OpenAI ڈیٹا پروسیسنگ کا ضمیمہ

موثر: 1 جنوری، 2026

(پچھلا ڈیٹا پروسیسنگ کا ضمیمہ ملاحظہ کریں)

یہ OpenAI ڈیٹا پروسیسنگ کا ضمیمہ ("DPA") OpenAI خدمات کے معاہدے ("معاہدہ") میں شامل ہے، جو خدمات کے استعمال کو کنٹرول کرتا ہے اور مؤثر تاریخ کے مطابق اوپر شناخت شدہ کسٹمر ("کسٹمر") اور OpenAI OpCo, LLC کے درمیان طے پایا ہے، جو اپنے اور اپنے ملحقہ اداروں کی جانب سے، جیسا کہ مناسب ہو، کام کرتا ہے، جب تک کہ کسٹمر یورپی اقتصادی علاقے کے کسی ملک یا سوئٹزرلینڈ میں واقع نہ ہو، ایسے معاملے میں، یہ OpenAI آئرلینڈ لمیٹڈ کے ساتھ، اپنے اور اپنے ملحقہ اداروں کی جانب سے، جیسا کہ مناسب ہو، طے پایا جاتا ہے ("OpenAI")۔ DPA میں متعین نہ کردہ کیپٹلائزڈ اصطلاحات کا وہ معنی ہے جو معاہدے میں بیان کیا گیا ہے۔ اس DPA میں، OpenAI اور کسٹمر کو ہر ایک کو "فریق" اور مجموعی طور پر "فریقین" کہا جاتا ہے۔ کسٹمر یہ ظاہر کرتا ہے کہ وہ قانونی طور پر اس معاہدے میں داخل ہونے کے قابل ہے اور اگر وہ کسی ادارے کے لیے معاہدے میں داخل ہو رہا ہے، تو اس کے پاس اس ادارے کو پابند کرنے کا قانونی اختیار ہے۔ "میں متفق ہوں" پر کلک کرنے، آرڈر فارم کو قبول کرنے، یا خدمات کا استعمال کرنے سے، کسٹمر اس معاہدے سے اتفاق کرتا ہے۔

• 1.1 دائرہ کار اور کردار۔ معاہدے کے تحت کسٹمر کو خدمات فراہم کرنے کے حصے کے طور پر، OpenAI کسٹمر کی جانب سے کسٹمر ڈیٹا پر عمل کاری کر سکتا ہے۔ OpenAI کسٹمر کی جانب سے ڈیٹا پروسیسر کے طور پر کام کرتا ہے اور یہ DPA ایسی عمل کاری کو کنٹرول کرتا ہے۔
• 1.2 پروسیسنگ کی تفصیلات۔ OpenAI صرف معاہدے اور اس DPA کے تحت کسٹمر کو سروسز فراہم کرنے کے مقاصد کے لیے کسٹمر ڈیٹا پر عمل کاری کرے گا۔ کسٹمر ڈیٹا کی نوعیت، مدت اور اقسام اور اس میں شامل ڈیٹا سبجیکٹس کے زمرہ جات کے بارے میں تفصیلات اس DPA کے شیڈول 1 (پروسیسنگ کی تفصیلات) میں درج ہیں۔ OpenAI اور کسٹمر دونوں اس بات پر متفق ہیں کہ وہ خدمات کے سلسلے میں ڈیٹا پروٹیکشن قوانین کے تحت اپنی اپنی ذمہ داریوں کی تعمیل کریں گے۔

• 2.1 کسٹمر ہدایات۔ فریقین اس بات پر متفق ہیں کہ یہ DPA، معاہدہ (بشمول آرڈر فارم) اور وہ تمام ہدایات جو OpenAI کی جانب سے سروسز کے اندر دستیاب کنفیگریشن ٹولز اور دیگر ٹولز کے ذریعے فراہم کی گئی ہیں، OpenAI کی جانب سے کسٹمر ڈیٹا کی پروسیسنگ کے حوالے سے کسٹمر کی دستاویزی ہدایات ("کسٹمر ہدایات") تشکیل دیتی ہیں۔ OpenAI کسٹمر ڈیٹا پر صرف کسٹمر کی ہدایات کے مطابق عمل کرے گا، سوائے اس کے کہ قابل اطلاق قانون کے تحت ایسا کرنا ضروری ہو، جس صورت میں OpenAI اس عمل کاری سے پہلے کسٹمر کو اس تقاضے کے بارے میں مطلع کرے گا، ماسوائے اگر قانونی طور پر ایسا کرنے سے منع کیا گیا ہو۔
• 2.2 صارف کو نوٹس۔ اگر OpenAI کی رائے میں، کسٹمر کی کوئی ہدایت ڈیٹا پروٹیکشن قوانین کی خلاف ورزی کرتی ہے تو OpenAI کسٹمر کو تحریری طور پر فوری طور پر مطلع کرے گا۔ OpenAI، قانونی طور پر اجازت دی گئی حد تک، صارف کو مطلع کرے گا اگر OpenAI کو قانون نافذ کرنے والے حکام کی جانب سے صارف کے ڈیٹا کی افشائِگی کے لیے کوئی قانونی طور پر پابند درخواست موصول ہوتی ہے۔
• 2.3 رازداری۔ OpenAI یہ یقینی بنائے گا کہ OpenAI کی جانب سے کسٹمر ڈیٹا کو پروسیس کرنے کے لیے مجاز تمام افراد نے رازداری کا عہد کیا ہوا ہے یا وہ رازداری کی مناسب قانونی ذمہ داری کے تحت ہیں۔
• 2.4 ڈیٹا سبجیکٹ کی درخواستیں۔ OpenAI، قانونی اجازت کے دائرے میں رہتے ہوئے، کسٹمر کو مطلع کرے گا اگر OpenAI کو ڈیٹا پروٹیکشن قوانین کے تحت ڈیٹا سبجیکٹ کے حقوق کے استعمال کی درخواست موصول ہوتی ہے ("ڈیٹا سبجیکٹ کی درخواست") جو کسٹمر ڈیٹا کے متعلق ہو۔  OpenAI کسی بھی ایسی درخواست کا جواب نہیں دے گا جب تک کہ کسٹمر کی جانب سے پہلے سے تحریری اختیار نامہ نہ ہو، ماسوائے شکہ کسٹمر OpenAI کو ڈیٹا سبجیکٹ کی درخواستوں کو دوسرے پتے پر لے جانے کی اجازت دیتا ہے تاکہ کسٹمر براہ راست جواب دے سکے۔ عمل کاری کی نوعیت کو مدنظر رکھتے ہوئے، OpenAI کسٹمر کی مدد کرے گا کہ وہ مناسب تکنیکی اور تنظیمی اقدامات کو نافذ کرے، جہاں تک ممکن ہو، تاکہ کسٹمر کو ڈیٹا سبجیکٹ کی درخواستوں کا جواب دینے کی اجازت دی جا سکے۔
• 2.5 سیکیورٹی۔ OpenAI معاہدے میں بیان کردہ کے مطابق، کسٹمر ڈیٹا کی حفاظت کے لیے معقول اور مناسب تنظیمی اور تکنیکی حفاظتی اقدامات نافذ اور برقرار رکھے گا۔
• 2.6 صارف کی معاونت۔ OpenAI، عمل کاری کی نوعیت اور OpenAI کے پاس دستیاب معلومات کو مدنظر رکھتے ہوئے، کسٹمر کو ڈیٹا پروٹیکشن قوانین کے تحت اپنی ذمہ داریوں کی تعمیل میں مدد فراہم کرنے کے لیے معقول معاونت فراہم کرے گا، جس میں، جہاں مناسب ہو، OpenAI کی جانب سے کسٹمر ڈیٹا کی عمل کاری کے حوالے سے ڈیٹا پروٹیکشن اثرات کی تشخیصات کی تیاری شامل ہے اور جہاں ضروری ہو، کسٹمر ایسی عمل کاری پر دائرہ اختیار رکھنے والی نگران اتھارٹی سے مشاورت کرے، اگر ایسی مشاورت ڈیٹا پروٹیکشن قوانین کے تحت ضروری ہو۔
• 2.7 ذاتی ڈیٹا کی خلاف ورزیاں۔ OpenAI کسی بھی ذاتی ڈیٹا کی خلاف ورزی سے آگاہ ہونے کے بعد بلا تاخیر کسٹمر کو مطلع کرے گا۔ OpenAI کسٹمر کو اس طرح کی ذاتی ڈیٹا کی خلاف ورزی کے سلسلے میں ڈیٹا پروٹیکشن قوانین کے تحت اپنی ذمہ داریوں کی تعمیل میں مدد کرنے کے لیے معقول مدد فراہم کرے گا۔
• 2.8 تعمیل کا جائزہ لینا۔ OpenAI کسٹمر کی معقول تحریری درخواست پر اور ڈیٹا پروٹیکشن قوانین کے تحت درکار حد تک: (i) سال میں ایک بار سے زیادہ نہیں، کسٹمر کو OpenAI کی رازداری اور حفاظتی پالیسیاں اور دیگر ایسی معلومات فراہم کرے گا جو اس DPA کے تحت OpenAI کی ذمہ داریوں کی تعمیل کو ظاہر کرنے کے لیے ضروری ہیں؛ اور (ii) بشرطیکہ فریقین کے درمیان مناسب رازداری کا معاہدہ موجود ہو، کسٹمر کی جانب سے یا کسٹمر کی طرف سے کیے گئے آڈٹس یا معائنوں کی اجازت دے گا اور ان میں تعاون کرے گا، جو کہ کسٹمر کے کلی اخراجات پر ہوں گے۔  ایسے آڈٹ یا معائنہ لازمی طور پر: (A) OpenAI کے بزنس کے لیے کم سے کم خلل ڈالنے والے انداز میں کیا جائے؛ (B) یہ تصدیق کرنے کے لیے ضروری ہو کہ OpenAI کسٹمر ڈیٹا کو اس DPA کے مطابق عمل کر رہا ہے؛ اور (C) سال میں ایک بار سے زیادہ نہ ہو۔ جہاں ڈیٹا پروٹیکشن قوانین اجازت دیتے ہیں، OpenAI کسٹمر کو اس DPA کے ساتھ مطابقت کے متعلق آڈٹ رپورٹس کا خلاصہ فراہم کر سکتا ہے۔ ایسے نتائج اور دستاویزات، بشمول کسی بھی آڈٹ یا معائنہ کے نتائج، OpenAI کی رازدارانہ معلومات ہوں گی۔
• 2.9 ذیلی پروسیسرز کی شمولیت۔ کسٹمر اس طرح OpenAI کو ایک عمومی اختیار نامہ فراہم کرتا ہے کہ وہ سب پروسیسر لسٹ میں درج سب پروسیسرز کو خدمات کے سلسلے میں کسٹمر ڈیٹا کی عمل کاری کے لیے شامل کرے۔ OpenAI کسٹمر کو سب پروسیسر لسٹ میں کسی بھی تبدیلی کے بارے میں بلاگ پوسٹ، سروسز کے اندر نوٹیفکیشن یا دیگر معقول ذرائع سے مطلع کرے گا، یا اگر کسٹمر سب پروسیسر لسٹ سائٹ پر ای میل اطلاعات کو سبسکرائب کرتا ہے تو ای میل کے ذریعے مطلع کرے گا۔ کسٹمر ایسے اضافی ذیلی پروسیسر کے استعمال پر اعتراض کر سکتے ہیں، تبدیلی کے نوٹس موصول ہونے کے تیس (30) دنوں کے اندر، ذیلی پروسیسر کی فہرست میں دی گئی ہدایات پر عمل کرتے ہوئے یا privacy@openai.com پر رابطہ کر کے۔ ایسی صورت میں، OpenAI کسٹمر کے ساتھ مل کر اس کے خدشات کو دور کرنے اور تجارتی طور پر معقول متبادل یا حل پیش کرنے کے لیے کام کرے گا۔ اگر کوئی بھی متبادل یا حل تجارتی طور پر قابل عمل نہیں ہیں، OpenAI کی معقول رائے میں، یا اگر اعتراضات کو فریقین کی تسلی کے مطابق OpenAI کو کسٹمر کے اعتراض کے نوٹس کی وصولی کے 30 دن کے اندر حل نہیں کیا گیا ہے، تو کوئی بھی فریق معاہدے یا کسی بھی آرڈر فارم یا خدمات کے استعمال کو ختم کر سکتا ہے جو نئے ذیلی پروسیسر کے استعمال کے بغیر فراہم نہیں کی جا سکتی ہیں۔ اس صورت میں، کسٹمر کو کسی بھی قابل اطلاق پیشگی ادا کردہ فیس واپس کر دی جائے گی، جتنی حد تک وہ ایسے خاتمے کی تاریخ کے بعد کے ادوار یا شرائط کا احاطہ کرتی ہیں۔
• 2.10 ذیلی پروسیسر کی ذمہ داریاں۔ OpenAI ہر ذیلی پروسیسر کے ساتھ ایسے معاہداتی انتظامات کرے گا جو ان پر اس DPA کے تحت OpenAI پر عائد ذمہ داریوں کے مساوی ذمہ داریاں عائد کریں۔ معاہدے میں شامل ذمہ داری کی حدود کے تحت، OpenAI اپنے ذیلی پروسیسرز کی کارروائیوں اور کوتاہیوں کے لیے اسی حد تک ذمہ دار رہے گا جس حد تک OpenAI اس DPA کے تحت ذمہ دار ہوتا اگر وہ خود ایسی کارروائیاں یا کوتاہیاں کرتا۔
• 2.11 ڈیٹا کی واپسی یا حذف۔ معاہدے کی میعاد ختم ہونے یا اس کے خاتمے کے بعد، OpenAI کسٹمر کی ہدایت پر کسٹمر ڈیٹا کو واپس کرے گا یا حذف کریں گے اور موجودہ کاپیاں جب تک کہ قابل اطلاق قوانین کے تحت کسٹمر ڈیٹا کو برقرار رکھنا ضروری نہ ہو، ایسی صورت میں OpenAI اسے کسی بھی مزید کارروائی سے علیحدہ کر دے گا اور اس کی حفاظت کرے گا، سوائے قابل اطلاق قوانین کی ضرورت کی حد تک۔

• 3.1 نوٹس اور اختیار نامے۔ کسٹمر اس بات کی نمائندگی کرتا، ضمانت دیتا اور عہد کرتا ہے کہ اس نے تمام ضروری نوٹس فراہم کردیئے ہیں اور اس مدت کے دوران تمام ضروری حقوق، رضامندیاں اور اختیار نامے حاصل کیے ہیں اور برقرار رکھے گا، جیسا کہ ڈیٹا پروٹیکشن قوانین کے تحت درکار ہے، تاکہ کسٹمر ڈیٹا کو OpenAI کو فراہم کر سکے اور OpenAI کو اس معاہدے کے سلسلے میں کسٹمر ڈیٹا پر عمل کاری کرنے کی اجازت دے سکے، بشمول اس DPA کے۔
• 3.2 تعاون۔ کسٹمر کو OpenAI کے ساتھ معقول تعاون کرنا چاہیے تاکہ OpenAI قابل اطلاق ڈیٹا پروٹیکشن قوانین کے تحت اپنی کسی بھی ذمہ داری کو پورا کرنے میں مدد دے سکے۔
• 3.3 کنفیگریشنز۔ OpenAI کی سیکیورٹی ذمہ داریوں کے سیکشن 2.5 کے ساتھ کسی تعصب کے بغیر، کسٹمر تسلیم کرتا ہے اور اس سے اتفاق کرتا ہے کہ وہ خدمات کے لیے کچھ کنفیگریشنز اور ڈیزائن کے فیصلوں کا ذمہ دار ہے اور ان کنفیگریشنز اور ڈیزائن کے فیصلوں کو اس طرح نافذ کرنے کا ذمہ دار ہے جو قابل اطلاق ڈیٹا پروٹیکشن قوانین کی تعمیل کرتا ہو (مثلاً، برقرار رکھنے کی مدت، حذف کرنا وغیرہ)۔

• 4.1 EEA اور سوئس ڈیٹا۔ OpenAI کے تحت اس DPA کے ذریعے عمل کاری کیے جانے والے کسٹمر ڈیٹا کا تعلق یورپی اکنامک ایریا یا سوئٹزرلینڈ کے ڈیٹا پروٹیکشن قوانین کے دائرہ کار میں آ سکتا ہے ("EEA اور سوئس ڈیٹا")۔ اس DPA کے تحت OpenAI کی قابل اطلاق معاہدہ کرنے والی پارٹی سے قطع نظر، کسٹمر OpenAI Ireland Limited کو ہدایت دیتا ہے کہ وہ کسی بھی EEA اور سوئس ڈیٹا کو اس DPA کی تعمیل میں پروسیس کرے۔ جس حد تک OpenAI Ireland Limited EEA اور سوئس ڈیٹا کو یورپی اکنامک ایریا یا سوئٹزرلینڈ کے باہر دیگر OpenAI کے ملحقہ اداروں یا تیسرے فریقین کو سروسز فراہم کرنے کے لیے منتقل کرتا ہے، یہ ایسا معاہدوں کی بنیاد پر کرے گا جن میں SCCs شامل ہوں گے جو کسٹمر ڈیٹا کے تحفظ کے لیے مناسب حفاظتی اقدامات کو یقینی بناتے ہیں یا یورپی کمیشن کی جانب سے آرٹیکل 45 GDPR کے تحت جاری کردہ ایک مناسبیت کا فیصلہ ہوگا۔
• 4.2 UK Data۔ کسٹمر ڈیٹا جو OpenAI کے ذریعہ اس DPA کے تحت عمل کاری میں لایا جاتا ہے، ممکن ہے کہ برطانیہ کے ڈیٹا پروٹیکشن قوانین کے دائرہ کار میں آتا ہو ("UK Data")۔ اس DPA کے تحت OpenAI کے قابل اطلاق معاہدہ کرنے والے فریق سے قطع نظر، کسٹمر OpenAI OpCo, LLC کو ہدایت دیتا ہے کہ وہ کسی بھی برطانوی ڈیٹا کو اس DPA اور SCCs کے مطابق عمل میں لائے، جیسا کہ برطانوی ضمیمہ کے ذریعے ترمیم شدہ ہے، جو کہ اس DPA میں شامل (اور اس حوالہ کے ذریعے شامل) اور مکمل تصور کیے جاتے ہیں جیسا کہ شیڈول 1 میں بیان کیا گیا ہے۔

جہاں تک امریکی پرائیویسی قوانین کا اطلاق ہوتا ہے:

• 5.1 OpenAI اس بات پر متفق ہے کہ (a) کسٹمر کو کسٹمر کے ڈیٹا کے بدلے میں کوئی مالی یا دیگر قیمتی معاوضہ فراہم نہیں کرے گا۔ فریقین تسلیم کرتے ہیں اور اس بات پر متفق ہیں کہ کسٹمر نے OpenAI کو کسٹمر ڈیٹا "فروخت" نہیں کیا ہے (جیسا کہ یہ اصطلاح امریکی پرائیویسی قوانین کے تحت تعریف کی گئی ہے)؛ (ب) ذاتی ڈیٹا کو "فروخت" نہ کریں (جیسا کہ یہ اصطلاح امریکی پرائیویسی قوانین کے تحت تعریف کی گئی ہے) یا "اشتراک" نہ کریں (جیسا کہ یہ اصطلاح CCPA کے تحت تعریف کی گئی ہے)؛ (ج) اس حد تک کہ کسٹمر OpenAI کو ہدایت دیتا ہے کہ وہ کسٹمر ڈیٹا کو امریکی پرائیویسی قوانین کے تحت خدمات کے حصے کے طور پر غیر شناخت شدہ شکل میں پروسیس کرے، OpenAI کو چاہئے کہ (i) ایسے غیر شناخت شدہ ڈیٹا کو کسی خاص قدرتی شخص یا گھرانے کے بارے میں معلومات اخذ کرنے یا کسی اور طرح سے منسلک کرنے سے روکنے کے لئے معقول اقدامات اپنائے؛ (ii) عوامی طور پر اس غیر شناخت شدہ ڈیٹا کو اسی شکل میں برقرار رکھنے اور استعمال کرنے کا عزم کریں اور معلومات کو دوبارہ شناخت کرنے کی کوشش نہ کریں، سوائے اس کے کہ امریکی پرائیویسی قوانین کے تحت اجازت دی گئی ہو؛ اور (iii) کسی بھی دوسرے فریق، بشمول سب پروسیسرز کے ساتھ غیر شناخت شدہ ڈیٹا اشتراک کرنے سے پہلے، کسی بھی ایسے وصول کنندہ کو اس شق (ج)(i)-(iii) کی ضروریات کی تعمیل کرنے کا معاہدہ کریں؛ اور (د) جہاں کسٹمر ڈیٹا CCPA کے تحت آتا ہے (i) کسٹمر ڈیٹا کو معاہدے میں بیان کردہ کاروباری مقاصد کے لئے ضروری ہونے کے علاوہ برقرار نہ رکھیں، استعمال نہ کریں، افشاء نہ کریں، یا کسی اور طرح سے پروسیس نہ کریں، بشمول اس DPA کے شیڈول 1 میں بیان کردہ؛ (ii) کسٹمر ڈیٹا کو OpenAI اور کسٹمر کے درمیان براہ راست کاروباری تعلقات کے علاوہ کسی اور طرح سے برقرار نہ رکھیں، استعمال نہ کریں، افشاء نہ کریں، یا پروسیس نہ کریں؛ (iii) کسی بھی تیسرے فریق سے یا OpenAI کی اپنی افراد کے ساتھ تعاملات سے حاصل کردہ ذاتی ڈیٹا کے ساتھ کسٹمر ڈیٹا کو نہ ملائیں، بشرطیکہ OpenAI کسٹمر کی ہدایت پر یا CCPA کے تحت اجازت دی گئی صورت میں کسٹمر ڈیٹا کو اس طرح ملا سکتا ہے؛ (iv) کسٹمر کو بلا تاخیر مطلع کریں اگر OpenAI یہ طے کرتا ہے کہ وہ CCPA کے تحت اپنی ذمہ داریوں کو مزید پورا نہیں کر سکتا؛ اور (v) اگر کسٹمر معقول طور پر یقین کرتا ہے کہ OpenAI کا کسٹمر ڈیٹا کا پروسیسنگ CCPA کی ضروریات کے مطابق نہیں ہے اور کسٹمر کی معقول اطلاع پر، فریقین نیک نیتی سے مسئلہ کو حل کرنے کے لئے مل کر کام کریں گے، یا، اگر مل کر کام کرنے کے بعد کسٹمر معقول طور پر طے کرتا ہے کہ مسئلہ کو حل نہیں کیا جا سکتا، تو OpenAI کسٹمر کی تحریری ہدایت پر متاثرہ کسٹمر ڈیٹا کا پروسیسنگ روک دے گا۔
• 5.2 کسٹمر اس بات پر متفق ہے کہ وہ کوئی ایسی کارروائی نہیں کرے گا جو (a) کسٹمر ڈیٹا کی OpenAI کو فراہمی کو امریکی پرائیویسی قوانین کے تحت "فروخت" یا CCPA کے تحت "اشتراک" (یا امریکی پرائیویسی قوانین کے تحت مساوی تصورات) بنا دے؛ یا (ii) OpenAI کو CCPA کے تحت "سروس پرووائیڈر" یا امریکی پرائیویسی قوانین کے تحت "پروسیسر" نہ بنائے۔

"کسٹمر ڈیٹا" سے مراد وہ ذاتی ڈیٹا ہے جو OpenAI کسٹمر کی جانب سے خدمات فراہم کرنے کے لیے پروسیس کرتا ہے۔

"ڈیٹا کنٹرولر" کا مطلب ڈیٹا پروٹیکشن قوانین کے تحت اصطلاح "کنٹرولر" (یا کوئی اور مشابہ اصطلاح) کے ساتھ منسوب کردہ معنی ہے۔

"ڈیٹا پروسیسر" کا مطلب ڈیٹا پروٹیکشن قوانین کے تحت "پروسیسر" (یا کوئی اور مشابہ اصطلاح) کو دیا گیا مفہوم ہے۔

"ڈیٹا پروٹیکشن قوانین" سے مراد وہ ڈیٹا پرائیویسی اور ڈیٹا پروٹیکشن قوانین ہیں جو OpenAI کی جانب سے سروسز کے سلسلے میں کسٹمر ڈیٹا کی عمل کاری پر لاگو ہوتے ہیں۔ 

"ڈیٹا سبجیکٹ" کا مطلب وہ ہے جو ڈیٹا پروٹیکشن قوانین کے تحت "ڈیٹا سبجیکٹ" (یا کوئی اور مشابہ اصطلاح) کو دیا گیا ہے۔

GDPR کا مطلب ہے یورپی پارلیمنٹ اور کونسل کی 27 اپریل 2016 کی ضابطہ (EU) 2016/679

"ذاتی ڈیٹا" کی وہ تعریف ہے جو اصطلاح "ذاتی ڈیٹا" یا "ذاتی معلومات" (یا کوئی اور مشابہ اصطلاح) کو ڈیٹا پروٹیکشن قوانین کے تحت دی گئی ہے۔

"ذاتی ڈیٹا کی خلاف ورزی\" کا مطلب ہے سیکیورٹی کی ایسی خلاف ورزی جو حادثاتی یا غیر قانونی تباہی، نقصان، تبدیلی، غیر مجاز افشائیگی، یا OpenAI، اس کے ذیلی پروسیسرز، یا OpenAI کی جانب سے کام کرنے والی کسی بھی تیسرے فریق کے ذریعے ذخیرہ شدہ، منتقل شدہ یا کسی اور طرح سے عمل کاری کردہ کسٹمر ڈیٹا تک رسائی کا باعث بنتی ہے۔

"پروسیسنگ/عمل کاری" کا مطلب وہ ہے جو ڈیٹا پروٹیکشن قوانین کے تحت اصطلاح "پروسیسنگ" (یا کوئی اور مشابہ اصطلاح) کو دیا گیا ہے۔

"SCCs" سے مراد وہ معیاری معاہداتی شقیں ہیں جو ذاتی ڈیٹا کو تیسرے ممالک میں منتقل کرنے کے لیے یورپی یونین کمیشن کی جانب سے 4 جون 2021 کو اپنائی گئی ہیں (جیسا کہ وقتاً فوقتاً ترمیم، اپ ڈیٹ یا تبدیل کی جا سکتی ہیں)۔

"سب پروسیسرز" سے مراد وہ سب پروسیسرز ہیں جو OpenAI کی جانب سے خدمات کے سلسلے میں کسٹمر ڈیٹا کو عمل کاری کے لیے شامل کیے گئے ہیں، جو سب پروسیسر لسٹ میں درج ہیں۔

"ذیلی پروسیسر کی فہرست" سے مراد وہ فہرست ہے جو درج ذیل پتہ پر دستیاب ہے https://platform.openai.com/subprocessors⁠(نئی ونڈو میں کھلتا ہے)۔

"UK ضمیمہ" سے مراد EU SCCs کے لیے یو کے ضمیمہ ہے جو انفارمیشن کمشنر کی طرف سے ڈیٹا پروٹیکشن ایکٹ 2018 کے سیکشن 119A(1) کے تحت جاری کیا گیا ہے۔

"یو ایس پرائیویسی لاز" سے مراد وہ ڈیٹا پروٹیکشن قوانین ہیں جو ریاستہائے متحدہ کے رہائشیوں پر لاگو ہوتے ہیں، بشمول کیلیفورنیا کنزیومر پرائیویسی ایکٹ ("CCPA")۔

شیڈول 1

پروسیسنگ کی تفصیلات

1. نوعیت اور مقصد:

معاہدے کے تحت سروسز کی کارکردگی۔

2. دورانیہ:

مدت اور اس کے بعد فریقین کے لیے اپنی متعلقہ ذمہ داریوں کو پورا کرنے کے لیے درکار وقت، بشمول ڈیٹا کی حذفیت۔

3. کسٹمر ڈیٹا کی اقسام:

کسٹمر سروسز کو ذاتی ڈیٹا جمع کرائیں کے لیے استعمال کر سکتا ہے، جس کی اقسام کا انحصار کسٹمر کے سروسز کے استعمال پر ہوگا، جو کسٹمر کی صوابدید پر طے اور کنٹرول کیا جاتا ہے، لیکن اس میں نام، رابطے کی معلومات، آبادیاتی معلومات، یا کسٹمر کے صارفین کی جانب سے غیر منظم ڈیٹا میں فراہم کردہ کوئی اور معلومات شامل ہو سکتی ہیں۔

4. ڈیٹا سبجیکٹس کے زمرہ جات:

ڈیٹا سبجیکٹس میں شامل ہو سکتے ہیں، لیکن انہی تک محدود نہیں، کسٹمر کے ملازمین، صارفین، سپلائرز اور عمومی طور پر حتمی صارفین۔

5. حساس ڈیٹا کی منتقلی (اگر قابل اطلاق ہو):

حساس ڈیٹا منتقل کیا گیا (اگر قابل اطلاق ہو) اور لاگو پابندیاں یا حفاظتی اقدامات جو مکمل طور پر ڈیٹا کی نوعیت اور شامل خطرات کو مدنظر رکھتے ہیں، جیسا کہ سخت مقصد کی حد بندی، رسائی کی پابندیاں (بشمول صرف ان عملے کے لیے رسائی جنہوں نے خصوصی تربیت حاصل کی ہو)، ڈیٹا تک رسائی کا ریکارڈ رکھنا، آگے کی منتقلی کے لیے پابندیاں یا اضافی حفاظتی اقدامات۔

حساس ڈیٹا منتقل کرنے کا ارادہ نہیں ہے جب تک کہ صارف اسے غیر متوقع طور پر غیر منظم ڈیٹا میں شامل نہ کر دے۔

6. تعدد/کثرت:

منتقل کرنے کی کثرت (مثال کے طور پر کیا ڈیٹا کو ایک بار یا مسلسل بنیادوں پر منتقل کیا جا رہا ہے۔

کسٹمر کے خدمات کے استعمال پر منحصر مسلسل بنیاد پر

7. ذیلی پروسیسرز کو منتقلیاں:

DPA کے آرٹیکل 2.9 کے مطابق، ذیلی پروسیسرز خدمات انجام دینے کے لیے ضروری حد تک کسٹمر ڈیٹا کو عمل کریں گے۔ ایسی عمل کاری معاہدے کی مدت کے دوران ہوگی، جب تک کہ بصورت دیگر تحریری طور پر اتفاق نہ ہو۔

8. سیکشن 4.2 کے تحت برطانیہ کے ڈیٹا کو منتقل کرنے کے لیے SCCs کی معلومات:

• 8.1 ماڈیول دو (کنٹرولر سے پروسیسر) SCCs کا اس وقت اطلاق ہوتا ہے جب کسٹمر ایک ڈیٹا کنٹرولر ہو اور OpenAI کسٹمر ڈیٹا کو بطور ڈیٹا پروسیسر عمل کر رہا ہو۔ SCCs کا ماڈیول تین (پروسیسر سے ذیلی پروسیسر) اس وقت لاگو ہوتا ہے جب کسٹمر ایک ڈیٹا پروسیسر ہو اور OpenAI کسٹمر ڈیٹا کو ذیلی پروسیسر کے طور پر عمل کر رہا ہو۔
• 8.2 SCCs کے ہر ماڈیول کے لیے، جہاں قابل اطلاق ہو، درج ذیل لاگو ہوتا ہے: (i) شق 7 میں اختیاری ڈاکنگ شق لاگو نہیں ہوتی؛ (ii) شق 9 میں، آپشن 2 (عمومی تحریری اختیار نامہ) لاگو ہوتا ہے اور ذیلی پروسیسر کی تبدیلیوں کے پیشگی نوٹس کی کم از کم مدت DPA کے سیکشن 2.9 میں بیان کی گئی ہے؛ (iii) شق 11 میں، اختیاری زبان لاگو نہیں ہوتی؛ (iv) شق 13 میں موجود تمام مربع بریکٹ کو یہاں سے ہٹا دیا گیا ہے؛ (v) شق 17 (آپشن 1) میں، SCCs انگلینڈ اور ویلز کے قوانین کے تحت ہوں گے؛ (vi) شق 18(b) میں، تنازعات انگلینڈ اور ویلز کی عدالتوں کے سامنے حل کیے جائیں گے؛ (vii) یہ شیڈول 1 SCCs کے Annex I اور Annex III میں درکار معلومات شامل کرتا ہے؛ (viii) DPA کا سیکشن 2.5 (سیکیورٹی) SCCs کے Annex II میں درکار معلومات شامل کرتا ہے، (ix) متعلقہ نگران اتھارٹی انفارمیشن کمشنر کا دفتر ("ICO") ہے۔
• 8.3 ڈیٹا برآمد کنندہ(گان): معاہدے کے تحت کسٹمر؛ ڈیٹا درآمد کنندہ(گان): OpenAI OpCo, LLC, 1455 3rd Street, San Francisco, CA 94158, Data Protection Officer, privacy@openai.com⁠۔

ڈیٹا پر عمل کاری معاہدے پر عمل کریں⁠(نئی ونڈو میں کھلتا ہے)