Perjanjian Pengolahan Data
Terakhir diperbarui: 21 November 2024
Perjanjian Pemrosesan Data ini berlaku untuk Anda untuk setiap Layanan yang Anda daftarkan (termasuk melalui Afiliasi kami):
Sejak hari Anda mendaftar untuk Layanan kami, jika pada atau setelah 21 November 2024.
Mulai 22 Desember 2024, jika Anda mendaftar untuk Layanan kami sebelum 21 November 2024.
Perjanjian Pemrosesan Data yang diarsipkan tersedia di sini.
Perjanjian Pemrosesan Data ini, termasuk lampirannya, ("DPA") merupakan bagian dari Perjanjian antara kami dan Customer untuk pembelian layanan komunikasi (online) dari kami untuk mencerminkan kesepakatan Para Pihak terkait dengan pemrosesan Data Pribadi Customer. Dalam DPA ini, istilah “you”, “your”, atau “Customer” mengacu kepada anda sebagai Customer kami (sesuai dengan Bagian 1.2 di bawah), dan istilah “we”, “us,” atau “our” mengacu kepada kami sebagai Penyedia (sebagaimana didefinisikan di bawah). Istilah yang dikapitalisasi yang digunakan dalam DPA ini tetapi tidak didefinisikan di bawah didefinisikan dalam Syarat dan Ketentuan Umum kami atau Perjanjian lain dengan kami yang mengatur penggunaan anda atas Layanan.
Para pihak setuju bahwa DPA ini akan menggantikan tambahan perlindungan data yang ada atau perjanjian serupa yang mungkin telah dibuat sebelumnya oleh para pihak sehubungan dengan Layanan.
1. Lingkup, Afiliasi Pelanggan dan Jangka Waktu
1.1 Ruang Lingkup. DPA ini mengatur pemrosesan Data Pribadi Pelanggan oleh kami sebagai pemroses.
1.2 Afiliasi Pelanggan. Pelanggan memasuki DPA ini atas nama dirinya sendiri dan, sejauh yang diperlukan di bawah Hukum Perlindungan Data, atas nama dan untuk kepentingan Afiliasinya (sebagaimana didefinisikan dalam Ketentuan), jika dan sejauh Anda memberikan Afiliasi tersebut akses ke Layanan dan kami memproses Data Pribadi Pelanggan yang mana Afiliasi tersebut memenuhi syarat sebagai pengendali data (“Afiliasi Pelanggan”). Untuk tujuan DPA ini saja, dan kecuali dinyatakan lain, istilah “Pelanggan” dan “Anda” akan mencakup Pelanggan dan Afiliasi Pelanggan.
1.3 Jangka Waktu. DPA ini akan tetap berlaku selama kami memproses Data Pribadi Pelanggan yang menjadi subjek dari DPA ini, meskipun perjanjian berakhir atau dihentikan.
2. Definisi
"Account Data" adalah Data Pribadi apa pun yang disediakan oleh atau untuk Anda kepada kami sehubungan dengan masuk ke dalam dan administrasi Perjanjian dan akun Anda, termasuk namun tidak terbatas pada informasi kontak, detail penagihan, dan korespondensi tentang masuk ke dalam dan administrasi Perjanjian dan Layanan terkait.
"CCPA" berarti California Consumer Privacy Act tahun 2018 dan setiap peraturan yang dikeluarkan berdasarkan itu, dalam setiap kasus, sebagaimana telah diubah dari waktu ke waktu.
"Customer Data" berarti data dan informasi atau konten lain yang diserahkan oleh Anda atau untuk Anda (atau oleh pengguna Aplikasi Pelanggan Anda) di bawah Perjanjian dan diproses atau disimpan oleh Layanan.
"Customer Personal Data" berarti Data Pribadi yang terkandung dalam Customer Data yang diproses oleh kami sebagai pengolah, kecuali jika dinyatakan lain dalam DPA ini.
"Data Protection Laws" berarti semua undang-undang dan peraturan dari yurisdiksi mana pun yang berlaku untuk kerahasiaan, privasi, keamanan, atau pemrosesan Data Pribadi berdasarkan Perjanjian, termasuk, misalnya dan jika berlaku, GDPR atau CCPA.
"EEA" berarti, untuk keperluan DPA ini, Area Ekonomi Eropa dan Swiss.
"GDPR" berarti baik (i) Regulasi 2016/679 dari Parlemen Eropa dan Dewan tentang perlindungan orang alami sehubungan dengan pemrosesan Data Pribadi dan pergerakan bebas data tersebut (Peraturan Perlindungan Data Umum); atau (ii) semata-mata sehubungan dengan Inggris, Data Protection Act 2018.
"Personal Data" berarti informasi apa pun yang berkaitan dengan orang alami yang dapat diidentifikasi secara langsung atau tidak langsung, baik dengan sendirinya atau dalam kombinasi dengan informasi lain.
"Personal Data Breach" berarti setiap penghancuran, kehilangan, perubahan, pengungkapan, atau akses yang tidak disengaja, tidak sah, atau melanggar hukum terhadap Customer Personal Data dan istilah serupa lainnya di bawah Hukum Perlindungan Data yang berlaku seperti "Pelanggaran Keamanan".
"Services" berarti semua produk dan layanan yang disediakan oleh kami atau Afiliasi kami yang (a) dipesan oleh Anda di bawah Formulir Pesanan mana pun; atau (b) digunakan oleh Anda.
"Provider" berarti entitas kontrak kami yang merupakan pihak dalam DPA ini, yaitu entitas kontrak yang tercantum di Bagian 15 dalam Ketentuan Umum (Entitas Kontrak), kecuali dinyatakan lain dalam Formulir Pesanan Anda. Anda atau Provider juga dapat disebut secara individual sebagai "Pihak" dan bersama-sama sebagai "Pihak-Pihak" dalam DPA ini.
"Standard Contractual Clauses" berarti Controller to Processor (Module Two) atau Processor to Processor (Module Three), sebagaimana berlaku, dari Standar Kontrak Klausa untuk transfer Data Pribadi ke negara ketiga berdasarkan Regulasi (EU) 2016/679 dari Parlemen Eropa dan Dewan yang disetujui oleh Keputusan Penerapan Komisi Eropa (EU) 2021/914 pada tanggal 4 Juni 2021, sebagaimana diatur saat ini di https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.
"Sub-processor" berarti entitas pihak ketiga yang memproses Customer Personal Data atas nama Provider di mana Provider bertindak sebagai pemroses data atau sub-pemroses.
"UK Standard Contractual Clauses" berarti salah satu atau semua berikut: (i) perjanjian transfer data internasional yang dikeluarkan oleh Komisaris Informasi Inggris berdasarkan bagian 119A dari DPA 2018; (ii) lampiran transfer data internasional ke klausul kontraktual standar Komisi Eropa untuk transfer data internasional yang dikeluarkan oleh Komisaris Informasi Inggris berdasarkan bagian 119A dari DPA 2018; atau (iii) ketentuan kontraktual standar yang dikeluarkan oleh Komisaris Informasi Inggris atau Komisi Eropa yang dapat menggantikan dari waktu ke waktu.
Istilah seperti "processing", "data controller", "data processor", "data subject", dll. akan memiliki arti yang ditugaskan kepada mereka di bawah GDPR. Definisi "data controller" mencakup "business", "consumer", "controller", dan "organisation"; "data processor" mencakup "service provider", "processor", dan "data intermediary"; "data subject" mencakup "consumer", dan "individual"; dan "Personal Data" mencakup "personal information", dalam setiap kasus sebagaimana didefinisikan di bawah CCPA, dan undang-undang perlindungan data lainnya yang berlaku. Istilah "business purpose", "commercial purpose", "sell", dan "share" akan memiliki arti yang sama dengan dalam undang-undang perlindungan data yang berlaku dan, dalam setiap kasus, istilah kognat mereka harus ditafsirkan sesuai.
3. Pengolahan Data Pribadi Pelanggan
3.1 Tujuan. Kami akan memproses Data Pribadi Pelanggan hanya sejauh yang diperlukan (i) untuk menyediakan Layanan, termasuk transmisi komunikasi, memastikan keamanan layanan, menyediakan laporan teknis dan pengiriman, memberikan dukungan dan mengembangkan serta menerapkan peningkatan dan pembaruan sesuai dengan instruksi tertulis Anda kepada kami sebagai pemroses data seperti yang ditentukan dalam Bagian 3.2 dari DPA ini, (ii) untuk tujuan bisnis sah kami seperti yang ditentukan dalam Bagian 3.4 dari DPA ini sebagai pengendali data, dan (iii) sebagaimana diwajibkan oleh hukum yang berlaku.
3.2 Instruksi Pelanggan. Perjanjian dan DPA ini merupakan instruksi lengkap Anda kepada kami sebagai pemroses data pada saat penandatanganan DPA ini. Kami akan mematuhi instruksi lain yang didokumentasikan secara wajar dengan syarat bahwa instruksi tersebut konsisten dengan ketentuan Perjanjian.
3.3 Detail Pemrosesan. Lampiran I, Bagian B (Deskripsi Transfer) dari Lampiran I ke DPA ini menentukan sifat dan tujuan pemrosesan oleh kami sebagai pemroses data atau Sub-pemroses, aktivitas pemrosesan, durasi pemrosesan, jenis-jenis Data Pribadi, dan kategori subjek data.
3.4 Tujuan Bisnis Sah. Anda mengakui bahwa kami memproses Data Pribadi Pelanggan sebagai pengendali data independen sejauh yang diperlukan untuk tujuan bisnis sah berikut: penagihan, manajemen akun, pelaporan keuangan dan internal, memerangi dan mencegah ancaman keamanan, serangan siber, dan kejahatan siber yang dapat memengaruhi Anda, kami atau layanan kami, pemodelan bisnis (misalnya, peramalan, perencanaan kapasitas dan pendapatan, dan strategi produk), pencegahan dan deteksi penipuan, spam, dan penyalahgunaan, peningkatan berkelanjutan dari produk dan layanan yang digunakan oleh Anda, dan untuk mematuhi kewajiban hukum kami.
4. Kewajiban Pelanggan
4.1 Legalitas. Jika Anda bertindak sebagai pengendali data untuk Data Pribadi Pelanggan, Anda menjamin bahwa semua aktivitas pemrosesan adalah sah, memiliki tujuan tertentu, dan pemberitahuan serta persetujuan yang diperlukan atau dasar hukum lainnya sudah ada untuk memungkinkan transfer Data Pribadi Pelanggan yang sah. Jika Anda adalah prosesor data (dalam hal ini kami akan bertindak sebagai Sub-prosesor), Anda akan memastikan bahwa pengendali data yang relevan menjamin bahwa kondisi yang tercantum dalam Bagian 4.1 ini terpenuhi.
4.2 Kepatuhan. Anda sepenuhnya bertanggung jawab untuk (a) memastikan bahwa Anda mematuhi Undang-Undang Perlindungan Data yang berlaku untuk penggunaan Layanan Anda dan pemrosesan Data Pribadi Pelanggan Anda sendiri, (b) melakukan penilaian independen apakah langkah-langkah teknis dan organisasi dari Layanan memenuhi persyaratan Anda, dan (c) menerapkan serta mempertahankan langkah-langkah perlindungan dan keamanan data untuk komponen yang Anda sediakan atau kendalikan (termasuk namun tidak terbatas pada kata sandi, perangkat yang digunakan dengan Layanan, dan Aplikasi Pelanggan).
5. Keamanan
5.1 Langkah-langkah Keamanan. Dengan memperhatikan perkembangan teknologi terkini, biaya implementasi, serta sifat, lingkup, konteks, dan tujuan pemrosesan serta risiko dengan berbagai kemungkinan dan tingkat keparahan bagi hak dan kebebasan individu, kami akan menerapkan dan mempertahankan langkah-langkah keamanan teknis dan organisasi yang tepat untuk melindungi Data Pribadi Pelanggan dari Kebocoran Data Pribadi dan menjaga keamanan, integritas, ketersediaan, ketahanan, dan kerahasiaan Data Pelanggan yang digunakan sistem kami untuk memproses Data Pribadi Pelanggan. Langkah-langkah keamanan yang kami terapkan dijelaskan dalam Lampiran II.
5.2 Pembaruan Terhadap Langkah-langkah Keamanan. Anda bertanggung jawab untuk meninjau informasi yang kami sediakan terkait keamanan Data Pribadi Pelanggan dan melakukan penilaian independen apakah informasi tersebut memenuhi kebutuhan dan kewajiban hukum Anda di bawah Undang-Undang Perlindungan Data. Anda mengakui bahwa langkah-langkah keamanan tunduk pada kemajuan dan perkembangan teknis, dan bahwa kami dapat memperbarui atau memodifikasi langkah-langkah keamanan kami dari waktu ke waktu, dengan ketentuan bahwa pembaruan dan modifikasi tersebut tidak mengurangi keamanan keseluruhan Data Pribadi Pelanggan.
5.3 Kontrol Akses. Kami menerapkan prinsip "perlu diketahui" dan "hak istimewa terkecil" sehingga akses ke Data Pribadi Pelanggan dibatasi hanya untuk personel yang diperlukan dalam penyediaan Layanan dan sesuai dengan Perjanjian, termasuk DPA ini.
5.4 Kerahasiaan Pemrosesan. Kami akan memastikan bahwa setiap orang atau pihak yang diizinkan oleh kami untuk memproses Data Pribadi Pelanggan (termasuk personel, agen, dan Sub-prosesor kami) diberitahu tentang sifat rahasia Data Pribadi Pelanggan tersebut dan akan berada di bawah kewajiban kerahasiaan yang tepat (baik tugas kontraktual maupun kewajiban undang-undang) yang berlanjut setelah pemutusan hubungan kerja mereka.
5.5 Tanggapan dan Pemberitahuan Kebocoran Data Pribadi. Setelah menyadari adanya Kebocoran Data Pribadi, kami akan tanpa penundaan yang tidak semestinya (i) memberitahu Anda, (ii) menyelidiki Kebocoran Data Pribadi, (iii) memberikan informasi tepat waktu terkait Kebocoran Data Pribadi saat informasi tersebut diketahui atau sewaktu-waktu diminta oleh Anda, dan (iv) mengambil langkah-langkah komersial yang wajar untuk mengurangi efek dan mencegah terulangnya Kebocoran Data Pribadi.
6. Bantuan
6.1 Bantuan Perlindungan Data. Kami akan memberikan bantuan yang diminta secara wajar untuk memungkinkan Anda mematuhi kewajiban Anda berdasarkan Undang-Undang Perlindungan Data, termasuk pemberitahuan tentang Pelanggaran Data Pribadi, menilai tingkat keamanan pemrosesan yang tepat, dan membantu Anda dalam melaksanakan penilaian dampak perlindungan data yang relevan.
6.2 Bantuan dengan Hak Subjek Data. Kami akan memberikan bantuan yang wajar untuk memungkinkan Anda mematuhi kewajiban Anda kepada subjek data yang menggunakan hak mereka berdasarkan Undang-Undang Perlindungan Data dengan membuat langkah-langkah teknis dan organisasi tersedia melalui akun Anda. Untuk menghindari keraguan, Anda sebagai pengendali data bertanggung jawab untuk memproses permintaan atau keluhan apa pun dari subjek data terkait dengan Data Pribadi Pelanggan dari subjek data.
7. Pengungkapan dan Permintaan Pengungkapan
7.1 Batasan pada Pengungkapan dan Akses. Kami tidak akan memberikan akses atau mengungkapkan Data Pribadi Pelanggan kecuali (i) sebagaimana diarahkan oleh Anda, (ii) sebagaimana diatur dalam Perjanjian dan DPA ini, atau (iii) sebagaimana diwajibkan oleh hukum.
7.2 Permintaan Pengungkapan. Kami akan memberi tahu Anda secepat mungkin jika kami menerima permintaan dari badan pemerintah atau pengawas untuk mengungkapkan Data Pribadi Pelanggan, kecuali jika pemberitahuan tersebut dilarang oleh hukum. Kami akan menangani permintaan pengungkapan sesuai dengan kebijakan permintaan pengungkapan, tersedia di situs web kami here.
8. Sub-prosesor
8.1 Daftar Sub-prosesor Saat Ini. Anda setuju dengan penggunaan Sub-prosesor sehubungan dengan Layanan, yang terdaftar di ikhtisar Sub-prosesor kami, yang juga berisi prosedur bagi Anda untuk berlangganan pemberitahuan perubahan pada penggunaan Sub-prosesor kami. Jika Anda berlangganan pemberitahuan tersebut, dan dengan mempertimbangkan Bagian 8.3 dari DPA ini, kami akan memberikan rincian tentang setiap perubahan dalam Sub-prosesor sesegera mungkin.
8.2 Penunjukan Sub-prosesor. Melalui DPA ini, Anda memberikan otorisasi tertulis umum kepada kami untuk melibatkan Sub-prosesor untuk pemrosesan Data Pribadi Pelanggan, dengan tunduk pada Bagian 8.3 dari DPA ini dan persyaratan berikut:
Kami akan membatasi akses ke Data Pribadi Pelanggan oleh Sub-prosesor hingga yang benar-benar diperlukan untuk menyediakan layanan yang ditentukan dalam perjanjian sub-prosesor;
Kami akan menyepakati kewajiban perlindungan data dengan Sub-prosesor yang secara substansial sama dengan kewajiban di bawah DPA ini; dan
Kami tetap bertanggung jawab kepada Anda di bawah DPA ini untuk pelaksanaan kewajiban perlindungan data oleh Sub-prosesor.
8.3 Pemberitahuan Perubahan pada Sub-prosesor dan Hak untuk Menolak. Sebelum mengganti atau melibatkan Sub-prosesor baru (“Perubahan Sub-prosesor”), kami akan memberi Anda opsi untuk menolak Perubahan Sub-prosesor. Anda dapat menolak Perubahan Sub-prosesor dengan ketentuan bahwa (i) penolakan dilakukan secara tertulis dalam sepuluh (10) hari kerja setelah pemberitahuan kami tentang Perubahan Sub-prosesor dan (ii) penolakan tersebut didasarkan dan menjelaskan dengan jelas alasan yang wajar terkait perlindungan Data Pribadi Pelanggan. Ketika Anda menolak Perubahan Sub-prosesor yang diusulkan, kami akan bekerja sama dengan Anda dengan itikad baik untuk membuat perubahan yang secara komersial wajar dalam penyediaan Layanan yang menghindari penggunaan Sub-prosesor terkait tersebut. Jika perubahan tersebut tidak dapat dilakukan dalam waktu tiga puluh (30) hari sejak penerimaan pemberitahuan penolakan Anda, atau jika perubahan tersebut secara komersial tidak masuk akal bagi kami, salah satu pihak dapat mengakhiri fitur Layanan yang tidak dapat disediakan tanpa penggunaan Sub-prosesor terkait tersebut. Hak pengakhiran ini adalah satu-satunya dan eksklusif solusi Anda jika Anda menolak Perubahan Sub-prosesor.
9. Transfer Lintas Batas Data Pribadi Pelanggan
9.1 Transfer Data Pribadi Pelanggan. Kami dapat mentransfer Data Pribadi Pelanggan dengan syarat bahwa semua langkah pengamanan yang diperlukan oleh Undang-Undang Perlindungan Data telah diterapkan. Ini mungkin termasuk penilaian dampak transfer data sebelumnya, adopsi, pemantauan, dan evaluasi langkah teknis, organisasi, dan hukum tambahan, hak subjek data yang dapat ditegakkan, dan bahwa upaya hukum yang efektif untuk subjek data tersedia.
9.2 Klausul Kontrak Standar untuk Sub-prosesor. Kecuali jika keputusan kesesuaian atau mekanisme transfer alternatif berlaku, seperti Kerangka Privasi Data EU-AS, kami telah menandatangani dan akan mempertahankan Klausul Kontrak Standar dengan Sub-prosesor (termasuk Afiliasi kami) yang berada di luar EEA, dengan syarat yang ditetapkan dalam Bagian 9.1 dari DPA ini.
9.3 Mekanisme Transfer untuk Transfer Data Pribadi Pelanggan. Sejauh penggunaan Layanan Anda memerlukan mekanisme transfer data lintas batas untuk mengekspor Data Pribadi Pelanggan secara sah dari suatu yurisdiksi (misalnya EEA, California, Singapura, Swiss, atau Inggris) kepada kami yang berada di luar yurisdiksi itu, bagian ini akan berlaku. Jika, dalam pelaksanaan Layanan, Data Pribadi Pelanggan yang tunduk pada GDPR atau hukum lain yang berkaitan dengan perlindungan atau privasi individu yang berlaku untuk DPA ini ditransfer ke entitas Penyedia yang terletak di negara-negara yang tidak memastikan tingkat perlindungan data yang memadai sesuai dengan pengertian Undang-Undang Perlindungan Data, mekanisme transfer yang tercantum di bawah ini akan diterapkan pada transfer tersebut dan dapat langsung ditegakkan oleh para pihak sejauh transfer tersebut tunduk pada Undang-Undang Perlindungan Data.
9.3.1 Para pihak setuju bahwa Klausul Kontrak Standar akan berlaku untuk Data Pribadi Pelanggan yang ditransfer melalui Layanan dari EEA atau Swiss, baik secara langsung atau melalui transfer lanjutan, ke entitas Penyedia yang terletak di negara di luar EEA atau Swiss yang tidak diakui oleh Komisi Eropa (atau, dalam hal transfer dari Swiss, otoritas yang berwenang untuk Swiss) sebagai menyediakan tingkat perlindungan data yang memadai.
9.3.1.1 Ketika Anda bertindak sebagai pengendali data dan kami sebagai prosesor data, Modul Dua Klausul Kontrak Standar akan berlaku untuk transfer Data Pribadi Pelanggan dari EEA. Ketika Anda bertindak sebagai prosesor data dan kami sebagai sub-prosesor, Modul Tiga Klausul Kontrak Standar akan berlaku untuk transfer Data Pribadi Pelanggan dari EEA.
9.3.1.2 Kami akan dianggap sebagai pengimpor data dan Anda akan dianggap sebagai pengeksportir data berdasarkan Klausul Kontrak Standar. Tanda tangan masing-masing pihak terhadap DPA ini, akan diperlakukan sebagai penandatanganan Klausul Kontrak Standar yang berlaku, yang akan dianggap dimasukkan ke dalam DPA ini. Rincian yang diperlukan berdasarkan Lampiran 1 dan Lampiran 2 kepada Klausul Kontrak Standar tersedia di Lampiran I dan Lampiran II pada DPA ini. Dalam hal terjadi konflik atau ketidaksesuaian antara DPA ini dan Klausul Kontrak Standar, Klausul Kontrak Standar akan berlaku hanya sehubungan dengan transfer Data Pribadi Pelanggan dari EEA.
9.3.1.3 Di mana Klausul Kontrak Standar mengharuskan para pihak memilih antara klausul opsional dan memberikan informasi, para pihak telah melakukannya seperti yang diatur di bawah:
i. Klausul Opsional 7 “Klausul Tambahan” tidak akan diadopsi.
ii. Untuk Klausul 9 “Penggunaan sub-prosesor”, para pihak memilih opsi berikut: “Opsi 2 Otorisasi tertulis umum: pengimpor data memiliki otorisasi umum pengendali untuk melibatkan sub-prosesor dari daftar yang disepakati. Pengimpor data akan memberi tahu pengendali secara tertulis tentang setiap perubahan yang dimaksudkan pada daftar itu melalui penambahan atau penggantian sub-prosesor setidaknya 10 hari kerja sebelumnya, dengan demikian memberi pengendali waktu yang cukup untuk dapat menolak perubahan tersebut sebelum melibatkan sub-prosesor. Pengimpor data akan memberikan informasi yang diperlukan kepada pengeksportir data untuk memungkinkan pengeksportir data menggunakan haknya untuk menolak. Pengimpor data akan memberi tahu pengeksportir data tentang keterlibatan sub-prosesor.”
iii. Untuk Klausul 11 (a) “Perbaikan”, para pihak tidak mengadopsi Opsi tersebut.
iv. Untuk Klausul 17 “Hukum yang mengatur”, para pihak memilih opsi berikut: “Opsi 1. Klausul ini akan diatur oleh hukum salah satu Negara Anggota UE, asalkan hukum tersebut mengizinkan hak-hak pihak ketiga. Para Pihak setuju bahwa ini akan menjadi hukum Belanda.”
v. Untuk Klausul 18 (b) “Pilihan Forum dan Jurisdiksi”: “Para Pihak setuju bahwa ini akan menjadi pengadilan di Belanda.”
9.3.2 Para pihak setuju bahwa Klausul Kontrak Standar Inggris akan berlaku untuk Data Pribadi Pelanggan yang ditransfer melalui Layanan dari Inggris, baik secara langsung atau melalui transfer lanjutan, ke entitas Penyedia yang terletak di negara di luar Inggris yang tidak diakui oleh otoritas regulasi atau badan pemerintah Inggris yang berwenang sebagai menyediakan tingkat perlindungan data yang memadai untuk data pribadi.
9.3.2.1 Kami akan dianggap sebagai pengimpor data dan Anda akan dianggap sebagai pengeksportir data berdasarkan Klausul Kontrak Standar Inggris. Tanda tangan masing-masing pihak terhadap DPA ini, akan diperlakukan sebagai penandatanganan Klausul Kontrak Standar Inggris, yang akan dianggap dimasukkan ke dalam DPA ini. Rincian yang diperlukan berdasarkan Klausul Kontrak Standar Inggris tersedia di Lampiran I dan Lampiran II pada DPA ini. Dalam hal terjadi konflik atau ketidaksesuaian antara DPA ini dan Klausul Kontrak Standar Inggris, Klausul Kontrak Standar Inggris akan berlaku hanya sehubungan dengan transfer Data Pribadi Pelanggan dari Inggris.
10. Audit
10.1 Laporan Audit. Platform komunikasi kami akan diaudit secara berkala terhadap standar ISO 27001 (atau yang setara). Audit dapat, atas kebijakan kami sendiri, berupa audit internal, atau audit yang dilakukan oleh pihak ketiga. Atas permintaan tertulis, kami akan memberikan kepada Anda ringkasan laporan audit (“Laporan Audit”), agar Anda dapat memverifikasi kepatuhan kami terhadap standar audit dan DPA ini. Laporan Audit tersebut, serta setiap kesimpulan atau temuan yang ditentukan di dalamnya, adalah Informasi Rahasia kami.
10.2 Permintaan informasi pelanggan. Kami akan memberikan kepada Anda semua informasi yang secara wajar diperlukan untuk menunjukkan kepatuhan terhadap kewajiban yang ditetapkan dalam DPA ini. Kami akan memberikan tanggapan tertulis terhadap permintaan informasi yang masuk akal yang diajukan oleh Anda, termasuk tanggapan terhadap kuesioner keamanan informasi dan audit yang masuk akal dalam ruang lingkupnya dan diperlukan untuk mengonfirmasi kepatuhan dengan DPA ini, dengan ketentuan bahwa Anda (i) terlebih dahulu melakukan upaya yang wajar untuk memperoleh informasi yang diminta dari Dokumentasi, Laporan Audit, dan informasi lain yang diberikan atau dipublikasikan oleh kami, dan (ii) tidak akan menggunakan hak ini lebih dari sekali per tahun, kecuali jika terjadi Pelanggaran Data Pribadi atau perubahan signifikan dalam kegiatan pemrosesan kami terkait dengan Layanan yang mengharuskan pelaksanaan kuesioner tambahan. Semua tanggapan yang diberikan adalah Informasi Rahasia kami.
10.3 Audit Pelanggan. Jika Laporan Audit yang diberikan oleh kami kepada Anda memberikan alasan yang cukup bahwa kami melanggar kewajiban kami berdasarkan DPA ini, terkait Data Pribadi Pelanggan yang diberikan oleh Anda, kami akan memungkinkan auditor pihak ketiga yang independen dan berkualifikasi yang ditunjuk oleh Anda dan disetujui oleh kami, untuk mengaudit kegiatan pemrosesan Data Pribadi yang relevan, dengan syarat bahwa sejauh yang diizinkan berdasarkan hukum yang berlaku, persyaratan berikut dipenuhi:
Anda harus memberi kami pemberitahuan tertulis minimal enam puluh (60) hari sebelum melaksanakan hak untuk audit;
Auditor setuju dengan kewajiban kerahasiaan standar pasar dengan kami;
Anda dan auditor mengambil langkah-langkah untuk meminimalkan gangguan terhadap operasi bisnis kami;
Audit akan dilakukan selama jam kerja biasa;
Kami tidak diwajibkan untuk memberikan akses ke data pelanggan dari pelanggan lain atau sistem yang tidak terlibat dalam penyediaan Layanan; dan
Anda harus membayar semua biaya audit.
11. Penghapusan dan Pengembalian Data Pribadi Pelanggan
Setelah pengakhiran atau berakhirnya Perjanjian, kami akan (atas pilihan Anda) menghapus atau mengembalikan kepada Anda semua Data Pribadi Pelanggan (termasuk salinan) yang berada dalam kepemilikan atau kendali kami, kecuali bahwa persyaratan ini tidak berlaku sejauh kami diwajibkan oleh undang-undang untuk mempertahankan sebagian atau seluruh Data Pribadi Pelanggan. Jika Anda menginstruksikan kami untuk menghapus Data Pribadi Pelanggan, Data Pribadi Pelanggan yang diarsipkan di sistem cadangan kami akan dilindungi dari pemrosesan lebih lanjut, dan dihapus ketika periode retensi yang diperlukan telah berlalu.
12. Komunikasi dan Hak Afiliasi Pelanggan
Pemasukan ke dalam DPA ini atas nama dan untuk kepentingan Afiliasi Pelanggan sebagaimana diatur dalam Pasal 1.2 merupakan DPA terpisah antara kami dan Afiliasi Pelanggan tersebut, tunduk pada hal-hal berikut:
12.1. Komunikasi. Pelanggan yang merupakan pihak yang mengikat dalam Perjanjian akan tetap bertanggung jawab untuk mengoordinasikan semua komunikasi dengan kami berdasarkan DPA ini dan berhak untuk membuat serta menerima komunikasi apa pun terkait DPA ini atas nama Afiliasi Pelanggannya.
12.2 Hak Afiliasi Pelanggan. Ketika Afiliasi Pelanggan menjadi pihak dalam DPA dengan kami, Afiliasi Pelanggan tersebut berhak untuk menjalankan hak dan mencari pemulihan berdasarkan DPA ini, sesuai dengan ketentuan yang berikut:
(i) Kecuali jika Hukum Perlindungan Data mengharuskan Afiliasi Pelanggan untuk menjalankan hak atau mencari pemulihan berdasarkan DPA ini terhadap kami secara langsung, para pihak menyetujui bahwa (i) hanya Pelanggan yang merupakan pihak yang mengikat dalam Perjanjian yang akan menjalankan hak tersebut atau mencari pemulihan tersebut atas nama Afiliasi Pelanggan, dan (ii) Pelanggan yang merupakan pihak yang mengikat dalam Perjanjian akan menjalankan hak tersebut berdasarkan DPA ini tidak secara terpisah untuk setiap Afiliasi Pelanggan secara individual, tetapi dengan cara yang digabungkan untuk dirinya sendiri dan semua Afiliasi Pelanggannya bersama-sama.
(ii) Para pihak menyetujui bahwa Pelanggan yang merupakan pihak yang mengikat dalam Perjanjian harus, ketika audit di lokasi mengenai prosedur yang terkait dengan perlindungan Data Pribadi Pelanggan dilakukan atas namanya sebagaimana ditentukan dalam Pasal 10.3 DPA ini, mengambil semua langkah yang wajar untuk membatasi dampak terhadap kami dengan menggabungkan, sejauh yang wajar, beberapa permintaan audit yang dilakukan atas namanya dan semua Afiliasi Pelanggannya dalam satu audit tunggal.
Untuk kejelasan, Afiliasi Pelanggan tidak menjadi pihak yang mengikat dalam Perjanjian.
13. Undang-Undang Privasi Konsumen California.
Sejauh mana ini berlaku, kami membuat komitmen tambahan berikut kepada Anda sehubungan dengan pemrosesan Data Pribadi Pelanggan dalam lingkup CCPA.
13.1 Kewajiban Kami Berdasarkan Hukum Perlindungan Data A.S.. Istilah "tujuan bisnis", "tujuan komersial", "konsumen", "menjual", dan "berbagi" sebagaimana digunakan dalam Bagian 13.1 ini memiliki makna yang diberikan kepada mereka dalam CCPA. Sejauh mana berlaku, kami akan mematuhi CCPA dan memperlakukan semua Data Pribadi Pelanggan yang tunduk pada CCPA dan Hukum Perlindungan Data A.S. lainnya (“Data Pribadi A.S.”) sesuai dengan ketentuan CCPA dan Hukum Perlindungan Data A.S. lainnya. Sehubungan dengan Data Pribadi A.S., kami adalah penyedia layanan di bawah CCPA dan pemroses data di bawah Hukum Perlindungan Data A.S. lainnya. Kami tidak akan menjual Data Pribadi A.S. Kami tidak akan menyimpan, menggunakan, atau mengungkapkan Data Pribadi A.S. (i) untuk tujuan lain selain tujuan bisnis yang ditentukan dalam Perjanjian (termasuk menyimpan, menggunakan, atau mengungkapkan Data Pribadi A.S. untuk tujuan komersial selain tujuan bisnis yang ditentukan dalam Perjanjian atau sebagaimana diizinkan oleh CCPA atau hukum yang berlaku); atau (ii) di luar hubungan bisnis langsung dengan Anda dan kami.
13.2 Kewajiban Pelanggan. Anda mewakili dan menjamin bahwa Anda telah memberikan pemberitahuan kepada Pengguna Akhir bahwa Data Pribadi sedang digunakan atau dibagikan sesuai dengan Hukum Perlindungan Data yang berlaku. Anda bertanggung jawab untuk mematuhi persyaratan Hukum Perlindungan Data sejauh mana berlaku untuk Anda sebagai pengontrol data.
14. Hukum yang Mengatur dan Penyelesaian Sengketa
Setiap perselisihan, klaim, atau kontroversi (“Dispute”) yang timbul dari atau terkait dengan DPA ini akan diatur dan ditafsirkan sesuai dengan hukum Belanda. Setiap Pihak setuju bahwa pengadilan yang berwenang di Amsterdam, Belanda memiliki yurisdiksi eksklusif untuk menyelesaikan setiap Perselisihan yang timbul dari atau terkait dengan DPA ini.
LAMPIRAN I - DETAIL PROSES
Di mana berlaku, Lampiran I ini akan berfungsi sebagai Lampiran I untuk Klausul Kontraktual Standar.
Lampiran I, Bagian A. Daftar Para Pihak
Eksportir Data: Pelanggan
Rincian kontak eksportir data: Alamat yang terdaftar dalam akun Pelanggan, atau email pemilik akun Pelanggan, atau ke alamat email yang dipilih Pelanggan untuk menerima pemberitahuan berdasarkan Perjanjian.
Peran eksportir data: Peran eksportir data diuraikan dalam Bagian 4 dari DPA.
Tanda tangan dan tanggal: Jika dan ketika berlaku, eksportir data dianggap telah menandatangani Klausul Kontraktual Standar yang digabungkan di sini sejak Tanggal Berlaku dari DPA.
Pengimpor Data: Penyedia
Rincian kontak pengimpor data: Data Protection Officer - privacy@bird.com
Peran pengimpor data: Pengimpor data bertindak sebagai pemroses data.
Tanda tangan dan tanggal: Jika dan ketika berlaku, pengimpor data dianggap telah menandatangani Klausul Kontraktual Standar yang digabungkan di sini sejak Tanggal Berlaku dari DPA.
Lampiran I, Bagian B. Deskripsi Transfer
1. Kategori subjek data yang Data Pribadinya dipindahkan.
Pengguna. Kontak (orang alamiah) atau karyawan, kontraktor atau pekerja sementara (saat ini, prospektif, mantan) dari Pelanggan yang menggunakan Layanan (“Pengguna”).
Pengguna Akhir. Setiap individu (i) yang rincian kontaknya termasuk dalam daftar kontak Pelanggan; (ii) yang informasinya disimpan atau dikumpulkan melalui Layanan, atau (ii) kepada siapa Pelanggan mengirim komunikasi atau terlibat atau berkomunikasi dengan melalui Layanan (secara kolektif, “Pengguna Akhir”). Anda sebagai Pelanggan semata-mata menentukan kategori subjek data yang termasuk dalam komunikasi yang dikirimkan melalui platform komunikasi kami.
2. Kategori Data Pribadi yang dipindahkan.
Data Pribadi Pelanggan yang terkandung dalam, konten komunikasi, data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan.
Konten komunikasi, yang dapat mencakup Data Pribadi atau karakteristik personal lainnya, tergantung pada konten komunikasi yang ditentukan oleh Anda sebagai Pelanggan.
Data lalu lintas, yang dapat mencakup Data Pribadi Pelanggan tentang perutean, durasi atau waktu komunikasi seperti panggilan suara, SMS atau email, baik itu terkait dengan individu atau perusahaan.
Data Pengguna Akhir, seperti nomor telepon, alamat email, nama depan, nama belakang, nama profil, negara, pengidentifikasi saluran.
Data penggunaan pelanggan, dapat berisi data yang dapat dihubungkan dengan Anda sebagai individu yang termasuk dalam data statistik dan informasi yang terkait dengan akun dan kegiatan layanan Anda, wawasan terkait layanan, dan laporan analitik mengenai komunikasi yang dikirim dan dukungan pelanggan.
3. Data sensitif yang dipindahkan (jika berlaku) dan pembatasan atau tindakan pengamanan yang diterapkan yang mempertimbangkan sepenuhnya sifat data dan risiko yang terlibat, seperti misalnya pembatasan tujuan yang ketat, pembatasan akses (termasuk akses hanya bagi personel yang telah mengikuti pelatihan khusus), mencatat akses ke data, pembatasan untuk transfer selanjutnya atau langkah-langkah keamanan tambahan.
Konten komunikasi. Data sensitif dapat, dari waktu ke waktu, diproses melalui Layanan di mana Anda atau Pengguna Akhir Anda memilih untuk menyertakan data sensitif dalam komunikasi yang ditransmisikan menggunakan Layanan. Anda bertanggung jawab untuk memastikan bahwa tindakan pengamanan yang sesuai sudah diterapkan sebelum mentransmisikan atau memproses, atau sebelum mengizinkan Pengguna Akhir Anda untuk mentransmisikan atau memproses data sensitif apa pun melalui Layanan, sesuai dengan Bagian 3.2 dari Perjanjian.
Data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan. Tidak ada data sensitif yang terkandung dalam data lalu lintas, data Pengguna Akhir, atau data penggunaan pelanggan.
4. Frekuensi transfer (misalnya, apakah data dipindahkan sekali saja atau secara berkelanjutan): Data Pribadi Pelanggan dipindahkan secara berkelanjutan selama Perjanjian berlangsung.
5. Sifat pemrosesan: Kami akan memproses Data Pribadi Pelanggan sejauh yang diperlukan untuk menyediakan Layanan di bawah Perjanjian. Kami tidak menjual Data Pribadi apa pun, termasuk Data Pribadi Pelanggan, dan tidak membagikan Data Pribadi dengan pihak ketiga untuk imbalan atau untuk kepentingan bisnis pihak ketiga tersebut.
6. Tujuan transfer data dan pemrosesan lebih lanjut: Kami akan memproses Data Pribadi Pelanggan sebagai pemroses data sesuai dengan instruksi Pelanggan sebagaimana diatur dalam DPA ini, kecuali pemrosesan diperlukan untuk memenuhi kewajiban hukum yang berlaku bagi kami, dalam hal ini kami akan diklasifikasikan sebagai pengontrol data.
Konten komunikasi, data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan. Data Pribadi yang terkandung dalam konten komunikasi, data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan akan tunduk pada kegiatan pemrosesan dasar berikut:
Konten komunikasi. Penyediaan produk dan layanan komunikasi yang dapat diprogram, ditawarkan dalam bentuk antar muka pemrograman aplikasi (API) atau melalui Dashboard, ke Pelanggan, termasuk pengiriman dari atau ke aplikasi perangkat lunak Pelanggan ke atau dari platform komunikasi kami, dan jaringan komunikasi lainnya.
Data lalu lintas. Data lalu lintas diproses untuk tujuan pengiriman komunikasi pada jaringan komunikasi elektronik atau untuk penagihan terkait komunikasi tersebut. Ini dapat mencakup Data Pribadi Pelanggan tentang perutean, durasi, atau waktu komunikasi seperti panggilan suara, SMS, atau email, baik itu terkait dengan individu atau perusahaan.
Data Pengguna Akhir. Data Pribadi Pengguna Akhir diperlukan untuk melaksanakan Layanan dan hanya akan diproses untuk tujuan pengiriman komunikasi, dukungan pelanggan, dan memastikan kepatuhan dengan kewajiban hukum kami.
Data penggunaan pelanggan. Data Pribadi yang terkandung dalam data penggunaan pelanggan akan tunduk pada kegiatan pemrosesan untuk menyediakan Layanan di bawah Perjanjian, dengan tujuan menyediakan Pelanggan dengan wawasan terkait layanan dan laporan analitik mengenai komunikasi yang dikirim, dukungan pelanggan, dan peningkatan berkelanjutan dari Layanan.
7. Periode penyimpanan Data Pribadi, atau, jika itu tidak mungkin, kriteria yang digunakan untuk menentukan periode tersebut:
Konten komunikasi dan data lalu lintas.
Untuk konten komunikasi dan data lalu lintas yang terkandung dalam Layanan SMS dan Voice berlaku periode penyimpanan enam bulan;
Untuk Layanan Video, konten komunikasi dan data lalu lintas disimpan minimal 30 hari hingga durasi sesuai yang disetujui dengan Anda;
Untuk layanan Email, konten komunikasi dan data lalu lintas disimpan selama 72 jam;
Untuk semua layanan lainnya, konten komunikasi dan data lalu lintas disimpan selama Layanan berlangsung, kecuali jika Anda menghapus konten komunikasi atau data lalu lintas melalui langkah-langkah teknis dan organisasi yang disediakan untuk Anda melalui Layanan.
Data Pengguna Akhir. Data Pengguna Akhir akan diproses untuk durasi yang ditentukan oleh Pelanggan, ketika data Pengguna Akhir termasuk dalam profil kontak Anda, periode penyimpanan defaultnya adalah selama Layanan berlangsung, tunduk pada Bagian 6(c) dari Lampiran I, Bagian B ini.
Data penggunaan pelanggan. Setelah Perjanjian berakhir, kami dapat menyimpan, menggunakan, dan mengungkapkan data penggunaan pelanggan untuk tujuan yang ditetapkan dalam Bagian 6(d) dari Lampiran I, Bagian B ini, tunduk pada kewajiban kerahasiaan yang ditetapkan dalam Perjanjian. Kami akan menganonimkan atau menghapus data penggunaan pelanggan ketika kami tidak lagi membutuhkannya untuk tujuan yang ditetapkan dalam Bagian 6(d) dari Lampiran I, Bagian B ini.
8. Untuk transfer ke (Sub-)pemroses, juga tentukan subjek materi, sifat dan durasi pemrosesan: Untuk transfer ke Sub-pemroses, subjek materi dan sifat pemrosesan diuraikan dalam tinjuan Sub-pemroses dan durasinya adalah selama Perjanjian berlangsung.
Lampiran I, Bagian C. Otoritas Pengawas yang Berwenang
Otoritas Perlindungan Data Belanda (Autoriteit Persoonsgegevens) akan menjadi otoritas pengawas yang berwenang.
LAMPIRAN II - TINDAKAN KEAMANAN TEKNIS DAN ORGANISASIONAL
Jika berlaku, Lampiran II ini akan berfungsi sebagai Lampiran II untuk Klausul Kontraktual Standar. Berikut ini memberikan lebih banyak informasi mengenai langkah-langkah keamanan teknis dan organisasi kami yang ditetapkan di bawah ini.
Langkah-langkah Keamanan Teknis dan Organisasi:
Langkah-langkah pseudonimisasi dan perlindungan Data Pribadi dalam penyimpanan dan perjalanan: semua Data Pribadi dienkripsi dalam perjalanan dan saat disimpan, dan, sejauh relevan dari sudut pandang keamanan, diperlakukan seolah-olah diklasifikasikan sebagai data sensitif. Informasi selalu dikirim melalui TLS dengan metodologi enkripsi terkini secara default.
Langkah-langkah untuk memastikan kerahasiaan, integritas, dan ketersediaan serta ketahanan sistem dan layanan pemrosesan yang berkelanjutan: kami membuat perjanjian yang mengandung ketentuan kerahasiaan dengan karyawan, kontraktor, vendor, dan Sub-pemroses kami. Kebijakan kontinuitas bisnis kami adalah mempersiapkan bisnis dan layanan kami dalam hal terjadi pemadaman yang berkepanjangan yang disebabkan oleh faktor-faktor di luar kendali kami dan untuk mengembalikan layanan sejauh mungkin dalam waktu sesingkat mungkin. Kami memahami bahwa layanan yang kami sediakan sangat penting bagi pelanggan kami dan karena itu sangat tidak mentoleransi gangguan layanan. Jangka waktu pemulihan kami dirancang untuk memastikan bahwa kami dapat memenuhi kewajiban kami kepada semua pelanggan kami
Proses untuk pengujian, penilaian, dan evaluasi rutin efektivitas langkah-langkah teknis dan organisasi untuk memastikan keamanan pemrosesan: tujuan keamanan informasi dan Sistem Manajemen Keamanan Informasi (ISMS) kami adalah untuk melindungi kerahasiaan, integritas, dan ketersediaan informasi kepada organisasi, karyawan, mitra, pelanggan dan sistem informasi (yang diizinkan), dan untuk meminimalkan risiko kerusakan dengan mencegah insiden keamanan dan mengelola ancaman serta kerentanan keamanan. Tim Legal kami, Pejabat Perlindungan Data, dan Tim Keamanan memastikan bahwa peraturan dan standar yang berlaku dimasukkan dalam kerangka keamanan kami.
Langkah-langkah untuk identifikasi dan otorisasi pengguna: kami mengikuti prinsip “perlu tahu” dan “hak istimewa paling sedikit”. Kami mempromosikan penggunaan kontrol akses berbasis peran. Penyediaan dan pencabutan ditangani oleh tim keamanan, dengan Single-Sign-On dan 2FA secara default. Pemilik telah ditetapkan untuk setiap aset informasi yang bertanggung jawab memastikan akses ke sistem mereka sesuai dan ditinjau secara rutin. Setiap kali berurusan dengan informasi sensitif atau melakukan tindakan kritis, kami menggunakan prinsip empat mata.
Langkah-langkah untuk memastikan pencatatan acara: catatan audit disimpan secara terpusat dan dipantau secara rutin untuk acara keamanan dan disimpan dengan aman untuk menghindari risiko pemalsuan. Kebijakan Manajemen Insiden menegakkan rencana tanggapan insiden dan prosedurnya. Pedoman ini diikuti jika terjadi insiden keamanan atau teknis dari jenis apa pun.
Langkah-langkah untuk memastikan konfigurasi sistem, termasuk konfigurasi default: kami mengikuti proses manajemen perubahan yang konsisten untuk semua perubahan di lingkungan produksi Platform Komunikasi sebagai Layanan. Jika dijabarkan lebih lanjut, semua permintaan untuk perubahan (RFC) perlu disetujui oleh pihak yang ditunjuk dan dijalankan sesuai dengan proses kontrol perubahan formal. Proses kontrol memastikan bahwa perubahan yang diusulkan ditinjau, disetujui, diuji, dilaksanakan, dan dirilis secara terkendali; dan status setiap perubahan yang diusulkan dipantau. Garis dasar konfigurasi diikuti untuk mengonfigurasi sistem secara aman dengan mengikuti praktik terbaik. Juga, dalam departemen Teknik, digunakan radar teknologi untuk menentukan teknologi (bahasa, alat platform, database dan alat manajemen data) mana yang dapat diadopsi atau perlu dihindari selama pengembangan.
Langkah-langkah untuk keamanan fisik: Semua karyawan Bird bekerja dari jarak jauh. Karena kebijakan kerja jarak jauh Bird, Bird telah menerapkan dan menegakkan kebijakan kerja jarak jauh yang memastikan karyawan bekerja dari jarak jauh dengan cara yang aman. Kebijakan ini menegakkan langkah-langkah minimum seputar keamanan fisik, keamanan akses, keamanan koneksi dan komunikasi.
Langkah-langkah untuk tata kelola IT internal dan keamanan IT: kami memelihara program keamanan berbasis penilaian risiko, yang mencakup perlindungan administratif, organisasi, teknis, dan fisik yang dirancang untuk melindungi Layanan serta kerahasiaan, integritas, dan ketersediaan Data Pelanggan. Program keamanan informasi kami disusun dengan cara yang sistematis dan terorganisir dengan baik. Selain itu, persyaratan hukum dan peraturan berlaku untuk memastikan kerahasiaan, integritas, dan ketersediaan informasi kepada organisasi, karyawan, mitra, dan pelanggan. Semua ini diterjemahkan ke dalam kebijakan, prosedur, dan pedoman keamanan informasi kami. Kami memiliki Komite Pengarah Keamanan yang bertanggung jawab atas tingkat taktis untuk keamanan informasi. Ini mencakup koordinasi kegiatan keamanan informasi dan penerjemahan kegiatan strategis ke dalam kegiatan operasional untuk keamanan kami, dan pemeliharaan kepatuhan regulasi yang berkelanjutan. Semua karyawan bertanggung jawab untuk menjaga aset perusahaan. Semua karyawan kami disaring untuk keahlian, pengalaman, dan integritas. Karyawan diinformasikan tentang keamanan dan perlindungan data pada tahap perekrutan, serta melalui pelatihan khusus tim yang teratur, dan presentasi perusahaan secara keseluruhan tentang pentingnya perlindungan data dan kepatuhan keamanan. Kami memiliki sertifikasi ISO 27001, standar keamanan informasi yang diakui secara global untuk Sistem Manajemen Keamanan Informasi (ISMS).
Semua penyedia hosting kami memiliki sertifikasi ISO 27001.
Kami juga terdaftar di Otoritas Konsumen dan Pasar Belanda. Ini berarti kami selalu bertanggung jawab dan sepenuhnya transparan dengan klien kami.
Kami adalah Anggota Asosiasi dari Groupe Speciale Mobile Association (GSMA). GSMA mewakili kepentingan operator seluler di seluruh dunia.
Kami selalu mengikuti semua hukum dan peraturan yang berlaku, termasuk Peraturan Perlindungan Data Umum, dan Kerangka Kerja Perlindungan Data EU-AS.
Langkah-langkah untuk sertifikasi/jaminan proses dan produk: kami menjalani pengawasan ketat serta audit sertifikasi sebagai bagian dari kepatuhan ISO/IEC 27001, dan secara teratur menjalankan pengujian kerentanan aplikasi dan pengujian penetrasi.
Langkah-langkah untuk memastikan tanggung jawab: kami menerapkan kebijakan keamanan informasi dan perlindungan data sesuai dengan hukum yang berlaku dan mempublikasikan ikhtisar informasi ISMS kami yang relevan (link). Kami telah menunjuk seorang Direktur Keamanan, Pejabat Keamanan Informasi, Pejabat Kepatuhan, dan Pejabat Perlindungan Data khusus, dan memelihara dokumentasi kegiatan pemrosesan kami, termasuk pencatatan dan pelaporan insiden keamanan yang melibatkan Data Pribadi jika berlaku.
Langkah-langkah untuk memastikan penghapusan data: kami memastikan penghapusan data melalui proses penghapusan otomatis dalam lingkungan komunikasi dan infrastruktur kami. Proses penghapusan data ini memastikan bahwa semua data yang tidak lagi diperlukan untuk memenuhi tujuan tertentu dihapus dari sistem kami setelah pemrosesan.