Perjanjian Pemrosesan Data Mei 2023
Perjanjian Pemrosesan Data ini berlaku untuk Anda jika Anda mendaftar untuk Layanan MessageBird (termasuk melalui Afiliasi mana pun) sebelum, pada, atau setelah 3 Mei 2023. Arsip Perjanjian Pemrosesan Data kami tersedia di sini.
Perjanjian Pemrosesan Data ini, termasuk lampiran-lampirannya, ("DPA") merupakan bagian dari Perjanjian antara MessageBird dan Pelanggan untuk pembelian layanan komunikasi (online) dari MessageBird untuk mencerminkan kesepakatan Para Pihak terkait pemrosesan Data Pribadi Pelanggan. Dalam DPA ini, istilah-istilah “Anda”, “milik Anda”, atau “Pelanggan” merujuk kepada Anda (sesuai dengan Bagian 1.2 di bawah), dan istilah-istilah “kami”, “kita,” “milik kami” atau “MessageBird” merujuk kepada kami. Istilah-Istilah yang Dikapitalisasi yang digunakan dalam DPA ini tetapi tidak didefinisikan di bawah ini didefinisikan dalam MessageBird Syarat dan Ketentuan Umum atau Perjanjian lain dengan kami yang mengatur penggunaan Layanan oleh Anda.
Para pihak menyetujui bahwa DPA ini akan menggantikan tambahan perlindungan data atau perjanjian serupa yang mungkin telah dibuat oleh para pihak sebelumnya sehubungan dengan Layanan.
1. Scope, Customer Affiliates and Term
1.1 Cakupan. DPA ini mengatur pemrosesan Data Pribadi Pelanggan oleh MessageBird sebagai pemroses.
1.2 Afiliasi Pelanggan. Pelanggan menyetujui DPA ini atas nama dirinya sendiri dan, sejauh yang diperlukan di bawah Undang-Undang Perlindungan Data, atas nama dan atas nama Afiliasinya (sebagaimana didefinisikan dalam Ketentuan), jika dan sejauh Anda memberikan akses kepada Afiliasi tersebut ke Layanan dan kami memproses Data Pribadi Pelanggan yang mana Afiliasi tersebut memenuhi syarat sebagai pengendali data (“Afiliasi Pelanggan”). Untuk tujuan DPA ini saja, dan kecuali jika dinyatakan lain, istilah “Pelanggan” dan “Anda” harus mencakup Pelanggan dan Afiliasi Pelanggan.
2. Definitions
“Account Data” adalah setiap Data Pribadi yang diberikan oleh atau untuk Anda kepada MessageBird sehubungan dengan penyusunan dan pengelolaan Perjanjian dan akun Anda, termasuk tetapi tidak terbatas pada informasi kontak, rincian penagihan, dan korespondensi tentang penyusunan dan pengelolaan Perjanjian dan Layanan terkait.
“CCPA” berarti Undang-Undang Privasi Konsumen California tahun 2018 dan peraturan apapun yang dibuat berdasarkan itu, dalam setiap kasus, sebagaimana diubah dari waktu ke waktu.
“Customer Data” berarti data dan informasi lain atau konten yang dikirimkan oleh Anda atau untuk Anda (atau oleh pengguna Aplikasi Pelanggan Anda) di bawah Perjanjian dan diproses atau disimpan oleh Layanan.
“Customer Personal Data” berarti Data Pribadi yang terdapat dalam Customer Data yang diproses oleh MessageBird sebagai pengolah, kecuali ditentukan lain dalam DPA ini.
“Data Protection Laws” berarti semua undang-undang dan peraturan dari yurisdiksi mana pun yang berlaku untuk kerahasiaan, privasi, keamanan, atau pemrosesan Data Pribadi di bawah Perjanjian, termasuk, misalnya dan jika berlaku, GDPR atau CCPA. .
“EEA” berarti, untuk tujuan DPA ini, Area Ekonomi Eropa dan Swiss.
“GDPR” berarti (i) Regulasi 2016/679 dari Parlemen Eropa dan Dewan tentang perlindungan orang alami sehubungan dengan pemrosesan Data Pribadi dan pergerakan data tersebut (Peraturan Perlindungan Data Umum); atau (ii) hanya sehubungan dengan Inggris, Undang-undang Perlindungan Data 2018.
“MessageBird” berarti Entitas MessageBird yang merupakan pihak dalam DPA ini, yaitu entitas kontrak yang tercantum dalam Bagian 15 dalam Syarat dan Ketentuan Umum (Entitas Kontrak), kecuali dinyatakan lain pada Formulir Pesanan Anda. Anda atau MessageBird juga dapat disebut secara individual sebagai “Pihak” dan bersama-sama sebagai “Para Pihak” dalam DPA ini.
“Personal Data” berarti informasi apa pun yang berkaitan dengan orang yang dapat diidentifikasi atau teridentifikasi secara langsung atau tidak langsung, baik dengan sendirinya atau dalam kombinasi dengan informasi lain.
“Personal Data Breach” berarti setiap penghancuran, kehilangan, perubahan, pengungkapan yang tidak disengaja, tidak sah, atau melanggar hukum, atau akses ke Customer Personal Data dan istilah serupa lainnya di bawah Hukum Perlindungan Data yang berlaku seperti “Pelanggaran Keamanan.”
“Services” berarti semua produk dan layanan yang disediakan oleh kami atau Afiliasi kami yang (a) dipesan oleh Anda di bawah Formulir Pesanan; atau (b) digunakan oleh Anda.
“Standard Contractual Clauses” berarti Pengendali ke Pengolah (Modul Dua) atau Pengolah ke Pengolah (Modul Tiga), sebagaimana berlaku, dari Klausul Kontraktual Standar untuk transfer Data Pribadi ke negara ketiga sesuai dengan Regulasi (EU) 2016/679 dari Parlemen Eropa dan Dewan yang disetujui oleh Keputusan Pelaksanaan Komisi Eropa (EU) 2021/914 tanggal 4 Juni 2021, sebagaimana saat ini ditetapkan di https://eurlex.europa.eu/eli/dec_impl/2021/914/oj,.
“Sub-processor” berarti entitas pihak ketiga yang memproses Customer Personal Data atas nama entitas MessageBird yang bertindak sebagai pengolah data atau Sub-pemroses.
“UK Standard Contractual Clauses” berarti salah satu atau semua dari berikut: (i) perjanjian transfer data internasional yang dikeluarkan oleh Komisioner Informasi Inggris di bawah bagian 119A dari DPA 2018; (ii) lampiran transfer data internasional untuk klausul kontraktual standar Komisi Eropa untuk transfer data internasional yang dikeluarkan oleh Komisioner Informasi Inggris di bawah bagian 119A dari DPA 2018; atau (iii) ketentuan kontraktual standar seperti yang dikeluarkan oleh Komisioner Informasi Inggris atau Komisi Eropa yang dapat menggantikan ketentuan ini dari waktu ke waktu.
Istilah seperti “pemrosesan”, “pengendali data”, “pemroses data”, “subjek data”, dll. harus memiliki makna yang diberikan kepada mereka di bawah GDPR. Definisi “pengendali data” termasuk “bisnis”, “konsumen”, “pengontrol”, dan “organisasi”; “pemroses data” termasuk “penyedia layanan”, “pemroses”, dan “perantara data”; “subjek data” termasuk “konsumen”, dan “individu”; serta “Data Pribadi” termasuk “informasi pribadi”, dalam setiap kasus sebagaimana didefinisikan di bawah CCPA, dan Hukum Perlindungan Data lainnya yang berlaku. Istilah “tujuan bisnis”, “tujuan komersial”, “menjual,” dan “berbagi” harus memiliki arti yang sama seperti dalam Hukum Perlindungan Data yang berlaku dan, dalam setiap kasus, istilah kognitifnya harus ditafsirkan sesuai.
3. Processing of Customer Personal Data
3.1 Tujuan. Kami akan memproses Data Pribadi Pelanggan hanya sejauh yang diperlukan (i) untuk menyediakan Layanan, termasuk transmisi komunikasi, memastikan keamanan layanan, memberikan laporan teknis dan pengiriman, menyediakan dukungan dan mengembangkan serta menerapkan perbaikan dan pembaruan sesuai instruksi terdokumentasi Anda kepada kami sebagai pemroses data seperti yang ditentukan dalam Bagian 3.2 dari DPA ini, (ii) untuk tujuan bisnis sah kami seperti yang ditentukan dalam Bagian 3.4 dari DPA ini sebagai pengendali data, dan (iii) seperti yang diwajibkan oleh hukum yang berlaku.
3.2 Instruksi Pelanggan. Perjanjian dan DPA ini merupakan instruksi lengkap Anda kepada kami sebagai pemroses data pada saat penandatanganan DPA ini. Kami akan mematuhi instruksi terdokumentasi lainnya asalkan instruksi tersebut konsisten dengan ketentuan Perjanjian.
3.3 Detail Pemrosesan. Lampiran I, Bagian B (Deskripsi transfer) dari Lampiran I dalam DPA ini menentukan sifat dan tujuan pemrosesan oleh kami sebagai pemroses data atau Pemroses Sub, aktivitas pemrosesan, durasi pemrosesan, jenis Data Pribadi, dan kategori subjek data.
3.4 Tujuan Bisnis Sah. Anda mengakui bahwa kami memproses Data Pribadi Pelanggan sebagai pengendali data independen sejauh yang diperlukan untuk tujuan bisnis sah berikut: penagihan, manajemen akun, pelaporan keuangan dan internal, memerangi dan mencegah ancaman keamanan, serangan siber, dan kejahatan siber yang dapat mempengaruhi Anda, kami, atau layanan kami, pemodelan bisnis (misalnya peramalan, perencanaan kapasitas dan pendapatan, dan strategi produk), pencegahan dan deteksi penipuan, spam, dan penyalahgunaan, peningkatan produk atau layanan dalam MessageBird suite, dan untuk mematuhi kewajiban hukum kami.
4. Kewajiban Pelanggan
4.1 Kebenaran Hukum. Di mana Anda bertindak sebagai pengendali data dari Data Pribadi Pelanggan, Anda menjamin bahwa semua kegiatan pemrosesan adalah sah, memiliki tujuan spesifik, dan semua pemberitahuan serta persetujuan yang diperlukan atau dasar hukum lainnya telah tersedia untuk memungkinkan transfer Data Pribadi Pelanggan yang sah. Jika Anda adalah pemroses data (dalam hal ini kami akan bertindak sebagai Sub-pemroses), Anda akan memastikan bahwa pengendali data yang relevan menjamin bahwa kondisi yang tercantum dalam Bagian 4.1 ini terpenuhi.
4.2 Kepatuhan. Anda bertanggung jawab sepenuhnya untuk (a) memastikan bahwa Anda mematuhi Undang-Undang Perlindungan Data yang berlaku untuk penggunaan Layanan Anda dan pemrosesan Data Pribadi Pelanggan Anda sendiri, (b) membuat penilaian independen apakah langkah-langkah teknis dan organisasi dari Layanan memenuhi persyaratan Anda, dan (c) menerapkan serta mempertahankan langkah-langkah privasi dan keamanan untuk komponen yang Anda sediakan atau kendalikan (termasuk namun tidak terbatas pada kata sandi, perangkat yang digunakan dengan Layanan dan Aplikasi Pelanggan).
5. Security
5.1 Langkah-langkah Keamanan. Mempertimbangkan keadaan seni, biaya penerapan dan sifat, ruang lingkup, konteks dan tujuan pemrosesan serta risiko dengan berbagai kemungkinan dan tingkat keparahan bagi hak dan kebebasan individu, kami akan menerapkan dan memelihara langkah-langkah keamanan teknis dan organisasi yang sesuai untuk melindungi Data Pribadi Pelanggan dari Pelanggaran Data Pribadi dan untuk menjaga keamanan, integritas, ketersediaan, ketahanan, dan kerahasiaan Data Pelanggan yang digunakan sistem kami untuk memproses Data Pribadi Pelanggan. Langkah-langkah keamanan yang diterapkan oleh kami dijelaskan di Lampiran II.
5.2 Pembaruan Langkah-langkah Keamanan. Anda bertanggung jawab untuk meninjau informasi yang tersedia dari kami terkait keamanan Data Pribadi Pelanggan dan membuat penilaian independen tentang apakah informasi tersebut memenuhi persyaratan dan kewajiban hukum Anda berdasarkan Undang-Undang Perlindungan Data. Anda mengakui bahwa langkah-langkah keamanan tunduk pada kemajuan dan pengembangan teknis, dan bahwa kami dapat memperbarui atau memodifikasi langkah-langkah keamanan kami dari waktu ke waktu, dengan ketentuan bahwa pembaruan dan modifikasi tersebut tidak mengakibatkan penurunan keamanan keseluruhan dari Data Pribadi Pelanggan.
5.3 Kontrol Akses. Kami menerapkan prinsip “perlu diketahui” dan “privilege minimum” memastikan bahwa akses ke Data Pribadi Pelanggan terbatas pada Personel yang diperlukan untuk penyediaan Layanan dan sesuai dengan Perjanjian, termasuk DPA ini.
5.4 Kerahasiaan Pemrosesan. Kami akan memastikan bahwa setiap orang atau pihak yang diberi wewenang oleh kami untuk memproses Data Pribadi Pelanggan (termasuk personel, agen, dan Sub-prosesor kami) diinformasikan tentang sifat rahasia dari Data Pribadi Pelanggan tersebut dan akan memiliki kewajiban kerahasiaan yang sesuai (baik kewajiban kontraktual maupun undang-undang) yang bertahan setelah pengakhiran keterlibatan mereka.
5.5 Tanggapan dan Pemberitahuan Pelanggaran Data Pribadi. Setelah menyadari adanya Pelanggaran Data Pribadi, kami akan tanpa penundaan yang tidak semestinya (i) memberi tahu Anda, (ii) menyelidiki Pelanggaran Data Pribadi, (iii) memberikan informasi tepat waktu terkait Pelanggaran Data Pribadi saat informasi tersebut diketahui atau jika diminta secara wajar oleh Anda, dan (iv) mengambil langkah-langkah yang wajar secara komersial untuk mengurangi efek dan mencegah terulangnya Pelanggaran Data Pribadi.
6. Assistance
6.1 Bantuan Perlindungan Data. Kami akan memberikan bantuan yang Anda minta secara wajar untuk memungkinkan Anda memenuhi kewajiban Anda berdasarkan Undang-Undang Perlindungan Data, termasuk pemberitahuan Pelanggaran Data Pribadi, menilai tingkat keamanan yang tepat dari pemrosesan, dan membantu Anda dengan pelaksanaan penilaian dampak perlindungan data yang relevan.
6.2 Bantuan dengan Hak Subjek Data. Kami akan memberikan Anda bantuan yang wajar untuk memungkinkan Anda memenuhi kewajiban Anda kepada subjek data yang menggunakan hak mereka berdasarkan Undang-Undang Perlindungan Data dengan menyediakan langkah-langkah teknis dan organisasi melalui akun Anda. Agar jelas, Anda sebagai pengontrol data bertanggung jawab untuk memproses setiap permintaan atau keluhan dari subjek data sehubungan dengan Data Pribadi Pelanggan dari subjek data.
7. Disclosure and Disclosure Requests
7.1 Batasan pada Pengungkapan dan Akses. Kami tidak akan memberikan akses atau mengungkapkan Data Pribadi Pelanggan kecuali (i) sebagaimana diarahkan oleh Anda, (ii) sebagaimana diatur dalam Perjanjian dan DPA ini, atau (iii) sebagaimana diwajibkan oleh hukum.
7.2 Permintaan Pengungkapan. Kami akan memberitahu Anda secepat mungkin jika kami menerima permintaan dari badan pemerintah atau badan pengatur untuk mengungkapkan Data Pribadi Pelanggan, kecuali pemberitahuan tersebut dilarang oleh hukum. Kami akan menangani permintaan pengungkapan sesuai dengan kebijakan permintaan pengungkapan yang tersedia di https://bird.com/legal/disclosure-requests.
8. Sub-processors
8.1 Daftar Sub-pemroses Saat Ini. Anda setuju dengan keterlibatan Sub-pemroses yang tercantum di ikhtisar MessageBird tentang Pemroses dan Subpemroses di bawah tajuk “Data Pribadi Pengguna Akhir”, yang berisi prosedur bagi Anda untuk berlangganan pemberitahuan perubahan penggunaan Sub-pemroses oleh kami. Jika Anda berlangganan pemberitahuan tersebut, dan dengan memperhatikan Bagian 8.3 dari DPA ini, kami akan membagikan detail perubahan Sub-pemroses segera setelah mungkin.
8.2 Penunjukan Sub-pemroses. Melalui DPA ini, Anda memberikan otorisasi tertulis umum kepada kami untuk melibatkan Sub-pemroses dalam pemrosesan Data Pribadi Pelanggan, dengan ketentuan Bagian 8.3 dari DPA ini dan persyaratan berikut:
Kami akan membatasi akses Sub-pemroses ke Data Pribadi Pelanggan hanya untuk apa yang benar-benar diperlukan untuk memberikan layanan yang ditentukan dalam perjanjian sub-pemroses;
Kami akan menyepakati kewajiban perlindungan data dengan Sub-pemroses yang sangat mirip dengan kewajiban di bawah DPA ini; dan
Kami tetap bertanggung jawab kepada Anda berdasarkan DPA ini atas pelaksanaan kewajiban perlindungan data oleh Sub-pemroses.
9. Cross Border Transfers of Customer Personal Data
9.1 Transfer Data Pribadi Pelanggan. Kami dapat mentransfer Data Pribadi Pelanggan dengan syarat bahwa semua perlindungan yang diperlukan oleh Undang-Undang Perlindungan Data telah diterapkan. Ini mungkin termasuk penilaian dampak transfer data sebelumnya, penerapan, pemantauan dan evaluasi langkah-langkah teknis, organisasi dan hukum tambahan, hak subjek data yang dapat ditegakkan, dan ketersediaan upaya hukum yang efektif bagi subjek data.
9.2 Klausul Kontrak Standar Sub-prosesor. Kecuali keputusan kecukupan atau mekanisme transfer alternatif berlaku, kami telah masuk ke dalam dan akan mempertahankan Klausul Kontrak Standar dengan Sub-prosesor (termasuk Afiliasi kami) yang berada di luar EEA, tunduk pada ketentuan yang ditetapkan dalam Bagian 9.1 dari DPA ini.
9.3 Mekanisme Transfer untuk Transfer Data Pribadi Pelanggan. Sejauh penggunaan Layanan oleh Anda memerlukan mekanisme transfer data lintas batas untuk mengekspor Data Pribadi Pelanggan secara sah dari yurisdiksi (misalnya EEA, California, Singapura, Swiss, atau Inggris) kepada kami yang berlokasi di luar yurisdiksi tersebut, bagian ini akan berlaku. Jika, dalam pelaksanaan Layanan, Data Pribadi Pelanggan yang tunduk pada GDPR atau undang-undang lain yang terkait dengan perlindungan atau privasi individu yang berlaku untuk DPA ini ditransfer ke MessageBird yang berlokasi di negara-negara yang tidak memastikan tingkat perlindungan data yang memadai dalam arti Undang-Undang Perlindungan Data, mekanisme transfer yang tercantum di bawah ini akan berlaku untuk transfer tersebut dan dapat langsung ditegakkan oleh para pihak sejauh transfer tersebut tunduk pada Undang-Undang Perlindungan Data.
9.3.1 Para pihak setuju bahwa Klausul Kontrak Standar akan berlaku untuk Data Pribadi Pelanggan yang ditransfer melalui Layanan dari EEA atau Swiss, baik secara langsung atau melalui transfer lanjutan, ke entitas MessageBird yang berlokasi di negara di luar EEA atau Swiss yang tidak diakui oleh Komisi Eropa (atau, dalam hal transfer dari Swiss, otoritas yang berwenang untuk Swiss) sebagai memberikan tingkat perlindungan yang memadai untuk data pribadi.
9.3.1.1 Ketika Anda bertindak sebagai pengendali data dan MessageBird sebagai pemroses data, maka EU Controller-to-Processor (Modul Dua) dari Klausul Kontrak Standar akan berlaku untuk setiap transfer Data Pribadi Pelanggan dari EEA. Ketika Anda bertindak sebagai pemroses data dan MessageBird sebagai sub-prosesor, maka Processor-to-Processor (Modul Tiga) dari Klausul Kontrak Standar akan berlaku untuk setiap transfer Data Pribadi Pelanggan dari EEA.
9.3.1.2 MessageBird akan dianggap sebagai pengimpor data dan Anda akan dianggap sebagai pengekspor data di bawah Klausul Kontrak Standar. Penandatanganan DPA ini oleh setiap pihak, akan dianggap sebagai penandatanganan Klausul Kontrak Standar yang berlaku, yang akan dianggap sebagai bagian dari DPA ini. Rincian yang diperlukan di bawah Lampiran 1 dan Lampiran 2 dari Klausul Kontrak Standar tersedia di Lampiran I dan Lampiran II dari DPA ini. Jika terjadi konflik atau inkonsistensi antara DPA ini dan Klausul Kontrak Standar, Klausul Kontrak Standar akan berlaku hanya sehubungan dengan transfer Data Pribadi Pelanggan dari EEA.
9.3.1.3 Di mana Klausul Kontrak Standar mengharuskan para pihak untuk memilih antara klausul opsional dan memasukkan informasi, para pihak telah melakukannya sebagaimana diatur di bawah ini:
i. Klausul Opsional 7 “Docking clause” tidak akan diadopsi.
ii. Untuk Klausul 9 “Penggunaan sub-prosesor”, para pihak memilih opsi berikut: “Opsi 2 Otorisasi tertulis umum: pengimpor data memiliki otorisasi umum dari pengendali untuk keterlibatan sub-prosesor dari daftar yang disetujui. Pengimpor data harus secara khusus menginformasikan pengendali secara tertulis tentang segala perubahan yang diusulkan pada daftar tersebut melalui penambahan atau penggantian sub-prosesor setidaknya 10 hari kerja sebelumnya, sehingga memberi pengendali waktu yang cukup untuk dapat menolak perubahan tersebut sebelum keterlibatan sub-prosesor. Pengimpor data harus memberikan informasi yang diperlukan kepada pengekspor data untuk memungkinkan pengekspor data melaksanakan haknya untuk menolak. Pengimpor data harus memberi tahu pengekspor data tentang keterlibatan sub-prosesor.”
iii. Untuk Klausul 11 (a) “Pemulihan”, para pihak tidak mengadopsi Opsi tersebut.
iv. Untuk Klausul 17 “Hukum yang berlaku”, para pihak memilih opsi berikut: “Opsi 1. Klausul ini akan diatur oleh hukum salah satu Negara Anggota Uni Eropa, asalkan hukum tersebut memungkinkan hak-hak pihak ketiga sebagai penerima manfaat. Para pihak sepakat bahwa ini akan menjadi hukum Belanda.”
v. Untuk Klausul 18 (b) “Pilihan Forum dan Yurisdiksi”: “Para pihak sepakat bahwa ini akan menjadi pengadilan di Belanda.”
9.3.2 Para pihak setuju bahwa Klausul Kontrak Standar UK akan berlaku untuk Data Pribadi Pelanggan yang ditransfer melalui Layanan dari Inggris, baik secara langsung atau melalui transfer lanjutan, ke entitas MessageBird yang berlokasi di negara di luar Inggris yang tidak diakui oleh otoritas pengaturan atau badan pemerintahan yang kompeten di Inggris sebagai memberikan tingkat perlindungan yang memadai untuk data pribadi.
10. Audit
10.1 Laporan Audit. Platform komunikasi kami akan diaudit secara rutin sesuai dengan standar ISO 27001:2013 (atau yang setara). Audit tersebut, atas kebijakan kami sendiri, dapat berupa audit internal, atau audit yang dilakukan oleh pihak ketiga. Atas permintaan tertulis, kami akan memberikan ringkasan laporan audit kepada Anda (“Laporan Audit”), sehingga Anda dapat memverifikasi kepatuhan kami dengan standar audit dan DPA ini. Laporan Audit tersebut, serta kesimpulan atau temuan yang ditentukan di dalamnya, adalah Informasi Rahasia kami.
10.2 Permintaan informasi pelanggan. Kami akan menyediakan kepada Anda semua informasi yang diperlukan untuk menunjukkan kepatuhan terhadap kewajiban yang tercantum dalam DPA ini. Kami akan memberikan tanggapan tertulis terhadap permintaan informasi yang membuat oleh Anda, termasuk tanggapan terhadap kuesioner keamanan informasi dan audit yang masuk akal dalam cakupan dan diperlukan untuk mengonfirmasi kepatuhan dengan DPA ini, dengan ketentuan bahwa Anda (i) telah terlebih dahulu melakukan upaya yang wajar untuk memperoleh informasi yang diminta dari Dokumentasi, Laporan Audit, dan informasi lain yang diberikan atau dipublikasikan oleh kami, dan (ii) tidak akan menggunakan hak ini lebih dari sekali per tahun, kecuali jika Pelanggaran Data Pribadi atau perubahan signifikan dalam kegiatan pemrosesan kami terkait dengan Layanan memerlukan dilaksanakannya kuesioner tambahan. Semua tanggapan yang diberikan adalah Informasi Rahasia kami.
10.3 Audit Pelanggan. Jika Laporan Audit yang diberikan oleh kami kepada Anda memberikan alasan yang dapat dibuktikan bahwa kami melanggar kewajiban kami berdasarkan DPA ini, terkait dengan Data Pribadi Pelanggan yang Anda berikan, kami akan mengizinkan auditor pihak ketiga yang independen dan berkualifikasi yang ditunjuk oleh Anda dan disetujui oleh kami, untuk mengaudit aktivitas pemrosesan Data Pribadi yang relevan, dengan ketentuan sepanjang diizinkan oleh hukum yang berlaku, persyaratan berikut dipenuhi:
Anda harus memberikan pemberitahuan yang wajar setidaknya enam puluh (60) hari sebelum menggunakan hak untuk audit;
Auditor setuju dengan kewajiban kerahasiaan standar pasar dengan kami;
Anda dan auditor mengambil langkah-langkah untuk meminimalkan gangguan terhadap operasi bisnis kami;
Audit akan dilakukan selama jam kerja reguler;
Kami tidak berkewajiban untuk memberikan akses ke data pelanggan pelanggan lainnya atau sistem yang tidak terlibat dalam penyediaan Layanan; dan
Anda harus membayar semua biaya audit.
11. Penghapusan dan Pengembalian Data Pribadi Pelanggan
Upon termination or expiration of the Agreement, we will (at your election) delete or return to you all Customer Personal Data (including copies) in our possession or control, save that this requirement will not apply to the extent we are required by law to retain some or all of the Customer Personal Data. If you instruct us to delete Customer Personal Data, Customer Personal Data archived on our back up systems will be protected from further processing, and deleted when the required retention period has passed.
12. Komunikasi dan Hak Afiliasi Pelanggan
Masuk ke dalam Perjanjian Pemrosesan Data ini atas nama dan atas nama Afiliasi Pelanggan sebagaimana diatur dalam Bagian 1.2 merupakan Perjanjian Pemrosesan Data yang terpisah antara kami dan Afiliasi Pelanggan tersebut, dengan tunduk pada ketentuan berikut:
12.1. Komunikasi. Pelanggan yang merupakan pihak dalam perjanjian ini harus tetap bertanggung jawab untuk mengoordinasikan semua komunikasi dengan kami di bawah Perjanjian Pemrosesan Data ini dan berhak untuk membuat dan menerima komunikasi apa pun terkait Perjanjian Pemrosesan Data ini atas nama Afiliasi Pelanggannya.
12.2 Hak Afiliasi Pelanggan. Apabila Afiliasi Pelanggan menjadi pihak dalam Perjanjian Pemrosesan Data dengan kami, maka sejauh yang diperlukan berdasarkan Hukum Perlindungan Data, berhak untuk melaksanakan hak dan mencari pemulihan di bawah Perjanjian Pemrosesan Data ini, dengan tunduk pada ketentuan berikut:
(i) Kecuali Hukum Perlindungan Data mengharuskan Afiliasi Pelanggan untuk melaksanakan hak atau mencari pemulihan di bawah Perjanjian Pemrosesan Data ini terhadap MessageBird secara langsung oleh dirinya sendiri, para pihak setuju bahwa (i) hanya Pelanggan yang merupakan pihak kontraktor dalam Perjanjianlah yang akan melaksanakan hak atau mencari pemulihan tersebut atas nama Afiliasi Pelanggannya, dan (ii) Pelanggan yang merupakan pihak kontraktor dalam Perjanjian akan melaksanakan hak-hak tersebut di bawah Perjanjian Pemrosesan Data ini tidak secara terpisah untuk masing-masing Afiliasi Pelanggan secara individu, tetapi secara gabungan untuk dirinya sendiri dan semua Afiliasi Pelanggannya secara bersama-sama.
(ii) Para pihak setuju bahwa Pelanggan yang merupakan pihak kontraktor dalam Perjanjian harus, ketika audit di lokasi atas prosedur terkait perlindungan Data Pribadi Pelanggan sedang dilakukan atas namanya sebagaimana diatur dalam Bagian 10.3 dari Perjanjian Pemrosesan Data ini, mengambil semua langkah yang wajar untuk membatasi dampak apa pun terhadap kami dengan menggabungkan, sejauh yang wajar mungkin, beberapa permintaan audit yang dilakukan atas nama dirinya sendiri dan semua Afiliasi Pelanggannya dalam satu audit tunggal.
Untuk kejelasan, Afiliasi Pelanggan tidak menjadi pihak kontraktor dalam Perjanjian.
13. California Consumer Privacy Act.
Sepanjang itu berlaku, kami membuat komitmen tambahan berikut kepada Anda terkait dengan pemrosesan Data Pribadi Pelanggan dalam lingkup CCPA.
13.1 Kewajiban Kami Di Bawah Undang-Undang Perlindungan Data AS. Istilah-istilah “business purpose,” “commercial purpose,” “consumer,” “sell,” dan “share” yang digunakan dalam Bagian 13.1 ini memiliki arti seperti yang diberikan dalam CCPA. Sejauh berlaku, kami akan mematuhi CCPA dan memperlakukan semua Data Pribadi Pelanggan yang tunduk pada CCPA dan Undang-Undang Perlindungan Data AS lainnya (“U.S. Personal Data”) sesuai dengan ketentuan CCPA dan Undang-Undang Perlindungan Data AS lainnya. Terkait dengan U.S. Personal Data, kami adalah penyedia layanan di bawah CCPA dan prosesor data di bawah Undang-Undang Perlindungan Data AS lainnya. Kami tidak akan menjual U.S. Personal Data. Kami tidak akan mempertahankan, menggunakan, atau mengungkapkan U.S. Personal Data (i) untuk tujuan lain selain business purposes yang ditentukan dalam Perjanjian (termasuk mempertahankan, menggunakan, atau mengungkapkan U.S. Personal Data untuk commercial purpose selain business purpose yang ditentukan dalam Perjanjian atau sebagaimana diizinkan oleh CCPA atau undang-undang yang berlaku); atau (ii) di luar hubungan bisnis langsung dengan Anda dan kami.
13.2 Kewajiban Pelanggan. Anda menyatakan dan menjamin bahwa Anda telah memberikan pemberitahuan kepada Pengguna Akhir bahwa Data Pribadi sedang digunakan atau dibagikan sesuai dengan Undang-Undang Perlindungan Data yang berlaku. Anda bertanggung jawab untuk mematuhi persyaratan Undang-Undang Perlindungan Data sejauh berlaku kepada Anda sebagai pengendali data.
14. Hukum yang Berlaku dan Penyelesaian Sengketa. Setiap sengketa, klaim, atau kontroversi (“Sengketa”) yang timbul dari atau terkait dengan DPA ini akan diatur oleh dan ditafsirkan sesuai dengan hukum Belanda. Setiap Pihak setuju bahwa pengadilan Amsterdam yang berwenang akan memiliki yurisdiksi eksklusif untuk menyelesaikan Sengketa yang timbul dari atau terkait dengan DPA ini.