1. अवलोकन

1.1 उद्देश्य

Albaugh (आगे “कंपनी” के रूप में संदर्भित) की DSR (“डेटा विषय अनुरोध”) एवं कुकीज़ और सहमति प्रबंधन नीति, DSR से संबंधित अनुरोधों की प्राप्ति, मूल्यांकन, प्रतिक्रिया और अभिलेख प्रबंधन को नियंत्रित करती है। DSR विभिन्न लागू कानूनों के अंतर्गत Albaugh को किए जा सकते हैं, और यह नीति ऐसे अनुरोधों के प्राप्ति और प्रतिक्रिया प्रक्रिया को लागू कानूनों के अनुपालन में संचालित करने के लिए बनाई गई है। इसके अतिरिक्त, यह नीति यह दिशा-निर्देश भी प्रदान करती है कि कब सहमति प्राप्त की जानी चाहिए, किस भाषा का उपयोग किया जाना चाहिए, और दस्तावेज़ीकरण कैसे बनाए रखा जाना चाहिए।

1.2 दायरा

यह नीति Albaugh के सभी कार्यबल सदस्यों पर लागू होती है, जिनमें अनुबंधित कर्मचारी और सलाहकार शामिल हैं। Albaugh यह सुनिश्चित करेगा कि सभी तृतीय पक्ष, जो Albaugh द्वारा प्रबंधित या स्वामित्व वाले हार्डवेयर, सॉफ्टवेयर, नेटवर्क, अनुप्रयोग, डेटा, बौद्धिक संपदा और संबंधित संसाधनों का उपयोग करते हैं, लागू कानूनी मानकों का पालन करें। यह नीति Albaugh और उसके सहयोगी संगठनों (Affiliates) पर लागू होती है।

2. परिभाषाएँ

लागू कानून - कोई भी राज्य, संघीय या विदेशी कानून, नियम या विनियम जो व्यक्तिगत जानकारी के प्रसंस्करण पर लागू होता हो।

नियंत्रक (Controller) - वह इकाई जो व्यक्तिगत जानकारी के प्रसंस्करण के उद्देश्य और साधन निर्धारित करती है। लागू कानूनों के अंतर्गत इसे “व्यवसाय” भी कहा जा सकता है।

डेटा विषय – वह पहचाना गया या पहचाने जाने योग्य व्यक्ति जिससे व्यक्तिगत जानकारी संबंधित हो।

डेटा विषय अनुरोध (DSR) – वह माध्यम जिसके द्वारा डेटा विषय संगठन से यह अनुरोध करते हैं कि संगठन उनके बारे में कौन-सी व्यक्तिगत जानकारी रखता है और उसका उपयोग कैसे करता है या करने का इरादा रखता है।

व्यक्तिगत जानकारी (PI) - किसी प्राकृतिक व्यक्ति या ‘डेटा विषय’ से संबंधित कोई भी जानकारी, जिससे उस व्यक्ति की प्रत्यक्ष या अप्रत्यक्ष पहचान की जा सके। कुछ न्यायक्षेत्रों में इसे “व्यक्तिगत डेटा” या “PII” भी कहा जाता है।

प्रसंस्करण - व्यक्तिगत जानकारी पर की जाने वाली कोई भी क्रिया, जैसे संग्रह, रिकॉर्डिंग, संगठन, संग्रहण, संशोधन, पुनर्प्राप्ति, उपयोग, प्रकटीकरण, प्रसारण, संयोजन, अवरोधन, मिटाना या नष्ट करना।

प्रोसेसर – वह इकाई जो नियंत्रक की ओर से व्यक्तिगत जानकारी का प्रसंस्करण करती है; इसे “सेवा प्रदाता” भी कहा जा सकता है।

3. डेटा विषय अनुरोध

3.1 अनुरोध का दायरा

लागू कानून के अनुसार, डेटा विषय निम्न अधिकारों का प्रयोग कर सकते हैं:

• पहुँच और पोर्टेबिलिटी: Albaugh से अपने बारे में रखी गई PI की रिपोर्ट प्राप्त करने का अधिकार, जिसमें शामिल हो सकता है:
  • एकत्रित PI की श्रेणियाँ;
  • PI के स्रोतों की श्रेणियाँ;
  • PI एकत्र करने या बेचने का उद्देश्य;
  • तीसरे पक्ष जिनके साथ PI साझा की गई;
  • एकत्रित विशिष्ट PI विवरण।
• संशोधन: गलत या अधूरी PI को ठीक कराने का अधिकार।
• मिटाना: PI को हटाने या मिटाने का अनुरोध करने का अधिकार (कुछ परिस्थितियों में अस्वीकृत हो सकता है, जैसे कानूनी दायित्व, कानूनी दावों की रक्षा, या सार्वजनिक हित के कार्य)।
• सहमति वापसी: PI के प्रसंस्करण हेतु दी गई सहमति वापस लेने का अधिकार।
• विपणन संचार से बाहर निकलना: मार्केटिंग संदेश प्राप्त न करने का अधिकार।
• आपत्ति: PI के प्रसंस्करण पर आपत्ति का अधिकार।
• प्रसंस्करण पर प्रतिबंध: विशेष परिस्थितियों में PI के प्रसंस्करण या स्थानांतरण को सीमित करने का अधिकार।
• स्वचालित निर्णय-निर्माण से मुक्ति: केवल स्वचालित प्रसंस्करण आधारित निर्णयों के अधीन न होने का अधिकार।
• भेदभाव-निषेध: उपरोक्त अधिकारों का प्रयोग करने पर भेदभाव न किया जाए।

3.2 DSR आवश्यकताएँ

Albaugh निम्न सामान्य प्रक्रियाएँ अपनाएगा:

1. प्राप्ति प्रक्रिया: DSR जमा करने की प्रक्रिया सार्वजनिक गोपनीयता नोटिस में उपलब्ध है।
2. दस्तावेज़ीकरण और निगरानी: सभी अनुरोध दर्ज किए जाएंगे और उनकी स्थिति ट्रैक की जाएगी।
3. प्रशिक्षण और जागरूकता: संबंधित कर्मचारियों को नियामकीय आवश्यकताओं की जानकारी दी जाएगी।
4. समयसीमा में प्रतिक्रिया: लागू समयसीमा के भीतर उत्तर दिया जाएगा।
5. कानूनी आधार का मूल्यांकन: लागू कानूनों के अनुसार अनुरोध स्वीकार या अस्वीकार किया जाएगा।
6. पहचान सत्यापन: जानकारी साझा करने से पहले पहचान सत्यापन किया जा सकता है।
7. तृतीय पक्ष अनुरोध: एजेंट के माध्यम से किए गए अनुरोधों के लिए अतिरिक्त सत्यापन आवश्यक हो सकता है।
8. अस्वीकृति: अस्वीकृति के कारणों की जानकारी प्रदान की जाएगी।
9. अनुरोध पूर्ति: स्वीकृत अनुरोधों को आंतरिक नीतियों के अनुसार पूरा किया जाएगा।
10. भेदभाव-निषेध: अधिकारों के प्रयोग पर सेवा या मूल्य में भेदभाव नहीं किया जाएगा।

4. कुकीज़ और सहमति

4.1 नियामकीय पहलू

अधिकांश डेटा संरक्षण कानून “सहमति” को स्वतंत्र, विशिष्ट, सूचित और स्पष्ट सहमति के रूप में परिभाषित करते हैं। मौन या निष्क्रियता स्वीकार्य नहीं है; स्पष्ट “ऑप्ट-इन” आवश्यक है। डेटा विषय को सहमति वापस लेने का अधिकार हमेशा उपलब्ध होना चाहिए।

4.2 व्यक्तिगत जानकारी की “बिक्री”

“बिक्री” में PI को किसी तीसरे पक्ष के साथ साझा करना शामिल हो सकता है। ऐसे मामलों में सहमति आवश्यक हो सकती है।

4.2.1 “डू नॉट सेल” नियम

• वेबसाइट पर “Do Not Sell My Personal Information” पृष्ठ होना चाहिए (जहाँ लागू हो)।
• होमपेज पर इसका लिंक उपलब्ध होना चाहिए।
• उपभोक्ता बिना खाता बनाए ऑप्ट-आउट कर सके।
• गोपनीयता नीति में संबंधित विवरण शामिल हो।
• ऑप्ट-आउट के बाद 12 महीने तक पुनः अनुरोध न किया जाए।

Albaugh PI की बिक्री में संलग्न नहीं है।

4.2.2 नाबालिग और PI की बिक्री

16 वर्ष से कम आयु के व्यक्तियों की PI की बिक्री नहीं की जाएगी। 13–16 वर्ष के बीच के व्यक्तियों या 13 वर्ष से कम के लिए अभिभावक की सहमति आवश्यक होगी। Albaugh की सेवाएँ 18 वर्ष से कम आयु के लिए अभिप्रेत नहीं हैं।

4.3 नीति आवश्यकताएँ

• स्पष्ट सहमति का प्रमाण।
• विशिष्ट उद्देश्यों के लिए सहमति।
• स्पष्ट और सरल भाषा।
• सहमति वापसी के अधिकार की पूर्व सूचना।
• रिकॉर्ड का संरक्षण।

4.4 अपवाद

किसी भी अपवाद को जनरल काउंसिल की स्वीकृति आवश्यक होगी।

4.5 नीति प्रवर्तन

इस नीति का उल्लंघन करने वाले कर्मचारी के विरुद्ध अनुशासनात्मक कार्रवाई, सेवा समाप्ति तक, की जा सकती है।

5. दस्तावेज़ संशोधन इतिहास और अनुमोदन