यह डेटा प्रोसेसिंग एडेंडम ("DPA") समझौते का संशोधन करता है और इसका हिस्सा है (नीचे परिभाषित) प्रदाता और आप, प्रदाता की सेवाओं के उपयोगकर्ता ("ग्राहक") के बीच। 

इस DPA के उद्देश्यों के लिए, निम्नलिखित शर्तों का निम्नलिखित अर्थ होगा:

• "समझौतानामा" का अर्थ है सेवा के लिए प्रदाता और ग्राहक के बीच कोई भी समझौता, चाहे उसका शीर्षक कुछ भी हो, जैसे "आदेश फॉर्म," "बिक्री आदेश," "उपयोग की शर्तें," "सेवा की शर्तें," "SaaS समझौता," या "सेवाओं का समझौता।"
• "नियंत्रक" का अर्थ GDPR में परिभाषित है।
• "ग्राहक खाता और उपयोग डेटा" का अर्थ है ग्राहक के बारे में जानकारी जो ग्राहक प्रदाता को खाता बनाने और प्रबंधन के संबंध में प्रदान करता है, जैसे पहले और अंतिम नाम, उपयोगकर्ता नाम, ईमेल पता, और खाता से जुड़े व्यक्तियों की बिलिंग और भुगतान जानकारी। इसमें सेवा के उपयोग से संबंधित सांख्यिकीय या विश्लेषणात्मक जानकारी और कोई व्युत्पन्न डेटा भी शामिल है। 
• "ग्राहक डेटा" का अर्थ है सेवाओं के प्रावधान के संबंध में प्रदाता द्वारा संसाधित डेटा, जैसा कि समझौते में वर्णित है, ग्राहक खाता और उपयोग डेटा को छोड़कर।
• "ग्राहक व्यक्तिगत डेटा" का अर्थ है ग्राहक डेटा, जो व्यक्तिगत डेटा का समावेश करता है।
• "डेटा संरक्षण कानून" का अर्थ है व्यक्तिगत डेटा के प्रसंस्करण से संबंधित कोई भी लागू कानून या विनियम, जिसमें (क) कैलिफोर्निया उपभोक्ता गोपनीयता अधिनियम और इसके कार्यान्वयन नियम; (ख) GDPR (नीचे परिभाषित) और यूरोपीय आर्थिक क्षेत्र के सदस्य राज्यों के संबंधित डेटा संरक्षण और गोपनीयता कानून; (ग) यूनाइटेड किंगडम का डेटा संरक्षण अधिनियम 2018 ("UK GDPR"); और (घ) स्विस संघीय डेटा संरक्षण अधिनियम ("स्विस DPA"), प्रत्येक लागू और समय-समय पर संशोधित, निरस्त, समेकित, या प्रतिस्थापित किया गया।
• "यूरोपीय क्षेत्र" का अर्थ है यूरोपीय संघ, यूरोपीय आर्थिक क्षेत्र, स्विट्ज़रलैंड, और ग्रेट ब्रिटेन और उत्तरी आयरलैंड ("UK")। 
• "GDPR" का अर्थ है प्राकृतिक व्यक्तियों के व्यक्तिगत डेटा के प्रसंस्करण के संबंध में सुरक्षा और ऐसे डेटा की स्वतंत्र आवाजाही पर 27 अप्रैल 2016 को यूरोपीय संसद और परिषद द्वारा जारी विनियमन (EU) 2016/679, और निर्देश 95/46/EC (सामान्य डेटा संरक्षण विनियमन) को निरस्त करना।
• "व्यक्तिगत डेटा" का अर्थ है किसी पहचाने गए या पहचाने जा सकने वाले प्राकृतिक व्यक्ति से संबंधित कोई भी जानकारी जिसे प्रदाता समझौते के तहत ग्राहक की ओर से संसाधित करता है। 
• "व्यक्तिगत डेटा उल्लंघन" का अर्थ है सुरक्षा का उल्लंघन जो व्यक्तिगत डेटा के आकस्मिक या अवैध विनाश, हानि, परिवर्तन, अनधिकृत प्रकटीकरण, या व्यक्तिगत डेटा तक पहुंच का कारण बनता है। व्यक्तिगत डेटा उल्लंघन में असफल प्रयास या गतिविधियाँ शामिल नहीं हैं जो ग्राहक डेटा या गोपनीय जानकारी की गोपनीयता, उपलब्धता, या अखंडता को प्रभावित नहीं करती हैं, जिसमें असफल लॉग-इन प्रयास, पिंग, पोर्ट स्कैन, सेवा से इनकार के हमले, और अन्य समान घटनाएँ शामिल हैं।
• "प्रसंस्करण" या "प्रसंस्करण" का अर्थ है व्यक्तिगत डेटा या व्यक्तिगत डेटा के सेट पर किया गया कोई भी संचालन या संचालन का सेट, चाहे स्वचालित तरीकों से हो या न हो, जैसे संग्रह, रिकॉर्डिंग, संगठन, संरचना, भंडारण, अनुकूलन या परिवर्तन, पुनर्प्राप्ति, परामर्श, उपयोग, प्रसारण द्वारा प्रकटीकरण, प्रसार या अन्यथा उपलब्ध कराना, संरेखण या संयोजन, प्रतिबंध, मिटाना, या विनाश।
• "प्रतिबंधित स्थानांतरण" का अर्थ है (क) जहाँ GDPR लागू होता है, EEA से एक देश में ग्राहक व्यक्तिगत डेटा या ग्राहक खाता और उपयोग डेटा का स्थानांतरण जो यूरोपीय आयोग द्वारा पर्याप्तता निर्धारण के अधीन नहीं है; (ख) जहाँ स्विस DPA लागू होता है, स्विट्ज़रलैंड से एक देश में ग्राहक व्यक्तिगत डेटा या ग्राहक खाता और उपयोग डेटा का स्थानांतरण जो स्विस संघीय डेटा संरक्षण और सूचना आयुक्त द्वारा पर्याप्तता निर्धारण के अधीन नहीं है; और (ग) जहाँ UK GDPR लागू होता है, UK से एक देश में ग्राहक व्यक्तिगत डेटा या ग्राहक खाता और उपयोग डेटा का स्थानांतरण जो 2018 के यूनाइटेड किंगडम डेटा संरक्षण अधिनियम की धारा 17A के तहत पर्याप्तता विनियमों का विषय नहीं है।
• "मानक संविदात्मक धाराएँ" का अर्थ है (क) जहाँ GDPR लागू होता है, व्यक्तिगत डेटा के तीसरे देशों में स्थानांतरण के लिए यूरोपीय आयोग के कार्यान्वयन निर्णय 2021/914 के साथ संलग्न मानक संविदात्मक धाराएँ; (ख) जहाँ UK GDPR लागू होता है, UK सूचना आयुक्त द्वारा जारी EU आयोग मानक संविदात्मक धाराओं के लिए अंतरराष्ट्रीय डेटा स्थानांतरण अनुपूरक, संस्करण B1.0, 21 मार्च 2022 को प्रभावी ("UK SCCs"); और (ग) जहाँ स्विस DPA लागू होता है, स्विस संघीय डेटा संरक्षण और सूचना आयुक्त द्वारा जारी, अनुमोदित या मान्यता प्राप्त लागू मानक डेटा संरक्षण धाराएँ ("स्विस SCCs"), प्रत्येक समय-समय पर अपडेट की जा सकती हैं।
• "तीसरा देश" का अर्थ है वे देश जो, जैसा कि लागू डेटा संरक्षण कानूनों द्वारा आवश्यक हो सकता है, व्यक्तिगत डेटा के सीमा पार डेटा स्थानांतरणों के संबंध में किसी लागू प्राधिकरण से पर्याप्तता निर्णय प्राप्त नहीं किए हैं, जिसमें यूरोपीय आयोग, UK ICO, या स्विस FDPIC जैसे नियामक शामिल हैं।

उपरोक्त परिभाषित नहीं किए गए पूंजीकृत शब्दों का अर्थ समझौते में उल्लिखित अर्थ होगा। जब तक इस DPA में अन्यथा प्रदान नहीं किया गया है, "व्यापार", "व्यापार का उद्देश्य", "व्यावसायिक उद्देश्य", "ठेकेदार", "नियंत्रक", "प्रसंस्करण", "प्रसंस्कर्ता", "उप-प्रसंस्कर्ता", "डेटा विषय", "अज्ञात करना", "बेचना", "सेवा प्रदाता", "साझा करना", और "तीसरा पक्ष" का वही अर्थ है जो लागू डेटा संरक्षण कानूनों में है, और उनके समानार्थी शब्दों को तदनुसार व्याख्यायित किया जाएगा। सभी अन्य पूंजीकृत शब्दों का वही अर्थ है जो समझौते में है।

2.1. ग्राहक व्यक्तिगत डेटा। पार्टी सहमत हैं कि प्रदाता ग्राहक व्यक्तिगत डेटा के प्रसंस्करण के संबंध में एक प्रोसेसर है। 

2.2. खाता और उपयोग डेटा। पार्टियाँ सहमत हैं कि ग्राहक और प्रदाता ग्राहक खाता और उपयोग डेटा के प्रसंस्करण के संबंध में स्वतंत्र नियंत्रक हैं, और प्रत्येक पार्टी एक नियंत्रक के रूप में अपनी जिम्मेदारियों का पालन करेगी और आवश्यकतानुसार दूसरे पक्ष को उचित सहायता प्रदान करने के लिए सहमत है। 2.3. सुरक्षा कानून। ग्राहक खाता और उपयोग डेटा के संबंध में, यह DPA लागू नहीं होता है सिवाय अनुभाग 7 के।

इस DPA के तहत प्रसंस्करण का उद्देश्य लागू अनुबंधों के तहत सेवाएँ प्रदान करना है। अनुसूची A (प्रसंस्करण और स्थानांतरण विवरण का विवरण) व्यक्तिगत डेटा के प्रसंस्करण का विषय और विवरण बताती है।

3.1. ग्राहक सहमत है कि (क) उसे GDPR और अन्य डेटा संरक्षण कानूनों के तहत नियंत्रक के रूप में अपनी जिम्मेदारियों का पालन करना होगा जहाँ इस अवधारणा को व्यक्तिगत डेटा की प्रोसेसिंग और किसी भी प्रोसेसिंग निर्देशों के संबंध में मान्यता प्राप्त है जो वह प्रदाता को देता है जैसा कि अनुभाग 4.1 में संदर्भित है; (ख) उसने सूचित किया है और डेटा संरक्षण कानूनों द्वारा आवश्यक सभी सहमति और अधिकार प्राप्त किए हैं ताकि प्रदाता ग्राहक व्यक्तिगत डेटा को समझौते और इस DPA के अनुसार प्रोसेस कर सके; और (ग) ग्राहक द्वारा अनुभाग 4.1 के तहत प्रदाता द्वारा ग्राहक व्यक्तिगत डेटा की प्रोसेसिंग ग्राहक के दस्तावेज़ीकृत निर्देशों के अनुपालन में GDPR और अन्य डेटा संरक्षण कानूनों के अनुच्छेद 6 के अनुसार प्रोसेसिंग के लिए एक वैध आधार होगा जो प्रोसेसिंग के लिए एक वैध आधार की आवश्यकता होती है. 

3.2. यदि ग्राहक एक प्रोसेसर है, तो ग्राहक प्रदाता को यह प्रतिनिधित्व और वारंट करता है कि ग्राहक के व्यक्तिगत डेटा के संबंध में ग्राहक के निर्देश और क्रियाएँ, जिसमें प्रदाता को एक अन्य प्रोसेसर के रूप में नियुक्त करना शामिल है, संबंधित नियंत्रक द्वारा उचित रूप से अधिकृत की गई हैं। ग्राहक को प्रदाता के खिलाफ किसी भी दावों, कार्यों, कार्यवाही, खर्चों, क्षतियों, और देनदारियों (जिसमें बिना किसी सीमा के किसी भी सरकारी जांच, शिकायतें, और कार्यवाही) और उचित वकीलों की फीस से मुक्त, बचाव और सुरक्षित रखना होगा जो ग्राहक के इस अनुभाग का उल्लंघन करने से उत्पन्न होती हैं। समझौते में इसके विपरीत कुछ भी होने के बावजूद, इस अनुभाग के तहत ग्राहक की मुआवजे की जिम्मेदारियाँ समझौते में किसी भी देनदारी की सीमाओं के अधीन नहीं होंगी।

4.1. ग्राहक प्रदाता को ग्राहक के व्यक्तिगत डेटा को सेवाएँ प्रदान करने के लिए संसाधित करने के लिए निर्देशित करता है जैसा कि समझौते में दस्तावेजीकृत है, जब तक कि लागू कानून द्वारा अन्यथा आवश्यक न हो। संदेह से बचने के लिए, यह DPA ग्राहक के प्रदाता को ग्राहक के व्यक्तिगत डेटा को ग्राहक को सेवा प्रदान करने के संबंध में संसाधित करने के लिए दस्तावेजीकृत निर्देशों का गठन करेगा। यदि प्रदाता की एकमात्र राय में कोई निर्देश लागू कानून का उल्लंघन करता है, तो प्रदाता को तुरंत ग्राहक को सूचित करना चाहिए।

4.2. जहां प्रदाता अपनी क्षमता में एक प्रोसेसर के रूप में ग्राहक के व्यक्तिगत डेटा को संसाधित करता है, प्रदाता केवल ग्राहक की ओर से प्रदर्शन करने और सेवाओं को प्रदान करने के विशेष व्यावसायिक उद्देश्य के लिए आवश्यकतानुसार व्यक्तिगत डेटा का उपयोग, बनाए रखेगा, प्रकट करेगा या अन्यथा संसाधित करेगा। प्रदाता ग्राहक के निर्देशों के अनुसार ग्राहक के व्यक्तिगत डेटा को "बेचेगा" नहीं, जिसमें समझौते में वर्णित है। प्रदाता व्यक्तिगत डेटा को न तो बेचेगा और न ही साझा करेगा, न ही अपने व्यावसायिक संबंध के बाहर या किसी अन्य उद्देश्य (प्रदाता के व्यावसायिक उद्देश्य सहित) के लिए व्यक्तिगत डेटा का उपयोग, बनाए रखेगा, प्रकट करेगा या अन्यथा संसाधित करेगा, जब तक कि कानून द्वारा आवश्यक या अनुमति न दी गई हो। यदि प्रदाता यह निर्धारित करता है कि वह डेटा सुरक्षा कानूनों के तहत अपनी बाधाओं को पूरा करने में असमर्थ है, तो प्रदाता ग्राहक को सूचित करेगा। प्रदाता या जहां, प्रदाता की उचित राय में, ग्राहक के किसी भी निर्देश का उल्लंघन डेटा सुरक्षा कानूनों का उल्लंघन करता है। ग्राहक उचित और उपयुक्त कदम उठाने का अधिकार सुरक्षित रखता है (i) यह सुनिश्चित करने के लिए कि प्रदाता का व्यक्तिगत डेटा का संसाधन ग्राहक के डेटा सुरक्षा कानून के तहत दायित्वों के साथ संगत है और (ii) व्यक्तिगत डेटा के अनधिकृत उपयोग को बंद करने और सुधारने के लिए। प्रदाता प्रमाणित करता है कि वह इस अनुभाग 4.2 की सीमाओं को समझता है।

4.3. प्रदाता के पास व्यक्तिगत डेटा का उपयोग करने का अधिकार है केवल (i) उस सीमा तक आवश्यक है (a) समझौते और इस DPA के तहत अपनी बाधाओं को पूरा करने के लिए; (b) सेवाओं का संचालन, प्रबंधन, परीक्षण, रखरखाव और सुधार करने के लिए, जिसमें इसके व्यावसायिक संचालन का हिस्सा शामिल है; (c) सेवाओं के बारे में ऐसे समग्र आंकड़े प्रकट करने के लिए जो ग्राहक, ग्राहक डेटा, व्यक्तिगत डेटा की व्यक्तिगत पहचान या पुनः पहचान को रोकते हैं, जिसमें बिना किसी सीमा के कोई व्यक्तिगत उपकरण या व्यक्तिगत व्यक्ति शामिल है; और/या (d) सेवाओं या व्यक्तिगत डेटा के लिए खतरे से सेवाओं की रक्षा करने के लिए; या (ii) यदि किसी अदालत के आदेश या अधिकृत सरकारी एजेंसी द्वारा आवश्यक हो, बशर्ते कि पहले ग्राहक को नोटिस दिया जाए; (iii) जैसा कि समझौते, इस DPA, या ग्राहक द्वारा स्पष्ट रूप से अधिकृत किया गया है।

4.4. प्रदाता ग्राहक की ओर से संसाधित व्यक्तिगत डेटा को किसी अन्य व्यक्ति या व्यक्तियों से प्राप्त व्यक्तिगत डेटा के साथ या किसी व्यक्तिगत के साथ अपने स्वयं के इंटरैक्शन से एकत्रित व्यक्तिगत डेटा के साथ संयोजित नहीं करेगा, बशर्ते कि प्रदाता किसी व्यावसायिक उद्देश्य को पूरा करने के लिए व्यक्तिगत डेटा को संयोजित कर सकता है जो समझौते के तहत सेवाओं को प्रदान करने के लिए अनुमति या आवश्यक है।

4.5. प्रदाता व्यावसायिक रूप से उचित प्रयास करेगा यह सुनिश्चित करने के लिए कि प्रदाता द्वारा किसी भी ग्राहक व्यक्तिगत डेटा को संसाधित करने के लिए अधिकृत व्यक्तियों पर उचित गोपनीयता बाध्यताएँ लागू हैं। 

4.6. प्रदाता, प्रसंस्करण की प्रकृति को ध्यान में रखते हुए, ग्राहक की लागत पर उचित तकनीकी और संगठनात्मक उपायों के माध्यम से ग्राहक की सहायता करने के लिए व्यावसायिक रूप से उचित प्रयास करेगा, यथासंभव, डेटा सुरक्षा कानूनों के तहत उनके व्यक्तिगत डेटा के संबंध में डेटा विषयों के अधिकारों का प्रयोग करने के लिए अनुरोधों का उत्तर देने के लिए ग्राहक की बाध्यता को पूरा करने में।

4.7. प्रदाता ग्राहक को इस DPA और लागू डेटा सुरक्षा कानूनों के तहत अपनी बाधाओं के अनुपालन के बारे में साक्ष्य प्रदान करेगा, जैसे कि SOC II प्रकार 2 या ISO27001 सुरक्षा ऑडिट से संबंधित सारांश रिपोर्ट, या समकक्ष, ग्राहक के अनुरोध पर और वर्ष में एक बार से अधिक नहीं, जब तक कि अनुरोध व्यक्तिगत डेटा उल्लंघन या ग्राहक द्वारा सेवाओं के उपयोग से संबंधित नियामक पूछताछ से संबंधित न हो।

4.8. ग्राहक के चयन पर, प्रदाता अनुरोध पर, ग्राहक को सभी ग्राहक व्यक्तिगत डेटा को सेवाओं की प्रदायगी के अंत के बाद तीस (30) दिनों के भीतर हटा देगा या ग्राहक को वापस करेगा और मौजूदा प्रतियों को हटा देगा जब तक कि लागू कानून व्यक्तिगत डेटा के संरक्षण की आवश्यकता न करे।

4.9. यदि प्रदाता वास्तव में व्यक्तिगत डेटा उल्लंघन के बारे में जागरूक हो जाता है, तो प्रदाता ग्राहक को तुरंत सूचित करेगा, बशर्ते कि ऐसी सूचना या प्रदाता द्वारा किसी भी प्रतिक्रिया को किसी भी व्यक्तिगत डेटा उल्लंघन के संबंध में दोष या जिम्मेदारी के रूप में नहीं माना जाएगा।

4.10. प्रदाता ग्राहक के व्यक्तिगत डेटा की सुरक्षा के लिए उचित तकनीकी और संगठनात्मक उपायों का उपयोग करेगा जो (a) डेटा सुरक्षा कानून के तहत आवश्यकताओं को पूरा करेगा या उससे अधिक होगा, और (b) इस DPA के अनुसूची B में। ग्राहक स्वीकार करता है कि अनुसूची B में वर्णित सुरक्षा उपाय तकनीकी प्रगति और विकास के अधीन हैं और प्रदाता समय-समय पर सुरक्षा उपायों को अपडेट या संशोधित कर सकता है, बशर्ते कि ऐसे अपडेट और संशोधन सेवाओं की समग्र सुरक्षा को कम या घटित न करें।

5.1. धारा 4 की सीमाओं के बिना, यूरोपीय आर्थिक क्षेत्र ("ईयू व्यक्तिगत डेटा") में स्थित डेटा विषयों से संबंधित व्यक्तिगत डेटा को संसाधित करते समय, निम्नलिखित अतिरिक्त शर्तें लागू होंगी:

क) प्रदाता को, संसाधन की प्रकृति और प्रदाता के पास उपलब्ध जानकारी को ध्यान में रखते हुए, ग्राहक की लागत पर ग्राहक की उन बाध्यताओं के अनुपालन को सुनिश्चित करने में सहायता करने के लिए वाणिज्यिक रूप से उचित प्रयास करना चाहिए जो जीडीपीआर के अनुच्छेद 32 से 36 में वर्णित हैं; और

ख) प्रदाता को ग्राहक के उचित अनुरोध पर इस डीपीए में बाध्यताओं के साथ सामग्री अनुपालन को प्रदर्शित करने के लिए आवश्यक जानकारी उपलब्ध करानी चाहिए और ऑडिट (प्रत्येक, "ऑडिट") के लिए अनुमति देनी चाहिए और योगदान करना चाहिए, ग्राहक की लागत पर, जिसमें प्रदाता के नियंत्रण में संसाधन सुविधाओं का निरीक्षण शामिल है, जिसे ग्राहक या ग्राहक द्वारा चुने गए अन्य ऑडिटर (एक "ऑडिटर") द्वारा सामान्य व्यावसायिक घंटों में और उचित पूर्व सूचना के बाद किया जाएगा, बशर्ते कि कोई ऑडिटर प्रदाता का प्रतियोगी नहीं होगा, और आगे यह कि किसी भी स्थिति में ग्राहक को प्रदाता के किसी अन्य ग्राहक की जानकारी तक पहुंच नहीं होगी और इस धारा 5.1(ख) के अनुसार किए गए खुलासे ("ऑडिट जानकारी") को प्रदाता की गोपनीय जानकारी के रूप में गोपनीय रखा जाएगा और समझौते में किसी भी गोपनीयता की बाध्यताओं के अधीन होगा, और आगे यह कि कोई ऑडिट तब तक नहीं किया जाएगा जब तक या जब तक ग्राहक ने अनुरोध नहीं किया है, और प्रदाता ने इस धारा के अनुसार दस्तावेज़ प्रदान नहीं किया है और ग्राहक उचित रूप से यह निर्धारित करता है कि ऑडिट सामग्री अनुपालन को प्रदर्शित करने के लिए आवश्यक है। समझौते में किसी भी प्रावधान की सामान्यता को सीमित किए बिना, ग्राहक को ऑडिट जानकारी की सुरक्षा के लिए उसी स्तर की देखभाल करनी चाहिए जिसका उपयोग वह अपनी गोपनीय और स्वामित्व वाली जानकारी की रक्षा के लिए करता है और किसी भी स्थिति में, परिस्थितियों के तहत एक उचित स्तर की देखभाल से कम नहीं, और ग्राहक किसी भी अनुचित खुलासे या ऑडिट जानकारी के उपयोग के लिए जिम्मेदार होगा जो ग्राहक या उसके एजेंटों द्वारा किया गया है।

6.1. उपप्रोसेसर प्रदाता को इस DPA में निर्धारित व्यक्तिगत डेटा को संसाधित करने में सहायता करते हैं। प्रदाता उपप्रोसेसर के साथ अनुबंधीय व्यवस्थाएँ करेगा जो इस DPA में प्रदान की गई डेटा सुरक्षा अनुपालन और सूचना सुरक्षा के समान स्तर की आवश्यकता रखते हैं। समझौते और इस DPA में प्रवेश करके, ग्राहक उपप्रोसेसर को व्यक्तिगत डेटा के प्रकटीकरण और हस्तांतरण द्वारा व्यक्तिगत डेटा के संसाधन के लिए सहमति देता है जो https://www.pdffiller.com/en/subprocessors.htm ("उपप्रोसेसर सूची") में सूचीबद्ध हैं। प्रदाता ग्राहक को उपप्रोसेसर सूची में उपप्रोसेसर जोड़ने या बदलने के लिए किसी भी इच्छित परिवर्तन के बारे में सूचित करेगा, कम से कम दस (10) कैलेंडर दिन पहले, जब नया उपप्रोसेसर EU व्यक्तिगत डेटा को संसाधित करता है। 

6.2. ग्राहक ऐसे परिवर्तनों पर लिखित में आपत्ति कर सकता है, बशर्ते कि ऐसी आपत्ति डेटा सुरक्षा से संबंधित उचित कारणों पर आधारित हो (एक "आपत्ति") pdfFiller उपप्रोसेसर कार्रवाई फॉर्म प्रस्तुत करके। यदि आपत्ति होती है, तो पक्ष अच्छे विश्वास में ऐसे चिंताओं पर चर्चा करेंगे, जिसका उद्देश्य समाधान प्राप्त करना है। यदि पक्ष पिछले वाक्य में वर्णित समाधान प्राप्त करने में असमर्थ होते हैं, तो ग्राहक, अपने एकमात्र और विशेष उपाय के रूप में, सुविधा के लिए समझौता समाप्त कर सकता है, इस शर्त पर कि ग्राहक उपप्रोसेसर की संलग्नता की सूचना मिलने के पांच (5) कैलेंडर दिनों के भीतर प्रदाता को लिखित सूचना प्रदान करता है। ग्राहक इस अनुभाग के अनुसार किसी भी समाप्ति की तिथि से पहले भुगतान किए गए शुल्क की कोई भी वापसी का हकदार नहीं होगा।

7.1. ग्राहक अमेरिका में EU व्यक्तिगत डेटा के हस्तांतरण और प्रसंस्करण के लिए सहमति देता है।

7.2. EEA से हस्तांतरण। जहां EEA से एक प्रतिबंधित हस्तांतरण किया जाता है, EU SCCs इस DPA में शामिल हैं और हस्तांतरण पर निम्नलिखित के रूप में लागू होते हैं:

         a) ग्राहक से प्रदाता के लिए प्रतिबंधित हस्तांतरण के संबंध में, जब ग्राहक और प्रदाता दोनों नियंत्रक होते हैं तो मॉड्यूल एक लागू होता है, जब ग्राहक एक नियंत्रक होता है और प्रदाता एक प्रोसेसर होता है तो मॉड्यूल दो लागू होता है, और जब ग्राहक और प्रदाता दोनों प्रोसेसर होते हैं तो मॉड्यूल तीन लागू होता है।

         b) धारा 7 में, वैकल्पिक डॉकिंग धारा लागू नहीं होती;

         c) मॉड्यूल दो और तीन की धारा 9 में, विकल्प 2 लागू होता है, और उप-प्रोसेसर परिवर्तनों के लिए पूर्व सूचना की अवधि इस DPA के अनुभाग 6 में निर्दिष्ट है।

         d) धारा 11 में, वैकल्पिक भाषा लागू नहीं होती

         e) धारा 17 में, विकल्प 1 लागू होता है जिसमें शासक कानून उस कानून के चयन में निर्दिष्ट होता है; स्थान अनुभाग समझौते का। यदि समझौता किसी EU सदस्य राज्य के कानून द्वारा शासित नहीं है, तो मानक संविदात्मक धाराएँ (i) आयरलैंड के कानूनों द्वारा, या (ii) जहां समझौता यूनाइटेड किंगडम के कानूनों द्वारा शासित होता है, इंग्लैंड और वेल्स के कानूनों द्वारा शासित होंगी।

         f) धारा 18(b) में, विवादों का समाधान समझौते के लागू स्थान के न्यायालयों के समक्ष किया जाएगा। यदि समझौता किसी EU सदस्य राज्य के न्यायालय को किसी विवाद या मुकदमे को हल करने के लिए विशेष अधिकार क्षेत्र के रूप में निर्दिष्ट नहीं करता है जो इस समझौते से उत्पन्न होता है या इससे संबंधित है, तो पक्ष सहमत होते हैं कि (i) आयरलैंड के न्यायालय; या (ii) जहां समझौता यूनाइटेड किंगडम को विशेष अधिकार क्षेत्र के रूप में निर्दिष्ट करता है, इंग्लैंड और वेल्स के न्यायालय किसी भी विवाद को हल करने के लिए विशेष अधिकार क्षेत्र रखेंगे जो मानक संविदात्मक धाराओं से उत्पन्न होता है। स्विट्जरलैंड में नियमित निवास करने वाले डेटा विषयों के लिए, स्विट्जरलैंड के न्यायालय विवादों के संबंध में वैकल्पिक अधिकार क्षेत्र का स्थान हैं।

         g) SCCs का परिशिष्ट I इस DPA के अनुसूची A में जानकारी के साथ पूर्ण किया गया है; और

         h) SCCs का परिशिष्ट II इस DPA के अनुसूची B में जानकारी के साथ पूर्ण किया गया है, और SCCs का परिशिष्ट III उप-प्रोसेसर सूची में जानकारी के साथ पूर्ण किया गया है।

7.3. स्विट्जरलैंड से हस्तांतरण। स्विट्जरलैंड से डेटा के किसी भी हस्तांतरण के मामले में, (a) EU SCCs में GDPR या EU या सदस्य राज्य कानून के सामान्य और विशिष्ट संदर्भ स्विस DPA में समकक्ष संदर्भ के समान अर्थ रखते हैं, जैसा कि लागू होता है; और (b) EU SCCs में किसी अन्य बाध्यता जो उस सदस्य राज्य द्वारा निर्धारित की गई है जिसमें डेटा निर्यातक या डेटा विषय स्थापित है, स्विस DPA के तहत एक बाध्यता को संदर्भित करती है, जैसा कि लागू होता है।

7.4. यूके से हस्तांतरण। जहां यूके से एक प्रतिबंधित हस्तांतरण किया जाता है, यूके ट्रांसफर ऐडेंडम इस DPA में शामिल किया गया है और हस्तांतरण पर लागू होता है। यूके ट्रांसफर ऐडेंडम अनुभाग 7.2, उप-प्रोसेसर सूची, और इस DPA के अनुसूची A और B में जानकारी के साथ पूर्ण किया गया है; और "आयातक" और "निर्यातक" दोनों तालिका 4 में चयनित हैं।

7.5. यदि प्रदाता एक वैकल्पिक डेटा निर्यात तंत्र (जिसमें डेटा संरक्षण कानून के अनुसार अपनाए गए मानक संविदात्मक धाराओं या प्राइवेसी शील्ड का कोई नया संस्करण या उत्तराधिकारी शामिल है) को व्यक्तिगत डेटा के हस्तांतरण के लिए अपनाता है जो इस DPA में वर्णित नहीं है ("वैकल्पिक हस्तांतरण तंत्र"), तो वैकल्पिक हस्तांतरण तंत्र इस DPA में वर्णित किसी भी लागू हस्तांतरण तंत्र के बजाय लागू होगा (लेकिन केवल इस हद तक कि ऐसा वैकल्पिक हस्तांतरण तंत्र डेटा संरक्षण कानून का पालन करता है और उन क्षेत्रों तक विस्तारित होता है जहां व्यक्तिगत डेटा का हस्तांतरण किया जाता है)।

8.1. इस DPA की शर्तें इस DPA और समझौते की शर्तों के बीच किसी भी संघर्ष की स्थिति में नियंत्रण करेंगी। यदि इस DPA और मानक संविदात्मक धाराओं के बीच कोई संघर्ष है, तो मानक संविदात्मक धाराएं EU, स्विस, या UK व्यक्तिगत डेटा के संबंध में प्रबल होंगी। जब तक कि इस DPA द्वारा विशेष रूप से संशोधित और परिवर्तित नहीं किया गया है, समझौते की शर्तें और प्रावधान अपरिवर्तित और पूर्ण प्रभाव में बने रहते हैं। इस DPA के अनुभाग 3 में उल्लिखित के अलावा, इस DPA में निहित दायित्व (a) समझौते में उल्लिखित किसी भी दायित्व की सीमाओं के अधीन हैं, और (b) समझौते में निहित अन्य दायित्वों के अतिरिक्त हैं। इस DPA को इलेक्ट्रॉनिक रूप से निष्पादित किया जा सकता है, जिसमें प्रदाता की इलेक्ट्रॉनिक हस्ताक्षर सेवाओं का उपयोग करना शामिल है।

इस दस्तावेज़ में यह अनुभाग पार्टियों की संपर्क जानकारी को शामिल करेगा जो इस DPA के तहत सूचनाओं के लिए है।

• डेटा विषयों की श्रेणियाँ जिनका व्यक्तिगत डेटा स्थानांतरित किया जाता है

ग्राहक के प्रतिनिधि; भागीदारों के प्रतिनिधि; सेवाओं के उपयोगकर्ता और आगंतुक, जिसमें बिना किसी सीमा के सेवाओं में अपलोड की गई फ़ाइलों के प्राप्तकर्ता; और सेवाओं में अपलोड की गई फ़ाइलों में संदर्भित व्यक्ति।

• स्थानांतरित व्यक्तिगत डेटा की श्रेणियाँ

उपरोक्त वर्णित डेटा विषयों की श्रेणी से संबंधित EU व्यक्तिगत डेटा। EU व्यक्तिगत डेटा विशेष सेवाओं पर निर्भर करता है लेकिन इसमें शामिल हो सकता है: नाम, ईमेल पता, जनसांख्यिकी डेटा, आईपी पता, नियोक्ता, पता, भू-स्थान, टेलीफोन नंबर, पेशा, और स्थिति, और कोई भी EU व्यक्तिगत डेटा जो ग्राहक और सेवाओं के उपयोगकर्ता और सेवाओं के आगंतुकों द्वारा सेवाओं के संबंध में प्रदान किया गया है (जिसमें बिना किसी सीमा के सेवाओं में अपलोड की गई फ़ाइलों के प्राप्तकर्ता) सेवाओं में अपलोड की गई फ़ाइलों में ग्राहक व्यक्तिगत डेटा शामिल है।

• संवेदनशील डेटा का स्थानांतरण (यदि लागू हो) और लागू प्रतिबंध या सुरक्षा उपाय जो डेटा की प्रकृति और शामिल जोखिमों पर पूरी तरह से विचार करते हैं, जैसे कि उदाहरण के लिए सख्त उद्देश्य सीमा, पहुंच प्रतिबंध (विशेषीकृत प्रशिक्षण प्राप्त करने वाले कर्मचारियों के लिए केवल पहुंच सहित), डेटा तक पहुंच का रिकॉर्ड रखना, आगे के स्थानांतरण के लिए प्रतिबंध या अतिरिक्त सुरक्षा उपाय।

व्यक्तिगत डेटा की सामग्री विविध है और डेटा निर्यातक के नियंत्रण में है, लेकिन समय-समय पर, विशेष सेवाओं के आधार पर, संबंधित डेटा संरक्षण कानूनों के तहत संवेदनशील डेटा शामिल हो सकता है। 

• स्थानांतरण की आवृत्ति

स्थानांतरण सेवाओं के प्रदर्शन के लिए आवश्यक अवधि के लिए निरंतर होंगे, अनुबंध में निर्धारित किसी अन्य उद्देश्यों के लिए, और लागू कानूनों और विनियमों के अनुपालन में।

• प्रसंस्करण की प्रकृति

EU व्यक्तिगत डेटा बुनियादी प्रसंस्करण के अधीन होगा, जिसमें संग्रह, रिकॉर्डिंग, संगठन, संग्रहण, अनुकूलन या परिवर्तन, पुनर्प्राप्ति, परामर्श, उपयोग, संचरण द्वारा प्रकटीकरण, प्रसार या अन्यथा उपलब्ध कराने, संरेखण या संयोजन, अवरोधन, मिटाना, या विनाश शामिल है, जो प्रदाता द्वारा ग्राहक को सेवाएं प्रदान करने के उद्देश्य से अनुबंध की शर्तों के अनुसार है।

• स्थानांतरण का उद्देश्य

EU व्यक्तिगत डेटा उन प्रसंस्करण संचालन के अधीन होगा जो अनुबंध में वर्णित हैं। 

• रखरखाव अवधि या इसके मानदंड

ग्राहक को ऐसी सेवाएं प्रदान करते समय, प्रदाता ग्राहक द्वारा निर्देशित EU व्यक्तिगत डेटा को अनुबंध की अवधि के लिए संसाधित करेगा।

• उपप्रोसेसरों को स्थानांतरण

सभी अधिकृत उपप्रोसेसरों को प्रदाता के तहत इस DPA के अनुसार आवश्यक तकनीकी और संगठनात्मक उपायों, जिम्मेदारियों और दायित्वों को लागू और बनाए रखने की आवश्यकता है।

• कैलिफ़ोर्निया उपभोक्ताओं की व्यक्तिगत जानकारी के प्रसंस्करण के लिए व्यावसायिक उद्देश्य

कैलिफ़ोर्निया उपभोक्ताओं से संबंधित प्रसंस्करण के लिए, केवल निम्नलिखित और चेक किए गए व्यावसायिक उद्देश्य व्यक्तिगत डेटा के प्रसंस्करण के लिए लागू होते हैं:

     उपभोक्ता की व्यक्तिगत जानकारी के उपयोग को सुनिश्चित करने के लिए सुरक्षा और अखंडता में मदद करना जब यह उद्देश्य के लिए उचित रूप से आवश्यक और अनुपातिक हो 

     त्रुटियों की पहचान और मरम्मत के लिए डिबगिंग करना जो मौजूदा इच्छित कार्यक्षमता को बाधित करती हैं। 

     व्यवसाय की ओर से सेवाएँ प्रदान करना, जिसमें खातों का रखरखाव या सेवा, ग्राहक सेवा प्रदान करना, आदेशों और लेनदेन को संसाधित या पूरा करना, ग्राहक जानकारी की पुष्टि करना, भुगतान संसाधित करना, वित्तीय सेवाएँ प्रदान करना, विश्लेषणात्मक सेवाएँ प्रदान करना, संग्रहण प्रदान करना, या व्यवसाय की ओर से समान सेवाएँ प्रदान करना शामिल हैं। 

     तकनीकी विकास और प्रदर्शन के लिए आंतरिक अनुसंधान करना। 

     एक सेवा या उपकरण की गुणवत्ता या सुरक्षा को सत्यापित या बनाए रखने के लिए गतिविधियाँ करना जो व्यवसाय के स्वामित्व, निर्मित, व्यवसाय के लिए निर्मित, या नियंत्रित है, और सेवा या उपकरण को सुधारने, अपग्रेड करने, या बढ़ाने के लिए जो व्यवसाय के स्वामित्व, निर्मित, व्यवसाय के लिए निर्मित, या नियंत्रित है। 

     एक अन्य सेवा प्रदाता या ठेकेदार को उपठेकेदार के रूप में बनाए रखना और नियोजित करना जहाँ उपठेकेदार CCPA के तहत सेवा प्रदाता या ठेकेदार की आवश्यकताओं को पूरा करता है। 

     व्यवसाय को प्रदान की जा रही सेवाओं की गुणवत्ता को बनाए रखने या सुधारने के लिए, भले ही यह व्यावसायिक उद्देश्य CCPA द्वारा आवश्यक लिखित अनुबंध में निर्दिष्ट न हो, बशर्ते कि सेवा प्रदाता व्यक्तिगत डेटा का उपयोग किसी अन्य व्यक्ति की ओर से सेवाएँ प्रदान करने के लिए न करे। 

डेटा सुरक्षा घटनाओं को रोकने, पहचानने, या जांचने या दुर्भावनापूर्ण, धोखाधड़ी, या अवैध गतिविधियों के खिलाफ सुरक्षा के लिए, भले ही यह व्यावसायिक उद्देश्य लिखित अनुबंध में निर्दिष्ट न हो।

〇 अद्वितीय आगंतुकों के लिए विज्ञापन इंप्रेशन की गिनती, विज्ञापन इंप्रेशन की स्थिति और गुणवत्ता की पुष्टि करने, और इस विनिर्देशन और अन्य मानकों के अनुपालन का ऑडिट करने से संबंधित ऑडिटिंग।

〇 उपभोक्ता को विज्ञापन और विपणन सेवाएँ प्रदान करना, क्रॉस-कॉन्टेक्स्ट व्यवहारिक विज्ञापन को छोड़कर, बशर्ते कि विज्ञापन और विपणन के उद्देश्य के लिए, एक सेवा प्रदाता या ठेकेदार उपभोक्ताओं की व्यक्तिगत जानकारी को संयोजित नहीं करेगा जो सेवा प्रदाता या ठेकेदार व्यवसाय की ओर से प्राप्त करता है या किसी अन्य व्यक्ति या व्यक्तियों से प्राप्त करता है या अपने उपभोक्ताओं के साथ बातचीत से एकत्र करता है। 

〇 अल्पकालिक, क्षणिक उपयोग, जिसमें, लेकिन सीमित नहीं है, व्यवसाय के साथ उपभोक्ता की वर्तमान बातचीत के हिस्से के रूप में प्रदर्शित गैर-व्यक्तिगत विज्ञापन, बशर्ते कि उपभोक्ता की व्यक्तिगत जानकारी किसी अन्य तीसरे पक्ष को प्रकट नहीं की जाती है और इसका उपयोग उपभोक्ता के बारे में एक प्रोफ़ाइल बनाने के लिए नहीं किया जाता है या व्यवसाय के साथ वर्तमान बातचीत के बाहर उपभोक्ता के अनुभव को अन्यथा बदलने के लिए नहीं किया जाता है।

• जहाँ डेटा निर्यातक एक EU सदस्य राज्य में स्थापित है, डेटा निर्यातक द्वारा डेटा ट्रांसफर के संबंध में विनियमन (EU) 2016/679 के अनुपालन को सुनिश्चित करने के लिए जिम्मेदार पर्यवेक्षी प्राधिकरण एक सक्षम पर्यवेक्षी प्राधिकरण के रूप में कार्य करेगा।
• जहाँ डेटा निर्यातक एक EU सदस्य राज्य में स्थापित नहीं है लेकिन विनियमन (EU) 2016/679 के अनुच्छेद 3(2) के अनुसार इसके क्षेत्रीय अनुप्रयोग के दायरे में आता है और अनुच्छेद 27(1) के अनुसार एक प्रतिनिधि नियुक्त किया है: उस सदस्य राज्य का पर्यवेक्षी प्राधिकरण जिसमें अनुच्छेद 27(1) के अर्थ में प्रतिनिधि स्थापित है, सक्षम पर्यवेक्षी प्राधिकरण के रूप में कार्य करेगा।
• जहाँ डेटा निर्यातक एक EU सदस्य राज्य में स्थापित नहीं है लेकिन विनियमन (EU) 2016/679 के अनुच्छेद 3(2) के अनुसार इसके क्षेत्रीय अनुप्रयोग के दायरे में आता है, बिना, हालाँकि अनुच्छेद 27(2) के अनुसार एक प्रतिनिधि नियुक्त किए: डेटा प्रोटेक्शन कमीशन (DPC) – 21 फिट्जविलियम स्क्वायर, साउथ डबलिन 2, D02 RD28 आयरलैंड सक्षम पर्यवेक्षी प्राधिकरण के रूप में कार्य करेगा।
• जहाँ डेटा निर्यातक यूनाइटेड किंगडम में स्थापित है या यूके डेटा प्रोटेक्शन कानूनों और विनियमों के क्षेत्रीय अनुप्रयोग के दायरे में आता है, सूचना आयुक्त कार्यालय सक्षम पर्यवेक्षी प्राधिकरण के रूप में कार्य करेगा।
• जहाँ डेटा निर्यातक स्विट्जरलैंड में स्थापित है या स्विस डेटा प्रोटेक्शन कानूनों और विनियमों के क्षेत्रीय अनुप्रयोग के दायरे में आता है, स्विस संघीय डेटा प्रोटेक्शन और सूचना आयुक्त सक्षम पर्यवेक्षी प्राधिकरण के रूप में कार्य करेगा जब तक कि संबंधित डेटा ट्रांसफर स्विस डेटा प्रोटेक्शन कानूनों और विनियमों द्वारा शासित है।

• कार्यक्रम. प्रदाता एक लिखित सूचना सुरक्षा कार्यक्रम ("सूचना सुरक्षा कार्यक्रम") को लागू और बनाए रखेगा, जिसमें उचित प्रशासनिक, तकनीकी, और संगठनात्मक सुरक्षा उपाय शामिल होंगे जो इस अनुसूची के अनुरूप हैं. 
• पहुंच नियंत्रण. प्रदाता उपाय लागू करेगा: (a) "कम से कम विशेषाधिकार के सिद्धांत" का पालन करने के लिए, जिसके अनुसार प्रदाता के कर्मचारियों द्वारा व्यक्तिगत डेटा तक पहुंच आवश्यकतानुसार सीमित होगी; और (b) समझौते के तहत प्रदर्शन के लिए जब ऐसी पहुंच की आवश्यकता नहीं रह जाएगी, तो तुरंत अपने कर्मचारियों की व्यक्तिगत डेटा तक पहुंच समाप्त कर देगा.
• खाता प्रबंधन. प्रदाता सभी खाता क्रेडेंशियल्स के निर्माण, उपयोग, और हटाने का प्रबंधन करेगा जो प्रदाता की प्रमुख अवसंरचना तक पहुंचने के लिए उपयोग किए जाते हैं, जिसमें सभी महत्वपूर्ण प्रणालियों में बहु-कारक प्रमाणीकरण की आवश्यकता शामिल है. 
• कमजोरी प्रबंधन. प्रदाता (a) समय-समय पर स्वचालित कमजोरी स्कैनिंग उपकरणों का उपयोग करेगा ताकि प्रदाता के उत्पादन प्रणाली में कमजोरियों की स्कैनिंग की जा सके, जिसमें लेकिन सीमित नहीं है, पैठ परीक्षण, और (b) पैच प्रबंधन और सॉफ़्टवेयर अपडेट उपकरणों को लागू करेगा जैसा कि उन उपकरणों के प्रदाताओं द्वारा सूचित किया गया है. 
• सुरक्षा विभाजन. प्रदाता बहु-स्तरीय आधार पर जानकारी के प्रवाह की निगरानी, पहचान, और प्रतिबंधित करेगा, जैसे कि फ़ायरवॉल, प्रॉक्सी, और नेटवर्क-आधारित घुसपैठ पहचान प्रणाली का उपयोग करके. 
• डेटा हानि रोकथाम. प्रदाता हानि रोकथाम उपायों का उपयोग करेगा ताकि व्यक्तिगत डेटा की पहचान, निगरानी, और सुरक्षा की जा सके जो उपयोग में है, परिवहन में है, और विश्राम में है। ऐसे डेटा हानि रोकथाम प्रक्रियाएं और उपकरण शामिल होंगे: (a) डेटा निकासी के प्रयासों की पहचान करने के लिए डिज़ाइन किए गए स्वचालित उपकरण; और (b) एन्क्रिप्शन प्रमाणपत्र-आधारित सुरक्षा का उपयोग.
• एन्क्रिप्शन. प्रदाता उद्योग मानक एन्क्रिप्शन उपकरणों का उपयोग करके सभी व्यक्तिगत डेटा को एन्क्रिप्ट करेगा जो प्रदाता सार्वजनिक नेटवर्क के माध्यम से प्रसारित करता है. 
• छद्मनामकरण. प्रदाता सेवाओं के साथ संगत और जहां संभव हो, व्यक्तिगत डेटा की सुरक्षा के लिए उद्योग मानक छद्मनामकरण तकनीकों का उपयोग करेगा. 
• भौतिक सुरक्षा. प्रदाता उन भौतिक परिसरों के लिए भौतिक पहुंच नियंत्रण बनाए रखेगा जो प्रदाता के स्वामित्व वाले हैं, जहां संबंधित प्रदाता कंप्यूटिंग वातावरण स्थित है जिसका उपयोग किसी व्यक्तिगत डेटा को संसाधित करने के लिए किया जाता है, जिसमें एक पहुंच नियंत्रण प्रणाली शामिल है जो प्रदाता को प्रत्येक प्रदाता सुविधा तक भौतिक पहुंच को नियंत्रित करने की अनुमति देती है. 
• प्रशासनिक सुरक्षा. ग्राहक व्यक्तिगत डेटा को किसी भी अपने कर्मचारियों को पहुंच प्रदान करने से पहले, प्रदाता व्यावसायिक रूप से उचित उपायों का उपयोग करेगा: (a) ऐसे कर्मचारियों की विश्वसनीयता की पुष्टि करें; और (b) ऐसे कर्मचारियों को उचित सुरक्षा प्रशिक्षण प्रदान करें.