Lampiran Perlindungan Data SparkPost
Dokumen
Konten
Dalam memberikan layanan SparkPost kepada pelanggan kami, SparkPost mungkin memproses data pribadi atas nama pelanggan kami di mana data pribadi tersebut tunduk pada undang-undang perlindungan data UE seperti GDPR. Untuk tujuan ini, kami menawarkan addendum perlindungan data (DPA) seperti yang tercantum di bawah ini. DPA hanya akan mengikat secara hukum dan berlaku jika: (1) ditandatangani di sini; dan (2) Anda adalah pelanggan SparkPost pada tanggal DPA sepenuhnya ditandatangani. Harap dicatat bahwa karena kami memiliki begitu banyak pelanggan, kami tidak dapat mengubah DPA untuk pelanggan tertentu mana pun. Namun, jika Anda memiliki pertanyaan tentang DPA, silakan hubungi kami di privacy@sparkpost.com.
Definisi
“Afiliasi” berarti entitas yang secara langsung atau tidak langsung mengendalikan, dikendalikan oleh, atau berada di bawah kendali bersama dengan entitas yang dimaksud. “Kendali,” untuk tujuan definisi ini, berarti kepemilikan atau pengendalian langsung atau tidak langsung dari lebih dari 50% kepentingan suara entitas yang dimaksud.
“Perjanjian” berarti Syarat Penggunaan dan Pesanan terkait, yang bersama-sama mengatur penyediaan dan penggunaan Layanan.
“CCPA” berarti Undang-Undang Privasi Konsumen California tahun 2018 dan peraturan yang dikeluarkan di bawahnya, dalam setiap kasus, sebagaimana diubah dari waktu ke waktu.
“Klausul Kontrak Standar Pengendali/Pengolah” berarti modul “Pengendali ke Pengolah” (Modul 2) dari Klausul Kontrak Standar untuk transfer data pribadi ke negara ketiga sesuai dengan GDPR dan Keputusan Pelaksanaan Komisi Eropa (EU) 2021/914 tanggal 4 Juni 2021.
“Hukum Perlindungan Data” berarti semua hukum dan peraturan dari yurisdiksi manapun yang berlaku pada kerahasiaan, privasi, keamanan, atau Pengolahan Data Pribadi berdasarkan Perjanjian, termasuk, jika berlaku, GDPR, CCPA, dan semua hukum serta peraturan lain yang terkait dengan privasi, pemasaran langsung, atau perlindungan data. “Pengendali Data” berarti entitas, sendirian atau bersama dengan yang lain, yang menentukan tujuan dan cara Pengolahan Data Pribadi.
“Pengolah Data” berarti entitas yang Mengolah Data Pribadi atas nama Pengendali Data. “Subjek Data” berarti individu yang berkaitan dengan Data Pribadi.
“Permintaan Subjek Data” berarti permintaan Subjek Data untuk menjalankan hak orang tersebut berdasarkan Hukum Perlindungan Data sehubungan dengan Data Pribadi orang tersebut, termasuk, tanpa batasan, hak untuk mengakses, memperbaiki, mengubah, mentransfer, memperoleh salinan, keberatan terhadap pengolahan, memblokir, menghapus, atau memilih keluar dari penjualan Data Pribadi tersebut. “EEA” berarti Kawasan Ekonomi Eropa dan Swiss.
“GDPR” berarti (i) Regulasi 2016/679 Parlemen Eropa dan Dewan mengenai perlindungan orang alami sehubungan dengan pengolahan Data Pribadi dan pergerakan bebas data tersebut (Regulasi Perlindungan Data Umum); atau (ii) hanya sehubungan dengan Britania Raya, Undang-Undang Perlindungan Data 2018.
“Data Pribadi” berarti informasi apapun yang mengidentifikasi, berkaitan, mendeskripsikan, atau mampu diasosiasikan secara wajar dengan orang alami atau rumah tangga yang teridentifikasi atau dapat dikenali.
“Pengolahan” berarti operasi apapun atau serangkaian operasi yang dilakukan pada Data Pribadi atau pada kumpulan Data Pribadi, baik secara otomatis maupun tidak, seperti pengumpulan, perekaman, pengorganisasian, pengaturan, penyimpanan, adaptasi atau perubahan, pengambilan, konsultasi, penggunaan, pengungkapan melalui transmisi, penyebaran atau melalui cara lain yang tersedia, penyelarasan atau penggabungan, pembatasan, penghapusan, atau penghancuran.
“Klausul Kontrak Standar Pengolah/Sub-Pengolah” berarti modul “Pengolah ke Pengolah” (Modul 3) dari Klausul Kontrak Standar untuk transfer data pribadi ke negara ketiga sesuai dengan GDPR dan Keputusan Pelaksanaan Komisi Eropa (EU) 2021/914 tanggal 4 Juni 2021.
“Regulator” berarti otoritas perlindungan data Eropa atau otoritas regulasi, pemerintah, atau pengawas lainnya yang memiliki wewenang atas semua atau sebagian dari (a) penyediaan atau penerimaan Layanan; (b) Pengolahan Data Pribadi sehubungan dengan Layanan; atau (c) bisnis atau personel SparkPost yang berkaitan dengan Layanan.
“Insiden Keamanan” berarti setiap penghancuran, kehilangan, perubahan, pengungkapan, akses tidak sah, atau enkripsi Data Pribadi yang tidak disengaja, tidak sah, atau ilegal.
“Layanan” berarti setiap produk atau layanan yang diberikan oleh SparkPost kepada Pelanggan berdasarkan Perjanjian.
“Klausul Kontrak Standar EEA” berarti (i) Klausul Kontrak Standar Pengendali/Pengolah; atau (ii) Klausul Kontrak Standar Pengolah/Sub-pengolah, baik secara individu maupun kolektif, sesuai dengan yang berlaku.
“Sub-pengolah” berarti entitas yang Mengolah Data Pribadi atas nama entitas yang bertindak sebagai Pengolah atau Sub-pengolah.
“Klausul Kontrak Standar Inggris” berarti klausul kontrak standar untuk transfer data pribadi kepada pengolah yang berada di negara ketiga dalam bentuk yang ditetapkan oleh Keputusan Komisi Eropa 2010/87/EU, sebagaimana mungkin diubah, dimodifikasi, atau diganti oleh Komisi Eropa.
Hubungan dengan perjanjian
Para pihak setuju bahwa DPA ini akan menggantikan adendum perlindungan data yang ada atau perjanjian serupa yang mungkin telah dibuat oleh para pihak sebelumnya sehubungan dengan Layanan.
DPA ini berlaku di mana dan hanya sejauh SparkPost Memproses Data Pribadi yang tunduk pada Undang-Undang Perlindungan Data dalam penyediaan Layanan sesuai dengan Perjanjian.
Kecuali perubahan yang dibuat oleh DPA ini, Perjanjian tetap tidak berubah dan tetap berlaku sepenuhnya. Jika ada konflik antara ketentuan DPA ini dan ketentuan Perjanjian, DPA ini akan lebih diutamakan sejauh konflik tersebut. Dalam keadaan di mana SparkPost mengandalkan Klausul Kontraktual Standar EEA atau Klausul Kontraktual Standar Inggris (secara kolektif, “Klausul Kontraktual Standar”), yang berlaku untuk mentransfer Data Pribadi, Klausul Kontraktual Standar yang berlaku akan lebih diutamakan jika ada konflik dengan DPA ini.
Setiap klaim yang diajukan berdasarkan atau sehubungan dengan DPA ini akan tunduk pada syarat dan ketentuan, termasuk tetapi tidak terbatas pada, pengecualian dan batasan yang ditetapkan dalam Perjanjian. Pihak setuju bahwa tidak ada batasan tanggung jawab yang ditetapkan dalam Perjanjian yang akan berlaku untuk tanggung jawab pihak terhadap Subjek Data berdasarkan ketentuan penerima manfaat pihak ketiga dari Klausul Kontraktual Standar sejauh batasan tanggung jawab tersebut dilarang oleh Undang-Undang Perlindungan Data.
DPA ini akan diatur oleh dan diartikan sesuai dengan ketentuan hukum dan yurisdiksi yang berlaku dalam Perjanjian, kecuali diperlukan sebaliknya oleh Undang-Undang Perlindungan Data yang berlaku. DPA ini akan tetap berlaku selama SparkPost Memproses Data Pribadi, terlepas dari berakhirnya atau diakhirinya Perjanjian.Peran dan cakupan pemrosesan.
Peran Para Pihak.
Pihak mengakui dan menyetujui bahwa, antara SparkPost dan Pelanggan: Sehubungan dengan Data Pribadi dari siapa pun yang mengakses dan/atau menggunakan Layanan melalui Akun Pelanggan (“Pengguna”), Pelanggan adalah Pengendali dan SparkPost adalah Pemroses Data Pribadi Pengguna; dan sehubungan dengan Data Pribadi siapa pun: (i) alamat emailnya termasuk dalam daftar penerima Pelanggan; (ii) informasinya disimpan pada atau dikumpulkan melalui Layanan, atau (ii) kepada siapa Pengguna mengirim email atau berinteraksi atau berkomunikasi dengan melalui Layanan (secara kolektif, “Penerima”), Pelanggan adalah Pemroses dan SparkPost adalah Sub-pemroses Data Pribadi Penerima.
Pemrosesan Data Pribadi oleh Pelanggan.
Pelanggan setuju bahwa mereka akan mematuhi kewajibannya berdasarkan Undang-Undang Perlindungan Data yang berlaku dalam hal Pemrosesan Data Pribadi mereka sehubungan dengan Layanan dan sehubungan dengan setiap instruksi Pemrosesan yang terdokumentasi yang mereka keluarkan kepada SparkPost.
Pemrosesan Data Pribadi oleh SparkPost. Pelanggan menginstruksikan SparkPost untuk Memproses Data Pribadi sesuai dengan Perjanjian (termasuk, tanpa batasan, untuk melaksanakan kewajiban lainnya dan melaksanakan haknya berdasarkan Perjanjian) dan mematuhi instruksi lain yang wajar dari Pelanggan (misalnya, melalui email) di mana instruksi-instruksi tersebut konsisten dengan Perjanjian. SparkPost harus: (i) Memproses Data Pribadi hanya atas nama Pelanggan dan sesuai dengan instruksi-instruksi hukum Pelanggan yang terdokumentasi dan harus memperlakukan Data Pribadi sebagai informasi rahasia yang tunduk pada ketentuan kerahasiaan Perjanjian; (ii) segera memberi tahu Pelanggan secara tertulis jika, menurut pendapat masuk akal dari SparkPost, SparkPost percaya bahwa instruksi apa pun yang diberikan oleh Pelanggan melanggar Undang-Undang Perlindungan Data; (iii) melaksanakan Layanan dan Memproses Data Pribadi sesuai Undang-Undang Perlindungan Data dan Perjanjian; (iv) segera memberi tahu Pelanggan tentang ketidakpatuhan apa pun dengan DPA ini. Para pihak setuju bahwa DPA dan Perjanjian ini mengatur instruksi lengkap dan akhir dari Pelanggan kepada SparkPost terkait pemrosesan Data Pribadi dan pemrosesan di luar ruang lingkup instruksi ini (jika ada) akan memerlukan perjanjian tertulis sebelumnya antara Pelanggan dan SparkPost.
Detail Pemrosesan Data.
Subjek materi: Subjek materi dari pemrosesan data di bawah DPA ini adalah Data Pribadi.Durasi: Antara SparkPost dan Pelanggan, durasi pemrosesan data di bawah DPA ini adalah hingga penghentian Perjanjian sesuai dengan persyaratannya.
Tujuan: Tujuan dari pemrosesan data di bawah DPA ini adalah penyediaan Layanan kepada Pelanggan dan pelaksanaan SparkPost sesuai dengan Perjanjian (termasuk DPA ini) atau sebagaimana disetujui oleh para pihak.
Sifat pemrosesan: SparkPost menyediakan pengiriman email, analitik, dan layanan intelijen serta layanan terkait lainnya, sebagaimana dijelaskan dalam Perjanjian.Kategori subjek data: Pengguna dan Penerima.
Jenis Data Pribadi:
Pelanggan dan Pengguna: data identifikasi dan kontak (nama, alamat, jabatan, detail kontak, nama pengguna); informasi keuangan (detail akun, informasi pembayaran); detail pekerjaan (pemberi kerja, jabatan, lokasi geografis, area tanggung jawab);
Penerima: data identifikasi dan kontak (nama, alamat email, dan data demografi dan segmen lain yang disediakan oleh Pelanggan); informasi TI (alamat IP, data penggunaan, data cookie, data navigasi online, data lokasi, data browser).
California Consumer Privacy Act.
SparkPost akan mematuhi CCPA dan memperlakukan semua Data Pribadi yang tunduk pada CCPA (“Data Pribadi CCPA”) sesuai dengan ketentuan CCPA. Sehubungan dengan Data Pribadi CCPA, SparkPost adalah penyedia layanan di bawah CCPA. SparkPost tidak akan (a) menjual Data Pribadi CCPA; (b) menyimpan, menggunakan atau mengungkapkan Data Pribadi CCPA untuk tujuan apa pun selain untuk tujuan khusus menyediakan Layanan, termasuk menyimpan, menggunakan atau mengungkapkan Data Pribadi CCPA untuk tujuan komersial selain menyediakan Layanan; atau (c) menyimpan, menggunakan atau mengungkapkan Data Pribadi CCPA di luar hubungan bisnis langsung antara SparkPost dan Pelanggan. Para pihak mengakui dan menyetujui bahwa Pemrosesan Data Pribadi CCPA yang diotorisasi oleh instruksi Pelanggan yang dijelaskan dalam Perjanjian dan DPA ini adalah bagian integral dan merupakan bagian dari penyediaan Layanan oleh SparkPost dan hubungan bisnis langsung antara para pihak. Para pihak mengakui dan menyetujui bahwa akses SparkPost ke Data Pelanggan tidak merupakan bagian dari pertimbangan yang ditukar oleh pihak terkait dengan Perjanjian. Sejauh bahwa setiap Data Penggunaan dianggap sebagai Data Pribadi CCPA, SparkPost adalah bisnis sehubungan dengan data tersebut dan akan Memproses data tersebut sesuai dengan Kebijakan Privasi mereka, yang dapat ditemukan di https://www.sparkpost.com/policies/privacy/. Istilah “bisnis”, “tujuan komersial”, “penyedia layanan”, dan “menjual” yang digunakan dalam Bagian ini dengan makna yang diberikan dalam CCPA. SparkPost dan Pelanggan menyatakan bahwa mereka memahami dan akan mematuhi kewajiban dan batasan yang ditetapkan dalam DPA ini dan Perjanjian sebagaimana dipersyaratkan di bawah CCPA.
Hak Kepentingan Sah.
Pelanggan mengakui bahwa SparkPost akan memiliki hak untuk menggunakan dan mengungkap data yang berkaitan dengan operasi, dukungan dan/atau penggunaan Layanan untuk tujuan bisnis sahnya, seperti penagihan, manajemen akun, dukungan teknis, dan pengembangan produk. Sejauh data tersebut dianggap sebagai Data Pribadi di bawah Undang-Undang Perlindungan Data, SparkPost adalah Pengendali Data dari data tersebut dan karenanya akan memproses data tersebut sesuai dengan Kebijakan Privasi SparkPost dan Undang-Undang Perlindungan Data.
Teknologi Pelacakan.
Pelanggan mengakui bahwa sehubungan dengan pelaksanaan Layanan, SparkPost menggunakan beacon web, pixel pelacakan, dan teknologi pelacakan serupa (“Teknologi Pelacakan”). Pelanggan akan mempertahankan dasar hukum pemrosesan yang sesuai sebagaimana diwajibkan oleh Undang-Undang Perlindungan Data untuk memungkinkan SparkPost menggunakan Teknologi Pelacakan secara sah, dan mengumpulkan data dari, perangkat Penerima sesuai dengan dan sebagaimana dijelaskan dalam Kebijakan Privasi SparkPost.
Subkontrak
Sub-prosesor yang Diberikan Wewenang. Pelanggan setuju bahwa SparkPost dapat melibatkan Sub-prosesor untuk memproses Data Pelanggan atas nama Pelanggan. Sub-prosesor yang terlibat oleh SparkPost dan diizinkan oleh Pelanggan pada Tanggal Efektif tercantum di: https://www.sparkpost.com/policies/subprocessors.Kewajiban Sub-prosesor. SparkPost akan: (i) masuk ke dalam perjanjian tertulis dengan Sub-prosesor yang memberlakukan persyaratan perlindungan data yang mengharuskan Sub-prosesor untuk melindungi Data Pelanggan sesuai dengan standar yang ditetapkan oleh Undang-Undang Perlindungan Data; dan (ii) tetap bertanggung jawab atas kepatuhannya terhadap kewajiban dalam DPA ini dan untuk setiap tindakan atau kelalaian dari Sub-prosesor yang menyebabkan SparkPost melanggar salah satu kewajibannya berdasarkan DPA ini.
Pemberitahuan. SparkPost akan (i) menyediakan daftar terbaru dari Sub-prosesor yang telah diangkatnya atas permintaan tertulis dari Pelanggan; dan (ii) memberi tahu Pelanggan (email sudah cukup) jika menambahkan Sub-prosesor setidaknya sepuluh (10) hari sebelum perubahan tersebut.
Keberatan. Pelanggan dapat mengajukan keberatan secara tertulis terhadap penunjukan Sub-prosesor baru oleh SparkPost dalam waktu lima (5) hari setelah pemberitahuan tersebut, dengan catatan bahwa keberatan tersebut didasarkan pada alasan yang masuk akal terkait perlindungan data. Dalam hal ini, para pihak akan membahas kekhawatiran tersebut dengan itikad baik untuk mencapai resolusi. Jika resolusi tidak tercapai dalam waktu yang wajar, Pelanggan dapat menghentikan Pesanan yang berlaku hanya sehubungan dengan Layanan tertentu yang tidak dapat diberikan oleh SparkPost tanpa menggunakan Sub-prosesor baru yang ditolak, dengan memberikan pemberitahuan tertulis kepada SparkPost.
Keamanan
Kebijakan Keamanan.
Memperhitungkan perkembangan teknis, biaya implementasi, dan sifat, ruang lingkup, konteks, serta tujuan Pengolahan, serta risiko dengan tingkat kemungkinan dan keparahan yang bervariasi terhadap hak dan kebebasan orang alami, SparkPost akan menerapkan dan memelihara langkah-langkah keamanan teknis dan organisasi yang sesuai untuk melindungi Data Pribadi dari Insiden Keamanan dan menjaga keamanan, integritas, ketersediaan, ketahanan, dan kerahasiaan Data Pribadi serta sistem SparkPost yang digunakan untuk Pengolahan Data Pribadi.
Pembaruan untuk Langkah Keamanan.
Pelanggan bertanggung jawab untuk meninjau informasi yang disediakan oleh SparkPost terkait keamanan data dan membuat penilaian independen apakah informasi tersebut memenuhi persyaratan dan kewajiban hukum Pelanggan berdasarkan Undang-Undang Perlindungan Data. Pelanggan mengakui bahwa Kebijakan Keamanan tunduk pada kemajuan dan pengembangan teknis dan bahwa SparkPost dapat memperbarui atau memodifikasi Kebijakan Keamanan dari waktu ke waktu asalkan pembaruan dan modifikasi tersebut tidak mengakibatkan penurunan keseluruhan keamanan Layanan yang dibeli oleh Pelanggan.
Tanggung Jawab Pelanggan.
Terlepas dari hal di atas, Pelanggan setuju bahwa Pelanggan bertanggung jawab untuk mengamankan kredensial autentikasi Akun yang ada dalam pengawasan atau kontrol Pelanggan dan melindungi keamanan Data Pribadi saat dalam transit ke dan dari Layanan sejauh Data Pribadi tersebut berada dalam pengawasan atau kontrol Pelanggan.
Personel SparkPost.
SparkPost akan memastikan bahwa personelnya yang terlibat dalam Pengolahan Data Pribadi diberitahu tentang sifat rahasia Data Pribadi, telah menerima pelatihan yang sesuai tentang tanggung jawab mereka, dan telah menandatangani perjanjian kerahasiaan tertulis sehubungan dengan Data Pribadi yang bertahan setelah keterlibatan personel berakhir.
Laporan audit dan audit
Laporan Audit.
SparkPost secara rutin diaudit terhadap kontrol SOC 2 Tipe II (atau setara) oleh auditor pihak ketiga independen. Atas permintaan, SparkPost akan menyediakan salinan ringkasan dari laporan auditnya (“Laporan Audit”) kepada Pelanggan, agar Pelanggan dapat memverifikasi kepatuhan SparkPost terhadap standar audit yang telah dinilai, dan DPA ini. Laporan Audit tersebut, serta setiap kesimpulan atau temuan yang ditentukan di dalamnya, adalah Informasi Rahasia SparkPost.
Audit.
SparkPost akan menyediakan kepada Pelanggan semua informasi yang diperlukan untuk menunjukkan kepatuhan dengan kewajiban Pemroses Data yang ditetapkan dalam Artikel 28 GDPR (“Persyaratan Artikel 28”). Untuk tujuan ini, SparkPost akan memberikan tanggapan tertulis terhadap semua permintaan informasi yang wajar yang dibuat oleh Pelanggan, termasuk tanggapan terhadap kuesioner keamanan informasi dan audit yang diperlukan untuk mengonfirmasi kepatuhan SparkPost dengan Persyaratan Artikel 28, dengan ketentuan bahwa Pelanggan tidak akan menggunakan hak ini lebih dari sekali per tahun. Tanggapan tersebut adalah Informasi Rahasia SparkPost. Jika SparkPost tidak dapat menyediakan semua informasi yang diperlukan untuk menunjukkan kepatuhan dengan Persyaratan Artikel 28 melalui tanggapan tertulis, maka SparkPost akan memungkinkan dan berkontribusi pada audit, termasuk inspeksi, yang dilakukan oleh Pelanggan atau auditor lain yang mewakili Pelanggan. Semua informasi yang diperoleh dari SparkPost selama audit atau inspeksi tersebut adalah Informasi Rahasia SparkPost.
Transfer internasional
Lokasi Pemrosesan.
SparkPost dapat memindahkan dan memproses Data Pelanggan di mana saja di dunia di mana SparkPost, Afiliasinya atau Sub-prosesornya menjalankan operasi pemrosesan data. SparkPost akan selalu memberikan tingkat perlindungan yang memadai untuk Data Pelanggan yang diproses, sesuai dengan persyaratan Undang-Undang Perlindungan Data.
Ketentuan Kontraktual Standar.
Sejauh mana SparkPost Memproses Data Pribadi di bawah Perjanjian yang memerlukan mekanisme transfer lanjutan untuk secara sah memindahkan Data Pribadi dari EEA atau Inggris Raya (“UK”) ke negara atau wilayah lain yang belum ditetapkan sebagai memberikan tingkat perlindungan yang memadai untuk hak dan kebebasan Subjek Data oleh Komisi Eropa (atau, khusus terkait dengan UK, seperti yang mungkin ditentukan oleh badan pengatur UK yang berlaku) (sebuah “Transfer Terbatas”), para pihak menyetujui berikut:
Ketentuan Kontraktual Standar EEA.
Para pihak setuju untuk mematuhi Ketentuan Kontraktual Standar EEA untuk setiap Transfer Terbatas dari EEA (sebuah “Transfer Terbatas EEA”). Ketika Pelanggan adalah Pengendali dan SparkPost adalah Pemroses sebagaimana dijelaskan lebih lanjut di Bagian 3.1, klausul Kontraktual Standar Pengendali/Pemroses akan berlaku untuk setiap Transfer Terbatas EEA tersebut. Ketika Pelanggan adalah Pemroses dan SparkPost adalah Sub-pemroses sebagaimana dijelaskan lebih lanjut di Bagian 3.1, klausul Kontraktual Standar Pemroses/Sub-pemroses akan berlaku untuk setiap Transfer Terbatas EEA tersebut. SparkPost akan dianggap sebagai importir data dan Pelanggan akan dianggap sebagai eksportir data di bawah Ketentuan Kontraktual Standar EEA. Penandatanganan DPA ini oleh masing-masing pihak akan dianggap sebagai penandatanganan Ketentuan Kontraktual Standar EEA yang berlaku, yang akan dianggap tergabung dalam DPA ini. Detail yang diperlukan di bawah Lampiran 1 dan Lampiran 2 ke Ketentuan Kontraktual Standar EEA tersedia di Jadwal 1 dan Jadwal 2 untuk DPA ini. Dalam hal terjadi konflik atau inkonsistensi antara DPA ini dan Ketentuan Kontraktual Standar EEA, Ketentuan Kontraktual Standar EEA akan berlaku secara eksklusif terkait dengan Transfer Terbatas EEA. Di mana Ketentuan Kontraktual Standar EEA mengharuskan para pihak memilih antara klausul opsional dan memasukkan informasi, para pihak telah melakukannya seperti yang ditetapkan di bawah ini:
Klausul Opsional 7 “Klausul berlabuh” tidak akan diadopsi.
Untuk Klausul 9 “Penggunaan sub-prosesor”, para pihak memilih opsi berikut: “Opsi 2 Otorisasi tertulis umum: Pengimpor data memiliki otorisasi umum pengendali untuk keterlibatan sub-prosesor dari daftar yang disetujui. Pengimpor data harus secara khusus memberitahu pengendali secara tertulis tentang perubahan yang dimaksudkan terhadap daftar tersebut melalui penambahan atau penggantian sub-prosesor setidaknya 30 hari kalender sebelum, sehingga pengendali memiliki waktu yang cukup untuk dapat keberatan terhadap perubahan tersebut sebelum keterlibatan sub-prosesor. Pengimpor data harus memberikan informasi yang diperlukan kepada pengendali untuk memungkinkan pengendali menjalankan haknya untuk keberatan. Pengimpor data harus memberitahukan eksportir data mengenai keterlibatan sub-prosesor.
”Untuk Klausul 11 (a) “Pemulihan”, para pihak tidak mengadopsi Opsi.
Untuk Klausul 17 “Hukum yang berlaku”, para pihak memilih opsi berikut: “Opsi 1. Klausul ini akan diatur oleh hukum salah satu Negara Anggota UE, dengan catatan bahwa hukum tersebut memungkinkan hak-hak penerima manfaat pihak ketiga. Para pihak menyetujui bahwa ini akan menjadi hukum Belanda.
”Untuk Klausul 18 (b) “Pilihan Forum dan Yurisdiksi”: “Para pihak menyetujui bahwa ini akan menjadi pengadilan Belanda.
”Ketentuan Kontraktual Standar UK. Para pihak setuju untuk mematuhi Ketentuan Kontraktual Standar UK untuk setiap Transfer Terbatas dari UK (sebuah “Transfer Terbatas UK”). SparkPost akan dianggap sebagai importir data dan Pelanggan akan dianggap sebagai eksportir data di bawah Ketentuan Kontraktual Standar UK. Penandatanganan DPA ini oleh setiap pihak akan dianggap sebagai penandatanganan Ketentuan Kontraktual Standar UK, yang akan dianggap tergabung dalam DPA ini. Detail yang diperlukan di bawah Lampiran 1 dan Lampiran 2 ke Ketentuan Kontraktual Standar UK tersedia di Jadwal 1 dan Jadwal 2 untuk DPA ini. Dalam hal konflik atau inkonsistensi antara DPA ini dan Ketentuan Kontraktual Standar UK, Ketentuan Kontraktual Standar UK akan berlaku secara eksklusif terkait dengan Transfer Terbatas UK.
Kerja Sama.
Jika SparkPost tidak dapat mematuhi persyaratan ini atau jika otoritas atau pengadilan yang relevan tidak lagi mengakui Ketentuan Kontraktual Standar EEA atau Ketentuan Kontraktual Standar UK, sebagaimana berlaku, sebagai memberikan tingkat perlindungan yang memadai, SparkPost akan memberitahu Pelanggan dan secara wajar bekerja sama dengan Pelanggan untuk memastikan bahwa setiap Pemrosesan Data Pribadi mematuhi Undang-Undang Perlindungan Data dan pembatasan transfer apa pun di sana, termasuk melalui pencapaian sertifikasi alternatif, sebagaimana berlaku dan perlu.
Mekanisme Transfer Alternatif.
Para pihak setuju bahwa solusi ekspor data yang diidentifikasi di Bagian 7.2 (Ketentuan Kontraktual Standar) tidak akan berlaku jika dan sejauh SparkPost mengadopsi, atau mempertahankan, solusi ekspor data alternatif untuk pemindahan sah Data Pribadi (seperti yang diakui di bawah Undang-Undang Perlindungan Data) di luar EEA dan/atau UK dan yang telah disetujui oleh Pelanggan secara tertulis sebelum transfer atau Pemrosesan Data Pribadi lainnya (“Mekanisme Transfer Alternatif”), dalam hal ini, Mekanisme Transfer Alternatif akan berlaku sebagai pengganti (tetapi hanya sejauh Mekanisme Transfer Alternatif tersebut mencakup wilayah yang akan dipindahkan Data Pribadi tersebut).
Keamanan tambahan
Kerahasiaan Pemrosesan.
SparkPost akan memastikan bahwa setiap orang yang diberi wewenang oleh SparkPost untuk memproses Data Pribadi (termasuk staf, agen, dan subkontraktornya) akan memiliki kewajiban kerahasiaan yang sesuai (baik tugas kontraktual maupun kewajiban hukum).
Tanggapan dan Pemberitahuan Insiden Keamanan.
Setelah mengetahui Insiden Keamanan, SparkPost akan memberi tahu Pelanggan tanpa penundaan yang tidak semestinya dan akan memberikan informasi yang tepat waktu terkait Insiden Keamanan tersebut saat informasi itu diketahui atau sesuai permintaan wajar Pelanggan.
Pengembalian atau penghapusan data
Setelah pengakhiran atau kedaluwarsa Perjanjian, SparkPost akan menghapus atau mengembalikan (atas pilihan Pelanggan) kepada Pelanggan semua Data Pribadi (termasuk salinan) dalam kepemilikan atau kendalinya, kecuali bahwa persyaratan ini tidak akan berlaku sejauh SparkPost diharuskan oleh hukum yang berlaku untuk menyimpan sebagian atau seluruh Data Pribadi, atau Data Pribadi yang telah diarsipkan pada sistem cadangan, yang Data Pribadi tersebut akan diisolasi dan dilindungi secara aman dari pemrosesan lebih lanjut, kecuali sejauh yang diperlukan oleh hukum yang berlaku. KERJA SAMA.
Indemnifikasi.
Kedua belah pihak setuju untuk membela dan mengindemnifikasi satu sama lain (termasuk direksi, pejabat, karyawan, dan agen) dari dan terhadap klaim pihak ketiga (termasuk dari otoritas pemerintah dan Penerima) dan biaya serta pengeluaran terkait (termasuk biaya pengacara yang wajar) yang timbul dari pelanggaran aktual atau yang diduga terhadap DPA ini.
Permintaan Subjek Data.
Layanan menyediakan Pelanggan dengan sejumlah kontrol yang dapat digunakan Pelanggan untuk mengambil, mengoreksi, menghapus, atau membatasi Data Pelanggan, yang dapat digunakan Pelanggan untuk membantu dalam koneksinya dengan kewajibannya berdasarkan Hukum Perlindungan Data termasuk, misalnya, kewajibannya terkait dengan merespons Permintaan Subjek Data. Sejauh Pelanggan tidak dapat mengakses Data Pelanggan yang relevan secara mandiri dalam Layanan, SparkPost akan memberikan kerja sama yang wajar untuk membantu Pelanggan merespons Permintaan Subjek Data terkait pemrosesan Data Pribadi berdasarkan Perjanjian dalam tenggat waktu yang ditentukan oleh Hukum Perlindungan Data. Dalam hal permintaan semacam itu diajukan langsung kepada SparkPost, SparkPost akan segera memberi tahu Pelanggan secara tertulis tentang permintaan tersebut setelah menerimanya.
Rekam Proses.
Atas permintaan Pelanggan, SparkPost akan menyediakan informasi dalam waktu yang tepat sebagaimana yang diperlukan oleh Pelanggan untuk menunjukkan kepatuhan SparkPost terhadap kewajibannya berdasarkan Hukum Perlindungan Data dan berdasarkan DPA ini.
Permintaan Pemerintah.
Jika agensi penegak hukum mengirimkan permintaan kepada SparkPost untuk Data Pribadi (misalnya, melalui subpoena atau perintah pengadilan), SparkPost akan mencoba untuk mengarahkan agensi penegak hukum tersebut untuk meminta data langsung dari Pelanggan. Sebagai bagian dari upaya ini, SparkPost dapat memberikan informasi kontak dasar Pelanggan kepada agensi penegak hukum. Jika terpaksa untuk mengungkapkan Data Pelanggan kepada agensi penegak hukum, maka SparkPost akan memberi Pelanggan pemberitahuan yang wajar tentang tuntutan tersebut untuk memungkinkan Pelanggan mencari perintah perlindungan atau remedi lain yang sesuai kecuali SparkPost dilarang secara hukum untuk melakukannya.
Penilaian Dampak Perlindungan Data.
Sejauh SparkPost diwajibkan berdasarkan Hukum Perlindungan Data yang berlaku, SparkPost akan memberikan informasi yang diminta secara wajar mengenai Layanan untuk memungkinkan Pelanggan melakukan penilaian dampak perlindungan data atau konsultasi sebelumnya dengan otoritas perlindungan data sebagaimana yang diharuskan oleh hukum atau berdasarkan Pasal 35 dan 36 atau GDPR, masing-masing.
***
JADWAL 1
LAMPIRAN I KE KLAUSUL KONTRAK STANDAR EEA
Jika berlaku, Jadwal 1 ini akan berfungsi sebagai Lampiran I ke Klausul Kontrak Standar EEA.
LAMPIRAN 1, BAGIAN A: DAFTAR PIHAK
Pengexport Data: Customer
Rincian Kontak Pengexport Data: Alamat yang tercantum dalam blok tanda tangan Customer di atas, atau alamat email pemilik akun Customer, atau ke alamat email yang dipilih Customer untuk menerima pemberitahuan berdasarkan Perjanjian.
Peran Pengexport Data: Peran Pengexport Data diuraikan dalam Bagian 3 DPA.
Tanda Tangan & Tanggal: Pengexport Data dianggap telah menandatangani Klausul Kontrak Standar EEA yang dimasukkan di sini sejak Tanggal Efektif DPA.
Pengimpor Data: Message Systems, Inc. (dba SparkPost)
Rincian Kontak Pengimpor Data: Petugas Perlindungan Data SparkPost – privacy@sparkpost.com
Peran Pengimpor Data: Peran Pengimpor Data diuraikan dalam Bagian 3 DPA.
Tanda Tangan & Tanggal: Pengimpor Data dianggap telah menandatangani Klausul Kontrak Standar EEA yang dimasukkan di sini sejak Tanggal Efektif DPA.
LAMPIRAN 1, BAGIAN B: DESKRIPSI TRANSFER
Kategori subjek data yang datanya dipindahkan dijelaskan dalam Bagian 3.4 DPA.Kategori data pribadi yang dipindahkan dijelaskan dalam Bagian 3.4 DPA.Data sensitif yang dipindahkan (jika berlaku) dan pembatasan atau pengamanan yang diterapkan sepenuhnya mempertimbangkan sifat data dan risiko yang terlibat, seperti, misalnya, pembatasan tujuan yang ketat, pembatasan akses (termasuk akses hanya untuk staf yang telah mengikuti pelatihan khusus), menyimpan catatan akses ke data, pembatasan untuk transfer lanjutan atau tindakan keamanan tambahan:
Tidak adaFrekuensi transfer (misalnya apakah data dipindahkan satu kali atau secara berkelanjutan):Data dipindahkan secara berkelanjutan untuk durasi Perjanjian.
Sifat pemrosesan dijelaskan dalam Bagian 3.4 DPA.Tujuan transfer data dan pemrosesan lebih lanjut dijelaskan dalam Bagian 3.4 DPA.
Periode pemeliharaan data pribadi, atau jika tidak memungkinkan, kriteria yang digunakan untuk menentukan periode tersebut:
Untuk durasi Perjanjian atau lebih lama sebagaimana diharuskan oleh hukum yang berlaku dan sebagaimana diizinkan oleh Perjanjian.
Untuk transfer ke sub-prosesor, tentukan juga pokok keperluan, sifat, dan durasi pemrosesan:
Untuk transfer ke sub-prosesor, pokok dan sifat pemrosesan diuraikan di https://www.sparkpost.com/policies/subprocessors/ dan durasinya adalah untuk durasi Perjanjian.
LAMPIRAN 1, BAGIAN C: OTORITAS PENGAWAS YANG BERWENANG
Otoritas Perlindungan Data Belanda (Autoriteit Persoonsgegevens) akan menjadi otoritas pengawas yang berwenang.
***
JADWAL 2 LAMPIRAN II UNTUK KLAUSUL KONTRAK STANDARD EEA
Jika berlaku, Jadwal 2 ini akan berfungsi sebagai Lampiran II pada Klausul Kontraktual Standar. Berikut ini memberikan lebih banyak informasi mengenai langkah-langkah keamanan teknis dan organisasi SparkPost yang ditetapkan di bawah ini.
Informasi lebih lanjut tentang langkah-langkah keamanan teknis dan organisasi SparkPost untuk melindungi Data Pelanggan, ringkasannya tersedia di: https://www.sparkpost.com/policies/security/ (“Kebijakan Keamanan”).
Langkah-Langkah Keamanan Teknis dan Organisasional:
Langkah-langkah pseudonimisasi dan enkripsi data pribadi: SparkPost menjaga Data Pelanggan dalam format terenkripsi baik saat disimpan maupun dalam transit menggunakan SSL, HTTPS, dan TLS oportunistik sebagaimana berlaku.
Langkah-langkah untuk memastikan kerahasiaan, integritas, ketersediaan dan ketahanan sistem dan layanan pemrosesan secara berkelanjutan: SparkPost menyetujui kewajiban kerahasiaan dalam perjanjiannya dengan pelanggan. SparkPost juga membuat perjanjian yang mengandung ketentuan kerahasiaan yang secara substansial serupa dengan karyawan, kontraktor, pemasok, dan sub-prosesor SparkPost. SparkPost menjaga ketersediaan tinggi dan ketahanan sistem dan layanan melalui beberapa zona ketersediaan pusat data yang independen dari kerusakan. Selain itu, SparkPost telah menerapkan dan memelihara Rencana Kelangsungan Bisnis dan Pemulihan Bencana untuk memastikan Data Pelanggan dipertahankan dan Layanan dapat terus disediakan.
Langkah-langkah untuk memastikan kemampuan memulihkan ketersediaan dan akses ke Data Pribadi secara tepat waktu jika terjadi insiden fisik atau teknis: Data Pelanggan di-host oleh Amazon Web Services (“AWS”), yang menyediakan redundansi di beberapa zona ketersediaan. Seperti disebutkan di atas, SparkPost juga telah menerapkan dan memelihara Rencana Kelangsungan Bisnis dan Pemulihan Bencana.
Proses untuk pengujian, penilaian, dan evaluasi efektivitas langkah-langkah teknis dan organisasi secara teratur untuk memastikan keamanan pemrosesan: SparkPost menjaga program keamanan informasi tertulis dan komprehensif, yang mencakup kontrol fisik, teknis, dan administratif yang sesuai untuk melindungi keamanan, integritas, kerahasiaan, dan ketersediaan Data Pelanggan termasuk, tanpa batasan, melindungi Data Pelanggan dari akuisisi, akses, penggunaan, pengungkapan, atau penghancuran yang tidak sah atau melanggar hukum. Program keamanan ini dirancang dengan mempertimbangkan jenis layanan yang disediakan SparkPost dan ukuran serta kompleksitas bisnis SparkPost. Selain tim keamanan internal kami yang secara konsisten memantau keamanan kami secara internal, SparkPost menggunakan pihak ketiga untuk melakukan pengujian kerentanan dan penetrasi internal dan eksternal untuk memvalidasi postur defensif perimeter dan internal secara rutin.
Langkah-langkah untuk identifikasi dan otorisasi pengguna: Karyawan SparkPost diwajibkan untuk menggunakan kredensial akses pengguna dan kata sandi unik untuk otorisasi. SparkPost memanfaatkan prinsip akses hak istimewa paling sedikit saat menyediakan akses sistem, yang mempertimbangkan fungsi pekerjaan, peran, dan tanggung jawab masing-masing karyawan ketika menentukan tingkat dan durasi akses yang tepat. Akses memerlukan persetujuan sebelum penyediaan dan akses segera dihapus setelah perubahan peran atau pemutusan hubungan kerja.
Langkah-langkah untuk perlindungan data selama transmisi: Data Pelanggan dienkripsi saat dalam transit antara Pelanggan dan Layanan SparkPost menggunakan HTTPS. Data Pelanggan dienkripsi saat dalam transit antara SparkPost dan Penerima menggunakan TLS oportunistik. Langkah-langkah untuk perlindungan data selama penyimpanan: Data Pelanggan disimpan terenkripsi menggunakan Standar Enkripsi Lanjutan.
Langkah-langkah untuk memastikan keamanan fisik lokasi tempat data pribadi diproses: Kantor pusat dan ruang kantor SparkPost memiliki (i) pemantauan dan pengawasan keamanan fisik; (ii) kontrol masuk untuk membatasi akses fisik; dan (iii) buku tamu. Semua kontraktor dan pengunjung diharuskan mencatat masuk dan keluar mereka ke kantor. Layanan berjalan di AWS dan dilindungi oleh kontrol fisik, teknis, organisasi, dan administratif dari Amazon. Informasi lebih lanjut tentang keamanan AWS tersedia di https://aws.amazon.com/security/, https://aws.amazon.com/security/sharing-the-security-responsibility/, dan https://aws.amazon.com/compliance/iso-27001-faqs/. Untuk Laporan SOC AWS, silakan lihat https://aws.amazon.com/compliance/soc-faqs/.
Langkah-langkah untuk memastikan pencatatan peristiwa: Infrastruktur produksi Log aktivitas SparkPost dikumpulkan secara terpusat dan diamankan dalam upaya untuk mencegah perusakan dan dipantau untuk anomali oleh tim keamanan terlatih.
Langkah-langkah untuk memastikan konfigurasi sistem, termasuk konfigurasi default: SparkPost mengevaluasi perubahan pada platform, aplikasi, dan infrastruktur produksi sedemikian rupa sehingga meminimalkan risiko dan perubahan tersebut diimplementasikan hanya sesuai dengan Kebijakan Keamanan. SparkPost melakukan banyak kegiatan terkait keamanan untuk Layanan di berbagai fase dari siklus hidup pembuatan produk dari membuat dokumentasi persyaratan dan desain produk hingga tahap go-live. Kegiatan ini mencakup pelaksanaan (i) tinjauan keamanan internal sebelum Layanan baru diterapkan; (ii) pengujian penetrasi tahunan oleh pihak ketiga independen; dan (iii) analisis ancaman untuk Layanan baru untuk mendeteksi potensi ancaman dan kerentanan keamanan. SparkPost mematuhi proses manajemen perubahan untuk mengelola perubahan pada lingkungan produksi untuk Layanan, termasuk perubahan pada perangkat lunak, aplikasi, dan sistem yang mendasarinya. Pemantauan dilakukan untuk memberi tahu tim keamanan tentang perubahan yang dilakukan pada infrastruktur dan layanan kritis yang tidak mematuhi proses manajemen perubahan.
Langkah-langkah untuk tata kelola dan manajemen TI internal dan keamanan TI: SparkPost menjaga program keamanan berdasarkan penilaian risiko, yang mencakup perlindungan administratif, organisasi, teknis, dan fisik yang dirancang secara wajar untuk melindungi Layanan dan kerahasiaan, integritas, dan ketersediaan Data Pelanggan. Program keamanan SparkPost dirancang dengan mempertimbangkan sifat Layanan dan ukuran serta kompleksitas bisnis SparkPost. SparkPost memiliki tim keamanan khusus yang mengelola program keamanan informasi SparkPost dan memfasilitasi serta mendukung audit dan penilaian independen yang dilakukan oleh pihak ketiga. Kerangka kerja keamanan SparkPost didasarkan pada atestasi SOC2 Type II dan mencakup kriteria layanan keamanan berikut: Keamanan, Ketersediaan, Kerahasiaan, dan Privasi. Keamanan dikelola pada tingkat tertinggi di perusahaan, dengan Wakil Presiden Kepatuhan dan Keamanan TI bertemu dengan manajemen eksekutif secara teratur untuk membahas masalah dan mengoordinasikan inisiatif keamanan dan TI di seluruh perusahaan. Kebijakan informasi keamanan dan standar ditinjau dan disetujui oleh manajemen setidaknya setiap tahun dan tersedia untuk semua karyawan SparkPost yang relevan untuk referensi mereka.
Langkah-langkah untuk sertifikasi/jaminan proses dan produk: SparkPost melakukan berbagai audit pihak ketiga untuk membuktikan berbagai kerangka kerja termasuk tipe SOC 2 II dan pengujian kerentanan dan penetrasi aplikasi secara rutin. Langkah-langkah untuk memastikan minimalisasi data: SparkPost tidak menyimpan isi pesan email setelah email berhasil dikirim ke Penerima atau telah ditolak atau ditolak oleh penyedia kotak surat, yang biasanya terjadi dalam beberapa detik. Dalam hal penolakan atau penolakan, SparkPost akan menyimpan isi pesan untuk waktu yang terbatas untuk memungkinkan agar transmisi email dicoba ulang. Jika transmisi masih tidak berhasil, isi pesan dihapus secara permanen. SparkPost hanya menyimpan Data Pribadi Penerima dalam bentuk mentah untuk jangka waktu terbatas setelah transmisi email ke Penerima. Setelah periode penyimpanan awal, Data Pribadi dipseudonimkan melalui one-way hash dan hanya disimpan dalam bentuk pseudonimnya. Untuk informasi lebih lanjut tentang proses ini, silakan lihat FAQ Data kami yang tersedia di: https://www.sparkpost.com/policies/data-faq/. Selain itu, SparkPost memiliki fungsionalitas swalayan yang bawaan ke Layanan yang memungkinkan Pelanggan untuk menghapus Data Pelanggan tertentu, seperti alamat email Penerima dan peristiwa pesan terkait, kapan saja, yang dokumentasi untuk fungsionalitas tersebut tersedia di: https://developers.sparkpost.com/api/data-privacy/.
Langkah-langkah untuk memastikan akuntabilitas: SparkPost telah mengadopsi langkah-langkah untuk memastikan akuntabilitas termasuk melakukan audit pihak ketiga secara rutin untuk memastikan kepatuhan terhadap standar privasi dan keamanan kami. SparkPost juga menerapkan kebijakan perlindungan data sesuai dengan hukum yang berlaku dan menerbitkan ikhtisar Kebijakan Keamanan (terhubung di atas). SparkPost telah menunjuk Petugas Perlindungan Data dan mempertahankan dokumentasi aktivitas pemrosesannya, termasuk pencatatan dan pelaporan Insiden Keamanan yang melibatkan Data Pribadi jika berlaku.
Langkah-langkah untuk mengizinkan portabilitas data dan memastikan penghapusan: Pelanggan memiliki hubungan langsung dengan Penerima mereka dan bertanggung jawab untuk menanggapi permintaan dari pengguna akhir mereka yang ingin menggunakan hak mereka di bawah Undang-Undang Perlindungan Data. SparkPost memiliki fungsionalitas swalayan yang bawaan ke Layanan yang memungkinkan Pelanggan untuk menghapus Data Pelanggan tertentu, seperti alamat email Penerima dan peristiwa pesan terkait kapan saja, yang dokumentasi untuk fungsionalitas tersebut tersedia di: https://developers.sparkpost.com/api/data-privacy/. Selain itu, SparkPost memiliki fungsionalitas swalayan yang bawaan untuk menekan Email di masa depan ke Penerima (yaitu, berhenti berlangganan), yang dokumentasi untuk fungsionalitas tersebut tersedia di https://developers.sparkpost.com/api/suppression-list/. Sepanjang Pelanggan tidak dapat secara mandiri mengakses Data Pelanggan yang relevan dalam Layanan, SparkPost akan memberikan kerja sama yang wajar untuk membantu Pelanggan menanggapi permintaan Subjek Data yang berkaitan dengan pemrosesan Data Pribadi di bawah Perjanjian dalam kerangka waktu yang ditetapkan oleh Undang-Undang Perlindungan Data. Jika ada permintaan semacam itu yang dibuat langsung kepada SparkPost, SparkPost akan menyarankan Subjek Data untuk mengajukan permintaan kepada Pelanggan, dan Pelanggan akan bertanggung jawab untuk menanggapi permintaan semacam itu.
Untuk transfer ke [sub]-pemroses, juga jelaskan langkah-langkah teknis dan organisasi khusus yang akan diambil oleh [sub]-pemroses untuk dapat memberikan bantuan kepada pengendali dan, untuk transfer dari pemroses ke [sub]-pemroses, kepada pengekspor data: Ketika SparkPost melibatkan sub-pemroses di bawah DPA ini, SparkPost dan sub-pemroses melaksanakan perjanjian dengan ketentuan perlindungan data yang secara substansial mirip dengan yang terkandung di sini.
V2.0 2 November 2021
