GDPR नीति

Scovai को डेटा सुरक्षा को अपने मूल में रखकर डिज़ाइन किया गया है। यह GDPR नीति बताती है कि हम सामान्य डेटा संरक्षण विनियम (EU) 2016/679 का अनुपालन कैसे करते हैं और डेटा विषयों — विशेष रूप से उन उम्मीदवारों — के अधिकारों की सुरक्षा के लिए हम जो सुरक्षा उपाय लागू करते हैं उनका वर्णन करती है जिनका व्यक्तिगत डेटा हमारे AI-संचालित भर्ती प्लेटफ़ॉर्म के माध्यम से संसाधित किया जाता है।

1. GDPR के तहत हमारी भूमिका

Scovai संदर्भ के आधार पर दो क्षमताओं में कार्य करता है:

• डेटा प्रोसेसर: जब संगठन (टेनेंट) अपनी भर्ती प्रक्रियाओं को प्रबंधित करने के लिए Scovai का उपयोग करते हैं, तो हम टेनेंट (डेटा नियंत्रक) की ओर से डेटा प्रोसेसर के रूप में कार्य करते हैं। प्रसंस्करण डेटा प्रसंस्करण समझौते (DPA) द्वारा शासित है।
• डेटा नियंत्रक: हमारी अपनी वेबसाइट आगंतुकों, हमारे टैलेंट पूल के सीधे आवेदकों और खाताधारकों के लिए, हम डेटा नियंत्रक के रूप में कार्य करते हैं।

2. डिज़ाइन और डिफ़ॉल्ट द्वारा डेटा सुरक्षा

GDPR अनुच्छेद 25 के अनुसार, Scovai डिज़ाइन और डिफ़ॉल्ट द्वारा डेटा सुरक्षा लागू करता है:

• मल्टी-टेनेंट आइसोलेशन: प्रत्येक संगठन का डेटा तार्किक रूप से पृथक है। उपयोगकर्ता केवल अपने टेनेंट के भीतर के डेटा तक पहुँच सकते हैं।
• न्यूनतम डेटा संग्रह: हम केवल वही डेटा एकत्र करते हैं जो उपयोग की जा रही भर्ती कार्यक्षमता के लिए आवश्यक है।
• छद्मनामीकरण: सिमेंटिक मैचिंग के लिए उपयोग किए जाने वाले वेक्टर एम्बेडिंग मानव-पठनीय नहीं हैं और मूल CV टेक्स्ट को पुनर्निर्मित करने के लिए रिवर्स नहीं किए जा सकते।
• एक्सेस कंट्रोल: भूमिका-आधारित एक्सेस कंट्रोल (RBAC) सुनिश्चित करता है कि उपयोगकर्ता केवल अपनी भूमिका (Admin, Recruiter, या Candidate) से संबंधित डेटा देखें।
• एन्क्रिप्शन: ट्रांज़िट में सभी डेटा TLS के माध्यम से एन्क्रिप्टेड है। संवेदनशील क्रेडेंशियल AES-256-CBC का उपयोग करके एन्क्रिप्टेड हैं।

3. सहमति प्रबंधन

Scovai एक अंतर्निहित सहमति प्रबंधन प्रणाली प्रदान करता है जो:

• विशिष्ट प्रसंस्करण उद्देश्यों (CV पार्सिंग, AI स्कोरिंग, मनोवैज्ञानिक मूल्यांकन, साक्षात्कार भागीदारी, टैलेंट पूल समावेश) के लिए विस्तृत सहमति रिकॉर्ड करती है
• सहमति कब दी गई, संशोधित की गई या वापस ली गई इसका पूर्ण ऑडिट ट्रेल रखती है
• उम्मीदवारों को उनकी प्रोफ़ाइल के माध्यम से किसी भी समय सहमति वापस लेने की अनुमति देती है
• सहमति वापस लेने पर स्वचालित रूप से प्रसंस्करण को प्रतिबंधित करती है

4. स्वचालित निर्णय लेने के सुरक्षा उपाय (अनुच्छेद 22)

Scovai स्कोरिंग, प्रोफाइलिंग और मूल्यांकन के लिए AI का उपयोग करता है। हम अनुच्छेद 22(3) के तहत निम्नलिखित सुरक्षा उपाय लागू करते हैं:

4.1 कोई पूर्ण स्वचालित निर्णय नहीं

प्लेटफ़ॉर्म को निर्णय-सहायता उपकरण के रूप में डिज़ाइन किया गया है। AI आउटपुट (स्कोर, रैंकिंग, साक्षात्कार मूल्यांकन) मानव रिक्रूटर्स को सिफ़ारिशों के रूप में प्रस्तुत किए जाते हैं, जो भर्ती निर्णयों पर पूर्ण अधिकार बनाए रखते हैं।

4.2 व्याख्यात्मकता

प्रत्येक AI-जनरेटेड स्कोर में एक Explainable AI (XAI) तर्क शामिल है जो सरल भाषा में बताता है कि स्कोर को किन कारकों ने प्रभावित किया। इसमें शामिल है:

• कौन से कौशल और योग्यताओं ने स्कोर में योगदान दिया
• कौन से समायोजन लागू किए गए और क्यों
• उम्मीदवार पद की आवश्यकताओं की तुलना में कैसा है

4.3 आपत्ति का अधिकार

उम्मीदवार प्लेटफ़ॉर्म के अनुपालन मॉड्यूल के माध्यम से किसी भी AI-जनरेटेड मूल्यांकन या स्कोर की मानव समीक्षा का अनुरोध कर सकते हैं। टेनेंट को सूचित किया जाता है और उन्हें उचित समय सीमा के भीतर समीक्षा अनुरोधों का जवाब देना होगा।

4.4 पूर्वाग्रह निगरानी

प्लेटफ़ॉर्म में स्वचालित पूर्वाग्रह निगरानी शामिल है जो लिंग और आयु वितरण सहित जनसांख्यिकीय असमानताओं के लिए AI स्कोरिंग पैटर्न का विश्लेषण करती है।

5. डेटा विषय अधिकार

Scovai सभी GDPR डेटा विषय अधिकारों के प्रयोग का समर्थन करता है:

6. डेटा प्रसंस्करण समझौते

सभी टेनेंट संबंध एक डेटा प्रसंस्करण समझौते (DPA) द्वारा शासित हैं जो निर्दिष्ट करता है:

• प्रसंस्करण का विषय और अवधि
• प्रसंस्करण की प्रकृति और उद्देश्य
• संसाधित व्यक्तिगत डेटा के प्रकार
• डेटा विषयों की श्रेणियाँ
• नियंत्रक और प्रोसेसर के दायित्व और अधिकार
• उप-प्रोसेसर आवश्यकताएँ और अनुमोदन प्रक्रियाएँ

7. डेटा उल्लंघन प्रक्रियाएँ

व्यक्तिगत डेटा उल्लंघन की स्थिति में, Scovai:

• प्रभावित टेनेंट (डेटा नियंत्रकों) को बिना अनुचित देरी के और उल्लंघन की जानकारी होने के 72 घंटों के भीतर सूचित करेगा
• उल्लंघन के बारे में विस्तृत जानकारी प्रदान करेगा, जिसमें प्रभावित डेटा की प्रकृति, संभावित परिणाम और इसे संबोधित करने के लिए उठाए गए कदम शामिल हैं
• टेनेंट को पर्यवेक्षी प्राधिकरणों और डेटा विषयों को उनके स्वयं के अधिसूचना दायित्वों को पूरा करने में सहायता करेगा
• सभी उल्लंघनों को आंतरिक उल्लंघन रजिस्टर में दस्तावेज़ करेगा

8. उप-प्रोसेसर

Scovai उप-प्रोसेसर का उपयोग न्यूनतम करता है। वर्तमान में:

• AI प्रसंस्करण: अधिकांश AI प्रसंस्करण (CV पार्सिंग, स्कोरिंग, मूल्यांकन, साक्षात्कार) EEA के भीतर स्थानीय रूप से होस्ट किए गए बुनियादी ढांचे पर चलता है। कोई उम्मीदवार व्यक्तिगत डेटा बाहरी AI प्रदाताओं को नहीं भेजा जाता।
• जॉब विवरण निर्माण: Anthropic Claude API का उपयोग करता है, लेकिन केवल पद-संबंधित डेटा (जॉब शीर्षक, आवश्यकताएँ) भेजा जाता है — कभी भी उम्मीदवार व्यक्तिगत डेटा नहीं।
• बुनियादी ढांचा: सभी होस्टिंग बुनियादी ढांचा यूरोपीय आर्थिक क्षेत्र के भीतर स्थित है।

हम व्यक्तिगत डेटा संभालने वाले नए उप-प्रोसेसर नियुक्त करने से पहले टेनेंट को सूचित करेंगे।

9. डेटा प्रतिधारण और हटाना

डेटा प्रतिधारण अवधि प्लेटफ़ॉर्म स्तर पर कॉन्फ़िगर की जाती है और टेनेंट द्वारा अनुमत सीमाओं के भीतर अनुकूलित की जा सकती है। डिफ़ॉल्ट प्रतिधारण अवधि हमारी गोपनीयता नीति में विस्तृत है। स्वचालित हटाने की प्रक्रियाएँ प्रतिधारण अवधि से अधिक डेटा को हटाने के लिए दैनिक चलती हैं।

10. डेटा सुरक्षा टीम से संपर्क करें

GDPR-संबंधित पूछताछ, डेटा विषय अनुरोध, या हमारे डेटा प्रसंस्करण समझौते की प्रति का अनुरोध करने के लिए:

ईमेल: privacy@scovai.com