Dalam memberikan layanan SparkPost kepada pelanggan kami, SparkPost dapat memproses data pribadi atas nama pelanggan kami di mana data pribadi tersebut tunduk pada undang-undang perlindungan data UE seperti GDPR. Untuk tujuan ini, kami menawarkan lampiran perlindungan data (DPA) sebagaimana tercantum di bawah ini. DPA hanya akan mengikat secara hukum dan efektif jika: (1) itu dilaksanakan di sini; dan (2) Anda adalah pelanggan SparkPost pada tanggal DPA sepenuhnya dilaksanakan. Harap dicatat bahwa karena kami memiliki begitu banyak pelanggan, kami tidak dapat mengubah DPA untuk pelanggan tertentu. Namun, jika Anda memiliki pertanyaan tentang DPA, silakan hubungi kami di privacy@sparkpost.com.
Definisi
“Afiliasi” berarti entitas yang secara langsung atau tidak langsung mengontrol, dikontrol oleh, atau berada di bawah kontrol yang sama dengan entitas yang dimaksud. “Kontrol,” untuk tujuan definisi ini, berarti kepemilikan langsung atau tidak langsung atau kontrol lebih dari 50% dari kepentingan suara entitas yang dimaksud.
“Perjanjian” berarti Ketentuan Penggunaan dan Pesanan terkait, yang bersama-sama mengatur penyediaan dan penggunaan Layanan.
“CCPA” berarti Undang-Undang Privasi Konsumen California tahun 2018 dan semua regulasi yang dibuat berdasarkan itu, dalam setiap kasus, sebagaimana diubah dari waktu ke waktu.
“Klausul Kontrak Standar Pengendali/Pemroses” berarti modul “Pengendali ke Pemroses” (Modul 2) dari Klausul Kontrak Standar untuk transfer data pribadi ke negara ketiga sesuai dengan GDPR dan Keputusan Pelaksanaan Komisi Eropa (EU) 2021/914 tanggal 4 Juni 2021.
“Undang-Undang Perlindungan Data” berarti semua undang-undang dan regulasi dari yurisdiksi mana pun yang berlaku untuk kerahasiaan, privasi, keamanan, atau Pemrosesan Data Pribadi berdasarkan Perjanjian, termasuk, jika berlaku, GDPR, CCPA, dan semua undang-undang dan regulasi lain yang berkaitan dengan privasi, pemasaran langsung, atau perlindungan data. “Pengendali Data” berarti entitas, sendiri atau bersama dengan yang lain, yang menentukan tujuan dan cara Pemrosesan Data Pribadi.
“Pemroses Data” berarti entitas yang Memproses Data Pribadi atas nama Pengendali Data. “Subjek Data” berarti individu yang berkaitan dengan Data Pribadi.
“Permintaan Subjek Data” berarti permintaan Subjek Data untuk menjalankan hak orang tersebut berdasarkan Undang-Undang Perlindungan Data sehubungan dengan Data Pribadi orang tersebut, termasuk, tanpa batasan, hak untuk mengakses, memperbaiki, mengubah, mentransfer, memperoleh salinan, menolak pemrosesan, memblokir, menghapus, atau keluar dari penjualan Data Pribadi tersebut. “EEA” berarti Wilayah Ekonomi Eropa dan Swiss.
“GDPR” berarti (i) Regulasi 2016/679 dari Parlemen Eropa dan Dewan tentang perlindungan orang-orang alami sehubungan dengan pemrosesan Data Pribadi dan tentang pergerakan bebas data tersebut (Regulasi Perlindungan Data Umum); atau (ii) hanya sehubungan dengan Inggris Raya, Undang-Undang Perlindungan Data 2018.
“Data Pribadi” berarti informasi apa pun yang mengidentifikasi, berkaitan, menggambarkan, atau berkemampuan secara wajar untuk diasosiasikan dengan orang alami atau rumah tangga yang teridentifikasi atau teridentifikasi.
“Pemrosesan” berarti setiap operasi atau serangkaian operasi yang dilakukan pada Data Pribadi atau pada set Data Pribadi, baik oleh cara otomatis maupun tidak, seperti pengumpulan, pencatatan, pengorganisasian, penyusunan, penyimpanan, adaptasi atau perubahan, pengambilan, konsultasi, penggunaan, pengungkapan dengan transmisi, penyebaran atau sebaliknya membuat tersedia, penyelarasan atau penggabungan, pembatasan, penghapusan atau penghancuran.
“Klausul Kontrak Standar Pemroses/Sub-Pemroses” berarti modul “Pemroses ke Pemroses” (Modul 3) dari Klausul Kontrak Standar untuk transfer data pribadi ke negara ketiga sesuai dengan GDPR dan Keputusan Pelaksanaan Komisi Eropa (EU) 2021/914 tanggal 4 Juni 2021.
“Regulator” berarti otoritas perlindungan data Eropa atau otoritas regulasi, pemerintahan, atau pengawasan lain yang memiliki wewenang atas seluruh atau sebagian dari (a) penyediaan atau penerimaan Layanan; (b) Pemrosesan Data Pribadi sehubungan dengan Layanan; atau (c) bisnis atau personel SparkPost yang berkaitan dengan Layanan.
“Insiden Keamanan” berarti setiap penghancuran, kehilangan, perubahan, pengungkapan, akses yang tidak sah atau ilegal dari, atau enkripsi Data Pribadi.
“Layanan” berarti produk atau layanan apa pun yang diberikan oleh SparkPost kepada Pelanggan berdasarkan Perjanjian.
“Klausul Kontrak Standar EEA” berarti (i) Klausul Kontrak Standar Pengendali/Pemroses; atau (ii) Klausul Kontrak Standar Pemroses/Sub-pemroses, baik secara individu maupun kolektif, sesuai yang berlaku.
“Sub-pemroses” berarti entitas yang Memproses Data Pribadi atas nama entitas yang bertindak sebagai Pemroses atau Sub-pemroses.
“Klausul Kontrak Standar UK” berarti klausul kontrak standar untuk transfer data pribadi ke pemroses yang didirikan di negara ketiga dalam bentuk yang ditetapkan oleh Keputusan Komisi Eropa 2010/87/EU, yang dapat diubah, dimodifikasi, atau dicabut oleh Komisi Eropa.
Hubungan dengan kesepakatan
Para pihak setuju bahwa DPA ini akan menggantikan setiap addendum perlindungan data yang ada atau perjanjian serupa yang mungkin telah dimasuki oleh para pihak sebelumnya sehubungan dengan Layanan.
DPA ini berlaku di mana dan hanya sejauh SparkPost Memproses Data Pribadi yang tunduk pada Hukum Perlindungan Data dalam proses penyediaan Layanan berdasarkan Perjanjian.
Kecuali untuk perubahan yang dibuat oleh DPA ini, Perjanjian tetap tidak berubah dan berlaku sepenuhnya. Jika terdapat konflik antara ketentuan DPA ini dan ketentuan Perjanjian, DPA ini akan mendominasi sejauh konflik tersebut. Dalam keadaan di mana SparkPost mengandalkan Klausul Kontraktual Standar EEA atau Klausul Kontraktual Standar Inggris (secara kolektif, "Klausul Kontraktual Standar"), sesuai, untuk mentransfer Data Pribadi, Klausul Kontraktual Standar yang berlaku akan mendominasi jika terjadi konflik dengan DPA ini.
Setiap klaim yang diajukan berdasarkan atau sehubungan dengan DPA ini akan tunduk pada syarat dan ketentuan, termasuk namun tidak terbatas pada, pengecualian dan batasan yang diatur dalam Perjanjian. Para pihak setuju bahwa tidak ada batasan tanggung jawab yang ditetapkan dalam Perjanjian yang akan berlaku untuk tanggung jawab pihak mana pun terhadap Subjek Data berdasarkan ketentuan penerima manfaat pihak ketiga dari Klausul Kontraktual Standar sejauh batasan tanggung jawab tersebut dilarang oleh Hukum Perlindungan Data.
DPA ini akan diatur oleh dan ditafsirkan sesuai dengan ketentuan hukum dan yurisdiksi yang berlaku dalam Perjanjian, kecuali diharuskan sebaliknya oleh Hukum Perlindungan Data yang berlaku. DPA ini akan tetap berlaku selama SparkPost Memproses Data Pribadi, terlepas dari masa berlaku atau pengakhiran Perjanjian. PERAN DAN RUANG LINGKUP PEMROSESAN.
Peran Para Pihak.
Para pihak mengakui dan setuju bahwa, di antara SparkPost dan Pelanggan: Berkenaan dengan Data Pribadi dari individu mana pun yang mengakses dan/atau menggunakan Layanan melalui Akun Pelanggan (“Pengguna”), Pelanggan adalah Pengendali dan SparkPost adalah Pemroses Data Pribadi Pengguna; dan berkenaan dengan Data Pribadi individu mana pun: (i) yang alamat emailnya termasuk dalam daftar penerima Pelanggan; (ii) yang informasinya disimpan atau dikumpulkan melalui Layanan, atau (ii) kepada siapa Pengguna mengirim email atau berinteraksi atau berkomunikasi melalui Layanan (secara kolektif, “Penerima”), Pelanggan adalah Pemroses dan SparkPost adalah Sub-pemroses Data Pribadi Penerima.
Pemrosesan Data Pribadi oleh Pelanggan.
Pelanggan setuju bahwa ia akan mematuhi kewajibannya di bawah Hukum Perlindungan Data yang berlaku sehubungan dengan Pemrosesan Data Pribadi yang dilakukan dalam kaitannya dengan Layanan dan sehubungan dengan instruksi Pemrosesan yang terdokumentasi yang dikeluarkannya kepada SparkPost.
Pemrosesan Data Pribadi oleh SparkPost. Pelanggan menginstruksikan SparkPost untuk Memproses Data Pribadi sesuai dengan Perjanjian (termasuk, untuk menghindari keraguan, untuk melaksanakan kewajiban lainnya dan menjalankan haknya berdasarkan Perjanjian) dan untuk mematuhi instruksi wajar lainnya dari Pelanggan (misalnya, melalui email) di mana instruksi tersebut konsisten dengan Perjanjian. SparkPost akan: (i) Memproses Data Pribadi hanya atas nama Pelanggan dan sesuai dengan instruksi hukum Pelanggan yang terdokumentasi dan akan memperlakukan Data Pribadi sebagai informasi rahasia yang tunduk pada ketentuan kerahasiaan dalam Perjanjian; (ii) memberitahukan Pelanggan secara tertulis segera jika, menurut pendapat wajar SparkPost, SparkPost yakin bahwa setiap instruksi yang diberikan oleh Pelanggan melanggar Hukum Perlindungan Data; (iii) melaksanakan Layanan dan Memproses Data Pribadi sesuai dengan Hukum Perlindungan Data dan Perjanjian; (iv) segera memberitahukan Pelanggan tentang setiap ketidakpatuhan terhadap DPA ini. Para pihak setuju bahwa DPA ini dan Perjanjian mencakup instruksi lengkap dan final Pelanggan kepada SparkPost sehubungan dengan pemrosesan Data Pribadi dan pemrosesan di luar lingkup instruksi ini (jika ada) memerlukan kesepakatan tertulis terlebih dahulu antara Pelanggan dan SparkPost.
Rincian Pemrosesan Data.
Obyek materil: Obyek materi pemrosesan data di bawah DPA ini adalah Data Pribadi.Durasi: Di antara SparkPost dan Pelanggan, durasi pemrosesan data di bawah DPA ini adalah sampai dengan pemutusan Perjanjian sesuai dengan syarat-syaratnya.
Tujuan: Tujuan pemrosesan data di bawah DPA ini adalah penyediaan Layanan kepada Pelanggan dan pelaksanaan SparkPost berdasarkan Perjanjian (termasuk DPA ini) atau sebagaimana disepakati oleh para pihak.
Jenis pemrosesan: SparkPost menyediakan layanan pengiriman email, analitik, dan layanan intelijen serta layanan terkait lainnya, seperti yang dijelaskan dalam Perjanjian.Kategori subjek data: Pengguna dan Penerima.
Jenis Data Pribadi:
Pelanggan dan Pengguna: data identifikasi dan kontak (nama, alamat, jabatan, rincian kontak, nama pengguna); informasi keuangan (rincian akun, informasi pembayaran); rincian pekerjaan (majikan, jabatan, lokasi geografis, area tanggung jawab);
Penerima: data identifikasi dan kontak (nama, alamat email, dan data demografis serta segmentasi lainnya yang disediakan oleh Pelanggan); informasi TI (alamat IP, data penggunaan, data cookies, data navigasi online, data lokasi, data browser).
California Consumer Privacy Act.
SparkPost akan mematuhi CCPA dan memperlakukan semua Data Pribadi yang tunduk pada CCPA (“Data Pribadi CCPA”) sesuai dengan ketentuan CCPA. Sehubungan dengan Data Pribadi CCPA, SparkPost adalah penyedia layanan di bawah CCPA. SparkPost tidak akan (a) menjual Data Pribadi CCPA; (b) mempertahankan, menggunakan, atau mengungkapkan Data Pribadi CCPA untuk tujuan lain selain untuk tujuan spesifik memberikan Layanan, termasuk mempertahankan, menggunakan, atau mengungkapkan Data Pribadi CCPA untuk tujuan komersial selain dari memberikan Layanan; atau (c) mempertahankan, menggunakan, atau mengungkapkan Data Pribadi CCPA di luar hubungan bisnis langsung antara SparkPost dan Pelanggan. Para pihak mengakui dan setuju bahwa Pemrosesan Data Pribadi CCPA yang diotorisasi oleh instruksi Pelanggan yang dijelaskan dalam Perjanjian dan DPA ini adalah integral dan termasuk dalam penyediaan Layanan oleh SparkPost dan hubungan bisnis langsung antara para pihak. Para pihak mengakui dan setuju bahwa akses SparkPost terhadap Data Pelanggan tidak merupakan bagian dari imbalan yang dipertukarkan oleh para pihak sehubungan dengan Perjanjian. Sejauh data Penggunaan dianggap sebagai Data Pribadi CCPA, SparkPost adalah bisnis sehubungan dengan data tersebut dan akan Memproses data tersebut sesuai dengan Kebijakan Privasi-nya, yang dapat ditemukan di https://www.sparkpost.com/policies/privacy/. Istilah "bisnis", "tujuan komersial", "penyedia layanan", dan "menjual" seperti yang digunakan dalam Bagian ini memiliki arti yang diberikan kepada mereka dalam CCPA. SparkPost dan Pelanggan bersertifikat bahwa mereka memahami dan akan mematuhi kewajiban dan pembatasan yang ditetapkan dalam DPA ini dan Perjanjian sebagaimana diminta di bawah CCPA.
Ketertarikan yang Sah.
Pelanggan mengakui bahwa SparkPost akan memiliki hak untuk menggunakan dan mengungkapkan data yang berkaitan dengan operasi, dukungan dan/atau penggunaan Layanan untuk tujuan bisnisnya yang sah, seperti penagihan, manajemen akun, dukungan teknis, dan pengembangan produk. Sejauh data tersebut dianggap sebagai Data Pribadi berdasarkan Hukum Perlindungan Data, SparkPost adalah Pengendali Data dari data tersebut dan oleh karena itu akan memproses data tersebut sesuai dengan Kebijakan Privasi SparkPost dan Hukum Perlindungan Data.
Teknologi Pelacakan.
Pelanggan mengakui bahwa sehubungan dengan pelaksanaan Layanan, SparkPost menggunakan web beacon, pixel pelacakan, dan teknologi pelacakan serupa (“Teknologi Pelacakan”). Pelanggan akan mempertahankan dasar hukum yang sesuai untuk pemrosesan sebagaimana diharuskan oleh Hukum Perlindungan Data untuk memungkinkan SparkPost melakukan penerapan Teknologi Pelacakan secara sah di, dan mengumpulkan data dari, perangkat Penerima sesuai dengan dan sebagaimana dijelaskan dalam Kebijakan Privasi SparkPost.
Subkontraktor
Sub-prosesor yang Diberi Kuasa. Pelanggan setuju bahwa SparkPost dapat melibatkan Sub-prosesor untuk memproses Data Pelanggan atas nama Pelanggan. Sub-prosesor yang dilibatkan oleh SparkPost dan diizinkan oleh Pelanggan per Tanggal Efektif terdaftar di: https://www.sparkpost.com/policies/subprocessors. Kewajiban Sub-prosesor. SparkPost akan: (i) memasuki perjanjian tertulis dengan Sub-prosesor yang memberlakukan syarat perlindungan data yang mengharuskan Sub-prosesor untuk melindungi Data Pelanggan sesuai dengan standar yang diatur oleh Undang-Undang Perlindungan Data; dan (ii) tetap bertanggung jawab atas kepatuhannya terhadap kewajiban DPA ini dan untuk setiap tindakan atau kelalaian Sub-prosesor yang menyebabkan SparkPost melanggar kewajiban apapun di bawah DPA ini.
Pemberitahuan. SparkPost akan (i) memberikan daftar terkini Sub-prosesor yang telah ditunjuk atas permintaan tertulis dari Pelanggan; dan (ii) memberitahu Pelanggan (yang email akan cukup) jika menambahkan Sub-prosesor setidaknya sepuluh (10) hari sebelum perubahan tersebut.
Keberatan. Pelanggan dapat mengajukan keberatan secara tertulis terhadap penunjukan Sub-prosesor baru oleh SparkPost dalam waktu lima (5) hari setelah pemberitahuan tersebut, dengan syarat bahwa keberatan tersebut didasarkan pada alasan yang wajar terkait dengan perlindungan data. Dalam hal tersebut, pihak-pihak akan membahas kekhawatiran tersebut dengan itikad baik dengan tujuan untuk mencapai resolusi. Jika resolusi tidak tercapai dalam waktu yang wajar, Pelanggan dapat mengakhiri Pesanan yang berlaku hanya terkait dengan Layanan spesifik yang tidak dapat disediakan oleh SparkPost tanpa menggunakan Sub-prosesor baru yang menjadi objek keberatan, dengan memberikan pemberitahuan tertulis kepada SparkPost.
Keamanan
Kebijakan Keamanan.
Mengambil memperhitungkan keadaan teknologi terkini, biaya implementasi dan sifat, ruang lingkup, konteks, serta tujuan Pemrosesan, serta risiko kemungkinan dan beratnya bagi hak dan kebebasan individu, SparkPost akan menerapkan dan mempertahankan langkah-langkah keamanan teknis dan organisasi yang tepat untuk melindungi Data Pribadi dari Insiden Keamanan dan untuk menjaga keamanan, integritas, ketersediaan, ketahanan, dan kerahasiaan Data Pribadi dan sistem SparkPost yang digunakan untuk Pemrosesan Data Pribadi.
Pembaruan pada Langkah-Langkah Keamanan.
Pelanggan bertanggung jawab untuk meninjau informasi yang disediakan oleh SparkPost yang berkaitan dengan keamanan data dan membuat penentuan independen apakah informasi tersebut memenuhi persyaratan dan kewajiban hukum Pelanggan berdasarkan Undang-Undang Perlindungan Data. Pelanggan mengakui bahwa Kebijakan Keamanan tunduk pada kemajuan dan perkembangan teknis dan bahwa SparkPost dapat memperbarui atau memodifikasi Kebijakan Keamanan dari waktu ke waktu dengan syarat pembaruan dan modifikasi tersebut tidak mengakibatkan penurunan keamanan keseluruhan Layanan yang dibeli oleh Pelanggan.
Tanggung Jawab Pelanggan.
Terlepas dari hal di atas, Pelanggan setuju bahwa Pelanggan bertanggung jawab untuk mengamankan kredensial autentikasi Akun yang ada dalam penguasaan atau kendali Pelanggan dan melindungi keamanan Data Pribadi saat dalam perjalanan ke dan dari Layanan sejauh Data Pribadi tersebut berada dalam penguasaan atau kendali Pelanggan.
Personel SparkPost.
SparkPost akan memastikan bahwa personelnya yang terlibat dalam Pemrosesan Data Pribadi diinformasikan tentang sifat rahasia Data Pribadi, telah menerima pelatihan yang sesuai mengenai tanggung jawab mereka, dan telah menandatangani perjanjian kerahasiaan tertulis terkait Data Pribadi yang tetap berlaku setelah pengakhiran keterlibatan personel tersebut.
Laporan audit dan audit
Laporan Audit.
SparkPost secara rutin diaudit terhadap kontrol SOC 2 Type II (atau yang setara) oleh auditor pihak ketiga independen. Atas permintaan, SparkPost akan menyediakan salinan ringkasan laporan auditnya (“Laporan Audit”) kepada Pelanggan, sehingga Pelanggan dapat memverifikasi kepatuhan SparkPost terhadap standar audit yang di mana ia telah dinilai, dan DPA ini. Laporan Audit semacam itu, serta setiap kesimpulan atau temuan yang ditentukan di dalamnya, adalah Informasi Rahasia SparkPost.
Audit.
SparkPost akan memberikan kepada Pelanggan semua informasi yang diperlukan untuk menunjukkan kepatuhan terhadap kewajiban Prosesor Data yang diatur dalam Pasal 28 GDPR (“Persyaratan Pasal 28”). Untuk tujuan ini, SparkPost akan memberikan respons tertulis terhadap semua permintaan informasi yang wajar yang diajukan oleh Pelanggan, termasuk respons terhadap pertanyaan keamanan informasi dan audit yang diperlukan untuk mengonfirmasi kepatuhan SparkPost terhadap Persyaratan Pasal 28, dengan syarat bahwa Pelanggan tidak akan menggunakan hak ini lebih dari sekali per tahun. Respons semacam itu adalah Informasi Rahasia SparkPost. Jika SparkPost tidak dapat menyediakan semua informasi yang diperlukan untuk menunjukkan kepatuhan terhadap Persyaratan Pasal 28 melalui respons tertulis, maka SparkPost akan memungkinkan dan berkontribusi pada audit, termasuk inspeksi, yang dilakukan oleh Pelanggan atau auditor lain yang mewakili Pelanggan. Semua informasi yang diperoleh dari SparkPost selama audit atau inspeksi semacam itu adalah Informasi Rahasia SparkPost.
Transfer internasional
Lokasi Pemrosesan.
SparkPost dapat mentransfer dan memproses Data Pelanggan di mana saja di dunia di mana SparkPost, Afiliasinya, atau Sub-prosesornya melakukan operasi pemrosesan data. SparkPost akan selalu memberikan tingkat perlindungan yang memadai untuk Data Pelanggan yang diproses, sesuai dengan persyaratan Undang-Undang Perlindungan Data.
Ketentuan Kontrak Standar.
Sejauh SparkPost Memproses Data Pribadi di bawah Perjanjian yang memerlukan mekanisme transfer lanjutan untuk mentransfer Data Pribadi secara sah dari EEA atau Inggris ("Inggris") ke negara atau wilayah lain yang belum ditentukan sebagai menyediakan tingkat perlindungan yang memadai untuk hak dan kebebasan Subjek Data oleh Komisi Eropa (atau, secara khusus terkait dengan Inggris, sebagaimana dapat ditentukan oleh badan pengatur Inggris yang berlaku) ("Transfer Terbatas"), para pihak setuju sebagai berikut:
Ketentuan Kontrak Standar EEA.
Para pihak setuju untuk mematuhi Ketentuan Kontrak Standar EEA untuk setiap Transfer Terbatas dari EEA ("Transfer Terbatas EEA"). Ketika Pelanggan adalah Pengendali dan SparkPost adalah Pengolah seperti yang dijelaskan lebih lanjut dalam Bagian 3.1, klausul kontraktual Pengendali/Pengolah akan berlaku untuk setiap Transfer Terbatas EEA tersebut. Ketika Pelanggan adalah Pengolah dan SparkPost adalah Sub-pengolah seperti yang dijelaskan lebih lanjut dalam Bagian 3.1, klausul kontraktual Pengolah/Sub-pengolah akan berlaku untuk setiap Transfer Terbatas EEA tersebut. SparkPost akan dianggap sebagai importir data dan Pelanggan akan dianggap sebagai pengekspor data di bawah Ketentuan Kontrak Standar EEA. Tanda tangan setiap pihak terhadap DPA ini, akan diperlakukan sebagai tanda tangan Ketentuan Kontrak Standar EEA yang berlaku, yang akan dianggap terintegrasi ke dalam DPA ini. Rincian yang diperlukan di bawah Lampiran 1 dan Lampiran 2 untuk Ketentuan Kontrak Standar EEA tersedia dalam Jadwal 1 dan Jadwal 2 untuk DPA ini. Dalam hal terjadi konflik atau ketidaksesuaian antara DPA ini dan Ketentuan Kontrak Standar EEA, Ketentuan Kontrak Standar EEA akan unggul hanya sehubungan dengan Transfer Terbatas EEA. Di mana Ketentuan Kontrak Standar EEA mengharuskan para pihak untuk memilih antara klausul opsional dan untuk memasukkan informasi, para pihak telah melakukannya seperti yang diatur di bawah ini:
Klausul Opsional 7 "Klausul Penambahan" tidak akan diadopsi.
Untuk Klausul 9 "Penggunaan sub-pengolah", para pihak memilih opsi berikut: "Opsi 2 Otorisasi tertulis umum: Importir data memiliki otorisasi umum dari pengendali untuk pengangkatan sub-pengolah dari daftar yang disetujui. Importir data harus secara khusus memberi tahu pengendali secara tertulis tentang setiap perubahan yang dimaksudkan pada daftar tersebut melalui penambahan atau penggantian sub-pengolah setidaknya 30 hari kalender sebelumnya, sehingga memberi waktu yang cukup bagi pengendali untuk membantah perubahan tersebut sebelum pengangkatan sub-pengolah. Importir data harus memberikan informasi yang diperlukan kepada pengendali untuk memungkinkan pengendali menjalankan haknya untuk membantah. Importir data harus memberi tahu pengekspor data tentang pengangkatan sub-pengolah.
"Untuk Klausul 11 (a) "Perbaikan", para pihak tidak mengadopsi Opsi.
Untuk Klausul 17 "Hukum yang mengatur", para pihak memilih opsi berikut: "Opsi 1. Ketentuan ini akan diatur oleh hukum salah satu Negara Anggota Uni Eropa, asalkan hukum tersebut memungkinkan hak penerima manfaat pihak ketiga. Para Pihak setuju bahwa ini akan menjadi hukum Belanda.
"Untuk Klausul 18 (b) "Pilihan Forum dan Yurisdiksi": "Para Pihak setuju bahwa itu akan menjadi pengadilan Belanda.
"Ketentuan Kontrak Standar Inggris. Para pihak setuju untuk mematuhi Ketentuan Kontrak Standar Inggris untuk setiap Transfer Terbatas dari Inggris ("Transfer Terbatas Inggris"). SparkPost akan dianggap sebagai importir data dan Pelanggan akan dianggap sebagai pengekspor data di bawah Ketentuan Kontrak Standar Inggris. Tanda tangan setiap pihak terhadap DPA ini, akan diperlakukan sebagai tanda tangan Ketentuan Kontrak Standar Inggris, yang akan dianggap terintegrasi ke dalam DPA ini. Rincian yang diperlukan di bawah Lampiran 1 dan Lampiran 2 untuk Ketentuan Kontrak Standar Inggris tersedia dalam Jadwal 1 dan Jadwal 2 untuk DPA ini. Dalam hal terjadi konflik atau ketidaksesuaian antara DPA ini dan Ketentuan Kontrak Standar Inggris, Ketentuan Kontrak Standar Inggris akan unggul hanya sehubungan dengan Transfer Terbatas Inggris.
Kerja Sama.
Jika SparkPost tidak dapat mematuhi persyaratan ini atau jika otoritas atau pengadilan yang relevan berhenti mengakui Ketentuan Kontrak Standar EEA atau Ketentuan Kontrak Standar Inggris, sebagaimana berlaku, sebagai memberikan tingkat perlindungan yang memadai, SparkPost akan memberitahu Pelanggan dan bekerja sama dengan Pelanggan secara wajar untuk memastikan bahwa setiap Pemrosesan Data Pribadi mematuhi Undang-Undang Perlindungan Data dan pembatasan transfer apapun di bawahnya, termasuk dengan mendapatkan sertifikasi alternatif, sebagaimana berlaku dan diperlukan.
Mekanisme Transfer Alternatif.
Para pihak setuju bahwa solusi ekspor data yang diidentifikasi dalam Bagian 7.2 (Ketentuan Kontrak Standar) tidak akan berlaku jika dan sejauh SparkPost mengadopsi, atau memelihara, solusi ekspor data alternatif untuk transfer sah Data Pribadi (sebagaimana diakui di bawah Undang-Undang Perlindungan Data) di luar EEA dan/atau Inggris dan yang telah disetujui oleh Pelanggan secara tertulis sebelum setiap transfer atau Pemrosesan Data Pribadi lainnya ("Mekanisme Transfer Alternatif"), dalam hal ini, Mekanisme Transfer Alternatif akan berlaku sebagai gantinya (tetapi hanya sejauh Mekanisme Transfer Alternatif tersebut mencakup wilayah ke mana Data Pribadi ditransfer).
Keamanan tambahan
Kerahasiaan Pemrosesan.
SparkPost akan memastikan bahwa setiap orang yang diizinkan oleh SparkPost untuk memproses Data Pribadi (termasuk staf, agen, dan subkontraktornya) akan berada di bawah kewajiban kerahasiaan yang tepat (baik itu kewajiban kontraktual atau statuta).
Respon dan Pemberitahuan Insiden Keamanan.
Setelah menyadari sebuah Insiden Keamanan, SparkPost akan memberi tahu Pelanggan tanpa penundaan yang tidak semestinya dan akan memberikan informasi tepat waktu terkait Insiden Keamanan saat menjadi diketahui atau sebagaimana diminta secara wajar oleh Pelanggan.
Pengembalian atau penghapusan data
Setelah pengakhiran atau berakhirnya Perjanjian, SparkPost akan menghapus atau mengembalikan (sesuai pilihan Pelanggan) kepada Pelanggan semua Data Pribadi (termasuk salinan) yang ada dalam kepemilikan atau kendalinya, kecuali bahwa kewajiban ini tidak akan berlaku sejauh SparkPost diharuskan oleh hukum yang berlaku untuk menyimpan beberapa atau semua Data Pribadi, atau untuk Data Pribadi yang telah diarsipkan di sistem cadangan, yang Data Pribadi tersebut akan diisolasi dan dilindungi dengan aman dari pemrosesan lebih lanjut, kecuali sejauh yang diwajibkan oleh hukum yang berlaku. KERJA SAMA.
Ganti Rugi.
Kedua belah pihak setuju untuk membela dan mengganti rugi pihak lain (termasuk direksinya, pejabat, karyawan, dan agen) dari dan terhadap setiap klaim pihak ketiga (termasuk dari otoritas pemerintah dan Penerima) dan biaya serta pengeluaran terkait (termasuk biaya pengacara yang wajar) yang muncul akibat pelanggaran aktual atau diduga dari DPA ini.
Permohonan Subjek Data.
Layanan menyediakan Pelanggan dengan sejumlah kontrol yang dapat digunakan Pelanggan untuk mengambil, memperbaiki, menghapus, atau membatasi Data Pelanggan, yang dapat digunakan Pelanggan untuk membantunya dalam pemenuhan kewajibannya di bawah Hukum Perlindungan Data termasuk, misalnya, kewajibannya yang berkaitan dengan menanggapi Permohonan Subjek Data. Sejauh Pelanggan tidak dapat secara independen mengakses Data Pelanggan yang relevan dalam Layanan, SparkPost akan memberikan kerja sama yang wajar untuk membantu Pelanggan merespons secara tepat waktu terhadap Permohonan Subjek Data yang berkaitan dengan pemrosesan Data Pribadi di bawah Perjanjian dalam batas waktu yang ditetapkan oleh Hukum Perlindungan Data. Jika ada permintaan seperti itu dibuat langsung kepada SparkPost, SparkPost akan memberi tahu Pelanggan secara tertulis tentang permintaan tersebut segera setelah diterimanya.
Catatan Pemrosesan.
Atas permintaan Pelanggan, SparkPost akan menyediakan informasi yang diperlukan Pelanggan untuk menunjukkan kepatuhan SparkPost terhadap kewajibannya di bawah Hukum Perlindungan Data dan di bawah DPA ini dalam waktu yang tepat.
Permintaan Pemerintah.
Jika lembaga penegak hukum mengirimkan permintaan kepada SparkPost untuk Data Pribadi (misalnya, melalui panggilan pengadilan atau perintah pengadilan), SparkPost akan berusaha untuk mengarahkan lembaga penegak hukum itu untuk meminta data tersebut langsung dari Pelanggan. Sebagai bagian dari upaya ini, SparkPost dapat memberikan informasi kontak dasar Pelanggan kepada lembaga penegak hukum. Jika terpaksa mengungkapkan Data Pelanggan kepada lembaga penegak hukum, maka SparkPost akan memberikan pemberitahuan yang wajar kepada Pelanggan tentang permintaan itu untuk memungkinkan Pelanggan mencari perintah perlindungan atau upaya hukum yang sesuai, kecuali jika SparkPost dihalangi secara hukum untuk melakukannya.
Penilaian Dampak Perlindungan Data.
Sejauh SparkPost diharuskan di bawah Hukum Perlindungan Data yang berlaku, SparkPost akan menyediakan informasi yang diminta secara wajar mengenai Layanan untuk memungkinkan Pelanggan melakukan penilaian dampak perlindungan data atau konsultasi sebelumnya dengan otoritas perlindungan data seperti yang diwajibkan oleh hukum atau berdasarkan Pasal 35 dan 36 atau GDPR, masing-masing.
***
JADWAL 1
ANNEX I UNTUK KLAUSUL KONTRAK STANDARD EEA
Jika berlaku, Jadwal 1 ini akan berfungsi sebagai Annex I untuk Klausul Kontrak Standard EEA.
ANNEX 1, BAGIAN A: DAFTAR PIHAK
Pengekspor Data: Pelanggan
Detail Kontak Pengekspor Data: Alamat yang terdaftar di blok tanda tangan Pelanggan di atas, atau alamat email pemilik akun Pelanggan, atau alamat email yang dipilih oleh Pelanggan untuk menerima pemberitahuan berdasarkan Perjanjian.
Peran Pengekspor Data: Peran Pengekspor Data diuraikan dalam Bagian 3 DPA.
Tanda Tangan & Tanggal: Pengekspor Data dianggap telah menandatangani Klausul Kontrak Standard EEA yang dimasukkan di sini dan berlaku sejak Tanggal Efektif DPA.
Pengimpor Data: Message Systems, Inc. (dba SparkPost)
Detail Kontak Pengimpor Data: Petugas Perlindungan Data SparkPost – privacy@sparkpost.com
Peran Pengimpor Data: Peran Pengimpor Data diuraikan dalam Bagian 3 DPA.
Tanda Tangan & Tanggal: Pengimpor Data dianggap telah menandatangani Klausul Kontrak Standard EEA yang dimasukkan di sini dan berlaku sejak Tanggal Efektif DPA.
ANNEX 1, BAGIAN B: DESKRIPSI TRANSFER
Kategori subjek data yang datanya dipindahkan dijelaskan dalam Bagian 3.4 DPA. Kategori data pribadi yang dipindahkan dijelaskan dalam Bagian 3.4 DPA. Data sensitif yang dipindahkan (jika berlaku) dan penerapan pembatasan atau perlindungan yang sepenuhnya mempertimbangkan sifat data dan risiko yang terlibat, seperti batasan tujuan yang ketat, pembatasan akses (termasuk akses hanya untuk staf yang telah menjalani pelatihan khusus), menyimpan catatan akses terhadap data, pembatasan untuk transfer lebih lanjut atau langkah-langkah keamanan tambahan:
NoneFrekuensi transfer (misalnya apakah data dipindahkan sekali atau secara terus-menerus): Data dipindahkan secara terus-menerus selama periode Perjanjian.
Sifat pemrosesan dijelaskan dalam Bagian 3.4 DPA. Tujuan transfer data dan pemrosesan lebih lanjut dijelaskan dalam Bagian 3.4 DPA.
Periode di mana data pribadi akan disimpan, atau, jika itu tidak mungkin, kriteria yang digunakan untuk menentukan periode tersebut:
Selama periode Perjanjian atau lebih lama sesuai dengan hukum yang berlaku dan sebagaimana diizinkan oleh Perjanjian.
Untuk transfer ke sub-prosesor, juga sebutkan subjek, sifat, dan durasi pemrosesan:
Untuk transfer ke sub-prosesor, subjek dan sifat pemrosesan dijelaskan di https://www.sparkpost.com/policies/subprocessors/ dan durasinya selama periode Perjanjian.
ANNEX 1, BAGIAN C: OTORITAS PENGAWAS YANG BERWENANG
Otoritas Perlindungan Data Belanda (Autoriteit Persoonsgegevens) akan menjadi otoritas pengawas yang berwenang.
***
JADWAL 2 LAMPIRAN II PADA KLAUSUL KONTRAK STANDARD EEA
Jika berlaku, Jadwal 2 ini akan berfungsi sebagai Lampiran II dari Klausul Kontrak Standar. Berikut ini memberikan informasi lebih lanjut mengenai langkah-langkah keamanan teknis dan organisasi SparkPost yang tercantum di bawah ini.
Informasi lebih lanjut tentang langkah-langkah keamanan teknis dan organisasi SparkPost untuk melindungi Data Pelanggan, ringkasan yang tersedia di: https://www.sparkpost.com/policies/security/ (“Kebijakan Keamanan”).
Langkah-langkah Keamanan Teknis dan Organisasi:
Langkah-langkah pseudonimisasi dan enkripsi data pribadi: SparkPost menjaga Data Pelanggan dalam format terenkripsi saat tidak aktif dan dalam transit menggunakan SSL, HTTPS, dan TLS oportunistik sesuai yang berlaku.
Langkah-langkah untuk memastikan kerahasiaan, integritas, dan ketersediaan serta ketahanan sistem dan layanan pemrosesan yang berkelanjutan: SparkPost setuju untuk mempertahankan kewajiban kerahasiaan dalam perjanjiannya dengan pelanggannya. SparkPost juga menjalin perjanjian yang mengandung ketentuan kerahasiaan substantif yang serupa dengan karyawan, kontraktor, vendor, dan sub-prosesor SparkPost. SparkPost mempertahankan ketersediaan yang tinggi dan ketahanan sistem dan layanan melalui beberapa zona ketersediaan pusat data yang tidak bergantung satu sama lain. Selain itu, SparkPost telah mengimplementasikan dan mempertahankan Rencana Kontinuitas Bisnis dan Pemulihan Bencana untuk memastikan Data Pelanggan dilindungi dan Layanan dapat terus diberikan.
Langkah-langkah untuk memastikan kemampuan untuk memulihkan ketersediaan dan akses ke Data Pribadi dalam waktu yang tepat dalam hal terjadi insiden fisik atau teknis: Data Pelanggan dihosting oleh Amazon Web Services (“AWS”), yang menyediakan redundansi di beberapa zona ketersediaan. Seperti yang dinyatakan di atas, SparkPost juga telah mengimplementasikan dan mempertahankan Rencana Kontinuitas Bisnis dan Pemulihan Bencana.
Proses untuk pengujian, penilaian, dan evaluasi secara teratur efektivitas langkah-langkah teknis dan organisatoris guna memastikan keamanan pemrosesan: SparkPost mempertahankan program keamanan informasi yang tertulis dan komprehensif, yang mencakup kontrol fisik, teknis, dan administratif yang sesuai untuk melindungi keamanan, integritas, kerahasiaan, dan ketersediaan Data Pelanggan termasuk, tanpa batasan, melindungi Data Pelanggan dari akuisisi, akses, penggunaan, pengungkapan, atau penghancuran yang tidak sah atau melawan hukum. Program keamanan ini dirancang dengan mempertimbangkan jenis layanan yang diberikan SparkPost dan ukuran serta kompleksitas bisnis SparkPost. Selain tim keamanan internal kami yang terus memantau keamanan kami secara internal, SparkPost menggunakan pihak ketiga untuk melakukan pengujian kerentanan dan penetrasi internal dan eksternal untuk memvalidasi perimeter dan postur defensif internal secara berkala.
Langkah-langkah untuk identifikasi dan otorisasi pengguna: Karyawan SparkPost diharuskan menggunakan kredensial akses pengguna unik dan kata sandi untuk otorisasi. SparkPost memanfaatkan prinsip akses dengan hak istimewa paling sedikit saat menyediakan akses sistem, yang mempertimbangkan fungsi pekerjaan, peran, dan tanggung jawab setiap karyawan saat menentukan tingkat dan durasi akses yang sesuai. Akses memerlukan persetujuan sebelum penyediaan dan akses segera dicabut setelah perubahan peran atau pemutusan hubungan.
Langkah-langkah untuk perlindungan data selama transmisi: Data Pelanggan dienkripsi saat dalam transit antara Pelanggan dan Layanan SparkPost menggunakan HTTPS. Data Pelanggan dienkripsi saat dalam transit antara SparkPost dan Penerima menggunakan TLS oportunistik. Langkah-langkah untuk perlindungan data selama penyimpanan: Data Pelanggan disimpan dalam bentuk terenkripsi menggunakan Standar Enkripsi Tingkat Lanjut.
Langkah-langkah untuk memastikan keamanan fisik lokasi di mana data pribadi diproses: Kantor pusat SparkPost dan ruang kantor memiliki (i) pemantauan dan pengawasan keamanan fisik; (ii) kontrol masuk untuk membatasi akses fisik; dan (iii) catatan kunjungan. Semua kontraktor dan pengunjung diwajibkan untuk mencatat masuk dan keluar dari kantor. Layanan beroperasi di AWS dan dilindungi oleh kontrol fisik, teknis, organisasi, dan administratif Amazon. Informasi rinci tentang keamanan AWS tersedia di https://aws.amazon.com/security/, https://aws.amazon.com/security/sharing-the-security-responsibility/, dan https://aws.amazon.com/compliance/iso-27001-faqs/. Untuk Laporan SOC AWS, silakan lihat https://aws.amazon.com/compliance/soc-faqs/.
Langkah-langkah untuk memastikan pencatatan peristiwa: Aktivitas infrastruktur produksi SparkPost dicatat secara terpusat dan diamankan dalam upaya mencegah manipulasi dan dipantau untuk anomali oleh tim keamanan terlatih.
Langkah-langkah untuk memastikan konfigurasi sistem, termasuk konfigurasi default: SparkPost mengevaluasi perubahan pada platform, aplikasi, dan infrastruktur produksi dengan cara yang meminimalkan risiko dan perubahan tersebut diterapkan hanya sesuai dengan Kebijakan Keamanan. SparkPost melakukan berbagai aktivitas terkait keamanan untuk Layanan di berbagai fase siklus hidup pembuatan produk dari pembuatan dokumentasi persyaratan dan desain produk hingga tahap go-live. Aktivitas ini termasuk pelaksanaan (i) tinjauan keamanan internal sebelum Layanan baru diterapkan; (ii) pengujian penetrasi tahunan oleh pihak ketiga independen; dan (iii) analisis ancaman untuk Layanan baru untuk mendeteksi ancaman keamanan dan kerentanan potensial. SparkPost mengikuti proses manajemen perubahan untuk mengelola perubahan pada lingkungan produksi untuk Layanan, termasuk perubahan pada perangkat lunak, aplikasi, dan sistem yang mendasari. Pemantauan dilakukan untuk memberi tahu tim keamanan tentang perubahan yang dilakukan pada infrastruktur dan layanan kritis yang tidak sesuai dengan proses manajemen perubahan.
Langkah-langkah untuk tata kelola dan manajemen TI internal dan keamanan TI: SparkPost mempertahankan program keamanan penilaian berbasis risiko, yang mencakup perlindungan administratif, organisasi, teknis, dan fisik yang didesain dengan wajar untuk melindungi Layanan serta kerahasiaan, integritas, dan ketersediaan Data Pelanggan. Program keamanan SparkPost dirancang dengan memperhitungkan sifat Layanan dan ukuran serta kompleksitas bisnis SparkPost. SparkPost memiliki tim keamanan yang didedikasikan yang mengelola program keamanan informasi SparkPost dan memfasilitasi serta mendukung audit dan penilaian independen yang dilakukan oleh pihak ketiga. Kerangka kerja keamanan SparkPost didasarkan pada pernyataan SOC2 Tipe II dan mencakup kriteria layanan kepercayaan berikut: Keamanan, Ketersediaan, Kerahasiaan, dan Privasi. Keamanan dikelola di tingkat tertinggi perusahaan, dengan VP Kepatuhan dan Keamanan TI bertemu dengan manajemen eksekutif secara teratur untuk membahas masalah dan mengoordinasikan inisiatif keamanan dan TI di seluruh perusahaan. Kebijakan dan standar keamanan informasi ditinjau dan disetujui oleh manajemen setidaknya setahun sekali dan tersedia untuk semua karyawan SparkPost yang relevan untuk referensi mereka.
Langkah-langkah untuk sertifikasi/jaminan proses dan produk: SparkPost melakukan berbagai audit pihak ketiga untuk membuktikan berbagai kerangka kerja termasuk SOC 2 Tipe II dan pengujian kerentanan dan penetrasi aplikasi secara reguler. Langkah-langkah untuk memastikan minimalisasi data: SparkPost tidak menyimpan isi pesan Email setelah dikirim ke Penerima atau ditolak atau dibalik oleh penyedia kotak surat, yang biasanya terjadi dalam hitungan detik. Dalam hal terjadi penolakan atau pantulan, SparkPost akan menyimpan isi pesan untuk jangka waktu terbatas untuk memungkinkan transmisi Email dicoba kembali. Jika transmisi masih gagal, isi pesan akan dihapus secara permanen. SparkPost hanya menyimpan Data Pribadi Penerima dalam bentuk mentah untuk jangka waktu terbatas setelah transmisi Email ke Penerima. Setelah periode retensi awal, Data Pribadi dipseudonimkan melalui hash satu arah dan hanya disimpan dalam bentuk pseudonimnya. Untuk informasi lebih lanjut tentang proses ini, silakan lihat FAQ Data kami yang tersedia di: https://www.sparkpost.com/policies/data-faq/. Selain itu, SparkPost telah membangun fungsi mandiri dalam Layanan yang memungkinkan Pelanggan untuk menghapus Data Pelanggan tertentu, seperti alamat email Penerima dan peristiwa pesan terkait, sesuai permintaan, yang dokumentasi untuk fungsi semacam itu tersedia di: https://developers.sparkpost.com/api/data-privacy/.
Langkah-langkah untuk memastikan akuntabilitas: SparkPost telah mengadopsi langkah-langkah untuk memastikan akuntabilitas termasuk melakukan audit pihak ketiga secara teratur untuk memastikan kepatuhan terhadap standar privasi dan keamanan kami. SparkPost juga menerapkan kebijakan perlindungan data sesuai dengan hukum yang berlaku dan menerbitkan gambaran umum tentang Kebijakan Keamanan (terkait di atas). SparkPost telah menunjuk Pejabat Perlindungan Data dan mempertahankan dokumentasi aktivitas pemrosesannya, termasuk pencatatan dan pelaporan Insiden Keamanan yang melibatkan Data Pribadi jika berlaku.
Langkah-langkah untuk memungkinkan portabilitas data dan memastikan penghapusan: Pelanggan memiliki hubungan langsung dengan Penerima mereka dan bertanggung jawab untuk menanggapi permintaan dari pengguna akhir mereka yang ingin melaksanakan hak mereka berdasarkan Hukum Perlindungan Data. SparkPost telah membangun fungsi mandiri dalam Layanan yang memungkinkan Pelanggan untuk menghapus Data Pelanggan tertentu, seperti alamat email Penerima dan peristiwa pesan terkait sesuai permintaan, yang dokumentasi untuk fungsi semacam itu tersedia di: https://developers.sparkpost.com/api/data-privacy/. Selain itu, SparkPost telah membangun fungsi mandiri untuk menekan Email di masa mendatang kepada Penerima (yaitu, berhenti berlangganan), yang dokumentasi untuk fungsi semacam itu tersedia di https://developers.sparkpost.com/api/suppression-list/. Sejauh Pelanggan tidak dapat secara mandiri mengakses Data Pelanggan relevan dalam Layanan, SparkPost akan memberikan kerja sama yang wajar untuk membantu Pelanggan merespons permintaan Subjek Data terkait pemrosesan Data Pribadi di bawah Perjanjian dalam batas waktu apa pun yang ditetapkan oleh Hukum Perlindungan Data. Dalam hal permintaan semacam itu dibuat langsung kepada SparkPost, SparkPost akan menyarankan Subjek Data untuk mengajukan permohonannya kepada Pelanggan, dan Pelanggan akan bertanggung jawab untuk menanggapi permintaan semacam itu.
Untuk transfer kepada [sub]-prosesor, juga jelaskan langkah-langkah teknis dan organisatoris spesifik yang harus diambil oleh [sub]-prosesor untuk dapat memberikan bantuan kepada pengendali dan, untuk transfer dari pemroses ke [sub]-prosesor, kepada pengirim data: Ketika SparkPost melibatkan sub-prosesor berdasarkan DPA ini, SparkPost dan sub-prosesor menjalin perjanjian dengan syarat perlindungan data yang substansial mirip dengan yang terdapat di sini.
V2.0 2 November 2021
