Annex Pemrosesan Data ini (DPA) berlaku untuk semua pemrosesan data pribadi pada pengguna akhir yang Anda (Pelanggan) berikan kepada MessageBird B.V. (MessageBird) melalui layanan MessageBird yang didefinisikan secara terpisah dalam perjanjian terpisah (Layanan). DPA ini berlaku sebagai tambahan terhadap Syarat dan Ketentuan Umum MessageBird atau Perjanjian Layanan Utama, mana yang berlaku (Perjanjian) untuk Pelanggan dan MessageBird (bersama-sama: Pihak). Dalam hal terdapat konflik atau ketidaksesuaian antara ketentuan-ketentuan dalam Perjanjian dan DPA ini, DPA yang akan berlaku.

Istilah seperti “data pribadi”, “pemrosesan”, “pengendali data”, “prosesor data”, “pelanggaran data pribadi”, dll. akan memiliki arti yang ditetapkan dalam undang-undang perlindungan data yang berlaku (Undang-Undang Perlindungan Data), kecuali untuk definisi dari (sub-)prosesor yang secara eksplisit mengecualikan penyedia telekomunikasi dan penyedia layanan telekomunikasi lain yang dianggap perlu untuk operasi Layanan, namun, karena kenyataan bahwa pihak tersebut bertindak hanya sebagai saluran atau sebagai pengendali data independen, tidak termasuk dalam definisi prosesor data seperti yang dinyatakan dalam Undang-Undang Perlindungan Data.

Pelanggan dan MessageBird sama-sama mengakui dan memahami bahwa sehubungan dengan pemrosesan data pribadi pengguna akhir (‘subjek data’) yang Pelanggan berikan kepada MessageBird berdasarkan Layanan, MessageBird adalah prosesor data.

1. Pelanggan dengan ini menginstruksikan MessageBird untuk memproses data pribadi subjek data sejauh yang diperlukan untuk pelaksanaan Layanan berdasarkan Perjanjian.

1. MessageBird harus, sehubungan dengan data pribadi apapun yang diproses dalam kaitannya dengan Layanan:

   1. memproses data pribadi hanya berdasarkan instruksi tertulis dari Pelanggan, kecuali diwajibkan sebaliknya oleh undang-undang dari anggota mana pun dari Uni Eropa atau oleh undang-undang Uni Eropa yang berlaku untuk MessageBird untuk memproses data pribadi;

   2. hanya memberikan akses kepada personel yang ‘perlu tahu’ terhadap data pribadi dan memastikan bahwa semua personel tersebut yang memiliki akses atau memproses data pribadi berada di bawah kewajiban hukum untuk menjaga kerahasiaan data pribadi;

   3. mengambil tindakan teknis dan organisasi yang tepat untuk melindungi data pribadi terhadap pemrosesan yang tidak sah atau melawan hukum dan terhadap kehilangan, penghancuran, kerusakan, perubahan, atau pengungkapan yang tidak sengaja. Tindakan ini harus sesuai dengan tingkat risiko yang ditimbulkan oleh pemrosesan (dan dengan memperhatikan sifat data pribadi) dan terhadap kerugian yang mungkin timbul dari pelanggaran data pribadi yang mempengaruhi data pribadi;

   4. memberikan bantuan kepada Pelanggan sesuai yang wajar diminta oleh Pelanggan untuk memungkinkan Pelanggan memenuhi kewajiban Pelanggan berdasarkan Undang-Undang Perlindungan Data, termasuk pemberitahuan tentang pelanggaran data pribadi, keamanan pemrosesan dan membantu Pelanggan dalam pelaksanaan penilaian dampak perlindungan data yang relevan;

   5. memberikan bantuan yang wajar kepada Pelanggan untuk memungkinkan Pelanggan memenuhi kewajibannya kepada subjek data yang menjalankan hak-hak mereka berdasarkan Undang-Undang Perlindungan Data. MessageBird akan menyediakan tindakan teknis dan organisasi untuk memungkinkan Pelanggan memenuhi kewajiban ini melalui akun Pelanggan atau API khusus. Pelanggan dengan ini mengakui dan setuju bahwa permintaan yang dikirim oleh Pelanggan melalui email tidak dianggap sebagai sarana yang valid untuk menjalankan haknya dan bahwa permintaan semacam itu tidak akan diproses oleh MessageBird. Untuk menghindari keraguan, Pelanggan sebagai pengendali data bertanggung jawab untuk memproses permintaan atau keluhan dari subjek data berkaitan dengan data pribadi subjek data;

   6. atas pilihan Pelanggan, menghapus atau mengembalikan data pribadi dan salinannya kepada Pelanggan pada saat berakhirnya perjanjian Pelanggan dengan MessageBird, kecuali diwajibkan sebaliknya oleh undang-undang yang berlaku;

   7. memelihara catatan sebagaimana diwajibkan di bawah Undang-Undang Perlindungan Data mengenai kegiatan pemrosesan yang dilakukan berdasarkan Perjanjian dan DPA ini;

   8. setidaknya setiap dua tahun, mengaudit keamanan dan kegiatan pemrosesan data pribadi MessageBird, dan memberikan Pelanggan (secara rahasia), atas permintaan tertulisnya, dengan ringkasan atau deskripsi hasil audit tersebut. Sebuah ringkasan laporan audit ISO 27001:2013 akan dianggap memenuhi permintaan Pelanggan. Untuk menghindari keraguan, audit dapat merupakan audit internal, atau audit yang dilakukan oleh pihak ketiga, keputusan tersebut akan, namun, berada di dalam kebijakan mutlak MessageBird;

   9. jika ringkasan atau deskripsi hasil audit yang diberikan oleh MessageBird kepada Pelanggan berdasarkan pasal 2(h) DPA ini memberikan Pelanggan alasan yang substansial untuk percaya bahwa MessageBird melanggar kewajibannya berdasarkan DPA ini yang terkait dengan data pribadi yang diberikan oleh Pelanggan, mengizinkan pihak ketiga independen dan berkualitas yang ditunjuk oleh Pelanggan dan disetujui oleh MessageBird, untuk mengaudit kegiatan pemrosesan data pribadi yang berlaku dari MessageBird, dengan syarat bahwa ketentuan di bawah Klausul 3 dari Annex ini dipenuhi; dan,

   10. memberitahu Pelanggan secepat mungkin jika MessageBird menerima pemberitahuan atau komunikasi dari badan pemerintah atau regulasi yang berkaitan langsung dengan pemrosesan data pribadi, sebagaimana diperintahkan dan disediakan oleh Pelanggan, oleh MessageBird atau (sub-)prosesornya kecuali pemberitahuan atau komunikasi semacam itu dilarang oleh hukum.

1. Pelanggan harus:

   1. memberitahu MessageBird setidaknya dua (2) bulan sebelum melaksanakan hak audit Pelanggan di bawah pasal 2(i) DPA ini;

   2. memastikan bahwa setiap audit tidak mengganggu secara tidak wajar operasi bisnis MessageBird; dan,

   3. menanggung dan membayar semua biaya audit tersebut.

1. Jika Pelanggan bertindak sebagai pengendali data, Pelanggan menjamin bahwa semua kegiatan pemrosesan adalah sah, memiliki tujuan tertentu dan setiap pemberitahuan dan persetujuan yang diperlukan atau dasar hukum lain yang sesuai telah tersedia untuk memungkinkan pemindahan data pribadi yang sah. Jika Pelanggan adalah prosesor data (dalam hal ini MessageBird akan menjadi sub-prosesor), Pelanggan memastikan bahwa pengendali data yang relevan menjamin bahwa syarat-syarat yang tercantum dalam klausul ini dipenuhi.

1. Mengingat sifat Layanan, penggunaan Layanan oleh Pelanggan dan pengguna akhir Pelanggan mungkin memerlukan pemindahan data pribadi di luar EEA; ketika pelaksanaan Layanan melibatkan pemindahan data pribadi kepada (sub-)prosesor di luar EEA, Pelanggan dengan ini memberikan mandat kepada MessageBird untuk masa semua perjanjian yang ada antara Pelanggan dan MessageBird untuk memasuki Klausul Kontrak Model UE dengan (sub-)prosesor di luar EEA atas nama Pelanggan, jika tidak ada mekanisme pemindahan yang tepat di bawah Undang-Undang Perlindungan Data yang berlaku.

1. Dengan cara ini Klausul Pelanggan memberikan MessageBird otorisasi tertulis umum untuk engagement pihak ketiga lainnya sebagai (sub-)prosesor baru untuk pemrosesan data pribadi, tergantung pada syarat-syarat Annex ini. MessageBird tidak akan melibatkan (sub-)prosesor dalam pemrosesan data pribadi di bawah Perjanjian ini tanpa memberitahu sebelumnya Pelanggan tentang perubahan yang dimaksud berkaitan dengan tambahan atau penggantian prosesor lain, memberikan Pelanggan kesempatan untuk menolak perubahan tersebut. 

1. Pelanggan dapat menolak terhadap (sub-)prosesor baru yang semacam itu hanya atas dasar alasan yang wajar yang berkaitan dengan perlindungan data dengan mengakhiri Perjanjian dan Annex ini. Hak pengakhiran ini adalah satu-satunya dan eksklusif pemulihan bagi Pelanggan jika Pelanggan menolak terhadap (sub-)prosesor baru tersebut.

1. Pelanggan secara khusus menyetujui keterlibatan entitas yang tercantum di https://www.messagebird.com/en-gb/legal/privacy#processorList sebagai (sub-)prosesor MessageBird untuk pemrosesan data pribadi. MessageBird harus memperbarui daftar (sub-)prosesor ketika (sub-)prosesor baru untuk pemrosesan data pribadi terlibat.

1. MessageBird akan mengambil semua langkah kontraktual yang tersedia dan tepat untuk memastikan bahwa ketika (sub-)prosesor terlibat:

   1. (sub-)prosesor hanya akan memproses data pribadi jika pemrosesan tersebut diperlukan untuk pelaksanaan Layanan atau bagian daripadanya;

   2. kewajiban perlindungan data yang memberikan perlindungan serupa seperti yang ada dalam DPA ini harus diberlakukan pada (sub-)prosesor dengan cara kontrak atau tindakan hukum lainnya di bawah hukum UE atau Negara Anggota, khususnya memberikan jaminan yang memadai untuk melaksanakan tindakan teknis dan organisasi yang sesuai dengan cara yang memungkinkan pemrosesan memenuhi syarat Undang-Undang Perlindungan Data; dan;

   3. MessageBird tetap bertanggung jawab kepada Pelanggan berdasarkan DPA ini untuk pelaksanaan kewajiban dari (sub-)prosesornya.

1. Rincian pemrosesan:

   1. Pokok dan tujuan pemrosesan: penyediaan Layanan MessageBird kepada Pelanggan.

   2. Kategori data pribadi: informasi tentang pengguna akhir yang Pelanggan berikan kepada MessageBird melalui Layanan.

   3. Kategori subjek data: subjek data mencakup pelanggan dari Pelanggan, karyawan, pemasok, dan setiap orang fisik lainnya yang merupakan pengguna akhir layanan komunikasi, dari mana Pelanggan memberikan data pribadi melalui Layanan.

   4. Durasi pemrosesan: data pribadi akan diproses selama yang diperlukan untuk pelaksanaan Layanan, atau sebagaimana diwajibkan berdasarkan hukum yang berlaku.

1. Annex Pemrosesan Data ini diatur oleh undang-undang Belanda, dan Pihak menyerahkan kepada yurisdiksi eksklusif pengadilan Amsterdam untuk semua tujuan yang terkait dengan DPA ini, termasuk penegakan setiap putusan atau keputusan yang dibuat berdasarkan atau sehubungan dengannya.