस्से के रूप में, हम दस्तावेज़ीकरण करते हैं, या दस्तावेज़ीकरण से लिंक करते हैं:

 

  1. गोपनीयता सूचनाओं के लिए आवश्यक जानकारी;

 

  1. सहमति के रिकॉर्ड;

 

  1. नियंत्रक-प्रोसेसर अनुबंध;

 

  1. व्यक्तिगत जानकारी का स्थान;

 

  1. डीपीआईए; और

 

  1. डेटा उल्लंघनों के रिकॉर्ड।

 

  1. अगर हम संवेदनशील व्यक्तिगत जानकारी या आपराधिक रिकॉर्ड की जानकारी को संसाधित करते हैं, तो हम इसके लिखित रिकॉर्ड रखेंगे:

 

  1. प्रासंगिक उद्देश्य जिसके लिए प्रसंस्करण होता है, सहित (जहां आवश्यक हो, उस उद्देश्य के लिए यह क्यों आवश्यक है;

 

  1. हमारे प्रसंस्करण के लिए वैध आधार; और

 

  1. क्या हम अपने नीति दस्तावेज़ के अनुसार व्यक्तिगत जानकारी को बनाए रखते हैं और मिटाते हैं, और यदि नहीं, तो हमारी नीति का पालन न करने के कारण।

 

  1. हम अपने द्वारा संसाधित की जाने वाली व्यक्तिगत जानकारी की नियमित समीक्षा करेंगे और उसके अनुसार अपने दस्तावेज़ों को अपडेट करेंगे। इसमें शामिल हो सकता है:

 

  1. फर्म के पास कौन सी व्यक्तिगत जानकारी है, यह पता लगाने के लिए सूचना ऑडिट करना;

 

  1. हमारे प्रसंस्करण गतिविधियों की अधिक संपूर्ण तस्वीर प्राप्त करने के लिए प्रश्नावली वितरित करना और फर्म भर में कर्मचारियों से बात करना; और

 

  1. प्रतिधारण, सुरक्षा और डेटा साझाकरण जैसे क्षेत्रों को संबोधित करने के लिए हमारी नीतियों, प्रक्रियाओं, अनुबंधों और समझौतों की समीक्षा करना।

 

  1. गोपनीयता सूचना

 

  1. फर्म समय-समय पर गोपनीयता नोटिस जारी करेगी, आपको उस व्यक्तिगत जानकारी के बारे में सूचित करेगी जो हम आपसे संबंधित एकत्र और धारण करते हैं, आप अपनी व्यक्तिगत जानकारी का उपयोग कैसे और किन उद्देश्यों के लिए कर सकते हैं।

 

  1. हम स्पष्ट और सरल भाषा का उपयोग करते हुए संक्षिप्त, पारदर्शी, बोधगम्य और आसानी से सुलभ रूप में गोपनीयता सूचनाओं में जानकारी प्रदान करने के लिए उचित उपाय करेंगे।

 

  1. व्यक्तिगत अधिकार

 

  1. आप (सामान्य रूप से अन्य डेटा विषयों के साथ) आपकी व्यक्तिगत जानकारी के संबंध में निम्नलिखित अधिकार रखते हैं:

 

  1. कैसे, क्यों और किस आधार पर उस जानकारी को संसाधित किया जाता है, इस बारे में सूचित होने के लिए—फर्म की डेटा सुरक्षा गोपनीयता सूचना देखें;

 

  1. यह पुष्टि प्राप्त करने के लिए कि आपकी जानकारी संसाधित की जा रही है और उस तक पहुँच प्राप्त करने के लिए और कुछ अन्य जानकारी के लिए, एक विषय पहुँच अनुरोध करके - फर्म की विषय पहुँच अनुरोध नीति देखें;

 

  1. गलत या अधूरा होने पर डेटा को सही करने के लिए;

 

  1. डेटा को मिटाने के लिए यदि यह उस उद्देश्य के लिए आवश्यक नहीं है जिसके लिए इसे मूल रूप से एकत्र/संसाधित किया गया था, या यदि प्रसंस्करण के लिए कोई ओवरराइडिंग वैध आधार नहीं हैं (इसे कभी-कभी 'भूलने का अधिकार' के रूप में जाना जाता है);

 

  1. व्यक्तिगत जानकारी के प्रसंस्करण को प्रतिबंधित करने के लिए जहां जानकारी की सटीकता पर सवाल उठाया जाता है, या प्रसंस्करण गैरकानूनी है (लेकिन आप नहीं चाहते कि डेटा मिटाया जाए), या जहां नियोक्ता को अब व्यक्तिगत जानकारी की आवश्यकता नहीं है, लेकिन आपको डेटा की आवश्यकता है कानूनी दावे की स्थापना, अभ्यास या बचाव; और

 

  1. व्यक्तिगत जानकारी के प्रसंस्करण को अस्थायी रूप से प्रतिबंधित करने के लिए जहां आपको नहीं लगता कि यह सटीक है (और नियोक्ता यह सत्यापित कर रहा है कि यह सटीक है), या जहां आपने प्रसंस्करण पर आपत्ति जताई है (और नियोक्ता इस बात पर विचार कर रहा है कि क्या संगठन के वैध आधार आपके हितों को ओवरराइड करते हैं) ).

 

  1. यदि आप अनुच्छेद 11.1.3 से 11.1.6 के किसी भी अधिकार का प्रयोग करना चाहते हैं, तो कृपया डेटा संरक्षण अधिकारी से संपर्क करें।

 

  1. व्यक्तिगत दायित्व

 

  1. व्यक्ति अपनी व्यक्तिगत जानकारी को अद्यतन रखने में फर्म की मदद करने के लिए जिम्मेदार हैं। यदि आपके द्वारा फर्म को प्रदान की गई जानकारी में परिवर्तन होता है, तो आपको कार्यालय प्रबंधक को बताना चाहिए, उदाहरण के लिए यदि आप घर बदलते हैं या बैंक या बिल्डिंग सोसाइटी के खाते का विवरण बदलते हैं जिसके लिए आपको भुगतान किया जाता है।

 

  1. आप अपने रोजगार या सगाई के दौरान कर्मचारियों, आपूर्तिकर्ताओं और फर्म के ग्राहकों के अन्य सदस्यों की व्यक्तिगत जानकारी तक पहुंच सकते हैं। यदि ऐसा है, तो फर्म आपसे अपेक्षा करती है कि आप उन व्यक्तियों के प्रति अपने डेटा संरक्षण दायित्वों को पूरा करने में मदद करें। उदाहरण के लिए, आपको पता होना चाहिए कि वे उपरोक्त अनुच्छेद 11.1 में निर्धारित अधिकारों का भी आनंद ले सकते हैं

 

 

  1. यदि आपके पास व्यक्तिगत जानकारी तक पहुंच है, तो आपको यह करना होगा:

 

  1. केवल उस व्यक्तिगत जानकारी तक पहुँच प्राप्त करें जिस तक पहुँचने का अधिकार आपके पास है, और केवल अधिकृत उद्देश्यों के लिए;

 

  1. फर्म के अन्य कर्मचारियों को केवल तभी व्यक्तिगत जानकारी तक पहुंचने की अनुमति दें जब उनके पास उपयुक्त प्राधिकरण हो;

 

  1. यदि आपके पास डेटा सुरक्षा अधिकारी से ऐसा करने का विशिष्ट अधिकार है तो केवल उन व्यक्तियों को व्यक्तिगत जानकारी तक पहुंचने की अनुमति दें जो फर्म के कर्मचारी नहीं हैं;

 

  1. व्यक्तिगत जानकारी को सुरक्षित रखें (उदाहरण के लिए परिसर तक पहुंच, कंप्यूटर एक्सेस, पासवर्ड सुरक्षा और सुरक्षित फ़ाइल भंडारण और विनाश और फर्म की सूचना सुरक्षा नीति में निर्धारित अन्य सावधानियों के नियमों का पालन करके;

 

  1. फर्म के परिसर से व्यक्तिगत जानकारी, या व्यक्तिगत जानकारी वाले उपकरणों (या जो इसे एक्सेस करने के लिए उपयोग किया जा सकता है) को तब तक नहीं हटाएंगे जब तक कि जानकारी और डिवाइस को सुरक्षित करने के लिए उपयुक्त सुरक्षा उपाय (जैसे छद्म नाम, एन्क्रिप्शन या पासवर्ड सुरक्षा) मौजूद न हों; और

 

  1. स्थानीय ड्राइव या काम के उद्देश्यों के लिए उपयोग किए जाने वाले व्यक्तिगत उपकरणों पर व्यक्तिगत जानकारी संग्रहीत न करें;

 

  1. यदि आप चिंतित हैं या संदेह करते हैं कि निम्नलिखित में से कोई एक हुआ है (या हो रहा है या होने की संभावना है) तो आपको डेटा सुरक्षा अधिकारी से संपर्क करना चाहिए:

 

  1. इसके प्रसंस्करण के लिए एक कानूनी आधार के बिना व्यक्तिगत डेटा का प्रसंस्करण या, संवेदनशील व्यक्तिगत जानकारी के मामले में, अनुच्छेद 6.2.2 में शर्तों में से एक के बिना पूरा किया जा रहा है;

 

  1. नीचे पैरा 15.1 में निर्धारित किसी भी डेटा उल्लंघन;

 

  1. उचित प्राधिकरण के बिना व्यक्तिगत जानकारी तक पहुंच;

 

  1. व्यक्तिगत जानकारी को सुरक्षित रूप से नहीं रखा या नष्ट नहीं किया गया;

 

  1. उचित सुरक्षा उपायों के बिना फर्म के परिसर से व्यक्तिगत जानकारी, या व्यक्तिगत जानकारी वाले उपकरणों (या जो इसे एक्सेस करने के लिए उपयोग किया जा सकता है) को हटाना;

 

  1. इस नीति या उपरोक्त पैरा 4.1 में निर्धारित किसी भी डेटा सुरक्षा सिद्धांतों का कोई अन्य उल्लंघन।

 

  1. सूचना सुरक्षा

 

  1. फर्म व्यक्तिगत जानकारी को सुरक्षित रखने के लिए, और विशेष रूप से अनधिकृत या गैरकानूनी प्रसंस्करण और आकस्मिक हानि, विनाश या क्षति के खिलाफ सुरक्षा के लिए फर्म की सूचना सुरक्षा नीति के अनुसार उपयुक्त तकनीकी और संगठनात्मक उपायों का उपयोग करेगी। इनमें शामिल हो सकते हैं:

 

  1. यह सुनिश्चित करना कि, जहां संभव हो, व्यक्तिगत जानकारी को नकली या एन्क्रिप्ट किया गया है;

 

  1. प्रसंस्करण प्रणालियों और सेवाओं की निरंतर गोपनीयता, अखंडता, उपलब्धता और लचीलापन सुनिश्चित करना;

 

  1. यह सुनिश्चित करना कि, भौतिक या तकनीकी घटना की स्थिति में, व्यक्तिगत जानकारी की उपलब्धता और पहुंच को समयबद्ध तरीके से बहाल किया जा सकता है; और

 

  1. प्रसंस्करण की सुरक्षा सुनिश्चित करने के लिए तकनीकी और संगठनात्मक उपायों की प्रभावशीलता के नियमित परीक्षण, मूल्यांकन और मूल्यांकन के लिए एक प्रक्रिया।

 

  1. जहां फर्म अपनी ओर से व्यक्तिगत जानकारी को संसाधित करने के लिए बाहरी संगठनों का उपयोग करती है, वहां व्यक्तिगत जानकारी की सुरक्षा की रक्षा के लिए उन संगठनों के साथ अनुबंधों में अतिरिक्त सुरक्षा व्यवस्था लागू करने की आवश्यकता होती है। विशेष रूप से, बाहरी संगठनों के साथ अनुबंधों में यह प्रावधान होना चाहिए कि:

 

  1. संगठन केवल फर्म के लिखित निर्देशों पर कार्य कर सकता है;

 

  1. डेटा को संसाधित करने वाले विश्वास के कर्तव्य के अधीन हैं;

 

  1. प्रसंस्करण की सुरक्षा सुनिश्चित करने के लिए उचित उपाय किए जाते हैं;

 

  1. उप-ठेकेदार केवल फर्म की पूर्व सहमति और एक लिखित अनुबंध के तहत लगे हुए हैं;

 

  1. संगठन विषय तक पहुंच प्रदान करने और डेटा सुरक्षा के संबंध में व्यक्तियों को अपने अधिकारों का प्रयोग करने की अनुमति देने में फर्म की सहायता करेगा;

 

  1. संगठन प्रसंस्करण की सुरक्षा, डेटा उल्लंघनों की अधिसूचना और डेटा सुरक्षा प्रभाव आकलन के संबंध में अपने दायित्वों को पूरा करने में फर्म की सहायता करेगा;

 

  1. संगठन अनुबंध के अंत में अनुरोध के अनुसार फर्म को सभी व्यक्तिगत जानकारी हटा देगा या वापस कर देगा; और

 

  1. संगठन ऑडिट और निरीक्षण के लिए प्रस्तुत करेगा, फर्म को यह सुनिश्चित करने के लिए आवश्यक सभी जानकारी प्रदान करेगा कि वे दोनों अपने डेटा सुरक्षा दायित्वों को पूरा कर रहे हैं, और फर्म को तुरंत बताएं कि क्या डेटा सुरक्षा कानून का उल्लंघन करने के लिए कुछ करने के लिए कहा गया है।

 

  1. किसी बाहरी संगठन द्वारा व्यक्तिगत जानकारी के प्रसंस्करण से जुड़े किसी भी नए समझौते में प्रवेश करने से पहले, या किसी मौजूदा समझौते में बदलाव किया जाता है, संबंधित कर्मचारियों को डेटा संरक्षण अधिकारी द्वारा इसकी शर्तों का अनुमोदन प्राप्त करना चाहिए;

 

  1. व्यक्तिगत जानकारी का भंडारण और प्रतिधारण

 

  1. व्यक्तिगत जानकारी (और संवेदनशील व्यक्तिगत जानकारी) को फर्म की सूचना सुरक्षा नीति के अनुसार सुरक्षित रूप से रखा जाएगा।

 

  1. व्यक्तिगत जानकारी (और संवेदनशील व्यक्तिगत जानकारी) को आवश्यकता से अधिक समय तक नहीं रखा जाना चाहिए। जिस समय तक डेटा को बनाए रखा जाना चाहिए, वह व्यक्तिगत जानकारी प्राप्त करने के कारणों सहित परिस्थितियों पर निर्भर करेगा। कर्मचारियों को फर्म की रिकॉर्ड प्रतिधारण नीति का पालन करना चाहिए जो प्रासंगिक प्रतिधारण अवधि निर्धारित करती है, या प्रतिधारण अवधि निर्धारित करने के लिए उपयोग किए जाने वाले मानदंड। जहां कोई अनिश्चितता हो, कर्मचारियों को [डेटा सुरक्षा अधिकारी;

 

  1. व्यक्तिगत जानकारी (और संवेदनशील व्यक्तिगत जानकारी) जिसकी अब आवश्यकता नहीं है, को हमारी सूचना प्रणाली से स्थायी रूप से हटा दिया जाएगा और किसी भी हार्ड कॉपी को सुरक्षित रूप से नष्ट कर दिया जाएगा।

 

  1. डेटा भंग

 

  1. डेटा उल्लंघन कई अलग-अलग रूप ले सकता है, उदाहरण के लिए:

 

  1. डेटा या उपकरण की हानि या चोरी जिस पर व्यक्तिगत जानकारी संग्रहीत की जाती है;

 

  1. कर्मचारी या तीसरे पक्ष के किसी सदस्य द्वारा व्यक्तिगत जानकारी तक अनधिकृत पहुंच या उपयोग;

 

  1. किसी उपकरण या सिस्टम (हार्डवेयर और सॉफ़्टवेयर सहित) की विफलता के परिणामस्वरूप डेटा की हानि;

 

  1. मानवीय त्रुटि, जैसे डेटा का आकस्मिक विलोपन या परिवर्तन;

 

  1. आग या बाढ़ जैसी अप्रत्याशित परिस्थितियां;

 

  1. आईटी सिस्टम पर जानबूझकर हमले, जैसे हैकिंग, वायरस या फ़िशिंग स्कैम; और

 

  1. 'ब्लैगिंग' अपराध, जहां जानकारी रखने वाले संगठन को धोखा देकर जानकारी प्राप्त की जाती है।

 

  1. फर्म करेगी:

 

  1. सूचना आयुक्त के कार्यालय में डेटा उल्लंघन की आवश्यक रिपोर्ट बिना किसी अनुचित देरी के और जहां संभव हो, इसके बारे में जागरूक होने के 72 घंटों के भीतर, यदि इसके परिणामस्वरूप व्यक्तियों के अधिकारों और स्वतंत्रता के लिए जोखिम होने की संभावना है; और

 

  1. प्रभावित व्यक्तियों को सूचित करें यदि डेटा उल्लंघन के परिणामस्वरूप उनके अधिकारों और स्वतंत्रता के लिए उच्च जोखिम होने की संभावना है और कानून द्वारा अधिसूचना आवश्यक है।

 

  1. अंतर्राष्ट्रीय स्थानान्तरण

 

  1. फर्म व्यक्तिगत जानकारी को यूरोपीय आर्थिक क्षेत्र (ईईए) (जिसमें यूरोपीय संघ और आइसलैंड, लिकटेंस्टीन और नॉर्वे के देश शामिल हैं) के बाहर इस आधार पर स्थानांतरित कर सकती है कि उस देश, क्षेत्र या संगठन को पर्याप्त स्तर की सुरक्षा के रूप में नामित किया गया है या कि सूचना प्राप्त करने वाले संगठन ने कॉर्पोरेट नियमों या मानक डेटा सुरक्षा खंडों या अनुमोदित आचार संहिता के अनुपालन के माध्यम से या ग्राहक की स्पष्ट सहमति के साथ पर्याप्त सुरक्षा उपाय प्रदान किए हैं।

 

  1. प्रशिक्षण

 

  1. फर्म यह सुनिश्चित करेगी कि कर्मचारियों को उनकी डेटा सुरक्षा जिम्मेदारियों के संबंध में पर्याप्त रूप से प्रशिक्षित किया गया है। जिन व्यक्तियों की भूमिका के लिए व्यक्तिगत जानकारी तक नियमित पहुंच की आवश्यकता होती है, या जो इस नीति को लागू करने के लिए जिम्मेदार हैं या इस नीति के तहत विषय पहुंच अनुरोधों का जवाब देने के लिए अतिरिक्त प्रशिक्षण प्राप्त करेंगे ताकि उन्हें अपने कर्तव्यों को समझने और उनका अनुपालन करने में मदद मिल सके।

 

  1. पालन न करने के परिणाम

 

  1. फर्म इस नीति के अनुपालन को बहुत गंभीरता से लेती है। नीति का पालन करने में विफलता:

 

  1. उन व्यक्तियों को जोखिम में डालता है जिनकी व्यक्तिगत जानकारी संसाधित की जा रही है; और

 

  1. व्यक्ति और फर्म के लिए महत्वपूर्ण नागरिक और आपराधिक प्रतिबंधों का जोखिम वहन करता है; और

 

  1. कुछ परिस्थितियों में, व्यक्ति द्वारा एक आपराधिक अपराध की राशि हो सकती है।

 

  1. इस नीति के महत्व के कारण, इसकी किसी भी आवश्यकता का पालन करने में किसी कर्मचारी की विफलता के कारण हमारी प्रक्रियाओं के तहत अनुशासनात्मक कार्रवाई हो सकती है, और इस कार्रवाई के परिणामस्वरूप घोर कदाचार के लिए बर्खास्तगी हो सकती है। यदि कोई गैर-कर्मचारी इस नीति का उल्लंघन करता है, तो उनका अनुबंध तत्काल प्रभाव से समाप्त किया जा सकता है।

 

  1. यदि इस नीति में किसी भी चीज़ के बारे में आपके कोई प्रश्न या चिंताएँ हैं, तो डेटा सुरक्षा अधिकारी से संपर्क करने में संकोच न करें;

 

 

 

मैंने इस नीति को पढ़ और समझ लिया है और मैं इसकी शर्तों का पालन करने के लिए सहमत हूं।

 

हस्‍ताक्षरित................................................... .................................................. .

bottom of page