गोपनीयता नीति

यह गोपनीयता नीति बताती है कि जब आप Swopli प्लेटफॉर्म -- हमारी वेबसाइट, मोबाइल ऐप और संबंधित सेवाओं (सामूहिक रूप से, "प्लेटफॉर्म") -- का उपयोग करते हैं, तो Swopli LTDA ("Swopli", "हम", "हमें", "हमारा") आपका व्यक्तिगत डेटा कैसे एकत्र, उपयोग, साझा और सुरक्षित करता है। Swopli एक peer-to-peer barter marketplace है जो उपयोगकर्ताओं को उपयोगकर्ताओं के बीच वित्तीय लेन-देन के बिना सीधे उत्पादों और सेवाओं की अदला-बदली करने देता है।

यह नीति पहले Global Baseline अनुभाग में व्यवस्थित है, जो दुनिया भर के सभी उपयोगकर्ताओं पर लागू होता है, और उसके बाद jurisdiction-specific अनुभाग हैं, जो स्थानीय कानून द्वारा आवश्यक अतिरिक्त अधिकार, प्रकटीकरण और सुरक्षा देते हैं। यदि आप नीचे दिए गए किसी विशिष्ट क्षेत्राधिकार में रहते हैं, तो वह अनुभाग Global Baseline का पूरक है और टकराव की स्थिति में Global Baseline पर प्रधानता रखता है।

डेटा नियंत्रक: Swopli LTDA CNPJ: 61.902.473/0001-79 Rua Alm Protogenes 289, Sala 122, Cond Office Jd Negocios C, Jardim, Santo Andre/SP, CEP 09090-760, Brazil

डेटा संरक्षण अधिकारी (DPO): ईमेल: dpo@swopli.com

---

Global Baseline

यह अनुभाग सभी Swopli उपयोगकर्ताओं पर लागू होता है, जहां भी Swopli संबंधित सेवा या सुविधा सुविधा उपलब्धता अनुसूची के तहत उपलब्ध कराता है। हम अपने baseline standard के रूप में GDPR-first सिद्धांत लागू करते हैं, यानी स्थानीय कानून की आवश्यकताओं से अलग सभी उपयोगकर्ताओं को उच्च डेटा संरक्षण मानक मिलते हैं।

हम जो डेटा एकत्र करते हैं

आपके द्वारा दिया गया डेटा

श्रेणी	कब एकत्र किया जाता है	उदाहरण
पहचान	पंजीकरण	पूरा नाम, उपयोगकर्ता नाम, ईमेल, फोन (E.164), जन्म तिथि
प्रोफाइल	Onboarding	फोटो, bio, शहर, पसंदीदा भाषा
पता	Shipping enablement	सड़क, नंबर, complement, postal code, शहर, राज्य, देश
कर और verification identifiers	Product publishing, Swap Protection, KYC, fraud prevention, और single-account enforcement	CPF या जहां आवश्यक हो equivalent tax identification number
Content	Platform use	Listed products, photos, descriptions, messages, reviews
Payment	VIP/Boost खरीद	RevenueCat (iOS/Android), Paddle (web), या Stripe (Swap Protection) द्वारा processed payment data -- Swopli card numbers store नहीं करता

अपने-आप एकत्र किया गया डेटा

श्रेणी	कैसे एकत्र किया जाता है	उद्देश्य
Technical identifiers	Server logs	IP address, user agent, device identifier
Platform usage	In-app events	देखे गए pages, की गई actions, timestamps
Approximate location	IP geolocation (automatic)	Cookie banner jurisdiction detection, fraud prevention
Precise location	Opt-in device permission	Search radius filters (~100m precision)
Functional cookies	Browser	Session, language preference, cookie consent
Analytics cookies	Browser, consent के बाद	PostHog usage events (EU-hosted: eu.posthog.com)

Third-Party Data

जब आप Google, Apple या Facebook के माध्यम से sign up करते हैं, तो हमें provider से ये जानकारी मिलती है: email, पूरा नाम (यदि authorized हो), profile photo (यदि authorized हो), और एक unique provider identifier। हमें आपके provider account का password नहीं मिलता।

उद्देश्य और कानूनी आधार

उद्देश्य	कानूनी आधार	GDPR संदर्भ
Account registration और operation	Contract का performance	Art. 6(1)(b)
Users के बीच trades facilitate करना	Contract का performance	Art. 6(1)(b)
VIP/Boost/shipping payments process करना	Contract का performance	Art. 6(1)(b)
Transactional communications (trade notifications, messages)	Contract का performance	Art. 6(1)(b)
Tax और regulatory compliance	Legal obligation	Art. 6(1)(c)
Fraud prevention और platform security	Legitimate interest	Art. 6(1)(f)
Analytics (PostHog) के माध्यम से platform improvement	Consent	Art. 6(1)(a)
Users के बीच dispute resolution	Contract का performance + Legitimate interest	Art. 6(1)(b) + Art. 6(1)(f)
Court orders या authority requests का compliance	Legal obligation	Art. 6(1)(c)

हम आपके personal data का उपयोग इन उद्देश्यों के लिए नहीं करते: legal effects पैदा करने वाले automated decision-making या profiling (GDPR Art. 22), आपका डेटा तीसरे पक्षों को बेचना, या आपके personal data के आधार पर Swopli-operated targeted advertising। Optional Paddle/Meta checkout attribution Cookie Policy में बताया गया है और Marketing cookies, GPC, या Do Not Sell or Share settings के opt out करने पर disabled रहता है।

Sub-Processors

Swopli निम्न providers और sub-processors के साथ personal data साझा करता है। जहां provider Swopli के processor के रूप में कार्य करता है, relationship Data Processing Agreement (DPA) या equivalent contractual safeguards से covered होता है:

Sub-Processor	उद्देश्य	स्थान	Transfer Mechanism
Supabase (AWS sa-east-1)	Database hosting, authentication, file storage	Brazil (AWS sa-east-1) -- Supabase Inc. US-based है	Brazilian users के लिए domestic; international users के लिए SCCs Module 2
Stripe, Inc. / Stripe Payments Brasil Serviços Financeiros Ltda.	Swap Protection checkout, refundable deposits, refunds, transfers, Stripe Connect KYC, और जहां लागू हो shipping/payment support	Brazil / USA, flow पर निर्भर	Brazilian entity द्वारा handled होने पर Brazil domestic processing; जहां लागू हो SCCs Module 2 + DPF
RevenueCat Inc	Cross-platform subscription orchestration (iOS/Android/Web), Customer Center, VIP entitlement management	USA	SCCs Module 2 + UK IDTA (International Data Transfer Addendum) -- DPF certified नहीं
Paddle.com Market Limited	Web checkout (VIP/Boost) के लिए Merchant of Record, global tax collection, auto-currency conversion	UK + USA	UK adequacy decision (Commission Implementing Decision (EU) 2025/2574 amending Decision (EU) 2021/1772, valid until 2031-12-27); UK→US के लिए UK Approved Addendum के साथ EU SCCs
Apple Inc / Google LLC	Push notifications + In-App Purchase processing (iOS/Android के लिए merchant-of-record)	USA	Platform DPAs; In-App Purchase (IAP) scope
Resend	Transactional email delivery	USA	SCCs Module 2 + TIA
Cloudflare	CDN, DDoS protection, cookie banner के लिए IP geolocation	Global	SCCs Module 2 + TIA; global edge network; EU representative appointed
PostHog	Product analytics (EU/UK/CH में consent-gated)	EU (Frankfurt)	No transfer (EU-hosted)
Sentry	Error monitoring (जहां configured हो PII minimized और scrubbed)	USA	SCCs Module 2 + TIA
Nominatim (self-hosted OpenStreetMap geocoding)	Location display के लिए reverse geocoding	EU (self-hosted)	Nominatim द्वारा no third-party transfer; hosting ऊपर listed infrastructure providers से covered
OpenAI OpCo, LLC / OpenAI Ireland Ltd.	OpenAI moderation API के माध्यम से automated text/content moderation और trust & safety review	USA / Ireland (where applicable)	SCCs Module 2 + UK Addendum; OpenAI DPA
Melhor Envio	Shipping label generation और tracking (Brazil only)	Brazil	No transfer (domestic)

Changelog और 30-day update notifications के साथ पूरी, versioned sub-processor list के लिए हमारी Subprocessors List देखें।

Data Retention

श्रेणी	Retention Period	कारण
Active account data	Account मौजूद रहने तक	Service operation
Users के बीच messages	Account मौजूद रहने तक; account deletion पर deleted	Trade context
Financial transaction records	Transaction के 5 साल बाद तक	Tax obligation (Brazil: Art. 173 CTN; EU: member state के अनुसार अलग)
Server access logs	6 months	Security monitoring
Security audit logs	1 year	Legitimate security interest
Analytics data (PostHog)	12 months (anonymized identifiers)	Product improvement (consent-based)
Error reports (Sentry)	90 days	Bug resolution cycle
Anonymized/aggregated data	Indefinite	अब personal data नहीं

लागू अवधि के बाद data permanently deleted या irreversibly anonymized किया जाता है। हम retention periods की annually review करते हैं।

Security Measures

हम आपका data सुरक्षित रखने के लिए technical और organizational measures लागू करते हैं:

• Encryption in transit: सभी connections TLS 1.2+ का उपयोग करते हैं।
• Encryption at rest: Sensitive data infrastructure providers (Supabase, Stripe) द्वारा encrypted होता है।
• Access control: Database में Row Level Security (RLS) cross-user data access रोकता है।
• Authentication: Supabase Auth के secure session management के साथ OAuth-based authentication (Google, Apple)।
• Error monitoring: Incident detection के लिए Sentry (जहां configured हो PII minimized और scrubbed)।
• Audit logging: Sensitive actions actor, timestamp और action type के साथ logged होती हैं।
• Dependency management: Security updates regularly applied होते हैं।

इन measures के बावजूद कोई भी system 100% secure नहीं होता। आपके personal data को प्रभावित करने वाले data breach की स्थिति में हम applicable law के अनुसार आपको और relevant authorities को notify करेंगे (GDPR Art. 33 के तहत EU supervisory authorities के लिए 72 hours; LGPD Art. 48 के तहत ANPD के लिए "reasonable time")।

Age Restriction

Swopli 18 वर्ष से कम आयु के व्यक्तियों के लिए intended नहीं है। हम जानबूझकर minors से personal data collect नहीं करते। हम registration में दी गई date of birth से age verify करते हैं। यदि हमें minor का account identify होता है, तो हम उसे तुरंत deactivate करेंगे और associated data delete करेंगे।

यदि आप parent या legal guardian हैं और आपको लगता है कि किसी minor ने account बनाया है, तो immediate removal के लिए dpo@swopli.com से संपर्क करें।

आपके अधिकार (Global)

सभी users, jurisdiction से अलग, निम्न अधिकार exercise कर सकते हैं:

अधिकार	कैसे exercise करें
Access	Settings > Privacy & Data > Export My Data (ZIP download), या dpo@swopli.com पर email
Rectification	Settings > Edit Profile, या dpo@swopli.com पर email
Erasure	Settings > Privacy & Data > Delete My Account (24 hours के भीतर permanent hard delete)
Data Portability	Export structured JSON files को ZIP archive में deliver करता है
Withdraw Consent	Settings > Email Notifications; cookies के लिए /hi/gopaniyata/pasand
Object	Legitimate interest पर based processing के लिए dpo@swopli.com पर email
Complaint	अपनी local data protection authority से संपर्क करें (नीचे jurisdiction sections देखें)

Response time: 30 days तक (complex requests के लिए 60 days तक extendable, notification के साथ)। इन rights को exercise करना free है।

Web form: Data subject request swopli.com/hi/gopaniyata/mera-data पर submit करें या dpo@swopli.com पर email करें।

Cookies

Swopli अपनी website पर cookies और similar technologies का उपयोग करता है। हम कौन-सी cookies उपयोग करते हैं, उनके purposes, retention periods, और उन्हें manage करने का तरीका जानने के लिए हमारी Cookie Policy देखें।

• EU/EEA/UK/CH: First visit पर consent banner; non-essential cookies के लिए opt-in required।
• Other jurisdictions: Analytics के लिए opt-out के साथ notice banner; strictly necessary cookies हमेशा active।
• All users: Preferences किसी भी समय /hi/gopaniyata/pasand पर manage करें।

Changes to This Policy

हम अपनी practices, technology या legal requirements में changes reflect करने के लिए यह Privacy Policy update कर सकते हैं।

Material changes (आपके rights, data categories, या processing purposes को affect करने वाले): email और/या in-app notification द्वारा कम से कम 30 days' advance notice, changes की clear description के साथ।

Non-material changes (clarifications, formatting): prior notice के बिना effect ले सकते हैं। "Last Updated" date हमेशा सबसे recent revision दिखाती है।

---

Brazil (LGPD)

लागू होता है: Brazil में रहने वाले users पर। Governing law: Lei Geral de Proteção de Dados (LGPD -- Lei nº 13.709/2018)।

Controller and DPO

Swopli LTDA LGPD के तहत आपके personal data का controller (controlador) है।

डेटा संरक्षण अधिकारी (DPO): ईमेल: dpo@swopli.com Postal address: Rua Alm Protogenes 289, Sala 122, Cond Office Jd Negocios C, Jardim, Santo Andre/SP, CEP 09090-760 (LGPD Art. 41 के तहत "Encarregado" के रूप में designated)

DPO इसके लिए responsible है: data subjects की complaints और communications स्वीकार करना; ANPD से communications receive करना; employees और contractors को data protection practices पर guide करना; और controller द्वारा assigned duties perform करना (Art. 41 LGPD)।

LGPD के तहत कानूनी आधार

LGPD personal data processing के लिए specific legal bases देता है (Art. 7)। हम इन पर rely करते हैं:

उद्देश्य	कानूनी आधार	LGPD Article
Account creation और service delivery	Contract का performance	Art. 7, V
Tax और regulatory obligations	Legal obligation	Art. 7, II
Fraud prevention, platform security	Legitimate interest	Art. 7, IX
Analytics (PostHog)	Consent	Art. 7, I
Legal proceedings में rights exercise करना	Exercise of rights	Art. 7, VI
Credit protection (seller verification)	Credit protection	Art. 7, X

LGPD के तहत आपके अधिकार (Art. 18)

Global Baseline में listed rights के अलावा, Brazilian users को LGPD के Art. 18 के तहत निम्न specific rights हैं:

1. Processing की confirmation -- confirm करना कि हम आपका personal data process करते हैं या नहीं।
2. Access -- अपने personal data की copy प्राप्त करना।
3. Correction -- incomplete, inaccurate, या outdated data correct करना।
4. Anonymization, blocking, या deletion -- unnecessary, excessive, या non-compliant data के लिए।
5. Portability -- अपना data दूसरे service provider को transfer करना (Art. 18, V)।
6. Deletion -- consent से processed personal data को consent withdrawn होने पर delete करना।
7. Sharing के बारे में information -- जानना कि आपका data किन public और private entities के साथ shared हुआ है।
8. Consent के बारे में information -- consent न देने की possibility और consequences के बारे में informed होना।
9. Withdrawal of consent -- किसी भी समय consent withdraw करना (Art. 18, IX)।

Data Localization

आपका primary account data Brazil में stored है (Supabase AWS sa-east-1, São Paulo region)। Stripe/Stripe Brasil, RevenueCat, Sentry, Resend, Cloudflare और ऊपर listed अन्य providers जैसे sub-processors को international transfers appropriate contractual safeguards, जहां लागू हो Standard Contractual Clauses सहित, से covered हैं और LGPD Art. 33 का पालन करते हैं।

Language

यह Privacy Policy Brazilian consumer protection law (CDC Art. 31) के तहत Portuguese (pt-BR) में उपलब्ध है। Portuguese और English versions के बीच conflict होने पर Brazilian users के लिए Portuguese version prevail करेगा।

Supervisory Authority

Autoridade Nacional de Proteção de Dados (ANPD) Website: https://www.gov.br/anpd Email: comunicacao@anpd.gov.br

---

EU/UK/CH (GDPR)

लागू होता है: European Economic Area (30 countries), United Kingdom और Switzerland में रहने वाले users पर। Governing law: General Data Protection Regulation (GDPR -- Regulation (EU) 2016/679), UK GDPR (UK Data Protection Act 2018), Swiss Federal Act on Data Protection (FADP/nDSG)।

EU Representative (Art. 27 GDPR)

Swopli LTDA EU के बाहर established है, इसलिए हम Art. 27 GDPR के तहत EU representative और UK GDPR Art. 27 के तहत UK representative appoint करने की process में हैं:

EU/UK Representative: Appointment in progress -- details final होने पर यहां publish की जाएंगी। Interim में dpo@swopli.com से संपर्क करें।

Appointed representative Digital Services Act (DSA) के Art. 13 के तहत भी हमारा representative होगा।

Legal Bases (Art. 6 GDPR)

हम आपका personal data Global Baseline section में described legal bases के आधार पर process करते हैं। जहां हम legitimate interest (Art. 6(1)(f)) पर rely करते हैं, वहां हमने balancing tests (Legitimate Interest Assessments) किए हैं ताकि सुनिश्चित हो कि हमारे interests आपके fundamental rights और freedoms पर override न करें। आप dpo@swopli.com से संपर्क करके इन assessments की details request कर सकते हैं।

जहां हम consent (Art. 6(1)(a)) पर rely करते हैं, वहां आप Settings > Privacy & Data या /hi/gopaniyata/pasand के माध्यम से किसी भी समय consent withdraw कर सकते हैं। Withdrawal से withdrawal से पहले consent पर based processing की lawfulness affect नहीं होती।

आपके GDPR अधिकार (Art. 15-22)

Global Baseline के rights के अलावा, EU/UK/CH users को निम्न specific rights हैं:

• Right of Access (Art. 15): Processing की confirmation और अपने data की copy प्राप्त करना, जिसमें purposes, categories, recipients, retention periods, और international transfers के safeguards की information शामिल है।
• Right to Rectification (Art. 16): Inaccurate data correct कराना और incomplete data complete कराना।
• Right to Erasure (Art. 17): अपने personal data का deletion request करना ("right to be forgotten")। Settings के माध्यम से account deletion permanent है (24 hours के भीतर hard delete)। Exceptions: legal obligations, legal claims की defense, public interest।
• Right to Restriction of Processing (Art. 18): जब आप accuracy contest करते हैं, processing unlawful है, हमें data अब needed नहीं है, या आपने verification pending रहने तक object किया है, तब processing restrict कराना।
• Right to Data Portability (Art. 20): अपना data structured, commonly used, machine-readable format में प्राप्त करना (ZIP में JSON)।
• Right to Object (Art. 21): Legitimate interest पर based processing पर object करना। हम processing बंद करेंगे जब तक compelling legitimate grounds demonstrate न करें।
• Right Not to Be Subject to Automated Decisions (Art. 22): Swopli solely automated processing पर based ऐसे decisions नहीं करता जिनका आप पर legal effect हो।

International Transfers (Chapter V)

EEA/UK/CH के बाहर personal data transfers GDPR Chapter V का पालन निम्न mechanisms के माध्यम से करते हैं:

• EU→Brazil (Supabase): Standard Contractual Clauses (SCCs) Module 2 (controller-to-processor), European Commission Decision 2021/914 द्वारा adopted, Transfer Impact Assessment (TIA) से supplemented।
• EU→USA (Stripe): SCCs Module 2 + EU-U.S. Data Privacy Framework (DPF) जहां applicable हो।
• EU→USA (RevenueCat): SCCs Module 2 + UK IDTA (International Data Transfer Addendum)। RevenueCat DPF certified नहीं है।
• EU→UK (Paddle): UK adequacy decision (Commission Implementing Decision (EU) 2025/2574 of 19 December 2025, amending Decision (EU) 2021/1772, valid until 2031-12-27)। UK→USA sub-processors UK Approved Addendum के साथ EU SCCs से covered हैं।
• EU→USA/global (Sentry, Resend, Cloudflare): Swopli के direct processor relationships के लिए SCCs Module 2 (controller-to-processor) + TIA। Onward subprocessor transfers provider के DPA और applicable SCCs या equivalent safeguards द्वारा governed हैं।
• EU→EU (PostHog): No transfer required -- Frankfurt में hosted।

आप dpo@swopli.com से संपर्क करके applicable SCCs और TIAs की copy request कर सकते हैं।

Cookie Consent (ePrivacy Directive)

EU/EEA/UK/CH jurisdictions में non-essential cookies (analytics, marketing) के लिए आपका prior opt-in consent required है। हमारा cookie banner first visit पर displayed होता है और आपको accept all, reject non-essential, या category के अनुसार customize करने देता है। Details के लिए हमारी Cookie Policy देखें।

DSA Compliance

Swopli Digital Services Act (Regulation (EU) 2022/2065) के तहत hosting service के रूप में comply करता है। हमारी content moderation practices, notice-and-action procedures, transparency obligations, DMCA takedown/counter-notice procedures, और active DMCA designated agent registration DMCA-1072280 हमारी Content Moderation & Takedown Policy में detailed हैं।

Supervisory Authorities

आपको अपने residence country की supervisory authority के पास complaint lodge करने का अधिकार है:

• EEA authorities की पूरी list: https://edpb.europa.eu/about-edpb/about-edpb/members_en
• UK Information Commissioner's Office (ICO): https://ico.org.uk/make-a-complaint/
• Swiss Federal Data Protection and Information Commissioner (FDPIC): https://www.edoeb.admin.ch/

---

United States

लागू होता है: United States में रहने वाले users पर। Governing law: California Consumer Privacy Act (CCPA), as amended by the California Privacy Rights Act (CPRA); Virginia Consumer Data Protection Act (VCDPA); Colorado Privacy Act (CPA); और अन्य applicable state privacy laws।

Swopli CCPA/CPRA को US-wide baseline के रूप में लागू करता है, जिससे सभी US users को उनके state of residence से अलग California-level protections मिलती हैं।

Personal Information की Categories (CCPA Disclosure)

CCPA section 1798.100 और 1798.110 के तहत, हम पिछले 12 months में collected personal information की categories disclose करते हैं:

CCPA Category	Collected	Examples	Business Purpose
A. Identifiers	Yes	Name, email, username, IP address, device ID, OAuth ID	Account operations, communications
B. Cal. Civ. Code 1798.80(e)	Yes	Name, address (shipping के लिए दिया गया हो तो)	Platform services, shipping
C. Protected classifications	Yes	Date of birth (केवल age verification)	Eligibility verification
D. Commercial information	Yes	Products listed, trade history, VIP/Boost purchases	Platform services, analytics
F. Internet activity	Yes	Platform पर browsing history, interactions, analytics events	Analytics, improvement, fraud prevention
G. Geolocation	Yes	Approximate (IP); precise केवल consent के साथ (search radius)	Search, fraud prevention
K. Inferences	Yes	Product interest categories, engagement patterns	Platform improvement

Categories E, H, I, J, L: Not collected.

RevenueCat Category A (identifiers) और Category D (purchase data) receive करता है। Paddle Category A, Category D, और card के last 4 digits receive करता है। जहां web checkout pages पर Marketing cookies accepted होती हैं, Paddle/Meta attribution attribution के लिए cookie identifiers, IP address, user agent, और checkout event metadata receive कर सकता है। ये activities ऊपर disclosed CCPA categories से अलग additional CCPA categories introduce नहीं करतीं।

Sale and Sharing Choices

Swopli CCPA section 1798.140(ad) में defined personal information नहीं बेचता। Swopli core Platform के part के रूप में cross-context behavioral advertising के लिए personal information का उपयोग नहीं करता।

Web checkout pages पर optional Paddle/Meta attribution Marketing cookies accepted होने पर CPRA के तहत "sharing" माना जा सकता है। यदि आप Marketing cookies reject करते हैं, Do Not Sell or Share preference exercise करते हैं, या valid Global Privacy Control signal भेजते हैं, तो यह attribution disabled रहता है। हमारी website footer में Do Not Sell or Share link उपलब्ध है।

आपके CCPA/CPRA अधिकार

सभी US users ये rights exercise कर सकते हैं:

• Right to Know (§1798.100): Collected personal information की categories और specific pieces, sources, purposes, और third-party recipients के disclosure की request करें।
• Right to Delete (§1798.105): Personal information deletion की request करें। Settings > Privacy & Data > Delete My Account के माध्यम से, या dpo@swopli.com पर email।
• Right to Correct (CPRA): Inaccurate personal information correction की request करें। Settings > Edit Profile के माध्यम से।
• Right to Opt-Out of Sale/Sharing (§1798.120): हम personal information नहीं बेचते। आप optional Marketing-cookie attribution से opt out कर सकते हैं जिसे CPRA के तहत "sharing" माना जा सकता है।
• Right to Limit Sensitive PI (§1798.121): हम sensitive PI के रूप में केवल date of birth collect करते हैं, जिसका उपयोग solely age verification के लिए होता है। कोई additional uses नहीं।
• Right to Non-Discrimination (§1798.125): किसी CCPA right को exercise करने के लिए हम आपके साथ discrimination नहीं करेंगे।

अपने अधिकार कैसे exercise करें

• In-app: Settings > Privacy & Data (export, delete, correct)
• Web form: swopli.com/hi/gopaniyata/mera-data
• Email: dpo@swopli.com

हम receipt को 10 business days के भीतर acknowledge करेंगे और 45 calendar days के भीतर substantive response देंगे (notice के साथ 45 days तक extendable)। Requests fulfill करने से पहले हम आपकी identity verify करते हैं। Authorized agents को signed written authorization देना होगा।

Global Privacy Control (GPC)

Swopli CCPA regulations द्वारा required Global Privacy Control (GPC) browser signal honor करता है। जब GPC signal detect होता है, तो हम इसे sale/sharing opt-out request के रूप में valid मानते हैं।

Supervisory Authorities

• California Attorney General: https://oag.ca.gov/privacy -- (916) 210-6276
• Federal Trade Commission: https://www.ftc.gov/complaint

---

Canada (PIPEDA)

लागू होता है: Canada में रहने वाले users पर। Governing law: Personal Information Protection and Electronic Documents Act (PIPEDA); Quebec Act Respecting the Protection of Personal Information in the Private Sector (Law 25)।

PIPEDA Principles

Swopli PIPEDA के Schedule 1 के तहत 10 fair information principles का पालन करता है:

1. Accountability: Swopli LTDA अपने control में personal information के लिए responsible है। हमारा Data Protection Officer (dpo@swopli.com) compliance oversee करता है।
2. Identifying Purposes: हम collection के समय या उससे पहले collection के purposes identify करते हैं (Global Baseline -- Purposes and Legal Bases देखें)।
3. Consent: हम collection, use, और disclosure के लिए meaningful consent obtain करते हैं। Consent express (account creation, analytics) या implied (necessary platform operations) हो सकता है।
4. Limiting Collection: हम identified purposes के लिए necessary information ही collect करते हैं।
5. Limiting Use, Disclosure, and Retention: Personal information केवल उन्हीं purposes के लिए use और disclose होती है जिनके लिए collect की गई थी, और only as long as necessary retain की जाती है।
6. Accuracy: हम personal information को accurate, complete, और up-to-date रखने के लिए reasonable steps लेते हैं। आप Settings > Edit Profile के माध्यम से अपनी information correct कर सकते हैं।
7. Safeguards: हम data की sensitivity के proportionate security measures से personal information protect करते हैं (Global Baseline -- Security Measures देखें)।
8. Openness: यह Privacy Policy personal information management के संबंध में हमारी policies और practices detail करती है।
9. Individual Access: आप अपनी personal information तक access request कर सकते हैं और उसकी accuracy challenge कर सकते हैं (Global Baseline -- Your Rights देखें)।
10. Challenging Compliance: आप dpo@swopli.com से संपर्क करके इन principles के साथ हमारे compliance को challenge कर सकते हैं। यदि हम आपकी concern resolve नहीं कर पाते, तो आप Office of the Privacy Commissioner में complaint file कर सकते हैं।

Quebec Law 25

Quebec में रहने वाले users के लिए निम्न additional provisions apply होते हैं:

• Privacy Impact Assessment (PIA): Law 25 के अनुसार Quebec residents की personal information involving cross-border transfers के लिए हम PIAs conduct करते हैं।
• Privacy Officer: हमारा DPO (dpo@swopli.com) Quebec Law 25 compliance के लिए designated privacy officer के रूप में serve करता है।
• French Language: यह Privacy Policy Quebec users के लिए French में उपलब्ध है।
• Consent: Sensitive personal information, including biometric data (Swopli biometric data collect नहीं करता) और precise geolocation (opt-in only), के collection और use के लिए express consent required है।

Cross-Border Transfers

Canada के बाहर personal information transfers Sub-Processors table (Global Baseline) में disclosed हैं। हम सुनिश्चित करते हैं कि सभी transfers PIPEDA s. 5(3) का पालन करें और receiving organizations comparable levels of protection दें।

Supervisory Authority

Office of the Privacy Commissioner of Canada (OPC) Website: https://www.priv.gc.ca Toll-free: 1-800-282-1376

Commission d'accès à l'information du Québec (CAI) (Quebec residents के लिए) Website: https://www.cai.gouv.qc.ca

---

Latin America

लागू होता है: Mexico, Argentina, Chile, Colombia, Peru, Uruguay, Costa Rica, Guatemala, Honduras, और Nicaragua में रहने वाले users पर।

Latin America में data protection laws आम तौर पर ARCO rights framework (Acceso, Rectificación, Cancelación, Oposición) follow करते हैं। Swopli सभी Latin American users के लिए इन rights का सम्मान करता है।

आपके ARCO अधिकार

अधिकार	Description	कैसे exercise करें
Acceso (Access)	जानें कि हम आपके बारे में कौन-सा personal data रखते हैं	Settings > Privacy & Data > Export My Data
Rectificación (Rectification)	Inaccurate या incomplete data correct करें	Settings > Edit Profile
Cancelación (Cancellation/Deletion)	अपने personal data deletion की request करें	Settings > Privacy & Data > Delete My Account
Oposición (Objection)	Specific purposes के लिए अपने data की processing पर object करें	dpo@swopli.com पर email

Response time: 20 business days तक (country के अनुसार अलग हो सकता है)।

Country-Specific Notes

Mexico (LFPDPPP): Swopli का privacy notice (aviso de privacidad) यही Privacy Policy है। हम registration पर obtained consent के आधार पर आपका data process करते हैं। आप dpo@swopli.com से संपर्क करके किसी भी समय consent revoke कर सकते हैं। Third parties को transfers Sub-Processors table में disclosed हैं।

Argentina (Ley 25.326): आपको 6 months से कम interval पर नहीं, free of charge, अपने personal data तक access का अधिकार है (Art. 14)। Dirección Nacional de Protección de Datos Personales (DNPDP) supervisory authority है: https://www.argentina.gob.ar/aaip/datospersonales

Colombia (Ley 1581 de 2012): हम registration पर obtained authorization (autorización) के आधार पर आपका data process करते हैं। आपको access, correction, deletion, और authorization revocation के rights हैं। Superintendencia de Industria y Comercio (SIC): https://www.sic.gov.co

Chile (Ley 19.628): आपको access, rectification, cancellation, और objection के rights हैं। नया data protection framework इन rights को strengthen करता है। Consejo para la Transparencia: https://www.consejotransparencia.cl

Peru (Ley 29733): आपका personal data आपके consent के आधार पर process होता है। आप dpo@swopli.com से संपर्क करके ARCO rights exercise कर सकते हैं। Autoridad Nacional de Protección de Datos Personales: https://www.gob.pe/anpd

Uruguay (Ley 18.331): Uruguay के पास EU adequacy decision है, जो high level of data protection देता है। Unidad Reguladora y de Control de Datos Personales (URCDP): https://www.gub.uy/unidad-reguladora-control-datos-personales

Costa Rica, Guatemala, Honduras, Nicaragua: जहां data protection frameworks अभी developing हैं, वहां हम baseline के रूप में GDPR-first principles apply करते हैं।

Cross-Border Transfers

Latin American users के personal data के international transfers Global Baseline Sub-Processors table में described mechanisms से covered हैं। हम सुनिश्चित करते हैं कि transfers applicable local requirements, including consent-based transfers जहां required हों, का पालन करें।

---

India (DPDPA)

लागू होता है: India में रहने वाले users पर। Governing law: Digital Personal Data Protection Act, 2023 (DPDPA)।

Data Fiduciary

Swopli LTDA Indian users के personal data के संबंध में DPDPA के तहत Data Fiduciary के रूप में कार्य करता है।

Primary Basis के रूप में Consent

DPDPA के तहत consent personal data processing का primary legal basis है। GDPR के विपरीत, DPDPA "legitimate interest" को independent legal basis के रूप में recognize नहीं करता।

हम account registration के समय processing के लिए आपका consent obtain करते हैं। आपका consent Global Baseline section में listed सभी purposes cover करता है, including fraud prevention और platform security। आपका consent है:

• Free: Additional services पर conditioned नहीं।
• Informed: यह Privacy Policy आपका notice है (Section 5 DPDPA)।
• Specific: हर identified purpose के लिए consent obtained है।
• Unconditional: Unrelated conditions से tied नहीं।

आप Settings > Privacy & Data या dpo@swopli.com पर email करके किसी भी समय consent withdraw कर सकते हैं। Withdrawal से Platform की कुछ features use करने की ability affect हो सकती है।

DPDPA के तहत आपके अधिकार

अधिकार	Description
Right to Access	अपने personal data और processing activities का summary प्राप्त करें (Section 11)
Right to Correction and Erasure	Inaccurate data correction और personal data erasure की request करें (Section 12)
Right to Grievance Redressal	हमारे Grievance Officer को grievances submit करें (Section 13)
Right to Nominate	मृत्यु या incapacity की स्थिति में अपने rights exercise करने के लिए किसी अन्य individual को nominate करें (Section 14)

Grievance Officer

Grievance Officer: dpo@swopli.com Response time: Receipt के 72 hours के भीतर, और 30 days के भीतर resolution।

यदि आप हमारे response से satisfied नहीं हैं, तो constituted होने के बाद आप Data Protection Board of India के पास complaint file कर सकते हैं।

Children's Data

India में 18 वर्ष से कम users के लिए DPDPA personal data processing से पहले verifiable parental consent require करता है। चूंकि Swopli सभी users को 18+ होना required करता है, यह provision हमारे age gate से satisfied है।

Cross-Border Transfers

DPDPA cross-border transfers allow करता है, सिवाय उन countries के जिन्हें Central Government specifically restrict करे। इस Policy की date तक कोई restrictions notified नहीं हैं। Transfers Sub-Processors table (Global Baseline) में disclosed हैं।

Business Purpose Restriction

हम Indian users का personal data केवल इस Privacy Policy में disclosed specific purposes के लिए process करते हैं। इन purposes से beyond processing के लिए fresh consent required है।

---

Asia-Pacific

लागू होता है: Indonesia, Malaysia, Philippines, Singapore, Thailand, Vietnam, Japan, South Korea, Taiwan, और Hong Kong में रहने वाले users पर।

Asia-Pacific region में data protection laws काफी vary करते हैं। यह section प्रत्येक jurisdiction की key requirements address करता है।

Japan (APPI)

Act on the Protection of Personal Information (APPI) Japan में data processing govern करता है।

• Foreign Transfer Disclosure: हम disclose करते हैं कि आपका personal data Sub-Processors table (Global Baseline) में listed countries को transfer होता है। Japan के पास EU adequacy decision है, जिससे transfers facilitate होते हैं।
• Sensitive Information: Swopli APPI Art. 2(3) में defined special care-required personal information (要配慮個人情報) collect नहीं करता। यदि हमें कभी ऐसा data collect करना पड़ा, तो हम आपका prior opt-in consent obtain करेंगे।
• Opt-Out of Third-Party Provision: आप dpo@swopli.com से संपर्क करके third-party data provision से opt out कर सकते हैं।
• Personal Information Protection Commission (PPC): https://www.ppc.go.jp/en/

South Korea (PIPA)

Personal Information Protection Act (PIPA) comprehensive data protection rights देता है।

• Consent: हम registration पर collection, use, और cross-border transfer के लिए आपका consent obtain करते हैं। Cross-border transfers के लिए consent specifically recipients, countries, purposes, और transferred data types disclose करता है।
• Cross-Border Transfer: Transfers Sub-Processors table में disclosed हैं। Overseas transfers के संबंध में हम PIPA Art. 17 और Art. 28-2 comply करते हैं।
• Rights: Access, correction, deletion, और suspension of processing। Settings या dpo@swopli.com के माध्यम से।
• Personal Information Protection Commission (PIPC): https://www.pipc.go.kr/eng/

Singapore (PDPA)

Personal Data Protection Act 2012 (PDPA) Singapore में data processing govern करता है।

• Data Protection Officer: dpo@swopli.com PDPA compliance के लिए हमारे designated DPO के रूप में serve करता है।
• Consent: हम registration पर obtained consent, या जहां reasonably expected हो deemed consent (PDPA s. 15), के आधार पर personal data collect और use करते हैं।
• Transfer: हम सुनिश्चित करते हैं कि recipients PDPA s. 26 द्वारा required comparable protection provide करें।
• Do Not Call Registry: Swopli telemarketing conduct नहीं करता।
• Personal Data Protection Commission (PDPC): https://www.pdpc.gov.sg/

Thailand (PDPA)

Personal Data Protection Act B.E. 2562 (2019) effect में है। Implementing regulations अभी finalized हो रहे हैं।

• Status: MONITOR -- इस Policy की date तक foreign platforms के खिलाफ zero enforcement actions। हम baseline के रूप में GDPR-first principles apply करते हैं।
• Rights: Access, correction, deletion, restriction, portability, और objection -- सभी Settings या dpo@swopli.com के माध्यम से available।
• Office of the Personal Data Protection Committee (PDPC): https://www.pdpc.or.th/

Vietnam (PDP Decree)

Personal data protection पर Decree 13/2023/ND-CP force में है।

• Status: MONITOR -- Cross-border transfers के लिए mandatory filing portal (MPS) अभी launch नहीं हुआ। Portal operational होने पर हम file करेंगे।
• Consent: हम registration पर processing और cross-border transfers के लिए consent obtain करते हैं।
• Data Protection Impact Assessment (DPIA): MPS portal खुलने पर file करने के लिए हम DPIA templates ready रखते हैं।

Indonesia (PDP Law)

Personal Data Protection पर Law No. 27 of 2022 effect में है। Implementing regulations pending हैं।

• Status: MONITOR -- Implementing regulations अभी issued नहीं हुए। हम GDPR-first principles apply करते हैं।
• Consent: हम registration पर processing के लिए consent obtain करते हैं।
• Rights: Access, correction, deletion, और restriction।

Malaysia (PDPA 2010)

• Consent: Registration पर obtained। हम Personal Data Protection Act 2010 का पालन करते हैं।
• Rights: Access, correction, और withdrawal of consent।
• Department of Personal Data Protection: https://www.pdp.gov.my/

Philippines (DPA 2012)

• Consent: Registration पर obtained। हम Republic Act No. 10173 का पालन करते हैं।
• Rights: Access, correction, erasure, objection, और portability।
• National Privacy Commission (NPC): https://www.privacy.gov.ph/

Taiwan (PDPA)

• Consent: Registration पर obtained। हम Personal Data Protection Act का पालन करते हैं।
• Rights: Access, correction, deletion, और cessation of processing।

Hong Kong (PDPO)

• Consent: हम Personal Data (Privacy) Ordinance (Cap. 486) का पालन करते हैं।
• Data Protection Principles: हमारी practices six DPPs के अनुरूप हैं।
• Office of the Privacy Commissioner for Personal Data: https://www.pcpd.org.hk/

---

Rest of World

लागू होता है: Australia, New Zealand, South Africa, United Arab Emirates, Bahrain, Egypt, Israel, Jordan, Kuwait, Oman, Qatar, Lebanon, Moldova, Ukraine, Azerbaijan, और Pakistan में रहने वाले users पर।

इस section के countries के लिए, हम worldwide baseline के रूप में GDPR-first principles apply करते हैं। जहां local law additional specific rights या requirements देता है, उन्हें नीचे address किया गया है।

Australia (Privacy Act 1988)

Australian Privacy Principles (APPs) data handling govern करते हैं।

• APP 1 (Openness): यह Privacy Policy हमारी APP-compliant privacy policy के रूप में serve करती है।
• APP 5 (Notification): हम collection के समय या उससे पहले APP 5 द्वारा required matters के बारे में आपको notify करते हैं।
• APP 8 (Cross-Border Disclosure): हम overseas transfers Sub-Processors table में disclose करते हैं और recipients को APPs comply कराने के लिए reasonable steps लेते हैं।
• APP 12 (Access): आप Settings या dpo@swopli.com के माध्यम से अपनी personal information access कर सकते हैं।
• APP 13 (Correction): आप Settings > Edit Profile के माध्यम से अपनी personal information correct कर सकते हैं।
• Office of the Australian Information Commissioner (OAIC): https://www.oaic.gov.au/

New Zealand (Privacy Act 2020)

• Information Privacy Principles (IPPs): हमारी practices 13 IPPs का पालन करती हैं।
• Cross-Border Transfer: हम सुनिश्चित करते हैं कि transferees comparable privacy protections के अधीन हों।
• Office of the Privacy Commissioner: https://www.privacy.org.nz/

South Africa (POPIA)

Protection of Personal Information Act 4 of 2013 (POPIA) effect में है।

• Responsible Party: Swopli LTDA personal information processing के लिए responsible party है।
• Conditions for Lawful Processing: हम POPIA Chapter 3 के तहत 8 conditions comply करते हैं।
• Cross-Border Transfer: Transfers POPIA s. 72 (adequate protection या consent या contractual necessity) का पालन करते हैं।
• Rights: Access, correction, deletion, objection। Settings या dpo@swopli.com के माध्यम से।
• Information Regulator: https://inforegulator.org.za/

Middle East (UAE, Bahrain, Egypt, Israel, Jordan, Kuwait, Oman, Qatar, Lebanon)

Middle East region में data protection frameworks evolve हो रहे हैं। हम baseline के रूप में GDPR-first principles apply करते हैं और जहां applicable हो specific requirements comply करते हैं:

• UAE (Federal Decree-Law No. 45 of 2021): हम consent और contractual necessity के आधार पर data process करते हैं। Data Protection Office: https://tdra.gov.ae/
• Israel (Protection of Privacy Law 5741-1981): Israel के पास EU adequacy decision है। हम Israeli Privacy Protection Authority requirements comply करते हैं। https://www.gov.il/en/departments/the_privacy_protection_authority
• Bahrain (PDPL 2018): हम processing और cross-border transfers के लिए consent obtain करते हैं।
• Egypt: MONITOR -- Data Protection Center (DPC) अभी operational नहीं हुआ। DPC launch होने पर हम operational requirements comply करेंगे।
• Qatar (Law No. 13 of 2016): हम consent के आधार पर data process करते हैं और National Data Privacy Office requirements comply करते हैं।

Eastern Europe (Moldova, Ukraine, Azerbaijan)

• Ukraine (Law on Personal Data Protection No. 2297-VI): हम consent के आधार पर data process करते हैं और data protection requirements comply करते हैं। Ongoing situation को देखते हुए हम Ukrainian users के data security पर अतिरिक्त care लेते हैं।
• Moldova: हम EU-aligned data protection principles apply करते हैं।
• Azerbaijan: हम baseline के रूप में GDPR-first principles apply करते हैं।

Pakistan

Pakistan का data protection framework developing है। हम GDPR-first principles apply करते हैं और legislation enacted और enforced होने पर specific requirements comply करेंगे।

Rest of World के लिए General Contact

किसी भी Rest of World country के users अपने data rights इस तरह exercise करें:

• In-app: Settings > Privacy & Data
• Email: dpo@swopli.com
• Web form: swopli.com/hi/gopaniyata/mera-data

---

इस Privacy Policy के बारे में प्रश्न हैं? हमारे Data Protection Officer से dpo@swopli.com पर संपर्क करें या लिखें: Swopli LTDA, Rua Alm Protogenes 289, Sala 122, Santo Andre/SP, CEP 09090-760, Brazil।

Cookies के details के लिए हमारी Cookie Policy देखें। Sub-processors के details के लिए हमारी Subprocessors List देखें। Data subject requests के लिए /hi/gopaniyata/mera-data पर जाएं।