Perjanjian Pengolahan Data ini, termasuk lampiran-lampirannya, (“DPA”) merupakan bagian dari Perjanjian antara kami dan Pelanggan untuk pembelian layanan komunikasi (online) dari kami yang mencerminkan kesepakatan Para Pihak terkait dengan pengolahan Data Pribadi Pelanggan. Dalam DPA ini, istilah “Anda”, “Anda”, atau “Pelanggan” merujuk kepada Anda sebagai Pelanggan kami (berdasarkan Bagian 1.2 di bawah ini), dan istilah “kami”, “kita,” atau “kami” merujuk kepada kami sebagai Penyedia (sebagaimana didefinisikan di bawah). Istilah-istilah yang ditulis dengan huruf kapital dalam DPA ini tetapi tidak didefinisikan di bawah ini didefinisikan dalam Syarat dan Ketentuan Umum kami atau Perjanjian lain dengan kami yang mengatur penggunaan Anda terhadap Layanan.
Kedua belah pihak setuju bahwa DPA ini akan menggantikan setiap lampiran perlindungan data yang ada atau perjanjian serupa yang mungkin telah disepakati oleh para pihak sebelumnya sehubungan dengan Layanan.
1. Ruang Lingkup, Afiliasi Pelanggan dan Jangka Waktu
1.1 Lingkup. DPA ini mengatur pemrosesan Data Pribadi Pelanggan oleh kami sebagai pemroses.
1.2 Afiliasi Pelanggan. Pelanggan masuk ke dalam DPA ini atas nama dirinya sendiri dan, sejauh yang diperlukan berdasarkan Undang-Undang Perlindungan Data, atas nama dan untuk kepentingan Afiliasi-nya (sebagaimana didefinisikan dalam Ketentuan), jika dan sejauh Anda memberikan akses kepada Afiliasi tersebut ke Layanan dan kami memproses Data Pribadi Pelanggan yang mana Afiliasi tersebut memenuhi syarat sebagai pengendali data (“Afiliasi Pelanggan”). Untuk tujuan DPA ini saja, dan kecuali dinyatakan lain, istilah “Pelanggan” dan “Anda” akan mencakup Pelanggan dan Afiliasi Pelanggan.
1.3 Jangka Waktu. DPA ini akan tetap berlaku selama kami memproses Data Pribadi Pelanggan yang tunduk pada DPA ini, terlepas dari berakhirnya atau diakhirinya Perjanjian.
2. Definisi
“Data Akun” adalah Data Pribadi yang diberikan oleh atau untuk Anda kepada kami sehubungan dengan masuk dan pengelolaan Perjanjian dan akun Anda, termasuk namun tidak terbatas pada informasi kontak, detail penagihan dan korespondensi tentang masuk dan pengelolaan Perjanjian serta Layanan terkait.
“CCPA” berarti California Consumer Privacy Act tahun 2018 dan setiap peraturan yang ditetapkan di bawahnya, dalam setiap kasus, yang diubah dari waktu ke waktu.
“Data Pelanggan” berarti data dan informasi atau konten lain yang diserahkan oleh Anda atau untuk Anda (atau oleh pengguna Aplikasi Pelanggan Anda) di bawah Perjanjian dan diproses atau disimpan oleh Layanan.
“Data Pribadi Pelanggan” berarti Data Pribadi yang terkandung dalam Data Pelanggan yang diproses oleh kami sebagai pemroses, kecuali dinyatakan lain dalam DPA ini.
“Hukum Perlindungan Data” berarti semua hukum dan peraturan dari yurisdiksi mana pun yang berlaku untuk kerahasiaan, privasi, keamanan, atau pemrosesan Data Pribadi di bawah Perjanjian, termasuk, misalnya dan di mana berlaku, GDPR atau CCPA.
“EEA” berarti, untuk keperluan DPA ini, Kawasan Ekonomi Eropa dan Swiss.
“GDPR” berarti (i) Regulasi 2016/679 Parlemen Eropa dan Dewan tentang perlindungan orang alami sehubungan dengan pemrosesan Data Pribadi dan tentang pergerakan data tersebut (Regulasi Perlindungan Data Umum); atau (ii) hanya sehubungan dengan Britania Raya, Undang-Undang Perlindungan Data tahun 2018.
“Data Pribadi” berarti setiap informasi yang berkaitan dengan orang alami yang diidentifikasi atau dapat diidentifikasi secara langsung atau tidak langsung, baik secara sendiri-sendiri atau dalam kombinasi dengan informasi lainnya.
“Pelanggaran Data Pribadi” berarti setiap penghancuran, kehilangan, perubahan, pengungkapan, atau akses yang tidak disengaja, tidak sah atau ilegal terhadap Data Pribadi Pelanggan dan setiap istilah serupa lainnya berdasarkan Hukum Perlindungan Data yang berlaku seperti “Pelanggaran Keamanan”.
“Layanan” berarti semua produk dan layanan yang disediakan oleh kami atau Afiliasi kami yang dipesan oleh Anda di bawah Formulir Pesanan; atau digunakan oleh Anda.
“Penyedia” berarti entitas kontrak kami yang merupakan pihak dalam DPA ini, yang merupakan entitas kontrak yang tercantum di Bagian 15 dalam Syarat dan Ketentuan Umum (Entitas Kontrak), kecuali dinyatakan lain pada Formulir Pesanan Anda. Anda atau Penyedia juga dapat disebut sebagai “Pihak” secara individu dan bersama sebagai “Para Pihak” dalam DPA ini.
“Ketentuan Kontrak Standar” berarti Pengendali kepada Pemroses (Modul Dua) atau Pemroses kepada Pemroses (Modul Tiga), sesuai yang berlaku, dari Ketentuan Kontrak Standar untuk transfer Data Pribadi ke negara ketiga berdasarkan Regulasi (UE) 2016/679 dari Parlemen Eropa dan Dewan yang disetujui oleh Keputusan Pelaksanaan Komisi Eropa (UE) 2021/914 tanggal 4 Juni 2021, sebagaimana saat ini ditentukan dalam Jurnal Resmi Uni Eropa.
“Pemroses Sub” berarti entitas pihak ketiga yang memproses Data Pribadi Pelanggan atas nama Penyedia di mana Penyedia bertindak sebagai pemroses data atau pemroses sub.
“Ketentuan Kontrak Standar Inggris” berarti salah satu atau semua hal berikut: (i) perjanjian transfer data internasional yang diterbitkan oleh Komisioner Informasi Inggris berdasarkan pasal 119A dari DPA 2018; (ii) addendum transfer data internasional terhadap ketentuan kontrak standar Komisi Eropa untuk transfer data internasional yang diterbitkan oleh Komisioner Informasi Inggris berdasarkan pasal 119A dari DPA 2018; atau (iii) ketentuan kontrak standar yang diterbitkan oleh Komisioner Informasi Inggris atau Komisi Eropa yang mungkin menggantikan hal ini dari waktu ke waktu.
Istilah seperti “pemrosesan”, “pengendali data”, “pemroses data”, “subjek data”, dll. akan memiliki arti yang ditetapkan untuknya berdasarkan GDPR. Definisi “pengendali data” mencakup “usaha”, “konsumen”, “pengendali”, dan “organisasi”; "pemroses data" mencakup “penyedia layanan”, “pemroses”, dan “perantara data”; “subjek data” mencakup “konsumen”, dan “individu”; dan “Data Pribadi” mencakup “informasi pribadi”, dalam setiap kasus sebagaimana ditentukan berdasarkan CCPA, , dan Hukum Perlindungan Data yang berlaku lainnya. Istilah “tujuan bisnis”, “tujuan komersial”, “menjual”, dan “membagikan” akan memiliki arti yang sama seperti dalam Hukum Perlindungan Data yang berlaku dan, dalam setiap kasus, istilah turunannya akan ditafsirkan dengan cara yang sama.
3. Pengolahan Data Pribadi Pelanggan
3.1 Tujuan. Kami akan memproses Data Pribadi Pelanggan hanya sejauh yang diperlukan (i) untuk menyediakan Layanan, termasuk transmisi komunikasi, memastikan keamanan layanan, menyediakan laporan teknis dan pengiriman, memberikan dukungan, serta mengembangkan dan menerapkan perbaikan dan pembaruan sesuai dengan instruksi tertulis Anda kepada kami sebagai pemroses data sebagaimana diatur dalam Bagian 3.2 dari DPA ini, (ii) untuk tujuan bisnis sah kami yang diatur dalam Bagian 3.4 dari DPA ini sebagai pengendali data, dan (iii) sebagaimana diharuskan oleh hukum yang berlaku.
3.2 Instruksi Pelanggan. Perjanjian dan DPA ini merupakan instruksi lengkap Anda kepada kami sebagai pemroses data pada saat penandatanganan DPA ini. Kami akan mematuhi instruksi lain yang didokumentasikan secara wajar dengan syarat instruksi tersebut konsisten dengan ketentuan Perjanjian.
3.3 Rincian Pemrosesan. Lampiran I, Bagian B (Deskripsi Transfer) dari Lampiran I DPA ini menentukan sifat dan tujuan pemrosesan oleh kami sebagai pemroses data atau Sub-pemroses, kegiatan pemrosesan, durasi pemrosesan, jenis Data Pribadi, dan kategori subjek data.
3.4 Tujuan Bisnis yang Sah. Anda mengakui bahwa kami memproses Data Pribadi Pelanggan sebagai pengendali data independen sejauh yang diperlukan untuk tujuan bisnis sah berikut: penagihan, manajemen akun, pelaporan keuangan dan internal, melawan dan mencegah ancaman keamanan, serangan siber, dan kejahatan siber yang dapat mempengaruhi Anda, kami atau layanan kami, pemodelan bisnis (misalnya peramalan, perencanaan kapasitas dan pendapatan, dan strategi produk), pencegahan dan deteksi penipuan, spam, dan penyalahgunaan, perbaikan berkelanjutan terhadap produk dan layanan yang digunakan oleh Anda, dan untuk mematuhi kewajiban hukum kami.
4. Kewajiban Pelanggan
4.1 Kewajaran. Di mana Anda bertindak sebagai pengendali data dari Data Pribadi Pelanggan, Anda menjamin bahwa semua kegiatan pemrosesan adalah sah, memiliki tujuan tertentu, dan pemberitahuan serta persetujuan yang diperlukan atau dasar hukum lain yang sesuai telah ada untuk memungkinkan transfer sah dari Data Pribadi Pelanggan. Jika Anda adalah pemroses data (dalam hal ini kami akan bertindak sebagai Sub-pemroses), Anda akan memastikan bahwa pengendali data yang relevan menjamin bahwa ketentuan yang tercantum dalam Bagian 4.1 ini terpenuhi.
4.2 Kepatuhan. Anda bertanggung jawab sepenuhnya untuk (a) memastikan bahwa Anda mematuhi Undang-Undang Perlindungan Data yang berlaku untuk penggunaan Layanan Anda dan untuk pemrosesan Data Pribadi Pelanggan Anda sendiri, (b) melakukan penilaian independen apakah langkah-langkah teknis dan organisasi dari Layanan memenuhi persyaratan Anda, dan (c) menerapkan dan memelihara langkah-langkah perlindungan data dan keamanan untuk komponen yang Anda sediakan atau kendalikan (termasuk namun tidak terbatas pada kata sandi, perangkat yang digunakan dengan Layanan dan Aplikasi Pelanggan).
5. Keamanan
5.1 Langkah Keamanan. Dengan memperhatikan teknologi terkini, biaya implementasi serta sifat, lingkup, konteks, dan tujuan pemrosesan, serta risiko dengan kemungkinan dan tingkat keparahan yang bervariasi untuk hak dan kebebasan individu, kami akan menerapkan dan memelihara langkah-langkah keamanan teknis dan organisasi yang sesuai untuk melindungi Data Pribadi Pelanggan dari Pelanggaran Data Pribadi dan untuk menjaga keamanan, integritas, ketersediaan, ketahanan, dan kerahasiaan Data Pelanggan yang digunakan sistem kami untuk memproses Data Pribadi Pelanggan. Langkah-langkah keamanan yang kami terapkan dijelaskan dalam Lampiran II.
5.2 Pembaruan Langkah Keamanan. Anda bertanggung jawab untuk meninjau informasi yang kami sediakan terkait dengan keamanan Data Pribadi Pelanggan dan melakukan penilaian independen apakah informasi tersebut memenuhi persyaratan dan kewajiban hukum Anda berdasarkan Undang-Undang Perlindungan Data. Anda mengakui bahwa langkah-langkah keamanan dapat terpengaruh oleh kemajuan dan pengembangan teknis, dan bahwa kami dapat memperbarui atau memodifikasi langkah-langkah keamanan kami dari waktu ke waktu, dengan syarat bahwa pembaruan dan modifikasi tersebut tidak mengakibatkan penurunan keamanan keseluruhan Data Pribadi Pelanggan.
5.3 Kontrol Akses. Kami menerapkan prinsip “perlu tahu” dan “hak istimewa terendah” untuk memastikan bahwa akses ke Data Pribadi Pelanggan dibatasi hanya kepada personel yang diperlukan untuk penyediaan Layanan dan sesuai dengan Perjanjian ini, termasuk DPA ini.
5.4 Kerahasiaan Pemrosesan. Kami akan memastikan bahwa setiap orang atau pihak yang diizinkan oleh kami untuk memproses Data Pribadi Pelanggan (termasuk personel, agen, dan Sub-penyedia kami) diinformasikan tentang sifat rahasia dari Data Pribadi Pelanggan tersebut dan akan berada di bawah kewajiban kerahasiaan yang sesuai (apakah itu kewajiban kontraktual atau statuta) yang tetap berlaku setelah berakhirnya keterlibatan mereka.
5.5 Tanggapan dan Pemberitahuan Pelanggaran Data Pribadi. Setelah menyadari adanya Pelanggaran Data Pribadi, kami akan tanpa keterlambatan yang tidak semestinya (i) memberitahukan Anda, (ii) menyelidiki Pelanggaran Data Pribadi, (iii) memberikan informasi yang tepat waktu terkait dengan Pelanggaran Data Pribadi saat informasi tersebut diketahui atau sesuai permintaan Anda, dan (iv) mengambil langkah-langkah komersial yang wajar untuk mengurangi dampak dan mencegah terulangnya Pelanggaran Data Pribadi.
6. Bantuan
6.1 Bantuan Perlindungan Data. Kami akan memberikan bantuan yang diminta secara wajar untuk memungkinkan Anda memenuhi kewajiban Anda berdasarkan Undang-Undang Perlindungan Data, termasuk pemberitahuan tentang Kebocoran Data Pribadi, menilai tingkat keamanan pemrosesan yang sesuai, dan membantu Anda dalam pelaksanaan penilaian dampak perlindungan data yang relevan.
6.2 Bantuan dengan Hak Subjek Data. Kami akan memberikan bantuan yang wajar untuk memungkinkan Anda memenuhi kewajiban Anda kepada subjek data yang menggunakan hak mereka berdasarkan Undang-Undang Perlindungan Data dengan menyediakan langkah-langkah teknis dan organisasi melalui akun Anda. Untuk menghindari keraguan, Anda sebagai pengendali data bertanggung jawab untuk memproses permintaan atau keluhan dari subjek data terkait dengan Data Pribadi Pelanggan dari subjek data.
7. Pengungkapan dan Permintaan Pengungkapan
7.1 Batasan pada Pengungkapan dan Akses. Kami tidak akan memberikan akses atau mengungkapkan Data Pribadi Pelanggan kecuali (i) atas arahan Anda, (ii) sesuai yang diatur dalam Perjanjian dan DPA ini, atau (iii) sebagaimana diwajibkan oleh hukum.
7.2 Permintaan Pengungkapan. Kami akan memberi tahu Anda secepatnya jika kami menerima permintaan dari badan pemerintah atau regulasi untuk mengungkapkan Data Pribadi Pelanggan, kecuali pemberitahuan tersebut dilarang oleh hukum. Kami akan menangani permintaan pengungkapan sesuai dengan kebijakan permintaan pengungkapan, yang tersedia di situs web kami di halaman Kebijakan Permintaan Pengungkapan.
8. Sub-prosesor
8.1 Daftar Sub-prosesor Saat Ini. Anda setuju untuk melibatkan Sub-prosesor terkait dengan Layanan, yang terdaftar di tinjauan Sub-prosesor kami, yang juga memuat prosedur untuk Anda berlangganan pemberitahuan tentang perubahan penggunaan Sub-prosesor kami. Jika Anda berlangganan pemberitahuan tersebut, dan dengan mempertimbangkan Pasal 8.3 dari DPA ini, kami akan membagikan rincian tentang setiap perubahan dalam Sub-prosesor sesegera mungkin.
8.2 Penunjukan Sub-prosesor. Dengan DPA ini, Anda memberikan otorisasi tertulis umum kepada kami untuk melibatkan Sub-prosesor untuk pemrosesan Data Pribadi Pelanggan, dengan memperhatikan Pasal 8.3 dari DPA ini dan persyaratan berikut:
Kami akan membatasi akses terhadap Data Pribadi Pelanggan oleh Sub-prosesor hanya pada apa yang sangat diperlukan untuk memberikan layanan yang ditentukan dalam perjanjian sub-prosesor;
Kami akan menyepakati kewajiban perlindungan data dengan Sub-prosesor yang secara substansial sama dengan kewajiban di bawah DPA ini; dan
Kami tetap bertanggung jawab kepada Anda berdasarkan DPA ini atas pelaksanaan kewajiban perlindungan data oleh Sub-prosesor.
8.3 Pemberitahuan Perubahan Sub-prosesor dan Hak untuk Menolak. Sebelum mengganti atau melibatkan Sub-prosesor baru (“Perubahan Sub-prosesor”), kami akan memberikan Anda opsi untuk menolak Perubahan Sub-prosesor tersebut. Anda dapat menolak Perubahan Sub-prosesor dengan syarat (i) penolakan diajukan secara tertulis dalam waktu sepuluh (10) hari kerja setelah pemberitahuan kami tentang Perubahan Sub-prosesor dan (ii) penolakan tersebut didasarkan pada dan menjelaskan dengan jelas alasan yang masuk akal terkait dengan perlindungan Data Pribadi Pelanggan. Ketika Anda menolak Perubahan Sub-prosesor yang diusulkan, kami akan bekerja dengan Anda dengan itikad baik untuk melakukan perubahan yang secara komersial wajar dalam penyediaan Layanan yang menghindari penggunaan Sub-prosesor yang relevan. Jika perubahan tersebut tidak dapat dilakukan secara wajar dalam waktu tiga puluh (30) hari dari penerimaan pemberitahuan penolakan Anda, atau jika perubahan itu secara komersial tidak wajar bagi kami, salah satu pihak dapat mengakhiri fitur-fitur Layanan yang tidak dapat diberikan tanpa penggunaan Sub-prosesor yang relevan. Hak penghentian ini adalah satu-satunya dan eksklusif untuk Anda jika Anda menolak Perubahan Sub-prosesor.
9. Transfer Data Pribadi Pelanggan Lintas Batas
9.1 Transfer Data Pribadi Pelanggan. Kami dapat mentransfer Data Pribadi Pelanggan dengan syarat semua langkah perlindungan yang diperlukan oleh Undang-Undang Perlindungan Data telah diterapkan. Ini mungkin termasuk penilaian dampak transfer data sebelumnya, adopsi, pemantauan dan evaluasi langkah-langkah teknis, organisasional, dan hukum tambahan, hak subjek data yang dapat ditegakkan, dan bahwa obat hukum yang efektif untuk subjek data tersedia.
9.2 Klausul Kontraktual Standar Sub-prosesor. Kecuali jika ada keputusan kecukupan atau mekanisme transfer alternatif yang berlaku, seperti Kerangka Privasi Data EU-AS, kami telah memasuki dan akan memelihara Klausul Kontraktual Standar dengan Sub-prosesor (termasuk Afiliasi kami) yang berlokasi di luar EEA, tunduk pada syarat-syarat yang diatur di Bagian 9.1 dari DPA ini.
9.3 Mekanisme Transfer untuk Transfer Data Pribadi Pelanggan. Sejauh penggunaan Layanan Anda memerlukan mekanisme transfer data lintas batas untuk secara sah mengekspor Data Pribadi Pelanggan dari yurisdiksi (misalnya EEA, California, Singapura, Swiss, atau Inggris) kepada kami yang berlokasi di luar yurisdiksi tersebut, bagian ini akan berlaku. Jika, dalam pelaksanaan Layanan, Data Pribadi Pelanggan yang tunduk pada GDPR atau undang-undang lain yang berkaitan dengan perlindungan atau privasi individu yang berlaku untuk DPA ini ditransfer ke entitas Penyedia yang terletak di negara-negara yang tidak menjamin tingkat perlindungan data yang memadai sesuai dengan pengertian Undang-Undang Perlindungan Data, mekanisme transfer yang terdaftar di bawah ini akan berlaku untuk transfer tersebut dan dapat ditegakkan secara langsung oleh pihak-pihak sejauh transfer tersebut tunduk pada Undang-Undang Perlindungan Data.
9.3.1 Pihak-pihak setuju bahwa Klausul Kontraktual Standar akan berlaku untuk Data Pribadi Pelanggan yang ditransfer melalui Layanan dari EEA atau Swiss, baik secara langsung atau melalui transfer lanjutan, ke entitas Penyedia yang berlokasi di negara di luar EEA atau Swiss yang tidak diakui oleh Komisi Eropa (atau, dalam hal transfer dari Swiss, otoritas yang berwenang untuk Swiss) sebagai memberikan tingkat perlindungan yang memadai untuk data pribadi.
9.3.1.1 Ketika Anda bertindak sebagai pengendali data dan kami adalah pengolah data, Modul Dua Pengendali ke Pengolah dari Klausul Kontraktual Standar akan berlaku untuk setiap transfer Data Pribadi Pelanggan dari EEA. Ketika Anda bertindak sebagai pengolah data dan kami adalah sub-prosesor, Modul Tiga Pengolah ke Pengolah dari Klausul Kontraktual Standar akan berlaku untuk setiap transfer Data Pribadi Pelanggan dari EEA.
9.3.1.2 Kami akan dianggap sebagai importir data dan Anda akan dianggap sebagai eksportir data di bawah Klausul Kontraktual Standar. Tanda tangan setiap pihak pada DPA ini akan diperlakukan sebagai penandatanganan Klausul Kontraktual Standar yang berlaku, yang akan dianggap terintegrasi ke dalam DPA ini. Rincian yang diperlukan sesuai dengan Lampiran 1 dan Lampiran 2 dari Klausul Kontraktual Standar tersedia di Lampiran I dan Lampiran II dari DPA ini. Dalam hal adanya konflik atau ketidaksesuaian antara DPA ini dan Klausul Kontraktual Standar, Klausul Kontraktual Standar akan diutamakan hanya sehubungan dengan transfer Data Pribadi Pelanggan dari EEA.
9.3.1.3 Di mana Klausul Kontraktual Standar mengharuskan pihak-pihak untuk memilih antara klausul opsional dan untuk memasukkan informasi, pihak-pihak telah melakukannya sebagaimana yang diatur di bawah ini:
i. Klausul Opsional 7 "Klausul docking" tidak akan diadopsi.
ii. Untuk Klausul 9 "Penggunaan sub-prosesor", pihak-pihak memilih opsi berikut: "Opsi 2 Otorisasi tertulis umum: importir data memiliki otorisasi umum pengendali untuk pelibatan sub-prosesor dari daftar yang disetujui. Importir data harus memberi tahu pengendali secara tertulis tentang setiap perubahan yang dimaksudkan pada daftar tersebut melalui penambahan atau penggantian sub-prosesor setidaknya 10 hari kerja sebelumnya, sehingga memberikan waktu yang cukup bagi pengendali untuk dapat keberatan terhadap perubahan tersebut sebelum pelibatan sub-prosesor. Importir data harus memberikan informasi yang diperlukan kepada eksportir data untuk memungkinkan eksportir data menjalankan haknya untuk keberatan. Importir data harus memberi tahu eksportir data tentang pelibatan sub-prosesor."
iii. Untuk Klausul 11 (a) "Perbaikan", pihak-pihak tidak mengadopsi Opsi.
iv. Untuk Klausul 17 "Hukum yang mengatur", pihak-pihak memilih opsi berikut: "Opsi 1. Klausul ini akan diatur oleh hukum salah satu Negara Anggota UE, asalkan hukum tersebut memungkinkan hak-hak pihak ketiga. Pihak-pihak setuju bahwa ini akan menjadi hukum Belanda."
v. Untuk Klausul 18 (b) "Pilihan Forum dan Yurisdiksi": "Pihak-pihak setuju bahwa itu akan menjadi pengadilan di Belanda."
9.3.2 Pihak-pihak setuju bahwa Klausul Kontraktual Standar Inggris akan berlaku untuk Data Pribadi Pelanggan yang ditransfer melalui Layanan dari Inggris, baik secara langsung atau melalui transfer lanjutan, ke entitas Penyedia yang berlokasi di negara luar Inggris yang tidak diakui oleh otoritas regulasi atau badan pemerintah Inggris yang kompeten sebagai memberikan tingkat perlindungan yang memadai untuk data pribadi.
9.3.2.1 Kami akan dianggap sebagai importir data dan Anda akan dianggap sebagai eksportir data di bawah Klausul Kontraktual Standar Inggris. Tanda tangan setiap pihak pada DPA ini akan diperlakukan sebagai penandatanganan Klausul Kontraktual Standar Inggris yang akan dianggap terintegrasi ke dalam DPA ini. Rincian yang diperlukan sesuai dengan Klausul Kontraktual Standar Inggris tersedia di Lampiran I dan Lampiran II dari DPA ini. Dalam hal adanya konflik atau ketidaksesuaian antara DPA ini dan Klausul Kontraktual Standar Inggris, Klausul Kontraktual Standar Inggris akan diutamakan hanya sehubungan dengan transfer Data Pribadi Pelanggan dari Inggris.
10. Audit
10.1 Laporan Audit. Platform komunikasi kami akan diaudit secara berkala sesuai dengan standar ISO 27001 (atau setara). Audit dapat, atas kebijakan kami sendiri, merupakan audit internal, atau audit yang dilakukan oleh pihak ketiga. Atas permintaan tertulis, kami akan memberikan ringkasan laporan audit (“Laporan Audit”), agar Anda dapat memverifikasi kepatuhan kami terhadap standar audit dan DPA ini. Laporan Audit tersebut, serta kesimpulan atau temuan yang ditentukan di dalamnya, merupakan Informasi Rahasia kami.
10.2 Permintaan informasi pelanggan. Kami akan menyediakan semua informasi yang secara wajar diperlukan untuk menunjukkan kepatuhan terhadap kewajiban yang ditetapkan dalam DPA ini. Kami akan memberikan respons tertulis atas permintaan informasi yang wajar yang dibuat oleh Anda, termasuk respons terhadap kuesioner keamanan informasi dan audit yang wajar dalam ruang lingkupnya dan diperlukan untuk mengonfirmasi kepatuhan terhadap DPA ini, dengan syarat bahwa Anda (i) telah terlebih dahulu melakukan upaya wajar untuk memperoleh informasi yang diminta dari Dokumentasi, Laporan Audit, dan informasi lain yang diberikan atau dipublikasikan oleh kami, dan (ii) tidak akan menggunakan hak ini lebih dari sekali per tahun, kecuali Pelanggaran Data Pribadi atau perubahan signifikan dalam aktivitas pemrosesan kami terkait dengan Layanan mengharuskan agar kuesioner tambahan dilaksanakan. Semua respons yang diberikan adalah Informasi Rahasia kami.
10.3 Audit Pelanggan. Jika Laporan Audit yang diberikan oleh kami kepada Anda memberikan alasan yang terbukti untuk percaya bahwa kami melanggar kewajiban kami di bawah DPA ini, terkait dengan Data Pribadi Pelanggan yang disediakan oleh Anda, kami akan mengizinkan auditor pihak ketiga yang independen dan berkualitas yang ditunjuk oleh Anda dan disetujui oleh kami, untuk mengaudit aktivitas pemrosesan Data Pribadi yang relevan, dengan syarat bahwa sejauh mana diizinkan oleh hukum yang berlaku, syarat-syarat berikut dipenuhi:
Kami meminta pemberitahuan sebelumnya yang wajar setidaknya enam puluh (60) hari sebelum menggunakan hak untuk melakukan audit;
Auditor setuju untuk memenuhi kewajiban kerahasiaan standar pasar dengan kami;
Anda dan auditor mengambil langkah-langkah untuk meminimalkan gangguan terhadap operasi bisnis kami;
Audit akan dilakukan selama jam kerja reguler;
Kami tidak berkewajiban untuk memberikan akses kepada data pelanggan dari pelanggan lain atau sistem yang tidak terlibat dalam penyediaan Layanan; dan
Anda akan membayar semua biaya audit.
11. Penghapusan dan Pengembalian Data Pribadi Pelanggan
Setelah pemutusan atau berakhirnya Perjanjian, kami akan (atas pilihan Anda) menghapus atau mengembalikan kepada Anda semua Data Pribadi Pelanggan (termasuk salinan) yang kami miliki atau kendalikan, asalkan persyaratan ini tidak akan berlaku sejauh kami diharuskan oleh hukum untuk mempertahankan sebagian atau seluruh Data Pribadi Pelanggan. Jika Anda menginstruksikan kami untuk menghapus Data Pribadi Pelanggan, Data Pribadi Pelanggan yang diarsipkan pada sistem cadangan kami akan dilindungi dari pemrosesan lebih lanjut, dan dihapus ketika periode penyimpanan yang diperlukan telah berlalu.
12. Komunikasi dan Hak Afiliasi Pelanggan
Masuknya ke dalam DPA ini atas nama dan mewakili Afiliasi Pelanggan seperti yang diatur dalam Bagian 1.2 merupakan DPA terpisah antara kami dan Afiliasi Pelanggan tersebut, dengan ketentuan sebagai berikut:
12.1. Komunikasi. Pelanggan yang merupakan pihak yang berkontrak dalam Perjanjian akan tetap bertanggung jawab untuk mengoordinasikan semua komunikasi dengan kami berdasarkan DPA ini dan berhak untuk membuat dan menerima komunikasi apa pun terkait dengan DPA ini atas nama Afiliasi Pelanggannya.
12.2 Hak Afiliasi Pelanggan. Ketika Afiliasi Pelanggan menjadi pihak dalam DPA dengan kami, ia berhak untuk menggunakan hak dan meminta pemulihan berdasarkan DPA ini sesuai dengan ketentuan yang diperlukan di bawah Undang-Undang Perlindungan Data, dengan ketentuan sebagai berikut:
(i) Kecuali Undang-Undang Perlindungan Data mewajibkan Afiliasi Pelanggan untuk menggunakan hak atau meminta pemulihan berdasarkan DPA ini secara langsung terhadap kami, para pihak sepakat bahwa (i) hanya Pelanggan yang merupakan pihak yang berkontrak dalam Perjanjian yang akan menggunakan hak tersebut atau meminta pemulihan tersebut atas nama Afiliasi Pelanggan, dan (ii) Pelanggan yang merupakan pihak yang berkontrak dalam Perjanjian akan menggunakan hak apa pun berdasarkan DPA ini tidak secara terpisah untuk setiap Afiliasi Pelanggan secara individu, tetapi dengan cara yang terintegrasi untuk dirinya dan semua Afiliasi Pelanggannya bersama-sama.
(ii) Para pihak sepakat bahwa Pelanggan yang merupakan pihak yang berkontrak dalam Perjanjian akan, ketika audit di lokasi dilakukan terhadap prosedur yang relevan dengan perlindungan Data Pribadi Pelanggan atas namanya seperti yang diatur dalam Bagian 10.3 DPA ini, mengambil semua langkah yang wajar untuk membatasi dampak pada kami dengan menggabungkan, sejauh yang wajar mungkin, beberapa permintaan audit yang dilakukan atas namanya dan semua Afiliasi Pelanggannya dalam satu audit tunggal.
Untuk kejelasan, Afiliasi Pelanggan tidak menjadi pihak yang berkontrak dalam Perjanjian.
13. Undang-Undang Privasi Konsumen California.
Sejauh mana itu berlaku, kami membuat komitmen tambahan berikut kepada Anda sehubungan dengan pengolahan Data Pribadi Pelanggan dalam lingkup CCPA.
13.1 Kewajiban Kami Di Bawah Hukum Perlindungan Data AS. Istilah "tujuan bisnis", "tujuan komersial", "konsumen", "menjual", dan "berbagi" sebagaimana digunakan dalam Bagian 13.1 ini memiliki arti yang diberikan kepada mereka dalam CCPA. Sejauh yang relevan, kami akan mematuhi CCPA dan memperlakukan semua Data Pribadi Pelanggan yang tunduk pada CCPA dan hukum Perlindungan Data AS lainnya ("Data Pribadi AS") sesuai dengan ketentuan CCPA dan hukum Perlindungan Data AS lainnya. Terkait Data Pribadi AS, kami adalah penyedia layanan di bawah CCPA dan pemroses data di bawah hukum Perlindungan Data AS lainnya. Kami tidak akan menjual Data Pribadi AS. Kami tidak akan menyimpan, menggunakan, atau mengungkapkan Data Pribadi AS (i) untuk tujuan apa pun selain tujuan bisnis yang ditentukan dalam Perjanjian (termasuk menyimpan, menggunakan, atau mengungkapkan Data Pribadi AS untuk tujuan komersial lainnya dari tujuan bisnis yang ditentukan dalam Perjanjian atau sebagaimana diizinkan oleh CCPA atau hukum yang berlaku); atau (ii) di luar hubungan bisnis langsung antara Anda dan kami.
13.2 Kewajiban Pelanggan. Anda menyatakan dan menjamin bahwa Anda telah memberikan pemberitahuan kepada Pengguna Akhir bahwa Data Pribadi digunakan atau dibagikan sesuai dengan hukum Perlindungan Data yang berlaku. Anda bertanggung jawab atas kepatuhan terhadap persyaratan Hukum Perlindungan Data sejauh yang berlaku bagi Anda sebagai pengendali data.
14. Hukum yang Mengatur dan Penyelesaian Sengketa
Setiap sengketa, klaim, atau kontroversi (“Sengketa”) yang muncul dari atau terkait dengan DPA ini akan diatur dan ditafsirkan sesuai dengan hukum Belanda. Setiap Pihak setuju bahwa pengadilan yang berwenang di Amsterdam, Belanda akan memiliki yurisdiksi eksklusif untuk menyelesaikan sengketa yang muncul dari atau terkait dengan DPA ini.
LAMPIRAN I - RINCIAN PROSES
Jika berlaku, Lampiran I ini akan menjadi Annex I untuk Klausul Kontraktual Standar.
Annex I, Bagian A. Daftar Pihak
Pengekspor Data: Pelanggan
Detail kontak pengeksport data: Alamat yang tercantum di akun Pelanggan, atau alamat email pemilik akun Pelanggan, atau alamat email yang dipilih oleh Pelanggan untuk menerima pemberitahuan sesuai dengan Perjanjian.
Peran pengeksport data: Peran pengeksport data dijelaskan dalam Pasal 4 DPA.
Tanda tangan dan tanggal: Jika dan ketika berlaku, pengeksport data dianggap telah menandatangani Klausul Kontraktual Standar yang dimasukkan di sini sejak Tanggal Efektif DPA.
Pengekspor Data: Penyedia
Detail kontak pengeksport data: Pejabat Perlindungan Data - privacy@bird.com
Peran pengeksport data: Pengekspor data bertindak sebagai pemroses data.
Tanda tangan dan tanggal: Jika dan ketika berlaku, pengeksport data dianggap telah menandatangani Klausul Kontraktual Standar yang dimasukkan di sini sejak Tanggal Efektif DPA.
Annex I, Bagian B. Deskripsi Transfer
1. Kategori subjek data yang Data Pribadi mereka ditransfer.
Pengguna. Kontak (individu) atau karyawan, kontraktor atau pekerja sementara (saat ini, prospektif, mantan) Pelanggan yang menggunakan Layanan (“Pengguna”).
Pengguna Akhir. Individu mana pun (i) yang detail kontaknya termasuk dalam daftar kontak Pelanggan; (ii) yang informasinya disimpan pada atau dikumpulkan melalui Layanan, atau (ii) kepada siapa Pelanggan mengirim komunikasi atau berinteraksi atau berkomunikasi melalui Layanan (secara kolektif, “Pengguna Akhir”). Anda sebagai Pelanggan sepenuhnya menentukan kategori subjek data yang termasuk dalam komunikasi yang dikirimkan melalui platform komunikasi kami.
2. Kategori Data Pribadi yang ditransfer.
Data Pribadi Pelanggan yang terdapat dalam konten komunikasi, data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan.
Konten komunikasi, yang mungkin termasuk Data Pribadi atau karakteristik terpersonalisasi lainnya, tergantung pada konten komunikasi sebagaimana ditentukan oleh Anda sebagai Pelanggan.
Data lalu lintas, yang mungkin mencakup Data Pribadi Pelanggan tentang pengalihan, durasi atau waktu komunikasi seperti panggilan suara, SMS atau email, apakah itu berkaitan dengan individu atau perusahaan.
Data Pengguna Akhir, seperti nomor telepon, alamat email, nama depan, nama belakang, nama profil, negara, pengenal saluran.
Data penggunaan Pelanggan, dapat berisi data yang dapat dilink ke Anda sebagai individu yang termasuk dalam data statistik dan informasi terkait dengan akun dan aktivitas layanan Anda, wawasan terkait layanan dan laporan analitik mengenai komunikasi yang dikirim dan dukungan pelanggan.
3. Data sensitif yang ditransfer (jika berlaku) dan pembatasan atau langkah-langkah pengamanan yang sepenuhnya mempertimbangkan sifat data dan risiko yang terlibat, seperti misalnya pembatasan tujuan yang ketat, pembatasan akses (termasuk akses hanya untuk personel yang telah mengikuti pelatihan khusus), menjaga catatan akses ke data, pembatasan untuk transfer lanjutan atau langkah-langkah keamanan tambahan.
Konten komunikasi. Data sensitif mungkin, dari waktu ke waktu, diproses melalui Layanan di mana Anda atau Pengguna Akhir Anda memilih untuk memasukkan data sensitif dalam komunikasi yang dikirim menggunakan Layanan. Anda bertanggung jawab untuk memastikan bahwa langkah-langkah pengamanan yang sesuai diterapkan sebelum mentransmisikan atau memproses, atau sebelum mengizinkan Pengguna Akhir Anda untuk mentransmisikan atau memproses data sensitif apa pun melalui Layanan, sesuai dengan Pasal 3.2 dari Perjanjian.
Data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan. Tidak ada data sensitif yang terdapat dalam data lalu lintas, data Pengguna Akhir, atau data penggunaan pelanggan.
4. Frekuensi transfer (misalnya, apakah data ditransfer secara sekali atau terus-menerus): Data Pribadi Pelanggan ditransfer secara terus-menerus selama masa Perjanjian.
5. Sifat pemrosesan: Kami akan memproses Data Pribadi Pelanggan sejauh yang diperlukan untuk menyediakan Layanan di bawah Perjanjian. Kami tidak menjual Data Pribadi apa pun, termasuk Data Pribadi Pelanggan, dan tidak membagikan Data Pribadi dengan pihak ketiga untuk kompensasi atau untuk kepentingan bisnis pihak ketiga tersebut.
6. Tujuan dari transfer data dan pemrosesan lebih lanjut: Kami akan memproses Data Pribadi Pelanggan sebagai pemroses data sesuai dengan instruksi Pelanggan sebagaimana ditetapkan dalam DPA ini, kecuali pemrosesan diperlukan untuk mematuhi kewajiban hukum di mana kami terikat, dalam hal ini kami akan diklasifikasikan sebagai pengendali data.
Konten komunikasi, data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan. Data Pribadi yang terdapat dalam konten komunikasi, data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan akan menjadi subjek dari kegiatan pemrosesan dasar berikut:
Konten komunikasi. Penyediaan produk dan layanan komunikasi yang dapat diprogram, yang ditawarkan dalam bentuk antarmuka pemrograman aplikasi (API) atau melalui Dashboard, kepada Pelanggan, termasuk pengiriman ke atau dari aplikasi perangkat lunak Pelanggan dari atau ke platform komunikasi kami, dan jaringan komunikasi lainnya.
Data lalu lintas. Data lalu lintas diproses untuk tujuan mentransmisikan komunikasi di jaringan komunikasi elektronik atau untuk penagihan terkait komunikasi itu. Ini mungkin termasuk Data Pribadi Pelanggan mengenai pengalihan, durasi atau waktu komunikasi seperti panggilan suara, SMS atau email, apakah itu berkaitan dengan individu atau perusahaan.
Data Pengguna Akhir. Data Pribadi Pengguna Akhir diperlukan untuk melakukan Layanan dan hanya akan diproses untuk tujuan transmisi komunikasi, dukungan pelanggan, dan memastikan kepatuhan terhadap kewajiban hukum kami.
Data penggunaan pelanggan. Data Pribadi yang terdapat dalam data penggunaan pelanggan akan menjadi subjek dari kegiatan pemrosesan untuk menyediakan Layanan di bawah Perjanjian, dengan tujuan memberikan wawasan terkait layanan kepada Pelanggan dan laporan analitik mengenai komunikasi yang dikirim, dukungan pelanggan, dan perbaikan berkelanjutan dari Layanan.
7. Periode di mana Data Pribadi akan disimpan, atau, jika itu tidak mungkin, kriteria yang digunakan untuk menentukan periode itu:
Konten komunikasi dan data lalu lintas.
Untuk konten komunikasi dan data lalu lintas yang terdapat dalam Layanan SMS dan Suara, periode retensi enam bulan berlaku;
Untuk Layanan Video, konten komunikasi dan data lalu lintas disimpan selama minimal 30 hari hingga durasi yang disepakati dengan Anda;
Untuk layanan email, konten komunikasi dan data lalu lintas disimpan selama 72 jam;
Untuk semua layanan lainnya, konten komunikasi dan data lalu lintas disimpan selama masa Layanan, kecuali jika Anda menghapus konten komunikasi atau data lalu lintas melalui langkah-langkah teknis dan organisasi yang diberikan kepada Anda melalui Layanan.
Data Pengguna Akhir. Data Pengguna Akhir akan diproses selama periode yang ditentukan oleh Pelanggan, ketika data Pengguna Akhir dimasukkan dalam profil kontak Anda, periode retensi default adalah selama masa Layanan, tunduk pada Pasal 6(c) dari Annex I, Bagian B.
Data penggunaan pelanggan. Setelah penghentian Perjanjian, kami dapat menyimpan, menggunakan, dan mengungkapkan data penggunaan pelanggan untuk tujuan yang ditetapkan dalam Pasal 6(d) dari Annex I, Bagian B, tunduk pada kewajiban kerahasiaan yang ditetapkan dalam Perjanjian. Kami akan menganonimkan atau menghapus data penggunaan pelanggan ketika kami tidak lagi membutuhkannya untuk tujuan yang ditetapkan dalam Pasal 6(d) dari Annex I, Bagian B.
8. Untuk transfer kepada (Sub-)pemroses, juga tentukan subjek, sifat dan durasi pemrosesan: Untuk transfer kepada Sub-pemroses, subjek dan sifat pemrosesan diuraikan dalam ikhtisar Sub-pemroses kami dan durasi adalah untuk masa Perjanjian.
Annex I, Bagian C. Otoritas Pengawas yang Kompeten
Otoritas Perlindungan Data Belanda (Autoriteit Persoonsgegevens) akan menjadi otoritas pengawas yang kompeten.
LAMPIRAN II - LANGKAH KEAMANAN TEKNIS DAN ORGANISASI
Jika berlaku, Lampiran II ini akan berfungsi sebagai Lampiran II untuk Klausul Kontrak Standar. Berikut ini memberikan informasi lebih lanjut mengenai langkah-langkah keamanan teknis dan organisasi kami yang diuraikan di bawah ini.
Tindakan Keamanan Teknikal dan Organisasi:
Tindakan pseudonimisasi dan perlindungan Data Pribadi dalam penyimpanan dan transit: semua Data Pribadi dienkripsi dalam transit dan saat diam, dan, sejauh relevan dari sudut pandang keamanan, diperlakukan seolah-olah dikategorikan sebagai data sensitif. Informasi selalu dikirimkan melalui TLS dengan metodologi enkripsi terbaru secara default.
Tindakan untuk memastikan kerahasiaan, integritas, dan ketersediaan sistem dan layanan pemrosesan serta ketahanan yang berkelanjutan: kami menjalin perjanjian yang memuat ketentuan kerahasiaan dengan karyawan, kontraktor, vendor, dan Sub-pengolah. Kebijakan kelangsungan bisnis kami adalah mempersiapkan bisnis dan layanan kami dalam menghadapi pemadaman yang berkepanjangan yang disebabkan oleh faktor di luar kendali kami dan untuk memulihkan layanan sejauh mungkin dalam kerangka waktu yang minimum. Kami memahami bahwa layanan yang kami berikan adalah penting bagi pelanggan kami dan karena itu kami memiliki toleransi yang sangat sedikit terhadap gangguan layanan. Kerangka waktu pemulihan kami dirancang untuk memastikan bahwa kami dapat memenuhi kewajiban kami kepada semua pelanggan kami
Proses untuk pengujian, penilaian, dan evaluasi secara berkala terhadap keefektifan tindakan teknis dan organisasi guna memastikan keamanan pemrosesan: tujuan keamanan informasi dan Sistem Manajemen Keamanan Informasi kami (ISMS) adalah untuk melindungi kerahasiaan, integritas, dan ketersediaan informasi bagi organisasi, karyawan, mitra, pelanggan, dan sistem informasi (yang berwenang), dan untuk meminimalkan risiko kerusakan yang terjadi dengan mencegah insiden keamanan dan mengelola ancaman dan kerentanan keamanan. Tim Hukum kami, Pejabat Perlindungan Data, dan Tim Keamanan memastikan bahwa regulasi dan standar yang berlaku dipertimbangkan dalam kerangka kerja keamanan kami.
Tindakan untuk identifikasi dan otorisasi pengguna: kami mengikuti prinsip
