Perjanjian Pemrosesan Data Februari 2024
Perjanjian Pemrosesan Data ini berlaku untuk Anda jika Anda mendaftar untuk Layanan kami (termasuk melalui Afiliasi kami) sebelum, pada, atau setelah 1 Februari 2024 pukul 1 siang CET. Perjanjian Pemrosesan Data kami yang diarsipkan tersedia di sini.
Perjanjian Pemrosesan Data ini, termasuk lampirannya, (“DPA”) merupakan bagian dari Perjanjian antara kami dan Pelanggan untuk pembelian layanan komunikasi (online) dari kami untuk mencerminkan kesepakatan Para Pihak sehubungan dengan pemrosesan Data Pribadi Pelanggan. Dalam DPA ini, istilah “Anda”, “milik Anda”, atau “Pelanggan” merujuk kepada Anda sebagai Pelanggan kami (tergantung pada Bagian 1.2 di bawah), dan istilah “kami”, “milik kami”, atau “penyedia” merujuk kepada kami sebagai Penyedia (sebagaimana didefinisikan di bawah). Istilah yang ditulis dengan huruf kapital yang digunakan dalam DPA ini tetapi tidak didefinisikan di bawah ini didefinisikan dalam Syarat dan Ketentuan Umum kami atau Perjanjian lain dengan kami yang mengatur penggunaan Layanan Anda.
1.1 Lingkup
Perjanjian Pemrosesan Data (DPA) ini mengatur pemrosesan Data Pribadi Pelanggan oleh kami sebagai pemroses.
1.2 Afiliasi Pelanggan
Pelanggan menandatangani DPA ini atas namanya sendiri dan, sejauh diperlukan di bawah Undang-Undang Perlindungan Data, atas nama dan untuk kepentingan Afiliasinya (sebagaimana didefinisikan dalam Ketentuan), jika dan sejauh Anda memberikan akses kepada Afiliasi tersebut ke Layanan dan kami memproses Data Pribadi Pelanggan di mana Afiliasi tersebut memenuhi syarat sebagai pengendali data (“Afiliasi Pelanggan”). Untuk tujuan DPA ini saja, dan kecuali dinyatakan sebaliknya, istilah “Pelanggan” dan “Anda” akan mencakup Pelanggan dan Afiliasi Pelanggan.
1.3 Ketentuan
DPA ini akan tetap berlaku selama kami memproses Data Pribadi Pelanggan yang tunduk pada DPA ini, meskipun perjanjian telah berakhir atau dihentikan.
2. Definitions
Account Data
“Account Data” adalah Data Pribadi yang diberikan oleh atau untuk Anda kepada kami sehubungan dengan masuknya dan pengelolaan Perjanjian dan akun Anda, termasuk tetapi tidak terbatas pada informasi kontak, detail penagihan dan korespondensi tentang masuknya dan pengelolaan Perjanjian dan Layanan terkait.
CCPA
"CCPA" berarti California Consumer Privacy Act tahun 2018 dan peraturan yang dikeluarkan di bawahnya, dalam setiap kasus, sebagaimana diubah dari waktu ke waktu.
Customer Data
“Customer Data” berarti data dan informasi atau konten lain yang diserahkan oleh Anda atau untuk Anda (atau oleh pengguna Aplikasi Pelanggan Anda) di bawah Perjanjian dan diproses atau disimpan oleh Layanan.
Customer Personal Data
“Customer Personal Data” berarti Data Pribadi yang terkandung dalam Customer Data yang diproses oleh kami sebagai pemroses, kecuali jika ditentukan lain dalam DPA ini.
Data Protection Laws
“Data Protection Laws” berarti semua undang-undang dan peraturan dari setiap yurisdiksi yang berlaku untuk kerahasiaan, privasi, keamanan, atau pemrosesan Data Pribadi di bawah Perjanjian, termasuk, sebagai contoh dan jika berlaku, GDPR atau CCPA.
EEA
“EEA” berarti, untuk keperluan DPA ini, Wilayah Ekonomi Eropa dan Swiss.
GDPR
“GDPR” berarti baik (i) Peraturan 2016/679 Parlemen Eropa dan Dewan tentang perlindungan orang alami sehubungan dengan pemrosesan Data Pribadi dan pergerakan bebas data tersebut (Peraturan Perlindungan Data Umum); atau (ii) hanya berkenaan dengan Inggris, Data Protection Act 2018.
Personal Data
“Personal Data” berarti informasi apa pun yang berkaitan dengan orang alami yang diidentifikasi atau dapat diidentifikasi secara langsung atau tidak langsung, baik sendiri atau dalam kombinasi dengan informasi lain.
Personal Data Breach
“Personal Data Breach” berarti setiap penghancuran, kehilangan, perubahan, pengungkapan, atau akses yang tidak disengaja, tidak sah, atau melanggar hukum terhadap Customer Personal Data dan istilah serupa lainnya di bawah Data Protection Laws yang berlaku seperti “Security Breach.”
Services
“Services” berarti semua produk dan layanan yang disediakan oleh kami atau Afiliasi kami yang (a) dipesan oleh Anda di bawah setiap Formulir Pesanan; atau (b) digunakan oleh Anda.
Provider
“Provider” berarti entitas kontrak kami yang merupakan pihak dalam DPA ini, sebagai entitas kontrak yang tercantum dalam Bagian 15 dalam Ketentuan Umum dan Syarat (Entitas Kontrak), kecuali dinyatakan lain pada Formulir Pesanan Anda. Anda atau Provider juga dapat disebut secara individual sebagai “Pihak” dan bersama-sama sebagai “Pihak-Pihak” dalam DPA ini.
Standard Contractual Clauses
“Standard Contractual Clauses” berarti Controller ke Processor (Module Two) atau Processor ke Processor (Module Three), sesuai, dari Standard Contractual Clauses untuk transfer Data Pribadi ke negara ketiga sesuai dengan Peraturan (EU) 2016/679 dari Parlemen Eropa dan Dewan yang disetujui oleh European Commission Implementing Decision (EU) 2021/914 pada 4 Juni 2021, sebagaimana saat ini ditetapkan di https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.
Sub-processor
“Sub-processor” berarti entitas pihak ketiga yang memproses Customer Personal Data atas nama Provider ketika Provider bertindak sebagai data processor atau sub-processor.
UK Standard Contractual Clauses
“UK Standard Contractual Clauses” berarti salah satu atau semua dari berikut ini: (i) perjanjian transfer data internasional yang dikeluarkan oleh UK Information Commissioner di bawah bagian 119A dari DPA 2018; (ii) addendum transfer data internasional ke standar kontrak komisi Eropa standar untuk transfer data internasional yang dikeluarkan oleh UK Information Commissioner di bawah bagian 119A dari DPA 2018; atau (iii) ketentuan kontraktual standar yang dikeluarkan oleh UK Information Commissioner atau European Commission yang dapat menggantikan ini dari waktu ke waktu. Istilah seperti “pemrosesan”, “pengontrol data”, “pemroses data”, “subjek data”, dll. memiliki arti yang diberikan di bawah GDPR. Definisi “pengontrol data” mencakup “bisnis”, “konsumen”, “pengendali”, dan “organisasi”; "pemroses data" mencakup “penyedia layanan”, “pemroses”, dan “perantara data”; “subjek data” mencakup “konsumen”, dan “individu”; dan “Data Pribadi” mencakup “informasi pribadi”, dalam setiap kasus sebagaimana didefinisikan di bawah CCPA, dan Data Protection Laws yang berlaku lainnya. Istilah “business purpose”, “commercial purpose”, “sell,” dan “share” akan memiliki arti yang sama seperti dalam Data Protection Laws yang berlaku dan, dalam setiap kasus, istilah kognatnya akan ditafsirkan sesuai.
3. Processing of Customer Personal Data
3.1 Tujuan
Kami akan memproses Data Pribadi Pelanggan hanya sejauh yang diperlukan (i) untuk menyediakan Layanan, termasuk transmisi komunikasi, memastikan keamanan layanan, menyediakan laporan teknis dan pengiriman, memberikan dukungan dan mengembangkan serta mengimplementasikan perbaikan dan pembaruan sesuai dengan instruksi terdokumentasi Anda kepada kami sebagai pemroses data sebagaimana ditentukan dalam Bagian 3.2 dari DPA ini, (ii) untuk tujuan bisnis sah kami sebagaimana ditentukan dalam Bagian 3.4 dari DPA ini sebagai pengendali data, dan (iii) sebagaimana diwajibkan oleh hukum yang berlaku.
3.2 Instruksi Pelanggan
Perjanjian dan DPA ini merupakan instruksi lengkap Anda kepada kami sebagai pemroses data pada saat penandatanganan DPA ini. Kami akan mematuhi instruksi lain yang didokumentasikan dengan wajar asalkan instruksi tersebut konsisten dengan ketentuan Perjanjian.
3.3 Rincian Pemrosesan
Lampiran I, Bagian B (Deskripsi transfer) dari Lampiran I pada DPA ini menetapkan sifat dan tujuan pemrosesan oleh kami sebagai pemroses data atau Sub-pemroses, aktivitas pemrosesan, durasi pemrosesan, jenis Data Pribadi, dan kategori subjek data.
3.4 Tujuan Bisnis Sah
Anda mengakui bahwa kami memproses Data Pribadi Pelanggan sebagai pengendali data independen sejauh yang diperlukan untuk tujuan bisnis sah berikut: penagihan, manajemen akun, pelaporan keuangan dan internal, memerangi dan mencegah ancaman keamanan, serangan siber, dan kejahatan dunia maya yang dapat memengaruhi Anda, kami atau layanan kami, pemodelan bisnis (misalnya peramalan, perencanaan kapasitas dan pendapatan, dan strategi produk), pencegahan dan deteksi penipuan, spam, dan penyalahgunaan, peningkatan rangkaian produk dan layanan kami, dan untuk memenuhi kewajiban hukum kami.
4. Customer Obligations
4.1 Kelayakan Hukum
Di mana Anda bertindak sebagai pengendali data dari Data Pribadi Pelanggan, Anda menjamin bahwa semua aktivitas pemrosesan adalah sah, memiliki tujuan spesifik, dan pemberitahuan serta persetujuan yang diperlukan atau dasar hukum lainnya sudah ada untuk memungkinkan transfer Data Pribadi Pelanggan secara sah. Jika Anda adalah pemroses data (dalam hal ini kami akan bertindak sebagai Sub-pemroses), Anda akan memastikan bahwa pengendali data yang relevan menjamin bahwa kondisi yang tercantum dalam Bagian 4.1 ini terpenuhi.
4.2 Kepatuhan
Anda sepenuhnya bertanggung jawab untuk (a) memastikan bahwa Anda mematuhi Undang-Undang Perlindungan Data yang berlaku untuk penggunaan Layanan oleh Anda dan pemrosesan Anda sendiri atas Data Pribadi Pelanggan, (b) membuat penilaian independen apakah langkah-langkah teknis dan organisasi dari Layanan memenuhi persyaratan Anda, dan (c) menerapkan dan memelihara langkah-langkah privasi dan keamanan untuk komponen yang Anda sediakan atau kontrol (termasuk namun tidak terbatas pada kata sandi, perangkat yang digunakan dengan Layanan dan Aplikasi Pelanggan).
5. Security
5.1 Langkah Keamanan
Mempertimbangkan kemajuan teknologi, biaya implementasi, serta sifat, ruang lingkup, konteks, dan tujuan pemrosesan, serta risiko berbagai kemungkinan dan keparahan terhadap hak dan kebebasan individu, kami akan menerapkan dan memelihara langkah-langkah keamanan teknis dan organisasi yang tepat untuk melindungi Data Pribadi Pelanggan dari Pelanggaran Data Pribadi dan untuk menjaga keamanan, integritas, ketersediaan, ketahanan, dan kerahasiaan Data Pelanggan yang sistem kami gunakan untuk memproses Data Pribadi Pelanggan. Langkah-langkah keamanan yang kami terapkan dijelaskan dalam Lampiran II.
5.2 Pembaruan pada Langkah Keamanan
Anda bertanggung jawab untuk meninjau informasi yang kami buat terkait keamanan Data Pribadi Pelanggan dan melakukan penilaian independen apakah informasi tersebut memenuhi persyaratan dan kewajiban hukum Anda di bawah Undang-Undang Perlindungan Data. Anda mengakui bahwa langkah-langkah keamanan tunduk pada kemajuan dan pengembangan teknis, dan bahwa kami dapat memperbarui atau mengubah langkah-langkah keamanan kami dari waktu ke waktu, asalkan pembaruan dan modifikasi tersebut tidak mengakibatkan penurunan keamanan keseluruhan Data Pribadi Pelanggan.
5.3 Kontrol Akses
Kami menerapkan prinsip "perlu diketahui" dan "sedikit mungkin" memastikan bahwa akses ke Data Pribadi Pelanggan dibatasi hanya untuk Personel yang diperlukan untuk penyediaan Layanan dan sesuai dengan Perjanjian, termasuk DPA ini.
5.4 Kerahasiaan Pemrosesan
Kami akan memastikan bahwa setiap orang atau pihak yang diberi wewenang oleh kami untuk memproses Data Pribadi Pelanggan (termasuk personel, agen, dan Sub-prosesor kami) diberitahu mengenai sifat rahasia dari Data Pribadi Pelanggan tersebut dan akan berada di bawah kewajiban kerahasiaan yang sesuai (baik kewajiban kontraktual atau hukum) yang bertahan setelah pemutusan keterlibatan mereka.
5.5 Respons dan Pemberitahuan Pelanggaran Data Pribadi
Setelah menyadari Pelanggaran Data Pribadi, kami akan tanpa penundaan yang tidak semestinya
(i) memberitahu Anda,
(ii) menyelidiki Pelanggaran Data Pribadi,
(iii) memberikan informasi tepat waktu terkait Pelanggaran Data Pribadi sebagaimana diketahui atau sebagaimana diminta secara wajar oleh Anda, dan (iv) mengambil langkah-langkah yang wajar secara komersial untuk mengurangi dampak dan mencegah berulangnya Pelanggaran Data Pribadi tersebut.
6. Assistance
6.1 Bantuan Perlindungan Data
Kami akan memberikan Anda bantuan yang wajar yang diminta untuk memungkinkan Anda memenuhi kewajiban Anda sesuai dengan Hukum Perlindungan Data, termasuk pemberitahuan tentang Pelanggaran Data Pribadi, menilai tingkat keamanan pemrosesan yang tepat, dan membantu Anda dengan pelaksanaan penilaian dampak perlindungan data yang relevan.
6.2 Bantuan dengan Hak Subjek Data
Kami akan memberikan Anda bantuan yang wajar untuk memungkinkan Anda memenuhi kewajiban Anda kepada subjek data yang menggunakan hak mereka sesuai dengan Hukum Perlindungan Data dengan menyediakan langkah-langkah teknis dan organisasi melalui akun Anda. Untuk menghindari keraguan, Anda sebagai pengendali data bertanggung jawab untuk memproses setiap permintaan atau keluhan dari subjek data terkait Data Pribadi Pelanggan dari subjek data.
7. Disclosure and Disclosure Requests
7.1 Batasan pada Pengungkapan dan Akses
Kami tidak akan memberikan akses atau mengungkapkan Data Pribadi Pelanggan kecuali (i) sesuai arahan Anda, (ii) sebagaimana diatur dalam Perjanjian dan DPA ini, atau (iii) sebagaimana diwajibkan oleh hukum.
7.2 Permintaan Pengungkapan
Kami akan memberitahu Anda secepat mungkin jika kami menerima permintaan dari badan pemerintah atau pengatur untuk mengungkapkan Data Pribadi Pelanggan, kecuali pemberitahuan tersebut dilarang oleh hukum. Kami akan menangani permintaan pengungkapan sesuai dengan kebijakan permintaan pengungkapan, yang tersedia di situs web kami di sini.
8. Sub-prosesor
8.1 Daftar Sub-prosesor Saat Ini
Anda setuju dengan keterlibatan Sub-prosesor terkait dengan Layanan, yang terdaftar di ikhtisar Sub-prosesor kami, yang juga memuat prosedur untuk Anda berlangganan notifikasi perubahan dalam penggunaan Sub-prosesor kami. Jika Anda berlangganan notifikasi tersebut, dan dengan memperhatikan Bagian 8.3 dari DPA ini, kami akan membagikan rincian setiap perubahan pada Sub-prosesor sesegera mungkin.
8.2 Penunjukan Sub-prosesor
Melalui DPA ini, Anda memberikan otorisasi tertulis umum kepada kami untuk melibatkan Sub-prosesor dalam pemrosesan Data Pribadi Pelanggan, dengan tetap memperhatikan Bagian 8.3 dari DPA ini dan persyaratan berikut:
Kami akan membatasi akses ke Data Pribadi Pelanggan oleh Sub-prosesor hanya untuk yang diperlukan secara ketat untuk menyediakan layanan yang ditentukan dalam perjanjian sub-prosesor;
Kami akan menyepakati kewajiban perlindungan data dengan Sub-prosesor yang secara substansial sama dengan kewajiban di bawah DPA ini; dan
Kami tetap bertanggung jawab kepada Anda sesuai DPA ini atas pelaksanaan kewajiban perlindungan data dari Sub-prosesor.
8.3 Pemberitahuan Perubahan kepada Sub-prosesor dan Hak untuk Menolak
Sebelum mengganti atau melibatkan Sub-prosesor baru (“Perubahan Sub-prosesor”), kami akan memberi Anda opsi untuk menolak Perubahan Sub-prosesor tersebut. Anda dapat menolak Perubahan Sub-prosesor dengan syarat (i) penolakan dilakukan secara tertulis dalam waktu sepuluh (10) hari kerja setelah pemberitahuan kami tentang Perubahan Sub-prosesor tersebut dan (ii) penolakan didasarkan dan menjelaskan dengan jelas alasan yang masuk akal terkait perlindungan Data Pribadi Pelanggan. Ketika Anda menolak Perubahan Sub-prosesor yang diusulkan, kami akan bekerja sama dengan Anda dengan itikad baik untuk membuat perubahan komersial yang masuk akal dalam penyediaan Layanan yang menghindari penggunaan Sub-prosesor terkait. Jika perubahan tersebut tidak dapat dilakukan secara wajar dalam tiga puluh (30) hari kerja sejak kami menerima pemberitahuan penolakan Anda, atau jika perubahan tersebut secara komersial tidak masuk akal bagi kami, masing-masing pihak dapat mengakhiri fitur aplikasi Layanan yang tidak dapat diberikan tanpa penggunaan Sub-prosesor terkait. Hak pengakhiran ini adalah satu-satunya dan eksklusif solusi Anda jika Anda menolak Perubahan Sub-prosesor.
9. Cross Border Transfers of Customer Personal Data
9.1 Transfer Data Pribadi Pelanggan
Kami dapat mentransfer Data Pribadi Pelanggan dengan syarat bahwa semua perlindungan yang sesuai yang diwajibkan oleh Undang-Undang Perlindungan Data ada. Ini dapat mencakup penilaian dampak transfer data sebelumnya, adopsi, pemantauan, dan evaluasi tindakan teknis, organisasi, dan hukum tambahan, hak subyek data yang dapat ditegakkan, dan tersedia pemulihan hukum yang efektif untuk subyek data.
9.2 Klausul Kontrak Standar Sub-prosesor
Kecuali ada keputusan kecukupan atau mekanisme transfer alternatif yang berlaku, seperti Kerangka Privasi Data EU-US, kami telah menyetujui dan akan mempertahankan Klausul Kontrak Standar dengan Sub-prosesor (termasuk Afiliasi kami) yang berlokasi di luar EEA, sesuai dengan ketentuan yang ditetapkan dalam Bagian 9.1 dari DPA ini.
9.3 Mekanisme Transfer untuk Transfer Data Pribadi Pelanggan
Sejauh penggunaan Layanan oleh Anda memerlukan mekanisme transfer data lintas batas untuk mengekspor Data Pribadi Pelanggan secara sah dari suatu yurisdiksi (misalnya EEA, California, Singapore, Swiss, atau Britania Raya) kepada kami yang berada di luar yurisdiksi tersebut, bagian ini akan berlaku. Jika, dalam pelaksanaan Layanan, Data Pribadi Pelanggan yang tunduk pada GDPR atau hukum lain yang terkait dengan perlindungan atau privasi individu yang berlaku pada DPA ini ditransfer ke entitas Penyedia berlokasi di negara-negara yang tidak menjamin tingkat perlindungan data yang memadai dalam pengertian Undang-Undang Perlindungan Data, mekanisme transfer yang tercantum di bawah ini akan berlaku untuk transfer tersebut dan dapat ditegakkan langsung oleh pihak-pihak sejauh transfer tersebut tunduk pada Undang-Undang Perlindungan Data.
9.3.1
Pihak-pihak setuju bahwa Klausul Kontrak Standar akan berlaku untuk Data Pribadi Pelanggan yang ditransfer melalui Layanan dari EEA atau Swiss, baik langsung atau melalui transfer berkelanjutan, ke entitas Penyedia yang berlokasi di negara di luar EEA atau Swiss yang tidak diakui oleh Komisi Eropa (atau, dalam hal transfer dari Swiss, otoritas yang berwenang untuk Swiss) sebagai menyediakan tingkat perlindungan data pribadi yang memadai.
9.3.1.1
Ketika Anda bertindak sebagai pengendali data dan kami adalah pengolah data, EU Controller-to-Processor (Module Two) dari Klausul Kontrak Standar akan berlaku untuk transfer Data Pribadi Pelanggan tersebut dari EEA. Ketika Anda bertindak sebagai pengolah data dan kami adalah sub-prosesor, Processor-to-Processor (Module Three) dari Klausul Kontrak Standar akan berlaku untuk transfer Data Pribadi Pelanggan tersebut dari EEA.
9.3.1.2
Kami akan dianggap sebagai pengimpor data dan Anda akan dianggap sebagai pengekspor data di bawah Klausul Kontrak Standar. Penandatanganan DPA ini oleh masing-masing pihak akan dianggap sebagai penandatanganan Klausul Kontrak Standar yang berlaku, yang akan dianggap dimasukkan ke dalam DPA ini. Rincian yang diperlukan berdasarkan Lampiran 1 dan Lampiran 2 pada Klausul Kontrak Standar tersedia dalam Lampiran I dan Lampiran II pada DPA ini. Jika ada konflik atau inkonsistensi antara DPA ini dan Klausul Kontrak Standar, Klausul Kontrak Standar akan diutamakan hanya terkait dengan transfer Data Pribadi Pelanggan dari EEA.
9.3.1.3
Di mana Klausul Kontrak Standar mensyaratkan pihak-pihak untuk memilih antara klausul opsional dan untuk memasukkan informasi, pihak-pihak telah melakukannya sebagaimana ditetapkan di bawah ini:
i. Klausul Opsional 7 “Klausul pelabuhan” tidak akan diadopsi.
ii. Untuk Klausul 9 “Penggunaan sub-prosesor”, pihak-pihak memilih opsi berikut: “Opsi 2 Otorisasi tertulis umum: pengimpor data memiliki otorisasi umum pengendali untuk keterlibatan sub-prosesor dari daftar yang disepakati. Pengimpor data harus secara khusus memberitahu pengendali secara tertulis tentang setiap perubahan yang dimaksudkan pada daftar tersebut melalui penambahan atau penggantian sub-prosesor setidaknya 10 hari kerja sebelumnya, sehingga memberikan cukup waktu kepada pengendali untuk dapat menolak perubahan tersebut sebelum keterlibatan sub-prosesor(s). Pengimpor data harus memberikan informasi yang diperlukan kepada pengekspor data untuk memungkinkan pengekspor data melaksanakan haknya untuk menolak. Pengimpor data harus memberi tahu pengekspor data tentang keterlibatan sub-prosesor(s).”
iii. Untuk Klausul 11 (a) “Pemulihan”, pihak-pihak tidak mengadopsi Opsi tersebut.
iv. Untuk Klausul 17 “Hukum yang berlaku”, pihak-pihak memilih opsi berikut: “Opsi 1. Klausul ini akan diatur oleh hukum salah satu Negara Anggota UE, asalkan hukum tersebut memungkinkan hak-hak pihak ketiga sebagai penerima manfaat. Pihak-pihak sepakat bahwa ini adalah hukum Belanda.”
v. Untuk Klausul 18 (b) “Pilihan Forum dan Yurisdiksi”: “Pihak-pihak sepakat bahwa forum tersebut adalah pengadilan di Belanda.”
9.3.2
Pihak-pihak setuju bahwa Klausul Kontrak Standar Inggris akan berlaku untuk Data Pribadi Pelanggan yang ditransfer melalui Layanan dari Britania Raya, baik langsung atau melalui transfer berkelanjutan, ke entitas Penyedia yang berlokasi di negara di luar Britania Raya yang tidak diakui oleh otoritas regulasi atau badan pemerintahan yang berwenang di Britania Raya sebagai menyediakan tingkat perlindungan yang memadai untuk data pribadi.
9.3.2.1
Kami akan dianggap sebagai pengimpor data dan Anda akan dianggap sebagai pengekspor data di bawah Klausul Kontrak Standar Inggris. Penandatanganan DPA ini oleh masing-masing pihak akan dianggap sebagai penandatanganan Klausul Kontrak Standar Inggris, yang akan dianggap dimasukkan ke dalam DPA ini. Rincian yang diperlukan berdasarkan Klausul Kontrak Standar Inggris tersedia dalam Lampiran I dan Lampiran II pada DPA ini. Jika ada konflik atau inkonsistensi antara DPA ini dan Klausul Kontrak Standar Inggris, Klausul Kontrak Standar Inggris akan diutamakan hanya terkait dengan transfer Data Pribadi Pelanggan dari Britania Raya.
10. Audit
10.1 Laporan Audit
Platform komunikasi kami akan diaudit secara berkala sesuai dengan standar ISO 27001 (atau setara). Audit dapat, atas kebijakan kami sendiri, berupa audit internal atau audit yang dilakukan oleh pihak ketiga. Atas permintaan tertulis, kami akan memberikan kepada Anda ringkasan laporan audit (“Laporan Audit”), sehingga Anda dapat memverifikasi kepatuhan kami terhadap standar audit dan DPA ini. Laporan Audit tersebut, serta kesimpulan atau temuan yang ditentukan di dalamnya, adalah Informasi Rahasia kami.
10.2 Permintaan Informasi Pelanggan
Kami akan menyediakan kepada Anda semua informasi yang cukup diperlukan untuk menunjukkan kepatuhan dengan kewajiban yang ditetapkan dalam DPA ini. Kami akan memberikan tanggapan tertulis terhadap permintaan informasi yang masuk akal yang dibuat oleh Anda, termasuk tanggapan terhadap kuesioner keamanan informasi dan audit yang masuk akal dalam ruang lingkup dan diperlukan untuk mengkonfirmasi kepatuhan dengan DPA ini, dengan ketentuan bahwa Anda (i) terlebih dahulu telah melakukan upaya yang wajar untuk memperoleh informasi yang diminta dari Dokumentasi, Laporan Audit, dan informasi lain yang disediakan atau dipublikasikan oleh kami, dan (ii) tidak akan melakukan hak ini lebih dari sekali per tahun, kecuali terjadi Pelanggaran Data Pribadi atau perubahan signifikan dalam kegiatan pemrosesan kami sehubungan dengan Layanan yang memerlukan kuesioner tambahan dilakukan. Semua tanggapan yang diberikan adalah Informasi Rahasia kami.
10.3 Audit Pelanggan
Jika sebuah Laporan Audit yang diberikan oleh kami kepada Anda memberikan alasan yang dapat dibuktikan untuk percaya bahwa kami melanggar kewajiban kami di bawah DPA ini, terkait dengan Data Pribadi Pelanggan yang diberikan oleh Anda, kami akan mengizinkan auditor pihak ketiga independen dan berkualifikasi yang ditunjuk oleh Anda dan disetujui oleh kami, untuk mengaudit kegiatan pemrosesan Data Pribadi yang relevan dan berlaku, dengan ketentuan bahwa sejauh mungkin yang diizinkan di bawah hukum yang berlaku, persyaratan berikut dipenuhi:
a) Anda harus memberikan kepada kami pemberitahuan yang wajar paling tidak enam puluh (60) hari sebelum melaksanakan hak untuk mengaudit;
b) Auditor menyetujui kewajiban kerahasiaan standar pasar dengan kami;
c) Anda dan auditor mengambil langkah-langkah untuk meminimalkan gangguan terhadap operasi bisnis kami;
d) Audit akan dilakukan selama jam kerja reguler;
e) Kami tidak akan diwajibkan memberikan akses ke data pelanggan pelanggan lain atau sistem yang tidak terlibat dalam penyediaan Layanan;
f) dan Anda harus menanggung semua biaya audit.
11. Penghapusan dan Pengembalian Data Pribadi Pelanggan
Upon termination or expiration of the Agreement, we will (at your election) delete or return to you all Customer Personal Data (including copies) in our possession or control, save that this requirement will not apply to the extent we are required by law to retain some or all of the Customer Personal Data. If you instruct us to delete Customer Personal Data, Customer Personal Data archived on our back up systems will be protected from further processing, and deleted when the required retention period has passed.
12. Komunikasi dan Hak Afiliasi Pelanggan
Masuk ke dalam DPA ini atas nama dan mewakili Afiliasi Pelanggan sebagaimana diatur dalam Bagian 1.2 merupakan DPA terpisah antara kami dan Afiliasi Pelanggan tersebut, tunduk pada hal-hal berikut:
12.1. Komunikasi
Pelanggan yang merupakan pihak kontrak dalam Perjanjian akan tetap bertanggung jawab untuk mengkoordinasikan semua komunikasi dengan kami di bawah DPA ini dan berhak untuk membuat dan menerima komunikasi apa pun yang berkaitan dengan DPA ini atas nama Afiliasi Pelanggannya.
12.2 Hak Afiliasi Pelanggan
Di mana Afiliasi Pelanggan menjadi pihak dalam DPA dengan kami, ia harus sejauh yang diperlukan di bawah Hukum Perlindungan Data berhak untuk melaksanakan hak dan mencari solusi di bawah DPA ini, tunduk pada hal-hal berikut: (i) Kecuali Hukum Perlindungan Data mengharuskan Afiliasi Pelanggan untuk melaksanakan hak atau mencari solusi di bawah DPA ini secara langsung oleh dirinya sendiri terhadap kami, para pihak setuju bahwa
(i) hanya Pelanggan yang merupakan pihak kontrak dalam Perjanjian yang akan melaksanakan hak tersebut atau mencari solusi tersebut atas nama Afiliasi Pelanggan, dan
(ii) Pelanggan yang merupakan pihak kontrak dalam Perjanjian akan melaksanakan hak tersebut di bawah DPA ini tidak secara terpisah untuk setiap Afiliasi Pelanggan secara individual tetapi secara gabungan untuk dirinya sendiri dan semua Afiliasi Pelanggannya bersama-sama. (ii) Para pihak setuju bahwa Pelanggan yang merupakan pihak kontrak dalam Perjanjian akan, ketika audit di tempat atas prosedur yang relevan dengan perlindungan Data Pribadi Pelanggan sedang dilakukan atas namanya sebagaimana diatur dalam Bagian 10.3 dari DPA ini, mengambil semua langkah yang wajar untuk membatasi dampak pada kami dengan menggabungkan, sejauh yang memungkinkan secara wajar, beberapa permintaan audit yang dilakukan atas nama dirinya sendiri dan semua Afiliasi Pelanggannya dalam satu audit tunggal.
Untuk kejelasan, Afiliasi Pelanggan tidak menjadi pihak kontrak dalam Perjanjian.
13. California Consumer Privacy Act
Sejauh berlaku, kami membuat komitmen tambahan berikut kepada Anda sehubungan dengan pemrosesan Data Pribadi Pelanggan dalam lingkup CCPA.
13.1 Kewajiban Kami Di Bawah Hukum Perlindungan Data AS
Istilah "business purpose," "commercial purpose," "consumer," "sell," dan "share" seperti yang digunakan dalam Bagian 13.1 ini memiliki arti sebagaimana ditentukan dalam CCPA. Sejauh yang berlaku, kami akan mematuhi CCPA dan memperlakukan semua Data Pribadi Pelanggan yang tunduk pada CCPA dan Hukum Perlindungan Data AS lainnya (“U.S. Personal Data”) sesuai dengan ketentuan CCPA dan Hukum Perlindungan Data AS lainnya. Sehubungan dengan U.S. Personal Data, kami adalah penyedia layanan di bawah CCPA dan pemroses data di bawah Hukum Perlindungan Data AS lainnya. Kami tidak akan menjual U.S. Personal Data. Kami tidak akan menyimpan, menggunakan atau mengungkapkan U.S. Personal Data (i) untuk tujuan apapun selain tujuan bisnis yang ditentukan dalam Perjanjian (termasuk menyimpan, menggunakan atau mengungkapkan U.S. Personal Data untuk tujuan komersial selain tujuan bisnis yang ditentukan dalam Perjanjian atau seperti yang diizinkan oleh CCPA atau hukum yang berlaku); atau (ii) di luar hubungan bisnis langsung dengan Anda dan kami.
13.2 Kewajiban Pelanggan
Anda menyatakan dan menjamin bahwa Anda telah memberikan pemberitahuan kepada Pengguna Akhir bahwa Data Pribadi sedang digunakan atau dibagikan sesuai dengan Hukum Perlindungan Data yang berlaku. Anda bertanggung jawab untuk mematuhi persyaratan Hukum Perlindungan Data sejauh berlaku bagi Anda sebagai pengendali data.
14. Hukum yang Mengatur dan Penyelesaian Sengketa
Setiap sengketa, klaim, atau kontroversi (“Sengketa”) yang timbul dari atau terkait dengan DPA ini akan diatur oleh dan ditafsirkan sesuai dengan hukum Belanda. Setiap Pihak setuju bahwa pengadilan Amsterdam yang berwenang memiliki yurisdiksi eksklusif untuk menyelesaikan setiap Sengketa yang timbul dari atau terkait dengan DPA ini.
13.1 Kewajiban Kami di Bawah Peraturan Perlindungan Data AS
Istilah-istilah “business purpose,” “commercial purpose,” “consumer,” “sell,” dan “share” seperti yang digunakan dalam Bagian 13.1 ini memiliki makna yang diberikan kepada mereka dalam CCPA. Sejauh yang berlaku, kami akan mematuhi CCPA dan memperlakukan semua Data Pribadi Pelanggan yang tunduk pada CCPA dan Peraturan Perlindungan Data AS lainnya (“Data Pribadi AS”) sesuai dengan ketentuan CCPA dan Peraturan Perlindungan Data AS lainnya. Sehubungan dengan Data Pribadi AS, kami adalah penyedia layanan di bawah CCPA dan pemroses data di bawah Peraturan Perlindungan Data AS lainnya. Kami tidak akan menjual Data Pribadi AS. Kami tidak akan menyimpan, menggunakan, atau mengungkapkan Data Pribadi AS (i) untuk tujuan apa pun selain tujuan bisnis yang ditentukan dalam Perjanjian (termasuk menyimpan, menggunakan, atau mengungkapkan Data Pribadi AS untuk tujuan komersial selain tujuan bisnis yang ditentukan dalam Perjanjian atau seperti yang diizinkan oleh CCPA atau hukum yang berlaku lainnya); atau (ii) di luar hubungan bisnis langsung dengan Anda dan kami.
LAMPIRAN I - RINCIAN PEMROSESAN
Jika berlaku, Lampiran I ini akan berfungsi sebagai Lampiran I untuk Klausul Kontraktual Standar EEA.
Lampiran I, Bagian A. Daftar Pihak
Istilah “tujuan bisnis,” “tujuan komersial,” “konsumen,” “menjual,” dan “berbagi” sebagaimana digunakan dalam Bagian 13.1 ini memiliki arti yang diberikan kepada mereka dalam CCPA. Sejauh berlaku, kami akan mematuhi CCPA dan memperlakukan semua Data Pribadi Pelanggan yang tunduk pada CCPA dan Undang-Undang Perlindungan Data AS yang berlaku lainnya (“Data Pribadi AS”) sesuai dengan ketentuan CCPA dan Undang-Undang Perlindungan Data AS lainnya. Terkait dengan Data Pribadi AS, kami adalah penyedia layanan di bawah CCPA dan pemroses data di bawah Undang-Undang Perlindungan Data AS lainnya. Kami tidak akan menjual Data Pribadi AS. Kami tidak akan menyimpan, menggunakan, atau mengungkapkan Data Pribadi AS (i) untuk tujuan lain selain tujuan bisnis yang ditentukan dalam Perjanjian (termasuk menyimpan, menggunakan, atau mengungkapkan Data Pribadi AS untuk tujuan komersial selain tujuan bisnis yang ditentukan dalam Perjanjian atau sebagaimana diizinkan oleh CCPA atau hukum yang berlaku); atau (ii) di luar hubungan bisnis langsung dengan Anda dan kami.
Pengekspor Data
Pelanggan
Detail kontak pengekspor data
Alamat yang tercantum dalam akun Pelanggan, atau alamat email pemilik akun Pelanggan, atau ke alamat email untuk mana Pelanggan memilih untuk menerima pemberitahuan di bawah Perjanjian.
Peran pengekspor data
Peran pengekspor data diuraikan dalam Bagian 4 DPA.
Tanda tangan dan tanggal
Jika dan ketika berlaku, pengekspor data dianggap telah menandatangani Klausul Kontraktual Standar yang dimasukkan di sini sejak Tanggal Efektif DPA.
Pengimpor Data
Penyedia
Detail kontak pengimpor data
Petugas Perlindungan Data - privacy@bird.com
Peran pengimpor data
Pengimpor data bertindak sebagai pemroses data.
Tanda tangan dan tanggal
Jika dan ketika berlaku, pengimpor data dianggap telah menandatangani Klausul Kontraktual Standar yang dimasukkan di sini sejak Tanggal Efektif DPA.
Lampiran I, Bagian B. Deskripsi Transfer
1. Kategori subjek data yang Data Pribadinya ditransfer.
Pengguna. Orang kontak (orang alami) atau karyawan, kontraktor, atau pekerja sementara (saat ini, calon, mantan) dari Pelanggan yang menggunakan Layanan (“Pengguna”);
Pengguna Akhir. Setiap individu (i) yang detail kontaknya termasuk dalam daftar kontak Pelanggan; (ii) yang informasinya disimpan pada atau dikumpulkan melalui Layanan, atau (ii) kepada siapa Pelanggan mengirim komunikasi atau sebaliknya terlibat atau berkomunikasi dengan melalui Layanan (secara kolektif, “Pengguna Akhir”). Anda sebagai Pelanggan yang menentukan kategori subjek data yang termasuk dalam komunikasi yang dikirim melalui platform komunikasi kami.
2. Kategori Data Pribadi yang ditransfer
Data Pribadi Pelanggan yang terkandung dalam, konten komunikasi, data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan.
Konten komunikasi, yang mungkin termasuk Data Pribadi atau karakteristik pribadi lainnya, tergantung pada konten komunikasi sebagaimana ditentukan oleh Anda sebagai Pelanggan.
Data lalu lintas, yang mungkin termasuk Data Pribadi Pelanggan tentang perutean, durasi atau waktu komunikasi seperti panggilan suara, SMS atau email, apakah itu berhubungan dengan individu atau perusahaan.
Data Pengguna Akhir, seperti nomor telepon, alamat email, nama depan, nama belakang, nama profil, negara, pengenal saluran.
Data penggunaan pelanggan, mungkin mengandung data yang dapat dihubungkan dengan Anda sebagai individu yang termasuk dalam data statistik dan informasi terkait dengan akun dan aktivitas layanan Anda, wawasan terkait layanan dan laporan analitik mengenai komunikasi yang dikirim dan dukungan pelanggan.
3. Data sensitif yang ditransfer
Data sensitif yang ditransfer (jika berlaku) dan batasan atau pengamanan yang diterapkan yang sepenuhnya mempertimbangkan sifat data dan risiko yang terlibat, seperti misalnya pembatasan tujuan yang ketat, pembatasan akses (termasuk akses hanya untuk personel yang telah mengikuti pelatihan khusus), menjaga catatan akses ke data, pembatasan untuk transfer lebih lanjut atau langkah-langkah keamanan tambahan.
a) Konten komunikasi. Data sensitif mungkin, dari waktu ke waktu, diproses melalui Layanan jika Anda atau Pengguna Akhir Anda memilih untuk menyertakan data sensitif dalam komunikasi yang dikirimkan menggunakan Layanan. Anda bertanggung jawab memastikan bahwa pengamanan yang sesuai ada sebelum mengirim atau memproses, atau sebelum mengizinkan Pengguna Akhir Anda untuk mengirim atau memproses data sensitif apapun melalui Layanan, sesuai dengan Bagian 3.2 dari Perjanjian.
b) Data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan. Tidak ada data sensitif yang terkandung dalam data lalu lintas, data Pengguna Akhir, atau data penggunaan pelanggan.
4. Frekuensi transfer
Frekuensi transfer (misalnya apakah data ditransfer sekali atau secara terus-menerus): Data Pribadi Pelanggan ditransfer secara terus-menerus selama durasi Perjanjian.
5. Sifat pemrosesan
Kami akan memproses Data Pribadi Pelanggan sejauh yang diperlukan untuk menyediakan Layanan di bawah Perjanjian. Kami tidak menjual Data Pribadi apapun, termasuk Data Pribadi Pelanggan, dan tidak membagikan Data Pribadi dengan pihak ketiga untuk kompensasi atau untuk kepentingan bisnis pihak ketiga tersebut.
6. Tujuan transfer data dan pemrosesan lebih lanjut
Kami akan memproses Data Pribadi Pelanggan sebagai pemroses data sesuai dengan instruksi Pelanggan sebagaimana ditetapkan dalam DPA ini, kecuali pemrosesan diperlukan untuk memenuhi kewajiban hukum yang menjadi tanggung jawab kami, dalam hal ini kami akan diklasifikasikan sebagai pengendali data.
Konten komunikasi, data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan. Data Pribadi yang terkandung dalam konten komunikasi, data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan akan dikenakan kegiatan pemrosesan dasar berikut:
a) Konten komunikasi. Penyediaan produk dan layanan komunikasi yang dapat diprogram, yang ditawarkan dalam bentuk antarmuka pemrograman aplikasi (API) atau melalui Dashboard, kepada Pelanggan, termasuk transmisi ke atau dari aplikasi perangkat lunak Pelanggan dari atau ke platform komunikasi kami, dan jaringan komunikasi lainnya.
b) Data lalu lintas. Data lalu lintas diproses untuk tujuan mengirimkan komunikasi pada jaringan komunikasi elektronik atau untuk penagihan sehubungan dengan komunikasi tersebut. Ini mungkin termasuk Data Pribadi Pelanggan tentang perutean, durasi atau waktu komunikasi seperti panggilan suara, SMS atau email, apakah itu berhubungan dengan individu atau perusahaan.
c) Data Pengguna Akhir. Data Pribadi Pengguna Akhir diperlukan untuk melakukan Layanan dan akan hanya diproses untuk tujuan pengiriman komunikasi, dukungan pelanggan, dan memastikan kepatuhan dengan kewajiban hukum kami.
d) Data penggunaan pelanggan. Data Pribadi yang terkandung dalam data penggunaan pelanggan akan dikenakan kegiatan pemrosesan dari penyediaan Layanan di bawah Perjanjian, dengan tujuan memberikan Pelanggan wawasan layanan terkait dan laporan analitik mengenai komunikasi yang dikirim, dukungan pelanggan, dan perbaikan berkelanjutan dari Layanan.
7. Periode Retensi Data Pribadi
Periode di mana Data Pribadi akan disimpan, atau, jika itu tidak mungkin, kriteria yang digunakan untuk menentukan periode tersebut: Konten komunikasi dan data lalu lintas. Untuk konten komunikasi dan data lalu lintas yang terkandung dalam Layanan SMS dan Suara, berlaku periode retensi enam bulan; Untuk konten komunikasi dan data lalu lintas Layanan Video disimpan selama minimal 30 hari hingga durasi yang disepakati dengan Anda; Untuk layanan Email, konten komunikasi dan data lalu lintas disimpan selama 72 jam; Untuk semua layanan lainnya, konten komunikasi dan data lalu lintas disimpan selama durasi Layanan, kecuali jika Anda menghapus konten komunikasi atau data lalu lintas melalui tindakan teknis dan organisasi yang disediakan oleh Anda melalui Layanan. Data Pengguna Akhir. Data Pengguna Akhir akan diproses selama durasi yang ditentukan oleh Pelanggan, ketika data Pengguna Akhir termasuk dalam profil kontak Anda, periode retensi default adalah selama durasi Layanan, tunduk pada Bagian 6(c) dari Lampiran I ini, Bagian B. Data penggunaan pelanggan. Setelah pemutusan Perjanjian, kami dapat menyimpan, menggunakan, dan mengungkapkan Data Penggunaan Pelanggan untuk tujuan yang ditetapkan dalam Bagian 6(d) dari Lampiran I ini, Bagian B, tunduk pada kewajiban kerahasiaan yang ditetapkan dalam Perjanjian. Kami akan menganonimkan atau menghapus data penggunaan pelanggan ketika kami tidak lagi memerlukannya untuk tujuan yang ditetapkan dalam Bagian 6(d) dari Lampiran I ini, Bagian B.
7. Retensi Data Pribadi
Periode di mana Data Pribadi akan disimpan, atau, jika itu tidak mungkin, kriteria yang digunakan untuk menentukan periode tersebut:
Konten komunikasi dan data lalu lintas;
Untuk konten komunikasi dan data lalu lintas yang terkandung dalam Layanan SMS dan Suara berlaku periode retensi enam bulan;
Untuk Layanan Video, konten komunikasi dan data lalu lintas disimpan selama minimal 30 hari hingga durasi yang disepakati dengan Anda;
Untuk layanan Email, konten komunikasi dan data lalu lintas disimpan selama 72 jam;
Untuk semua layanan lainnya, konten komunikasi dan data lalu lintas disimpan selama durasi Layanan, kecuali jika Anda menghapus konten komunikasi atau data lalu lintas melalui tindakan teknis dan organisasi yang disediakan melalui Layanan.
Data Pengguna Akhir akan diproses selama durasi yang ditentukan oleh Pelanggan, ketika data Pengguna Akhir termasuk dalam profil kontak Anda, periode retensi default adalah selama durasi Layanan, tunduk pada Bagian 6(c) dari Lampiran I ini, Bagian B.
Data penggunaan pelanggan: Setelah pemutusan Perjanjian, kami dapat menyimpan, menggunakan, dan mengungkapkan Data Penggunaan Pelanggan untuk tujuan yang ditetapkan dalam Bagian 6(d) dari Lampiran I ini, Bagian B, tunduk pada kewajiban kerahasiaan yang ditetapkan dalam Perjanjian. Kami akan menganonimkan atau menghapus data penggunaan pelanggan ketika kami tidak lagi memerlukannya untuk tujuan yang ditetapkan dalam Bagian 6(d) dari Lampiran I ini, Bagian B.
8. Untuk transfer ke (Sub-)pemroses
Untuk transfer ke (Sub-)pemroses, juga tentukan subjek, sifat, dan durasi pemrosesan: Untuk transfer ke Sub-pemroses, subjek dan sifat pemrosesan diuraikan pada ikhtisar Sub-pemroses kami, dan durasinya adalah selama Perjanjian.
Lampiran I, Bagian C. Otoritas Pengawas yang Berwenang
Otoritas Perlindungan Data Belanda (Autoriteit Persoonsgegevens) akan menjadi otoritas pengawas yang berwenang.
LAMPIRAN II - Langkah-langkah Keamanan Teknis dan Organisasi
Jika berlaku, Lampiran II ini akan berfungsi sebagai Lampiran II untuk Klausul Kontraktual Standar. Berikut ini memberikan informasi lebih lanjut mengenai langkah-langkah keamanan teknis dan organisasi yang diatur di bawah ini.
Langkah-langkah Keamanan Teknis dan Organisasi
Langkah-langkah pseudonimisasi dan perlindungan Data Pribadi saat penyimpanan dan pengiriman:
Semua Data Pribadi dienkripsi saat pengiriman dan penyimpanan, dan, sepanjang relevan dari sudut pandang keamanan, diperlakukan seolah-olah diklasifikasikan sebagai data sensitif. Informasi selalu dikirimkan melalui TLS dengan metodologi enkripsi terbaru secara default.
Langkah-langkah untuk memastikan kerahasiaan, integritas, ketersediaan, dan ketahanan yang berkelanjutan dari sistem dan layanan pemrosesan:
Kami membuat perjanjian yang mengandung ketentuan kerahasiaan dengan karyawan, kontraktor, vendor, dan Sub-prosesor kami. Kebijakan kelangsungan bisnis kami adalah mempersiapkan bisnis dan layanan kami dalam hal pemadaman berkepanjangan yang disebabkan oleh faktor-faktor di luar kendali kami dan untuk memulihkan layanan sejauh mungkin dalam kerangka waktu minimum. Kami memahami layanan yang kami berikan adalah misi kritis bagi pelanggan kami dan oleh karena itu tidak memiliki toleransi untuk gangguan layanan. Kerangka waktu pemulihan kami dirancang untuk memastikan bahwa kami dapat memenuhi kewajiban kami kepada semua pelanggan kami.
Proses untuk pengujian, penilaian, dan evaluasi reguler efektivitas langkah-langkah teknis dan organisasi untuk memastikan keamanan pemrosesan:
Tujuan keamanan informasi dan Sistem Manajemen Keamanan Informasi (ISMS) kami adalah untuk melindungi kerahasiaan, integritas, dan ketersediaan informasi bagi organisasi, karyawan, mitra, pelanggan, dan (sistem informasi yang sah), serta meminimalkan risiko kerusakan yang terjadi dengan mencegah insiden keamanan dan mengelola ancaman serta kerentanan keamanan. Tim Hukum kami, Pejabat Perlindungan Data, dan Tim Keamanan memastikan bahwa peraturan dan standar yang berlaku diperhitungkan dalam kerangka kerja keamanan kami.
Langkah-langkah untuk identifikasi dan otorisasi pengguna:
Kami mengikuti prinsip “perlu tahu” dan “privilege minimal”. Kami mempromosikan penggunaan kontrol akses berbasis peran. Penyediaan dan penghentian diatur oleh tim keamanan, dengan Single-Sign-On dan 2FA secara default. Pemilik telah ditetapkan untuk masing-masing aset informasi yang bertanggung jawab untuk memastikan akses ke sistem mereka sesuai dan ditinjau secara berkala. Setiap kali menangani informasi sensitif atau mengambil tindakan kritis, kami menggunakan prinsip empat mata.
Langkah-langkah untuk memastikan pencatatan peristiwa:
Log audit disimpan secara terpusat dan dipantau secara berkala untuk peristiwa keamanan dan dijaga agar tetap aman untuk menghindari risiko manipulasi. Kebijakan Manajemen Insiden menerapkan rencana respons insiden dan prosedurnya. Pedoman ini diikuti jika terjadi insiden keamanan atau teknis apa pun.
Langkah-langkah untuk memastikan konfigurasi sistem, termasuk konfigurasi default:
Kami mengikuti proses manajemen perubahan yang konsisten untuk semua perubahan di lingkungan produksi Platform Komunikasi sebagai Layanan. Untuk lebih jelasnya, semua permintaan perubahan (RFC) harus disetujui oleh pihak yang ditunjuk dan dilakukan sesuai dengan proses kontrol perubahan formal. Proses kontrol memastikan bahwa perubahan yang diusulkan ditinjau, diotorisasi, diuji, diterapkan, dan dirilis secara terkendali; dan bahwa status dari setiap perubahan yang diusulkan dipantau. Baseline konfigurasi diikuti untuk mengonfigurasi sistem secara aman dengan mengikuti praktik terbaik. Selain itu, di dalam departemen Teknik, radar teknologi digunakan untuk menentukan teknologi mana (bahasa, alat platform, basis data, dan alat manajemen data) yang dapat diadopsi atau perlu dihindari selama pengembangan.
Langkah-langkah untuk keamanan fisik
Kami secara aktif mempromosikan kebijakan “Bekerja dari Mana Saja” sehingga karyawan kami bebas bekerja dari mana saja yang mereka inginkan. Namun, kami masih memiliki kantor. Kami tidak memiliki area aman/data center di kantor kami karena kami adalah perusahaan berbasis cloud sepenuhnya. Lantai kantor kami dilindungi oleh kontrol akses fisik, CCTV, dan keamanan berjaga.
Langkah-langkah untuk tata kelola dan manajemen IT dan keamanan IT internal:
Kami mempertahankan program keamanan berbasis penilaian risiko, yang mencakup pengamanan administratif, organisasi, teknis, dan fisik yang dirancang untuk melindungi Layanan serta kerahasiaan, integritas, dan ketersediaan Data Pelanggan. Program keamanan informasi kami disusun dengan cara yang sistematis dan terorganisir dengan baik. Selain itu, persyaratan hukum dan peraturan berlaku untuk memastikan kerahasiaan, integritas, dan ketersediaan informasi bagi organisasi, karyawan, mitra, dan pelanggan. Semua ini diterjemahkan ke dalam kebijakan, prosedur, dan pedoman keamanan informasi kami. Kami memiliki Komite Pengarah Keamanan yang bertanggung jawab atas tingkat taktis keamanan informasi. Ini mencakup koordinasi aktivitas keamanan informasi dan penerjemahan aktivitas strategis menjadi aktivitas operasional untuk keamanan kami, dan pemeliharaan kepatuhan terhadap peraturan secara terus-menerus. Semua karyawan bertanggung jawab untuk menjaga aset perusahaan. Semua karyawan kami disaring untuk keahlian, pengalaman, dan integritas. Karyawan diberi informasi tentang keamanan dan perlindungan data pada tahap orientasi, serta melalui pelatihan tim spesifik berkala, dan presentasi seluruh perusahaan tentang pentingnya perlindungan data dan kepatuhan keamanan. Kami bersertifikat ISO 27001, standar keamanan informasi yang diakui secara global untuk Sistem Manajemen Keamanan Informasi (ISMS).
Semua penyedia hosting kami bersertifikat ISO 27001.
Kami juga terdaftar di Otoritas Belanda untuk Konsumen dan Pasar. Ini berarti kami selalu dapat diandalkan dan sepenuhnya transparan dengan klien kami.
Kami adalah Anggota Asosiasi Groupe Speciale Mobile (GSMA). GSMA mewakili kepentingan operator seluler di seluruh dunia.
Kami selalu mengikuti semua hukum dan peraturan yang berlaku, termasuk Peraturan Perlindungan Data Umum, dan Kerangka Kerja Perlindungan Data UE-AS.
Langkah-langkah untuk sertifikasi/jaminan proses dan produk:
Kami menjalani pengawasan ketat serta audit sertifikasi sebagai bagian dari kepatuhan ISO/IEC 27001 kami, dan secara teratur melakukan pengujian kerentanan aplikasi dan penetrasi.
Langkah-langkah untuk memastikan akuntabilitas:
kami menerapkan kebijakan keamanan informasi dan perlindungan data sesuai dengan hukum yang berlaku dan menerbitkan gambaran umum tentang informasi ISMS kami yang relevan (tautan). Kami telah menunjuk Direktur Keamanan, Pejabat Keamanan Informasi, Pejabat Kepatuhan, dan Pejabat Perlindungan Data yang berdedikasi, serta memelihara dokumentasi aktivitas pemrosesan kami, termasuk pencatatan dan pelaporan insiden keamanan yang melibatkan Data Pribadi jika berlaku.
Langkah-langkah untuk memastikan penghapusan data:
Kami memastikan penghapusan data melalui proses penghapusan otomatis dalam lingkungan komunikasi dan infrastruktur kami. Proses penghapusan data ini memastikan bahwa semua data yang tidak lagi diperlukan untuk memenuhi tujuan tertentu dihapus dari sistem kami setelah diproses.