Daftar Perjanjian Privasi dan Keamanan Data HPE Layanan Volume Cloud HPE (“Layanan”)

Daftar Perjanjian Privasi dan Keamanan Data HPE Layanan Volume Cloud HPE (“Layanan”)

Jadwal Perjanjian Privasi dan Keamanan Data HPE (Data Privacy and Security Agreement - "DPSA") ini mengatur privasi dan keamanan Data Pribadi oleh HPE sehubungan dengan Layanan atas nama Pelanggan dan dibuat sebagai bagian dari perjanjian berlangganan pelanggan antara HPE dan Pelanggan, atau jika tidak ada perjanjian, syarat dan ketentuan standar HPE (“Perjanjian”).

1. DPSA ini merupakan bagian dari Perjanjian. Sejauh ada konflik apa pun antara ketentuan DPSA ini dan Perjanjian, DPSA akan didahulukan.

2. Definisi:

2.1. “Data Pribadi” atau “Data Pribadi Pelanggan” berarti informasi (Pelanggan) apa pun yang berkaitan dengan suatu orang yang teridentifikasi atau dapat diidentifikasi atau lainnya sebagaimana ditentukan oleh UU Privasi yang berlaku.

2.2. “Data Kontak Bisnis” berarti informasi kontak dari perwakilan Pelanggan untuk pembuatan faktur, penagihan, dan keperluan bisnis lainnya, (ii) informasi tentang penggunaan Layanan oleh Pelanggan, dan (iii) informasi lain yang HPE kumpulkan dan butuhkan untuk berkomunikasi dengan Pelanggan.

2.3. “UU Privasi” berarti semua hukum dan peraturan yang berlaku untuk Pemrosesan Data Pribadi dan privasi yang mungkin ada dalam jurisdiksi yang relevan.

2.4. “Pengontrol” berarti orang, otoritas publik, agensi, atau lembaga apa saja yang secara sendirian atau bersamaan dengan yang lain menentukan tujuan dan arti dari Pemrosesan Data Pribadi sesuai dengan UU Privasi yang berlaku.

2.5. “Prosesor” berarti orang, otoritas publik, agensi, atau badan lain yang Memproses Data Pribadi atas nama Pengontrol atau sesuai instruksi dari Prosesor lain yang bertindak atas nama Pengontrol.

2.6. “Proses,” “Memproses,” atau “Terproses” berarti suatu operasi atau rangkaian operasi yang dilakukan pada Data Pribadi baik dengan cara otomatis atau tidak (termasuk, tanpa terbatas pada, mengakses, mengumpulkan, merekam, mengatur, menyimpan, mempertahankan, mengadaptasikan atau mengubah, mengambil, mengonsultasikan, menggunakan, mengungkapkan, menyediakan, mensejajarkan, menggabungkan, memblokir, menghapus, dan menghancurkan Data Pribadi) dan segala definisi yang sebanding dalam UU Privasi sejauh definisi itu dapat memodifikasi definisi ini.

2.7. “Kategori Data Spesial“ berarti Data Pribadi Pelanggan yang berhubungan dengan asal ras/etnik, opini politik, agama atau aliran kepercayaan, keanggotaan serikat dagang, kesehatan fisik atau mental, kehidupan seksual, data biometrik (apabila digunakan dengan tujuan mengidentifikasi individu secara unik) atau data genetik dari suatu individu.

3. Penunjukan dan Instruksi:

3.1. HPE akan Memproses Data Pribadi Pelanggan sesuai kebutuhan untuk menyediakan Layanan dan memenuhi kewajiban HPE sesuai DPSA ini, Perjanjian, dan UU Privasi yang berlaku sebagai penyedia layanan dan Prosesor Data Pribadi Pelanggan. Detail Pemrosesan termasuk topik bahasan, tujuan, dan durasi Pemrosesan jenis data pribadi dan kategori data ditentukan dalam Exhibit A.

3.2. HPE akan Memproses Data Pribadi Pelanggan sesuai dengan instruksi Pelanggan seperti yang ditentukan dalam DPSA ini, Perjanjian, atau instruksi terdokumentasi lain antara HPE dan Pelanggan. Biaya dan ongkos potensial yang berkaitan dengan instruksi tambahan itu akan disetujui sesuai dengan ketentuan Perjanjian ini.

3.3. HPE dapat Memproses Data Pribadi Pelanggan selain dari instruksi Pelanggan jika diwajibkan kepada HPE oleh hukum yang berlaku. Dalam situasi ini, HPE akan memberi tahu Pelanggan tentang persyaratan tersebut sebelum HPE Memproses Data Pribadi Pelanggan kecuali hukum melarang hal ini dikarenakan adanya kepentingan umum. Jika HPE tidak dapat mematuhi instruksi Pelanggan atau DPSA ini dikarenakan perubahan peraturan atau, jika HPE percaya (tanpa harus melakukan analisis hukum komprehensif) bahwa segala instruksi dari Pelanggan akan melanggar

hukum yang berlaku atau alasan lain apa pun, HPE akan segera memberi tahu Pelanggan secara tertulis.

3.4. HPE mengakui bahwa HPE tidak memiliki hak, berhak, atau kepentingan pada Data Pribadi Pelanggan (termasuk semua hak kekayaan intelektual atau informasi proprietary yang termuat di dalamnya). HPE tidak akan menjual, menyewakan, atau meleasing Data Pribadi Pelanggan kepada siapa pun.

3.5. Jika Pelanggan menggunakan Layanan untuk Memproses segala kategori data yang tidak secara tegas tercakup oleh DPSA ini, Pelanggan bertindak atas risikonya sendiri dan HPE tidak akan bertanggung jawab atas segala ketidakmampuan kepatuhan potensial yang terkait dengan penggunaan tersebut.

4. Kepatuhan pada hukum

4.1. Para pihak akan setiap saat mematuhi kewajibannya masing-masing sesuai DPSA ini dan UU Privasi yang berlaku untuk pemrosesan masing-masing terhadap Data Pribadi. Juga, jika HPE berinteraksi dengan Informasi Kesehatan yang Dilindungi seperti ditentukan oleh UU Privasi dan Portabilitas Asuransi Kesehatan, para pihak setuju untuk mematuhi ketentuan Perjanjian Rekan Bisnis yang ada di xxx.xxx.xxx/xxxx/xxxxxxxx-xxxxxxx.xxxx.

4.2. HPE juga akan mematuhi semua hukum dan kebijakan privasi yang berlaku sehubungan dengan Pemrosesan Data Kontak Bisnis dan penggunaan Data Kontak Bisnis hanya untuk tujuan bisnis yang sah, termasuk, tanpa terkecuali, pembuatan faktur, penagihan, pengawasan dan optimasi penggunaan layanan, peningkatan layanan, pemeliharaan, dukungan, layanan profesional, komunikasi yang berkaitan dengan pembaruan kontrak (secara langsung atau melalui subprosesor yang bertindak atas nama HPE atau reseller yang disetujui HPE untuk tujuan pembaruan kontrak), dan informasi tentang layanan baru dan tambahan.

4.3. Ketika HPE mengungkap data pribadi personilnya kepada Pelanggan atau personel HPE memberikan data pribadinya secara langsung kepada Pelanggan, yang Pelanggan Proses untuk mengelola penggunaannya sendiri terhadap Layanan, Pelanggan akan memproses data tersebut sesuai dengan kebijakan privasi dan UU Privasi yang berlaku. Pengungkapan semacam itu hanya akan dilakukan oleh HPE jika sesuai hukum untuk tujuan manajemen kontrak, manajemen layanan, atau tujuan verifikasi screening latar belakang atau keamanan yang wajar dan sesuai hukum dari Pelanggan.

5. Keamanan

5.1. HPE akan menerapkan dan memelihara tindakan keamanan fisik, teknis, dan keorganisasian yang ditetapkan di dalam Exhibit A, sebagaimana dapat ditambahkan atau diubah dalam dokumen transaksi yang berlaku, untuk melindungi Data Pribadi Pelanggan dan Data Kontak Bisnis terhadap kehancuran yang tidak disengaja atau melawan hukum atau kerugian, perubahan, pengungkapan yang tidak diizinkan, atau akses yang merupakan ketidaksengajaan.

5.2. Pelanggan mengakui bahwa HPE dapat mengubah tindakan keamanan melalui adopsi teknologi keamanan baru atau yang ditingkatkan dan mengizinkan HPE untuk membuat perubahan tersebut sepanjang tidak mengurangi tingkat perlindungan. HPE akan menyediakan informasi tindakan keamanan terbaru yang berlaku untuk Layanan yang tersedia kepada Pelanggan ketika diminta.

6. Sub-pemrosesan dan Lokasi Pemrosesan

6.1. Pelanggan mengizinkan HPE untuk melibatkan subprosesor berafiliasi dan yang tidak berafiliasi (“Subprosesor”) untuk melakukan beberapa atau semua kewajibannya sesuai Perjanjian. Hanya jika dibutuhkan untuk menyediakan Layanan, HPE akan menyediakan akses untuk Sub-pemrosesnya kepada Data Pribadi Pelanggan.

6.2. Sub-pemrosesan yang tersedia untuk Layanan dan lokasi pemrosesan dapat ditemukan di xxx.xxx.xxx/xxxx/xxxxxxxx-xxxxxxx.xxxx dan dianggap disetujui oleh Pelanggan. Pelanggan akan subscribe ke alat notifikasi HPE di situs web di atas, dan ketika terjadi perubahan kepada Sub- pemrosesan yang disetujui, HPE akan memberi tahu Pelanggan melalui alat subskripsi pemberitahuan. Pelanggan mengajukan keberatan kepada penunjukan atau penggantian Subprosesor setiap saat, dan para pihak akan menggunakan segala upaya yang wajar untuk menyelesaikan keberatan Pelanggan. Jika para pihak gagal menyelesaikan keberatan Pelanggan

dalam jangka waktu yang wajar, urusan itu akan ditangani sesuai dengan prosedur penyelesaian perselisihan di dalam Perjanjian. Jika HPE dan pelanggan gagal menyetujui resolusi secara mufakat tentang perubahan subprosesor yang diusulkan, HPE berhak menghentikan kontrak tanpa kewajiban lebih lanjut.

6.3. HPE akan melakukan uji kepatutan yang sesuai terhadap Subprosesornya dan membuat kontrak yang valid, dapat ditegakkan, dan tertulis bersama Subprosesor yang mewajibkan Subprosesor mematuhi ketentuan yang memiliki tingkat perlindungan yang sebanding dengan yang ada di dalam DPSA ini tentang Pemrosesan dan perlindungan Data Pribadi Pelanggan (termasuk ketentuan Kontrak Model UE yang terkait dengan importir data dalam kasus transfer Data Pribadi UE, EEA, atau Swiss ke negara yang tidak dianggap tidak sesuai).

6.4. HPE tetap bertanggung jawab terhadap tindakan atau pengabaian dari afiliasi dan Subprosesor yang dilibatkannya untuk menyediakan Layanan kepada Pelanggan yang menyebabkan pelanggaran DPSA ini seakan-akan itu adalah tindakan atau pengabaiannya sendiri.

7. Audit dan Penjaminan

7.1. HPE akan mengatur audit praktik Pemrosesan dan perlindungan data HPE untuk mengonfirmasi kepatuhan kepada UU Privasi yang berlaku dengan auditor pihak ketiga terkemuka dan memberi Pelanggan rangkuman laporan dan informasi tambahan sesuai permintaan.

7.2. Pelanggan berhak melakukan audit tambahan terhadap kepatuhan HPE dengan kewajibannya sesuai DPSA ini yang sesuai dengan Perjanjian. Hak audit secara umum dilakukan berdasarkan konsultasi dengan HPE. HPE berkewajiban membantu Pelanggan dalam audit tersebut dan segala audit dari pihak yang berkompeten. Audit-audit ini harus dilakukan dengan mempertimbangkan proses bisnis dan kebutuhan HPE untuk keamanan dan kerahasiaan.

7.3. Informasi tertentu tentang standar dan praktik keamanan HPE merupakan informasi rahasia yang sensitif yang tidak akan diungkap oleh HPE kepada Pelanggan. Ketika diminta, HPE setuju untuk merespons, tidak lebih dari satu kali per tahun, kuesioner keamanan informasi yang wajar terkait praktik keamanan yang khusus untuk Layanan yang disediakan sesuai dokumen ini.

7.4. Berdasarkan permintaan Pelanggan, HPE akan, dalam kerangka waktu yang wajar, menyediakan informasi yang tepat kepada Pelanggan untuk menunjukkan kepatuhannya kepada UU Privasi, kecuali ketika informasi itu sudah tersedia kepada Pelanggan langsung melalui penggunaan Layanan.

8. Menyediakan Bantuan Pelanggan

8.1. Sesuai permintaan Pelanggan, HPE akan bekerja sama dengan Pelanggan dan menyediakan bantuan yang dibutuhkan kepada Pelanggan untuk memfasilitasi Pemrosesan Data Pribadi Pelanggan yang sesuai dengan UU Privasi yang berlaku untuk Pelanggan sehubungan dengan Layanan HPE, termasuk misalnya:

8.1.1.membantu Pelanggan dengan menerapkan tindakan teknis dan keorganisasian yang wajar, sejauh memungkinkan, untuk membantu kewajiban Pelanggan untuk menjawab permintaan dari individu yang ingin menggunakan haknya sesuai UU Privasi yang berlaku untuk Pelanggan;

8.1.2.menyediakan bantuan yang wajar kepada Pelanggan dalam penerapan dan penilaian tindakan teknis dan keamanan yang sesuai dari Pelanggan untuk memastikan tingkat keamanan yang sesuai dengan risiko yang dimiliki oleh Pemrosesan dan sifat dari Data Pribadi Pelanggan;

8.1.3.notifikasi Insiden Keamanan sesuai dengan Exhibit A;

8.1.4.menyediakan bantuan yang wajar kepada Pelanggan saat melakukan penilaian dampak privasi.

8.2. Jika Pelanggan meminta kerjasama atau bantuan sesuai dengan Bagian ini, Pelanggan akan memberi tahu HPE secara tertulis tentang kebutuhan itu dan memformulasikan instruksi dari Pelanggan. HPE akan menanggapi dalam jangka waktu yang wajar dan memberi Pelanggan estimasi waktu dan biaya untuk penerapan segala perubahan yang dibutuhkan untuk mengakomodasi kebutuhan kepatuhan Pelanggan. Sejauh kepatuhan kepada Bagian ini menjadi bagian dari perubahan terhadap cakupan Layanan, para pihak akan, bertindak secara wajar, menyetujui perintah perubahan yang sesuai.

9. Pengembalian Data atau Layanan Penghancuran

9.1. Saat Perjanjian berakhir, HPE akan, atas pilihan Pelanggan mengembalikan atau menghapus Data Pribadi Pelanggan, dan HPE tidak akan menyimpan salinan dari Data Pribadi Pelanggan kecuali disetujui oleh Pelanggan atau ketika diharuskan melakukan hal tersebut berdasarkan hukum, dan dalam hal itu HPE akan berhenti secara aktif Memproses data dan mempertahankan keamanan dan kerahasiaan data.

9.2. Saat Perjanjian berakhir, HPE akan, atas pilihan Pelanggan, mengembalikan atau menghapus Data Pribadi Pelanggan dan HPE tidak akan menyimpan salinan dari Data Pribadi Pelanggan kecuali disetujui bersama Pelanggan atau ketika diharuskan melakukan itu oleh hukum yang berlaku, dan dalam hal itu HPE akan berhenti secara aktif Memproses data dan mempertahankan keamanan dan kerahasiaan data.

9.3. Terkait perbaikan atau penggantian data carrier (server, hard-disk, SSD, flash-disk, memory, dll.), Pelanggan akan membeli Layanan (C)DMR opsional atau menghapus dengan benar (sesuai standar NIST) carrier sebelum meneruskannya kepada HPE.

10. Transfer Data

10.1.Untuk menangani transfer dari Data Pribadi UE, EEA, atau Swiss oleh Pelanggan atau oleh afiliasi Pelanggan kepada HPE atau afiliasi HPE yang berlokasi di suatu negara yang tidak disetujui oleh Komisi Eropa dalam hal penyediaan perlindungan yang mencukupi untuk data pribadi sesuai dengan Article 25(6) dari Directive 95/46/EC or Article 45(3) dalam the General Data Protection Regulation, Pelanggan dapat mengandalkan Aturan Korporat Yang Mengikat HPE untuk Prosesor (BCR-P), atau pelaksanaan Kontrak Model UE pengontrol ke prosesor (“Kontrak Model EU”). Daftar Layanan yang tunduk kepada HPE BCR-P tercantum dalam website BCR di xxxxx://xxx.xxx.xxx/xx/xx/xxxxxxx/xxxxxxx-xxxxxxxxx-xxxxx.xxxx dan/atau daoat diberikan berdasarkan permintaan.

10.2.Untuk transfer BCR-P, HPE (dan perusahaan HPE dan Subprosesor lainnya yang diijinkan oleh Pelanggan untuk Memproses Data Pribadi sesuai dengan Pasal 6 DPSA) dapat menerima dan/atau melakukan transfer Data Pribadi ke negara manapun sesuai dengan BCR-P. Pelanggan harus memastikan bahwa, jika transfer termasuk Kategori Data Spesial, subyek data tersebut telah diberitahu mengenai transfer tersebut atau akan diberitahukan sebelum transfer terjadi, bahwa Kategori Data Spesial dapat ditransmisikan ke negara lain. BCR-P akan mengikat Pelanggan melalui hak-hak pihak ketiga yang tercantum dalam Pasal 4.1 dari BCR-P termasuk hak untuk menerapkan BCR-P terhadap HPE, termasuk perbaikan judisial dan hak untuk memita kompensasi. BCR-P termasuk perjanjian antar-perusahaan dan kebijakan serta prosedur yang berlaku yang membentuk Aturan Korporat Mengikat HPE untuk Prosesor (BCR-P) sebagaimana berlaku bagi Pelanggan dan sebagaimana dikembangkan, diubah atau diperbaharui oleh HPE dari waktu ke waktu sesuai dengan Dokumen Kerja yang diadopsi oleh Pasal 29 dari Pihak Kerja (dan secara subsekuen Dewan Perlindungan Data Eropa). Salinan dari dokumentasi yang terdiri dari BCR-P, yang dimasukkan dengan referensi dan merupakan bagian integral dari DPSA ini, tersedia untuk Pelanggan atas permintaan tertulis. Pelanggan harus memberitahukan subyek data mengenai adanya Prosesor diluar EU/EEA/Switzerland dan ketergantungan Pelanggan terhadap BCR-P sebagaimana diharuskan berdasarkan Undang-undang Privasi dan menyediakan kepada subyek data berdasarkan permintaan, tautan ke Pemberitahuan Hak BCR HPE di xxxxx://xxx.xxx.xxx/xx/xx/xxxxxxx/xxxxxxx- corporate-rules.html

10.3.Untuk transfer Kontrak Model UE, HPE dengan ini memberikan Pelanggan hak untuk mendapatkan manfaat dari, dan Pelanggan dengan ini setuju untuk terikat pada, Kontrak Model UE yang ditandatangan oleh HPE dengan Subprosesor seakan-akan Pelanggan menandatangani Kontrak Model UE tersebut sebagai pengontrol.

10.4.Saat menginterpretasikan Kontrak Model UE, istilah “Negara Anggota tempat eksportir data didirikan” akan diinterpretasikan sebagai (sesuai ketepatan) Swiss atau negara anggota UE atau EEA tempat Eksportir Data (seperti ditetapkan di dalam Kontrak Model UE) didirikan.

10.5.Jika ada perselisihan apa pun antara Kontrak Model UE, ketentuan di dalam DPSA ini, dan Perjanjian, sejauh HPE Memproses Data Pribadi warganegara EEA atau Swiss, Kontrak Model UE akan didahulukan tetapi hanya sejauh dibutuhkan untuk menyelesaikan konflik atau ketidakkonsistenan.

10.6.Segala audit yang sesuai dengan Kontrak Model UE akan dijalankan sesuai dengan prosedur umum untuk audit yang diberikan di dalam Perjanjian dan Exhibit A kecuali sejauh dinyatakan wajib oleh pihak berwenang atau UU Privasi. Pelanggan akan menggunakan upaya komersial yang wajar untuk memberi tahu pihak otoritas tentang kebutuhan audit dari Perjanjian dan meminta audit itu dilakukan sesuai dengan persyaratan itu.‌

10.7.Segala kerugian yang ditanggung oleh para pihak atau afiliasinya sesuai Kontrak Model UE akan diperlakukan seolah-olah ditanggung oleh Pelanggan atau HPE secara berurutan dan akan dalam kasus apa pun dicakup oleh Pelanggan atau HPE sesuai batasan dari tanggung jawab pihak tersebut di dalam Perjanjian. Tidak ada apapun di dalam Bagian ini yang akan membatasi tanggung jawab dari masing-masing pihak dalam hal klaim subjek data sesuai Kontrak Model UE.

10.8.Ketika Kontrak Model UE tidak lagi menjadi mekanisme transfer yang valid atau ketika HPE melakukan mekanisme transfer alternatif yang valid (mis. Aturan Korporat yang Mengikat Untuk Prosesor), HPE akan memberi tahu Pelanggan tentang mekanisme itu dan meminta persetujuan dari Pelanggan untuk menggunakan mekanisme ini alih-xxx Xxxxxxx Model UE.

Exhibit A - Pemrosesan Data Layanan Volume Cloud

Dalam Exhibit ini, HPE menjelaskan istilah khusus untuk Layanan Volume Cloud, termasuk komitmennya kepada tindakan keamanan teknis dan keorganisasian untuk melindungi Data Pribadi Pelanggan.

HPE melakukan Pemrosesan Data Pribadi berikut sebagai bagian dari Layanan Sebagai bagian dari pemberian akses dan penggunaan layanan penyimpanan berbasis cloud dan manajemen HPE kepada pelanggan, HPE dapat memiliki akses kepada data yang disimpan di dalam aplikasi bisnis Pelanggan melalui penggunaan Pelanggan atas Layanan Volume Cloud. Data ini dapat menyertakan Data Pribadi Pelanggan.

Jenis Data Pribadi Pelanggan yang Diproses Jenis Data Pribadi yang Diproses akan bergantung pada data yang disimpan Pelanggan melalu penggunaan Layanan Volume Cloud dan dapat termasuk Data Pribadi yang sensitif.

Kategori Subjek Data Subjek data apa pun yang Data Pribadinya disimpan oleh Pelanggan di dalam Layanan Volume Cloud termasuk, tanpa terbatas pada, klien Pelanggan, pengguna akhir, karyawan, kontraktor, dan pekerja sementara.

Durasi Pemrosesan HPE akan memproses Data Pribadi Pelanggan selama durasi perjanjian berlangganan pelanggan dan segala dokumen transaksi terkait.

Tindakan Keamanan HPE akan mempertahankan informasi dan program keamanan fisik berikut ini untuk perlindungan Data Pribadi Pelanggan.

1.1. HPE menerapkan tindakan yang wajar yang dirancang untuk membantu mengamankan Data Pribadi Pelanggan terhadap kehilangan, akses, atau penutupan yang tidak disengaja atau melawan hukum. HPE, afiliasi HPE, dan penyedia layanan pihak ketiga hanya akan menggunakan Data Pelanggan untuk mempertahankan atau menyediakan Layanan Volume Cloud.

1.2. Pelanggan dapat menspesifikasikan wilayah HPE tempat Data Pelanggan akan disimpan. Pelanggan menyetujui transfer ke dan penyimpanan Data Pelanggan di wilayah HPE yang dipilih Pelanggan. HPE, afiliasi HPE, dan penyedia pihak ketiga tidak akan mengakses atau menggunakan Data Pelanggan kecuali sesuai kebutuhan untuk mempertahankan atau menyediakan Layanan Volume Cloud, atau sesuai kebutuhan untuk mematuhi hukum atau perintah mengikat dari lembaga pemerintah.

1.3. HPE tidak akan (a) mengungkapkan Data Pelanggan kepada pemerintah atau pihak ketiga mana pun (selain dari afiliasi HPE dan penyedia layanan) atau (b) menyimpan Data Pelanggan di wilayah selain dari wilayah HPE yang ditentukan oleh Pelanggan, kecuali dalam kasus yang diwajibkan oleh hukum atau perintah mengikat dari lembaga pemerintahan. Kecuali akan melanggar hukum atau perintah mengikat dari suatu lembaga pemerintah, HPE akan memberi tahu Pelanggan tentang segala ketentuan atau perintah hukum yang disebutkan di dalam Bagian ini.

1.4. HPE hanya akan menggunakan informasi akun Pelanggan sesuai Ketentuan Privasi Volume Cloud HPE dan Pernyataan Privasi Hewlett Packard Enterprise, serta izin Pelanggan untuk penggunaan tersebut.

1.5. HPE dapat menggunakan afiliasi dan penyedia pihak ketiga untuk melakukan Layanan. Pelanggan memahami, menyetujui, dan mengizinkan HPE untuk berbagi akses kepada Data Pelanggan kepada pihak ketiga tersebut untuk memelihara dan menyediakan Layanan, dan konsisten dengan tujuan yang dijelaskan di dalam Ketentuan Privasi Volume Cloud HPE.

1.6. HPE akan menyediakan kepada Pelanggan daftar penyedia layanan saat ini yang melakukan Layanan sesuai dengan Bagian 6.2 dari Perjanjian ini.

1.7. Komputer dan server memiliki versi terbaru yang wajar dari keamanan sistem perangkat lunak yang dapat mencakup firewall host, perlindungan anti-virus, dan tambalan terkini dan definisi virus. Perangkat lunak dikonfigurasikan untuk memindai dan segera menghapus atau memperbaiki temuan yang diidentifikasi. HPE menyimpan log dari berbagai komponen infrastruktur dan sistem deteksi intrusi untuk memantau, mendeteksi, dan melaporkan pola penyalahgunaan, aktivitas mencurigakan, pengguna yang tidak sah, dan risiko keamanan aktual dan terancam lainnya.

1.8. Karyawan dan kontraktor dilatih tentang kebijakan privasi dan keamanan HPE dan diberi tahu tanggung jawab mereka terkait dengan praktik privasi dan keamanan. Karyawan dan kontraktor HPE terikat secara kontrak untuk menjaga kepercayaan Data Pribadi Pelanggan dan mematuhi kebijakan, standar, atau persyaratan HPE yang berlaku terkait dengan Pemrosesan Data Pribadi Pelanggan. Kegagalan untuk mematuhi kebijakan, standar, atau persyaratan tersebut akan menjadi subyek investigasi yang dapat mengakibatkan tindakan disipliner hingga dan termasuk pemutusan hubungan kerja atau keterlibatan oleh HPE

1.9. Jika HPE mengkonfirmasi pelanggaran keamanan yang mengarah pada perusakan, kehilangan, perubahan, atau pengungkapan yang tidak disengaja atau tidak sah atas, atau akses ke, Data Pribadi Pelanggan ("Insiden Keamanan"), HPE akan:

1.9.1 tanpa penundaan yang tidak semestinya, memberitahukan Pelanggan tentang Insiden Keamanan. HPE akan memberi Pelanggan pembaruan tentang status Insiden Keamanan sampai masalah ini diatasi. Laporan akan mencakup, tanpa batasan, deskripsi Insiden Keamanan, tindakan yang diambil, dan rencana perbaikan. Jika Pelanggan mengetahui tentang Insiden Keamanan yang mempengaruhi Layanan, Pelanggan harus segera memberi tahu HPE tentang hal itu dan memberi tahu HPE tentang ruang lingkup Insiden Keamanan.

1.9.2 atas permintaan dan biaya Pelanggan, (i) memberikan bantuan yang wajar kepada Pelanggan dalam memberitahukan pelanggaran keamanan kepada otoritas pengawas yang kompeten berdasarkan Undang-undang Privasi yang berlaku untuk Pelanggan; dan (ii) memberikan bantuan yang wajar kepada Pelanggan dalam mengkomunikasikan pelanggaran data kepada subyek data dalam kasus-kasus di mana pelanggaran data cenderung mengakibatkan risiko tinggi terhadap hak dan kebebasan individu.