Lampiran Pemrosesan Data 2019

Data Processing Annex ini (DPA) berlaku untuk semua pemrosesan data pribadi pada pengguna akhir yang Anda (Pelanggan) berikan kepada MessageBird B.V. (MessageBird) melalui layanan MessageBird yang didefinisikan secara terpisah dalam perjanjian terpisah (Layanan). DPA ini berlaku sebagai tambahan terhadap Syarat dan Ketentuan Umum dari MessageBird atau Perjanjian Layanan Induk, mana pun yang berlaku (Perjanjian) kepada Pelanggan dan MessageBird (bersama-sama: Para Pihak). Jika terjadi konflik atau inkonsistensi antara ketentuan Perjanjian dan DPA ini, DPA ini yang akan berlaku.

Istilah-istilah seperti “data pribadi”, “pemrosesan”, “data controller”, “data processor”, “pelanggaran data pribadi” dll. harus memiliki arti yang ditugaskan kepada mereka di bawah undang-undang perlindungan data yang berlaku (Undang-undang Perlindungan Data), kecuali untuk definisi (sub-)processor yang secara eksplisit mengecualikan operator telekomunikasi dan penyedia layanan telekomunikasi lain yang dianggap perlu untuk operasi Layanan, namun, karena fakta bahwa pihak-pihak tersebut bertindak sebagai perantara semata-mata atau sebagai data controller independen, tidak termasuk dalam definisi data processor sebagaimana dinyatakan dalam Undang-undang Perlindungan Data.

Pelanggan dan MessageBird keduanya mengakui dan memahami bahwa sehubungan dengan pemrosesan data pribadi pengguna akhir ('data subject') yang disediakan oleh Pelanggan kepada MessageBird berdasarkan Layanan, MessageBird adalah data processor.

1. Pelanggan dengan ini menginstruksikan MessageBird untuk memproses data pribadi subject data sejauh yang diperlukan untuk pelaksanaan Layanan di bawah Perjanjian.

2. MessageBird harus, sehubungan dengan data pribadi apa pun yang diproses sehubungan dengan Layanan:

   1. memproses data pribadi hanya berdasarkan instruksi tertulis dari Pelanggan, kecuali ditentukan lain oleh hukum negara anggota Uni Eropa atau oleh hukum Uni Eropa yang berlaku untuk MessageBird untuk memproses data pribadi;

   2. hanya memberikan akses 'perlu tahu' kepada data pribadi kepada personil dan memastikan bahwa semua personil yang memiliki akses ke atau memproses data pribadi terikat oleh kewajiban hukum untuk menjaga kerahasiaan data pribadi;

   3. mengambil langkah-langkah teknis dan organisasi yang tepat untuk melindungi data pribadi dari pemrosesan yang tidak sah atau melanggar hukum dan terhadap hilangnya, penghancuran, kerusakan, perubahan, atau pengungkapan yang tidak disengaja. Langkah-langkah ini harus sesuai dengan tingkat risiko yang ditimbulkan oleh pemrosesan (dan mempertimbangkan sifat data pribadi) dan kerugian yang mungkin terjadi akibat pelanggaran data pribadi yang mempengaruhi data pribadi;

   4. memberikan bantuan kepada Pelanggan sebagaimana diminta sewajarnya oleh Pelanggan untuk memungkinkan Pelanggan mematuhi kewajiban Pelanggan di bawah Undang-undang Perlindungan Data, termasuk pemberitahuan pelanggaran data pribadi, keamanan pemrosesan dan membantu Pelanggan dengan pelaksanaan penilaian dampak perlindungan data yang relevan;

   5. memberikan bantuan sewajarnya kepada Pelanggan untuk memungkinkan Pelanggan memenuhi kewajibannya kepada subjek data yang menggunakan hak mereka di bawah Undang-undang Perlindungan Data. MessageBird akan menyediakan langkah-langkah teknis dan organisasi untuk memungkinkan Pelanggan memenuhi kewajiban ini melalui akun Pelanggan atau API khusus. Pelanggan dengan ini mengakui dan setuju bahwa permintaan yang dikirim oleh Pelanggan melalui email tidak dianggap sebagai sarana yang sah untuk menggunakan haknya dan bahwa permintaan semacam itu tidak akan diproses oleh MessageBird. Untuk menghindari keraguan, Pelanggan sebagai data controller bertanggung jawab untuk memproses setiap permintaan atau keluhan dari subjek data sehubungan dengan data pribadi subjek data;

   6. atas pilihan Pelanggan, menghapus atau mengembalikan data pribadi dan salinannya kepada Pelanggan pada pengakhiran perjanjian Pelanggan dengan MessageBird, kecuali diharuskan oleh hukum yang berlaku wajib;

   7. memelihara catatan yang diperlukan di bawah Undang-undang Perlindungan Data dari kegiatan pemrosesan yang dilakukan berdasarkan Perjanjian dan DPA ini;

   8. setidaknya setiap dua tahun sekali, mengaudit keamanan dan kegiatan pemrosesan data pribadi MessageBird, dan memberikan Pelanggan (secara rahasia), atas permintaan tertulisnya, dengan ringkasan atau deskripsi hasil audit tersebut. Ringkasan dari laporan audit ISO 27001:2013 akan dianggap memenuhi permintaan Pelanggan. Untuk menghindari keraguan, audit dapat berupa audit internal, atau audit yang dilakukan oleh pihak ketiga, yang mana keputusannya akan ada dalam kebijakan tunggal dari MessageBird;

   9. jika ringkasan atau deskripsi hasil audit yang diberikan oleh MessageBird kepada Pelanggan sesuai paragraf 2(h) DPA ini memberikan alasan yang diterima bagi Pelanggan untuk yakin bahwa MessageBird melanggar kewajibannya berdasarkan DPA ini terkait dengan data pribadi yang disediakan oleh Pelanggan, mengizinkan pihak ketiga yang independen dan berkualifikasi yang ditunjuk oleh Pelanggan dan disetujui oleh MessageBird, untuk mengaudit kegiatan pemrosesan data pribadi yang diterapkan oleh MessageBird, asalkan ketentuan di bawah Klausul 3 Lampiran ini terpenuhi; dan,

   10. memberitahu Pelanggan sesegera mungkin jika MessageBird menerima pemberitahuan atau komunikasi dari badan pemerintah atau regulator yang berkaitan langsung dengan pemrosesan data pribadi, seperti yang diinstruksikan dan diberikan oleh Pelanggan, oleh MessageBird atau (sub-)processornya kecuali pemberitahuan atau komunikasi tersebut dilarang oleh hukum.

3. Pelanggan harus:

   1. memberitahu MessageBird setidaknya dua (2) bulan sebelum menggunakan hak audit Pelanggan berdasarkan paragraf 2(i) DPA ini;

   2. memastikan bahwa audit apa pun tidak mengganggu operasi bisnis MessageBird secara tidak wajar; dan,

   3. menanggung dan membayar semua biaya audit semacam itu.

4. Jika Pelanggan bertindak sebagai data controller, Pelanggan menjamin bahwa semua kegiatan pemrosesan adalah sah, memiliki tujuan spesifik dan pemberitahuan serta persetujuan yang diperlukan atau dasar hukum lain yang sesuai ada untuk memungkinkan transfer data pribadi yang sah. Jika Pelanggan adalah data processor (dalam hal ini MessageBird akan menjadi sub-processor), Pelanggan memastikan bahwa data controller yang relevan menjamin bahwa kondisi yang tercantum dalam klausul ini terpenuhi.

5. Mengingat sifat Layanan, penggunaan Layanan oleh Pelanggan dan pengguna akhir Pelanggan mungkin memerlukan transfer data pribadi di luar EEA; ketika pelaksanaan Layanan melibatkan transfer data pribadi ke (sub-)processor di luar EEA, Pelanggan dengan ini memberikan mandat kepada MessageBird untuk jangka waktu semua perjanjian yang berlaku antara Pelanggan dan MessageBird untuk memasuki EU Model Contract Clauses dengan (sub-)processor di luar EEA atas nama Pelanggan, jika tidak ada mekanisme transfer yang sesuai lainnya di bawah Undang-undang Perlindungan Data yang berlaku.

6. Melalui Klausul ini Pelanggan memberikan otorisasi tertulis umum kepada MessageBird untuk melibatkan pihak ketiga lain sebagai (sub-)processor baru untuk pemrosesan data pribadi, sesuai dengan ketentuan Lampiran ini. MessageBird tidak akan melibatkan (sub-)processor dalam pemrosesan data pribadi di bawah Perjanjian ini tanpa terlebih dahulu memberitahukan Pelanggan tentang setiap perubahan yang dimaksudkan terkait dengan penambahan atau penggantian processor lainnya, sehingga memberikan Pelanggan kesempatan untuk menolak perubahan tersebut. 

7. Pelanggan dapat menolak semua (sub-)processor baru semata-mata atas dasar alasan yang wajar terkait perlindungan data dengan mengakhiri Perjanjian dan Lampiran ini. Hak pengakhiran ini adalah satu-satunya dan eksklusif pengobatan Pelanggan jika Pelanggan menolak setiap (sub-)processor baru tersebut.

8. Pelanggan secara khusus menyetujui pelibatan entitas yang terdaftar di https://www.messagebird.com/en-gb/legal/privacy#processorList sebagai (sub-)processor MessageBird untuk pemrosesan data pribadi. MessageBird akan memperbarui daftar (sub-)processor ketika (sub-)processor baru untuk pemrosesan data pribadi dilibatkan.

9. MessageBird akan mengambil semua tindakan kontraktual yang tersedia dan sesuai untuk memastikan bahwa saat (sub-)processor dilibatkan:

   1. (sub-)processor hanya akan memproses data pribadi jika pemrosesan tersebut diperlukan untuk pelaksanaan Layanan atau bagian darinya;

   2. kewajiban perlindungan data yang memberikan perlindungan serupa seperti yang ada dalam DPA ini harus diberlakukan kepada (sub-)processor melalui kontrak atau tindakan hukum lainnya di bawah hukum UE atau Negara Anggota, khususnya memberikan jaminan yang cukup untuk menerapkan langkah-langkah teknis dan organisasi yang tepat dengan cara yang memenuhi persyaratan Undang-undang Perlindungan Data, dan;

   3. MessageBird tetap bertanggung jawab kepada Pelanggan di bawah DPA ini untuk pelaksanaan kewajiban dari (sub-)processornya.

10. Rincian pemrosesan:

    1. Subjek dan tujuan pemrosesan: penyediaan Layanan dari MessageBird kepada Pelanggan.

    2. Kategori data pribadi: informasi tentang pengguna akhir yang disediakan oleh Pelanggan kepada MessageBird melalui Layanan.

    3. Kategori subjek data: subjek data termasuk pelanggan Pelanggan, karyawan, pemasok, dan setiap orang alami lainnya yang merupakan pengguna akhir layanan komunikasi, dari siapa Pelanggan memberikan data pribadi melalui Layanan.

    4. Durasi pemrosesan: data pribadi akan diproses selama yang diperlukan untuk pelaksanaan Layanan, atau sebagaimana diharuskan berdasarkan hukum yang berlaku.

11. Data Processing Annex ini diatur oleh hukum Belanda, dan Para Pihak tunduk pada yurisdiksi eksklusif pengadilan Amsterdam untuk semua tujuan yang berhubungan dengan DPA ini, termasuk penegakan setiap penghargaan atau keputusan yang dibuat di bawah atau sehubungan dengannya.