GoDaddy

ADENDUM PEMROSESAN DATA (PELANGGAN)

Terakhir Direvisi: 27/09/2021

Adendum Pemrosesan Data (“Adendum”) ini dijalankan oleh dan antara GoDaddy.com, LLC, a Delaware limited liability company dan Afiliasinya (“GoDaddy”) dan Anda (“Pelanggan”). Adendum dicantumkan dan ditambahkan dalam Ketentuan Layanan Universal, Kebijakan Privasi, serta setiap dan seluruh perjanjian yang mengatur Layanan yang Tercakup (secara kolektif disebut “Ketentuan Layanan”).  Kecuali ditetapkan sebaliknya dalam Adendum ini, semua ketentuan dalam huruf kapital yang tidak disebutkan dalam Adendum ini akan memiliki arti sesuai dengan Ketentuan Layanan.

1. Definisi

Afiliasi” berarti entitas yang dikontrol oleh, mengontrol, atau memiliki kontrol yang sama dengan GoDaddy.

CCPA” berarti Undang-Undang Privasi Konsumen California (California Consumer Privacy Act) dalam Cal. Civ. Code 1798.100 dan seterusnya, termasuk setiap amendemen dan peraturan penerapan di dalamnya yang berlaku efektif saat atau setelah tanggal berlaku efektif Adendum Pemrosesan Data ini.

Layanan Tercakup” berarti layanan yang di-host yang dapat melibatkan Pemrosesan Data Pribadi serta tunduk pada syarat dan ketentuan Perjanjian berikut: (1) Layanan Pemasaran Email, (2) Hosting, (3) Toko Online/Keranjang Belanja Cepat, (4) Layanan Situs Web, (5) Layanan Workspace.

“Data Pelanggan” berarti Data Pribadi setiap Subjek Data yang Diproses oleh GoDaddy dalam Jaringan GoDaddy atas nama Pelanggan sesuai dengan atau sehubungan dengan Ketentuan Layanan.

Pengontrol Data” berarti Pelanggan sebagai entitas yang menentukan tujuan dan sarana Pemrosesan Data Pribadi.

Pemroses Data” berarti GoDaddy sebagai entitas yang Memproses Data Pribadi atas nama Pengontrol Data atau penyedia layanan sebagaimana didefinisikan oleh CCPA.

Undang-Undang Perlindungan Data” berarti semua undang-undang dan peraturan perlindungan atau privasi data yang berlaku untuk Pemrosesan Data Pribadi berdasarkan Perjanjian, termasuk (i) Prinsip Privasi Australia dan Undang-Undang Privasi Australia (1988), (ii) Lei Geral de Proteção de Dados (LGPD) Brasil), (iii) Undang-Undang Privasi Konsumen California (CCPA), (iv) Undang-Undang Perlindungan Informasi Pribadi dan Dokumen Elektronik Federal Kanada (PIPEDA), (v) Peraturan Perlindungan Data Umum (GDPR) Uni Eropa, (vi) undang-undang perlindungan data nasional apa pun yang dibuat berdasarkan atau sesuai dengan GDPR (vii) Petunjuk e-Privasi (Petunjuk 2002/58/EC) UE, (viii) Undang-Undang Perlindungan Data Pribadi (PDPA) Singapura tahun 2012, (ix) Undang-Undang Perlindungan Data Federal Swiss tertanggal 19 Juni 1992 dan Ordonansinya, (x) GDPR Inggris atau Undang-Undang Perlindungan Data 2018; dalam setiap kasus sebagaimana dapat diamendemen, ditiadakan, atau diganti.

Subjek Data” berarti individu yang terkait dengan Data Pribadi.

EEA” berarti European Economic Area (Wilayah Ekonomi Eropa).

GDPR” berarti Peraturan (UE) 2016/679 Parlemen Eropa dan Dewan Eropa tertanggal 27 April 2016 tentang perlindungan orang pribadi sehubungan dengan pemrosesan data pribadi dan pergerakan bebas data tersebut, serta pembatalan Petunjuk 95/46/EC (Peraturan Perlindungan Data Umum).

Jaringan GoDaddy” berarti fasilitas, server, peralatan jaringan, dan sistem perangkat lunak host pusat data GoDaddy (misalnya, firewall virtual) yang berada dalam kendali GoDaddy dan digunakan untuk menyediakan Layanan Tercakup.

Data Pribadi” berarti informasi apa pun terkait orang atau rumah tangga yang diidentifikasi atau dapat diidentifikasi sebagaimana didefinisikan berdasarkan Undang-Undang Perlindungan Data.

Pemrosesan” berarti setiap operasi atau rangkaian operasi yang dilakukan pada Data Pribadi, baik secara otomatis maupun tidak, seperti pengumpulan, pencatatan, pengelompokan, penataan, penyimpanan, adaptasi atau pengubahan, pengambilan, konsultasi, penggunaan, pengungkapan melalui transmisi, diseminasi, maupun penyediaan, penyelarasan atau penggabungan, pembatasan, penghapusan, atau penghancuran. “Proses”, “memproses”, dan “diproses” akan diinterpretasikan sesuai ketentuan. Detail Pemrosesan diuraikan dalam Apendiks 1.

Insiden Keamanan” baik (a) pelanggaran keamanan terhadap Standar Keamanan GoDaddy yang menyebabkan penghancuran tanpa disengaja atau yang melanggar hukum, kehilangan, perubahan, pengungkapan yang tidak sah, atau akses ke Data Pelanggan; atau (b) akses yang tidak sah ke peralatan atau fasilitas GoDaddy, sehingga akses tersebut mengakibatkan penghancuran, kehilangan, pengungkapan yang tidak sah, atau perubahan Data Pelanggan.

Standar Keamanan” berarti standar keamanan yang tercantum dalam Adendum ini sebagai Apendiks 2.

"Data Sensitif" berarti (a) nomor jaminan sosial, nomor paspor, nomor SIM, atau tanda pengenal serupa (atau bagiannya); (b) nomor kartu kredit atau debit (selain yang terpotong (empat digit terakhir) dari kartu kredit atau debit), informasi keuangan, nomor rekening bank, atau kata sandi; (c) informasi pekerjaan, keuangan, genetik, biometrik, atau kesehatan; (d) afiliasi ras, etnis, politik, atau agama, keanggotaan serikat pekerja, atau informasi tentang kehidupan seksual maupun orientasi seksual; (e) kata sandi akun, nama gadis ibu, atau tanggal lahir; (f) riwayat kriminal; atau (g) informasi atau kombinasi informasi lain yang termasuk dalam definisi “kategori data khusus” menurut GDPR atau undang-undang maupun peraturan lain yang berlaku terkait privasi dan perlindungan data.

Klausul Kontrak Standar” atau “SCC” berarti klausul perlindungan data standar untuk transfer data pribadi dari pengontrol kepada pemroses yang ditetapkan di negara ketiga yang tidak memastikan tingkat perlindungan data yang memadai, sebagaimana dijelaskan dalam Pasal 46 GDPR dan disetujui oleh keputusan Komisi Eropa 2021/914 tertanggal 4 Juni 2021. Klausul Kontrak Standar Modul Dua (Pengontrol ke Pemroses) terdapat di Apendiks 4.

Subpemroses” berarti setiap Pemroses Data yang dilibatkan oleh Pemroses untuk Memproses data atas nama Pengontrol Data.

Klausul Kontrak Standar Inggris” berarti klausul perlindungan data standar untuk transfer data pribadi kepada pemroses yang ditetapkan di negara ketiga yang tidak memastikan tingkat perlindungan data yang memadai, sebagaimana dijelaskan dalam Pasal 46 GDPR Inggris dan disetujui oleh keputusan Komisi Eropa 2010/87/UE. Klausul Kontrak Standar Inggris terdapat di Apendiks 4.                            

2. Pemrosesan Data

2.1 Ruang Lingkup dan Peran. Adendum ini berlaku bila Data Pelanggan diproses oleh GoDaddy dengan GoDaddy yang bertindak sebagai Pemroses Data atas nama Pelanggan sebagai Pengontrol Data terkait Data Pelanggan.

2.2 Detail Pemrosesan Data. Masalah pokok pemrosesan Data Pelanggan oleh GoDaddy adalah pelaksanaan Layanan Tercakup sesuai dengan Ketentuan Layanan. GoDaddy hanya Memproses Data Pelanggan atas nama dan sesuai dengan instruksi Pelanggan yang didokumentasikan untuk tujuan berikut: (i) Pemrosesan sesuai dengan Ketentuan Layanan; (ii) Pemrosesan yang dimulai oleh pengguna akhir dalam penggunaan Layanan Tercakup; (iii) Pemrosesan untuk mematuhi instruksi lain yang wajar dan didokumentasikan yang disediakan oleh Pelanggan (misalnya, melalui email) yang instruksinya sesuai dengan Ketentuan Layanan. GoDaddy tidak: (a) memproses, menyimpan, menggunakan, menjual, atau mengungkap Data Pelanggan kecuali sebagaimana diperlukan untuk menyediakan Layanan Tercakup sesuai dengan Ketentuan Layanan, atau sebagaimana diharuskan oleh hukum; (b) menjual Data Pelanggan tersebut kepada pihak ketiga; (c) menyimpan, menggunakan, atau mengungkap Data Pelanggan tersebut di luar hubungan bisnis langsung antara GoDaddy dan Pelanggan.

Guna menghindari keraguan, instruksi Pelanggan untuk Pemrosesan Data Pribadi harus mematuhi semua undang-undang privasi data yang berlaku. Pelanggan bertanggung jawab penuh atas keakuratan, kualitas, serta keabsahan Data Pribadi dan cara yang digunakan Pelanggan untuk memperoleh Data Pribadi. GoDaddy tidak diwajibkan untuk mematuhi atau mengikuti instruksi Pelanggan jika instruksi tersebut melanggar Undang-Undang Perlindungan Data. Durasi Pemrosesan, sifat dan tujuan Pemrosesan, jenis Data Pribadi, dan kategori Subjek Data yang Diproses berdasarkan Adendum ini dijelaskan lebih lanjut di Apendiks 1 (‘Detail Pemrosesan’) pada Adendum ini.

3. Kerahasiaan Data Pelanggan

GoDaddy tidak akan mengungkapkan Data Pelanggan kepada pemerintah atau pihak ketiga mana pun, kecuali jika diperlukan untuk mematuhi hukum atau perintah yang valid dan mengikat dari lembaga penegak hukum (seperti panggilan pengadilan atau perintah pengadilan). Apabila GoDaddy menerima surat panggilan pengadilan sipil yang valid, dan sejauh diizinkan, GoDaddy akan berupaya keras untuk menyampaikan, dengan waktu pemberitahuan yang masuk akal, panggilan tersebut kepada Pelanggan melalui email atau surat pos sehingga Pelanggan berkesempatan untuk berupaya mendapatkan surat perintah perlindungan dari pengadilan atau upaya hukum lain yang sesuai.

4. Keamanan

4.1 GoDaddy telah menerapkan dan akan mempertahankan tindakan teknis dan organisasi untuk Jaringan GoDaddy sebagaimana dijelaskan di Bagian ini dan sebagaimana dijelaskan lebih lanjut dalam Apendiks 2 pada Adendum ini, Standar Keamanan. Secara khusus, GoDaddy telah menerapkan dan akan mempertahankan tindakan teknis dan organisasi berikut yang menangani (i) keamanan Jaringan GoDaddy; (ii) keamanan fisik fasilitas; (iii) kontrol terhadap akses karyawan dan kontraktor ke (i) dan/atau (ii); dan (iv) proses untuk menguji, menilai, dan mengevaluasi efektivitas tindakan teknis dan organisasi yang diterapkan oleh GoDaddy. Jika kami tidak dapat memenuhi kewajiban yang diuraikan di sini, kami akan segera menyampaikan pemberitahuan tertulis (melalui situs web dan email kami).

4.2 GoDaddy menyediakan sejumlah fitur dan fungsionalitas keamanan yang dapat digunakan oleh Pelanggan sehubungan dengan Layanan yang Tercakup. Pelanggan bertanggung jawab untuk (a) mengonfigurasi Layanan yang Tercakup dengan benar, (b) menggunakan kontrol yang tersedia sehubungan dengan Layanan yang Tercakup (termasuk kontrol keamanan) untuk memastikan kerahasiaan, integritas, ketersediaan, dan ketahanan sistem pemrosesan dan layanan yang berkelanjutan, (c) menggunakan kontrol yang tersedia sehubungan dengan Layanan yang Tercakup (termasuk kontrol keamanan) untuk memungkinkan Pelanggan mengembalikan ketersediaan dan akses ke Data Pelanggan tepat waktu jika terjadi insiden fisik atau teknis (misalnya pencadangan dan pengarsipan rutin Data Pelanggan), dan (d) mengambil langkah yang dianggap memadai oleh Pelanggan untuk mempertahankan keamanan, perlindungan, dan penghapusan Data Pelanggan yang sesuai, yang mencakup penggunaan teknologi enkripsi untuk melindungi Data Pelanggan dari akses dan tindakan tidak sah untuk mengontrol hak akses ke Data Pelanggan.

5. Hak Subjek Data

Dengan mempertimbangkan sifat Layanan yang Tercakup, GoDaddy menawarkan kontrol tertentu kepada Pelanggan sebagaimana dijelaskan dalam bagian “Keamanan” pada Adendum ini yang dapat digunakan Pelanggan untuk mengambil, memperbaiki, menghapus, atau membatasi penggunaan dan pembagian Data Pelanggan sebagaimana dijelaskan dalam Layanan yang Tercakup. Pelanggan dapat menggunakan kontrol ini sebagai tindakan teknis dan organisasi untuk membantu sehubungan dengan kewajibannya berdasarkan undang-undang privasi yang berlaku, termasuk kewajibannya yang terkait dengan menanggapi permintaan dari Subjek Data. Sejauh wajar secara komersial, dan sejauh diperlukan atau diizinkan oleh hukum, GoDaddy harus segera memberi tahu Pelanggan jika GoDaddy menerima permintaan secara langsung dari Subjek Data untuk melaksanakan hak tersebut berdasarkan undang-undang privasi data yang berlaku (“Permintaan Subjek Data”). Selain itu, jika penggunaan Pelanggan atas Layanan yang Tercakup membatasi kemampuannya untuk menangani Permintaan Subjek Data, GoDaddy dapat, jika diizinkan secara hukum dan sesuai dan atas permintaan tertentu Pelanggan, memberikan bantuan yang wajar secara komersial dalam menangani permintaan, dengan biaya dari Pelanggan (jika ada).

6. Sub-Pemrosesan

6.1 Sub-pemroses Resmi. Pelanggan setuju bahwa GoDaddy dapat menggunakan Sub-pemroses untuk memenuhi kewajiban kontraktualnya berdasarkan Ketentuan Layanan dan Adendum ini atau untuk memberikan layanan tertentu atas namanya, seperti memberikan layanan dukungan. Dengan ini, Pelanggan menyetujui penggunaan Sub-pemroses oleh GoDaddy sebagaimana dijelaskan pada Bagian ini. Kecuali sebagaimana diuraikan dalam Bagian ini atau secara tegas diizinkan oleh Anda, GoDaddy tidak akan mengizinkan aktivitas sub-pemrosesan lainnya.

6.2 Kewajiban Sub-pemroses. Jika GoDaddy menggunakan Sub-pemroses resmi apa pun sebagaimana dijelaskan dalam Bagian 6.1:

(i) GoDaddy akan membatasi akses Sub-pemroses ke Data Pelanggan hanya untuk hal yang diperlukan untuk mempertahankan Layanan yang Tercakup atau untuk menyediakan Layanan yang Tercakup kepada Pelanggan dan pengguna akhir sesuai dengan Layanan yang Tercakup. GoDaddy akan melarang Sub-pemroses mengakses Data Pelanggan untuk tujuan lainnya;

(ii) GoDaddy akan terlibat dalam perjanjian tertulis dengan Sub-pemroses dan, dengan batasan bahwa Sub-pemroses melakukan layanan pemrosesan data yang sama dengan yang diberikan oleh GoDaddy berdasarkan Adendum ini, GoDaddy akan memberlakukan kewajiban kontrak yang sama dengan yang dimiliki GoDaddy berdasarkan Adendum ini kepada Sub-pemroses; dan

(iii) GoDaddy akan tetap bertanggung jawab atas kepatuhannya terhadap kewajiban Adendum ini dan untuk setiap tindakan atau kelalaian Sub-pemroses yang menyebabkan GoDaddy melanggar salah satu kewajiban GoDaddy berdasarkan Adendum ini.

6.3 Subpemroses Baru.  Dari waktu ke waktu, kami mungkin mempekerjakan Subpemroses baru berdasarkan dan sesuai dengan ketentuan dalam Adendum ini.  Dalam kasus tersebut, kami akan menyampaikan pemberitahuan awal 30 hari (melalui situs web dan email kami) sebelum Subpemroses baru memperoleh Data Pelanggan. Jika tidak menyetujui Subpemroses yang baru, Pelanggan Anda dapat mengakhiri Layanan Tercakup tanpa dikenakan penalti dengan menyampaikan pemberitahuan tertulis, dalam waktu 10 hari sejak menerima pemberitahuan dari kami, terkait pengakhiran yang mencantumkan penjelasan tentang alasan penolakan Anda. Jika Layanan Tercakup merupakan bagian dari bundle atau pembelian bundle, maka pengakhiran akan berlaku untuk seluruh bundle tersebut.

7. Insiden Keamanan

7.1 Insiden Keamanan. Jika GoDaddy mengetahui adanya Insiden Keamanan, tanpa penundaan yang tidak perlu, GoDaddy akan: (a) memberi tahu Pelanggan tentang Insiden Keamanan; dan (b) mengambil langkah-langkah yang wajar untuk mengurangi dampak dan meminimalkan kerugian yang diakibatkan oleh Insiden Keamanan.

7.2 Bantuan GoDaddy.  Untuk membantu Pelanggan sehubungan dengan pemberitahuan pelanggaran data pribadi yang wajib dibuat oleh Pelanggan berdasarkan hukum privasi yang berlaku, GoDaddy akan menyertakan informasi tentang Insiden Keamanan tersebut pada pemberitahuan karena GoDaddy dapat mengungkapkan kepada Pengguna, dengan mempertimbangkan sifat Layanan yang Tercakup, informasi yang tersedia untuk GoDaddy, dan larangan apa pun untuk mengungkapkan informasi, seperti kerahasiaan.  

7.3 Insiden Keamanan yang Gagal. Pelanggan menyetujui bahwa:

(i) Insiden Keamanan yang gagal tidak akan tunduk pada ketentuan Adendum ini. Insiden keamanan yang gagal adalah insiden keamanan yang tidak menyebabkan akses tidak sah ke Data Pelanggan atau ke salah satu Jaringan, peralatan, atau fasilitas GoDaddy yang menyimpan Data Pelanggan, dan dapat mencakup, tanpa batasan, ping dan serangan penyiaran lainnya terhadap firewall atau server tepi, port scan, upaya masuk yang tidak berhasil, serangan penolakan layanan, packet sniffing (atau akses lain yang tidak sah ke data lalu lintas yang tidak menyebabkan akses di luar header), atau insiden serupa; dan

(ii) Kewajiban GoDaddy untuk melaporkan atau menanggapi Insiden Keamanan berdasarkan Bagian ini tidak dan tidak akan dianggap sebagai pengakuan oleh GoDaddy atas setiap kesalahan atau kewajiban GoDaddy sehubungan dengan Insiden Keamanan.

7.4 Pemberitahuan. Pemberitahuan Insiden Keamanan, jika ada, akan dikirim ke salah satu atau beberapa administrator Pelanggan dengan cara apa pun yang dipilih GoDaddy, termasuk melalui email. Pelanggan bertanggung jawab sepenuhnya untuk memastikan administrator Pelanggan memiliki informasi kontak yang akurat di konsol manajemen GoDaddy dan transmisi aman setiap saat.

8. Hak Pelanggan

8.1 Penentuan Independen. Pelanggan bertanggung jawab untuk meninjau informasi yang disediakan oleh GoDaddy terkait keamanan data dan Standar Keamanannya, serta membuat penentuan independen apakah Layanan yang Tercakup memenuhi persyaratan Pelanggan dan kewajiban hukum, serta kewajiban Pelanggan berdasarkan Adendum ini. Informasi yang tersedia dimaksudkan untuk membantu Pelanggan mematuhi kewajiban Pelanggan berdasarkan undang-undang privasi yang berlaku, termasuk GDPR, sehubungan dengan penilaian dampak perlindungan data dan konsultasi sebelumnya.

8.2 Hak Audit Pelanggan. Pelanggan berhak mengonfirmasi kepatuhan GoDaddy terhadap Adendum ini sebagaimana berlaku untuk Layanan Tercakup dengan membuat permintaan khusus secara tertulis, pada interval yang wajar, ke alamat yang diuraikan dalam Ketentuan Layanan. Jika GoDaddy menolak untuk mengikuti instruksi apa pun yang diminta oleh Pelanggan terkait audit atau inspeksi yang diminta dan diperiksa dengan benar, Pelanggan berhak mengakhiri Adendum ini dan Ketentuan Layanan.

9. Transfer Data Pelanggan

9.1 Pemrosesan yang Berlokasi di AS. Kecuali jika secara khusus disebutkan dalam Ketentuan Layanan, Data Pelanggan akan ditransfer ke luar Inggris atau EEA dan diproses di Amerika Serikat.

9.2 Penerapan Klausul Kontrak Standar. Klausul Kontrak Standar akan berlaku untuk Data Pelanggan yang ditransfer ke luar EEA, baik secara langsung maupun melalui transfer selanjutnya, ke negara mana pun yang tidak diakui oleh Komisi Eropa sebagai negara yang memberikan tingkat perlindungan yang memadai untuk Data Pelanggan. Klausul Kontrak Standar tidak akan berlaku untuk Data Pelanggan yang tidak ditransfer, baik secara langsung maupun melalui transfer selanjutnya, ke luar EEA. Tanpa mengabaikan pernyataan sebelumnya, Klausul Kontrak Standar tidak akan berlaku jika data ditransfer berdasarkan standar kepatuhan yang diakui untuk transfer Data Pribadi yang sah ke luar EEA, misalnya, bila diperlukan untuk pelaksanaan Layanan Tercakup sesuai dengan Ketentuan Layanan atau izin Anda.

9.3 Application of UK Standard Contractual Clauses. The UK Standard Contractual Clauses will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK Standard Contractual Clauses will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK Standard Contractual Clauses will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

10. Penghentian Adendum

Adendum ini akan terus berlaku hingga penghentian pemrosesan yang sesuai dengan Ketentuan Layanan (“Tanggal Penghentian”).   

11. Pengembalian atau Penghapusan Data Pelanggan

Sebagaimana dijelaskan dalam Layanan Tercakup, Pelanggan mungkin diberikan kontrol yang dapat digunakan untuk mengambil atau menghapus Data Pelanggan. Penghapusan Data Pelanggan akan dilakukan dalam 30 (tiga puluh) hari setelah Tanggal Pengakhiran, dengan tunduk pada ketentuan Layanan Tercakup yang dimaksud.

12. Batasan Tanggung Jawab

Tanggung jawab setiap pihak yang terikat dalam Adendum ini akan tunduk pada pengecualian dan batasan tanggung jawab yang ditetapkan dalam Ketentuan Layanan. Pelanggan menyetujui bahwa setiap penalti peraturan yang dikeluarkan oleh GoDaddy sehubungan dengan Data Pelanggan yang muncul sebagai akibat dari, atau terkait dengan, kegagalan Pelanggan untuk mematuhi kewajiban berdasarkan Adendum ini dan hukum privasi yang berlaku akan diperhitungkan dan mengurangi tanggung jawab GoDaddy berdasarkan Ketentuan Layanan seolah-olah tanggung jawab tersebut adalah untuk pelanggan berdasarkan Ketentuan Layanan.

13. Seluruh Ketentuan Layanan; Pertentangan.

Adendum ini meniadakan dan menggantikan semua pernyataan, pemahaman, perjanjian, atau komunikasi sebelumnya atau yang dilakukan bersama antara Pelanggan dan GoDaddy, baik secara tertulis maupun lisan, terkait materi pokok Adendum ini, termasuk setiap adendum pemrosesan data yang disepakati antara GoDaddy dan Pelanggan terkait pemrosesan data pribadi dan pergerakan bebas data tersebut.  Kecuali sebagaimana diubah oleh Adendum ini, Ketentuan Layanan akan tetap berlaku efektif dan memiliki kekuatan penuh.  Jika terdapat pertentangan antara Ketentuan Layanan dan Adendum ini, maka ketentuan Adendum ini yang akan berlaku.

Apendiks 1

 DETAIL PEMROSESAN

 1. Sifat dan Tujuan Pemrosesan. GoDaddy akan Memproses Data Pelanggan sebagaimana diperlukan untuk melaksanakan Layanan Tercakup sesuai dengan Ketentuan Layanan dan sebagaimana diinstruksikan lebih lanjut oleh Pelanggan selama penggunaan Layanan Tercakup.

 2. Durasi Pemrosesan. Berdasarkan Bagian 10 dan 11 dalam Adendum ini, GoDaddy akan Memproses Data Pelanggan selama tanggal berlaku efektif Ketentuan Layanan. Tanpa mengabaikan pernyataan sebelumnya, GoDaddy dapat menyimpan Data Pelanggan, atau sebagian darinya, jika diwajibkan oleh undang-undang atau peraturan yang berlaku, termasuk Undang-Undang Perlindungan Data yang berlaku, dengan ketentuan bahwa Data Pelanggan tersebut tetap dilindungi sesuai dengan ketentuan Adendum ini dan Undang-Undang Perlindungan Data yang berlaku.

3. Kategori Subjek Data. Pelanggan dapat mengunggah Data Pribadi dalam penggunaan Layanan yang Tercakup, sejauh ditentukan dan dikontrol oleh Pelanggan berdasarkan kebijaksanaannya sendiri, dan yang dapat mencakup, tetapi tidak terbatas pada, Data Pribadi yang terkait dengan kategori Subjek Data berikut:

  • Kandidat, pelanggan, mitra bisnis, dan vendor Pelanggan (yang merupakan pribadi manusia)
  • Karyawan atau narahubung kandidat, pelanggan, mitra bisnis, dan vendor Pelanggan
  • Karyawan, agen, konsultan, pekerja lepas Pelanggan (yang merupakan pribadi manusia)
  • Pengguna Pelanggan yang diberi wewenang oleh Pelanggan untuk menggunakan Layanan yang Tercakup

4. Kategori Data Pribadi. Pelanggan dapat mengunggah Data Pribadi selama menggunakan Layanan Tercakup, yang jenis dan cakupannya ditentukan dan dikendalikan oleh Pelanggan berdasarkan kebijaksanaannya sendiri dan yang dapat mencakup, tetapi tidak terbatas pada, kategori Data Pribadi dari Subjek Data berikut: 

  • Nama
  • Alamat
  • Nomor telepon
  • Tanggal lahir
  • Alamat email
  • Data lain yang dikumpulkan yang dapat mengidentifikasi subjek data baik secara langsung maupun tidak langsung.

5. Data Sensitif atau Kategori Data Khusus. Pelanggan dapat mengunggah Data Sensitif selama menggunakan Layanan Tercakup, yang jenis dan cakupannya ditentukan dan dikendalikan oleh Pelanggan berdasarkan kebijaksanaannya sendiri. Pelanggan bertanggung jawab untuk menerapkan pembatasan atau pengamanan yang sepenuhnya mempertimbangkan sifat data dan risiko terkait sebelum mentransmisi atau memproses Data Sensitif melalui Layanan Tercakup.

Apendiks 2

Standar Keamanan

I.  Tindakan Teknis dan Organisasi  

Kami berkomitmen untuk melindungi informasi pelanggan kami.  Dengan mempertimbangkan praktik terbaik, biaya pelaksanaan dan sifat, ruang lingkup, keadaan, dan tujuan pemrosesan, serta kemungkinan kejadian dan tingkat keparahan risiko yang berbeda terhadap hak dan kebebasan pribadi manusia, kami melakukan tindakan teknis dan organisasi berikut.  Kami mempertimbangkan kerahasiaan, integritas, ketersediaan, dan ketahanan sistem ketika memilih tindakan ini. Pemulihan cepat setelah insiden fisik atau teknis dijamin.

II.  Program Privasi Data  

Program Privasi Data kami diciptakan untuk mempertahankan struktur tata kelola data global dan mengamankan informasi selama siklus hidupnya. Program ini dikelola oleh departemen perlindungan data, yang mengawasi pelaksanaan praktik privasi dan tindakan keamanan. Kami menguji, menilai, dan mengevaluasi efektivitas Program Privasi Data dan Standar Keamanan secara berkala.

1. Kerahasiaan. “Kerahasiaan artinya data pribadi terlindung dari pengungkapan yang tidak sah.”  

Kami menggunakan berbagai tindakan fisik dan logis untuk melindungi kerahasiaan data pribadi pelanggannya. Tindakan tersebut meliputi:   

  Keamanan Fisik  

  • Sistem kontrol akses fisik yang tepat (Kontrol akses lencana, Pemantauan kejadian keamanan, dll.) 
  • Sistem pengawasan termasuk alarm dan, jika diperlukan, pemantauan CCTV  
  • Kebijakan dan kontrol meja bersih yang tepat (Mengunci komputer yang tidak digunakan, mengunci lemari, dll.)  
  •  Manajemen Akses Pengunjung 
  • Penghancuran data pada media dan dokumen fisik (pemotongan, demagnetisasi, dll.)

  Kontrol Akses & Pencegahan Akses yang Tidak Sah 

  • Pembatasan akses pengguna yang diterapkan dan izin akses berbasis peran yang diberikan/ditinjau berdasarkan prinsip pemisahan tugas  
  • Metode autentikasi dan otorisasi yang kuat (Autentikasi multifaktor, otorisasi berdasarkan sertifikat, penonaktifan/penerapan sistem keluar otomatis, dll.) 
  • Manajemen kata sandi terpusat dan kebijakan kata sandi kuat/rumit (panjang minimum, kerumitan karakter, masa berlaku kata sandi, dll.)   
  • Akses terkontrol ke email dan Internet 
  • Manajemen anti-virus  
  • Manajemen Sistem Pencegahan Penerobosan

Enkripsi   

  • Enkripsi komunikasi eksternal dan internal melalui protokol kriptografi yang kuat  
  • Mengenkripsi data PII/SPII yang disimpan dalam bentuk digital (database, direktori bersama, dll.)   
  • Enkripsi disk penuh untuk PC dan laptop perusahaan   
  • Enkripsi media penyimpanan  
  • Koneksi jarak jauh ke jaringan perusahaan dienkripsi melalui VPN  
  • Mengamankan siklus hidup kunci enkripsi

 Minimalisasi Data    

  • Minimalisasi PII/SPI dalam aplikasi, penerapan debug, dan log keamanan  
  • Penerapan pseudonim pada data pribadi untuk mencegah identifikasi individu secara langsung 
  • Segregasi data yang disimpan menurut fungsi (pengujian, perencanaan, penerapan) 
  • Segregasi data logis menurut hak akses berbasis peran 
  • Periode retensi data yang telah ditetapkan untuk data pribadi 

Pengujian Keamanan     

  • Pengujian Penetrasi untuk jaringan dan platform perusahaan penting yang menghosting data pribadi 
  • Pemindaian jaringan dan kerentanan berkala

2. Integritas. “Integritas artinya memastikan kebenaran (keutuhan) data dan fungsi sistem yang benar. Jika istilah integritas digunakan sehubungan dengan istilah “data”, integritas menyatakan bahwa data lengkap dan tidak berubah.”  

Kontrol manajemen log dan perubahan yang sesuai berlaku, selain kontrol akses, agar dapat menjaga integritas data pribadi seperti:    

Manajemen Rilis & Perubahan    

  • Mengubah dan merilis proses manajemen yang termasuk (analisis dampak, persetujuan, pengujian, peninjauan keamanan, perencanaan, pemantauan, dll.)  
  • Penyediaan akses berbasis Peran & Fungsi (Pemisahan Tugas) di lingkungan produksi

Pencatatan & Pemantauan

  • Pencatatan akses dan perubahan data  
  • Log keamanan & audit terpusat   
  • Memantau kelengkapan dan kebenaran transfer data (pemeriksaan menyeluruh)

3. Ketersediaan. “Ketersediaan layanan dan sistem TI, aplikasi TI, dan fungsi jaringan TI atau informasi dijamin, jika pengguna dapat menggunakannya setiap saat sebagaimana dimaksud.”    

Kami menerapkan tindakan berkelanjutan dan keamanan yang sesuai untuk mempertahankan ketersediaan layanannya dan data yang berada dalam layanan tersebut:    

  • Pengujian kegagalan (fail-over) berkala yang diterapkan untuk layanan penting  
  • Pemantauan dan pelaporan kinerja/ketersediaan ekstensif untuk sistem penting  
  • Rancangan respons insiden  
  • Data penting baik yang direplikasi maupun dicadangkan (Pencadangan Awan/Hard Disk/Replikasi Database, dll.) 
  • Pemeliharaan perangkat lunak, infrastruktur, dan keamanan terencana yang tepat (Pembaruan perangkat lunak, patch keamanan, dll.)   
  • Sistem yang canggih dan melimpah (kluster server, database yang dicerminkan, penyiapan ketersediaan tinggi, dll.) yang berada di lokasi berbeda (off-site) dan/atau terpisah secara geografis    
  • Penggunaan penyedia daya yang tidak pernah terputus, perangkat keras dan sistem jaringan melimpah yang gagal  
  • Alarm, sistem keamanan yang tepat  
  • Tindakan Perlindungan Fisik yang tepat untuk situs penting (pelindung lonjakan, lantai yang lebih tinggi, sistem pendingin, pendeteksi api dan/atau asap, sistem pemadaman api, dll.) 
  • Perlindungan DDOS untuk mempertahankan ketersediaan   
  • Pengujian Muatan & Beban

4Instruksi Pemrosesan Data. "Instruksi Pemrosesan Data berarti memastikan data pribadi hanya akan diproses sesuai dengan instruksi pengontrol data dan tindakan perusahaan yang terkait"  

Kami telah menetapkan kebijakan privasi internal, perjanjian, dan melakukan pelatihan privasi secara rutin bagi karyawan untuk memastikan data pribadi diproses sesuai dengan preferensi dan instruksi pelanggan.   

  • Ketentuan privasi dan kerahasiaan diterapkan dalam kontrak karyawan 
  • Pelatihan privasi dan keamanan data secara rutin bagi karyawan 
  • Ketetapan kontrak yang sesuai untuk perjanjian dengan subkontraktor guna mempertahankan hak kontrol instruksional 
  • Pemeriksaan privasi secara rutin untuk penyedia layanan eksternal 
  • Memberikan kontrol penuh kepada pelanggan atas preferensi pemrosesan data mereka 
  • Audit keamanan secara rutin 

Apendiks 3 - Subpemroses GoDaddy

Nama Perusahaan
Negara Pendirian
Deskripsi Layanan
Kategori Data
Acronis International GmbH Swiss Cadangan pelanggan Snapshot cadangan.
Automattic Inc Amerika Serikat Plugin dan add-on WooCommerce dalam WordPress Ecommerce. Profil pengguna WordPress pelanggan (termasuk nama dan alamat email) dan karyawan/kontraktor.
Cisco International Limited, Cisco Solutions GmbH, Cisco Systems Inc Inggris, Jerman, Amerika Serikat Sediakan dan kelola solusi jaringan sebagai bagian dari jaringan; termasuk analisis metadata. Memproses metadata alamat IP, catatan waktu, dan lalu lintas jaringan
cPanel Inc Amerika Serikat Perangkat lunak manajemen cPanel untuk produk Hosting dan Server. Setiap data pelanggan yang disimpan dalam cPanel.
DENIC eG Jerman Pendaftaran domain .de Semua informasi akun yang diperlukan untuk menyediakan domain. Informasi Whois.
Equinix Netherlands BV Belanda Fasilitas lokasi bersama pusat data di Belanda. Tidak ada data pribadi yang sengaja diproses.
EURid vzw Belgia Pendaftaran domain .eu Semua informasi akun yang diperlukan untuk menyediakan domain. Informasi Whois.
Juniper Networks Inc Amerika Serikat Sediakan dan kelola solusi jaringan sebagai bagian dari jaringan; termasuk analisis metadata. Alamat IP, catatan waktu, lalu lintas jaringan
LivePerson Inc Amerika Serikat Alat bantu obrolan "LiveEngage" di situs web kami. Transkrip obrolan, informasi otomatis seperti alamat IP, sistem operasi, dan jenis perangkat.
LvivIT Ukraina Menyediakan dukungan platform operasional. Semua informasi akun pelanggan.
OVH Groupe SAS Prancis Fasilitas lokasi bersama pusat data di Jerman, penjualan kembali produk server. Data yang di-host pelanggan termasuk tetapi tidak terbatas pada situs web, aplikasi, dan data dari pelanggannya pelanggan.  Ini mungkin juga mencakup lalu lintas jaringan.
Plesk International GmbH Jerman Panel kontrol Plesk untuk VPS dan Dedicated Server serta Website Builder Plus. Data pelanggan yang disimpan dalam panel kontrol Plesk dan data pelanggan yang disimpan di situs web yang di-host.
Datadock SARL Prancis Fasilitas lokasi bersama pusat data di Prancis. Layanan perangkat keras dan jaringan. Tidak ada data pribadi yang sengaja diproses.
GoDaddy Media Temple Inc d/b/a Sucuri Amerika Serikat
Produk SAAS: Amankan situs web pelanggan dari malware
Semua informasi akun yang diperlukan untuk penyediaan situs web, serta data pelanggan yang disimpan di situs web yang di-host.
GoDaddy Media Temple Inc d/b/a Sucuri Amerika Serikat Internal: Firewall Aplikasi Web di situs web merek kami dan di panel kontrol pelanggan untuk melindungi TI merek dan data pelanggan. Inspeksi lalu lintas situs web. Metadata alamat IP, catatan waktu, dan lalu lintas jaringan.
Starfield Technologies LLC Amerika Serikat Sertifikat SSL. Semua informasi akun pelanggan sebagaimana diperlukan untuk sertifikat SSL.
DomainsByProxy LLC Amerika Serikat Layanan privasi domain. Pendaftaran domain dan detail kontak.
GoDaddy Sellbrite, Inc. Amerika Serikat Alat bantu ritel online Data transaksi dan produk dari toko online.
GoDaddy Payments LLC Amerika Serikat Alat bantu pemrosesan pembayaran.  

Apendiks 4

Lihat Bagian 9.2 Adendum untuk penerapan SCC ini

Klausul Kontrak Standar (Pengontrol hingga Pemroses)

BAGIAN I

Klausul 1

Tujuan dan ruang lingkup

  1. Klausul kontrak standar ini bertujuan untuk memastikan kepatuhan terhadap persyaratan Peraturan (UE) 2016/679 Parlemen Eropa dan Dewan Eropa tertanggal 27 April 2016 tentang perlindungan orang pribadi terkait pemrosesan data pribadi dan pergerakan bebas data tersebut (Peraturan Perlindungan Data Umum) untuk transfer data ke negara ketiga.
  2. Para Pihak:
    1. orang pribadi atau entitas hukum, otoritas publik, lembaga, atau badan lain (selanjutnya disebut 'entitas') yang mentransfer data pribadi, sebagaimana tercantum dalam Lampiran I.A (selanjutnya disebut 'pengekspor data'), dan
    2. entitas di negara ketiga yang menerima data pribadi dari pengekspor data, baik secara langsung maupun tidak langsung melalui entitas lain yang juga Pihak dalam Klausul ini, sebagaimana tercantum dalam Lampiran I.A (selanjutnya disebut setiap 'pengimpor data') telah menyetujui klausul kontrak standar ini (selanjutnya disebut: "Klausul").
  3. Klausul ini berlaku terkait dengan transfer data pribadi sebagaimana disebutkan dalam Lampiran I.B.
  4. Apendiks Klausul berisi Lampiran yang dirujuk di dalamnya merupakan bagian yang tidak terpisahkan dari Klausul ini.

Klausul 2

Efek dan ketetapan Klausul

  1. Klausul ini menetapkan pengamanan yang sesuai, termasuk hak subjek data yang dapat ditegakkan dan solusi hukum yang efektif, sesuai dengan Pasal 46(1) dan Pasal 46(2)(c) Peraturan (UE) 2016/679 dan, terkait transfer data dari pengontrol kepada pemroses dan/atau pemroses kepada pemroses, klausul kontrak standar sesuai dengan Pasal 28(7) Peraturan (UE) 2016/679, asalkan tidak diubah, kecuali untuk memilih Modul yang sesuai atau menambahkan maupun memperbarui informasi dalam Apendiks. Hal ini tidak menghalangi Para Pihak untuk menyertakan klausul kontrak standar yang ditetapkan di Klausul ini dalam kontrak yang lebih luas dan/atau menambahkan klausul lain atau pengamanan ekstra, asalkan tidak bertentangan, baik secara langsung maupun tidak langsung, dengan Klausul ini atau merugikan hak dasar atau kebebasan subjek data.
  2. Klausul ini tidak mengurangi kewajiban pengekspor data berdasarkan Peraturan (UE) 2016/679.

Klausul 3

Penerima manfaat pihak ketiga

  1. Subjek data dapat meminta dan memberlakukan Klausul ini, sebagai penerima manfaat pihak ketiga, terhadap pengekspor data dan/atau pengimpor data, dengan pengecualian berikut:
    1. Klausul 1, Klausul 2, Klausul 3, Klausul 6, Klausul 7;
    2. Klausul 8.1(b), 8.9(a), (c), (d), dan (e);
    3. Klausul 9(a), (c), (d), dan (e);
    4. Klausul 12(a), (d), dan (f);
    5. Klausul 13;
    6. Klausul 15.1(c), (d), dan (e);
    7. Klausul 16(e); (viii) Klausul 18(a) dan (b).
  2. Ayat (a) tidak mengurangi hak subjek data berdasarkan Peraturan (UE) 2016/679.

Klausul 4

Interpretasi

  1. Jika Klausul ini menggunakan istilah yang didefinisikan dalam Peraturan (UE) 2016/679, maka istilah tersebut memiliki arti yang sama seperti dalam Peraturan yang dimaksud.
  2. Klausul ini harus dibaca dan diinterpretasikan berdasarkan ketetapan Peraturan (UE) 2016/679.
  3. Klausul ini tidak boleh diinterpretasikan melalui cara yang bertentangan dengan hak dan kewajiban yang diatur dalam Peraturan (UE) 2016/679.

Klausul 5

Hierarki

Jika terdapat kontradiksi antara Klausul ini dan ketetapan perjanjian terkait di antara Para Pihak saat Klausul ini disetujui atau disepakati setelahnya, maka Klausul ini yang akan berlaku.

Klausul 6

Deskripsi transfer

Detail transfer, khususnya kategori data pribadi yang ditransfer dan tujuan transfernya, disebutkan dalam Lampiran I.B.

Klausul 7 - SENGAJA DIHILANGKAN

BAGIAN II - KEWAJIBAN PARA PIHAK

Klausul 8

Pengamanan perlindungan data

Pengekspor data menjamin bahwa upaya yang wajar telah dikerahkan untuk menentukan pengimpor data, melalui penerapan tindakan teknis dan organisasi yang sesuai, mampu memenuhi kewajibannya berdasarkan Klausul ini.

8.1 Instruksi

  1. Pengimpor data hanya boleh memproses data pribadi sesuai instruksi terdokumentasi dari pengekspor data. Pengekspor data dapat memberikan instruksi tersebut selama masa kontrak.
  2. Pengimpor data harus segera memberi tahu pengekspor data jika tidak dapat mengikuti instruksi tersebut.

8.2 Batasan tujuan

Pengimpor data memproses data pribadi hanya untuk tujuan transfer tertentu, sebagaimana diatur dalam Lampiran I.B, kecuali atas instruksi lebih lanjut dari pengekspor data.

8.3 Transparansi

Berdasarkan permintaan, pengekspor data harus menyediakan salinan Klausul ini, termasuk Apendiks sebagaimana dilengkapi oleh Para Pihak, untuk subjek data secara gratis. Sejauh diperlukan untuk melindungi rahasia bisnis atau informasi rahasia lainnya, termasuk tindakan yang dijelaskan dalam Lampiran II dan data pribadi, pengekspor data dapat menyunting sebagian dari teks Apendiks pada Klausul ini sebelum membagikan salinannya, tetapi harus memberikan ringkasan bermakna agar subjek data dapat memahami isinya atau menggunakan haknya. Berdasarkan permintaan, Para Pihak harus memberikan alasan penyuntingan kepada subjek data semaksimal mungkin tanpa mengungkapkan informasi yang disunting. Klausul ini tidak mengurangi kewajiban pengekspor data berdasarkan Pasal 13 dan 14 Peraturan (UE) 2016/679.

8.4 Keakuratan

Jika pengimpor data mengetahui bahwa data pribadi yang diterima tidak akurat atau bukan versi terbaru, pengimpor data harus memberi tahu pengekspor data tanpa penundaan yang tidak semestinya. Dalam hal ini, pengimpor data harus bekerja sama dengan pengekspor data untuk menghapus atau memperbaiki data tersebut.

8.5 Durasi pemrosesan dan penghapusan atau pengembalian data

Pemrosesan oleh pengimpor data hanya akan berlangsung selama durasi yang ditentukan dalam Lampiran I.B. Setelah berakhirnya ketetapan layanan pemrosesan, atas pilihan pengekspor data, pengimpor data harus menghapus semua data pribadi yang diproses atas nama pengekspor data dan menyatakan kepada pengekspor data bahwa mereka telah melakukannya, atau mengembalikan semua data pribadi yang diproses atas namanya kepada pengekspor data dan menghapus salinan yang ada. Hingga data dihapus atau dikembalikan, pengimpor data harus terus memastikan kepatuhan terhadap Klausul ini. Dalam hal undang-undang setempat yang berlaku untuk pengimpor data yang melarang pengembalian atau penghapusan data pribadi, pengimpor data menjamin bahwa mereka akan terus memastikan kepatuhan terhadap Klausul ini dan hanya akan memprosesnya sejauh dan selama diperlukan berdasarkan undang-undang setempat tersebut. Ini tidak mengurangi Klausul 14, khususnya persyaratan bagi pengimpor data berdasarkan Klausul 14(e) untuk memberi tahu pengekspor data selama masa kontrak jika memiliki alasan untuk yakin bahwa mereka tunduk atau telah tunduk pada undang-undang atau praktik yang tidak sejalan dengan persyaratan berdasarkan Klausul 14(a).

8.6 Keamanan pemrosesan

  1. Pengimpor data dan, selama transmisi, juga pengekspor data harus menerapkan tindakan teknis dan organisasi yang sesuai untuk memastikan keamanan data, termasuk perlindungan terhadap pelanggaran keamanan yang menyebabkan penghancuran yang tidak disengaja atau melanggar hukum, kehilangan, perubahan, pengungkapan atau akses yang tidak sah ke data tersebut (selanjutnya disebut ‘pelanggaran data pribadi’). Dalam menilai tingkat keamanan yang sesuai, Para Pihak harus mempertimbangkan kecanggihan, biaya penerapan, sifat, ruang lingkup, konteks, dan tujuan pemrosesan serta risiko yang terkait dalam pemrosesan bagi subjek data. Para Pihak secara khusus mempertimbangkan untuk menggunakan enkripsi atau nama samaran, termasuk selama transmisi, yang dapat memenuhi tujuan pemrosesan dengan cara tersebut. Dalam hal nama samaran, informasi tambahan untuk menghubungkan data pribadi dengan subjek data tertentu, jika memungkinkan, harus tetap berada di bawah kendali eksklusif pengekspor data. Dalam memenuhi kewajibannya berdasarkan ayat ini, pengimpor data setidaknya harus menerapkan tindakan teknis dan organisasi yang dinyatakan dalam Lampiran II. Pengimpor data harus melakukan pemeriksaan rutin untuk memastikan tindakan ini terus memberikan tingkat keamanan yang sesuai.
  2. Pengimpor data harus memberikan akses ke data pribadi kepada anggota staf hanya sejauh yang benar-benar diperlukan untuk penerapan, pengelolaan, dan pemantauan kontrak. Pengimpor data harus memastikan orang yang berwenang memproses data pribadi telah berkomitmen terhadap kerahasiaan atau memiliki kewajiban kerahasiaan yang sesuai dengan undang-undang.
  3. Jika terjadi pelanggaran data pribadi terkait data pribadi yang diproses oleh pengimpor data berdasarkan Klausul ini, pengimpor data harus mengambil tindakan yang tepat untuk mengatasi pelanggaran tersebut, termasuk tindakan untuk mengurangi efek buruknya. Pengimpor data juga harus memberi tahu pengekspor data tanpa penundaan yang tidak semestinya setelah mengetahui adanya pelanggaran tersebut. Pemberitahuan tersebut harus berisi detail kontak untuk memperoleh informasi selengkapnya, deskripsi sifat pelanggaran (termasuk, jika memungkinkan, kategori dan perkiraan jumlah subjek data serta catatan data pribadi yang dimaksud), kemungkinan konsekuensinya, dan tindakan yang diambil atau diusulkan guna mengatasi pelanggaran termasuk, jika sesuai, tindakan untuk mengurangi kemungkinan efek buruknya. Jika dan sejauh tidak memungkinkan untuk memberikan semua informasi pada saat yang sama, pemberitahuan awal harus berisi informasi yang tersedia saat itu dan informasi lebih lanjut harus, jika tersedia, diberikan kemudian tanpa penundaan yang tidak semestinya.
  4. Pengimpor data harus bekerja sama dan membantu pengekspor data agar pengekspor data dapat mematuhi kewajibannya berdasarkan Peraturan (UE) 2016/679, khususnya untuk memberi tahu otoritas pengawas yang berwenang dan subjek data yang terpengaruh, dengan mempertimbangkan sifat pemrosesan dan informasi yang tersedia bagi pengimpor data.

8.7 Data sensitif

Jika transfer melibatkan data pribadi yang mengungkapkan asal ras atau etnis, pendapat politik, keyakinan agama atau filosofi, atau keanggotaan serikat pekerja, data genetik, maupun data biometrik untuk tujuan mengidentifikasi orang pribadi secara unik, data terkait kesehatan atau kehidupan seks maupun orientasi seksual seseorang, atau data terkait hukuman dan pelanggaran pidana (selanjutnya disebut ‘data sensitif’), maka pengimpor data harus menerapkan pembatasan khusus dan/atau pengamanan tambahan yang dijelaskan dalam Lampiran I.B.

8.8 Transfer selanjutnya

Pengimpor data hanya boleh mengungkapkan data pribadi kepada pihak ketiga berdasarkan instruksi terdokumentasi dari pengekspor data. Selain itu, data hanya dapat diungkapkan kepada pihak ketiga yang berlokasi di luar Uni Eropa (di negara yang sama seperti pengimpor data atau di negara ketiga yang lain, selanjutnya disebut 'transfer selanjutnya') jika pihak ketiga akan atau setuju untuk terikat dengan Klausul ini, berdasarkan Modul yang sesuai, atau jika:

  1. transfer selanjutnya ditujukan ke negara yang diuntungkan dari keputusan kecukupan sesuai dengan Pasal 45 Peraturan (UE) 2016/679 yang mencakup transfer selanjutnya;
  2. pihak ketiga sebaliknya memastikan perlindungan yang tepat sesuai dengan Pasal 46 atau 47 Peraturan (UE) 2016/679 terkait pemrosesan yang dimaksud;
  3. transfer selanjutnya diperlukan untuk penetapan, pelaksanaan, atau pembelaan tuntutan hukum dalam konteks proses administrasi, peraturan, atau peradilan tertentu; atau (iv) transfer selanjutnya diperlukan untuk melindungi kepentingan vital subjek data atau orang pribadi yang lain.
  4. Setiap transfer selanjutnya diwajibkan oleh pengimpor data untuk mematuhi semua perlindungan lain berdasarkan Klausul ini, dalam batasan tujuan tertentu.

8.9 Dokumentasi dan kepatuhan

  1. Pengimpor data harus menangani pertanyaan dari pengekspor data terkait pemrosesan berdasarkan Klausul ini dengan segera dan memadai.
  2. Para Pihak harus dapat menunjukkan kepatuhan terhadap Klausul ini. Secara khusus, pengimpor data harus menyimpan dokumentasi yang sesuai tentang aktivitas pemrosesan yang dilakukan atas nama pengekspor data.
  3. Pengimpor data harus menyediakan semua informasi yang diperlukan bagi pengekspor data untuk menunjukkan kepatuhan terhadap kewajiban yang ditetapkan dalam Klausul ini dan atas permintaan pengekspor data, mengizinkan dan berkontribusi terhadap audit aktivitas pemrosesan yang tercakup dalam Klausul ini, pada interval yang wajar atau jika ada indikasi ketidakpatuhan. Dalam memutuskan peninjauan atau audit, pengekspor data dapat mempertimbangkan sertifikasi relevan yang dimiliki oleh pengimpor data.
  4. Pengekspor data dapat memilih untuk melakukan audit sendiri atau memberikan mandat kepada auditor independen. Audit dapat mencakup inspeksi di lokasi atau fasilitas fisik pengimpor data dan harus, jika sesuai, dilakukan dengan pemberitahuan yang wajar.
  5. Para Pihak harus menyediakan informasi yang dirujuk dalam ayat (b) dan (c), termasuk hasil audit, bagi otoritas pengawas yang berwenang berdasarkan permintaan.

Klausul 9

Penggunaan subpemroses

  1. Pengimpor data memiliki otorisasi umum pengekspor data untuk melibatkan subpemroses dari daftar yang disepakati. Pengimpor data harus secara khusus memberikan informasi secara tertulis kepada pengekspor data tentang perubahan yang dimaksudkan pada daftar tersebut melalui penambahan atau penggantian subpemroses setidaknya 15 (lima belas) hari sebelumnya, sehingga memberikan cukup waktu bagi pengekspor data agar dapat mengajukan keberatan terhadap perubahan tersebut sebelum melibatkan subpemroses. Pengimpor data harus memberikan informasi yang diperlukan kepada pengekspor data agar dapat menggunakan haknya untuk mengajukan keberatan.
  2. Jika pengimpor data melibatkan subpemroses untuk melakukan aktivitas pemrosesan tertentu (atas nama pengekspor data), maka pengimpor data harus melakukannya melalui kontrak tertulis yang secara substansi mengatur kewajiban perlindungan data yang sama seperti yang mengikat pengimpor data berdasarkan Klausul ini, termasuk dalam hal hak penerima manfaat pihak ketiga bagi subjek data. Para Pihak setuju bahwa dengan mematuhi Klausul ini, pengimpor data memenuhi kewajibannya berdasarkan Klausul 8.8. Pengimpor data harus memastikan subpemroses mematuhi kewajiban yang dibebankan kepada pengimpor data sesuai dengan Klausul ini.
  3. Atas permintaan pengekspor data, pengimpor data harus memberikan salinan perjanjian subpemroses tersebut dan amendemen selanjutnya kepada pengekspor data. Sejauh diperlukan untuk melindungi rahasia bisnis atau informasi rahasia lainnya, termasuk data pribadi, pengimpor data dapat menyunting teks perjanjian sebelum membagikan salinannya.
  4. Pengimpor data tetap bertanggung jawab penuh kepada pengekspor data atas pelaksanaan kewajiban subpemroses berdasarkan kontraknya dengan pengimpor data. Pengimpor data harus memberi tahu pengekspor data tentang kegagalan subpemroses dalam memenuhi kewajibannya berdasarkan kontrak tersebut.
  5. Pengimpor data harus menyetujui klausul penerima manfaat pihak ketiga dengan subpemroses, yakni jika pengimpor data secara nyata menghilang, tidak ada lagi menurut hukum, atau menjadi bangkrut, maka pengekspor data berhak mengakhiri kontrak subpemroses dan menginstruksikan subpemroses untuk menghapus atau mengembalikan data pribadi.

Klausul 10

Hak subjek data

  1. Pengimpor data harus segera memberi tahu pengekspor data tentang setiap permintaan yang diterima dari subjek data. Pengimpor data tidak boleh menanggapi permintaan tersebut sendiri, kecuali jika telah diizinkan untuk melakukannya oleh pengekspor data.
  2. Pengimpor data harus membantu pengekspor data dalam memenuhi kewajibannya guna menanggapi permintaan subjek data untuk melaksanakan haknya berdasarkan Peraturan (UE) 2016/679. Dalam hal ini, Para Pihak harus menetapkan tindakan teknis dan organisasi yang sesuai di Lampiran II, dengan mempertimbangkan sifat pemrosesan, agar bantuan dapat diberikan, serta ruang lingkup dan tingkat bantuan yang diperlukan.
  3. Dalam memenuhi kewajibannya berdasarkan ayat (a) dan (b), pengimpor data harus mematuhi instruksi dari pengekspor data.

Klausul 11

Ganti rugi

  1. Pengimpor data harus memberikan informasi kepada subjek data dalam format yang transparan dan mudah diakses, melalui pemberitahuan individu atau di situs web, tentang kontak yang diizinkan untuk menangani keluhan. Kontak harus segera menangani keluhan yang diterima dari subjek data.
  2. Jika terjadi perselisihan antara subjek data dan salah satu Pihak terkait kepatuhan terhadap Klausul ini, Pihak tersebut harus mengerahkan upaya terbaiknya untuk menyelesaikan masalah secara damai dan tepat waktu. Para Pihak harus saling memberi informasi tentang perselisihan tersebut dan, jika perlu, bekerja sama dalam menyelesaikannya.
  3. Jika subjek data meminta hak penerima manfaat pihak ketiga sesuai dengan Klausul 3, pengimpor data harus menerima keputusan subjek data untuk:
    1. mengajukan keluhan kepada otoritas pengawas di Negara Anggota tempat tinggal maupun tempat kerjanya, atau otoritas pengawas yang berwenang sesuai dengan Klausul 13;
    2. merujuk perselisihan tersebut ke pengadilan yang berwenang dalam pengertian Klausul 18.
  4. Para Pihak menerima bahwa subjek data dapat diwakili oleh badan, organisasi, atau asosiasi nirlaba berdasarkan ketentuan yang ditetapkan dalam Pasal 80(1) Peraturan (UE) 2016/679.
  5. Pengimpor data harus mematuhi keputusan yang mengikat berdasarkan undang-undang UE atau Negara Anggota yang berlaku.
  6. Pengimpor data setuju bahwa pilihan yang dibuat oleh subjek data tidak akan mengurangi hak substantif dan proseduralnya untuk mencari solusi berdasarkan undang-undang yang berlaku.

Klausul 12

Tanggung jawab

  1. Masing-masing Pihak bertanggung jawab kepada Pihak lain atas segala kerugian yang ditimbulkan kepada Pihak lain karena pelanggaran Klausul ini.
  2. Pengimpor data bertanggung jawab kepada subjek data, dan subjek data berhak menerima kompensasi, atas setiap kerugian materi maupun non-materi yang disebabkan oleh pengimpor data atau subpemroses terhadap subjek data karena pelanggaran hak penerima manfaat pihak ketiga berdasarkan Klausul ini.
  3. Tanpa mengabaikan ayat (b), pengekspor data bertanggung jawab kepada subjek data, dan subjek data berhak menerima kompensasi, atas setiap kerugian materi maupun non-materi yang disebabkan oleh pengekspor data atau pengimpor data (maupun subpemroses) terhadap subjek data karena pelanggaran hak penerima manfaat pihak ketiga berdasarkan Klausul ini. Hal ini tidak mengurangi tanggung jawab pengekspor data dan, jika pengekspor data adalah pemroses yang bertindak atas nama pengontrol, tanggung jawab pengontrol berdasarkan Peraturan (UE) 2016/679 atau Peraturan (UE) 2018/1725, sebagaimana berlaku.
  4. Para Pihak setuju bahwa jika pengekspor data bertanggung jawab berdasarkan ayat (c) atas kerugian yang disebabkan oleh pengimpor data (atau subpemroses), pengekspor data berhak menuntut kembali bagian dari kompensasi tersebut dari pengimpor data sesuai dengan tanggung jawab pengimpor data atas kerugian yang dimaksud.
  5. Jika lebih dari satu Pihak bertanggung jawab atas kerugian yang ditimbulkan bagi subjek data akibat pelanggaran Klausul ini, maka semua Pihak penanggung jawab harus bertanggung jawab bersama-sama dan masing-masing, dan subjek data berhak mengajukan gugatan ke pengadilan terhadap salah satu Pihak ini.
  6. Para Pihak setuju bahwa jika salah satu Pihak bertanggung jawab berdasarkan ayat (e), maka Pihak tersebut berhak menuntut kembali bagian dari kompensasi tersebut dari Pihak lain sesuai dengan tanggung jawabnya atas kerugian.
  7. Pengimpor data tidak boleh menggunakan tindakan subpemroses untuk menghindari tanggung jawabnya sendiri.

Klausul 13

Pengawasan

  1. Otoritas pengawas yang bertanggung jawab untuk memastikan kepatuhan pengekspor data terhadap Peraturan (UE) 2016/679 terkait transfer data, sebagaimana ditunjukkan dalam Lampiran I.C, akan bertindak sebagai otoritas pengawas yang berwenang.
  2. Pengimpor data setuju untuk tunduk pada yurisdiksi dan bekerja sama dengan otoritas pengawas yang berwenang dalam setiap prosedur yang bertujuan untuk memastikan kepatuhan terhadap Klausul ini. Secara khusus, pengimpor data setuju untuk menanggapi pertanyaan, menjalani audit, dan mematuhi tindakan yang diambil oleh otoritas pengawas, termasuk tindakan perbaikan dan kompensasi. Pengimpor data harus memberikan konfirmasi tertulis kepada otoritas pengawas bahwa tindakan yang diperlukan telah diambil.

BAGIAN III – UNDANG-UNDANG SETEMPAT DAN KEWAJIBAN DALAM HAL AKSES OLEH OTORITAS PUBLIK

Klausul 14

Undang-undang dan praktik setempat yang memengaruhi kepatuhan terhadap Klausul

  1. Para Pihak menjamin bahwa mereka tidak memiliki alasan untuk percaya bahwa undang-undang dan praktik di negara tujuan ketiga yang berlaku untuk pemrosesan data pribadi oleh pengimpor data, termasuk persyaratan apa pun guna mengungkapkan data pribadi atau tindakan yang mengizinkan akses oleh otoritas publik, mencegah pengimpor data memenuhi kewajibannya berdasarkan Klausul ini. Hal ini didasarkan pada pemahaman bahwa undang-undang dan praktik yang menghormati esensi hak dasar dan kebebasan serta tidak melebihi yang diperlukan dan proporsional dalam masyarakat demokratis untuk mengamankan salah satu tujuan yang tercantum dalam Pasal 23(1) Peraturan (UE) 2016/679, tidak bertentangan dengan Klausul ini.
  2. Para Pihak menyatakan bahwa dalam memberikan jaminan dalam ayat (a), mereka telah secara khusus mempertimbangkan unsur berikut:
    1. kondisi spesifik transfer, termasuk panjang rantai pemrosesan, jumlah pelaku yang terlibat, dan saluran transmisi yang digunakan; transfer selanjutnya yang dimaksudkan; jenis penerima; tujuan pemrosesan; kategori dan format data pribadi yang ditransfer; sektor ekonomi tempat terjadinya transfer; lokasi penyimpanan data yang ditransfer;
    2. undang-undang dan praktik negara tujuan ketiga – termasuk yang mengharuskan pengungkapan data kepada otoritas publik atau mengizinkan akses oleh otoritas tersebut – yang relevan dengan kondisi spesifik transfer, serta batasan dan pengamanan yang berlaku;
    3. setiap pengamanan kontrak, teknis, atau organisasi yang relevan diberlakukan untuk melengkapi pengamanan berdasarkan Klausul ini, termasuk tindakan yang diterapkan selama transmisi dan pada pemrosesan data pribadi di negara tujuan.
  3. Pengimpor data menjamin bahwa dalam melaksanakan penilaian berdasarkan ayat (b), mereka telah melakukan upaya terbaik untuk memberikan informasi yang relevan kepada pengekspor data dan setuju untuk terus bekerja sama dengan pengekspor data dalam memastikan kepatuhan terhadap Klausul ini.
  4. Para Pihak setuju untuk mendokumentasikan penilaian berdasarkan ayat (b) dan menyediakannya bagi otoritas pengawas yang berwenang berdasarkan permintaan.
  5. Pengimpor data setuju untuk segera memberi tahu pengekspor data jika, setelah menyetujui Klausul ini dan selama masa kontrak, mereka memiliki alasan untuk yakin bahwa mereka tunduk atau telah tunduk pada undang-undang atau praktik yang tidak sejalan dengan persyaratan berdasarkan ayat (a), termasuk mengikuti perubahan pada undang-undang negara ketiga atau tindakan (seperti permintaan pengungkapan) yang mengindikasikan penerapan undang-undang tersebut yang tidak sejalan dengan persyaratan dalam ayat (a).
  6. Setelah pemberitahuan sesuai dengan ayat (e) atau jika pengekspor data memiliki alasan untuk yakin bahwa pengimpor data tidak dapat lagi memenuhi kewajibannya berdasarkan Klausul ini, pengekspor data harus segera mengidentifikasi tindakan yang sesuai (misalnya, tindakan teknis atau organisasi untuk memastikan keamanan dan kerahasiaan) akan diterapkan oleh pengekspor data dan/atau pengimpor data guna mengatasi situasi tersebut. Pengekspor data harus menangguhkan transfer data jika pengamanan yang tepat untuk transfer tersebut dianggap tidak dapat dipastikan atau jika diinstruksikan untuk melakukannya oleh otoritas pengawas yang berwenang. Dalam hal ini, pengekspor data berhak mengakhiri kontrak sejauh menyangkut pemrosesan data pribadi berdasarkan Klausul ini. Jika kontrak melibatkan lebih dari dua Pihak, maka pengekspor data dapat menggunakan hak pengakhiran ini hanya sehubungan dengan Pihak terkait, kecuali jika Para Pihak telah menyetujui sebaliknya. Jika kontrak diakhiri sesuai dengan Klausul ini, maka Klausul 16(d) dan (e) yang akan berlaku.

Klausul 15

Kewajiban pengimpor data dalam hal akses oleh otoritas publik

15.1 Pemberitahuan

  1. Pengimpor data setuju untuk segera memberi tahu pengekspor data dan, jika memungkinkan, subjek data (jika perlu dengan bantuan pengekspor data) jika:
    1. menerima permintaan yang mengikat secara hukum dari otoritas publik, termasuk otoritas yudisial, berdasarkan undang-undang negara tujuan untuk pengungkapan data pribadi yang ditransfer sesuai dengan Klausul ini; pemberitahuan tersebut mencakup informasi tentang data pribadi yang diminta, otoritas yang meminta, dasar hukum untuk permintaan tersebut, dan respons yang diberikan; atau
    2. mengetahui adanya akses langsung oleh otoritas publik ke data pribadi yang ditransfer sesuai dengan Klausul ini berdasarkan undang-undang negara tujuan; pemberitahuan tersebut mencakup semua informasi yang tersedia bagi pengimpor.
  2. Jika pengimpor data dilarang memberi tahu pengekspor data dan/atau subjek data berdasarkan undang-undang negara tujuan, pengimpor data setuju untuk mengerahkan upaya terbaiknya dalam memperoleh pengecualian terhadap larangan tersebut, dengan maksud untuk segera menyampaikan informasi sebanyak mungkin. Pengimpor data setuju untuk mendokumentasikan upaya terbaiknya agar dapat menunjukkan berdasarkan permintaan pengekspor data.
  3. Jika diizinkan berdasarkan undang-undang negara tujuan, pengimpor data setuju untuk memberikan sebanyak mungkin informasi yang relevan kepada pengekspor data, secara berkala selama masa kontrak, tentang permintaan yang diterima (khususnya jumlah permintaan, jenis data yang diminta, otoritas yang meminta, apakah permintaan telah ditentang, hasil dari tentangan tersebut, dsb.).
  4. Pengimpor data setuju untuk menyimpan informasi sesuai dengan ayat (a) hingga (c) selama masa kontrak dan menyediakannya bagi otoritas pengawas yang berwenang berdasarkan permintaan.
  5. Ayat (a) hingga (c) tidak mengurangi kewajiban pengimpor data sesuai dengan Klausul 14(e) dan 16 untuk segera memberi tahu pengekspor data jika tidak dapat mematuhi Klausul ini.

15.2 Peninjauan keabsahan dan minimalisasi data

  1. Pengimpor data setuju untuk meninjau keabsahan permintaan pengungkapan, khususnya apakah permintaan tersebut tetap berada dalam wewenang yang diberikan kepada otoritas publik yang meminta, dan menentang permintaan tersebut jika setelah penilaian yang cermat disimpulkan bahwa terdapat alasan yang masuk akal guna mempertimbangkan bahwa permintaan tersebut tidak sah berdasarkan undang-undang negara tujuan, kewajiban yang berlaku berdasarkan hukum internasional, dan prinsip penghormatan internasional. Dalam kondisi yang sama, pengimpor data harus mengupayakan kemungkinan banding. Saat menentang permintaan, pengimpor data harus mencari tindakan sementara dengan maksud untuk menangguhkan dampak permintaan hingga otoritas yudisial yang berwenang memutuskan manfaatnya. Pengimpor data tidak boleh mengungkapkan data pribadi yang diminta hingga diwajibkan untuk melakukannya berdasarkan aturan prosedur yang berlaku. Persyaratan ini tidak mengurangi kewajiban pengimpor data berdasarkan Klausul 14(e).
  2. Pengimpor data setuju untuk mendokumentasikan penilaian hukumnya serta setiap tentangan terhadap permintaan pengungkapan dan, sejauh diizinkan menurut undang-undang negara tujuan, menyediakan dokumentasi bagi pengekspor data. Pengimpor data juga harus menyediakannya bagi otoritas pengawas yang berwenang berdasarkan permintaan.
  3. Pengimpor data setuju untuk memberikan sedikit informasi yang diizinkan saat menanggapi permintaan pengungkapan, berdasarkan interpretasi permintaan yang wajar.

BAGIAN IV – KETETAPAN AKHIR

Klausul 16

Ketidakpatuhan terhadap Klausul dan pengakhiran

  1. Pengimpor data harus segera memberi tahu pengekspor data jika mereka tidak dapat mematuhi Klausul ini karena alasan apa pun.
  2. Jika pengimpor data melanggar atau tidak dapat mematuhi Klausul ini, maka pengekspor data akan menangguhkan transfer data pribadi kepada pengimpor data hingga kepatuhan dipastikan kembali atau kontrak diakhiri. Ini tidak mengurangi Klausul 14(f).
  3. Pengekspor data berhak mengakhiri kontrak, sejauh menyangkut pemrosesan data pribadi berdasarkan Klausul ini, jika:
    1. pengekspor data telah menangguhkan transfer data pribadi kepada pengimpor data sesuai dengan ayat (b) dan kepatuhan terhadap Klausul ini tidak dipulihkan dalam waktu yang wajar dan bagaimanapun juga dalam waktu satu bulan sejak penangguhan;
    2. pengimpor data melakukan pelanggaran substansial atau terus-menerus terhadap Klausul ini; atau
    3. pengimpor data tidak dapat mematuhi keputusan yang mengikat dari pengadilan atau otoritas pengawas yang berwenang terkait kewajibannya berdasarkan Klausul ini. Dalam kasus ini, otoritas pengawas yang berwenang harus diberi tahu tentang ketidakpatuhan tersebut. Jika kontrak melibatkan lebih dari dua Pihak, pengekspor data dapat menggunakan hak pengakhiran ini hanya sehubungan dengan Pihak terkait, kecuali jika Para Pihak telah menyetujui sebaliknya.
  4. Data pribadi yang telah ditransfer sebelum berakhirnya kontrak sesuai dengan ayat (c) harus segera dikembalikan kepada pengekspor data atau dihapus seluruhnya atas pilihan pengekspor data. Ketentuan yang sama berlaku untuk setiap salinan data. Pengimpor data harus menyatakan penghapusan data kepada pengekspor data. Hingga data dihapus atau dikembalikan, pengimpor data harus terus memastikan kepatuhan terhadap Klausul ini. Jika undang-undang setempat yang berlaku untuk pengimpor data melarang pengembalian atau penghapusan data pribadi yang ditransfer, maka pengimpor data menjamin bahwa mereka akan terus memastikan kepatuhan terhadap Klausul ini dan hanya akan memproses data sejauh dan selama diwajibkan menurut undang-undang setempat tersebut.
  5. Salah satu Pihak dapat mencabut persetujuannya untuk terikat dengan Klausul ini jika (i) Komisi Eropa menggunakan keputusan sesuai dengan Pasal 45(3) Peraturan (UE) 2016/679 yang mencakup transfer data pribadi yang memberlakukan Klausul ini; atau (ii) Peraturan (UE) 2016/679 menjadi bagian dari kerangka kerja hukum dari negara tujuan transfer data pribadi. Ini tidak mengurangi kewajiban lain yang berlaku untuk pemrosesan yang dimaksud berdasarkan Peraturan (UE) 2016/679.

Klausul 17

Undang-undang yang mengatur

Klausul ini diatur oleh undang-undang salah satu Negara Anggota UE, asalkan undang-undang tersebut mengizinkan hak penerima manfaat pihak ketiga. Para Pihak setuju bahwa ini adalah undang-undang Republik Federal Jerman.

Klausul 18

Pilihan forum dan yurisdiksi

  1. Setiap perselisihan yang timbul dari Klausul ini akan diselesaikan oleh pengadilan Negara Anggota UE.
  2. Para Pihak setuju bahwa pengadilan tersebut adalah pengadilan Republik Federal Jerman.
  3. Subjek data juga dapat mengajukan tuntutan hukum terhadap pengekspor data dan/atau pengimpor data ke pengadilan Negara Anggota di tempat ia biasanya tinggal.
  4. Para Pihak setuju untuk mematuhi yurisdiksi pengadilan tersebut.

Lampiran I pada Klausul Kontrak Standar

A. DAFTAR PARA PIHAK
Pengekspor Data: Pengekspor data adalah entitas yang diidentifikasi sebagai “Pelanggan” dalam Adendum
Tanda tangan dan tanggal: Sejak tanggal Pengekspor Data menerima Ketentuan Layanan Pengimpor Data secara elektronik, Pengekspor Data dianggap telah menandatangani klausul kontrak standar ini.
Peran: Pengontrol

Pengimpor data: GoDaddy.com, LLC
Detail kontak: Office of the Data Protection Officer – privacy@godaddy.com
Tanda tangan dan tanggal: Sejak tanggal Pengekspor Data menerima Ketentuan Layanan Pengimpor Data secara elektronik, Pengimpor Data dianggap telah menandatangani klausul kontrak standar ini.
Peran: Pemroses

B. DESKRIPSI TRANSFER Kategori subjek data yang data pribadinya ditransfer akan dijelaskan dalam Apendiks 1 dari Adendum.

Kategori data pribadi yang ditransfer akan dijelaskan dalam Apendiks 1 dari Adendum.

Data sensitif yang ditransfer akan dijelaskan dalam Apendiks 1 dari Adendum.

Frekuensi transfer merupakan dasar yang berkelanjutan selama jangka waktu Ketentuan Layanan.

Sifat pemrosesan dijelaskan di Bagian 2.2 dan Apendiks 1 dari Adendum.

Tujuan transfer data dan pemrosesan lebih lanjut dijelaskan di Bagian 2.2 dan Apendiks 1 dari Adendum.

Jangka waktu penyimpanan data pribadi dijelaskan dalam Apendiks 1 dari Adendum.

Untuk transfer ke (sub) pemroses, pokok masalah, sifat, dan durasi pemrosesan diuraikan dalam Lampiran III pada Klausul Kontrak Standar.

C. OTORITAS PENGAWAS YANG BERWENANG Komisaris Negara Bagian North Rhine-Westphalia untuk Perlindungan Data dan Kebebasan Informasi ('LDI NRW') adalah otoritas pengawas yang berwenang.

Lampiran II pada Klausul Kontrak Standar

Tindakan keamanan teknis dan organisasi yang diterapkan oleh Pengimpor Data dijelaskan dalam Lampiran 2 dari Adendum.

Lampiran III pada Klausul Kontrak Standar

Daftar subpemroses terdapat di Apendiks 3 dari Adendum.

Annex I to the Standard Contractual Clauses

A. LIST OF PARTIES
Data Exporter(s): The data exporter is the entity identified as “Customer” in the Addendum
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Exporter is deemed to have signed these standard contractual clauses.
Role: Controller

Data importer(s): GoDaddy.com, LLC, a Delaware limited liability company
Contact details: Office of the Data Protection Officer – privacy@secureserver.net
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Importer is deemed to have signed these standard contractual clauses.
Role: Processor

B. DESCRIPTION OF TRANSFER Categories of data subjects whose personal data is transferred are described in Appendix 1 of the Addendum.

Categories of personal data transferred are described in Appendix 1 of the Addendum.

Sensitive data transferred are described in Appendix 1 of the Addendum.

The frequency of the transfer is a continuous basis for the duration of the Terms of Service.

Nature of the processing is described in Section 2.2 and Appendix 1 of the Addendum.

Purpose(s) of the data transfer and further processing are described in Section 2.2 and Appendix 1 of the Addendum.

The period for which the personal data will be retained described in Appendix 1 of the Addendum.

For transfers to (sub-) processors, the subject matter, nature and duration of the processing is set forth in Annex III to the Standard Contractual Clauses.

C. COMPETENT SUPERVISORY AUTHORITY The North Rhine-Westphalia State Commissioner for Data Protection and Freedom of Information ('LDI NRW') is the competent supervisory authority.

Annex II to the Standard Contractual Clauses

The technical and organizational security measures implemented by the Data Importer are as in Annex 2 of the Addendum.

Annex III to the Standard Contractual Clauses

List of sub-processors are in Appendix 3 of the Addendum.


Versi terjemahan dari perjanjian dan kebijakan hukum disediakan semata-mata untuk memudahkan Anda dalam membaca dan memahami versi bahasa Inggris. Tujuan penyediaan terjemahan perjanjian dan kebijakan hukum bukan untuk membuat perjanjian yang terikat secara hukum dan bukan sebagai pengganti validitas hukum dari versi bahasa Inggris. Dalam kasus sengketa atau konflik, perjanjian dan kebijakan hukum versi bahasa Inggris dalam hal apa pun hukum mengatur hubungan dan diutamakan atas ketentuan dalam bahasa lain.