Perjanjian Pemrosesan Data ini (“Perjanjian“) merupakan bagian dari Kontrak Layanan (“Perjanjian Utama“) antara TeleRetro (yang disebut sebagai “Perusahaan”) dan pelanggan TeleRetro yang diidentifikasi pada dokumen pemesanan TeleRetro terkait untuk layanan TeleRetro (yang disebut sebagai “Pemroses Data”) (bersama-sama disebut sebagai “Pihak-pihak”).
MENIMBANG BAHWA
(A) Perusahaan bertindak sebagai Pengendali Data.
(B) Perusahaan ingin mensubkontrakkan Layanan tertentu, yang mencakup pemrosesan data pribadi, kepada Pemroses Data.
(C) Pihak-pihak berupaya untuk menerapkan perjanjian pemrosesan data yang memenuhi persyaratan kerangka hukum yang berlaku terkait pemrosesan data dan Peraturan (UE) 2016/679 Parlemen Eropa dan Dewan 27 April 2016 tentang perlindungan orang alami sehubungan dengan pemrosesan data pribadi dan tentang pergerakan bebas data tersebut, serta mencabut Direktif 95/46/EC (Peraturan Perlindungan Data Umum).
(D) Pihak-pihak ingin menetapkan hak dan kewajiban mereka.
DISEPAKATI SEBAGAI BERIKUT:
1. Definisi dan Penafsiran
1.1 Kecuali jika didefinisikan lain di sini, istilah dan ekspresi yang menggunakan huruf kapital dalam Perjanjian ini akan memiliki arti sebagai berikut:
1.1.1 “Perjanjian” berarti Perjanjian Pemrosesan Data ini dan semua Lampiran;
1.1.2 “Data Pribadi Perusahaan” berarti Data Pribadi yang Diproses oleh Pemroses yang Dikontrak atas nama Perusahaan berdasarkan atau sehubungan dengan Perjanjian Utama;
1.1.3 “Pemroses yang Dikontrak” berarti Subprocessor;
1.1.4 “Undang-Undang Perlindungan Data” berarti Undang-Undang Perlindungan Data UE dan, sejauh berlaku, undang-undang perlindungan data atau privasi dari negara lain mana pun;
1.1.5 “EEA” berarti Wilayah Ekonomi Eropa;
1.1.6 “Undang-Undang Perlindungan Data UE” berarti Direktif 95/46/EC, sebagaimana ditransposisikan ke dalam peraturan nasional masing-masing Negara Anggota dan sebagaimana diubah, diganti atau diteruskan dari waktu ke waktu, termasuk oleh GDPR dan undang-undang yang mengimplementasikan atau melengkapi GDPR;
1.1.7 “GDPR” berarti Peraturan Perlindungan Data Umum UE 2016/679;
1.1.8 “Transfer Data” berarti:
1.1.8.1 transfer Data Pribadi Perusahaan dari Perusahaan kepada Pemroses yang Dikontrak; atau
1.1.8.2 transfer lanjut Data Pribadi Perusahaan dari Pemroses yang Dikontrak kepada Subkontraktor, atau antara dua pendirian Pemroses yang Dikontrak, dalam setiap kasus, di mana transfer tersebut akan dilarang oleh Undang-Undang Perlindungan Data (atau oleh syarat-syarat perjanjian transfer data yang ditempatkan untuk mengatasi pembatasan transfer data dari Undang-Undang Perlindungan Data);
1.1.9 “Layanan” berarti layanan retrospektif agile online yang disediakan oleh Perusahaan.
1.1.10 “Subprocessor” berarti orang yang ditunjuk oleh atau atas nama Pemroses untuk memproses Data Pribadi atas nama Perusahaan sehubungan dengan Perjanjian ini.
1.2 Istilah-istilah, “Komisi”, “Pengendali”, “Subjek Data”, “Negara Anggota”, “Data Pribadi”, “Pelanggaran Data Pribadi”, “Pemrosesan” dan “Otoritas Pengawas” akan memiliki arti yang sama seperti dalam GDPR, dan istilah kognat mereka akan ditafsirkan sesuai halnya.
2. Pemrosesan Data Pribadi Perusahaan
2.1 Pemroses akan:
2.1.1 mematuhi semua Undang-Undang Perlindungan Data yang berlaku dalam Pemrosesan Data Pribadi Perusahaan; dan
2.1.2 tidak Memproses Data Pribadi Perusahaan selain dari pada instruksi terdokumentasi dari Perusahaan terkait.
2.2 Perusahaan menginstruksikan Pemroses untuk memproses Data Pribadi Perusahaan.
3. Personel Pemroses
Pemroses akan mengambil langkah-langkah yang wajar untuk memastikan keandalan setiap karyawan, agen, atau kontraktor dari setiap Pemroses yang Dikontrak yang dapat memiliki akses ke Data Pribadi Perusahaan, memastikan dalam setiap kasus bahwa akses tersebut sangat terbatas pada individu-individu yang perlu mengetahui / mengakses Data Pribadi Perusahaan yang relevan, sebagaimana mutlak diperlukan untuk tujuan Perjanjian Utama, dan untuk mematuhi Undang-Undang yang Berlaku dalam konteks tugas individu tersebut pada Pemroses yang Dikontrak, memastikan bahwa semua individu tersebut tunduk pada ikatan kerahasiaan atau kewajiban kerahasiaan profesional atau statutori.
4. Keamanan
4.1 Mempertimbangkan keadaan seni, biaya implementasi dan sifat, cakupan, konteks dan tujuan Pemrosesan serta risiko yang bervariasi kemungkinan dan beratnya bagi hak dan kebebasan individu, Pemroses akan sehubungan dengan Data Pribadi Perusahaan menerapkan tindakan teknis dan organisasi yang sesuai untuk memastikan tingkat keamanan yang sesuai dengan risiko itu, termasuk, sebagaimana sesuai, langkah-langkah yang dirujuk dalam Pasal 32(1) GDPR.
4.2 Dalam menilai tingkat keamanan yang sesuai, Pemroses khususnya akan mempertimbangkan risiko yang muncul dari Pemrosesan, terutama dari Pelanggaran Data Pribadi.
5. Subpemrosesan
5.1 Pemroses tidak akan menunjuk (atau mengungkapkan Data Pribadi Perusahaan kepada) Subprocessor kecuali diperlukan atau diotorisasi oleh Perusahaan.
6. Hak Subjek Data
6.1 Mempertimbangkan sifat Pemrosesan, Pemroses akan membantu Perusahaan dengan menerapkan langkah-langkah teknis dan organisasional yang sesuai, sejauh hal ini mungkin dilakukan, untuk memenuhi kewajiban Perusahaan, sebagaimana dipahami secara wajar oleh Perusahaan, untuk menanggapi permintaan untuk melaksanakan hak Subjek Data di bawah Undang-Undang Perlindungan Data.
6.2 Pemroses akan:
6.2.1 segera memberi tahu Perusahaan jika menerima permintaan dari Subjek Data di bawah Undang-Undang Perlindungan Data mana pun sehubungan dengan Data Pribadi Perusahaan; dan
6.2.2 memastikan bahwa tidak menanggapi permintaan tersebut kecuali atas instruksi terdokumentasi dari Perusahaan atau sebagaimana diharuskan oleh Undang-Undang yang Berlaku yang menjadi subjek Pemroses, dalam hal mana Pemroses akan sejauh diizinkan oleh Undang-Undang yang Berlaku memberi informasi kepada Perusahaan tentang persyaratan hukum tersebut sebelum Pemroses yang Dikontrak menanggapi permintaan tersebut.
7. Pelanggaran Data Pribadi
7.1 Pemroses akan memberi tahu Perusahaan tanpa penundaan yang tidak semestinya setelah Pemroses menyadari adanya Pelanggaran Data Pribadi yang mempengaruhi Data Pribadi Perusahaan, memberikan Perusahaan informasi yang cukup untuk memungkinkan Perusahaan memenuhi kewajiban apa pun untuk melaporkan atau memberi tahu Subjek Data tentang Pelanggaran Data Pribadi di bawah Undang-Undang Perlindungan Data.
7.2 Pemroses akan bekerja sama dengan Perusahaan dan mengambil langkah-langkah komersial yang wajar sebagaimana diarahkan oleh Perusahaan untuk membantu dalam penyelidikan, mitigasi dan pemulihan dari setiap Pelanggaran Data Pribadi tersebut.
8. Penilaian Dampak Perlindungan Data dan Konsultasi Awal
8.1 Pemroses akan memberikan bantuan yang wajar kepada Perusahaan dengan penilaian dampak perlindungan data, dan konsultasi awal dengan Otoritas Pengawas atau otoritas privasi data lainnya yang berwenang, yang secara wajar dianggap oleh Perusahaan diperlukan berdasarkan artikel 35 atau 36 GDPR atau ketentuan setara dari Undang-Undang Perlindungan Data lainnya, dalam setiap kasus hanya sehubungan dengan Pemrosesan Data Pribadi Perusahaan oleh, dan dengan mempertimbangkan sifat Pemrosesan dan informasi yang tersedia untuk, Pemroses yang Dikontrak.
9. Penghapusan atau pengembalian Data Pribadi Perusahaan
9.1 Tunduk pada bagian 9 ini, Pemroses akan segera dan dalam hal apa pun dalam waktu 10 hari kerja dari tanggal penghentian setiap Layanan yang melibatkan Pemrosesan Data Pribadi Perusahaan (tanggal “Tanggal Penghentian”), menghapus dan mengadakan penghapusan semua salinan dari Data Pribadi Perusahaan tersebut.
10. Hak Audit
10.1 Tunduk pada bagian 10 ini, Pemroses akan menyediakan kepada Perusahaan berdasarkan permintaan semua informasi yang diperlukan untuk menunjukkan kepatuhan dengan Perjanjian ini, dan akan mengizinkan dan berkontribusi pada audit, termasuk inspeksi, oleh Perusahaan atau auditor yang diberi mandat oleh Perusahaan sehubungan dengan Pemrosesan Data Pribadi Perusahaan oleh Pemroses yang Dikontrak.
10.2 Informasi dan hak audit Perusahaan hanya timbul berdasarkan bagian 10.1 sejauh Perjanjian tidak memberikan informasi dan hak audit yang memenuhi persyaratan yang relevan dari Undang-Undang Perlindungan Data.
11. Transfer Data
11.1 Pemroses tidak dapat mentransfer atau mengesahkan transfer Data ke negara di luar UE dan/atau Wilayah Ekonomi Eropa (EEA) tanpa persetujuan tertulis sebelumnya dari Perusahaan. Jika data pribadi yang diproses berdasarkan Perjanjian ini ditransfer dari negara dalam Wilayah Ekonomi Eropa ke negara di luar Wilayah Ekonomi Eropa, Pihak-pihak akan memastikan bahwa data pribadi tersebut dilindungi secara memadai. Untuk mencapai hal ini, Pihak-pihak akan, kecuali disepakati lain, mengandalkan klausul kontrak standar UE yang disetujui untuk transfer data pribadi.
12. Ketentuan Umum
12.1 Kerahasiaan. Setiap Pihak harus menjaga kerahasiaan Perjanjian ini dan informasi yang diterimanya tentang Pihak lainnya dan bisnisnya sehubungan dengan Perjanjian ini (“Informasi Rahasia”) dan tidak boleh menggunakan atau mengungkapkan Informasi Rahasia tersebut tanpa persetujuan tertulis sebelumnya dari Pihak lainnya, kecuali sejauh yang diwajibkan oleh hukum atau informasi yang relevan sudah berada di domain publik.
12.2 Pemberitahuan. Semua pemberitahuan dan komunikasi yang diberikan berdasarkan Perjanjian ini harus dibuat secara tertulis dan akan dikirimkan secara pribadi, dikirim melalui pos atau dikirim melalui email ke alamat atau alamat email yang tercantum di kepala Perjanjian ini atau alamat lain sebagaimana diberitahukan dari waktu ke waktu oleh Pihak-pihak yang mengubah alamat.
13. Hukum dan Yurisdiksi yang Mengatur
13.1 Perjanjian Pemrosesan Data ini diatur oleh dan ditafsirkan sesuai dengan hukum dan yurisdiksi yang tercantum di bawah ini:
Negara atau wilayah | Pilihan hukum | Yurisdiksi |
---|---|---|
Semua negara dan wilayah lain di mana TeleRetro tersedia | Hukum Inggris dan Wales | Eksklusif |
Amerika Serikat | Negara Bagian California, Amerika Serikat | Eksklusif; Pengadilan Negara dan Federal California Utara, California |
13.2 Setiap perselisihan yang timbul sehubungan dengan Perjanjian Pemrosesan Data ini, yang tidak dapat diselesaikan secara damai oleh Para Pihak, akan diserahkan ke yurisdiksi eksklusif pengadilan sebagaimana ditentukan dalam tabel di atas, tergantung pada negara atau wilayah Pelanggan.