मुख्य सामग्री पर जाएँ
क़ानूनी

Data Processing Agreement

अंतिम अपडेट: 19 June 2026

BillBasket POS App के लिए — ग्राहक व्यक्तिगत डेटा हेतु नियंत्रक और प्रोसेसर की शर्तें

1. परिचय और समावेश

यह डेटा प्रोसेसिंग अनुबंध ("DPA") BillBasket Solutions LLP ("BillBasket", "कंपनी", "हम", "हमारा", या "हमें") और उस ग्राहक के बीच के समझौते का हिस्सा है, जिसने BillBasket की सेवा शर्तें, Enterprise Service Agreement, या BillBasket POS App और संबंधित सेवाओं के उपयोग को नियंत्रित करने वाला कोई अन्य लिखित समझौता स्वीकार किया है ("ग्राहक", और BillBasket के साथ मिलकर, "पक्षकार")।

यह DPA तब लागू होता है जब BillBasket, ग्राहक की ओर से POS App के संदर्भ में व्यक्तिगत डेटा की प्रोसेसिंग करता है — विशेष रूप से जब ग्राहक क्लाउड सिंक, ऑनलाइन बैकअप, होस्टेड रिपोर्टिंग, या अन्य सुविधाओं का उपयोग करता है जिनमें BillBasket द्वारा ग्राहक-नियंत्रित व्यक्तिगत डेटा की प्रोसेसिंग शामिल होती है।

यह DPA सेवा शर्तों और किसी भी Enterprise Service Agreement का पूरक है तथा उनमें शामिल है। व्यक्तिगत डेटा की प्रोसेसिंग के संबंध में विरोध की स्थिति में, यह DPA उस सीमा तक प्रभावी रहेगा, सिवाय जहाँ किसी Enterprise Service Agreement में स्पष्ट रूप से अन्यथा उल्लेख हो।

2. परिभाषाएँ

  • "लागू डेटा संरक्षण कानून" का अर्थ है पक्षकारों पर लागू होने वाले व्यक्तिगत डेटा की प्रोसेसिंग और सुरक्षा से संबंधित सभी कानून, जिनमें शामिल हैं — भारत में, डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 और सूचना प्रौद्योगिकी अधिनियम, 2000 तथा उनके अंतर्गत बने नियम; नेपाल में, व्यक्तिगत गोपनीयता अधिनियम, 2018 (2075) और इलेक्ट्रॉनिक लेनदेन अधिनियम, 2008 (2063); बांग्लादेश में, सूचना और संचार प्रौद्योगिकी अधिनियम, 2006, साइबर सुरक्षा अधिनियम, 2023, और समय-समय पर लागू कोई भी डेटा संरक्षण विधान; साथ ही लागू भुगतान-डेटा और वित्तीय-क्षेत्र की आवश्यकताएँ।
  • "नियंत्रक / डेटा प्रत्ययी" का अर्थ है वह इकाई जो व्यक्तिगत डेटा की प्रोसेसिंग के उद्देश्यों और साधनों को निर्धारित करती है। ग्राहक, ग्राहक व्यक्तिगत डेटा के लिए नियंत्रक / डेटा प्रत्ययी है।
  • "प्रोसेसर / डेटा प्रोसेसर" का अर्थ है वह इकाई जो नियंत्रक की ओर से व्यक्तिगत डेटा की प्रोसेसिंग करती है। BillBasket, POS App के माध्यम से प्रोसेस किए जाने वाले ग्राहक व्यक्तिगत डेटा के लिए प्रोसेसर / डेटा प्रोसेसर के रूप में कार्य करता है।
  • "डेटा प्रिंसिपल / डेटा विषय" का अर्थ है वह पहचाने गए या पहचाने जाने योग्य प्राकृतिक व्यक्ति जिससे व्यक्तिगत डेटा संबंधित है।
  • "ग्राहक व्यक्तिगत डेटा" का अर्थ है ग्राहक डेटा के भीतर वह व्यक्तिगत डेटा जिसे BillBasket ग्राहक की ओर से प्रोसेस करता है।
  • "व्यक्तिगत डेटा उल्लंघन" का अर्थ है सुरक्षा का वह उल्लंघन जिसके कारण BillBasket द्वारा प्रोसेस किए गए ग्राहक व्यक्तिगत डेटा का आकस्मिक या गैरकानूनी विनाश, हानि, परिवर्तन, अनधिकृत प्रकटीकरण, या उस तक पहुँच हो जाती है।
  • "उप-प्रोसेसर" का अर्थ है कोई भी तृतीय पक्ष जिसे BillBasket अपनी ओर से ग्राहक व्यक्तिगत डेटा की प्रोसेसिंग के लिए नियुक्त करता है।

3. पक्षकारों की भूमिकाएँ

पक्षकार सहमत हैं कि ग्राहक व्यक्तिगत डेटा के संबंध में:

  • ग्राहक नियंत्रक / डेटा प्रत्ययी है और BillBasket प्रोसेसर / डेटा प्रोसेसर है, जो ग्राहक के दस्तावेज़ीकृत निर्देशों पर कार्य करता है;
  • जहाँ BillBasket अपने स्वयं के उद्देश्यों के लिए व्यक्तिगत डेटा की प्रोसेसिंग करता है — खाता प्रशासन, बिलिंग, लाइसेंसिंग, धोखाधड़ी रोकथाम, सुरक्षा, और अपनी स्वयं की कानूनी बाध्यताएँ — BillBasket उस सीमित प्रोसेसिंग के लिए एक स्वतंत्र नियंत्रक / डेटा प्रत्ययी के रूप में कार्य करता है, जैसा गोपनीयता नीति में वर्णित है;
  • प्रत्येक पक्षकार अपने पर लागू होने वाली बाध्यताओं का पालन करने के लिए जिम्मेदार है।

ग्राहक POS App के माध्यम से ग्राहक व्यक्तिगत डेटा की प्रोसेसिंग के लिए एक वैध कानूनी आधार स्थापित करने (जिसमें जहाँ आवश्यक हो, सहमति प्राप्त करना या सूचनाएँ प्रदान करना शामिल है) और उस डेटा तथा अपने निर्देशों की सटीकता और वैधानिकता के लिए जिम्मेदार है।

4. प्रोसेसिंग का दायरा और विवरण

BillBasket ग्राहक व्यक्तिगत डेटा की प्रोसेसिंग केवल POS App प्रदान करने के लिए करता है। विषय-वस्तु में ग्राहक द्वारा चुने गए BillBasket POS App का प्रावधान शामिल है, जिसमें बिलिंग, इनवॉयसिंग, GST ई-इनवॉयसिंग, भुगतान स्वीकृति, समाधान, इन्वेंटरी और रिपोर्टिंग शामिल हैं। डेटा प्रिंसिपल की श्रेणियों में शामिल हो सकते हैं: ग्राहक के कर्मचारी और अधिकृत उपयोगकर्ता; ग्राहक के ग्राहक और भुगतानकर्ता; ग्राहक के विक्रेता और आपूर्तिकर्ता; और वे अन्य व्यक्ति जिनका डेटा ग्राहक POS App में दर्ज करता है।

5. ग्राहक की बाध्यताएँ

ग्राहक:

  • यह सुनिश्चित करेगा कि उसके पास ग्राहक व्यक्तिगत डेटा की प्रोसेसिंग करने और BillBasket को उसकी प्रोसेसिंग के लिए अधिकृत करने का वैधानिक आधार है;
  • POS App में जिन व्यक्तियों का विवरण दर्ज किया जाता है उन संबंधित डेटा प्रिंसिपलों (उदाहरण के लिए, उसके ग्राहक और कर्मचारी) से लागू डेटा संरक्षण कानूनों के तहत आवश्यक सभी सूचनाएँ प्रदान करेगा और सभी सहमतियाँ प्राप्त करेगा;
  • ऐसे निर्देश जारी करेगा जो लागू डेटा संरक्षण कानूनों का अनुपालन करते हों;
  • ग्राहक व्यक्तिगत डेटा की सटीकता, अखंडता और वैधानिकता के लिए जिम्मेदार होगा;
  • POS App द्वारा परिकल्पित और कानून द्वारा अनुमत मामलों को छोड़कर, BillBasket को विशेष, संवेदनशील, या प्रतिबंधित श्रेणियों का डेटा हस्तांतरित नहीं करेगा।

6. BillBasket की प्रोसेसिंग बाध्यताएँ

BillBasket:

  • ग्राहक के दस्तावेज़ीकृत निर्देशों पर ही ग्राहक व्यक्तिगत डेटा की प्रोसेसिंग करेगा, जिसमें सेवा शर्तें, यह DPA, और कोई भी Order Form शामिल हैं, जब तक कानून द्वारा अन्यथा अपेक्षित न हो;
  • ग्राहक व्यक्तिगत डेटा को न बेचेगा, न किराए पर देगा, और न ही उसका व्यावसायिक दोहन करेगा, और न ही इसे विज्ञापन या असंबंधित प्रोफाइलिंग के लिए उपयोग करेगा;
  • ग्राहक व्यक्तिगत डेटा की प्रोसेसिंग के लिए अधिकृत कर्मचारियों को गोपनीयता बाध्यताओं से बाधित रखेगा;
  • उचित तकनीकी और संगठनात्मक उपाय लागू करेगा;
  • प्रोसेसिंग की प्रकृति और उपलब्ध जानकारी को ध्यान में रखते हुए, जहाँ लागू हो, सुरक्षा, उल्लंघन अधिसूचना, प्रभाव आकलन और नियामक परामर्श में ग्राहक की सहायता करेगा;
  • इस DPA के अनुपालन का प्रदर्शन करने के लिए उचित रूप से आवश्यक जानकारी उपलब्ध कराएगा।

यदि BillBasket को लगता है कि कोई निर्देश लागू डेटा संरक्षण कानूनों का उल्लंघन करता है, तो वह कानून द्वारा अनुमत सीमा तक, बिना अनुचित विलंब के ग्राहक को सूचित करेगा।

7. सुरक्षा उपाय

BillBasket उचित तकनीकी और संगठनात्मक उपाय लागू करता है जो जोखिम के अनुरूप सुरक्षा का स्तर सुनिश्चित करने के लिए डिज़ाइन किए गए हैं। इनमें उचित रूप से शामिल हो सकते हैं: पारगमन में और जहाँ लागू हो, विश्राम में डेटा का एन्क्रिप्शन; एक्सेस नियंत्रण, भूमिका-आधारित अनुमतियाँ, और प्रमाणीकरण (जहाँ उपलब्ध हो, बहु-कारक प्रमाणीकरण सहित); नेटवर्क सुरक्षा नियंत्रण; सुरक्षा-संबंधित घटनाओं की लॉगिंग और निगरानी; सुरक्षित सॉफ़्टवेयर विकास प्रथाएँ और भेद्यता प्रबंधन; होस्टेड/क्लाउड सुविधाओं के लिए बैकअप और पुनर्प्राप्ति प्रक्रियाएँ; कर्मचारियों की गोपनीयता बाध्यताएँ और आवश्यकता-आधारित पहुँच; और प्रतिष्ठित बुनियादी ढाँचा प्रदाताओं के माध्यम से भौतिक और बुनियादी ढाँचा सुरक्षा।

ग्राहक अपने स्वयं के वातावरण में सुरक्षा के लिए जिम्मेदार है, जिसमें डिवाइस, क्रेडेंशियल, नेटवर्क और स्थानीय रूप से संग्रहीत POS डेटा शामिल हैं।

8. उप-प्रोसेसिंग

ग्राहक BillBasket को POS App के समर्थन के लिए उप-प्रोसेसर नियुक्त करने की सामान्य अनुमति प्रदान करता है, जिसमें क्लाउड बुनियादी ढाँचा, भुगतान प्रोसेसिंग, संचार और सुरक्षा प्रदाता शामिल हैं।

जहाँ BillBasket किसी उप-प्रोसेसर को नियुक्त करता है, वह:

  • इस DPA में उल्लिखित बाध्यताओं के समान डेटा संरक्षण बाध्यताएँ लागू करेगा;
  • ग्राहक व्यक्तिगत डेटा के संबंध में उप-प्रोसेसर के प्रदर्शन के लिए ग्राहक के प्रति जिम्मेदार रहेगा;
  • उचित अनुरोध पर, ग्राहक व्यक्तिगत डेटा की प्रोसेसिंग करने वाले उप-प्रोसेसरों के बारे में जानकारी उपलब्ध कराएगा।

BillBasket ग्राहक को ऐसे उप-प्रोसेसरों के इच्छित जोड़ या प्रतिस्थापन की सूचना देगा, जिससे उन्हें उचित डेटा संरक्षण आधारों पर आपत्ति करने का उचित अवसर मिले।

9. डेटा प्रिंसिपल के अधिकारों में सहायता

प्रोसेसिंग की प्रकृति को ध्यान में रखते हुए, BillBasket ग्राहक को डेटा प्रिंसिपल के अनुरोधों (जैसे पहुँच, सुधार, विलोपन, या शिकायत निवारण) का जवाब देने में सक्षम बनाने के लिए उचित सहायता प्रदान करेगा। जहाँ BillBasket को ग्राहक व्यक्तिगत डेटा से संबंधित कोई अनुरोध सीधे प्राप्त होता है, वह, जब तक कानूनी रूप से कार्य करना आवश्यक न हो, उसे ग्राहक को संदर्भित करेगा।

10. व्यक्तिगत डेटा उल्लंघन अधिसूचना

BillBasket ग्राहक को BillBasket द्वारा प्रोसेस किए गए ग्राहक व्यक्तिगत डेटा को प्रभावित करने वाले किसी पुष्टि किए गए व्यक्तिगत डेटा उल्लंघन के बारे में जागरूक होने के बाद बिना अनुचित विलंब के सूचित करेगा, जिसमें (उपलब्ध सीमा तक) उल्लंघन की प्रकृति, संभावित परिणाम और उठाए गए या प्रस्तावित उपाय का वर्णन होगा।

BillBasket उल्लंघन को कम करने के लिए उचित कदम उठाएगा और नियामकों या प्रभावित डेटा प्रिंसिपलों को आवश्यक अधिसूचनाओं पर ग्राहक के साथ सहयोग करेगा। ग्राहक, नियंत्रक / डेटा प्रत्ययी के रूप में, नियामकों और व्यक्तियों को अधिसूचित करने के बारे में निर्णय लेने का जिम्मेदार बना रहेगा। पक्षकार स्वीकार करते हैं कि कुछ न्यायक्षेत्र विशिष्ट घटना-रिपोर्टिंग समय-सीमाएँ लागू करते हैं (CERT-In द्वारा जारी निर्देशों सहित) और उन्हें पूरा करने के लिए सहयोग करेंगे।

11. डेटा स्थानीयकरण और सीमा-पार स्थानांतरण

BillBasket लागू स्थानीयकरण और सीमा-पार स्थानांतरण आवश्यकताओं के अनुसार ग्राहक व्यक्तिगत डेटा की प्रोसेसिंग और भंडारण करेगा:

  • भारत — जहाँ POS App भुगतान डेटा को संभालता है, ऐसे डेटा को Reserve Bank of India के भुगतान प्रणाली डेटा के भंडारण पर दिशानिर्देशों के अनुरूप संभाला जाता है, जिसके अनुसार लेनदेन से संबंधित भुगतान प्रणाली डेटा को भारत में संग्रहीत करना आवश्यक है। व्यक्तिगत डेटा का सीमा-पार स्थानांतरण केवल डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 और लागू विनियमों के तहत अनुमति के अनुसार होता है।
  • नेपाल — जहाँ Nepal Rastra Bank विनियमों और लागू कानून द्वारा अपेक्षित हो, नेपाली ग्राहकों से संबंधित भुगतान-संबंधित और ग्राहक डेटा को नेपाल के भीतर संग्रहीत और प्रोसेस किया जाता है या अन्यथा लागू निर्देशों के अनुसार संभाला जाता है।
  • बांग्लादेश — जहाँ Bangladesh Bank विनियमों और लागू कानून द्वारा अपेक्षित हो, बांग्लादेशी ग्राहकों से संबंधित भुगतान और ग्राहक डेटा को लागू निर्देशों के अनुसार संभाला जाता है, जिसमें कोई भी स्थानीयकरण या पूर्व-अनुमोदन आवश्यकताएँ शामिल हैं।

12. ऑडिट और अनुपालन

BillBasket इस DPA के अनुपालन का प्रदर्शन करने के लिए उचित रूप से आवश्यक जानकारी उपलब्ध कराएगा। उचित पूर्व लिखित सूचना पर और गोपनीयता के अधीन, ग्राहक (या उसके द्वारा नामांकित कोई स्वतंत्र ऑडिटर, जो BillBasket को उचित रूप से स्वीकार्य हो) BillBasket की ग्राहक व्यक्तिगत डेटा की प्रोसेसिंग का ऑडिट कर सकता है, प्रति वर्ष एक बार से अधिक नहीं, जब तक किसी नियामक द्वारा आवश्यक न हो या किसी महत्वपूर्ण व्यक्तिगत डेटा उल्लंघन के बाद। ऑडिट व्यावसायिक घंटों के दौरान न्यूनतम व्यवधान के साथ होते हैं। BillBasket ऑडिट अनुरोधों को प्रासंगिक प्रमाणपत्रों या तृतीय-पक्ष मूल्यांकन रिपोर्टों से पूरा कर सकता है।

13. डेटा की वापसी और विलोपन

सेवाओं की समाप्ति या समाप्ति पर, BillBasket ग्राहक की पसंद पर और POS App की कार्यक्षमता के अधीन, उचित अवधि के भीतर ग्राहक की ओर से प्रोसेस किए गए ग्राहक व्यक्तिगत डेटा को वापस करेगा या हटाएगा, सिवाय जहाँ कानून द्वारा या कानूनी दावों के लिए प्रतिधारण आवश्यक हो। ग्राहक समाप्ति से पहले ग्राहक डेटा की अपनी प्रतियाँ निर्यात करने और बनाए रखने का जिम्मेदार है।

14. दायित्व

इस DPA के तहत प्रत्येक पक्षकार का दायित्व सेवा शर्तों या लागू Enterprise Service Agreement में उल्लिखित सीमाओं और अपवर्जनों के अधीन है। लागू डेटा संरक्षण कानूनों के तहत सीमित या अपवर्जित न किए जा सकने वाले दायित्व पर कोई प्रतिबंध नहीं है।

15. अवधि और समाप्ति

यह DPA तब प्रभावी होता है जब ग्राहक पहली बार POS App का उपयोग इस प्रकार करता है जिसमें BillBasket द्वारा ग्राहक व्यक्तिगत डेटा की प्रोसेसिंग शामिल होती है और तब तक जारी रहता है जब तक BillBasket ऐसी सभी प्रोसेसिंग बंद नहीं कर देता। समाप्ति के बाद भी जारी रहने के लिए अभिप्रेत प्रावधान लागू रहेंगे।

16. शासी कानून और क्षेत्राधिकार

यह DPA भारत गणराज्य के कानूनों द्वारा शासित है, और पुणे, महाराष्ट्र, भारत में स्थित न्यायालयों का क्षेत्राधिकार होगा, लागू डेटा संरक्षण कानूनों की अनिवार्य प्रावधानों और न्यायक्षेत्र-विशिष्ट प्रावधानों के अधीन, जो किसी भी विरोध की सीमा तक संबंधित न्यायक्षेत्र के ग्राहकों के लिए प्रभावी रहते हैं।

17. प्राथमिकता का क्रम

व्यक्तिगत डेटा की प्रोसेसिंग के संबंध में विरोध की स्थिति में: (1) लागू डेटा संरक्षण कानूनों की अनिवार्य आवश्यकताएँ; (2) यह DPA; (3) Enterprise Service Agreement (यदि कोई हो); (4) सेवा शर्तें; (5) गोपनीयता नीति और अन्य नीतियाँ।


अनुलग्नक A — प्रोसेसिंग का विवरण

विषय-वस्तु: ग्राहक द्वारा चुने गए BillBasket POS App का प्रावधान, जिसमें बिलिंग, इनवॉयसिंग, GST ई-इनवॉयसिंग, भुगतान स्वीकृति, समाधान, इन्वेंटरी और रिपोर्टिंग शामिल हैं।

अवधि: सेवाओं की अवधि के लिए, साथ ही वापसी, विलोपन, या कानूनी रूप से आवश्यक प्रतिधारण के लिए आवश्यक किसी भी अवधि के लिए।

प्रकृति और उद्देश्य: ग्राहक द्वारा अनुरोधित POS सुविधाएँ प्रदान करने के लिए ग्राहक व्यक्तिगत डेटा की होस्टिंग, भंडारण, प्रसारण, सिंक्रनाइज़ेशन, प्रोसेसिंग और समर्थन।

व्यक्तिगत डेटा के प्रकारों में शामिल हो सकते हैं: नाम, संपर्क विवरण (ईमेल, फ़ोन, पता), बिलिंग और भुगतान-संबंधित विवरण, लेनदेन रिकॉर्ड, खाता और ग्राहक पहचानकर्ता, और अन्य डेटा जिसे ग्राहक प्रोसेस करना चुनता है। BillBasket जानबूझकर पूर्ण कार्ड नंबर, CVV, PIN, या बैंकिंग पासवर्ड संग्रहीत नहीं करता, जैसा गोपनीयता नीति और भुगतान और बिलिंग नीति में वर्णित है।

अनुलग्नक B — तकनीकी और संगठनात्मक सुरक्षा उपाय

BillBasket एक सुरक्षा कार्यक्रम बनाए रखता है जिसमें POS App के लिए उचित रूप से शामिल हो सकते हैं: पारगमन में और विश्राम में डेटा का एन्क्रिप्शन; एक्सेस नियंत्रण, भूमिका-आधारित अनुमतियाँ, और प्रमाणीकरण; नेटवर्क सुरक्षा नियंत्रण, फ़ायरवॉल और निगरानी सहित; सुरक्षा-संबंधित घटनाओं की लॉगिंग और निगरानी; सुरक्षित सॉफ़्टवेयर विकास प्रथाएँ और भेद्यता प्रबंधन; बैकअप और पुनर्प्राप्ति प्रक्रियाएँ; कर्मचारियों की गोपनीयता बाध्यताएँ और आवश्यकता-आधारित पहुँच; और प्रतिष्ठित बुनियादी ढाँचा प्रदाताओं के माध्यम से भौतिक और बुनियादी ढाँचा सुरक्षा। इन उपायों को समय के साथ अद्यतन किया जा सकता है, बशर्ते सुरक्षा का समग्र स्तर भौतिक रूप से कम न हो।

अनुलग्नक C — उप-प्रोसेसरों की श्रेणियाँ

BillBasket निम्नलिखित श्रेणियों में उप-प्रोसेसर नियुक्त कर सकता है: क्लाउड और बुनियादी ढाँचा होस्टिंग; भुगतान गेटवे और भुगतान सेवा प्रदाता; संचार प्रदाता (ईमेल, SMS, WhatsApp, अधिसूचनाएँ); ग्राहक समर्थन और रिमोट-असिस्टेंस प्लेटफ़ॉर्म; विश्लेषण प्रदाता; और सुरक्षा और बैकअप प्रदाता। ग्राहक व्यक्तिगत डेटा की प्रोसेसिंग करने वाले विशिष्ट उप-प्रोसेसरों की वर्तमान सूची Enterprise ग्राहकों को अनुरोध पर प्रदान की जा सकती है।


संपर्क जानकारी

BillBasket Solutions LLP — कानूनी और अनुपालन

  • ईमेल: legal@billbasket.in
  • सामान्य सहायता: support@billbasket.in
  • फ़ोन: +91 86006 00903
  • पंजीकृत कार्यालय: 101, Shree Apartment, Ubalenagar, Wagholi, Pune – 412207, Maharashtra, India