जीडीपीआर अनुपालन

1. डेटा नियंत्रक

वेलोरा, वेलोरा मोबाइल एप्लिकेशन के माध्यम से एकत्र की गई सभी व्यक्तिगत जानकारी के लिए डेटा नियंत्रक के रूप में कार्य करता है। हम आपके डेटा को यूरोपीय संघ के सामान्य डेटा संरक्षण विनियमन (ईयू जीडीपीआर 2016/679) और यूके जीडीपीआर के अनुसार संसाधित करते हैं। यह पृष्ठ हमारी गोपनीयता नीति को ईयू/ईईए-विशिष्ट जानकारी के साथ पूरक करता है।

2. प्रसंस्करण के लिए कानूनी आधार

हम आपके व्यक्तिगत डेटा को जीडीपीआर के अनुच्छेद 6 में परिभाषित निम्नलिखित कानूनी आधारों के तहत संसाधित करते हैं:

• सहमति (अनुच्छेद 6(1)(ए)) - एआई-संचालित वैयक्तिकृत सामग्री निर्माण, पुश नोटिफिकेशन, मार्केटिंग संचार और वैकल्पिक एनालिटिक्स ट्रैकिंग के लिए
• अनुबंध प्रदर्शन (अनुच्छेद 6(1)(बी)) - सदस्यता प्रबंधन, क्रेडिट सिस्टम संचालन, इन-ऐप खरीदारी प्रसंस्करण और मुख्य सेवा वितरण के लिए
• वैध हित (अनुच्छेद 6(1)(एफ)) - गुमनाम विश्लेषण, धोखाधड़ी की रोकथाम, क्रेडिट प्रणाली के दुरुपयोग का पता लगाने और सुरक्षा निगरानी के लिए
• कानूनी दायित्व (अनुच्छेद 6(1)(सी)) - लेनदेन के वित्तीय रिकॉर्ड रखने (7-वर्षीय प्रतिधारण), सीओपीपीए आयु सत्यापन अनुपालन, और वैध डेटा अनुरोधों का जवाब देने के लिए

3. जीडीपीआर के तहत आपके अधिकार

ईयू/ईईए निवासी के रूप में, आपके पास निम्नलिखित अधिकार हैं। इनमें से कोई भी प्रयोग करने के लिए, हमारे डेटा सुरक्षा अधिकारी से संपर्क करें:

• पहुंच का अधिकार (अनुच्छेद 15) - आपके बारे में हमारे द्वारा संसाधित किए गए सभी व्यक्तिगत डेटा की एक पूरी प्रतिलिपि का अनुरोध करें, जिसमें नेटल चार्ट डेटा, क्रेडिट इतिहास, जर्नल प्रविष्टियां और एआई इंटरेक्शन मेटाडेटा शामिल हैं।
• सुधार का अधिकार (अनुच्छेद 16) - गलत जन्म डेटा, प्रदर्शन नाम, या अन्य व्यक्तिगत जानकारी में सुधार का अनुरोध करें
• मिटाने का अधिकार (अनुच्छेद 17) - अपने सभी व्यक्तिगत डेटा ("भूल जाने का अधिकार") को हटाने का अनुरोध करें। 30 दिनों के भीतर सभी डेटा हटा दिया गया, सिवाय इसके कि जहां प्रतिधारण कानून द्वारा आवश्यक हो
• प्रतिबंध का अधिकार (अनुच्छेद 18) - अनुरोध है कि विवाद का समाधान होने या सटीकता सत्यापित होने तक हम आपके डेटा के प्रसंस्करण को सीमित कर दें
• डेटा पोर्टेबिलिटी का अधिकार (अनुच्छेद 20) - अपना व्यक्तिगत डेटा (जन्म जानकारी, जर्नल प्रविष्टियाँ, क्रेडिट इतिहास) एक संरचित, आमतौर पर उपयोग किए जाने वाले, मशीन-पठनीय प्रारूप (JSON) में प्राप्त करें
• वस्तु का अधिकार (अनुच्छेद 21) - वैध हित के आधार पर प्रसंस्करण पर वस्तु, जिसमें सामग्री वैयक्तिकरण के लिए विश्लेषण और प्रोफाइलिंग शामिल है
• स्वचालित निर्णयों से संबंधित अधिकार (अनुच्छेद 22) - हमारी एआई सुविधाओं में स्वचालित प्रसंस्करण शामिल है लेकिन कानूनी रूप से बाध्यकारी निर्णय नहीं लेते हैं। आप किसी भी AI-जनरेटेड सामग्री की मानवीय समीक्षा का अनुरोध कर सकते हैं

4. डेटा श्रेणियाँ संसाधित

जीडीपीआर के तहत संसाधित व्यक्तिगत डेटा की विस्तृत श्रेणियां:

• पहचान डेटा - प्रदर्शन नाम, जन्म तिथि, जन्म समय, जन्म स्थान (शहर/देश)
• संपर्क डेटा - ईमेल पता (केवल अगर खाता जुड़ा हुआ है)
• वित्तीय डेटा - सदस्यता स्थिति, क्रेडिट शेष, खरीद इतिहास (रेवेन्यूकैट के माध्यम से संसाधित; हम भुगतान कार्ड विवरण संग्रहीत नहीं करते हैं)
• सामग्री डेटा - जर्नल प्रविष्टियाँ, एआई चैट संदेश, संगतता भागीदार जन्म डेटा
• तकनीकी डेटा - अनाम डिवाइस पहचानकर्ता, ऐप संस्करण, ओएस संस्करण, क्रैश लॉग
• उपयोग डेटा - सुविधा उपयोग आवृत्ति, सत्र अवधि, दैनिक चेक-इन पैटर्न (अनाम और समग्र)

5. अंतर्राष्ट्रीय डेटा स्थानांतरण

आपका डेटा यूरोपीय आर्थिक क्षेत्र (ईईए) के बाहर स्थित सर्वर पर स्थानांतरित और संसाधित किया जा सकता है। हम निम्नलिखित के माध्यम से पर्याप्त सुरक्षा सुनिश्चित करते हैं:

• यूरोपीय आयोग द्वारा अनुमोदित मानक संविदात्मक खंड (एससीसी)।
• यूएस-आधारित प्रदाताओं के लिए EU-US डेटा गोपनीयता फ़्रेमवर्क अनुपालन (OpenAI, Firebase, Google AdMob)
• सभी तृतीय-पक्ष प्रोसेसरों के साथ डेटा प्रोसेसिंग अनुबंध (डीपीए)।
• तृतीय-पक्ष डेटा सुरक्षा प्रथाओं का नियमित मूल्यांकन

6. डेटा अवधारण अवधि

हम डेटा न्यूनतमकरण सिद्धांतों (अनुच्छेद 5(1)(ई)) के अनुसार निम्नलिखित अवधारण अवधि लागू करते हैं:

• सक्रिय खाता डेटा (जन्म जानकारी, प्राथमिकताएँ, क्रेडिट शेष): खाता सक्रिय होने पर बनाए रखा जाता है
• खाता हटाने के बाद का डेटा: हटाने के अनुरोध के 30 दिनों के भीतर स्थायी रूप से मिटा दिया गया
• वित्तीय लेनदेन रिकॉर्ड: 7 वर्षों तक बनाए रखा जाता है (कानूनी आवश्यकता)
• अनाम विश्लेषणात्मक डेटा: समग्र, गैर-पहचान योग्य रूप में 24 महीनों तक रखा जाता है
• एआई वार्तालाप लॉग: संग्रहीत नहीं - सत्र के तुरंत बाद हटा दिए गए
• जर्नल प्रविष्टियाँ: खाता सक्रिय होने पर बरकरार रखी जाती हैं; हटाने से पहले निर्यात योग्य
• सामग्री मॉडरेशन फ़्लैग: सुरक्षा निगरानी के लिए 12 महीने तक बनाए रखा जाता है

7. डेटा सुरक्षा उपाय

हम जीडीपीआर के अनुच्छेद 32 के अनुसार उचित तकनीकी और संगठनात्मक उपाय लागू करते हैं:

• बाकी सभी व्यक्तिगत डेटा के लिए AES-256 एन्क्रिप्शन
• पारगमन में सभी डेटा के लिए टीएलएस 1.3 एन्क्रिप्शन
• न्यूनतम-विशेषाधिकार सिद्धांत के साथ भूमिका-आधारित पहुंच नियंत्रण
• डेटा अखंडता के मुद्दों को रोकने के लिए क्रेडिट लेनदेन पर आशावादी लॉकिंग
• नियमित सुरक्षा मूल्यांकन और कोड ऑडिट
• डेटा उल्लंघन अधिसूचना - पर्यवेक्षी अधिकारियों को 72 घंटों के भीतर सूचित किया गया, प्रभावित व्यक्तियों को बिना किसी देरी के सूचित किया गया (अनुच्छेद 33, 34)
• जहां संभव हो छद्मनामीकरण और गुमनामीकरण

8. कुकीज़ और ट्रैकिंग

वेलोरा मोबाइल एप्लिकेशन ब्राउज़र कुकीज़ का उपयोग नहीं करता है। हम एनालिटिक्स के लिए अनाम डिवाइस पहचानकर्ता (आईडीएफए/जीएआईडी) का उपयोग करते हैं। ई-गोपनीयता निर्देश के तहत, हम गैर-आवश्यक ट्रैकिंग सक्षम करने से पहले सहमति का अनुरोध करते हैं। आप अपनी डिवाइस गोपनीयता सेटिंग्स के माध्यम से किसी भी समय सहमति वापस ले सकते हैं।

9. बच्चों का डेटा (अनुच्छेद 8)

वेलोरा को ऑनबोर्डिंग के दौरान उपयोगकर्ताओं को अपनी जन्मतिथि प्रदान करने की आवश्यकता होती है। EU/EEA में 16 वर्ष से कम आयु (या उनके सदस्य राज्य में लागू आयु) के उपयोगकर्ताओं को AI डेटा प्रोसेसिंग के लिए माता-पिता की सहमति की आवश्यकता होती है। COPPA और GDPR कला के अनुपालन में 13 वर्ष से कम आयु के उपयोगकर्ताओं को सभी AI सुविधाओं से अवरुद्ध कर दिया गया है। 8. हम जानबूझकर बच्चों से अत्यधिक डेटा एकत्र नहीं करते हैं।

10. डेटा संरक्षण अधिकारी

11. पर्यवेक्षी प्राधिकारी

यदि आपको लगता है कि आपके डेटा सुरक्षा अधिकारों का उल्लंघन हुआ है, तो आपको अपने स्थानीय डेटा सुरक्षा पर्यवेक्षी प्राधिकरण के पास शिकायत दर्ज करने का अधिकार है। आप अपना अधिकार यूरोपीय डेटा संरक्षण बोर्ड की वेबसाइट: edpb.europa.eu पर पा सकते हैं।