Perjanjian Pengolahan Data ("DPA") ini melengkapi Syarat dan Ketentuan yang dipublikasikan di situs https://senecaesg.com/ ("Platform Seneca ESG"), dan akan secara otomatis berlaku jika Anda atau pengguna yang bertindak atas nama organisasi Anda menggunakan Platform Seneca ESG untuk layanannya. Dalam hal ini, Anda/organisasi/perusahaan Anda dianggap bertindak atas nama sendiri sebagai "Pengendali" (Controller), dan Seneca ESG akan bertindak atas nama sendiri sebagai "Pemroses" (Processor), masing-masing disebut "Pihak" dan bersama-sama disebut "Para Pihak".

Istilah yang digunakan dalam DPA ini memiliki makna seperti yang dijelaskan dalam DPA ini.

DPA ini berlaku jika tidak ada DPA yang diajukan oleh Pengendali dan ditandatangani oleh Para Pihak.

Pengendali berkomitmen untuk memiliki dasar hukum yang sah sesuai Hukum yang Berlaku (Applicable Laws), untuk mengolah Data Pribadi yang akan diinput ke Platform Seneca ESG.

1. Definisi

1.1 Dalam DPA ini, istilah-istilah berikut memiliki arti seperti dijelaskan di bawah ini dan istilah serumpun ditafsirkan sesuai:

1.1.1 "Hukum yang Berlaku" berarti (a) hukum Inggris dan Uni Eropa atau Negara Anggota terkait Data Pribadi mana pun yang diproses oleh entitas yang tunduk pada hukum tersebut; dan (b) hukum lain yang berlaku terkait perlindungan Data Pribadi dan individu terkait di seluruh dunia, sebagaimana berlaku untuk Pengolahan pada Layanan Platform Seneca ESG;

1.1.2 "Data Pribadi Pengendali" adalah Data Pribadi yang berkaitan dengan staf Pengendali (karyawan; konsultan) oleh Seneca ESG atau pada Platform Seneca ESG;

1.1.3 "EEA" berarti Wilayah Ekonomi Eropa;

1.1.4 "Hukum Perlindungan Data UE" berarti EU Directive 95/46/EC, sebagaimana diadopsi dalam legislasi domestik masing-masing Negara Anggota dan sebagaimana diubah atau digantikan dari waktu ke waktu, termasuk Regulation (EU) 2016/679 dari Parlemen Eropa dan Dewan tanggal 27 April 2016 tentang perlindungan individu terkait pengolahan data pribadi dan pergerakan bebas data tersebut (General Data Protection Regulation/GDPR), serta hukum yang menerapkan atau melengkapi GDPR, juga legislasi privasi data seperti E-privacy Directive, dan sebagaimana diubah atau digantikan dari waktu ke waktu;

1.1.5 "GDPR" berarti Regulasi (EU) 2016/679 dari Parlemen Eropa dan Dewan tanggal 27 April 2016 tentang perlindungan individu terkait pengolahan data pribadi dan pergerakan bebas data tersebut, serta mencabut Directive 95/46/EC (General Data Protection Regulation)

1.1.6 "Data Pribadi" berarti (i) Data Pribadi seperti yang didefinisikan dalam EU Directive 95/46/EC dan diadopsi dalam legislasi domestik masing-masing negara anggota dan sebagaimana diubah atau digantikan dari waktu ke waktu; (ii) Data Pribadi sebagaimana didefinisikan dalam GDPR sebagaimana diubah atau digantikan dari waktu ke waktu; dan (iii) data pribadi sebagaimana didefinisikan dalam hukum perlindungan data atau privasi lokal negara lain (termasuk Swiss) jika berlaku.

1.1.7 "Transfer Internasional" dalam konteks yang ditetapkan oleh UE dan Inggris tidak berlaku karena seluruh Data Pribadi tersebut dapat diakses publik dan hanya berisi informasi terkait perusahaan Pengendali di mana individu diidentifikasi sebagai staf Pengendali.

1.1.8 "Layanan" berarti layanan dan aktivitas lain yang akan diberikan atau dijalankan dari Platform Seneca ESG, oleh atau atas nama Pemroses untuk Pengendali melalui Pengendali atau langsung oleh pengguna Pengendali, sesuai Syarat dan Ketentuan;

1.1.9 "Subpemroses" berarti pihak ketiga mana pun (termasuk Afiliasi Pemroses, kecuali karyawan Pemroses atau sub-kontraktornya) yang ditunjuk oleh atau atas nama Pemroses atau Afiliasinya untuk mengolah Data Pribadi atas nama Pengendali, terkait Syarat dan Ketentuan;

1.1.10 "Afiliasi Pemroses" berarti entitas yang memiliki atau mengendalikan, dimiliki atau dikendalikan oleh, atau berada di bawah kepemilikan atau pengendalian yang sama dengan Pemroses, di mana pengendalian didefinisikan sebagai kekuasaan langsung atau tidak langsung untuk mengarahkan manajemen dan kebijakan entitas, baik melalui kepemilikan saham, kontrak, atau lainnya. Dalam kasus ini, terdapat Seneca ESG Singapura dan Belanda.

dpa.sections.definitions.terms.title

dpa.sections.definitions.include.title

2. Wewenang

2.1 Pemroses menyatakan dan menjamin bahwa, sebelum Subpemroses mana pun mengolah Data Pribadi Pengendali, Pemroses telah membuat DPA dengan Subpemroses tersebut yang memuat tingkat komitmen yang sama terhadap pemenuhan Hukum yang Berlaku dan perlindungan Hak serta Kebebasan individu yang Data Pribadinya diproses.

3. Pengolahan Data Pribadi Pengendali

3.1 Pemroses dan setiap Afiliasi Pemroses harus:

3.1.1 mematuhi seluruh Hukum yang Berlaku dalam Pengolahan Data Pribadi Pengendali; dan

3.1.2 tidak mengolah Data Pribadi Pengendali selain sesuai instruksi terdokumentasi dari Pengendali kecuali diharuskan oleh Hukum yang Berlaku, dalam hal ini Pemroses atau Afiliasi Pemroses terkait akan, sejauh diizinkan oleh Hukum yang Berlaku, memberi tahu Pengendali tentang persyaratan hukum tersebut sebelum melakukan Pengolahan atas Data Pribadi tersebut.

3.2 Pengendali atas nama sendiri harus memastikan bahwa Pengendali:

3.2.1 menginstruksikan Pemroses dan setiap Afiliasi Pemroses (dan memberi wewenang kepada mereka untuk menginstruksikan setiap Subpemroses) untuk:

3.2.1.1 Mengolah Data Pribadi Pengendali; dan

3.2.1.2 khususnya, mentransfer Data Pribadi Pengendali ke negara atau wilayah mana pun, sebagaimana diperlukan secara wajar untuk penyediaan Layanan dan sesuai dengan Syarat dan Ketentuan.

3.3 Lampiran 1 pada DPA ini memuat informasi terkait Pengolahan Data Pribadi Pengendali oleh Pemroses sesuai dengan Pasal 28(3) GDPR (dan, mungkin, persyaratan hukum lain yang berlaku). Pengendali dapat melakukan perubahan wajar terhadap Lampiran 1 dengan pemberitahuan tertulis kepada Pemroses sewaktu-waktu jika dianggap perlu. Tidak ada dalam Lampiran 1 (termasuk perubahan sesuai pasal 3.3) yang memberikan hak atau kewajiban pada pihak mana pun dalam DPA ini.

4. Personel Pemroses dan Afiliasinya

Pemroses dan setiap Afiliasi Pemroses harus mengambil langkah yang wajar untuk memastikan keandalan karyawan, agen, atau kontraktor Subpemroses mana pun yang dapat mengakses Data Pribadi Pengendali, memastikan akses terbatas hanya pada individu yang membutuhkan untuk tujuan Syarat dan Ketentuan, dan untuk mematuhi Hukum yang Berlaku terkait tugas individu tersebut kepada Pemroses, serta memastikan semua individu tersebut terikat pada perjanjian kerahasiaan atau kewajiban profesional/hukum terkait kerahasiaan.

5. Keamanan

5.1 Dengan mempertimbangkan perkembangan teknologi, biaya implementasi, sifat, ruang lingkup, konteks dan tujuan Pengolahan serta risiko yang mungkin timbul terhadap hak dan kebebasan individu, Pemroses dan Afiliasinya harus menerapkan langkah teknis dan organisasi yang sesuai untuk memastikan tingkat keamanan yang memadai sesuai risiko tersebut, termasuk langkah-langkah sebagaimana disebutkan dalam Pasal 32(1) GDPR.

5.2 Dalam menilai tingkat keamanan yang sesuai, Pemroses dan Afiliasinya harus secara khusus mempertimbangkan risiko yang muncul dari Pengolahan, khususnya akibat Pelanggaran Data Pribadi.

5.3 Langkah teknis dan organisasi yang diterapkan oleh Pemroses dan setiap Afiliasinya tercantum dalam Lampiran 2.

6. Subpengolahan

6.1 Pengendali mengizinkan Pemroses dan setiap Afiliasi Pemroses untuk menunjuk (dan mengizinkan setiap Subpemroses yang ditunjuk sesuai bagian ini untuk menunjuk) Subpemroses sesuai dengan bagian ini dan batasan dalam Syarat dan Ketentuan.

6.2 Pemroses dan setiap Afiliasinya dapat terus menggunakan Subpemroses yang sudah digunakan pada tanggal DPA ini, dengan ketentuan Pemroses dan Afiliasinya harus memenuhi kewajiban sebagaimana diatur di bagian 6.4.

6.3 Pengendali mengizinkan Pemroses untuk mensubkontrakkan subpemroses yang dianggap perlu untuk layanan utama. Atas permintaan Pengendali, Pemroses akan memberikan daftar terbaru semua kategori subkontraktor yang terlibat dalam layanan yang disepakati.

Subpemroses juga diperlakukan sebagai pemroses dengan ketentuan yang sama sebagaimana dalam perjanjian ini. Pemroses setuju untuk menandatangani perjanjian pengolahan data dengan subpemroses, yang di dalamnya subpemroses setuju untuk memenuhi kewajiban dalam perjanjian ini.

Dalam semua kasus, kewajiban perlindungan data yang sama akan dikenakan pada subkontraktor agar pengolahan data sesuai dengan GDPR (yang saat ini merupakan peraturan perlindungan data pribadi paling komprehensif yang berlaku).

6.4 Untuk setiap Subpemroses, Pemroses atau Afiliasi Pemroses harus:

6.4.1 sebelum Subpemroses pertama kali mengolah Data Pribadi Pengendali, melakukan due diligence yang memadai untuk memastikan Subpemroses mampu memberikan perlindungan data sesuai Syarat dan Ketentuan;

6.4.2 memastikan bahwa pengaturan antara (a) Pemroses, (b) Afiliasi Pemroses, atau (c) Subpemroses perantara, dan Subpemroses, diatur dalam kontrak tertulis yang memuat tingkat perlindungan data yang setidaknya setara dengan yang diatur dalam DPA ini dan memenuhi persyaratan Pasal 28(3) GDPR;

6.5 Pemroses dan setiap Afiliasi Pemroses memastikan bahwa setiap Subpemroses melaksanakan kewajiban pada pasal 3.1, 4, 5, 7.1, 8.2, 9 dan 11.1, sebagaimana berlaku atas Pengolahan Data Pribadi Pengendali oleh Subpemroses tersebut, seolah-olah mereka adalah pihak dalam DPA ini sebagai pengganti Pemroses.

7. Hak Subjek Data

7.1 Dengan mempertimbangkan sifat Pengolahan, Pemroses dan Afiliasinya harus menerapkan langkah teknis dan organisasi yang sesuai, sejauh mungkin, untuk memenuhi kewajiban hukum dan merespon pelaksanaan hak Subjek Data sesuai Hukum yang Berlaku.

7.2 Pemroses harus:

7.2.1 segera memberitahu Pengendali jika Pemroses atau Subpemroses menerima permintaan dari Subjek Data terkait Data Pribadi Pengendali;

7.2.2 memastikan bahwa Pemroses atau Subpemroses tidak merespon permintaan tersebut kecuali atas instruksi tertulis dari Pengendali atau sebagaimana diwajibkan oleh Hukum yang Berlaku, dalam hal ini Pemroses harus, sejauh diizinkan, memberitahu Pengendali sebelum Subpemroses menanggapi permintaan tersebut.

8. Pelanggaran Data Pribadi

8.1 Pemroses harus segera memberi tahu Pengendali jika Pemroses atau Subpemroses mengetahui adanya Pelanggaran Data Pribadi yang mempengaruhi Data Pribadi Pengendali, serta memberikan informasi yang cukup agar Pengendali dapat memenuhi kewajiban pelaporan pada Subjek Data atau Otoritas Pengawas sesuai Hukum yang Berlaku. Pemberitahuan minimal berisi:

8.1.1 uraian sifat Pelanggaran Data Pribadi, kategori dan jumlah Subjek Data yang terdampak, serta kategori dan jumlah data yang terlibat;

8.1.2 nama dan kontak petugas perlindungan data Pemroses atau kontak lain yang relevan;

8.1.3 uraian kemungkinan akibat Pelanggaran Data Pribadi tersebut; dan

8.1.4 uraian langkah yang diambil atau akan diambil untuk mengatasi Pelanggaran Data Pribadi tersebut.

8.2 Pemroses akan bekerja sama dengan Pengendali dan mengambil langkah yang diminta secara wajar oleh Pengendali untuk membantu penyelidikan, mitigasi, dan pemulihan atas setiap Pelanggaran Data Pribadi.

9. Penilaian Dampak Perlindungan Data dan Konsultasi Awal

Pemroses dan setiap Afiliasinya akan memberikan bantuan wajar kepada Pengendali terkait penilaian dampak perlindungan data dan konsultasi awal dengan Otoritas Pengawas sebagaimana didefinisikan dalam Pasal 35 atau 36 GDPR atau ketentuan setara dari Hukum Perlindungan Data lainnya, khusus terkait Pengolahan Data Pribadi Pengendali dan dengan memperhatikan informasi yang tersedia bagi Subpemroses.

10. Penghapusan atau Pengembalian Data Pribadi Pengendali

10.1 Berdasarkan bagian 10.2, Pengendali atas kebijakannya sendiri dapat dengan pemberitahuan tertulis meminta dalam waktu tiga puluh (30) hari sejak Tanggal Berakhir agar Pemroses dan setiap Afiliasinya (a) mengembalikan salinan lengkap seluruh Data Pribadi Pengendali melalui transfer file yang aman dalam format yang diberitahukan secara wajar oleh Pengendali; dan (b) menghapus dan memastikan penghapusan seluruh salinan Data Pribadi Pengendali lain yang diproses oleh Subpemroses. Pemroses dan Afiliasinya harus memenuhi permintaan tertulis ini dalam waktu 30 hari sejak Tanggal Berakhir.

10.2 Setiap Subpemroses dapat menyimpan Data Pribadi Pengendali sejauh diperlukan oleh Hukum yang Berlaku dan hanya selama periode yang diwajibkan, serta memastikan kerahasiaan dan bahwa data hanya diproses sebagaimana diperlukan sesuai Hukum yang Berlaku.

10.3 Pemroses harus memberikan dokumen konfirmasi tertulis kepada Pengendali yang membuktikan bahwa Pemroses dan Subpemroses telah sepenuhnya mematuhi pasal 10 ini dalam 30 hari sejak Tanggal Berakhir.

10.4 Untuk tujuan klausul ini, "hapus" berarti menghilangkan atau memusnahkan Data Pribadi sehingga tidak dapat dipulihkan atau direkonstruksi, "Tanggal Berakhir" berarti tanggal berakhirnya layanan apa pun yang melibatkan pengolahan Data Pribadi Pengendali.

11. Hak Audit

11.1 Pemroses dan setiap Afiliasinya harus menyediakan semua informasi yang diperlukan kepada Pengendali untuk membuktikan kepatuhan terhadap DPA ini jika diminta.

12. Ketentuan Umum

Hukum yang berlaku dan yurisdiksi

12.1 Tanpa mengurangi ketentuan 7 (Mediasi dan Yurisdiksi):

12.1.1 Para Pihak dalam DPA ini tunduk pada yurisdiksi yang ditetapkan dalam Syarat dan Ketentuan terkait perselisihan apa pun yang timbul dari DPA ini, termasuk perselisihan terkait keberadaan, keabsahan atau pengakhiran maupun akibat pembatalannya; dan

12.1.2 DPA ini dan semua kewajiban non-kontraktual atau lain yang timbul darinya diatur oleh hukum negara atau wilayah yang ditetapkan dalam Syarat dan Ketentuan.

Tingkat Kepentingan

12.2 Tidak ada dalam DPA ini yang mengurangi kewajiban Pemroses atau Afiliasinya dalam Syarat dan Ketentuan terkait perlindungan Data Pribadi atau memperbolehkan Pemroses/Afiliasi memproses (atau mengizinkan pemrosesan) Data Pribadi dengan cara yang dilarang oleh Syarat dan Ketentuan.

12.3 Terkait pokok bahasan DPA ini, jika terjadi ketidaksesuaian antara ketentuan DPA ini dan perjanjian lain antara Para Pihak (termasuk Syarat dan Ketentuan), maka ketentuan DPA ini yang berlaku.

Perubahan Hukum yang Berlaku, dll.

12.4 Pengendali dapat:

12.4.1 dengan pemberitahuan tertulis mengusulkan perubahan pada DPA ini yang dianggap perlu untuk memenuhi persyaratan hukum perlindungan data.

12.5 Jika Pengendali memberi pemberitahuan berdasarkan 12.4.1:

12.5.1 Pemroses dan setiap Afiliasinya harus segera bekerja sama (dan memastikan Subpemroses terkait juga bekerja sama) agar perubahan yang setara diterapkan pada setiap perjanjian di bawah bagian 6.4.3; dan

12.5.2 Pengendali tidak boleh menahan atau menunda persetujuan secara tidak wajar atas perubahan lanjutan pada DPA yang diusulkan oleh Pemroses untuk melindungi Subpemroses dari risiko tambahan akibat perubahan sebagaimana dimaksud dalam 12.4.1 dan/atau 12.5.1.

12.6 Jika Pengendali memberikan pemberitahuan sesuai 12.4.1, Para Pihak harus segera mendiskusikan perubahan yang diusulkan dan bernegosiasi dengan itikad baik untuk menyepakati dan menerapkan perubahan tersebut secepatnya.

12.7 Baik Pengendali maupun Pemroses tidak memerlukan persetujuan dari Afiliasi mana pun untuk mengubah DPA ini sesuai bagian 12.5 atau lainnya.

Keterpisahan

12.8 Jika ada ketentuan dalam DPA ini yang tidak sah atau tidak dapat dilaksanakan, maka ketentuan lainnya tetap berlaku. Ketentuan yang tidak sah harus (i) diubah agar tetap sah dengan tetap mempertahankan maksud Para Pihak semaksimal mungkin, atau jika tidak memungkinkan, (ii) dianggap tidak pernah dimuat di dalamnya.

12.9 Informasi Kontak Para Pihak.

Setiap Pihak diberitahu bahwa informasi kontak perwakilan dan karyawannya akan diproses oleh Pihak lainnya untuk tujuan pelaksanaan, pengembangan, pemenuhan, dan pengendalian layanan yang disepakati, dengan pemenuhan kewajiban kontrak sebagai dasar hukum pengolahan data. Data pribadi akan disimpan selama masa perjanjian dan selama masa berlaku hukum setelah perjanjian berakhir untuk memenuhi kemungkinan tanggung jawab hukum. Selain itu, masing-masing Pihak harus mematuhi kewajiban informasi kepada perwakilan dan karyawan mereka.

Data Para Pihak dapat dipindahkan ke bank dan lembaga keuangan untuk manajemen pembayaran dan penagihan, ke Otoritas Pajak dan Administrasi Publik untuk pelaporan pajak dan pemenuhan kewajiban hukum sesuai regulasi, serta kepada Administrasi Publik jika diperlukan secara hukum.

Para Pihak dapat meminta akses, perbaikan, penghapusan, portabilitas, pembatasan pengolahan, serta keberatan atas pengolahan data pribadi sebagaimana dimaksud pada klausul ini, di alamat Para Pihak sebagaimana tercantum dalam Lampiran 3.

12.10 Tanggung Jawab

Pemroses bertanggung jawab atas semua sanksi dan denda akibat tidak terpenuhinya kewajiban dalam perjanjian ini.

Lampiran 1: Deskripsi Pengolahan Data Pribadi

Lampiran ini memuat rincian Pengolahan Data Pribadi sebagaimana disyaratkan Pasal 28(3) GDPR.

Pokok dan Durasi Pengolahan Data Pribadi

Pokok dan durasi Pengolahan Data Pribadi diatur dalam Syarat dan Ketentuan serta Kebijakan Privasi.

Sifat dan Tujuan Pengolahan Data Pribadi

Sifat dan tujuan Pengolahan Data Pribadi diatur dalam Syarat dan Ketentuan serta Kebijakan Privasi.

Kategori Subjek Data Terkait Data Pribadi

Subjek Data yang Data Pribadinya diproses oleh Pemroses adalah anggota staf Pengendali dalam konteks B2B.

Jenis Data Pribadi yang Diproses

Data Kontak (nama; email; dll...)

Data Pekerjaan (Pengendali; jabatan; dll...)

Data Operasional (tindakan pengguna di platform)

Kewajiban dan Hak Pemroses dan Afiliasinya

Pemroses wajib memenuhi persyaratan Hukum yang Berlaku, khususnya Regulasi Uni Eropa 2016/679 (General Data Protection Regulation – GDPR) yang dalam hukum Uni Eropa berlaku lebih tinggi dari hukum nasional negara anggota.