GoDaddy - ADENDUM PEMROSESAN DATA
Terakhir Direvisi: 13/09/2024
Adendum Pemrosesan Data Ini ("Adendum") ditandatangani oleh dan antara Anda ("Pelanggan") dan entitas GoDaddy yang merupakan salah satu pihak dari Ketentuan Layanan Universal, dan perjanjian lainnya antara Anda dan GoDaddy (secara keseluruhan disebut, "Perjanjian"). GoDaddy dan Pelanggan disebut di sini, secara individual, sebagai "Pihak", dan secara keseluruhan disebut sebagai "Para Pihak". DPA ini berlaku efektif sejak tanggal berlaku efektif Perjanjian ("Tanggal Berlaku Efektif") dan mengatur semua Pemrosesan Data Pribadi Pelanggan berdasarkan Perjanjian.
1. Definisi. Kecuali jika ditetapkan dalam Undang-Undang Perlindungan Data yang berlaku (sebagaimana yang dijelaskan di bawah ini), istilah dalam huruf besar yang tercantum dalam Pasal ini memiliki arti sebagai berikut:
1.1 "Afiliasi" berarti setiap entitas yang mengontrol atau berada di bawah kontrol yang sama dengan salah satu Pihak. "Kontrol" berarti kepemilikan atau kontrol langsung atau tidak langsung atas 50% (lima puluh persen) atau lebih hak suara suatu entitas.
2. Ruang Lingkup Pemrosesan Data dan Hubungan Para Pihak
1.2. "Pengontrol" adalah individu atau badan hukum, otoritas publik, lembaga, atau badan lain yang, sendiri atau bergabung dengan pihak lain, menentukan tujuan dan cara memproses Data Pribadi Pelanggan berdasarkan Perjanjian.
1.3 "Data Pribadi Pelanggan" berarti semua Data Pribadi (sebagaimana yang dijelaskan di bawah ini) yang diproses oleh GoDaddy atas nama Pelanggan sehubungan dengan penggunaan Layanan oleh Pelanggan. Data Pribadi Pelanggan tidak termasuk Data GoDaddy.
1.4 "Undang-Undang Perlindungan Data" adalah undang-undang atau peraturan yang berlaku untuk memproses Data Pribadi Pelanggan berdasarkan Perjanjian.
1.5 "Subjek Data" adalah individu yang teridentifikasi atau dapat diidentifikasi yang terkait dengan Data Pribadi tertentu.
1.6 "Data yang Dide-identifikasi" berarti data yang secara wajar tidak dapat diidentifikasi, berkaitan dengan, menjelaskan, dapat dihubungkan dengan, atau terhubung, baik secara langsung maupun tidak langsung, dengan Subjek Data tertentu.
1.7 "Data GoDaddy" adalah semua informasi terkait bisnis dan pemberian Layanan GoDaddy, termasuk tetapi tidak terbatas pada Data Pribadi mengenai Pelanggan dan karyawan atau perwakilannya, (b) data lain mengenai atau terkait akun Pelanggan, riwayat transaksi, penggunaan Layanan dan verifikasi identitas, dan (c) tunduk pada semua pembatasan berdasarkan Undang-Undang Perlindungan Data yang berlaku, Data yang Tidak Teridentifikasi.
1.8 "Data Pribadi" berarti informasi yang berhubungan dengan individu yang teridentifikasi atau dapat diidentifikasi, termasuk informasi yang didefinisikan sebagai Data Pribadi, Informasi Pribadi, atau Informasi yang Dapat Diidentifikasi secara Pribadi ("PII") dalam Undang-Undang Perlindungan Data yang berlaku. Data Pribadi tidak termasuk Data yang Dide-identifikasi.
1.10 "Pemroses" adalah individu atau badan hukum, otoritas publik, lembaga, atau badan yang memproses Data Pribadi Pelanggan atas nama Pengontrol berdasarkan Perjanjian.
1.9 "Pemrosesan" berarti semua operasi yang dilakukan terhadap Data Pribadi Pelanggan, seperti pengumpulan, penggunaan, penyimpanan, pengungkapan, analisis, penghapusan, atau modifikasi, baik secara manual maupun otomatis.
1.11 "Data Pribadi Sensitif" berarti (a) nomor jaminan sosial, nomor paspor, nomor SIM, atau tanda pengenal serupa; (b) informasi kartu kredit atau debit, informasi keuangan, nomor rekening bank, atau kata sandi akun; (c) informasi pekerjaan, keuangan, genetik, biometrik, atau kesehatan; (d) afiliasi ras, etnis, politik, atau agama, keanggotaan serikat pekerja, atau informasi tentang kehidupan maupun orientasi seksual; (e) kata sandi akun, nama gadis ibu, atau tanggal lahir, dan informasi serupa lainnya yang digunakan untuk mengautentikasi identitas pengguna ; (f) riwayat kriminal; (g) data biometrik yang digunakan untuk mengidentifikasi orang tertentu (misalnya, sidik jari); atau (h) informasi atau kombinasi informasi lain yang termasuk dalam definisi "kategori data khusus" berdasarkan Hukum Perlindungan Data yang berlaku.
1.12 "Layanan" berarti produk atau layanan yang telah disetujui GoDaddy untuk disediakan sesuai dengan Perjanjian yang melibatkan pemrosesan Data Pribadi Pelanggan.
1.13 "Subpemroses" adalah individu, badan hukum, otoritas publik, lembaga, atau badan yang memiliki kontrak dengan GoDaddy untuk memproses Data Pribadi Pelanggan.
1.14 "Transfer" berarti (a) transfer Data Pribadi Pelanggan dari Pengontrol kepada Pemroses, baik melalui transfer fisik atau dengan memberikan akses ke Data Pribadi Pelanggan yang dimiliki atau dikontrol oleh Pengontrol atau (b) transfer berikutnya atas Data Pribadi Pelanggan dari Pemroses kepada Subpemroses (dan transfer berikutnya oleh Subpemroses kepada Subpemroses lain).
2.1 Pelanggan Sebagai Pengontrol atau Pemroses
2.1.1 Jika Pelanggan adalah Pengontrol, Pelanggan (a) bertanggung jawab penuh untuk menentukan tujuan dan cara memproses Data Pribadi Pelanggan, (b) memiliki semua otoritas, dasar, hak, dan izin yang diperlukan untuk memberikan Data Pribadi Pelanggan kepada GoDaddy, serta (c) akan mematuhi kewajibannya sebagai Pengontrol berdasarkan Undang-Undang Perlindungan Data yang berlaku.
2.1.2 Jika Pelanggan adalah Pemroses, Pelanggan (a) bertanggung jawab penuh untuk mematuhi perjanjiannya dengan Pengontrol data yang atas nama Pengontrol tersebut Pelanggan memproses Data Pribadi Pelanggan; (b) memiliki semua izin yang diperlukan dari Pengontrol untuk memberikan Data Pribadi Pelanggan kepada GoDaddy, serta (c) akan mematuhi kewajibannya sebagai Pemroses berdasarkan Undang-Undang Pemrosesan Data yang berlaku.
2.1.2 Jika Pelanggan adalah Pemroses, Pelanggan (a) bertanggung jawab penuh untuk mematuhi perjanjiannya dengan Pengontrol data yang atas nama Pengontrol tersebut Pelanggan memproses Data Pribadi Pelanggan; (b) memiliki semua izin yang diperlukan dari Pengontrol untuk memberikan Data Pribadi Pelanggan kepada GoDaddy, serta (c) akan mematuhi kewajibannya sebagai Pemroses berdasarkan Undang-Undang Pemrosesan Data yang berlaku.
2.2 GoDaddy sebagai Pemroses atau Subpemroses.
2.2.1 GoDaddy akan mengambil semua langkah yang diperlukan secara wajar agar Pelanggan dapat mematuhi kewajiban Pelanggan sebagai Pengontrol dan/atau Pemroses berdasarkan Undang-Undang Perlindungan Data yang sesuai dengan karakter, sifat, ruang lingkup, dan tujuan Layanan yang disediakan oleh GoDaddy. Untuk menegaskan, GoDaddy tidak diwajibkan untuk mengambil langkah apa pun untuk mengubah atau membuat Layanan GoDaddy sesuai untuk penggunaan khusus Pelanggan. Satu-satunya upaya hukum Pelanggan jika Layanan ditentukan tidak sesuai untuk penggunaan khusus Pelanggan adalah penghentian dari setiap bagian Perjanjian yang terkait pemrosesan Data Pribadi Pelanggan.
2.2.2 GoDaddy akan memproses Data Pribadi Pelanggan hanya berdasarkan petunjuk yang didokumentasikan untuk tujuan khusus dan terbatas yang dijelaskan dalam Perjanjian, DPA ini, atau sebagaimana diwajibkan oleh undang-undang.
2.2.3 GoDaddy akan memproses Data Pribadi Pelanggan hanya berdasarkan petunjuk yang didokumentasikan untuk tujuan khusus dan terbatas yang dijelaskan dalam Perjanjian, DPA ini, atau sebagaimana diwajibkan oleh undang-undang.
2.2.4 GoDaddy tidak akan Memproses Data Pribadi Pelanggan di luar hubungan bisnis langsung Para Pihak yang dijelaskan dalam Perjanjian dan DPA ini.
2.2.5 GoDaddy tidak akan menggabungkan Data Pribadi Pelanggan dengan data lain yang dikumpulkan GoDaddy (secara langsung atau melalui pihak ketiga mana pun) selain yang diizinkan secara tegas dalam Perjanjian.
2.2.6 GoDaddy akan menghentikan semua Pemrosesan dan akan memberi tahu Pelanggan dalam waktu 3 (tiga) hari kerja jika GoDaddy: (a) meyakini bahwa petunjuk Pelanggan melanggar Undang-Undang Pemrosesan Data yang berlaku atau (b) menentukan bahwa GoDaddy tidak dapat mematuhi Undang-Undang Pemrosesan Data yang berlaku atau kewajibannya berdasarkan DPA ini.
2.2.2 GoDaddy akan memproses Data Pribadi Pelanggan hanya berdasarkan petunjuk yang didokumentasikan untuk tujuan khusus dan terbatas yang dijelaskan dalam Perjanjian, DPA ini, atau sebagaimana diwajibkan oleh undang-undang.
2.2.3 GoDaddy akan memproses Data Pribadi Pelanggan hanya berdasarkan petunjuk yang didokumentasikan untuk tujuan khusus dan terbatas yang dijelaskan dalam Perjanjian, DPA ini, atau sebagaimana diwajibkan oleh undang-undang.
2.2.4 GoDaddy tidak akan Memproses Data Pribadi Pelanggan di luar hubungan bisnis langsung Para Pihak yang dijelaskan dalam Perjanjian dan DPA ini.
2.2.5 GoDaddy tidak akan menggabungkan Data Pribadi Pelanggan dengan data lain yang dikumpulkan GoDaddy (secara langsung atau melalui pihak ketiga mana pun) selain yang diizinkan secara tegas dalam Perjanjian.
2.2.6 GoDaddy akan menghentikan semua Pemrosesan dan akan memberi tahu Pelanggan dalam waktu 3 (tiga) hari kerja jika GoDaddy: (a) meyakini bahwa petunjuk Pelanggan melanggar Undang-Undang Pemrosesan Data yang berlaku atau (b) menentukan bahwa GoDaddy tidak dapat mematuhi Undang-Undang Pemrosesan Data yang berlaku atau kewajibannya berdasarkan DPA ini.
2.3 Afiliasi.
3. Subpemrosesan
2.3.1 Afiliasi Pelanggan. Untuk tujuan DPA ini, Data Pribadi apa pun yang diberikan kepada GoDaddy atau Afiliasi GoDaddy oleh Afiliasi Pelanggan untuk diproses atas nama Pelanggan dan/atau Afiliasi Pelanggan akan dianggap sebagai Data Pribadi Pelanggan dan telah disediakan oleh Pelanggan. Pelanggan menyatakan bahwa mereka akan melakukan semua prosedur yang diperlukan secara wajar untuk memastikan Afiliasinya mematuhi semua kewajiban Pelanggan sehubungan dengan DPA ini. Pelanggan bertanggung jawab atas kepatuhan Afiliasinya terhadap semua persyaratan DPA ini.
2.3.2 GoDaddy Afiliasi. Untuk tujuan DPA ini, Data Pribadi Pelanggan yang diterima oleh Afiliasi GoDaddy akan dianggap telah diterima oleh GoDaddy. GoDaddy menyatakan akan melakukan semua prosedur yang diperlukan secara wajar untuk memastikan bahwa Afiliasinya mematuhi kewajiban GoDaddy sehubungan dengan pemrosesan Data Pribadi Pelanggan berdasarkan DPA ini. GoDaddy bertanggung jawab atas kepatuhan Afiliasi GoDaddy terhadap semua persyaratan DPA ini.
2.3.2 GoDaddy Afiliasi. Untuk tujuan DPA ini, Data Pribadi Pelanggan yang diterima oleh Afiliasi GoDaddy akan dianggap telah diterima oleh GoDaddy. GoDaddy menyatakan akan melakukan semua prosedur yang diperlukan secara wajar untuk memastikan bahwa Afiliasinya mematuhi kewajiban GoDaddy sehubungan dengan pemrosesan Data Pribadi Pelanggan berdasarkan DPA ini. GoDaddy bertanggung jawab atas kepatuhan Afiliasi GoDaddy terhadap semua persyaratan DPA ini.
3.1 Pelanggan memberikan otorisasi umum kepada GoDaddy untuk melibatkan subpemroses.
3.2 Anda diundang untuk meninjau daftar Subpemroses kami
3.3 Sebelum mentransfer Data Pribadi Pelanggan kepada Subpemroses, GoDaddy akan: (a) menyepakati perjanjian tertulis dengan Subpemroses yang setidaknya akan melindungi Data Pelanggan seperti DPA ini; (b) melakukan uji tuntas untuk memastikan bahwa Subpemroses dapat mematuhi persyaratan material DPA ini dan Undang-Undang Perlindungan Data yang terkait dengan pemrosesan Data Pelanggan oleh GoDaddy, termasuk persyaratan keamanan informasi dalam Pasal 5, 6, dan 8, serta Pedoman 2 dari DPA ini.
3.4 GoDaddy bertanggung jawab atas tindakan dan kelalaian Subpemrosesnya, termasuk tindakan atau kelalaian subpemroses dari Subpemrosesnya. 3.5 Subpemroses Baru; Hak untuk Menolak.
4. Proses Hukum dan Permintaan Pihak Ketiga Lainnya untuk Data Pribadi Pelanggan
3.2 Anda diundang untuk meninjau daftar Subpemroses kami
3.3 Sebelum mentransfer Data Pribadi Pelanggan kepada Subpemroses, GoDaddy akan: (a) menyepakati perjanjian tertulis dengan Subpemroses yang setidaknya akan melindungi Data Pelanggan seperti DPA ini; (b) melakukan uji tuntas untuk memastikan bahwa Subpemroses dapat mematuhi persyaratan material DPA ini dan Undang-Undang Perlindungan Data yang terkait dengan pemrosesan Data Pelanggan oleh GoDaddy, termasuk persyaratan keamanan informasi dalam Pasal 5, 6, dan 8, serta Pedoman 2 dari DPA ini.
3.4 GoDaddy bertanggung jawab atas tindakan dan kelalaian Subpemrosesnya, termasuk tindakan atau kelalaian subpemroses dari Subpemrosesnya. 3.5 Subpemroses Baru; Hak untuk Menolak.
3.5.1 GoDaddy akan melakukan upaya yang wajar untuk memberi tahu Pelanggan secara tertulis setidaknya 60 (enam puluh) hari sebelumnya jika GoDaddy bermaksud untuk menunjuk Subpemroses baru; tetapi dengan ketentuan bahwa pemberitahuan 60 (enam puluh) hari sebelumnya tidak diperlukan dan GoDaddy akan memberi tahu Pelanggan tanpa penundaan yang tidak semestinya setelah penunjukan Subpemroses baru jika penunjukan segera diperlukan untuk menjaga keamanan Data Pribadi Pelanggan atau untuk mematuhi undang-undang yang berlaku.
3.5.2 Jika Pelanggan secara wajar mengajukan keberatan terhadap Subpemroses baru, Pelanggan harus memberi tahu GoDaddy secara tertulis dalam waktu 30 (tiga puluh) hari setelah penunjukan Subpemroses tersebut. Atas kebijaksanaan tunggal GoDaddy, GoDaddy dapat menggunakan upaya yang wajar secara komersial untuk mengatasi keberatan Pelanggan. Jika Para Pihak tidak dapat menyelesaikan keberatan Pelanggan dalam waktu 30 (tiga puluh) hari, Pelanggan dapat menghentikan DPA ini dan setiap bagian dari Perjanjian terkait pemrosesan Data Pribadi Pelanggan.
3.5.3 Jika Para Pihak tidak dapat menyelesaikan keberatan Pelanggan dalam waktu 30 (tiga puluh) hari, Pelanggan dapat menghentikan DPA ini dan setiap bagian dari Perjanjian terkait pemrosesan Data Pribadi Pelanggan.
3.5.4 Pemberitahuan tentang Subpemroses baru dapat diberikan dengan memperbarui daftar Subpemroses yang dijelaskan dalam Pasal 3.2.
4.1 GoDaddy tidak akan menanggapi permintaan informal apa pun atas Data Pribadi Pelanggan dari badan pemerintah, lembaga penegak hukum, atau orang lain kecuali sebagai tanggapan atas panggilan pengadilan, surat perintah penggeledahan, perintah pengadilan, atau proses hukum serupa lainnya (secara keseluruhan disebut sebagai "Proses Hukum"), kecuali jika pengungkapan tersebut ditentukan oleh GoDaddy dalam kebijaksanaannya yang wajar untuk (a) diwajibkan oleh hukum, (b) diperlukan untuk melindungi sistem atau data GoDaddy dari bahaya atau penyalahgunaan, atau (c) diperlukan untuk melindungi GoDaddy atau orang lain dari kerusakan atau bahaya fisik.
5. Keamanan Data
4.2 Kecuali jika dilarang oleh undang-undang, GoDaddy akan segera memberi tahu Pelanggan jika menerima Proses Hukum apa pun yang mengharuskan GoDaddy memberikan akses ke atau mengungkapkan Data Pribadi Pelanggan.
4.3 Kecuali jika diwajibkan oleh hukum, GoDaddy akan bekerja sama dengan Pelanggan (dengan pengeluaran yang wajar dari Pelanggan) dalam setiap upaya Pelanggan untuk mencegah pengungkapan Data Pribadi Pelanggan sebagai tanggapan terhadap Proses Hukum.
5.1 GoDaddy mempertahankan program keamanan informasi yang mencakup prosedur teknis dan organisasi yang tepat dan didokumentasikan untuk memastikan tingkat keamanan yang sesuai dengan risiko Pemrosesan Data Pribadi Pelanggan berdasarkan Perjanjian, termasuk prosedur khusus yang diperlukan oleh Undang-Undang Perlindungan Data yang berlaku.
6. Insiden Keamanan Data
5.2 Pelanggan secara tegas menyatakan bahwa GoDaddy menyediakan fitur dan fungsi keamanan yang dapat digunakan Pelanggan untuk melindungi Data Pribadi Pelanggan. Pelanggan bertanggung jawab penuh untuk mengambil langkah-langkah berbasis risiko yang sesuai untuk melindungi keamanan akun Pelanggan dan Data Pribadi Pelanggan yang berada dalam kendali Pelanggan, termasuk dengan menggunakan fitur dan fungsi keamanan yang disediakan oleh GoDaddy. Pelanggan juga bertanggung jawab penuh untuk memastikan bahwa semua konten yang ditampilkan atau diminta untuk ditampilkan oleh Pelanggan di Layanan tersebut bebas dari kerentanan yang dapat mengakibatkan penyalahgunaan Data Pribadi Pelanggan dan sistem GoDaddy, termasuk tetapi tidak terbatas pada perangkat lunak berbahaya. GoDaddy tidak bertanggung jawab untuk mencadangkan Data Pribadi Pelanggan.
5.3 Pelanggan wajib mematuhi semua Persyaratan Standar Keamanan Data Industri Kartu Pembayaran ("PCI-DSS") dan hanya boleh memberikan Data Pribadi Pelanggan yang berisi informasi pemegang kartu kredit, debit, atau kartu pembayaran lainnya ("Data PCI-DSS") kepada GoDaddy sehubungan dengan Layanan GoDaddy yang secara khusus didesain untuk Memproses Data PCI-DSS tersebut. Pelanggan bertanggung jawab sepenuhnya atas setiap pelanggaran terhadap persyaratan PCI-DSS jika Pelanggan menggunakan Layanan GoDaddy untuk memproses atau menyimpan Data PCI-DSS di luar penawaran Layanan yang sesuai dengan PCI-DSS dari GoDaddy.
5.4 Selain prosedur yang diperlukan GoDaddy untuk mematuhi kewajibannya berdasarkan Undang-Undang Perlindungan Data yang berlaku dan Persyaratan PCI-DSS untuk Layanan pengaduan PCI-DSS GoDaddy, GoDaddy akan menerapkan tindakan teknis dan organisatoris khusus yang diidentifikasi dalam Pedoman 2 DPA ini.
6.1 GoDaddy menawarkan kepada Pelanggan berbagai peluang untuk mengakses serta mengendalikan Data Pribadi Pelanggan yang Diproses atas nama Pelanggan. GoDaddy tidak bertanggung jawab atas segala kerusakan, kehilangan, perubahan, pengungkapan yang tidak disengaja atau melanggar hukum, pengungkapan yang tidak sah, atau akses ke Data Pribadi Pelanggan yang tidak disebabkan dari penyusupan sistem GoDaddy. Contoh Insiden Keamanan yang bukan merupakan tanggung jawab GoDaddy meliputi kegagalan Pelanggan dalam menjaga kerahasiaan kata sandi, pengunduhan konten berbahaya, atau kerentanan keamanan lainnya yang disebabkan oleh atau dimasukkan ke dalam Layanan dan lingkungan yang di-host oleh Pelanggan.
7. Hak Subjek Data
6.2 GoDaddy akan menggunakan upaya yang wajar secara komersial untuk memberi tahu Pelanggan atas pelanggaran keamanan sistem GoDaddy yang mengakibatkan pemusnahan, kehilangan, perubahan, pengungkapan tanpa izin, atau akses yang tidak sah ke Data Pribadi Pelanggan secara tidak disengaja atau melanggar hukum ("Insiden Keamanan") dalam jangka waktu yang diwajibkan oleh hukum yang berlaku.
6.3 GoDaddy akan mengambil langkah-langkah yang tepat dan berbasis risiko yang secara wajar diperlukan untuk mengatasi, memitigasi, dan memulihkan Insiden Keamanan tanpa penundaan yang tidak wajar.
6.4 GoDaddy akan memberikan informasi yang diminta secara wajar oleh Pelanggan untuk menilai dampak Insiden Keamanan terhadap Data Pribadi Pelanggan dan agar Pelanggan memberikan pemberitahuan tentang Insiden Keamanan kepada otoritas pemerintah, Subjek Data yang terdampak, atau orang lain.
6.5 Pernyataan GoDaddy tentang Insiden Keamanan atau keputusan untuk memberi tahu Pelanggan tentang Insiden Keamanan bukan merupakan pernyataan kesalahan atau pertanggungjawaban.
7.1 Pelanggan bertanggung jawab sepenuhnya untuk menanggapi setiap permintaan untuk menggunakan hak Subjek Data berdasarkan Undang-Undang Perlindungan Data, kebijakan privasi Pelanggan, atau persyaratan layanan Pelanggan, termasuk, tetapi tidak terbatas pada permintaan untuk mengetahui, mengakses, mengoreksi, atau menghapus Data Pribadi Pelanggan ("Permintaan Subjek Data").
8. Penilaian Dampak Perlindungan Data, Konsultasi Sebelumnya, dan Pertanyaan Mengenai Kepatuhan
7.2 GoDaddy tidak akan menanggapi Permintaan Subjek Data kecuali atas petunjuk yang didokumentasikan dari Pelanggan atau sebagaimana diwajibkan oleh undang-undang yang berlaku.
7.3 GoDaddy akan memberi tahu Pelanggan tentang Permintaan Subjek Data apa pun. Pelanggan bertanggung jawab penuh untuk menanggapi permintaan Subjek Data apa pun. Jika Pelanggan telah menggunakan semua cara yang tersedia untuk menanggapi Permintaan Subjek Data - dengan tunduk kepada persetujuan Pelanggan untuk membayar di muka biaya yang wajar kepada GoDaddy – GoDaddy akan memberikan bantuan yang diperlukan secara wajar kepada Pelanggan untuk memungkinkan Pelanggan menanggapi Permintaan Subjek Data.
8.1 Penilaian Dampak Perlindungan Data; Konsultasi Sebelumnya. Dengan biaya pelanggan, GoDaddy akan memberikan bantuan yang wajar kepada Pelanggan dalam melakukan penilaian dampak perlindungan data dan konsultasi dengan otoritas pemerintah atau pembuat peraturan mengenai pemrosesan Data Pribadi Pelanggan.
9. Persyaratan Khusus Yurisdiksi dan Transfer Data Internasional Data Pribadi
8.2 Pertanyaan tentang Kepatuhan. Pelanggan dapat secara berkala meminta informasi yang secara wajar diperlukan untuk mengonfirmasi kepatuhan GoDaddy terhadap kewajibannya berdasarkan Undang-Undang Perlindungan Data yang berlaku. Jika GoDaddy gagal menanggapi permintaan Pelanggan dalam waktu 45 (empat puluh lima) hari, Pelanggan dapat menghentikan Perjanjian. Untuk menegaskan, tidak ada pernyataan apa pun dalam DPA ini yang memberikan hak kepada Pelanggan untuk melakukan audit terhadap bisnis, sistem, atau layanan GoDaddy. Kewajiban GoDaddy berdasarkan pasal ini terbatas pada penyediaan informasi yang diperlukan Pelanggan secara wajar untuk mengonfirmasi bahwa GoDaddy mematuhi kewajibannya berdasarkan Undang-Undang Perlindungan Data yang berlaku.
9.1 Pemrosesan Data Pribadi Pelanggan berdasarkan DPA ini dapat melibatkan Pemrosesan yang diatur oleh satu atau beberapa Undang-Undang Perlindungan Data dan/atau dapat melibatkan transfer Data Pribadi Pelanggan secara internasional.
10. Umum
9.2 Jika Data Pribadi Pelanggan berasal dari Amerika Serikat, persyaratan yang berkaitan dengan AS. Undang-Undang Perlindungan Data yang ditetapkan dalam Pedoman 3 (Pasal 1) pada DPA ini akan berlaku.
9.3 Jika Data Pribadi Pelanggan berasal dari Uni Eropa/Wilayah Ekonomi Eropa ("UE/EEA"), Inggris ("UK"), atau Swiss, atau jika Pelanggan berada di salah satu atau beberapa yurisdiksi tersebut, maka berlaku persyaratan yang berkaitan dengan Undang-Undang Perlindungan Data UE/EEA, Inggris, dan/atau Swiss yang ditentukan dalam Pedoman 9.3 (Pasal 3) pada DPA ini.
9.4 Jika mekanisme transfer data internasional yang valid ("Mekanisme Transfer Wajib") diperlukan untuk mentransfer Data Pribadi Pelanggan secara sah, persyaratan yang ditentukan dalam Pedoman 4 pada DPA ini akan berlaku.
10.1 Perjanjian Lengkap; Interpretasi. DPA ini merupakan keseluruhan perjanjian antara Para Pihak terkait materi pokok DPA ini dan menggantikan semua representasi, pemahaman, perjanjian, dan komunikasi sebelumnya atau pada saat yang sama antara Para Pihak, baik secara tertulis maupun lisan, terkait materi pokok DPA ini. Bila terjadi konflik antara DPA ini dengan Perjanjian (atau perjanjian lainnya antara Para Pihak), DPA ini akan mengatur dan mengontrol sehubungan dengan DPA ini. Bila terjadi konflik antara persyaratan dalam DPA ini dengan Ketentuan Pengalihan Wajib sebagaimana dijelaskan dalam Pedoman 4, maka Ketentuan Pengalihan Wajib yang akan berlaku.
Pedoman 1: Detail Pemrosesan Data Pribadi Pelanggan
10.2 Amendemen. DPA ini dapat dimodifikasi atau diubah oleh GoDaddy atas kebijaksanaan tunggalnya sesuai prosedur yang ditetapkan dalam Perjanjian. Jika Pelanggan tidak setuju dengan perubahan tersebut, satu-satunya upaya hukum Pelanggan adalah menghentikan bagian Perjanjian yang berkaitan dengan Pemrosesan Data Pribadi Pelanggan dengan mengirimkan pemberitahuan 30 (tiga puluh) hari sebelumnya. Kecuali jika secara tegas disetujui oleh Para Pihak secara tertulis, semua amendemen Perjanjian ini hanya berlaku sehubungan dengan Pemrosesan yang terjadi setelah tanggal amendemen tersebut.
10.3 Pengabaian. Pengabaian atas setiap pelanggaran DPA ini hanya berlaku efektif jika dilakukan secara tertulis oleh perwakilan resmi dari Pihak yang mengabaikan pelanggaran tersebut dan tidak ada pengabaian yang ditafsirkan sebagai pengabaian atas pelanggaran berikutnya.
10.4 Pemutusan. Jika ada ketentuan dalam DPA ini yang ternyata tidak dapat diterapkan, maka ketentuan tersebut akan diubah sebagaimana perlu agar dapat diterapkan, dan ketentuan lainnya dalam DPA ini akan tetap berlaku sebagaimana tertulis. Namun, jika mengubah ketentuan yang tidak dapat diberlakukan akan mengakibatkan kegagalan dari tujuan utama DPA ini, maka seluruh DPA akan dianggap batal, kecuali jika diubah sesuai dengan Pasal 10.2.
10.5 Pemberitahuan. Kecuali sebagaimana dinyatakan secara tegas di sini, pemberitahuan yang diperlukan berdasarkan DPA ini akan diberikan sesuai dengan persyaratan Pemberitahuan yang ditetapkan dalam Perjanjian.
10.6 Kewajiban. DPA ini tidak memberikan dasar apa pun bagi salah satu Pihak atau pihak mana pun untuk mendapatkan ganti rugi dalam bentuk apa pun selain yang ditetapkan dalam Perjanjian dan tunduk kepada semua batasan yang ditetapkan di dalamnya.
10.7 Penerapan. Persyaratan dalam DPA ini hanya dapat diberlakukan oleh Para Pihak atas nama diri mereka sendiri dan Afiliasinya masing-masing sesuai dengan ketentuan penyelesaian sengketa yang diatur dalam Perjanjian. Namun, pembatasan penegakan ini tidak berdampak pada kemampuan Subjek Data individu untuk memberlakukan hak mereka berdasarkan Undang-Undang Perlindungan Data.
10.8 Penghentian. Kecuali jika dihentikan lebih awal sesuai dengan Perjanjian atau ketentuan lain yang berlaku dalam DPA ini atau Undang-Undang Perlindungan Data yang berlaku, DPA ini akan dihentikan setelah penyelesaian Pemrosesan atau penghentian Perjanjian, mana saja yang lebih akhir. Setelah penghentian DPA ini, GoDaddy akan mengembalikan, menghapus, atau melakukan de-identifikasi Data Pribadi Pelanggan sesuai dengan persyaratan Perjanjian dan DPA ini, kecuali jika GoDaddy diwajibkan untuk menyimpan Data Pribadi Pelanggan sesuai dengan undang-undang yang berlaku. Jika GoDaddy harus menyimpan Data Pribadi Pelanggan setelah penghentian Perjanjian, GoDaddy akan terus mematuhi kewajibannya terkait Pemrosesan Data Pribadi Pelanggan berdasarkan DPA ini dan akan segera mengembalikan atau menghapus Data Pribadi Pelanggan tersebut setelah penyimpanan tidak lagi diwajibkan secara hukum.
10.9 Undang-Undang yang Mengatur dan Wilayah Hukum. DPA ini diatur oleh undang-undang yang ditetapkan dalam Perjanjian, kecuali sebagaimana ditentukan oleh Undang-Undang Perlindungan Data, dalam hal ini undang-undang yuridiksi yang ditentukan oleh Undang-Undang Perlindungan Data yang berlaku. Tidak ada ketentuan dalam DPA ini yang dapat dianggap membatasi hak atau kewajiban siapa pun berdasarkan Undang-Undang Perlindungan Data yang berlaku.
Pedoman 1 ini mencakup detail Pemrosesan Data Pribadi Pelanggan yang Diperlukan berdasarkan Undang-Undang Perlindungan Data.
Materi pokok dan durasi Pemrosesan Data Pribadi Pelanggan:
Materi pokok dan durasi Pemrosesan Data Pribadi Pelanggan dijelaskan dalam Perjanjian.
Sifat dan tujuan Pemrosesan Data Pribadi Pelanggan:
Pemrosesan Data Pribadi Pelanggan oleh GoDaddy secara wajar diperlukan untuk menyediakan Layanan sebagaimana yang dijelaskan dalam Perjanjian.
Jenis Data Pribadi dan Kategori Subjek Data:
Jenis Data Pribadi Pelanggan dan kategori Subjek Data dikontrol oleh Pelanggan dan/atau Pengontrol yang memberikan Data Pribadi Pelanggan kepada Pelanggan atas kebijaksanaan tunggalnya.
Data Sensitif atau Kategori Data Khusus:
Data Sensitif dari waktu ke waktu dapat Diproses sesuai dengan Perjanjian. Jenis Data Sensitif yang Diproses berdasarkan Perjanjian telah ditentukan oleh Pelanggan dan/atau Pengontrol yang memberikan Data Sensitif kepada Pelanggan atas kebijaksanaan tunggalnya.
Kewajiban dan Hak Pengontrol:
Kewajiban dan hak Pelanggan dijelaskan dalam Perjanjian dan DPA ini.
Pedoman 2: Prosedur Keamanan Teknis dan Organisatoris1. Penerapan
1.1 Persyaratan dalam Pedoman 2 ini berlaku untuk GoDaddy dan Subpemroses apa pun (termasuk, tetapi tidak terbatas pada penyedia layanan cloud) yang digunakan oleh GoDaddy untuk menyediakan Layanan dan/atau Memproses Data Pribadi Pelanggan.
1.2 Jika GoDaddy menggunakan Subpemroses apa pun untuk menyediakan Layanan dan/atau Memproses Data Pribadi Pelanggan, GoDaddy harus memastikan bahwa Subpemroses tersebut mematuhi setiap persyaratan dalam Pedoman ini.
2. Privasi Informasi dan Manajemen Keamanan Data
2.1 Proses Manajemen Risiko. GoDaddy harus mempertahankan proses manajemen risiko yang sesuai untuk menyusun, menilai, merespons, dan memantau risiko terhadap Data Pribadi Pelanggan, sesuai kewajiban GoDaddy berdasarkan Perjanjian, DPA, dan undang-undang yang berlaku.
2.2 Ruang Lingkup Program Keamanan Informasi. Setidaknya, program keamanan informasi GoDaddy, termasuk semua kebijakan privasi dan perlindungan data yang berlaku, harus didesain untuk:
2.2.1 Melindungi kerahasiaan, integritas, dan ketersediaan Data Pribadi Pelanggan yang dimiliki atau dikontrol oleh GoDaddy atau yang dapat diakses oleh GoDaddy; dan
2.2.2 Melindungi dari ancaman atau bahaya yang dapat diantisipasi secara wajar terhadap kerahasiaan, integritas, dan ketersediaan Data Pribadi Pelanggan.
2.3 Pembaruan Program Keamanan Informasi. GoDaddy akan secara berkala meninjau dan memperbarui program keamanan informasinya menurut praktik dan kerangka kerja standar industri yang sesuai dengan jenis, volume, dan sensitivitas Data Pribadi Pelanggan yang diproses oleh GoDaddy.
2.4 Penilaian dan Pengujian Risiko. GoDaddy akan secara berkala melakukan penilaian risiko untuk semua sistem yang memproses Data Pribadi Pelanggan dan akan secara berkala melakukan pengujian penetrasi pihak ketiga pada aplikasi dan infrastruktur yang digunakan untuk menyediakan Layanan sebagaimana dianggap perlu oleh GoDaddy.
2.5 Keberlanjutan dan Ketahanan. GoDaddy akan menerapkan prosedur yang sesuai untuk melindungi integritas dan ketersediaan sistemnya yang memproses Data Pribadi Pelanggan, termasuk prosedur seperti pemantauan performa dan ketersediaan, desain sistem yang redundan dan tangguh, penggunaan catu daya yang tidak dapat diganggu, perlindungan DDoS, pengujian beban dan tekanan, serta prosedur serupa lainnya.3. Keamanan Organisasi
3.1 Akuntabilitas. GoDaddy akan mengembangkan serta menerapkan kebijakan dan prosedur keamanan informasi tertulis yang secara jelas menetapkan tanggung jawab untuk melindungi Data Pribadi Pelanggan dalam GoDaddy, termasuk penunjukan satu atau lebih individu tertentu untuk bertanggung jawab atas administrasi program keamanan informasi GoDaddy dan perlindungan Data Pribadi Pelanggan.
3.2 Manajemen dan Kontrol Aset. GoDaddy akan mempertahankan kebijakan manajemen aset dan kontrol aset, termasuk klasifikasi aset dan inventaris perangkat serta sistem yang digunakan untuk menyediakan Layanan dan/atau memproses Data Pribadi Pelanggan.
3.3 Keamanan Fisik. GoDaddy juga harus menerapkan kontrol berbasis risiko untuk menjaga keamanan fisik fasilitasnya, termasuk menerapkan prosedur yang wajar untuk memastikan bahwa hanya pengguna yang berwenang yang memiliki akses ke perangkat elektronik, jaringan, sistem penting, aplikasi, ruang server, ruang komunikasi, dan lingkungan kerjaGoDaddy. Prosedur yang dapat dilakukan oleh GoDaddy, jika sesuai, termasuk, tetapi tidak terbatas pada alarm, pengawasan CCTV, manajemen akses pengunjung, dan pemusnahan Data Pribadi pada perangkat fisik sebelum dibuang/didaur ulang.
4. Operasi Keamanan
4.1 Konfigurasi Sistem Aman. GoDaddy akan menetapkan kontrol untuk memastikan bahwa sistem yang digunakan untuk menyediakan Layanan dan/atau Memproses Data Pribadi Pelanggan telah dikonfigurasikan dengan aman.
4.2 Manajemen Patch dan Kerentanan. GoDaddy akan menetapkan dan mempertahankan sistem manajemen patch dan kerentanan yang memastikan semua sistem yang digunakan untuk menyediakan Layanan dan/atau Memproses Data Pribadi Pelanggan telah di-patch terhadap kerentanan keamanan yang diketahui dalam jangka waktu yang wajar berdasarkan tingkat kepentingan patch dan sensitivitas Data Pribadi Pelanggan.
4.3 Pencegahan Malware. GoDaddy akan menerapkan kontrol pendeteksian, pencegahan, dan perbaikan untuk melindungi dari perangkat lunak berbahaya (termasuk program kesadaran pengguna yang sesuai).
4.4 Penetapan Log dan Audit. GoDaddy akan menggunakan program manajemen log yang menetapkan ruang lingkup, pembuatan, penyimpanan, analisis, dan pembuangan log menggunakan standar industri berbasis risiko.
4.5 Pendeteksian dan Respons Insiden Keamanan. GoDaddy akan mempertahankan sistem berbasis risiko untuk mendeteksi Insiden Keamanan sebagaimana diwajibkan oleh Pasal 6 Perjanjian, termasuk penggunaan sistem pendeteksi penyusupan dan pencegahan penyusupan.
5. Pelatihan
GoDaddy akan memastikan bahwa stafnya menerima pelatihan berkala mengenai kerahasiaan dan kewajiban perlindungan data mereka yang berkaitan dengan Data Pribadi Pelanggan.
6. Kontrol Akses
6.1 Identifikasi Unik. GoDaddy akan menetapkan kredensial pengguna unik individu kepada staf yang memiliki akses ke Data Pribadi Pelanggan, termasuk, tetapi tidak terbatas pada staf yang memiliki akses administratif.
6.2 Manajemen Kata Sandi. GoDaddy akan menerapkan kebijakan dan prosedur untuk manajemen kata sandi, termasuk manajemen kata sandi terpusat dan kebijakan kata sandi.
6.3 Autentikasi Multifaktor. GoDaddy akan menerapkan autentikasi multifaktor untuk akses jarak jauh ke jaringan, sistem, atau aplikasi yang digunakan untuk Memproses dan/atau menyimpan Data Pribadi Pelanggan.
6.4 Hak Istimewa Terendah. GoDaddy akan membatasi akses ke Data Pribadi Pelanggan kepada staf yang terikat oleh kewajiban kerahasiaan yang sesuai, dan yang "perlu tahu" atau "perlu mengakses" untuk tujuan penyediaan Layanan.
7. Kontrol Keamanan Data
7.1 Pemisahan Data. GoDaddy akan menyimpan Data Pribadi Pelanggan dalam lingkungan yang terpisah secara logis dan aman.
7.2 Enkripsi dan Prosedur lain. GoDaddy akan menggunakan prosedur berbasis risiko yang sesuai untuk melindungi Data Pribadi Pelanggan, termasuk enkripsi, pseudonimisasi, dan prosedur lain yang sesuai seperti menggunakan algoritma untuk mengacak rahasia, termasuk kata sandi dan token API yang digunakan untuk mengakses sistem yang berisi Data Pribadi Pelanggan.
Pedoman 3: Persyaratan Yuridiksi Khusus
1. Amerika Serikat
1.1 California.
1.1.1 Definisi.
1.1.1.1 Istilah berikut ditetapkan secara khusus sesuai definisi dalam Undang-Undang Perlindungan Data California: "Bisnis", "Tujuan Komersial", "Penyedia Layanan", "Menjual", "Berbagi", dan "Pihak Ketiga".
1.1.1.2 Istilah "Data Pribadi Pelanggan" mencakup Informasi Pribadi dari individu atau anggota keluarga yang teridentifikasi atau dapat diidentifikasi.
1.1.2 Peran Para Pihak.
1.1.2.1 Jika Pelanggan dianggap sebagai Bisnis berdasarkan Undang-Undang Perlindungan Data California yang berlaku, semua referensi terhadap hak dan kewajiban Pelanggan sebagai Pengontrol berdasarkan DPA ini juga akan dianggap mengacu pada hak dan kewajiban Pelanggan sebagai Bisnis. Jika Pelanggan dianggap sebagai Bisnis berdasarkan Undang-Undang Perlindungan Data California yang berlaku, semua referensi atas hak dan kewajiban Pelanggan sebagai Pemroses berdasarkan DPA ini juga akan dianggap mengacu pada hak dan kewajiban Pelanggan sebagai Penyedia Layanan.
1.1.2.2 Jika GoDaddy dianggap sebagai Penyedia Layanan atau Pihak Ketiga berdasarkan Undang-Undang Perlindungan Data California, semua rujukan terhadap hak dan kewajiban GoDaddy sebagai Pemroses atau Subpemroses berdasarkan DPA ini juga akan dianggap merujuk pada hak dan kewajiban GoDaddy sebagai Penyedia Layanan atau Pihak Ketiga, sebagaimana berlaku.
1.2 Seluruh Negara Bagian AS (termasuk California).
1.2.1 GoDaddy tidak boleh (a) menjual atau membagikan Data Pribadi Pelanggan, (b) menyimpan, menggunakan, atau mengungkapkan Data Pribadi Pelanggan untuk tujuan apa pun selain tujuan bisnis yang ditentukan dalam Perjanjian, atau (c) menyimpan, menggunakan, atau mengungkapkan Data Pribadi Pelanggan di luar hubungan bisnis langsung antara GoDaddy dan Perusahaan.
1.2.2 Akses GoDaddy ke Data Pribadi Pelanggan bukan merupakan bagian dari pertimbangan yang dipertukarkan oleh Para Pihak berdasarkan Perjanjian.
Pelanggan berhak untuk mengambil langkah-langkah yang wajar untuk: (a) memverifikasi GoDaddy memproses Data Pribadi Pelanggan dengan cara yang konsisten terhadap DPA ini, termasuk menggunakan hak yang ditetapkan dalam Pasal 8 DPA; (b) meminta penghentian dan perbaikan aktivitas Pemrosesan GoDaddy yang dilakukan dengan melanggar persyaratan DPA, dan (c) mengambil langkah wajar lainnya (sebagaimana ditentukan berdasarkan kebijakan Pelanggan sendiri) untuk memastikan kepatuhan GoDaddy terhadap DPA ini. Jika GoDaddy tidak dapat atau tidak bersedia memenuhi permintaan wajar Pelanggan sesuai dengan Pasal 1.2.3 ini, satu-satunya upaya hukum Pelanggan adalah menghentikan DPA ini dan bagian dari Perjanjian yang terkait dengan pemrosesan Data Pribadi Pelanggan.
1.2.4 GoDaddy menyatakan telah memahami dan akan mematuhi kewajiban berdasarkan Undang-Undang Perlindungan Data dan DPA ini, termasuk semua pembatasan dalam Pemrosesan Data Pribadi Pelanggan.
2. Uni Eropa/Wilayah Ekonomi Eropa
2.1 Subpemroses
2.1.1 Bila melibatkan Subpemroses, GoDaddyBila melibatkan Subpemroses:
2.2 Kewajiban untuk Penalti Peraturan. Tanpa mengabaikan ketentuan lain yang ditetapkan dalam DPA ini atau Perjanjian (termasuk kewajiban ganti rugi salah satu Pihak berdasarkan Perjanjian), tidak ada Pihak yang akan bertanggung jawab atas denda yang dikeluarkan atau dipungut oleh otoritas pengatur atau badan pemerintah terhadap Pihak lainnya, termasuk denda berdasarkan Artikel 83 GDPR UE.2.1.1.1 Mewajibkan Subpemroses untuk mematuhi prosedur teknis dan organisatoris yang ditetapkan dalam Pasal 5, 6, dan 8 DPA, serta Pedoman 2 DPA yang sesuai dengan sifat pemrosesan oleh Subpemroses, termasuk, tetapi tidak terbatas pada semua prosedur teknis dan organisatoris yang diwajibkan oleh Artikel 28 "GDPR" (Peraturan Perlindungan Data Umum) UE; dan
2.1.1.2 Mewajibkan Subpemroses untuk menyetujui secara tertulis untuk hanya memproses Data Pribadi Pelanggan (a) di UE/EEA, (b) di negara lain yang dinyatakan oleh Komisi Eropa sebagai negara yang memiliki tingkat perlindungan data yang "memadai", atau (c) berdasarkan persyaratan yang ditetapkan dalam Pedoman 4 terkait Transfer Data Pribadi Pelanggan secara internasional.
3. Swiss
3.1 2.1.1 Bila melibatkan Subpemroses, GoDaddy akan:
3.1.1 Mewajibkan Subpemroses untuk mematuhi Prosedur Teknis dan Organisasi yang ditetapkan dalam Pasal 5, 6, dan 8, serta Pedoman 2 DPA yang sesuai dengan sifat pemrosesan oleh Subpemroses, termasuk, tetapi tidak terbatas pada semua Prosedur Teknis dan Organisasi yang diwajibkan oleh Artikel 28 GDPR Inggris; dan
3.1.2 Mewajibkan Subpemroses untuk menyetujui secara tertulis agar hanya memproses Data Pribadi Pelanggan (a) di Swiss, (b) di UE/EEA, (c) di negara lain yang dinyatakan oleh Komisi Eropa sebagai negara yang memiliki tingkat perlindungan data yang "memadai", atau (d) berdasarkan persyaratan yang ditetapkan dalam Pedoman 4 terkait Transfer Data Pribadi Pelanggan secara internasional.
3.2 Jika Transfer Data Pribadi Pelanggan dari Swiss dilakukan sesuai dengan Klausul Kontrak Standar UE (sebagaimana yang dijelaskan dalam Pedoman 4), amendemen berikut ini berlaku:
3.2.1 Referensi terhadap "Negara Anggota" akan diinterpretasikan untuk mencakup Swiss; dan
3.2.2 3.2.2 Jika Transfer tunduk pada Federal Act on Data Protection ("FADP"), referensi terhadap "Peraturan (UE) 2016/679" akan dianggap sebagai referensi untuk FADP.
3.3 Jika diwajibkan oleh FADP, Klausul Kontrak Standar UE akan dianggap menyertakan data yang berkaitan dengan badan hukum sebagai Data Pribadi Pelanggan.4. Inggris
4.1 Referensi terhadap "GDPR" akan dianggap sebagai referensi terhadap undang-undang dan peraturan terkait di Inggris termasuk, tetapi tidak terbatas pada GDPR Inggris dan Regulasi Perlindungan Data Inggris tahun 2018.
4.2 Bila melibatkan Subpemroses, Perusahaan akan:
Pedoman 4: Mekanisme Transfer Lintas Batas Wajib Internasional
4.2.1 Mewajibkan Subpemroses untuk mematuhi prosedur teknis dan organisasi yang ditetapkan dalam Pasal 5, 6, dan 8, serta Pedoman 2 DPA yang sesuai dengan sifat pemrosesan oleh Subpemroses, termasuk, tetapi tidak terbatas pada semua prosedur teknis dan organisasi yang diwajibkan oleh Artikel 28 GDPR Inggris; dan
4.2.2 Mewajibkan Subpemroses untuk menyetujui secara tertulis untuk hanya memproses Data Pribadi Pelanggan di (a) Inggris, (b) Uni Eropa/EEA, (c) negara lain yang dinyatakan oleh Inggris sebagai negara yang memiliki tingkat perlindungan data yang "memadai", atau (d) berdasarkan persyaratan yang ditetapkan dalam Pedoman 4 terkait Transfer Data Pribadi Pelanggan secara internasional.
1. Definisi
1.1 "Kerangka Kerja Privasi Data ('DPF')" berarti program sertifikasi Kerangka Kerja Privasi Data UE-AS, Swiss-AS, atau Inggris-AS yang dioperasikan oleh Departemen Perdagangan AS [www.dataprivacyframework.gov](www.dataprivacyframework.gov).
1.2 "Jembatan Data Inggris-AS" berarti Ekstensi Inggris untuk Kerangka Kerja Privasi Data UE-AS.
1.3 "Klausul Kontrak Standar UE" adalah klausul kontrak standar yang disetujui oleh Komisi Eropa dan dilampirkan dalam lampiran keputusan 2021/914 pada bulan Juni 2021.
1.4 Perjanjian Transfer Data Internasional Inggris ("IDTA Inggris") yang dikeluarkan oleh Komisioner Informasi Inggris, Versi B1.0, dianggap telah ditandatangani oleh Para Pihak sejak Tanggal Berlaku Efektif Perjanjian, dan Klausul Kontrak Standar UE dianggap telah diubah sebagaimana yang ditetapkan oleh IDTA Inggris terkait transfer data dari Inggris.
2. Urutan Prioritas
2.1 Tidak ada Mekanisme Transfer Wajib yang digunakan jika transfer dilakukan ke negara yang telah dianggap menawarkan tingkat perlindungan data yang memadai berdasarkan Undang-Undang Perlindungan Data negara tempat Data Pribadi Pelanggan ditransfer.
2.2 Jika Transfer diperlukan dan Transfer tersebut tercakup dalam lebih dari satu Mekanisme Transfer Wajib, Transfer akan tunduk pada satu Mekanisme Transfer Wajib sesuai urutan prioritas berikut ini: (a) DPF UE atau Swiss yang berlaku; (b) Jembatan data Inggris-AS; (c) Klausul Kontrak Standar UE; (d) IDTA Inggris, atau (e) Mekanisme Transfer Wajib lain yang berlaku dan diizinkan berdasarkan Undang-Undang Perlindungan Data yang berlaku.
2.3 Jika Mekanisme Transfer Wajib dianggap tidak valid setelah penandatanganan Perjanjian ini, semua Transfer di masa mendatang akan dianggap dilakukan melalui Mekanisme Transfer Wajib berikutnya yang berlaku.
3. Kerangka Kerja Privasi Data
3.1 Pengesahan Mandiri.
3.1.1 Pengesahan GoDaddy. GoDaddy menyatakan bahwa pihaknya telah mendapatkan pengesahan mandiri berdasarkan DPF. GoDaddy setuju (a) untuk memberikan setidaknya tingkat perlindungan yang sama terhadap Data Pribadi Pelanggan sebagaimana diwajibkan dalam Prinsip Privasi Data DPF; (b) untuk memberi tahu Pelanggan secara tertulis tanpa penundaan yang tidak semestinya, jika pengesahan GoDaddy untuk DPF ditarik, dihentikan, dicabut, atau dibatalkan; dan (c) atas pemberitahuan tertulis dari Pelanggan, untuk mengambil langkah yang wajar dan sesuai untuk menghentikan dan memperbaiki setiap pemrosesan Data Pribadi Pelanggan yang tidak sah..
3.1.2 Pengesahan Perusahaan. Jika perusahaan menerima pengesahan berdasarkan DPF, Perusahaan setuju (a) untuk memberikan setidaknya tingkat perlindungan yang sama terhadap Data Pribadi apa pun sebagaimana diwajibkan dalam Prinsip Privasi Data DPF; (b) untuk memberi tahu GoDaddy secara tertulis tanpa penundaan yang tidak semestinya, jika pengesahan Perusahaan untuk DPF ditarik, dihentikan, dicabut, atau dibatalkan; dan (c) atas pemberitahuan tertulis kepada GoDaddy, untuk mengambil langkah yang wajar dan sesuai untuk menghentikan dan memperbaiki setiap pemrosesan Data Pribadi Pelanggan yang tidak sah.
3.2 Status
3.2.1 EU-US DPF. DPF UE-AS telah dianggap memberikan tingkat perlindungan data yang memadai oleh Komisi Eropa sesuai dengan keputusan kecukupan pada 10 Juli 2023 dan mulai berlaku pada 10 Oktober 2023.
3.2.2 Jembatan Data Inggris-AS. Jembatan Data Inggris-AS telah dianggap memberikan tingkat perlindungan data yang memadai oleh Sekretaris Negara Inggris untuk Sains, Inovasi, dan Teknologi yang telah menetapkan peraturan yang memadai di Parlemen pada 21 September 2023. Peraturan Jembatan Data Inggris-AS mulai berlaku sejak 12 Oktober 2023 dan Transfer yang berlaku akan dilakukan sesuai dengan Jembatan Data Inggris-AS sejak tanggal tersebut.
3.2.3 DPF Swiss-AS. DPF Swiss-AS belum berlaku.
3.3 Perusahaan dan Subpemroses Perusahaan akan mengambil semua langkah yang diperlukan agar GoDaddy mematuhi kewajibannya sebagai Pengontrol dan/atau Pemroses berdasarkan DPF, termasuk tetapi tidak terbatas pada upaya untuk membantu GoDaddy dan/atau Pengontrol dalam menanggapi permintaan dari individu untuk menggunakan hak Subjek Data mereka.3.2.3.1 Para Pihak setuju bahwa selama persyaratan DPA ini sejalan dengan DPF Swiss atau analognya yang wajar saat mulai berlaku, Transfer Data Pribadi Pelanggan yang berlaku dari Swiss akan diperlakukan sebagaimana jika dilakukan berdasarkan DPF Swiss.
3.2.3.2 Jika ada persyaratan lebih lanjut yang diperlukan untuk ditambahkan ke dalam DPA ini oleh DPF Swiss, Para Pihak setuju bahwa persyaratan tersebut akan dimasukkan secara otomatis tanpa tindakan lebih lanjut dari Para Pihak; dengan catatan bahwa persyaratan tambahan tersebut tidak membebankan kewajiban material tambahan kepada salah satu Pihak atau secara materiel merusak syarat dan ketentuan asli Perjanjian.
3.2.3.3 Jika persyaratan tambahan tidak dapat ditambahkan secara otomatis ke dalam DPF ini, DPA ini dapat diubah untuk mengizinkan Transfer sesuai dengan DPF Swiss.
3.2.3.3 Jika persyaratan tambahan tidak dapat ditambahkan secara otomatis ke dalam DPF ini, DPA ini dapat diubah untuk mengizinkan Transfer sesuai dengan DPF Swiss.
4. Klausul Kontrak Standar UE
4.1 Untuk Transfer Data Pribadi dari UE/EEA dan Swiss yang tunduk pada Klausul Kontrak Standar UE, Modul Dua (Pengontrol ke Pemroses) atau Modul Tiga (Pemroses ke Pemroses) berlaku, tergantung apakah GoDaddy adalah Pengontrol atau Pemroses sehubungan dengan Data Pribadi Pelanggan yang akan Ditransfer.
4.2 Sehubungan dengan Modul Dua dan Tiga dari SCC Uni Eropa:
4.2.1 Dalam Klausul 7, klausul docking opsional tidak akan berlaku.
4.2.2 Dalam Klausul 9, Opsi 2 akan berlaku dan proses untuk memberikan pemberitahuan dan jangka waktu pengajuan keberatan atas perubahan Subpemroses akan sebagaimana diatur pada Pasal 3 dalam DPA.
4.2.3 Dalam klausul 11, bahasa opsional tidak akan berlaku.
4.2.4 Dalam Klausul 17 (Opsi 1), Klausul Kontrak Standar Uni Eropa akan diatur oleh hukum internal Jerman.
4.2.5 Dalam Klausul 18(b), sengketa yang berkaitan dengan DPA akan diselesaikan di Republik Federal Jerman.
4.3 Untuk tujuan Lampiran I, Bagian A:
4.3.1 Pengekspor Data
4.3.1.1 Pengekspor Data adalah Perusahaan.
4.3.1.2 Perusahaan dapat dihubungi di alamat yang tercantum dalam ketentuan pemberitahuan Perjanjian.
4.3.1.3 Dengan menandatangani DPA ini, berarti Perusahaan dianggap telah menandatangani Klausul Kontrak Standar Uni Eropa ini, termasuk Lampirannya, pada Tanggal Berlakunya Perjanjian.
4.3.2 Pengimpor Data
4.3.2.1 Pengimpor Data adalah GoDaddy dan/atau afiliasi resmi dari GoDaddy.
4.3.2.2 GoDaddy dapat dihubungi di alamat yang tercantum dalam ketentuan pemberitahuan Perjanjian atau di privacy@GoDaddy.com.
4.3.2.3 Dengan menandatangani DPA ini, berarti GoDaddy dianggap telah menandatangani Klausul Kontrak Standar Uni Eropa, termasuk Lampirannya, pada Tanggal Berlakunya Perjanjian.
4.4 Untuk tujuan Lampiran I, Bagian B:
4.4.1 Kategori Subjek Data dijelaskan dalam Pedoman 1.
4.4.2 Data sensitif (jika ada) yang Ditransfer dijelaskan dalam Pedoman 1.
4.4.3 Frekuensi Transfer adalah durasi Perjanjian dan DPA.
4.4.4 Sifat Pemrosesan dijelaskan dalam Pedoman 1.
4.4.5 Tujuan Pemrosesan dijelaskan dalam Pedoman 1.
4.4.6 Periode Pemrosesan dijelaskan dalam Pedoman 1.
4.5 Untuk tujuan Lampiran I, Bagian C, sesuai dengan klausul 13, otoritas pengawas yang berwenang ditetapkan sebagai berikut:
4.5.1 Untuk transfer Data Pribadi dari UE/EEA, Otoritas Pengawas adalah Komisaris Negara Bagian North Rhine-Westphalia untuk Perlindungan Data dan Kebebasan Informasi.
4.5.2 Komisaris Perlindungan Data dan Informasi Federal Swiss akan bertindak sebagai otoritas pengawas yang berwenang jika Transfer atau Transfer Berikutnya yang relevan diatur oleh Peraturan dan Undang-Undang Perlindungan Data Swiss.
4.6 Dalam Lampiran II Klausul Kontrak Standar UE, Pedoman 2 berisi prosedur teknis dan organisatoris yang diterapkan oleh Perusahaan sebagai Importir Data berdasarkan DPA.
4.7 Dalam Lampiran III Klausul Kontrak Standar UE, lihat daftar Subpemroses Perusahaan.5. Perjanjian Transfer Data Internasional Inggris
5.1 IDTA Inggris berlaku untuk Transfer Data Pribadi Pelanggan yang ditransfer dari Inggris ke negara mana pun di luar Inggris yang tidak diakui oleh otoritas pengatur atau badan pemerintah Inggris yang kompeten untuk memberikan tingkat perlindungan Data Pribadi yang memadai.
5.2 Untuk Transfer yang tunduk pada IDTA Inggris, IDTA Inggris tersebut dianggap telah disepakati oleh Para Pihak dan diselesaikan sebagai berikut:
5.2.1 Dalam Tabel 1 IDTA, detail Para Pihak dan informasi kontak utama terletak di Pasal 4.3 dari Pedoman 4 ini.
5.2.2 Dalam Tabel 2 IDTA, informasi tentang versi Klausul Kontrak Standar Uni Eropa, modul, dan klausul tertentu yang melampirkan IDTA Inggris terdapat di Pasal 4 dari Pedoman ini.
5.2.3 Dalam Tabel 3 dari IDTA Inggris:
5.2.3.1 Daftar Para Pihak terdapat di Pasal 4.3 dari Pedoman 4 ini.
5.2.3.2 Daftar Para Pihak terdapat di Pasal 4.3 dari Pedoman 4 ini.
5.2.3.3 Lampiran II berada di Pedoman 2.
5.2.3.4 Daftar Subpemroses Perusahaan berada di Pedoman 5.
5.2.3.5 Dalam Tabel 4 dari IDTA Inggris, GoDaddy dan Perusahaan dapat mengakhiri IDTA Inggris sesuai dengan persyaratannya.
5.3 Komisioner Informasi Inggris akan bertindak sebagai otoritas pengawas yang berwenang jika Transfer yang relevan diatur oleh Peraturan dan Undang-Undang Perlindungan Data Inggris.
5.4 Konflik. Jika terdapat pertentangan atau ketidaksesuaian antara Klausul Kontrak Standar UE atau IDTA Inggris dan persyaratan lainnya dalam Adendum Pemrosesan Data ini, maka ketentuan Klausul Kontrak Standar UE atau IDTA Inggris, sebagaimana berlaku, akan diterapkan.
Versi terjemahan dari perjanjian dan kebijakan hukum disediakan semata-mata untuk memudahkan Anda dalam membaca dan memahami versi bahasa Inggris. Tujuan penyediaan terjemahan perjanjian dan kebijakan hukum bukan untuk membuat perjanjian yang terikat secara hukum dan bukan sebagai pengganti validitas hukum dari versi bahasa Inggris. Dalam kasus sengketa atau konflik, perjanjian dan kebijakan hukum versi bahasa Inggris dalam hal apa pun hukum mengatur hubungan dan diutamakan atas ketentuan dalam bahasa lain.