LAMPIRAN 3 - ADENDUM PERLINDUNGAN DATA RUPD
LAMPIRAN 3 - ADENDUM PERLINDUNGAN DATA RUPD
Adendum Perlindungan Data ini ("Adendum") merupakan bagian dari PLPA ("Perjanjian") antara
(i) Avetta, LLC (“Avetta”) dan Anda, masing-masing sebagai “Pihak” dan bersama sebagai “Para Pihak”.
Para Pihak dengan ini menyetujui bahwa syarat dan ketentuan yang diuraikan di bawah ini akan ditambahkan sebagai Adendum Perjanjian dan referensi dalam Adendum Perjanjian ini adalah Perjanjian yang telah diubah oleh, dan termasuk, Adendum ini.
1. Definisi
1.1 Dalam Adendum ini, istilah-istilah berikut mempunyai arti yang ditetapkan di bawah ini dan istilah-istilah kognat akan ditafsirkan sesuai dengannya:
(a) "Tanggal Efektif Adendum" mempunyai arti yang diberikan padanya di bagian 2;
(b) "Afiliasi" berarti suatu entitas yang memiliki atau mengendalikan, dimiliki atau dikendalikan oleh atau berada di bawah kendali atau kepemilikan bersama dengan Anda atau Avetta (sesuai konteksnya), di mana kendali didefinisikan sebagai kepemilikan, secara langsung atau tidak langsung, kekuatan untuk mengarahkan atau menyebabkan arah manajemen dan kebijakan suatu entitas, baik melalui kepemilikan sekuritas suara, melalui kontrak atau dengan cara lainnya;
(c) "Data Pribadi" berarti segala Data Pribadi yang Diproses oleh Xxxxxx (i) atas nama Anda atau Afiliasi mana pun, atau (ii) Diproses oleh Avetta, dalam setiap kasus sesuai dengan atau sehubungan dengan instruksi yang diberikan oleh Anda secara tertulis, konsisten dengan Perjanjian;
(d) "Hukum Perlindungan Data" berarti Instruksi 95/46/KE dan, mulai 25 Mei 2018, Peraturan (UE) 2016/679 ("RUPD") bersama-sama dengan undang-undang yang berlaku yang menerapkan atau menambah hal yang sama atau lainnya yang berkaitan dengan pemrosesan Data Pribadi perorangan, bersama dengan pedoman dan kode praktik yang mengikat yang dikeluarkan dari waktu ke waktu oleh otoritas pengawas terkait;
(e) “Perisai Privasi” berarti Kerangka Kerja Perisai Privasi UE-AS dan/atau Kerangka Kerja Perisai Privasi Swiss-AS; dan
(f) "Layanan" berarti layanan yang akan disediakan oleh Avetta kepada Anda dan/atau Afiliasi sesuai dengan Perjanjian.
1.2 Istilah "Pengendali", "Subjek Data", "Data Pribadi", "Pelanggaran Data Pribadi", "Proses" and "Pemroses" mempunyai arti yang sama seperti yang dijelaskan dalam Undang-Undang Perlindungan Data dan istilah-istilah kognat akan ditafsirkan sesuai dengannya.
1.3 Istilah dalam huruf besar yang tidak ditentukan dalam Adendum ini akan mempunyai arti yang ditentukan dalam Perjanjian.
2. Pembentukan Adendum ini
Adendum ini disetujui oleh Para Pihak, dan mulai berlaku pada tanggal 25 Mei 2018.
3. Peran Para Pihak
Para Pihak mengakui dan menyetujui hal tersebut sehubungan dengan Pemrosesan Data Pribadi, dan sebagaimana dijelaskan lebih lanjut dalam Tambahan1 di sini, Anda bertindak sebagai Pengendali dan Xxxxxx bertindak sebagai Pemroses.
4. Deskripsi Pemrosesan Data Pribadi
Dalam Tambahan 1 untuk Adendum ini, Para Pihak telah saling menetapkan pemahaman mereka tentang perincian dari Pemrosesan Data Pribadi yang akan Diproses oleh Xxxxxx sesuai dengan Adendum ini, sebagaimana disyaratkan oleh Pasal 28(3) RUPD. Salah satu Pihak dapat melakukan amandemen yang wajar atas Tambahan 1 melalui pemberitahuan tertulis kepada pihak lainnya dan sebagaimana yang diperlukan untuk memenuhi persyaratan tersebut.
Tambahan 1 tidak membuat kewajiban atau hak apa pun untuk Pihak mana pun.
5. Ketentuan Pemrosesan Data
5.1 Avetta akan mematuhi semua Undang-Undang Perlindungan Data yang berlaku dalam Pemrosesan Data Pribadi dan Avetta akan:
5.1.1 memproses Data Pribadi hanya berdasarkan instruksi yang didokumentasikan dari Anda, untuk keperluan penyediaan Layanan dan sebagaimana diperlukan untuk melakukan kewajibannya berdasarkan Perjanjian termasuk yang berkaitan dengan transfer Data Pribadi ke negara ketiga di luar Uni Eropa atau organisasi internasional (kecuali disyaratkan oleh hukum Serikat atau Negara Anggota di mana Avetta tunduk kepadanya, dalam hal ini Avetta akan memberi tahu Anda [atau Afiliasi yang relevan] tentang persyaratan hukum tersebut sebelum Pemrosesan tersebut, kecuali jika hukum tersebut melarang informasi tersebut dengan alasan penting untuk kepentingan umum);
5.1.2 memastikan bahwa orang yang berwenang untuk memproses Data Pribadi telah berkomitmen untuk kerahasiaan atau berada di bawah kewajiban kerahasiaan menurut undang-undang;
5.1.3 menerapkan dan memelihara langkah-langkah teknis dan organisatoris yang ditetapkan dalam Perjanjian, yang telah disepakati bersama oleh para pihak sesuai dengan Pasal 32 RUPD, dengan memperhatikan penilaian tingkat keamanan yang sesuai untuk Data Pribadi dan risiko yang ditimbulkan oleh Pemrosesan, khususnya dari penghancuran, kehilangan, pengubahan, pengungkapan tanpa izin, atau akses atau kerusakan terhadap Data Pribadi tersebut yang tidak disengaja atau tidak sah secara hukum. Segala perubahan terhadap langkah-langkah yang disepakati tersebut yang diharuskan oleh perubahan jenis Data Pribadi yang Diproses, atau risiko Pemrosesan, harus ditangani melalui proses kontrol perubahan yang disepakati antara Avetta dan Anda;
5.1.4 Anda dengan ini secara tegas dan spesifik memberi wewenang kepada Avetta untuk menggunakan Pemroses lain untuk Memproses Data Pribadi ("Sub- Pemroses"), dan secara spesifik Xxx-Xxxxxxxx xxxx xxxxxxxxx xxxxx Xxxxxxxx 0 di sini, tunduk pada Avetta dalam hal:
a. memberi tahu Anda tentang segala perubahan yang akan dilakukan tentang penggunaan Sub-Pemroses yang terdaftar dalam Tambahan 2 dengan mengirim pemberitahuan melalui
surel kepada Anda tentang perubahan yang akan dilakukan tersebut;
b. mencakup ketentuan dalam kontraknya dengan masing-masing Sub-Pemroses yang secara material sama dengan yang ditetapkan dalam Adendum ini; dan
c. tetap bertanggung jawab kepada Anda atas segala kegagalan oleh setiap Sub-Pemroses untuk memenuhi kewajibannya sehubungan dengan Pemrosesan Data Pribadi.
Sehubungan dengan segala pemberitahuan yang diterima di bagian 5.1.4 a., Anda akan memiliki jangka waktu 30 (tiga puluh) hari sejak tanggal pemberitahuan untuk memberi tahu Xxxxxx secara tertulis tentang keberatan yang wajar atas penggunaan Sub-Pemroses tersebut. Para pihak kemudian akan, dalam jangka waktu tidak lebih dari 30 (tiga puluh) hari sejak tanggal keberatan Anda, bekerja bersama dengan itikad baik untuk berusaha menemukan solusi yang wajar secara komersial untuk Anda yang menghindari penggunaan Sub-Pemroses yang tidak Anda setujui. Jika solusi semacam itu tidak dapat ditemukan, salah satu pihak dapat (terlepas dari segala sesuatu yang bertentangan dalam Perjanjian) segera mengakhiri Layanan terkait dengan pemberitahuan tertulis kepada Xxxxx lain, tanpa penalti atau ganti rugi;
5.1.5 segera memberi tahu Anda [atau Afiliasi terkait] tentang segala komunikasi dari Subjek Data mengenai Pemrosesan Data Pribadi, atau segala komunikasi lainnya (termasuk dari otoritas pengawas) yang berkaitan dengan segala kewajiban berdasarkan Undang-Undang Perlindungan Data sehubungan dengan Data Pribadi dan, dengan mempertimbangkan sifat Pemrosesan, membantu Anda [atau Afiliasi yang relevan] dengan tindakan teknis dan organisatoris yang sesuai, sejauh yang dimungkinkan, untuk memenuhi kewajiban Anda [atau Afiliasi yang relevan] untuk menanggapi permintaan untuk menggunakan hak-hak subjek data yang dijabarkan dalam Bab III RUPD; Anda setuju untuk membayar Avetta untuk waktu yang melebihi [dua orang-jam] dan untuk pengeluaran sendiri yang dikeluarkan oleh Xxxxxx sehubungan dengan pelaksanaan kewajibannya berdasarkan Bagian 5.1.5 ini;
5.1.6 memberi tahu Anda [atau Afiliasi terkait] tanpa penundaan yang belebihan atas Pelanggaran Data Pribadi yang melibatkan Data Pribadi, setelah Avetta mengetahui tentang Pelanggaran Data Pribadi yang melibatkan Data Pribadi, pemberitahuan tersebut mencakup semua informasi yang secara wajar diperlukan oleh Anda [dan Afiliasi mana pun] untuk mematuhi kewajibannya berdasarkan Undang-Undang Perlindungan Data;
5.1.7 membantu Anda [dan Afiliasi] dengan kewajiban mereka sesuai dengan Pasal
32 hingga 36 RUPD dengan mempertimbangkan sifat Pemrosesan dan informasi yang tersedia untuk Avetta; Anda setuju untuk membayar Avetta untuk waktu yang melebihi [dua orang-jam] dan untuk pengeluaran sendiri yang dikeluarkan oleh Xxxxxx sehubungan dengan bantuan yang diberikan sehubungan dengan Pasal 35 dan 36 RUPD;
5.1.8 menghentikan Pemrosesan Data Pribadi setelah penghentian atau kedaluwarsa Perjanjian, dan atas pilihan Anda [atau Afiliasi Anda yang relevan] dapat mengembalikan atau menghapus (termasuk dengan memastikan data tersebut dalam format yang tidak dapat dibaca) semua
salinan Data Pribadi Anda yang Diproses oleh Avetta, kecuali (dan hanya sebatas dan untuk periode seperti) hukum Serikat atau Negara Anggota mensyaratkan penyimpanan Data Pribadi; dan
5.1.9 menyediakan bagi Anda [dan semua Afiliasi] berdasarkan permintaan dan dengan biaya yang ditanggung oleh Anda, semua informasi yang diperlukan untuk menunjukkan kepatuhan dengan Adendum ini dan dengan Pasal 28(3)(h) RUPD dan memperbolehkan dan berkontribusi untuk audit, termasuk inspeksi, oleh Anda [atau Afiliasi mana pun] atau auditor yang diberi mandat oleh Anda [atau Afiliasi mana pun] dengan biaya yang Anda tanggung sendiri.
6. Preseden
Ketentuan-ketentuan dalam Tambahan ini adalah tambahan untuk ketentuan-ketentuan Perjanjian. Dalam hal terjadi inkonsistensi antara ketentuan Adendum ini dan ketentuan Perjanjian, ketentuan Adendum ini yang berlaku.
SEBAGAI BUKTI, Adendum ini disepakati dan menjadi bagian yang mengikat dari Perjanjian yang berlaku sejak Tanggal Efektif Adendum.
Tambahan 1: Deskripsi Pemrosesan Data Pribadi
Tambahan ini mencakup perincian tertentu dari Pemrosesan Data Pribadi sebagaimana disyaratkan oleh Pasal 28(3) RUPD.
Pengekspor data
Pengekspor data adalah (mohon perinci secara singkat kegiatan Anda yang relevan dengan transfer):
Avetta atas nama dirinya dan Afiliasinya, termasuk Afiliasi yang dapat ditambahkan selama jangka waktu Perjanjian Induk. Pengekspor Data dapat memasukkan Data Pribadi selama menggunakan layanan berbasis web Pengimpor Data.
Subjek data
Data pribadi yang ditransfer menyangkut kategori subjek data berikut ini (mohon perinci): Pengekspor Data dapat menyerahkan Data Pribadi ke layanan berbasis web, atau Pengimpor Data dapat menerima Data Pribadi dalam rangka menyediakan produk dan layanan, sejauh
cakupan yang ditentukan dan dikendalikan oleh pengekspor data, yang dapat mencakup, tetapi
tidak terbatas pada, Data Pribadi yang berkaitan dengan kategori Subjek Data berikut:
1. Calon pelanggan, pelanggan, mitra bisnis, dan pemasok dari Pengekspor Data;
2. Karyawan saat ini dan mantan karyawan atau orang yang dapat dihubungi dari calon pelanggan, pelanggan, mitra bisnis, dan pemasok pengekspor Data;
3. Karyawan, agen, penasihat, pekerja lepas dari Pengekspor Data; dan
4. Pengguna Pengekspor Data yang diberi wewenang oleh Pengekspor Data untuk menggunakan layanan.
Kategori data
Data pribadi yang ditransfer menyangkut kategori data berikut ini (mohon perinci):
Pengekspor Data dapat menyerahkan data pribadi kepada pengimpor data untuk kinerja Layanan, sejauh cakupan yang ditentukan dan dikendalikan oleh pengekspor data, dan yang dapat mencakup, tetapi tidak terbatas pada kategori Data Pribadi berikut ini:
(a) Nama depan atau belakang;
(b) Gelar;
(c) Jabatan;
(d) Perusahaan;
(e) Informasi kontak (perusahaan, surel, telepon, alamat bisnis fisik);
(f) Data identitas;
(g) Data kehidupan profesional;
(h) Data kehidupan pribadi;
(i) Data koneksi;
(j) Data lokalisasi;
(k) Asuransi;
(l) Keanekaragaman & Kesetaraan Kesempatan;
(m) prosedur keselamatan, kecelakaan & insiden;
(n) program narkoba & alkohol;
(o) keselamatan mengemudi & xxxxxxxan;
(p) kebersihan industri & kesehatan kerja;
(q) tanggung jawab sosial perusahaan, keberlanjutan & masalah lingkungan;
(r) pengendalian mutu, sertifikasi, perizinan, kualifikasi;
(s) data pajak;
(t) Kualifikasi finansial dan informasi penagihan, seperti nama dan alamat penagihan, nomor kartu kredit, dan jumlah pengguna.
Data kategori khusus (jika sesuai)
Data pribadi yang ditransfer menyangkut data kategori khusus berikut ini (mohon perinci):
Pengekspor Data dapat menyerahkan data kategori khusus ke layanan berbasis web (atu Pengimpor Data dapat menerima data kategori khusus dalam rangka menyediakan produk dan layanan), sejauh cakupan yang ditentukan dan dikendalikan oleh pengekspor data.
Operasi Pemrosesan
Data pribadi yang ditransfer akan tunduk pada kegiatan pemrosesan dasar berikut (mohon perinci), yang semuanya diperlukan untuk menyediakan Layanan:
Kegiatan pemrosesan mencakup penyediaan layanan hos, layanan pemeliharaan dan dukungan perangkat lunak, layanan pelatihan dan layanan pengembangan kepada Pengekspor Data sesuai dengan perjanjian dan instruksi Pengekspor Data.
Tambahan 2: Daftar Sub-Pemroses
Daftar Sub-Pemroses | ||
Sub-Pemroses | Kategori | Tujuan |
E3 Learning | Aplikasi yang disediakan pihak ketiga | Aplikasi yang digunakan untuk menyediakan sistem manajemen pembelajaran dan pelacakan kepatuhan |
Overnite Software Inc | Aplikasi yang disediakan pihak ketiga | Aplikasi yang digunakan untuk menyediakan sistem manajemen pembelajaran dan pelacakan kepatuhan |
SafetyFile | Aplikasi yang disediakan pihak ketiga | Aplikasi yang digunakan untuk menyediakan kredensial dan manajemen kepatuhan |
Logi Analytics | Aplikasi yang disediakan pihak ketiga | Aplikasi yang digunakan untuk menyediakan produk visualisasi data interaktif untuk intelijen bisnis dan analitik bisnis |
Netscribes | Agensi yang Dikontrak | Konsultan untuk menyediakan intelijen pasar, riset pasar, konten berbasis riset, dan layanan perdagangan elektronik |