Perjanjian Pemrosesan Data

Perjanjian pemrosesan data Forward Email

Istilah Kunci

Istilah Nilai
Perjanjian DPA ini melengkapi Ketentuan Layanan
Subprocessor yang Disetujui Cloudflare (AS; penyedia DNS, jaringan, dan keamanan), DataPacket (AS/UK; penyedia hosting), Digital Ocean (AS; penyedia hosting), GitHub (AS; hosting kode sumber, CI/CD, dan manajemen proyek), Vultr (AS; penyedia hosting), Stripe (AS; pemroses pembayaran), PayPal (AS; pemroses pembayaran)
Kontak Keamanan Penyedia security@forwardemail.net
Kebijakan Keamanan Lihat Kebijakan Keamanan kami di GitHub
Negara yang Mengatur Negara Bagian Delaware, Amerika Serikat

Perubahan pada Perjanjian

Dokumen ini merupakan turunan dari Common Paper DPA Standard Terms (Versi 1.0) dan perubahan berikut telah dilakukan:

  1. Hukum yang Mengatur dan Pengadilan yang Dipilih telah dimasukkan sebagai bagian di bawah dengan Negara Pengatur yang diidentifikasi di atas.
  2. Hubungan Penyedia Layanan telah dimasukkan sebagai bagian di bawah.

1. Hubungan Processor dan Subprocessor

1. Penyedia sebagai Processor

Dalam situasi di mana Pelanggan adalah Pengendali Data Pribadi Pelanggan, Penyedia akan dianggap sebagai Processor yang Memproses Data Pribadi atas nama Pelanggan.

2. Penyedia sebagai Subprocessor

Dalam situasi di mana Pelanggan adalah Processor Data Pribadi Pelanggan, Penyedia akan dianggap sebagai Subprocessor Data Pribadi Pelanggan.

2. Pemrosesan

1. Rincian Pemrosesan

Lampiran I(B) pada Halaman Sampul menjelaskan pokok bahasan, sifat, tujuan, dan durasi Pemrosesan ini, serta Kategori Data Pribadi yang dikumpulkan dan Kategori Subjek Data.

2. Instruksi Pemrosesan

Pelanggan menginstruksikan Penyedia untuk Memproses Data Pribadi Pelanggan: (a) untuk menyediakan dan memelihara Layanan; (b) sebagaimana mungkin lebih lanjut ditentukan melalui penggunaan Layanan oleh Pelanggan; (c) sebagaimana didokumentasikan dalam Perjanjian; dan (d) sebagaimana didokumentasikan dalam instruksi tertulis lain yang diberikan oleh Pelanggan dan diakui oleh Penyedia tentang Pemrosesan Data Pribadi Pelanggan berdasarkan DPA ini. Penyedia akan mematuhi instruksi ini kecuali dilarang oleh Hukum yang Berlaku. Penyedia akan segera memberitahu Pelanggan jika tidak dapat mengikuti instruksi Pemrosesan. Pelanggan telah memberikan dan hanya akan memberikan instruksi yang mematuhi Hukum yang Berlaku.

3. Pemrosesan oleh Penyedia

Penyedia hanya akan Memproses Data Pribadi Pelanggan sesuai dengan DPA ini, termasuk rincian pada Halaman Sampul. Jika Penyedia memperbarui Layanan untuk memperbarui produk, fitur, atau fungsi yang ada atau menambahkan yang baru, Penyedia dapat mengubah Kategori Subjek Data, Kategori Data Pribadi, Data Kategori Khusus, Pembatasan atau Pengamanan Data Kategori Khusus, Frekuensi Transfer, Sifat dan Tujuan Pemrosesan, dan Durasi Pemrosesan sesuai kebutuhan untuk mencerminkan pembaruan tersebut dengan memberitahu Pelanggan tentang pembaruan dan perubahan tersebut.

4. Pemrosesan oleh Pelanggan

Jika Pelanggan adalah Processor dan Penyedia adalah Subprocessor, Pelanggan akan mematuhi semua Hukum yang Berlaku yang berlaku untuk Pemrosesan Data Pribadi Pelanggan oleh Pelanggan. Perjanjian Pelanggan dengan Pengendali-nya juga akan mengharuskan Pelanggan mematuhi semua Hukum yang Berlaku yang berlaku bagi Pelanggan sebagai Processor. Selain itu, Pelanggan akan mematuhi persyaratan Subprocessor dalam perjanjian Pelanggan dengan Pengendali-nya.

Pelanggan telah mematuhi dan akan terus mematuhi semua Hukum Perlindungan Data yang Berlaku terkait penyediaan Data Pribadi Pelanggan kepada Penyedia dan/atau Layanan, termasuk melakukan semua pengungkapan, memperoleh semua persetujuan, menyediakan pilihan yang memadai, dan menerapkan pengamanan relevan yang diwajibkan oleh Hukum Perlindungan Data yang Berlaku.

6. Subprosesor

a. Penyedia tidak akan menyediakan, mentransfer, atau menyerahkan Data Pribadi Pelanggan kepada Subprosesor kecuali Pelanggan telah menyetujui Subprosesor tersebut. Daftar saat ini dari Subprosesor yang Disetujui mencakup identitas Subprosesor, negara lokasi mereka, dan tugas Pemrosesan yang diantisipasi. Penyedia akan memberitahukan Pelanggan setidaknya 10 hari kerja sebelumnya dan secara tertulis mengenai setiap perubahan yang dimaksudkan pada Subprosesor yang Disetujui baik dengan penambahan atau penggantian Subprosesor, yang memungkinkan Pelanggan memiliki waktu yang cukup untuk menolak perubahan tersebut sebelum Penyedia mulai menggunakan Subprosesor baru. Penyedia akan memberikan informasi yang diperlukan kepada Pelanggan agar Pelanggan dapat menggunakan haknya untuk menolak perubahan pada Subprosesor yang Disetujui. Pelanggan memiliki waktu 30 hari setelah pemberitahuan perubahan pada Subprosesor yang Disetujui untuk menolak, jika tidak Pelanggan dianggap menerima perubahan tersebut. Jika Pelanggan menolak perubahan dalam waktu 30 hari setelah pemberitahuan, Pelanggan dan Penyedia akan bekerja sama dengan itikad baik untuk menyelesaikan keberatan atau kekhawatiran Pelanggan.

b. Saat melibatkan Subprosesor, Penyedia akan memiliki perjanjian tertulis dengan Subprosesor yang memastikan Subprosesor hanya mengakses dan menggunakan Data Pribadi Pelanggan (i) sejauh yang diperlukan untuk melaksanakan kewajiban yang disubkontrakkan kepadanya, dan (ii) sesuai dengan ketentuan Perjanjian.

c. Jika GDPR berlaku untuk Pemrosesan Data Pribadi Pelanggan, (i) kewajiban perlindungan data yang dijelaskan dalam DPA ini (sebagaimana dirujuk dalam Pasal 28(3) GDPR, jika berlaku) juga dikenakan pada Subprosesor, dan (ii) perjanjian Penyedia dengan Subprosesor akan memasukkan kewajiban ini, termasuk rincian tentang bagaimana Penyedia dan Subprosesornya akan berkoordinasi untuk menanggapi pertanyaan atau permintaan mengenai Pemrosesan Data Pribadi Pelanggan. Selain itu, Penyedia akan membagikan, atas permintaan Pelanggan, salinan perjanjian (termasuk amandemen apa pun) dengan Subprosesornya. Sejauh diperlukan untuk melindungi rahasia bisnis atau informasi rahasia lainnya, termasuk data pribadi, Penyedia dapat menghapus teks perjanjian dengan Subprosesornya sebelum membagikan salinan tersebut.

d. Penyedia tetap sepenuhnya bertanggung jawab atas semua kewajiban yang disubkontrakkan kepada Subprosesornya, termasuk tindakan dan kelalaian Subprosesornya dalam Memproses Data Pribadi Pelanggan. Penyedia akan memberitahukan Pelanggan tentang setiap kegagalan Subprosesornya untuk memenuhi kewajiban material terkait Data Pribadi Pelanggan berdasarkan perjanjian antara Penyedia dan Subprosesor.

3. Transfer Terbatas

1. Otorisasi

Pelanggan setuju bahwa Penyedia dapat mentransfer Data Pribadi Pelanggan ke luar EEA, Inggris Raya, atau wilayah geografis relevan lainnya sesuai kebutuhan untuk menyediakan Layanan. Jika Penyedia mentransfer Data Pribadi Pelanggan ke wilayah yang belum memiliki keputusan kecukupan dari Komisi Eropa atau otoritas pengawas relevan lainnya, Penyedia akan menerapkan langkah pengamanan yang sesuai untuk transfer Data Pribadi Pelanggan ke wilayah tersebut sesuai dengan Hukum Perlindungan Data yang Berlaku.

2. Transfer di Luar EEA

Pelanggan dan Penyedia sepakat bahwa jika GDPR melindungi transfer Data Pribadi Pelanggan, transfer tersebut berasal dari Pelanggan dari dalam EEA ke Penyedia di luar EEA, dan transfer tersebut tidak diatur oleh keputusan kecukupan yang dibuat oleh Komisi Eropa, maka dengan menandatangani DPA ini, Pelanggan dan Penyedia dianggap telah menandatangani SCC EEA dan Lampirannya, yang diikutsertakan dengan referensi. Setiap transfer tersebut dilakukan berdasarkan SCC EEA, yang diselesaikan sebagai berikut: a. Modul Dua (Pengendali ke Pemroses) dari EEA SCCs berlaku ketika Pelanggan adalah Pengendali dan Penyedia sedang Memproses Data Pribadi Pelanggan untuk Pelanggan sebagai Pemroses.

b. Modul Tiga (Pemroses ke Sub-Pemroses) dari EEA SCCs berlaku ketika Pelanggan adalah Pemroses dan Penyedia sedang Memproses Data Pribadi Pelanggan atas nama Pelanggan sebagai Subpemroses.

c. Untuk setiap modul, hal berikut berlaku (jika berlaku):

  1. Klausul docking opsional dalam Klausul 7 tidak berlaku;

  2. Dalam Klausul 9, Opsi 2 (otorisasi tertulis umum) berlaku, dan periode waktu minimum untuk pemberitahuan sebelumnya tentang perubahan Subpemroses adalah 10 hari kerja;

  3. Dalam Klausul 11, bahasa opsional tidak berlaku;

  4. Semua tanda kurung siku dalam Klausul 13 dihapus;

  5. Dalam Klausul 17 (Opsi 1), EEA SCCs akan diatur oleh hukum Negara Anggota Pengatur;

  6. Dalam Klausul 18(b), sengketa akan diselesaikan di pengadilan Negara Anggota Pengatur; dan

  7. Halaman Sampul dari DPA ini memuat informasi yang diperlukan dalam Lampiran I, Lampiran II, dan Lampiran III dari EEA SCCs.

3. Transfer Ex-UK

Pelanggan dan Penyedia sepakat bahwa jika UK GDPR melindungi transfer Data Pribadi Pelanggan, transfer tersebut berasal dari Pelanggan dari dalam Inggris Raya ke Penyedia di luar Inggris Raya, dan transfer tersebut tidak diatur oleh keputusan kecukupan yang dibuat oleh Sekretaris Negara Inggris Raya, maka dengan menandatangani DPA ini, Pelanggan dan Penyedia dianggap telah menandatangani Addendum UK dan Lampirannya, yang diintegrasikan dengan referensi. Setiap transfer tersebut dilakukan berdasarkan Addendum UK, yang diselesaikan sebagai berikut:

a. Bagian 3.2 dari DPA ini memuat informasi yang diperlukan dalam Tabel 2 dari Addendum UK.

b. Tabel 4 dari Addendum UK dimodifikasi sebagai berikut: Tidak ada pihak yang dapat mengakhiri Addendum UK sebagaimana diatur dalam Bagian 19 dari Addendum UK; sejauh ICO mengeluarkan Addendum Disetujui yang direvisi berdasarkan Bagian ‎18 dari Addendum UK, para pihak akan bekerja dengan itikad baik untuk merevisi DPA ini sesuai.

c. Halaman Sampul memuat informasi yang diperlukan oleh Lampiran 1A, Lampiran 1B, Lampiran II, dan Lampiran III dari Addendum UK.

4. Transfer Internasional Lainnya

Untuk transfer Data Pribadi di mana hukum Swiss (dan bukan hukum di negara anggota EEA mana pun atau Inggris Raya) berlaku untuk sifat internasional transfer tersebut, referensi ke GDPR dalam Klausul 4 dari EEA SCCs, sejauh diwajibkan secara hukum, diubah untuk merujuk pada Undang-Undang Perlindungan Data Federal Swiss atau penggantinya, dan konsep otoritas pengawas akan mencakup Komisioner Perlindungan Data dan Informasi Federal Swiss.

4. Tanggapan Insiden Keamanan

  1. Setelah mengetahui adanya Insiden Keamanan, Penyedia akan: (a) memberitahu Pelanggan tanpa penundaan yang tidak semestinya jika memungkinkan, tetapi tidak lebih dari 72 jam setelah mengetahui Insiden Keamanan; (b) memberikan informasi tepat waktu tentang Insiden Keamanan saat diketahui atau sesuai permintaan wajar dari Pelanggan; dan (c) segera mengambil langkah-langkah yang wajar untuk menahan dan menyelidiki Insiden Keamanan. Pemberitahuan atau tanggapan Penyedia terhadap Insiden Keamanan sebagaimana diwajibkan oleh DPA ini tidak akan dianggap sebagai pengakuan oleh Penyedia atas kesalahan atau tanggung jawab atas Insiden Keamanan tersebut.

5. Audit & Laporan

1. Hak Audit

Penyedia akan memberikan kepada Pelanggan semua informasi yang wajar diperlukan untuk menunjukkan kepatuhannya terhadap DPA ini dan Penyedia akan mengizinkan dan berkontribusi pada audit, termasuk inspeksi oleh Pelanggan, untuk menilai kepatuhan Penyedia terhadap DPA ini. Namun, Penyedia dapat membatasi akses ke data atau informasi jika akses Pelanggan terhadap informasi tersebut akan berdampak negatif pada hak kekayaan intelektual Penyedia, kewajiban kerahasiaan, atau kewajiban lain berdasarkan Hukum yang Berlaku. Pelanggan mengakui dan setuju bahwa hak auditnya hanya akan dilaksanakan berdasarkan DPA ini dan hak audit yang diberikan oleh Hukum Perlindungan Data yang Berlaku dengan menginstruksikan Penyedia untuk mematuhi persyaratan pelaporan dan uji tuntas di bawah ini. Penyedia akan menyimpan catatan kepatuhannya terhadap DPA ini selama 3 tahun setelah DPA berakhir.

2. Laporan Keamanan

Pelanggan mengakui bahwa Penyedia secara rutin diaudit sesuai dengan standar yang ditetapkan dalam Kebijakan Keamanan oleh auditor pihak ketiga independen. Atas permintaan tertulis, Penyedia akan memberikan kepada Pelanggan, secara rahasia, salinan ringkasan dari Laporannya yang sedang berlaku agar Pelanggan dapat memverifikasi kepatuhan Penyedia terhadap standar yang ditetapkan dalam Kebijakan Keamanan.

3. Due Diligence Keamanan

Selain Laporan, Penyedia akan menanggapi permintaan informasi yang wajar yang diajukan oleh Pelanggan untuk mengonfirmasi kepatuhan Penyedia terhadap DPA ini, termasuk tanggapan terhadap kuesioner keamanan informasi, due diligence, dan audit, atau dengan memberikan informasi tambahan tentang program keamanan informasinya. Semua permintaan tersebut harus dibuat secara tertulis dan ditujukan kepada Kontak Keamanan Penyedia dan hanya dapat dilakukan sekali dalam setahun.

6. Koordinasi & Kerjasama

1. Tanggapan atas Pertanyaan

Jika Penyedia menerima pertanyaan atau permintaan dari pihak lain mengenai Pemrosesan Data Pribadi Pelanggan, Penyedia akan memberitahukan Pelanggan tentang permintaan tersebut dan Penyedia tidak akan menanggapi permintaan tersebut tanpa persetujuan sebelumnya dari Pelanggan. Contoh pertanyaan dan permintaan semacam ini termasuk perintah dari lembaga yudisial, administratif, atau regulasi mengenai Data Pribadi Pelanggan di mana pemberitahuan kepada Pelanggan tidak dilarang oleh Hukum yang Berlaku, atau permintaan dari subjek data. Jika diizinkan oleh Hukum yang Berlaku, Penyedia akan mengikuti instruksi wajar dari Pelanggan mengenai permintaan ini, termasuk memberikan pembaruan status dan informasi lain yang diminta secara wajar oleh Pelanggan. Jika subjek data mengajukan permintaan yang sah berdasarkan Undang-Undang Perlindungan Data yang Berlaku untuk menghapus atau memilih keluar dari pemberian Data Pribadi Pelanggan kepada Penyedia, Penyedia akan membantu Pelanggan dalam memenuhi permintaan tersebut sesuai dengan Undang-Undang Perlindungan Data yang Berlaku. Penyedia akan bekerja sama dan memberikan bantuan yang wajar kepada Pelanggan, dengan biaya Pelanggan, dalam setiap tanggapan hukum atau tindakan prosedural lain yang diambil oleh Pelanggan sebagai respons terhadap permintaan pihak ketiga mengenai Pemrosesan Data Pribadi Pelanggan oleh Penyedia berdasarkan DPA ini.

2. DPIA dan DTIA

Jika diwajibkan oleh Undang-Undang Perlindungan Data yang Berlaku, Penyedia akan membantu Pelanggan secara wajar dalam melakukan penilaian dampak perlindungan data yang diwajibkan atau penilaian dampak transfer data serta konsultasi dengan otoritas perlindungan data yang relevan, dengan mempertimbangkan sifat Pemrosesan dan Data Pribadi Pelanggan.

7. Penghapusan Data Pribadi Pelanggan

1. Penghapusan oleh Pelanggan

Penyedia akan memungkinkan Pelanggan untuk menghapus Data Pribadi Pelanggan dengan cara yang konsisten dengan fungsi Layanan. Penyedia akan mematuhi instruksi ini sesegera mungkin kecuali penyimpanan lebih lanjut Data Pribadi Pelanggan diwajibkan oleh Hukum yang Berlaku.

2. Penghapusan pada Saat Berakhirnya DPA

a. Setelah DPA berakhir, Penyedia akan mengembalikan atau menghapus Data Pribadi Pelanggan sesuai instruksi Pelanggan kecuali penyimpanan lebih lanjut Data Pribadi Pelanggan diwajibkan atau diizinkan oleh Hukum yang Berlaku. Jika pengembalian atau penghancuran tidak memungkinkan atau dilarang oleh Hukum yang Berlaku, Penyedia akan melakukan upaya yang wajar untuk mencegah Pemrosesan tambahan Data Pribadi Pelanggan dan akan terus melindungi Data Pribadi Pelanggan yang masih berada dalam kepemilikan, penguasaan, atau kendalinya. Misalnya, Hukum yang Berlaku dapat mengharuskan Penyedia untuk terus menghosting atau Memproses Data Pribadi Pelanggan. b. Jika Customer dan Provider telah memasukkan EEA SCCs atau UK Addendum sebagai bagian dari DPA ini, Provider hanya akan memberikan Customer sertifikasi penghapusan Data Pribadi yang dijelaskan dalam Klausul 8.1(d) dan Klausul 8.5 dari EEA SCCs jika Customer memintanya.

8. Batasan Tanggung Jawab

1. Batas Tanggung Jawab dan Pengabaian Ganti Rugi

Sampai batas maksimum yang diizinkan berdasarkan Undang-Undang Perlindungan Data yang Berlaku, total tanggung jawab kumulatif masing-masing pihak kepada pihak lain yang timbul dari atau terkait dengan DPA ini akan tunduk pada pengabaian, pengecualian, dan batasan tanggung jawab yang dinyatakan dalam Agreement.

Setiap klaim yang diajukan terhadap Provider atau Afiliatenya yang timbul dari atau terkait dengan DPA ini hanya dapat diajukan oleh entitas Customer yang merupakan pihak dalam Agreement.

3. Pengecualian

  1. DPA ini tidak membatasi tanggung jawab apa pun kepada individu terkait hak perlindungan data individu tersebut berdasarkan Undang-Undang Perlindungan Data yang Berlaku. Selain itu, DPA ini tidak membatasi tanggung jawab apa pun antara para pihak atas pelanggaran EEA SCCs atau UK Addendum.

9. Konflik Antara Dokumen

  1. DPA ini merupakan bagian dari dan melengkapi Agreement. Jika terdapat ketidaksesuaian antara DPA ini, Agreement, atau bagian-bagiannya, bagian yang tercantum lebih awal akan mengendalikan atas bagian yang tercantum kemudian untuk ketidaksesuaian tersebut: (1) EEA SCCs atau UK Addendum, (2) DPA ini, dan kemudian (3) Agreement.

10. Masa Berlaku Perjanjian

DPA ini akan dimulai ketika Provider dan Customer menyetujui Halaman Sampul untuk DPA dan menandatangani atau menerima secara elektronik Agreement dan akan berlanjut sampai Agreement berakhir atau dihentikan. Namun, Provider dan Customer masing-masing akan tetap tunduk pada kewajiban dalam DPA ini dan Undang-Undang Perlindungan Data yang Berlaku sampai Customer berhenti mentransfer Data Pribadi Customer ke Provider dan Provider berhenti Memproses Data Pribadi Customer.

11. Hukum yang Mengatur dan Pengadilan yang Dipilih

Terlepas dari klausul hukum yang mengatur atau klausul serupa dalam Agreement, semua interpretasi dan perselisihan mengenai DPA ini akan diatur oleh hukum Governing State tanpa memperhatikan ketentuan konflik hukumnya. Selain itu, dan terlepas dari pemilihan forum, yurisdiksi, atau klausul serupa dalam Agreement, para pihak setuju untuk mengajukan gugatan hukum, tindakan, atau proses apa pun mengenai DPA ini di, dan masing-masing pihak secara tidak dapat ditarik kembali tunduk pada yurisdiksi eksklusif, pengadilan di Governing State.

12. Hubungan Penyedia Layanan

Sejauh California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et seq ("CCPA") berlaku, para pihak mengakui dan setuju bahwa Provider adalah penyedia layanan dan menerima Data Pribadi dari Customer untuk menyediakan Layanan sebagaimana disepakati dalam Agreement, yang merupakan tujuan bisnis. Provider tidak akan menjual Data Pribadi apa pun yang diberikan oleh Customer berdasarkan Agreement. Selain itu, Provider tidak akan menyimpan, menggunakan, atau mengungkapkan Data Pribadi apa pun yang diberikan oleh Customer berdasarkan Agreement kecuali jika diperlukan untuk menyediakan Layanan bagi Customer, sebagaimana dinyatakan dalam Agreement, atau sebagaimana diizinkan oleh Undang-Undang Perlindungan Data yang Berlaku. Provider menyatakan bahwa mereka memahami pembatasan dalam paragraf ini.

13. Definisi

  1. "Hukum yang Berlaku" berarti hukum, aturan, regulasi, perintah pengadilan, dan persyaratan mengikat lainnya dari otoritas pemerintah yang relevan yang berlaku untuk atau mengatur suatu pihak.

  2. "Hukum Perlindungan Data yang Berlaku" berarti Hukum yang Berlaku yang mengatur bagaimana Layanan dapat memproses atau menggunakan informasi pribadi individu, data pribadi, informasi yang dapat diidentifikasi secara pribadi, atau istilah serupa lainnya.

  3. "Pengendali" akan memiliki makna yang diberikan dalam Hukum Perlindungan Data yang Berlaku untuk perusahaan yang menentukan tujuan dan cakupan Pemrosesan Data Pribadi.

  4. "Halaman Sampul" berarti dokumen yang ditandatangani atau diterima secara elektronik oleh para pihak yang menggabungkan Ketentuan Standar DPA ini dan mengidentifikasi Penyedia, Pelanggan, serta pokok dan rincian pemrosesan data.

  5. "Data Pribadi Pelanggan" berarti Data Pribadi yang Pelanggan unggah atau berikan kepada Penyedia sebagai bagian dari Layanan dan yang diatur oleh DPA ini.

  6. "DPA" berarti Ketentuan Standar DPA ini, Halaman Sampul antara Penyedia dan Pelanggan, serta kebijakan dan dokumen yang dirujuk atau dilampirkan pada Halaman Sampul.

  7. "EEA SCCs" berarti klausul kontraktual standar yang dilampirkan pada Keputusan Pelaksanaan Komisi Eropa 2021/914 tanggal 4 Juni 2021 tentang klausul kontraktual standar untuk transfer data pribadi ke negara ketiga sesuai dengan Peraturan (UE) 2016/679 Parlemen Eropa dan Dewan Eropa.

  8. "Wilayah Ekonomi Eropa" atau "EEA" berarti negara anggota Uni Eropa, Norwegia, Islandia, dan Liechtenstein.

  9. "GDPR" berarti Peraturan Uni Eropa 2016/679 yang diimplementasikan oleh hukum lokal di negara anggota EEA yang relevan.

  10. "Data Pribadi" akan memiliki makna yang diberikan dalam Hukum Perlindungan Data yang Berlaku untuk informasi pribadi, data pribadi, atau istilah serupa lainnya.

  11. "Pemrosesan" atau "Memproses" akan memiliki makna yang diberikan dalam Hukum Perlindungan Data yang Berlaku untuk setiap penggunaan, atau pelaksanaan operasi komputer pada, Data Pribadi, termasuk dengan metode otomatis.

  12. "Pemroses" akan memiliki makna yang diberikan dalam Hukum Perlindungan Data yang Berlaku untuk perusahaan yang Memproses Data Pribadi atas nama Pengendali.

  13. "Laporan" berarti laporan audit yang disiapkan oleh perusahaan lain sesuai standar yang ditetapkan dalam Kebijakan Keamanan atas nama Penyedia.

  14. "Transfer Terbatas" berarti (a) ketika GDPR berlaku, transfer data pribadi dari EEA ke negara di luar EEA yang tidak tunduk pada penentuan kecukupan oleh Komisi Eropa; dan (b) ketika UK GDPR berlaku, transfer data pribadi dari Inggris ke negara lain yang tidak tunduk pada regulasi kecukupan yang diadopsi berdasarkan Pasal 17A Undang-Undang Perlindungan Data Inggris 2018.

  15. "Insiden Keamanan" berarti Pelanggaran Data Pribadi sebagaimana didefinisikan dalam Pasal 4 GDPR.

  16. "Layanan" berarti produk dan/atau layanan yang dijelaskan dalam Perjanjian.

  17. "Data Kategori Khusus" akan memiliki makna yang diberikan dalam Pasal 9 GDPR.

  18. "Subpemroses" akan memiliki makna yang diberikan dalam Hukum Perlindungan Data yang Berlaku untuk perusahaan yang, dengan persetujuan dan penerimaan Pengendali, membantu Pemroses dalam Memproses Data Pribadi atas nama Pengendali.

  19. "UK GDPR" berarti Peraturan Uni Eropa 2016/679 yang diimplementasikan oleh pasal 3 Undang-Undang Penarikan Uni Eropa (Withdrawal) Inggris 2018 di Inggris.

  20. "Addendum UK" berarti addendum transfer data internasional pada EEA SCCs yang diterbitkan oleh Komisioner Informasi untuk Para Pihak yang melakukan Transfer Terbatas berdasarkan S119A(1) Undang-Undang Perlindungan Data 2018.

Kredit

Dokumen ini merupakan turunan dari Ketentuan Standar DPA Common Paper (Versi 1.0) dan dilisensikan di bawah CC BY 4.0.