Perjanjian Pengolahan Data

Unduh sebagai PDF

Perjanjian Pemrosesan Data ini berlaku bagi Anda jika Anda mendaftar untuk Layanan kami (termasuk melalui salah satu Afiliasi kami) sebelum, pada, atau setelah 1 Februari 2024 pukul 1 siang CET. Perjanjian Pemrosesan Data kami yang terdokumentasi tersedia di sini.

Perjanjian Pemrosesan Data ini, termasuk lampirannya, (“DPA”) merupakan bagian dari Perjanjian antara kami dan Pelanggan untuk pembelian layanan komunikasi (daring) dari kami untuk mencerminkan kesepakatan Para Pihak sehubungan dengan pemrosesan Data Pribadi Pelanggan. Dalam DPA ini, istilah “Anda”, “anda”, atau “Pelanggan” merujuk kepada Anda sebagai Pelanggan kami (tergantung pada Pasal 1.2 di bawah), dan istilah “kami”, “kami,” atau “milik kami” merujuk kepada kami sebagai Penyedia (sebagaimana diartikan di bawah). Istilah yang ditulis dengan huruf kapital yang digunakan dalam DPA ini tetapi tidak didefinisikan di bawah diartikan dalam Ketentuan dan Syarat Umum kami atau Perjanjian lain dengan kami yang mengatur penggunaan Anda atas Layanan.

1.1 Lingkup

DPA ini mengatur pemrosesan Data Pribadi Pelanggan oleh kami sebagai pemroses.

1.2 Afiliasi Pelanggan

Pelanggan memasuki DPA ini atas namanya sendiri dan, sejauh yang diwajibkan di bawah Undang-Undang Perlindungan Data, atas nama dan untuk kepentingan Afiliasinya (sebagaimana didefinisikan dalam Syarat), jika dan sejauh Anda memberikan Afiliasi tersebut akses ke Layanan dan kami memproses Data Pribadi Pelanggan di mana Afiliasi tersebut memenuhi syarat sebagai pengendali data (“Afiliasi Pelanggan”). Untuk tujuan DPA ini saja, dan kecuali jika dinyatakan lain, istilah “Pelanggan” dan “Anda” akan mencakup Pelanggan dan Afiliasi Pelanggan.

1.3 Ketentuan

DPA ini akan tetap berlaku selama kami memproses Data Pribadi Pelanggan yang tunduk pada DPA ini, terlepas dari berakhirnya atau dihentikannya Perjanjian.

2. Definisi

Data Akun

"Data Akun" adalah setiap Data Pribadi yang diberikan oleh atau untuk Anda kepada kami sehubungan dengan masuk dan administrasi Perjanjian serta akun Anda, termasuk namun tidak terbatas pada informasi kontak, rincian penagihan, dan korespondensi mengenai masuk dan administrasi Perjanjian serta Layanan terkait.

CCPA

"CCPA" berarti Undang-Undang Privasi Konsumen California tahun 2018 dan semua regulasi yang ditetapkan sehubungan dengan hal tersebut, masing-masing, sebagaimana diubah dari waktu ke waktu.

Data Pelanggan

"Data Pelanggan" berarti data dan informasi atau konten lainnya yang diajukan oleh Anda atau untuk Anda (atau oleh pengguna Aplikasi Pelanggan Anda) berdasarkan Perjanjian dan diproses atau disimpan oleh Layanan.

Data Pribadi Pelanggan

"Data Pribadi Pelanggan" berarti Data Pribadi yang terkandung dalam Data Pelanggan yang diproses oleh kami sebagai pengolah, kecuali ditentukan lain dalam DPA ini.

Undang-Undang Perlindungan Data

"Hukum Perlindungan Data" berarti semua hukum dan peraturan dari yurisdiksi mana pun yang berlaku untuk kerahasiaan, privasi, keamanan, atau pengolahan Data Pribadi berdasarkan Perjanjian, termasuk, misalnya dan jika berlaku, GDPR atau CCPA.

EEA

"EEA" berarti, untuk tujuan DPA ini, Wilayah Ekonomi Eropa dan Swiss.

GDPR

“GDPR” berarti (i) Peraturan 2016/679 dari Parlemen Eropa dan Dewan tentang perlindungan orang-orang secara alami sehubungan dengan pemrosesan Data Pribadi dan tentang pergerakan bebas data tersebut (Regulasi Perlindungan Data Umum); atau (ii) hanya sehubungan dengan Inggris Raya, Undang-Undang Perlindungan Data 2018.

Data Pribadi

"Data Pribadi" berarti informasi apa pun yang berkaitan dengan seseorang yang diidentifikasi atau dapat diidentifikasi, baik secara langsung maupun tidak langsung, baik secara sendiri maupun dalam kombinasi dengan informasi lainnya.

Pelanggaran Data Pribadi

"Pelanggaran Data Pribadi" berarti setiap penghancuran, kehilangan, perubahan, pengungkapan, atau akses yang tidak disengaja, tidak sah, atau ilegal terhadap Data Pribadi Pelanggan dan istilah serupa lainnya sesuai dengan Undang-Undang Perlindungan Data yang berlaku seperti "Pelanggaran Keamanan."

Layanan

"Layanan" berarti semua produk dan layanan yang disediakan oleh kami atau Afiliasi kami yang (a) dipesan oleh Anda berdasarkan Formulir Pesanan; atau (b) digunakan oleh Anda.

Penyedia

“Provider” berarti entitas kontrak kami yang merupakan pihak dalam DPA ini, yaitu entitas kontrak yang tercantum dalam Bagian 15 dalam Ketentuan Umum dan Kondisi (Entitas Kontrak), kecuali dinyatakan lain dalam Formulir Pesanan Anda. Anda atau Penyedia juga dapat disebut secara individu sebagai “Pihak” dan bersama-sama sebagai “Para Pihak” dalam DPA ini.

Klausul Kontraktual Standar

“Klausul Kontrak Standar” berarti Pengendali ke Pemroses (Modul Dua) atau Pemroses ke Pemroses (Modul Tiga), sesuai dengan yang berlaku, dari Klausul Kontrak Standar untuk transfer Data Pribadi ke negara ketiga sesuai dengan Peraturan (UE) 2016/679 Parlemen Eropa dan Dewan yang disetujui oleh Keputusan Pelaksanaan Komisi Eropa (UE) 2021/914 tanggal 4 Juni 2021, seperti yang saat ini diatur di https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.

Sub-prosesor

“Sub-processor” berarti entitas pihak ketiga yang memproses Data Pribadi Pelanggan atas nama Penyedia di mana Penyedia bertindak sebagai pemroses data atau sub-pemroses.

Klausul Kontraktual Standar Inggris

“Klausul Kontrak Standar Inggris” berarti salah satu atau semua hal berikut: (i) perjanjian transfer data internasional yang dikeluarkan oleh Komisioner Informasi Inggris berdasarkan pasal 119A DPA 2018; (ii) addendum transfer data internasional untuk klausul kontrak standar Komisi Eropa untuk transfer data internasional yang dikeluarkan oleh Komisioner Informasi Inggris berdasarkan pasal 119A DPA 2018; atau (iii) ketentuan kontrak standar yang dikeluarkan oleh Komisioner Informasi Inggris atau Komisi Eropa yang dapat menggantikan yang ini dari waktu ke waktu. Istilah seperti “pemrosesan”, “pengendali data”, “prosesor data”, “subjek data”, dll. akan memiliki arti yang ditetapkan untuk mereka berdasarkan GDPR. Definisi “pengendali data” mencakup “bisnis”, “konsumen”, “pengendali”, dan “organisasi”;

3. Proses Data Pribadi Pelanggan

3.1 Tujuan

Kami akan memproses Data Pribadi Pelanggan hanya sejauh yang diperlukan (i) untuk menyediakan Layanan, termasuk pengiriman komunikasi, memastikan keamanan layanan, memberikan laporan teknis dan pengiriman, memberikan dukungan serta mengembangkan dan menerapkan perbaikan dan pembaruan sesuai dengan instruksi yang tercatat dari Anda sebagai pemroses data seperti yang ditentukan dalam Bagian 3.2 dari DPA ini, (ii) untuk tujuan bisnis yang sah kami seperti yang ditentukan dalam Bagian 3.4 dari DPA ini sebagai pengendali data, dan (iii) sebagaimana yang diwajibkan berdasarkan hukum yang berlaku.

3.2 Instruksi Pelanggan

Perjanjian dan DPA ini merupakan instruksi lengkap Anda kepada kami sebagai pemroses data pada saat penandatanganan DPA ini. Kami akan mematuhi instruksi lain yang didokumentasikan dengan wajar asal instruksi tersebut konsisten dengan ketentuan Perjanjian.

3.3 Rincian Pemrosesan

Lampiran I, Bagian B (Deskripsi transfer) dari Lampiran I DPA ini menetapkan sifat dan tujuan pemrosesan oleh kami sebagai pemroses data atau Sub-pemroses, aktivitas pemrosesan, durasi pemrosesan, jenis Data Pribadi, dan kategori subjek data.

3.4 Tujuan Bisnis yang Sah

Anda mengakui bahwa kami memproses Data Pribadi Pelanggan sebagai pengontrol data independen sejauh yang diperlukan untuk tujuan bisnis yang sah berikut: penagihan, manajemen akun, pelaporan keuangan dan internal, memerangi dan mencegah ancaman keamanan, serangan siber, dan kejahatan siber yang mungkin memengaruhi Anda, kami, atau layanan kami, pemodelan bisnis (misalnya, peramalan, perencanaan kapasitas dan pendapatan, dan strategi produk), pencegahan dan deteksi penipuan, spam, dan penyalahgunaan, perbaikan rangkaian produk dan layanan kami, dan untuk mematuhi kewajiban hukum kami.

4. Kewajiban Pelanggan

4.1 Kewajiban Hukum

Ketika Anda bertindak sebagai pengendali data dari Data Pribadi Pelanggan, Anda menjamin bahwa semua kegiatan pemrosesan adalah sah, memiliki tujuan tertentu, dan pemberitahuan serta persetujuan yang diperlukan atau dasar hukum yang sesuai lainnya telah tersedia untuk memungkinkan transfer sah dari Data Pribadi Pelanggan. Jika Anda adalah pemroses data (dalam hal ini kami akan bertindak sebagai Sub-pemroses), Anda akan memastikan bahwa pengendali data yang relevan menjamin bahwa syarat-syarat yang tertera dalam Bagian 4.1 ini terpenuhi.

4.2 Kepatuhan

Anda sepenuhnya bertanggung jawab untuk (a) memastikan bahwa Anda mematuhi Hukum Perlindungan Data yang berlaku untuk penggunaan Layanan dan pemrosesan Data Pribadi Pelanggan Anda sendiri, (b) melakukan penilaian independen apakah langkah-langkah teknis dan organisasi dari Layanan memenuhi persyaratan Anda, dan (c) menerapkan dan memelihara langkah-langkah privasi dan keamanan untuk komponen yang Anda sediakan atau kendalikan (termasuk namun tidak terbatas pada kata sandi, perangkat yang digunakan dengan Layanan, dan Aplikasi Pelanggan).

5. Keamanan

5.1 Langkah Keamanan

Dengan mempertimbangkan keadaan terkini, biaya implementasi serta sifat, ruang lingkup, konteks, dan tujuan pengolahan, serta risiko yang bervariasi dalam kemungkinan dan tingkat keparahan terhadap hak dan kebebasan orang-orang, kami akan menerapkan dan memelihara langkah-langkah keamanan teknis dan organisasi yang sesuai untuk melindungi Data Pribadi Pelanggan dari Pelanggaran Data Pribadi dan untuk menjaga keamanan, integritas, ketersediaan, ketahanan dan kerahasiaan Data Pelanggan yang sistem kami gunakan untuk mengolah Data Pribadi Pelanggan. Langkah-langkah keamanan yang diterapkan oleh kami dijelaskan di Lampiran II.

5.2 Pembaruan terhadap Langkah-langkah Keamanan

Anda bertanggung jawab untuk meninjau informasi yang kami sediakan terkait dengan keamanan Data Pribadi Pelanggan dan melakukan penilaian independen tentang apakah informasi tersebut memenuhi persyaratan dan kewajiban hukum Anda di bawah Undang-Undang Perlindungan Data. Anda mengakui bahwa langkah-langkah keamanan dapat dipengaruhi oleh kemajuan dan pengembangan teknis, dan bahwa kami dapat memperbarui atau memodifikasi langkah-langkah keamanan kami dari waktu ke waktu, asalkan pembaruan dan modifikasi tersebut tidak mengakibatkan penurunan keamanan keseluruhan Data Pribadi Pelanggan.

5.3 Kontrol Akses

Kami menerapkan prinsip "perlu tahu" dan "hak akses paling sedikit", memastikan bahwa akses ke Data Pribadi Pelanggan dibatasi hanya untuk Personil yang diperlukan untuk penyediaan Layanan dan sesuai dengan Perjanjian, termasuk DPA ini.

5.4 Kerahasiaan Pemrosesan

Kami akan memastikan bahwa setiap orang atau pihak yang diberi wewenang oleh kami untuk memproses Data Pribadi Pelanggan (termasuk personel kami, agen, dan Sub-prosesor) diinformasikan tentang sifat rahasia dari Data Pribadi Pelanggan tersebut dan akan memiliki kewajiban kerahasiaan yang sesuai (baik berupa kewajiban kontraktual atau kewajiban berdasarkan undang-undang) yang tetap berlaku setelah penghentian keterlibatan mereka.

5.5 Respon dan Pemberitahuan Pelanggaran Data Pribadi

Setelah menyadari adanya Pelanggaran Data Pribadi, kami akan tanpa penundaan yang tidak perlu (i) memberitahukan Anda, (ii) menyelidiki Pelanggaran Data Pribadi, (iii) memberikan informasi tepat waktu yang berkaitan dengan Pelanggaran Data Pribadi seiring dengan informasi yang kami ketahui atau sesuai permintaan Anda yang wajar, dan (iv) mengambil langkah-langkah yang wajar secara komersial untuk mengurangi dampak dan mencegah terulangnya Pelanggaran Data Pribadi.

6. Bantuan

6.1 Bantuan Perlindungan Data

Kami akan memberikan bantuan yang diminta secara wajar untuk memungkinkan Anda mematuhi kewajiban Anda di bawah Undang-Undang Perlindungan Data, termasuk pemberitahuan tentang Pelanggaran Data Pribadi, menilai tingkat keamanan pemrosesan yang sesuai, dan membantu Anda dengan pelaksanaan penilaian dampak perlindungan data yang relevan.

6.2 Bantuan dengan Hak Subjek Data

Kami akan memberikan Anda bantuan yang wajar untuk memungkinkan Anda memenuhi kewajiban Anda kepada subjek data yang menjalankan hak mereka berdasarkan Undang-Undang Perlindungan Data dengan menyediakan langkah-langkah teknis dan organisasi melalui akun Anda. Untuk menghindari keraguan, Anda sebagai pengendali data bertanggung jawab untuk memproses setiap permintaan atau keluhan dari subjek data sehubungan dengan Data Pribadi Pelanggan dari seorang subjek data.

7. Pengungkapan dan Permintaan Pengungkapan

7.1 Pembatasan pada Pengungkapan dan Akses

Kami tidak akan memberikan akses atau mengungkapkan Data Pribadi Pelanggan kecuali (i) seperti yang diarahkan oleh Anda, (ii) seperti yang diatur dalam Perjanjian dan DPA ini, atau (iii) sebagaimana diharuskan oleh hukum.

7.2 Permintaan Pengungkapan

Kami akan memberi tahu Anda sesegera mungkin jika kami menerima permintaan dari badan pemerintah atau regulator untuk mengungkapkan Data Pribadi Pelanggan, kecuali jika pemberitahuan tersebut dilarang oleh hukum. Kami akan menangani permintaan pengungkapan sesuai dengan kebijakan permintaan pengungkapan, yang tersedia di situs web kami di sini.

8. Sub-prosesor

8.1 Daftar Sub-prosesor Saat Ini

Anda setuju dengan keterlibatan Sub-prosesor sehubungan dengan Layanan, yang terdaftar diOverview Sub-prosesor kami, yang juga berisi prosedur bagi Anda untuk berlangganan pemberitahuan tentang perubahan dalam penggunaan Sub-prosesor. Jika Anda berlangganan pemberitahuan tersebut, dan dengan memperhitungkan Bagian 8.3 dari DPA ini, kami akan membagikan rincian mengenai setiap perubahan dalam Sub-prosesor segera setelah memungkinkan.

8.2 Penunjukan Sub-prosesor

Melalui DPA ini, Anda memberikan otorisasi tertulis umum kepada kami untuk melibatkan Sub-pemroses dalam pemrosesan Data Pribadi Pelanggan, dengan mengacu pada Bagian 8.3 dari DPA ini dan persyaratan berikut:

Kami akan membatasi akses ke Data Pribadi Pelanggan oleh Sub-pemroses hanya untuk hal-hal yang benar-benar diperlukan untuk menyediakan layanan yang ditentukan dalam perjanjian sub-pemroses;
Kami akan menyepakati kewajiban perlindungan data dengan Sub-pemroses yang secara substansial sama dengan kewajiban di bawah DPA ini; dan
Kami tetap bertanggung jawab kepada Anda di bawah DPA ini untuk pelaksanaan kewajiban perlindungan data dari Sub-pemroses.

8.3 Pemberitahuan Perubahan kepada Sub-prosesor dan Hak untuk Menentang

Sebelum mengganti atau melibatkan Sub-prosesor baru (“Perubahan Sub-prosesor”), kami akan memberikan Anda pilihan untuk menolak Perubahan Sub-prosesor tersebut. Anda dapat menolak Perubahan Sub-prosesor dengan syarat bahwa (i) penolakan disampaikan secara tertulis dalam waktu sepuluh (10) hari kerja setelah pemberitahuan kami tentang Perubahan Sub-prosesor dan (ii) penolakan tersebut didasarkan pada dan secara jelas menjelaskan alasan yang wajar yang berkaitan dengan perlindungan Data Pribadi Pelanggan. Ketika Anda menolak Perubahan Sub-prosesor yang diusulkan, kami akan bekerja sama dengan Anda dengan itikad baik untuk melakukan perubahan yang wajar secara komersial dalam penyediaan Layanan yang menghindari penggunaan Sub-prosesor yang relevan. Jika perubahan semacam itu tidak dapat dilakukan secara wajar dalam waktu tiga puluh (30) hari kerja setelah menerima pemberitahuan penolakan Anda, atau jika perubahan tersebut tidak wajar secara komersial bagi kami, salah satu pihak dapat mengakhiri fitur Layanan yang berlaku yang tidak dapat diberikan tanpa penggunaan Sub-prosesor yang relevan. Hak pengakhiran ini adalah satu-satunya dan eksklusif remedi Anda jika Anda menolak Perubahan Sub-prosesor.

9. Transfer Lintas Batas Data Pribadi Pelanggan

9.1 Transfer Data Pribadi Pelanggan

Kami dapat mentransfer Data Pribadi Pelanggan dengan syarat semua perlindungan yang tepat sesuai dengan Undang-Undang Perlindungan Data diterapkan. Ini mungkin termasuk penilaian dampak transfer data sebelumnya, adopsi, pemantauan, dan evaluasi langkah-langkah teknis, organisasi, dan hukum tambahan, hak subjek data yang dapat ditegakkan, dan bahwa obat hukum yang efektif untuk subjek data tersedia.

9.2 Klausul Kontrak Standar Subprosesor

Kecuali jika keputusan kecukupan atau mekanisme transfer alternatif berlaku, seperti Kerangka Privasi Data UE-AS, kami telah mengadakan dan akan mempertahankan Klausul Kontraktual Standar dengan Sub-prosesor (termasuk Afiliasi kami) yang terletak di luar EEA, sesuai dengan ketentuan yang tercantum dalam Bagian 9.1 dari DPA ini.

9.3 Mekanisme Transfer untuk Transfer Data Pribadi Pelanggan

Sejauh penggunaan Layanan Anda memerlukan mekanisme transfer data lintas batas untuk mengekspor Data Pribadi Pelanggan secara sah dari suatu yurisdiksi (misalnya EEA, California, Singapura, Swiss, atau Inggris) kepada kami yang berada di luar yurisdiksi tersebut, bagian ini akan berlaku. Jika, dalam pelaksanaan Layanan, Data Pribadi Pelanggan yang tunduk pada GDPR atau hukum lain yang berkaitan dengan perlindungan atau privasi individu yang berlaku untuk DPA ini ditransfer ke entitas Penyedia yang terletak di negara-negara yang tidak menjamin tingkat perlindungan data yang memadai dalam arti Hukum Perlindungan Data, mekanisme transfer yang tercantum di bawah ini akan berlaku untuk transfer tersebut dan dapat langsung ditegakkan oleh pihak-pihak sejauh transfer tersebut tunduk pada Hukum Perlindungan Data.

9.3.1

Para pihak setuju bahwa Klausul Kontrak Standar akan berlaku untuk Data Pribadi Pelanggan yang ditransfer melalui Layanan dari EEA atau Swiss, baik secara langsung maupun melalui transfer lebih lanjut, ke entitas Penyedia yang terletak di negara di luar EEA atau Swiss yang tidak diakui oleh Komisi Eropa (atau, dalam hal transfer dari Swiss, otoritas yang berwenang untuk Swiss) sebagai memberikan tingkat perlindungan yang memadai untuk data pribadi.

9.3.1.1

Ketika Anda bertindak sebagai pengontrol data dan kami adalah pemroses data, Modul Dua Controller-to-Processor dari Klausul Kontrak Standar Uni Eropa akan berlaku untuk setiap transfer Data Pribadi Pelanggan dari EEA. Ketika Anda bertindak sebagai pemroses data dan kami adalah sub-pemroses, Modul Tiga Processor-to-Processor dari Klausul Kontrak Standar akan berlaku untuk setiap transfer Data Pribadi Pelanggan dari EEA.

9.3.1.2

Kami akan dianggap sebagai penerima data dan Anda akan dianggap sebagai pengirim data berdasarkan Klausul Kontraktual Standar. Penandatanganan DPA ini oleh masing-masing pihak akan diperlakukan sebagai penandatanganan Klausul Kontraktual Standar yang berlaku, yang akan dianggap terintegrasi ke dalam DPA ini. Rincian yang diperlukan berdasarkan Lampiran 1 dan Lampiran 2 Klausul Kontraktual Standar tersedia di Lampiran I dan Lampiran II DPA ini. Dalam hal terjadi konflik atau ketidaksesuaian antara DPA ini dan Klausul Kontraktual Standar, Klausul Kontraktual Standar akan berlaku hanya terkait dengan transfer Data Pribadi Pelanggan dari EEA.

9.3.1.3

Di mana Klausul Kontrak Standar mengharuskan para pihak untuk memilih antara klausul opsional dan memasukkan informasi, para pihak telah melakukannya sebagaimana diatur di bawah ini:

i. Klausul Opsional 7 “Klausul Penambahan” tidak akan diadopsi.

ii. Untuk Klausul 9 “Penggunaan sub-prosesor”, para pihak memilih opsi berikut: “Opsi 2 Otorisasi tertulis umum: pengimpor data memiliki otorisasi umum dari pengendali untuk keterlibatan sub-prosesor dari daftar yang disepakati. Pengimpor data harus memberitahukan pengendali secara tertulis tentang perubahan yang dimaksud pada daftar tersebut melalui penambahan atau penggantian sub-prosesor setidaknya 10 hari kerja sebelumnya, sehingga memberikan waktu yang cukup bagi pengendali untuk dapat menolak perubahan tersebut sebelum keterlibatan sub-prosesor. Pengimpor data harus memberikan informasi yang diperlukan kepada eksportir data untuk memungkinkan eksportir data melaksanakan haknya untuk menolak. Pengimpor data harus memberitahukan eksportir data tentang keterlibatan sub-prosesor.”

iii. Untuk Klausul 11 (a) “Perbaikan”, para pihak tidak mengadopsi Opsi.

iv. Untuk Klausul 17 “Hukum yang Mengatur”, para pihak memilih opsi berikut: “Opsi 1. Klausul ini akan diatur oleh hukum salah satu Negara Anggota UE, dengan syarat hukum tersebut mengizinkan hak pihak ketiga. Para Pihak setuju bahwa ini akan menjadi hukum Belanda.”

v. Untuk Klausul 18 (b) “Pilihan Forum dan Yurisdiksi”: “Para Pihak setuju bahwa pengadilan tersebut adalah pengadilan Belanda.”

9.3.2

Para pihak sepakat bahwa Klausul Kontrak Standar Inggris akan diterapkan pada Data Pribadi Pelanggan yang ditransfer melalui Layanan dari Inggris, baik secara langsung atau melalui transfer lanjutan, ke entitas Penyedia yang terletak di negara di luar Inggris yang tidak diakui oleh otoritas regulasi Inggris yang kompeten atau badan pemerintah untuk Inggris sebagai penyedia tingkat perlindungan yang memadai untuk data pribadi.

9.3.2.1

Kami akan dianggap sebagai pengimpor data dan Anda akan dianggap sebagai pengekspor data berdasarkan Klausul Kontrak Standar Inggris. Tanda tangan setiap pihak pada DPA ini akan diperlakukan sebagai tanda tangan Klausul Kontrak Standar Inggris, yang akan dianggap terintegrasi ke dalam DPA ini. Rincian yang diperlukan berdasarkan Klausul Kontrak Standar Inggris tersedia di Lampiran I dan Lampiran II dari DPA ini. Dalam hal terjadi konflik atau ketidaksesuaian antara DPA ini dan Klausul Kontrak Standar Inggris, Klausul Kontrak Standar Inggris akan berlaku dengan sendirinya terkait dengan transfer Data Pribadi Pelanggan dari Inggris.

10. Audit

10.1 Laporan Audit

Platform komunikasi kami akan diaudit secara berkala sesuai dengan standar ISO 27001 (atau yang setara). Audit tersebut, atas kebijaksanaan kami sendiri, dapat berupa audit internal, atau audit yang dilakukan oleh pihak ketiga. Atas permintaan tertulis, kami akan memberikan kepada Anda ringkasan dari laporan audit (“Laporan Audit”), sehingga Anda dapat memverifikasi kepatuhan kami terhadap standar audit dan DPA ini. Laporan Audit tersebut, serta kesimpulan atau temuan yang ditentukan di dalamnya, merupakan Informasi Rahasia kami.

10.2 Permintaan Informasi Pelanggan

Kami akan menyediakan kepada Anda semua informasi yang secara wajar diperlukan untuk menunjukkan kepatuhan terhadap kewajiban yang ditetapkan dalam DPA ini. Kami akan memberikan tanggapan tertulis untuk permintaan informasi yang wajar yang dibuat oleh Anda, termasuk tanggapan terhadap pertanyaan keamanan informasi dan audit yang masuk akal dalam ruang lingkup dan diperlukan untuk mengonfirmasi kepatuhan terhadap DPA ini, dengan syarat bahwa Anda (i) telah terlebih dahulu melakukan upaya wajar untuk memperoleh informasi yang diminta dari Dokumen, Laporan Audit, dan informasi lain yang diberikan atau dipublikasikan oleh kami, dan (ii) tidak akan menggunakan hak ini lebih dari sekali per tahun, kecuali jika terjadi Pelanggaran Data Pribadi atau perubahan signifikan dalam kegiatan pemrosesan kami terkait dengan Layanan yang mengharuskan pelaksanaan kuesioner tambahan. Semua tanggapan yang diberikan adalah Informasi Rahasia kami.

10.3 Audit Pelanggan

Jika Laporan Audit yang kami berikan kepada Anda memberikan alasan yang dapat dibuktikan untuk mempercayai bahwa kami melanggar kewajiban kami berdasarkan DPA ini, terkait dengan Data Pribadi Pelanggan yang diberikan oleh Anda, kami akan mengizinkan auditor pihak ketiga independen dan berkualifikasi yang ditunjuk oleh Anda dan disetujui oleh kami, untuk mengaudit kegiatan pemrosesan Data Pribadi yang relevan, dengan syarat bahwa sejauh mungkin diizinkan berdasarkan hukum yang berlaku, persyaratan berikut dipenuhi:

Anda harus memberi kami pemberitahuan yang wajar setidaknya enam puluh (60) hari sebelumnya sebelum menggunakan hak untuk mengaudit;
Auditor setuju dengan kewajiban kerahasiaan standar pasar bersama kami;
Anda dan auditor mengambil langkah-langkah untuk meminimalkan gangguan pada operasi bisnis kami;
Audit akan dilakukan selama jam kerja reguler;
Kami tidak akan diwajibkan untuk memberikan akses ke data pelanggan dari pelanggan lain atau sistem yang tidak terlibat dalam penyediaan Layanan; dan
Anda harus membayar semua biaya audit.

11. Penghapusan dan Pengembalian Data Pribadi Pelanggan

Ketika perjanjian berakhir atau berakhir, kami akan (sesuai pilihan Anda) menghapus atau mengembalikan kepada Anda semua Data Pribadi Pelanggan (termasuk salinan) yang kami miliki atau kendalikan, kecuali bahwa persyaratan ini tidak akan berlaku sejauh kami diharuskan oleh hukum untuk menyimpan sebagian atau seluruh Data Pribadi Pelanggan. Jika Anda menginstruksikan kami untuk menghapus Data Pribadi Pelanggan, Data Pribadi Pelanggan yang diarsipkan di sistem cadangan kami akan dilindungi dari pemrosesan lebih lanjut, dan dihapus ketika periode retensi yang diperlukan telah berlalu.

12. Komunikasi dan Hak Afiliasi Pelanggan

Masuknya ke dalam DPA ini atas nama dan mewakili Afiliasi Pelanggan sebagaimana diatur dalam Bagian 1.2 merupakan DPA terpisah antara kami dan Afiliasi Pelanggan tersebut, tunduk pada ketentuan berikut:

12.1. Komunikasi

Pelanggan yang merupakan pihak yang mengikat dalam Perjanjian akan tetap bertanggung jawab untuk mengoordinasikan semua komunikasi dengan kami berdasarkan DPA ini dan berhak untuk melakukan dan menerima komunikasi terkait DPA ini atas nama Afiliasi Pelanggannya.

12.2 Hak Afiliasi Pelanggan

Di mana Afiliasi Pelanggan menjadi pihak dalam DPA dengan kami, mereka berhak untuk menjalankan hak dan mencari pemulihan berdasarkan DPA ini sejauh yang diperlukan berdasarkan Undang-Undang Perlindungan Data, dengan ketentuan sebagai berikut:

(i) Kecuali jika Undang-Undang Perlindungan Data mengharuskan Afiliasi Pelanggan untuk menjalankan hak atau mencari pemulihan berdasarkan DPA ini terhadap kami secara langsung, para pihak sepakat bahwa (i) hanya Pelanggan yang merupakan pihak kontrak dalam Perjanjian yang dapat menjalankan hak tersebut atau mencari pemulihan tersebut atas nama Afiliasi Pelanggan, dan (ii) Pelanggan yang merupakan pihak kontrak dalam Perjanjian harus menjalankan hak tersebut berdasarkan DPA ini tidak secara terpisah untuk setiap Afiliasi Pelanggan secara individual tetapi secara gabungan untuk dirinya sendiri dan semua Afiliasi Pelanggannya bersama-sama.

(ii) Para pihak sepakat bahwa Pelanggan yang merupakan pihak kontrak dalam Perjanjian harus, ketika audit langsung prosedur yang relevan dengan perlindungan Data Pribadi Pelanggan dilakukan atas namanya seperti yang diatur dalam Bagian 10.3 DPA ini, mengambil semua langkah wajar untuk membatasi dampak apa pun pada kami dengan menggabungkan, sejauh yang memungkinkan, beberapa permintaan audit yang dilakukan atas namanya dan semua Afiliasi Pelanggannya dalam satu audit tunggal.

Untuk kejelasan, Afiliasi Pelanggan tidak menjadi pihak kontrak dalam Perjanjian.

13. Undang-Undang Privasi Konsumen California

Sejauh mana itu berlaku, kami membuat komitmen tambahan berikut kepada Anda sehubungan dengan pemrosesan Data Pribadi Pelanggan dalam lingkup CCPA.

13.1 Kewajiban Kami Berdasarkan Undang-Undang Perlindungan Data AS

Istilah "tujuan bisnis," "tujuan komersial," "konsumen," "menjual," dan "berbagi" sebagaimana digunakan dalam Bagian 13.1 memiliki arti yang diberikan kepada mereka dalam CCPA. Sejauh yang berlaku, kami akan mematuhi CCPA dan memperlakukan semua Data Pribadi Pelanggan yang tunduk pada CCPA dan hukum Perlindungan Data AS lainnya ("Data Pribadi AS") sesuai dengan ketentuan CCPA dan hukum Perlindungan Data AS lainnya. Sehubungan dengan Data Pribadi AS, kami adalah penyedia layanan di bawah CCPA dan pemroses data di bawah hukum Perlindungan Data AS lainnya. Kami tidak akan menjual Data Pribadi AS. Kami tidak akan mempertahankan, menggunakan, atau mengungkapkan Data Pribadi AS (i) untuk tujuan lain selain tujuan bisnis yang ditentukan dalam Perjanjian (termasuk mempertahankan, menggunakan, atau mengungkapkan Data Pribadi AS untuk tujuan komersial lain selain tujuan bisnis yang ditentukan dalam Perjanjian atau sebagaimana diizinkan oleh CCPA atau hukum yang berlaku); atau (ii) di luar hubungan bisnis langsung antara Anda dan kami.

13.2 Kewajiban Pelanggan

Anda menyatakan dan menjamin bahwa Anda telah memberikan pemberitahuan kepada Pengguna Akhir bahwa Data Pribadi digunakan atau dibagikan sesuai dengan Hukum Perlindungan Data yang berlaku. Anda bertanggung jawab untuk mematuhi persyaratan Hukum Perlindungan Data sejauh yang berlaku bagi Anda sebagai pengendali data.

14. Hukum yang Mengatur dan Penyelesaian Sengketa

Setiap sengketa, klaim, atau kontroversi (“Sengketa”) yang timbul dari atau terkait dengan DPA ini akan diatur dan ditafsirkan sesuai dengan hukum Belanda. Setiap Pihak setuju bahwa pengadilan yang berwenang di Amsterdam akan memiliki yurisdiksi eksklusif untuk menyelesaikan Sengketa yang timbul dari atau terkait dengan DPA ini.

13.1 Kewajiban Kami Berdasarkan Undang-Undang Perlindungan Data AS

LAMPIRAN I - RINCIAN PEMROSESAN

Dimana berlaku, Lampiran I ini akan berfungsi sebagai Annex I untuk Klausul Kontraktual Standar EEA.

Lampiran I, Bagian A. Daftar Pihak

Ekspor data

Pelanggan

Detail kontak eksportir data

Alamat yang terdaftar di akun Pelanggan, atau alamat email pemilik akun Pelanggan, atau alamat email yang dipilih Pelanggan untuk menerima pemberitahuan berdasarkan Perjanjian.

Peran eksportir data

Peran ekspor data dijelaskan dalam Bagian 4 DPA.

Tanda tangan dan tanggal

Jika dan ketika berlaku, pengekspor data dianggap telah menandatangani Klausul Kontrak Standar yang tercantum di sini mulai Tanggal Efektif DPA.

Pengimpor data

Penyedia

Rincian kontak pengimpor data

Pejabat Perlindungan Data - privacy@bird.com

Peran pengimpor data

Pengimpor data bertindak sebagai pemroses data.

Tanda tangan dan tanggal

Jika dan ketika berlaku, pengimpor data dianggap telah menandatangani Klausul Kontrak Standar yang dimasukkan di sini sejak Tanggal Efektif DPA.

Lampiran I, Bagian B. Deskripsi tentang Transfer

1. Kategori subjek data yang data Pribadinya ditransfer.

Pengguna. Kontak person (individu) atau karyawan, kontraktor atau pekerja sementara (saat ini, prospektif, mantan) dari Pelanggan yang menggunakan Layanan (“Pengguna”);

Pelanggan Akhir. Setiap individu (i) yang detail kontaknya termasuk dalam daftar kontak Pelanggan; (ii) yang informasinya disimpan atau dikumpulkan melalui Layanan, atau (ii) yang Pelanggan kirim komunikasi atau terlibat atau berkomunikasi dengan melalui Layanan (secara kolektif, “Pelanggan Akhir”). Anda sebagai Pelanggan sepenuhnya menentukan kategori subjek data yang termasuk dalam komunikasi yang dikirim melalui platform komunikasi kami.

2. Kategori Data Pribadi yang dipindahkan

Data Pribadi Pelanggan yang terkandung dalam, konten komunikasi, data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan.

Konten komunikasi, yang dapat mencakup Data Pribadi atau karakteristik yang dipersonalisasi lainnya, tergantung pada konten komunikasi yang ditentukan oleh Anda sebagai Pelanggan.
Data lalu lintas, yang dapat mencakup Data Pribadi Pelanggan tentang pengaturan, durasi, atau waktu komunikasi seperti panggilan suara, SMS, atau email, apakah itu terkait dengan individu atau perusahaan.
Data Pengguna Akhir, seperti nomor telepon, alamat email, nama depan, nama belakang, nama profil, negara, pengenal saluran.
Data penggunaan pelanggan, dapat berisi data yang dapat dihubungkan dengan Anda sebagai individu yang termasuk dalam data statistik dan informasi terkait dengan akun dan aktivitas layanan Anda, wawasan terkait layanan, dan laporan analitik mengenai komunikasi yang dikirim dan dukungan pelanggan.

3. Data sensitif yang ditransfer

Data sensitif yang ditransfer (jika berlaku) dan penerapan pembatasan atau langkah-langkah perlindungan yang sepenuhnya mempertimbangkan sifat data dan risiko yang terlibat, seperti misalnya pembatasan tujuan yang ketat, pembatasan akses (termasuk akses hanya untuk personel yang telah mengikuti pelatihan khusus), menyimpan catatan akses ke data, pembatasan untuk transfer lanjutan atau langkah-langkah keamanan tambahan.

Konten komunikasi. Data sensitif mungkin, dari waktu ke waktu, diproses melalui Layanan di mana Anda atau Pengguna Akhir Anda memilih untuk menyertakan data sensitif dalam komunikasi yang ditransmisikan menggunakan Layanan. Anda bertanggung jawab untuk memastikan bahwa langkah-langkah perlindungan yang sesuai telah diterapkan sebelum mentransmisikan atau memproses, atau sebelum mengizinkan Pengguna Akhir Anda untuk mentransmisikan atau memproses data sensitif apa pun melalui Layanan, sesuai dengan Pasal 3.2 dari Perjanjian.
Data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan. Tidak ada data sensitif yang terkandung dalam data lalu lintas, data Pengguna Akhir, atau data penggunaan pelanggan.

4. Frekuensi transfer

Frekuensi transfer (misalnya, apakah data ditransfer sekali atau secara terus-menerus): Data Pribadi Pelanggan ditransfer secara terus-menerus selama periode Perjanjian.

5. Sifat pemrosesan

Kami akan memproses Data Pribadi Pelanggan sejauh yang diperlukan untuk menyediakan Layanan berdasarkan Perjanjian. Kami tidak menjual Data Pribadi apapun, termasuk Data Pribadi Pelanggan, dan tidak membagikan Data Pribadi dengan pihak ketiga untuk kompensasi atau untuk kepentingan bisnis pihak ketiga tersebut.

6. Tujuan(s) transfer data dan pemrosesan lanjut

Kami akan memproses Data Pribadi Pelanggan sebagai pemroses data sesuai dengan instruksi Pelanggan sebagaimana diatur dalam DPA ini, kecuali pemrosesan diperlukan untuk kepatuhan terhadap kewajiban hukum yang kami patuhi, dalam hal ini kami akan mengklasifikasikan sebagai pengendali data.

Konten komunikasi, data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan. Data Pribadi yang terdapat dalam konten komunikasi, data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan akan dikenakan kegiatan pemrosesan dasar berikut:

Konten komunikasi. Penyediaan produk dan layanan komunikasi yang dapat diprogram, ditawarkan dalam bentuk antarmuka pemrograman aplikasi (API) atau melalui Dasbor, kepada Pelanggan, termasuk pengiriman dari atau ke aplikasi perangkat lunak Pelanggan dari atau ke platform komunikasi kami, dan jaringan komunikasi lainnya.
Data lalu lintas. Data lalu lintas diproses dengan tujuan mentransmisikan komunikasi di jaringan komunikasi elektronik atau untuk penagihan terkait komunikasi tersebut. Ini mungkin termasuk Data Pribadi Pelanggan tentang routing, durasi atau waktu komunikasi seperti panggilan suara, SMS, atau email, terlepas dari apakah itu terkait dengan individu atau perusahaan.
Data Pengguna Akhir. Data Pribadi Pengguna Akhir diperlukan untuk melaksanakan Layanan dan hanya akan diproses untuk tujuan pengiriman komunikasi, dukungan pelanggan, dan memastikan kepatuhan terhadap kewajiban hukum kami.
Data penggunaan pelanggan. Data Pribadi yang terdapat dalam data penggunaan pelanggan akan dikenakan kegiatan pemrosesan untuk penyediaan Layanan berdasarkan Perjanjian, dengan tujuan memberikan wawasan dan laporan analitik terkait Layanan kepada Pelanggan sehubungan dengan komunikasi yang dikirim, dukungan pelanggan, dan perbaikan berkelanjutan dari Layanan.

7. Periode Retensi Data Pribadi

Periode di mana Data Pribadi akan disimpan, atau, jika itu tidak memungkinkan, kriteria yang digunakan untuk menentukan periode tersebut: Konten komunikasi dan data lalu lintas. Untuk konten komunikasi dan data lalu lintas yang terdapat dalam Layanan SMS dan Suara berlaku periode penyimpanan selama enam bulan; Untuk Layanan Video, konten komunikasi dan data lalu lintas disimpan selama minimum 30 hari hingga durasi yang disepakati dengan Anda; Untuk layanan Email, konten komunikasi dan data lalu lintas disimpan selama 72 jam; Untuk semua layanan lainnya, konten komunikasi dan data lalu lintas disimpan selama durasi Layanan, kecuali jika Anda menghapus konten komunikasi atau data lalu lintas melalui langkah teknis dan organisasi yang disediakan untuk Anda melalui Layanan. Data Pengguna Akhir. Data Pengguna Akhir akan diproses selama durasi yang ditentukan oleh Pelanggan, ketika Data Pengguna Akhir termasuk dalam profil kontak Anda, periode retensi default adalah selama durasi Layanan, tunduk pada Bagian 6(c) dari Lampiran I, Bagian B. Data penggunaan pelanggan. Setelah pemutusan Perjanjian, kami dapat menyimpan, menggunakan, dan mengungkapkan Data Penggunaan Pelanggan untuk tujuan yang diatur dalam Bagian 6(d) dari Lampiran I, Bagian B, tunduk pada kewajiban kerahasiaan yang ditetapkan dalam Perjanjian. Kami akan menganonimkan atau menghapus data penggunaan pelanggan ketika kami tidak lagi membutuhkannya untuk tujuan yang diatur dalam Bagian 6(d) dari Lampiran I, Bagian B.

7. Penyimpanan Data Pribadi

Periode di mana Data Pribadi akan disimpan, atau, jika itu tidak mungkin, kriteria yang digunakan untuk menentukan periode tersebut:

Konten komunikasi dan data lalu lintas;
Untuk konten komunikasi dan data lalu lintas yang terdapat dalam Layanan SMS dan Suara, periode penyimpanan yang berlaku adalah enam bulan;
Untuk Layanan Video, konten komunikasi dan data lalu lintas disimpan selama minimal 30 hari hingga durasi yang disepakati dengan Anda;
Untuk layanan Email, konten komunikasi dan data lalu lintas disimpan selama 72 jam;
Untuk semua layanan lainnya, konten komunikasi dan data lalu lintas disimpan selama durasi Layanan, kecuali jika Anda menghapus konten komunikasi atau data lalu lintas melalui langkah teknis dan organisasi yang diberikan kepada Anda melalui Layanan.
Data Pengguna Akhir akan diproses untuk durasi yang ditentukan oleh Pelanggan, ketika Data Pengguna Akhir termasuk dalam profil kontak Anda, periode penyimpanan default adalah untuk durasi Layanan, tergantung pada Pasal 6(c) dari Lampiran I, Bagian B.
Data penggunaan Pelanggan: Setelah terminasi Perjanjian, kami dapat menyimpan, menggunakan, dan mengungkapkan Data Penggunaan Pelanggan untuk tujuan yang diatur dalam Pasal 6(d) dari Lampiran I, Bagian B, dengan tunduk pada kewajiban kerahasiaan yang diatur dalam Perjanjian. Kami akan menganonimkan atau menghapus data penggunaan pelanggan ketika kami tidak lagi membutuhkannya untuk tujuan yang diatur dalam Pasal 6(d) dari Lampiran I, Bagian B.

8. Untuk transfer ke (Sub-)prosesor

Untuk transfer ke (Sub-)prosesor, juga sebutkan pokok bahasan, sifat, dan durasi pemrosesan: Untuk transfer ke Sub-prosesor, pokok bahasan dan sifat pemrosesan dijelaskan dalam ikhtisar kami tentang Sub-prosesor dan durasinya adalah selama Perjanjian.

Lampiran I, Bagian C. Otoritas Pengawas yang Kompeten

Otoritas Perlindungan Data Belanda (Autoriteit Persoonsgegevens) akan menjadi otoritas pengawas yang berwenang.

LAMPIRAN II - Langkah-Jangkah Keamanan Teknis dan Organisasi

Jika berlaku, Lampiran II ini akan berfungsi sebagai Lampiran II untuk Klausul Kontraktual Standar. Berikut memberikan informasi lebih lanjut mengenai langkah-langkah keamanan teknis dan organisasi kami yang diatur di bawah.

Langkah-Langkah Keamanan Teknis dan Organisasi

Tindakan pseudonimisasi dan perlindungan Data Pribadi dalam penyimpanan dan transit:

Semua Data Pribadi dienkripsi dalam perjalanan dan saat penyimpanan, dan, sejauh relevan dari sudut pandang keamanan, diperlakukan seolah-olah diklasifikasikan sebagai data sensitif. Informasi selalu ditransmisikan melalui TLS dengan metodologi enkripsi terkini secara default.

Langkah-langkah untuk memastikan kerahasiaan, integritas, dan ketersediaan serta ketahanan sistem dan layanan pemrosesan yang berkelanjutan:

Kami masuk ke dalam perjanjian yang memuat ketentuan kerahasiaan dengan karyawan, kontraktor, vendor, dan Sub-prosesor kami. Kebijakan keberlangsungan bisnis kami adalah mempersiapkan bisnis dan layanan kami dalam hal gangguan berkepanjangan yang disebabkan oleh faktor di luar kendali kami dan mengembalikan layanan secepat mungkin dalam kerangka waktu minimum. Kami memahami bahwa layanan yang kami berikan sangat penting bagi pelanggan kami dan oleh karena itu memiliki toleransi yang sangat sedikit terhadap gangguan layanan. Kerangka waktu pemulihan kami dirancang untuk memastikan kami dapat memenuhi kewajiban kami kepada semua pelanggan kami.

Proses untuk pengujian reguler, penilaian, dan evaluasi efektivitas langkah-langkah teknis dan organisasi untuk memastikan keamanan pemrosesan:

Tujuan dari keamanan informasi dan Sistem Manajemen Keamanan Informasi kami (ISMS) adalah untuk melindungi kerahasiaan, integritas, dan ketersediaan informasi bagi organisasi, karyawan, mitra, pelanggan, dan sistem informasi (yang berwenang), serta meminimalkan risiko kerusakan yang mungkin terjadi dengan mencegah insiden keamanan dan mengelola ancaman serta kerentanan keamanan. Tim Hukum kami, Pejabat Perlindungan Data, dan Tim Keamanan memastikan bahwa peraturan dan standar yang berlaku dipertimbangkan dalam kerangka kerja keamanan kami.

Langkah-langkah untuk identifikasi dan otorisasi pengguna:

Kami mengikuti prinsip "perlu tahu" dan "hak paling sedikit". Kami mendorong penggunaan kontrol akses berbasis peran. Provisioning dan deprovisioning diawasi oleh tim keamanan, dengan Single-Sign-On dan 2FA secara default. Pemilik telah ditentukan untuk setiap aset informasi yang bertanggung jawab untuk memastikan akses ke sistem mereka tepat dan ditinjau secara rutin. Setiap kali menangani informasi sensitif atau mengambil tindakan kritis, kami menggunakan prinsip empat mata.

Langkah-langkah untuk memastikan pencatatan acara:

Log audit disimpan dan dipantau secara terpusat secara berkala untuk peristiwa keamanan dan disimpan dengan aman untuk menghindari risiko pemalsuan. Kebijakan Manajemen Insiden menegakkan rencana respons insiden dan prosedurnya. Pedoman ini diikuti jika terjadi jenis insiden keamanan atau teknis.

Langkah-langkah untuk memastikan konfigurasi sistem, termasuk konfigurasi default:

Kami mengikuti proses manajemen perubahan yang konsisten untuk semua perubahan pada lingkungan produksi dari Platform Komunikasi sebagai Layanan. Untuk menjelaskan lebih lanjut, semua permintaan untuk perubahan (RFC) perlu disetujui oleh pihak yang ditunjuk dan dilaksanakan sesuai dengan proses kontrol perubahan formal. Proses kontrol memastikan bahwa perubahan yang diusulkan ditinjau, disetujui, diuji, dilaksanakan, dan dirilis dengan cara yang terkontrol; dan bahwa status setiap perubahan yang diusulkan dipantau. Baseline konfigurasi diikuti untuk mengonfigurasi sistem dengan aman dengan mengikuti praktik terbaik. Juga, di dalam departemen Teknik, radar teknologi digunakan untuk mendefinisikan teknologi mana (bahasa, alat platform, basis data, dan alat manajemen data) yang dapat diadopsi atau perlu dihindari selama pengembangan.

Langkah-langkah untuk keamanan fisik

Kami secara aktif mempromosikan kebijakan "Bekerja dari Mana Saja" sehingga karyawan kami bebas untuk bekerja dari mana saja yang mereka inginkan. Namun, kami masih memiliki gedung kantor. Kami tidak memiliki area aman/centra data di gedung kami karena kami adalah perusahaan yang sepenuhnya berbasis awan. Lantai kantor kami dilindungi oleh kontrol akses fisik, CCTV, dan keamanan yang dijaga.

Langkah-langkah untuk tata kelola dan manajemen IT serta keamanan IT internal:

Kami mempertahankan program keamanan penilaian berbasis risiko, yang mencakup perlindungan administratif, organisasi, teknis, dan fisik yang dirancang untuk melindungi Layanan serta kerahasiaan, integritas, dan ketersediaan Data Pelanggan. Program keamanan informasi kami disusun dengan cara yang sistematis dan terorganisir dengan baik. Selain itu, persyaratan hukum dan regulasi berlaku untuk memastikan kerahasiaan, integritas, dan ketersediaan informasi bagi organisasi, karyawan, mitra, dan pelanggan. Semua ini diterjemahkan ke dalam kebijakan, prosedur, dan pedoman keamanan informasi kami. Kami memiliki Komite Pengarah Keamanan yang bertanggung jawab untuk tingkat taktis keamanan informasi. Ini meliputi koordinasi kegiatan keamanan informasi dan penerjemahan kegiatan strategis menjadi kegiatan operasional untuk keamanan kami, serta pemeliharaan kepatuhan regulasi yang berkelanjutan. Semua karyawan bertanggung jawab untuk menjaga aset perusahaan. Semua karyawan kami disaring untuk keahlian, pengalaman, dan integritas. Karyawan diinformasikan tentang keamanan dan perlindungan data pada tahap perekrutan, serta melalui pelatihan spesifik tim secara reguler, dan presentasi semua-karyawan di seluruh perusahaan tentang pentingnya perlindungan data dan kepatuhan keamanan. Kami bersertifikat ISO 27001, standar keamanan informasi yang diakui secara global untuk Sistem Manajemen Keamanan Informasi (ISMS).

Semua penyedia hosting kami bersertifikat ISO 27001.
Kami juga terdaftar di Otoritas Belanda untuk Konsumen dan Pasar. Ini berarti kami selalu bertanggung jawab dan sepenuhnya transparan dengan klien kami.
Kami adalah Anggota Asosiasi dari Groupe Speciale Mobile Association (GSMA). GSMA mewakili kepentingan operator seluler di seluruh dunia.
Kami selalu mengikuti semua hukum dan regulasi yang berlaku, termasuk Peraturan Perlindungan Data Umum, dan Kerangka Perlindungan Data EU-AS.

Langkah-langkah untuk sertifikasi/jaminan proses dan produk:

Kami menjalani pengawasan yang ketat serta audit sertifikasi sebagai bagian dari kepatuhan ISO/IEC 27001 kami, dan secara teratur melakukan pengujian kerentanan aplikasi dan pengujian penetrasi.

Langkah-langkah untuk memastikan akuntabilitas:

kami menerapkan kebijakan keamanan informasi dan perlindungan data sesuai dengan hukum yang berlaku dan menerbitkan gambaran umum informasi ISMS kami yang relevan (link). Kami telah menunjuk seorang Direktur Keamanan, Pejabat Keamanan Informasi, Pejabat Kepatuhan, dan Pejabat Perlindungan Data, serta mempertahankan dokumentasi dari aktivitas pemrosesan kami, termasuk mencatat dan melaporkan insiden keamanan yang melibatkan Data Pribadi jika berlaku.

Langkah-langkah untuk memastikan penghapusan data:

Kami memastikan penghapusan data melalui proses penghapusan otomatis dalam lingkungan komunikasi dan infrastruktur kami. Proses penghapusan data ini memastikan bahwa semua data yang tidak lagi diperlukan untuk memenuhi tujuan tertentu dihapus dari sistem kami setelah pemrosesan.