गोपनीयता सूचना
commerce.mu — मॉरीशस गणराज्य
विषय-सूची
1. डेटा नियंत्रक
commerce.mu (आगे "कंपनी", "हम", "हमारा"), मॉरीशस गणराज्य में निगमित एक कंपनी, commerce.mu के माध्यम से एकत्र किए गए व्यक्तिगत डेटा के लिए ज़िम्मेदार डेटा नियंत्रक है। संपर्क: privacy@commerce.mu। पंजीकृत कार्यालय: Sottise Road, Grand Baie 30550, मॉरीशस गणराज्य।
2. दायरा
यह सूचना उस व्यक्तिगत डेटा पर लागू होती है जिसे हम तब एकत्र करते हैं जब आप commerce.mu पर आते हैं, कोई पूछताछ फ़ॉर्म भरते हैं, मैसेंजर, ईमेल या टेलीफ़ोन द्वारा हमसे संपर्क करते हैं, या हमारी मॉरीशस Occupation Permit (Investor) सलाहकार सेवाओं के संबंध में अन्यथा हमारे प्रतिनिधियों के साथ बातचीत करते हैं।
3. व्यक्तिगत डेटा की श्रेणियाँ
हम निम्नलिखित का प्रसंस्करण करते हैं:
- पहचान और संपर्क डेटा — पूरा नाम, ईमेल, फ़ोन नंबर, मैसेजिंग हैंडल;
- संचार डेटा — पूछताछ संदेश की सामग्री, कॉल नोट्स, पत्राचार इतिहास;
- तकनीकी डेटा — IP पता, डिवाइस और ब्राउज़र मेटाडेटा, रेफ़रल स्रोत;
- विश्लेषण और कुकी डेटा — छद्मनाम (pseudonymous) पहचानकर्ता, देखे गए पृष्ठ, ट्रैफ़िक स्रोत और अभियान पैरामीटर (UTM), इंटरैक्शन इवेंट; देखें हमारी कुकी नीति और नीचे दिया गया विवरण;
- पेशेवर या निवेशक-स्थिति की जानकारी — जहाँ आप इसे साझा करना चुनते हैं, पात्रता जाँच के लिए आवश्यक सीमा तक।
3.1 वेब विश्लेषण
पृष्ठ लोड होने पर, वेबसाइट दो वेब-विश्लेषण सेवाएँ चलाती है जो हमारे निर्देशों पर प्रोसेसर के रूप में कार्य करती हैं: Yandex.Metrica (Yandex LLC द्वारा संचालित) और Google Analytics 4 (Google LLC द्वारा संचालित, 1600 Amphitheatre Parkway, Mountain View, CA 94043, संयुक्त राज्य अमेरिका)। दोनों को हमारी वैध रुचि (legitimate interest) के आधार पर लोड किया जाता है — वेबसाइट और हमारे विज्ञापन के प्रदर्शन को मापने के लिए — न कि सहमति के आधार पर।
Google Analytics 4 निम्नलिखित का प्रसंस्करण करता है: _ga और _ga_3FJ2DY4CC6 कुकीज़ में संग्रहीत एक छद्मनाम ब्राउज़र पहचानकर्ता (client_id); देखे गए पृष्ठ; ट्रैफ़िक स्रोत और अभियान पैरामीटर (UTM); डिवाइस और ब्राउज़र विशेषताएँ; और अनुमानित स्थान। IP पतों को संक्षिप्त (truncated) रूप में संसाधित किया जाता है (anonymize_ip); Google Signals और विज्ञापन वैयक्तिकरण अक्षम हैं और किसी Google Ads लिंकिंग का उपयोग नहीं किया जाता। फ़ॉर्म फ़ील्ड में टाइप किए गए मान (नाम, फ़ोन, ईमेल, संदेश) को विश्लेषण उपकरणों की मूल मास्किंग सुविधाओं द्वारा सत्र रिकॉर्डिंग से बाहर रखा जाता है।
यह प्रसंस्करण GDPR के अनुच्छेद 6(1)(f) (वैध हित) पर आधारित है। आपको किसी भी समय इस प्रसंस्करण पर आपत्ति करने का और Google Analytics Opt-out Browser Add-on स्थापित करके या हमारी कुकी नीति में वर्णित अन्य तरीकों से सभी वेबसाइटों पर Google Analytics संग्रह से बाहर निकलने (opt out) का अधिकार है। Google LLC (संयुक्त राज्य अमेरिका) को डेटा के सीमा-पार स्थानांतरण का वर्णन नीचे खंड 7 में किया गया है।
यह साइट Google Tag Manager (Google LLC द्वारा संचालित, 1600 Amphitheatre Parkway, Mountain View, CA 94043, संयुक्त राज्य अमेरिका) का उपयोग करती है — एक टैग-प्रबंधन सेवा जो साइट के विश्लेषण कॉन्फ़िगरेशन को लोड और निष्पादित करती है। Google Tag Manager स्वयं व्यक्तिगत डेटा एकत्र नहीं करता, न ही विश्लेषण या विज्ञापन कुकीज़ सेट करता है, न ही उपयोगकर्ता प्रोफ़ाइल बनाता है; यह केवल यह प्रबंधित करता है कि साइट पर कौन-से विश्लेषण टैग चलें। कंटेनर के माध्यम से प्रबंधित टैग ऊपर वर्णित वेबसाइट-प्रदर्शन विश्लेषण (Google Analytics 4 और Yandex.Metrica) तक सीमित हैं; कोई विज्ञापन, रीमार्केटिंग, Google Ads रूपांतरण, Floodlight या Google Signals टैग तैनात नहीं किए जाते। विज्ञापन भंडारण को टैग-प्रबंधक स्तर पर "अस्वीकृत" (denied) पर सेट किया गया है (Consent Mode: ad_storage / ad_user_data / ad_personalization = denied)। लोडिंग पृष्ठ लोड होने पर हमारी वैध रुचि (GDPR अनुच्छेद 6(1)(f)) के आधार पर होती है, ठीक Google Analytics 4 के समान। Google Tag Manager द्वारा संसाधित डेटा (तकनीकी अनुरोध डेटा) Google LLC (संयुक्त राज्य अमेरिका) को स्थानांतरित किया जाता है — नीचे खंड 7 देखें। Google की गोपनीयता नीति: policies.google.com/privacy।
3.2 हमारे अपने विश्लेषण और परिचालन संबंधी सूचनाएँ
जब साइट का कोई पृष्ठ लोड होता है, तो समग्र (aggregated) ट्रैफ़िक मापन और हमारे विज्ञापन चैनलों की प्रभावशीलता के आकलन के लिए कंपनी के अपने सर्वर (/api/event एंडपॉइंट) को स्वचालित रूप से एक तकनीकी अनुरोध भेजा जाता है। भेजा गया डेटा है: देखे गए पृष्ठ का पता, विज्ञापन-अभियान पैरामीटर (UTM टैग), डिवाइस श्रेणी (मोबाइल / टैबलेट / डेस्कटॉप), ब्राउज़र समय-क्षेत्र और भाषा सेटिंग्स। सर्वर की ओर से, रिकॉर्ड में IP पते का एक छद्मनाम हैश (घूर्णन कुंजी के साथ HMAC-SHA256) और एक अनुमानित भू-स्थान (देश, शहर) जोड़ा जाता है — मूल IP पता डेटाबेस में संग्रहीत नहीं किया जाता।
जब आप किसी मैसेंजर (WhatsApp, Telegram) को खोलने के लिए कोई बटन क्लिक करते हैं या साइट पर कोई पूछताछ फ़ॉर्म जमा करते हैं, तो कंपनी उस कार्रवाई को दर्ज करती है ताकि आपके द्वारा आरंभ किए गए संपर्क को संभाला जा सके। एक आंतरिक Telegram सेवा बॉट (Telegram FZ-LLC) के माध्यम से किसी अधिकृत कर्मचारी को एक सूचना भेजी जाती है, जिसमें शामिल है: बटन या फ़ॉर्म का चैनल और स्थान, विज्ञापन-अभियान पैरामीटर (UTM टैग), ब्राउज़र, ऑपरेटिंग सिस्टम और डिवाइस प्रकार, एक टाइमस्टैम्प, आपका IP पता और सर्वर की ओर से उससे व्युत्पन्न जानकारी — अनुमानित भू-स्थान (देश, शहर, कैरियर / इंटरनेट सेवा प्रदाता) और कनेक्शन संकेत (प्रॉक्सी, होस्टिंग प्रदाता या मोबाइल नेटवर्क का उपयोग)। इस सेवा सूचना में IP पता उसके मूल रूप में शामिल होता है, क्योंकि मैसेंजर बटन क्लिक करना या फ़ॉर्म जमा करना एक ऐसी कार्रवाई है जिसके द्वारा आप कंपनी के साथ संपर्क आरंभ करते हैं, और पूछताछ के स्रोत की त्वरित पहचान उसे संभालने के लिए आवश्यक है। कानूनी आधार आपके अनुरोध पर किसी अनुबंध में प्रवेश करने से पूर्व के कदम उठाना है, साथ ही आपके द्वारा आरंभ की गई पूछताछ को संभालने में कंपनी की वैध रुचि (GDPR अनुच्छेद 6(1)(b) और अनुच्छेद 6(1)(f); और, रूसी संघ के उपयोगकर्ताओं के लिए, संघीय कानून सं. 152-FZ के अनुच्छेद 6(1)(5) और अनुच्छेद 6(1)(7))। IP पते का उपयोग केवल सेवा सूचना उत्पन्न करने के लिए किया जाता है और कंपनी द्वारा इसे उसके मूल रूप में संग्रहीत नहीं किया जाता: रिकॉर्ड की प्रणाली खंड 1 में उल्लिखित डेटाबेस है, जिसमें IP पता केवल एक छद्मनाम हैश (घूर्णन कुंजी के साथ HMAC-SHA256) के रूप में दर्ज किया जाता है। यह सूचना किसी अधिकृत कर्मचारी को त्वरित रूप से सचेत करने का एक आंतरिक चैनल है।
कुकी बैनर में आपके अपनी पसंद व्यक्त करने से पहले: कोई सत्र पहचानकर्ता नहीं बनाया जाता, कोई कुकीज़ सेट नहीं की जातीं और कोई उपयोगकर्ता पहचान नहीं की जाती। डेटा समग्र रूप में संसाधित किया जाता है और केवल विज़िट गिनने तथा विज्ञापन स्रोतों को श्रेय देने के लिए उपयोग किया जाता है। कानूनी आधार कंपनी की वैध रुचि (GDPR अनुच्छेद 6(1)(f)) है, जो सर्वर एक्सेस लॉग के प्रसंस्करण के अनुरूप है।
आपके द्वारा विश्लेषण कुकीज़ को सहमति देने के बाद: डेटा में एक सत्र पहचानकर्ता जोड़ा जाता है (ब्राउज़र के sessionStorage में संग्रहीत और सत्रों के बीच नहीं रखा जाता), जिससे एकल विज़िट के भीतर की घटनाओं को जोड़ा जा सके।
रिकॉर्ड 90 दिनों से अधिक समय तक नहीं रखे जाते। प्रसंस्करण कंपनी के अपने सर्वर पर होता है और स्व-होस्टेड विश्लेषण लॉग तीसरे पक्षों को प्रकट नहीं किया जाता (ऊपर वर्णित आंतरिक Telegram अलर्टिंग चैनल को छोड़कर)। चूँकि इस प्रसंस्करण में आपके IP पते और व्युत्पन्न डेटा का Telegram मैसेजिंग सेवा को स्थानांतरण शामिल है, इसलिए खंड 7 के सीमा-पार-स्थानांतरण सुरक्षा उपाय लागू होते हैं।
4. प्रसंस्करण के उद्देश्य
हम व्यक्तिगत डेटा का प्रसंस्करण निम्नलिखित के लिए करते हैं:
- निवेशक पूछताछ का उत्तर देना;
- संविदात्मक दस्तावेज़ तैयार करना और उन पर बातचीत करना;
- प्रारंभिक पात्रता और उपयुक्तता (suitability) आकलन करना;
- धन-शोधन रोधी (AML), ग्राहक-को-जानो (KYC) और प्रतिबंध (sanctions) जाँच संबंधी दायित्वों का अनुपालन करना;
- मॉरीशस के कानून और लागू वित्तीय विनियमों द्वारा अपेक्षित रिकॉर्ड बनाए रखना;
- हमारी वेबसाइट और सेवाओं में सुधार करना।
5. कानूनी आधार
EU/UK सामान्य डेटा संरक्षण विनियमन (GDPR) के अंतर्गत (जहाँ लागू हो), हम निम्नलिखित पर निर्भर करते हैं:
- अनुच्छेद 6(1)(a) सहमति (कुकीज़, मार्केटिंग संचार);
- अनुच्छेद 6(1)(b) अनुबंध का निष्पादन, या उससे पूर्व के कदम (पूछताछ संभालना, ऑनबोर्डिंग);
- अनुच्छेद 6(1)(c) कानूनी दायित्वों का अनुपालन (AML/KYC, रिकॉर्ड-रखरखाव);
- अनुच्छेद 6(1)(f) वैध हित (सुरक्षा, धोखाधड़ी की रोकथाम, आंतरिक विश्लेषण)।
मॉरीशस डेटा संरक्षण अधिनियम 2017 (Mauritius Data Protection Act 2017) के अंतर्गत, हम धारा 28 में निर्धारित वैध प्रसंस्करण शर्तों पर निर्भर करते हैं, विशेष रूप से सहमति, संविदात्मक आवश्यकता और कानूनी दायित्व।
भारत के डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम 2023 (India's Digital Personal Data Protection Act 2023, "DPDP Act 2023") के अंतर्गत — भारत में स्थित डेटा प्रधानों (data principals) के संबंध में — commerce.mu डेटा प्रत्ययी (data fiduciary / नियंत्रक) के रूप में कार्य करता है और किसी वैध उद्देश्य के लिए तथा, जहाँ लागू हो, आपकी सहमति के आधार पर व्यक्तिगत डेटा का प्रसंस्करण करता है। भारत में स्थित डेटा प्रधानों के व्यक्तिगत डेटा का मॉरीशस में सीमा-पार स्थानांतरण नीचे खंड 7 में वर्णित है।
6. प्राप्तकर्ता
आवश्यकता-अनुसार (need-to-know) आधार पर, व्यक्तिगत डेटा निम्नलिखित को प्रकट किया जा सकता है:
- हमारे निदेशक, कर्मचारी और पेशेवर सलाहकार (कानूनी, कर, लेखा-परीक्षा);
- नियामक और सरकारी निकाय, जिनमें Economic Development Board of Mauritius, Financial Services Commission और Mauritius Revenue Authority शामिल हैं;
- बैंकिंग भागीदार और KYC/AML सेवा प्रदाता;
- IT और CRM सेवा प्रदाता जो लिखित समझौतों के अंतर्गत प्रोसेसर के रूप में कार्य करते हैं;
- वेब-विश्लेषण प्रदाता — Yandex LLC (Yandex.Metrica) और Google LLC, संयुक्त राज्य अमेरिका (Google Analytics 4, और Google Tag Manager टैग-प्रबंधन सेवा) — जो हमारी वैध रुचि के आधार पर हमारे निर्देशों पर प्रोसेसर के रूप में कार्य करते हैं; Google LLC के लिए खंड 7 में वर्णित सीमा-पार स्थानांतरण लागू होता है।
- एक अधिकृत कर्मचारी, एक आंतरिक Telegram सेवा बॉट (Telegram FZ-LLC) के माध्यम से, आपके द्वारा आरंभ की गई पूछताछ को त्वरित रूप से संभालने के लिए; साझा किया गया डेटा इंटरैक्शन मेटाडेटा, आपका IP पता और उससे व्युत्पन्न अनुमानित भू-स्थान है, जिसमें कोई विशेष श्रेणी का व्यक्तिगत डेटा नहीं होता। इस प्रकटीकरण की सामग्री और कानूनी आधार ऊपर खंड 3.2 में वर्णित हैं।
7. अंतर्राष्ट्रीय स्थानांतरण
कंपनी अंतरराष्ट्रीय स्तर पर संचालित होती है। हमारे रूसी-भाषी बिक्री डेस्क का समर्थन करने वाले कुछ प्रोसेसर रूसी संघ में होस्ट किए जाते हैं; कुछ तकनीकी और विश्लेषण प्रदाता यूरोपीय संघ और अन्य अधिकार-क्षेत्रों में होस्ट किए जाते हैं। जहाँ व्यक्तिगत डेटा मॉरीशस या EEA के बाहर स्थानांतरित किया जाता है, वहाँ हम उपयुक्त सुरक्षा उपाय लागू करते हैं — Standard Contractual Clauses के समकक्ष संविदात्मक प्रतिबद्धताएँ, तकनीकी और संगठनात्मक उपाय — जो मॉरीशस DPA की धारा 36 और GDPR के अध्याय V के अनुरूप हैं।
भारत में स्थित डेटा प्रधानों के व्यक्तिगत डेटा को उनकी पूछताछ को संभालने के प्रयोजन से मॉरीशस (और हमारे प्रोसेसरों के अन्य अधिकार-क्षेत्रों) में स्थानांतरित किया जा सकता है। ऐसा सीमा-पार स्थानांतरण भारत के DPDP Act 2023 के अंतर्गत अनुमत है और उपर्युक्त संविदात्मक तथा संगठनात्मक सुरक्षा उपायों के अधीन किया जाता है।
जब Google Analytics 4 का उपयोग किया जाता है, तो स्वचालित रूप से एकत्र किया गया डेटा (छद्मनाम ब्राउज़र पहचानकर्ता और खंड 3.1 में वर्णित तकनीकी तथा व्यवहारगत पैरामीटर) Google LLC, संयुक्त राज्य अमेरिका को स्थानांतरित किया जाता है। संयुक्त राज्य अमेरिका को वर्तमान में रूसी पर्यवेक्षी प्राधिकरण (Roskomnadzor) द्वारा डेटा विषयों के अधिकारों के लिए पर्याप्त सुरक्षा प्रदान करने वाले देश के रूप में मान्यता प्राप्त नहीं है, और इस स्थानांतरण के लिए हमारे द्वारा निर्भर किया जाने वाला कोई EU पर्याप्तता निर्णय (adequacy decision) भी इसे प्राप्त नहीं है।
Google Tag Manager द्वारा संसाधित तकनीकी अनुरोध डेटा (खंड 3.1 देखें) भी उसी कानूनी आधार पर और संक्षिप्त / तकनीकी रूप में, उपयोगकर्ता के व्यक्तिगत डेटा के बिना, Google LLC, संयुक्त राज्य अमेरिका को स्थानांतरित किया जाता है।
इस स्थानांतरण का कानूनी आधार वेबसाइट और हमारे विज्ञापन के प्रदर्शन को मापने में हमारी वैध रुचि (GDPR अनुच्छेद 6(1)(f)) है, जो आपके मौलिक अधिकारों पर प्रभावी नहीं होती; केवल छद्मनाम और तकनीकी डेटा संक्षिप्त रूप में (anonymize_ip) स्थानांतरित किया जाता है, और कोई विशेष श्रेणी का व्यक्तिगत डेटा इसमें शामिल नहीं होता। आप किसी भी समय इस प्रसंस्करण पर आपत्ति कर सकते हैं और Google Analytics Opt-out Browser Add-on स्थापित करके या हमारी कुकी नीति में वर्णित साधनों का उपयोग करके Google LLC को स्थानांतरण रोक सकते हैं। संविदात्मक गोपनीयता सुरक्षा उपाय Google Ads Data Processing Terms द्वारा प्रदान किए जाते हैं।
8. प्रतिधारण
हम व्यक्तिगत डेटा को केवल उतने समय तक ही रखते हैं जितना उस उद्देश्य के लिए आवश्यक है जिसके लिए इसे एकत्र किया गया था, साथ ही कानून द्वारा अपेक्षित कोई अतिरिक्त अवधि (उदाहरण के लिए, AML रिकॉर्ड-रखरखाव दायित्व, आमतौर पर व्यावसायिक संबंध समाप्त होने से सात वर्ष)। ऐसे संभावित ग्राहकों का पूछताछ डेटा जो आगे नहीं बढ़ते, 24 महीनों के भीतर हटा दिया या अनामकृत (anonymised) कर दिया जाता है।
वेब-विश्लेषण डेटा Yandex.Metrica के लिए अनामकृत रूप में 26 महीनों तक रखा जाता है; Google Analytics 4 का उपयोगकर्ता और इवेंट डेटा 14 महीनों तक रखा जाता है, जिसके बाद Google द्वारा इसे स्वचालित रूप से हटा दिया जाता है।
9. आपके अधिकार
GDPR (अनुच्छेद 15–22) और मॉरीशस DPA (धारा 37–42) में निर्धारित शर्तों के अधीन, आपको निम्नलिखित का अधिकार है:
- अपने डेटा तक पहुँच;
- सुधार या मिटाने (erasure) का अनुरोध;
- प्रसंस्करण को प्रतिबंधित करना या उस पर आपत्ति करना;
- अपना डेटा पोर्टेबल प्रारूप में प्राप्त करना;
- किसी भी समय कोई सहमति वापस लेना, जिससे पूर्व प्रसंस्करण की वैधता प्रभावित नहीं होती।
इन अधिकारों का प्रयोग करने के लिए, privacy@commerce.mu पर संपर्क करें। हम एक महीने के भीतर उत्तर देंगे।
10. पर्यवेक्षी प्राधिकरण
आप मॉरीशस के Data Protection Commissioner (dataprotection.govmu.org) के पास शिकायत दर्ज कर सकते हैं। EU/EEA निवासी अतिरिक्त रूप से अपने निवास स्थान या कथित उल्लंघन के स्थान पर पर्यवेक्षी प्राधिकरण के पास शिकायत कर सकते हैं। UK निवासी Information Commissioner's Office (ICO) के पास शिकायत कर सकते हैं।
11. परिवर्तन
हम इस सूचना को अद्यतन कर सकते हैं। ऊपर दी गई "अंतिम अद्यतन" तिथि वर्तमान संस्करण को दर्शाती है। महत्वपूर्ण परिवर्तनों की सूचना इस पृष्ठ पर दी जाएगी।
डेटा संरक्षण संपर्क
ईमेल: privacy@commerce.mu
डाक पता: Sottise Road, Grand Baie 30550, मॉरीशस गणराज्य