Pusat Sumber Daya Blog Sumber Terbuka Mitra
Cari
Produk
Basis Pengetahuan
Dukungan Unduhan
Artikel
suggested searches
Produk Solusi Inovasi Dukungan Tentang
Open
Menurut Jenis Hard Disk Eksternal Hard Disk Internal SSD Eksternal SSD Internal Hard Disk & SSD Enterprise Sistem Penyimpanan Data Layanan Penyimpanan Perusahaan
Menurut Kategori Perangkat Penyimpanan Pribadi Perangkat Penyimpanan Game Profesional Kreatif Penyimpanan Terpasang ke Jaringan (NAS) Analitik Video Cloud, Tepi Jaringan, dan Pusat Data Hyperscale & Cloud
Menurut Merek LaCie
Menurut Kasus Penggunaan Pencadangan dan Pemulihan Analitik Data Besar (AI/ML) Pencadangan Cloud Migrasi Data Transfer Data Komputasi Berperforma Tinggi (HPC) Penyimpanan sebagai Layanan Analitik Video
Menurut Lingkungan Tepi Jaringan Multicloud Cloud Pribadi Cloud Publik Hyperscale & Cloud
Menurut Mitra IBM AWS Commvault Veeam VMWare Pencapaian Equinix EVS NI Lihat Semua Mitra Seagate Technology
Menurut Industri Kendaraan Otonom Layanan Kesehatan Media dan Hiburan Pengawasan dan Keamanan Telekomunikasi Geosains dan Energi
lyve-infrequent-access-nav-banner
Learn more

Perspektif Penyimpanan untuk Era AI Alasan Pentingnya Densitas Area Infrastruktur Komposabel Laporan Data Dekarbonisasi
Inovasi Penyimpanan Data Platform Mozaic 3+ Hard Disk MACH.2 Multi-Actuator Seagate Secure
Inovasi Manajemen Data Program Sirkularitas Komunitas Pengembang Sumber Terbuka
Factory AI Innovations Smart Manufacturing AI Enhanced Automated Vision System Autonomous Monitoring Augmented Code Development Singapore Dream Factory
decarb-data-report-nav-banner
Read the report

Umum Beranda Dukungan Dukungan Produk Unduhan Perangkat Lunak Seagate Unduhan Perangkat Lunak LaCie Pendaftaran Produk Seagate Pendaftaran Produk LaCie
Garansi & Pemulihan Data Garansi dan Penggantian Data Recovery Services (Pemulihan Data) Laporkan Produk Palsu
Enterprise Dukungan Sistem Seagate Dukungan Lyve Mobile Dukungan Lyve Cloud
Baca Artikelnya
Baca Artikelnya

Kisah Kami Tim Kepemimpinan Dewan Direksi ESG Pusat Kepercayaan Keamanan Produk Jaminan Kualitas
Bergabung dengan Tim Seagate Kehidupan di Seagate Budaya Seagate Grup Sumber Daya Karyawan Program Universitas
Investor
Sumber Berita Ruang Pers Kisah Seagate Blog Portal Merek Seagate
Mozaic 3+

Seagate Legal

Perjanjian Privasi Data

DOKUMEN ACUAN KERJA

Perjanjian Privasi Data ini, termasuk semua lampiran yang ditetapkan di bawah (“DPA” ini), berada di antara perusahaan Seagate yang disebutkan dalam Perjanjian (“Seagate”) dan Perusahaan yang disebutkan dalam Perjanjian (“Perusahaan”) (masing-masing disebut “pihak” dan secara keseluruhan disebut “para pihak”).

 

Perusahaan telah menandatangani satu pesanan pembelian atau lebih, kontrak, dan/atau perjanjian, termasuk laporan kerja ("Perjanjian") bersama Seagate sesuai yang telah disetujui oleh Perusahaan untuk menyediakan layanan tertentu kepada Seagate seperti yang dijelaskan secara lebih khusus dalam Perjanjian ("Layanan").

 

Para pihak menyepakati DPA ini untuk memastikan bahwa Pemrosesan oleh Perusahaan atas Data Pribadi yang diberikan kepada Perusahaan atau dikumpulkan oleh Perusahaan untuk Seagate dan/atau atas namanya, dilakukan dengan cara yang sesuai Undang-Undang Perlindungan Data dan persyaratannya terkait pengumpulan, penggunaan, dan penyimpanan Data Pribadi dari subjek data.

 

DPA ini disertakan dalam dan menjadi bagian dari Perjanjian. Semua kata dengan huruf kapital yang tidak ditentukan dalam DPA ini akan memiliki arti yang ditetapkan dalam Perjanjian.

 

Para pihak mengetahui dan menyetujui sebagai berikut:

 

  1. DEFINISI
    1. Afiliasi” berarti setiap entitas yang mengontrol, dikontrol oleh, atau berada di bawah kontrol bersama dengan pihak terkait.
    2. Kontrol” berarti kepemilikan, hak suara, atau kepentingan serupa yang mewakili 50% (lima puluh persen) atau lebih dari total kepentingan (sebagaimana diukur berdasarkan dilusian penuh) yang terutang dari entitas yang bersangkutan. Istilah “Terkendali” akan ditafsirkan sebagaimana mestinya.
    3. Pelanggaran Privasi Data” berarti pemusnahan, penghilangan, pengubahan, pengungkapan tidak sah, akses ke, akuisisi Informasi Pribadi Seagate dengan tidak disengaja atau secara melawan hukum, atau Pemrosesan Informasi Pribadi Seagate lainnya yang tidak sah.
    4. Undang-Undang Perlindungan Data” berarti semua undang-undang, aturan, dan peraturan perlindungan data di seluruh dunia, keamanan data, dan privasi, yang berlaku untuk Data Pribadi yang bersangkutan, termasuk jika berlaku: (i) Undang-Undang Perlindungan Data Eropa; (ii) semua undang-undang, aturan, dan peraturan Amerika Serikat, termasuk Undang-Undang Privasi Negara Bagian AS, sebagaimana diubah, diganti, atau diperbarui dari waktu ke waktu; dan (iii) standar industri yang berlaku sesuai sifat Data Pribadi.
    5. Undang-Undang Perlindungan Data Eropa” berarti semua undang-undang dan peraturan perlindungan data yang berlaku di Uni Eropa (“UE”) atau Wilayah Ekonomi Eropa (“WEE”), termasuk:
      1. Peraturan Perlindungan Data Umum 2016/679 (“GDPR UE”);
      2. GDPR sebagaimana disimpan dalam undang-undang Inggris berdasarkan pasal 3 Undang-Undang (Penarikan) Uni Eropa 2018 dari Inggris dan Undang-Undang Perlindungan Data Inggris 2018 (“GDPR Inggris”)
      3. Undang-Undang Perlindungan Data Federal Swiss tanggal 19 Juni 1992 dan peraturan hukum terkait (“DPA Swiss”); dan
      4. Petunjuk 2002/58/EC tentang pemrosesan data pribadi dan perlindungan privasi di sektor komunikasi elektronik; serta
      5. penerapan nasional yang berlaku dari (i), (ii), dan (iii).
    6. Subjek Data” adalah individu netral yang diidentifikasi atau dapat diidentifikasi yang Data Pribadinya dapat Diproses berdasarkan DPA ini.
    7. SCC UE” berarti klausul kontraktual yang dilampirkan pada Keputusan Pelaksanaan Komisi Eropa 2021/914 tanggal 4 Juni 2021 tentang klausul kontrak standar untuk transfer data pribadi ke negara ketiga sesuai Peraturan (UE) 2016/679 dari Parlemen Eropa dan Dewan.
    8. Data Pribadi” berarti informasi apa pun yang dilindungi sebagai data pribadi, informasi pribadi, atau informasi yang dapat diidentifikasi secara pribadi, atau istilah yang didefinisikan serupa berdasarkan Undang-Undang Perlindungan Data.
    9. Pemrosesan” or “Proses” berarti, namun tidak terbatas pada, operasi yang dilakukan terhadap Informasi Pribadi Seagate, baik menggunakan cara otomatis maupun tidak, seperti mengumpulkan, merekam, mengatur, menyusun, mengubah, menggunakan, mengakses, mengungkapkan, menyebarkan, menyalin, mengalihkan, menyimpan atau mempertahankan, menghapus, menyejajarkan, menggabungkan, membatasi, menyesuaikan, mengambil, mengonsultasikan, menghancurkan, atau memusnahkan Data Pribadi.
    10. Transfer yang Dibatasi” berarti:
      1. jika GDPR UE berlaku, transfer Data Pribadi dari WEE ke negara di luar WEE yang tidak tunduk pada penentuan kecukupan oleh Komisi Eropa.
      2. jika GDPR Inggris berlaku, transfer Data Pribadi dari Inggris ke negara lain mana pun yang tidak tunduk pada atau berdasarkan peraturan kecukupan sesuai Pasal 17A Undang-Undang Perlindungan Data Inggris 2018; dan
      3. jika DPA Swiss berlaku, transfer Data Pribadi dari Swiss ke negara lain mana pun yang tidak didasarkan pada keputusan kecukupan yang diakui berdasarkan undang-undang perlindungan data Swiss.
    11. Informasi Pribadi Seagate” berarti informasi apa pun yang dilindungi sebagai data pribadi, informasi yang dapat diidentifikasi secara pribadi, atau informasi pribadi berdasarkan Undang-Undang Perlindungan Data, yang dibuat, dimiliki, atau disediakan oleh Seagate atau untuk Seagate, yang dapat diakses, diperoleh, digunakan, dikelola, atau Diproses oleh Perusahaan atas nama Seagate sehubungan dengan Perjanjian apa pun antara para pihak dan/atau Afiliasinya.
    12. Informasi Sensitif” berarti salah satu jenis Informasi Pribadi Seagate berikut: (i) nomor keamanan sosial, nomor identifikasi pembayar pajak, nomor paspor, nomor SIM, atau nomor identifikasi lain yang dikeluarkan pemerintah; (ii) informasi kartu kredit maupun kartu debit atau nomor rekening keuangan, dengan atau tanpa kode maupun sandi apa pun yang dapat mengizinkan akses ke akun ataupun riwayat kredit; atau (iii) informasi tentang ras, agama, suku, kehidupan atau praktik seks, atau orientasi seksual, informasi medis atau kesehatan, informasi genetik atau biometrik, template biometrik, keyakinan politik atau filosofis, keanggotaan partai politik atau serikat pekerja, informasi pemeriksaan latar belakang atau data yudisial, seperti catatan kriminal atau informasi tentang proses peradilan atau administrasi lainnya. Untuk tujuan DPA ini, Informasi Sensitif mencakup informasi pribadi sensitif, data sensitif, atau istilah yang didefinisikan serupa sebagaimana didefinisikan berdasarkan Undang-Undang Perlindungan Data yang berlaku, kategori data khusus sebagaimana ditentukan dalam GDPR UE dan GDPR Inggris, serta data pribadi sensitif sebagaimana ditentukan dalam DPA Swiss.
    13. Klausul Standar” berarti (sebagaimana berlaku) SCC UE, Adendum Inggris, dan modifikasi Swiss yang ditetapkan dalam Pasal 3.1(i)(3) DPA ini.
    14. Subprosesor” berarti pihak ketiga mana pun yang terlibat dengan Perusahaan atau dengan setiap Subprosesor lainnya yang akan memiliki akses ke, menerima, atau memproses Informasi Pribadi Seagate apa pun.
    15. Otoritas Pengawasan” berarti peraturan, pengawasan, pemerintah, lembaga negara bagian, Jaksa Agung, atau otoritas kompeten lainnya yang memiliki yurisdiksi atau pengawasan atas kepatuhan terhadap Undang-Undang Perlindungan Data.
    16. Personel Perusahaan” berarti setiap karyawan, kontraktor, Subprosesor, atau agen Perusahaan yang diberi wewenang oleh Perusahaan untuk Memproses Informasi Pribadi Seagate.
    17. Adendum Inggris” berarti Adendum Transfer Data Internasional (versi B1.0) yang dikeluarkan oleh Kantor Komisaris Informasi berdasarkan S.119(A) Undang-Undang Perlindungan Data Inggris 2018, sebagaimana diperbarui atau diubah dari waktu ke waktu.
    18. Undang-Undang Privasi Negara Bagian AS” berarti semua undang-undang, aturan, dan peraturan privasi data, perlindungan data, serta keamanan siber yang berlaku yang dipatuhi Data Pribadi Perusahaan.
    19. Istilah “Pengontrol”, “Subjek Data”, “Pemroses”, “Bisnis”, “Tujuan  Bisnis”, “Tujuan  Komersial”, “Pengumpulan”, “Konsumen”, “Pembagian”, “Jual”, “Otoritas  Pengawasan”, dan “Penyedia  Layanan” akan memiliki arti yang diberikan kepadanya berdasarkan Undang-Undang Perlindungan Data.
    20. Kata "mencakup" akan ditafsirkan dengan arti termasuk tanpa dibatasi, dan istilah serupa akan ditafsirkan sebagaimana mestinya.
  2. KEAMANAN DAN PERLINDUNGAN DATA
    1. Status Para Pihak. Sehubungan dengan Informasi Pribadi Seagate, para pihak dengan ini mengakui dan menyetujui bahwa Perusahaan akan Memproses Data Pribadi tersebut sebagai Pemroses, atas nama Seagate. Perusahaan dengan ini diinstruksikan untuk Memproses Data Pribadi sejauh yang diperlukan untuk menyediakan Layanan sebagaimana ditetapkan dalam Perjanjian dan DPA ini.
    2. Peran CCPA. Untuk tujuan Undang-Undang Privasi Konsumen California tahun 2018 (Undang-Undang Perdata California §§ 1798.100 et seq (“CCPA”) sebagaimana diubah oleh Undang-Undang Hak Privasi California (“CPRA”)) (jika berlaku), Perusahaan akan Memproses Data Pribadi sebagai Penyedia Layanan yang bertindak berdasarkan instruksi Seagate sebagai Bisnis.
    3.  Larangan Pengungkapan Informasi Pribadi Seagate. Perusahaan tidak boleh mengungkapkan Informasi Pribadi Seagate dengan cara apa pun untuk tujuan apa pun kepada pihak mana pun tanpa memperoleh kewenangan tertulis sebelumnya dari Seagate, selain pengungkapan kepada Subprosesor sesuai Pasal 2.5 di bawah. Tanpa membatasi hal-hal tersebut di atas, dalam hal apa pun Perusahaan tidak boleh menjual atau mengungkapkan Informasi Pribadi Seagate kepada pihak ketiga mana pun untuk keuntungan komersial Perusahaan atau pihak ketiga mana pun. Setiap orang yang berwenang untuk Memproses Informasi Pribadi Seagate harus secara kontraktual setuju untuk menjaga kerahasiaan informasi tersebut atau mematuhi kewajiban kerahasiaan sesuai undang-undang.
    4. Batasan Pemrosesan. Perusahaan hanya akan Memproses Informasi Pribadi Seagate untuk tujuan penyediaan Layanan kepada Seagate berdasarkan Perjanjian dan sesuai petunjuk hukum Seagate yang didokumentasikan (“Tujuan yang Diizinkan”). Untuk tujuan ini, Seagate menginstruksikan Perusahaan guna Memproses Informasi Pribadi Seagate untuk tujuan yang dijelaskan dalam Lampiran I (Uraian Transfer). Perusahaan tidak boleh Memproses atau mengizinkan Pemrosesan Informasi Pribadi Seagate kecuali jika diperlukan untuk memberikan layanan kepada Seagate sesuai Perjanjian apa pun antara para pihak dan/atau Afiliasinya atau petunjuk tertulis lainnya dari Seagate.
    5. Persyaratan Pemrosesan. Perusahaan harus setiap saat: (a) Memproses Data Pribadi semata-mata untuk Tujuan yang Diizinkan; dan (b) tidak Memproses Data Pribadi untuk tujuannya sendiri atau pihak ketiga mana pun. Perusahaan tidak boleh: (i) Menjual atau Membagikan Data Pribadi; (ii) menyimpan, menggunakan, atau mengungkapkan Data Pribadi untuk tujuan apa pun selain untuk Tujuan yang Diizinkan, termasuk menyimpan, menggunakan, atau mengungkapkan Data Pribadi untuk tujuan komersial selain melakukan Layanan berdasarkan Perjanjian; atau (iii) menyimpan, menggunakan, atau mengungkapkan Data Pribadi di luar hubungan bisnis langsung antara Seagate dan Perusahaan. Perusahaan harus memberi tahu Seagate jika tidak lagi dapat memenuhi kewajibannya berdasarkan CCPA/CPRA. Perusahaan menyatakan bahwa Perusahaan memahami dan akan mematuhi persyaratan serta batasan yang ditetapkan dalam Pasal 2.5 ini dan selanjutnya akan mematuhi persyaratan yang berlaku untuk Penyedia Layanan berdasarkan CCPA/CPRA. Selanjutnya, Para Pihak mengakui dan menyetujui bahwa pertukaran Data Pribadi antara Para Pihak bukan merupakan Penjualan, atau merupakan bagian dari imbalan moneter atau imbalan berharga lainnya yang dipertukarkan antara Para Pihak sehubungan dengan Perjanjian atau DPA ini. Dalam semua kasus, Perusahaan tidak akan menggabungkan Data Pribadi yang diterima dari Seagate dengan Data Pribadi yang diterima Perusahaan, atau atas nama, orang atau beberapa orang lain, atau yang Dikumpulkan Perusahaan dari interaksi apa pun antara Perusahaan dan Konsumen. Baik Seagate maupun Perusahaan menyatakan bahwa mereka telah membaca dan memahami persyaratan yang ditetapkan berdasarkan CCPA/CPRA.
    6. Program Keamanan Informasi. Perusahaan akan menerapkan, mengelola, memantau, dan jika perlu, memperbarui program keamanan informasi tertulis secara menyeluruh yang berisi pengamanan administratif, teknis, dan fisik yang sesuai untuk melindungi Informasi Pribadi Seagate dari ancaman atau bahaya yang diantisipasi terhadap keamanan, kerahasiaan, atau integritasnya (seperti akses, pengumpulan, penggunaan, penyalinan, modifikasi, pemusnahan atau pengungkapan yang tidak sah, penghilangan, penghancuran, akuisisi, atau perusakan secara tidak sah maupun secara melanggar hukum atau bentuk Pemrosesan lainnya yang tidak sah) (“Program Keamanan Informasi”). Program Keamanan informasi akan mencakup persyaratan dan tindakan yang tercantum dalam Standar Keamanan yang dilampirkan sebagai Lampiran II.
    7. Pembatasan terhadap Subprosesor. Perusahaan dapat mengungkapkan Informasi Pribadi Seagate kepada Subprosesor sebagaimana yang diperlukan guna menjalankan layanannya untuk Seagate, dengan tunduk pada ketentuan yang ditetapkan dalam Pasal 2.7 ini. Perusahaan akan mempertahankan daftar Subprosesor yang menerima Informasi Pribadi Seagate dan akan menyerahkan daftar tersebut kepada Seagate jika diminta oleh Seagate. Sejak tanggal berlakunya Perjanjian, jika berlaku, daftar Subprosesor Perusahaan saat ini disertakan dalam Perjanjian atau dalam dokumen lain yang diberikan oleh Perusahaan kepada Seagate dan ditandatangani oleh kedua pihak, menetapkan daftar Subprosesor. Perusahaan harus memberi tahu Seagate melalui [email protected] setidaknya 30 hari kerja sebelum menambahkan Subprosesor mana pun ke daftar. Jika Seagate tidak keberatan dengan Subprosesor yang diusulkan dalam waktu 30 hari kerja sejak diterimanya pemberitahuan, Subprosesor dianggap telah disetujui. Jika Seagate keberatan dengan Subprosesor mana pun yang memiliki akses ke Informasi Pribadi Seagate, maka Perusahaan tidak boleh mengungkapkan Informasi Pribadi Seagate kepada Subprosesor tersebut. Jika sewaktu-waktu salah satu pihak mengetahui bahwa Subprosesor tidak memberikan jaminan keamanan yang memadai sesuai risiko terkait Informasi Pribadi Seagate yang sedang Diproses, Seagate dapat mengeluarkan Subprosesor dari daftar, berdasarkan kebijakan tunggalnya. Jika Subprosesor keberatan atau dikeluarkan oleh Seagate, Perusahaan akan diberikan cukup waktu untuk mengganti Subprosesor tersebut. Jika Perusahaan tidak dapat menyediakan Layanan tanpa mengungkapkan Informasi Pribadi Seagate kepada Subprosesor yang tidak disetujui, maka Seagate dapat mengakhiri Perjanjian apa pun yang berlaku antara para pihak dan/atau Afiliasinya tanpa biaya maupun kewajiban kepada Perusahaan.
    8. Kepatuhan dan Pelanggaran Subprosesor. Penggunaan Subprosesor oleh Perusahaan tidak mengurangi kewajiban Perusahaan untuk mematuhi DPA ini atau Undang-Undang Perlindungan Data yang berlaku. Perusahaan wajib bertanggung jawab kepada Seagate terkait performa layanan, Pelanggaran Privasi Data, dan pelanggaran terhadap DPA ini, serta Undang-Undang Perlindungan Data yang berlaku oleh Subprosesornya dengan tingkat yang sama sebagaimana jika Perusahaan melakukan pelanggaran.
    9. Kewajiban Personel Perusahaan dan Subprosesor. Perusahaan harus memastikan bahwa setiap staf atau Subprosesor yang memiliki akses ke Informasi Pribadi Seagate menyepakati perjanjian tertulis berisi ketentuan yang setidaknya sama ketatnya dengan ketentuan yang ada dalam DPA ini. Perusahaan harus memastikan bahwa semua kewajiban perlindungan data dan privasi berlanjut setelah Pemrosesan mereka untuk Seagate berakhir. Kewajiban ini berlanjut selamanya, atau sebagai alternatif, setidaknya hingga Perusahaan telah menjamin bahwa semua Informasi Pribadi Seagate telah dihapus, dimusnahkan, dan tidak dapat dikembalikan.
    10. Akses Terbatas. Perusahaan harus membatasi akses ke Informasi Pribadi Seagate kepada Personel Perusahaan atau Subprosesor yang memerlukan akses untuk Perusahaan guna melakukan kewajibannya berdasarkan Perjanjian apa pun antara para pihak dan/atau Afiliasi mereka atau petunjuk tertulis Seagate, yang (a) telah dilatih tentang perlindungan data dan persyaratan keamanan, dan (b) setuju untuk mematuhi persyaratan kerahasiaan data setidaknya sama ketatnya dengan yang disyaratkan oleh Seagate selama dan setelah Pemrosesan untuk Seagate.
    11. Pemberitahuan Permintaan atau Keluhan. Kecuali jika dilarang oleh undang-undang, Perusahaan harus memberi tahu Seagate melalui [email protected] dalam waktu 2 hari kerja setelah menerima permintaan atau keluhan apa pun terkait Pemrosesan Informasi Pribadi Seagate, termasuk:
      1. permintaan dari Subjek Data untuk portabilitas data, permintaan untuk mengakses, mengubah, menghapus, atau membatasi, dan permintaan serupa; atau
      2. keluhan atau tuduhan bahwa Pemrosesan melanggar hak Subjek Data.
    12. Tanggapan Perusahaan. Perusahaan tidak boleh menanggapi permintaan atau keluhan berdasarkan Pasal 2.11, kecuali jika secara tegas diberi wewenang untuk melakukannya oleh Seagate. Perusahaan harus bekerja sama dengan Seagate terkait tindakan apa pun yang dilakukan sehubungan dengan permintaan atau keluhan apa pun, termasuk, namun tidak terbatas pada permintaan penghapusan. Perusahaan harus berusaha menerapkan proses yang sesuai (termasuk tindakan teknis dan organisasi) untuk membantu Seagate dalam menanggapi permintaan atau keluhan, kecuali jika dilarang oleh hukum.
    13. Permintaan Pengungkapan. Kecuali jika dilarang oleh undang-undang, Perusahaan harus segera memberi tahu Seagate jika Perusahaan menerima dokumen apa pun yang meminta atau bertujuan memaksa pengungkapan Informasi Pribadi Seagate (seperti pertanyaan lisan, pemeriksaan, permintaan informasi atau dokumen dalam proses hukum, panggilan pengadilan, tuntutan penyelidikan perdata, atau permintaan maupun proses serupa lainnya; seluruhnya disebut “Permintaan Pengungkapan”). Jika Permintaan Pengungkapan tidak mengikat, Perusahaan tidak akan menanggapinya. Jika Permintaan Pengungkapan bersifat mengikat, Perusahaan harus, kecuali jika dilarang oleh hukum yang berlaku, memberi tahu Seagate setidaknya 48 jam sebelum memberi tanggapan, sehingga Seagate dapat menjalankan hak tersebut karena Seagate mungkin harus mencegah atau membatasi pengungkapan tersebut. Perusahaan harus melakukan upaya yang wajar untuk mencegah dan membatasi pengungkapan apa pun dan untuk menjaga kerahasiaan Informasi Pribadi Seagate. Perusahaan harus bekerja sama dengan Seagate terkait tindakan yang dilakukan dalam menanggapi Permintaan Pengungkapan, termasuk bekerja sama untuk mendapatkan perintah perlindungan yang sesuai atau jaminan lainnya untuk melindungi kerahasiaan Informasi Pribadi Seagate.
    14. Kerja Sama. Perusahaan harus membantu Seagate dalam memenuhi kewajibannya berdasarkan Undang-Undang Perlindungan Data terkait (a) pendaftaran dan pemberitahuan; (b) akuntabilitas; (c) menjamin keamanan Informasi Pribadi Seagate; dan (d) memenuhi penilaian dampak perlindungan data dan privasi (termasuk audit dan penilaian risiko berdasarkan Undang-Undang Perlindungan Data) serta konsultasi Otoritas Pengawasan terkait.
    15. Partisipasi dalam Penyelidikan terkait Peraturan. Perusahaan harus membantu dan mendukung Seagate dalam penyelidikan oleh Otoritas Pengawasan mana pun selama penyelidikan tersebut terkait Informasi Pribadi Seagate yang Diproses oleh Perusahaan atau Subprosesor Perusahaan.
    16. Pemberitahuan Kemungkinan Pelanggaran atau Ketidakmampuan untuk Patuh. Perusahaan harus segera memberi tahu Seagate jika:
      1. Perusahaan memiliki alasan untuk yakin bahwa petunjuk apa pun dari Seagate terkait Pemrosesan Informasi Pribadi Seagate akan melanggar hukum yang berlaku;
      2. Perusahaan memiliki alasan untuk yakin bahwa ia tidak dapat memenuhi kewajibannya berdasarkan DPA ini atau Undang-Undang Perlindungan Data dan tidak dapat mengatasi ketidakmampuan untuk patuh ini dalam jangka waktu yang wajar; atau
      3. Perusahaan mengetahui keadaan atau perubahan apa pun dalam hukum yang berlaku yang sepertinya akan menghalanginya untuk memenuhi kewajibannya berdasarkan DPA ini.
    17. Penangguhan atau Penyesuaian untuk Kepatuhan. Seagate dapat menangguhkan Pemrosesan Informasi Pribadi Seagate dari Perusahaan atau Subprosesor untuk mencegah kemungkinan pelanggaran atau ketidakpatuhan terhadap hukum yang berlaku, DPA ini, atau Perjanjian apa pun yang berlaku antara para pihak dan/atau Afiliasinya terkait privasi atau perlindungan data. Perusahaan harus bekerja sama dengan Seagate untuk menyesuaikan Pemrosesan tersebut guna menghilangkan kemungkinan pelanggaran atau ketidakpatuhan apa pun. Jika penyesuaian tidak dapat dilakukan, Seagate dapat mengakhiri Perjanjian apa pun yang berlaku antara para pihak dan/atau Afiliasinya, tanpa biaya atau kewajiban kepada Perusahaan.
  3. PENGALIHAN DATA
    1. Klausul Standar Wilayah Ekonomi Eropa, Inggris, dan Swiss.
      1. Para pihak setuju bahwa jika transfer Informasi Pribadi Seagate dari Seagate ke Perusahaan adalah Transfer yang Dibatasi, maka transfer tersebut akan tunduk pada Klausul Standar yang sesuai, yang secara otomatis disertakan sebagai referensi dan merupakan bagian integral dari DPA ini sebagaimana ditetapkan di bawah:
        1. sehubungan dengan Informasi Pribadi Seagate yang dilindungi oleh GDPR UE, SCC UE akan berlaku sebagai berikut:
          1. Seagate akan menjadi pengekspor data dan Perusahaan akan menjadi pengimpor data;
          2. Modul Dua (C2P) akan berlaku;
          3. dalam Klausul 7, klausul docking opsional akan berlaku;
          4. dalam Klausul 9 Modul Dua (C2P), Opsi 2 akan berlaku, dan jangka waktu untuk pemberitahuan sebelumnya tentang perubahan Subprosesor adalah sebagaimana ditetapkan dalam Pasal 7 DPA ini;
          5. dalam Klausul 11, bahasa opsional tidak akan berlaku
          6. dalam Klausul 17;
            1. untuk Modul Dua (C2P), Opsi 1 akan berlaku, dan
            2. SCC UE akan diatur oleh undang-undang Irlandia;
          7. dalam Klausul 18(b), sengketa harus diselesaikan di hadapan pengadilan Irlandia;
          8. Lampiran I SCC UE akan dianggap lengkap dengan informasi yang ditetapkan dalam Lampiran I DPA ini; dan
          9. Lampiran II SCC UE akan dianggap lengkap dengan informasi yang ditetapkan dalam Lampiran II DPA ini.
        2. Sehubungan dengan data yang dilindungi oleh GDPR Inggris, SCC UE:(i) akan berlaku sesuai paragraf (1) di atas; dan (ii) akan dianggap telah diubah sebagaimana ditentukan oleh Adendum Inggris, yang akan dianggap dilaksanakan oleh para pihak dan disertakan dalam dan merupakan bagian integral dari DPA ini. Setiap konflik antara ketentuan SCC UE dan Adendum Inggris harus diselesaikan sesuai Pasal 10 dan Pasal 11 Adendum Inggris. Selain itu, tabel 1 hingga 3 di Bagian 1 Adendum Inggris harus dilengkapi masing-masing dengan informasi yang ditetapkan dalam Lampiran I dan II DPA ini dan tabel 4 di Bagian 1 akan dianggap selesai dengan memilih salah satu pihak.
        3. Sehubungan dengan Informasi Pribadi Seagate yang dilindungi oleh DPA Swiss, SCC UE sebagaimana diterapkan sesuai paragraf (1) di atas akan berlaku dengan ketentuan bahwa:
          1. referensi dalam SCC UE terhadap Peraturan (UE) 2016/679 atau GDPR harus ditafsirkan sebagai referensi terhadap Undang-Undang Federal Swiss terhadap Perlindungan Data (FADP);
          2. referensi terhadap undang-undang UE, Serikat, dan Negara Anggota harus ditafsirkan sebagai referensi terhadap Swiss dan undang-undang Swiss, sesuai kasusnya;
          3. istilah 'negara anggota' tidak boleh ditafsirkan sedemikian rupa untuk mengecualikan subjek data di Swiss dari kemungkinan menuntut hak-hak mereka di tempat tinggal tetap mereka (Swiss);
          4. klausul SCC UE harus ditafsirkan sebagai melindungi data badan hukum hingga berlakunya FADP yang direvisi; dan
          5. referensi terhadap otoritas pengawasan dan pengadilan yang kompeten harus ditafsirkan sebagai referensi terhadap Perlindungan Data Federal dan Informasi Komisaris (FDPIC) Swiss dan pengadilan yang kompeten di Swiss.
        4. Jika ada ketentuan dalam DPA ini atau Perjanjian yang bertentangan, secara langsung atau tidak langsung, Klausul Standar, Klausul Standar yang akan berlaku.
        5. Perusahaan harus memastikan bahwa semua Subprosesor juga melaksanakan Klausul Standar, jika berlaku.
      2. Mekanisme Transfer Alternatif: Sejauh Perusahaan menerapkan mekanisme ekspor data alternatif yang tidak dijelaskan dalam DPA ini (termasuk versi baru atau penerus Klausul Standar yang diterapkan sesuai Undang-Undang Perlindungan Data Eropa yang berlaku) untuk transfer Data Pribadi (Mekanisme Transfer Alternatif), Mekanisme Transfer Alternatif akan berlaku sebagai ganti mekanisme transfer yang berlaku yang dijelaskan dalam DPA ini (tetapi hanya sejauh Mekanisme Transfer Alternatif tersebut (i) mematuhi Undang-Undang Perlindungan Data Eropa, (ii) meluas ke wilayah tempat Data Pribadi ditransfer, dan (iii) memenuhi pertimbangan pemberitahuan di bawah) serta (iv) Perusahaan menandatangani dokumen lain dan lebih lanjut tersebut serta mengambil tindakan lain dan lebih lanjut yang mungkin diperlukan secara wajar untuk memberikan efek hukum terhadap Mekanisme Transfer Alternatif tersebut. Selain itu, jika dan sejauh pengadilan dengan yurisdiksi yang kompeten atau otoritas pengawasan dengan otoritas yang mengikat memerintahkan atau menentukan (untuk alasan apa pun) bahwa tindakan yang dijelaskan dalam DPA ini tidak dapat diandalkan untuk mentransfer Informasi Pribadi Seagate tersebut secara sah, Seagate mengakui dan menyetujui bahwa tunduk pada pertimbangan pemberitahuan yang dijelaskan di bawah, Perusahaan dapat menerapkan tindakan atau perlindungan tambahan apa pun yang mungkin diperlukan secara wajar untuk memungkinkan transfer yang sah dari Informasi Pribadi Seagate tersebut. Pertimbangan pemberitahuan mengharuskan Perusahaan untuk memberi tahu Seagate melalui [email protected] setidaknya 30 hari kerja sebelum menerapkan Mekanisme Transfer Alternatif atau tindakan tambahan apa pun. Jika Seagate tidak keberatan dengan Mekanisme Transfer Alternatif yang diusulkan atau tindakan tambahan dalam waktu 30 hari kerja sejak diterimanya pemberitahuan, Mekanisme Transfer Alternatif atau tindakan tersebut dianggap telah disetujui. Jika Seagate menolak Mekanisme Transfer Alternatif atau tindakan tambahan tersebut, maka Perusahaan tidak boleh menggunakan Mekanisme Transfer Alternatif tersebut atau tindakan tambahan apa pun. Jika Mekanisme Transfer Alternatif atau tindakan tambahan ditentang oleh Seagate, maka Seagate atas kebijakannya sendiri, dapat mengakhiri Perjanjian yang berlaku antara para pihak dan/atau Afiliasinya tanpa biaya atau kewajiban kepada Perusahaan.
      3. Transfer ke luar negara dengan persyaratan ekspor data. Jika Undang-Undang Perlindungan Data mengharuskan langkah lebih lanjut diambil terkait pembatasan ekspor data yang berlaku untuk mengizinkan transfer Informasi Pribadi Seagate ke Perusahaan (termasuk Subprosesornya), Perusahaan akan mematuhi persyaratan perlindungan data tersebut termasuk memperoleh persetujuan yang diperlukan atau melaksanakan perjanjian transfer data yang berlaku (mis., klausul kontrak standar) atau solusi alternatif guna memastikan perlindungan yang sesuai untuk transfer tersebut.
    2. Ketentuan Yurisdiksi Lainnya. Jika sesuai, Perusahaan harus mematuhi Persyaratan untuk Yurisdiksi Khusus, yang dilampirkan sebagai Lampiran III.
  4. KEPATUHAN DAN AKUNTABILITAS
    1. Kepatuhan. Perusahaan harus memastikan bahwa Pemrosesan Informasi Pribadi Seagate oleh Perusahaan dan Subprosesor sesuai semua undang-undang yang berlaku, kerangka kerja peraturan mandiri, dan persyaratan kontrak yang berlaku untuk Perusahaan dan Subprosesor. Setiap tahun, Perusahaan harus meninjau praktik Perusahaan dan Subprosesor untuk memastikan mereka mematuhi DPA ini dan semua undang-undang yang berlaku. Perusahaan harus bekerja sama menggunakan biayanya sendiri, terkait permintaan Seagate bahwa Perusahaan harus membuktikan kepatuhannya terhadap persyaratan perlindungan data dan keamanan yang disebutkan dalam DPA ini.
    2. Catatan Aktivitas Pemrosesan. Perusahaan wajib menyimpan catatan terbaru tentang rincian perwakilan Perusahaan dan pejabat perlindungan data, kategori aktivitas Pemrosesan yang dilakukan, informasi terkait pengalihan data lintas batas, keterangan umum tentang langkah keamanan yang diterapkan terkait data yang Diproses, nama, kontak, dan rincian Pemrosesan dari setiap Subprosesor Informasi Pribadi Seagate, dan, bila perlu, perwakilan dan pejabat perlindungan data Subprosesor mana pun. Berdasarkan permintaan, Perusahaan akan memberikan salinan riwayat dan salinan terbaru dari catatan ini kepada Seagate atau Otoritas Pengawasan jika diminta.
    3. Audit. Perusahaan harus menyediakan kepada Seagate, berdasarkan permintaan tertulis, semua informasi yang diperlukan untuk menunjukkan kepatuhan terhadap DPA dan Undang-Undang Perlindungan Data ini, serta mengizinkan dan berkontribusi untuk audit, termasuk inspeksi di tempat, oleh Seagate atau auditor pihak ketiga independen yang diamanatkan oleh Seagate terkait Pemrosesan Informasi Pribadi Seagate. Auditor pihak ketiga independen tersebut diwajibkan membuat perjanjian kerahasiaan dengan para pihak. Perusahaan harus melakukan tindakan perbaikan atas ketidakpatuhan apa pun dalam jangka waktu yang wajar. Jika perbaikan tidak dapat dilakukan, Seagate dapat mengakhiri Perjanjian apa pun yang berlaku antara para pihak dan/atau Afiliasinya, tanpa biaya atau kewajiban kepada Perusahaan.
  5. TANGGUNG JAWAB PERUSAHAAN SETELAH TERJADINYA PELANGGARAN PRIVASI DATA
    1. Pemberitahuan Pelanggaran Privasi Data. Perusahaan harus memberi tahu Seagate secara tertulis tentang Pelanggaran Privasi Data yang diketahui atau dicurigai dalam waktu 24 jam setelah pertama kali mengetahui kemungkinan Pelanggaran Privasi Data, dan harus segera:
      1. memberi tahu Seagate melalui [email protected] tentang Pelanggaran Privasi Data;
      2. menyelidiki atau memberikan bantuan yang diperlukan dalam penyelidikan Pelanggaran Privasi Data;
      3. memberi Seagate informasi rinci tentang Pelanggaran Privasi Data, termasuk namun tidak terbatas pada kategori, lokasi, dan perkiraan jumlah Subjek Data terkait serta kategori, lokasi, dan perkiraan jumlah catatan Informasi Pribadi Seagate, serta terus memberi Seagate informasi tambahan tentang Pelanggaran Privasi Data bila tersedia;
      4. mengambil semua langkah yang wajar secara komersial untuk memitigasi dampak dari Pelanggaran Privasi Data, atau membantu Seagate untuk melakukannya; dan
      5. melaksanakan rencana perbaikan sesuai persetujuan Seagate serta memantau resolusi Pelanggaran Privasi Data dan kerentanan terkait Informasi Pribadi Seagate untuk memastikan bahwa tindakan perbaikan yang semestinya telah dilakukan secara tepat waktu.
    2. Penahanan dan Perbaikan. Perusahaan harus segera menahan dan memperbaiki Pelanggaran Privasi Data serta mencegah Pelanggaran Privasi Data lebih lanjut; dan Perusahaan harus mengambil semua tindakan yang diperlukan untuk mematuhi Undang-Undang Perlindungan Data dan standar industri yang berlaku untuk menahan dan memperbaiki Pelanggaran Privasi Data.
    3. Komunikasi. Perusahaan tidak akan menerbitkan komunikasi apa pun yang terkait Pelanggaran Privasi Data, dengan cara apa pun yang dapat mengidentifikasi, atau kemungkinan besar dapat mengidentifikasi atau mengungkapkan identitas Seagate tanpa persetujuan dari Seagate sebelumnya.
    4. Penyimpanan Bukti. Perusahaan harus mengelola rencana tanggapan insiden. Setelah menemukan Pelanggaran Privasi Data, Perusahaan harus menyimpan bukti yang berkaitan dengan Pelanggaran Privasi Data tersebut dan memiliki rantai komando yang jelas sesuai rencana tanggapan insiden Perusahaan.
    5. Kerja Sama. Perusahaan harus bekerja sama dengan Seagate dalam setiap proses pengadilan, penyelidikan, atau tindakan Seagate lainnya yang diperlukan untuk melindungi hak Seagate terkait penggunaan, pengungkapan, perlindungan, dan pemeliharaan Informasi Pribadi Seagate. Perusahaan selanjutnya setuju untuk memberikan bantuan dan kerja sama yang wajar yang diminta oleh Seagate dan/atau perwakilan yang ditunjuk Seagate, sebagai kelanjutan dari koreksi, perbaikan, atau penyelidikan Pelanggaran Privasi Data apa pun dan/atau mitigasi kemungkinan kerusakan, termasuk pemberitahuan apa pun yang menurut Seagate tepat untuk dikirimkan kepada Subjek Data, regulator, atau pihak ketiga terkait, dan/atau penyediaan layanan pelaporan kredit yang tepat dianggap Seagate tepat untuk diberikan kepada Subjek Data terkait. Perusahaan wajib bertanggung jawab atas pengeluaran Seagate yang wajar terkait Pelanggaran Privasi Data Perusahaan, termasuk namun tidak terbatas pada, penyelidikan, perbaikan, dan pemberitahuan.
  6. PENGEMBALIAN DAN PENGHAPUSAN INFORMASI PRIBADI SEAGATE SECARA AMAN
    1. Integritas Data. Perusahaan harus mematuhi semua petunjuk Seagate untuk menjaga integritas data, termasuk (a) memusnahkan Informasi Pribadi Seagate yang dikelola oleh Perusahaan, tetapi tidak lagi diperlukan untuk menyediakan Layanan, kecuali jika penyimpanan Informasi Pribadi Seagate diwajibkan dalam Undang-Undang Perlindungan Data; (b) memastikan bahwa Informasi Pribadi Seagate yang dibuat oleh Perusahaan atas nama Seagate akurat dan selalu diperbarui; serta (c) atas permintaan Seagate, mengizinkan Seagate mengakses Informasi Pribadi Seagate, semuanya sesuai undang-undang yang berlaku.
    2. Pengembalian dan Penghapusan Informasi Pribadi Seagate. Atas permintaan (a) Seagate sebelumnya atau (b) berakhirnya atau penghentian Perjanjian antara para pihak dan/atau Afiliasinya secara lebih cepat terkait Pemrosesan Informasi Pribadi Seagate, sesuai arahan Seagate, Perusahaan harus, dan harus mengarahkan Subprosesornya untuk, mengekspor Informasi Pribadi Seagate, atau memberi Seagate maupun pihak ketiga yang ditunjuknya, kemampuan untuk mengekspor semua Informasi Pribadi Seagate dalam format yang dapat dioperasikan dan dapat dibaca oleh mesin yang ditentukan oleh Seagate, kecuali jika penyimpanan informasi Pribadi Seagate diwajibkan dalam Undang-Undang Perlindungan Data. Perusahaan harus mempertahankan Informasi Pribadi Seagate selama Seagate menentukan bahwa Seagate dapat mengakses dan mengekspor Informasi Pribadi Seagate secara penuh tanpa biaya yang dikenakan kepada Seagate. Masing-masing pihak harus menentukan narahubung untuk memigrasi Informasi Pribadi Seagate dan harus bekerja dengan cepat, tekun, dan memiliki iktikad baik untuk mempermudah pengalihan secara tepat waktu. Dalam 90 hari setelah Seagate (a) mengonfirmasi bahwa Informasi Pribadi Seagate telah diterima dan dimigrasikan dengan benar, atau (b) memberi tahu Perusahaan tentang pilihannya untuk tidak memigrasikan Informasi Pribadi Seagate, Perusahaan dan Subprosesor wajib secara aman memusnahkan semua Informasi Pribadi Seagate, memutuskan sambungan pengidentifikasi ruang kerja Seagate, dan menimpanya dengan data baru atau memusnahkan Informasi Pribadi Seagate melalui metode sanitasi yang disetujui.
    3. Pemusnahan Informasi Pribadi Seagate. Jika Perusahaan memusnahkan dokumen, elektronik, atau catatan lain berisi Informasi Pribadi Seagate, Perusahaan akan melakukannya dengan mengambil semua langkah yang wajar (berdasarkan sensitivitas Informasi Pribadi Seagate) untuk menghancurkan Informasi Pribadi Seagate, kecuali jika penyimpanan informasi Pribadi Seagate diwajibkan dalam Undang-Undang Perlindungan Data dengan: (a) merusak; (b) menghapus secara permanen; (c) demagnetisasi; atau (d) memodifikasi catatan Informasi Pribadi Seagate agar tidak dapat dibaca, dipulihkan, dan diuraikan. Jika Perusahaan menonaktifkan atau tidak menggunakan hard disk berisi salinan Informasi Pribadi Seagate, maka Perusahaan harus merusak atau memusnahkan hard disk yang me-render Informasi Pribadi Seagate secara aman agar tidak dapat dibaca dan dimusnahkan sesuai NIST 800-88, revisi 1. Perusahaan harus menyatakan secara tertulis bahwa hard disk telah dirusak atau dimusnahkan dan Informasi Pribadi Seagate tidak dapat dibaca, diambil, atau direkonstruksi.
    4. Pemberitahuan mengenai Penyimpanan Apa Pun. Jika Perusahaan berkewajiban hukum untuk menyimpan Informasi Pribadi Seagate melebihi batas waktu yang diizinkan oleh DPA ini, Perusahaan harus memberi tahu Seagate secara tertulis tentang kewajibannya, tidak akan memproses Informasi Pribadi Seagate lebih lanjut selain menyimpan informasi tersebut untuk memenuhi kewajiban hukum Perusahaan, dan wajib mengembalikan atau memusnahkan Informasi Pribadi Seagate sesegera mungkin setelah periode penyimpanan yang diwajibkan secara hukum berakhir. DPA ini akan tetap berlaku hingga Perusahaan tidak lagi memiliki hak atau kontrol terhadap atau akses ke Informasi Pribadi Seagate.
    5. Dokumentasi. Perusahaan harus mendokumentasikan penyimpanan atau pemusnahan Informasi Pribadi Seagate sesuai DPA ini. Atas permintaan Seagate, Perusahaan harus memberikan dokumentasi penyimpanan dan sertifikasi tertulis bahwa Informasi Pribadi Seagate telah dimusnahkan dengan aman sesuai DPA ini.
  7. LAIN-LAIN
    1. Jangka Waktu. DPA ini akan tetap berlaku hingga (i) tidak ada Perjanjian aktif lainnya antara para pihak dan (ii) Perusahaan tidak lagi memiliki hak atau kontrol terhadap atau akses ke Informasi Pribadi Seagate. Perusahaan akan Memproses Informasi Pribadi Seagate hingga hubungan berakhir sebagaimana ditentukan dalam Perjanjian. Kewajiban Perusahaan dan hak Seagate berdasarkan DPA ini akan terus berlaku selama Perusahaan Memproses Informasi Pribadi Seagate.
    2. Urutan Prioritas. Jika terdapat perbedaan antara DPA ini dan Perjanjian apa pun antara para pihak dan/atau Afiliasinya, ketentuan DPA ini akan berlaku kecuali untuk setiap perbedaan yang melibatkan Lampiran II (Standar Keamanan), dalam hal ini Perjanjian lainnya akan berlaku, sejauh standar keamanan dalam Perjanjian lainnya merupakan tambahan dari persyaratan minimum yang ditetapkan dalam Lampiran II. DPA ini tidak membatasi atau melarang, tetapi hanya dianggap melengkapi Klausul Standar.
    3. Pembaruan. Perusahaan harus bekerja sama untuk memperbarui DPA ini yang diperlukan untuk memastikan kepatuhan terhadap undang-undang dan peraturan yang berlaku.
    4. Penerima Manfaat Pihak Ketiga. Afiliasi Seagate ditetapkan sebagai penerima manfaat pihak ketiga dari DPA ini; dan dapat menerapkan ketentuan dalam DPA ini seolah-olah masing-masing merupakan pihak yang menandatangani DPA ini. Seagate juga dapat menerapkan ketentuan DPA atas nama Afiliasinya, bukan Afiliasinya yang secara terpisah melakukan gugatan terhadap Perusahaan.
    5. Pengungkapan DPA kepada Otoritas Pengawasan. Seagate dapat memberikan ringkasan atau salinan DPA ini kepada Otoritas Pengawasan mana pun.
    6. Pemutusan. Jika terdapat ketentuan dalam DPA ini yang tidak efektif atau dibatalkan, ketentuan tersebut tidak akan mempengaruhi ketentuan lainnya. Para pihak wajib mengganti ketentuan yang tidak efektif atau dibatalkan dengan ketentuan sah yang mencerminkan tujuan dari ketentuan yang tidak efektif atau dibatalkan tersebut. Jika ketentuan yang diperlukan tidak ada, para pihak harus menambahkan ketentuan yang sesuai iktikad baik.
    7. Interpretasi. Bagian judul pada DPA ini hanya untuk referensi dan tidak akan memengaruhi interpretasi perjanjian ini.

LAMPIRAN I

DESKRIPSI PEMROSESAN DATA

 

Lampiran I ini merupakan bagian dari Klausul Standar.

 

MODUL DUA: Transfer – Pengontrol ke Pemroses (relevan untuk Informasi Pribadi Seagate) (C2P)

 

    A. DAFTAR PARA PIHAK

     

    PENGEKSPOR DATA

    Nama dan alamat

    Penandatanganan Seagate Technology LLC atas nama Afiliasi dan anak perusahaan 47488 Kato Road, Fremont, CA, 94538

    Nama Narahubung dan Detail Kontak

    Penandatanganan Seagate Technology LLC atas nama Afiliasi dan anak perusahaan 47488 Kato Road, Fremont, CA, 94538 [email protected]

    Aktivitas yang relevan dengan data yang ditransfer berdasarkan Klausul Standar ini

    Seagate Technology LLC, yang menandatangani atas nama Afiliasi dan anak perusahaan, adalah penyedia produk perangkat keras dan solusi serta layanan perangkat lunak untuk mendukung proses bisnis berbagai segmen industri.

    Tanda tangan dan tanggal:

    Dengan menandatangani Perjanjian yang menyertakan DPA ini, pengekspor data dianggap telah menandatangani Klausul Standar yang disertakan dalam dokumen ini, termasuk Lampirannya, sejak tanggal berlakunya Perjanjian.

     

    Peran pengekspor data (Pengontrol/Pemroses):

    Ditetapkan dalam Pasal 2.1 (Status Para Pihak) DPA ini.

     

     

    PENGIMPOR DATA

    Nama dan alamat

    Nama dan alamat perusahaan (sebagaimana ditentukan dalam Perjanjian)

     

    Nama, Jabatan, dan Detail Kontak Narahubung:

    Nama dan alamat perusahaan (sebagaimana ditentukan dalam Perjanjian)

     

    Aktivitas yang relevan dengan data yang ditransfer berdasarkan Klausul Standar ini:

     

    Perusahaan adalah penyedia layanan yang menyediakan layanan dan dukungan untuk pengekspor data, seperti yang dijelaskan dalam Perjanjian.

     

    Tanda tangan dan tanggal:

    Dengan menandatangani Perjanjian yang menyertakan DPA ini, pengimpor data dianggap telah menandatangani Klausul Standar yang disertakan dalam dokumen ini, termasuk Lampirannya, sejak tanggal berlakunya Perjanjian.

     

    Peran pengimpor data

    Ditetapkan dalam pasal 2.1 (Status Para Pihak) DPA ini.

     

    B. DESKRIPSI TRANSFER

     

    Ka

    tegori subjek data

    Data pribadi yang ditransfer mungkin terkait kategori subjek data berikut:

    - dulu dan sekarang:

    o karyawan, penasihat, konsultan, pemasok, kontraktor, subkontraktor, dan agen Seagate;

    o mitra bisnis dan calon mitra bisnis Seagate, serta karyawan, mitra, penasihat, konsultan, pemasok, kontraktor, subkontraktor, dan agen mereka;

    o potensi prospek pemasaran serta konsumen sebelumnya dan saat ini;

    o pelanggan Seagate sebelumnya dan saat ini, serta karyawan, mitra, penasihat, konsultan, pemasok, kontraktor, subkontraktor, dan agen mereka.

     

    Kategori data pribadi yang ditransfer

    Data pribadi yang diberikan oleh Seagate atau atas nama Seagate kepada Perusahaan, atau dikumpulkan oleh Perusahaan, yang terkait Kategori subjek data yang ditetapkan di atas, sebagaimana diperlukan bagi Perusahaan untuk menyediakan Layanan kepada Seagate berdasarkan Perjanjian dan sesuai petunjuk hukum Seagate yang didokumentasikan, yang mungkin mencakup informasi kontak, seperti nama depan, nama belakang, alamat email, alamat bisnis, nomor telepon, dan data pribadi lainnya yang disediakan oleh Seagate.

     

    Data Sensitif yang ditransfer (jika berlaku) dan pembatasan atau perlindungan yang diterapkan yang sepenuhnya mempertimbangkan sifat data dan risiko yang terkait**

     

    Sebagaimana ditetapkan dalam Perjanjian

    Frekuensi transfer

    Berkelanjutan, kecuali ditetapkan lain dalam Perjanjian atau dalam dokumen antara para pihak.

    Sifat Pemrosesan/Kegiatan Pemrosesan

    Sebagaimana dijelaskan dalam Perjanjian.

    Tujuan transfer dan pemrosesan data

     

    Untuk menyediakan Layanan berdasarkan Perjanjian yang relevan.

     

    Periode untuk penyimpanan data pribadi akan disimpan, atau, jika tidak memungkinkan, kriteria yang digunakan untuk menentukan periode tersebut

    Data pribadi akan disimpan:

    (a) sesuai Pasal 6.2 DPA ini (Pengembalian dan Penghapusan Informasi Pribadi Seagate); atau

    (b) sebagaimana diwajibkan dalam undang-undang; atau

    (c) atau selama jangka waktu yang ditetapkan dalam Perjanjian atau dokumen lain antara para pihak yang berisi informasi relevan yang berlaku untuk Layanan yang relevan;

    mana pun yang lebih lama.

     

    Jika mentransfer ke subprosesor, tentukan juga masalah terkait, sifat, dan durasi pemrosesan

    Perusahaan harus menyediakan masalah terkait, sifat, dan durasi pemrosesan untuk transfer ke subprosesor ke [email protected] jika informasi ini belum ditetapkan dalam Perjanjian atau dokumen tambahan yang disepakati antara para pihak.

     

    C. OTORITAS PENGAWASAN YANG KOMPETEN

     

    Otoritas pengawasan yang kompeten, sesuai Klausul 13 SCC UE, adalah (i) otoritas pengawasan yang berlaku untuk pengekspor data di negara pendiri WEE atau, (ii) tempat pengekspor data tidak didirikan di WEE, otoritas pengawasan yang berlaku di negara WEE tempat perwakilan UE pengekspor data telah ditunjuk sesuai Pasal 27(1) GDPR UE, atau (iii) tempat pengekspor data tidak wajib menunjuk perwakilan, otoritas pengawasan yang berlaku untuk negara WEE tempat subjek data yang relevan dengan transfer berada. Sehubungan dengan Pemrosesan Data Pribadi yang menerapkan GDPR Inggris, otoritas pengawasan yang kompeten adalah Kantor Komisaris Informasi ("ICO"). Sehubungan dengan Pemrosesan Data Pribadi yang menerapkan DPA Swiss, otoritas pengawasan yang kompeten adalah Perlindungan Data Federal dan Informasi Komisaris Swiss.

     

LAMPIRAN II

STANDAR KEAMANAN

 

Lampiran II ini merupakan bagian dari Klausul Standar.

 

Lampiran II ini mewakili langkah-langkah keamanan minimum yang akan diambil oleh Perusahaan. Jika ada perjanjian antara para pihak yang mengharuskan Perusahaan memiliki tingkat tindakan keamanan yang lebih tinggi atau lebih luas, Perusahaan wajib mematuhi ketentuan tersebut. Perusahaan harus mempertahankan dan melaksanakan berbagai kebijakan, standar, dan proses yang dirancang untuk mengamankan Informasi Pribadi Seagate serta data lainnya sesuai standar industri, misalnya Kerangka Keamanan Cyber​NIST dan ISO 27001 atau 27002, yang dapat diakses oleh karyawan Perusahaan.

 

  1. Kebijakan dan Standar Keamanan Informasi. Perusahaan harus menerapkan persyaratan keamanan untuk staf dan semua subkontraktor, Perusahaan, atau agen yang memiliki akses ke Informasi Pribadi Seagate yang dirancang untuk:
    1. mencegah orang yang tidak berwenang mendapatkan akses ke sistem pemrosesan Informasi Pribadi Seagate (kontrol akses fisik);
    2. mencegah sistem pemrosesan Informasi Pribadi Seagate yang digunakan tanpa otorisasi (kontrol akses logis);
    3. memastikan bahwa orang yang berhak menggunakan sistem pemrosesan Informasi Pribadi Seagate hanya dapat memperoleh akses ke Informasi Pribadi Seagate sesuai hak akses yang disetujui dan bahwa, selama pemrosesan atau penggunaan serta setelah penyimpanan Informasi Pribadi Seagate tidak dapat dibaca, disalin, dimodifikasi, atau dihapus tanpa otorisasi (kontrol akses data);
    4. memastikan bahwa Informasi Pribadi Seagate tidak dapat dibaca, disalin, dimodifikasi, atau dihapus tanpa otorisasi selama transmisi, transportasi, atau penyimpanan elektronik, dan bahwa entitas target untuk setiap pengalihan Informasi Pribadi Seagate melalui sarana transmisi data dapat dibuat dan diverifikasi (kontrol pengalihan data);
    5. memastikan pembentukan jejak audit untuk mendokumentasikan apakah dan oleh siapa Seagate Informasi Pribadi telah dibuka, dimodifikasi, dialihkan, atau dihapus dari pemrosesan Informasi Pribadi Seagate (kontrol terhadap entri);
    6. memastikan bahwa Informasi Pribadi Seagate hanya Diproses sesuai petunjuk (kontrol terhadap petunjuk);
    7. memastikan bahwa Informasi Pribadi Seagate dilindungi dari kerusakan atau kehilangan yang tidak disengaja (kontrol ketersediaan); dan
    8. memastikan bahwa Informasi Pribadi Seagate yang dikumpulkan untuk berbagai tujuan dapat Diproses secara terpisah (kontrol pemisahan).

    Perusahaan wajib melakukan penilaian serta peninjauan risiko secara berkala, dan, jika sesuai, merevisi praktik keamanan informasi setidaknya setiap tahun atau setiap kali terdapat perubahan material dalam praktik bisnis Perusahaan yang mungkin akan secara wajar memengaruhi keamanan, kerahasiaan, atau integritas Informasi Pribadi Seagate, dengan ketentuan bahwa Perusahaan tidak akan memodifikasi praktik keamanan informasinya dengan cara yang akan melemahkan atau membahayakan kerahasiaan, ketersediaan, atau integritas Informasi Pribadi Seagate.

  2. Keamanan Fisik. Perusahaan harus memelihara sistem keamanan yang wajar secara komersial di semua situs Perusahaan, tempat sistem informasi yang menggunakan atau menampung Informasi Pribadi Seagate. Perusahaan wajib membatasi akses secara wajar ke Informasi Pribadi Seagate sebagaimana mestinya.
  3. Keamanan Perusahaan.
    1. Saat media akan dimusnahkan atau digunakan kembali, prosedur harus diterapkan untuk mencegah pengambilan Informasi Pribadi Seagate lanjutan yang disimpan dalam media sebelum ditarik dari inventaris. Bila media harus meninggalkan lokasi di mana file tersimpan karena operasi pemeliharaan, prosedur harus diterapkan untuk mencegah pengambilan Informasi Pribadi Seagate yang tersimpan di dalamnya secara tidak semestinya.
    2. Perusahaan harus menerapkan kebijakan dan prosedur keamanan untuk mengklasifikasikan aset Informasi Sensitif, mengklarifikasi tanggung jawab keamanan, dan meningkatkan kesadaran bagi karyawan.
    3. Semua insiden keamanan Informasi Pribadi Seagate harus dikelola sesuai prosedur respons insiden yang sesuai.
    4. Perusahaan harus mengenkripsi, menggunakan alat enkripsi standar industri, semua Informasi Sensitif yang sedang dikirim dan tersimpan.
  4. Keamanan Jaringan. Perusahaan harus menjaga keamanan jaringan menggunakan peralatan yang tersedia secara komersial serta teknik standar industri, termasuk firewall, sistem pendeteksian dan pencegahan gangguan, daftar kontrol akses, serta protokol routing.
  5. Kontrol Akses. Perusahaan harus mempertahankan kontrol akses yang sesuai, termasuk namun tidak terbatas pada, membatasi akses ke Informasi Pribadi Seagate ke jumlah minimum Personel Perusahaan yang memerlukan akses tersebut.
    1. Hanya staf berwenang yang dapat memberikan, memodifikasi, atau membatalkan akses ke sistem informasi yang menggunakan atau menampung Informasi Pribadi Seagate. Perusahaan harus mempertahankan catatan akses yang sesuai, yang akan diberikan kepada Seagate berdasarkan permintaan Seagate.
    2. Prosedur administrasi pengguna harus menetapkan peran pengguna dan hak istimewanya serta bagaimana akses diberikan, diubah, dan dihentikan; mengatasi pemisahan tugas yang sesuai, serta mendefinisikan persyaratan dan mekanisme pencatatan/pemantauan.
    3. Semua karyawan Perusahaan harus diberikan ID pengguna unik.
    4. Hak akses harus diterapkan dengan mematuhi pendekatan "hak istimewa terendah".
    5. Perusahaan harus menerapkan keamanan fisik dan elektronik yang wajar secara komersial untuk membuat dan melindungi sandi.
  6. Kontrol Terhadap Virus dan Malware. Perusahaan harus menginstal dan mempertahankan perangkat lunak anti-virus dan perlindungan terhadap malware terbaru pada sistem, serta menerapkan pemantauan malware dan pemindaian sistem terjadwal untuk melindungi Informasi Pribadi Seagate dari ancaman atau bahaya yang diantisipasi, serta melindungi dari akses ke atau penggunaan Informasi Pribadi Seagate yang tidak sah.
  7. Personel. Sebelum memberikan akses ke Informasi Pribadi Seagate kepada Personel Perusahaan, Perusahaan harus meminta Personel Perusahaan untuk mematuhi program keamanan informasi Perusahaan. Perusahaan harus menerapkan program kesadaran keamanan untuk melatih personel tentang kewajiban keamanan mereka. Program ini wajib mencakup pelatihan tentang kewajiban klasifikasi data; kontrol keamanan fisik; praktik keamanan; dan pelaporan insiden keamanan. Perusahaan wajib memiliki peran dan tanggung jawab yang jelas terhadap karyawan. Penyaringan akan dilaksanakan sebelum penetapan posisi berdasarkan syarat dan ketentuan kerja yang diterapkan sebagaimana mestinya. Karyawan perusahaan harus secara ketat mengikuti kebijakan dan prosedur keamanan yang ditetapkan. Proses disipliner harus diterapkan jika karyawan melakukan Pelanggaran Privasi Data.
  8. Keberlangsungan Bisnis. Perusahaan menerapkan cadangan yang sesuai dan pemulihan bencana serta rencana penerusan bisnis. Perusahaan meninjau rencana keberlangsungan bisnis dan penilaian risiko secara berkala. Rencana keberlangsungan bisnis diuji dan diperbarui secara berkala untuk memastikan bahwa rencana tersebut terbaru dan efektif.
  9. Manajer Keamanan Utama. Perusahaan harus memberi tahu Seagate tentang manajer keamanan utama yang ditunjuk. Manajer keamanan wajib bertanggung jawab untuk mengelola dan mengoordinasikan kinerja kewajiban Perusahaan yang tercantum dalam program keamanan informasi Perusahaan dan dalam DPA ini
  10. Audit. Seagate berhak mengaudit komitmen Perusahaan sebagaimana dinyatakan dalam Lampiran II, sesuai pasal 4.4 “Audit” DPA ini.
  11. Pelanggaran. Jika Perusahaan yang ditentukan melanggar DPA ini, Perusahaan harus memperbaiki pelanggaran tersebut tanpa penundaan yang tidak semestinya dan dalam kondisi apa pun dalam waktu 30 hari. Setiap Pelanggaran Privasi Data yang diketahui atau dicurigai diatur dalam pasal 5. "Tanggung Jawab Perusahaan Setelah Pelanggaran Privasi Data" DPA ini.

 

Lampiran III

PERSYARATAN PRIVASI DATA UNTUK YURISDIKSI TERTENTU

 

Persyaratan berikut berlaku untuk yurisdiksi tertentu:

 

  1. AUSTRALIA
    1. Aplikabilitas. Ketentuan Pasal 1 ini berlaku bila (a) Perusahaan menerima atau mengakses Informasi Pribadi Seagate dari Afiliasi Seagate yang berlokasi di Australia; atau (b) Seagate memberi tahu Perusahaan bahwa Informasi Pribadi Seagate tunduk pada persyaratan ini.
    2. Keanggotaan Asosiasi Profesional atau Perdagangan. Istilah "Informasi Sensitif" juga mencakup Informasi Pribadi tentang keanggotaan individu dari asosiasi profesional atau perdagangan.
    3. Prinsip Privasi Australia. Perusahaan harus mematuhi kewajiban apa pun yang berlaku berdasarkan Undang-Undang Privasi 1988 (Cth), termasuk Prinsip Privasi Australia, bila berurusan dengan Informasi Pribadi Seagate atau menyediakan layanan sesuai DPA ini.
    4. Pemberitahuan penggunaan atau pengungkapan untuk tujuan penegakan hukum. Jika Perusahaan menggunakan atau mengungkapkan Informasi Pribadi untuk satu atau beberapa kegiatan penegakan hukum yang dilakukan oleh, atau atas nama, badan penegakan hukum, Perusahaan harus menyimpan catatan tertulis tentang penggunaan dan pengungkapan dan segera memberikan salinan catatan tersebut kepada Seagate, kecuali jika dilarang oleh hukum.
    5. Pengidentifikasi terkait pemerintah Australia. Apabila Informasi Pribadi mencakup pengidentifikasi terkait pemerintah Australia, Perusahaan (a) tidak boleh mengadopsi pengenal yang terkait pemerintah Australia untuk individu sebagai pengenalnya sendiri, kecuali jika secara tegas diminta untuk melakukannya oleh Seagate; dan (b) tidak boleh menggunakan atau mengungkapkan pengenal yang terkait pemerintah Australia, kecuali jika diperlukan untuk memverifikasi identitas individu, atau jika diminta untuk melakukannya oleh Seagate.
    6. Pengumpulan Informasi Pribadi. Bila petunjuk Seagate kepada Perusahaan mengharuskan Perusahaan untuk mengumpulkan informasi pribadi atas nama Seagate, Perusahaan harus (a) mencari petunjuk dari Seagate terkait (i) informasi apa pun yang harus diberikan kepada Subjek Data sehubungan dengan pengumpulan informasi pribadi Subjek Data; dan (ii) setiap persetujuan masuk yang diperlukan untuk tujuan pemasaran langsung; dan (b) tidak mengumpulkan Informasi Sensitif atau tanpa persetujuan Subjek Data.
    7. Perjanjian Perusahaan dengan Pemerintah Australia. Jika Seagate adalah penyedia layanan yang dikontrak untuk entitas pemerintah Australia di tingkat federal, negara bagian, atau wilayah, dan selama Seagate terikat untuk mematuhi kewajiban perlindungan data tambahan berdasarkan perjanjian dengan entitas pemerintah terkait, Seagate akan memberlakukan kewajiban yang setara kepada Perusahaan, sebagaimana diharuskan oleh hukum Australia yang berlaku. Seagate dan Perusahaan setuju untuk membuat perjanjian tambahan, jika perlu, untuk memberlakukan kewajiban tersebut.
  2. TIONGKOK
    1. Aplikabilitas. Ketentuan Pasal 2 ini berlaku bila Perusahaan menerima atau mengakses Informasi Pribadi Seagate dari Afiliasi Seagate yang berlokasi di Tiongkok; atau (b) Seagate memberi tahu Perusahaan bahwa Informasi Pribadi Seagate tunduk pada persyaratan ini.
    2. Peran PIPL. Berdasarkan Undang-Undang Perlindungan Informasi Pribadi PRC (PIPL), Seagate akan berperan sebagai Pemroses Informasi Pribadi, yang akan memutuskan tujuan dan cara Pemrosesan. Perusahaan akan menjadi Pihak Tepercaya yang Memproses Informasi Pribadi atas nama Seagate sesuai persyaratan DPA dan petunjuk Seagate ini.
    3. Subprosesor. Terlepas dari Pasal 2.4 DPA, Perusahaan tidak akan melibatkan Subprosesor mana pun untuk Memproses Informasi Pribadi Seagate tanpa persetujuan tegas dari Seagate. Persyaratan persetujuan tersebut tunduk pada Pasal 2.5 DPA.
    4. Waktu Pemrosesan Terbatas. Perusahaan hanya wajib Memproses Informasi Pribadi Seagate selama jangka waktu yang diperlukan untuk mencapai tujuan Pemrosesan, kecuali jika para pihak telah menyepakati durasi yang berbeda.
    5. Transfer yang dibatasi. Perusahaan tidak boleh mentransfer Informasi Pribadi Seagate ke luar Tiongkok tanpa persetujuan tegas dari Seagate jika Informasi Pribadi Seagate disimpan atau ditahan di Tiongkok. Seagate dengan ini memberikan persetujuan kepada Perusahaan untuk mentransfer Informasi Pribadi Seagate tersebut jika diperlukan, selama Perusahaan telah mengambil semua tindakan guna mematuhi Undang-Undang Perlindungan Data untuk perlindungan Informasi Pribadi Seagate tersebut.
  3. INDIA
    1. Aplikabilitas. Ketentuan Pasal 3 ini berlaku jika Undang-Undang Teknologi Informasi, 2000 (“UU TI”) dan Aturan Teknologi Informasi (Praktik dan Prosedur Keamanan yang Wajar serta Data atau Informasi Pribadi Sensitif), 2011 (“Aturan Privasi”) sebagaimana diubah dan diganti dari waktu ke waktu berlaku untuk Pemrosesan Informasi Pribadi Seagate oleh Perusahaan yang disediakan oleh Afiliasi Seagate di India, terlepas dari apakah Pemrosesan tersebut dilakukan di India
    2. Klausul 1.12 DPA harus diubah untuk menyertakan kategori data pribadi yang ditentukan dalam Pasal 3 tentang Aturan Privasi
  4. JEPANG
    1. Aplikabilitas. Ketentuan Pasal 3 ini berlaku untuk Perusahaan Informasi Pribadi Seagate yang menerima atau mengakses dari Afiliasi Seagate yang berlokasi di Jepang.
    2. Personel Perusahaan. Perusahaan wajib bertanggung jawab untuk mengawasi Personel Perusahaannya sesuai DPA.
    3. Tindakan Manajemen Ketenagakerjaan. Perusahaan harus melindungi Informasi Pribadi Seagate yang terkait pengelolaan ketenagakerjaan seperti yang telah diatur dalam Panduan Manajemen Ketenagakerjaan Menteri Kesehatan, Kerja, dan Kesejahteraan Karyawan (Ministry of Health, Labor and Welfare, "MHLW").
    4. Informasi Pribadi yang Diketahui Selama Bekerja. Perusahaan harus memastikan bahwa karyawannya tidak membocorkan atau menyalahgunakan Informasi Pribadi Seagate yang mereka ketahui selama bekerja.
    5. Persetujuan sebelum Pengalihan atau Pengungkapan. Perusahaan harus mendapatkan persetujuan tertulis dari Seagate sebelum mengungkapkan atau mengalihkan nomor pajak dan jaminan sosial kepada pihak ketiga mana pun (termasuk Afiliasi) yang bukan merupakan pihak dalam DPA, termasuk Subprosesor.
    6. Pengembalian atau Pemusnahan setelah Tujuan Tercapai. Perusahaan harus berhenti memproses dan mengembalikan atau memusnahkan Informasi Pribadi Seagate yang dimiliki jika tujuan dikumpulkannya informasi tersebut telah tercapai.
    7. Tujuan Pencadangan. Perusahaan tidak boleh menyalin atau menggandakan Informasi Pribadi Seagate kecuali untuk tujuan pencadangan.
  5. KOREA SELATAN
    1. Aplikabilitas. Ketentuan Pasal 4 ini berlaku untuk Perusahaan Informasi Pribadi Seagate yang menerima atau mengakses dari Afiliasi Seagate yang berlokasi di Korea Selatan.
    2. Akses Terbatas. Perusahaan wajib membatasi akses ke Informasi Pribadi kepada Personel Perusahaan yang memerlukan akses tersebut secara wajar untuk tujuan Pemrosesan.
    3. Perlindungan yang Diperlukan. Perusahaan harus menetapkan dan mempertahankan perlindungan yang meliputi:
      1. prosedur internal untuk menangani Informasi Pribadi secara aman;
      2. pengamanan teknis seperti firewall, perangkat lunak antivirus, dan antimalware;
      3. pembatasan akses fisik, seperti kunci;
      4. tindakan untuk mencegah pengubahan atau pemalsuan catatan akses atau catatan Pemrosesan;
      5. tindakan untuk menyimpan dan mengirimkan Informasi Pribadi secara aman, seperti enkripsi Informasi Pribadi jika diminta oleh Undang-Undang Perlindungan Informasi Pribadi (Personal Information Protection Act, PIPA), Peraturan Penegakan PIPA, Undang-Undang tentang Promosi Pemanfaatan Jaringan Informasi dan Komunikasi dan Perlindungan Informasi (Promotion of Information and Communications Network Utilization, PICNU), Peraturan Penegakan PICNU ("Peraturan PICNU"), Pemanfaatan dan Perlindungan Undang-Undang Informasi Kredit (Utilization and Protection of Credit Information Act, UPCIA) atau Hukum Korea lainnya, sebagaimana mestinya.
    4. Enkripsi Data Identifikasi Unik. Perusahaan harus mengenkripsi nomor registrasi penduduk, nomor SIM, dan nomor paspor sewaktu:
      1. ditransmisikan melalui jaringan informasi atau komunikasi;
      2. disimpan di media penyimpanan portabel atau periferal;
      3. disimpan pada jaringan komputer eksternal mana pun, atau di zona demiliterisasi, atau pada komputer pribadi mana pun; atau
      4. disimpan di jaringan internal Perusahaan jika sistem Perusahaan gagal memenuhi kriteria risiko Seagate.
    5. Enkripsi Sandi dan Data Biometrik. Perusahaan harus mengenkripsi semua sandi dan data biometrik yang disimpan dalam bentuk apa pun.
    6. Informasi sebelum Pengungkapan. Sebelum mengungkapkan atau mengalihkan Informasi Pribadi Seagate ke prosesor data pihak ketiga, Perusahaan harus memberi tahu Seagate secara wajar terlebih dulu. Atas permintaan Seagate, Perusahaan akan memberikan informasi berikut: (a) aktivitas Pemrosesan yang akan disubkontrakkan; (b) identitas pemroses data pihak ketiga; dan (c) setiap perubahan pada poin (a) atau (b).
    7. Pelatihan. Perusahaan wajib berpartisipasi dalam pelatihan apa pun yang mungkin dipilih Seagate untuk diberikan kepada Perusahaan guna melindungi Informasi Pribadi Seagate yang dicuri, bocor, diubah, atau rusak selama tahap Pemrosesan Informasi Pribadi Seagate.
  6. SINGAPURA
    1. Aplikabilitas. Ketentuan Pasal 6 berlaku jika Undang-Undang Perlindungan Data Pribadi Singapura 2012 (No. 26 tahun 2012) berlaku untuk Pemrosesan Informasi Pribadi Seagate oleh Perusahaan.
    2. Klausul 1.3 DPA harus diganti dengan ketentuan berikut:

      1.3 “Pelanggaran Privasi Data” berarti setiap pelanggaran keamanan yang mengarah pada penghancuran, kehilangan, perubahan, pengungkapan yang tidak sah atau tidak disengaja atas, akses ke, perolehan Informasi Pribadi Seagate, termasuk: (a) akses, pengumpulan, penggunaan, pengungkapan, penyalinan, modifikasi, atau pemusnahan Informasi Pribadi Seagate yang tidak sah; atau (b) hilangnya media penyimpanan atau perangkat tempat Informasi Pribadi Seagate disimpan dalam keadaan tempat akses, pengumpulan, penggunaan, pengungkapan, penyalinan, modifikasi, atau pemusnahan Informasi Pribadi Seagate yang tidak sah kemungkinan terjadi.

    3. Klausul 5.1 DPA harus diganti dengan ketentuan berikut:

      5.1 Pemberitahuan Pelanggaran Privasi Data. Jika Perusahaan memiliki alasan untuk meyakini bahwa Pelanggaran Privasi Data telah terjadi, Perusahaan harus memberi tahu Seagate secara tertulis tentang Pelanggaran Privasi Data tanpa penundaan yang tidak semestinya, dan harus:

      1. menyelidiki atau memberikan bantuan yang wajar dalam penyelidikan Pelanggaran Privasi Data;
      2. memberi Seagate informasi tentang Pelanggaran Privasi Data, dan segera memberikan informasi tambahan yang relevan saat tersedia; dan
      3. mengambil langkah-langkah yang wajar secara komersial untuk mengatasi Pelanggaran Privasi Data, mengurangi dampak Pelanggaran Privasi Data, atau membantu Seagate melakukannya dengan biaya Perusahaan.           
  7. TAIWAN
    1. Aplikabilitas. Ketentuan Pasal 5 ini berlaku untuk Perusahaan Informasi Pribadi Seagate yang menerima atau mengakses dari Afiliasi Seagate yang berlokasi di Taiwan.
    2. Subprosesor. Meskipun terdapat ketentuan pada Pasal 2.4 dalam DPA, Perusahaan tidak akan mengungkapkan atau mengalihkan Informasi Pribadi Seagate ke, atau mengizinkan akses ke Informasi Pribadi Seagate ke Subprosesor mana pun tanpa persetujuan secara tertulis dari Seagate.
    3. Waktu Pemrosesan Terbatas. Perusahaan hanya wajib Memproses Informasi Pribadi Seagate selama jangka waktu yang diperlukan untuk mencapai tujuan Pemrosesan, kecuali jika para pihak telah menyepakati durasi yang berbeda.
    4. Penyimpanan Catatan Akses. Perusahaan harus menyimpan catatan akses selama diperlukan agar catatan tersebut dapat ditinjau secara berkala jika terjadi akses yang tidak sah.
  8. THAILAND
    1. Aplikabilitas. Ketentuan Pasal 6 ini berlaku jika Undang-Undang Perlindungan Data Pribadi Thailand, B.E. 2562 (2019) (“PDPA”) sebagaimana diubah dan diganti dari waktu ke waktu berlaku untuk Perusahaan Informasi Pribadi Seagate yang menerima atau mengakses dari Afiliasi Seagate yang berlokasi di Thailand.
    2. Klausul 1.3 DPA harus diganti dengan ketentuan berikut:

      1.3 “Pelanggaran Privasi Data” berarti pelanggaran tindakan keamanan yang menyebabkan kehilangan, akses, penggunaan, modifikasi, atau pengungkapan data pribadi secara tidak sah atau tanpa izin, yang diakibatkan oleh tindakan yang disengaja, lalai, tidak disengaja, tidak sah, atau melanggar hukum, atau tindakan yang terkait kejahatan komputer, ancaman siber, kesalahan atau kecelakaan, atau tindakan lain apa pun, sebagaimana ditentukan oleh pemberitahuan yang dikeluarkan berdasarkan PDPA.

    3. Klausul 1.12 DPA harus diubah untuk menyertakan kategori data pribadi yang ditentukan dalam Pasal 26 tentang PDPA
    4. Standar Keamanan. Perusahaan harus melakukan upaya terbaiknya dan mengambil semua tindakan yang wajar untuk menerapkan dan menjaga standar keamanan minimum, sesuai persyaratan dalam Lampiran II serta dengan ketentuan dan persyaratan yang ditetapkan berdasarkan PDPA dan setiap aturan, peraturan, pemberitahuan, dan/atau perintah yang dikeluarkan berdasarkan hal tersebut, termasuk tetapi tidak terbatas pada, Pemberitahuan kepada Komite Perlindungan Data Pribadi tentang: Tindakan Keamanan Pengontrol Data B.E. 2565 (2022), sebagaimana dapat diubah, ditambah, atau diganti dari waktu ke waktu.         

Perjanjian Privasi Data ini berlaku mulai tanggal 31 Juli 2025 dan seterusnya.

 

Untuk perjanjian yang diselesaikan dari 20 Juni 2024 hingga 31 Juli 2025, lihat PDF di sini: Perjanjian Privasi Data 20 Juni 2024

Untuk perjanjian yang diselesaikan dari 8 Desember 2022 hingga 20 Juni 2024, lihat PDF di sini: Perjanjian Privasi Data 8 Desember 2022

Untuk perjanjian yang diselesaikan dari 11 Agustus 2020 hingga 8 Desember 2022, lihat PDF di sini: Perjanjian Privasi Data 11 Agustus 2020

Untuk perjanjian yang diselesaikan dari 20 November 2019 hingga 10 Agustus 2020, lihat PDF di sini: Persyaratan Perlindungan Data 20 November 2019

Untuk perjanjian yang diselesaikan sebelum 31 Maret 2019, lihat PDF di sini: Persyaratan Perlindungan Data 31 Maret 2019

LAPORAN DATA DEKARBONISASI

Keberlanjutan pusat data di era AI
Tentang Seagate Kisah Kami  ESG  Pusat Kepercayaan  Jaminan Kualitas 
Dukungan  Dukungan Produk  Unduhan Perangkat Lunak Seagate  Unduhan Perangkat Lunak LaCie  Pendaftaran Produk Seagate  Pendaftaran Produk LaCie  Garansi dan Penggantian  Sistem Seagate  Hubungi Kami 
Sumber Informasi Pers Ruang Pers  Kisah Seagate  Blog  Portal Merek Seagate 
Investor 
Mitra  Mitra & Reseller Tidak Langsung  Seagate Training Portal  Seagate Direct & Pemasok  Program Aliansi Seagate Technology 
Pekerjaan  Kehidupan di Seagate  Budaya Seagate  Program Universitas 
facebook logo linkedin logo youtube logo x logo instagram logo
©2025 Seagate Technology LLC Legal Privasi Pengungkapan Kerentanan Cookie Settings
Peta Situs