Adendum Pemrosesan Data

1. Definisi
   Istilah-istilah yang tidak didefinisikan secara khusus di sini akan memiliki arti sebagaimana dimaksud dalam Ketentuan Penggunaan.
   Dalam DPA ini, istilah-istilah berikut memiliki arti sebagai berikut:
• 1.1 "Pengontrol" berarti orang perseorangan atau badan hukum, otoritas publik, agensi, atau badan lain yang, sendiri atau bersama-sama dengan orang lain, menentukan tujuan dan cara Pemrosesan Data Pribadi.
• 1.2 "Konten Pelanggan" adalah Data Pribadi yang dikirimkan oleh Pelanggan ke Layanan atau disimpan atas nama Pelanggan melalui akun Pelanggan sehubungan dengan penggunaan Layanan oleh Pelanggan yang mencakup data elektronik, badan email, penerima email, teks, suara, video, gambar, suara, atau log komunikasi.
• 1.3 "Data Langganan Pelanggan" berarti Data Pribadi yang berhubungan dengan interaksi dan hubungan Pelanggan dengan ControlHippo. Hal ini mencakup nama dan/atau rincian kontak individu yang diberi wewenang oleh Pelanggan untuk mengakses akun Pelanggan, bersama dengan informasi penagihan individu yang telah diasosiasikan oleh Pelanggan dengan akunnya. Data Langganan Pelanggan juga harus mencakup data apa pun yang mungkin perlu dikumpulkan oleh ControlHippo untuk tujuan verifikasi identitas, di antara kewajiban hukum lainnya.
• 1.4 "Data Penggunaan Pelanggan" berarti data yang berkaitan dengan aktivitas akun Pelanggan yang diproses oleh ControlHippo untuk tujuan meneruskan Konten Pelanggan kepada penerima yang dituju. Ini termasuk data yang digunakan untuk mengidentifikasi sumber dan tujuan Konten Pelanggan, seperti (a) nomor telepon subjek data individu, tanggal, waktu, durasi, dan jenis komunikasi, bersama dengan data tentang lokasi perangkat yang dihasilkan dalam rangka penyediaan Layanan; dan (b) log komunikasi yang digunakan untuk mengidentifikasi sumber permintaan Layanan, meningkatkan, dan mencegah penyalahgunaan sistem.
• 1.5 "CCPA " berarti Undang-Undang Privasi Konsumen California tahun 2018.
• 1.6 "Hukum Perlindungan Data" berarti hukum perlindungan data di negara tempat Anda didirikan dan hukum perlindungan data apa pun yang berlaku untuk Anda sehubungan dengan Persyaratan, termasuk namun tidak terbatas pada (a) hukum dan peraturan yang berlaku untuk GDPR, (b) sehubungan dengan Inggris, GDPR sebagaimana disimpan ke dalam Inggris Raya berdasarkan pasal 3 Undang-Undang Uni Eropa Inggris Raya (Penarikan) 2018 ("GDPR Inggris Raya") dan Undang-Undang Perlindungan Data, 2019 (c) Undang-Undang Perlindungan Data Federal Swiss dan peraturan pelaksanaannya ("DPA Swiss") dalam setiap kasus, sebagaimana dapat diubah, digantikan, atau diganti.
• 1.7 "Subjek Data" berarti setiap orang yang teridentifikasi atau dapat diidentifikasi.
• 1.8 "GDPR " berarti Peraturan (EU) 2016/679 Parlemen Eropa dan Dewan Eropa tanggal 27 April 2016 tentang perlindungan orang perorangan terkait dengan Pemrosesan Data Pribadi dan pergerakan bebas data tersebut dan pencabutan Petunjuk 95/46/EC (Peraturan Perlindungan Data Umum).
• 1.9 "Klausul Kontrak Standar" atau "SCC" berarti (i) jika GDPR berlaku, klausul kontrak standar sebagaimana disetujui oleh Komisi Eropa (Keputusan Pelaksanaan (UE) 2021/914 tanggal 04 Juni 2021) Implementing Decision (EU) 2021/914 tanggal 04 Juni 2021) dan tersedia di https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914 ("SCC UE"); (ii) jika GDPR Inggris berlaku, Adendum Transfer Data Internasional untuk SCC UE yang dikeluarkan oleh Komisioner Informasi Inggris, Versi B1.0, yang berlaku mulai 21 Maret 2022 yang ditetapkan sebagai Lampiran IV ("SCC Inggris") dan (iii) di mana DPA Swiss berlaku, klausul perlindungan data standar yang berlaku yang dikeluarkan, disetujui, atau diakui oleh Komisioner Perlindungan Data dan Informasi Federal Swiss ("SCC Swiss") (dalam setiap kasus, sebagaimana diperbarui, diubah, atau digantikan dari waktu ke waktu).
• 1.10 "Data Pribadi" berarti setiap informasi yang berkaitan dengan Subjek Data yang Diproses oleh Pemroses sebagai bagian dari penyediaan Layanan kepada Pengendali.
• 1.11 "Pelanggaran Data Pribadi" berarti pelanggaran keamanan yang mengarah pada penghancuran, kehilangan, pengubahan, pengungkapan yang tidak disengaja atau melanggar hukum, pengungkapan yang tidak sah atas, atau akses ke, Data Pribadi yang dikirimkan, disimpan, atau Diproses.
• 1.12 "Kebijakan Privasi" berarti kebijakan privasi ControlHippo di https://controlhippo.com/privacy/
• 1.13 "Proses " berarti setiap operasi atau serangkaian operasi yang dilakukan pada Data Pribadi atau kumpulan Data Pribadi, baik dengan cara otomatis maupun tidak, seperti pengumpulan, pencatatan, pengorganisasian, penataan, penyimpanan, adaptasi atau perubahan, pengambilan, konsultasi, penggunaan, pengungkapan melalui transmisi, penyebarluasan, atau penyediaan, penyelarasan atau penggabungan, pembatasan, penghapusan, atau pemusnahan.
• 1.14 "Pemroses " berarti orang perseorangan atau badan hukum, otoritas publik, agensi, atau badan lain yang Memproses Data Pribadi atas nama Pengontrol.
• 1.15 "Data Sensitif" berarti Data Pribadi yang terdiri atas asal ras atau etnis, pendapat politik, keyakinan agama atau filosofis, keanggotaan serikat pekerja, data genetik, data biometrik dengan tujuan untuk mengidentifikasi seseorang secara unik, data tentang kesehatan, atau data tentang kehidupan seks atau orientasi seksual seseorang. Ini juga mencakup informasi tentang pelanggaran atau hukuman pidana seseorang, serta informasi lain yang dianggap sensitif berdasarkan undang-undang perlindungan data yang berlaku.
• 1.16 "Layanan" berarti layanan platform komunikasi tersinkronisasi berbasis cloud yang disediakan oleh ControlHippo yang telah dilanggan oleh Pelanggan berdasarkan Persyaratan.
2. Ruang Lingkup, Durasi dan Tanggung Jawab
• 2.1 DPA ini berlaku untuk Pemrosesan Konten Pelanggan.
• 2.2 ControlHippo akan Memproses Konten Pelanggan selama jangka waktu DPA ini dan hanya sesuai dengan DPA ini, terutama sebagaimana disebutkan dalam Lampiran masing-masing.
• 2.3 Dalam ruang lingkup Persyaratan, masing-masing Pihak bertanggung jawab untuk mematuhi kewajibannya masing-masing sebagai Pengendali dan Pemroses berdasarkan Hukum Perlindungan Data.
3. Hubungan Para Pihak
• 3.1 ControlHippo sebagai Pemroses: Para Pihak mengakui dan menyetujui bahwa sehubungan dengan Pemrosesan Konten Pelanggan, Pelanggan dapat bertindak sebagai Pengendali atau Pemroses dan ControlHippo adalah Pemroses.
• 3.2 ControlHippo sebagai Pengendali Data Langganan Pelanggan: Para Pihak mengakui bahwa, sehubungan dengan Pemrosesan Data Langganan Pelanggan, Pelanggan adalah Pengendali dan ControlHippo adalah Pengendali independen, bukan Pengendali bersama dengan Pelanggan. Data Langganan Pelanggan akan Diproses sesuai dengan Kebijakan Privasi ControlHippo.
• 3.3 ControlHippo sebagai Pengendali Data Penggunaan Pelanggan: Para Pihak mengakui bahwa, sehubungan dengan Pemrosesan Data Penggunaan Pelanggan, Pelanggan dapat bertindak sebagai Pengendali atau Pemroses dan ControlHippo adalah Pengendali independen, bukan Pengendali bersama dengan Pelanggan. Data Penggunaan Pelanggan akan Diproses sesuai dengan Kebijakan Privasi ControlHippo
4. Jangka Waktu dan Pengakhiran
• 4.1 DPA ini mulai berlaku pada saat Pelanggan berlangganan Layanan. DPA ini akan terus berlaku dan memiliki kekuatan penuh selama ControlHippo memproses Konten Pelanggan sesuai dengan Ketentuan dan akan berakhir secara otomatis setelahnya.
• 4.2 Apabila diperlukan amandemen untuk memastikan kepatuhan DPA ini atau Lampiran dengan Hukum Perlindungan Data, Para Pihak harus melakukan upaya yang wajar untuk menyepakati amandemen tersebut atas permintaan Pengendali. Jika Para Pihak tidak dapat menyetujui amandemen tersebut, salah satu Pihak dapat mengakhiri penggunaan Layanan oleh Pelanggan dengan pemberitahuan tertulis tiga puluh (30) hari kepada Pihak lainnya.
5. Petunjuk Pemrosesan
• 5.1 ControlHippo akan Memproses Konten Pelanggan sesuai dengan instruksi Pelanggan. DPA ini berisi instruksi awal Pelanggan kepada ControlHippo sehubungan dengan Konten Pelanggan. Para Pihak setuju bahwa Pelanggan dapat menyampaikan setiap perubahan dalam instruksi awal kepada ControlHippo melalui amandemen DPA ini.
• 5.2 Untuk menghindari keraguan, setiap instruksi yang akan menyebabkan Pemrosesan di luar cakupan DPA ini (misalnya karena tujuan Pemrosesan yang baru diperkenalkan) akan memerlukan persetujuan sebelumnya antara Para Pihak.
• 5.3 ControlHippo akan tanpa penundaan yang tidak semestinya menginformasikan kepada Pengendali secara tertulis jika, menurut pendapat ControlHippo, sebuah instruksi melanggar Undang-Undang Perlindungan Data, dan memberikan penjelasan terperinci tentang alasan pendapatnya secara tertulis.
6. Personil Pemroses
• 6.1 ControlHippo akan membatasi personelnya untuk tidak memproses Konten Pelanggan tanpa izin. ControlHippo akan memberlakukan kewajiban kontrak yang sesuai kepada personelnya, termasuk kewajiban yang relevan terkait kerahasiaan, perlindungan data, dan keamanan data.
7. Pengungkapan kepada Pihak Ketiga; Hak-hak Subjek Data
• 7.1 ControlHippo tidak akan mengungkapkan Konten Pelanggan kepada lembaga pemerintah, pengadilan, atau penegak hukum kecuali dengan persetujuan tertulis dari Pengendali atau sebagaimana yang diperlukan untuk mematuhi hukum wajib yang berlaku. Jika ControlHippo berkewajiban untuk mengungkapkan Konten Pelanggan kepada lembaga penegak hukum, ControlHippo setuju untuk memberikan pemberitahuan yang wajar kepada Pengendali mengenai permintaan akses sebelum memberikan akses tersebut, untuk memungkinkan Pengendali meminta perintah perlindungan atau upaya hukum lain yang sesuai. Jika pemberitahuan tersebut dilarang secara hukum, ControlHippo akan mengambil langkah-langkah yang wajar untuk melindungi Konten Pelanggan dari pengungkapan yang tidak semestinya seolah-olah Konten Pelanggan tersebut adalah informasi rahasia ControlHippo yang diminta dan akan segera memberi tahu Pengendali sesegera mungkin jika dan ketika larangan hukum tersebut tidak lagi berlaku.
• 7.2 Jika Pengendali menerima permintaan atau komunikasi apa pun dari Subjek Data yang terkait dengan Pemrosesan Konten Pelanggan (" Permintaan "), ControlHippo akan secara wajar memberikan kerja sama, informasi, dan bantuan penuh kepada Pengendali (" Bantuan ") sehubungan dengan Permintaan tersebut jika diinstruksikan oleh Pengendali.
• 7.3 Jika ControlHippo menerima Permintaan, ControlHippo akan (i) tidak secara langsung menanggapi Permintaan tersebut, (ii) meneruskan permintaan tersebut kepada Pengendali dalam waktu sepuluh (10) hari kerja setelah mengidentifikasi Permintaan tersebut terkait dengan Pengendali dan (iii) memberikan Bantuan sesuai dengan instruksi lebih lanjut dari Pengendali.
8. Langkah-langkah Teknis dan Organisasi
• 8.1 ControlHippo harus menerapkan dan memelihara langkah-langkah keamanan teknis dan organisasi yang sesuai untuk memastikan bahwa Konten Pelanggan Diproses sesuai dengan DPA ini, untuk memberikan bantuan dan melindungi Konten Pelanggan dari Pelanggaran Data Pribadi (" TOM "). Langkah-langkah tersebut harus mencakup langkah-langkah yang ditetapkan dalam Lampiran 2.
9. Bantuan dengan Penilaian Dampak Perlindungan Data
• 9.1 Jika Penilaian Dampak Perlindungan Data (" DPIA ") diperlukan berdasarkan Undang-Undang Perlindungan Data yang berlaku untuk Pemrosesan Konten Pelanggan, ControlHippo akan memberikan atas permintaan kepada Pelanggan informasi dan bantuan apa pun yang secara wajar diperlukan untuk DPIA dan bantuan untuk komunikasi apa pun dengan otoritas perlindungan data, jika diperlukan, kecuali jika informasi atau bantuan yang diminta tidak terkait dengan kewajiban ControlHippo berdasarkan DPA ini.
• 9.2 Pelanggan harus membayar biaya yang wajar kepada ControlHippo untuk memberikan bantuan dalam pasal 9 ini sejauh bantuan tersebut tidak dapat diakomodasi secara wajar dalam penyediaan normal Layanan.
10. Hak Informasi dan Audit
• 10.1 ControlHippo harus, sesuai dengan Hukum Perlindungan Data, menyediakan kepada Pelanggan berdasarkan permintaan secara tepat waktu informasi yang diperlukan untuk menunjukkan kepatuhan ControlHippo terhadap kewajibannya berdasarkan Hukum Perlindungan Data.
• 10.2 ControlHippo akan, dengan pemberitahuan yang wajar, mengizinkan dan berkontribusi dalam audit Pemrosesan Konten Pelanggan oleh ControlHippo, serta TOM (termasuk sistem Pemrosesan data, kebijakan, prosedur, dan catatan), selama jam kerja biasa dan dengan gangguan minimal terhadap operasi bisnis ControlHippo. Audit tersebut akan dilakukan oleh Pelanggan, afiliasinya, atau pihak ketiga yang independen atas nama Pelanggan (yang bukan merupakan pesaing Pemroses) yang tunduk pada kewajiban kerahasiaan yang wajar.
• 10.3 Pelanggan harus membayar kepada ControlHippo biaya yang wajar untuk mengizinkan atau berkontribusi pada audit atau inspeksi sesuai dengan pasal 10 (b) di mana Pelanggan ingin melakukan lebih dari satu audit atau inspeksi setiap 12 bulan. ControlHippo akan segera merujuk kepada Pelanggan setiap permintaan yang diterima dari otoritas perlindungan data nasional yang terkait dengan Pemrosesan Konten Pelanggan oleh ControlHippo.
• 10.4 ControlHippo berjanji untuk bekerja sama dengan Pengendali dalam urusannya dengan otoritas perlindungan data nasional dan dengan permintaan audit apa pun yang diterima dari otoritas perlindungan data nasional.
11. Pemberitahuan Pelanggaran Data Pribadi
• 11.1 Sehubungan dengan Pelanggaran Data Pribadi (yang sebenarnya atau yang diduga secara wajar), ControlHippo harus:
• (a) memberi tahu Pelanggan mengenai Pelanggaran Data Pribadi yang melibatkan ControlHippo atau subkontraktor tanpa penundaan yang tidak semestinya dan merupakan tanggung jawab Pengendali untuk memberi tahu Otoritas Pengawas mengenai pelanggaran tersebut dalam waktu 72 jam sejak pemberitahuan oleh ControlHippo;
• (b) memberikan informasi, kerja sama, dan bantuan yang wajar kepada Pelanggan sehubungan dengan tindakan apa pun yang akan diambil sebagai tanggapan atas Pelanggaran Data Pribadi berdasarkan Undang-Undang Perlindungan Data, termasuk mengenai komunikasi apa pun tentang Pelanggaran Data Pribadi kepada Subjek Data dan otoritas perlindungan data nasional.
12. Subkontrak
• 12.1 Pelanggan menyetujui ControlHippo untuk melibatkan sub-pemroses pihak ketiga seperti yang ditunjukkan dalam Lampiran 1 untuk Memproses Konten Pelanggan untuk memenuhi kewajibannya berdasarkan Perjanjian dengan ketentuan bahwa, ControlHippo akan memberikan pemberitahuan setidaknya lima belas (15) hari sebelumnya kepada administrator akun Pelanggan sebelum penunjukan atau penggantian sub-pemroses. Pelanggan dapat mengajukan keberatan terhadap penunjukan atau penggantian sub-pemroses oleh ControlHippo sebelum penunjukan atau penggantian, asalkan keberatan tersebut didasarkan pada alasan yang masuk akal yang berkaitan dengan perlindungan data. Dalam hal demikian, ControlHippo tidak akan menunjuk atau mengganti sub-pemroses atau, jika hal ini tidak memungkinkan, Pelanggan dapat menangguhkan atau menghentikan Layanan (tanpa mengurangi biaya yang dikeluarkan oleh Pelanggan sebelum penangguhan atau pengakhiran tersebut).
• 12.2 Apabila ControlHippo, dengan persetujuan Pelanggan, mensubkontrakkan kewajiban dan hak-haknya berdasarkan DPA ini, ControlHippo akan melakukannya hanya melalui kontrak tertulis yang mengikat dengan sub-pemroses yang pada dasarnya membebankan kewajiban yang sama sesuai dengan Pasal. 28 GDPR terutama yang berkaitan dengan instruksi dan TOM pada sub-pemroses seperti yang dibebankan pada ControlHippo berdasarkan DPA ini.
• 12.3 Jika sub-pemroses gagal memenuhi kewajiban perlindungan datanya berdasarkan perjanjian subkontrak, ControlHippo akan tetap bertanggung jawab penuh kepada Pelanggan atas pemenuhan kewajibannya berdasarkan DPA ini dan atas pelaksanaan kewajiban sub-pemroses.
13. Transfer Data Internasional
• 13.1 Para Pihak setuju bahwa ketika pengalihan Konten Pelanggan dari Pengendali ke Pemroses merupakan Pengalihan Terbatas dan Hukum Perlindungan Data yang berlaku mensyaratkan bahwa perlindungan yang sesuai harus diterapkan, pengalihan tersebut harus tunduk pada Klausul Kontrak Standar yang sesuai, yang akan dianggap dimasukkan ke dalam dan menjadi bagian dari DPA ini sebagai berikut:
• a. Sehubungan dengan transfer Konten Pelanggan yang berasal dari EEA dan tunduk pada GDPR, SCC UE akan berlaku, dilengkapi sebagai berikut:
• i. Modul 2 (Pengendali ke Pemroses) akan berlaku jika Anda adalah Pengendali dan Kami adalah Pemroses;
• ii. dalam Klausul 7, klausul docking opsional akan berlaku;
• iii. dalam Klausul 11, bahasa opsional tidak akan berlaku;
• iv. dalam Klausul 17, Opsi 1 akan berlaku, dan SCC Uni Eropa akan diatur oleh hukum Irlandia;
• v. dalam Klausul 18(b), perselisihan akan diselesaikan di hadapan pengadilan Irlandia;
• vi. Lampiran I SCC Uni Eropa akan dianggap lengkap dengan informasi yang ditetapkan dalam Lampiran I DPA ini;
• vii. Lampiran II SCC Uni Eropa akan dianggap lengkap dengan informasi yang ditetapkan dalam Lampiran II DPA ini; dan
• viii. Lampiran III SCC Uni Eropa akan dianggap lengkap dengan informasi yang ditetapkan dalam Lampiran III DPA ini.
• b. Sehubungan dengan transfer Konten Pelanggan yang berasal dari Swiss dan tunduk pada DPA Swiss, SCC Uni Eropa sebagaimana diimplementasikan di bawah sub-paragraf (a) di atas akan berlaku dengan modifikasi berikut ini dan merupakan SCC Swiss:
• i. referensi ke Peraturan (EU) 2016/679; harus ditafsirkan sebagai referensi ke DPA Swiss;
• ii. referensi ke Pasal-pasal tertentu dalam Peraturan (EU) 2016/679; harus diganti dengan bagian yang setara dari DPA Swiss;
• iii. referensi untuk "UE", "Uni", "Negara Anggota", dan "hukum Negara Anggota" harus diganti dengan referensi untuk "Swiss" atau "hukum Swiss";
• iv. istilah "negara anggota" tidak boleh ditafsirkan sedemikian rupa sehingga mengecualikan subjek data di Swiss dari kemungkinan menuntut hak-hak mereka di tempat tinggal mereka yang biasa (yaitu, Swiss);
• v. Klausul 13(a) dan Bagian C dari Lampiran I tidak digunakan dan "pengawas yang kompeten" adalah Komisioner Informasi Perlindungan Data Federal Swiss;
• vi. referensi ke "otoritas pengawas yang kompeten" dan "pengadilan yang kompeten" harus diganti dengan referensi ke "Komisioner Informasi Perlindungan Data Federal Swiss" dan "pengadilan yang berlaku di Swiss";
• vii. dalam Klausul 17, Klausul Kontrak Standar akan diatur oleh hukum Swiss; dan
• viii. Klausul 18(b) akan menyatakan bahwa perselisihan akan diselesaikan di hadapan pengadilan yang berlaku di Swiss.
• ix. Lampiran I dari SCC Swiss akan dianggap telah dilengkapi dengan informasi yang ditetapkan dalam Lampiran I DPA ini;
• x. Lampiran II dari SCC Swiss akan dianggap telah dilengkapi dengan informasi yang ditetapkan dalam Lampiran II DPA ini; dan
• xi. Lampiran III dari SCC Swiss akan dianggap telah dilengkapi dengan informasi yang tercantum dalam Lampiran III DPA ini.
• c. Sehubungan dengan transfer Data Pribadi yang berasal dari Inggris dan tunduk pada GDPR Inggris, SCC Inggris akan berlaku.
• 13.2 Untuk tujuan deskripsi dalam SCC, Anda setuju bahwa Anda adalah "pengekspor data" dan Kami adalah "pengimpor data".
• 13.3 Para Pihak setuju bahwa jika Klausul Kontrak Standar diganti, diubah, atau tidak lagi dianggap sah berdasarkan Hukum Perlindungan Data, atau jika Otoritas Pengawas dan/atau Hukum Perlindungan Data mengharuskan penerapan solusi transfer alternatif, pengekspor data dan pengimpor data akan (i) segera mengambil langkah-langkah yang diminta, termasuk menerapkan mekanisme transfer alternatif untuk memastikan pemrosesan terus mematuhi Hukum Perlindungan Data; atau (ii) menghentikan transfer Konten Pelanggan dan atas pilihan pengekspor data, menghapus atau mengembalikan Konten Pelanggan kepada pengekspor data.
14. Penghapusan atau Pengembalian Data Pribadi
• 14.1 Setelah berakhirnya Ketentuan, ControlHippo akan menghapus semua Konten Pelanggan, termasuk Data Pribadi dalam waktu dua (2) tahun. Dalam periode penyimpanan tersebut, Pelanggan dapat mengekspor Konten Pelanggan dengan menulis surat kepada ControlHippo di [email protected]. Persyaratan ini tidak berlaku sejauh ControlHippo sebagai Pemroses diwajibkan oleh hukum yang berlaku untuk menyimpan sebagian atau seluruh Data Pribadi, dalam hal ini ControlHippo akan mengisolasi dan melindungi Data Pribadi dari Pemrosesan lebih lanjut kecuali sejauh yang diwajibkan oleh hukum tersebut.
15. Pelaksanaan CCPA
• 15.1 Pelanggan mengakui dan menyetujui bahwa Pelanggan adalah Bisnis dan ControlHippo adalah Penyedia Layanan sehubungan dengan Informasi Pribadi Konsumen (sebagaimana istilah-istilah tersebut dipahami dalam CCPA) yang merupakan bagian dari Konten Pelanggan. ControlHippo tidak akan menjual, menyimpan, menggunakan, atau mengungkapkan Informasi Pribadi Konsumen yang diproses ControlHippo atas nama Pelanggan ketika menyediakan Layanan berdasarkan Persyaratan untuk tujuan apa pun selain untuk tujuan khusus menyediakan Layanan sesuai dengan Persyaratan dan sebagai bagian dari hubungan langsung antara ControlHippo dan Pelanggan. ControlHippo menyatakan bahwa pihaknya memahami pembatasan dalam pasal 15 ini dan akan mematuhi pembatasan tersebut.
16. Penggunaan Konten Pelanggan untuk Analisis
• 16.1 Pelanggan mengakui dan memberikan kepada ControlHippo hak penggunaan Konten Pelanggan untuk mengumpulkan, menggunakan, menyalin, menyimpan, dan mengirimkan Konten Pelanggan tersebut, dalam setiap kasus semata-mata hanya sejauh yang diperlukan untuk melaksanakan tujuan yang dimaksudkan oleh Pelanggan, termasuk namun tidak terbatas pada pelaksanaan analisis untuk pembelajaran mesin.
17. Lain-lain
• 17.1 Jika terjadi pertentangan, ketentuan dalam DPA ini akan didahulukan daripada ketentuan dalam perjanjian lain dengan ControlHippo.
• 17.2 Tidak ada Pihak yang dapat menerima remunerasi untuk melaksanakan kewajibannya berdasarkan DPA ini kecuali sebagaimana secara eksplisit diatur di sini atau dalam perjanjian lain.
• 17.3 Jika DPA ini mensyaratkan "pemberitahuan tertulis", pemberitahuan tersebut juga dapat dikomunikasikan melalui email kepada Pihak lain. Pemberitahuan harus dikirim ke ControlHippo di [email protected] dan Pelanggan di alamat email yang digunakan untuk mendaftar.
• 17.4 Setiap perjanjian tambahan atau perubahan atas DPA ini harus dibuat secara tertulis dan ditandatangani oleh kedua belah Pihak.
• 17.5 Apabila ketentuan-ketentuan individual dalam DPA ini menjadi batal, tidak sah atau tidak dapat dilaksanakan, maka hal ini tidak akan mempengaruhi keabsahan ketentuan-ketentuan lainnya dalam perjanjian ini.

1. ControlHippo memiliki kebijakan berikut ini yang telah ditetapkan, disetujui oleh manajemen, dan didokumentasikan. Kebijakan tersebut harus terus ditingkatkan, ditinjau setidaknya setiap tahun, dan mengharuskan semua karyawan, kontraktor, dan peserta magang ControlHippo untuk meninjau dan mengetahuinya setiap tahun. Bukti kebijakan diperlukan.
• 1.1 Kebijakan Keamanan Informasi
• 1.2 Kebijakan Penggunaan yang Dapat Diterima
2. ControlHippo memiliki kebijakan berikut yang telah ditetapkan, disetujui oleh manajemen, dan didokumentasikan. Kebijakan-kebijakan tersebut harus terus ditingkatkan dan ditinjau setidaknya setiap tahun. Bukti kebijakan diperlukan.
• 2.1 Kebijakan Kontrol Akses
• 2.2 Kebijakan Manajemen Perubahan
• 2.3 Kebijakan Manajemen Perangkat Seluler
• 2.4 Kebijakan Pekerja Jarak Jauh/Pekerja Jarak Jauh
3. Program Pelatihan dan Kesadaran Keamanan
• 3.1 ControlHippo memiliki Program Kesadaran Keamanan yang harus diselesaikan oleh semua karyawan pada saat perekrutan dan setidaknya setiap tahun setelahnya.
4. Keamanan Fisik
• 4.1 ControlHippo harus membatasi akses ke area di mana data Pengendali Diproses dan menyimpan log audit akses.
• 4.2 ControlHippo harus menerapkan protokol keamanan.
5. Manajemen Aset
• 5.1 ControlHippo memiliki sistem untuk mengelola dan melacak semua aset yang dimiliki atau dikelola oleh Prosesor

1. Sistem Operasi / Perangkat Lunak / Aplikasi
• 1.1 ControlHippo memiliki metode untuk mengkomunikasikan dan/atau mendorong pembaruan patch keamanan untuk sistem operasi, perangkat lunak, dan aplikasi yang digunakan di lingkungannya.
• 1.2 Patch dan atau pembaruan penting disebarkan dalam waktu 30 hari setelah rilis.
2. Kredensial Akses
• 2.1 Semua karyawan yang memiliki akses ke atau mengelola data Pengendali:
• a. Memiliki id/akun pengguna yang unik
• b. Jangan berbagi id/akun pengguna dengan pengguna lain
• c. Diperlukan untuk mengautentikasi dengan faktor kedua
• 2.2 Akun pengguna diharuskan untuk:
• a. Mengunci akun pengguna setelah 5 kali percobaan gagal atau kurang dari itu
• b. Tetap terkunci selama setidaknya 15 menit
3. Enkripsi
• 3.1 ControlHippo harus menggunakan enkripsi disk penuh pada semua perangkat yang dikelola perusahaan.
• 3.2 ControlHippo harus mengenkripsi semua data Pengendali saat transit dan saat istirahat.
4. Cadangan
• 4.1 Jika ControlHippo melakukan pencadangan data Controller:
• a. Pencadangan harus dilakukan dan disimpan di lokasi yang aman.
• b. Cadangan harus dienkripsi.
5. Deteksi dan Pencegahan Penyusupan
• 5.1 ControlHippo telah menerapkan sistem deteksi dan pencegahan intrusi di semua lokasi perusahaan dan produksi.

Lampiran III - Daftar Sub-pemroses

Sebagaimana tercantum dalam Lampiran I.

Lampiran IV: SCC Inggris

SCC Inggris ini akan menjadi bagian dari adendum dari SCC Uni Eropa yang diimplementasikan berdasarkan Klausul 12.1 (a) DPA ini.

Bagian 1: Tabel

Untuk transfer data dari Inggris Raya yang tunduk pada SCC Inggris, SCC Inggris akan dianggap telah disepakati (dan dimasukkan ke dalam Adendum Pemrosesan Data ini melalui referensi ini) dan diselesaikan sebagai berikut:

1. Dalam Tabel 1 SCC Inggris, rincian Para Pihak dan informasi kontak utama harus seperti yang tercantum dalam Jadwal A.A.
2. Dalam Tabel 2 SCC Inggris, informasi mengenai versi SCC Uni Eropa yang Disetujui, modul dan klausul-klausul tertentu yang dilampirkan pada SCC Inggris ini adalah sebagaimana yang tercantum dalam Klausul 11.1 dan 12.1(a)(i), (ii), (iii), (iv) DPA ini.
3. Pada Tabel 3 tentang SCC di Inggris:
• 3.1 Lampiran 1A: Daftar Para Pihak: Para pihak sebagaimana tercantum dalam Lampiran I.A.
• 3.2 Lampiran 1B: Deskripsi Pengalihan: Deskripsi Pengalihan adalah sebagaimana tercantum dalam Lampiran I.B.
• 3.3 Lampiran II: Langkah-langkah teknis dan organisasi termasuk langkah-langkah teknis dan organisasi untuk memastikan keamanan data: TOM adalah sebagaimana tercantum dalam Lampiran II.
• 3.4 Lampiran III: Daftar Sub Pemroses: Sub prosesor seperti yang ditetapkan dalam Lampiran I.B.
4. Pada Tabel 4 SCC Inggris, baik importir data maupun eksportir data dapat mengakhiri SCC Inggris sesuai dengan ketentuan SCC Inggris.

Bagian 2: Klausul Wajib

Klausul Wajib dari Adendum yang Disetujui, menjadi template Adendum B.1.0 yang dikeluarkan oleh ICO dan diajukan ke Parlemen sesuai dengan s119A Undang-Undang Perlindungan Data 2018 pada 2 Februari 2022, karena direvisi berdasarkan Bagian 18 dari Klausul Wajib tersebut.