PERJANJIAN PRIVASI DATA
Untuk perjanjian yang selesai sejak tanggal 31 Maret 2019 hingga 20 November 2019:
LAMPIRAN
PERJANJIAN PRIVASI DATA
1. DEFINISI
1. Keputusan Kecukupan. "Keputusan Kecukupan" adalah keputusan yang dikeluarkan oleh Komisi Eropa bahwa suatu negara, kawasan, atau kategori penerima di negara atau kawasan tersebut dianggap memberikan tingkat perlindungan data yang "memadai".
2. Afiliasi. "Afiliasi" adalah setiap entitas yang mengontrol, dikontrol oleh, atau berada di bawah kontrol bersama dengan pihak terkait.
3. Pelanggaran Privasi Data. "Pelanggaran Privasi Data" adalah pemusnahan, penghilangan, pengubahan, pengungkapan tidak sah, akses ke, akuisisi Informasi Pribadi Seagate dengan tidak disengaja atau secara melawan hukum, atau Pemrosesan Informasi Pribadi Seagate lainnya yang tidak sah.
4. Hukum Perlindungan Data. "Hukum Perlindungan Data" adalah (a) Peraturan Perlindungan Data Umum 2016/679 ("GDPR") serta semua hukum dan peraturan perlindungan data yang berlaku di suatu negara yang merupakan anggota Uni Eropa ("UE") atau Wilayah Ekonomi Eropa ("WEE") dan (b) hukum atau peraturan apa pun yang berlaku dari yurisdiksi lain yang mengatur Pemrosesan atau perlindungan data pribadi.
5. Subjek Data. "Subjek Data" adalah individu yang secara natural diidentifikasi atau dapat diidentifikasi Informasi Pribadi Seagate-nya dan dapat Diproses berdasarkan DPA ini.
6. Informasi Pribadi Seagate. "Informasi Pribadi Seagate" adalah informasi apa pun yang terkait dengan individu yang secara natural diidentifikasi atau dapat diidentifikasi, yang dibuat, dimiliki, atau disediakan oleh Seagate atau untuk Seagate, yang dapat diakses, diperoleh, digunakan, dikelola Pemasok, atau Proses yang terkait dengan perjanjian apa pun antara para pihak dan/atau Afiliasinya.
7. Pemrosesan. "Proses" atau "Pemrosesan" adalah, namun tidak terbatas pada, operasi yang dilakukan terhadap Informasi Pribadi Seagate, baik menggunakan sarana otomatis ataupun tidak, seperti mengumpulkan, merekam, mengatur, menyusun, mengubah, menggunakan, mengakses, mengungkapkan, menyebarkan, menyalin, mengalihkan, menyimpan,
menghapus, menyejajarkan, menggabungkan, membatasi, menyesuaikan, mengambil, mengonsultasikan, menghancurkan, atau memusnahkan Informasi Pribadi Seagate.
8. Pelindung Privasi. "Pelindung Privasi" adalah Kerangka Kerja Pelindung Privasi UE-AS yang dikembangkan oleh Departemen Perdagangan AS, Komisi Eropa, dan Kerangka Kerja Pelindung Privasi Swiss-AS yang dikembangkan oleh Departemen Perdagangan AS dan Swiss, termasuk Prinsip Pelindung Privasi dan Prinsip Tambahan yang dapat diakses di:
xxxxx://xxx.xxxxxxxxxxxxx.xxx/XX-XX- Framework.
9. Informasi Sensitif adalah salah satu dari jenis Informasi Pribadi Seagate berikut:
(i) nomor jaminan sosial, nomor identifikasi pembayar pajak, nomor paspor, nomor SIM, atau nomor identifikasi lain yang dikeluarkan pemerintah;
(ii) informasi kartu kredit maupun kartu debit atau nomor rekening keuangan, dengan atau tanpa kode maupun sandi apa pun yang dapat mengizinkan akses ke akun ataupun riwayat kredit; atau (iii) informasi tentang ras, agama, suku, kehidupan atau praktik seks, atau orientasi seksual, informasi medis atau kesehatan, informasi genetik atau biometrik, template biometrik, keyakinan politik atau filosofis, keanggotaan partai politik atau serikat pekerja, informasi pemeriksaan latar belakang atau data yudisial, seperti catatan kriminal atau informasi tentang proses peradilan atau administrasi lainnya.
10. Klausul Standar. "Klausul Standar" adalah klausul kontraktual standar untuk pemindahan informasi pribadi ke Prosesor yang didirikan di negara ketiga yang tidak memastikan tingkat perlindungan data memadai (Commission Decision 2010/87/UE atau versi setiap penerusnya), dengan klausul opsional dihapus.
11. Subprosesor. "Subprosesor" adalah pihak ketiga mana pun yang terlibat dengan Pemasok atau dengan setiap Subprosesor lainnya yang akan memiliki akses ke, menerima, atau memproses Informasi Pribadi Seagate apa pun.
12. Staf Pemasok. "Staf Pemasok" adalah setiap karyawan, kontraktor, Subprosesor, atau agen Pemasok yang diberi wewenang oleh Pemasok untuk Memproses Informasi Pribadi Seagate.
13. Istilah "Pengontrol", "Prosesor" dan "Otoritas Pengawasan" memiliki arti yang sama seperti dalam GDPR, dan istilah serupa akan ditafsirkan sebagaimana mestinya.
14. Kata "mencakup" akan ditafsirkan dengan arti termasuk, tanpa dibatasi, dan istilah serupa akan ditafsirkan sebagaimana mestinya.
2. KEAMANAN DAN PERLINDUNGAN DATA
1. Status Para Pihak. Para pihak dengan ini mengakui dan menyetujui bahwa Seagate adalah Pengontrol dan Pemasok adalah Prosesor terkait dengan Informasi Pribadi Seagate.
2. Kerahasiaan Informasi Pribadi Seagate. Pemasok tidak boleh mengungkapkan Informasi Pribadi Seagate dengan cara apa pun untuk tujuan apa pun kepada pihak mana pun tanpa memperoleh kewenangan tertulis sebelumnya dari Seagate, kecuali sebagaimana ditentukan pada Pasal 2.5 di bawah.
3. Batasan pada Pemrosesan. Pemasok tidak akan Memproses atau mengizinkan Pemrosesan Informasi Pribadi Seagate, kecuali jika diperlukan untuk memberikan layanan kepada Seagate sesuai dengan perjanjian apa pun antara para pihak dan/atau Afiliasinya atau petunjuk tertulis Seagate lainnya.
4. Program Keamanan Informasi. Pemasok akan menerapkan, mengelola, memantau, dan jika perlu, memperbarui program keamanan informasi tertulis secara menyeluruh yang berisi pengamanan administratif, teknis, dan fisik yang sesuai untuk melindungi Informasi Pribadi Seagate dari ancaman atau bahaya yang diantisipasi terhadap keamanan, kerahasiaan, atau integritasnya (seperti akses, pengumpulan, penggunaan, penyalinan, modifikasi, pemusnahan atau pengungkapan yang tidak sah, penghilangan, penghancuran, akuisisi, atau perusakan secara tidak sah maupun secara melanggar hukum atau bentuk Pemrosesan lainnya yang tidak sah) ("Program Keamanan Informasi"). Program Keamanan Informasi akan mencakup tindakan yang tercantum dalam Standar Keamanan yang dilampirkan sebagai Lampiran 2.
5. Pembatasan terhadap Subprosesor. Pemasok dapat mengungkapkan Informasi Pribadi Seagate kepada Subprosesor sebagaimana diperlukan guna melaksanakan layanannya untuk Seagate, dengan tunduk pada ketentuan yang ditetapkan dalam Pasal 2.5 ini. Pemasok harus mengelola daftar Subprosesor yang menerima pengungkapan Informasi Pribadi Seagate, dan harus memberikan daftar ini kepada Seagate berdasarkan permintaan Seagate. Pemasok harus memberikan daftar Subprosesor Pemasok terbaru sejak tanggal berlaku efektif DPA ini kepada Seagate. Pemasok harus memberi tahu Seagate melalui xxxx.xxxxxxxxxx.xxxxxxxxx@xxxxxxx.xxx setidaknya 30 hari kerja sebelum menambahkan Subkontraktor mana pun ke daftar. Jika Seagate tidak keberatan dengan Subprosesor yang diusulkan dalam waktu 30 hari kerja sejak diterimanya pemberitahuan, Subprosesor dianggap telah disetujui.
Jika Seagate keberatan dengan Subprosesor mana pun yang memiliki akses ke Informasi Pribadi Seagate, maka Pemasok tidak boleh mengungkapkan Informasi Pribadi Seagate kepada Subprosesor tersebut. Jika sewaktu-waktu salah satu pihak mengetahui bahwa Subprosesor tidak memberikan jaminan keamanan yangmemadai sesuai dengan risiko terkait Informasi Pribadi Seagate yang sedang Diproses, Seagate dapat mengeluarkan Subprosesor dari daftar, berdasarkan kebijaksanaan tunggalnya. Jika Pemasok keberatan terhadap Subprosesor atau dikeluarkan oleh Seagate, Pemasok akan diberikan cukup waktu untuk mengganti Subprosesor tersebut. Jika Pemasok tidak dapat menyediakan Layanan tanpa mengungkapkan Informasi Pribadi Seagate kepada Subprosesor yang tidak disetujui, maka Seagate dapat mengakhiri perjanjian apa pun yang berlaku antara para pihak dan/atau Afiliasinya tanpa biaya maupun kewajiban kepada Pemasok.
6. Kepatuhan dan Pelanggaran Subprosesor. Penggunaan Subprosesor oleh Pemasok tidak mengurangi kewajiban Pemasok untuk mematuhi DPA ini atau Hukum Perlindungan Data yang berlaku. Pemasok wajib bertanggung jawab kepada Seagate terkait performa layanan, Pelanggaran Privasi Data, dan pelanggaran terhadap DPA ini, serta Hukum Perlindungan Data yang berlaku oleh Subprosesornya dengan tingkat yang sama sebagaimana jika Pemasok melakukan pelanggaran.
7. Kewajiban Staf Pemasok dan Subprosesor. Pemasok harus memastikan bahwa setiap staf atau Subprosesor yang memiliki akses ke Informasi Pribadi Seagate terikat oleh ketentuan perlindungan data dan privasi tertulis yang setidaknya sama ketatnya dengan ketentuan yang ada dalam DPA ini. Pemasok harus memastikan bahwa semua kewajiban perlindungan data dan privasi berlanjut setelah Pemrosesan mereka untuk Seagate berakhir. Kewajiban ini berlanjut selamanya, atau sebagai alternatif, setidaknya hingga Pemasok telah menjamin bahwa semua Informasi Pribadi Seagate telah dihapus, dimusnahkan, dan tidak dapat dikembalikan lagi.
8. Akses Terbatas. Pemasok harus membatasi akses ke Informasi Pribadi Seagate kepada Staf Pemasok atau Subprosesor yang memerlukan akses untuk Pemasok guna melakukan kewajibannya berdasarkan perjanjian apa pun antara para pihak dan/atau Afiliasi mereka atau petunjuk tertulis Seagate, yang (a) telah dilatih tentang perlindungan data dan persyaratan keamanan, dan (b) setuju untuk mematuhi persyaratan kerahasiaan data setidaknya sama ketatnya dengan yang disyaratkan oleh Seagate selama dan setelah Pemrosesan untuk Seagate.
9. Pemberitahuan Permintaan atau Keluhan. Kecuali jika dilarang oleh hukum, Pemasok harus memberi tahu Seagate melalui xxxx.xxxxxxxxxx.xxxxxxx@xxxxxxx.xxx dalam waktu 2 hari kerja setelah menerima permintaan atau keluhan terkait dengan Pemrosesan Informasi Pribadi Seagate, termasuk:
1. permintaan dari Subjek Data untuk portabilitas data, permintaan untuk mengakses, mengubah, menghapus, atau membatasi, dan permintaan serupa; atau
2. keluhan atau tuduhan bahwa Pemrosesan melanggar hak Subjek Data.
10. Tanggapan Pemasok. Pemasok tidak boleh menanggapi permintaan atau keluhan berdasarkan Pasal 2.9, kecuali jika secara tegas diberi wewenang untuk melakukannya oleh Seagate. Pemasok harus bekerja sama dengan Seagate terkait tindakan apa pun yang dilakukan sehubungan dengan permintaan atau keluhan apa pun. Pemasok harus berusaha menerapkan proses yang sesuai (termasuk tindakan teknis dan organisasi) untuk membantu Seagate dalam menanggapi permintaan atau keluhan, kecuali jika dilarang oleh hukum.
11. Permintaan Pengungkapan. Kecuali jika dilarang oleh hukum, Pemasok harus segera memberi tahu Seagate jika Pemasok menerima dokumen apa pun yang meminta atau bertujuan memaksa pengungkapan Informasi Pribadi Seagate (seperti pertanyaan lisan, pemeriksaan, permintaan informasi atau dokumen dalam proses hukum, panggilan pengadilan, tuntutan penyelidikan perdata, atau permintaan maupun proses serupa lainnya; seluruhnya disebut "Permintaan Pengungkapan"). Jika Permintaan Pengungkapan tidak mengikat, Pemasok tidak akan menanggapinya. Jika Permintaan Pengungkapan bersifat mengikat, Pemasok harus, kecuali jika dilarang oleh hukum yang berlaku, memberi tahu Seagate setidaknya 48 jam sebelum memberi tanggapan, sehingga Seagate dapat menjalankan hak tersebut karena Seagate mungkin harus mencegah atau membatasi pengungkapan tersebut. Pemasok harus melakukan upaya yang wajar untuk mencegah dan membatasi pengungkapan apa pun dan untuk menjaga kerahasiaan Informasi Pribadi Seagate. Pemasok harus bekerja sama dengan Seagate terkait tindakan yang dilakukan dalam menanggapi Permintaan Pengungkapan, termasuk bekerja sama untuk mendapatkan perintah perlindungan yang sesuai atau jaminan lainnya untuk melindungi kerahasiaan Informasi Pribadi Seagate.
12. Kerja Sama. Pemasok harus membantu Seagate dalam memenuhi kewajibannya berdasarkan Hukum Perlindungan Data terkait (a) pendaftaran dan pemberitahuan; (b) akuntabilitas; (c) menjamin keamanan Informasi Pribadi Seagate; dan (d) memenuhi penilaian dampak perlindungan data dan privasi serta konsultasi Otoritas Pengawasan terkait.
13. Partisipasi dalam Penyelidikan terkait Peraturan. Pemasok harus membantu dan mendukung Seagate dalam penyelidikan oleh Otoritas Pengawasan mana pun selama penyelidikan tersebut terkait dengan Informasi Pribadi Seagate yang Diproses oleh Pemasok atau Subprosesor Pemasok.
14. Pemberitahuan Kemungkinan Pelanggaran atau Ketidakmampuan untuk Patuh. Pemasok harus segera memberi tahu Seagate jika:
1. Pemasok memiliki alasan untuk yakin bahwa petunjuk apa pun dari Seagate terkait Pemrosesan Informasi Pribadi Seagate akan melanggar hukum yang berlaku;
2. Pemasok memiliki alasan untuk yakin bahwa ia tidak dapat memenuhi kewajibannya berdasarkan DPA ini atau Hukum Perlindungan Data dan tidak dapat mengatasi ketidakmampuan untuk patuh ini dalam jangka waktu yang wajar; atau
3. Pemasok mengetahui keadaan atau perubahan apa pun dalam hukum yang berlaku yang sepertinya akan menghalanginya untuk memenuhi kewajibannya berdasarkan DPA ini.
15. Penangguhan atau Penyesuaian untuk Kepatuhan. Seagate dapat menangguhkan Pemrosesan Informasi Pribadi Seagate dari Pemasok atau Subprosesor untuk mencegah kemungkinan pelanggaran atau ketidakpatuhan terhadap hukum yang berlaku, DPA ini, atau perjanjian apa pun yang berlaku antara para pihak dan/atau Afiliasinya terkait dengan privasi atau perlindungan data. Pemasok harus bekerja sama dengan Seagate untuk menyesuaikan Pemrosesan tersebut guna menghilangkan kemungkinan pelanggaran atau ketidakpatuhan apa pun. Jika penyesuaian tidak dapat dilakukan, Seagate dapat mengakhiri perjanjian apa pun yang berlaku antara para pihak dan/atau Afiliasinya, tanpa biaya atau kewajiban kepada Pemasok.
3. PENGALIHAN DATA
1. Klausul Standar Wilayah Ekonomi Eropa. Jika Pemasok mengalihkan Informasi Pribadi yang diterima dari dalam WEE (Wilayah Ekonomi Eropa) ke penerima di luar WEE yang tidak tercakup menurut Keputusan Kecukupan, maka Pemasok harus membuat Klausul Standar, yang diserahkan secara terpisah. Pemasok harus memastikan bahwa semua Subprosesor juga melaksanakan Klausul Standar, bila diperlukan.
2. Sertifikasi Pelindung Privasi. Jika Pemasok telah disertifikasi untuk Pelindung Privasi, Pemasok harus mempertahankan sertifikasi Pelindung Privasinya selama masa berlaku Perjanjian antara para pihak dan/atau Afiliasinya. Pemasok harus membuat perjanjian pengalihan lanjutan yang sesuai dengan Subprosesor sebelum pengungkapan apa pun. Jika Pemasok menyadari bahwa ia tidak dapat lagi memenuhi kewajibannya untuk memberikan tingkat perlindungan yang diminta oleh Pelindung Privasi, Pemasok harus segera memberi tahu Seagate secara tertulis dan harus mengembalikan atau memusnahkan semua Informasi Pribadi Seagate yang diterima sesuai dengan sertifikasi Pelindung Privasi.
3. Ketentuan Yurisdiksi Lainnya. Jika sesuai, Pemasok harus mematuhi Persyaratan untuk Yurisdiksi Khusus, yang dilampirkan sebagai Lampiran 1.
4. KEPATUHAN DAN AKUNTABILITAS
1. Kepatuhan. Pemasok harus memastikan bahwa Pemrosesan Informasi Pribadi Seagate oleh Pemasok dan Subprosesor sesuai dengan semua hukum yang berlaku, kerangka kerja peraturan mandiri, dan persyaratan kontrak yang berlaku untuk Pemasok dan Subprosesor. Setiap tahun, Pemasok harus meninjau praktik Pemasok dan Subprosesor untuk memastikan mereka mematuhi DPA ini dan semua hukum yang berlaku. Pemasok harus bekerja sama atas biaya sendiri, terkait permintaan Seagate bahwa Pemasok harus membuktikan kepatuhannya terhadap persyaratan perlindungan data dan keamanan yang disebutkan dalam DPA ini.
2. Catatan Aktivitas Pemrosesan. Pemasok wajib menyimpan catatan terbaru tentang rincian perwakilan Pemasok dan staf perlindungan data, kategori aktivitas Pemrosesan yang dilakukan, informasi terkait pengalihan data lintas batas, keterangan umum tentang langkah keamanan yang diterapkan terkait data yang Diproses, nama, kontak, dan rincian Pemrosesan dari setiap Subprosesor Informasi Pribadi Seagate, dan, bila perlu, perwakilan dan staf perlindungan data Subprosesor mana pun. Berdasarkan permintaan, Pemasok harus memberikan salinan lama dan terkini dari catatan ini kepada Seagate.
3. Audit. Pemasok harus menyediakan kepada Seagate, berdasarkan permintaan tertulis, semua informasi yang diperlukan untuk menunjukkan kepatuhan terhadap DPA ini, serta mengizinkan dan berkontribusi untuk audit, termasuk inspeksi di tempat, oleh Seagate atau auditor pihak ketiga independen yang diamanatkan oleh Seagate terkait dengan Pemrosesan Informasi Pribadi Seagate. Auditor pihak ketiga independen tersebut diwajibkan membuat perjanjian kerahasiaan dengan para pihak. Pemasok harus melakukan tindakan perbaikan atas ketidakpatuhan apa pun dalam jangka waktu yang wajar. Jika perbaikan tidak dapat dilakukan, Seagate dapat mengakhiri perjanjian apa pun yang berlaku antara para pihak dan/atau Afiliasinya, tanpa biaya atau kewajiban kepada Pemasok.
5. TANGGUNG JAWAB PEMASOK SETELAH TERJADINYA PELANGGARAN PRIVASI DATA
1. Pemberitahuan Pelanggaran Privasi Data. Pemasok harus memberi tahu Seagate secara tertulis tentang Pelanggaran Keamanan yang diketahui atau dicurigai dalam waktu 24 jam setelah pertama kali mengetahui kemungkinan Pelanggaran Privasi Data, dan harus segera:
1. memberi tahu Seagate melalui xxxx.xxxxxxxxxx.xxxxxxx@xxxxxxx.xxx tentang Pelanggaran Privasi Data;
2. menyelidiki atau memberikan bantuan yang diperlukan dalam penyelidikan Pelanggaran Privasi Data;
3. memberi Seagate informasi rinci tentang Pelanggaran Privasi Data, termasuk namun tidak terbatas pada kategori, lokasi, dan perkiraan jumlah Subjek Data terkait serta kategori, lokasi, dan perkiraan jumlah catatan Informasi Pribadi Seagate, serta terus memberi Seagate informasi tambahan tentang Pelanggaran Privasi Data bila tersedia;
4. mengambil semua langkah yang wajar secara komersial untuk memitigasi dampak dari Pelanggaran Privasi Data, atau membantu Seagate untuk melakukannya; dan
5. melaksanakan rencana perbaikan sesuai persetujuan Seagate serta memantau resolusi Pelanggaran Privasi Data dan kerentanan terkait dengan Informasi Pribadi Seagate untuk memastikan bahwa tindakan perbaikan yang semestinya telah dilakukan secara tepat waktu.
2. Penahanan dan Perbaikan. Pemasok harus segera menahan dan memperbaiki Pelanggaran Privasi Data serta mencegah Pelanggaran Privasi Data lebih lanjut; dan Pemasok harus mengambil semua tindakan yang diperlukan untuk mematuhi Hukum Perlindungan Data dan standar industri yang berlaku untuk memuat dan memperbaiki Pelanggaran Privasi Data.
3. Komunikasi. Pemasok tidak akan menerbitkan komunikasi apa pun yang terkait Pelanggaran Privasi Data, dengan cara apa pun yang dapat mengidentifikasi, atau kemungkinan besar dapat mengidentifikasi atau mengungkapkan identitas Seagate tanpa persetujuan sebelumnya dari Seagate.
4. Penyimpanan Bukti. Pemasok harus mengelola rencana tanggapan insiden. Setelah menemukan Pelanggaran Privasi Data, Pemasok harus menyimpan bukti yang berkaitan dengan Pelanggaran Privasi Data tersebut dan memiliki rantai komando yang jelas sesuai dengan rencana tanggapan insiden Pemasok.
5. Kerja Sama. Pemasok harus bekerja sama dengan Seagate dalam setiap proses pengadilan, penyelidikan, atau tindakan Seagate lainnya yang diperlukan untuk melindungi hak Seagate terkait dengan penggunaan, pengungkapan, perlindungan, dan pemeliharaan Informasi Pribadi Seagate. Pemasok selanjutnya setuju untuk memberikan bantuan dan kerja sama yang wajar yang diminta oleh Xxxxxxx dan/atau perwakilan yang ditunjuk Seagate, sebagai kelanjutan dari koreksi, perbaikan, atau investigasi Pelanggaran Privasi Data apa pun dan/atau mitigasi kemungkinan kerusakan, termasuk pemberitahuan apa pun yang menurut Seagate tepat untuk dikirimkan kepada Subjek Data, regulator, atau pihak ketiga terkait, dan/atau penyediaan layanan pelaporan kredit yang tepat dianggap Seagate tepat untuk diberikan kepada Subjek Data terkait. Pemasok wajib bertanggung jawab atas pengeluaran Seagate yang wajar terkait dengan Pelanggaran Privasi Data Pemasok, termasuk namun tidak terbatas pada, penyelidikan, perbaikan, dan pemberitahuan.
6. PENGEMBALIAN DAN PENGHAPUSAN INFORMASI PRIBADI SEAGATE SECARA AMAN
1. Integritas Data. Pemasok harus mematuhi semua petunjuk Seagate untuk menjaga integritas data, termasuk (a) memusnahkan Informasi Pribadi Seagate yang dikelola oleh Pemasok, namun tidak lagi diperlukan untuk menyediakan Layanan; (b) memastikan bahwa Informasi Pribadi Seagate yang dibuat oleh
Pemasok atas nama Seagate akurat dan selalu diperbarui; serta (c) atas permintaan Seagate, mengizinkan Seagate mengakses Informasi Pribadi Seagate, semuanya sesuai dengan hukum yang berlaku.
2. Pengembalian dan Penghapusan Informasi Pribadi Seagate. Atas permintaan
(a) Seagate sebelumnya atau (b) berakhirnya atau penghentian perjanjian antara para pihak dan/atau Afiliasinya secara lebih cepat terkait dengan Pemrosesan Informasi Pribadi Seagate, sesuai arahan Seagate, pemasok harus, dan harus mengarahkan Subprosesornya untuk, mengekspor Informasi Pribadi Seagate, atau memberi Seagate maupun pihak ketiga yang ditunjuknya, kemampuan untuk mengekspor semua Informasi Pribadi Seagate dalam format yang dapat dioperasikan dan dapat dibaca oleh mesin yang ditentukan oleh Seagate. Pemasok harus mempertahankan Informasi Pribadi Seagate selama Seagate menentukan bahwa Seagate dapat mengakses dan mengekspor informasi Pribadi Seagate secara penuh tanpa biaya yang dikenakan kepada Seagate. Masing-masing pihak harus menentukan narahubung untuk memigrasi Informasi Pribadi Seagate dan harus bekerja dengan cepat, tekun, dan memiliki itikad baik untuk mempermudah pengalihan secara tepat waktu. Dalam waktu 90 hari setelah Seagate (a) mengonfirmasi bahwa Informasi Pribadi Seagate telah diterima dan dimigrasikan dengan benar, atau (b) memberi tahu Pemasok tentang pilihannya untuk tidak memigrasikan Informasi Pribadi Seagate, Pemasok dan Subprosesor wajib secara aman memusnahkan semua Informasi Pribadi Seagate, memutuskan sambungan pengidentifikasi ruang kerja Seagate, dan menimpanya dengan data baru atau memusnahkan Informasi Pribadi Seagate melalui metode sanitasi yang disetujui.
3. Pemusnahan Informasi Pribadi Seagate. Jika Pemasok memusnahkan catatan kertas, elektronik, atau catatan lain apa pun yang berisi Informasi Pribadi Seagate, Pemasok harus melakukannya dengan mengambil semua langkah wajar (berdasarkan sensitivitas Informasi Pribadi Seagate) untuk memusnahkan Informasi Pribadi Seagate dengan cara: (a) merusak; (b) menghapus dan menghapus secara permanen; (c) menghilangkan; atau (d) memodifikasi Informasi Pribadi Seagate dalam catatan tersebut agar tidak dapat dibaca, tidak dapat direkonstruksi, dan tidak dapat diterka. Jika Pemasok menonaktifkan atau tidak menggunakan hard disk berisi salinan Informasi Pribadi Seagate, maka Pemasok harus merusak atau memusnahkan hard disk yang me-render Informasi Pribadi Seagate secara aman agar tidak dapat dibaca dan dimusnahkan sesuai NIST 800-88, revisi 1. Pemasok harus menyatakan secara tertulis bahwa hard disk telah dirusak atau dimusnahkan dan Informasi Pribadi Seagate tidak dapat dibaca, diambil, atau direkonstruksi.
4. Pemberitahuan mengenai Penyimpanan Apa Pun. Jika Pemasok berkewajiban hukum untuk menyimpan Informasi Pribadi Seagate melebihi batas waktu yang diizinkan oleh DPA ini, Pemasok harus memberi tahu Seagate secara tertulis tentang kewajibannya, dan wajib mengembalikan atau memusnahkan Informasi Pribadi Seagate sesegera mungkin setelah periode penyimpanan yang diwajibkan secara hukum berakhir. DPA ini akan tetap berlaku hingga Pemasok tidak lagi memiliki hak atau kontrol terhadap atau akses ke Informasi Pribadi Seagate.
5. Dokumentasi. Pemasok harus mendokumentasikan penyimpanan atau pemusnahan Informasi Pribadi Seagate sesuai dengan DPA ini. Atas permintaan Seagate, Pemasok harus memberikan dokumentasi penyimpanan dan sertifikasi tertulis bahwa Informasi Pribadi Seagate telah dimusnahkan dengan aman sesuai DPAini.
7. LAIN-LAIN
1. Masa Berlaku. DPA ini akan tetap berlaku hingga (i) tidak ada perjanjian aktif lainnya di antara para pihak dan (ii) Pemasok tidak lagi memiliki hak atau kontrol terhadap atau akses ke Informasi Pribadi Seagate.
2. Urutan Prioritas. Jika terdapat perbedaan antara DPA ini dan perjanjian apa pun antara para pihak dan/atau Afiliasinya, ketentuan DPA ini yang akan berlaku, kecuali untuk setiap perbedaan yang melibatkan Lampiran III (Standar Keamanan), dalam hal ini perjanjian lainnya yang akan berlaku. DPA ini tidak membatasi atau melarang, namun hanya dianggap melengkapi Klausul Standar.
3. Pembaruan. Para pihak harus bekerja sama secara wajar untuk memperbarui DPA ini dengan perjanjian tertulis bersama yang diperlukan untuk memastikan kepatuhan terhadap hukum dan peraturan yang berlaku.
4. Penerima Manfaat Pihak Ketiga. Afiliasi Seagate ditetapkan sebagai penerima manfaat pihak ketiga dari DPA ini; dan dapat menerapkan ketentuan dalam DPA ini seolah-olah masing-masing merupakan pihak yang menandatangani DPA ini. Seagate juga dapat menerapkan ketentuan DPA atas nama Afiliasinya, bukan Afiliasinya yang secara terpisah melakukan gugatan terhadap Pemasok.
5. Pengungkapan DPA kepada Otoritas Pengawasan. Seagate dapat memberikan ringkasan atau salinan DPA ini kepada Otoritas Pengawasan mana pun.
6. Pemutusan. Jika terdapat ketentuan dalam DPA ini yang tidak efektif atau dibatalkan, ketentuan tersebut tidak akan mempengaruhi ketentuan lainnya. Para pihak wajib mengganti ketentuan yang tidak efektif atau dibatalkan dengan ketentuan sah yang mencerminkan tujuan dari ketentuan yang tidak efektif atau dibatalkan tersebut. Jika ketentuan yang diperlukan tidak ada, para pihak harus menambahkan ketentuan yang sesuai dengan itikad baik.
7. Salinan Pengimbang. DPA ini dapat ditandatangani dengan tanda tangan elektronik, dan tanda tangan elektronik tersebut akan dianggap sebagai tanda tangan asli, termasuk untuk tujuan pembuktian. DPA ini dapat ditandatangani dalam dua salinan pengimbang atau lebih, dan tidak harus berisi tanda tangan dari kedua pihak, dan masing-masing salinan akan dianggap asli, dan semua salinan yang dibuat bersama-sama akan mewakili salinan lainnya dan instrumen yang sama.
8. Interpretasi. Bagian judul pada DPA ini hanya untuk referensi dan tidak akan mempengaruhi interpretasi perjanjian ini.
LAMPIRAN 1
PERSYARATAN PRIVASI DATA UNTUK YURISDIKSI TERTENTU
Persyaratan berikut berlaku untuk yurisdiksi tertentu:
1. AUSTRALIA
1. Aplikabilitas. Ketentuan Pasal 1 ini berlaku bila (a) Pemasok menerima atau mengakses Informasi Pribadi Seagate dari Afiliasi Seagate yang berlokasi di Australia; atau (b) Seagate memberi tahu Pemasok bahwa Informasi Pribadi Seagate tunduk pada persyaratan ini.
2. Keanggotaan Asosiasi Profesional atau Perdagangan. Istilah "Informasi Sensitif" juga mencakup Informasi Pribadi tentang keanggotaan individu dari asosiasi profesional atau perdagangan.
3. Prinsip Privasi Australia.Pemasok harus mematuhi kewajiban apa pun yang berlaku berdasarkan Undang-Undang Privasi 1988 (Cth), termasuk Prinsip Privasi Australia, bila berurusan dengan Informasi Pribadi Seagate atau menyediakan layanan sesuai DPA ini.
4. Catatan penggunaan atau pengungkapan untuk tujuan penegakan hukum. Jika Pemasok menggunakan atau mengungkapkan Informasi Pribadi untuk satu atau beberapa kegiatan penegakan hukum yang dilakukan oleh, atau atas nama, badan penegakan hukum, Pemasok harus menyimpan catatan tertulis tentang penggunaan dan pengungkapan dan segera memberikan salinan catatan tersebut kepada Seagate, kecuali jika dilarang oleh hukum.
5. Pengidentifikasi terkait pemerintah Australia. Apabila Informasi Pribadi mencakup pengidentifikasi terkait pemerintah Australia, Pemasok (a) tidak boleh mengadopsi pengenal yang terkait dengan pemerintah Australia untuk individu sebagai pengenalnya sendiri, kecuali jika secara tegas diminta untuk melakukannya oleh Seagate; dan (b) tidak boleh menggunakan atau mengungkapkan pengenal yang terkait dengan pemerintah Australia, kecuali jika diperlukan untuk memverifikasi identitas individu, atau jika diminta untuk melakukannya oleh Seagate.
6. Pengumpulan Informasi Pribadi. Bila petunjuk Seagate kepada Pemasok mengharuskan Pemasok mengumpulkan informasi pribadi atas nama Seagate, Pemasok harus (a) mencari petunjuk dari Seagate terkait (i) informasi apa pun yang harus diberikan kepada Subjek Data sehubungan dengan pengumpulan informasi pribadi Subjek Data; dan (ii) setiap persetujuan keikutsertaan yang diperlukan untuk tujuan pemasaran langsung; dan (b) tidak mengumpulkan Informasi Sensitif atau tanpa persetujuan Subjek Data.
7. Perjanjian Pemasok dengan Pemerintah Australia. Jika Seagate adalah penyedia layanan yang dikontrak untuk entitas pemerintah Australia di tingkat federal, negara bagian, atau wilayah, dan selama Seagate terikat untuk mematuhi kewajiban perlindungan data tambahan berdasarkan perjanjian dengan entitas pemerintah terkait, Seagate akan memberlakukan kewajiban yang setara kepada Pemasok, sebagaimana diharuskan oleh hukum Australia yang berlaku. Seagate dan Pemasok setuju untuk membuat perjanjian tambahan, jika perlu, untuk memberlakukan kewajiban tersebut.
2. JEPANG
1. Aplikabilitas. Ketentuan Pasal 2 ini berlaku untuk Pemasok Informasi Pribadi Seagate yang menerima atau mengakses dari Afiliasi Seagate yang berlokasi di Jepang
2. Staf Pemasok. Pemasok wajib bertanggung jawab untuk mengawasi Staf Pemasoknya sesuai dengan DPA.
3. Tindakan Manajemen Ketenagakerjaan. Pemasok harus melindungi Informasi Pribadi Seagate yang terkait dengan pengelolaan ketenagakerjaan seperti yang telah diatur dalam Panduan Manajemen Ketenagakerjaan Menteri Kesehatan, Tenaga Kerja, dan Kesejahteraan Karyawan (Ministry of Health, Labor and Welfare, "MHLW").
4. Informasi Pribadi yang Diketahui Selama Bekerja. Pemasok harus memastikan bahwa karyawannya tidak membocorkan atau menyalahgunakan Informasi Pribadi Seagate yang mereka ketahui selama bekerja.
5. Persetujuan sebelum Transfer atau Pengungkapan. Pemasok harus mendapatkan persetujuan tertulis dari Seagate sebelum mengungkapkan atau mengalihkan nomor pajak dan jaminan sosial kepada pihak ketiga mana pun (termasuk Afiliasi) yang bukan merupakan pihak dalam DPA, termasuk Subprosesor.
6. Pengembalian atau Penghancuran setelah Dicapainya Tujuan. Pemasok harus berhenti memproses dan mengembalikan atau memusnahkan Informasi Pribadi Seagate yang dimiliki jika tujuan pengumpulan informasi tersebut telah tercapai.
7. Tujuan Pencadangan. Pemasok tidak boleh menyalin atau menggandakan Informasi Pribadi Seagate kecuali untuk tujuan pencadangan.
3. KOREA SELATAN
1. Aplikabilitas. Ketentuan Pasal 3 ini berlaku untuk Pemasok Informasi Pribadi Seagate yang menerima atau mengakses dari Afiliasi Seagate yang berlokasi di Korea Selatan.
2. Akses Terbatas. Pemasok wajib membatasi akses ke Informasi Pribadi kepada Staf Pemasok yang memerlukan akses tersebut secara wajar untuk tujuan Pemrosesan.
3. Perlindungan yang Diperlukan. Pemasok harus membuat dan mengelola perlindungan yang meliputi:
1. prosedur internal untuk menangani Informasi Pribadi secara aman;
2. pengamanan teknis seperti firewall, perangkat lunak antivirus dan antimalware;
3. pembatasan akses fisik, seperti kunci;
4. tindakan untuk mencegah pengubahan atau pemalsuan catatan akses atau catatan Pemrosesan;
5. tindakan untuk menyimpan dan mengirimkan Informasi Pribadi secara aman, seperti enkripsi Informasi Pribadi jika diminta oleh Undang- Undang Perlindungan Informasi Pribadi (Personal Information Protection Act, PIPA), Peraturan Penegakan PIPA, Undang-Undang tentang Promosi Pemanfaatan Jaringan Informasi dan Komunikasi dan Perlindungan Informasi (Promotion of Information and Communications Network Utilization, PICNU), Peraturan Penegakan PICNU ("Peraturan PICNU"), Pemanfaatan dan Perlindungan Undang-Undang Informasi Kredit (Utilization and Protection of Credit Information Act, UPCIA) atau Hukum Korea lainnya, sebagaimana mestinya.
4. Enkripsi Data Identifikasi Unik. Pemasok harus mengenkripsi nomor registrasi penduduk, nomor SIM, dan nomor paspor sewaktu:
1. ditransmisikan melalui jaringan informasi atau komunikasi;
2. disimpan di media penyimpanan portabel atau periferal;
3. disimpan pada jaringan komputer eksternal mana pun, atau di zona demiliterisasi, atau pada komputer pribadi mana pun; atau
4. disimpan di jaringan internal Pemasok jika sistem Pemasok gagal memenuhi kriteria risiko Seagate.
5. Enkripsi Kata Sandi dan Data Biometrik. Pemasok harus mengenkripsi semua sandi dan data biometrik yang disimpan dalam bentuk apa pun.
6. Informasi sebelum Pengungkapan. Sebelum mengungkapkan atau mengalihkan Informasi Pribadi Seagate ke prosesor data pihak ketiga, Pemasok harus memberi tahu Seagate secara wajar terlebih dulu. Atas permintaan Seagate, Pemasok harus memberikan informasi berikut: (a) aktivitas Pemrosesan yang akan disubkontrakkan; (b) identitas pemroses data pihak ketiga; dan
(c) segala perubahan pada (a) atau (b).
7. Pelatihan. Pemasok wajib berpartisipasi dalam pelatihan apa pun yang mungkin dipilih Seagate untuk diberikan kepada Pemasok guna melindungi Informasi Pribadi Seagate yang dicuri, bocor, diubah, atau rusak selama tahap Pemrosesan Informasi Pribadi Seagate.
4. TAIWAN
1. Aplikabilitas. Ketentuan Pasal 4 ini berlaku untuk Pemasok Informasi Pribadi Seagate yang menerima atau mengakses dari Afiliasi Seagate yang berlokasi di Taiwan.
2. Subprosesor. Meskipun terdapat ketentuan pada Pasal 2.4 dalam DPA, Pemasok tidak akan mengungkapkan atau mengalihkan Informasi Pribadi Seagate ke, atau mengizinkan akses ke Informasi Pribadi Seagate ke Subprosesor mana pun tanpa persetujuan secara tertulis dari Seagate.
3. Waktu Pemrosesan Terbatas. Pemasok hanya wajib Memproses Informasi Pribadi Seagate selama jangka waktu yang diperlukan untuk mencapai tujuan Pemrosesan, kecuali jika para pihak telah menyepakati durasi yang berbeda.
4. Penyimpanan Catatan Akses. Pemasok harus menyimpan catatan akses selama diperlukan agar catatan tersebut dapat ditinjau secara berkala jika terjadi akses yang tidak sah.
LAMPIRAN 2 STANDAR KEAMANAN
Lampiran ini mewakili tindakan keamanan minimum yang akan diambil oleh Pemasok. Jika ada perjanjian antara para pihak yang mengharuskan Pemasok memiliki tingkat tindakan keamanan yang lebih tinggi atau lebih luas, Pemasok wajib mematuhi ketentuan tersebut. Pemasok harus mempertahankan dan melaksanakan berbagai kebijakan, standar, dan proses yang dirancang untuk mengamankan Informasi Pribadi Seagate serta data lainnya sesuai standar industri, misalnya Kerangka Keamanan Cyber NIST dan ISO 27001 atau 27002, yang dapat diakses oleh karyawan Pemasok.
1. Kebijakan dan Standar Keamanan Informasi. Pemasok harus menerapkan persyaratan keamanan untuk staf dan semua subkontraktor, pemasok, atau agen yang memiliki akses ke Informasi Pribadi Seagate yang dirancang untuk:
1. Mencegah orang yang tidak berwenang mendapatkan akses ke sistem pemrosesan Informasi Pribadi Seagate (kontrol akses fisik);
2. Mencegah sistem pemrosesan Informasi Pribadi Seagate yang digunakan tanpa otorisasi (kontrol akses logis);
3. Memastikan bahwa orang yang berhak menggunakan sistem pemrosesan Informasi Pribadi Seagate hanya dapat memperoleh akses ke Informasi Pribadi Seagate sesuai dengan hak akses yang disetujui dan bahwa, selama pemrosesan atau penggunaan serta setelah penyimpanan Informasi Pribadi Seagate tidak dapat dibaca, disalin, dimodifikasi, atau dihapus tanpa otorisasi (kontrol akses data);
4. Memastikan bahwa Informasi Pribadi Seagate tidak dapat dibaca, disalin, dimodifikasi, atau dihapus tanpa otorisasi selama transmisi, transportasi, atau penyimpanan elektronik, dan bahwa entitas target untuk setiap pengalihan Informasi Pribadi Seagate melalui sarana transmisi data dapat dibuat dan diverifikasi (kontrol pengalihan data);
5. Memastikan pembentukan jejak audit untuk mendokumentasikan apakah dan oleh siapa Seagate Informasi Pribadi telah dibuka, dimodifikasi, dialihkan, atau dihapus dari pemrosesan Informasi Pribadi Seagate (kontrol terhadap entri);
6. Memastikan bahwa Informasi Pribadi Seagate hanya diproses sesuai dengan petunjuk (kontrol terhadap petunjuk);
7. Memastikan bahwa Informasi Pribadi Seagate dilindungi dari kerusakan atau kehilangan yang tidak disengaja (kontrol ketersediaan); dan
8. Memastikan bahwa Informasi Pribadi Seagate yang dikumpulkan untuk berbagai tujuan dapat diproses secara terpisah (kontrol pemisahan).
Pemasok wajib melakukan penilaian serta peninjauan risiko secara berkala dan, jika sesuai, merevisi praktik keamanan informasi setidaknya setiap tahun atau setiap kali terdapat perubahan material dalam praktik bisnis Pemasok yang mungkin akan secara wajar memengaruhi keamanan, kerahasiaan, atau integritas Informasi Pribadi Seagate, dengan ketentuan bahwa Pemasok tidak akan memodifikasi praktik keamanan informasinya dengan cara yang akan melemahkan atau membahayakan kerahasiaan, ketersediaan, atau integritas Informasi Pribadi Seagate.
2. Keamanan Fisik. Pemasok harus memelihara sistem keamanan yang wajar secara komersial di semua situs Pemasok, tempat sistem informasi yang menggunakan atau menampung Informasi Pribadi Seagate. Pemasok wajib membatasi akses secara wajar ke Informasi Pribadi Seagate sebagaimana mestinya.
3. Keamanan Perusahaan.
1. Saat media akan dimusnahkan atau digunakan kembali, prosedur harus diterapkan untuk mencegah pengambilan Informasi Pribadi Seagate lanjutan yang disimpan dalam media sebelum ditarik dari inventaris. Bila media harus meninggalkan lokasi di mana file tersimpan karena operasi pemeliharaan, prosedur harus diterapkan untuk mencegah pengambilan Informasi Pribadi Seagate yang tersimpan di dalamnya secara tidak semestinya.
2. Pemasok harus menerapkan kebijakan dan prosedur keamanan untuk mengklasifikasikan aset Informasi Sensitif, mengklarifikasi tanggung jawab keamanan, dan meningkatkan kesadaran bagi karyawan.
3. Semua insiden keamanan Informasi Pribadi Seagate harus dikelola sesuai dengan prosedur respons insiden yang sesuai.
4. Pemasok harus mengenkripsi, menggunakan alat enkripsi standar industri, semua Informasi Sensitif yang sedang dikirim dan tersimpan.
4. Keamanan Jaringan. Pemasok harus menjaga keamanan jaringan menggunakan peralatan yang tersedia secara komersial dan teknik standar industri, termasuk firewall, deteksi intrusi dan sistem pencegahan, daftar kontrol akses, dan protokol routing.
5. Kontrol Akses.
1. Pemasok harus mempertahankan kontrol akses yang sesuai, termasuk namun tidak terbatas pada, membatasi akses ke Informasi Pribadi Seagate ke jumlah minimum Staf Pemasok yang memerlukan akses tersebut.
1. Hanya staf berwenang yang dapat memberikan, memodifikasi, atau membatalkan akses ke sistem informasi yang menggunakan atau menampung Informasi Pribadi Seagate. Pemasok harus mempertahankan catatan akses yang sesuai, yang akan diberikan kepada Seagate berdasarkan permintaan Seagate
2. Prosedur administrasi pengguna harus menetapkan peran pengguna dan hak istimewanya serta bagaimana akses diberikan, diubah, dan dihentikan; mengatasi pemisahan tugas yang sesuai, serta mendefinisikan persyaratan dan mekanisme pencatatan/pemantauan.
3. Semua karyawan Pemasok harus diberikan ID pengguna unik.
4. Hak akses harus diterapkan dengan mematuhi pendekatan "hak istimewa terendah".
5. Pemasok harus menerapkan keamanan fisik dan elektronik yang wajar secara komersial untuk membuat dan melindungi sandi.
6. Kontrol Terhadap Virus dan Malware. Pemasok harus menginstal dan mengelola perangkat lunak anti-virus dan perlindungan terhadap malware terbaru pada sistem, serta menerapkan pemantauan malware dan pemindaian sistem terjadwal untuk melindungi Informasi Pribadi Seagate dari ancaman atau bahaya yang diantisipasi, serta melindungi dari akses ke atau penggunaan Informasi Pribadi Seagate yang tidak sah.
7. Staf. Sebelum memberikan akses ke Informasi Pribadi Seagate kepada Staf Pemasok, Pemasok harus meminta Staf Pemasok untuk mematuhi program keamanan informasi Pemasok. Pemasok harus menerapkan program kesadaran keamanan untuk melatih staf tentang kewajiban keamanan mereka. Program ini wajib mencakup pelatihan tentang kewajiban klasifikasi data; kontrol keamanan fisik; praktik keamanan; dan pelaporan insiden keamanan. Pemasok wajib memiliki peran dan tanggung jawab yang jelas terhadap karyawan. Penyaringan akan dilaksanakan sebelum penetapan posisi berdasarkan syarat dan ketentuan kerja yang diterapkan sebagaimana mestinya. Karyawan pemasok harus secara ketat mengikuti kebijakan dan prosedur keamanan yang ditetapkan. Proses disipliner harus diterapkan jika karyawan melakukan Pelanggaran Privasi Data.
8. Keberlangsungan Bisnis. Pemasok mengimplementasikan cadangan yang sesuai dan pemulihan bencana serta rencana penerusan bisnis. Pemasok meninjau rencana keberlangsungan bisnis dan penilaian risiko secara berkala. Rencana keberlangsungan bisnis diuji dan diperbarui secara berkala untuk memastikan bahwa rencana tersebut terbaru dan efektif.
9. Manajer Keamanan Utama. Pemasok harus memberi tahu Seagate tentang manajer keamanan utama yang ditunjuk. Manajer keamanan wajib bertanggung jawab untuk mengelola dan mengkoordinasikan kinerja kewajiban Pemasok yang tercantum dalam program keamanan informasi Pemasok dan dalam DPA ini.
10. Audit. Seagate berhak mengaudit komitmen Pemasok sebagaimana dinyatakan dalam Lampiran 2 ini, sesuai dengan pasal 4.4 "Audit" DPA ini
11. Pelanggaran. Jika ditentukan bahwa Pemasok melanggar DPA ini, Pemasok harus memperbaiki pelanggaran tersebut tanpa penundaan yang tidak semestinya dan dalam kondisi apa pun dalam waktu 30 hari. Setiap Pelanggaran Privasi Data yang diketahui atau dicurigai diatur dalam pasal 5. "Tanggung Jawab Pemasok Setelah Pelanggaran Privasi Data" DPA ini.