Lampiran Pemrosesan Data 2019

Lampiran Pemrosesan Data ini (DPA) berlaku untuk semua pemrosesan data pribadi pada pengguna akhir yang Anda (Pelanggan) berikan kepada MessageBird B.V. (MessageBird) melalui layanan MessageBird seperti yang ditetapkan secara terpisah dalam perjanjian terpisah (Layanan). DPA ini berlaku selain Syarat dan Ketentuan Umum dari MessageBird atau Perjanjian Layanan Utama, mana pun yang berlaku (Perjanjian) untuk Pelanggan dan MessageBird (bersama-sama disebut: Pihak). Jika terjadi konflik atau ketidakkonsistenan antara ketentuan dalam Perjanjian dan DPA ini, maka DPA akan lebih diutamakan.

Istilah seperti "data pribadi", "pemrosesan", "pengendali data", "pengolah data", "pelanggaran data pribadi" dll. akan memiliki arti yang diberikan kepada mereka di bawah peraturan perlindungan data yang berlaku (Legislasi Perlindungan Data), kecuali untuk definisi dari (sub-)pengolah yang secara eksplisit mengecualikan operator telekomunikasi dan penyedia layanan telekomunikasi lainnya yang dianggap perlu untuk pengoperasian Layanan, namun, karena pihak tersebut bertindak hanya sebagai perantara atau sebagai pengendali data independen, tidak termasuk dalam definisi pengolah data seperti yang dinyatakan dalam Legislasi Perlindungan Data.

Pelanggan dan MessageBird sama-sama mengakui dan memahami bahwa sehubungan dengan pemrosesan data pribadi pengguna akhir ('subjek data') yang Pelanggan berikan kepada MessageBird berdasarkan Layanan, MessageBird adalah pengolah data.

1. Pelanggan dengan ini memberikan instruksi kepada MessageBird untuk memproses data pribadi subjek data sejauh yang diperlukan untuk pelaksanaan Layanan di bawah Perjanjian.

1. MessageBird harus, sehubungan dengan setiap data pribadi yang diproses sehubungan dengan Layanan:

   1. memproses data pribadi hanya berdasarkan instruksi yang didokumentasikan dari Pelanggan, kecuali diwajibkan lain oleh hukum dari setiap anggota Uni Eropa atau oleh hukum Uni Eropa yang berlaku untuk MessageBird untuk memproses data pribadi;

   2. hanya menyediakan personel dengan akses 'perlu tahu' ke data pribadi dan memastikan bahwa semua personel yang memiliki akses ke atau memproses data pribadi berada di bawah kewajiban hukum untuk menjaga kerahasiaan data pribadi;

   3. mengambil tindakan teknis dan organisasi yang sesuai untuk melindungi data pribadi terhadap pemrosesan yang tidak sah atau melanggar hukum dan dari kehilangan, kehancuran, kerusakan, perubahan, atau pengungkapan yang tidak disengaja. Langkah-langkah ini harus sesuai dengan tingkat risiko yang ditimbulkan oleh pemrosesan (dan dengan mempertimbangkan sifat data pribadi) dan kerugian yang mungkin timbul dari pelanggaran data pribadi yang mempengaruhi data pribadi;

   4. memberikan Pelanggan bantuan apa pun yang secara wajar diminta oleh Pelanggan untuk memungkinkan Pelanggan mematuhi kewajiban Pelanggan berdasarkan Legislasi Perlindungan Data, termasuk pemberitahuan pelanggaran data pribadi, keamanan pemrosesan, dan membantu Pelanggan dengan pelaksanaan penilaian dampak perlindungan data yang relevan;

   5. memberikan Pelanggan bantuan yang wajar untuk memungkinkan Pelanggan mematuhi kewajiban kepada subjek data yang menjalankan hak mereka berdasarkan Legislasi Perlindungan Data. MessageBird akan menyediakan tindakan teknis dan organisasi untuk memungkinkan Pelanggan memenuhi kewajiban ini melalui akun Pelanggan atau API yang didedikasikan. Pelanggan dengan ini mengakui dan setuju bahwa permintaan yang dikirim oleh Pelanggan melalui email tidak dianggap sebagai cara yang sah untuk menjalankan hak-haknya dan permintaan tersebut tidak akan diproses oleh MessageBird. Untuk menghindari keraguan, Pelanggan sebagai pengendali data bertanggung jawab untuk memproses setiap permintaan atau keluhan dari subjek data sehubungan dengan data pribadi dari subjek data;

   6. atas pilihan Pelanggan, menghapus atau mengembalikan data pribadi dan salinannya kepada Pelanggan setelah berakhirnya perjanjian Pelanggan dengan MessageBird, kecuali diwajibkan lain oleh undang-undang yang berlaku secara wajib;

   7. memelihara catatan yang diperlukan di bawah Legislasi Perlindungan Data dari aktivitas pemrosesan yang dilakukan di bawah Perjanjian dan DPA ini;

   8. setidaknya setiap dua tahun sekali, mengaudit keamanan dan kegiatan pemrosesan data pribadi dari MessageBird, dan memberikan Pelanggan (secara rahasia), atas permintaan tertulisnya, dengan ringkasan atau deskripsi hasil dari audit tersebut. Ringkasan dari laporan audit ISO 27001:2013 akan dianggap memenuhi permintaan Pelanggan. Untuk menghindari keraguan, audit dapat berupa audit internal, atau audit yang dilakukan oleh pihak ketiga, yang keputusan tersebut, bagaimanapun, berada pada kebijakan tunggal MessageBird;

   9. jika ringkasan atau deskripsi hasil dari audit yang disediakan oleh MessageBird kepada Pelanggan sesuai paragraf 2(h) dari DPA ini memberikan alasan yang substansial bagi Pelanggan untuk percaya bahwa MessageBird melanggar kewajibannya di bawah DPA ini yang terkait dengan data pribadi yang disediakan oleh Pelanggan, memungkinkan pihak ketiga independen dan berkualifikasi yang ditunjuk oleh Pelanggan dan disetujui oleh MessageBird, untuk mengaudit kegiatan pemrosesan data pribadi yang berlaku dari MessageBird, asalkan ketentuan di bawah Klausul 3 dari Lampiran ini terpenuhi; dan,

   10. memberitahu Pelanggan secepat mungkin jika MessageBird menerima pemberitahuan atau komunikasi dari badan pemerintah atau pengatur yang secara langsung terkait dengan pemrosesan data pribadi, sebagaimana diinstruksikan dan disediakan oleh Pelanggan, oleh MessageBird atau (sub-)pengolahnya kecuali pemberitahuan atau komunikasi tersebut dilarang oleh hukum.

1. Pelanggan harus:

   1. memberitahu MessageBird setidaknya dua (2) bulan sebelum menggunakan hak audit Pelanggan di bawah paragraf 2(i) dari DPA ini;

   2. memastikan bahwa audit mana pun tidak mengganggu operasi bisnis MessageBird secara tidak wajar; dan,

   3. menanggung dan membayar semua biaya audit tersebut.

1. Jika Pelanggan bertindak sebagai pengendali data, Pelanggan menjamin bahwa semua kegiatan pemrosesan adalah sah, memiliki tujuan tertentu dan pemberitahuan serta persetujuan yang diperlukan atau dasar hukum lain yang tepat ada untuk memungkinkan pengalihan data pribadi secara sah. Jika Pelanggan adalah pengolah data (dalam hal ini MessageBird akan menjadi sub-pengolah), Pelanggan memastikan bahwa pengendali data yang relevan menjamin bahwa persyaratan yang terdaftar dalam klausul ini terpenuhi.

1. Dikarenakan sifat Layanan, penggunaan Layanan oleh Pelanggan dan pengguna akhir Pelanggan mungkin memerlukan transfer data pribadi di luar EEA; ketika pelaksanaan Layanan melibatkan transfer data pribadi ke (sub-)pengolah di luar EEA, Pelanggan dengan ini memberikan mandat kepada MessageBird untuk jangka waktu semua perjanjian yang ada antara Pelanggan dan MessageBird untuk menandatangani Klausul Kontrak Model UE dengan (sub-)pengolah di luar EEA atas nama Pelanggan, jika tidak terdapat mekanisme pengalihan yang tepat lainnya di bawah Legislasi Perlindungan Data yang berlaku.

1. Dengan cara Klausul ini Pelanggan memberikan otorisasi tertulis umum kepada MessageBird untuk melibatkan pihak ketiga lainnya sebagai (sub-)pengolah baru untuk pemrosesan data pribadi, tergantung pada ketentuan Lampiran ini. MessageBird tidak akan melibatkan pengolah lain dalam pemrosesan data pribadi di bawah Perjanjian ini tanpa pemberitahuan sebelumnya kepada Pelanggan tentang perubahan yang dimaksud mengenai penambahan atau penggantian pengolah lain, sehingga memberi Pelanggan kesempatan untuk menolak perubahan tersebut. 

1. Pelanggan dapat menolak pengolah (sub-)baru tersebut hanya berdasarkan alasan yang wajar terkait dengan perlindungan data dengan mengakhiri Perjanjian dan Lampiran ini. Hak untuk mengakhiri ini adalah satu-satunya dan satu-satunya solusi dari Pelanggan jika Pelanggan menolak pengolah (sub-)baru tersebut.

1. Pelanggan secara khusus menyetujui keterlibatan entitas yang terdaftar di https://www.messagebird.com/en-gb/legal/privacy#processorList sebagai (sub-)pengolah dari MessageBird untuk memroses data pribadi. MessageBird akan memperbarui daftar (sub-)pengolah ketika (sub-)pengolah baru untuk pemrosesan data pribadi dilibatkan.

1. MessageBird akan mengambil semua tindakan kontraktual yang tersedia dan tepat untuk memastikan bahwa ketika (sub-)pengolah dilibatkan:

   1. (sub-)pengolah hanya akan memroses data pribadi jika pemrosesan tersebut diperlukan untuk pelaksanaan Layanan atau sebagian daripadanya;

   2. kewajiban perlindungan data yang memberikan perlindungan serupa seperti yang ada dalam DPA ini akan dikenakan kepada (sub-)pengolah melalui kontrak atau tindakan hukum lainnya di bawah hukum UE atau Negara Anggota, khususnya memberikan jaminan yang cukup untuk melaksanakan tindakan teknis dan organisasi yang tepat sehingga pemrosesan akan memenuhi persyaratan Legislasi Perlindungan Data, dan;

   3. MessageBird tetap bertanggung jawab kepada Pelanggan di bawah DPA ini untuk pelaksanaan kewajiban dari (sub-)pengolahnya.

1. Detail pemrosesan:

   1. Subyek dan tujuan pemrosesan: penyediaan Layanan MessageBird kepada Pelanggan.

   2. Kategori data pribadi: informasi tentang pengguna akhir yang Pelanggan berikan kepada MessageBird melalui Layanan.

   3. Kategori subjek data: subjek data termasuk pelanggan Pelanggan, karyawan, pemasok, dan setiap orang alami lainnya yang merupakan pengguna akhir layanan komunikasi, dari siapa Pelanggan menyediakan data pribadi melalui Layanan.

   4. Durasi pemrosesan: data pribadi akan diproses selama yang diperlukan untuk pelaksanaan Layanan, atau sebagaimana yang diwajibkan di bawah hukum yang berlaku.

1. Lampiran Pemrosesan Data ini diatur oleh hukum Belanda, dan Para Pihak tunduk pada yurisdiksi eksklusif pengadilan Amsterdam untuk semua tujuan yang terhubung dengan DPA ini, termasuk penegakan penghargaan atau putusan yang dibuat di bawah atau sehubungan dengannya.