Adendum Pemrosesan Data Global SHL
Last Updated: 2 March 2026
Adendum Pemrosesan Data Global SHL ini dan Tambahan Lampirannya (Data Processing Addendum/“DPA”) mencerminkan perjanjian para pihak sehubungan dengan Pemrosesan Data Pribadi oleh kami atas nama Anda dalam kaitannya dengan Produk dan Layanan SHL berdasarkan Syarat dan Ketentuan SHL antara Anda dan kami (juga disebut dalam DPA ini sebagai “Perjanjian”).
DPA ini merupakan pelengkap dan merupakan bagian yang tidak terpisahkan dari Perjanjian dan berlaku efektif saat digabungkan ke dalam Perjanjian, yang dapat ditentukan dalam Perjanjian, Pesanan, atau perubahan Perjanjian yang ditandatangani. Jika terdapat pertentangan atau ketidakselarasan dengan ketentuan Perjanjian, DPA ini akan diutamakan di atas ketentuan Perjanjian sejauh menyangkut pertentangan atau ketidakselarasan tersebut.
Jangka waktu DPA ini akan mengikuti jangka waktu Perjanjian. Istilah-istilah yang tidak didefinisikan lain dalam DPA ini akan mempunyai arti sebagaimana ditetapkan dalam Perjanjian. Untuk keperluan DPA ini, Perusahaan akan disebut sebagai “Anda” dan SHL akan disebut sebagai “kami”.
1. Definisi
“Informasi Pribadi California” berarti Data Pribadi yang tunduk pada perlindungan CCPA.
“CCPA" berarti California Civil Code Sec. 1798.100 dst. (juga dikenal sebagai Undang-Undang Privasi Konsumen California/California Consumer Privacy Act tahun 2018).
"Konsumen", "Bisnis", "Menjual", dan "Penyedia Layanan" akan mempunyai arti sebagaimana ditentukan dalam CCPA.
“Pengendali Data” berarti orang, entitas, atau badan lain yang menentukan tujuan dan cara Pemrosesan Data Pribadi; di Afrika Selatan, Pengendali Data mencakup Pihak yang Bertanggung Jawab berdasarkan POPIA dan di Republik Rakyat Tiongkok, Pengendali Data berarti pemegang data sebagaimana didefinisikan dalam PIPL.
“Pemroses Data” berarti orang, entitas, atau badan lain (selain karyawan Pengendali Data) yang Memproses Data Pribadi atas nama Pengendali Data; di Afrika Selatan, Pemroses Data mencakup Operator di bawah POPIA dan di Republik Rakyat Tiongkok, Pemroses Data adalah pihak yang dipercaya sebagaimana didefinisikan dalam PIPL.
“Undang-undang Perlindungan Data” berarti semua undang-undang yang berlaku di seluruh dunia terkait dengan perlindungan data dan privasi yang berlaku bagi setiap pihak yang memiliki peran dalam Pemrosesan Data Pribadi terkait berdasarkan Perjanjian, termasuk, tetapi tidak terbatas pada Undang-Undang Perlindungan Data Eropa; masing-masing sebagaimana diamendemen, dicabut, dikonsolidasi, atau diganti dari waktu ke waktu.
“Subjek Data” berarti individu yang terkait dengan Data Pribadi.
"Eropa" berarti Uni Eropa, Wilayah Ekonomi Eropa, dan/atau negara-negara anggotanya, Swiss, dan United Kingdom.
“Data Eropa” berarti Data Pribadi yang tunduk pada perlindungan Undang-Undang Perlindungan Data Eropa.
"Undang-Undang Perlindungan Data Eropa" berarti undang-undang perlindungan data yang berlaku di Eropa, termasuk: (i) Peraturan Parlemen dan Dewan Eropa 2016/679 tentang perlindungan orang pribadi sehubungan dengan pemrosesan data pribadi dan pergerakan bebas data demikian (Peraturan Perlindungan Data Umum/General Data Protection Regulation) ("GDPR"); (ii) Direktif 2002/58/EC mengenai pemrosesan data pribadi dan perlindungan privasi di sektor komunikasi elektronik; dan (iii) implementasi nasional yang berlaku dari (i) dan (ii); atau (iii) di United Kingdom, setiap undang-undang nasional yang berlaku menggantikan atau mengubah dalam undang-undang domestik GDPR atau undang-undang lainnya yang terkait dengan data dan privasi karena keluarnya United Kingdom dari Uni Eropa; dan (iv) Undang-Undang Perlindungan Data Federal Swiss (Swiss Federal Data Protection Act) tanggal 19 Juni 1992 dan segala Ordonansinya, masing-masing sebagaimana yang mungkin diamendemen, dibatalkan, atau digantikan.
“Petunjuk” berarti instruksi tertulis dan terdokumentasikan yang dikeluarkan oleh Pengendali Data kepada Pemroses Data, yang mengarahkannya untuk melakukan tindakan spesifik atau umum sehubungan dengan Data Pribadi (termasuk, tetapi tidak terbatas pada de-personalisasi, pemblokiran, penghapusan, menjadikan tersedia).
"Afiliasi yang Diizinkan" berarti setiap Afiliasi Anda yang (i) diizinkan untuk menggunakan Produk dan/atau Layanan sesuai dengan Perjanjian, tetapi belum menandatangani perjanjian terpisah dengan kami, (ii) memenuhi syarat sebagai Pengendali Data untuk Data Pribadi yang Diproses oleh kami, dan (iii) tunduk pada Undang-Undang Perlindungan Data Eropa.
“Data Pribadi” berarti data atau informasi apa pun yang Anda berikan kepada atau dikumpulkan oleh kami selama penyediaan Produk dan/atau Layanan yang berkaitan dengan individu hidup yang dapat diidentifikasi dari data tersebut, tetapi tidak termasuk dalam Data Penelitian Agregat dan Penolokukuran.
“Pelanggaran Data Pribadi” berarti pelanggaran keamanan yang mengarah pada penghancuran, kehilangan, perubahan, pengungkapan, atau akses tanpa izin yang tidak disengaja atau melanggar hukum ke Data Pribadi yang dikirimkan, disimpan, atau dengan cara lain Diproses oleh kami dan/atau Sub-Pemroses kami sehubungan dengan penyediaan Produk dan/atau Layanan. "Pelanggaran Data Pribadi" tidak mencakup upaya atau aktivitas gagal yang tidak membahayakan keamanan Data Pribadi, termasuk upaya masuk, ping, pemindaian port, serangan penolakan layanan, dan serangan jaringan lainnya yang tidak berhasil terhadap firewall atau sistem jaringan.
"PIPL” berarti Undang-Undang Perlindungan Informasi Pribadi (Personal Information Protection Law) Republik Rakyat Tiongkok yang berlaku mulai 1 November 2021 dan undang-undang atau peraturan lain yang berlaku terkait pemrosesan informasi pribadi dan privasi, sebagaimana undang-undang tersebut mungkin diamendemen, direvisi, atau diganti dari waktu ke waktu.
“Informasi Pribadi PIPL” berarti informasi pribadi yang tunduk pada perlindungan PIPL.
“POPIA” berarti Undang-Undang Perlindungan Informasi Pribadi (Protection of Personal Information Act) Afrika Selatan tahun 2013 (UU No. 4 tahun 2013) dan undang-undang atau peraturan lain yang berlaku terkait pemrosesan informasi pribadi dan privasi, sebagaimana undang-undang tersebut mungkin diamendemen, direvisi, atau diganti dari waktu ke waktu.
“Informasi Pribadi POPIA” berarti informasi pribadi yang tunduk pada perlindungan POPIA.
“Pemrosesan” berarti setiap operasi atau serangkaian operasi yang dilakukan terhadap Data Pribadi, yang mencakup pengumpulan, pencatatan, pengelompokan, penataan, penyimpanan, adaptasi atau perubahan, pengambilan, konsultasi, penggunaan, pengungkapan melalui transmisi, penyebaran atau penyediaan dengan cara lain, penyelarasan atau kombinasi, pembatasan atau penghapusan Data Pribadi. Istilah “Proses”, “Memproses”, dan “Diproses” ditafsirkan sesuai dengan di atas.
“Afiliasi yang Diizinkan SHL” berarti Afiliasi SHL yang diizinkan memproses Data Pribadi sebagaimana ditentukan oleh lokasi Platform yang Anda pilih saat menggunakan Layanan SHL. Tabel Afiliasi yang Diizinkan SHL tersedia di sini: https://www.shl.com/assets/documents/SHL-Permitted-Affiliates.pdf.
“Klausul Kontrak Standar” berarti klausul kontrak standar untuk Pemroses Data yang disetujui berdasarkan keputusan Komisi Eropa (UE) 2021/914 tanggal 4 Juni 2021, dalam bentuk yang ditetapkan di https://www.shl.com/legal/terms-and-conditions/shl-pre-signed-european-standard-contractual-clauses/; sebagaimana dapat diubah, dikesampingkan, atau diganti.
“Sub-Pemroses Pihak Ketiga” berarti setiap Pemroses Data yang dilibatkan oleh kami atau Afiliasi kami untuk membantu memenuhi kewajiban kami sehubungan dengan penyediaan Produk dan/atau Layanan berdasarkan Perjanjian. Daftar Sub-Pemroses Pihak Ketiga saat ini tersedia di sini: https://www.shl.com/legal/security-and-compliance/platforms-sub-processors/.
2. Tanggung Jawab Perusahaan
a. Kepatuhan terhadap Hukum. Dalam lingkup Perjanjian dan dalam penggunaan Produk dan/atau Layanan oleh Anda, Anda bertanggung jawab untuk mematuhi semua persyaratan yang berlaku bagi Anda berdasarkan Undang-Undang Perlindungan Data yang berlaku dan Petunjuk yang Anda berikan pada kami. Khususnya, tetapi tanpa mengurangi sifat umum dari hal di atas, Anda mengakui dan menyetujui bahwa Anda akan bertanggung jawab penuh atas: (i) keakuratan, kualitas, dan legalitas Kekayaan Milik Perusahaan dan sarana Anda memperoleh Data Pribadi; (ii) kepatuhan terhadap semua persyaratan transparansi dan keabsahan yang diperlukan berdasarkan Undang-Undang Perlindungan Data yang berlaku untuk pengumpulan dan penggunaan Data Pribadi, termasuk memperoleh semua persetujuan dan otorisasi yang diperlukan; (iii) kepastian bahwa Anda mempunyai hak untuk memindahkan atau memberikan akses ke Data Pribadi kepada kami untuk Diproses sesuai dengan ketentuan Perjanjian (termasuk DPA ini); (iv) kepastian bahwa Petunjuk Anda kepada kami mengenai Pemrosesan Data Pribadi mematuhi undang-undang yang berlaku, termasuk Undang-Undang Perlindungan Data; dan (v) kepatuhan terhadap semua undang-undang yang berlaku (termasuk Undang-Undang Perlindungan Data). Anda akan memberi tahu kami tanpa penundaan yang tidak semestinya jika Anda tidak dapat memenuhi tanggung jawab Anda dalam sub-bagian (a) ini.
b. Petunjuk Pengendali Data. Para pihak sepakat bahwa Perjanjian (termasuk DPA ini), bersama dengan penggunaan Produk dan/atau Layanan oleh Anda sesuai dengan Perjanjian merupakan Petunjuk Anda yang lengkap dan final untuk kami sehubungan dengan Pemrosesan Data Pribadi, dan petunjuk tambahan di luar lingkup Petunjuk memerlukan persetujuan tertulis sebelumnya antara kami dan Anda.
3. Kewajiban SHL
a. Kepatuhan pada Petunjuk. Kami hanya akan Memproses Data Pribadi untuk tujuan yang diuraikan dalam DPA ini atau sebagaimana disepakati dalam lingkup Petunjuk sah Anda, kecuali bila dan sampai sejauh diwajibkan lain oleh hukum yang berlaku. Kami tidak bertanggung jawab atas kepatuhan terhadap Undang-Undang Perlindungan Data apa pun yang berlaku untuk Anda atau industri Anda yang secara umum tidak berlaku untuk kami. Kami akan memenuhi setiap permintaan Anda akan Data Pribadi yang diberikan oleh atau melalui Anda kepada kami sebagaimana sesuai, dengan ketentuan bahwa permintaan tersebut tidak melanggar ketentuan Perjanjian.
b. Konflik Hukum. Jika kami mengetahui bahwa kami tidak dapat Memproses Data Pribadi sesuai dengan Petunjuk Anda karena persyaratan hukum berdasarkan hukum yang berlaku, kami akan (i) segera memberi tahu Anda tentang persyaratan hukum tersebut hanya dalam lingkup, dan sejauh diizinkan oleh, hukum yang berlaku; dan (ii) bila diperlukan, menghentikan semua Pemrosesan (selain sekadar menyimpan dan menjaga keamanan Data Pribadi yang terdampak) hingga Anda mengeluarkan Petunjuk baru yang dapat kami patuhi. Jika ketentuan ini menjadi berlaku, kami tidak akan bertanggung jawab kepada Anda, berdasarkan Perjanjian, atas kegagalan apa pun dalam menyediakan dan/atau melaksanakan Produk dan/atau Layanan yang berlaku hingga Anda mengeluarkan Petunjuk baru yang sah untuk Pemrosesan.
c. Keamanan. Kami akan menerapkan dan menjalankan program keamanan informasi efektif yang: (i) mencakup perlindungan administratif, teknis, dan fisik, dan (ii) memiliki langkah-langkah teknis dan organisasi yang sesuai untuk melindungi Data Pribadi dari Pelanggaran Data Pribadi, sebagaimana diuraikan dalam Tambahan Lampiran 2 untuk DPA ini ("Tindakan Keamanan"). Tindakan Keamanan tersebut memadai untuk memastikan keamanan dan kerahasiaan Data Pribadi dan melindungi dari: (1) ancaman atau bahaya yang diantisipasi terhadap keamanan atau integritas Data Pribadi, (2) akses tidak sah ke atau penggunaan Data Pribadi, (3) pemrosesan yang melanggar hukum atau pemrosesan yang tidak sesuai dengan Perjanjian, dan (4) kehilangan, kehancuran, kerusakan, perubahan, atau pengungkapan Data Pribadi yang tidak disengaja. Tindakan Keamanan harus mencakup (minimal): (i) penerapan tindakan yang ditentukan oleh Undang-Undang Perlindungan Data, dan/atau Perjanjian; (ii) pengambilan langkah-langkah sewajarnya untuk memastikan keandalan personel yang memiliki akses ke Data Pribadi; dan (iii) penerapan dan pemeliharaan tindakan pembuangan yang wajar serta pelatihan bagi personel yang mengakses Data Pribadi. Terlepas dari ketentuan yang menentangnya, kami dapat mengubah atau memperbarui Tindakan Keamanan berdasarkan diskresi kami dengan ketentuan bahwa perubahan atau pembaruan tersebut tidak mengakibatkan penurunan material dalam perlindungan yang diberikan oleh Tindakan Keamanan.
d. Kerahasiaan. Kami akan memastikan bahwa setiap personel yang kami beri wewenang untuk Memproses Data Pribadi atas nama kami tunduk pada kewajiban kerahasiaan yang sesuai (baik kewajiban kontrak atau undang-undang) sehubungan dengan Data Pribadi tersebut.
e. Pelanggaran Data Pribadi. Kami akan (i) memberi tahu Anda tanpa penundaan yang tidak semestinya dan selambat-lambatnya dalam waktu 48 jam setelah kami mengetahui adanya Pelanggaran Data Pribadi, dan kami akan memberikan informasi secepatnya terkait Pelanggaran Data Pribadi tersebut sebagaimana diketahui atau sewajarnya diminta oleh Anda; dan (ii) tidak akan memberi tahu Pihak Ketiga mana pun mengenai keterlibatan Data Pribadi Perusahaan dalam Pelanggaran Data Pribadi tanpa izin sebelumnya dari Perusahaan, yang tidak boleh Perusahaan tahan secara tidak wajar. Kami akan langsung menyelidiki dan mengambil tindakan perbaikan yang tepat untuk memitigasi dampak Pelanggaran Data Pribadi sesuai dengan hukum, peraturan, dan standar industri yang berlaku. Atas permintaan Anda, kami akan (i) segera memberi Anda bantuan sewajarnya yang diperlukan agar Anda dapat memberitahukan Pelanggaran Data Pribadi yang relevan kepada otoritas yang berwenang dan/atau Subjek Data yang terkena dampak, jika Anda diwajibkan melakukannya berdasarkan Undang-Undang Perlindungan Data; dan (ii) memberi Anda laporan ringkas mengenai aktivitas investigasi dan remediasi kami.
f. Penghapusan atau Pengembalian Data Pribadi. Kami akan menghapus atau mengembalikan semua Kekayaan Milik Perusahaan, termasuk Data Pribadi (termasuk salinannya) yang Diproses sesuai dengan DPA ini, atas petunjuk tertulis Anda, kecuali ketentuan ini tidak berlaku sampai sejauh kami diwajibkan oleh hukum yang berlaku untuk menyimpan sebagian atau seluruh Kekayaan Milik Perusahaan, atau atas Kekayaan Milik Perusahaan yang telah kami arsipkan di sistem cadangan, di mana data tersebut akan kami isolasi dan lindungi secara aman dari setiap Pemrosesan lebih lanjut dan akan kami hapus sesuai dengan praktik penghapusannya.
4. Permintaan Subjek Data
Berdasarkan permintaan tertulis Anda, kami akan menyediakan bantuan yang wajar untuk Anda agar Anda dapat menanggapi setiap Permintaan Subjek Data atau permintaan dari pihak otoritas perlindungan data terkait dengan Pemrosesan Data Pribadi menurut Perjanjian. Anda harus mengganti biaya kami yang secara komersial wajar yang timbul dari bantuan ini. Jika Permintaan Subjek Data atau komunikasi lain mengenai Pemrosesan Data Pribadi di bawah Perjanjian ini disampaikan langsung kepada kami, kami akan memberikan respons standar kami kepada Subjek Data yaitu menyarankan Subjek Data untuk mengirimkan permintaannya kepada Anda. Anda akan bertanggung jawab penuh untuk merespons secara substantif Permintaan Subjek Data demikian atau komunikasi yang melibatkan Data Pribadi.
5. Sub-Pemroses
Anda menyetujui bahwa kami dapat melibatkan Sub-Pemroses Pihak Ketiga dan Afiliasi yang Diizinkan SHL (bersama-sama disebut “Sub-Pemroses”) untuk Memproses Data Pribadi atas nama Anda. Kami akan memberi tahu Anda jika kami menambah atau menghilangkan Sub-Pemroses sebelum melakukan perubahan demikian jika Anda memilih untuk menerima pemberitahuan email demikian dengan melengkapi formulir yang tersedia di https://www.shl.com/legal/security-and-compliance/. Apabila kami melibatkan Sub-Pemroses, kami akan menerapkan ketentuan perlindungan data yang menyediakan tingkat perlindungan yang setidaknya sama untuk Data Pribadi seperti yang ditetapkan dalam DPA ini (termasuk, bila sesuai, Klausul Kontrak Standar), sampai sejauh yang berlaku untuk sifat layanan yang diberikan oleh Sub-Pemroses demikian. Kami akan tetap bertanggung jawab atas kepatuhan setiap Sub-Pemroses terhadap kewajiban DPA ini dan atas tindakan atau kelalaian Sub-Pemroses demikian yang menyebabkan kami melanggar kewajibannya menurut DPA ini.
6. Pemindahan Data
Anda mengakui dan menyetujui bahwa kami dapat mengakses dan Memproses Data Pribadi secara global sebagaimana perlu untuk menyediakan Produk dan/atau Layanan sesuai dengan Perjanjian, dan secara khusus bahwa Data Pribadi akan dialihkan ke, dan Diproses oleh SHL di yurisdiksi lain di mana Sub-Pemroses beroperasi. Kami akan memastikan pemindahan demikian dilakukan sesuai dengan persyaratan Undang-Undang Perlindungan Data.
7. Ketentuan Tambahan untuk Data Eropa
a. Lingkup Bagian 7. Bagian 'Ketentuan Tambahan untuk Data Eropa' ini hanya berlaku terkait dengan Data Eropa.
b. Peran Para Pihak. Saat Memproses Data Eropa sesuai dengan Petunjuk Anda, para pihak mengakui dan menyetujui bahwa Anda adalah Pengendali Data untuk Data Eropa dan kami adalah Pemroses Data.
c. Petunjuk. Jika kami yakin bahwa Petunjuk Anda melanggar Undang-Undang Perlindungan Data Eropa (bila berlaku), kami akan, hanya dalam lingkup, dan sampai sejauh yang diizinkan oleh, Undang-Undang Perlindungan Data Eropa, memberi tahu Anda tanpa penundaan.
d. Pemberitahuan dan Keberatan Mengenai Sub-Pemroses Baru. Kami akan memberitahukan kepada Anda setiap perubahan Sub-Pemroses melalui mekanisme pemberitahuan yang diatur dalam Bagian 5 DPA dan akan memberi Anda kesempatan untuk mengajukan keberatan atas pelibatan Sub-Pemroses yang baru tersebut dengan alasan yang wajar terkait dengan perlindungan Data Pribadi dalam 30 hari setelah disampaikannya pemberitahuan demikian. Jika Anda menyampaikan kepada kami keberatan demikian, para pihak akan mendiskusikan kekhawatiran Anda atas dasar iktikad baik dengan pandangan untuk mencapai resolusi yang wajar secara komersial. Jika tidak ada resolusi yang dapat dicapai, kami akan, semata-mata berdasarkan diskresi kami, tidak menunjuk Sub-Pemroses yang baru tersebut atau mengizinkan Anda untuk menangguhkan atau mengakhiri Produk dan/atau Layanan yang terdampak sesuai dengan ketentuan pengakhiran dalam Perjanjian tanpa kewajiban kepada masing-masing pihak (tetapi tanpa mengurangi biaya-biaya yang ditanggung oleh Anda sebelum penangguhan atau pengakhiran).
e. Penilaian Dampak Perlindungan Data dan Konsultasi dengan Otoritas Pengawas. Sampai sejauh bahwa informasi yang diperlukan tersedia secara wajar bagi kami, dan Anda tidak dengan cara lain mempunyai akses ke informasi yang diperlukan, kami akan memberikan bantuan sewajarnya kepada Anda, dan dalam skala waktu yang Anda minta secara wajar, dalam hal penilaian dampak perlindungan data, dan konsultasi sebelumnya dengan otoritas pengawas, atau otoritas privasi data yang kompeten lainnya sampai sejauh yang diwajibkan oleh Undang-Undang Perlindungan Data Eropa.
f. Mekanisme Pemindahan untuk Pemindahan Data.
(A) SHL tidak akan memindahkan Data Eropa ke negara atau penerima mana pun yang tidak diakui menyediakan tingkat perlindungan yang memadai bagi Data Pribadi (dalam arti Undang-Undang Perlindungan Data Eropa yang berlaku), kecuali jika negara atau penerima tersebut terlebih dahulu mengambil semua tindakan sebagaimana yang diperlukan untuk memastikan pemindahan tersebut mematuhi Undang-Undang Perlindungan Data Eropa yang berlaku. Tindakan demikian dapat meliputi (tanpa batasan) pemindahan data demikian ke penerima yang dilindungi oleh kerangka kerja yang sesuai atau mekanisme pemindahan lain yang memadai secara hukum yang diakui oleh otoritas atau pengadilan yang relevan sebagai menyediakan tingkat perlindungan yang memadai untuk Data Pribadi, kepada penerima yang telah mendapatkan otorisasi peraturan korporat yang mengikat sesuai dengan Undang-Undang Perlindungan Data Eropa, atau kepada penerima yang telah menjalankan klausul kontrak standar yang sesuai dalam masing-masing kasus sebagaimana diadopsi atau disetujui sesuai dengan Undang-Undang Perlindungan Data Eropa yang berlaku.
(B) Para pihak mengakui dan menyetujui berikut ini:
(i) Klausul Kontrak Standar: SHL menyetujui untuk mematuhi dan memproses Data Eropa sesuai dengan Klausul Kontrak Standar. SHL Group telah mengesahkan Perjanjian Intragrup yang mencakup Klausul Kontrak Standar untuk pemrosesan Data Pribadi di luar EEA. Berdasarkan permintaan Perusahaan, SHL dan Afiliasi yang Diizinkan SHL akan mengesahkan Klausul Kontrak Standar sebagai agen atas nama Perusahaan untuk pemindahan Data Pribadi di luar EEA.
(ii) Para pihak menyetujui bahwa (i) semata-mata untuk tujuan uraian Klausul Kontrak Standar, SHL akan dianggap sebagai "importir data" dan Perusahaan akan dianggap sebagai "eksportir data" (terlepas dari fakta bahwa Anda sendiri mungkin berlokasi di luar Eropa dan/atau bertindak sebagai pemroses atas nama pengendali pihak ketiga); dan (ii) jika dan sampai sejauh Klausul Kontrak Standar (bila berlaku) bertentangan dengan ketentuan mana pun dalam DPA ini, maka Klausul Kontrak Standar akan berlaku sejauh pertentangan demikian.
g. Demonstrasi Kepatuhan. Kami akan membuat semua informasi yang secara wajar diperlukan untuk menunjukkan kepatuhan terhadap kewajiban dalam Pasal 29 (Pemroses) GDPR. Anda mengakui dan menyetujui bahwa sertifikasi ISO 27001 kami yang berlaku pada saat itu akan digunakan untuk memenuhi permintaan audit atau inspeksi oleh atau atas nama Anda, dan kami akan membuat laporan demikian tersedia berdasarkan permintaan Anda. Lebih jauh, berdasarkan permintaan tertulis Anda, kami akan menyediakan respons tertulis (secara rahasia) untuk semua permintaan yang wajar akan informasi yang dibuat oleh Anda yang diperlukan untuk memastikan kepatuhan kami terhadap DPA ini, dengan ketentuan bahwa Anda tidak akan menggunakan hak ini lebih dari satu kali per tahun kalender.
8. Ketentuan Tambahan untuk Informasi Pribadi California
a. Lingkup Bagian 8. Bagian 'Ketentuan Tambahan untuk Informasi Pribadi California' dalam DPA akan berlaku hanya terkait dengan Informasi Pribadi California.
b. Peran Para Pihak. Ketika memproses Informasi Pribadi California sesuai dengan Petunjuk Anda, para pihak mengakui dan menyetujui bahwa Anda adalah Bisnis dan kami adalah Penyedia Layanan untuk tujuan CCPA.
c. Tanggung Jawab. Para pihak menyetujui bahwa kami akan Memproses Informasi Pribadi California sebagai Penyedia Layanan semata-mata hanya untuk tujuan melaksanakan Produk dan/atau Layanan di bawah Perjanjian ("Tujuan Bisnis") atau sebagaimana diizinkan lain oleh CCPA.
9. Ketentuan Tambahan untuk Informasi Pribadi POPIA
a. Lingkup Bagian 9. Bagian 'Ketentuan Tambahan untuk Informasi Pribadi POPIA' dalam DPA akan berlaku hanya sehubungan dengan Informasi Pribadi POPIA.
b. Peran Para Pihak. Ketika memproses Informasi Pribadi POPIA sesuai dengan Petunjuk Anda, para pihak mengakui dan menyetujui bahwa Anda adalah Pihak yang Bertanggung Jawab dan SHL adalah Operator untuk tujuan POPIA.
c. Tanggung Jawab. Para pihak menyetujui bahwa SHL akan Memproses Informasi Pribadi POPIA sebagai Operator semata-mata hanya untuk tujuan menyediakan Produk dan/atau Layanan di bawah Perjanjian ("Tujuan Bisnis") atau sebagaimana diizinkan lain oleh POPIA.
10. Ketentuan Tambahan untuk Informasi Pribadi PIPL
a. Lingkup Bagian 10. Bagian 'Ketentuan Tambahan untuk Informasi Pribadi PIPL' dalam DPA akan berlaku hanya sehubungan dengan Informasi Pribadi PIPL.
b. Peran Para Pihak. Ketika memproses Informasi Pribadi PIPL sesuai dengan Petunjuk Anda, para pihak mengakui dan menyetujui bahwa Anda adalah pemegang data dan SHL adalah pihak yang dipercaya untuk tujuan PIPL.
c. Tanggung Jawab. Para pihak menyetujui bahwa SHL akan Memproses Informasi Pribadi PIPL sebagai pihak yang dipercaya semata-mata hanya untuk tujuan menyediakan Produk dan/atau Layanan di bawah Perjanjian ("Tujuan Bisnis") atau sebagaimana diizinkan lain oleh PIPL.
11. Ketentuan Umum
a. Amendemen. Terlepas dari hal lain yang menentangnya dalam Perjanjian dan tanpa mengurangi bagian ‘Kepatuhan pada Petunjuk’ atau ‘Keamanan’ dalam DPA ini, kami senantiasa berhak untuk membuat pembaruan dan perubahan pada DPA ini.
b. Keterpisahan. Jika terdapat ketentuan tertentu dalam DPA ini yang dinyatakan sebagai tidak sah atau tidak dapat ditegakkan, maka keabsahan dan keberlakuan ketentuan-ketentuan lain dalam DPA ini tidak akan terpengaruh.
c. Batasan Tanggung Jawab. Tunduk pada Perjanjian, keseluruhan kewajiban agregat SHL yang timbul dari pelanggarannya terhadap kewajibannya sebagai Pemroses Data menurut DPA ini akan terbatas pada jumlah yang secara langsung diatribusikan pada tindakan atau kelalaian SHL untuk mematuhi DPA ini dalam menyediakan Produk dan/atau melaksanakan Layanan. Berikut ini akan dianggap sebagai ganti kerugian langsung yang dapat dipulihkan berdasarkan Perjanjian sejauh kerugian itu secara langsung merupakan akibat dari pelanggaran SHL terhadap DPA ini: (i) biaya dan pengeluaran yang dikeluarkan oleh Anda untuk menyelidiki dan memperbaiki kerusakan pada Data Pribadi; (ii) segala biaya yang dikeluarkan oleh Anda sehubungan dengan pemberitahuan yang diwajibkan secara hukum; (iii) denda, penalti, dan bunga yang dibebankan kepada Anda akibat pelanggaran tersebut; dan (iv) biaya pengacara yang wajar.
d. Hukum yang Mengatur. DPA ini diatur oleh dan ditafsirkan sesuai dengan undang-undang dan yurisdiksi yang ditetapkan dalam Perjanjian kecuali jika diwajibkan lain oleh Undang-Undang Perlindungan Data.
12. Pihak-Pihak dalam DPA ini
a. Afiliasi yang Diizinkan. Dengan menandatangani Perjanjian, Anda mengesahkan DPA ini atas nama Anda sendiri dan, sejauh yang diwajibkan oleh Undang-Undang Perlindungan Data yang berlaku, dalam nama dan atas nama Afiliasi yang Diizinkan Anda, dengan ini membentuk DPA yang terpisah antara kami dan masing-masing Afiliasi yang Diizinkan demikian, tunduk pada Perjanjian dan bagian ‘Ketentuan Umum’ dan ‘Pihak-Pihak dalam DPA ini’ dari DPA ini. Masing-masing Afiliasi yang Diizinkan setuju untuk terikat oleh kewajiban di bawah DPA ini dan, sampai sejauh yang berlaku, Perjanjian. Hanya untuk tujuan DPA ini, dan kecuali bila dinyatakan sebaliknya, istilah “Perusahaan” dan “Anda” akan meliputi Anda dan Afiliasi-afiliasi yang Diizinkan demikian.
b. Otorisasi. Entitas hukum yang menyetujui DPA ini sebagai Perusahaan menyatakan bahwa dirinya memiliki wewenang untuk menyetujui dan mengesahkan DPA ini untuk dan atas nama dirinya sendiri dan, bila sesuai, masing-masing Afiliasinya yang Diizinkan.
c. Pemulihan Hak. Kecuali bila Undang-Undang Perlindungan Data yang berlaku mewajibkan Afiliasi yang Diizinkan untuk menggunakan haknya atau mengupayakan sendiri pemulihan hak menurut DPA ini terhadap kami secara langsung, para pihak menyetujui bahwa (i) hanya entitas Perusahaan yang menjadi pihak yang mengadakan kontrak dalam Perjanjian akan menggunakan hak atau mengupayakan pemulihan hak yang mungkin dimiliki oleh Afiliasi yang Diizinkan berdasarkan DPA ini atas nama Afiliasinya, dan (ii) entitas Perusahaan yang menjadi pihak yang mengadakan kontrak dalam Perjanjian akan menggunakan hak demikian berdasarkan DPA ini tidak secara terpisah untuk setiap Afiliasi yang Diizinkan sendiri-sendiri tetapi secara gabungan untuk dirinya dan semua Afiliasinya yang Diizinkan bersama-sama. Entitas Perusahaan yang menjadi entitas dalam kontrak bertanggung jawab untuk mengoordinasi semua komunikasi dengan kami menurut DPA dan akan berhak untuk mengirimkan dan menerima komunikasi yang terkait dengan DPA ini atas nama Afiliasinya yang Diizinkan.
d. Hak lain. Para pihak menyetujui bahwa Anda akan, ketika meninjau kepatuhan kami terhadap DPA ini sesuai dengan bagian 'Demonstrasi Kepatuhan', mengambil semua tindakan yang wajar untuk membatasi dampak terhadap kami dan Afiliasi kami dengan menggabungkan beberapa permintaan audit yang dijalankan atas nama entitas Perusahaan yang merupakan pihak yang mengadakan kontrak dalam Perjanjian dan semua Afiliasinya yang Diizinkan dalam satu audit tunggal.
Tambahan Lampiran 1 untuk DPA - Perincian Pemrosesan
Tambahan Lampiran ini merupakan bagian dari DPA.
A: Pokok Bahasan Pemrosesan
Produk dan Layanan SHL, yaitu layanan penilaian bakat.
B: Sifat dan Tujuan Pemrosesan
Kami akan Memproses Data Pribadi sebagaimana diperlukan untuk menyediakan Produk dan/atau Layanan sesuai dengan Perjanjian, sebagaimana yang secara lebih jauh disebutkan dalam Formulir Pesanan, dan yang lebih jauh lagi diinstruksikan oleh Anda dalam penggunaan Anda atas Produk dan/atau Layanan.
Subjek Data akan mengikuti penilaian menggunakan sistem penilaian online SHL. Jawaban penilaian akan dievaluasi untuk menghasilkan laporan penilaian beserta hasil, yang akan SHL berikan kepada Perusahaan. SHL dapat melakukan survei atau operasi pemrosesan lain atas permintaan Perusahaan. Perusahaan akan memiliki akses ke data kandidat, termasuk hasil penilaian, dan antarmuka platform.
C. Durasi Pemrosesan
Tunduk pada bagian 'Penghapusan atau Pengembalian Data Pribadi' dalam DPA ini, kami akan Memproses Data Pribadi selama durasi Perjanjian, kecuali jika disepakati lain secara tertulis.
D: Kategori Subjek Data
Anda dan pengguna akhir Anda dapat menyerahkan Data Pribadi sewaktu menggunakan Produk dan/atau Layanan, sejauh yang ditetapkan dan dikendalikan oleh Anda/mereka semata-mata berdasarkan diskresi Anda/mereka, dan yang dapat meliputi, tetapi tidak terbatas pada Data Pribadi yang berkaitan dengan kategori Subjek Data berikut ini:
Kandidat karyawan dan/atau karyawan Perusahaan
E: Kategori Data Pribadi
Anda dan pengguna akhir Anda dapat menyerahkan Data Pribadi sewaktu menggunakan Produk dan/atau Layanan, sejauh yang ditetapkan dan dikendalikan oleh Anda/mereka semata-mata berdasarkan diskresi Anda/mereka, dan yang dapat meliputi, tetapi tidak terbatas pada kategori Data Pribadi berikut ini:
- Nama, Alamat Email, Jenis Kelamin, Bahasa, ID Perusahaan, informasi demografis karyawan, jawaban terhadap penilaian atau survei, rekaman audio, gambar visual
- Data Pribadi lain apa pun yang diminta oleh, diserahkan oleh, dikirimkan kepada, atau diterima oleh Anda, atau pengguna akhir Anda, sewaktu menggunakan Produk dan/atau Layanan.
F: Kategori data khusus (jika sesuai)
Para pihak tidak mengantisipasi pemindahan kategori data khusus.
G: Operasi pemrosesan
Data Pribadi akan Diproses sesuai dengan Perjanjian (termasuk DPA ini) dan dapat dilibatkan dalam aktivitas Pemrosesan berikut:
a. Penyimpanan dan Pemrosesan lain yang diperlukan untuk menyediakan, mempertahankan, dan meningkatkan Produk dan/atau Layanan yang disediakan bagi Anda, dan/atau
b. Pengungkapan sesuai dengan Perjanjian (termasuk DPA ini) dan/atau yang diwajibkan oleh hukum yang berlaku.
Tambahan Lampiran 2 untuk DPA - Tindakan Keamanan
Kami saat ini mematuhi Tindakan Keamanan yang diuraikan dalam Kebijakan Keamanan Informasi SHL yang tersedia di sini: https://www.shl.com/legal/security-and-compliance/information-security/