Tambahan Pemrosesan Data Brisk

Tanggal Efektif: 22 Agustus 2024

Adendum Pemrosesan Data ini (”DPA“) melengkapi dan membentuk bagian dari perjanjian antara Brisk Labs Corp. (”Cepat“) dan Lembaga Pendidikan atau (jika berlaku) Guru sehubungan dengan transfer dan pemrosesan Data yang Tercakup sehubungan dengan penyediaan Layanan.

1. DEFINISI
1.1

Kecuali didefinisikan lain dalam DPA ini, istilah dengan huruf kapital yang digunakan tetapi tidak didefinisikan dalam DPA ini akan memiliki arti yang ditetapkan dalam Perjanjian. Istilah huruf kapital berikut yang digunakan dalam DPA ini akan didefinisikan sebagai berikut:
Perjanjian“berarti perjanjian yang dibuat antara Brisk dan Pelanggan yang menggabungkan persyaratan di https://www.briskteaching.com/terms atau seperti yang disepakati antara para pihak.
Hukum Perlindungan Data yang Berlaku“berarti semua hukum, aturan, peraturan, dan persyaratan pemerintah yang berlaku yang berkaitan dengan privasi, kerahasiaan, atau keamanan Data Pribadi, karena dapat diubah atau diperbarui dari waktu ke waktu, termasuk (tanpa batasan) GDPR.
Sub-Prosesor Resmi“berarti Sub-pemroses yang tercantum dalam Jadwal 4, dan setiap Sub-pemroses lainnya yang ditunjuk sesuai dengan paragraf 7.4.
Tujuan Pengontrol“berarti: (a) melakukan penelitian dan pengembangan internal untuk mengembangkan, menguji, meningkatkan dan mengubah fungsionalitas produk dan layanan Brisk; (b) membuat kumpulan data anonim untuk pelatihan atau evaluasi produk dan layanan Brisk; dan (c) mengelola akun Pelanggan pada Layanan dan mengelola hubungan Brisk dengan Pelanggan berdasarkan Perjanjian, dalam setiap kasus sebagaimana dijelaskan lebih lanjut dalam Jadwal 1.
Data Tercakup“berarti Data Pribadi yang: (a) diberikan oleh atau atas nama Pelanggan kepada Brisk sehubungan dengan penyediaan Layanan; atau (b) diperoleh, dikembangkan, diproduksi atau diproses oleh Brisk, atau agen atau subkontraktornya, untuk tujuan penyediaan Layanan, dalam setiap kasus sebagaimana dijelaskan lebih lanjut dalam Jadwal 1.
Pelanggan“berarti Lembaga Pendidikan atau Guru yang menandatangani Perjanjian dengan Brisk sehubungan dengan Layanan.
Subjek Data“memiliki arti yang diberikan padanya dalam GDPR.
Tanggal Efektif“berarti tanggal Brisk dan Pelanggan masuk ke dalam Perjanjian.
GDPR“berarti Peraturan (UE) 2016/679 (the”EU GDPR“) atau, jika berlaku,”UK GDPR“, sebagaimana didefinisikan dalam bagian 3 (10) Undang-Undang Perlindungan Data 2018.
Data Pribadi“memiliki arti yang diberikan padanya dalam GDPR.
Pengolahan“memiliki arti yang diberikan padanya dalam GDPR, dan”Proses“,”Proses“dan”Diproses“akan ditafsirkan sesuai dengan itu.
Insiden Keamanan“berarti pelanggaran keamanan yang mengarah pada penghancuran, kehilangan, perubahan, pengungkapan yang tidak sah, atau akses tidak sah ke (termasuk akses internal yang tidak sah ke), Data Tercakup.
Klausul Kontrak Standar“atau”SCC“berarti Klausul Kontrak Standar yang dilampirkan pada Keputusan Pelaksana Komisi (UE) 2021/914 dan tersedia di https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en.
Sub-prosesor“berarti prosesor yang dilibatkan oleh prosesor lain untuk melaksanakan instruksi pengontrol.
Hukum Perlindungan Data Swiss“berarti Undang-Undang Federal Swiss tentang Perlindungan Data tanggal 25 September 2020 (”FADDLE“) dan Ordonansi Perlindungan Data Swiss tanggal 31 Agustus 2022 (the”Peraturan“), dan setiap versi baru atau revisi dari undang-undang ini yang mungkin mulai berlaku dari waktu ke waktu.

1.2

Istilah”pengontrol“dan”pemroses“memiliki makna yang diberikan kepada mereka dalam GDPR.

2. INTERAKSI DENGAN PERJANJIAN
2.1

DPA ini dimasukkan ke dalam dan merupakan bagian integral dari Perjanjian. DPA ini melengkapi dan (jika ada kontradiksi) menggantikan Perjanjian sehubungan dengan Pemrosesan Data yang Tercakup.

3. PERAN PARA PIHAK
3.1

Para Pihak mengakui dan menyetujui bahwa:

  1. kecuali sebagaimana diatur dalam paragraf 3.1, Brisk Memproses Data Tercakup sebagai pemroses dalam pelaksanaan kewajibannya berdasarkan Perjanjian dan DPA dan Pelanggan ini bertindak sebagai pengontrol; dan
  2. Brisk bertindak sebagai pengontrol sehubungan dengan Pemrosesan Data Tercakup untuk Tujuan Pengontrol sebagaimana diidentifikasi dalam Jadwal 1.
4. RINCIAN PEMROSESAN DATA
4.1

Rincian Pemrosesan Data Pribadi berdasarkan Perjanjian dan DPA ini (termasuk pokok bahasan, sifat dan tujuan Pemrosesan, kategori Data Pribadi dan Subjek Data) dijelaskan dalam Perjanjian dan dalam Jadwal 1 untuk DPA ini.

4.2

Selain sehubungan dengan Pemrosesan Data Tercakup untuk Tujuan Pengontrol:

  1. Brisk hanya akan Memproses Data Tercakup berdasarkan instruksi yang diberikan oleh Pelanggan dan sesuai dengan Undang-Undang Perlindungan Data yang Berlaku; dan
  2. Perjanjian dan DPA ini merupakan instruksi kepada Brisk untuk Pemrosesan Data Tercakup oleh Brisk, dan Pelanggan dapat mengeluarkan instruksi tertulis lebih lanjut sesuai dengan DPA ini.
4.3

Brisk akan:

  1. memberikan informasi kepada Pelanggan untuk memungkinkan Pelanggan melakukan dan mendokumentasikan setiap penilaian dampak perlindungan data dan konsultasi sebelumnya dengan otoritas pengawas yang diperlukan berdasarkan Undang-Undang Perlindungan Data yang Berlaku; dan
  2. segera menginformasikan Pelanggan jika, menurut pendapatnya, instruksi dari Pelanggan melanggar Undang-Undang Perlindungan Data yang Berlaku.
5. KEPATUHAN
5.1

Pelanggan harus mematuhi kewajibannya berdasarkan Undang-Undang Perlindungan Data yang Berlaku dan harus memastikan bahwa:

  1. setiap instruksi kepada Brisk sehubungan dengan Pemrosesan Data yang Tercakup mematuhi Undang-Undang Perlindungan Data yang Berlaku;
  2. memberikan informasi tersebut kepada Subjek Data mengenai Pemrosesan Data yang Tercakup oleh Brisk sebagaimana diwajibkan berdasarkan Undang-Undang Perlindungan Data yang Berlaku;
  3. segera memberi tahu Brisk tentang permintaan apa pun yang diterima dari Subjek Data untuk menggunakan hak-hak mereka berdasarkan Undang-Undang Perlindungan Data yang Berlaku.
6. KERAHASIAAN DAN PENGUNGKAPAN
6.1

Brisk harus:

  1. membatasi akses ke Data Tercakup untuk personel yang memiliki kebutuhan bisnis untuk memiliki akses ke Data Tercakup tersebut; dan
  2. memastikan bahwa personel tersebut tunduk pada kewajiban sekurang-kurangnya melindungi Data Tercakup seperti ketentuan DPA ini dan Perjanjian, termasuk tugas kerahasiaan sehubungan dengan Data Tercakup yang dapat mereka akses.
7. DEFINISI
7.1

Brisk dapat Memproses Data Tercakup di mana saja di mana Brisk atau Sub-pemprosesornya memelihara fasilitas, tunduk pada sisa paragraf 7 ini dan pembatasan apa pun pada transfer selanjutnya yang terkandung dalam SCC.

7.2

Pelanggan memberikan otorisasi umum Brisk untuk melibatkan Sub-Pemroses Resmi untuk Memproses Data yang Tercakup.

7.3

Brisk harus:

  1. menandatangani perjanjian tertulis dengan masing-masing Sub-Pemroses Resmi yang memberlakukan kewajiban perlindungan data yang, pada dasarnya, tidak kalah melindungi Data Tercakup daripada kewajiban Brisk berdasarkan DPA ini; dan
  2. tetap bertanggung jawab atas kepatuhan setiap Sub-Pemroses Resmi terhadap kewajiban berdasarkan DPA ini.
7.4

Brisk akan memberi Pelanggan pemberitahuan setidaknya empat belas (14) hari sebelumnya tentang setiap perubahan yang diusulkan pada Sub-Pemroses Resmi. Pelanggan harus memberi tahu Brisk jika keberatan dengan perubahan yang diusulkan kepada Sub-Pemroses Resmi (termasuk, jika berlaku, ketika menggunakan haknya untuk keberatan berdasarkan klausul 9 (a) SCC) dengan memberikan pemberitahuan tertulis tentang keberatan kepada Brisk dalam waktu tujuh (7) hari setelah Brisk memberikan pemberitahuan kepada Pelanggan tentang perubahan yang diusulkan tersebut (an”Keberatan“).

7.5

Dalam hal Pelanggan mengajukan Keberatan, Brisk dan Pelanggan akan bekerja sama dengan itikad baik untuk menemukan resolusi yang dapat diterima bersama untuk mengatasi Keberatan tersebut. Jika Brisk dan Pelanggan tidak dapat mencapai resolusi yang dapat diterima bersama dalam jangka waktu yang wajar, yang tidak boleh melebihi tiga puluh (30) hari, Brisk dapat mengakhiri bagian Perjanjian yang berkaitan dengan Layanan yang terpengaruh oleh perubahan tersebut dengan memberikan pemberitahuan tertulis kepada Pelanggan.

8. PERMINTAAN HAK SUBJEK DATA
8.1

Brisk akan memberi tahu Pelanggan tanpa penundaan yang tidak semestinya tentang permintaan apa pun yang diterima oleh Brisk atau Sub-Pemroses Resmi dari Subjek Data untuk menegaskan hak-hak mereka berdasarkan Undang-Undang Perlindungan Data yang Berlaku sehubungan dengan Data Tercakup yang Diproses oleh Brisk sebagai pemroses atau Sub-pemroses (a”Permintaan Subjek Data“).

8.2

Selain sehubungan dengan Pemrosesan Data Tercakup oleh Brisk untuk Tujuan Pengontrol, seperti antara Brisk dan Pelanggan, Pelanggan akan memiliki kebijaksanaan tunggal dalam menanggapi Permintaan Subjek Data. Brisk tidak akan menanggapi Permintaan Subjek Data tanpa persetujuan Pelanggan sebelumnya, kecuali bahwa Brisk dapat memberi tahu Subjek Data bahwa permintaan mereka telah diteruskan kepada Pelanggan.

8.3

Brisk akan memberikan bantuan yang wajar kepada Pelanggan sebagaimana diperlukan bagi Pelanggan untuk memenuhi kewajibannya berdasarkan Undang-Undang Perlindungan Data yang Berlaku untuk menanggapi Permintaan Subjek Data sehubungan dengan Data yang Tercakup.

9. KEAMANAN
9.1

Brisk akan menerapkan dan memelihara perlindungan data teknis dan organisasi yang sesuai dan langkah-langkah keamanan yang dirancang untuk memastikan keamanan Data yang Tercakup, termasuk, tanpa batasan, perlindungan terhadap Pemrosesan yang tidak sah atau melanggar hukum dan terhadap kehilangan, penghancuran, atau kerusakan yang tidak disengaja atau terhadap Data yang Tercakup.

9.2

Saat menilai tingkat keamanan yang sesuai, Brisk harus mempertimbangkan sifat, ruang lingkup, konteks dan tujuan Pemrosesan serta risiko yang ditimbulkan oleh Pemrosesan, khususnya dari penghancuran yang tidak disengaja atau melanggar hukum, kehilangan, perubahan, pengungkapan yang tidak sah, atau akses ke Data yang Tercakup.

9.3

Brisk akan menerapkan dan mempertahankan sebagai standar minimum langkah-langkah yang ditetapkan dalam Jadwal 2.

10. INFORMASI DAN AUDIT
10.1

Pelanggan dapat mengaudit kepatuhan Brisk terhadap DPA ini sehubungan dengan Pemrosesan Data Tercakup. Para Pihak sepakat bahwa semua audit tersebut akan dilakukan:

  1. tidak lebih dari setahun, kecuali audit yang lebih sering diperlukan oleh otoritas pengawas dengan yurisdiksi atas Pemrosesan Data yang Tercakup atau sebaliknya berdasarkan Undang-Undang Perlindungan Data yang Berlaku;
  2. atas pemberitahuan tertulis yang wajar kepada Brisk;
  3. hanya selama jam kerja normal Brisk; dan
  4. dengan cara yang tidak secara material mengganggu bisnis atau operasi Brisk.
10.2

Sehubungan dengan setiap audit yang dilakukan sesuai dengan paragraf 10.3: beberapa teks

  1. Nasabah dapat melibatkan auditor pihak ketiga untuk melakukan audit atas namanya, kecuali bahwa Brisk dapat secara wajar menolak keterlibatan auditor pihak ketiga jika auditor pihak ketiga tersebut adalah pesaing Brisk; dan
  2. Brisk tidak diwajibkan untuk memfasilitasi audit semacam itu kecuali dan sampai Para Pihak telah menyetujui secara tertulis ruang lingkup dan waktu audit tersebut.
10.3

Pelanggan harus segera memberi tahu Brisk tentang ketidakpatuhan yang ditemukan selama audit.

10.4

Hasil audit harus menjadi informasi rahasia Brisk.

10.5

Brisk akan memberikan kepada Pelanggan atas permintaan, atau dapat memberikan kepada Pelanggan sebagai tanggapan atas permintaan audit yang diajukan oleh Pelanggan kepada Brisk, salah satu dari berikut ini:

  1. sertifikasi kepatuhan perlindungan data yang dikeluarkan oleh penerbit sertifikasi yang diterima secara umum yang telah diaudit oleh pakar keamanan data, atau oleh perusahaan audit bersertifikat publik; atau
  2. dokumentasi lain tersebut secara wajar membuktikan penerapan langkah-langkah keamanan data teknis dan organisasi sesuai dengan standar industri.
10.6

Jika audit yang diminta oleh Pelanggan dibahas dalam dokumen atau sertifikasi yang diberikan oleh Brisk sesuai dengan paragraf 10.7, dan:

  1. sertifikasi atau dokumentasi diberi tanggal dalam waktu dua belas (12) bulan sejak permintaan audit Pelanggan; dan
  2. Brisk menegaskan bahwa tidak ada perubahan material yang diketahui dalam kontrol yang diaudit,

Pelanggan setuju untuk menerima sertifikasi atau dokumentasi tersebut sebagai pengganti melakukan audit fisik terhadap kontrol yang dicakup oleh sertifikasi atau dokumentasi yang relevan.

11. INSIDEN KEAMANAN
11.1

Brisk akan memberi tahu Pelanggan secara tertulis tanpa penundaan yang tidak semestinya setelah mengetahui adanya Insiden Keamanan.

11.2

Brisk akan mengambil langkah-langkah yang wajar untuk menahan, menyelidiki, dan mengurangi setiap Insiden Keamanan, dan akan mengirimkan informasi tepat waktu kepada Pelanggan tentang Insiden Keamanan, sejauh diketahui oleh Brisk atau saat informasi tersedia untuk Brisk, termasuk, tetapi tidak terbatas pada, sifat Insiden Keamanan, langkah-langkah yang diambil untuk mengurangi atau menahan Insiden Keamanan, dan status penyelidikan.

11.3

Brisk akan memberikan bantuan yang wajar dengan penyelidikan Pelanggan (atau, jika berlaku, Pelanggan) atas setiap Insiden Keamanan dan kewajiban Pelanggan (atau, jika berlaku, Pelanggan) sehubungan dengan Insiden Keamanan berdasarkan Undang-Undang Perlindungan Data yang Berlaku, termasuk pemberitahuan apa pun kepada Subjek Data atau otoritas pengawas.

11.4

Pemberitahuan atau tanggapan Brisk terhadap Insiden Keamanan berdasarkan paragraf 11 ini tidak akan ditafsirkan sebagai pengakuan oleh Brisk atas kesalahan atau kewajiban apa pun sehubungan dengan Insiden Keamanan.

12. ISTILAH, PENGHAPUSAN DAN PENGEMBALIAN
12.1

DPA ini akan dimulai pada Tanggal Efektif dan, terlepas dari penghentian Perjanjian, akan tetap berlaku sampai, dan secara otomatis berakhir pada, penghapusan semua Data Tercakup oleh Brisk sebagaimana dijelaskan dalam DPA ini.

12.2

Brisk harus:

  1. jika diminta untuk melakukannya oleh Pelanggan (atas nama Pelanggan, sebagaimana mestinya) dalam waktu tiga puluh (30) hari sejak berakhirnya Perjanjian (”Periode Retensi“), memberikan salinan semua Data Tercakup dalam format yang umum digunakan seperti yang diminta oleh Pelanggan, atau menyediakan fungsionalitas layanan mandiri yang memungkinkan Pelanggan mengunduh Data Tercakup tersebut; dan
  2. pada akhir Periode Penyimpanan, hapus semua salinan Data Tercakup yang Diproses oleh Brisk atau Sub-Pemroses Resmi, selain Data Tercakup yang harus disimpan oleh Brisk untuk mematuhi hukum yang berlaku, untuk mengejar atau membela klaim hukum atau untuk Tujuan Pengontrol.
13. TRANSFER INTERNASIONAL
13.1

Klausul Kontrak Standar, sebagaimana ditetapkan lebih lanjut dalam Jadwal 3, berlaku untuk transfer Data Tercakup dari Pelanggan ke Brisk, dan merupakan bagian dari DPA ini.

13.2

Para Pihak setuju bahwa pelaksanaan Perjanjian akan memiliki efek yang sama dengan penandatanganan SCC.

JADWAL 1: Rincian Pemrosesan
A. Daftar Pihak
B. Deskripsi Pengolahan
C. Otoritas Pengawas yang Kompeten

Otoritas pengawas yang kompeten adalah Komisaris Perlindungan Data Irlandia.

JADWAL 2: Tindakan Teknis dan Organisasi

Pendahuluan

Brisk menggunakan kombinasi kebijakan, prosedur, pedoman dan kontrol teknis dan fisik untuk melindungi data pribadi yang diprosesnya dari kehilangan yang tidak disengaja dan akses, pengungkapan, atau penghancuran yang tidak sah.

Tata Kelola dan Kebijakan

Brisk menugaskan personel dengan tanggung jawab untuk penentuan, peninjauan dan implementasi kebijakan dan tindakan keamanan.

Cepat:

  • telah mendokumentasikan langkah-langkah keamanan yang telah diterapkan dalam kebijakan keamanan dan/atau pedoman dan dokumen terkait lainnya;
  • meninjau langkah-langkah keamanan dan kebijakan secara teratur untuk memastikan mereka terus sesuai untuk data yang dilindungi.

Brisk menetapkan dan mengikuti konfigurasi aman untuk sistem dan perangkat lunak dan memastikan bahwa langkah-langkah keamanan dipertimbangkan selama inisiasi proyek dan pengembangan sistem TI baru.

Respons pelanggaran

Brisk memiliki rencana respons pelanggaran yang telah dikembangkan untuk mengatasi peristiwa pelanggaran data. Rencana ini diuji dan diperbarui secara berkala.

Pertahanan intrusi, anti-virus, dan anti-malware

Sistem TI Brisk yang digunakan untuk memproses data pribadi memiliki perangkat lunak keamanan data yang sesuai yang diinstal pada mereka, termasuk firewall standar industri, anti-virus, anti-malware, dan sistem deteksi intrusi.

Brisk mengumpulkan, memelihara, dan meninjau log peristiwa untuk mengidentifikasi aktivitas yang mencurigakan.

Kontrol akses

Brisk membatasi akses ke data pribadi dengan menerapkan kontrol akses yang tepat, termasuk:

  • membatasi hak akses administratif dan penggunaan akun administratif;
  • mengubah semua kata sandi default sebelum menerapkan sistem operasi, aset atau aplikasi;
  • mewajibkan otentikasi dan otorisasi untuk mendapatkan akses ke sistem TI (yaitu mengharuskan pengguna untuk memasukkan id pengguna dan kata sandi sebelum mereka diizinkan mengakses sistem TI);
  • langkah-langkah untuk memastikan akses hak istimewa paling sedikit ke sistem TI;
  • prosedur yang tepat untuk mengendalikan alokasi dan pencabutan hak akses data pribadi. Misalnya, memiliki prosedur yang tepat untuk mencabut akses karyawan ke sistem TI ketika mereka meninggalkan pekerjaan mereka atau mengubah peran;
  • penggunaan otentikasi multi-faktor untuk mengakses data pada sistem Brisk;
  • batas waktu otomatis dan penguncian terminal pengguna jika dibiarkan idle;
  • akses ke sistem TI diblokir setelah beberapa upaya gagal untuk memasukkan otentikasi dan/atau detail otorisasi yang benar;
  • pemantauan dan pencatatan akses ke sistem TI;
  • pemantauan dan pencatatan amandemen data atau file pada sistem TI.

Ketersediaan dan Cadangan data pribadi

Brisk memiliki rencana pemulihan bencana terdokumentasi yang memastikan bahwa sistem dan data kunci dapat dipulihkan tepat waktu jika terjadi insiden fisik atau teknis. Rencana ini diuji dan diperbarui secara berkala.

Brisk secara teratur membuat cadangan informasi pada sistem TI dan menyimpan cadangan di lokasi yang terpisah. Cadangan informasi diuji secara teratur.

Segmentasi data pribadi

Cepat:

  • memisahkan dan membatasi akses antar komponen jaringan dan, jika sesuai, menerapkan langkah-langkah untuk menyediakan pemrosesan terpisah (penyimpanan, amandemen, penghapusan, transmisi) data pribadi yang dikumpulkan dan digunakan untuk tujuan yang berbeda;
  • tidak menggunakan data langsung untuk menguji sistemnya.

Pembuangan peralatan TI

Cepat:

  • memiliki proses untuk menghapus semua data pribadi dengan aman sebelum membuang sistem TI;
  • menggunakan teknologi yang tepat untuk membersihkan peralatan dari data.

Enkripsi

Brisk mengenkripsi data saat diam menggunakan AES-256 dan dalam transit menggunakan TLS 1.2 atau lebih tinggi.

Kunci enkripsi disimpan secara terpisah dari informasi terenkripsi.

Transmisi atau pengangkutan data pribadi

Kontrol yang tepat diterapkan oleh Brisk untuk mengamankan data pribadi selama transmisi atau transit, termasuk:

  • enkripsi dalam transit;
  • mencatat data pribadi saat dikirim secara elektronik.

Pengerasan perangkat

Brisk memastikan bahwa semua mesin virtual dikeraskan sesuai dengan Benchmark Center for Internet Security (CIS).

Manajemen Aset dan Perangkat Lunak

Brisk memelihara inventaris aset TI dan data yang disimpan di dalamnya, bersama dengan daftar pemilik aset TI yang relevan.

Cepat:

  • mendokumentasikan dan menerapkan aturan untuk penggunaan aset TI yang dapat diterima.
  • memerlukan otentikasi tingkat jaringan dan menggunakan sertifikat klien untuk memvalidasi dan mengotentikasi sistem;
  • menyebarkan alat manajemen patch otomatis dan alat pembaruan perangkat lunak untuk sistem operasi dan perangkat lunak;
  • secara proaktif memantau kerentanan perangkat lunak dan segera mengimplementasikan patch di luar siklus;
  • mengizinkan penggunaan hanya versi terbaru dari browser web dan klien email yang didukung penuh.

Brisk menyimpan semua kunci API dengan aman, termasuk sebagai berikut:

  • Brisk menyimpan kunci API langsung di variabel lingkungannya;
  • Brisk tidak menyimpan kunci API di sisi klien;
  • Brisk tidak menerbitkan kredenSIAL kunci API di repositori kode online (baik pribadi atau tidak); dan
  • Brisk menggunakan alat manajemen kunci API untuk mengambil dan mengelola kredenSIAL untuk proyek pengembangan besar.

Pelatihan dan kesadaran staf

Perjanjian Brisk dengan staf dan kontraktor dan buku pegangan karyawan menetapkan tanggung jawab personelnya sehubungan dengan keamanan informasi.

Brisk melakukan:

  • pelatihan staf secara teratur tentang masalah keamanan data dan privasi yang relevan dengan peran pekerjaan mereka dan memastikan bahwa pemula baru menerima pelatihan yang sesuai sebelum mereka memulai peran mereka (sebagai bagian dari prosedur naik pesawat);
  • penyaringan yang tepat dan pemeriksaan latar belakang pada individu yang memiliki akses ke data pribadi sensitif.

Brisk memastikan bahwa tanggung jawab keamanan informasi yang berlaku segera sebelum pemutusan hubungan kerja atau perubahan pekerjaan dan yang berlaku setelah pemutusan hubungan kerja dikomunikasikan dan dilaksanakan.

Staf tunduk pada tindakan disipliner untuk pelanggaran kebijakan dan prosedur Brisk yang berkaitan dengan privasi dan keamanan data.

Pemilihan penyedia layanan dan komisi layanan

Brisk menilai kemampuan penyedia layanan untuk memenuhi persyaratan keamanan mereka sebelum melibatkan mereka.

Brisk memiliki kontrak tertulis dengan penyedia layanan yang mengharuskan mereka untuk menerapkan langkah-langkah keamanan yang tepat untuk melindungi data pribadi yang mereka akses dan membatasi penggunaan data pribadi sesuai dengan instruksi Brisk.

Bagian 2

Bantuan dengan Permintaan Hak Subjek Data

Brisk telah menerapkan kebijakan dan langkah-langkah yang tepat untuk mengidentifikasi dan menangani permintaan hak subjek data, termasuk:

  • Brisk menyimpan catatan yang akurat untuk memungkinkannya mengidentifikasi dengan cepat semua data pribadi yang diproses atas nama Pelanggan; dan
  • cadangan data pribadi yang diproses oleh Brisk atas nama Pelanggan diganti secara teratur dan dalam hal apa pun setiap tiga puluh (30) hari untuk memastikan permintaan penghapusan dan perbaikan ditindaklanjuti sepenuhnya.
JADWAL 3: KLAUSUL KONTRAK STANDAR
1. EU SCCS

Sehubungan dengan transfer apa pun yang dimaksud dalam klausul 13, Klausul Kontrak Standar harus diselesaikan sebagai berikut:

1.1

Modul Dua (pengontrol ke prosesor), atau sebagaimana mestinya, Modul Tiga (prosesor ke prosesor) dari SCC akan berlaku untuk Pemrosesan Data Tercakup oleh Brisk.

1.2

Klausul 7 dari Klausul Kontrak Standar (Klausul Docking) tidak berlaku.

1.3

Opsi 2 dari Klausul 9 (a) (Otorisasi tertulis umum) akan berlaku, dan jangka waktu yang akan ditentukan ditentukan dalam klausul 7.4 DPA.

1.4

Opsi dalam Klausul 11 (a) dari Klausul Kontrak Standar (Badan penyelesaian sengketa independen) tidak berlaku.

1.5

Com relação à Cláusula 17 das Cláusulas Contratuais Padrão (Lei vigente), as Partes concordam que a opção 1 será aplicada e que a lei aplicável será a lei irlandesa.

1.6

Na Cláusula 18 das Cláusulas Contratuais Padrão (Escolha do fórum e jurisdição), as Partes se submetem à jurisdição dos tribunais da Irlanda.

1.7

Para os fins do Anexo I das Cláusulas Contratuais Padrão, o Anexo 1 do DPA contém as especificações relativas às partes, a descrição da transferência e a autoridade supervisora competente.

1,8

Para os fins do Anexo II das Cláusulas Contratuais Padrão, o Anexo 2 do DPA contém as medidas técnicas e organizacionais.

2. Adendo do Reino Unido
2.1

Este parágrafo 2 (Adendo do Reino Unido) se aplicará a qualquer transferência de Dados Cobertos do Cliente (como exportador de dados) para a Brisk (como importador de dados), na medida em que:

  1. as Leis de Proteção de Dados do Reino Unido se aplicam ao Cliente ao fazer essa transferência; ou
  2. a transferência é uma “transferência subsequente”, conforme definido no Adendo Aprovado.
2.2

Conforme usado neste parágrafo 2:

Adendo aprovado“significa o modelo de adendo, versão B.1.0, emitido pelo Comissário de Informação do Reino Unido sob a Lei de Proteção de Dados S119A (1) de 2018 e apresentado ao Parlamento do Reino Unido em 2 de fevereiro de 2022, pois pode ser revisado de acordo com a Seção 18 do Adendo Aprovado.

Leis de proteção de dados do Reino Unido“significa todas as leis relacionadas à proteção de dados, processamento de dados pessoais, privacidade e/ou comunicações eletrônicas em vigor de tempos em tempos no Reino Unido, incluindo o GDPR do Reino Unido e a Lei de Proteção de Dados de 2018.

2.3

O Adendo Aprovado fará parte deste DPA com relação a quaisquer transferências referidas no parágrafo 2.1, e a execução deste DPA terá o mesmo efeito que a assinatura do Adendo Aprovado.

2.4

O Adendo Aprovado será considerado concluído da seguinte forma: algum texto

  1. o “Adendo das SCCs da UE” deve se referir às SCCs conforme elas são incorporadas neste Contrato, de acordo com a cláusula 13 e este Anexo 3;
  2. A Tabela 1 do Adendo Aprovado deve ser preenchida com os detalhes no parágrafo A do Anexo 1;
  3. as “Informações do Apêndice” devem se referir às informações estabelecidas no Anexo 1 e no Anexo 2
  4. para os fins da Tabela 4 do Adendo Aprovado, a Brisk (como importadora de dados) pode encerrar este DPA, na medida em que o Adendo Aprovado se aplique, de acordo com a Seção‎19 do Adendo Aprovado; e
  5. A seção 16 do Adendo Aprovado não se aplica.
3. Adendo suíço
3.1

Este Adendo Suíço se aplicará a qualquer processamento de dados cobertos que esteja sujeito às leis suíças de proteção de dados.

3.2

Interpretação deste Adendo

  1. Quando este Adendo usa termos definidos nas Cláusulas Contratuais Padrão, esses termos terão o mesmo significado que nas Cláusulas Contratuais Padrão. Além disso, os termos a seguir têm os seguintes significados:

    Adendo“significa este adendo às Cláusulas;
    Cláusulas“significa as Cláusulas Contratuais Padrão incorporadas a este DPA de acordo com o parágrafo 13 e conforme especificado mais detalhadamente neste Anexo 3; e
    FDPIC“significa o Comissário Federal de Proteção de Dados e Informações.
  1. Este Adendo deve ser lido e interpretado de forma consistente com as leis suíças de proteção de dados e para que cumpra as obrigações das Partes nos termos do artigo 16 (2) (d) do FADP.
  2. Este Adendo não será interpretado de forma que entre em conflito com os direitos e obrigações previstos nas leis suíças de proteção de dados.
  3. Qualquer referência à legislação (ou disposições específicas da legislação) significa que a legislação (ou disposição específica) pode mudar ao longo do tempo. Isso inclui quando essa legislação (ou disposição específica) foi consolidada, repromulgada e/ou substituída após a celebração deste Adendo Suíço.
  4. Em relação a qualquer processamento de dados pessoais sujeito às leis suíças de proteção de dados, este Adendo altera e complementa as Cláusulas na medida do necessário para que funcionem: algum texto
    1. para transferências feitas pelo exportador de dados para o importador de dados, na medida em que as leis suíças de proteção de dados se apliquem ao processamento do exportador de dados ao fazer essa transferência; e
    2. como cláusulas padrão de proteção de dados aprovadas, emitidas ou reconhecidas pelo FDPIC para os fins do artigo 16 (2) (d) do FADP.

3.3

Hierarquia

Em caso de conflito ou inconsistência entre este Adendo e as disposições das Cláusulas ou outros acordos relacionados entre as Partes, existentes no momento em que este Adendo for acordado ou celebrado posteriormente, as disposições que fornecem a maior proteção aos Titulares dos Dados prevalecerão.

3.4

Alterações nas cláusulas

  1. Na medida em que o processamento de dados pessoais pelo exportador de dados está sujeito exclusivamente às leis suíças de proteção de dados, ou a transferência de dados pessoais de um exportador de dados para um importador de dados de acordo com as Cláusulas é uma “transferência posterior” (conforme definido nas Cláusulas, conforme alterado pelo restante deste parágrafo 3.3 (a)), as seguintes emendas são feitas às Cláusulas:
    1. As referências às “Cláusulas” ou às “SCCs” significam este Adendo Suíço, pois altera os SCCs.
    2. A cláusula 6 A descrição da (s) transferência (ões) é substituída por:
    3. “Os detalhes das transferências e, em particular, as categorias de dados pessoais que são transferidos e as finalidades para as quais eles são transferidos, são aqueles especificados no Anexo 1 deste DPA, onde as leis suíças de proteção de dados se aplicam ao processamento do exportador de dados ao fazer essa transferência.”
    4. As referências ao “Regulamento (UE) 2016/679" ou “esse Regulamento” ou “" GDPR” são substituídas por “Leis suíças de proteção de dados” e as referências a artigos específicos do “Regulamento (UE) 2016/679" ou “GDPR” são substituídas pelo artigo ou seção equivalente das leis suíças de proteção de dados, conforme aplicável.
    5. As referências ao Regulamento (UE) 2018/1725 são removidas.
    6. As referências à “União Europeia”, “União”, “UE” e “Estado-Membro da UE” são todas substituídas por “Suíça”.
    7. A cláusula 13 (a) e a Parte C do Anexo I não são usadas; a “autoridade supervisora competente” é o FDPIC;
    8. A cláusula 17 é substituída para declarar: “Estas cláusulas são regidas pelas leis da Suíça”.
    9. A cláusula 18 é substituída para declarar: “Qualquer disputa decorrente dessas cláusulas relacionadas às leis suíças de proteção de dados será resolvida pelos tribunais da Suíça. Um titular de dados também pode abrir um processo judicial contra o exportador e/ou importador de dados perante os tribunais da Suíça nos quais ele/ela tem sua residência habitual. As Partes concordam em se submeter à jurisdição de tais tribunais.”
ANEXO 4: Subprocessadores autorizados