गोपनीयता नीति

संस्करण 2.0 — 3 जून 2026

प्रस्तावना

यह नीति वर्णन करती है कि Backhurry विनियमन (EU) 2016/679 (GDPR) और loi Informatique et Libertés (फ्रांसीसी डेटा सुरक्षा कानून) के अनुसार आपके व्यक्तिगत डेटा को कैसे एकत्र, उपयोग और संरक्षित करता है।

यह Backhurry वेबसाइट (सार्वजनिक पृष्ठ, फ़ॉर्म) के साथ-साथ Backhurry वेब और मोबाइल एप्लिकेशन (प्रमाणित क्षेत्र) को भी कवर करता है।

1 डेटा नियंत्रक

एप्लिकेशन और Backhurry साइट के माध्यम से एकत्रित डेटा का नियंत्रक है:

EPREYN — पूंजी के साथ SAS 100,00 €

40 Avenue du Canigou, 66370 Pézilla-la-Rivière, France

RCS Perpignan 892 742 297 • SIRET : 892 742 297 00021

VAT: FR61 892742297

प्रकाशन निदेशक: Pierre Reynal, अध्यक्ष

डेटा सुरक्षा संपर्क: contact@backhurry.com

2 एकत्रित डेटा

खाता और पंजीकरण

• ईमेल पता; नाम और उपनाम (यदि प्रदान किए गए हों, विशेष रूप से Google के माध्यम से)
• उपयोगकर्ता पहचानकर्ता (Firebase UID); लॉगिन विधि (ईमेल, Google, बायोमेट्रिक्स)
• पंजीकरण की तिथि, अंतिम लॉगिन की तिथि और विधि

बिलिंग (Stripe के माध्यम से)

• आपका बैंक डेटा कभी भी Backhurry द्वारा संग्रहीत नहीं किया जाता है: इसे हमारे प्रदाता Stripe (PCI-DSS Level 1 प्रमाणित) द्वारा संसाधित किया जाता है।
• Backhurry एक Stripe ग्राहक पहचानकर्ता, सदस्यता स्थितियों का इतिहास, तिथियाँ और बिलिंग स्थिति संरक्षित रखता है।

उपयोगकर्ता द्वारा दर्ज किया गया व्यावसायिक डेटा

• परियोजनाएँ, संस्थाएँ, कस्टम फ़ील्ड, डैशबोर्ड, दस्तावेज़, स्वचालन, आयात।
• यह डेटा ग्राहक का है; Backhurry GDPR के अर्थ में डेटा प्रोसेसर (उप-संसाधक) के रूप में कार्य करता है।

तकनीकी और कनेक्शन डेटा

• IP पता, ब्राउज़र का प्रकार और संस्करण, सिस्टम, टाइमस्टैम्प
• पहुँच, उपयोग और त्रुटि लॉग

श्रोता-मापन और उत्पाद में सुधार

उत्पाद के उपयोग को समझने और उसमें सुधार करने के लिए, हम Firebase Analytics (Google) और PostHog के माध्यम से उपयोग मापते हैं:

• उपयोग की घटनाएँ: एप्लिकेशन में की गई क्रियाएँ (किसी परियोजना का निर्माण, किसी दस्तावेज़ का निर्माण, किसी आयात का प्रारंभ…), तकनीकी गुणों के साथ (वस्तु का प्रकार, काउंटर, अवधि, सफलता/विफलता, भाषा, प्लेटफ़ॉर्म, संस्करण)। इन घटनाओं में कोई भी दर्ज की गई सामग्री (फ़ील्ड मान, स्वतंत्र पाठ, AI प्रॉम्प्ट) शामिल नहीं है।
• देखे गए पृष्ठ और स्क्रीन, और नेविगेशन पथ।
• जब आप लॉग इन होते हैं तो इन घटनाओं से संबद्ध उपयोगकर्ता पहचानकर्ता, और गैर-संवेदनशील प्रोफ़ाइल गुण (भाषा, योजना, भूमिका)।
• PostHog के माध्यम से सत्र रिकॉर्डिंग («session replay»): एर्गोनॉमिक्स की समस्याओं और बग्स का निदान करने हेतु इंटरफ़ेस के आपके उपयोग का दृश्य पुनर्निर्माण। इनपुट फ़ील्ड डिफ़ॉल्ट रूप से छिपाए जाते हैं (अनुभाग 10 देखें)।

त्रुटि निदान (Sentry के माध्यम से)

तकनीकी त्रुटि की स्थिति में, Sentry (EU क्षेत्र, जर्मनी) को एक रिपोर्ट भेजी जाती है: त्रुटि का प्रकार, कॉल स्टैक, तकनीकी संदर्भ, और अनुवर्ती कार्रवाई हेतु उपयोगकर्ता पहचानकर्ता। यह विसंगतियों को ठीक करने में सहायता करता है।

प्रतिक्रिया (feedback)

आंतरिक विजेट के माध्यम से भेजी गई प्रतिक्रियाएँ सेवा में सुधार के लिए संरक्षित की जाती हैं; अनुरोध पर इन्हें अनामीकृत किया जा सकता है।

3 उद्देश्य और कानूनी आधार

• सेवा प्रदान करना और संचालित करना — अनुबंध का निष्पादन
• प्रमाणीकरण और खाता सुरक्षा — अनुबंध का निष्पादन
• बिलिंग और भुगतान प्रबंधन — अनुबंध का निष्पादन / कानूनी दायित्व
• ग्राहक सहायता और अनुरोधों का उत्तर — अनुबंध का निष्पादन
• परीक्षण अनुस्मारक और लेन-देन संबंधी सूचनाएँ — अनुबंध का निष्पादन
• त्रुटियों का निदान और सुधार (Sentry) — वैध हित
• धोखाधड़ी और दुरुपयोग का पता लगाना — वैध हित
• श्रोता-मापन और उपयोग के आँकड़े (Firebase Analytics, PostHog) — सहमति
• सत्र रिकॉर्डिंग (PostHog session replay) — सहमति
• प्रतिक्रियाओं के आधार पर उत्पाद में सुधार — वैध हित

श्रोता-मापन और सत्र रिकॉर्डिंग आपकी सहमति पर आधारित हैं। आप इसे दे सकते हैं या अस्वीकार कर सकते हैं, और किसी भी समय वापस ले सकते हैं (अनुभाग 8 देखें)।

व्यवहारगत विज्ञापन या तृतीय पक्षों को पुनर्विक्रय के उद्देश्य से कोई प्रसंस्करण नहीं किया जाता है।

4 संरक्षण अवधि

• सक्रिय खाता और व्यावसायिक डेटा: सदस्यता की अवधि + समाप्ति के 30 दिन बाद
• बिलिंग डेटा (लेखांकन दायित्व): 10 वर्ष
• तकनीकी लॉग: 12 महीने
• ऑडिट लॉग (सुरक्षा): 5 वर्ष
• श्रोता-मापन डेटा (PostHog / Firebase): 24 महीने तक
• सत्र रिकॉर्डिंग (PostHog): सीमित अवधि, फिर हटा दी जाती है
• त्रुटि रिपोर्ट (Sentry): 90 दिन
• प्रतिक्रियाएँ: खाता हटाने के बाद अनामीकृत

5 प्राप्तकर्ता और उप-संसाधक

आपका डेटा Backhurry टीमों (कड़ी आवश्यकता के आधार पर) और निम्नलिखित उप-संसाधकों के लिए सुलभ है:

• Google Cloud / Firebase — ऐप होस्टिंग, डेटाबेस, प्रमाणीकरण, analytics (EU, europe-west1)
• Squarespace — वेबसाइट की होस्टिंग (संयुक्त राज्य अमेरिका)
• PostHog — उत्पाद श्रोता-मापन + सत्र रिकॉर्डिंग (EU, eu.i.posthog.com)
• Sentry — त्रुटि निदान (EU, जर्मनी)
• Stripe — भुगतान (EU / USA, PCI-DSS L1)
• SendGrid (Twilio) — लेन-देन संबंधी ईमेल (संयुक्त राज्य अमेरिका)
• Google Vertex AI / Gemini — AI सहायक (EU — प्रॉम्प्ट/प्रतिक्रियाएँ अस्थायी रूप से संसाधित की जाती हैं, प्रशिक्षण के लिए उपयोग नहीं की जातीं)

किसी भी डेटा को वाणिज्यिक उद्देश्यों के लिए बेचा, किराए पर दिया या विनिमय नहीं किया जाता है।

6 EU के बाहर स्थानांतरण

मुख्य होस्टिंग और श्रोता-मापन यूरोपीय संघ में स्थित हैं। संयुक्त राज्य अमेरिका (Squarespace, Stripe, SendGrid) की ओर स्थानांतरण यूरोपीय आयोग के मानक संविदात्मक खंडों (Standard Contractual Clauses) द्वारा विनियमित किए जाते हैं।

7 कुकीज़ और ट्रैकर

• सख्ती से आवश्यक — प्रमाणीकरण सत्र, प्राथमिकताएँ (भाषा, थीम)। सहमति से मुक्त।
• भुगतान — कार्ड दर्ज करते समय Stripe कुकीज़। लेन-देन के लिए आवश्यक।
• श्रोता-मापन — PostHog और Firebase Analytics कुकीज़/पहचानकर्ता, सत्र रिकॉर्डिंग। आपकी सहमति के अधीन।

आप इस रिकॉर्डिंग को अस्वीकार कर सकते हैं (प्राथमिकता केंद्र या अनुरोध पर)।

8 आपके अधिकार

GDPR (EU 2016/679) और loi Informatique et Libertés (फ्रांसीसी डेटा सुरक्षा कानून) के अनुसार:

• पहुँच और सुवाह्यता (पोर्टेबिलिटी) — व्यक्तिगत क्षेत्र → व्यक्तिगत डेटा → मेरा डेटा निर्यात करें (JSON निर्यात, लिंक 7 दिन तक मान्य)।
• सुधार — आपके व्यक्तिगत क्षेत्र से।
• मिटाना — व्यक्तिगत क्षेत्र → व्यक्तिगत डेटा → मेरा खाता हटाएँ (अपरिवर्तनीय: खाता, परियोजनाएँ और डेटा)।
• आपत्ति और सीमा — contact@backhurry.com
• सहमति वापस लेना — श्रोता-मापन और सत्र रिकॉर्डिंग के लिए, कुकी प्राथमिकता केंद्र के माध्यम से या contact@backhurry.com पर अनुरोध करके। वापसी पूर्व प्रसंस्करण की वैधता को प्रभावित नहीं करती है।
• शिकायत — CNIL के पास: cnil.fr/fr/plaintes

9 सुरक्षा

• ट्रांज़िट में TLS एन्क्रिप्शन, विश्राम में AES (Firestore)
• खातों के बीच डेटा का कठोर पृथक्करण (multi-tenant)
• प्रमाणीकरण (Google OAuth, हैश किया गया पासवर्ड, बायोमेट्रिक्स)
• संवेदनशील संचालनों का ऑडिट लॉग
• दैनिक एन्क्रिप्टेड बैकअप (30 दिन की संरक्षण अवधि)

उल्लंघन की स्थिति में, 72 घंटे के भीतर CNIL और संबंधित व्यक्तियों को सूचना दी जाती है (GDPR अनुच्छेद 33)।

10 सत्र रिकॉर्डिंग

एर्गोनॉमिक्स में सुधार और बग्स के निदान के लिए, हम PostHog के माध्यम से एप्लिकेशन के उपयोग के सत्रों को रिकॉर्ड कर सकते हैं:

• रिकॉर्डिंग आपके उपयोग के दौरान स्क्रीन पर जो प्रदर्शित होता है उसका पुनर्निर्माण करती है।
• इनपुट फ़ील्ड छिपाए जाते हैं; हम संवेदनशील डेटा के कैप्चर को सीमित करने का प्रयास करते हैं।
• एप्लिकेशन को «canvas» मोड में रेंडर किए जाने के कारण, प्रत्येक तत्व के लिए सूक्ष्म मास्किंग हमेशा संभव नहीं होती है: प्रदर्शित डेटा प्रकट हो सकता है।
• रिकॉर्डिंग यूरोपीय संघ में होस्ट की जाती हैं और सीमित अवधि (अनुभाग 4) के लिए संरक्षित की जाती हैं, फिर हटा दी जाती हैं।
• आप किसी भी समय अपनी सहमति वापस ले सकते हैं और कुकीज़ को अवरुद्ध करने के लिए अपना ब्राउज़र कॉन्फ़िगर कर सकते हैं।

11 नाबालिग और संशोधन

नाबालिग: Backhurry एक पेशेवर (B2B) उपकरण है जो नाबालिगों के लिए अभिप्रेत नहीं है; हम जानबूझकर 15 वर्ष से कम आयु के व्यक्तियों का डेटा एकत्र नहीं करते हैं।

संशोधन: किसी भी सारभूत संशोधन की सूचना उसके प्रभावी होने से कम से कम 30 दिन पहले ईमेल द्वारा दी जाएगी।

संपर्क

GDPR / DPO संपर्क: contact@backhurry.com

पता: EPREYN — 40 Avenue du Canigou, 66370 Pézilla-la-Rivière

इन-ऐप फ़ीडबैक विजेट: साइड मेनू → «प्रतिक्रिया भेजें»

नीति 3 जून 2026 से लागू।