Data Protection Agreement
APPENDIX
ACOMMERCE DATA PROCESSING AGREEMENT
Overall Personal Data Protection Obligation
Each Party shall comply with its obligations under any relevant and prevailing data privacy regulations and laws applicable to the Processing of Personal Data performed under this Agreement (“Data Protection Regulations”).
Both Parties declare that they have (i) fulfilled all obligations applicable to the Processing of Personal Data (including the information of any natural person who is directly or indirectly identifiable through the Personal Data processed under this Agreement (“Data Subject”)) and (ii) the Processing of Personal Data herein is compliant with relevant Data Protection Regulations.
Definitions
Processing / Process means any operation or set of operations which is performed upon Personal Data or sets of Personal Data, whether or not by automated means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction.
Data Controller means any legal entity which determines the purposes and means of the Processing of Personal Data.
Data Processor means any legal entity which processes Personal Data on behalf of, or in accordance with, the instructions the Data Controller.
Sub-processor means any legal or natural person, including any agents and intermediaries, processing personal data on behalf of the Data Processor.
Processing of Personal Data by aCommerce
aCommerce expressly acknowledges that Personal Data Processed under this Agreement is and remains Client’s property. The Client as Data Controller further assures that all the required consents have been obtained from such Data Subject and the Data Controller shall remain solely responsible for its actions and instructions, under all the relevant laws.
In consideration of the nature of the Services, Parties hereby state and agree that:
– should aCommerce Process any Personal Data on the Client’s behalf or instructions, aCommerce shall be deemed acting as the Data Processor and the Client acting as the Data Controller;
– aCommerce shall collect, use, and process data, and transfer such data to third party service providers acting as Sub-processors only to the extent required for successful completion of its obligations under this Agreement.
– aCommerce shall ensure that the Sub-processors are bound by data protection obligations compatible with those of aCommerce under this Appendix, shall supervise compliance thereof, and must in particular impose on its Sub-processors the obligation to implement appropriate technical and organizational measures in such a manner that the processing will meet the requirements of the Data protection Regulations.
Personal Data shall not be Processed other than the purposes provided under this Agreement. Consequently, aCommerce undertakes to comply and ensure compliance by its employees and subcontractors (if any) with the following commitments:
– Grant access to personal data only to authorized employees as required for the service, and ensure regular and suitable training regarding its obligations under this Appendix;
– Except as required by the law, comply with (i) Client’s data retention instructions and erase or archive Personal Data accordingly and (ii) any other specific obligations which may apply upon termination of the Agreement;
– Ensure compliance with the highest industry best practices and recommendations that have been, or may be, issued in relation to the Parties’ respective business field;
– Take any appropriate technical and organizational measures to ensure the security and the confidentiality and safeguard of Personal Data against unlawful disclosure or unauthorized processing or accidental loss, alteration, destruction of, or damage to Personal Data. Said measures and safeguards shall at least ensure a level of security as is appropriate and proportionate to the risk exposure resulting from Personal Data unlawful disclosure, unauthorized processing of or accidental loss, destruction, damage or alteration;
– Notify the Client as soon as possible, (and at the latest within a week) of the nature and scope of any failure(s) to the above obligations that aCommerce is aware of or suspects and assist the Client, in the setting up of any action permitting to address them. Such assistance may or may not be chargeable depending on the source of failure and etc.; and
– If any request is made by any third party (including government bodies or law enforcement agencies) to access Personal Data processed by aCommerce, notify the Client of such information request within seven (7) business days after receiving such request and, if required by the Client, permit Client to handle such information request.
TAMBAHAN
PERJANJIAN PEMROSESAN DATA ACOMMERCE
Kewajiban Perlindungan Data Pribadi Secara Keseluruhan
Setiap Pihak wajib mematuhi kewajibannya dalam setiap peraturan perundang-undangan data pribadi yang berlaku dan terkait dengan Pemrosesan Data Pribadi yang dilakukan berdasarkan Perjanjian ini (“Peraturan Perlindungan Data Pribadi”).
Para Pihak menyatakan bahwa mereka telah (i) memenuhi seluruh kewajiban yang berlaku terhadap Pemrosesan Data Pribadi (termasuk informasi mengenai setiap orang pribadi yang secara langsung atau tidak langsung dapat diidentifikasikan melalui Data Pribadi yang diproses berdasarkan Perjanjian ini (“Subjek Data”)) dan (ii) Pemrosesan Data Pribadi dalam Perjanjian ini patuh dengan Peraturan Perlindungan Data Pribadi terkait.
Definisi
Pemrosesan/Proses berarti setiap operasi atau sekumpulan operasi yang dilakukan terhadap Data Pribadi atau sekumpulan Data Pribadi, baik yang dilakukan secara otomatis atau tidak, seperti pengumpulan, perekaman, organisasi, penyusunan, penyimpanan, adaptasi atau perubahan, pengambilan, konsultasi, penggunaan, pengungkapan melalui transmisi, diseminasi, atau dengan cara lain menyebabkan menjadi tersedia, penyesuaian atau kombinasi, pembatasan, penghapusan atau penghancuran.
Pengendali Data berarti setiap entitas hukum yang menentukan tujuan dan cara Pemrosesan Data Pribadi.
Prosesor Data berarti setiap entitas hukum yang memproses Data Pribadi atas nama, atau sesuai dengan, instruksi Pengendali Data.
Sub-prosesor berarti setiap orang pribadi (natuurlijk persoon) atau badan hukum (rechts persoon), termasuk setiap agen dan perantaranya, yang memproses data pribadi atas nama Prosesor Data.
Pemrosesan Data Pribadi oleh aCommerce
aCommerce secara tegas mengakui bahwa Data Pribadi yang Diproses dalam Perjanjian ini merupakan dan tetap merupakan kepemilikan Klien. Klien sebagai Pengendali Data lebih lanjut menjamin bahwa seluruh persetujuan yang diperlukan telah diperoleh dari Subjek Data dan Pengendali Data tetap secara sendiri bertanggung jawab atas tindakan dan instruksinya, berdasarkan perundang-undangan terkait.
Dengan mempertimbangkan sifat dari Layanan, Para Pihak dengan ini menyatakan dan menyepakati bahwa:
– apabila aCommerce memproses setiap Data Pribadi atas nama atau instruksi Klien, aCommerce dianggap bertindak sebagai Prosesor Data dan Klien bertindak sebagai Pengendali Data;
– aCommerce akan mengumpulkan, menggunakan dan memproses data, dan mengirimkan data tersebut kepada penyedia jasa pihak ketiga yang bertindak sebagai Sub-prosesor sepanjang yang diperlukan untuk pemenuhan kewajibannya dalam Perjanjian ini.
– aCommerce wajib memastikan bahwa Sub-prosesor terikat dengan kewajiban perlindungan data pribadi yang sesuai dengan kewajiban aCommerce berdasarkan Tambahan ini, mengawasi kepatuhan terhadap kewajiban tersebut, dan wajib khususnya mengenakan kepada para Sub-prosesor-nya kewajiban untuk mengimplementasikan tindakan teknis dan organisasi yang sesuai, sehingga pemrosesan memenuhi persyaratan dalam Peraturan Perlindungan Data Pribadi.
Data Pribadi tidak dapat Diproses selain untuk tujuan yang diatur dalam Perjanjian ini, Oleh karena itu, aCommerce berjanji untuk mematuhi dan memastikan kepatuhan oleh karyawan-karyawan dan subkontraktor-nya (jika ada), dengan komitmen sebagai berikut:
– Memberikan akses kepada data pribadi hanya kepada karyawan yang berwenang sebagaimana diperlukan untuk layanan, dan memastikan pelatihan berkala dan yang sesuai sehubungan dengan kewajibannya dalam Appendix ini;
– Kecuali apabila diwajibkan oleh hukum, mematuhi (i) instruksi penyimpanan data Klien dan menghapus atau mengarsipkan Data Pribadi secara sesuai dan (ii) setiap kewajiban spesifik lainnya dapat berlaku pada saat pengakhiran Perjanjian;
– Memastikan kepatuhan dengan praktik bisnis industri tertinggi dan rekomendasi yang telah, atau dapat, diterbitkan sehubungan dengan sektor usaha Para Pihak masing-masing;
– Mengambil seluruh tindakan teknis dan organisasi yang sesuai untuk memastikan keamanan dan kerahasiaan dan perlindungan Data Pribadi terhadap pengungkapan yang tidak sah atau pemrosesan yang tidak berwenang atau kehilangan, perubahan, penghancuran atau kerusakan yang tidak disengaja terhadap Data Pribadi. Tindakan dan pengamanan tersebut wajib memastikan tingkat keamanan setidaknya sesuai dan proporsional dengan paparan risiko yang timbul sebagai akibat dari pengungkapan yang tidak sah, pemrosesan yang tidak berwenang atau kehilangan, perubahan, penghancuran atau kerusakan yang tidak disengaja;
– Memberitahukan kepada Klien segara (dan selambat-lambatnya dalam waktu satu minggu) mengenai sifat dan ruang lingkup dari setiap kegagalan dari kewajiban di atas yang aCommerce ketahui atau duga dan membantu Klien dalam menyiapkan setiap tindakan yang dapat dilakukan untuk menangani hal tersebut. Bantuan tersebut dapat mau pun dapat tidak ditaguh tergantung pada sumber kegagalan dan lain-lain; dan
– Apabila terhadap segala bentuk permintaan oleh pihak ketiga (termasuk pemerintah atau pihak penegak hukum) untuk mengakses Data Pribadi yang diproses oleh aCommerce, memberitahukan kepada Klien atas permintaan informasi tersebut dalam 7 (tujuh) hari kerja setelah menerima permintaan tersebut dan, apabila diperlukan oleh Klien, memberikan izin kepada Klien untuk menangani permintaan informasi tersebut.