सामग्री पर जाएँ

डेटा प्रसंस्करण अनुबंध

अंतिम अद्यतन: 2026-05-08

1. पक्ष और विषय वस्तु

यह डेटा प्रसंस्करण अनुबंध (“DPA”) Formhook (“प्रोसेसर”), जो astropixels.rs द्वारा संचालित है, द्वारा फ़ॉर्म स्वामी (“नियंत्रक”) की ओर से व्यक्तिगत डेटा के प्रसंस्करण को नियंत्रित करता है, जो खाता बनाता है और फ़ॉर्म सबमिशन प्राप्त करने के लिए Formhook का उपयोग करता है। यह हमारी सेवा की शर्तें और गोपनीयता नीति को पूरक करता है। Formhook खाता बनाना और उपयोग करना इस DPA की स्वीकृति का गठन करता है; अलग हस्ताक्षर की आवश्यकता नहीं है।

2. अवधि

यह DPA तब तक लागू होता है जब तक नियंत्रक का Formhook खाता सक्रिय है और किसी भी समाप्ति-पश्चात अवधि के लिए जिसके दौरान प्रोसेसर अभी भी नियंत्रक डेटा रखता है (खंड 12 देखें)।

3. प्रसंस्करण की प्रकृति और उद्देश्य

प्रोसेसर निम्नलिखित के लिए नियंत्रक की ओर से व्यक्तिगत डेटा प्रसंस्करण करता है:

  • नियंत्रक के endpoints पर भेजे गए फ़ॉर्म सबमिशन प्राप्त करना;
  • उन सबमिशन को संग्रहीत करना और नियंत्रक के डैशबोर्ड में दिखाना;
  • नियंत्रक को परिचालन ईमेल भेजना (खाता सत्यापन, पासवर्ड रीसेट, कोटा अलर्ट);
  • नए सबमिशन आने पर नियंत्रक के ऑप्ट-इन डिवाइसों पर वेब पुश सूचनाएँ देना।

4. डेटा विषयों की श्रेणियाँ

डेटा विषय वे लोग हैं जो नियंत्रक के फ़ॉर्म भरते हैं (आमतौर पर साइट आगंतुक, ग्राहक, संभावित ग्राहक, आवेदक - जिस किसी का नियंत्रक का फ़ॉर्म लक्ष्य रखता है)।

5. व्यक्तिगत डेटा की श्रेणियाँ

प्रोसेसर प्रसंस्करण करता है:

  • नियंत्रक ने अपने फ़ॉर्म में जो भी फ़ील्ड माँगने के लिए चुने हैं (आमतौर पर नाम, ईमेल पता, संदेश, लेकिन नियंत्रक तय करता है);
  • सबमिशन के तकनीकी मेटाडेटा: IP पता, User-Agent स्ट्रिंग, Origin हेडर, टाइमस्टैम्प।

नियंत्रक तब तक Formhook के माध्यम से विशेष-श्रेणी डेटा (Art. 9 GDPR) एकत्र न करने के लिए ज़िम्मेदार है जब तक कि उनके पास ऐसा करने के लिए क़ानूनी आधार नहीं है और उन्होंने सबमिटर्स को उचित रूप से सूचित नहीं किया है।

6. उप-प्रोसेसर

वर्तमान उप-प्रोसेसर और वे क्या प्राप्त करते हैं हमारी गोपनीयता नीति में सूचीबद्ध हैं। प्रोसेसर परिवर्तन प्रभावी होने से कम से कम 14 दिन पहले डैशबोर्ड बैनर या ईमेल द्वारा उप-प्रोसेसर सूची में किसी भी परिवर्तन के बारे में नियंत्रक को सूचित करेगा। यदि नियंत्रक नए उप-प्रोसेसर पर आपत्ति करता है, तो वे नीचे खंड 8 और 12 के अनुसार अपना खाता समाप्त कर सकते हैं और अपना डेटा निर्यात कर सकते हैं।

7. गोपनीयता और सुरक्षा उपाय

प्रोसेसर निम्नलिखित तकनीकी और संगठनात्मक उपाय बनाए रखता है:

  • ट्रांज़िट में सभी डेटा के लिए TLS;
  • खाता क्रेडेंशियल्स के लिए Argon2id पासवर्ड हैशिंग;
  • age के साथ एन्क्रिप्टेड नाइटली Postgres बैकअप, 14 दिन रखे गए;
  • प्रशासनिक पहुँच केवल उन ऑपरेटरों तक सीमित जिन्होंने प्रोसेसर की गोपनीयता शर्तों पर हस्ताक्षर किए हैं;
  • न्यूनतम-विशेषाधिकार एप्लिकेशन डेटाबेस भूमिका; service-role क्रेडेंशियल्स ब्राउज़र को उजागर नहीं किए जाते।

8. डेटा विषय अधिकारों के साथ सहायता

GDPR अनुच्छेद 15–22 के तहत अधिकांश अधिकार (पहुँच, सुधार, मिटाना, पोर्टेबिलिटी, प्रतिबंध) नियंत्रक डैशबोर्ड के माध्यम से सीधे पूरे कर सकता है:

  • पहुँच / पोर्टेबिलिटी - खाता → अपना डेटा निर्यात करें एक JSON फ़ाइल डाउनलोड करता है जिसमें हमारे पास नियंत्रक का सारा डेटा है।
  • मिटाना - खाता → खाता हटाएँ नियंत्रक के खाते और उसके सभी फ़ॉर्म और सबमिशन को स्थायी रूप से हटा देता है; प्रति-फ़ॉर्म हटाना भी फ़ॉर्म सेटिंग्स में उपलब्ध है।
  • सुधार - सबमिशन और फ़ॉर्म कॉन्फ़िगरेशन नियंत्रक द्वारा अपने डैशबोर्ड में संपादित किए जा सकते हैं।

असामान्य अनुरोधों के लिए (जैसे अंतिम-उपयोगकर्ता के डेटा विषय अनुरोध का जवाब देना जिसे नियंत्रक स्वयं नहीं कर सकता) info@formhook.app पर ईमेल करें।

9. व्यक्तिगत डेटा उल्लंघन सूचना

प्रोसेसर नियंत्रक के डेटा को प्रभावित करने वाले किसी भी व्यक्तिगत डेटा उल्लंघन के बारे में अनुचित देरी के बिना (लक्ष्य: जागरूक होने के 72 घंटे के भीतर) नियंत्रक को सूचित करेगा, GDPR Art. 33(3) द्वारा आवश्यक जानकारी प्रदान करेगा (उल्लंघन की प्रकृति, प्रभावित डेटा विषयों की श्रेणियाँ और अनुमानित संख्या, संभावित परिणाम, शमन उपाय)।

10. अंतर्राष्ट्रीय स्थानांतरण

प्राथमिक प्रसंस्करण स्थान जर्मनी (Hetzner) है। Cloudflare का एज केवल ट्रांज़िट में डेटा संभालता है। Resend अपने EU भेजने वाले क्षेत्र में आउटबाउंड ईमेल संसाधित करता है। हमारा EU/EEA के बाहर नियंत्रक डेटा स्थानांतरित करने का कोई वर्तमान इरादा नहीं है। यदि कभी बदलता है, तो हम इस खंड और उप-प्रोसेसर सूची को अपडेट करेंगे और मानक संविदात्मक खंडों या किसी अन्य GDPR अध्याय V सुरक्षा उपाय पर निर्भर रहेंगे।

11. ऑडिट अधिकार

नियंत्रक प्रति कैलेंडर वर्ष एक से अधिक बार और उचित नोटिस पर, इस DPA के साथ प्रोसेसर के अनुपालन को दर्शाने वाली लिखित जानकारी का अनुरोध कर सकता है। सेवा के वर्तमान पैमाने पर ऑन-साइट ऑडिट दायरे से बाहर हैं।

12. समाप्ति, वापसी, और हटाना

नियंत्रक के खाते की समाप्ति पर, नियंत्रक खाता → निर्यात सुविधा का उपयोग करके 30 दिनों के भीतर अपना डेटा निर्यात कर सकता है। समाप्ति से 60 दिन बाद, सभी नियंत्रक डेटा लाइव डेटाबेस से हटा दिया जाता है। पहले के स्नैपशॉट वाले एन्क्रिप्टेड बैकअप हमारी गोपनीयता नीति में वर्णित 14-दिन बैकअप-रिटेंशन विंडो के भीतर स्वचालित रूप से रोल ऑफ़ हो जाते हैं।

13. देयता और प्राथमिकता का क्रम

हमारी सेवा की शर्तों में देयता शर्तें इस DPA के तहत प्रसंस्करण पर लागू होती हैं। संघर्ष के मामले में, यह DPA व्यक्तिगत डेटा प्रसंस्करण के प्रश्नों को नियंत्रित करता है; शर्तें बाक़ी सब कुछ नियंत्रित करती हैं।

14. परिवर्तन

हम इस DPA को अपडेट कर सकते हैं। महत्वपूर्ण परिवर्तन प्रभावी होने से कम से कम 14 दिन पहले डैशबोर्ड में या ईमेल द्वारा चिह्नित किए जाएँगे।