ગોપનીયતા નીતિ

PG Saathi અમદાવાદ, ગુજરાતથી સંચાલિત આ સેવાનું વ્યવસાય નામ છે. DPDP ઍક્ટ મુજબ અમે "Data Fiduciary" છીએ — તમારા વ્યક્તિગત ડેટાના પ્રસંસ્કરણનો હેતુ અને માધ્યમ નક્કી કરનાર પક્ષ.

Entity

PG Saathi (Data Fiduciary)

Address

Ahmedabad, Gujarat 380009, India

Email

privacy@pgsaathi.in

Phone

+919978536480

GSTIN

GSTIN: not yet registered (turnover below threshold)

CIN

Entity registration: pilot stage; details published on request.

• વ્યક્તિગત ડેટા — તમારી ઓળખ થઈ શકે તેવો ડેટા, DPDP કલમ 2(t).
• સંવેદનશીલ વ્યક્તિગત ડેટા (SPDI) — નાણાકીય માહિતી (UPI ID, ચુકવણી), પાસવર્ડ, SPDI Rules 2011 ના નિયમ 3.
• પ્રસંસ્કરણ — વ્યક્તિગત ડેટા પર કોઈપણ ક્રિયા (DPDP કલમ 2(x)).
• Data Principal — તમે, જેનો ડેટા પ્રસંસ્કૃત થાય છે (DPDP કલમ 2(j)).
• Data Fiduciary — PG Saathi (કલમ 1).
• Data Processor — કલમ 7 માં સૂચિબદ્ધ તૃતીય-પક્ષ જે લેખિત કરાર હેઠળ અમારા વતી પ્રસંસ્કરણ કરે છે.

અમે DPDP minimisation સિદ્ધાંતનું પાલન કરીએ — ફક્ત PG લેજર અને WhatsApp બોટ ચલાવવા જરૂરી હોય તેટલું. શ્રેણીઓ:

• માલિક / મેનેજર ઓળખ: કાનૂની નામ, મોબાઇલ નંબર, પસંદગીની ભાષા.
• માલિક નાણાકીય ડેટા (SPDI): ભાડું મેળવવા UPI ID, UPI ધારકનું નામ. તમારો બેંક પાસવર્ડ, OTP, કે સંપૂર્ણ ખાતા નંબર ક્યારેય જોતા નથી.
• ભાડૂત ઓળખ: નામ, મોબાઇલ, વૈકલ્પિક ફોન, જાતિ, ખોરાક, ફક્ત આધારના છેલ્લા 4 અંક (સંપૂર્ણ આધાર ક્યારેય નહીં), ઇમરજન્સી સંપર્ક.
• મિલકત મેટાડેટા: PG નામ, વિસ્તાર, સરનામું, શેરિંગ પ્રકાર, રૂમ, ડિફોલ્ટ ભાડું, કુલ બેડ.
• ચુકવણી (SPDI): ભાડું અને ડિપોઝિટ, UPI UTR, માલિકનો verify/reject, ટાઇમસ્ટેમ્પ.
• અનુપાલન દસ્તાવેજો: Society / Fire / Police NOC, BU Permission ની સ્કેન કૉપી. મુંબઈના Supabase Storage માં.
• ઑપરેશનલ ટેલિમેટ્રી: દરેક WhatsApp સંદેશ (ઑડિટ ટ્રેલ), ભાષા / intent વર્ગીકરણ, magic-link સાઇન-ઇન માટે IP અને user-agent.

અમે નીચેના કાયદેસર આધારો પર આધાર રાખીએ છીએ:

• તમારી મુક્ત, વિશિષ્ટ, માહિતગાર, બિનશરતી સહમતિ — સાઇન-અપ પર સહમતિ લાઇન દ્વારા. તમે કોઈપણ સમયે પાછી ખેંચી શકો (DPDP કલમ 6(4)).
• કરારનું પાલન — તમે જે સેવા માટે સાઇન અપ કર્યું તે પ્રદાન કરવા.
• કાનૂની જવાબદારી — આયકર ઍક્ટ 1961 (ભાડું રસીદ રિટેન્શન), GST 0% નિયમો, AMC PG NOC, DPDP રેકોર્ડ-કીપિંગ.
• છેતરપિંડી અટકાવ અને સેવા સુરક્ષા — DPDP કલમ 7(g) કાયદેસર ઉપયોગ.

• સેવા સંચાલન — માસિક ઇનવૉઇસ, ભાડું, બાકી, રિમાઇન્ડર, NOC / BU / Fire / Police.
• પ્રમાણીકરણ — WhatsApp magic-links દ્વારા ઓળખ ખાતરી.
• કર અને નિયમન અનુપાલન — GST 0% શરતો, આયકર 7-વર્ષ રિટેન્શન.
• સુરક્ષા અને છેતરપિંડી અટકાવ — દર સીમા, UTR વિવાદ તપાસ.
• સેવા સુધારણા — સમુહ વિશ્લેષણ. ક્યારેય વેચ્યું/શેર નથી કર્યું.
• કાનૂની દાવા — અદાલત/નિયામક સામે બચાવ.

અમે DPDP પ્રસંસ્કરણ સિદ્ધાંતો (કલમ 8) ને બંધાયેલા છીએ:

• Minimisation: ફક્ત જરૂરી ફીલ્ડ. ફક્ત આધાર last-4. કોઈ વૈવાહિક સ્થિતિ, જાતિ, બાયોમેટ્રિક નહીં.
• ચોકસાઈ: માલિક/ભાડૂત પોતાનો ડેટા સંપાદિત કરી શકે.
• સંગ્રહ સીમા: રિટેન્શન કલમ 8, ઑટોમેટેડ cron દ્વારા લાગુ.
• હેતુ સીમા: ડેટા હેતુથી વધારે વાપરતા નથી.

PG Saathi વ્યક્તિગત ડેટા વેચતું નથી. અમે ફક્ત આ Data Processors સાથે શેર કરીએ છીએ, બધા સાથે લેખિત Data Processing Agreement:

• Meta Platforms — WhatsApp Business / BSP (IN PoP દ્વારા). સંદેશા અને ફોન ડિલિવરી. WhatsApp ચેનલ માટે ફરજિયાત.
• Sarvam AI (બેંગલુરુ, ભારત) — સંદેશ પાઠ Sarvam ના LLM પર intent વર્ગીકરણ માટે. DPDP zone માં.
• Anthropic PBC (San Francisco, USA) — બે ઉપયોગ: (1) intent classification fallback જ્યારે Sarvam ઉપલબ્ધ ન હોય — ફોન અને આધાર સીમા-પાર પહેલાં programmatic mask; (2) Claude Opus Vision દ્વારા ledger photo OCR — owner-supplied ledger photos કાચા મોકલાય છે કારણ કે pre-redaction OCR ને defeat કરશે. OCR JSON પાછું આવ્યા પછી photos server-side સંગ્રહિત નથી; Anthropic zero-retention API DPA હેઠળ — prompts પર training નહીં. કલમ 9 જુઓ.
• Supabase (મુંબઈ, ap-south-1) — મુખ્ય ડેટાબેઝ, પ્રમાણીકરણ, ફાઇલ સંગ્રહ. ડેટા ભારતમાં.
• Sentry (વિયેના, ઑસ્ટ્રિયા) — ઑટોમેટેડ એરર મોનિટરિંગ. PII સ્થાનિક રીતે scrub.
• Vercel (Salt Lake City, USA) — PWA અને cron. ડેટા સીધો Supabase Mumbai માં.
• સરકાર, નિયામકો, અદાલતો — ફક્ત માન્ય કાનૂની પ્રક્રિયા (DPDP કલમ 7(d)) પર.

DPDP કલમ 16 ભારત બહાર સ્થાનાંતરની પરવાનગી આપે છે, સિવાય કેન્દ્ર સરકાર દ્વારા પ્રતિબંધિત દેશો. આ આવૃત્તિની તારીખ સુધી કોઈ દેશ યાદીમાં નથી. જ્યાં અમે ભારત બહાર રૂટ કરીએ (Anthropic, Sentry, Vercel), વધારાની સુરક્ષા (PII masking, DPA) લાગુ. જો ગંતવ્ય પ્રતિબંધિત થાય, અમે તે પ્રોસેસર બંધ કરીશું.

• સક્રિય ભાડૂત ડેટા — કરારના સમયગાળા સુધી.
• move-out / archive પછી — આયકર ઍક્ટ 1961 હેઠળ 7 વર્ષ.
• WhatsApp સંદેશ લોગ — 12 મહિના; પછી personal user_id / tenant_id લિંક હટાવાય.
• ઑડિટ લોગ — ખાતું મિટાવ્યા પછી પણ 7 વર્ષ (અનામ).
• Magic-link ટોકન — ઉપયોગ પછી 30 દિવસમાં દૂર.
• Deletion-pending — 30 દિવસ soft-archive, પછી hard-delete.

• માહિતીનો અધિકાર (કલમ 11) — અમે શું રાખીએ, શા માટે, કોની સાથે શેર.
• પ્રાપ્તિ અને નકલનો અધિકાર — બધા ડેટાનો સંરચિત નિકાસ.
• સુધારણા અને સંપૂર્ણતાનો અધિકાર — ખોટું ઠીક કરો.
• ભૂંસવાનો અધિકાર — /account/delete થી. 30 દિવસ grace.
• ફરિયાદ નિવારણનો અધિકાર (કલમ 13) — Grievance Officer (કલમ 17). 30 દિવસમાં જવાબ.
• નામાંકનનો અધિકાર (કલમ 14) — મૃત્યુ/અસમર્થતા પર અધિકાર પ્રયોગ માટે નામાંકિત.
• સહમતિ પાછી ખેંચવાનો અધિકાર (કલમ 6(4)) — કોઈપણ સમયે.

બે રસ્તા:

• ઇન-ઍપ: ડેશબોર્ડમાં તમારો ડેટા સંપાદિત કરો, અથવા /account/delete થી ભૂંસો.
• ઇમેઇલ/પત્ર: Grievance Officer (કલમ 17) ને લખો. નોંધાયેલ ફોન અને વર્ણન સામેલ કરો. અમે magic-link થી ઓળખ ખાતરી કરીશું.
• જવાબ સમય: 30 દિવસમાં, વાજબી વિનંતીઓ માટે વિના મૂલ્યે. પુનરાવર્તિત/પાયા વગરની વિનંતીઓ પર DPDP કલમ 7(2) હેઠળ નાનું શુલ્ક.

• Transit માં TLS 1.2+, Rest માં AES-256.
• દરેક ટેબલ પર Row-level security.
• Magic-link ટોકન સિંગલ-યુઝ, એટોમિક consume.
• WhatsApp webhook HMAC-SHA-256 સહીવાળા.
• આધાર સંગ્રહ DB CHECK થી last-4 સુધી મર્યાદિત.
• સીમા-પાર LLM કૉલ પહેલાં PII mask.
• દરેક ક્રિયા પર ઑડિટ લોગ.
• Cron jobs રોટેટિંગ સિક્રેટ થી સુરક્ષિત.

જો વ્યક્તિગત-ડેટા ભંગ થાય, જાગૃતિના 72 કલાકની અંદર અમે (i) Data Protection Board ને જાણ કરીશું; (ii) દરેક અસરગ્રસ્ત Data Principal ને નોંધાયેલ ફોન/ઇમેઇલ પર સીધો જાણ કરીશું; (iii) ભંગની પ્રકૃતિ, શ્રેણીઓ, સંભવિત પરિણામો, અને શમન પગલાં વર્ણવીશું.

અમે ફક્ત એક પ્રથમ-પક્ષ cookie `pgs_lang` વાપરીએ છીએ. પ્રમાણીકરણ HTTP-only Supabase session cookies થી. અમે તૃતીય-પક્ષ જાહેરાત cookies, fingerprinting, કે session-replay **વાપરતા નથી**.

PG Saathi વયસ્કો માટે છે. DPDP "બાળક" ને 18 થી ઓછી ઉંમર તરીકે વ્યાખ્યાયિત કરે છે. અમે જાણીજોઈને બાળકો પાસેથી ડેટા એકત્ર કરતા નથી. જો 18 થી ઓછી ઉંમરનો ભાડૂત નોંધાયેલ હોય, તો ચકાસી શકાય તેવી માતા-પિતાની સહમતિ જરૂરી — જે હાલમાં અમે સપોર્ટ કરતા નથી. બાળકોને ટાર્ગેટ કરીને ટ્રેકિંગ, પ્રોફાઇલિંગ, જાહેરાત બિલકુલ નહીં.

PG Saathi હાલમાં DPDP કલમ 10 હેઠળ Significant Data Fiduciary તરીકે વર્ગીકૃત **નથી**. તેથી DPO નિયુક્ત કરવાની કે DPIA કરવાની જરૂર નથી. જો પાછળથી SDF તરીકે વર્ગીકૃત થઈએ, તો 30 દિવસમાં DPO નિયુક્ત કરીશું.

અમે દરેક Data Principal ની સહમતિના સમય-મુદ્રિત રેકોર્ડ રાખીએ છીએ — સ્વીકૃતિ સમય, આવૃત્તિ, IP / user-agent. ભવિષ્યના વિવાદો માટે.

અપડેટ વખતે અમે (i) નોંધાયેલ માલિકોને WhatsApp ટેમ્પલેટથી જાણ કરીશું; (ii) આવૃત્તિ અને તારીખ બદલીશું; (iii) અગાઉની આવૃત્તિ વિનંતી પર સાચવીશું. મહત્વપૂર્ણ ફેરફાર (નવા પ્રોસેસર, હેતુઓ) DPDP કલમ 6 હેઠળ નવી સહમતિ માગે છે.

Grievance Officer ના જવાબથી અસંતુષ્ટ હો, તો DPDP કલમ 27 હેઠળ Data Protection Board of India ને એસ્કેલેટ કરી શકો. Board ની વિગતો https://dpb.gov.in પર પ્રકાશિત થશે.

આ નીતિ અને તમારા વ્યક્તિગત ડેટા સંબંધિત કોઈપણ વિવાદ ભારતના કાયદાઓ દ્વારા શાસિત છે. અમદાવાદ, ગુજરાતની અદાલતોનું વિશિષ્ટ અધિકારક્ષેત્ર છે, DPDP કલમ 27 હેઠળ Data Protection Board of India નો સંપર્ક કરવાના તમારા અધિકારને આધીન.