Perjanjian Pemrosesan Data

Dokumen ini merupakan turunan dari Ketentuan Standar DPA Kertas Umum (Versi 1.0) dan perubahan berikut telah dilakukan:

1. Hukum yang Mengatur dan Pengadilan Pilihan telah dimasukkan sebagai bagian di bawah ini dengan Governing State diidentifikasi di atas.
2. Hubungan Penyedia Layanan telah dimasukkan sebagai bagian di bawah ini.

1. Penyedia sebagai Pemroses

Dalam situasi dimana Pelanggan adalah Pengendali Data Pribadi Pelanggan, Pemberi akan dianggap sebagai Prosesor yang Memproses Data Pribadi atas nama Pelanggan.

2. Penyedia sebagai Subprosesor

Dalam situasi dimana Pelanggan adalah Pemroses Data Pribadi Pelanggan, Pemberi akan dianggap sebagai Subpemroses Data Pribadi Pelanggan.

1. Detail Pemrosesan

Lampiran I(B) pada Halaman Sampul menjelaskan pokok bahasan, sifat, tujuan, dan durasi Pemrosesan ini, serta Kategori Data Pribadi dikumpulkan dan Kategori Subjek Data.

2. Instruksi Pengolahan

Pelanggan menginstruksikan Pemberi untuk Memproses Data Pribadi Pelanggan: (a) untuk menyediakan dan memelihara Layanan; (b) sebagaimana dapat ditentukan lebih lanjut melalui Pelanggan penggunaan Layanan; (c) sebagaimana didokumentasikan dalam Persetujuan; dan (d) sebagaimana didokumentasikan dalam instruksi tertulis lainnya yang diberikan oleh Pelanggan dan diakui oleh Pemberi tentang Pemrosesan Data Pribadi Pelanggan berdasarkan DPA ini. Pemberi akan mematuhi instruksi ini kecuali dilarang oleh Hukum Yang Berlaku. Pemberi akan segera menginformasikan Pelanggan jika tidak dapat mengikuti instruksi Pemrosesan. Pelanggan telah memberikan dan hanya akan memberikan instruksi yang sesuai dengan Hukum Yang Berlaku.

3. Pemrosesan oleh Penyedia

Pemberi hanya akan Memproses Data Pribadi Pelanggan sesuai dengan DPA ini, termasuk rincian di Halaman Sampul. Jika Pemberi memperbarui Layanan untuk memperbarui yang sudah ada atau menyertakan produk, fitur, atau fungsi baru, Pemberi dapat mengubah Kategori Subjek Data, Kategori Data Pribadi, Data Kategori Khusus, Pembatasan atau Perlindungan Data Kategori Khusus, Frekuensi Transfer, Sifat dan Tujuan Pengolahan, dan Durasi Pemrosesan seperlunya untuk mencerminkan pembaruan dengan memberi tahu Pelanggan tentang pembaruan dan perubahan.

4. Pemrosesan Pelanggan

Di mana Pelanggan adalah Prosesor dan Pemberi adalah Subprosesor, Pelanggan akan mematuhi semua Hukum yang Berlaku yang berlaku Pelanggan Pemrosesan Data Pribadi Pelanggan. Pelanggan persetujuan dengan Pengendalinya juga akan memerlukan hal yang sama Pelanggan untuk mematuhi semua Hukum yang Berlaku yang berlaku Pelanggan sebagai Prosesor. Selain itu, Pelanggan akan mematuhi persyaratan Subprosesor di Pelanggan persetujuan dengan Pengendalinya.

5. Persetujuan Pemrosesan

Pelanggan telah mematuhi dan akan terus mematuhi seluruh Hukum Perlindungan Data yang Berlaku terkait penyediaan Data Pribadi Pelanggan kepada Pemberi dan/atau Layanan, termasuk melakukan semua pengungkapan, memperoleh semua persetujuan, memberikan pilihan yang memadai, dan menerapkan perlindungan relevan yang diwajibkan berdasarkan Undang-undang Perlindungan Data yang Berlaku.

6. Subprosesor

A. Pemberi tidak akan memberikan, mentransfer, atau menyerahkan Data Pribadi Pelanggan apa pun kepada Subpemroses kecuali Pelanggan telah menyetujui Subprosesor. Daftar saat ini Subprosesor yang Disetujui mencakup identitas Subprosesor, negara lokasinya, dan tugas Pemrosesan yang diantisipasi. Pemberi akan menginformasikan Pelanggan selambat-lambatnya 10 hari kerja sebelumnya dan secara tertulis mengenai segala perubahan yang dimaksudkan pada Subprosesor yang Disetujui baik dengan penambahan atau penggantian Subprosesor, yang memungkinkan Pelanggan memiliki cukup waktu untuk menolak perubahan sebelum Pemberi mulai menggunakan Subprosesor baru. Pemberi akan memberi Pelanggan informasi yang diperlukan untuk memungkinkan Pelanggan untuk menggunakan haknya untuk menolak perubahan tersebut Subprosesor yang Disetujui. Pelanggan memiliki waktu 30 hari setelah pemberitahuan perubahan pada Subprosesor yang Disetujui untuk menolak, sebaliknya Pelanggan akan dianggap menerima perubahan tersebut. Jika Pelanggan menolak perubahan tersebut dalam waktu 30 hari sejak pemberitahuan, Pelanggan dan Pemberi akan bekerja sama dengan itikad baik untuk menyelesaikannya Pelanggan keberatan atau kekhawatiran.

B. Saat menggunakan Subprosesor, Pemberi akan memiliki perjanjian tertulis dengan Subpemroses yang memastikan Subpemroses hanya mengakses dan menggunakan Data Pribadi Pelanggan (i) sepanjang diperlukan untuk melaksanakan kewajiban yang disubkontrakkan kepadanya, dan (ii) konsisten dengan ketentuan Persetujuan.

C. Jika GDPR berlaku pada Pemrosesan Data Pribadi Pelanggan, (i) kewajiban perlindungan data yang dijelaskan dalam DPA ini (sebagaimana dimaksud dalam Pasal 28(3) GDPR, jika berlaku) juga dikenakan pada Subpemroses, dan (ii ) Penyedia perjanjian dengan Subprosesor akan mencakup kewajiban ini, termasuk rincian tentang caranya Pemberi dan Subprosesornya akan berkoordinasi untuk menanggapi pertanyaan atau permintaan tentang Pemrosesan Data Pribadi Pelanggan. Selain itu, Pemberi akan berbagi, di Pelanggan meminta, salinan perjanjiannya (termasuk perubahan apa pun) dengan Subpemrosesnya. Sejauh diperlukan untuk melindungi rahasia bisnis atau informasi rahasia lainnya, termasuk data pribadi, Pemberi dapat menyunting teks perjanjiannya dengan Subprosesornya sebelum membagikan salinannya.

D. Pemberi tetap bertanggung jawab penuh atas semua kewajiban yang disubkontrakkan kepada Subpemrosesnya, termasuk tindakan dan kelalaian Subpemrosesnya dalam Memproses Data Pribadi Pelanggan. Pemberi akan memberi tahu Pelanggan mengenai kegagalan Subpemrosesnya dalam memenuhi kewajiban material mengenai Data Pribadi Pelanggan berdasarkan perjanjian antara Pemberi dan Subprosesor.

1. Otorisasi

Pelanggan setuju itu Pemberi dapat mentransfer Data Pribadi Pelanggan ke luar EEA, Inggris, atau wilayah geografis relevan lainnya sebagaimana diperlukan untuk menyediakan Layanan. Jika Pemberi mentransfer Data Pribadi Pelanggan ke wilayah di mana Komisi Eropa atau otoritas pengawas terkait lainnya belum mengeluarkan keputusan kecukupannya, Pemberi akan menerapkan pengamanan yang sesuai untuk transfer Data Pribadi Pelanggan ke wilayah tersebut sesuai dengan Hukum Perlindungan Data yang Berlaku.

2. Transfer Ex-EEA

Pelanggan dan Pemberi setuju bahwa jika GDPR melindungi transfer Data Pribadi Pelanggan, maka transfer tersebut berasal dari Pelanggan dari dalam EEA hingga Pemberi di luar EEA, dan transfer tersebut tidak diatur oleh keputusan kecukupan yang dibuat oleh Komisi Eropa, maka dengan masuk ke dalam DPA ini, Pelanggan dan Pemberi dianggap telah menandatangani SCC EEA dan Lampirannya, yang digabungkan sebagai referensi. Setiap pengalihan tersebut dilakukan sesuai dengan SCC EEA, yang diselesaikan sebagai berikut:

A. Modul Dua (Pengontrol ke Prosesor) dari EEA SCC berlaku jika Pelanggan adalah Pengendali dan Pemberi sedang Memproses Data Pribadi Pelanggan untuk Pelanggan sebagai Prosesor.

B. Modul Tiga (Prosesor ke Sub-Prosesor) SCC EEA berlaku jika Pelanggan adalah Prosesor dan Pemberi sedang Memproses Data Pribadi Pelanggan atas nama Pelanggan sebagai Subprosesor.

C. Untuk setiap modul, hal berikut ini berlaku (bila berlaku):

1. Klausul docking opsional dalam Klausul 7 tidak berlaku;

2. Dalam Klausul 9, Opsi 2 (otorisasi tertulis umum) berlaku, dan jangka waktu minimum untuk pemberitahuan sebelumnya mengenai perubahan Subprosesor adalah 10 hari kerja;

3. Dalam Klausul 11, bahasa opsional tidak berlaku;

4. Semua tanda kurung siku pada Klausul 13 dihilangkan;

5. Dalam Klausul 17 (Opsi 1), SCC EEA akan diatur oleh hukum Negara Anggota yang Mengatur;

6. Dalam Klausul 18(b), perselisihan akan diselesaikan di pengadilan negara tersebut Negara Anggota yang Mengatur; Dan

7. Halaman Sampul DPA ini berisi informasi yang disyaratkan dalam Lampiran I, Lampiran II, dan Lampiran III SCC EEA.

3. Transfer Eks-Inggris

Pelanggan dan Pemberi setuju bahwa jika GDPR Inggris Raya melindungi transfer Data Pribadi Pelanggan, maka transfer tersebut berasal dari Pelanggan dari dalam Inggris hingga Pemberi di luar Britania Raya, dan transfer tersebut tidak diatur oleh keputusan kecukupan yang dibuat oleh Menteri Luar Negeri Britania Raya, maka dengan masuk ke dalam DPA ini, Pelanggan dan Pemberi dianggap telah menandatangani Adendum Inggris dan Lampirannya, yang digabungkan sebagai referensi. Setiap pengalihan tersebut dilakukan berdasarkan Adendum Inggris, yang diselesaikan sebagai berikut:

A. Bagian 3.2 DPA ini berisi informasi yang disyaratkan dalam Tabel 2 Adendum Inggris.

B. Tabel 4 Adendum Inggris diubah sebagai berikut: Tidak ada pihak yang dapat mengakhiri Adendum Inggris sebagaimana diatur dalam Bagian 19 Adendum Inggris; sejauh ICO menerbitkan Adendum yang Disetujui yang direvisi berdasarkan Pasal ‎18 Adendum Inggris, para pihak akan bekerja dengan itikad baik untuk merevisi DPA ini sebagaimana mestinya.

C. Halaman Sampul berisi informasi yang disyaratkan oleh Lampiran 1A, Lampiran 1B, Lampiran II, dan Lampiran III Adendum Inggris.

4. Transfer Internasional Lainnya

Untuk transfer Data Pribadi yang mana hukum Swiss (dan bukan hukum di negara anggota EEA atau Inggris Raya mana pun) berlaku untuk transfer yang bersifat internasional, rujukan ke GDPR dalam Klausul 4 SCC EEA, sejauh diwajibkan secara hukum, diubah untuk merujuk pada Undang-Undang Perlindungan Data Federal Swiss atau penggantinya, dan konsep otoritas pengawas akan mencakup Komisaris Perlindungan Data dan Informasi Federal Swiss.

1. Setelah mengetahui adanya Insiden Keamanan, Pemberi akan: (a) memberitahukan Pelanggan tanpa penundaan jika memungkinkan, namun tidak lebih dari 72 jam setelah mengetahui adanya Insiden Keamanan; (b) memberikan informasi tepat waktu tentang Insiden Keamanan sebagaimana diketahui atau sebagaimana diminta secara wajar oleh Pelanggan; dan (c) segera mengambil langkah-langkah yang wajar untuk membendung dan menyelidiki Insiden Keamanan. Penyedia pemberitahuan atau tanggapan terhadap Insiden Keamanan sebagaimana disyaratkan oleh DPA ini tidak akan ditafsirkan sebagai pengakuan oleh Pemberi kesalahan atau tanggung jawab apa pun atas Insiden Keamanan.

1. Hak Audit

Pemberi akan memberi Pelanggan semua informasi yang diperlukan secara wajar untuk menunjukkan kepatuhannya terhadap DPA ini dan Pemberi akan memungkinkan dan berkontribusi pada audit, termasuk inspeksi oleh Pelanggan, untuk menilai Penyedia kepatuhan terhadap DPA ini. Namun, Pemberi dapat membatasi akses terhadap data atau informasi jika Pelanggan akses terhadap informasi akan berdampak negatif Penyedia hak kekayaan intelektual, kewajiban kerahasiaan, atau kewajiban lainnya berdasarkan Hukum yang Berlaku. Pelanggan mengakui dan menyetujui bahwa pihaknya hanya akan melaksanakan hak auditnya berdasarkan DPA ini dan hak audit apa pun yang diberikan oleh Undang-Undang Perlindungan Data yang Berlaku dengan menginstruksikan Pemberi untuk mematuhi persyaratan pelaporan dan uji tuntas di bawah ini. Pemberi akan menyimpan catatan kepatuhannya terhadap DPA ini selama 3 tahun setelah DPA berakhir.

2. Laporan Keamanan

Pelanggan mengakui itu Pemberi diaudit secara teratur berdasarkan standar yang ditentukan dalam Kebijakan keamanan oleh auditor pihak ketiga yang independen. Atas permintaan tertulis, Pemberi akan memberi Pelanggan, secara rahasia, salinan ringkasan Laporan terkininya sehingga Pelanggan dapat memverifikasi Penyedia kepatuhan terhadap standar yang ditentukan dalam Kebijakan keamanan.

3. Uji Tuntas Keamanan

Selain Laporan, Pemberi akan menanggapi permintaan informasi yang wajar yang dibuat oleh Pelanggan untuk mengkonfirmasi Penyedia kepatuhan terhadap DPA ini, termasuk tanggapan terhadap keamanan informasi, uji tuntas, dan kuesioner audit, atau dengan memberikan informasi tambahan tentang program keamanan informasinya. Semua permintaan tersebut harus dibuat secara tertulis dan diajukan kepada Kontak Keamanan Penyedia dan hanya boleh dilakukan setahun sekali.

1. Tanggapan terhadap Pertanyaan

Jika Pemberi menerima pertanyaan atau permintaan apa pun dari siapa pun tentang Pemrosesan Data Pribadi Pelanggan, Pemberi akan memberitahu Pelanggan tentang permintaan dan Pemberi tidak akan menanggapi permintaan tersebut tanpa Pelanggan persetujuan sebelumnya. Contoh pertanyaan dan permintaan semacam ini mencakup perintah lembaga peradilan atau administratif atau regulator tentang Data Pribadi Pelanggan jika diberitahukan Pelanggan tidak dilarang oleh Hukum yang Berlaku, atau permintaan dari subjek data. Apabila diperbolehkan oleh Hukum Yang Berlaku, Pemberi akan mengikuti Pelanggan instruksi yang wajar tentang permintaan ini, termasuk memberikan pembaruan status dan informasi lain yang diminta secara wajar oleh Pelanggan. Jika subjek data mengajukan permintaan yang sah berdasarkan Hukum Perlindungan Data yang Berlaku untuk menghapus atau memilih tidak ikut serta Pelanggan pemberian Data Pribadi Pelanggan kepada Pemberi, Pemberi akan membantu Pelanggan dalam memenuhi permintaan sesuai dengan Undang-Undang Perlindungan Data yang Berlaku. Pemberi akan bekerja sama dan memberikan bantuan yang wajar kepada Pelanggan, pada Pelanggan biaya, dalam tanggapan hukum atau tindakan prosedural lainnya yang diambil oleh Pelanggan sebagai tanggapan atas permintaan pihak ketiga tentang Penyedia Pemrosesan Data Pribadi Pelanggan berdasarkan DPA ini.

2. DPIA dan DTIA

Jika diwajibkan oleh Hukum Perlindungan Data yang Berlaku, Pemberi akan membantu secara wajar Pelanggan dalam melakukan penilaian dampak perlindungan data atau penilaian dampak transfer data dan konsultasi dengan otoritas perlindungan data terkait, dengan mempertimbangkan sifat Pemrosesan dan Data Pribadi Pelanggan.

1. Penghapusan oleh Pelanggan

Pemberi akan mengaktifkan Pelanggan untuk menghapus Data Pribadi Pelanggan dengan cara yang sesuai dengan fungsi Layanan. Pemberi akan mematuhi instruksi ini sesegera mungkin kecuali jika penyimpanan lebih lanjut atas Data Pribadi Pelanggan diwajibkan oleh Hukum yang Berlaku.

2. Penghapusan pada saat DPA habis masa berlakunya

A. Setelah DPA habis masa berlakunya, Pemberi akan mengembalikan atau menghapus Data Pribadi Pelanggan di Pelanggan instruksi kecuali penyimpanan lebih lanjut atas Data Pribadi Pelanggan diwajibkan atau diizinkan oleh Hukum yang Berlaku. Jika pengembalian atau pemusnahan tidak dapat dilakukan atau dilarang oleh Hukum yang Berlaku, Pemberi akan melakukan upaya wajar untuk mencegah Pemrosesan tambahan atas Data Pribadi Pelanggan dan akan terus melindungi Data Pribadi Pelanggan yang masih berada dalam kepemilikan, penyimpanan, atau kendalinya. Misalnya, Hukum yang Berlaku mungkin mensyaratkan Pemberi untuk melanjutkan hosting atau Memproses Data Pribadi Pelanggan.

B. Jika Pelanggan dan Pemberi telah memasuki SCC EEA atau Adendum Inggris sebagai bagian dari DPA ini, Pemberi hanya akan memberi Pelanggan sertifikasi penghapusan Data Pribadi yang dijelaskan dalam Klausul 8.1(d) dan Klausul 8.5 SCC EEA jika Pelanggan meminta satu.

1. Batas Tanggung Jawab dan Pengabaian Kerugian

Sejauh diizinkan berdasarkan Undang-Undang Perlindungan Data yang Berlaku, total tanggung jawab kumulatif masing-masing pihak kepada pihak lainnya yang timbul dari atau terkait dengan DPA ini akan tunduk pada pengesampingan, pengecualian, dan pembatasan tanggung jawab yang tercantum dalam Persetujuan.

2. Klaim Pihak Terkait

Setiap klaim yang dibuat terhadap Pemberi atau Afiliasinya yang timbul dari atau terkait dengan DPA ini hanya dapat dibawa oleh Pelanggan entitas yang menjadi pihak dalam Persetujuan.

3. Pengecualian

1. DPA ini tidak membatasi tanggung jawab apa pun kepada individu mengenai hak perlindungan data individu berdasarkan Undang-undang Perlindungan Data yang Berlaku. Selain itu, DPA ini tidak membatasi tanggung jawab apa pun di antara para pihak atas pelanggaran SCC EEA atau Adendum Inggris.

1. DPA ini merupakan bagian dari dan melengkapi Perjanjian. Apabila terdapat ketidakkonsistenan antara DPA ini, maka Persetujuan, atau salah satu bagiannya, bagian yang tercantum sebelumnya akan mengontrol bagian yang tercantum kemudian karena ketidakkonsistenan tersebut: (1) EEA SCC atau Adendum Inggris, (2) DPA ini, dan kemudian (3) Persetujuan.

DPA ini akan dimulai kapan Pemberi dan Pelanggan menyetujui Halaman Sampul untuk DPA dan menandatangani atau menerima secara elektronik Persetujuan dan akan terus berlanjut hingga Persetujuan habis masa berlakunya atau dihentikan. Namun, Pemberi dan Pelanggan masing-masing akan tetap tunduk pada kewajiban dalam DPA ini dan Undang-undang Perlindungan Data yang Berlaku sampai Pelanggan berhenti mentransfer Data Pribadi Pelanggan ke Pemberi dan Pemberi berhenti Memproses Data Pribadi Pelanggan.

Terlepas dari undang-undang yang mengatur atau klausul serupa dalam Perjanjian ini Persetujuan, segala penafsiran dan perselisihan mengenai DPA ini akan diatur oleh hukum negara tersebut Negara yang Memerintah tanpa memperhatikan pertentangan ketentuan hukum. Selain itu, dan terlepas dari pemilihan forum, yurisdiksi, atau klausul serupa dari Persetujuan, para pihak setuju untuk mengajukan gugatan, tindakan, atau proses hukum apa pun terkait DPA ini, dan masing-masing pihak secara tidak dapat ditarik kembali tunduk pada yurisdiksi eksklusif, pengadilan di negara tersebut. Negara yang Memerintah.

Sejauh Undang-Undang Privasi Konsumen California, Cal. sipil. Kode § 1798.100 et seq ("CCPA") berlaku, para pihak mengakui dan menyetujui hal itu Pemberi adalah penyedia layanan dan menerima Data Pribadi dari Pelanggan untuk menyediakan Layanan sebagaimana disepakati dalam Persetujuan, yang merupakan tujuan bisnis. Pemberi tidak akan menjual Data Pribadi apa pun yang disediakan oleh Pelanggan di bawah Persetujuan. Selain itu, Pemberi tidak akan menyimpan, menggunakan, atau mengungkapkan Data Pribadi apa pun yang diberikan oleh Pelanggan di bawah Persetujuan kecuali diperlukan untuk menyediakan Layanan Pelanggan, sebagaimana tercantum dalam Persetujuan, atau sebagaimana diizinkan oleh Hukum Perlindungan Data yang Berlaku. Pemberi menyatakan bahwa pihaknya memahami batasan paragraf ini.

1. "Hukum yang Berlaku" berarti undang-undang, aturan, peraturan, perintah pengadilan, dan persyaratan mengikat lainnya dari otoritas pemerintah terkait yang berlaku atau mengatur suatu pihak.

2. "Hukum Perlindungan Data yang Berlaku" berarti Hukum yang Berlaku yang mengatur bagaimana Layanan dapat memproses atau menggunakan informasi pribadi seseorang, data pribadi, informasi identitas pribadi, atau istilah serupa lainnya.

3. "Pengendali" akan memiliki arti sebagaimana ditentukan dalam Undang-Undang Perlindungan Data yang Berlaku bagi perusahaan yang menentukan tujuan dan cakupan Pemrosesan Data Pribadi.

4. "Halaman sampul" berarti dokumen yang ditandatangani atau diterima secara elektronik oleh pihak-pihak yang memasukkan Ketentuan Standar DPA ini dan mengidentifikasinya Pemberi, Pelanggan, dan pokok bahasan serta detail pemrosesan data.

5. "Data Pribadi Pelanggan" berarti Data Pribadi itu Pelanggan mengunggah atau menyediakan ke Pemberi sebagai bagian dari Layanan dan diatur oleh DPA ini.

6. "DPA" berarti Ketentuan Standar DPA ini, Halaman Sampul di antaranya Pemberi dan Pelanggan, dan kebijakan serta dokumen yang dirujuk dalam atau dilampirkan pada Halaman Sampul.

7. "EEA SCC" berarti klausul kontrak standar yang dilampirkan pada Keputusan Penerapan Komisi Eropa 2021/914 tanggal 4 Juni 2021 tentang klausul kontrak standar untuk transfer data pribadi ke negara ketiga sesuai dengan Peraturan (UE) 2016/679 Parlemen Eropa dan Dewan Eropa .

8. "Wilayah Ekonomi Eropa" atau "EEA" berarti negara-negara anggota Uni Eropa, Norwegia, Islandia, dan Liechtenstein.

9. "GDPR" berarti Peraturan Uni Eropa 2016/679 sebagaimana diterapkan oleh hukum setempat di negara anggota EEA terkait.

10. "Data pribadi" akan memiliki arti sebagaimana ditentukan dalam Undang-Undang Perlindungan Data yang Berlaku untuk informasi pribadi, data pribadi, atau istilah serupa lainnya.

11. "Pengolahan" atau "Proses" akan memiliki arti sebagaimana ditentukan dalam Undang-undang Perlindungan Data yang Berlaku untuk setiap penggunaan, atau kinerja operasi komputer pada, Data Pribadi, termasuk dengan metode otomatis.

12. "Prosesor" akan memiliki arti sebagaimana ditentukan dalam Undang-Undang Perlindungan Data yang Berlaku untuk perusahaan yang Memproses Data Pribadi atas nama Pengendali.

13. "Laporan" berarti laporan audit yang disiapkan oleh perusahaan lain sesuai dengan standar yang ditentukan dalam Kebijakan Keamanan atas nama Penyedia.

14. "Transfer Terbatas" berarti (a) jika GDPR berlaku, transfer data pribadi dari EEA ke negara di luar EEA yang tidak tunduk pada penentuan kecukupan oleh Komisi Eropa; dan (b) jika GDPR Inggris berlaku, transfer data pribadi dari Inggris ke negara lain mana pun yang tidak tunduk pada peraturan kecukupan yang diadopsi berdasarkan Bagian 17A Undang-Undang Perlindungan Data Inggris tahun 2018.

15. "Insiden Keamanan" berarti Pelanggaran Data Pribadi sebagaimana didefinisikan dalam Pasal 4 GDPR.

16. "Melayani" berarti produk dan/atau layanan yang dijelaskan dalam Persetujuan.

17. "Data Kategori Khusus" akan memiliki arti seperti yang dijelaskan dalam Pasal 9 GDPR.

18. "Subprosesor" akan memiliki arti sebagaimana ditentukan dalam Undang-Undang Perlindungan Data yang Berlaku untuk perusahaan yang, dengan persetujuan dan penerimaan Pengendali, membantu Pemroses dalam Memproses Data Pribadi atas nama Pengendali.

19. "UK GDPR" berarti Peraturan Uni Eropa 2016/679 sebagaimana diterapkan oleh pasal 3 Undang-Undang (Penarikan) Uni Eropa Inggris tahun 2018 di Inggris.

20. "Adendum Inggris" berarti adendum transfer data internasional pada SCC EEA yang diterbitkan oleh Komisi Informasi untuk Pihak yang melakukan Transfer Terbatas berdasarkan S119A(1) Undang-Undang Perlindungan Data 2018.

Dokumen ini merupakan turunan dari Ketentuan Standar DPA Kertas Umum (Versi 1.0) dan berlisensi di bawah CC BY 4.0.