DATA PROCESSING ADDENDUM

BAS-IP / डेटा प्रोसेसिंग परिशिष्ट

अंतिम अद्यतन: [10.12.2025]

यह डेटा प्रोसेसिंग परिशिष्ट (इसके बाद ‘डीपीए’) आपके बीच दर्ज किया गया है (इसके बाद ‘क्लाइंट’, ‘आप’, ‘आपका‘) और बीएएस-आईपी वितरण लिमिटेड (इसके बाद ‘कंपनी’, ‘बीएएस-आईपी‘, ‘हम’, ‘हम’ या ‘हमारा‘), इसके बाद व्यक्तिगत रूप से ‘पार्टी‘ के रूप में या एक साथ ‘पार्टी‘ के रूप में संदर्भित किया जाता हैपार्टियां‘। यह डीपीए पार्टियों के बीच संपन्न नियमों और शर्तों (इसके बाद ‘समझौते’) को पूरक करता है।

यह डीपीए व्यक्तिगत डेटा के प्रसंस्करण को नियंत्रित करता है जो क्लाइंट बीएएस-आईपी के उत्पादों और सेवाओं (एक साथ ‘सेवाओं’ के उपयोग के संबंध में बीएएस-आईपी को प्रदान करता है), साथ ही साथ कोई भी व्यक्तिगत डेटा जो बीएएस-आईपी क्लाइंट के लिए सेवाएं करने के दौरान प्राप्त करता है।

जब तक इस डीपीए में अन्यथा परिभाषित नहीं किया जाता है, इस डीपीए में उपयोग किए जाने वाले सभी पूंजीकृत शब्दों में समझौते में निर्धारित अर्थ होंगे। यह डीपीए तब तक लागू रहेगा जब तक कि आपके और हमारे बीच सेवाओं के उपयोग को नियंत्रित करने वाले समझौते की समाप्ति नहीं हो जाती। इस डीपीए और समझौते के बीच किसी भी संघर्ष की स्थिति में, इस डीपीए के प्रावधान व्यक्तिगत डेटा के प्रसंस्करण के संबंध में प्रबल होंगे।

1. परिभाषाएँ

इस डीपीए के प्रयोजनों के लिए, निम्नलिखित परिभाषाएँ लागू होंगी:

“क्लाइंट डेटा” का अर्थ है कोई भी व्यक्तिगत डेटा जिसे क्लाइंट सेवाओं के संबंध में बीएएस-आईपी को अपलोड, संचारित या अन्यथा प्रदान करता है, साथ ही कोई भी व्यक्तिगत डेटा जो सेवाओं को करने के दौरान बीएएस-आईपी को संसाधित करता है।

“डेटा संरक्षण कानून” का अर्थ है क्लाइंट डेटा के प्रसंस्करण से संबंधित सभी लागू कानून और विनियम, जिनमें यूरोपीय संघ, यूरोपीय आर्थिक क्षेत्र और उसके सदस्य देश, यूनाइटेड किंगडम शामिल हैं, जैसे:

यूरोपीय संघ के सामान्य डेटा संरक्षण विनियमन (ईयू जीडीपीआर);
यूके जनरल डेटा प्रोटेक्शन रेगुलेशन (यूके जीडीपीआर);
डेटा संरक्षण अधिनियम 2018;
डेटा (उपयोग और पहुंच) अधिनियम 2025 (DUAA);
कोई अन्य लागू डेटा संरक्षण कानून और विनियम, इस डीपीए के तहत पार्टियों और प्रसंस्करण गतिविधियों पर लागू सीमा तककोई अन्य लागू कानून और विनियम।

“डेटा ट्रांसफर मैकेनिज्म” का अर्थ है कोई भी कानूनी रूप से मान्यता प्राप्त तंत्र, उपकरण या ढांचा जो लागू डेटा संरक्षण कानूनों के अनुपालन में क्लाइंट डेटा को एक क्षेत्राधिकार से दूसरे में स्थानांतरित करने की अनुमति देता है, जिसमें बिना किसी सीमा के, यूरोपीय संघ मानक संविदात्मक खंड और यूके परिशिष्ट शामिल हैं।

“यूरोपीय संघ एससीसी” का अर्थ है यूरोपीय संसद के विनियमन (ईयू) 2016/679 के अनुसार तीसरे देशों में ग्राहक डेटा के हस्तांतरण के लिए यूरोपीय संघ मानक संविदात्मक खंड और 4 जून 2021 के यूरोपीय आयोग कार्यान्वयन निर्णय (ईयू) 2021/914 द्वारा अनुमोदित परिषद, जैसा कि वर्तमान में निर्धारित किया गया है https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.

“जनरल डेटा प्रोटेक्शन रेगुलेशन (जीडीपीआर)” का अर्थ है यूरोपीय संसद और 27 अप्रैल 2016 की परिषद का विनियमन (ईयू) 2016/27 व्यक्तिगत डेटा के प्रसंस्करण और ऐसे डेटा के मुक्त आंदोलन के संबंध में प्राकृतिक व्यक्तियों की सुरक्षा पर, और निर्देश 95/46/ईसी को निरस्त करना।

“अंतर्राष्ट्रीय डेटा ट्रांसफर” का अर्थ है किसी ऐसे देश से ग्राहक डेटा का कोई भी हस्तांतरण जिसमें डेटा उस अधिकार क्षेत्र से बाहर के देश में एकत्र किया जाता है, जहां लागू डेटा संरक्षण कानूनों को इस तरह के हस्तांतरण के लिए उचित सुरक्षा उपायों की आवश्यकता होती है।

“सार्वजनिक प्राधिकरण” का अर्थ है एक सरकारी एजेंसी या कानून प्रवर्तन प्राधिकरण, जिसमें न्यायिक प्राधिकरण शामिल हैं।

“संवेदनशील ग्राहक डेटा” का अर्थ है नस्लीय या जातीय मूल, राजनीतिक राय, धार्मिक या दार्शनिक विश्वासों, या ट्रेड यूनियन सदस्यता, आनुवंशिक डेटा, या बायोमेट्रिक डेटा को विशिष्ट रूप से पहचानने के उद्देश्य से प्रकट करने वाला ग्राहक डेटा, स्वास्थ्य से संबंधित डेटा, या किसी व्यक्ति के यौन जीवन या यौन अभिविन्यास, या आपराधिक दोषसिद्धि और अपराधों से संबंधित डेटा।

“सेवाएं” का अर्थ है कंपनी द्वारा ग्राहक को प्रदान की जाने वाली सेवाएं।

“पर्यवेक्षी प्राधिकरण” का अर्थ है एक स्वतंत्र सार्वजनिक प्राधिकरण जो डेटा संरक्षण कानून के आवेदन की निगरानी के लिए जिम्मेदार है।

“तकनीकी और संगठनात्मक सुरक्षा उपाय” का अर्थ है अनजाने में विनाश या अनजाने में होने वाली हानि, परिवर्तन, अनधिकृत प्रकटीकरण या पहुंच के खिलाफ व्यक्तिगत डेटा की सुरक्षा के उद्देश्य से उपाय, विशेष रूप से जहां प्रसंस्करण में नेटवर्क के माध्यम से डेटा का प्रसारण शामिल है, और प्रसंस्करण के अन्य सभी गैरकानूनी रूपों के खिलाफ।

“यूके जीडीपीआर” का अर्थ है ईयू जनरल डेटा प्रोटेक्शन रेगुलेशन का बरकरार रखा गया संस्करण क्योंकि यह यूके के कानून का हिस्सा है, साथ ही डेटा संरक्षण अधिनियम 2018 और व्यक्तिगत डेटा के प्रसंस्करण को नियंत्रित करने वाले किसी भी अन्य लागू यूके कानून द्वारा किए गए किसी भी संशोधन के साथ।

“यूके परिशिष्ट” का अर्थ है यूरोपीय संघ के मानक संविदात्मक खंडों के लिए अंतर्राष्ट्रीय डेटा स्थानांतरण परिशिष्ट जो यूके डेटा संरक्षण कानूनों के अर्थ में प्रतिबंधित स्थानांतरण करने वाले पक्षों के लिए सूचना आयुक्त द्वारा जारी किया गया है, जैसा कि वर्तमान में https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf पर निर्धारित किया गया है।

“नियंत्रक“, “प्रोसेसर“, “उप-प्रोसेसर“, “डेटा विषय“, “व्यक्तिगत डेटा“, और “प्रसंस्करण” के अर्थ डेटा संरक्षण कानूनों में दिए गए हैं।

2.भूमिकाएँ और जिम्मेदारियाँ

जहां BAS-IP सेवाओं के संबंध में आपकी ओर से क्लाइंट डेटा को संसाधित करता है, आप स्वीकार करते हैं और सहमत होते हैं कि क्लाइंट डेटा के प्रसंस्करण के संबंध में, आप एक नियंत्रक या प्रोसेसर हैं, और हम आपकी ओर से कार्य करने वाले एक प्रोसेसर या उप-प्रोसेसर (जैसा कि डेटा संरक्षण कानूनों द्वारा परिभाषित किया गया है) हैं। इस तरह के प्रसंस्करण का विवरण इस डीपीए की अनुसूची 1 में निर्धारित किया गया है। यह डीपीए स्थापित भूमिकाओं के अनुसार लागू होगा और उन स्थितियों पर लागू नहीं होगा जहां हम बीएएस-आईपी की गोपनीयता नीति के अनुसार नियंत्रक के रूप में कार्य करते हैं।

यदि क्लाइंट एक प्रोसेसर है, तो क्लाइंट बीएएस-आईपी को वारंट करता है कि व्यक्तिगत डेटा के संबंध में क्लाइंट के निर्देश और कार्रवाई, जिसमें बीएएस-आईपी को उप-प्रोसेसर के रूप में नियुक्त करना शामिल है और, जहां लागू हो, इस डीपीए की धारा 9 के तहत ईयू एससीसी या किसी अन्य परिशिष्ट का समापन (जिसमें उन्हें नीचे धारा 9 में संशोधित किया जा सकता है), किया गया है (और होगा, इस डीपीए की अवधि के लिए, जारी रखें) संबंधित तृतीय-पक्ष नियंत्रक द्वारा प्राधिकृत।

3. निर्देश

पार्टियां इस बात से सहमत हैं कि यह डीपीए और लागू अनुबंध क्लाइंट डेटा के प्रसंस्करण के संबंध में ग्राहक के पूर्ण और अंतिम प्रलेखित निर्देशों का गठन करता है (इसके बाद ‘निर्देश’) जहां क्लाइंट एक नियंत्रक या प्रोसेसर के रूप में कार्य करता है और बीएएस-आईपी डेटा संरक्षण कानूनों के तहत प्रोसेसर या उप-प्रोसेसर के रूप में कार्य करता है।

किसी भी अतिरिक्त या वैकल्पिक निर्देश पर पार्टियों द्वारा लिखित रूप में सहमति होनी चाहिए और यह डीपीए और समझौते के अनुरूप होगा।

4. प्रसंस्करण का विवरण

सेवाओं के संबंध में क्लाइंट की ओर से क्लाइंट डेटा की प्रक्रिया इस DPA की अनुसूची 1 में वर्णित है। हम नई कार्यक्षमता को प्रतिबिंबित करने के लिए समय-समय पर प्रसंस्करण के विवरण को अद्यतन करने का अधिकार सुरक्षित रखते हैं जो सेवाओं का हिस्सा है।

5. ग्राहक के दायित्व

5.1. नियंत्रक के दायित्व

डीपीए के दायरे में, जब ग्राहक एक नियंत्रक के रूप में कार्य करता है, तो ग्राहक उन सभी आवश्यकताओं का अनुपालन करने के लिए जिम्मेदार होगा जो डेटा संरक्षण कानूनों के तहत नियंत्रक के रूप में ग्राहक पर लागू होती हैं।

नियंत्रक के रूप में कार्य करते समय, आपको यह करना होगा:

(ए) ग्राहक डेटा की सटीकता, गुणवत्ता, गोपनीयता और सुरक्षा बनाए रखना;

(b) डेटा संरक्षण कानूनों के तहत अपने दायित्वों का पालन करना और उनका पालन करना, जिसमें डेटा विषय अधिकार, डेटा सुरक्षा और गोपनीयता शामिल है, और यह सुनिश्चित करना कि आपके पास व्यक्तिगत डेटा के प्रसंस्करण के लिए एक उपयुक्त कानूनी आधार है;

(सी) केवल कानूनी रूप से प्राप्त ग्राहक डेटा के साथ बीएएस-आईपी प्रदान करें और यह सुनिश्चित करें कि ऐसा डेटा पर्याप्त, प्रासंगिक और इच्छित उद्देश्यों के लिए आनुपातिक है;

(d) सुनिश्चित करें कि क्लाइंट डेटा के प्रसंस्करण के संबंध में BAS-IP को आपके निर्देश डेटा संरक्षण कानूनों का अनुपालन करते हैं, जिसमें डेटा न्यूनीकरण, उद्देश्य सीमा और भंडारण सीमा के सिद्धांत शामिल हैं।

5.2. प्रोसेसर के दायित्व

डीपीए के दायरे में, जब क्लाइंट एक प्रोसेसर के रूप में कार्य करता है, तो क्लाइंट उन सभी आवश्यकताओं का अनुपालन करने के लिए जिम्मेदार होगा जो डेटा संरक्षण कानूनों के तहत प्रोसेसर के रूप में क्लाइंट पर लागू होते हैं।

प्रोसेसर के रूप में कार्य करते समय, आपको यह करना होगा:

(ए) बीएएस-आईपी केवल प्रसंस्करण निर्देशों के साथ प्रदान करें जो संबंधित नियंत्रक के प्रलेखित निर्देशों को सटीक रूप से दर्शाते हैं;

(बी) बीएएस-आईपी केवल क्लाइंट डेटा के साथ प्रदान करें जो संबंधित नियंत्रक से कानूनी रूप से प्राप्त किया गया है और जो पर्याप्त, प्रासंगिक और अनुमत उद्देश्यों के लिए आवश्यक है, तक सीमित है;

(ग) बीएएस-आईपी और किसी उप-प्रोसेसर की नियुक्ति के संबंध में संबंधित नियंत्रक के साथ पारदशता बनाए रखना;

(d) एक प्रोसेसर के रूप में आपकी क्षमता में लागू डेटा संरक्षण कानूनों के तहत सभी दायित्वों का पालन करना;

(ई) सुनिश्चित करें कि आपके कर्मचारी या क्लाइंट डेटा तक पहुंचने वाला कोई तीसरा पक्ष इस डीपीए और समझौते का अनुपालन करता है।

6.बीएएस-आईपी दायित्व

6.1. सामान्य दायित्व

जब बीएएस-आईपी प्रोसेसर/सब-प्रोसेसर के रूप में कार्य करता है, तो हमें यह करना होगा:

(ए) आपके निर्देशों के अनुसार और विशेष रूप से निर्दिष्ट उद्देश्यों के लिए क्लाइंट डेटा को संसाधित करें;

(बी) आपको सूचित करें यदि, बीएएस-आईपी की उचित राय में:

(i) आपके निर्देश लागू डेटा संरक्षण कानूनों का उल्लंघन करते हैं या उनका उल्लंघन कर सकते हैं; या

(ii) बीएएस-आईपी आपके निर्देशों का पालन करने में असमर्थ है;

(ग) ग्राहक डेटा की गोपनीयता सुनिश्चित करने के लिए उचित तकनीकी और संगठनात्मक उपायों को लागू करना और बनाए रखना;

(d) सभी लागू डेटा संरक्षण कानूनों का अनुपालन करना, जिसमें डेटा विषय अधिकार, डेटा सुरक्षा और गोपनीयता से संबंधित दायित्व शामिल हैं;

(ई) लिखित अनुबंधों या अन्य कानूनी रूप से बाध्यकारी साधनों के माध्यम से यह सुनिश्चित करता है कि बीएएस-आईपी की ओर से क्लाइंट डेटा को संसाधित करने के लिए लगे हुए कोई भी उप-प्रोसेसर इस डीपीए और समझौते में निर्धारित समकक्ष डेटा सुरक्षा दायित्वों के अधीन है;

(च) इस डीपीए के तहत आपकी ओर से की गई सभी प्रसंस्करण गतिविधियों का सटीक रिकॉर्ड बनाए रखें और अनुरोध पर आपको ऐसे रिकॉर्ड प्रदान करें;

(छ) अनुचित देरी के बिना आपको सूचित करें यदि बीएएस-आईपी को पता चलता है कि आपके द्वारा प्रदान किया गया कोई भी ग्राहक डेटा गलत, अधूरा या पुराना है;

(छ) संवेदनशील ग्राहक डेटा को संसाधित करते समय उचित और आवश्यक सुरक्षा उपाय या प्रतिबंध लागू करें, जैसा कि डेटा संरक्षण कानूनों या निर्देशों द्वारा आवश्यक है;

(ज) आपको लागू डेटा संरक्षण कानूनों के तहत अपने दायित्वों के साथ बीएएस-आईपी के अनुपालन को प्रदर्शित करने के लिए यथोचित रूप से आवश्यक सभी जानकारी प्रदान करता है।

6.2. ग्राहक को नोटिस

जागरूक होने पर, हम आपको एक सार्वजनिक प्राधिकरण द्वारा ग्राहक डेटा के प्रकटीकरण के लिए किसी भी कानूनी रूप से बाध्यकारी अनुरोध के बारे में सूचित करेंगे, जब तक कि हमें ग्राहक को सूचित करने के लिए कानून द्वारा अन्यथा मना नहीं किया जाता है, उदाहरण के लिए, एक सार्वजनिक प्राधिकरण द्वारा जांच की गोपनीयता को बनाए रखने के लिए। हम आपको सूचित करेंगे कि यदि बीएएस-आईपी आपके और हमारे बीच आयोजित इस डीपीए के तहत क्लाइंट डेटा के प्रसंस्करण के संबंध में किसी पर्यवेक्षक प्राधिकरण द्वारा किसी नोटिस, पूछताछ या जांच के बारे में पता चलता है।

6.3. गोपनीयता

हम किसी भी तीसरे पक्ष को किसी भी ग्राहक डेटा तक पहुंच, उपयोग या खुलासा नहीं करेंगे, सिवाय इसके कि प्रत्येक मामले में, सेवाओं को बनाए रखने या प्रदान करने के लिए आवश्यक है या संविदात्मक और कानूनी दायित्वों या सार्वजनिक निकाय के बाध्यकारी आदेश (जैसे कि एक सम्मन या अदालत के आदेश) का पालन करने के लिए आवश्यक है।

हम यह सुनिश्चित करेंगे कि कोई भी कर्मचारी/ठेकेदार जिसे हम अपनी ओर से ग्राहक डेटा तक पहुंचने के लिए अधिकृत करते हैं, वह ग्राहक डेटा के संबंध में उचित गोपनीयता, संविदात्मक या वैधानिक कर्तव्य दायित्वों के अधीन है।

6.4. सुरक्षा उपाय

हम इस डीपीए की अनुसूची 2 में निर्धारित हमारे सुरक्षा मानकों के अनुसार वास्तविक या संदिग्ध आकस्मिक या गैरकानूनी विनाश, हानि, परिवर्तन, संचारित, संग्रहीत या अन्यथा संसाधित ग्राहक डेटा (इसके बाद ‘सुरक्षा घटनाओं’) के अनधिकृत प्रकटीकरण या पहुंच जैसे किसी भी डेटा उल्लंघनों से ग्राहक डेटा की रक्षा के लिए उचित तकनीकी और संगठनात्मक उपायों को लागू और बनाए रखेंगे।

आप स्वीकार करते हैं कि सुरक्षा उपाय तकनीकी प्रगति के अधीन हैं, ताकि हम अपने विवेकाधिकार पर इस डीपीए की अनुसूची 2 को संशोधित या अद्यतन कर सकें, बशर्ते कि इस तरह के संशोधन या अद्यतन के परिणामस्वरूप इस डीपीए की अनुसूची 2 द्वारा प्रस्तावित सुरक्षा उपायों में कोई सामग्री गिरावट न हो।

6.5. सुरक्षा घटना

किसी सुरक्षा घटना के बारे में जागरूक होने पर, हम करेंगे:

सुरक्षा घटना के बारे में जागरूक होने के बाद आपको अनुचित देरी के बिना सूचित करें;
सुरक्षा घटना (व्यक्तिगत डेटा का प्रकार, प्रभावित व्यक्तियों या रिकॉर्ड की श्रेणियां और संभावित संख्या) से संबंधित समय पर जानकारी प्रदान करें जैसा कि यह ज्ञात हो जाता है या जैसा कि आपके द्वारा उचित रूप से अनुरोध किया जाता है; तथा
किसी भी सुरक्षा घटना को रोकने और उसकी जांच करने के लिए तुरंत उचित कदम उठाएं ताकि आप सक्षम अधिकारियों और/या प्रभावित डेटा विषयों को सुरक्षा घटना के बारे में सूचित कर सकें।

किसी सुरक्षा घटना की हमारी अधिसूचना या प्रतिक्रिया को सुरक्षा घटना के संबंध में किसी भी गलती या दायित्व की स्वीकृति के रूप में नहीं माना जाएगा।

6.6. क्लाइंट डेटा की वापसी या विलोपन

आपके और हमारे बीच संपन्न समझौते की समाप्ति या समाप्ति पर, हम अपने कब्जे या नियंत्रण में सभी क्लाइंट डेटा को हटा देंगे या वापस कर देंगे। यह आवश्यकता उस सीमा तक लागू नहीं होगी जो हमें लागू कानून या संबंधित संविदात्मक दायित्वों द्वारा कुछ या सभी ग्राहक डेटा को बनाए रखने के लिए आवश्यक है।

6.7. उचित सहायता

हम ग्राहक को उचित सहायता प्रदान करने के लिए सहमत हैं:

(ए) क्लाइंट डेटा तक पहुंच या सुधार, मिटाने, प्रतिबंध, पोर्टेबिलिटी, ब्लॉकिंग, या क्लाइंट की ओर से संसाधित करने के संबंध में डेटा विषय से कोई भी अनुरोध, जिसे हम क्लाइंट की ओर से संसाधित करते हैं। इस घटना में कि कोई डेटा विषय सीधे हमें ऐसा अनुरोध भेजता है, इस डीपीए की धारा 7 लागू होगी;

(ख) इस डीपीए की धारा 6.5 के अधीन रहते हुए, सुरक्षा घटना की जांच और ऐसी सुरक्षा घटनाओं के संबंध में आवश्यक अधिसूचनाओं का संचार क्या है;

(ग) डेटा संरक्षण प्रभाव आकलन (डीपीआईए) तैयार करना और, जहां आवश्यक हो, जीडीपीआर के अनुच्छेद 35 और 36 के तहत पर्यवेक्षी प्राधिकरण के साथ ग्राहक का परामर्श।

6.8 लेखापरीक्षा और प्रमाणन

6.8.1 पर्यवेक्षी प्राधिकरण लेखा परीक्षा

यदि किसी पर्यवेक्षी प्राधिकरण को हमारी डेटा प्रोसेसिंग सुविधाओं के ऑडिट की आवश्यकता होती है, तो हम डेटा संरक्षण कानूनों के साथ ग्राहक के अनुपालन का पता लगाने या निगरानी करने के लिए क्लाइंट डेटा को संसाधित करने के लिए उपयोग करते हैं, हम ऑडिट के साथ सहयोग करेंगे। ग्राहक इस तरह के ऑडिट से संबंधित सभी लागतों और शुल्कों के लिए जिम्मेदार है, जिसमें हमारे द्वारा की गई सेवाओं की दरों के अलावा, किसी भी और हर समय के लिए सभी उचित लागत और शुल्क शामिल हैं।

6.8.2 ऑडिट

ग्राहक, प्रसंस्करण शुरू होने से पहले और नियमित अंतराल पर, उसके बाद, हमारे द्वारा किए गए तकनीकी और संगठनात्मक उपायों का ऑडिट कर सकता है। यदि ग्राहक अपनी ओर से हमारे द्वारा संसाधित व्यक्तिगत डेटा के संबंध में, उचित और समय पर अग्रिम समझौते पर, नियमित व्यावसायिक घंटों के दौरान और हमारे व्यवसाय संचालन में किसी रुकावट के बिना, तो हम ग्राहक को जीडीपीआर के अनुच्छेद 28 में निर्धारित दायित्वों के अनुपालन को प्रदर्शित करने के लिए आवश्यक सभी जानकारी प्रदान कर सकते हैं और ऑडिट की अनुमति दे सकते हैं और योगदान कर सकते हैं, इस तरह के प्रसंस्करण के संबंध में ग्राहक या किसी अन्य लेखा परीक्षक द्वारा अनिवार्य निरीक्षण सहित।

हम, ग्राहक के लिखित अनुरोध पर और एक उचित अवधि के भीतर, ग्राहक को इस तरह के ऑडिट के लिए आवश्यक सभी जानकारी प्रदान करेंगे, इस हद तक कि ऐसी जानकारी हमारे नियंत्रण में है और हमें लागू कानून, गोपनीयता के कर्तव्य, या किसी तीसरे पक्ष के लिए बकाया किसी अन्य दायित्व द्वारा इसका खुलासा करने से नहीं रोका जाता है।

7. डेटा विषय अनुरोध

इस घटना में कि कोई डेटा विषय डेटा संरक्षण कानूनों के तहत अपने अधिकारों के प्रयोग के संबंध में हमसे संपर्क करता है (विशेष रूप से, क्लाइंट डेटा तक पहुंच, सुधार या हटाने के लिए अनुरोध), हम आपको ऐसे अनुरोधों को अग्रेषित करने के लिए सभी उचित प्रयासों का उपयोग करेंगे। यदि हमें कानूनी रूप से इस तरह के अनुरोध का जवाब देने की आवश्यकता है, तो हम आपको तुरंत सूचित करेंगे और आपको अनुरोध की एक प्रति प्रदान करेंगे जब तक कि हमें कानूनी रूप से ऐसा करने से प्रतिबंधित न किया जाए।

8. उप-प्रोसेसर

BAS-IP के पास एक सहमत सूची से उप-प्रोसेसरों की सगाई के लिए क्लाइंट से सामान्य लिखित प्राधिकरण है। बीएएस-आईपी क्लाइंट को उप-प्रोसेसर की सगाई से कम से कम 10 दिन पहले उप-प्रोसेसरों को जोड़ने या बदलने से संबंधित सूची में किसी भी इच्छित परिवर्तन के बारे में सूचित करने के लिए सहमत है, जिससे क्लाइंट को ऐसे परिवर्तनों पर आपत्ति करने का अवसर मिलता है। बीएएस-आईपी क्लाइंट को ऑब्जेक्ट करने के अधिकार का प्रयोग करने में सक्षम बनाने के लिए आवश्यक जानकारी प्रदान करेगा।

यदि इस डीपीए की धारा 9 लागू होती है, तो उप-प्रोसेसरों को नियुक्त करने की प्रक्रिया इस डीपीए की धारा 9 के प्रासंगिक प्रावधानों द्वारा शासित होगी। ऐसे मामले में, धारा 9 के प्रावधान लागू होंगे।

उप-प्रोसेसरों की सहमत सूची इस डीपीए की अनुसूची 3 में निर्धारित की गई है।

9. ग्राहक डेटा का स्थानांतरण

9.1. सामान्य

आप स्वीकार करते हैं और सहमत हैं कि BAS-IP सेवाओं का उपयोग करने में लागू डेटा संरक्षण कानूनों के अनुपालन में क्लाइंट डेटा को अन्य क्षेत्राधिकारों में स्थानांतरित करना शामिल हो सकता है।

जहां इस तरह के हस्तांतरण के लिए उचित सुरक्षा उपायों की आवश्यकता होती है, लागू डेटा ट्रांसफर तंत्र का उपयोग किया जाएगा, जैसे कि ईयू एससीसी और यूके परिशिष्ट। इन डेटा ट्रांसफर मैकेनिज्म को इस डीपीए में शामिल किया गया है और यह इसका एक अभिन्न अंग है, जैसा कि आगे धारा 9.2 में वर्णित है। और 9.3.

इस डीपीए के प्रावधानों और लागू डेटा ट्रांसफर तंत्र के बीच किसी भी संघर्ष की स्थिति में, प्रासंगिक डेटा ट्रांसफर तंत्र के प्रावधान पूरी तरह से इस तरह के संघर्ष की सीमा तक ही लागू होंगे।

9.2. जीडीपीआर के तहत स्थानान्तरण

जब सेवाओं के संबंध में आपकी ओर से ग्राहक डेटा का प्रसंस्करण GDPR के तहत “स्थानांतरण” का गठन करता है, तो मानक संविदात्मक खंड लागू होंगे।

जब आप एक नियंत्रक हैं, और हम एक प्रोसेसर हैं, तो यूरोपीय संघ एससीसी के मॉड्यूल दो लागू होंगे, और जब आप एक प्रोसेसर हैं, और हम एक उप-प्रोसेसर हैं, तो यूरोपीय संघ एससीसी के मॉड्यूल तीन लागू होंगे।

यूरोपीय संघ एससीसी के प्रयोजन के लिए, बीएएस-आईपी एक “डेटा आयातक” है, और आप एक “डेटा निर्यातक” हैं।

यूरोपीय संघ एससीसी में निहित प्रासंगिक प्रावधानों को संदर्भ द्वारा शामिल किया गया है और इस डीपीए का एक अभिन्न अंग हैं। यूरोपीय संघ SCCs के खंड और अनुलग्नक निम्नानुसार पूर्ण होने के लिए माना जाता है:

(i) खंड 7 में, वैकल्पिक डॉकिंग खंड लागू नहीं होगा;

(ii) खंड 9 में, विकल्प 2 (सामान्य लिखित प्राधिकार) लागू होगा। खंड 9 (ए) के प्रयोजन के लिए, डेटा निर्यातक को सूचित करने की समय अवधि 10 दिन होगी;

(iii) खंड 11 में, वैकल्पिक प्रावधान लागू नहीं होगा;

(iv) खंड 13 में, विशिष्ट मामले के आधार पर एक विशेष विकल्प लागू होगा;

(v) खंड 17 में, विकल्प 1 लागू होगा। यूरोपीय संघ SCCs जर्मनी के संघीय गणराज्य के कानून द्वारा शासित किया जाएगा;

(vi) खंड 18(बी) में, विवादों को जर्मनी के संघीय गणराज्य की अदालतों द्वारा हल किया जाएगा;

(vii) यूरोपीय संघ एससीसी के अनुलग्नक I को इस डीपीए की अनुसूची 1 में निर्धारित जानकारी के साथ पूरा माना जाता है;

(viii) यूरोपीय संघ एससीसी के अनुलग्नक-II को इस डीपीए की अनुसूची 2 में दी गई जानकारी के साथ पूरा माना जाता है।

9.3. यूके डेटा प्रोटेक्शन फ्रेमवर्क के तहत स्थानान्तरण

जब सेवाओं के संबंध में आपकी ओर से ग्राहक डेटा का प्रसंस्करण यूके डेटा संरक्षण कानूनों के तहत “प्रतिबंधित स्थानांतरण” का गठन करता है, तो यूके परिशिष्ट लागू होगा।

जब आप एक नियंत्रक होते हैं और बीएएस-आईपी एक प्रोसेसर होता है, तो ईयू एससीसी के मॉड्यूल दो लागू होंगे, और जब आप एक प्रोसेसर होते हैं, और हम एक उप-प्रोसेसर होते हैं, तो ईयू एससीसी के मॉड्यूल तीन लागू होंगे, जैसा कि उपधारा 9.2 में पूरा किया गया है। इस डीपीए का।

यूके परिशिष्ट के प्रयोजन के लिए, बीएएस-आईपी एक “आयातक” है, और आप एक “निर्यातक” हैं।

यूके परिशिष्ट में निहित प्रासंगिक प्रावधानों को संदर्भ द्वारा शामिल किया गया है और इस डीपीए का एक अभिन्न अंग है। यूके परिशिष्ट में तालिकाओं को निम्नानुसार पूरा माना जाता है:

(i) भाग 1 में तालिका 1 को इस डीपीए की अनुसूची 1 में निर्धारित जानकारी के साथ पूरा माना जाता है, और आयातक की आधिकारिक पंजीकरण संख्या 328138502 है, और निर्यातक की आधिकारिक पंजीकरण संख्या ग्राहक के खाते में निहित है, यदि कोई हो;

(ii) भाग 1 में तालिका 2 को उपधारा 9.2 में दी गई जानकारी के अनुसार पूरा माना जाता है। इस डीपीए का;

(iii) भाग 1 में तालिका 3 को इस डीपीए की अनुसूची 1, 2 और 3 में निर्धारित जानकारी के साथ पूरा माना जाता है;

(iv) भाग 1 में तालिका 4 में, कोई भी पक्ष इस परिशिष्ट को समाप्त नहीं कर सकता है जैसा कि यूके परिशिष्ट की धारा 19 में निर्धारित किया गया है।

अनुसूची 1 – प्रसंस्करण का विवरण

पार्टियों की सूची

ग्राहक (डेटा निर्यातक)

नाम: आप, ‘ग्राहक’

पता: प्रासंगिक जानकारी ग्राहक के खाते में निहित है।

संपर्क व्यक्ति का नाम, पद और संपर्क विवरण: प्रासंगिक जानकारी ग्राहक के खाते में निहित है।

इन खंडों के तहत स्थानांतरित डेटा से संबंधित गतिविधियां: सेवाओं का प्रावधान।

हस्ताक्षर और तिथि: पार्टियां इस बात से सहमत हैं कि डेटा निर्यातक द्वारा समझौते का निष्पादन डेटा आयातक और डेटा निर्यातक दोनों द्वारा इस डीपीए के निष्पादन का गठन करेगा। प्लेटफ़ॉर्म पर खाते के पंजीकरण की तारीख को इस डीपीए के निष्पादन की तारीख माना जाएगा।

भूमिका: नियंत्रक या प्रोसेसर

BAS-IP DISTRIBUTION LTD (डेटा आयातक)

नाम: बीएएस-आईपी वितरण लिमिटेड

पता: Crown House 27 Old Gloucester Street, लंदन, इंग्लैंड

संपर्क व्यक्ति का नाम, पद और संपर्क विवरण: [कृपया, नाम, पद और संपर्क विवरण डालें, उदाहरण के लिए, ईमेल]

भूमिका: प्रोसेसर या उप-प्रोसेसर

स्थानांतरण का विवरण

डेटा विषयों की श्रेणियाँ जिनका व्यक्तिगत डेटा स्थानांतरित किया जाता है:

ग्राहक के ग्राहक;
अन्य डेटा विषय जिनका व्यक्तिगत डेटा कंपनी द्वारा ग्राहक को प्रदान की जाने वाली सेवाओं के दौरान स्थानांतरित किया जाता है।
स्थानांतरित किए गए व्यक्तिगत डेटा की श्रेणियाँ:

ग्राहक के ग्राहकों से संबंधित व्यक्तिगत डेटा;
अन्य व्यक्तिगत डेटा जो कंपनी द्वारा ग्राहक को प्रदान की जाने वाली सेवाओं के दौरान स्थानांतरित किया जा सकता है।
संवेदनशील डेटा स्थानांतरित (यदि लागू हो) और लागू प्रतिबंध या सुरक्षा उपाय जो डेटा की प्रकृति और इसमें शामिल जोखिमों को पूरी तरह से ध्यान में रखते हैं:

डेटा आयातक केवल संवेदनशील डेटा तक पहुंच प्राप्त कर सकता है जहां ऐसा संवेदनशील डेटा क्लाइंट द्वारा प्रदान किया जाता है और केवल सेवाओं के प्रदर्शन के लिए आवश्यक सीमा तक। ऐसे मामलों में, डेटा आयातक लागू कानूनों और विनियमों के अनुपालन में, संवेदनशील डेटा की प्रकृति और इसके प्रसंस्करण से जुड़े जोखिमों को ध्यान में रखते हुए, अनुसूची 2 में निर्धारित तकनीकी और संगठनात्मक उपायों को लागू करता है, किसी भी अन्य उचित और आवश्यक सुरक्षा उपायों या प्रतिबंधों के साथ।

स्थानांतरण की आवृत्ति:

व्यक्तिगत डेटा निरंतर आधार पर स्थानांतरित किया जाता है।

प्रसंस्करण की प्रकृति:

व्यक्तिगत डेटा प्रोसेसिंग में निम्नलिखित शामिल हैं: संग्रह, रिकॉर्डिंग, संगठन, संरचना, भंडारण, अनुकूलन या परिवर्तन, पुनर्प्राप्ति, परामर्श, संरेखण या संयोजन, प्रतिबंध, मिटाना या विनाश।

डेटा स्थानांतरण और आगे की प्रक्रिया का उद्देश्य:

इन खंडों के तहत डेटा प्रोसेसिंग का उद्देश्य डेटा आयातक और डेटा निर्यातक के बीच संपन्न समझौते के तहत डेटा आयातक द्वारा डेटा निर्यातक के लिए सेवाओं का प्रदर्शन है।

वह अवधि जिसके लिए व्यक्तिगत डेटा को बनाए रखा जाएगा, या, यदि यह संभव नहीं है, तो उस अवधि को निर्धारित करने के लिए उपयोग किए जाने वाले मानदंड:

व्यक्तिगत डेटा डेटा आयातक और डेटा निर्यातक के बीच संपन्न इस डीपीए की अवधि के लिए संग्रहीत किया जाएगा जब तक कि अन्यथा लिखित रूप में सहमत न हो या डेटा आयातक को कुछ या सभी स्थानांतरित व्यक्तिगत डेटा को बनाए रखने के लिए लागू कानून द्वारा आवश्यक हो।

(उप-) प्रोसेसर को स्थानान्तरण के लिए, प्रसंस्करण की विषय वस्तु, प्रकृति और अवधि भी निर्दिष्ट करें:

विषय वस्तु: सेवाओं का प्रदर्शन

प्रकृति: संग्रह, रिकॉर्डिंग, संगठन, संरचना, भंडारण, अनुकूलन या परिवर्तन, पुनर्प्राप्ति, परामर्श, संरेखण या संयोजन, प्रतिबंध, मिटाना या विनाश।

अवधि: डेटा आयातक और (उप-) प्रोसेसर के बीच संपन्न सेवा समझौते के तहत (उप-) प्रोसेसर द्वारा डेटा आयातक के लिए सेवाओं का प्रदर्शन।

सक्षम पर्यवेक्षी प्राधिकारी

खंड 13 के अनुसार, इन खंडों के तहत सक्षम पर्यवेक्षी प्राधिकारी का निर्धारण इस बात पर निर्भर करता है कि खंड 13 (ए) का कौन सा संस्करण डेटा निर्यातक पर लागू होता है।

अनुसूची 2 – तकनीकी और संगठनात्मक उपाय

डेटा की सुरक्षा सुनिश्चित करने के लिए तकनीकी और संगठनात्मक उपायों सहित तकनीकी और संगठनात्मक उपाय

डेटा आयातक (व्यक्तियों) द्वारा लागू किए गए तकनीकी और संगठनात्मक उपायों का विवरण, प्रसंस्करण की प्रकृति, दायरे, संदर्भ और उद्देश्य और प्राकृतिक व्यक्तियों के अधिकारों और स्वतंत्रता के जोखिमों को ध्यान में रखते हुए:

डेटा आयातक अपनी प्रसंस्करण गतिविधियों के दौरान सभी व्यक्तिगत डेटा की गोपनीयता, अखंडता, उपलब्धता और लचीलेपन को संरक्षित करने और यह सुनिश्चित करने के लिए प्रतिबद्ध है कि उचित आंतरिक सूचना सुरक्षा नीतियों, प्रक्रियाओं और अन्य उचित उपायों को लागू करके व्यक्तिगत डेटा को नुकसान और विनाश से सुरक्षित किया जाए।
डेटा आयातक व्यक्तिगत डेटा को जानने की आवश्यकता के आधार पर सख्ती से एक्सेस प्रदान करता है, और ऐसा डेटा केवल अधिकृत कर्मियों के लिए ही सुलभ है।
डेटा आयातक ने उपयोगकर्ता पहुँच अधिकारों के सख्त पृथक्करण को लागू करने के लिए भूमिका-आधारित पहुँच नियंत्रण और पहुँच नियंत्रण सूचियाँ कार्यान्वित की हैं.
डेटा आयातक की सूचना सुरक्षा प्रक्रियाएं नियमित समीक्षा के अधीन हैं।
डेटा आयातक विश्वसनीय सेवा प्रदाताओं का उपयोग करता है और यह सुनिश्चित करने के लिए कि व्यक्तिगत डेटा हर समय सुरक्षित है, उनके पास कौन से तकनीकी और संगठनात्मक उपाय हैं।
डेटा आयातक ने डेटा ट्रांसफर के दौरान व्यक्तिगत डेटा की गोपनीयता और अखंडता की रक्षा के लिए डिज़ाइन किए गए उपायों को लागू किया है।
डेटा आयातक ने सुरक्षा घटनाओं को रोकने और आगे डेटा हानि और क्षति को रोकने के लिए डिज़ाइन किए गए तकनीकी और संगठनात्मक उपायों को लागू किया है।

अनुसूची 3 – उप-प्रोसेसर

नियंत्रक ने निम्नलिखित उप-प्रोसेसरों के उपयोग को अधिकृत किया है:

उप-प्रोसेसर 1

नाम: हेट्ज़नर ऑनलाइन जीएमबीएच / हेट्ज़नर फिनलैंड ओए

पता: इंडस्ट्रीस्ट्र। 25, 91710 गनज़ेनहाउज़ेन, जर्मनी / 10, 04360 तुसुला (हेलसिंकी/तुसुला), फिनलैंड

संपर्क व्यक्ति का नाम, पद और संपर्क विवरण: [email protected]

प्रसंस्करण का विवरण: Hetzner Online GmbH / Hetzner Finland Oy के सर्वर पर डेटा की होस्टिंग

उप-प्रोसेसर 2

नाम: DigitalOcean, LLC

पता: 105 एजव्यू ड्राइव, स्टे 425, ब्रूमफील्ड, सीओ 80021, संयुक्त राज्य अमेरिका

संपर्क व्यक्ति का नाम, पद और संपर्क विवरण: [email protected]

प्रसंस्करण का विवरण: DigitalOcean, LLC के सर्वर पर डेटा की मेजबानी