Kisah Seagate Blog Pusat Sumber Daya Mitra
Seagate Legal

PERJANJIAN PRIVASI DATA

DOKUMEN ACUAN KERJA

PERJANJIAN PRIVASI DATA ini, termasuk semua lampiran yang ditetapkan di bawah (“DPA” ini), berada di antara perusahaan Seagate yang disebutkan dalam Perjanjian (“Seagate”) dan perusahaan yang disebutkan dalam Perjanjian (“Perusahaan”) (masing-masing disebut “pihak” dan secara keseluruhan disebut “Para Pihak”).

 

Perusahaan telah menandatangani satu atau lebih pesanan pembelian, kontrak dan/atau perjanjian, termasuk pernyataan pekerjaan (“Perjanjian” dengan Seagate, yang berdasarkan perjanjian tersebut Perusahaan telah setuju untuk menyediakan layanan tertentu kepada Seagate sebagaimana dijelaskan lebih rinci dalam Perjanjian (“Layanan”).

 

Para Pihak menyepakati DPA ini untuk memastikan bahwa Pemrosesan oleh Perusahaan atas Informasi Pribadi yang diberikan kepada Perusahaan atau dikumpulkan oleh Perusahaan untuk Seagate dan/atau atas namanya, dilakukan dengan cara yang sesuai Undang-Undang Perlindungan Data dan persyaratannya terkait pengumpulan, penggunaan, dan penyimpanan Informasi Pribadi dari subjek data;

 

DPA ini disertakan dalam dan menjadi bagian dari Perjanjian. Semua kata dengan huruf kapital yang tidak ditentukan dalam DPA ini akan memiliki arti yang ditetapkan dalam Perjanjian.

 

Para Pihak mengakui dan menyetujui sebagai berikut:

 

  1. DEFINISI
    1. Afiliasi” berarti entitas apa pun yang Mengendalikan, Dikendalikan oleh, atau berada di bawah Kendali bersama dengan pihak subjek.
    2. Kontrol” berarti kepemilikan, hak suara, atau kepentingan serupa yang mewakili 50% (lima puluh persen) atau lebih dari total kepentingan (sebagaimana diukur berdasarkan dilusian penuh) yang terutang dari entitas yang bersangkutan. Istilah “Terkendali” akan ditafsirkan sebagaimana mestinya.
    3. Pelanggaran Privasi Data” berarti pemusnahan, penghilangan, pengubahan, pengungkapan tidak sah, akses ke, akuisisi Informasi Pribadi Seagate dengan tidak disengaja atau secara melawan hukum, atau Pemrosesan Informasi Pribadi Seagate lainnya yang tidak sah.
    4. Undang-Undang Perlindungan Data” berarti semua undang-undang, aturan, dan peraturan perlindungan data di seluruh dunia, keamanan data, dan privasi, yang berlaku untuk Informasi Pribadi yang bersangkutan, termasuk jika berlaku: (i) Undang-Undang Perlindungan Data Eropa; (ii) semua undang-undang, aturan, dan peraturan Amerika Serikat, termasuk Undang-Undang Privasi Negara Bagian AS, sebagaimana diubah, diganti, atau diperbarui dari waktu ke waktu; (iii) standar industri yang berlaku sesuai sifat Informasi Pribadi.
    5. Program Keamanan Data” atau “DSP” berarti peraturan Departemen Kehakiman Amerika Serikat yang berjudul “Mencegah Akses ke Data Pribadi Sensitif AS dan Data Terkait Pemerintah oleh Negara-negara yang Menjadi Perhatian atau Orang yang Tercakup” (28 CFR Bagian 202), yang diterbitkan pada 8 Januari 2025, yang menerapkan Perintah Eksekutif 14117 tanggal 28 Februari 2024 (Mencegah Akses ke Data Pribadi Sensitif Massal Warga Amerika dan Data Terkait Pemerintah Amerika Serikat oleh Negara-negara yang Menjadi Perhatian), sebagaimana telah diubah dan diperbarui.
    6. Undang-Undang Perlindungan Data Eropa” berarti semua undang-undang dan peraturan perlindungan data yang berlaku di Uni Eropa (“UE”) atau Wilayah Ekonomi Eropa (“WEE”), termasuk:
      1. Peraturan Perlindungan Data Umum 2016/679 (“GDPR UE”);
      2. GDPR UE sebagaimana disimpan dalam undang-undang Inggris berdasarkan pasal 3 Undang-Undang (Penarikan) Uni Eropa 2018 dari Inggris dan Undang-Undang Perlindungan Data Inggris 2018 (“GDPR Inggris);
      3. Undang-Undang Perlindungan Data Federal Swiss tanggal 19 Juni 1992 dan peraturan hukum terkait (“DPA Swiss”);
      4. Petunjuk 2002/58/EC tentang pemrosesan data pribadi dan perlindungan privasi di sektor komunikasi elektronik; serta
      5. implementasi nasional yang berlaku dari (A) dan (D).
    7. SCC UE” berarti klausul kontraktual yang dilampirkan pada Keputusan Pelaksanaan Komisi Eropa 2021/914 tanggal 4 Juni 2021 tentang klausul kontrak standar untuk transfer data pribadi ke negara ketiga sesuai Peraturan (UE) 2016/679 dari Parlemen Eropa dan Dewan.
    8. Informasi Pribadi” berarti setiap informasi yang mengidentifikasi atau terkait dengan orang perorangan yang teridentifikasi atau dapat diidentifikasi, termasuk informasi yang terkait dengan perangkat atau pengidentifikasi daring, dan setiap informasi yang didefinisikan sebagai “data pribadi”, “informasi yang dapat diidentifikasi secara pribadi” atau istilah serupa berdasarkan Hukum Perlindungan Data yang berlaku.
    9. Pemrosesan” atau “Proses” berarti, tetapi tidak terbatas pada, operasi yang dilakukan terhadap Informasi Pribadi Seagate, baik menggunakan cara otomatis maupun tidak, seperti mengumpulkan, merekam, mengatur, menyusun, mengubah, menggunakan, mengakses, mengungkapkan, menyebarkan, menyalin, mengalihkan, menyimpan atau mempertahankan, menghapus, menyejajarkan, menggabungkan, membatasi, menyesuaikan, mengambil, mengonsultasikan, menghancurkan, atau memusnahkan Informasi Pribadi;
    10. Transfer yang Dibatasi” berarti:
      1. jika GDPR UE berlaku, transfer Informasi Pribadi dari WEE ke negara di luar WEE yang tidak tunduk pada penentuan kecukupan oleh Komisi Eropa;
      2. jika GDPR Inggris berlaku, transfer Informasi Pribadi dari Inggris ke negara lain mana pun yang tidak tunduk pada atau berdasarkan peraturan kecukupan sesuai Pasal 17A Undang-Undang Perlindungan Data Inggris 2018; dan;
      3. jika DPA Swiss berlaku, transfer Informasi Pribadi dari Swiss ke negara lain mana pun yang tidak didasarkan pada keputusan kecukupan yang diakui berdasarkan undang-undang perlindungan data Swiss.
    11. Informasi Pribadi Seagate” berarti setiap Informasi Pribadi yang dibuat, dimiliki, atau diberikan oleh Seagate atau untuk Seagate, dan yang diakses, diperoleh, digunakan, dipelihara, atau diproses oleh Perusahaan atas nama Seagate sehubungan dengan Perjanjian apa pun antara Para Pihak dan/atau Afiliasi mereka.
    12. Informasi Sensitif” berarti setiap Informasi Pribadi Seagate yang diklasifikasikan sebagai sensitif berdasarkan Hukum Perlindungan Data yang berlaku, termasuk: (i) nomor identifikasi yang dikeluarkan pemerintah (seperti nomor jaminan sosial, paspor, nomor identifikasi wajib pajak, dan nomor SIM); (ii) rincian rekening keuangan atau kartu pembayaran, dengan atau tanpa kode atau kata sandi yang memungkinkan akses ke rekening atau riwayat kredit; (iii) informasi kesehatan, genetik, atau biometrik; (iv) informasi yang mengungkapkan ras, etnis, agama, orientasi seksual atau kehidupan seks, keyakinan politik atau filosofis, atau keanggotaan serikat pekerja; (v) pemeriksaan latar belakang atau catatan peradilan, termasuk catatan kriminal atau informasi tentang proses peradilan atau administrasi lainnya; dan (vi) informasi apa pun yang ditetapkan sebagai "informasi pribadi sensitif," "data pribadi sensitif," "data sensitif," atau "kategori data khusus" berdasarkan Undang-Undang Perlindungan Data yang berlaku, termasuk GDPR Uni Eropa, GDPR Inggris, dan DPA Swiss.
    13. Klausul Standar” berarti (sebagaimana berlaku) SCC Uni Eropa, Adendum Inggris, dan modifikasi Swiss yang tercantum dalam Pasal 4.1 (Klausul Standar Wilayah Ekonomi Eropa, Inggris, dan Swiss) dari DPA ini.
    14. Subprosesor” berarti pihak ketiga mana pun yang terlibat dengan Perusahaan atau dengan setiap Subprosesor lainnya yang akan memiliki akses ke, menerima, atau memproses Informasi Pribadi Seagate apa pun.
    15. Otoritas Pengawasan” berarti setiap peraturan, pengawasan, pemerintah, lembaga negara bagian, Jaksa Agung, atau otoritas kompeten lainnya yang memiliki yurisdiksi atau pengawasan atas kepatuhan terhadap Undang-Undang Perlindungan Data.
    16. Personel Perusahaan” berarti setiap karyawan, kontraktor, penyedia layanan, vendor, Sub-prosesor, atau agen Perusahaan yang diizinkan oleh Perusahaan untuk Memproses Informasi Pribadi Seagate.
    17. Adendum Inggris” berarti Adendum Transfer Data Internasional (versi B1.0) yang dikeluarkan oleh Kantor Komisaris Informasi berdasarkan S.119(A) Undang-Undang Perlindungan Data Inggris 2018, sebagaimana diperbarui atau diubah dari waktu ke waktu.
    18. Hukum Privasi Negara Bagian AS” berarti semua hukum, aturan, dan peraturan privasi data, perlindungan data, dan keamanan siber yang berlaku yang tunduk pada Informasi Pribadi Seagate.
    19. Istilah “Pengontrol,” “Subjek Data,” “Pengolah,” “Bisnis,” “Kumpulkan,” “Konsumen,” “Bagikan,” “Penjualan,” “Jual,” “Otoritas Pengawas,” dan “Penyedia Layanan” akan memiliki arti yang diberikan kepada mereka berdasarkan Undang-Undang Perlindungan Data.
    20. Istilah “Data Pribadi Sensitif AS dalam Jumlah Besar,” “Negara yang Menjadi Perhatian,” “Transaksi Data yang Dicakup,” “Orang yang Dicakup,” “Perantara Data,” “Perjanjian Kerja,” “Orang Asing,” “Data Terkait Pemerintah,” “Perjanjian Investasi,” “Persyaratan Keamanan,” “Transaksi,” dan “Perjanjian Vendor” akan memiliki arti yang diberikan kepada mereka berdasarkan DSP.
    21. Kata "mencakup" akan ditafsirkan dengan arti termasuk tanpa dibatasi, dan istilah serupa akan ditafsirkan sebagaimana mestinya.
  2. KEAMANAN DAN PERLINDUNGAN DATA
    1. Status Para Pihak. Sehubungan dengan Informasi Pribadi Seagate, Para Pihak dengan ini mengakui dan menyetujui bahwa Perusahaan akan Memproses Informasi Pribadi tersebut sebagai Pemroses, atas nama Seagate. Perusahaan dengan ini diinstruksikan untuk Memproses Informasi Pribadi sejauh yang diperlukan untuk menyediakan Layanan sebagaimana tercantum dalam Perjanjian dan DPA ini.
    2. Peran CCPA. Untuk tujuan Undang-Undang Privasi Konsumen California tahun 2018 (Undang-Undang Perdata California §§ 1798.100 et seq (“CCPA”) sebagaimana diubah oleh Undang-Undang Hak Privasi California (“CPRA”)) (jika berlaku), Perusahaan akan Memproses Data Pribadi sebagai Penyedia Layanan yang bertindak berdasarkan instruksi Seagate sebagai Bisnis;
    3.  Larangan Pengungkapan Informasi Pribadi Seagate. Perusahaan tidak boleh mengungkapkan Informasi Pribadi Seagate dengan cara apa pun untuk tujuan apa pun kepada pihak ketiga mana pun tanpa memperoleh kewenangan tertulis sebelumnya dari Seagate, selain pengungkapan kepada Subprosesor sesuaiPasal 2.5 (Persyaratan Pemrosesan)Di bawah ini. Tanpa mengurangi ketentuan di atas, dalam keadaan apa pun Perusahaan tidak boleh menjual atau mengungkapkan Informasi Pribadi Seagate kepada pihak ketiga mana pun untuk keuntungan komersial Perusahaan atau pihak ketiga mana pun. Setiap orang yang berwenang untuk Memproses Informasi Pribadi Seagate harus secara kontraktual setuju untuk menjaga kerahasiaan informasi tersebut atau berada di bawah kewajiban kerahasiaan hukum yang sesuai.
    4. Batasan Pemrosesan. Perusahaan hanya akan Memproses Informasi Pribadi Seagate untuk tujuan menyediakan Layanan kepada Seagate berdasarkan Perjanjian dan sesuai dengan instruksi sah Seagate yang terdokumentasi (“Tujuan yang Diizinkan”). Untuk tujuan ini, Seagate menginstruksikan Perusahaan untuk Memproses Informasi Pribadi Seagate untuk tujuan yang dijelaskan dalamBagian VB (DESKRIPSI TRANSFER)dariLampiran I (Deskripsi Pemrosesan Data). Perusahaan tidak boleh Memproses atau mengizinkan Pemrosesan Informasi Pribadi Seagate kecuali jika diperlukan untuk memberikan layanan kepada Seagate sesuai Perjanjian apa pun antara Para Pihak dan/atau Afiliasinya atau petunjuk tertulis lainnya dari Seagate.
    5. Persyaratan Pemrosesan. Perusahaan harus setiap saat: (a) Memproses Informasi Pribadi Seagate semata-mata untuk Tujuan yang Diizinkan; dan (b) tidak Memproses Informasi Pribadi Seagate untuk kepentingannya sendiri atau kepentingan pihak ketiga mana pun. Perusahaan tidak akan: (i) Menjual atau Membagikan Informasi Pribadi Seagate; (ii) menyimpan, menggunakan, atau mengungkapkan Informasi Pribadi Seagate untuk tujuan apa pun selain Tujuan yang Diizinkan, termasuk menyimpan, menggunakan, atau mengungkapkan Informasi Pribadi Seagate untuk tujuan komersial selain melakukan Layanan berdasarkan Perjanjian; atau (iii) menyimpan, menggunakan, atau mengungkapkan Informasi Pribadi Seagate di luar hubungan bisnis langsung antara Seagate dan Perusahaan. Perusahaan akan memberi tahu Seagate jika tidak lagi dapat memenuhi kewajibannya berdasarkan CCPA/CPRA. Perusahaan menyatakan bahwa mereka memahami dan akan mematuhi persyaratan dan batasan yang ditetapkan dalam hal ini.Pasal 2dan selanjutnya akan mematuhi persyaratan yang berlaku untuk Penyedia Layanan berdasarkan CCPA/CPRA. Lebih lanjut, mereka mengakui dan menyetujui bahwa pertukaran Informasi Pribadi antara Para Pihak tidak merupakan Penjualan, juga bukan bagian dari pertimbangan moneter atau berharga lainnya yang dipertukarkan antara Para Pihak sehubungan dengan Perjanjian atau DPA ini. Dalam semua kasus, Perusahaan tidak akan menggabungkan Informasi Pribadi Seagate yang diterima dari Seagate dengan Informasi Pribadi yang diterima Perusahaan dari, atau atas nama, orang lain, atau yang dikumpulkan Perusahaan dari interaksi apa pun antara Perusahaan dan Konsumen. Baik Seagate maupun Perusahaan menyatakan bahwa mereka telah membaca dan memahami persyaratan yang ditetapkan berdasarkan CCPA/CPRA.
    6. Program Keamanan Informasi. Perusahaan akan menerapkan, mengelola, memantau, dan jika perlu, memperbarui program keamanan informasi tertulis secara menyeluruh yang berisi pengamanan administratif, teknis, dan fisik yang sesuai untuk melindungi Informasi Pribadi Seagate dari ancaman atau bahaya yang diantisipasi terhadap keamanan, kerahasiaan, atau integritasnya (seperti akses, pengumpulan, penggunaan, penyalinan, modifikasi, pemusnahan atau pengungkapan yang tidak sah, penghilangan, penghancuran, akuisisi, atau perusakan secara tidak sah maupun secara melanggar hukum atau bentuk Pemrosesan lainnya yang tidak sah) (“Program Keamanan Informasi”). Program Keamanan Informasi akan mencakup persyaratan dan langkah-langkah yang tercantum dalam standar keamanan terlampir.Lampiran II (Standar Keamanan).
    7. Pembatasan pada Subprosesor. Perusahaan dapat mengungkapkan Informasi Pribadi Seagate kepada Sub-prosesor sebagaimana diperlukan untuk melaksanakan layanannya bagi Seagate, dengan tunduk pada ketentuan yang tercantum dalam ini.Pasal 2.7Perusahaan wajib menyimpan daftar Sub-prosesor yang kepadanya Perusahaan mengungkapkan Informasi Pribadi Seagate dan akan memberikan daftar ini kepada Seagate atas permintaan Seagate. Pada tanggal efektif Perjanjian, jika berlaku, daftar Sub-prosesor Perusahaan yang terbaru disertakan dalam Perjanjian atau dalam dokumen lain yang diberikan oleh Perusahaan kepada Seagate dan ditandatangani oleh kedua Pihak, yang memuat daftar Sub-prosesor. Perusahaan wajib memberi tahu Seagate di [email protected] setidaknya 30 hari kerja sebelum menambahkan Sub-prosesor apa pun ke dalam daftar. Jika Seagate tidak keberatan dengan Sub-prosesor yang diusulkan dalam 30 hari kerja setelah menerima pemberitahuan, Sub-prosesor tersebut dianggap telah disetujui. Jika Seagate keberatan dengan akses Sub-prosesor mana pun terhadap Informasi Pribadi Seagate, maka Perusahaan tidak akan mengungkapkan Informasi Pribadi Seagate kepada Sub-prosesor tersebut. Jika sewaktu-waktu salah satu pihak mendapati Sub-prosesor tidak memberikan jaminan keamanan yang memadai dan sesuai dengan risiko yang terkait dengan Informasi Pribadi Seagate yang diproses, Seagate dapat, atas kebijakannya sendiri, menghapus Sub-prosesor tersebut dari daftar. Jika Sub-prosesor ditolak atau dihapus oleh Seagate, Perusahaan akan diberikan waktu yang wajar untuk mengganti Sub-prosesor tersebut. Jika Perusahaan tidak dapat menyediakan Layanan tanpa mengungkapkan Informasi Pribadi Seagate kepada Sub-prosesor, maka Seagate dapat mengakhiri Perjanjian yang berlaku antara Para Pihak dan/atau Afiliasinya tanpa biaya atau kewajiban yang harus dibayarkan kepada Perusahaan.
    8. Kepatuhan dan Pelanggaran Sub-prosesor. Penggunaan Sub-prosesor oleh Perusahaan tidak mengurangi kewajiban Perusahaan untuk mematuhi DPA ini atau Hukum Perlindungan Data yang berlaku. Perusahaan akan bertanggung jawab kepada Seagate atas kinerja layanan, Pelanggaran Privasi Data, dan pelanggaran DPA ini dan Hukum Perlindungan Data yang berlaku oleh Sub-prosesornya sejauh Perusahaan telah melanggar hal yang sama.
    9. Kewajiban Personel Perusahaan dan Subprosesor. Perusahaan harus memastikan bahwa setiap staf atau Subprosesor yang memiliki akses ke Informasi Pribadi Seagate menyepakati perjanjian tertulis berisi ketentuan yang setidaknya sama ketatnya dengan ketentuan yang ada dalam DPA ini. Perusahaan harus memastikan bahwa semua kewajiban perlindungan data dan privasi berlanjut setelah Pemrosesan mereka untuk Seagate berakhir. Kewajiban ini berlanjut selamanya, atau sebagai alternatif, setidaknya hingga Perusahaan telah menjamin bahwa semua Informasi Pribadi Seagate telah dihapus, dimusnahkan, dan tidak dapat dikembalikan.
    10. Akses Terbatas. Akses Terbatas. Perusahaan harus membatasi akses ke Informasi Pribadi Seagate kepada Personel Perusahaan atau Subprosesor yang memerlukan akses untuk Perusahaan guna melakukan kewajibannya berdasarkan Perjanjian apa pun antara Para Pihak dan/atau Afiliasi mereka atau petunjuk tertulis Seagate, yang (a) telah dilatih tentang perlindungan data dan persyaratan keamanan, dan (b) setuju untuk mematuhi persyaratan kerahasiaan data setidaknya sama ketatnya dengan yang disyaratkan oleh Seagate selama dan setelah Pemrosesan untuk Seagate;
    11. Pemberitahuan Permintaan atau Keluhan. Kecuali jika dilarang oleh hukum, Perusahaan wajib memberi tahu Seagate di [email protected] dalam waktu dua hari kerja setelah menerima permintaan atau keluhan apa pun terkait Pemrosesan Informasi Pribadi Seagate, termasuk:
      1. permintaan dari Subjek Data untuk portabilitas data, permintaan untuk mengakses, mengubah, menghapus, atau membatasi, dan permintaan serupa; atau
      2. keluhan atau tuduhan bahwa Pemrosesan melanggar hak Subjek Data.
    12. Tanggapan Perusahaan. Perusahaan tidak akan menanggapi permintaan atau keluhan apa pun berdasarkanPasal 2.11 (Pemberitahuan Permintaan atau Keluhan)) kecuali jika secara tegas diizinkan oleh Seagate. Perusahaan wajib bekerja sama dengan Seagate terkait tindakan apa pun yang diambil sehubungan dengan permintaan atau keluhan apa pun, termasuk, tanpa batasan, permintaan penghapusan. Perusahaan wajib berupaya menerapkan proses yang tepat (termasuk langkah-langkah teknis dan organisasi) untuk membantu Seagate dalam menanggapi permintaan atau keluhan, kecuali jika dilarang oleh hukum.
    13. Permintaan Pengungkapan. Kecuali jika dilarang oleh undang-undang, Perusahaan harus segera memberi tahu Seagate jika Perusahaan menerima dokumen apa pun yang meminta atau bertujuan memaksa pengungkapan Informasi Pribadi Seagate (seperti pertanyaan lisan, pemeriksaan, permintaan informasi atau dokumen dalam proses hukum, panggilan pengadilan, tuntutan penyelidikan perdata, atau permintaan maupun proses serupa lainnya; seluruhnya disebut “Permintaan Pengungkapan”). Jika Permintaan Pengungkapan tidak mengikat, Perusahaan tidak akan menanggapinya. Jika Permintaan Pengungkapan bersifat mengikat, Perusahaan harus, kecuali jika dilarang oleh hukum yang berlaku, memberi tahu Seagate setidaknya 48 jam sebelum memberi tanggapan, sehingga Seagate dapat menjalankan hak tersebut karena Seagate mungkin harus mencegah atau membatasi pengungkapan tersebut. Perusahaan harus melakukan upaya yang wajar untuk mencegah dan membatasi pengungkapan apa pun dan untuk menjaga kerahasiaan Informasi Pribadi Seagate. Perusahaan harus bekerja sama dengan Seagate terkait tindakan yang dilakukan dalam menanggapi Permintaan Pengungkapan, termasuk bekerja sama untuk mendapatkan perintah perlindungan yang sesuai atau jaminan lainnya untuk melindungi kerahasiaan Informasi Pribadi Seagate.
    14. Kerja Sama. Perusahaan harus membantu Seagate dalam memenuhi kewajibannya berdasarkan Undang-Undang Perlindungan Data terkait (a) pendaftaran dan pemberitahuan; (b) akuntabilitas; (c) menjamin keamanan Informasi Pribadi Seagate; dan (d) memenuhi penilaian dampak perlindungan data dan privasi (termasuk audit dan penilaian risiko berdasarkan Undang-Undang Perlindungan Data) serta konsultasi Otoritas Pengawasan terkait.
    15. Partisipasi dalam Penyelidikan terkait Peraturan. Perusahaan harus membantu dan mendukung Seagate dalam penyelidikan oleh Otoritas Pengawasan mana pun selama penyelidikan tersebut terkait Informasi Pribadi Seagate yang Diproses oleh Perusahaan atau Subprosesor Perusahaan.
    16. Pemberitahuan Kemungkinan Pelanggaran atau Ketidakmampuan untuk Patuh. Perusahaan harus segera memberi tahu Seagate jika:
      1. Perusahaan memiliki alasan untuk yakin bahwa petunjuk apa pun dari Seagate terkait Pemrosesan Informasi Pribadi Seagate akan melanggar hukum yang berlaku;
      2. Perusahaan memiliki alasan untuk yakin bahwa ia tidak dapat memenuhi kewajibannya berdasarkan DPA ini atau Undang-Undang Perlindungan Data dan tidak dapat mengatasi ketidakmampuan untuk patuh ini dalam jangka waktu yang wajar; atau
      3. Perusahaan mengetahui keadaan atau perubahan apa pun dalam hukum yang berlaku yang sepertinya akan menghalanginya untuk memenuhi kewajibannya berdasarkan DPA ini.
    17. Penangguhan atau Penyesuaian untuk Kepatuhan. Seagate dapat menangguhkan Pemrosesan Informasi Pribadi Seagate oleh Perusahaan atau Sub-prosesor untuk mencegah potensi pelanggaran atau ketidakpatuhan terhadap hukum yang berlaku, DPA ini, atau Perjanjian yang berlaku antara Para Pihak dan/atau Afiliasi mereka terkait dengan privasi atau perlindungan data. Perusahaan wajib bekerja sama dengan Seagate untuk menyesuaikan Pemrosesan guna memperbaiki potensi pelanggaran atau ketidakpatuhan. Jika penyesuaian tidak dapat dilakukan, Seagate dapat mengakhiri Perjanjian apa pun yang berlaku antara Para Pihak dan/atau Afiliasinya, tanpa biaya atau kewajiban kepada Perusahaan.
  3. PROGRAM KEAMANAN DATA
    1. Kepatuhan terhadap DSP. Perusahaan mengakui bahwa Informasi Pribadi Seagate tertentu dapat berupa Data Pribadi Sensitif Massal AS atau Data Terkait Pemerintah yang tunduk pada DSP. Perusahaan menyatakan dan menjamin bahwa mereka akan mematuhi DSP sejauh yang berlaku untuk Pemrosesan Informasi Pribadi Seagate, termasuk semua pembatasan yang berlaku pada akses, transfer, dan penggunaan data tersebut, dan akan Memproses Informasi Pribadi Seagate semata-mata sesuai dengan DPA ini. Tidak ada ketentuan dalam DPA ini yang mengizinkan Perusahaan untuk terlibat dalam Pemrosesan atau transfer apa pun yang dilarang berdasarkan DSP.
    2. Transaksi Terlarang. Perusahaan tidak boleh terlibat dalam Perantaraan Data yang melibatkan Data Pribadi Sensitif AS dalam Jumlah Besar atau Data Terkait Pemerintah jika Perantaraan Data tersebut dilarang berdasarkan DSP, termasuk transaksi yang akan mengakibatkan akses oleh Negara yang Menjadi Perhatian atau Orang yang Tercakup. Pembatasan ini berlaku terlepas dari anonimisasi, pseudonimisasi, enkripsi, atau pengamanan teknis lainnya.
    3. Transaksi Terbatas. Sejauh kinerja Perusahaan dalam Layanan dapat melibatkan Perjanjian Vendor, Perjanjian Kerja, atau Perjanjian Investasi yang dapat mengakibatkan akses ke Data Pribadi Sensitif AS dalam Jumlah Besar atau Data Terkait Pemerintah oleh Orang yang Tercakup atau Negara yang Menjadi Perhatian, Perusahaan wajib: (a) memberi tahu Seagate terlebih dahulu; (b) memperoleh persetujuan tertulis sebelumnya dari Seagate; dan (c) menerapkan semua Persyaratan Keamanan yang berlaku berdasarkan DSP, selain Standar Keamanan dalam DPA ini atau persyaratan keamanan lain yang disepakati antara Para Pihak.
    4. Tata Kelola dan Kewajiban Berkelanjutan. Perusahaan wajib segera memberi tahu Seagate jika mengetahui adanya perubahan keadaan yang dapat memengaruhi kepatuhan DSP, termasuk perubahan kepemilikan, kendali, subkontrak, atau akses geografis. Seagate dapat menangguhkan atau membatasi akses ke data yang terpengaruh jika diperlukan untuk mengatasi masalah kepatuhan DSP. Gagal untuk mematuhi hal iniPasal 3merupakan pelanggaran material terhadap Perjanjian Perlindungan Data ini dan juga dapat merupakan pelanggaran terhadap Program Keamanan Data.
  4. PENGALIHAN DATA
    1. Klausul Standar Wilayah Ekonomi Eropa, Inggris, dan Swiss.
      1. Para Pihak setuju bahwa jika transfer Informasi Pribadi Seagate dari Seagate ke Perusahaan adalah Transfer yang Dibatasi, maka transfer tersebut akan tunduk pada Klausul Standar yang sesuai, yang secara otomatis disertakan sebagai referensi dan merupakan bagian integral dari DPA ini sebagaimana ditetapkan di bawah:
        1. sehubungan dengan Informasi Pribadi Seagate yang dilindungi oleh GDPR UE, SCC UE akan berlaku sebagai berikut:
          1. Seagate akan menjadi pengekspor data dan Perusahaan akan menjadi pengimpor data;
          2. “Modul Dua (C2P)” akan berlaku;
          3. dalam Klausul 7, klausul docking opsional akan berlaku;
          4. dalam Klausul 9 dari “Modul Dua (C2P),” “Opsi 2” akan berlaku, dan jangka waktu pemberitahuan sebelumnya mengenai perubahan Sub-prosesor akan sebagaimana diatur dalam 2.7 (Pembatasan pada Sub-prosesor) dari DPA ini;
          5. dalam Klausul 11, bahasa opsional tidak akan berlaku;
          6. dalam Klausul 17;
            1. untuk “Modul Dua (C2P),” “Opsi 1” akan berlaku, dan
            2. SCC UE akan diatur oleh undang-undang Irlandia;
          7. dalam Klausul 18(b), sengketa harus diselesaikan di hadapan pengadilan Irlandia;
          8. Lampiran I dari SCC Uni Eropa dianggap telah lengkap dengan informasi yang tercantum di dalamnya.Lampiran I(Deskripsi Pemrosesan Data) untuk DPA ini; dan
          9. Lampiran II dari SCC Uni Eropa dianggap telah lengkap dengan informasi yang tercantum di dalamnya.Lampiran II(Standar Keamanan) untuk DPA ini.
        2. Sehubungan dengan data yang dilindungi oleh GDPR Inggris, SCC Uni Eropa: (i) akan berlaku sebagaimana telah dilengkapi sesuai denganPasal 4.1Badi atas; dan (ii) akan dianggap telah diubah sebagaimana ditentukan oleh Adendum Inggris, yang akan dianggap telah ditandatangani oleh Para Pihak dan dimasukkan ke dalam serta menjadi bagian integral dari DPA ini. Setiap konflik antara ketentuan SCC Uni Eropa dan Adendum Inggris akan diselesaikan sesuai dengan Bagian 10 dan Bagian 11 dari Adendum Inggris. Selain itu, tabel 1 hingga 3 di Bagian 1 dari Adendum Inggris masing-masing akan diisi dengan informasi yang tercantum dalamLampiran I(Deskripsi Pemrosesan Data) danII (Standar Keamanan)Ketentuan dalam DPA ini dan tabel 4 pada Bagian 1 dianggap telah terpenuhi jika tidak memilih salah satu pihak.
        3. Sehubungan dengan Informasi Pribadi Seagate yang dilindungi oleh Otoritas Perlindungan Data Swiss, SCC Uni Eropa sebagaimana diimplementasikan sesuai denganPasal 4.1Baketentuan di atas berlaku dengan syarat:
          1. referensi dalam SCC Uni Eropa terhadap Peraturan (UE) 2016/679 atau [GDPR UE] harus diinterpretasikan sebagai referensi ke Undang-Undang Federal Swiss tentang Perlindungan Data (“FADP”); 
          2. Referensi terhadap “hukum Uni Eropa,” “hukum Uni,” dan “hukum Negara Anggota” harus ditafsirkan sebagai referensi terhadap Swiss dan hukum Swiss, sebagaimana mestinya;
          3. istilah 'Negara Anggota' tidak boleh ditafsirkan sedemikian rupa untuk mengecualikan subjek data di Swiss dari kemungkinan menuntut hak-hak mereka di tempat tinggal tetap mereka (Swiss);
          4. klausul SCC UE harus ditafsirkan sebagai melindungi data badan hukum hingga berlakunya FADP yang direvisi; dan;
          5. referensi terhadap otoritas pengawasan dan pengadilan yang kompeten harus ditafsirkan sebagai referensi terhadap Perlindungan Data Federal dan Informasi Komisaris Swiss serta pengadilan yang kompeten di Swiss;
        4. Jika ada ketentuan dalam DPA ini atau Perjanjian yang bertentangan, secara langsung atau tidak langsung, Klausul Standar, Klausul Standar yang akan berlaku.
        5. Perusahaan harus memastikan bahwa semua Subprosesor juga melaksanakan Klausul Standar, jika berlaku.
      2. Mekanisme Transfer Alternatif: Sejauh Perusahaan mengadopsi mekanisme ekspor data alternatif yang tidak dijelaskan dalam DPA ini (termasuk versi baru atau pengganti Klausul Standar yang diadopsi sesuai dengan Hukum Perlindungan Data Eropa yang berlaku) untuk transfer Informasi Pribadi (“Mekanisme Transfer Alternatif”), Mekanisme Transfer Alternatif tersebut akan berlaku sebagai pengganti mekanisme transfer yang berlaku yang dijelaskan dalam DPA ini (tetapi hanya sejauh Mekanisme Transfer Alternatif tersebut: (i) sesuai dengan Hukum Perlindungan Data Eropa; (ii) mencakup wilayah tempat Informasi Pribadi ditransfer; (iii) memenuhi pertimbangan pemberitahuan di bawah ini; dan (iv) Perusahaan melaksanakan dokumen dan tindakan lain yang diperlukan untuk memberikan efek hukum pada (Mekanisme Transfer Alternatif) tersebut). Selain itu, jika dan sejauh pengadilan yang berwenang atau otoritas pengawas dengan kewenangan yang mengikat memerintahkan atau menetapkan (dengan alasan apa pun) bahwa tindakan yang dijelaskan dalam DPA ini tidak dapat diandalkan untuk mentransfer secara sah Sehubungan dengan Informasi Pribadi Seagate tersebut, Seagate mengakui dan menyetujui bahwa, dengan tunduk pada pertimbangan pemberitahuan yang dijelaskan di bawah ini, Perusahaan dapat menerapkan langkah-langkah atau pengamanan tambahan apa pun yang mungkin diperlukan secara wajar untuk memungkinkan transfer Informasi Pribadi Seagate tersebut secara sah. Pertimbangan pemberitahuan mengharuskan Perusahaan untuk memberi tahu Seagate di [email protected] setidaknya 30 hari kerja sebelum menerapkan Mekanisme Transfer Alternatif atau langkah-langkah tambahan apa pun. Jika Seagate tidak keberatan dengan Mekanisme Transfer Alternatif atau langkah-langkah tambahan yang diusulkan dalam waktu 30 hari kerja sejak diterimanya pemberitahuan, Mekanisme Transfer Alternatif atau langkah-langkah tambahan tersebut dianggap telah disetujui. Jika Seagate keberatan dengan Mekanisme Transfer Alternatif atau langkah-langkah tambahan tersebut, maka Perusahaan tidak akan menggunakan Mekanisme Transfer Alternatif atau langkah-langkah tambahan tersebut. Jika Mekanisme Transfer Alternatif atau langkah tambahan tersebut ditolak oleh Seagate, maka Seagate, atas kebijakannya sendiri, dapat mengakhiri Perjanjian yang berlaku antara Para Pihak dan/atau Afiliasinya tanpa biaya atau kewajiban yang harus dibayarkan kepada Perusahaan.
      3. Transfer data keluar dari negara-negara dengan persyaratan ekspor data. Jika Undang-Undang Perlindungan Data mengharuskan langkah lebih lanjut diambil terkait pembatasan ekspor data yang berlaku untuk mengizinkan transfer Informasi Pribadi Seagate ke Perusahaan (termasuk Sub-prosesornya), Perusahaan akan mematuhi persyaratan perlindungan data tersebut termasuk memperoleh persetujuan yang diperlukan atau melaksanakan perjanjian transfer data yang berlaku (mis., klausul kontrak standar) atau solusi alternatif guna memastikan perlindungan yang sesuai untuk transfer tersebut.
    2. Ketentuan Yurisdiksi Lainnya. Jika berlaku, Perusahaan wajib mematuhi persyaratan untuk yurisdiksi tertentu, yang dilampirkan sebagaiLampiran III(Persyaratan Privasi Data untuk Yurisdiksi Tertentu).
  5. KEPATUHAN DAN AKUNTABILITAS
    1. Kepatuhan. Perusahaan wajib memastikan bahwa Pemrosesan Informasi Pribadi Seagate oleh Perusahaan dan Sub-prosesor mematuhi semua hukum yang berlaku, kerangka kerja pengaturan mandiri, dan persyaratan kontrak yang berlaku untuk Perusahaan dan Sub-prosesor, termasuk semua Hukum Perlindungan Data yang berlaku. Perusahaan wajib meninjau praktik Perusahaan dan Sub-prosesor setiap tahun untuk memastikan bahwa praktik tersebut sesuai dengan DPA ini dan dengan semua Hukum Perlindungan Data yang berlaku. Perusahaan wajib bekerja sama, dengan biaya sendiri, dengan permintaan Seagate agar Perusahaan menunjukkan kepatuhan terhadap ketentuan perlindungan dan keamanan data yang dirujuk dalam DPA ini.
    2. Catatan Aktivitas Pemrosesan. Perusahaan akan menyimpan catatan terkini mengenai rincian perwakilan Perusahaan dan petugas perlindungan data, kategori aktivitas Pemrosesan yang dilakukan, informasi mengenai transfer data lintas batas, deskripsi umum tentang langkah-langkah keamanan yang diterapkan sehubungan dengan data yang Diproses, nama, kontak dan rincian Pemrosesan dari setiap Sub-prosesor Informasi Pribadi Seagate, dan, jika berlaku, perwakilan dan petugas perlindungan data Sub-prosesor. Atas permintaan, Perusahaan akan memberikan salinan historis dan terkini dari catatan ini kepada Seagate atau Otoritas Pengawas atas permintaan.
    3. Audit. Perusahaan harus menyediakan kepada Seagate, berdasarkan permintaan tertulis, semua informasi yang diperlukan untuk menunjukkan kepatuhan terhadap DPA dan Undang-Undang Perlindungan Data ini, serta mengizinkan dan berkontribusi untuk audit, termasuk inspeksi di tempat, oleh Seagate atau auditor pihak ketiga independen yang diamanatkan oleh Seagate terkait Pemrosesan Informasi Pribadi Seagate. Auditor pihak ketiga independen tersebut diwajibkan membuat perjanjian kerahasiaan dengan para pihak. Perusahaan harus melakukan tindakan perbaikan atas ketidakpatuhan apa pun dalam jangka waktu yang wajar. Jika perbaikan tidak dapat dilakukan, Seagate dapat mengakhiri Perjanjian apa pun yang berlaku antara para pihak dan/atau Afiliasinya, tanpa biaya atau kewajiban kepada Perusahaan.
  6. TANGGUNG JAWAB PERUSAHAAN SETELAH TERJADINYA PELANGGARAN PRIVASI DATA
    1. Pemberitahuan Pelanggaran Privasi Data. Perusahaan harus memberi tahu Seagate secara tertulis tentang Pelanggaran Privasi Data yang diketahui atau dicurigai dalam waktu 24 jam setelah pertama kali mengetahui kemungkinan Pelanggaran Privasi Data, dan harus segera:
      1. memberi tahu Seagate melalui [email protected] tentang Pelanggaran Privasi Data;
      2. menyelidiki atau memberikan bantuan yang diperlukan dalam penyelidikan Pelanggaran Privasi Data;
      3. memberi Seagate informasi rinci tentang Pelanggaran Privasi Data, termasuk namun tidak terbatas pada kategori, lokasi, dan perkiraan jumlah Subjek Data terkait serta kategori, lokasi, dan perkiraan jumlah catatan Informasi Pribadi Seagate, serta terus memberi Seagate informasi tambahan tentang Pelanggaran Privasi Data bila tersedia;
      4. mengambil semua langkah yang wajar secara komersial untuk memitigasi dampak dari Pelanggaran Privasi Data, atau membantu Seagate untuk melakukannya; dan
      5. melaksanakan rencana perbaikan sesuai persetujuan Seagate serta memantau resolusi Pelanggaran Privasi Data dan kerentanan terkait Informasi Pribadi Seagate untuk memastikan bahwa tindakan perbaikan yang semestinya telah dilakukan secara tepat waktu.
    2. Penahanan dan Perbaikan. Perusahaan harus segera menahan dan memperbaiki Pelanggaran Privasi Data serta mencegah Pelanggaran Privasi Data lebih lanjut; dan Perusahaan harus mengambil semua tindakan yang diperlukan untuk mematuhi Undang-Undang Perlindungan Data dan standar industri yang berlaku untuk menahan dan memperbaiki Pelanggaran Privasi Data.
    3. Komunikasi. Perusahaan tidak akan menerbitkan komunikasi apa pun yang terkait Pelanggaran Privasi Data, dengan cara apa pun yang dapat mengidentifikasi, atau kemungkinan besar dapat mengidentifikasi atau mengungkapkan identitas Seagate tanpa persetujuan dari Seagate sebelumnya.
    4. Penyimpanan Bukti. Perusahaan harus mengelola rencana tanggapan insiden. Setelah menemukan Pelanggaran Privasi Data, Perusahaan harus menyimpan bukti yang berkaitan dengan Pelanggaran Privasi Data tersebut dan memiliki rantai komando yang jelas sesuai rencana tanggapan insiden Perusahaan.
    5. Kerja Sama. Perusahaan harus bekerja sama dengan Seagate dalam setiap proses pengadilan, penyelidikan, atau tindakan Seagate lainnya yang diperlukan untuk melindungi hak Seagate terkait penggunaan, pengungkapan, perlindungan, dan pemeliharaan Informasi Pribadi Seagate. Perusahaan selanjutnya setuju untuk memberikan bantuan dan kerja sama yang wajar yang diminta oleh Seagate dan/atau perwakilan yang ditunjuk Seagate, sebagai kelanjutan dari koreksi, perbaikan, atau penyelidikan Pelanggaran Privasi Data apa pun dan/atau mitigasi kemungkinan kerusakan, termasuk pemberitahuan apa pun yang menurut Seagate tepat untuk dikirimkan kepada Subjek Data, regulator, atau pihak ketiga terkait, dan/atau penyediaan layanan pelaporan kredit yang tepat dianggap Seagate tepat untuk diberikan kepada Subjek Data terkait. Perusahaan wajib bertanggung jawab atas pengeluaran Seagate yang wajar terkait Pelanggaran Privasi Data Perusahaan, termasuk namun tidak terbatas pada, penyelidikan, perbaikan, dan pemberitahuan.
  7. PENGEMBALIAN DAN PENGHAPUSAN INFORMASI PRIBADI SEAGATE SECARA AMAN
    1. Integritas Data. Perusahaan harus mematuhi semua petunjuk Seagate untuk menjaga integritas data, termasuk (a) memusnahkan Informasi Pribadi Seagate yang dikelola oleh Perusahaan, tetapi tidak lagi diperlukan untuk menyediakan Layanan, kecuali jika penyimpanan Informasi Pribadi Seagate diwajibkan dalam Undang-Undang Perlindungan Data; (b) memastikan bahwa Informasi Pribadi Seagate yang dibuat oleh Perusahaan atas nama Seagate akurat dan selalu diperbarui; serta (c) atas permintaan Seagate, mengizinkan Seagate mengakses Informasi Pribadi Seagate, semuanya sesuai undang-undang yang berlaku.
    2. Pengembalian dan Penghapusan Informasi Pribadi Seagate. Pada saat yang lebih awal dari: (a) permintaan oleh Seagate; atau (b) berakhirnya atau penghentian lebih awal Perjanjian antara Para Pihak dan/atau Afiliasi mereka yang terkait dengan Pemrosesan Informasi Pribadi Seagate, atas arahan Seagate, Perusahaan wajib, dan wajib mengarahkan Sub-prosesornya untuk, mengekspor Informasi Pribadi Seagate atau memberikan Seagate, atau pihak ketiga yang ditunjuknya, kemampuan untuk mengekspor semua Informasi Pribadi Seagate dalam format yang dapat dibaca mesin dan dapat dioperasikan yang ditentukan oleh Seagate, kecuali jika penyimpanan Informasi Pribadi Seagate diwajibkan oleh Undang-Undang Perlindungan Data. Perusahaan wajib menyimpan Informasi Pribadi Seagate selama yang ditentukan Seagate sebagai hal yang wajar untuk memungkinkan Seagate mengakses dan mengekspor Informasi Pribadi Seagate sepenuhnya, tanpa biaya kepada Seagate. Masing-masing pihak wajib mengidentifikasi orang kontak untuk memindahkan Informasi Pribadi Seagate dan wajib bekerja dengan cepat, tekun, dan dengan itikad baik untuk memfasilitasi transfer tepat waktu. Dalam waktu 90 hari setelah Seagate: (a) mengkonfirmasi bahwa Informasi Pribadi Seagate telah diterima dan dimigrasikan dengan benar; atau (b) memberi tahu Perusahaan tentang keputusannya untuk tidak memigrasikan Informasi Pribadi Seagate, Perusahaan dan Sub-prosesor wajib menghancurkan semua Informasi Pribadi Seagate secara aman, memutus tautan pengidentifikasi ruang kerja Seagate, dan menimpa dengan data baru atau menghancurkan Informasi Pribadi Seagate melalui metode sanitasi yang disetujui.
    3. Pemusnahan Informasi Pribadi Seagate. Jika Perusahaan memusnahkan dokumen, elektronik, atau catatan lain berisi Informasi Pribadi Seagate, Perusahaan akan melakukannya dengan mengambil semua langkah yang wajar (berdasarkan sensitivitas Informasi Pribadi Seagate) untuk menghancurkan Informasi Pribadi Seagate, kecuali jika penyimpanan informasi Pribadi Seagate diwajibkan dalam Undang-Undang Perlindungan Data dengan: (a) penghancuran dengan mesin penghancur kertas; (b) penghapusan dan penghapusan permanen; (c) penghilangan medan magnet; atau (d) modifikasi lain terhadap Informasi Pribadi Seagate dalam catatan tersebut agar tidak dapat dibaca, tidak dapat direkonstruksi, dan tidak dapat diuraikan. Jika Perusahaan menonaktifkan atau menghentikan penggunaan hard drive yang berisi salinan Informasi Pribadi Seagate, maka Perusahaan wajib menghancurkan atau memusnahkan hard drive tersebut secara aman sehingga Informasi Pribadi Seagate menjadi tidak dapat dibaca dan dimusnahkan sesuai dengan NIST 800-88, revisi 1 (Pedoman Sanitasi Media) dari National Institute of Standards and Technology. Perusahaan wajib menyatakan secara tertulis bahwa hard drive tersebut telah dihancurkan atau dimusnahkan dan bahwa Informasi Pribadi Seagate tidak dapat dibaca, diambil, atau direkonstruksi.
    4. Pemberitahuan mengenai Penyimpanan Apa Pun. Jika Perusahaan berkewajiban hukum untuk menyimpan Informasi Pribadi Seagate melebihi batas waktu yang diizinkan oleh DPA ini, Perusahaan harus memberi tahu Seagate secara tertulis tentang kewajibannya, tidak akan memproses Informasi Pribadi Seagate lebih lanjut selain menyimpan informasi tersebut untuk memenuhi kewajiban hukum Perusahaan, dan wajib mengembalikan atau memusnahkan Informasi Pribadi Seagate sesegera mungkin setelah periode penyimpanan yang diwajibkan secara hukum berakhir. DPA ini akan tetap berlaku hingga Perusahaan tidak lagi memiliki hak atau kontrol terhadap atau akses ke Informasi Pribadi Seagate.
    5. Dokumentasi. Perusahaan harus mendokumentasikan penyimpanan atau pemusnahan Informasi Pribadi Seagate sesuai DPA ini. Atas permintaan Seagate, Perusahaan harus memberikan dokumentasi penyimpanan dan sertifikasi tertulis bahwa Informasi Pribadi Seagate telah dimusnahkan dengan aman sesuai DPA ini.
  8. LAIN-LAIN
    1. Jangka Waktu. Perjanjian Perlindungan Data ini akan tetap berlaku sampai: (a) tidak ada Perjanjian aktif lainnya antara Para Pihak; dan (b) Perusahaan telah berhenti memiliki hak asuh atau kendali atas atau akses ke Informasi Pribadi Seagate. Perusahaan akan Memproses Informasi Pribadi Seagate sampai hubungan berakhir sebagaimana ditentukan dalam Perjanjian. Kewajiban Perusahaan dan hak Seagate berdasarkan Perjanjian Perlindungan Data ini akan terus berlaku selama Perusahaan Memproses Informasi Pribadi Seagate.
    2. Urutan Prioritas. Jika terjadi perbedaan antara DPA ini dan Perjanjian apa pun antara para pihak dan/atau Afiliasi mereka, ketentuan dalam DPA ini akan berlaku kecuali untuk perbedaan yang melibatkan Lampiran II (Standar Keamanan), dalam hal ini Perjanjian lainnya akan berlaku, sejauh standar keamanan dalam Perjanjian lainnya tersebut merupakan tambahan dari persyaratan minimum yang ditetapkan dalam Lampiran II. DPA ini tidak membatasi atau melarang, tetapi hanya dianggap melengkapi Klausul Standar.
    3. Pembaruan. Perusahaan harus bekerja sama untuk memperbarui DPA ini yang diperlukan untuk memastikan kepatuhan terhadap undang-undang dan peraturan yang berlaku.
    4. Pihak Ketiga Penerima Manfaat. Afiliasi Seagate dimaksudkan sebagai pihak ketiga penerima manfaat dari DPA ini dan dapat menegakkan ketentuan DPA ini seolah-olah masing-masing merupakan penandatangan DPA ini. Seagate juga dapat menegakkan ketentuan dalam DPA ini atas nama Afiliasinya, alih-alih Afiliasinya secara terpisah mengajukan gugatan terhadap Perusahaan.
    5. Pengungkapan DPA kepada Otoritas Pengawasan. Seagate dapat memberikan ringkasan atau salinan DPA ini kepada Otoritas Pengawasan mana pun.
    6. Pemutusan. Jika terdapat ketentuan dalam DPA ini yang tidak efektif atau dibatalkan, ketentuan tersebut tidak akan mempengaruhi ketentuan lainnya. Para pihak wajib mengganti ketentuan yang tidak efektif atau dibatalkan dengan ketentuan sah yang mencerminkan tujuan dari ketentuan yang tidak efektif atau dibatalkan tersebut. Jika ketentuan yang diperlukan tidak ada, para pihak harus menambahkan ketentuan yang sesuai iktikad baik.
    7. Interpretasi. Bagian judul pada DPA ini hanya untuk referensi dan tidak akan memengaruhi interpretasi perjanjian ini.

LAMPIRAN I

DESKRIPSI PEMROSESAN DATA

 

Ini Lampiran I merupakan bagian dari Klausul Standar.

 

MODUL DUA: Transfer – Pengontrol ke Pemroses (relevan untuk Informasi Pribadi Seagate) (C2P)

 

    A. DAFTAR PARA PIHAK

     

    PENGEKSPOR DATA

    Nama dan alamat

    Penandatanganan Seagate Technology LLC atas nama Afiliasi dan anak perusahaan 47488 Kato Road, Fremont, CA, 94538

    Nama Narahubung dan Detail Kontak

    Penandatanganan Seagate Technology LLC atas nama Afiliasi dan anak perusahaan 47488 Kato Road, Fremont, CA, 94538 [email protected]

    Aktivitas yang relevan dengan data yang ditransfer berdasarkan Klausul Standar ini

    Seagate Technology LLC, yang menandatangani atas nama Afiliasi dan anak perusahaan, adalah penyedia produk perangkat keras dan solusi serta layanan perangkat lunak untuk mendukung proses bisnis berbagai segmen industri.

    Tanda tangan dan tanggal:

    Dengan menandatangani Perjanjian yang menyertakan DPA ini, pengekspor data dianggap telah menandatangani Klausul Standar yang disertakan dalam dokumen ini, termasuk Lampirannya, sejak tanggal berlakunya Perjanjian.

     

    Peran pengekspor data (Pengontrol/Pemroses):

    Ditetapkan dalam Pasasl 2.1 (Status Para Pihak) dari DPA ini.

     

     

    PENGIMPOR DATA

    Nama dan alamat

    Nama dan alamat perusahaan (sebagaimana ditentukan dalam Perjanjian)

     

    Nama, Jabatan, dan Detail Kontak Narahubung:

    Nama dan alamat perusahaan (sebagaimana ditentukan dalam Perjanjian)

     

    Aktivitas yang relevan dengan data yang ditransfer berdasarkan Klausul Standar ini:

     

    Perusahaan adalah penyedia layanan yang menyediakan layanan dan dukungan untuk pengekspor data, seperti yang dijelaskan dalam Perjanjian.

     

    Tanda tangan dan tanggal:

    Dengan menandatangani Perjanjian yang menyertakan DPA ini, pengimpor data dianggap telah menandatangani Klausul Standar yang disertakan dalam dokumen ini, termasuk Lampirannya, sejak tanggal berlakunya Perjanjian.

     

    Peran pengimpor data

    Ditetapkan dalam Pasal 2.1 (Status Para Pihak) dari DPA ini.

     

    B. DESKRIPSI TRANSFER

     

    Kategori subjek data:

    Data pribadi yang ditransfer dapat menyangkut kategori subjek data berikut - baik di masa lalu maupun sekarang:

    • karyawan, penasihat, konsultan, pemasok, kontraktor, subkontraktor, dan agen Seagate;
    • mitra bisnis dan calon mitra bisnis Seagate, serta karyawan, mitra, penasihat, konsultan, pemasok, kontraktor, subkontraktor, dan agen mereka;
    • potensi prospek pemasaran serta konsumen sebelumnya dan saat ini;
    • pelanggan Seagate sebelumnya dan saat ini, serta karyawan, mitra, penasihat, konsultan, pemasok, kontraktor, subkontraktor, dan agen mereka.

     

    Kategori data pribadi yang ditransfer

    Data pribadi yang diberikan oleh Seagate atau atas nama Seagate kepada Perusahaan, atau dikumpulkan oleh Perusahaan, yang terkait Kategori subjek data yang ditetapkan di atas, sebagaimana diperlukan bagi Perusahaan untuk menyediakan Layanan kepada Seagate berdasarkan Perjanjian dan sesuai petunjuk hukum Seagate yang didokumentasikan, yang mungkin mencakup informasi kontak, seperti nama depan, nama belakang, alamat email, alamat bisnis, nomor telepon, dan data pribadi lainnya yang disediakan oleh Seagate.

     

    Data Sensitif yang ditransfer (jika berlaku) dan pembatasan atau perlindungan yang diterapkan yang sepenuhnya mempertimbangkan sifat data dan risiko yang terkait:**

     

    Sebagaimana ditetapkan dalam Perjanjian

    Frekuensi transfer

    Berkelanjutan, kecuali ditetapkan lain dalam Perjanjian atau dalam dokumen antara para pihak.

    Sifat Pemrosesan/Kegiatan Pemrosesan

    Sebagaimana dijelaskan dalam Perjanjian.

    Tujuan transfer dan pemrosesan data

     

    Untuk menyediakan Layanan berdasarkan Perjanjian yang relevan.

     

    Periode untuk penyimpanan data pribadi akan disimpan, atau, jika tidak memungkinkan, kriteria yang digunakan untuk menentukan periode tersebut:

    Data pribadi akan disimpan:

    (a) sesuai denganPasal 7.2 (Pengembalian dan Penghapusan Informasi Pribadi Seagate) dari DPA ini; atau

    (b) sebagaimana diwajibkan dalam undang-undang; atau

    (c) atau selama jangka waktu yang ditetapkan dalam Perjanjian atau dokumen lain antara para pihak yang berisi informasi relevan yang berlaku untuk Layanan yang relevan;

    mana pun yang lebih lama.

     

    Jika mentransfer ke subprosesor, tentukan juga masalah terkait, sifat, dan durasi pemrosesan

    Perusahaan harus menyediakan masalah terkait, sifat, dan durasi pemrosesan untuk transfer ke subprosesor ke [email protected] jika informasi ini belum ditetapkan dalam Perjanjian atau dokumen tambahan yang disepakati antara para pihak.

     

    C. OTORITAS PENGAWASAN YANG KOMPETEN

     

    Otoritas pengawas yang berwenang, sesuai dengan Klausul 13 dari SCC Uni Eropa, adalah: (i) otoritas pengawas yang berlaku untuk pengekspor data di negara EEA tempat pendiriannya; (ii) jika pengekspor data tidak berkedudukan di EEA, otoritas pengawas yang berlaku di negara EEA tempat perwakilan Uni Eropa pengekspor data telah ditunjuk sesuai dengan Pasal 27(1) GDPR Uni Eropa; atau (iii) jika pengekspor data tidak diwajibkan untuk menunjuk perwakilan, otoritas pengawas yang berlaku di negara EEA tempat subjek data yang relevan dengan transfer tersebut berada. Sehubungan dengan Pemrosesan data pribadi yang tunduk pada GDPR Inggris, otoritas pengawas yang berwenang adalah Kantor Komisioner Informasi. Sehubungan dengan Pemrosesan data pribadi yang tunduk pada Otoritas Perlindungan Data Swiss, otoritas pengawas yang berwenang adalah Komisioner Perlindungan Data dan Informasi Federal Swiss.

     

LAMPIRAN II

STANDAR KEAMANAN

 

Ini Lampiran II merupakan bagian dari Klausul Standar.

 

Pasal Lampiran II mewakililangkah-langkah keamanan minimumyang akan dilakukan oleh Perusahaan. Jika ada perjanjian antara Para Pihak yang mengharuskan Perusahaan untuk memiliki tingkat keamanan yang lebih tinggi atau langkah-langkah keamanan yang lebih luas, Perusahaan akan mematuhi ketentuan tersebut. Perusahaan harus memelihara dan menegakkan berbagai kebijakan, standar, dan proses yang dirancang untuk mengamankan Informasi Pribadi Seagate dan data lainnya sesuai dengan standar industri, misalnya Kerangka Kerja Keamanan Siber NIST 2.0 dari Institut Standar dan Teknologi Nasional dan ISO 27001 atau 27002, yang aksesnya diberikan kepada Personel Perusahaan.

 

  1. Kebijakan dan Standar Keamanan Informasi. Perusahaan harus menerapkan persyaratan keamanan untuk staf dan semua subkontraktor, Perusahaan, atau agen yang memiliki akses ke Informasi Pribadi Seagate yang dirancang untuk:
    1. mencegah orang yang tidak berwenang mendapatkan akses ke sistem pemrosesan Informasi Pribadi Seagate (kontrol akses fisik);
    2. mencegah sistem pemrosesan Informasi Pribadi Seagate yang digunakan tanpa otorisasi (kontrol akses logis);
    3. memastikan bahwa orang yang berhak menggunakan sistem pemrosesan Informasi Pribadi Seagate hanya dapat memperoleh akses ke Informasi Pribadi Seagate sesuai hak akses yang disetujui dan bahwa, selama pemrosesan atau penggunaan serta setelah penyimpanan Informasi Pribadi Seagate tidak dapat dibaca, disalin, dimodifikasi, atau dihapus tanpa otorisasi (kontrol akses data);
    4. memastikan bahwa Informasi Pribadi Seagate tidak dapat dibaca, disalin, dimodifikasi, atau dihapus tanpa otorisasi selama transmisi, transportasi, atau penyimpanan elektronik, dan bahwa entitas target untuk setiap pengalihan Informasi Pribadi Seagate melalui sarana transmisi data dapat dibuat dan diverifikasi (kontrol pengalihan data);
    5. memastikan pembentukan jejak audit untuk mendokumentasikan apakah dan oleh siapa Seagate Informasi Pribadi telah dibuka, dimodifikasi, dialihkan, atau dihapus dari pemrosesan Informasi Pribadi Seagate (kontrol terhadap entri);
    6. memastikan bahwa Informasi Pribadi Seagate hanya Diproses sesuai petunjuk (kontrol terhadap petunjuk);
    7. memastikan bahwa Informasi Pribadi Seagate dilindungi dari kerusakan atau kehilangan yang tidak disengaja (kontrol ketersediaan); dan
    8. memastikan bahwa Informasi Pribadi Seagate yang dikumpulkan untuk berbagai tujuan dapat Diproses secara terpisah (kontrol pemisahan).

    Perusahaan wajib melakukan penilaian serta peninjauan risiko secara berkala, dan, jika sesuai, merevisi praktik keamanan informasi setidaknya setiap tahun atau setiap kali terdapat perubahan material dalam praktik bisnis Perusahaan yang mungkin akan secara wajar memengaruhi keamanan, kerahasiaan, atau integritas Informasi Pribadi Seagate, dengan ketentuan bahwa Perusahaan tidak akan memodifikasi praktik keamanan informasinya dengan cara yang akan melemahkan atau membahayakan kerahasiaan, ketersediaan, atau integritas Informasi Pribadi Seagate.

  2. Keamanan Fisik. Perusahaan harus memelihara sistem keamanan yang wajar secara komersial di semua situs Perusahaan, tempat sistem informasi yang menggunakan atau menampung Informasi Pribadi Seagate. Perusahaan wajib membatasi akses secara wajar ke Informasi Pribadi Seagate sebagaimana mestinya.
  3. Keamanan Perusahaan.
    1. Saat media akan dimusnahkan atau digunakan kembali, prosedur harus diterapkan untuk mencegah pengambilan Informasi Pribadi Seagate lanjutan yang disimpan dalam media sebelum ditarik dari inventaris. Bila media harus meninggalkan lokasi di mana file tersimpan karena operasi pemeliharaan, prosedur harus diterapkan untuk mencegah pengambilan Informasi Pribadi Seagate yang tersimpan di dalamnya secara tidak semestinya.
    2. Perusahaan harus menerapkan kebijakan dan prosedur keamanan untuk mengklasifikasikan aset Informasi Sensitif, mengklarifikasi tanggung jawab keamanan, dan meningkatkan kesadaran bagi karyawan.
    3. Semua insiden keamanan Informasi Pribadi Seagate harus dikelola sesuai prosedur respons insiden yang sesuai.
    4. Perusahaan harus mengenkripsi, menggunakan alat enkripsi standar industri, semua Informasi Sensitif yang sedang dikirim dan tersimpan.
  4. Keamanan Jaringan. Perusahaan harus menjaga keamanan jaringan menggunakan peralatan yang tersedia secara komersial serta teknik standar industri, termasuk firewall, sistem pendeteksian dan pencegahan gangguan, daftar kontrol akses, serta protokol routing.
  5. Kontrol Akses. Perusahaan harus mempertahankan kontrol akses yang sesuai, termasuk namun tidak terbatas pada, membatasi akses ke Informasi Pribadi Seagate ke jumlah minimum Personel Perusahaan yang memerlukan akses tersebut.
    1. Hanya staf berwenang yang dapat memberikan, memodifikasi, atau membatalkan akses ke sistem informasi yang menggunakan atau menampung Informasi Pribadi Seagate. Perusahaan harus mempertahankan catatan akses yang sesuai, yang akan diberikan kepada Seagate berdasarkan permintaan Seagate.
    2. Prosedur administrasi pengguna harus menetapkan peran pengguna dan hak istimewanya serta bagaimana akses diberikan, diubah, dan dihentikan; mengatasi pemisahan tugas yang sesuai, serta mendefinisikan persyaratan dan mekanisme pencatatan/pemantauan.
    3. Semua karyawan Perusahaan harus diberikan ID pengguna unik.
    4. Hak akses harus diterapkan dengan mematuhi pendekatan "hak istimewa terendah".
    5. Perusahaan harus menerapkan keamanan fisik dan elektronik yang wajar secara komersial untuk membuat dan melindungi sandi.
  6. Kontrol Terhadap Virus dan Malware. Perusahaan harus menginstal dan mempertahankan perangkat lunak anti-virus dan perlindungan terhadap malware terbaru pada sistem, serta menerapkan pemantauan malware dan pemindaian sistem terjadwal untuk melindungi Informasi Pribadi Seagate dari ancaman atau bahaya yang diantisipasi, serta melindungi dari akses ke atau penggunaan Informasi Pribadi Seagate yang tidak sah.
  7. Personel. Sebelum memberikan akses ke Informasi Pribadi Seagate kepada Personel Perusahaan, Perusahaan harus meminta Personel Perusahaan untuk mematuhi program keamanan informasi Perusahaan. Perusahaan harus menerapkan program kesadaran keamanan untuk melatih personel tentang kewajiban keamanan mereka. Program ini wajib mencakup pelatihan tentang kewajiban klasifikasi data; kontrol keamanan fisik; praktik keamanan; dan pelaporan insiden keamanan. Perusahaan wajib memiliki peran dan tanggung jawab yang jelas terhadap karyawan. Penyaringan akan dilaksanakan sebelum penetapan posisi berdasarkan syarat dan ketentuan kerja yang diterapkan sebagaimana mestinya. Karyawan perusahaan harus secara ketat mengikuti kebijakan dan prosedur keamanan yang ditetapkan. Proses disipliner harus diterapkan jika karyawan melakukan Pelanggaran Privasi Data.
  8. Keberlangsungan Bisnis. Perusahaan menerapkan cadangan yang sesuai dan pemulihan bencana serta rencana penerusan bisnis. Perusahaan meninjau rencana keberlangsungan bisnis dan penilaian risiko secara berkala. Rencana keberlangsungan bisnis diuji dan diperbarui secara berkala untuk memastikan bahwa rencana tersebut terbaru dan efektif.
  9. Manajer Keamanan Utama. Perusahaan harus memberitahukan Seagate tentang manajer keamanan utama yang ditunjuknya. Manajer keamanan akan bertanggung jawab untuk mengelola dan mengoordinasikan pelaksanaan kewajiban Perusahaan sebagaimana tercantum dalam program keamanan informasi Perusahaan dan dalam DPA ini.
  10. Audit. Seagate berhak untuk mengaudit komitmen Perusahaan sebagaimana dinyatakan dalam dokumen ini  Lampiran II, sesuai denganPasal 5.3 (Audit) dari DPA ini.
  11. Pelanggaran. Jika dipastikan bahwa Perusahaan melanggar DPA ini, Perusahaan harus memperbaiki pelanggaran tersebut tanpa penundaan yang tidak semestinya dan dalam hal apa pun dalam 30 hari kalender. Setiap Pelanggaran Privasi Data yang diketahui atau dicurigai akan diatur olehPasal 6 (Tanggung Jawab Perusahaan Setelah Terjadinya Pelanggaran Privasi Data) dari DPA ini.

Lampiran III

PERSYARATAN PRIVASI DATA UNTUK YURISDIKSI TERTENTU

 

Persyaratan berikut berlaku untuk yurisdiksi tertentu:

 

  1. AUSTRALIA
    1. Penerapan. Ketentuan dalam Pasal 1 ini berlaku jika: (a) Perusahaan menerima atau mengakses Informasi Pribadi Seagate dari Afiliasi Seagate yang berlokasi di Australia; atau (b) Seagate memberitahukan kepada Perusahaan bahwa Informasi Pribadi Seagate tunduk pada persyaratan ini.
    2. Keanggotaan dalam Asosiasi Profesional atau Perdagangan. Istilah “Informasi Sensitif” juga mencakup Informasi Pribadi tentang keanggotaan seseorang dalam asosiasi profesional atau perdagangan.
    3. Prinsip Privasi Australia. Perusahaan harus mematuhi setiap kewajiban yang berlaku berdasarkan Undang-Undang Privasi 1988 (Cth), termasuk “Prinsip Privasi Australia,” ketika menangani Informasi Pribadi Seagate atau menyediakan layanan berdasarkan DPA ini.
    4. Pemberitahuan penggunaan atau pengungkapan untuk tujuan penegakan hukum. Jika Perusahaan menggunakan atau mengungkapkan Data Pribadi untuk satu atau lebih kegiatan penegakan hukum yang dilakukan oleh, atau atas nama, badan penegak hukum, Perusahaan wajib menyimpan catatan tertulis tentang penggunaan dan pengungkapan tersebut dan segera memberikan salinan catatan tersebut kepada Seagate, kecuali dilarang oleh hukum.
    5. Pengidentifikasi terkait pemerintah Australia. Apabila Informasi Pribadi mencakup pengidentifikasi terkait pemerintah Australia, Perusahaan (a) tidak boleh mengadopsi pengidentifikasi yang terkait pemerintah Australia untuk individu sebagai pengidentifikasinya sendiri, kecuali jika secara tegas diminta untuk melakukannya oleh Seagate; dan (b) tidak boleh menggunakan atau mengungkapkan pengidentifikasi yang terkait pemerintah Australia, kecuali jika diperlukan untuk memverifikasi identitas individu, atau jika diminta untuk melakukannya oleh Seagate.
    6. Pengumpulan Informasi Pribadi. Bila petunjuk Seagate kepada Perusahaan mengharuskan Perusahaan untuk mengumpulkan informasi pribadi atas nama Seagate, Perusahaan harus (a) mencari petunjuk dari Seagate terkait (i) informasi apa pun yang harus diberikan kepada Subjek Data sehubungan dengan pengumpulan informasi pribadi Subjek Data; dan (ii) setiap persetujuan masuk yang diperlukan untuk tujuan pemasaran langsung; dan (b) tidak mengumpulkan Informasi Sensitif atau tanpa persetujuan Subjek Data;
    7. Perjanjian Perusahaan dengan Pemerintah Australia. Jika Seagate adalah penyedia layanan yang dikontrak untuk entitas pemerintah Australia di tingkat federal, negara bagian, atau wilayah, dan selama Seagate terikat untuk mematuhi kewajiban perlindungan data tambahan berdasarkan perjanjian dengan entitas pemerintah terkait, Seagate akan memberlakukan kewajiban yang setara kepada Perusahaan, sebagaimana diharuskan oleh hukum Australia yang berlaku. Seagate dan Perusahaan setuju untuk membuat perjanjian tambahan, jika perlu, untuk memberlakukan kewajiban tersebut.
  2. TIONGKOK
    1. Penerapan. Ketentuan dalamPasal 2 ini berlaku apabila Perusahaan menerima atau mengakses Informasi Pribadi Seagate dari Afiliasi Seagate yang berlokasi di Tiongkok, atau Seagate memberitahukan kepada Perusahaan bahwa Informasi Pribadi Seagate tunduk pada persyaratan ini.
    2. Peran PIPL. Berdasarkan Undang-Undang Perlindungan Informasi Pribadi RRT, Seagate akan bertindak sebagai “Pengolah Informasi Pribadi,” yang akan menentukan tujuan dan cara Pemrosesan. Perusahaan akan menjadi “Pihak yang Dipercayakan” yang Memproses Informasi Pribadi atas nama Seagate sesuai dengan persyaratan DPA ini dan instruksi Seagate.
    3. Subprosesor. Terlepas dari yang tercantum dalamPasal 2.4 (Pembatasan pada Pemrosesandari DPA, Perusahaan tidak akan melibatkan Sub-prosesor mana pun untuk Memproses Informasi Pribadi Seagate tanpa persetujuan tegas dari Seagate. Ketentuan persetujuan tersebut tunduk pada DPA.Pasal 2.5 (Persyaratan Pemrosesan). 
    4. Waktu Pemrosesan Terbatas. Perusahaan hanya wajib Memproses Informasi Pribadi Seagate selama jangka waktu yang diperlukan untuk mencapai tujuan Pemrosesan, kecuali jika para pihak telah menyepakati durasi yang berbeda.
    5. Pembatasan transfer. Perusahaan tidak akan mentransfer Informasi Pribadi Seagate ke luar Tiongkok tanpa persetujuan tegas dari Seagate jika Informasi Pribadi Seagate tersebut disimpan atau dipegang di Tiongkok. Seagate dengan ini memberikan persetujuan kepada Perusahaan untuk mentransfer Informasi Pribadi Seagate tersebut jika diperlukan, dengan syarat Perusahaan telah mengambil semua langkah untuk mematuhi Undang-Undang Perlindungan Data untuk melindungi Informasi Pribadi Seagate tersebut.
  3. INDIA
    1. Penerapan. Ketentuan dalamPasal 3 ini berlaku jika Undang-Undang Teknologi Informasi, 2000 dan Peraturan Teknologi Informasi (Praktik dan Prosedur Keamanan yang Wajar dan Data atau Informasi Pribadi yang Sensitif), 2011 (“Aturan Privasi”) sebagaimana telah diubah dan diganti dari waktu ke waktu, berlaku untuk Pemrosesan Informasi Pribadi Seagate oleh Perusahaan yang diberikan oleh Afiliasi Seagate di India, terlepas dari apakah Pemrosesan tersebut terjadi di India atau tidak.
    2. Pasal 1.12 dari DPA akan dimodifikasi untuk mencakup kategori Informasi Pribadi yang ditentukan dalam Bagian 3 Peraturan Privasi.
  4. JEPANG
    1. Penerapan. Ketentuan dalamPasal 4 ini berlaku untuk Informasi Pribadi Seagate yang diterima atau diakses Perusahaan dari Afiliasi Seagate yang berlokasi di Jepang.
    2. Personel Perusahaan. Perusahaan wajib bertanggung jawab untuk mengawasi Personel Perusahaannya sesuai DPA.
    3. Tindakan Pengelolaan Ketenagakerjaan. Perusahaan wajib melindungi Informasi Pribadi Seagate yang terkait dengan pengelolaan ketenagakerjaan sebagaimana diatur dalam “Pedoman Pengelolaan Ketenagakerjaan” Kementerian Kesehatan, Tenaga Kerja, dan Kesejahteraan.
    4. Informasi Pribadi yang Diketahui Selama Bekerja. Perusahaan harus memastikan bahwa karyawannya tidak membocorkan atau menyalahgunakan Informasi Pribadi Seagate yang mereka ketahui selama bekerja.
    5. Persetujuan sebelum Pengalihan atau Pengungkapan. Perusahaan harus mendapatkan persetujuan tertulis dari Seagate sebelum mengungkapkan atau mengalihkan nomor pajak dan jaminan sosial kepada pihak ketiga mana pun (termasuk Afiliasi) yang bukan merupakan pihak dalam DPA, termasuk Subprosesor.
    6. Pengembalian atau Pemusnahan setelah Tujuan Tercapai. Perusahaan harus berhenti memproses dan mengembalikan atau memusnahkan Informasi Pribadi Seagate yang dimiliki jika tujuan dikumpulkannya informasi tersebut telah tercapai.
    7. Tujuan Pencadangan. Perusahaan tidak boleh menyalin atau menggandakan Informasi Pribadi Seagate kecuali untuk tujuan pencadangan.
  5. KOREA SELATAN
    1. Penerapan. Ketentuan dalamPasal 5 ini berlaku untuk Informasi Pribadi Seagate yang diterima atau diakses Perusahaan dari Afiliasi Seagate yang berlokasi di Korea Selatan.
    2. Akses Terbatas. Perusahaan akan membatasi akses ke Informasi Pribadi hanya kepada Personel Perusahaan yang secara wajar memerlukan akses tersebut untuk tujuan Pemrosesan.
    3. Perlindungan yang Diperlukan. Perusahaan harus menetapkan dan mempertahankan perlindungan yang meliputi:
      1. prosedur internal untuk menangani Informasi Pribadi secara aman;
      2. pengamanan teknis seperti firewall, perangkat lunak antivirus, dan antimalware;
      3. pembatasan akses fisik, seperti kunci;
      4. langkah-langkah untuk mencegah perubahan atau pemalsuan log akses atau catatan Pemrosesan; dan
      5. tindakan untuk menyimpan dan mengirimkan Informasi Pribadi secara aman, seperti enkripsi Informasi Pribadi jika diminta oleh Undang-Undang Perlindungan Informasi Pribadi “PIPA”), "Peraturan Penegakan" PIPA, Undang-Undang tentang Promosi Pemanfaatan Jaringan Informasi dan Komunikasi serta Perlindungan Informasi (“PICNU”), "Peraturan Penegakan" PICNU, Pemanfaatan dan Perlindungan Undang-Undang Informasi Kredit, atau Hukum Korea lainnya, sebagaimana berlaku;
    4. Enkripsi Data Identifikasi Unik. Perusahaan harus mengenkripsi nomor registrasi penduduk, nomor SIM, dan nomor paspor sewaktu:
      1. ditransmisikan melalui jaringan informasi atau komunikasi;
      2. disimpan di media penyimpanan portabel atau periferal;
      3. disimpan pada jaringan komputer eksternal mana pun, atau di zona demiliterisasi, atau pada komputer pribadi mana pun; atau
      4. disimpan di jaringan internal Perusahaan jika sistem Perusahaan gagal memenuhi kriteria risiko Seagate.
    5. Enkripsi Sandi dan Data Biometrik. Perusahaan harus mengenkripsi semua sandi dan data biometrik yang disimpan dalam bentuk apa pun.
    6. Informasi sebelum Pengungkapan. Sebelum mengungkapkan atau mengalihkan Informasi Pribadi Seagate ke prosesor data pihak ketiga, Perusahaan harus memberi tahu Seagate secara wajar terlebih dulu. Atas permintaan Seagate, Perusahaan akan memberikan informasi berikut: (a) aktivitas Pemrosesan yang akan disubkontrakkan; (b) identitas pemroses data pihak ketiga; dan (c) setiap perubahan pada poin (a) atau (b).
    7. Pelatihan. Perusahaan wajib berpartisipasi dalam pelatihan apa pun yang mungkin dipilih Seagate untuk diberikan kepada Perusahaan guna melindungi Informasi Pribadi Seagate yang dicuri, bocor, diubah, atau rusak selama tahap Pemrosesan Informasi Pribadi Seagate.
  6. SINGAPURA
    1. Penerapan. Ketentuan dalamPasal 6 ini berlaku jika Undang-Undang Perlindungan Data Pribadi Singapura 2012 (No. 26 Tahun 2012) berlaku untuk Pemrosesan Informasi Pribadi Seagate oleh Perusahaan.
    2. Pasal 1.3 dariDPA harus diganti dengan ketentuan berikut:

      1.3 “Pelanggaran Privasi Data” berarti setiap pelanggaran keamanan yang mengarah pada penghancuran, kehilangan, perubahan, pengungkapan yang tidak sah atau tidak disengaja atas, akses ke, perolehan Informasi Pribadi Seagate, termasuk: (a) akses, pengumpulan, penggunaan, pengungkapan, penyalinan, modifikasi, atau pemusnahan Informasi Pribadi Seagate yang tidak sah; atau (b) hilangnya media penyimpanan atau perangkat tempat Informasi Pribadi Seagate disimpan dalam keadaan tempat akses, pengumpulan, penggunaan, pengungkapan, penyalinan, modifikasi, atau pemusnahan Informasi Pribadi Seagate yang tidak sah kemungkinan terjadi.

    3. Pasal 6.1 (Pemberitahuan Pelanggaran Privasi Data) dari DPA akan diganti dengan yang berikut ini:

      6.1 Pemberitahuan Pelanggaran Privasi Data. Jika Perusahaan memiliki alasan untuk meyakini bahwa Pelanggaran Privasi Data telah terjadi, Perusahaan harus memberi tahu Seagate secara tertulis tentang Pelanggaran Privasi Data tanpa penundaan yang tidak semestinya, dan harus:

      1. menyelidiki atau memberikan bantuan yang wajar dalam penyelidikan Pelanggaran Privasi Data;
      2. memberi Seagate informasi tentang Pelanggaran Privasi Data, dan segera memberikan informasi tambahan yang relevan saat tersedia; dan
      3. mengambil langkah-langkah yang wajar secara komersial untuk mengatasi Pelanggaran Privasi Data, mengurangi dampak Pelanggaran Privasi Data, atau membantu Seagate melakukannya dengan biaya Perusahaan.           
  7. TAIWAN
    1. Penerapan. Ketentuan dalamPasal 7 ini berlaku untuk Informasi Pribadi Seagate yang diterima atau diakses Perusahaan dari Afiliasi Seagate yang berlokasi di Taiwan.
    2. Subposesor. Terlepas dari yang tercantum dalamPasal 2.4(Batasan Pemrosesan) dari DPA, Perusahaan tidak akan mengungkapkan atau mentransfer Informasi Pribadi Seagate kepada atau mengizinkan akses ke Informasi Pribadi Seagate kepada Sub-prosesor mana pun tanpa persetujuan tertulis dari Seagate.
    3. Waktu Pemrosesan Terbatas. Perusahaan hanya wajib Memproses Informasi Pribadi Seagate selama jangka waktu yang diperlukan untuk mencapai tujuan Pemrosesan, kecuali jika para pihak telah menyepakati durasi yang berbeda.
    4. Penyimpanan Catatan Akses. Perusahaan harus menyimpan catatan akses selama diperlukan agar catatan tersebut dapat ditinjau secara berkala jika terjadi akses yang tidak sah.
  8. THAILAND
    1. Penerapan. Ketentuan dalamPasal 8 ini berlaku jika Undang-Undang Perlindungan Data Pribadi Thailand, BE 2562 (2019) (“PDPA”) sebagaimana telah diubah dan diganti dari waktu ke waktu berlaku untuk Informasi Pribadi Seagate yang diterima atau diakses oleh Perusahaan dari Afiliasi Seagate yang berlokasi di Thailand.
    2. Klausul 1.3 dari DPA harus diganti dengan berikut ini:

      1.3 “Pelanggaran Privasi Data” berarti pelanggaran tindakan keamanan yang menyebabkan kehilangan, akses, penggunaan, modifikasi, atau pengungkapan data pribadi secara tidak sah atau tanpa izin, yang diakibatkan oleh tindakan yang disengaja, lalai, tidak disengaja, tidak sah, atau melanggar hukum, atau tindakan yang terkait kejahatan komputer, ancaman siber, kesalahan atau kecelakaan, atau tindakan lain apa pun, sebagaimana ditentukan oleh pemberitahuan yang dikeluarkan berdasarkan PDPA.

    3. Pasal 1.12 dari DPA harus diubah untuk menyertakan kategori data pribadi yang ditentukan dalam Pasal 26 PDPA;
    4. Standar Keamanan. Perusahaan akan melakukan upaya terbaiknya dan mengambil semua tindakan yang wajar untuk menerapkan dan memelihara standar keamanan yang setidaknya harus sesuai dengan persyaratan dalamLampiran II (Standar Keamanan) dan dengan ketentuan dan persyaratan yang ditetapkan berdasarkan PDPA dan peraturan, regulasi, pemberitahuan dan/atau perintah lain yang dikeluarkan berdasarkan hal tersebut, termasuk namun tidak terbatas pada, “Pemberitahuan Komite Perlindungan Data Pribadi mengenai: Langkah-langkah Keamanan Pengendali Data BE 2565 (2022),” sebagaimana dapat diubah, ditambah, atau diganti dari waktu ke waktu.  

Perjanjian Privasi Data berlaku efektif mulai 1 Juni 2025 dan seterusnya. Versi sebelumnya dapat ditemukan sebagai berikut:

 

Diterbitkan pada 31 Juli 2025

Diterbitkan pada 20 Juni 2024

Diterbitkan pada 8 Desember 2022

LAPORAN DATA DEKARBONISASI

Keberlanjutan pusat data di era AI
Tentang Seagate Kisah Kami  Keberlanjutan  Pusat Kepercayaan  Jaminan Kualitas 
Dukungan  Dukungan Produk  Unduhan Perangkat Lunak Seagate  Unduhan Perangkat Lunak LaCie  Pendaftaran Produk Seagate  Pendaftaran Produk LaCie  Garansi dan Penggantian  Sistem Seagate  Hubungi Kami 
Sumber Berita Ruang Pers  Kisah Seagate  Blog 
Investor 
Mitra  Mitra & Reseller Tidak Langsung  Seagate Direct & Pemasok  Program Aliansi Seagate Technology 
Pekerjaan  Kehidupan di Seagate  Budaya Seagate  Program Universitas 
Facebook logo LinkedIn logo YouTube logo X logo Instagram logo
©2026 Seagate Technology LLC Legal Privasi Pengungkapan Kerentanan
Peta Situs Portal Merek Seagate