Perjanjian Pemrosesan Data ini berlaku untuk Anda jika Anda mendaftar untuk Layanan MessageBird (termasuk melalui afiliasi mana pun) sebelum, pada, atau setelah 3 Mei 2023. Perjanjian Pemrosesan Data kami yang diarsipkan tersedia di sini.
Perjanjian Pemrosesan Data ini, termasuk lampiran-lampirannya, (“DPA”) merupakan bagian dari Perjanjian antara MessageBird dan Pelanggan untuk pembelian layanan komunikasi (online) dari MessageBird untuk mencerminkan kesepakatan Para Pihak sehubungan dengan pemrosesan Data Pribadi Pelanggan. Dalam DPA ini, istilah “Anda”, “Anda”, atau “Pelanggan” mengacu pada Anda (tergantung pada Pasal 1.2 di bawah), dan istilah “kami”, “kami,” “kami” atau “MessageBird” mengacu pada kami. Istilah-istilah yang diberi huruf kapital yang digunakan dalam DPA ini tetapi tidak didefinisikan di bawah ini diartikan dalam Ketentuan Umum MessageBird atau Perjanjian lain dengan kami yang mengatur penggunaan Anda terhadap Layanan.
Kedua belah pihak sepakat bahwa DPA ini akan menggantikan setiap addendum perlindungan data yang ada atau perjanjian serupa yang mungkin telah dibuat oleh para pihak sebelumnya sehubungan dengan Layanan.
Burung
1. Ruang Lingkup, Afiliasi Pelanggan dan Jangka Waktu
1.1 Lingkup. DPA ini mengatur pemrosesan Data Pribadi Pelanggan oleh MessageBird sebagai pemroses.
1.2 Afiliasi Pelanggan. Pelanggan masuk ke dalam DPA ini atas nama dirinya sendiri dan, sejauh diperlukan berdasarkan Undang-Undang Perlindungan Data, atas nama dan untuk pihak Afiliasi-nya (sebagaimana didefinisikan dalam Syarat), jika dan sejauh Anda memberikan Afiliasi tersebut akses ke Layanan dan kami memproses Data Pribadi Pelanggan yang mana Afiliasi tersebut memenuhi syarat sebagai pengendali data (“Afiliasi Pelanggan”). Untuk tujuan DPA ini saja, dan kecuali jika ditunjukkan sebaliknya, istilah “Pelanggan” dan “Anda” akan mencakup Pelanggan dan Afiliasi Pelanggan.
2. Definisi
“Data Akun” adalah setiap Data Pribadi yang diberikan oleh atau untuk Anda kepada MessageBird sehubungan dengan pemasukan dan administrasi Perjanjian serta akun Anda, termasuk namun tidak terbatas pada informasi kontak, rincian penagihan, dan korespondensi mengenai pemasukan dan administrasi Perjanjian serta Layanan terkait.
“CCPA” berarti Undang-Undang Privasi Konsumen California tahun 2018 dan setiap regulasi yang diterbitkan di bawahnya, dalam setiap kasus, sebagaimana diubah dari waktu ke waktu.
“Data Pelanggan” berarti data dan informasi atau konten lain yang diajukan oleh Anda atau untuk Anda (atau oleh pengguna Aplikasi Pelanggan Anda) berdasarkan Perjanjian dan diproses atau disimpan oleh Layanan.
“Data Pribadi Pelanggan” berarti Data Pribadi yang terkandung dalam Data Pelanggan yang diproses oleh MessageBird sebagai pengolah, kecuali ditentukan lain dalam DPA ini.
“Undang-Undang Perlindungan Data” berarti semua undang-undang dan regulasi dari yurisdiksi mana pun yang berlaku untuk kerahasiaan, privasi, keamanan, atau pemrosesan Data Pribadi berdasarkan Perjanjian, termasuk, misalnya dan jika berlaku, GDPR atau CCPA.
“EEA” berarti, untuk tujuan DPA ini, Wilayah Ekonomi Eropa dan Swiss.
“GDPR” berarti baik (i) Regulasi 2016/679 dari Parlemen Eropa dan Dewan mengenai perlindungan orang secara alami sehubungan dengan pemrosesan Data Pribadi dan mengenai pergerakan bebas data tersebut (Regulasi Perlindungan Data Umum); atau (ii) khususnya sehubungan dengan Inggris, Undang-Undang Perlindungan Data 2018.
“MessageBird” berarti Entitas MessageBird yang merupakan pihak dalam DPA ini, yaitu entitas kontrak yang terdaftar di Bagian 15 dalam Syarat dan Ketentuan Umum (Entitas Kontrak), kecuali dinyatakan lain pada Formulir Pesanan Anda. Anda atau MessageBird juga dapat kerap disebut secara individual sebagai “Pihak” dan bersama-sama sebagai “Pihak-Pihak” dalam DPA ini.
“Data Pribadi” berarti informasi apa pun yang terkait dengan orang alami yang teridentifikasi atau dapat diidentifikasi secara langsung atau tidak langsung, baik oleh dirinya sendiri maupun dalam kombinasi dengan informasi lain.
“Pelanggaran Data Pribadi” berarti setiap penghancuran, kehilangan, perubahan, pengungkapan yang tidak disengaja, tidak sah, atau ilegal, atau akses ke Data Pribadi Pelanggan dan istilah lain yang serupa di bawah Undang-Undang Perlindungan Data yang berlaku seperti “Pelanggaran Keamanan.”
“Layanan” berarti semua produk dan layanan yang disediakan oleh kami atau Afiliasi kami yang (a) dipesan oleh Anda berdasarkan Formulir Pesanan mana pun; atau (b) digunakan oleh Anda.
“Klausul Kontraktual Standar” berarti Pengendali ke Pengolah (Modul Dua) atau Pengolah ke Pengolah (Modul Tiga), sesuai kebutuhan, dari Klausul Kontraktual Standar untuk transfer Data Pribadi ke negara ketiga sesuai dengan Regulasi (EU) 2016/679 dari Parlemen Eropa dan Dewan yang disetujui oleh Keputusan Pelaksanaan Komisi Eropa (EU) 2021/914 tanggal 4 Juni 2021, sebagaimana diatur saat ini dalam Jurnal Resmi Uni Eropa.
“Sub-pengolah” berarti entitas pihak ketiga yang memproses Data Pribadi Pelanggan atas nama entitas MessageBird yang bertindak sebagai pengolah data atau Sub-pengolah.
“Klausul Kontraktual Standar Inggris” berarti salah satu atau semua dari yang berikut: (i) perjanjian transfer data internasional yang diterbitkan oleh Komisaris Informasi Inggris berdasarkan bagian 119A dari DPA 2018; (ii) adendum transfer data internasional ke klausul kontraktual standar Komisi Eropa untuk transfer data internasional yang diterbitkan oleh Komisaris Informasi Inggris berdasarkan bagian 119A dari DPA 2018; atau (iii) ketentuan kontraktual standar semacam itu yang diterbitkan oleh Komisaris Informasi Inggris atau Komisi Eropa yang mungkin menggantikan ini dari waktu ke waktu.
Istilah seperti “pemrosesan”, “pengendali data”, “pengolah data”, “subjek data”, dll. akan memiliki arti yang ditetapkan untuk mereka di bawah GDPR. Definisi “pengendali data” mencakup “bisnis”, “konsumen”, “pengendali”, dan “organisasi”; “pengolah data” mencakup “penyedia layanan”, “pengolah”, dan “perantara data”; “subjek data” mencakup “konsumen”, dan “individu”; dan “Data Pribadi” mencakup “informasi pribadi”, dalam setiap kasus sebagaimana didefinisikan di bawah CCPA, dan Undang-Undang Perlindungan Data yang berlaku lainnya. Istilah “tujuan bisnis”, “tujuan komersial”, “menjual,” dan “berbagi” akan memiliki arti yang sama seperti dalam Undang-Undang Perlindungan Data yang berlaku dan, dalam setiap kasus, istilah kognat mereka akan ditafsirkan dengan cara yang sesuai.
3. Pemrosesan Data Pribadi Pelanggan
3.1 Tujuan. Kami akan memproses Data Pribadi Pelanggan hanya sejauh yang diperlukan (i) untuk menyediakan Layanan, termasuk pengiriman komunikasi, memastikan keamanan layanan, memberikan laporan teknis dan pengiriman, memberikan dukungan, dan mengembangkan serta menerapkan perbaikan dan pembaruan sesuai dengan instruksi Anda yang terdokumentasi kepada kami sebagai pemroses data sebagaimana diatur dalam Pasal 3.2 dari DPA ini, (ii) untuk tujuan bisnis sah kami sebagaimana diatur dalam Pasal 3.4 dari DPA ini sebagai pengendali data, dan (iii) sebagaimana diharuskan di bawah hukum yang berlaku.
3.2 Instruksi Pelanggan. Perjanjian dan DPA ini merupakan instruksi lengkap Anda kepada kami sebagai pemroses data pada saat penandatanganan DPA ini. Kami akan mematuhi instruksi lain yang terdokumentasi secara wajar dengan syarat bahwa instruksi tersebut konsisten dengan ketentuan Perjanjian.
3.3 Detail Pemrosesan. Lampiran I, Bagian B (Deskripsi transfer) dari Lampiran I DPA ini menguraikan sifat dan tujuan pemrosesan oleh kami sebagai pemroses data atau Sub-pemroses, kegiatan pemrosesan, durasi pemrosesan, jenis Data Pribadi, dan kategori subjek data.
3.4 Tujuan Bisnis yang Sah. Anda mengakui bahwa kami memproses Data Pribadi Pelanggan sebagai pengendali data independen sejauh yang diperlukan untuk tujuan bisnis sah berikut: penagihan, manajemen akun, pelaporan keuangan dan internal, memerangi dan mencegah ancaman keamanan, serangan siber, dan kejahatan siber yang dapat mempengaruhi Anda, kami, atau layanan kami, pemodelan bisnis (misalnya peramalan, perencanaan kapasitas dan pendapatan, serta strategi produk), pencegahan dan deteksi penipuan, spam, dan penyalahgunaan, perbaikan produk atau layanan dalam suite MessageBird, dan untuk mematuhi kewajiban hukum kami.
4. Kewajiban Pelanggan
4.1 Kewajaran. Ketika Anda bertindak sebagai pengendali data atas Data Pribadi Pelanggan, Anda menjamin bahwa semua kegiatan pemrosesan adalah sah, memiliki tujuan tertentu, dan setiap pemberitahuan dan persetujuan yang diperlukan atau dasar hukum lainnya telah dilakukan untuk memungkinkan transfer sah Data Pribadi Pelanggan. Jika Anda adalah pemroses data (dalam hal ini kami akan bertindak sebagai Sub-pemroses), Anda akan memastikan bahwa pengendali data yang relevan menjamin bahwa syarat-syarat yang tercantum dalam Bagian 4.1 ini terpenuhi.
4.2 Kepatuhan. Anda sepenuhnya bertanggung jawab atas (a) memastikan bahwa Anda mematuhi Undang-Undang Perlindungan Data yang berlaku untuk penggunaan Layanan Anda dan untuk pemrosesan Data Pribadi Pelanggan Anda sendiri, (b) melakukan penilaian independen apakah langkah-langkah teknis dan organisasi dari Layanan memenuhi kebutuhan Anda, dan (c) melaksanakan dan memelihara langkah-langkah privasi dan keamanan untuk komponen yang Anda sediakan atau kendalikan (termasuk namun tidak terbatas pada kata sandi, perangkat yang digunakan dengan Layanan dan Aplikasi Pelanggan).
5. Keamanan
5.1 Langkah-langkah Keamanan. Mempertimbangkan keadaan terkini, biaya implementasi serta sifat, cakupan, konteks, dan tujuan pemrosesan, serta risiko yang bervariasi dalam kemungkinan dan tingkat keparahan terhadap hak dan kebebasan individu, kami akan menerapkan dan mempertahankan langkah-langkah keamanan teknis dan organisasi yang sesuai untuk melindungi Data Pribadi Pelanggan dari Pelanggaran Data Pribadi dan untuk menjaga keamanan, integritas, ketersediaan, ketahanan, dan kerahasiaan Data Pelanggan yang digunakan sistem kami untuk memproses Data Pribadi Pelanggan. Langkah-langkah keamanan yang diterapkan oleh kami dijelaskan dalam Lampiran II.
5.2 Pembaruan Langkah-langkah Keamanan. Anda bertanggung jawab untuk meninjau informasi yang disediakan oleh kami terkait keamanan Data Pribadi Pelanggan dan melakukan penilaian independen mengenai apakah informasi tersebut memenuhi persyaratan dan kewajiban hukum Anda berdasarkan Undang-Undang Perlindungan Data. Anda mengakui bahwa langkah-langkah keamanan tunduk pada kemajuan dan perkembangan teknis, dan bahwa kami mungkin memperbarui atau memodifikasi langkah-langkah keamanan kami dari waktu ke waktu, dengan syarat pembaruan dan modifikasi tersebut tidak mengakibatkan penurunan keseluruhan keamanan Data Pribadi Pelanggan.
5.3 Kontrol Akses. Kami menerapkan prinsip “perlu tahu” dan “hak akses minimum” untuk memastikan bahwa akses ke Data Pribadi Pelanggan dibatasi hanya kepada Personel yang diperlukan untuk penyediaan Layanan dan sesuai dengan Perjanjian, termasuk DPA ini.
5.4 Kerahasiaan Pemrosesan. Kami akan memastikan bahwa setiap orang atau pihak yang diizinkan oleh kami untuk memproses Data Pribadi Pelanggan (termasuk personel kami, agen, dan Sub-prosesor) diberitahu tentang sifat rahasia dari Data Pribadi Pelanggan tersebut dan akan berada di bawah kewajiban kerahasiaan yang sesuai (apakah kewajiban kontraktual atau statutori) yang tetap berlaku setelah penghentian keterlibatan mereka.
5.5 Tanggapan dan Pemberitahuan Pelanggaran Data Pribadi. Setelah menyadari adanya Pelanggaran Data Pribadi, kami akan tanpa penundaan yang tidak perlu (i) memberitahu Anda, (ii) menyelidiki Pelanggaran Data Pribadi, (iii) memberikan informasi tepat waktu terkait Pelanggaran Data Pribadi saat sudah diketahui atau saat diminta secara wajar oleh Anda, dan (iv) mengambil langkah-langkah yang wajar secara komersial untuk mengurangi efek dan mencegah terulangnya Pelanggaran Data Pribadi.
6. Bantuan
6.1 Bantuan Perlindungan Data. Kami akan memberikan Anda bantuan yang diminta secara wajar untuk memungkinkan Anda memenuhi kewajiban Anda berdasarkan Undang-Undang Perlindungan Data, termasuk pemberitahuan pelanggaran Data Pribadi, menilai tingkat keamanan pemrosesan yang sesuai, dan membantu Anda dalam pelaksanaan penilaian dampak perlindungan data yang relevan.
6.2 Bantuan dengan Hak Subjek Data. Kami akan memberikan bantuan yang wajar kepada Anda untuk memungkinkan Anda memenuhi kewajiban Anda kepada subjek data yang menggunakan hak mereka berdasarkan Undang-Undang Perlindungan Data dengan menyediakan langkah-langkah teknis dan organisasi melalui akun Anda. Untuk menghindari keraguan, Anda sebagai pengendali data bertanggung jawab untuk memproses permintaan atau keluhan dari subjek data sehubungan dengan Data Pribadi Pelanggan dari seorang subjek data.
7. Pengungkapan dan Permintaan Pengungkapan
7.1 Pembatasan pada Pengungkapan dan Akses. Kami tidak akan memberikan akses atau mengungkapkan Data Pribadi Pelanggan kecuali (i) sesuai arahan Anda, (ii) sebagaimana diatur dalam Perjanjian dan DPA ini, atau (iii) sebagaimana diwajibkan oleh hukum.
7.2 Permintaan Pengungkapan. Kami akan memberi tahu Anda sesegera mungkin jika kami menerima permintaan dari badan pemerintah atau regulasi untuk mengungkapkan Data Pribadi Pelanggan, kecuali pemberitahuan tersebut dilarang oleh hukum. Kami akan menangani permintaan pengungkapan sesuai dengan Kebijakan Permintaan Pengungkapan.
8. Sub-prosesor
8.1 Daftar Sub-prosesor Saat Ini. Anda setuju untuk melibatkan Sub-prosesor yang terdaftar di Ikhtisar Prosesor dan Subprosesor MessageBird di bawah judul “Data Pribadi Pengguna Akhir”, yang berisi prosedur bagi Anda untuk berlangganan pada pemberitahuan perubahan penggunaan Sub-prosesor kami. Jika Anda berlangganan pada pemberitahuan tersebut, dan dengan mempertimbangkan Pasal 8.3 dari DPA ini, kami akan membagikan detail tentang setiap perubahan dalam Sub-prosesor sesegera mungkin.
8.2 Penunjukan Sub-prosesor. Melalui DPA ini, Anda memberikan otorisasi tertulis umum kepada kami untuk melibatkan Sub-prosesor untuk pemrosesan Data Pribadi Pelanggan, dengan ketentuan Pasal 8.3 dari DPA ini dan persyaratan berikut:
Kami akan membatasi akses ke Data Pribadi Pelanggan oleh Sub-prosesor hanya pada yang benar-benar diperlukan untuk memberikan layanan yang ditentukan dalam perjanjian sub-prosesor;
Kami akan menyepakati kewajiban perlindungan data dengan Sub-prosesor yang secara substansial sama dengan kewajiban di bawah DPA ini; dan
Kami tetap bertanggung jawab kepada Anda berdasarkan DPA ini atas pelaksanaan kewajiban perlindungan data dari Sub-prosesor.
9. Transfer Data Pribadi Pelanggan Lintas Perbatasan
9.1 Transfer Data Pribadi Pelanggan. Kami dapat mentransfer Data Pribadi Pelanggan dengan syarat bahwa semua langkah pengamanan yang diperlukan oleh Undang-Undang Perlindungan Data telah diterapkan. Ini dapat mencakup penilaian dampak transfer data sebelumnya, adopsi, pemantauan, dan evaluasi langkah-langkah teknis, organisatoris, dan hukum tambahan, hak subjek data yang dapat ditegakkan, dan bahwa upaya hukum yang efektif untuk subjek data tersedia.
9.2 Klausul Kontrak Standar Sub-prosesor. Kecuali jika keputusan kecukupan atau mekanisme transfer alternatif berlaku, kami telah menandatangani dan akan mempertahankan Klausul Kontrak Standar dengan Sub-prosesor (termasuk Afiliasi kami) yang berlokasi di luar EEA, sesuai dengan syarat yang ditetapkan dalam Bagian 9.1 dari DPA ini.
9.3 Mekanisme Transfer untuk Transfer Data Pribadi Pelanggan. Sejauh penggunaan Layanan Anda membutuhkan mekanisme transfer data lintas batas untuk mengekspor Data Pribadi Pelanggan secara sah dari suatu yurisdiksi (e.g. EEA, California, Singapura, Swiss, atau Inggris Raya) kepada kami yang berlokasi di luar yurisdiksi tersebut, bagian ini akan berlaku. Jika, dalam pelaksanaan Layanan, Data Pribadi Pelanggan yang tunduk pada GDPR atau hukum lain yang berkaitan dengan perlindungan atau privasi individu yang berlaku untuk DPA ini ditransfer ke MessageBird yang berlokasi di negara-negara yang tidak menjamin tingkat perlindungan data yang memadai dalam arti Undang-Undang Perlindungan Data, mekanisme transfer yang tercantum di bawah ini akan berlaku untuk transfer semacam itu dan dapat diberlakukan langsung oleh para pihak sejauh transfer tersebut tunduk pada Undang-Undang Perlindungan Data.
9.3.1 Para pihak sepakat bahwa Klausul Kontrak Standar akan berlaku untuk Data Pribadi Pelanggan yang ditransfer melalui Layanan dari EEA atau Swiss, baik secara langsung maupun melalui transfer lanjutan, ke entitas MessageBird yang berlokasi di negara di luar EEA atau Swiss yang tidak diakui oleh Komisi Eropa (atau, dalam hal transfer dari Swiss, otoritas kompeten di Swiss) sebagai memberikan tingkat perlindungan yang memadai bagi data pribadi.
9.3.1.1 Ketika Anda bertindak sebagai pengendali data dan MessageBird adalah pemroses data, Modul Dua Klausul Kontrak Standar akan berlaku untuk setiap transfer Data Pribadi Pelanggan dari EEA. Ketika Anda bertindak sebagai pemroses data dan MessageBird adalah sub-pemroses, Modul Tiga Klausul Kontrak Standar akan berlaku untuk setiap transfer Data Pribadi Pelanggan dari EEA.
9.3.1.2 MessageBird akan dianggap sebagai importir data dan Anda akan dianggap sebagai eksportir data berdasarkan Klausul Kontrak Standar. Tanda tangan masing-masing pihak atas DPA ini akan diperlakukan sebagai penandatanganan Klausul Kontrak Standar yang berlaku, yang akan dianggap terintegrasi ke dalam DPA ini. Rincian yang diperlukan berdasarkan Lampiran 1 dan Lampiran 2 untuk Klausul Kontrak Standar tersedia di Lampiran I dan Lampiran II untuk DPA ini. Dalam hal terjadi konflik atau ketidaksesuaian antara DPA ini dan Klausul Kontrak Standar, Klausul Kontrak Standar akan berlaku secara eksklusif terkait dengan transfer Data Pribadi Pelanggan dari EEA.
9.3.1.3 Ketika Klausul Kontrak Standar mengharuskan para pihak memilih antara klausul opsional dan untuk menginput informasi, para pihak telah melakukannya seperti yang diatur di bawah:
i. Klausul Opsional 7 “Klausul docking” tidak akan diadopsi.
ii. Untuk Klausul 9 “Penggunaan sub-prosesor”, para pihak memilih opsi berikut: “Opsi 2 Otorisasi tertulis umum: importir data memiliki otorisasi umum pengendali untuk keterlibatan sub-pemroses dari daftar yang disepakati. Importir data akan memberitahukan secara tertulis kepada pengendali tentang setiap perubahan yang dimaksudkan pada daftar tersebut melalui penambahan atau penggantian sub-pemroses setidaknya 10 hari kerja sebelumnya, sehingga memberikan waktu yang cukup bagi pengendali untuk dapat mengajukan keberatan terhadap perubahan tersebut sebelum keterlibatan sub-pemroses. Importir data akan memberikan informasi yang diperlukan kepada eksportir data untuk memungkinkan eksportir data menggunakan haknya untuk mengajukan keberatan. Importir data akan memberi tahu eksportir data tentang keterlibatan sub-pemroses.”
iii. Untuk Klausul 11 (a) “Perbaikan”, para pihak tidak mengadopsi Opsi.
iv. Untuk Klausul 17 “Hukum yang Mengatur”, para pihak memilih opsi berikut: “Opsi 1. Klausul ini akan diatur oleh hukum salah satu Negara Anggota Uni Eropa, dengan syarat hukum tersebut mengizinkan hak-hak pihak ketiga. Para Pihak sepakat bahwa ini akan menjadi hukum Belanda.”
v. Untuk Klausul 18 (b) “Pilihan Forum dan Yurisdiksi”: “Para Pihak sepakat bahwa itu adalah pengadilan di Belanda.”
9.3.2 Para pihak sepakat bahwa Klausul Kontrak Standar Inggris akan berlaku untuk Data Pribadi Pelanggan yang ditransfer melalui Layanan dari Inggris Raya, baik secara langsung maupun melalui transfer lanjutan, ke entitas MessageBird yang berlokasi di negara di luar Inggris Raya yang tidak diakui oleh otoritas regulasi atau badan pemerintah kompeten Inggris Raya sebagai memberikan tingkat perlindungan yang memadai bagi data pribadi.
10. Audit
10.1 Laporan Audit. Platform komunikasi kami akan diaudit secara berkala sesuai dengan standar ISO 27001:2013 (atau yang setara). Audit dapat, atas kebijaksanaan kami, merupakan audit internal, atau audit yang dilakukan oleh pihak ketiga. Atas permintaan tertulis, kami akan memberikan ringkasan laporan audit (“Laporan Audit”), sehingga Anda dapat memverifikasi kepatuhan kami terhadap standar audit dan DPA ini. Laporan Audit tersebut, serta setiap kesimpulan atau temuan yang ditentukan di dalamnya, adalah Informasi Rahasia kami.
10.2 Permintaan informasi pelanggan. Kami akan menyediakan kepada Anda semua informasi yang secara wajar diperlukan untuk menunjukkan kepatuhan terhadap kewajiban yang ditetapkan dalam DPA ini. Kami akan memberikan tanggapan tertulis terhadap permintaan informasi yang wajar yang diajukan oleh Anda, termasuk tanggapan terhadap pertanyaan keamanan informasi dan audit yang wajar dalam cakupan dan diperlukan untuk mengkonfirmasi kepatuhan terhadap DPA ini, dengan syarat bahwa Anda (i) telah terlebih dahulu melakukan upaya yang wajar untuk mendapatkan informasi yang diminta dari Dokumentasi, Laporan Audit, dan informasi lain yang disediakan atau dipublikasikan oleh kami, dan (ii) tidak akan menjalankan hak ini lebih dari sekali per tahun, kecuali Pelanggaran Data Pribadi atau perubahan signifikan dalam aktivitas pemrosesan kami sehubungan dengan Layanan memerlukan pelaksanaan kuesioner tambahan. Semua tanggapan yang diberikan adalah Informasi Rahasia kami.
10.3 Audit Pelanggan. Jika Laporan Audit yang diberikan oleh kami kepada Anda memberikan alasan yang substansial untuk percaya bahwa kami telah melanggar kewajiban kami menurut DPA ini, terkait dengan Data Pribadi Pelanggan yang Anda berikan, kami akan mengizinkan auditor pihak ketiga yang independen dan berkualitas yang ditunjuk oleh Anda dan disetujui oleh kami, untuk mengaudit aktivitas pemrosesan Data Pribadi yang relevan, dengan syarat bahwa sejauh mungkin yang diperbolehkan berdasarkan hukum yang berlaku, persyaratan berikut dipenuhi:
Anda harus memberi kami pemberitahuan yang wajar setidaknya enam puluh (60) hari sebelum melaksanakan hak untuk mengaudit;
Auditor setuju untuk menjaga kewajiban kerahasiaan standar pasar dengan kami;
Anda dan auditor mengambil langkah-langkah untuk meminimalkan gangguan terhadap operasi bisnis kami;
Audit akan dilakukan selama jam kerja reguler;
Kami tidak berkewajiban untuk memberikan akses kepada data pelanggan dari pelanggan lain atau sistem yang tidak terlibat dalam penyediaan Layanan; dan
Anda akan membayar semua biaya audit.
11. Penghapusan dan Pengembalian Data Pribadi Pelanggan
Setelah pemutusan atau berakhirnya Perjanjian, kami akan (atas pilihan Anda) menghapus atau mengembalikan kepada Anda semua Data Pribadi Pelanggan (termasuk salinan) yang kami miliki atau kendalikan, asalkan persyaratan ini tidak akan berlaku sejauh kami diharuskan oleh hukum untuk mempertahankan sebagian atau seluruh Data Pribadi Pelanggan. Jika Anda menginstruksikan kami untuk menghapus Data Pribadi Pelanggan, Data Pribadi Pelanggan yang diarsipkan pada sistem cadangan kami akan dilindungi dari pemrosesan lebih lanjut, dan dihapus ketika periode penyimpanan yang diperlukan telah berlalu.
12. Komunikasi dan Hak Afiliasi Pelanggan
Penyertaan ke dalam DPA ini atas nama dan atas nama Afiliasi Pelanggan sebagaimana diatur dalam Bagian 1.2 merupakan DPA terpisah antara kami dan Afiliasi Pelanggan tersebut, tunduk pada hal-hal berikut:
12.1. Komunikasi. Pelanggan yang merupakan pihak yang terikat dalam Perjanjian akan tetap bertanggung jawab untuk mengoordinasikan semua komunikasi dengan kami berdasarkan DPA ini dan berhak untuk melakukan dan menerima setiap komunikasi terkait DPA ini atas nama Afiliasi Pelanggannya.
12.2 Hak Afiliasi Pelanggan. Ketika Afiliasi Pelanggan menjadi pihak dalam DPA dengan kami, ia akan berhak untuk, sejauh yang diperlukan berdasarkan Undang-Undang Perlindungan Data, menjalankan hak dan mencari upaya hukum berdasarkan DPA ini, tunduk pada hal-hal berikut:
(i) Kecuali jika Undang-Undang Perlindungan Data mengharuskan Afiliasi Pelanggan untuk menjalankan hak atau mencari upaya hukum berdasarkan DPA ini terhadap MessageBird secara langsung, para pihak setuju bahwa (i) hanya Pelanggan yang merupakan pihak yang terikat dalam Perjanjian yang akan menjalankan hak tersebut atau mencari upaya hukum tersebut atas nama Afiliasi Pelanggan, dan (ii) Pelanggan yang merupakan pihak yang terikat dalam Perjanjian akan menjalankan semua hak tersebut berdasarkan DPA ini tidak secara terpisah untuk setiap Afiliasi Pelanggan secara individu tetapi secara gabungan untuk dirinya sendiri dan semua Afiliasi Pelanggannya bersama-sama.
(ii) Para pihak setuju bahwa Pelanggan yang merupakan pihak yang terikat dalam Perjanjian akan, ketika audit di lokasi terhadap prosedur yang relevan untuk perlindungan Data Pribadi Pelanggan dilakukan atas namanya seperti yang dipaparkan dalam Bagian 10.3 dari DPA ini, mengambil semua langkah wajar untuk membatasi dampak apapun pada kami dengan menggabungkan, sejauh yang wajar mungkin, beberapa permintaan audit yang dilakukan atas namanya dan semua Afiliasi Pelanggannya dalam satu audit tunggal.
Untuk kejelasan, Afiliasi Pelanggan tidak menjadi pihak terikat pada Perjanjian.
13. Undang-Undang Privasi Konsumen California.
Sejauh itu berlaku, kami membuat komitmen tambahan berikut kepada Anda sehubungan dengan pemrosesan Data Pribadi Pelanggan dalam lingkup CCPA.
13.1 Kewajiban Kami Berdasarkan Undang-Undang Perlindungan Data AS. Istilah "tujuan bisnis," "tujuan komersial," "konsumen," "jual," dan "bagikan" sebagaimana digunakan dalam Bagian 13.1 ini memiliki arti yang diberikan kepada mereka dalam CCPA. Sebagaimana berlaku, kami akan mematuhi CCPA dan memperlakukan semua Data Pribadi Pelanggan yang tunduk pada CCPA dan Undang-Undang Perlindungan Data AS lainnya ("Data Pribadi AS") sesuai dengan ketentuan CCPA dan Undang-Undang Perlindungan Data AS lainnya. Mengenai Data Pribadi AS, kami adalah penyedia layanan di bawah CCPA dan pengolah data di bawah Undang-Undang Perlindungan Data AS lainnya. Kami tidak akan menjual Data Pribadi AS. Kami tidak akan menyimpan, menggunakan, atau mengungkapkan Data Pribadi AS apa pun (i) untuk tujuan apa pun selain tujuan bisnis yang ditentukan dalam Perjanjian (termasuk menyimpan, menggunakan, atau mengungkapkan Data Pribadi AS untuk tujuan komersial selain tujuan bisnis yang ditentukan dalam Perjanjian atau sebagaimana diizinkan oleh CCPA atau undang-undang yang berlaku); atau (ii) di luar hubungan bisnis langsung antara Anda dan kami.
13.2 Kewajiban Pelanggan. Anda menyatakan dan menjamin bahwa Anda telah memberikan pemberitahuan kepada Pengguna Akhir bahwa Data Pribadi digunakan atau dibagikan sesuai dengan Undang-Undang Perlindungan Data yang berlaku. Anda bertanggung jawab atas kepatuhan terhadap persyaratan Undang-Undang Perlindungan Data sejauh berlaku bagi Anda sebagai pengendali data.
14. Hukum yang Mengatur dan Penyelesaian Sengketa. Sengketa, klaim, atau kontroversi ("Sengketa") yang muncul dari atau terkait dengan DPA ini akan diatur oleh dan ditafsirkan sesuai dengan hukum Belanda. Setiap Pihak setuju bahwa pengadilan yang berwenang di Amsterdam akan memiliki yurisdiksi eksklusif untuk menyelesaikan Sengketa yang timbul dari atau terkait dengan DPA ini.
