Lampiran Perlindungan Data SparkPost
Dalam memberikan layanan SparkPost kepada pelanggan kami, SparkPost mungkin memproses data pribadi atas nama pelanggan kami di mana data pribadi tersebut tunduk pada undang-undang perlindungan data UE seperti GDPR. Untuk tujuan ini, kami menawarkan addendum perlindungan data (DPA) seperti yang tercantum di bawah ini. DPA hanya akan mengikat secara hukum dan berlaku jika: (1) ditandatangani di sini; dan (2) Anda adalah pelanggan SparkPost pada tanggal DPA sepenuhnya ditandatangani. Harap dicatat bahwa karena kami memiliki begitu banyak pelanggan, kami tidak dapat mengubah DPA untuk pelanggan tertentu mana pun. Namun, jika Anda memiliki pertanyaan tentang DPA, silakan hubungi kami di privacy@sparkpost.com.
Definisi
“Afiliasi” berarti entitas yang secara langsung atau tidak langsung mengendalikan, dikendalikan oleh, atau berada di bawah kendali bersama dengan entitas yang dimaksud. “Kendali,” untuk tujuan definisi ini, berarti kepemilikan atau pengendalian langsung atau tidak langsung dari lebih dari 50% kepentingan suara entitas yang dimaksud.
“Perjanjian” berarti Syarat Penggunaan dan Pesanan terkait, yang bersama-sama mengatur penyediaan dan penggunaan Layanan.
“CCPA” berarti Undang-Undang Privasi Konsumen California tahun 2018 dan peraturan yang dikeluarkan di bawahnya, dalam setiap kasus, sebagaimana diubah dari waktu ke waktu.
“Klausul Kontrak Standar Pengendali/Pengolah” berarti modul “Pengendali ke Pengolah” (Modul 2) dari Klausul Kontrak Standar untuk transfer data pribadi ke negara ketiga sesuai dengan GDPR dan Keputusan Pelaksanaan Komisi Eropa (EU) 2021/914 tanggal 4 Juni 2021.
“Hukum Perlindungan Data” berarti semua hukum dan peraturan dari yurisdiksi manapun yang berlaku pada kerahasiaan, privasi, keamanan, atau Pengolahan Data Pribadi berdasarkan Perjanjian, termasuk, jika berlaku, GDPR, CCPA, dan semua hukum serta peraturan lain yang terkait dengan privasi, pemasaran langsung, atau perlindungan data. “Pengendali Data” berarti entitas, sendirian atau bersama dengan yang lain, yang menentukan tujuan dan cara Pengolahan Data Pribadi.
“Pengolah Data” berarti entitas yang Mengolah Data Pribadi atas nama Pengendali Data. “Subjek Data” berarti individu yang berkaitan dengan Data Pribadi.
“Permintaan Subjek Data” berarti permintaan Subjek Data untuk menjalankan hak orang tersebut berdasarkan Hukum Perlindungan Data sehubungan dengan Data Pribadi orang tersebut, termasuk, tanpa batasan, hak untuk mengakses, memperbaiki, mengubah, mentransfer, memperoleh salinan, keberatan terhadap pengolahan, memblokir, menghapus, atau memilih keluar dari penjualan Data Pribadi tersebut. “EEA” berarti Kawasan Ekonomi Eropa dan Swiss.
“GDPR” berarti (i) Regulasi 2016/679 Parlemen Eropa dan Dewan mengenai perlindungan orang alami sehubungan dengan pengolahan Data Pribadi dan pergerakan bebas data tersebut (Regulasi Perlindungan Data Umum); atau (ii) hanya sehubungan dengan Britania Raya, Undang-Undang Perlindungan Data 2018.
“Data Pribadi” berarti informasi apapun yang mengidentifikasi, berkaitan, mendeskripsikan, atau mampu diasosiasikan secara wajar dengan orang alami atau rumah tangga yang teridentifikasi atau dapat dikenali.
“Pengolahan” berarti operasi apapun atau serangkaian operasi yang dilakukan pada Data Pribadi atau pada kumpulan Data Pribadi, baik secara otomatis maupun tidak, seperti pengumpulan, perekaman, pengorganisasian, pengaturan, penyimpanan, adaptasi atau perubahan, pengambilan, konsultasi, penggunaan, pengungkapan melalui transmisi, penyebaran atau melalui cara lain yang tersedia, penyelarasan atau penggabungan, pembatasan, penghapusan, atau penghancuran.
“Klausul Kontrak Standar Pengolah/Sub-Pengolah” berarti modul “Pengolah ke Pengolah” (Modul 3) dari Klausul Kontrak Standar untuk transfer data pribadi ke negara ketiga sesuai dengan GDPR dan Keputusan Pelaksanaan Komisi Eropa (EU) 2021/914 tanggal 4 Juni 2021.
“Regulator” berarti otoritas perlindungan data Eropa atau otoritas regulasi, pemerintah, atau pengawas lainnya yang memiliki wewenang atas semua atau sebagian dari (a) penyediaan atau penerimaan Layanan; (b) Pengolahan Data Pribadi sehubungan dengan Layanan; atau (c) bisnis atau personel SparkPost yang berkaitan dengan Layanan.
“Insiden Keamanan” berarti setiap penghancuran, kehilangan, perubahan, pengungkapan, akses tidak sah, atau enkripsi Data Pribadi yang tidak disengaja, tidak sah, atau ilegal.
“Layanan” berarti setiap produk atau layanan yang diberikan oleh SparkPost kepada Pelanggan berdasarkan Perjanjian.
“Klausul Kontrak Standar EEA” berarti (i) Klausul Kontrak Standar Pengendali/Pengolah; atau (ii) Klausul Kontrak Standar Pengolah/Sub-pengolah, baik secara individu maupun kolektif, sesuai dengan yang berlaku.
“Sub-pengolah” berarti entitas yang Mengolah Data Pribadi atas nama entitas yang bertindak sebagai Pengolah atau Sub-pengolah.
“Klausul Kontrak Standar Inggris” berarti klausul kontrak standar untuk transfer data pribadi kepada pengolah yang berada di negara ketiga dalam bentuk yang ditetapkan oleh Keputusan Komisi Eropa 2010/87/EU, sebagaimana mungkin diubah, dimodifikasi, atau diganti oleh Komisi Eropa.
Hubungan dengan perjanjian
Para pihak setuju bahwa DPA ini akan menggantikan setiap adendum perlindungan data atau perjanjian serupa yang mungkin telah dimasuki para pihak sebelumnya sehubungan dengan Layanan.
DPA ini berlaku di mana dan hanya sejauh SparkPost Memproses Data Pribadi yang tunduk pada Undang-Undang Perlindungan Data dalam rangka menyediakan Layanan berdasarkan Perjanjian.
Kecuali untuk perubahan yang dibuat oleh DPA ini, Perjanjian tetap tidak berubah dan berlaku penuh. Jika terdapat konflik antara ketentuan DPA ini dan ketentuan Perjanjian, DPA ini akan lebih diutamakan sejauh konflik tersebut. Dalam keadaan di mana SparkPost mengandalkan Klausul Kontraktual Standar untuk EEA atau Klausul Kontraktual Standar untuk Inggris (secara kolektif, "Standard Contractual Clauses"), yang berlaku, untuk mentransfer Data Pribadi, Klausul Kontraktual Standar yang berlaku akan lebih diutamakan dalam hal konflik dengan DPA ini.
Setiap klaim yang diajukan berdasarkan atau sehubungan dengan DPA ini akan tunduk pada syarat dan ketentuan, termasuk namun tidak terbatas pada, pengecualian dan batasan yang ditetapkan dalam Perjanjian. Para pihak setuju bahwa tidak ada batasan tanggung jawab yang ditetapkan dalam Perjanjian yang akan berlaku untuk tanggung jawab pihak mana pun kepada Subyek Data di bawah ketentuan penerima manfaat pihak ketiga dari Klausul Kontraktual Standar sejauh batasan tanggung jawab tersebut dilarang oleh Undang-Undang Perlindungan Data.
DPA ini akan diatur oleh dan ditafsirkan sesuai dengan ketentuan hukum dan yurisdiksi dalam Perjanjian, kecuali disyaratkan lain oleh Undang-Undang Perlindungan Data yang berlaku. DPA ini akan tetap berlaku selama SparkPost Memproses Data Pribadi, meskipun masa berakhirnya atau penghentian Perjanjian. PERAN DAN LINGKUP PEMROSESAN.
Peran Para Pihak.
Para pihak mengakui dan setuju bahwa, antara SparkPost dan Pelanggan: Sehubungan dengan Data Pribadi dari individu mana pun yang mengakses dan/atau menggunakan Layanan melalui Akun Pelanggan (“Pengguna”), Pelanggan adalah Pengendali dan SparkPost adalah Pemroses Data Pribadi Pengguna; dan sehubungan dengan Data Pribadi setiap individu: (i) yang alamat emailnya termasuk dalam daftar penerima Pelanggan; (ii) yang informasinya disimpan di atau dikumpulkan melalui Layanan, atau (ii) kepada siapa Pengguna mengirim email atau sebaliknya berinteraksi atau berkomunikasi melalui Layanan (secara kolektif, "Penerima"), Pelanggan adalah Pemroses dan SparkPost adalah Sub-pemroses Data Pribadi Penerima.
Pemrosesan Data Pribadi oleh Pelanggan.
Pelanggan setuju bahwa pihaknya akan mematuhi kewajibannya di bawah Undang-Undang Perlindungan Data yang berlaku sehubungan dengan Pemrosesannya terhadap Data Pribadi dalam kaitannya dengan Layanan dan sehubungan dengan instruksi Pemrosesan yang didokumentasikan yang dikeluarkannya kepada SparkPost.
Pemrosesan Data Pribadi oleh SparkPost. Pelanggan menginstruksikan SparkPost untuk Memproses Data Pribadi sesuai dengan Perjanjian (termasuk, untuk menghindari keraguan, untuk memenuhi kewajiban lain dan menjalankan haknya di bawah Perjanjian) dan mematuhi instruksi masuk akal Pelanggan lainnya (misalnya, melalui email) di mana instruksi semacam itu konsisten dengan Perjanjian. SparkPost akan: (i) Memproses Data Pribadi hanya atas nama Pelanggan dan sesuai dengan instruksi sah yang didokumentasikan oleh Pelanggan dan akan memperlakukan Data Pribadi sebagai informasi rahasia yang tunduk pada ketentuan kerahasiaan dari Perjanjian; (ii) segera memberi tahu Pelanggan secara tertulis jika, menurut pendapat masuk akal SparkPost, SparkPost yakin bahwa instruksi yang diberikan oleh Pelanggan melanggar Undang-Undang Perlindungan Data; (iii) melaksanakan Layanan dan Memproses Data Pribadi sesuai dengan Undang-Undang Perlindungan Data dan Perjanjian; (iv) segera memberi tahu Pelanggan tentang ketidakpatuhan terhadap DPA ini. Para pihak setuju bahwa DPA ini dan Perjanjian menetapkan instruksi lengkap dan final Pelanggan kepada SparkPost sehubungan dengan pemrosesan Data Pribadi dan pemrosesan di luar lingkup instruksi ini (jika ada) akan memerlukan perjanjian tertulis sebelumnya antara Pelanggan dan SparkPost.
Detail Pemrosesan Data.
Mata pelajaran: Subjek pemrosesan data di bawah DPA ini adalah Data Pribadi.Durasi: Antara SparkPost dan Pelanggan, durasi pemrosesan data di bawah DPA ini adalah sampai berakhirnya Perjanjian sesuai dengan ketentuannya.
Tujuan: Tujuan pemrosesan data di bawah DPA ini adalah penyediaan Layanan kepada Pelanggan dan pelaksanaan SparkPost berdasarkan Perjanjian (termasuk DPA ini) atau sebagaimana diakui oleh para pihak.
Jenis pemrosesan: SparkPost menyediakan layanan pengiriman email, analitik, dan kecerdasan serta layanan terkait lainnya, sebagaimana dijelaskan dalam Perjanjian.Kategori subjek data: Pengguna dan Penerima.
Jenis Data Pribadi:
Pelanggan dan Pengguna: data identifikasi dan kontak (nama, alamat, gelar, rincian kontak, nama pengguna); informasi keuangan (rincian akun, informasi pembayaran); rincian pekerjaan (pemberi kerja, jabatan, lokasi geografis, area tanggung jawab);
Penerima: data identifikasi dan kontak (nama, alamat email, dan data demografis serta segmen lainnya yang disediakan oleh Pelanggan); informasi TI (alamat IP, data penggunaan, data cookies, data navigasi online, data lokasi, data peramban).
Undang-Undang Privasi Konsumen California.
SparkPost akan mematuhi CCPA dan memperlakukan semua Data Pribadi yang tunduk pada CCPA (“CCPA Personal Data”) sesuai dengan ketentuan CCPA. Sehubungan dengan CCPA Personal Data, SparkPost adalah penyedia layanan di bawah CCPA. SparkPost tidak akan (a) menjual CCPA Personal Data; (b) menyimpan, menggunakan, atau mengungkapkan CCPA Personal Data untuk tujuan lain selain untuk penyediaan Layanan, termasuk menyimpan, menggunakan, atau mengungkapkan CCPA Personal Data untuk tujuan komersial lainnya selain menyediakan Layanan; atau (c) menyimpan, menggunakan, atau mengungkapkan CCPA Personal Data di luar hubungan bisnis langsung antara SparkPost dan Pelanggan. Para pihak mengakui dan setuju bahwa Pemrosesan CCPA Personal Data yang diotorisasi oleh instruksi Pelanggan yang dijelaskan dalam Perjanjian dan DPA ini adalah bagian integral dan terlingkup dalam penyediaan Layanan oleh SparkPost dan hubungan bisnis langsung antara para pihak. Para pihak mengakui dan setuju bahwa akses SparkPost ke Data Pelanggan bukan merupakan bagian dari pertimbangan yang dipertukarkan oleh para pihak sehubungan dengan Perjanjian. Sejauh ada Data Penggunaan yang dianggap sebagai CCPA Personal Data, SparkPost adalah pengusaha data sehubungan dengan data tersebut dan akan Memproses data tersebut sesuai dengan Kebijakan Privasi-nya, yang dapat ditemukan di https://www.sparkpost.com/policies/privacy/. Istilah "pengusaha", "tujuan komersial", "penyedia layanan", dan "menjual" sebagaimana digunakan dalam Bagian ini memiliki arti yang diberikan kepada mereka dalam CCPA. SparkPost dan Pelanggan menyatakan bahwa mereka memahami dan akan mematuhi kewajiban dan pembatasan sebagaimana ditetapkan dalam DPA ini dan Perjanjian sebagaimana dipersyaratkan di bawah CCPA.
Kepentingan Sah.
Pelanggan mengakui bahwa SparkPost akan memiliki hak untuk menggunakan dan mengungkapkan data yang berkaitan dengan pengoperasian, dukungan dan/atau penggunaan Layanan untuk tujuan bisnis sahnya, seperti penagihan, manajemen akun, dukungan teknis, dan pengembangan produk. Sejauh data tersebut dianggap sebagai Data Pribadi di bawah Undang-Undang Perlindungan Data, SparkPost adalah Pengendali Data atas data tersebut dan sesuai dengan itu akan memproses data tersebut sesuai dengan Kebijakan Privasi SparkPost dan Undang-Undang Perlindungan Data.
Teknologi Pelacakan.
Pelanggan mengakui bahwa dalam rangka melaksanakan Layanan, SparkPost menggunakan beacon web, pixel pelacakan, dan teknologi pelacakan serupa (“Tracking Technologies”). Pelanggan akan mempertahankan dasar hukum pemrosesan yang sesuai sebagaimana disyaratkan oleh Undang-Undang Perlindungan Data untuk memungkinkan SparkPost menerapkan Teknologi Pelacakan secara sah pada, dan mengumpulkan data dari, perangkat Penerima sesuai dan seperti yang dijelaskan dalam Kebijakan Privasi SparkPost.
Subkontrak
Sub-prosesor yang Sah. Pelanggan setuju bahwa SparkPost dapat melibatkan Sub-prosesor untuk memproses Data Pelanggan atas nama Pelanggan. Sub-prosesor yang terlibat oleh SparkPost dan disahkan oleh Pelanggan pada Tanggal Efektif terdaftar di: https://www.sparkpost.com/policies/subprocessors. Kewajiban Sub-prosesor. SparkPost akan: (i) membuat perjanjian tertulis dengan Sub-prosesor yang menetapkan ketentuan perlindungan data yang mewajibkan Sub-prosesor melindungi Data Pelanggan sesuai standar yang diperlukan oleh Undang-Undang Perlindungan Data; dan (ii) tetap bertanggung jawab atas kepatuhannya dengan kewajiban dalam DPA ini dan untuk setiap tindakan atau kelalaian Sub-prosesor yang menyebabkan SparkPost melanggar kewajiban apapun di bawah DPA ini.
Pemberitahuan. SparkPost akan (i) memberikan daftar terbaru dari Sub-prosesor yang telah ditunjuk berdasarkan permintaan tertulis dari Pelanggan; dan (ii) memberitahukan Pelanggan (email cukup) jika menambahkan Sub-prosesor setidaknya sepuluh (10) hari sebelum perubahan tersebut terjadi.
Keberatan. Pelanggan dapat mengajukan keberatan secara tertulis terhadap penunjukan Sub-prosesor baru oleh SparkPost dalam waktu lima (5) hari sejak pemberitahuan tersebut, dengan ketentuan keberatan tersebut didasarkan pada alasan yang wajar terkait perlindungan data. Dalam hal demikian, para pihak akan mendiskusikan kekhawatiran tersebut dengan itikad baik untuk mencapai resolusi. Jika resolusi tidak tercapai dalam jangka waktu yang wajar, Pelanggan dapat mengakhiri Pesanan yang berlaku hanya untuk Layanan tertentu yang tidak dapat disediakan oleh SparkPost tanpa penggunaan Sub-prosesor baru yang ditolak, dengan memberikan pemberitahuan tertulis kepada SparkPost.
Keamanan
Kebijakan Keamanan.
Memperhitungkan perkembangan teknis, biaya implementasi, dan sifat, ruang lingkup, konteks, serta tujuan Pengolahan, serta risiko dengan tingkat kemungkinan dan keparahan yang bervariasi terhadap hak dan kebebasan orang alami, SparkPost akan menerapkan dan memelihara langkah-langkah keamanan teknis dan organisasi yang sesuai untuk melindungi Data Pribadi dari Insiden Keamanan dan menjaga keamanan, integritas, ketersediaan, ketahanan, dan kerahasiaan Data Pribadi serta sistem SparkPost yang digunakan untuk Pengolahan Data Pribadi.
Pembaruan untuk Langkah Keamanan.
Pelanggan bertanggung jawab untuk meninjau informasi yang disediakan oleh SparkPost terkait keamanan data dan membuat penilaian independen apakah informasi tersebut memenuhi persyaratan dan kewajiban hukum Pelanggan berdasarkan Undang-Undang Perlindungan Data. Pelanggan mengakui bahwa Kebijakan Keamanan tunduk pada kemajuan dan pengembangan teknis dan bahwa SparkPost dapat memperbarui atau memodifikasi Kebijakan Keamanan dari waktu ke waktu asalkan pembaruan dan modifikasi tersebut tidak mengakibatkan penurunan keseluruhan keamanan Layanan yang dibeli oleh Pelanggan.
Tanggung Jawab Pelanggan.
Terlepas dari hal di atas, Pelanggan setuju bahwa Pelanggan bertanggung jawab untuk mengamankan kredensial autentikasi Akun yang ada dalam pengawasan atau kontrol Pelanggan dan melindungi keamanan Data Pribadi saat dalam transit ke dan dari Layanan sejauh Data Pribadi tersebut berada dalam pengawasan atau kontrol Pelanggan.
Personel SparkPost.
SparkPost akan memastikan bahwa personelnya yang terlibat dalam Pengolahan Data Pribadi diberitahu tentang sifat rahasia Data Pribadi, telah menerima pelatihan yang sesuai tentang tanggung jawab mereka, dan telah menandatangani perjanjian kerahasiaan tertulis sehubungan dengan Data Pribadi yang bertahan setelah keterlibatan personel berakhir.
Laporan audit dan audit
Laporan Audit.
SparkPost secara rutin diaudit terhadap kontrol SOC 2 Tipe II (atau setara) oleh auditor pihak ketiga independen. Atas permintaan, SparkPost akan menyediakan salinan ringkasan dari laporan auditnya (“Laporan Audit”) kepada Pelanggan, agar Pelanggan dapat memverifikasi kepatuhan SparkPost terhadap standar audit yang telah dinilai, dan DPA ini. Laporan Audit tersebut, serta setiap kesimpulan atau temuan yang ditentukan di dalamnya, adalah Informasi Rahasia SparkPost.
Audit.
SparkPost akan menyediakan kepada Pelanggan semua informasi yang diperlukan untuk menunjukkan kepatuhan dengan kewajiban Pemroses Data yang ditetapkan dalam Artikel 28 GDPR (“Persyaratan Artikel 28”). Untuk tujuan ini, SparkPost akan memberikan tanggapan tertulis terhadap semua permintaan informasi yang wajar yang dibuat oleh Pelanggan, termasuk tanggapan terhadap kuesioner keamanan informasi dan audit yang diperlukan untuk mengonfirmasi kepatuhan SparkPost dengan Persyaratan Artikel 28, dengan ketentuan bahwa Pelanggan tidak akan menggunakan hak ini lebih dari sekali per tahun. Tanggapan tersebut adalah Informasi Rahasia SparkPost. Jika SparkPost tidak dapat menyediakan semua informasi yang diperlukan untuk menunjukkan kepatuhan dengan Persyaratan Artikel 28 melalui tanggapan tertulis, maka SparkPost akan memungkinkan dan berkontribusi pada audit, termasuk inspeksi, yang dilakukan oleh Pelanggan atau auditor lain yang mewakili Pelanggan. Semua informasi yang diperoleh dari SparkPost selama audit atau inspeksi tersebut adalah Informasi Rahasia SparkPost.
Transfer internasional
Lokasi Pemrosesan.
SparkPost dapat memindahkan dan memproses Data Pelanggan di mana saja di dunia di mana SparkPost, Afiliasinya atau Sub-prosesornya menjalankan operasi pemrosesan data. SparkPost akan selalu memberikan tingkat perlindungan yang memadai untuk Data Pelanggan yang diproses, sesuai dengan persyaratan Undang-Undang Perlindungan Data.
Ketentuan Kontraktual Standar.
Sejauh mana SparkPost Memproses Data Pribadi di bawah Perjanjian yang memerlukan mekanisme transfer lanjutan untuk secara sah memindahkan Data Pribadi dari EEA atau Inggris Raya (“UK”) ke negara atau wilayah lain yang belum ditetapkan sebagai memberikan tingkat perlindungan yang memadai untuk hak dan kebebasan Subjek Data oleh Komisi Eropa (atau, khusus terkait dengan UK, seperti yang mungkin ditentukan oleh badan pengatur UK yang berlaku) (sebuah “Transfer Terbatas”), para pihak menyetujui berikut:
Ketentuan Kontraktual Standar EEA.
Para pihak setuju untuk mematuhi Ketentuan Kontraktual Standar EEA untuk setiap Transfer Terbatas dari EEA (sebuah “Transfer Terbatas EEA”). Ketika Pelanggan adalah Pengendali dan SparkPost adalah Pemroses sebagaimana dijelaskan lebih lanjut di Bagian 3.1, klausul Kontraktual Standar Pengendali/Pemroses akan berlaku untuk setiap Transfer Terbatas EEA tersebut. Ketika Pelanggan adalah Pemroses dan SparkPost adalah Sub-pemroses sebagaimana dijelaskan lebih lanjut di Bagian 3.1, klausul Kontraktual Standar Pemroses/Sub-pemroses akan berlaku untuk setiap Transfer Terbatas EEA tersebut. SparkPost akan dianggap sebagai importir data dan Pelanggan akan dianggap sebagai eksportir data di bawah Ketentuan Kontraktual Standar EEA. Penandatanganan DPA ini oleh masing-masing pihak akan dianggap sebagai penandatanganan Ketentuan Kontraktual Standar EEA yang berlaku, yang akan dianggap tergabung dalam DPA ini. Detail yang diperlukan di bawah Lampiran 1 dan Lampiran 2 ke Ketentuan Kontraktual Standar EEA tersedia di Jadwal 1 dan Jadwal 2 untuk DPA ini. Dalam hal terjadi konflik atau inkonsistensi antara DPA ini dan Ketentuan Kontraktual Standar EEA, Ketentuan Kontraktual Standar EEA akan berlaku secara eksklusif terkait dengan Transfer Terbatas EEA. Di mana Ketentuan Kontraktual Standar EEA mengharuskan para pihak memilih antara klausul opsional dan memasukkan informasi, para pihak telah melakukannya seperti yang ditetapkan di bawah ini:
Klausul Opsional 7 “Klausul berlabuh” tidak akan diadopsi.
Untuk Klausul 9 “Penggunaan sub-prosesor”, para pihak memilih opsi berikut: “Opsi 2 Otorisasi tertulis umum: Pengimpor data memiliki otorisasi umum pengendali untuk keterlibatan sub-prosesor dari daftar yang disetujui. Pengimpor data harus secara khusus memberitahu pengendali secara tertulis tentang perubahan yang dimaksudkan terhadap daftar tersebut melalui penambahan atau penggantian sub-prosesor setidaknya 30 hari kalender sebelum, sehingga pengendali memiliki waktu yang cukup untuk dapat keberatan terhadap perubahan tersebut sebelum keterlibatan sub-prosesor. Pengimpor data harus memberikan informasi yang diperlukan kepada pengendali untuk memungkinkan pengendali menjalankan haknya untuk keberatan. Pengimpor data harus memberitahukan eksportir data mengenai keterlibatan sub-prosesor.
”Untuk Klausul 11 (a) “Pemulihan”, para pihak tidak mengadopsi Opsi.
Untuk Klausul 17 “Hukum yang berlaku”, para pihak memilih opsi berikut: “Opsi 1. Klausul ini akan diatur oleh hukum salah satu Negara Anggota UE, dengan catatan bahwa hukum tersebut memungkinkan hak-hak penerima manfaat pihak ketiga. Para pihak menyetujui bahwa ini akan menjadi hukum Belanda.
”Untuk Klausul 18 (b) “Pilihan Forum dan Yurisdiksi”: “Para pihak menyetujui bahwa ini akan menjadi pengadilan Belanda.
”Ketentuan Kontraktual Standar UK. Para pihak setuju untuk mematuhi Ketentuan Kontraktual Standar UK untuk setiap Transfer Terbatas dari UK (sebuah “Transfer Terbatas UK”). SparkPost akan dianggap sebagai importir data dan Pelanggan akan dianggap sebagai eksportir data di bawah Ketentuan Kontraktual Standar UK. Penandatanganan DPA ini oleh setiap pihak akan dianggap sebagai penandatanganan Ketentuan Kontraktual Standar UK, yang akan dianggap tergabung dalam DPA ini. Detail yang diperlukan di bawah Lampiran 1 dan Lampiran 2 ke Ketentuan Kontraktual Standar UK tersedia di Jadwal 1 dan Jadwal 2 untuk DPA ini. Dalam hal konflik atau inkonsistensi antara DPA ini dan Ketentuan Kontraktual Standar UK, Ketentuan Kontraktual Standar UK akan berlaku secara eksklusif terkait dengan Transfer Terbatas UK.
Kerja Sama.
Jika SparkPost tidak dapat mematuhi persyaratan ini atau jika otoritas atau pengadilan yang relevan tidak lagi mengakui Ketentuan Kontraktual Standar EEA atau Ketentuan Kontraktual Standar UK, sebagaimana berlaku, sebagai memberikan tingkat perlindungan yang memadai, SparkPost akan memberitahu Pelanggan dan secara wajar bekerja sama dengan Pelanggan untuk memastikan bahwa setiap Pemrosesan Data Pribadi mematuhi Undang-Undang Perlindungan Data dan pembatasan transfer apa pun di sana, termasuk melalui pencapaian sertifikasi alternatif, sebagaimana berlaku dan perlu.
Mekanisme Transfer Alternatif.
Para pihak setuju bahwa solusi ekspor data yang diidentifikasi di Bagian 7.2 (Ketentuan Kontraktual Standar) tidak akan berlaku jika dan sejauh SparkPost mengadopsi, atau mempertahankan, solusi ekspor data alternatif untuk pemindahan sah Data Pribadi (seperti yang diakui di bawah Undang-Undang Perlindungan Data) di luar EEA dan/atau UK dan yang telah disetujui oleh Pelanggan secara tertulis sebelum transfer atau Pemrosesan Data Pribadi lainnya (“Mekanisme Transfer Alternatif”), dalam hal ini, Mekanisme Transfer Alternatif akan berlaku sebagai pengganti (tetapi hanya sejauh Mekanisme Transfer Alternatif tersebut mencakup wilayah yang akan dipindahkan Data Pribadi tersebut).
Keamanan tambahan
Kerahasiaan Pemrosesan.
SparkPost akan memastikan bahwa setiap orang yang diberi wewenang oleh SparkPost untuk memproses Data Pribadi (termasuk staf, agen, dan subkontraktornya) akan memiliki kewajiban kerahasiaan yang sesuai (baik tugas kontraktual maupun kewajiban hukum).
Tanggapan dan Pemberitahuan Insiden Keamanan.
Setelah mengetahui Insiden Keamanan, SparkPost akan memberi tahu Pelanggan tanpa penundaan yang tidak semestinya dan akan memberikan informasi yang tepat waktu terkait Insiden Keamanan tersebut saat informasi itu diketahui atau sesuai permintaan wajar Pelanggan.
Pengembalian atau penghapusan data
Setelah pengakhiran atau kedaluwarsa Perjanjian, SparkPost akan menghapus atau mengembalikan (atas pilihan Pelanggan) kepada Pelanggan semua Data Pribadi (termasuk salinan) dalam kepemilikan atau kendalinya, kecuali bahwa persyaratan ini tidak akan berlaku sejauh SparkPost diharuskan oleh hukum yang berlaku untuk menyimpan sebagian atau seluruh Data Pribadi, atau Data Pribadi yang telah diarsipkan pada sistem cadangan, yang Data Pribadi tersebut akan diisolasi dan dilindungi secara aman dari pemrosesan lebih lanjut, kecuali sejauh yang diperlukan oleh hukum yang berlaku. KERJA SAMA.
Indemnifikasi.
Kedua belah pihak setuju untuk membela dan mengindemnifikasi satu sama lain (termasuk direksi, pejabat, karyawan, dan agen) dari dan terhadap klaim pihak ketiga (termasuk dari otoritas pemerintah dan Penerima) dan biaya serta pengeluaran terkait (termasuk biaya pengacara yang wajar) yang timbul dari pelanggaran aktual atau yang diduga terhadap DPA ini.
Permintaan Subjek Data.
Layanan menyediakan Pelanggan dengan sejumlah kontrol yang dapat digunakan Pelanggan untuk mengambil, mengoreksi, menghapus, atau membatasi Data Pelanggan, yang dapat digunakan Pelanggan untuk membantu dalam koneksinya dengan kewajibannya berdasarkan Hukum Perlindungan Data termasuk, misalnya, kewajibannya terkait dengan merespons Permintaan Subjek Data. Sejauh Pelanggan tidak dapat mengakses Data Pelanggan yang relevan secara mandiri dalam Layanan, SparkPost akan memberikan kerja sama yang wajar untuk membantu Pelanggan merespons Permintaan Subjek Data terkait pemrosesan Data Pribadi berdasarkan Perjanjian dalam tenggat waktu yang ditentukan oleh Hukum Perlindungan Data. Dalam hal permintaan semacam itu diajukan langsung kepada SparkPost, SparkPost akan segera memberi tahu Pelanggan secara tertulis tentang permintaan tersebut setelah menerimanya.
Rekam Proses.
Atas permintaan Pelanggan, SparkPost akan menyediakan informasi dalam waktu yang tepat sebagaimana yang diperlukan oleh Pelanggan untuk menunjukkan kepatuhan SparkPost terhadap kewajibannya berdasarkan Hukum Perlindungan Data dan berdasarkan DPA ini.
Permintaan Pemerintah.
Jika agensi penegak hukum mengirimkan permintaan kepada SparkPost untuk Data Pribadi (misalnya, melalui subpoena atau perintah pengadilan), SparkPost akan mencoba untuk mengarahkan agensi penegak hukum tersebut untuk meminta data langsung dari Pelanggan. Sebagai bagian dari upaya ini, SparkPost dapat memberikan informasi kontak dasar Pelanggan kepada agensi penegak hukum. Jika terpaksa untuk mengungkapkan Data Pelanggan kepada agensi penegak hukum, maka SparkPost akan memberi Pelanggan pemberitahuan yang wajar tentang tuntutan tersebut untuk memungkinkan Pelanggan mencari perintah perlindungan atau remedi lain yang sesuai kecuali SparkPost dilarang secara hukum untuk melakukannya.
Penilaian Dampak Perlindungan Data.
Sejauh SparkPost diwajibkan berdasarkan Hukum Perlindungan Data yang berlaku, SparkPost akan memberikan informasi yang diminta secara wajar mengenai Layanan untuk memungkinkan Pelanggan melakukan penilaian dampak perlindungan data atau konsultasi sebelumnya dengan otoritas perlindungan data sebagaimana yang diharuskan oleh hukum atau berdasarkan Pasal 35 dan 36 atau GDPR, masing-masing.
***
JADWAL 1
ANNEX I UNTUK KLAUSUL KONTRAK STANDAR EEA
Jika berlaku, Jadwal 1 ini akan berfungsi sebagai Annex I untuk Klausul Kontrak Standar EEA.
ANNEX 1, BAGIAN A: DAFTAR PIHAK
Ekspor Data: Pelanggan
Detail Kontak Ekspor Data: Alamat yang terdaftar di blok tanda tangan Pelanggan di atas, atau alamat email pemilik akun Pelanggan, atau alamat email untuk mana Pelanggan memilih untuk menerima pemberitahuan berdasarkan Perjanjian.
Peran Ekspor Data: Peran Ekspor Data diuraikan dalam Bagian 3 DPA.
Tanda Tangan & Tanggal: Ekspor Data dianggap telah menandatangani Klausul Kontrak Standar EEA yang termuat di sini pada Tanggal Efektif DPA.
Impor Data: Message Systems, Inc. (dba SparkPost)
Detail Kontak Impor Data: Petugas Perlindungan Data SparkPost – privacy@sparkpost.com
Peran Impor Data: Peran Impor Data diuraikan dalam Bagian 3 DPA.
Tanda Tangan & Tanggal: Impor Data dianggap telah menandatangani Klausul Kontrak Standar EEA yang termuat di sini pada Tanggal Efektif DPA.
ANNEX 1, BAGIAN B: DESKRIPSI TRANSFER
Kategori subjek data yang datanya dipindahkan dijelaskan dalam Bagian 3.4 DPA. Kategori data pribadi yang dipindahkan dijelaskan dalam Bagian 3.4 DPA. Data sensitif yang dipindahkan (jika berlaku) dan pembatasan atau perlindungan yang diterapkan yang sepenuhnya mempertimbangkan sifat data dan risiko yang terlibat, seperti pembatasan tujuan yang ketat, pembatasan akses (termasuk akses hanya untuk staf yang telah mengikuti pelatihan khusus), menjaga catatan akses ke data, pembatasan untuk transfer lebih lanjut atau langkah-langkah keamanan tambahan:
Tidak ada Frekuensi transfer (misalnya apakah data dipindahkan secara satu kali atau secara terus menerus): Data dipindahkan secara terus menerus selama masa Perjanjian.
Sifat pemrosesan dijelaskan dalam Bagian 3.4 DPA. Tujuan pemindahan data dan pemrosesan lebih lanjut dijelaskan dalam Bagian 3.4 DPA.
Periode di mana data pribadi akan disimpan, atau, jika itu tidak mungkin, kriteria yang digunakan untuk menentukan periode itu:
Selama masa Perjanjian atau lebih lama sesuai dengan hukum yang berlaku dan sebagaimana diizinkan oleh Perjanjian.
Untuk transfer kepada sub-pemroses, juga sebutkan subjek, sifat dan durasi pemrosesan:
Untuk transfer kepada sub-pemroses, subjek dan sifat pemrosesan diuraikan di https://www.sparkpost.com/policies/subprocessors/ dan durasinya untuk masa Perjanjian.
ANNEX 1, BAGIAN C: OTORITAS PENGAWAS YANG COMPETENT
Otoritas Perlindungan Data Belanda (Autoriteit Persoonsgegevens) akan menjadi otoritas pengawas yang kompeten.
***
JADWAL 2 LAMPIRAN II UNTUK KLAUSUL KONTRAK STANDARD EEA
Di mana berlaku, Jadwal 2 ini akan berfungsi sebagai Lampiran II untuk Klausul Kontraktual Standar. Berikut ini memberikan informasi lebih lanjut mengenai langkah-langkah keamanan teknis dan organisasi SparkPost yang ditetapkan di bawah.
Informasi lebih lanjut tentang langkah-langkah keamanan teknis dan organisasi SparkPost untuk melindungi Data Pelanggan, yang ringkasan tersedia di: https://www.sparkpost.com/policies/security/ (“Kebijakan Keamanan”).
Langkah-Langkah Keamanan Teknis dan Organisasional:
Tindakan pemalsuan dan enkripsi data pribadi: SparkPost menjaga Data Pelanggan dalam format terenkripsi saat istirahat dan dalam transit menggunakan SSL, HTTPS, dan TLS oportunistik sebagaimana berlaku.
Tindakan untuk memastikan kerahasiaan, integritas, ketersediaan dan ketahanan sistem pemrosesan dan layanan yang berkelanjutan: SparkPost setuju pada kewajiban kerahasiaan dalam perjanjiannya dengan pelanggan. SparkPost juga mengadakan perjanjian yang memuat ketentuan kerahasiaan yang substansial mirip dengan karyawan, kontraktor, vendor, dan sub-prosesor SparkPost. SparkPost menjaga ketersediaan dan ketahanan sistem dan layanan yang tinggi melalui beberapa zona ketersediaan pusat data yang tidak bergantung satu sama lain. Selain itu, SparkPost telah menerapkan dan memelihara Rencana Kontinuitas Bisnis dan Pemulihan Bencana untuk memastikan Data Pelanggan dilestarikan dan Layanan dapat terus disediakan.
Tindakan untuk memastikan kemampuan untuk memulihkan ketersediaan dan akses ke Data Pribadi dengan cara yang tepat waktu dalam hal insiden fisik atau teknis: Data Pelanggan dihosting oleh Amazon Web Services (“AWS”), yang menyediakan redundansi di berbagai zona ketersediaan. Seperti yang dinyatakan di atas, SparkPost juga telah menerapkan dan memelihara Rencana Kontinuitas Bisnis dan Pemulihan Bencana.
Proses untuk pengujian, penilaian, dan evaluasi secara berkala tentang efektivitas langkah-langkah teknis dan organisasi untuk memastikan keamanan pemrosesan: SparkPost memelihara program keamanan informasi yang tertulis dan komprehensif, yang mencakup kontrol fisik, teknis, dan administratif yang sesuai untuk melindungi keamanan, integritas, kerahasiaan, dan ketersediaan Data Pelanggan termasuk, tanpa batasan, melindungi Data Pelanggan dari akuisisi, akses, penggunaan, pengungkapan, atau penghancuran yang tidak sah atau melanggar hukum. Program keamanan ini dirancang dengan mempertimbangkan jenis layanan yang diberikan SparkPost dan ukuran dan kompleksitas bisnis SparkPost. Selain tim keamanan internal kami yang terus-menerus memantau keamanan kami secara internal, SparkPost menggunakan pihak ketiga untuk melakukan pengujian kerentanan dan penetrasi internal dan eksternal untuk memvalidasi posisi defensif perimeter dan internal secara berkala.
Tindakan untuk identifikasi pengguna dan otorisasi: Karyawan SparkPost diharuskan untuk menggunakan kredensial akses pengguna unik dan kata sandi untuk otorisasi. SparkPost memanfaatkan prinsip akses privilej paling sedikit saat memberikan akses sistem, yang mempertimbangkan fungsi pekerjaan, peran, dan tanggung jawab setiap karyawan saat menentukan tingkat dan durasi akses yang sesuai. Akses memerlukan persetujuan sebelum diberikan dan akses segera dicabut saat terjadi perubahan peran atau pemutusan.
Tindakan untuk melindungi data selama transmisi: Data Pelanggan dienkripsi saat dalam transit antara Pelanggan dan Layanan SparkPost menggunakan HTTPS. Data Pelanggan dienkripsi saat dalam transit antara SparkPost dan Penerima menggunakan TLS oportunistik. Tindakan untuk melindungi data selama penyimpanan: Data Pelanggan disimpan dalam bentuk terenkripsi menggunakan Standar Enkripsi Lanjutan.
Tindakan untuk memastikan keamanan fisik lokasi tempat data pribadi diproses: Kantor pusat dan ruang kantor SparkPost memiliki (i) pemantauan dan pengawasan keamanan fisik; (ii) kontrol masuk untuk membatasi akses fisik; dan (iii) catatan pengunjung. Semua kontraktor dan pengunjung diharuskan untuk mencatat masuk dan keluarnya ke dalam kantor. Layanan beroperasi di AWS dan dilindungi oleh kontrol fisik, teknis, organisasi, dan administratif dari Amazon. Informasi terperinci tentang keamanan AWS tersedia di https://aws.amazon.com/security/, https://aws.amazon.com/security/sharing-the-security-responsibility/, dan https://aws.amazon.com/compliance/iso-27001-faqs/. Untuk Laporan SOC AWS, silakan lihat https://aws.amazon.com/compliance/soc-faqs/.
Tindakan untuk memastikan pencatatan peristiwa: Aktivitas infrastruktur produksi SparkPost dicatat secara terpusat dan diamankan dalam upaya untuk mencegah pemalsuan dan dimonitor untuk anomali oleh tim keamanan yang terlatih.
Tindakan untuk memastikan konfigurasi sistem, termasuk konfigurasi default: SparkPost mengevaluasi perubahan pada platform, aplikasi, dan infrastruktur produksi dengan cara yang meminimalkan risiko dan perubahan tersebut hanya diterapkan sesuai dengan Kebijakan Keamanan. SparkPost melakukan berbagai aktivitas terkait keamanan untuk Layanan di sepanjang berbagai fase siklus hidup pembuatan produk dari membuat dokumentasi persyaratan dan desain produk hingga tahap go-live. Aktivitas ini termasuk (i) tinjauan keamanan internal sebelum Layanan baru diterapkan; (ii) pengujian penetrasi tahunan oleh pihak ketiga independen; dan (iii) analisis ancaman untuk Layanan baru untuk mendeteksi potensi ancaman dan kerentanan keamanan. SparkPost mematuhi proses manajemen perubahan untuk mengelola perubahan pada lingkungan produksi untuk Layanan, termasuk perubahan pada perangkat lunak, aplikasi, dan sistem yang mendasarinya. Pemantauan dilakukan untuk memberi tahu tim keamanan tentang perubahan yang dilakukan pada infrastruktur dan layanan kritis yang tidak mematuhi proses manajemen perubahan.
Tindakan untuk tata kelola dan manajemen IT internal dan keamanan IT: SparkPost memelihara program keamanan penilaian berbasis risiko, yang mencakup perlindungan administratif, organisasi, teknis, dan fisik yang dirancang dengan wajar untuk melindungi Layanan serta kerahasiaan, integritas, dan ketersediaan Data Pelanggan. Program keamanan SparkPost dirancang dengan mempertimbangkan sifat Layanan dan ukuran serta kompleksitas bisnis SparkPost. SparkPost memiliki tim keamanan khusus yang mengelola program keamanan informasi SparkPost dan memfasilitasi serta mendukung audit dan penilaian independen yang dilakukan oleh pihak ketiga. Kerangka keamanan SparkPost didasarkan pada pengesahan SOC2 Tipe II dan mencakup kriteria layanan kepercayaan berikut: Keamanan, Ketersediaan, Kerahasiaan, dan Privasi. Keamanan dikelola di tingkat tertinggi perusahaan, dengan VP Kepatuhan dan Keamanan IT bertemu dengan manajemen eksekutif secara teratur untuk membahas masalah dan mengoordinasikan inisiatif keamanan dan IT di seluruh perusahaan. Kebijakan dan standar keamanan informasi ditinjau dan disetujui oleh manajemen setidaknya setiap tahun dan tersedia untuk semua karyawan SparkPost yang relevan sebagai referensi mereka.
Tindakan untuk sertifikasi/jaminan proses dan produk: SparkPost melakukan berbagai audit pihak ketiga untuk membuktikan berbagai kerangka kerja termasuk SOC 2 Tipe II dan pengujian kerentanan dan penetrasi aplikasi secara rutin. Tindakan untuk memastikan pengurangan data: SparkPost tidak menyimpan isi pesan Email setelah dikirimkan ke Penerima atau telah ditolak atau ditolak oleh penyedia kotak surat, yang biasanya terjadi dalam hitungan detik. Dalam hal penolakan atau bounce, SparkPost akan menyimpan isi pesan untuk periode waktu yang terbatas agar pengiriman Email dapat dicoba kembali. Jika pengiriman masih tidak berhasil, isi pesan akan dihapus secara permanen. SparkPost hanya menyimpan Data Pribadi Penerima dalam bentuk mentah untuk waktu yang terbatas setelah pengiriman Email ke Penerima. Setelah periode retensi awal, Data Pribadi tersebut dipseudonimkan melalui hash satu arah dan hanya disimpan dalam bentuk yang dipseudonimkan. Untuk informasi lebih lanjut tentang proses ini silakan lihat FAQ Data kami yang tersedia di: https://www.sparkpost.com/policies/data-faq/. Selain itu, SparkPost telah membangun fungsionalitas swalayan dalam Layanan yang memungkinkan Pelanggan untuk menghapus Data Pelanggan tertentu, seperti alamat email Penerima dan peristiwa pesan terkait, sesuai permintaan, yang dokumentasi untuk fungsionalitas tersebut tersedia di: https://developers.sparkpost.com/api/data-privacy/.
Tindakan untuk memastikan akuntabilitas: SparkPost telah mengadopsi tindakan untuk memastikan akuntabilitas termasuk melakukan audit pihak ketiga secara berkala untuk memastikan kepatuhan terhadap standar privasi dan keamanan kami. SparkPost juga menerapkan kebijakan perlindungan data sesuai dengan hukum yang berlaku dan menerbitkan gambaran umum Kebijakan Keamanan (tautan di atas). SparkPost telah menunjuk seorang Pejabat Perlindungan Data dan memelihara dokumentasi tentang kegiatan pemrosesannya, termasuk pencatatan dan pelaporan Insiden Keamanan yang melibatkan Data Pribadi jika berlaku.
Tindakan untuk memungkinkan portabilitas data dan memastikan penghapusan: Pelanggan memiliki hubungan langsung dengan Penerima mereka dan bertanggung jawab untuk menanggapi permintaan dari pengguna akhir mereka yang ingin melaksanakan hak mereka berdasarkan Undang-Undang Perlindungan Data. SparkPost telah membangun fungsionalitas swalayan dalam Layanan yang memungkinkan Pelanggan untuk menghapus Data Pelanggan tertentu, seperti alamat email Penerima dan peristiwa pesan terkait sesuai permintaan, yang dokumentasi untuk fungsionalitas tersebut tersedia di: https://developers.sparkpost.com/api/data-privacy/. Selain itu, SparkPost telah membangun fungsionalitas swalayan untuk menonaktifkan Email di masa mendatang ke Penerima (yaitu, berhenti berlangganan), yang dokumentasi untuk fungsionalitas tersebut tersedia di https://developers.sparkpost.com/api/suppression-list/. Sejauh Pelanggan tidak dapat mengakses Data Pelanggan yang relevan secara mandiri dalam Layanan, SparkPost akan memberikan kerjasama yang wajar untuk membantu Pelanggan merespons Permintaan Subjek Data terkait pemrosesan Data Pribadi di bawah Perjanjian dalam batas waktu yang ditentukan oleh Undang-Undang Perlindungan Data. Jika permintaan semacam itu dibuat langsung kepada SparkPost, SparkPost akan memberi tahu Subjek Data untuk mengajukan permintaan mereka kepada Pelanggan, dan Pelanggan akan bertanggung jawab untuk menanggapi permintaan tersebut.
Untuk transfer kepada [sub]-prosesor, juga deskripsikan tindakan teknis dan organisasi spesifik yang harus diambil oleh [sub]-prosesor untuk dapat memberikan bantuan kepada pengendali dan, untuk transfer dari prosesor ke [sub]-prosesor, kepada eksportir data: Ketika SparkPost melibatkan sub-prosesor di bawah DPA ini, SparkPost dan sub-prosesor memasuki perjanjian dengan syarat perlindungan data yang secara substansial mirip dengan yang terdapat di sini.
V2.0 2 November 2021