Skip to Main

Adendum Pemrosesan Data LexisNexis

1. RUANG LINGKUP DAN DEFINISI

1.1. Adendum Pemrosesan Data LexisNexis ("DPA") ini adalah bagian dari perjanjian (“Perjanjian”) antara pelanggan (“Anda”) dan entitas LexisNexis (“LN”, "kami", “kita”) yang menjadi dasar kami menyediakan layanan tertentu ("Layanan") kepada Anda dan, apabila sesuai, kepada afiliasi Anda, dan yang memuat acuan terhadap DPA ini.

1.12. “Undang-undang perlindungan data” berarti semua undang-undang, aturan, peraturan, keputusan, penetapan, dan persyaratan-persyaratan lainnya oleh pemerintah. Istilah-istilah “pengontrol”, “subjek data”, “data pribadi”, “pelanggaran data pribadi”, “pemrosesan”, dan “pemroses” memiliki arti yang diberikan kepada istilah-istilah tersebut dalam undang-undang perlindungan data, dan apabila undang-undang tersebut menggunakan istilah-istilah yang sepadan atau bersesuaian, seperti "informasi pribadi" alih-alih "data pribadi", istilah-istilah tersebut akan dibaca dengan makna yang sama dalam Perjanjian ini.

2. PEMROSESAN

2.1. Kami akan mengambil langkah-langkah teknis dan organisasi yang sesuai sedemikian rupa sehingga pemrosesan akan memenuhi persyaratan-persyaratan dari undang-undang perlindungan data, memastikan perlindungan atas hak-hak subjek data, dan memberikan standar perlindungan yang sekurang-kurangnya pada tingkat perlindungan yang sama seperti yang diharuskan berdasarkan undang-undang perlindungan data.

2.2. Pokok dari pemrosesan kami adalah data pribadi yang disediakan berkenaan dengan Layanan. Durasi pemrosesan adalah durasi penyediaan Layanan hingga penghapusan data pribadi sesuai dengan Perjanjian. Sifat dan tujuan dari pemrosesan adalah sebagaimana yang terkait dengan penyediaan Layanan. Jenis-jenis data pribadi yang diproses adalah jenis-jenis data yang dikirimkan ke Layanan. Kategori-kategori subjek data adalah para pihak pemilik data pribadi yang dikirimkan ke Layanan.

2.3. Sejauh kami memproses data pribadi atas nama Anda, kami akan:

  1. memproses data pribadi tersebut hanya atas instruksi Anda yang didokumentasikan, termasuk berkaitan dengan transfer data pribadi ke negara pihak ketiga atau organisasi internasional, kecuali apabila diharuskan oleh hukum yang berlaku yang berlaku terhadap kami; dalam hal tersebut, kami akan memberi tahu Anda tentang persyaratan hukum tersebut sebelum melakukan pemrosesan, kecuali apabila hukum tersebut melarang informasi tersebut dengan alasan-alasan penting mengenai kepentingan umum;
  2. memastikan bahwa orang yang diberikan kewenangan untuk memproses data pribadi telah berkomitmen terhadap kerahasiaan atau memikul kewajiban menjaga kerahasiaan berdasarkan undang-undang yang sesuai;
  3. mengambil semua langkah keamanan yang diharuskan sesuai dengan undang-undang perlindungan data;
  4. menghormati syarat-syarat yang dimaksud dalam ayat 3.1 dan ayat 3.2 untuk melibatkan pemroses lain;
  5. dengan mempertimbangkan sifat pemrosesan, membantu Anda dengan mengambil langkah-langkah teknis dan organisasional yang sesuai, sepanjang hal ini dimungkinkan, demi pemenuhan kewajiban Anda untuk menanggapi permintaan-permintaan guna melaksanakan hak-hak subjek data yang tertuang dalam undang-undang perlindungan data;
  6. membantu Anda dalam memastikan kepatuhan terhadap kewajiban-kewajiban sesuai dengan undang-undang perlindungan data dengan mempertimbangkan sifat dari pemrosesan dan informasi yang tersedia bagi kami;
  7. atas pilihan Anda, menghapus atau mengembalikan semua data pribadi kepada Anda setelah berakhirnya penyediaan layanan yang terkait dengan pemrosesan dan menghapus salinan-salinan yang ada, kecuali apabila hukum yang berlaku mengharuskan penyimpanan data pribadi tersebut;
  8. menyediakan bagi Anda semua informasi yang diperlukan untuk menunjukkan kepatuhan terhadap kewajiban-kewajiban yang tertuang dalam undang-undang perlindungan data dan mengizinkan serta memberikan kontribusi dalam audit, termasuk inspeksi, yang dilakukan oleh pihak Anda atau auditor lain yang Anda tugaskan;

3. PEMROSES SEKUNDER

3.1. Sejauh kami memproses data pribadi atas nama Anda, kami memiliki kewenangan umum dari Anda untuk melibatkan pemroses lain untuk pemrosesan data pribadi tersebut sesuai dengan DPA ini dari daftar pemroses kami di https://www.lexisnexis.com/global/privacy/subprocessors.page, yang dapat kami perbarui dari waktu ke waktu. Kami akan memberi tahu Anda tentang perubahan apa pun dengan memperbarui daftar tersebut di situs web kami minimal 14 hari sebelumnya. Anda dapat menyampaikan keberatan terhadap perubahan-perubahan tersebut dengan memberi tahu kami dalam 14 hari setelah pembaruan daftar tersebut dan menguraikan alasan-alasan keberatan Anda. Tanpa mengurangi hak-hak pengembalian dana atau pengakhiran apa pun yang Anda miliki berdasarkan Perjanjian, kami akan melakukan upaya-upaya yang wajar untuk menghindari pemrosesan data pribadi apa pun oleh pemroses baru tersebut yang secara wajar menjadi keberatan Anda.

3.2. Apabila kami melibatkan pemroses lain untuk melaksanakan kegiatan-kegiatan pemrosesan khusus atas nama Anda, kewajiban-kewajiban perlindungan data yang sama sebagaimana diuraikan dalam DPA ini, pada pokoknya, akan dikenakan terhadap pemroses lain tersebut melalui kontrak atau tindakan hukum lain berdasarkan hukum yang berlaku, khususnya yang memberikan jaminan yang cukup untuk melaksanakan langkah-langkah teknis dan organisasi yang sesuai dengan cara sedemikian rupa sehingga pemrosesan tersebut akan memenuhi persyaratan-persyaratan undang-undang perlindungan data. Apabila pemroses lain tersebut gagal memenuhi kewajiban-kewajiban perlindungan data tersebut, kami akan (dengan tunduk terhadap ketentuan-ketentuan Perjanjian) tetap bertanggung jawab penuh kepada Anda atas pelaksanaan kewajiban-kewajiban dari pemroses yang lain tersebut.

4. HAK-HAK SUBJEK DATA

4.1. Sejauh kami memproses data pribadi atas nama Anda, kami akan, sejauh diizinkan secara hukum, segera memberi tahu Anda tentang permintaan-permintaan hak subjek data yang kami terima.

4.2. Masing-masing pihak akan secara wajar bekerja sama dengan pihak yang lain untuk membantu pihak yang lain tersebut dalam memenuhi kewajiban-kewajibannya berdasarkan undang-undang perlindungan data terkait dengan permintaan-permintaan hak subjek data.

5. TRANSFER

5.1. Kami akan memastikan bahwa, sepanjang data pribadi apa pun yang berasal dari negara Anda ditransfer ke negara lain, transfer tersebut harus dalam pengamanan yang sesuai dengan undang-undang perlindungan data.

6. KEAMANAN PEMROSESAN

6.1. Dengan mempertimbangkan perkembangan terkini, biaya pelaksanaan dan sifat, ruang lingkup, konteks, dan tujuan pemrosesan serta risiko dengan berbagai kemungkinan dan tingkat keparahan untuk hak dan kebebasan orang perorangan, para pihak akan mengambil langkah-langkah teknis dan organisasi yang sesuai untuk memastikan tingkat keamanan yang sesuai dengan risikonya, termasuk antara lain, sebagaimana yang sesuai:

  1. penyamaran dan enkripsi data pribadi;
  2. kemampuan untuk memastikan kerahasiaan, keutuhan, ketersediaan dan ketahanan sistem pemrosesan serta layanan secara terus menerus;
  3. kemampuan untuk memulihkan ketersediaan dan akses ke data pribadi secara tepat waktu apabila terjadi insiden fisik atau teknis; dan
  4. proses untuk secara berkala menguji, menilai, dan mengevaluasi efektivitas langkah-langkah teknis dan organisasi untuk memastikan keamanan pemrosesan.

6.2. Dalam menilai tingkat keamanan yang sesuai, kami akan memperhitungkan risiko yang ditimbulkan oleh pemrosesan, khususnya karena kerusakan, kehilangan, perubahan, pengungkapan tanpa izin atas, atau akses yang tidak sah ke data pribadi yang dikirimkan, disimpan, atau yang diproses dengan cara lain.

6.3. Para pihak akan mengambil langkah-langkah yang wajar untuk memastikan bahwa siapa pun orang perorangan yang bertindak atas kewenangan salah satu pihak yang memiliki akses ke data pribadi tidak memproses data tersebut, selain atas perintah Anda, kecuali apabila mereka wajib melakukannya berdasarkan hukum yang berlaku.

7. PELANGGARAN ATAS DATA PRIBADI

7.1. Sepanjang kami memproses data pribadi atas nama Anda, kami akan memberi tahu Anda tanpa penundaan yang tidak wajar setelah mengetahui adanya pelanggaran data pribadi dan akan secara wajar menanggapi permintaan Anda akan informasi lebih lanjut untuk membantu Anda dalam memenuhi kewajiban-kewajiban Anda berdasarkan undang-undang perlindungan data.

8. CATATAN TENTANG KEGIATAN PEMROSESAN

8.1. Kami akan memelihara semua catatan yang diharuskan oleh undang-undang perlindungan data, sepanjang berlaku atas pemrosesan data pribadi atas nama Anda, dan menyediakannya kepada Anda sesuai kebutuhan Anda.

9. AUDIT

9.1. 9.1. Audit akan:

  1. tunduk terhadap pelaksanaan perjanjian kerahasiaan atau larangan pengungkapan informasi;
  2. dilakukan tidak lebih dari sekali per tahun, kecuali apabila ada keyakinan yang wajar yang ditunjukkan tentang ketidakpatuhan yang dilakukan terhadap Perjanjian yang telah dibuat, dengan pemberitahuan tertulis dalam 30 hari sebelumnya dan setelah menyediakan rencana untuk peninjauan tersebut; dan
  3. dilakukan pada waktu, tempat, dan dengan cara yang disepakati bersama.

10. KONFLIK

10.1. Apabila ada konflik apa pun antara ketentuan-ketentuan di dalam DPA ini dan Perjanjian, maka ketentuan-ketentuan di dalam DPA ini yang akan mengendalikan sepanjang diharuskan berdasarkan hukum

11. ISTILAH-ISTILAH KHUSUS YURISDIKSI

Sejauh kami sedang memproses data pribadi apa pun yang berasal dari atau yang dengan cara lain tunduk terhadap Undang-Undang Perlindungan Data dari yurisdiksi mana pun yang disebutkan di dalam lampiran Perjanjian ini, istilah-istilah yang di dalamnya berkenaan dengan yurisdiksi(-yurisdikasi) yang berlaku sesuai dengan istilah-istilah sebelumnya.

LAMPIRAN
Istilah-istilah Khusus Yurisdiksi

1. Kawasan Ekonomi Eropa, Inggris Raya (UK), dan Swiss

1.1. Sepanjang Anda mentransfer data pribadi dari Kawasan Ekonomi Eropa atau (European Economic Area – “EEA”), Inggris Raya (“UK”), atau Swiss ke LN yang berada di luar EEA, UK, atau Swiss, kecuali apabila para pihak mungkin mengandalkan mekanisme atau basis transfer alternatif berdasarkan undang-undang perlindungan data, para pihak akan dianggap telah menyepakati klausul-klausul kontrak standar yang disetujui oleh European Commission Implementing Decision (UE) 2021/914 tertanggal 4 Juni 2021 yang tersedia di http://data.europa.eu/eli/dec_impl/2021/914/oj (“Klausul”) berkaitan dengan transfer tersebut, di mana:

  1. catatan-catatan kaki, Klausul 11(a) Opsi dihapus, dan lampiran-lampiran yang berlaku dilengkapi masing-masing dengan informasi yang tertuang dalam DPA dan Perjanjian;
  2. sepanjang masing-masing pihak bertindak sebagai pengontrol, Modul Satu berlaku dan Modul Dua, Tiga, dan Empat dan Klausul 17 Opsi 2 dihapus;
  3. sepanjang Anda bertindak sebagai pengontrol dan LN bertindak sebagai pemroses, Modul Dua berlaku, Modul Satu, Tiga, dan Empat dan Klausul 17 Opsi 2 dihapus, Klausul 9(a) Opsi 1 dihapus dan jangka waktu dalam Klausul 9(a) Opsi 2 adalah 14 hari;
  4. sepanjang masing-masing pihak bertindak sebagai pemroses, Modul Tiga berlaku, Modul Satu, Dua, dan Empat dan Klausul 17 Opsi 2 dihapus, Klausul 9(a) Opsi 1 dihapus dan jangka waktu dalam Klausul 9(a) Opsi 2 adalah 14 hari;
  5. sepanjang masing-masing pihak bertindak sebagai pemroses, Modul Tiga berlaku, Modul Satu, Dua, dan Empat dihapus, Klausul 9(a) Opsi 1 dihapus dan jangka waktu dalam Opsi 2 adalah 14 hari;
  6. “otoritas pengawasan yang berwenang” adalah yang berada di tempat pendirian eksportir data;
  7. Klausul-Klausul diatur berdasarkan hukum dari negara tempat pendirian eksportir data;
  8. sengketa apa pun yang timbul dari Klausul-Klausul akan diselesaikan oleh pengadilan di negara tempat pendirian eksportir data; dan
  9. jika terdapat konflik atau pertentangan antara syarat-syarat Perjanjian dan Klausul-Klausul, maka Klausul-Klausul yang akan berlaku.

1.2. Terkait dengan transfer data pribadi dari UK, Klausul-Klausul sebagaimana diterapkan berdasarkan bagian 1.1 di atas akan berlaku pada modifikasi-modifikasi berikut ini:

  1. Klausul-Klausul diubah sebagaimana ditentukan oleh Bagian 2 adendum transfer data internasional pada klausul-klausul kontrak standar Komisi Eropa yang dikeluarkan berdasarkan Bagian 119A dari Undang-Undang Perlindungan Data UK tahun 2018, sebagaimana dapat diubah atau digantikan dari waktu ke waktu (“Adendum UK”);
  2. tabel 1 sampai 3 di Bagian 1 Adendum UK masing-masing dilengkapi dengan informasi yang tertuang dalam DPA dan Perjanjian (sebagaimana sesuai); dan
  3. tabel 4 di bagian 1 Adendum UK dilengkapi dengan memilih “bukan salah satu dari para pihak”.

1.3. Berkaitan dengan transfer data pribadi dari Swiss, Klausul-Klausul sebagaimana diterapkan berdasarkan bagian 1.1 di atas akan berlaku dengan mematuhi modifikasi berikut ini:

  1. acuan-acuan ke “Peraturan (UE) 2016/679” akan ditafsirkan sebagai acuan-acuan ke Undang-Undang Federal Swiss tentang Perlindungan Data (“FADP”);
  2. acuan-acuan ke Pasal-Pasal tertentu dari “Peraturan (UE) 2016/679” akan digantikan dengan pasal atau bagian yang sepadan pada FADP;
  3. acuan-acuan ke “UE”, “Uni”, “Negara Anggota” dan “hukum Negara Anggota” akan digantikan dengan acuan-acuan ke “Swiss” atau “hukum Swiss”, sebagaimana sesuai;
  4. istilah “negara anggota” tidak boleh ditafsirkan sedemikian rupa sehingga mengecualikan subjek-subjek data di Swiss dari kemungkinan pengaksesan hak-hak mereka;
  5. Klausul 13(a) dan Bagian C Lampiran I tidak digunakan dan “otoritas pengawasan yang berwenang” adalah Komisioner Informasi Perlindungan Data Federal Swiss;
  6. Klausul-Klausul diatur oleh hukum Swiss; dan
  7. sengketa apa pun yang timbul dari Klausul-Klausul akan diselesaikan oleh pengadilan di Swiss.

2. Brazil

2.1. Masing-masing pihak harus:

  1. mematuhi kewajiban-kewajibannya berdasarkan Undang-Undang Perlindungan Data Umum Brasil, nº 13.709 tahun 2018 (Lei Geral de Proteção de Dados Pessoais) (LGPD);
  2. menyimpan catatan pengerjaan pemrosesan data pribadi yang dilakukannya;
  3. menunjuk pejabat perlindungan data; dan
  4. menerapkan langkah-langkah keamanan, teknis, dan administratif yang dapat melindungi data pribadi dari akses tanpa izin dan dari kerusakan, kehilangan, perubahan, komunikasi yang kebetulan atau sengaja melawan hukum atau apa pun bentuk perlakuan tidak pantas atau ilegal, termasuk standar-standar teknis minimum yang berlaku sebagaimana ditetapkan oleh otoritas nasional.

2.2. Sepanjang Anda mentransfer informasi pribadi dari Brasil ke LN yang terletak di luar Brasil, LN akan mematuhi prinsip-prinsip dan hak-hak subjek data serta rezim perlindungan data yang ditentukan berdasarkan LGPD, kecuali para pihak dapat mengandalkan mekanisme atau basis transfer alternatif berdasarkan undang-undang perlindungan data.

3. Afrika Selatan

3.1. Sepanjang LN memproses sebagai operator informasi pribadi apa pun dalam ruang lingkup Undang-Undang Afrika Selatan tentang Perlindungan Informasi Pribadi, No. 4 tahun 2013 (POPIA) untuk Anda sebagai pihak yang bertanggung jawab, LN kemudian akan menetapkan dan mempertahankan langkah-langkah keamanan yang dimaksud dalam bagian 19 POPIA dan akan segera memberi tahu Anda apabila terdapat alasan-alasan yang wajar untuk meyakini bahwa informasi pribadi milik subjek data telah diakses atau diperoleh siapa pun yang tidak memiliki izin.

4. Amerika Serikat

Adendum Undang-undang Privasi Negara Bagian AS untuk Adendum Pemrosesan Data LexisNexi

Pembaharuan Terakhir: 20 Desember 2022