Perjanjian Pemrosesan Data Mei 2023
Dokumen
Konten
Perjanjian Pemrosesan Data ini berlaku untuk Anda jika Anda mendaftar untuk Layanan MessageBird (termasuk melalui afiliasinya) sebelum, pada, atau setelah 3 Mei 2023. Perjanjian Pemrosesan Data kami yang terdokumentasi tersedia di sini.
Perjanjian Pemrosesan Data ini, termasuk lampiran-lampirannya, ("DPA") merupakan bagian dari Perjanjian antara MessageBird dan Pelanggan untuk pembelian layanan komunikasi (online) dari MessageBird untuk mencerminkan kesepakatan Para Pihak sehubungan dengan pemrosesan Data Pribadi Pelanggan. Dalam DPA ini, istilah "Anda", "Anda", atau "Pelanggan" merujuk kepada Anda (tergantung pada Bagian 1.2 di bawah), dan istilah "kami", "kami", "kami" atau "MessageBird" merujuk kepada kami. Istilah yang dikapitalisasi dalam DPA ini tetapi tidak didefinisikan di bawah ini diartikan seperti yang didefinisikan dalam Syarat dan Ketentuan Umum MessageBird atau Perjanjian lain dengan kami yang mengatur penggunaan Layanan Anda.
Para pihak setuju bahwa DPA ini akan menggantikan ketentuan perlindungan data atau perjanjian serupa yang ada yang mungkin telah disepakati para pihak sebelumnya sehubungan dengan Layanan tersebut.
Pengenalan
1. Scope, Customer Affiliates and Term
1.1 Ruang Lingkup. DPA ini mengatur pemrosesan Data Pribadi Pelanggan oleh MessageBird sebagai pemroses.
1.2 Afiliasi Pelanggan. Pelanggan memasuki DPA ini atas nama dirinya sendiri dan, sejauh diperlukan di bawah Undang-Undang Perlindungan Data, atas nama dan atas nama Afiliasinya (sebagaimana didefinisikan dalam Ketentuan), jika dan sejauh Anda memberikan Afiliasi tersebut akses ke Layanan dan kami memproses Data Pribadi Pelanggan yang untuknya Afiliasi tersebut memenuhi syarat sebagai pengendali data (“Afiliasi Pelanggan”). Untuk tujuan DPA ini saja, dan kecuali dinyatakan sebaliknya, istilah “Pelanggan” dan “Anda” akan mencakup Pelanggan dan Afiliasi Pelanggan.
2. Definisi
“Account Data” adalah Data Pribadi yang diberikan oleh atau untuk Anda kepada MessageBird dalam kaitannya dengan memasuki dan mengelola Perjanjian dan akun Anda, termasuk tetapi tidak terbatas pada informasi kontak, detail penagihan, dan korespondensi tentang memasuki dan mengelola Perjanjian dan Layanan terkait.
“CCPA” berarti California Consumer Privacy Act tahun 2018 dan peraturan terkait yang diterbitkan di bawahnya, dalam setiap kasus, sebagaimana diubah dari waktu ke waktu.
“Customer Data” berarti data dan informasi atau konten lain yang diajukan oleh Anda atau untuk Anda (atau oleh pengguna Aplikasi Pelanggan Anda) di bawah Perjanjian dan diproses atau disimpan oleh Layanan.
“Customer Personal Data” berarti Data Pribadi yang terdapat dalam Customer Data yang diproses oleh MessageBird sebagai prosesor, kecuali dinyatakan lain dalam DPA ini.
“Data Protection Laws” berarti semua hukum dan peraturan yurisdiksi mana pun yang berlaku untuk kerahasiaan, privasi, keamanan, atau pemrosesan Data Pribadi di bawah Perjanjian, termasuk, misalnya dan jika berlaku, GDPR atau CCPA.
“EEA” berarti, untuk tujuan dari DPA ini, Wilayah Ekonomi Eropa dan Swiss.
“GDPR” berarti (i) Regulasi 2016/679 dari Parlemen Eropa dan Dewan tentang perlindungan orang alami sehubungan dengan pemrosesan Data Pribadi dan pergerakan bebas data tersebut (Regulasi Perlindungan Data Umum); atau (ii) hanya sehubungan dengan Inggris, Undang-Undang Perlindungan Data 2018.
“MessageBird” berarti Entitas MessageBird yang menjadi pihak dalam DPA ini, yaitu entitas kontrak yang tercantum di Bagian 15 dalam Syarat dan Ketentuan Umum (Entitas Kontrak), kecuali dinyatakan lain dalam Formulir Pesanan Anda. Anda atau MessageBird juga dapat disebut secara individu sebagai “Pihak” dan bersama-sama sebagai “Para Pihak” dalam DPA ini.
“Personal Data” berarti setiap informasi yang berkaitan dengan orang fisik yang diidentifikasi atau dapat diidentifikasi secara langsung atau tidak langsung, baik sendiri atau dalam kombinasi dengan informasi lain.
“Personal Data Breach” berarti setiap kerusakan, kehilangan, perubahan, pengungkapan, atau akses yang tidak disengaja, tidak sah, atau melanggar hukum terhadap Customer Personal Data dan istilah serupa lainnya di bawah Data Protection Laws yang berlaku seperti “Security Breach”.
“Services” berarti semua produk dan layanan yang disediakan oleh kami atau Afiliasi kami yang (a) dipesan oleh Anda di bawah Formulir Pesanan mana pun; atau (b) digunakan oleh Anda.
“Standard Contractual Clauses” berarti pengontrol ke prosesor (Module Two) atau prosesor ke prosesor (Module Three), jika berlaku, dari Standard Contractual Clauses untuk transfer Data Pribadi ke negara ketiga sesuai Regulasi (EU) 2016/679 dari Parlemen Eropa dan Dewan yang disetujui oleh Keputusan Penerapan Komisi Eropa (EU) 2021/914 pada tanggal 4 Juni 2021, sebagaimana diatur saat ini di https://eurlex.europa.eu/eli/dec_impl/2021/914/oj,.
“Sub-processor” berarti entitas pihak ketiga yang memproses Customer Personal Data atas nama entitas MessageBird yang bertindak sebagai prosesor data atau Sub-processor.
“UK Standard Contractual Clauses” berarti salah satu atau semua dari berikut: (i) perjanjian transfer data internasional yang diterbitkan oleh Komisioner Informasi Inggris di bawah bagian 119A dari DPA 2018; (ii) lampiran transfer data internasional untuk klausul kontrak standar Komisi Eropa untuk transfer data internasional yang diterbitkan oleh Komisioner Informasi Inggris di bawah bagian 119A dari DPA 2018; atau (iii) ketentuan kontrak standar yang diterbitkan oleh Komisioner Informasi Inggris atau Komisi Eropa yang dapat menggantikan ini dari waktu ke waktu.
Istilah-istilah seperti “pemrosesan”, “pengontrol data”, “prosesor data”, “subjek data”, dll. akan memiliki makna yang diberikan kepada mereka sesuai dengan GDPR. Definisi “pengontrol data” mencakup “bisnis”, “konsumen”, “pengontrol”, dan “organisasi”; “prosesor data” mencakup “penyedia layanan”, “prosesor”, dan “perantara data”; “subjek data” mencakup “konsumen” dan “individu”; dan “Data Pribadi” mencakup “informasi pribadi”, dalam setiap kasus sebagaimana didefinisikan dalam CCPA, , dan Data Protection Laws lainnya yang berlaku. Istilah “tujuan bisnis”, “tujuan komersial”, “jual”, dan “bagikan” harus memiliki arti yang sama dalam Data Protection Laws yang berlaku dan, dalam setiap kasus, istilah serupa mereka harus ditafsirkan sesuai.
3. Pemrosesan Data Pribadi Pelanggan
3.1 Tujuan. Kami akan memproses Data Pribadi Pelanggan hanya sejauh yang diperlukan (i) untuk menyediakan Layanan, termasuk transmisi komunikasi, memastikan keamanan layanan, menyediakan laporan teknis dan pengiriman, memberikan dukungan dan mengembangkan serta menerapkan peningkatan dan pembaruan sesuai dengan instruksi terdokumentasi Anda kepada kami sebagai pemroses data sebagaimana ditentukan dalam Bagian 3.2 DPA ini, (ii) untuk tujuan bisnis sah kami sebagaimana ditentukan dalam Bagian 3.4 DPA ini sebagai pengontrol data, dan (iii) sebagaimana diwajibkan berdasarkan hukum yang berlaku.
3.2 Instruksi Pelanggan. Perjanjian dan DPA ini merupakan instruksi lengkap Anda kepada kami sebagai pemroses data pada saat penandatanganan DPA ini. Kami akan mematuhi instruksi lain yang didokumentasikan secara wajar asalkan instruksi tersebut konsisten dengan ketentuan Perjanjian.
3.3 Rincian Pemrosesan. Lampiran I, Bagian B (Deskripsi transfer) dari Lampiran I ke DPA ini menentukan sifat dan tujuan pemrosesan oleh kami sebagai pemroses data atau Sub-pemroses, kegiatan pemrosesan, durasi pemrosesan, jenis Data Pribadi, dan kategori subjek data.
3.4 Tujuan Bisnis Sah. Anda mengakui bahwa kami memproses Data Pribadi Pelanggan sebagai pengontrol data independen sejauh yang diperlukan untuk tujuan bisnis sah berikut: penagihan, manajemen akun, pelaporan keuangan dan internal, memerangi dan mencegah ancaman keamanan, serangan siber, dan kejahatan siber yang dapat memengaruhi Anda, kami atau layanan kami, pemodelan bisnis (misalnya peramalan, perencanaan kapasitas dan pendapatan, serta strategi produk), pencegahan dan deteksi penipuan, spam, dan penyalahgunaan, peningkatan produk atau layanan dalam suite MessageBird, dan untuk mematuhi kewajiban hukum kami.
4. Customer Obligations
4.1 Keabsahan. Di mana Anda bertindak sebagai pengendali data untuk Data Pribadi Pelanggan, Anda menjamin bahwa semua aktivitas pemrosesan adalah sah, memiliki tujuan yang spesifik, dan pemberitahuan serta persetujuan atau dasar hukum lain yang diperlukan telah ada untuk memungkinkan transfer Data Pribadi Pelanggan yang sah. Jika Anda adalah pemroses data (dalam hal ini kami akan bertindak sebagai Sub-pemroses), Anda akan memastikan bahwa pengendali data terkait menjamin bahwa kondisi yang tercantum dalam Bagian 4.1 ini terpenuhi.
4.2 Kepatuhan. Anda sepenuhnya bertanggung jawab untuk (a) memastikan bahwa Anda mematuhi Hukum Perlindungan Data yang berlaku pada penggunaan Layanan Anda dan pemrosesan Data Pribadi Pelanggan Anda sendiri, (b) membuat penilaian independen apakah langkah-langkah teknis dan organisasi dari Layanan memenuhi kebutuhan Anda, dan (c) menerapkan dan mempertahankan langkah-langkah privasi dan keamanan untuk komponen yang Anda sediakan atau kendalikan (termasuk namun tidak terbatas pada sandi, perangkat yang digunakan dengan Layanan dan Aplikasi Pelanggan).
5. Keamanan
5.1 Langkah-langkah Keamanan. Dengan mempertimbangkan kemajuan teknologi, biaya implementasi, serta sifat, lingkup, konteks, dan tujuan pengolahan, serta risiko dengan kemungkinan dan tingkat keparahan yang beragam terhadap hak dan kebebasan orang alami, kami akan menerapkan dan mempertahankan langkah-langkah keamanan teknis dan organisasi yang tepat untuk melindungi Data Pribadi Pelanggan dari Pelanggaran Data Pribadi dan untuk menjaga keamanan, integritas, ketersediaan, ketahanan, dan kerahasiaan Data Pelanggan yang digunakan sistem kami untuk memproses Data Pribadi Pelanggan. Langkah-langkah keamanan yang diterapkan oleh kami dijelaskan dalam Lampiran II.
5.2 Pembaruan Langkah-langkah Keamanan. Anda bertanggung jawab untuk meninjau informasi yang tersedia dari kami mengenai keamanan Data Pribadi Pelanggan dan melakukan penilaian independen apakah informasi tersebut memenuhi persyaratan dan kewajiban hukum Anda berdasarkan Undang-Undang Perlindungan Data. Anda mengakui bahwa langkah-langkah keamanan tunduk pada kemajuan dan pengembangan teknis, dan bahwa kami dapat memperbarui atau memodifikasi langkah-langkah keamanan kami dari waktu ke waktu, asalkan pembaruan dan modifikasi tersebut tidak mengakibatkan penurunan keseluruhan keamanan Data Pribadi Pelanggan.
5.3 Kontrol Akses. Kami menerapkan prinsip “perlu diketahui” dan “hak istimewa paling sedikit” memastikan bahwa akses ke Data Pribadi Pelanggan dibatasi hanya untuk Personel yang diperlukan untuk penyediaan Layanan dan sesuai dengan Perjanjian, termasuk DPA ini.
5.4 Kerahasiaan Pemrosesan. Kami akan memastikan bahwa setiap orang atau pihak yang diizinkan oleh kami untuk memproses Data Pribadi Pelanggan (termasuk personel, agen, dan Sub-pemroses kami) diberi tahu tentang sifat rahasia dari Data Pribadi Pelanggan tersebut dan akan berada di bawah kewajiban kerahasiaan yang tepat (baik itu kewajiban kontraktual maupun kewajiban hukum) yang tetap berlaku setelah hubungan kerja mereka berakhir.
5.5 Tanggapan dan Pemberitahuan Pelanggaran Data Pribadi. Setelah mengetahui adanya Pelanggaran Data Pribadi, kami akan tanpa penundaan yang tidak semestinya (i) memberi tahu Anda, (ii) menyelidiki Pelanggaran Data Pribadi, (iii) memberikan informasi yang tepat waktu terkait Pelanggaran Data Pribadi saat diketahui atau jika diminta secara wajar oleh Anda, dan (iv) mengambil langkah-langkah yang wajar secara komersial untuk mengurangi dampak dan mencegah terulangnya Pelanggaran Data Pribadi.
6. Bantuan
6.1 Bantuan Perlindungan Data. Kami akan memberikan Anda bantuan yang diminta secara wajar untuk memungkinkan Anda mematuhi kewajiban Anda di bawah Undang-Undang Perlindungan Data, termasuk pemberitahuan Pelanggaran Data Pribadi, menilai tingkat keamanan pemrosesan yang sesuai, dan membantu Anda dalam pelaksanaan penilaian dampak perlindungan data yang relevan.
6.2 Bantuan dengan Hak Subjek Data. Kami akan memberikan Anda bantuan yang wajar untuk memungkinkan Anda mematuhi kewajiban Anda kepada subjek data yang menjalankan hak mereka di bawah Undang-Undang Perlindungan Data dengan menyediakan langkah-langkah teknis dan organisasi melalui akun Anda. Untuk menghindari keraguan, Anda sebagai pengontrol data bertanggung jawab untuk memproses setiap permintaan atau keluhan dari subjek data sehubungan dengan Data Pribadi Pelanggan dari subjek data.
7. Pengungkapan dan Permintaan Pengungkapan
7.1 Batasan pada Pengungkapan dan Akses. Kami tidak akan memberikan akses ke atau mengungkapkan Data Pribadi Pelanggan kecuali (i) sebagaimana diarahkan oleh Anda, (ii) sebagaimana diatur dalam Perjanjian dan DPA ini, atau (iii) sebagaimana diwajibkan oleh hukum.
7.2 Permintaan Pengungkapan. Kami akan memberi tahu Anda secepat mungkin jika kami menerima permintaan dari badan pemerintah atau regulator untuk mengungkapkan Data Pribadi Pelanggan, kecuali pemberitahuan tersebut dilarang oleh hukum. Kami akan menangani permintaan pengungkapan sesuai dengan kebijakan permintaan pengungkapan yang tersedia di https://bird.com/legal/disclosure-requests.
8. Sub-processors
8.1 Daftar Sub-pemroses Saat Ini. Anda setuju dengan keterlibatan Sub-pemroses yang terdaftar di ikhtisar Pengolah dan Sub-pemroses MessageBird di bawah judul “Data Pribadi Pengguna Akhir”, yang berisi prosedur bagi Anda untuk berlangganan pemberitahuan perubahan pada penggunaan Sub-pemroses kami. Jika Anda berlangganan pemberitahuan tersebut, dan dengan memperhatikan Bagian 8.3 dari DPA ini, kami akan membagikan detail dari setiap perubahan pada Sub-pemroses secepat mungkin.
8.2 Penunjukan Sub-pemroses. Melalui DPA ini, Anda memberikan otorisasi tertulis umum kepada kami untuk melibatkan Sub-pemroses dalam pemrosesan Data Pribadi Pelanggan, tunduk pada Bagian 8.3 dari DPA ini dan persyaratan berikut:
Kami akan membatasi akses Sub-pemroses ke Data Pribadi Pelanggan hanya untuk yang benar-benar diperlukan untuk menyediakan layanan yang ditentukan dalam perjanjian sub-pemroses;
Kami akan menyepakati kewajiban perlindungan data dengan Sub-pemroses yang secara substansial sama dengan kewajiban di bawah DPA ini; dan
Kami tetap bertanggung jawab kepada Anda di bawah DPA ini atas pelaksanaan kewajiban perlindungan data dari Sub-pemroses.
9. Transfer Lintas Batas Data Pribadi Pelanggan
9.1 Transfer Data Pribadi Pelanggan. Kami dapat mentransfer Data Pribadi Pelanggan dengan syarat semua perlindungan yang diperlukan oleh Undang-Undang Perlindungan Data sudah diterapkan. Ini dapat mencakup penilaian dampak transfer data sebelumnya, adopsi, pemantauan, dan evaluasi langkah-langkah teknis, organisasi, dan hukum tambahan, hak subjek data yang dapat ditegakkan, dan bahwa upaya hukum yang efektif untuk subjek data tersedia.
9.2 Klausul Kontrak Standar Sub-prosesor. Kecuali ada keputusan kecukupan atau mekanisme transfer alternatif yang berlaku, kami telah memasukkan dan akan mempertahankan Klausul Kontrak Standar dengan Sub-prosesor (termasuk Afiliasi kami) yang berlokasi di luar EEA, sesuai dengan ketentuan yang ditetapkan dalam Bagian 9.1 DPA ini.
9.3 Mekanisme Transfer untuk Transfer Data Pribadi Pelanggan. Sejauh penggunaan Anda atas Layanan memerlukan mekanisme transfer data lintas batas untuk mengekspor Data Pribadi Pelanggan dari yurisdiksi secara legal (misalnya, EEA, California, Singapura, Swiss, atau Inggris Raya) kepada kami yang berlokasi di luar yurisdiksi tersebut, bagian ini akan berlaku. Jika, dalam pelaksanaan Layanan, Data Pribadi Pelanggan yang tunduk pada GDPR atau undang-undang lain yang terkait dengan perlindungan atau privasi individu yang berlaku untuk DPA ini ditransfer ke MessageBird yang berlokasi di negara-negara yang tidak menjamin tingkat perlindungan data yang memadai dalam pengertian Undang-Undang Perlindungan Data, mekanisme transfer yang tercantum di bawah ini akan berlaku untuk transfer tersebut dan dapat ditegakkan langsung oleh para pihak sepanjang transfer tersebut tunduk pada Undang-Undang Perlindungan Data.
9.3.1 Para pihak setuju bahwa Klausul Kontrak Standar akan berlaku untuk Data Pribadi Pelanggan yang ditransfer melalui Layanan dari EEA atau Swiss, baik secara langsung atau melalui transfer lanjutan, ke entitas MessageBird yang berlokasi di negara di luar EEA atau Swiss yang tidak diakui oleh Komisi Eropa (atau, dalam kasus transfer dari Swiss, otoritas kompeten untuk Swiss) sebagai memberikan tingkat perlindungan yang memadai untuk data pribadi.
9.3.1.1 Ketika Anda bertindak sebagai pengendali data dan MessageBird adalah pemroses data, EU Controller-to-Processor (Module Two) dari Klausul Kontrak Standar akan berlaku untuk setiap transfer Data Pribadi Pelanggan dari EEA. Ketika Anda bertindak sebagai pemroses data dan MessageBird adalah sub-pemroses, Processor-to-Processor (Module Three) dari Klausul Kontrak Standar akan berlaku untuk setiap transfer Data Pribadi Pelanggan dari EEA.
9.3.1.2 MessageBird akan dianggap sebagai pengimpor data dan Anda akan dianggap sebagai pengekspor data di bawah Klausul Kontrak Standar. Tanda tangan setiap pihak dari DPA ini akan dianggap sebagai penandatanganan Klausul Kontrak Standar yang berlaku, yang akan dianggap dimasukkan ke dalam DPA ini. Rincian yang diperlukan di bawah Lampiran 1 dan Lampiran 2 dari Klausul Kontrak Standar tersedia di Lampiran I dan Lampiran II dari DPA ini. Dalam hal konflik atau ketidaksesuaian antara DPA ini dan Klausul Kontrak Standar, Klausul Kontrak Standar akan berlaku hanya sehubungan dengan transfer Data Pribadi Pelanggan dari EEA.
9.3.1.3 Di mana Klausul Kontrak Standar memerlukan para pihak untuk memilih antara klausul opsi dan memasukkan informasi, para pihak telah melakukannya seperti dijelaskan di bawah ini:
i. Klausul Opsi 7 “Klausul docking” tidak akan diadopsi.
ii. Untuk Klausul 9 “Penggunaan sub-pemroses”, para pihak memilih opsi berikut: “Opsi 2 Otorisasi tertulis umum: pengimpor data memiliki otorisasi umum dari pengendali untuk keterlibatan sub-pemroses dari daftar yang disetujui. Pengimpor data secara khusus harus memberitahukan pengendali secara tertulis tentang setiap perubahan yang diusulkan pada daftar tersebut melalui penambahan atau penggantian sub-pemroses setidaknya 10 hari kerja sebelumnya, sehingga memberi pengendali waktu yang cukup untuk dapat menolak perubahan tersebut sebelum keterlibatan sub-pemroses. Pengimpor data harus memberikan informasi kepada pengekspor data yang diperlukan untuk memungkinkan pengekspor data menggunakan haknya untuk menolak. Pengimpor data harus memberi tahu pengekspor data tentang keterlibatan sub-pemroses.”
iii. Untuk Klausul 11 (a) “Gugatan”, para pihak tidak mengadopsi Opsi.
iv. Untuk Klausul 17 “Hukum yang mengatur”, para pihak memilih opsi berikut: “Opsi 1. Klausul ini akan diatur oleh hukum salah satu Negara Anggota UE, asalkan hukum tersebut memungkinkan hak penerima manfaat pihak ketiga. Para Pihak setuju bahwa ini adalah hukum Belanda.”
v. Untuk Klausul 18 (b) “Pilihan Forum dan Yurisdiksi”: “Para Pihak setuju bahwa ini akan menjadi pengadilan Belanda.”
9.3.2 Para pihak setuju bahwa Klausul Kontrak Standar Inggris akan berlaku untuk Data Pribadi Pelanggan yang ditransfer melalui Layanan dari Inggris Raya, baik secara langsung atau melalui transfer lanjutan, ke entitas MessageBird yang berlokasi di negara di luar Inggris Raya yang tidak diakui oleh otoritas regulasi atau badan pemerintah yang kompeten di Inggris Raya sebagai memberikan tingkat perlindungan yang memadai untuk data pribadi.
10. Audit
10.1 Laporan Audit. Platform komunikasi kami akan diaudit secara teratur sesuai dengan standar ISO 27001:2013 (atau setara). Audit tersebut dapat, atas kebijakan kami sendiri, berupa audit internal, atau audit yang dilakukan oleh pihak ketiga. Atas permintaan tertulis, kami akan memberikan kepada Anda ringkasan dari laporan audit (“Laporan Audit”), sehingga Anda dapat memverifikasi kepatuhan kami terhadap standar audit dan DPA ini. Laporan Audit tersebut, serta setiap kesimpulan atau temuan yang ditentukan di dalamnya, adalah Informasi Rahasia kami.
10.2 Permintaan informasi pelanggan. Kami akan menyediakan kepada Anda semua informasi yang wajar yang diperlukan untuk menunjukkan kepatuhan terhadap kewajiban yang ditetapkan dalam DPA ini. Kami akan memberikan tanggapan tertulis terhadap permintaan informasi yang wajar yang diajukan oleh Anda, termasuk tanggapan terhadap kuesioner keamanan informasi dan audit yang wajar dalam ruang lingkup dan diperlukan untuk mengonfirmasi kepatuhan dengan DPA ini, asalkan Anda (i) telah berusaha secara wajar untuk memperoleh informasi yang diminta dari Dokumentasi, Laporan Audit, dan informasi lain yang disediakan atau dipublikasikan oleh kami, dan (ii) tidak akan menggunakan hak ini lebih dari sekali per tahun, kecuali terjadi Pelanggaran Data Pribadi atau perubahan signifikan dalam aktivitas pemrosesan kami terkait dengan Layanan memerlukan kuesioner tambahan yang dilaksanakan. Semua tanggapan yang diberikan adalah Informasi Rahasia kami.
10.3 Audit Pelanggan. Jika Laporan Audit yang kami sediakan kepada Anda memberikan alasan yang beralasan untuk percaya bahwa kami melanggar kewajiban kami dalam DPA ini, terkait dengan Data Pribadi Pelanggan yang Anda berikan, kami akan mengizinkan auditor pihak ketiga yang independen dan berkualifikasi yang ditunjuk oleh Anda dan disetujui oleh kami, untuk mengaudit aktivitas pemrosesan Data Pribadi yang relevan, asalkan sebanyak mungkin diperbolehkan di bawah hukum yang berlaku, persyaratan berikut dipenuhi:
Anda harus memberikan kepada kami pemberitahuan yang cukup setidaknya enam puluh (60) hari sebelumnya sebelum melaksanakan hak untuk audit;
Auditor setuju dengan kewajiban kerahasiaan standar pasar dengan kami;
Anda dan auditor mengambil langkah-langkah untuk meminimalkan gangguan terhadap operasi bisnis kami;
Audit akan dilakukan selama jam kerja reguler;
Kami tidak wajib memberikan akses ke data pelanggan dari pelanggan lain atau sistem yang tidak terlibat dalam penyediaan Layanan; dan
Anda harus membayar semua biaya audit.
11. Penghapusan dan Pengembalian Data Pribadi Pelanggan
Upon termination or expiration of the Agreement, we will (at your election) delete or return to you all Customer Personal Data (including copies) in our possession or control, save that this requirement will not apply to the extent we are required by law to retain some or all of the Customer Personal Data. If you instruct us to delete Customer Personal Data, Customer Personal Data archived on our back up systems will be protected from further processing, and deleted when the required retention period has passed.
12. Komunikasi Afiliasi Pelanggan dan Hak
Memasuki DPA ini atas nama dan atas nama Afiliasi Pelanggan sebagaimana ditetapkan dalam Bagian 1.2 merupakan DPA terpisah antara kami dan Afiliasi Pelanggan tersebut, dengan ketentuan sebagai berikut:
12.1. Komunikasi. Pelanggan yang merupakan pihak dalam Perjanjian tetap bertanggung jawab untuk mengoordinasikan semua komunikasi dengan kami di bawah DPA ini dan berhak membuat dan menerima komunikasi apa pun terkait DPA ini atas nama Afiliasi Pelanggannya.
12.2 Hak-hak Afiliasi Pelanggan. Jika Afiliasi Pelanggan menjadi pihak dalam DPA dengan kami, sejauh yang diwajibkan oleh Undang-Undang Perlindungan Data, ia berhak untuk menjalankan hak dan mencari ganti rugi berdasarkan DPA ini, dengan ketentuan sebagai berikut:
(i) Kecuali Undang-Undang Perlindungan Data mengharuskan Afiliasi Pelanggan untuk menjalankan hak atau mencari ganti rugi berdasarkan DPA ini langsung terhadap MessageBird secara langsung oleh dirinya sendiri, para pihak menyetujui bahwa (i) hanya Pelanggan yang merupakan pihak dalam Perjanjian yang akan menjalankan hak tersebut atau mencari ganti rugi tersebut atas nama Afiliasi Pelanggan, dan (ii) Pelanggan yang merupakan pihak dalam Perjanjian harus menjalankan hak-hak tersebut berdasarkan DPA ini tidak secara terpisah untuk setiap Afiliasi Pelanggan secara individu tetapi secara gabungan untuk dirinya sendiri dan semua Afiliasi Pelanggannya bersama-sama.
(ii) Para pihak setuju bahwa Pelanggan yang merupakan pihak dalam Perjanjian, ketika audit di tempat mengenai prosedur yang relevan dengan perlindungan Data Pribadi Pelanggan sedang dilakukan atas namanya sebagaimana ditetapkan dalam Bagian 10.3 dari DPA ini, mengambil semua langkah yang wajar untuk membatasi dampak apa pun pada kami dengan menggabungkan, sejauh yang mungkin secara wajar, beberapa permintaan audit yang dilakukan atas nama dirinya sendiri dan semua Afiliasi Pelanggannya dalam satu audit tunggal.
Untuk kejelasan, Afiliasi Pelanggan tidak menjadi pihak dalam Perjanjian.
13. Undang-Undang Privasi Konsumen California.
Sejauh mana ini berlaku, kami membuat komitmen tambahan berikut kepada Anda sehubungan dengan pemrosesan Data Pribadi Pelanggan dalam lingkup CCPA.
13.1 Kewajiban Kami di Bawah Undang-Undang Perlindungan Data AS. Istilah-istilah “tujuan bisnis,” “tujuan komersial,” “konsumen,” “menjual,” dan “berbagi” sebagaimana digunakan dalam Pasal 13.1 ini memiliki arti sebagaimana diberikan dalam CCPA. Sejauh berlaku, kami harus mematuhi CCPA dan memperlakukan semua Data Pribadi Pelanggan yang tunduk pada CCPA dan Undang-Undang Perlindungan Data AS lainnya (“Data Pribadi AS”) sesuai dengan ketentuan CCPA dan Undang-Undang Perlindungan Data AS lainnya. Sehubungan dengan Data Pribadi AS, kami adalah penyedia layanan berdasarkan CCPA dan pemroses data berdasarkan Undang-Undang Perlindungan Data AS lainnya. Kami tidak akan menjual Data Pribadi AS. Kami tidak akan menyimpan, menggunakan, atau mengungkapkan Data Pribadi AS (i) untuk tujuan lain selain tujuan bisnis yang ditentukan dalam Perjanjian (termasuk menyimpan, menggunakan, atau mengungkapkan Data Pribadi AS untuk tujuan komersial selain tujuan bisnis yang ditentukan dalam Perjanjian atau sebagaimana diizinkan oleh CCPA atau undang-undang yang berlaku); atau (ii) di luar hubungan bisnis langsung antara Anda dan kami.
13.2 Kewajiban Pelanggan. Anda menyatakan dan menjamin bahwa Anda telah memberikan pemberitahuan kepada Pengguna Akhir bahwa Data Pribadi sedang digunakan atau dibagikan sesuai dengan Undang-Undang Perlindungan Data yang berlaku. Anda bertanggung jawab untuk mematuhi persyaratan Undang-Undang Perlindungan Data sejauh yang berlaku bagi Anda sebagai pengendali data.
14. Hukum yang Berlaku dan Penyelesaian Sengketa. Setiap sengketa, klaim, atau kontroversi (“Sengketa”) yang timbul dari atau terkait dengan DPA ini akan diatur oleh dan ditafsirkan sesuai dengan hukum Belanda. Setiap Pihak setuju bahwa pengadilan berwenang di Amsterdam akan memiliki yurisdiksi eksklusif untuk menyelesaikan setiap Sengketa yang timbul dari atau terkait dengan DPA ini.
