Adendum Pengolahan Data (DPA) — MultiLipi

Tanggal efektif: 10 Septermber 2025

DPA ini merupakan bagian dari perjanjian antara MultiLipi Technologies Private Limited ("MultiLipi ") dan entitas yang diidentifikasi dalam Pesanan/Langganan (" Pelanggan "). Ini mengatur pemrosesan Data Pribadi MultiLipi atas nama Pelanggan berdasarkan Undang-Undang Perlindungan Data yang berlaku, termasuk GDPR dan GDPR Inggris Raya. Lihat juga kami Kebijakan Privasi dan saat ini Subprosesor .

1) Definisi

Istilah dalam huruf kapital yang tidak didefinisikan di sini memiliki arti dalam Perjanjian. " Undang-Undang Perlindungan Data " berarti semua undang-undang dan peraturan yang berlaku untuk Pemrosesan Data Pribadi berdasarkan Perjanjian, termasuk GDPR (UE) 2016/679 dan GDPR Inggris Raya, dan undang-undang pelaksana setempat. " Data Pribadi ", " Pengendali ", " Prosesor ", " Subjek Data ", " Pengolahan ", dan " Otoritas Pengawas " memiliki arti dalam GDPR.

"Data Sensitif" berarti informasi yang memerlukan perlindungan ekstra atau tunduk pada aturan khusus (misalnya: data kategori khusus berdasarkan GDPR Pasal 9 seperti data kesehatan/biometrik/genetik; data pribadi anak-anak di bawah 16 tahun; pengidentifikasi yang dikeluarkan pemerintah; akun keuangan atau data pembayaran; geolokasi yang tepat; atau kredensial/kata sandi/kunci API/rahasia). Layanan tidak dirancang untuk memproses Data Sensitif.

2) Ruang Lingkup dan Peran

  1. Pelanggan adalah Pengendali , dan MultiLipi adalah Prosesor sehubungan dengan Data Pribadi yang dijelaskan dalam Lampiran I .
  2. Jika Pelanggan bertindak sebagai Pemroses untuk Pengontrol pihak ketiga, MultiLipi bertindak sebagai Pelanggan Subprosesor . Pelanggan menjamin memiliki otorisasi Pengontrol untuk menunjuk MultiLipi.
  3. MultiLipi akan Memproses Data Pribadi semata-mata: (a) untuk menyediakan Layanan; (b) sebagaimana didokumentasikan oleh Pelanggan dalam Perjanjian dan DPA ini; dan (c) sebagaimana diwajibkan oleh hukum.

3) Instruksi Pelanggan

  1. Pelanggan menginstruksikan MultiLipi untuk Memproses Data Pribadi untuk menyediakan dan meningkatkan Layanan (dengan cara yang menjaga privasi), termasuk terjemahan, perutean berdasarkan bahasa, glosarium/TM, terjemahan media, analitik, dan fitur SEO yang diaktifkan oleh Pelanggan.
  2. Pelanggan tidak akan mengirimkan atau menyebabkan Layanan diproses Data Sensitif . Jika Pelanggan tetap mengirimkan Data Sensitif, Pelanggan bertanggung jawab penuh untuk mendapatkan semua persetujuan dan perlindungan yang diperlukan; MultiLipi tidak memiliki kewajiban untuk memantau Data Sensitif.
  3. MultiLipi akan memberi tahu Pelanggan jika tidak dapat mengikuti instruksi karena persyaratan hukum, kecuali dilarang.
  4. MultiLipi tidak akan menjual Data Pribadi, atau menggunakannya untuk membangun atau melatih model AI umum tanpa keikutsertaan eksplisit Pelanggan.

4) Kerahasiaan

MultiLipi memastikan orang yang berwenang untuk Memproses Data Pribadi terikat oleh kewajiban kerahasiaan dan menerima pelatihan perlindungan data yang sesuai.

5) Langkah-langkah Keamanan

MultiLipi menerapkan dan memelihara langkah-langkah teknis dan organisasi yang tepat (" Toms ") untuk melindungi Data Pribadi sebagaimana dijelaskan dalam Lampiran II , dengan mempertimbangkan keadaan seni, biaya implementasi, dan sifat, ruang lingkup, konteks dan tujuan Pemrosesan, serta risiko terhadap hak dan kebebasan orang perseorangan.

6) Subprosesor

  1. Pelanggan memberikan otorisasi umum bagi MultiLipi untuk melibatkan Subpemroses untuk menyediakan Layanan. Subprosesor saat ini tercantum di /hukum/subpemroses .
  2. MultiLipi akan memberlakukan kewajiban perlindungan data pada Subpemroses yang setara dengan DPA ini dan tetap bertanggung jawab atas kinerjanya.
  3. Jika Tidak Puas dengan Subpemroses, Pelanggan harus menghubungi MultiLipi dan memberikan kesempatan untuk menolak dengan alasan yang wajar terkait dengan perlindungan data. Jika tidak diselesaikan dengan itikad baik, Pelanggan dapat menangguhkan atau menghentikan Layanan yang terpengaruh (pengembalian biaya prabayar secara pro-rata).

7) Bantuan, DPIA & Konsultasi Sebelumnya

Dengan mempertimbangkan sifat Pemrosesan dan informasi yang tersedia untuk MultiLipi, kami akan membantu Pelanggan dalam memastikan kepatuhan terhadap kewajiban berdasarkan Pasal 32–36 GDPR (keamanan, pemberitahuan pelanggaran, DPIA, dan konsultasi sebelumnya), termasuk dengan memberikan dokumentasi yang relevan tentang TOM dan subpemroses kami.

8) Pemberitahuan Pelanggaran Data Pribadi

  1. MultiLipi akan memberitahukan kepada Pelanggan tanpa penundaan yang tidak semestinya setelah mengetahui adanya Pelanggaran Data Pribadi yang memengaruhi Data Pelanggan. Pemberitahuan akan mencakup informasi yang tersedia secara wajar untuk MultiLipi pada saat itu, termasuk: sifat pelanggaran, kategori dan perkiraan jumlah Subjek Data dan catatan, kemungkinan konsekuensi, dan tindakan yang diambil atau diusulkan untuk mengatasi pelanggaran tersebut.
  2. MultiLipi akan segera mengambil langkah-langkah untuk mengurangi efek buruk dan bekerja sama dengan permintaan wajar Pelanggan untuk memenuhi kewajiban pemberitahuan pelanggaran.

9) Permintaan Subjek Data

Sejauh diizinkan secara hukum, MultiLipi akan segera memberi tahu Pelanggan jika kami menerima permintaan dari Subjek Data yang menggunakan hak berdasarkan Undang-Undang Perlindungan Data yang berkaitan dengan Data Pelanggan. MultiLipi tidak akan menanggapi kecuali atas instruksi terdokumentasi Pelanggan dan akan memberikan bantuan yang wajar bagi Pelanggan untuk menanggapi permintaan tersebut.

10) Pengembalian & Penghapusan Data

  1. Atas permintaan Pelanggan yang terdokumentasi, MultiLipi akan menghapus atau mengembalikan semua Data Pribadi (dan menghapus salinan yang ada) dalam jangka waktu yang wajar secara komersial, kecuali penyimpanan diwajibkan oleh hukum.
  2. Cadangan ditimpa pada siklus terjadwal; Penghapusan dari cadangan akan terjadi dalam kursus biasa.

11) Transfer Data Internasional (SCC/UK Addendum)

  1. Transfer EEA. Jika Pemrosesan melibatkan transfer Data Pribadi yang tunduk pada GDPR ke negara ketiga tanpa keputusan kecukupan, para pihak setuju bahwa Klausul Kontrak Standar disetujui oleh Komisi Eropa dalam Keputusan (UE) 2021/914 (" SCC ") digabungkan dengan referensi dan merupakan bagian dari DPA ini sebagaimana ditetapkan di bawah ini:
    • Modul 2 (Pengontrol ke Prosesor) dan/atau Modul 3 (Prosesor ke Subprosesor), sebagaimana berlaku.
    • Klausul 7 (Klausul Docking): Berlaku .
    • Klausul 11 (Ganti Rugi): tidak berlaku.
    • Klausul 17 (Hukum yang mengatur): hukum Irlandia .
    • Klausul 18 (Forum dan yurisdiksi): pengadilan Irlandia .
    • Lampiran I–III untuk SCC dilengkapi dengan informasi dalam Lampiran I , Lampiran II dan Lampiran III DPA ini.
  2. Transfer Inggris. Untuk transfer yang tunduk pada GDPR Inggris, para pihak menyetujui Adendum Transfer Data Internasional (IDTA) ICO Adendum B ke SCC UE, yang digabungkan dengan referensi. Jika terjadi konflik, Adendum Inggris berlaku untuk Transfer Inggris.
  3. Transfer Swiss. Untuk transfer yang tunduk pada FADP Swiss, referensi ke GDPR dalam SCC harus dibaca sebagai referensi ke FADP; referensi ke Negara Anggota UE menjadi Swiss; dan otoritas yang berwenang adalah FDPIC.

13) Kewajiban & Ganti Rugi

Tanggung jawab berdasarkan DPA ini tunduk pada batasan dan pengecualian tanggung jawab dalam Perjanjian, kecuali sejauh dilarang oleh hukum yang berlaku. Setiap pihak bertanggung jawab atas tindakan dan kelalaian mereka sendiri berdasarkan Undang-Undang Perlindungan Data.

14) Lain-lain

  1. Jika terjadi konflik antara DPA ini dan Perjanjian, DPA ini mengontrol sejauh mana konflik terkait perlindungan data.
  2. Jika ada ketentuan dari DPA ini yang dianggap tidak sah, sisanya tetap berlaku.
  3. MultiLipi dapat memperbarui DPA ini untuk mencerminkan perubahan hukum atau Layanan kami.

Lampiran I — Deskripsi Pemrosesan

A. Para Pihak

Eksportir Data Pelanggan (Pengontrol) — detail sesuai Pesanan/Langganan.
Pengimpor Data MultiLipi Technologies Private Limited (Prosesor). Kontak: privacy@multilipi.com

B. Rincian Pemrosesan

Subjek Penyediaan Layanan SEO dan penerjemahan multibahasa MultiLipi.
Durasi Selama jangka waktu Perjanjian dan sebagaimana diperlukan untuk penghapusan/pengembalian dan cadangan.
Alam dan tujuan Pemrosesan untuk memberikan fitur yang dipilih oleh Pelanggan (terjemahan, perutean bahasa, glosarium/TM, terjemahan media, analitik, SEO), dukungan, penagihan, dan keamanan. Alur kerja terjemahan: untuk menyediakan terjemahan, konten tekstual halaman web Pelanggan dikirimkan ke server MultiLipi dan ke penyedia terjemahan pihak ketiga kami (misalnya, Layanan Terjemahan Azure) yang bertindak sebagai Subpemroses kami. Untuk pengoptimalan kinerja dan caching, MultiLipi dapat menyimpan teks asli dan terjemahan yang sesuai.
Kategori Subjek Data Personel Pelanggan (admin, pengguna), pengguna akhir/pengunjung Pelanggan, dan setiap individu yang datanya muncul dalam konten yang disediakan oleh Pelanggan.
Kategori Data Pribadi Data kontak (nama, email), pengidentifikasi akun, log penggunaan (IP, agen pengguna, stempel waktu), konten yang disediakan untuk terjemahan/pelokalan (mungkin secara kebetulan berisi data pribadi), preferensi (misalnya, bahasa), pengidentifikasi penagihan (ditangani melalui pemroses pembayaran).
Data sensitif (jika ada) Tidak diperlukan untuk Layanan. Pelanggan tidak boleh mengirimkan Data Sensitif ; Layanan tidak dirancang untuk memprosesnya.
Frekuensi Berkelanjutan, sebagaimana dimulai oleh penggunaan Layanan oleh Pelanggan.
Retensi Sebagaimana ditentukan dalam Kebijakan dan Perjanjian Privasi; disimpan tidak lebih lama dari yang diperlukan untuk tujuan tersebut, kemudian dihapus atau dianonimkan.
Transfer Seperti yang dijelaskan dalam Bagian 12 DPA ini.

C. Otoritas Pengawas yang Kompeten

Untuk SCC, otoritas yang berwenang ditentukan sesuai dengan Klausul 13 SCC (misalnya, otoritas Negara Anggota pendirian UE utama Pelanggan atau Subjek Data).

Lampiran II — Langkah-langkah Teknis & Organisasi (TOM)

  1. Program Keamanan Informasi. Kebijakan tertulis yang mencakup kontrol akses, penanganan data, respons insiden, manajemen perubahan, risiko vendor, dan pengembangan yang aman.
  2. Kontrol Akses. Akses berbasis peran, hak istimewa paling rendah, autentikasi yang kuat, MFA untuk admin, manajemen sesi, tinjauan akses rutin, pencabutan segera pada perubahan/penghentian peran.
  3. Enkripsi. TLS untuk data dalam perjalanan; enkripsi rahasia dan kunci yang disimpan; rotasi kunci dan akses terbatas ke materi utama.
  4. Keamanan Jaringan & Aplikasi. Jaringan tersegmentasi; firewall / WAF; Perlindungan DDoS (melalui CDN/edge jika berlaku); garis dasar pengerasan; SDLC yang aman termasuk tinjauan kode dan pemindaian dependensi.
  5. Pencatatan & Pemantauan. Pencatatan terpusat dari peristiwa yang relevan dengan keamanan; memperingatkan tentang anomali; sinkronisasi waktu; penyimpanan log tahan rusak.
  6. Kerentanan & Manajemen Patch. Pemindaian kerentanan secara teratur; remediasi tepat waktu; pengujian pihak ketiga sebagaimana mestinya.
  7. Kelangsungan Bisnis & Pemulihan Bencana. Infrastruktur redundan untuk komponen penting; cadangan yang diuji; target RTO/RPO yang didokumentasikan.
  8. Pemisahan Data. Pemisahan logis lingkungan dan data pelanggan.
  9. Keamanan & Pelatihan Personel. Pemeriksaan latar belakang sebagaimana diizinkan oleh hukum; pelatihan orientasi/keamanan dan privasi tahunan; kerahasiaan janji.
  10. Respons Insiden. Rencana terdokumentasi dengan peran yang ditentukan, triase, penahanan, pemberantasan, pemulihan, pelajaran yang dipetik, dan alur kerja pemberitahuan pelanggan.
  11. Manajemen Vendor & Subprosesor. Penilaian berbasis risiko, kewajiban keamanan/privasi kontraktual, pemantauan berkelanjutan.
  12. Keamanan Fisik. Pusat data yang dioperasikan oleh penyedia yang diperiksa dengan kontrol standar industri (lencana, CCTV, log pengunjung).
  13. Minimalisasi Data. Kumpulkan hanya apa yang diperlukan; batas retensi; Anonimisasi/nama samaran jika sesuai.
  14. Kontrol Pelanggan. Alat admin untuk manajemen akses; jejak audit di dasbor (jika tersedia); Manajemen kunci API; Dukungan MFA.

Lampiran III — Subprosesor

Daftar Subprosesor yang disetujui saat ini dipertahankan di https://multilipi.com/legal/subprocessors. Untuk setiap Subpemroses, MultiLipi akan mengungkapkan: nama, tujuan, lokasi pemrosesan, dan mekanisme transfer (misalnya, SCC).

Tanda tangan

Pelanggan MultiLipi Technologies Private Limited
Nama:___________________________
Titel:___________________________
Tanggal:___________________________
Tanda tangan:______________________ 		Nama: Kunal Singh Shekhawat
Judul: Co-Founder @MultiLipi
Tanggal: 10/09/2025
Tanda tangan: Tanda tangan Kunal Singh Shekhawat

Dengan menandatangani, para pihak setuju bahwa SCC UE (Keputusan (UE) 2021/914) dan, jika berlaku, Adendum Transfer Data Internasional Inggris, digabungkan dengan referensi dan diselesaikan sebagaimana ditetapkan dalam DPA ini.