Terakhir diubah: 02 November 2020
Jibe dan pihak lawan yang menyetujui adendum ini (“Perusahaan”) telah membuat perjanjian untuk penyediaan Layanan Pemroses (sebagaimana diubah dari waktu ke waktu, “Perjanjian”).
Adendum Pemrosesan Data ini (termasuk lampiran, “Adendum Pemrosesan Data”) disepakati oleh Jibe dan Perusahaan dan melengkapi Perjanjian. Adendum Pemrosesan Data ini akan berlaku, dan menggantikan setiap persyaratan yang sebelumnya berlaku terkait dengan materi pokoknya (termasuk persyaratan pemrosesan data dan keamanan yang terkait dengan Layanan Pemroses), sejak Tanggal Mulai Berlaku Persyaratan.
Jika Anda menyetujui Adendum Pemrosesan Data ini atas nama Perusahaan, Anda menjamin bahwa: (a) Anda memiliki kewenangan hukum penuh untuk mengikat Perusahaan dengan Adendum Pemrosesan Data ini; (b) Anda telah membaca dan memahami Adendum Pemrosesan Data ini; dan (c) Anda setuju, atas nama Perusahaan, dengan Adendum Pemrosesan Data ini. Jika Anda tidak memiliki kewenangan hukum untuk mengikat Perusahaan, jangan setujui Adendum Pemrosesan Data ini.
1. Pengantar
Adendum Pemrosesan Data ini mencerminkan perjanjian antarpihak terkait persyaratan yang mengatur pemrosesan dan keamanan Data Pribadi Perusahaan sehubungan dengan Legislasi Perlindungan Data Eropa dan Legislasi Perlindungan Data Non-Eropa tertentu.
2. Definisi dan Penafsiran
2.1 Dalam Adendum Pemrosesan Data ini:
“Produk Tambahan” adalah produk, layanan, atau aplikasi yang disediakan oleh Jibe atau pihak ketiga yang: (a) bukan bagian dari Layanan Pemroses; dan (b) dapat diakses untuk digunakan dalam antarmuka pengguna Layanan Pemroses atau terintegrasi dengan Layanan Pemroses.
“Persyaratan Tambahan untuk Legislasi Perlindungan Data Non-Eropa” adalah persyaratan tambahan yang disebut dalam Lampiran 3, yang mencerminkan perjanjian antarpihak terkait persyaratan yang mengatur pemrosesan data tertentu sehubungan dengan Legislasi Perlindungan Data Non-Eropa tertentu.
“Afiliasi” berarti entitas yang secara langsung atau tidak langsung mengendalikan, dikendalikan oleh, atau berada di bawah kendali yang sama dengan suatu pihak.
“Data Pribadi Perusahaan” berarti data pribadi yang diproses oleh Jibe atas nama Perusahaan dalam penyediaan Layanan Pemroses oleh Jibe.
“Insiden Data” berarti pelanggaran keamanan Jibe yang menyebabkan pemusnahan, kehilangan, perubahan, pengungkapan tanpa izin, atau akses ke Data Pribadi Perusahaan secara tidak disengaja atau yang melanggar hukum, pada sistem yang dikelola oleh atau dikontrol oleh Jibe. “Insiden Data” tidak akan mencakup upaya atau aktivitas gagal yang tidak membahayakan keamanan Data Pribadi Perusahaan, termasuk kegagalan upaya login, ping, pemindaian port, serangan denial of service, dan serangan jaringan lain pada firewall atau sistem berjaringan.
“Perundang-Undangan Perlindungan Data” berarti, sebagaimana berlaku: (a) Legislasi Perlindungan Data Eropa; dan/atau (b) Legislasi Perlindungan Data Non-Eropa.
“Alat Subjek Data” berarti alat (jika ada) yang disediakan oleh Entitas Jibe kepada subjek data yang memungkinkan Jibe merespons secara langsung dan dengan cara standar permintaan tertentu dari subjek data sehubungan dengan Data Pribadi Perusahaan (misalnya, plugin browser untuk memilih tidak ikut).
“EEA” adalah Wilayah Ekonomi Eropa.
“GDPR Uni Eropa” berarti Peraturan (Uni Eropa) 2016/679 dari Parlemen Eropa dan Dewan tertanggal 27 April 2016 tentang perlindungan terhadap individu yang berkaitan dengan pemrosesan data pribadi dan perpindahan bebas data tersebut, dan membatalkan Directive 95/46/EC.
“Legislasi Perlindungan Data Eropa” berarti, sebagaimana berlaku: (a) GDPR; dan/atau (b) Federal Data Protection Act tertanggal 19 Juni 1992 (Swiss).
“Hukum Eropa atau Nasional” berarti, sebagaimana berlaku: (a) hukum Uni Eropa atau Negara Anggota Uni Eropa (jika GDPR Uni Eropa berlaku untuk pemrosesan Data Pribadi Perusahaan); dan/atau (b) hukum Inggris Raya atau bagian dari Inggris Raya (jika GDPR Inggris Raya berlaku untuk pemrosesan Data Pribadi Perusahaan).
“GDPR” berarti, sebagaimana berlaku: (a) GDPR Uni Eropa; dan/atau (b) GDPR Inggris Raya.
“Jibe” berarti Entitas Jibe yang merupakan pihak dalam Perjanjian.
“Subpemroses Afiliasi Jibe” memiliki arti sebagaimana dijelaskan dalam Pasal 11.1 (Izin untuk Keterlibatan Subpemroses).
“Entitas Jibe” berarti Jibe Mobile Inc, Jibe Mobile Limited, atau Afiliasi lainnya dari Jibe Mobile Inc.
“Sertifikasi ISO 27001” berarti sertifikasi ISO/IEC 27001:2013 atau sertifikasi yang sebanding untuk Layanan Pemroses.
“Legislasi Perlindungan Data Non-Eropa” adalah hukum perlindungan atau privasi data yang berlaku di luar EEA, Swiss, dan Inggris Raya.
“Alamat Email Notifikasi” adalah alamat email (jika ada): (i) yang diberikan oleh Perusahaan kepada Jibe atau (ii) yang ditetapkan oleh Perusahaan, melalui antarmuka pengguna Layanan Pemroses atau cara lain yang disediakan oleh Jibe, untuk menerima notifikasi tertentu dari Jibe yang berkaitan dengan Adendum Pemrosesan Data ini. Untuk memperjelas, Perusahaan bertanggung jawab untuk memberikan Alamat Email Notifikasi kepada Jibe dan memberi tahu Jibe tentang pembaruan apa pun pada Alamat Email Notifikasi.
“Layanan Pemroses” adalah layanan RCS Business Messaging (seperti yang dijelaskan di https://developers.google.com/business-communications/rcs-business-messaging)
“Dokumentasi Keamanan” adalah Sertifikasi ISO 27001 dan sertifikasi atau dokumentasi keamanan lainnya yang dapat disediakan oleh Jibe sehubungan dengan Layanan Pemroses.
“Prosedur Keamanan” memiliki makna yang dijelaskan dalam Pasal 7.1.1 (Prosedur Keamanan Jibe).
“Klausul Kontrak Standar” berarti klausul kontrak standar Komisi Eropa di https://privacy.google.com/businesses/gdprprocessorterms/sccs, yang merupakan persyaratan perlindungan data standar untuk transfer data pribadi ke pemroses yang didirikan di negara ketiga yang tidak memastikan tingkat perlindungan data yang memadai, seperti yang dijelaskan dalam Pasal 46 GDPR Uni Eropa.
“Subpemroses” berarti pihak ketiga yang diberi otorisasi berdasarkan Adendum Pemrosesan Data ini untuk memiliki akses logis ke dan memproses Data Pribadi Perusahaan guna menyediakan bagian dari Layanan Pemroses dan dukungan teknis terkait.
“Otoritas Badan Pengawas” berarti, sebagaimana berlaku: (a) “otoritas badan pengawas” sebagaimana ditetapkan dalam GDPR Uni Eropa; dan/atau (b) “Komisioner” sebagaimana ditetapkan dalam GDPR Inggris Raya.
“Masa Berlaku” adalah periode sejak Tanggal Mulai Berlaku Persyaratan hingga akhir penyediaan Layanan Pemroses oleh Jibe berdasarkan Perjanjian.
“Tanggal Mulai Berlaku Persyaratan” berarti tanggal mulai berlaku Perjanjian.
“Subpemroses Pihak Ketiga” memiliki arti yang dijelaskan dalam Pasal 11.1 (Izin untuk Keterlibatan Subpemroses).
“GDPR Inggris Raya” berarti GDPR Uni Eropa sebagaimana yang telah diubah dan dimasukkan ke dalam hukum Inggris Raya berdasarkan European Union (Withdrawal) Act Inggris Raya tahun 2018, jika berlaku.
2.2 Istilah “pengontrol”, “subjek data”, “data pribadi”, “pemrosesan”, dan “pemroses” seperti yang digunakan dalam Adendum Pemrosesan Data ini memiliki arti yang diberikan dalam GDPR, dan istilah “pengimpor data” dan “pengekspor data” memiliki arti yang diberikan dalam Klausul Kontrak Standar.
2.3 Istilah “termasuk”, “mencakup”, atau ekspresi serupa akan diartikan sebagai ilustrasi dan tidak akan membatasi arti kata yang mendahului istilah tersebut. Contoh apa pun dalam Adendum Pemrosesan Data ini bersifat ilustratif dan bukan satu-satunya contoh untuk konsep tertentu.
2.4 Rujukan apa pun ke kerangka hukum, peraturan, atau pengesahan legislatif lainnya adalah rujukan ke hal tersebut seperti yang diubah atau disahkan kembali dari waktu ke waktu.
2.5 Jika Persyaratan Pemrosesan Data ini diterjemahkan ke dalam bahasa lain, dan terdapat perbedaan antara teks bahasa Inggris dan teks terjemahan, maka teks bahasa Inggris yang akan berlaku.
3. Durasi Adendum Pemrosesan Data ini
Adendum Pemrosesan Data ini akan berlaku pada Tanggal Mulai Berlaku Persyaratan dan, terlepas dari apakah Masa Berlaku telah berakhir, akan tetap berlaku hingga, dan otomatis berakhir setelah, penghapusan semua Data Pribadi Perusahaan oleh Jibe seperti yang dijelaskan dalam Adendum Pemrosesan Data ini.
4. Penerapan Adendum Pemrosesan Data ini
4.1 Pemberlakuan Legislasi Perlindungan Data Eropa. Pasal 5 (Pemrosesan Data) hingga 12 (Menghubungi Jibe; Memproses Kumpulan Data) (inklusif) hanya akan berlaku sejauh Legislasi Perlindungan Data Eropa berlaku untuk pemrosesan Data Pribadi Perusahaan, termasuk jika:
(a) pemrosesan dilakukan dalam konteks aktivitas penetapan Perusahaan di EEA atau Inggris Raya; dan/atau
(b) Data Pribadi Perusahaan adalah data pribadi terkait subjek data yang berada di EEA atau Inggris Raya dan pemrosesannya terkait dengan penawaran barang atau jasa kepada mereka atau pemantauan perilaku mereka di EEA atau Inggris Raya.
4.2 Aplikasi untuk Layanan Pemroses. Adendum Pemrosesan Data ini hanya akan berlaku untuk Layanan Pemroses yang disetujui oleh para pihak untuk Adendum Pemrosesan Data ini (misalnya: (a) Layanan Pemroses yang diklik Perusahaan untuk menyetujui Adendum Pemrosesan Data ini; atau (b) jika Perjanjian menyertakan Adendum Pemrosesan Data ini melalui rujukan, Layanan Pemroses yang menjadi subjek Perjanjian).
4.3 Penetapan Persyaratan Tambahan untuk Legislasi Perlindungan Data Non-Eropa. Persyaratan Tambahan untuk Legislasi Perlindungan Data Non-Eropa melengkapi Persyaratan Pemrosesan Data ini.
5. Pemrosesan Data
5.1 Peran dan Kepatuhan terhadap Peraturan; Otorisasi.
5.1.1 Tanggung Jawab Pemroses dan Pengontrol. Para pihak memahami dan setujui bahwa:
(a) Lampiran 1 menjelaskan materi pokok dan detail pemrosesan Data Pribadi Perusahaan;
(b) Jibe adalah pemroses Data Pribadi Perusahaan berdasarkan Legislasi Perlindungan Data Eropa;
(c) Perusahaan adalah pengontrol atau pemroses, sebagaimana berlaku, Data Pribadi Perusahaan berdasarkan Legislasi Perlindungan Data Eropa; dan
(d) setiap pihak akan mematuhi kewajiban yang berlaku baginya berdasarkan Legislasi Perlindungan Data Eropa sehubungan dengan pemrosesan Data Pribadi Perusahaan.
5.1.2 Otorisasi oleh Pengontrol Pihak Ketiga. Jika Perusahaan adalah pemroses, Perusahaan menjamin kepada Jibe bahwa petunjuk dan tindakan Perusahaan sehubungan dengan Data Pribadi Perusahaan, termasuk penunjukan Jibe sebagai pemroses lain, telah diberi otorisasi oleh pengontrol yang relevan.
5.2 Petunjuk Perusahaan. Dengan menyepakati Adendum Pemrosesan Data ini, Perusahaan menginstruksikan Jibe untuk memproses Data Pribadi Perusahaan hanya sesuai dengan hukum yang berlaku: (a) untuk menyediakan Layanan Pemroses dan dukungan teknis terkait apa pun; (b) sebagaimana ditentukan lebih lanjut melalui penggunaan Layanan Pemroses oleh Perusahaan (termasuk dalam setelan dan fungsi lain dari Layanan Pemroses) dan dukungan teknis terkait apa pun; (c) sebagaimana didokumentasikan dalam bentuk Perjanjian, termasuk Adendum Pemrosesan Data ini; dan (d) sebagaimana didokumentasikan lebih lanjut dalam petunjuk tertulis lainnya yang diberikan oleh Perusahaan dan diakui oleh Jibe sebagai petunjuk untuk tujuan Adendum Pemrosesan Data ini.
5.3 Kepatuhan Jibe terhadap Petunjuk. Jibe akan mematuhi petunjuk yang dijelaskan dalam Pasal 5.2 (Petunjuk Perusahaan) (termasuk sehubungan dengan transfer data) kecuali jika Hukum Eropa atau Nasional yang berlaku bagi Jibe mewajibkan pemrosesan Data Pribadi Perusahaan lainnya oleh Jibe, dalam hal ini Jibe akan memberi tahu Perusahaan (kecuali jika hukum tersebut melarang Jibe melakukannya berdasarkan alasan penting untuk kepentingan publik).
5.4 Produk Tambahan. Jika Perusahaan menggunakan Produk Tambahan, Layanan Pemroses dapat mengizinkan Produk Tambahan tersebut mengakses Data Pribadi Perusahaan sebagaimana diperlukan untuk interoperabilitas Produk Tambahan dengan Layanan Pemroses. Adendum Pemrosesan Data ini tidak berlaku untuk pemrosesan data pribadi sehubungan dengan penyediaan Produk Tambahan apa pun yang digunakan oleh Perusahaan, termasuk data pribadi yang dikirimkan ke atau dari Produk Tambahan tersebut.
6. Penghapusan Data
6.1 Penghapusan Selama Jangka Waktu.
6.1.1 Layanan Prosesor dengan Fungsi Penghapusan. Selama Masa Berlaku, jika:
(a) fungsi Layanan Pemroses mencakup opsi bagi Perusahaan untuk menghapus Data Pribadi Perusahaan;
(b) Perusahaan menggunakan Layanan Pemroses untuk menghapus Data Pribadi Perusahaan tertentu; dan
(c) Data Pribadi Perusahaan yang dihapus tidak dapat dipulihkan oleh Perusahaan (misalnya, dari “sampah”),
maka Jibe akan menghapus Data Pribadi Perusahaan tersebut dari sistemnya sesegera mungkin secara wajar, kecuali jika Hukum Eropa atau Nasional mewajibkan penyimpanan.
6.1.2 Layanan Pemroses Tanpa Fungsi Penghapusan. Selama Jangka Waktu, jika fungsi Layanan Pemroses tidak menyertakan opsi bagi Perusahaan untuk menghapus Data Pribadi Perusahaan, Jibe akan mematuhi permintaan yang wajar dari Perusahaan untuk memfasilitasi penghapusan tersebut, selama hal ini mungkin dengan mempertimbangkan sifat dan fungsi Layanan Pemroses. Jibe dapat mengenakan biaya (berdasarkan biaya yang wajar dari Jibe) untuk penghapusan data apa pun berdasarkan Pasal 6.1.2 ini (Layanan Pemroses Tanpa Fungsi Penghapusan). Jibe akan memberikan detail lebih lanjut kepada Perusahaan terkait biaya apa pun yang berlaku, dan dasar penghitungannya, sebelum penghapusan data tersebut.
6.2 Penghapusan saat Masa Berlaku Berakhir. Setelah Masa Berlaku berakhir, Perusahaan akan meminta Jibe untuk menghapus semua Data Pribadi Perusahaan (termasuk salinan yang ada) dari sistem Jibe sesuai dengan hukum yang berlaku. Jibe akan mematuhi petunjuk ini sesegera mungkin secara wajar, kecuali jika Hukum Eropa atau Nasional mewajibkan penyimpanan.
7. Keamanan Data
7.1 Bantuan dan Prosedur Keamanan Jibe.
7.1.1 Prosedur Keamanan Jibe. Jibe akan menerapkan dan memelihara langkah-langkah teknis dan organisasional untuk melindungi Data Pribadi Perusahaan dari pemusnahan, kehilangan, perubahan, pengungkapan atau akses yang tidak disengaja atau melanggar hukum seperti yang dijelaskan dalam Lampiran 2 (“Langkah-Langkah Keamanan”). Jibe dapat memperbarui atau memodifikasi Langkah-Langkah Keamanan dari waktu ke waktu, asalkan pembaruan dan modifikasi tersebut tidak mengakibatkan degradasi keamanan Layanan Pemroses secara keseluruhan.
7.1.2 Kepatuhan Keamanan oleh Staf Jibe.Jibe akan memastikan bahwa semua orang yang diberi wewenang untuk memproses Data Pribadi Perusahaan telah berkomitmen untuk menjaga kerahasiaan atau tunduk pada kewajiban hukum yang sesuai terkait kerahasiaan.
7.1.3 Bantuan Keamanan Jibe. Perusahaan setuju bahwa Jibe akan membantu Perusahaan dalam memastikan kepatuhan terhadap kewajiban Perusahaan apa pun terkait keamanan data pribadi dan pelanggaran data pribadi (dengan mempertimbangkan sifat pemrosesan Data Pribadi Perusahaan dan informasi yang tersedia untuk Jibe), termasuk (jika berlaku) kewajiban Perusahaan berdasarkan Pasal 32 hingga 34 (inklusif) GDPR, dengan:
(a) menerapkan dan mempertahankan Prosedur Keamanan sesuai dengan Pasal 7.1.1 (Prosedur Keamanan Jibe);
(b) mematuhi persyaratan Pasal 7.2 (Insiden Data); dan
(c) memberikan Dokumentasi Keamanan kepada Perusahaan sesuai dengan Pasal 7.5.1 (Peninjauan Dokumentasi Keamanan) dan informasi yang dimuat dalam Adendum Pemrosesan Data ini.
7.2 Insiden Data.
7.2.1 Notifikasi Insiden. Jika Jibe mengetahui adanya Insiden Data, Jibe akan: (a) segera memberi tahu Perusahaan tentang Insiden Data tersebut tanpa penundaan yang tidak semestinya; dan (b) segera mengambil langkah-langkah yang wajar untuk meminimalkan kerugian dan mengamankan Data Pribadi Perusahaan.
7.2.2 Detail Insiden Data. Notifikasi yang diberikan berdasarkan Pasal 7.2.1 (Notifikasi Insiden) akan mendeskripsikan, sejauh yang memungkinkan, detail Insiden Data, termasuk langkah-langkah yang diambil untuk mengurangi potensi risiko dan langkah-langkah yang direkomendasikan Jibe kepada Perusahaan untuk menangani Insiden Data.
7.2.3 Pengiriman Notifikasi.Jibe akan mengirimkan notifikasi tentang Insiden Data apa pun ke Alamat Email Notifikasi atau, atas pertimbangan Jibe (termasuk jika Perusahaan belum memberikan Alamat Email Notifikasi), melalui komunikasi langsung lainnya (misalnya, melalui panggilan telepon atau pertemuan tatap muka). Perusahaan semata-mata bertanggung jawab untuk memberikan Alamat Email Notifikasi dan memastikan bahwa Alamat Email Notifikasi masih berlaku dan valid.
7.2.4 Notifikasi Pihak Ketiga. Perusahaan sepenuhnya bertanggung jawab untuk mematuhi hukum notifikasi insiden yang berlaku untuk Perusahaan dan memenuhi kewajiban notifikasi pihak ketiga yang terkait dengan Insiden Data.
7.2.5 Tidak Ada Pengakuan Kesalahan oleh Jibe.Notifikasi atau respons Jibe terhadap Insiden Data berdasarkan Pasal 7.2 (Insiden Data) ini tidak akan ditafsirkan sebagai konfirmasi oleh Jibe atas kesalahan atau kewajiban sehubungan dengan Insiden Data.
7.3 Penilaian dan Tanggung Jawab Keamanan Perusahaan.
7.3.1 Tanggung Jawab Keamanan Perusahaan. Perusahaan menyetujui bahwa, tanpa memengaruhi kewajiban Jibe berdasarkan Pasal 7.1 (Prosedur dan Bantuan Keamanan Jibe) dan 7.2 (Insiden Data):
(a) Perusahaan bertanggung jawab atas penggunaannya atas Layanan Pemroses, termasuk:
(i) menggunakan Layanan Pemroses yang sesuai untuk memastikan tingkat keamanan yang sesuai dengan risiko terhadap Data Pribadi Perusahaan; dan
(ii) mengamankan kredensial autentikasi akun, sistem, dan perangkat yang digunakan Perusahaan untuk mengakses Layanan Pemroses; dan
(b) Jibe tidak berkewajiban untuk melindungi Data Pribadi Perusahaan yang dipilih Perusahaan untuk disimpan atau ditransfer di luar sistem Jibe dan Subpemrosesnya.
7.3.2 Penilaian Keamanan Perusahaan. Perusahaan mengakui dan menyetujui bahwa (dengan mempertimbangkan teknologi terbaru, biaya penerapan, serta sifat, cakupan, konteks, dan tujuan pemrosesan Data Pribadi Perusahaan, serta risiko terhadap individu) Prosedur Keamanan yang diterapkan dan dikelola oleh Jibe dalam Pasal 7.1.1 (Prosedur Keamanan Jibe) memberikan tingkat keamanan yang sesuai dengan risiko terhadap Data Pribadi Perusahaan.
7.4 Sertifikasi Keamanan. Untuk mengevaluasi dan membantu memastikan efektivitas Prosedur Keamanan yang berkelanjutan, Jibe akan mempertahankan Sertifikasi ISO 27001.
7.5 Peninjauan dan Audit Kepatuhan.
7.5.1 Peninjauan Dokumentasi Keamanan. Untuk menunjukkan kepatuhan Jibe terhadap kewajibannya berdasarkan Amendemen Pemrosesan Data ini, Jibe akan menyediakan Dokumentasi Keamanan untuk ditinjau oleh Pelanggan.
7.5.2 Hak Audit Perusahaan.
(a) Jibe akan mengizinkan Perusahaan atau auditor pihak ketiga yang ditunjuk oleh Perusahaan untuk melakukan audit (termasuk inspeksi) guna memverifikasi kepatuhan Jibe terhadap kewajibannya berdasarkan Adendum Pemrosesan Data ini sesuai dengan Pasal 7.5.3 (Istilah Bisnis Tambahan untuk Audit).Jibe akan berkontribusi pada audit tersebut seperti yang dijelaskan dalam Pasal 7.4 (Sertifikasi Keamanan) dan Pasal 7.5 (Peninjauan dan Audit Kepatuhan) ini.
(b) Jika Klausul Kontrak Standar berlaku berdasarkan Pasal 10.2 (Pemindahan Data), Jibe akan mengizinkan Perusahaan atau auditor pihak ketiga yang ditunjuk oleh Perusahaan untuk melakukan audit seperti yang dijelaskan dalam Klausul Kontrak Standar sesuai dengan Pasal 7.5.3 (Persyaratan Bisnis Tambahan untuk Audit).
(c) juga dapat melakukan audit untuk memverifikasi kepatuhan Jibe terhadap kewajibannya berdasarkan Adendum Pemrosesan Data ini dengan meninjau sertifikat yang dikeluarkan untuk Sertifikasi ISO 27001 (yang mencerminkan hasil audit yang dilakukan oleh auditor pihak ketiga).
7.5.3 Persyaratan Bisnis Tambahan untuk Audit.
(a) Perusahaan akan mengirimkan permintaan audit apa pun berdasarkan Pasal 7.5.2(a) atau 7.5.2(b) kepada Jibe sebagaimana dijelaskan dalam Pasal 12.1 (Menghubungi Jibe).
(b) Setelah Jibe menerima permintaan berdasarkan Pasal 7.5.3(a), Jibe dan Perusahaan akan terlebih dahulu mendiskusikan dan menyetujui tanggal mulai, cakupan, dan durasi yang wajar, serta kontrol keamanan dan kerahasiaan yang berlaku terhadap, audit apa pun berdasarkan Pasal 7.5.2(a) atau 7.5.2(b).
(c) Jibe dapat mengenakan biaya (berdasarkan biaya yang wajar dari Jibe) untuk audit apa pun berdasarkan Pasal 7.5.2(a) atau 7.5.2(b).Jibe akan memberikan detail lebih lanjut tentang biaya yang berlaku, dan dasar penghitungannya, sebelum audit tersebut dilakukan. Perusahaan akan bertanggung jawab atas semua biaya yang dibebankan oleh auditor pihak ketiga yang ditunjuk oleh Perusahaan untuk melaksanakan audit tersebut.
(d) Jibe dapat mengajukan keberatan terhadap auditor pihak ketiga yang ditunjuk oleh Perusahaan untuk melakukan audit apa pun berdasarkan Pasal 7.5.2(a) atau 7.5.2(b) jika auditor, menurut opini yang wajar dari Jibe, tidak memenuhi syarat atau independen, merupakan pesaing Jibe, atau jelas-jelas tidak sesuai untuk ditunjuk. Setiap penolakan oleh Jibe akan mengharuskan Perusahaan untuk menunjuk auditor lain atau melakukan audit sendiri.
(e) Tidak ada ketentuan apa pun dalam Adendum Pemrosesan Data ini yang akan mewajibkan Jibe untuk mengungkapkan kepada Perusahaan atau auditor pihak ketiganya, atau mengizinkan Perusahaan atau auditor pihak ketiganya untuk mengakses:
(i) data pelanggan lain mana pun di Entitas Jibe;
(ii) informasi keuangan atau akuntansi internal Entitas Jibe;
(iii) rahasia dagang Entitas Jibe;
(iv) informasi apa pun yang, menurut pendapat Jibe yang wajar, dapat: (A) membahayakan keamanan sistem atau tempat Entitas Jibe; atau (B) menyebabkan Entitas Jibe melanggar kewajibannya berdasarkan European Data Protection Legislation atau kewajiban keamanan dan/atau privasi kepada Perusahaan atau pihak ketiga mana pun; atau
(v) informasi yang coba diakses oleh Perusahaan atau auditor pihak ketiganya untuk alasan selain dari niat baik untuk memenuhi kewajiban Perusahaan berdasarkan Legislasi Perlindungan Data Eropa.
7.5.4 Tidak Ada Perubahan pada Klausul Kontrak Standar. Jika Klausul Kontrak Standar berlaku berdasarkan Pasal 10.2 (Pemindahan Data), tidak ada dalam Pasal 7.5 ini (Peninjauan dan Audit Kepatuhan) yang mengubah atau memodifikasi hak atau kewajiban Perusahaan atau Jibe berdasarkan Klausul Kontrak Standar.
8. Penilaian dan Konsultasi Dampak
Perusahaan setuju bahwa Jibe akan membantu Perusahaan dalam memastikan kepatuhan terhadap kewajiban Perusahaan sehubungan dengan penilaian dampak perlindungan data dan konsultasi sebelumnya (dengan mempertimbangkan sifat pemrosesan dan informasi yang tersedia untuk Jibe), termasuk (jika berlaku) kewajiban Perusahaan berdasarkan Pasal 35 dan 36 GDPR, dengan:
(a) memberikan Dokumentasi Keamanan sesuai dengan Pasal 7.5.1 (Peninjauan Dokumentasi Keamanan);
(b) memberikan informasi yang tercantum dalam Adendum Pemrosesan Data ini; dan
(c) memberikan atau menyediakan, sesuai dengan praktik standar Jibe, materi lain yang berkaitan dengan karakteristik Layanan Pemroses dan pemrosesan Data Pribadi Perusahaan (misalnya, materi pusat bantuan).
9. Hak Subjek Data
9.1 Respons terhadap Permintaan Subjek Data. Jika Jibe menerima permintaan dari subjek data sehubungan dengan Data Pribadi Perusahaan, Jibe akan:
(a) jika permintaan dibuat melalui Alat Subjek Data, tanggapi langsung permintaan subjek data sesuai dengan fungsi standar Alat Subjek Data tersebut; atau
(b) jika permintaan tidak dibuat melalui Alat Subjek Data, beri tahu subjek data untuk mengirimkan permintaannya kepada Perusahaan, dan Perusahaan akan bertanggung jawab untuk merespons permintaan tersebut.
9.2 Bantuan Jibe terkait Permintaan Subjek Data. Perusahaan setuju bahwa Jibe akan membantu Perusahaan dalam memenuhi kewajiban Perusahaan untuk merespons permintaan oleh subjek data (dengan mempertimbangkan sifat pemrosesan Data Pribadi Perusahaan dan, jika berlaku, Pasal 11 GDPR), termasuk (jika berlaku) kewajiban Perusahaan untuk merespons permintaan agar dapat menggunakan hak subjek data dalam Bab III GDPR, dengan:
(a) menyediakan fungsi Layanan Pemroses;
(b) mematuhi komitmen dalam Pasal 9.1 (Respons terhadap Permintaan Subjek Data); dan
(c) jika relevan dengan Layanan Pemroses, menyediakan Alat Subjek Data.
10. Transfer Data
10.1 Fasilitas Penyimpanan dan Pemrosesan Data. Perusahaan setuju bahwa Jibe dapat, tunduk pada Pasal 10.2 (Transfer Data), menyimpan dan memproses Data Pribadi Perusahaan di negara mana pun tempat Jibe atau Subpemrosesnya mengelola fasilitas.
10.2 Transfer Data.
Jika penyimpanan dan/atau pemrosesan Data Pribadi Perusahaan melibatkan transfer Data Pribadi Perusahaan dari EEA, Swiss, atau Inggris Raya ke negara ketiga mana pun yang tidak tunduk pada keputusan kecukupan berdasarkan European Data Protection Legislation:
(a) Perusahaan (sebagai pengekspor data) akan dianggap telah menyepakati Klausul Kontrak Standar dengan Jibe (sebagai pengimpor data);
(b) transfer tersebut akan tunduk pada Klausul Kontrak Standar; dan
(c) referensi ke Google LLC dan Pelanggan dalam Klausul Kontrak Standar akan masing-masing merujuk ke Jibe dan Perusahaan.
10.3 Informasi Pusat Data. Informasi tentang lokasi pusat data Google tersedia di www.google.com/about/datacenters/locations/index.html.
11. Subpemroses
11.1 Izin untuk Keterlibatan Subpemroses. Perusahaan secara khusus mengizinkan keterlibatan Afiliasi Jibe sebagai Subpemroses (“Subpemroses Afiliasi Jibe”). Selain itu, Perusahaan umumnya mengizinkan keterlibatan pihak ketiga lainnya sebagai Subpemroses (“Subpemroses Pihak Ketiga”). Jika Klausul Kontrak Standar berlaku berdasarkan Pasal 10.2 (Transfer Data), izin di atas merupakan persetujuan tertulis sebelumnya dari Perusahaan untuk subkontrak oleh Jibe atas pemrosesan Data Pribadi Perusahaan.
11.2 Informasi tentang Subpemroses. Atas permintaan tertulis Perusahaan, Jibe akan memberikan informasi terkait Subpemroses dan lokasinya. Setiap permintaan tersebut harus dikirim ke Jibe menggunakan detail kontak yang ditetapkan dalam Bagian 12.1 (Menghubungi Jibe).
11.3 Persyaratan untuk Keterlibatan Subpemroses. Saat melibatkan Subpemroses, Jibe akan:
(a) memastikan melalui kontrak tertulis bahwa:
(i) Subpemroses hanya mengakses dan menggunakan Data Pribadi Perusahaan sejauh diperlukan untuk melakukan kewajiban yang disubkontrakkan padanya, dan melakukannya sesuai dengan Perjanjian (termasuk Adendum Pemrosesan Data ini) dan, jika berlaku berdasarkan Pasal 10.2 (Transfer Data), Klausul Kontrak Standar; dan
(ii) jika GDPR berlaku untuk pemrosesan Data Pribadi Perusahaan, kewajiban perlindungan data dalam Pasal 28(3) GDPR diberlakukan pada Subpemroses; dan
(b) tetap bertanggung jawab penuh atas semua kewajiban yang disubkontrakkan kepada, serta semua tindakan dan kelalaian dari, Subpemroses.
11.4 Kesempatan untuk Menolak Perubahan Subpemroses.
(a) Jika Subpemroses Pihak Ketiga baru terlibat selama Jangka Waktu, Jibe akan memberi tahu Perusahaan tentang keterlibatan tersebut (termasuk nama dan lokasi subpemroses yang relevan dan aktivitas yang akan dilakukannya) dengan mengirimkan email ke Alamat Email Notifikasi setidaknya 30 hari sebelum Subpemroses Pihak Ketiga baru memproses Data Pribadi Perusahaan.
(b) Perusahaan dapat keberatan dengan Subpemroses Pihak Ketiga baru dengan segera menghentikan Perjanjian setelah memberikan pemberitahuan tertulis kepada Jibe, dengan syarat bahwa Perusahaan memberikan pemberitahuan tersebut dalam waktu 90 hari setelah diberi tahu tentang keterlibatan Subpemroses Pihak Ketiga baru seperti yang dijelaskan dalam Pasal 11.4(a). Hak penghentian ini adalah satu-satunya upaya hukum eksklusif Perusahaan jika Perusahaan keberatan dengan Subpemroses Pihak Ketiga baru.
12. Menghubungi Jibe; Memproses Kumpulan Data
12.1 Menghubungi Jibe. Perusahaan dapat menghubungi Jibe sehubungan dengan Adendum Pemrosesan Data ini melalui kontak perlindungan data RCS Jibe yang dapat dihubungi melalui http://issuetracker.google.com, atau melalui cara lain yang mungkin disediakan oleh Jibe dari waktu ke waktu.
12.2 Laporan Pemrosesan Jibe. Perusahaan mengakui bahwa Jibe diwajibkan berdasarkan GDPR untuk: (a) mengumpulkan dan menyimpan catatan informasi tertentu, termasuk nama dan detail kontak setiap pemroses dan/atau pengontrol atas namanya Jibe bertindak dan (jika berlaku) dari pemroses atau perwakilan lokal pengontrol dan petugas perlindungan data; dan (b) menyediakan informasi tersebut kepada Otoritas Pengawas mana pun. Oleh karena itu, jika diminta dan berlaku, Perusahaan akan memberikan informasi tersebut kepada Jibe melalui antarmuka pengguna Layanan Pemroses atau melalui cara lain yang mungkin disediakan oleh Jibe, dan akan menggunakan antarmuka pengguna tersebut atau cara lain untuk memastikan bahwa semua informasi yang diberikan selalu akurat dan terbaru.
13. Kewajiban
13.1 Batas Kewajiban. Terlepas dari ketentuan lain dalam Perjanjian, total kewajiban salah satu pihak terhadap pihak lain berdasarkan atau sehubungan dengan Adendum Pemrosesan Data ini akan dibatasi hingga jumlah maksimum dalam bentuk uang atau berbasis pembayaran yang menjadi batas kewajiban pihak tersebut berdasarkan Perjanjian (dan oleh karena itu, pengecualian klaim kerahasiaan atau ganti rugi dari batasan kewajiban Perjanjian tidak akan berlaku untuk klaim berdasarkan Perjanjian yang berkaitan dengan Legislasi Perlindungan Data Eropa atau Legislasi Perlindungan Data Non-Eropa). Tidak ada ketentuan dalam Pasal 13 (Kewajiban) ini yang akan mengecualikan atau membatasi kewajiban salah satu pihak atas: (a) kematian atau cedera pribadi yang disebabkan oleh kelalaian atau kelalaian karyawan atau agennya; (b) penipuan atau pernyataan tidak benar yang bersifat menipu; atau (c) hal-hal yang kewajibannya tidak dapat dikecualikan atau dibatasi berdasarkan hukum yang berlaku.
13.2 Kewajiban jika Klausul Kontrak Standar Diberlakukan. Jika Klausul Kontrak Standar berlaku berdasarkan Pasal 10.2 (Transfer Data), maka total kewajiban gabungan setiap pihak dan Afiliasinya terhadap pihak lain dan Afiliasinya berdasarkan atau sehubungan dengan Perjanjian dan Klausul Kontrak Standar gabungan akan tunduk pada Pasal 13.1 (Batas Kewajiban).
14. Penerima Pihak Ketiga
Jika Afiliasi pihak adalah pihak dalam Klausul Kontrak Standar yang berlaku berdasarkan Pasal 10.2 (Transfer Data), Afiliasi tersebut akan menjadi penerima pihak ketiga dari Pasal 6.2 (Penghapusan saat Masa Berlaku Berakhir), 7.5 (Peninjauan dan Audit Kepatuhan), 9.1 (Respons terhadap Permintaan Subjek Data), 10.2 (Transfer Data), 11.1 (Izin untuk Keterlibatan Subpemroses), dan 13.2 (Kewajiban jika Klausul Kontrak Standar Berlaku). Jika Pasal 14 (Penerima Pihak Ketiga) ini bertentangan atau tidak konsisten dengan klausul lain dalam Perjanjian, Pasal 14 (Penerima Pihak Ketiga) ini yang akan berlaku.
15. Efek Adendum Pemrosesan Data ini
Jika ada pertentangan atau ketidaksesuaian antara Klausul Kontrak Standar, Persyaratan Tambahan untuk Legislasi Perlindungan Data Non-Eropa, Adendum Pemrosesan Data ini, dan bagian lainnya dalam Perjanjian ini, urutan prioritas berikut akan berlaku:
(a) Klausul Kontrak Standar;
(b) Persyaratan Tambahan untuk Legislasi Perlindungan Data Non-Eropa;
(c) bagian lain dari Persyaratan Pemrosesan Data ini; dan
(d) sisa Perjanjian.
Jika Perjanjian ini (termasuk Adendum apa pun) diterjemahkan ke dalam bahasa lain, dan teks terjemahan bertentangan atau tidak konsisten dengan teks bahasa Inggris, teks bahasa Inggris yang akan berlaku.
Tunduk pada amendemen dalam Adendum Pemrosesan Data ini, Perjanjian tetap berlaku dan memiliki kekuatan hukum penuh.
16. Perubahan pada Adendum Pemrosesan Data ini
16.1 Perubahan pada URL Dari waktu ke waktu, Jibe dapat mengubah URL apa pun yang dirujuk dalam Adendum Pemrosesan Data ini dan konten di URL tersebut, kecuali bahwa Jibe hanya dapat mengubah Klausul Kontrak Standar sesuai dengan Pasal 16.2(b) - 16.2(d) (Perubahan pada Persyaratan Pemrosesan Data) atau untuk menyertakan versi baru Klausul Kontrak Standar yang dapat diadopsi berdasarkan Perundang-undangan Perlindungan Data Eropa, dalam setiap kasus dengan cara yang tidak memengaruhi validitas Klausul Kontrak Standar berdasarkan Perundang-undangan Perlindungan Data Eropa.
16.2 Perubahan pada Persyaratan Pemrosesan Data. Jibe dapat mengubah Adendum Pemrosesan Data ini jika perubahan tersebut:
(a) secara tegas diizinkan oleh Adendum Pemrosesan Data ini, termasuk seperti dijelaskan dalam Pasal 16.1 (Perubahan pada URL);
(b) mencerminkan perubahan nama atau bentuk entitas hukum;
(c) diwajibkan untuk mematuhi hukum yang berlaku, peraturan yang berlaku, perintah pengadilan, atau panduan yang dikeluarkan oleh badan pengatur atau lembaga pemerintah; atau
(d) tidak (i) mengakibatkan penurunan keamanan keseluruhan Layanan Pemroses; (ii) memperluas cakupan atau menghapus batasan apa pun pada, (x) dalam kasus Persyaratan Tambahan untuk Hukum Perlindungan Data Non-Eropa, hak Jibe untuk menggunakan atau memproses data dalam cakupan Persyaratan Tambahan untuk Hukum Perlindungan Data Non-Eropa atau (y) dalam kasus sisa Persyaratan Pemrosesan Data ini, pemrosesan Data Pribadi Perusahaan oleh Jibe, seperti yang dijelaskan dalam Pasal 5.3 (Kepatuhan Jibe dengan Petunjuk); dan (iii) jika tidak, memiliki dampak buruk yang material terhadap hak Perusahaan berdasarkan Adendum Pemrosesan Data ini, sebagaimana ditentukan secara wajar oleh Jibe.
16.3 Pemberitahuan Perubahan. Jika Jibe bermaksud mengubah Adendum Pemrosesan Data ini berdasarkan Pasal 16.2(c) atau (d), Jibe akan memberi tahu Perusahaan setidaknya 30 hari (atau periode yang lebih singkat yang mungkin diperlukan untuk mematuhi hukum yang berlaku, peraturan yang berlaku, perintah pengadilan, atau panduan yang dikeluarkan oleh regulator atau lembaga pemerintah) sebelum perubahan tersebut berlaku dengan: (a) mengirim email ke Alamat Email Notifikasi; atau (b) memberi tahu Perusahaan melalui antarmuka pengguna untuk Layanan Pemroses. Jika Perusahaan keberatan dengan perubahan tersebut, Perusahaan dapat menghentikan Perjanjian dengan memberikan pemberitahuan tertulis kepada Jibe dalam waktu 90 hari setelah diberi tahu oleh Jibe tentang perubahan tersebut.
Lampiran 1: Materi Pokok dan Detail Pemrosesan Data
Materi Pokok
Penyediaan Layanan Pemroses oleh Jibe dan dukungan teknis yang terkait kepada Perusahaan.
Durasi Pemrosesan
Masa Berlaku ditambah periode sejak berakhirnya Masa Berlaku hingga penghapusan semua Data Pribadi Perusahaan oleh Jibe sesuai dengan Adendum Pemrosesan Data ini.
Sifat dan Tujuan Pemrosesan
Jibe akan memproses Data Pribadi Perusahaan untuk tujuan menyediakan Layanan Pemroses dan dukungan teknis terkait kepada Perusahaan sesuai dengan Adendum Pemrosesan Data ini (termasuk, sebagaimana berlaku untuk Layanan Pemroses dan petunjuk yang dijelaskan dalam Pasal 5.2 (Petunjuk Perusahaan), mengumpulkan, merekam, mengatur, menyusun, menyimpan, mengubah, mengambil, menggunakan, mengungkapkan, menggabungkan, menghapus, dan menghancurkan Data Pribadi Perusahaan).
Jenis Data Pribadi
Data pribadi terkait individu yang diberikan kepada Jibe melalui Layanan Pemrosesan, oleh (atau atas arahan dari) Perusahaan atau oleh pengguna akhir Perusahaan.
Kategori Subjek Data
Subjek data mencakup individu yang datanya diberikan kepada Jibe melalui Layanan Pemrosesan oleh (atau atas arahan dari) Perusahaan atau oleh pengguna akhir Perusahaan.
Lampiran 2: Prosedur Keamanan
Sejak Tanggal Mulai Berlaku Persyaratan, Jibe akan menerapkan dan mengelola Prosedur Keamanan dalam Lampiran 2 ini. Jibe dapat memperbarui atau memodifikasi Prosedur Keamanan tersebut dari waktu ke waktu, asalkan pembaruan dan modifikasi tersebut tidak mengakibatkan degradasi keamanan Layanan Pemroses secara keseluruhan.
1. Keamanan Pusat Data & Jaringan
(a) Pusat Data.
Infrastruktur. Jibe mengelola pusat data yang tersebar secara geografis. Jibe menyimpan semua data produksi di pusat data yang aman secara fisik.
Redundansi. Sistem infrastruktur telah dirancang untuk menghilangkan titik tunggal kegagalan dan meminimalkan dampak risiko lingkungan yang dapat diperkirakan. Sirkuit ganda, tombol, jaringan, atau perangkat lain yang diperlukan membantu menyediakan redundansi ini. Layanan Prosesor dirancang untuk memungkinkan Jibe melakukan jenis pemeliharaan tertentu yang bersifat korektif dan preventif tanpa gangguan. Semua peralatan dan fasilitas lingkungan telah mendokumentasikan prosedur pemeliharaan preventif yang merinci proses serta frekuensi performa sesuai dengan spesifikasi produsen atau internal. Pemeliharaan preventif dan korektif untuk peralatan pusat data dijadwalkan melalui proses standar sesuai dengan prosedur yang terdokumentasi.
Daya. Sistem daya listrik pusat data dirancang untuk menjadi redundan dan dapat dikelola tanpa memengaruhi operasi berkelanjutan, 24 jam sehari, dan 7 hari seminggu. Pada umumnya, sumber listrik utama serta alternatif, masing-masing dengan kapasitas setara, disediakan untuk komponen infrastruktur penting di pusat data. Daya cadangan disediakan melalui berbagai mekanisme seperti baterai catu daya tanpa gangguan (UPS), yang memasok perlindungan daya yang andal secara konsisten selama pengurangan kapasitas utilitas, pemadaman, tegangan berlebih, tegangan kurang, dan kondisi frekuensi di luar toleransi. Jika daya utilitas terganggu, daya cadangan dirancang untuk menyediakan daya sementara bagi pusat data, dengan kapasitas penuh, untuk maksimal 10 menit hingga sistem generator diesel mengambil alih. Generator diesel dapat memulai secara otomatis dalam hitungan detik untuk menyediakan daya listrik darurat yang cukup guna menjalankan pusat data dengan kapasitas penuh, biasanya untuk beberapa hari.
Sistem Operasi Server. Server Jibe menggunakan sistem operasi yang telah di-hardening dan disesuaikan untuk kebutuhan server unik bisnis. Data disimpan menggunakan algoritma eksklusif untuk meningkatkan redundansi dan keamanan data. Jibe menggunakan proses peninjauan kode untuk meningkatkan keamanan kode yang digunakan untuk menyediakan Layanan Prosesor dan meningkatkan produk keamanan di lingkungan produksi.
Kelangsungan Bisnis. Jibe mereplikasi data di beberapa sistem untuk membantu melindungi dari pemusnahan atau kehilangan yang tidak disengaja. Jibe telah merancang, serta secara rutin merencanakan dan menguji rencana kelangsungan bisnis/program pemulihan dari bencana.
(b) Jaringan & Transmisi.
Transmisi Data. Pusat data biasanya terhubung melalui link pribadi berkecepatan tinggi untuk memberikan transfer data yang cepat dan aman di antara pusat data. Hal ini dirancang untuk mencegah data dibaca, disalin, diubah, atau dihapus tanpa izin selama transfer atau pengangkutan elektronik, atau saat direkam ke media penyimpanan data. Jibe mentransfer data melalui protokol standar Internet.
Permukaan Serangan Eksternal. Jibe menggunakan perangkat jaringan berlapis dan deteksi penyusupan untuk melindungi permukaan serangan eksternalnya. Jibe mempertimbangkan potensi vektor serangan dan menggabungkan teknologi yang dibuat dengan tujuan yang sesuai ke dalam sistem yang berkaitan dengan pihak eksternal.
Deteksi Penyusupan. Deteksi penyusupan ditujukan untuk memberikan analisis tentang aktivitas serangan yang sedang berlangsung dan menyediakan informasi yang memadai untuk merespons insiden. Deteksi penyusupan Jibe melibatkan:
Mengontrol ukuran dan susunan permukaan serangan Jibe secara ketat melalui tindakan pencegahan;
Menggunakan kontrol deteksi cerdas pada titik entri data; dan
Menggunakan teknologi yang otomatis memperbaiki situasi berbahaya tertentu.
Respons Insiden. Jibe memantau berbagai saluran komunikasi untuk insiden keamanan, dan staf keamanan Jibe akan segera bereaksi terhadap insiden yang diketahui.
Teknologi Enkripsi. Jibe menyediakan enkripsi HTTPS (juga disebut sebagai koneksi SSL atau TLS). Server Jibe mendukung pertukaran kunci kriptografis Diffie Hellman kurva elips ephemeral yang ditandatangani dengan RSA dan ECDSA. Metode perfect forward secrecy (PFS) ini membantu melindungi traffic dan meminimalkan dampak dari kunci yang disusupi, atau terobosan kriptografi.
2. Kontrol Situs dan Akses
(a) Kontrol Situs.
Operasi Keamanan di Pusat Data. Pusat data Jibe mengelola operasi keamanan di tempat yang bertanggung jawab atas semua fungsi keamanan pusat data fisik 24 jam sehari, 7 hari seminggu. Staf operasi keamanan di tempat memantau kamera Closed Circuit TV (“CCTV”) dan semua sistem alarm. Staf operasi keamanan di tempat melakukan patroli internal dan eksternal di pusat data secara berkala.
Prosedur Akses Pusat Data. Jibe mengelola prosedur akses formal untuk memungkinkan akses fisik ke pusat data. Pusat data berada di fasilitas yang memerlukan akses kunci kartu elektronik, dengan alarm yang terhubung ke operasi keamanan di tempat. Semua orang yang memasuki pusat data wajib untuk mengidentifikasi diri mereka serta menunjukkan bukti identitas pada operasi keamanan di tempat. Hanya pengunjung, kontraktor, dan karyawan yang memiliki otorisasi yang diizinkan masuk ke pusat data. Hanya kontraktor dan karyawan yang memiliki otorisasi yang diizinkan untuk meminta akses kunci kartu elektronik ke fasilitas tersebut. Permintaan akses kunci kartu elektronik pusat data harus dibuat terlebih dahulu dan secara tertulis, serta memerlukan persetujuan dari manajer pemohon dan direktur pusat data. Semua orang lain yang memerlukan akses pusat data sementara harus: (i) mendapatkan persetujuan terlebih dahulu dari pengelola pusat data untuk pusat data dan area internal tertentu yang ingin mereka kunjungi; (ii) login di operasi keamanan di tempat; dan (iii) mereferensikan catatan akses pusat data yang disetujui yang mengidentifikasi individu tersebut sebagai disetujui.
Perangkat Keamanan di Pusat Data. Pusat data Jibe menggunakan kunci kartu elektronik dan sistem kontrol akses biometrik yang terhubung ke alarm sistem. Sistem kontrol akses memantau dan mencatat kunci kartu elektronik setiap individu serta saat dia mengakses pintu perimeter, pengiriman dan penerimaan, serta area penting lainnya. Aktivitas yang tidak sah dan upaya akses yang gagal dicatat oleh sistem kontrol akses dan diinvestigasi, sebagaimana mestinya. Akses yang sah di seluruh operasi bisnis dan pusat data dibatasi berdasarkan zona dan tanggung jawab pekerjaan individu. Pintu kebakaran di pusat data diberi alarm. Kamera CCTV beroperasi di dalam dan di luar pusat data. Pengaturan posisi kamera telah dirancang agar mencakup area strategis termasuk, di antara yang lainnya, perimeter, pintu ke gedung pusat data, dan pengiriman/penerimaan. Staf operasi keamanan di tempat mengelola peralatan kontrol, perekaman, dan pemantauan CCTV. Kabel keamanan di seluruh pusat data terhubung ke peralatan CCTV. Kamera merekam kejadian di tempat melalui perekam video digital 24 jam sehari, 7 hari seminggu. Rekaman pengawasan disimpan setidaknya selama 7 hari berdasarkan aktivitas.
(b) Kontrol Akses.
Staf Keamanan Infrastruktur. Jibe memiliki, serta mengelola, kebijakan keamanan untuk stafnya, dan mewajibkan pelatihan keamanan sebagai bagian dari paket pelatihan bagi stafnya. Staf keamanan infrastruktur Jibe bertanggung jawab atas pemantauan berkelanjutan terhadap infrastruktur keamanan Jibe, peninjauan Layanan Pemroses, dan merespons insiden keamanan.
Pengelolaan Hak Istimewa dan Kontrol Akses. Administrator dan pengguna perusahaan harus mengautentikasi diri mereka sendiri melalui sistem autentikasi pusat atau melalui sistem single sign on agar dapat menggunakan Layanan Pemroses.
Kebijakan dan Proses Akses Data Internal – Kebijakan Akses. Kebijakan dan proses akses data internal Jibe dirancang untuk mencegah orang dan/atau sistem yang tidak memiliki otorisasi mendapatkan akses ke sistem yang digunakan untuk memproses data pribadi. Jibe bertujuan untuk merancang sistemnya agar: (i) hanya mengizinkan orang yang memiliki otorisasi untuk mengakses data yang izin aksesnya mereka miliki; dan (ii) memastikan data pribadi tidak dapat dibaca, disalin, diubah, atau dihapus tanpa izin selama pemrosesan, penggunaan, dan setelah perekaman. Sistem dirancang untuk mendeteksi semua akses yang tidak sesuai. Jibe menggunakan sistem pengelolaan akses terpusat untuk mengontrol akses staf ke server produksi, dan hanya memberikan akses kepada sejumlah terbatas staf yang memiliki izin. LDAP, Kerberos, dan sistem eksklusif yang menggunakan sertifikat SSH dirancang untuk memberi Jibe mekanisme akses yang aman dan fleksibel. Mekanisme ini dirancang untuk hanya memberikan hak akses yang disetujui ke host situs, log, data, dan informasi konfigurasi. Jibe mewajibkan penggunaan ID pengguna unik, sandi kuat, autentikasi 2 langkah, serta memantau dengan saksama daftar akses untuk meminimalkan potensi penggunaan akun yang tidak sah. Pemberian atau perubahan hak akses dilakukan berdasarkan: tanggung jawab pekerjaan staf yang memiliki izin; persyaratan tugas pekerjaan yang diperlukan untuk melakukan tugas yang diizinkan; dan dasar perlu mengetahui. Pemberian atau perubahan hak akses juga harus sesuai dengan pelatihan dan kebijakan akses data internal Jibe. Persetujuan dikelola oleh alat alur kerja yang mengelola catatan audit semua perubahan. Akses ke sistem dicatat ke dalam log untuk membuat jejak audit guna akuntabilitas. Jika sandi digunakan untuk autentikasi (misalnya, login ke workstation), kebijakan sandi yang mengikuti setidaknya praktik standar industri akan diterapkan. Standar ini mencakup pembatasan penggunaan kembali sandi dan kekuatan sandi yang memadai.
3. Data
(a) Penyimpanan, Isolasi, & Autentikasi Data.
Jibe menyimpan data dalam lingkungan multi-tenant di server milik Jibe. Data, database Layanan Prosesor, dan arsitektur sistem file direplikasi di antara beberapa pusat data yang tersebar secara geografis. Jibe secara logis mengisolasi data setiap pelanggan. Sistem autentikasi pusat digunakan di semua Layanan Prosesor untuk meningkatkan keamanan data yang seragam.
(b) Panduan Disk yang Dinonaktifkan dan Penghancuran Disk.
Disk tertentu yang berisi data dapat mengalami masalah performa, error, atau kegagalan hardware yang menyebabkan disk tersebut dinonaktifkan (“Disk yang Dinonaktifkan”). Setiap Disk yang Dinonaktifkan akan melalui serangkaian proses penghancuran data (“Panduan Penghancuran Data”) sebelum meninggalkan lokasi Jibe untuk digunakan kembali atau dihancurkan. Disk yang Dinonaktifkan dihapus dalam proses yang terdiri dari beberapa langkah dan penyelesaian prosesnya diverifikasi oleh setidaknya dua validator independen. Untuk pelacakan, hasil penghapusan dicatat berdasarkan nomor seri Disk yang Dinonaktifkan. Terakhir, Disk yang Dinonaktifkan dipindahkan ke inventaris untuk digunakan kembali dan deployment ulang. Jika, karena kegagalan hardware, Disk yang Dinonaktifkan tidak dapat dihapus, disk akan disimpan dengan aman hingga dapat dihancurkan. Setiap fasilitas diaudit secara berkala untuk memantau kepatuhan terhadap Pedoman Penghancuran Data.
4. Keamanan Staf
Staf Jibe diwajibkan untuk berperilaku sesuai dengan panduan perusahaan mengenai kerahasiaan, etika bisnis, penggunaan yang sesuai, dan standar profesional. Jibe melakukan pemeriksaan latar belakang yang sesuai secara wajar, sejauh diizinkan secara hukum dan sesuai dengan hukum ketenagakerjaan serta peraturan berdasarkan hukum setempat.
Staf diwajibkan untuk menandatangani perjanjian kerahasiaan dan harus menyatakan penerimaan, serta kepatuhan terhadap, kebijakan privasi dan kerahasiaan Jibe. Staf diberikan pelatihan keamanan. Staf yang menangani Data Pribadi Perusahaan diwajibkan untuk melengkapi persyaratan tambahan yang sesuai dengan perannya. Staf Jibe tidak akan memproses Data Pribadi Perusahaan tanpa otorisasi
5. Keamanan Subpemroses
Sebelum melakukan orientasi Subpemroses, Jibe akan melakukan audit keamanan dan praktik privasi Subpemroses guna memastikan Subpemroses memberikan tingkat keamanan dan privasi yang sesuai untuk akses mereka ke data serta cakupan layanan yang akan diberikan. Setelah Jibe menilai risiko yang dihadirkan oleh Pemroses Sub, dengan selalu tunduk pada persyaratan di Bagian 11.3 (Persyaratan untuk Keterlibatan Pemroses Sub), Pemroses Sub diwajibkan untuk menyepakati persyaratan kontrak keamanan, kerahasiaan, dan privasi yang sesuai.
Lampiran 3: Persyaratan Tambahan untuk Legislasi Perlindungan Data Non-Eropa
Persyaratan Tambahan untuk Legislasi Perlindungan Data Non-Eropa berikut melengkapi Persyaratan Pemrosesan Data ini:
- Adendum Penyedia Layanan CCPA di privacy.google.com/businesses/gdprprocessorterms/ccpa (bertanggal 27 Agustus 2020)
- Adendum Pemroses LGPD di privacy.google.com/businesses/gdprprocessorrterms/lgpd (bertanggal 27 Agustus 2020)
Persyaratan Pemrosesan Data Jibe, Versi 2.0
27 Agustus 2020