Adendum Privasi Undang-Undang Negara Bagian AS

Adendum Privasi Undang-Undang Negara Bagian AS (“Adendum”) ini melengkapi ketentuan Perjanjian Langganan Utama, Ketentuan Layanan, atau Ketentuan Layanan Pelanggan Pengecer Anda (sebagaimana berlaku, “Perjanjian”), serta menetapkan hak dan kewajiban privasi data tertentu sehubungan dengan Undang-Undang negara bagian AS tertentu. Istilah-istilah dengan huruf kapital yang digunakan tetapi tidak didefinisikan di sini memiliki arti yang ditetapkan untuk istilah-istilah tersebut dalam Perjanjian.

Bagian A – Penyediaan Umum. Bagian A dari Adendum ini berlaku untuk penyediaan Zoom dan penggunaan Layanan oleh Pelanggan sejauh Pelanggan adalah Pelaku Bisnis atau Pengontrol dan Zoom Memproses atau Memproses Informasi Pribadi atau Data Pribadi Pelanggan sesuai dengan CCPA atau Undang-Undang Perlindungan Data Negara Bagian yang Berlaku lainnya.

1. Definisi. Sebagaimana digunakan di seluruh Adendum ini, “Pelanggan” berarti Pelaku Bisnis atau Pengontrol yang berlangganan Layanan Zoom. Istilah-istilah dengan huruf kapital yang digunakan dalam Bagian A ini, tetapi tidak didefinisikan memiliki arti yang ditetapkan untuk istilah-istilah tersebut dalam Bagian B(1) dan C(1) di bawah ini.
2. Audit dan Penilaian.
   1. Zoom akan melakukan audit pihak ketiga untuk membuktikan kerangka kerja ISO 27001 dan SOC 2 Type II sebagai berikut:
      1. Setiap tahun, Zoom akan mengaudit Kriteria Keamanan, Ketersediaan, dan Privasi dalam audit SOC-2.
      2. Audit akan dilakukan sesuai dengan standar dan aturan badan pengatur atau akreditasi untuk standar atau kerangka kontrol yang berlaku.
      3. Audit akan dilakukan oleh auditor keamanan pihak ketiga yang berkualifikasi dan independen, atas pilihan dan biaya Zoom.
      4. Setiap audit akan menghasilkan laporan audit langsung kepada pelanggan (“Laporan Audit Zoom”), yang akan disediakan oleh Zoom untuk Pelanggan berdasarkan permintaan setiap tahun. Laporan Audit Zoom akan menjadi Informasi Rahasia Zoom.
3. Pembatasan Penerimaan Informasi. Tidak ada dalam Adendum ini yang mengharuskan Zoom untuk mengungkapkan: (a) data atau informasi apa pun dari pelanggan Zoom lainnya, atau pihak ketiga mana pun; (b) setiap informasi akuntansi atau keuangan internal; (c) setiap rahasia dagang Zoom; atau (d) setiap informasi yang, menurut pendapat wajar Zoom dapat: (i) membahayakan keamanan jaringan, sistem, atau lokasi Zoom; (ii) menyebabkan Zoom melanggar kewajiban keamanan atau privasinya kepada pihak ketiga mana pun; atau (iii) informasi apa pun yang dicari untuk alasan apa pun selain alasan yang diuraikan dalam Adendum ini. Zoom mungkin memerlukan persetujuan Pelanggan terhadap syarat dan ketentuan Zoom (atau auditor atau penilai pihak ketiganya) yang wajar sebelum memberikan Laporan Audit Zoom kepada Pelanggan.
4. Penghapusan Data. Zoom akan (a) sebagaimana disyaratkan oleh Undang-Undang Perlindungan Data Negara Bagian yang Berlaku untuk Pelanggan dan atas arahan Pelanggan, menghapus atau mengembalikan semua Data Pribadi kepada Pelanggan di akhir penyediaan Layanan atau (b) sebagaimana disyaratkan oleh CCPA, tidak mempertahankan, menggunakan, atau mengungkapkan Informasi Pribadi setelah penghentian atau berakhirnya hubungan antara Pelanggan dan Zoom. Tidak ada dalam Bagian A(4) (Penghapusan Data) ini yang mengharuskan Zoom untuk (i) menghapus atau mengembalikan data yang harus dipertahankan sesuai dengan Undang-Undang yang berlaku atau (ii) mengembalikan alih-alih menghancurkan Data Pribadi sejauh pengembalian tersebut secara teknis tidak layak, atau pengembalian akan menimbulkan beban, biaya, atau keduanya yang substansial pada Zoom.

Bagian B – California.  Bagian B dari Adendum ini berlaku untuk penyediaan Zoom dan penggunaan Layanan oleh Pelanggan sejauh Pelanggan adalah Pelaku Bisnis dan Zoom Memproses Informasi Pribadi atas nama Pelanggan sesuai dengan CCPA.

1. Definisi. Sebagaimana digunakan dalam Bagian B dari Adendum ini: (a) “CCPA” berarti California Consumer Privacy Act tahun 2018, sebagaimana diubah oleh Undang-Undang Hak Privasi California tahun 2020, dan peraturan apa pun yang diumumkan di bawahnya; (b) “Bisnis”, “Tujuan Bisnis”, “Tujuan Komersial”, “Konsumen”, “Memproses”, “Menjual”, “Penyedia Layanan”, dan “Berbagi” memiliki arti masing-masing yang diberikan dalam CCPA; dan (c) “Informasi Pribadi” berarti “informasi pribadi” sebagaimana didefinisikan dalam CCPA, tetapi hanya sejauh informasi pribadi tersebut dikumpulkan, diakses, diperoleh, diterima, digunakan, diungkapkan, atau diproses oleh Zoom sebagai hasil dari penyediaan Layanan Zoom kepada Pelanggan dalam kapasitasnya sebagai pelaku Bisnis berdasarkan Perjanjian.
2. Pengakuan dan Kewajiban. Zoom (a) mengakui bahwa Informasi Pribadi diungkapkan oleh Pelanggan hanya untuk tujuan terbatas dan tertentu dari penyediaan Layanan yang dijelaskan dalam Formulir Pemesanan dan untuk tujuan yang dijelaskan dalam Perjanjian; (b) akan mematuhi kewajiban yang berlaku untuk Penyedia Layanan di bawah CCPA dan akan memberikan tingkat perlindungan privasi yang sama untuk Informasi Pribadi sebagaimana disyaratkan oleh CCPA, termasuk perlindungan privasi yang sama yang harus disediakan oleh Pelaku Bisnis; (c) setuju bahwa Pelanggan dapat mengambil langkah-langkah yang wajar dan tepat sesuai dengan Bagian A(2) di sini untuk membantu memastikan bahwa penggunaan Informasi Pribadi Zoom konsisten dengan kewajiban Pelanggan berdasarkan CCPA; (d) akan segera memberi tahu Pelanggan tentang keputusan apa pun yang dibuat oleh Zoom bahwa Pelanggan tidak dapat lagi memenuhi kewajibannya berdasarkan CCPA; dan (e) setuju bahwa Pelanggan dapat, dengan pemberitahuan, mengambil langkah-langkah yang wajar dan tepat untuk menghentikan dan memulihkan penggunaan Informasi Pribadi yang tidak sah yang konsisten dan sesuai dengan peraturan yang berlaku, dengan meminta dokumentasi yang wajar dari Zoom yang memverifikasi bahwa Zoom tidak lagi menyimpan atau menggunakan Informasi Pribadi yang tunduk pada permintaan penghapusan yang sah.
3. Pembatasan. Zoom tidak akan (a) Menjual atau Membagikan Informasi Pribadi; (b) menyimpan, menggunakan, atau mengungkapkan Informasi Pribadi apa pun untuk tujuan apa pun selain untuk tujuan yang dijelaskan dalam Bagian B(2)(a), di atas, atau sebagaimana diizinkan oleh CCPA, termasuk menyimpan, menggunakan, atau mengungkapkan Informasi Pribadi untuk Tujuan Komersial selain dari tujuan tersebut atau melayani Pelaku Bisnis yang berbeda; (c) menyimpan, menggunakan, atau mengungkapkan Informasi Pribadi di luar hubungan bisnis langsung antara Zoom dan Pelanggan, kecuali sejauh diizinkan oleh CCPA; atau (d) menggabungkan Informasi Pribadi yang diterima sesuai dengan Perjanjian dengan Informasi Pribadi yang diterima dari pihak lain, atau interaksi Zoom sendiri dengan Konsumen yang terkait dengan Informasi Pribadi tersebut, kecuali sejauh Penyedia Layanan diizinkan untuk melakukannya berdasarkan CCPA . Zoom dengan ini menyatakan bahwa Zoom memahami kewajibannya berdasarkan Adendum ini dan akan mematuhinya.
4. Audit, Tinjauan, dan Penilaian. Pelanggan, tunduk pada persyaratan yang wajar dan perjanjian tertulis sebagaimana disyaratkan oleh Zoom dan sesuai dengan CCPA, dan atas biaya dan pengeluaran Pelanggan sendiri, dapat mengaudit, meninjau, atau menilai Zoom tidak lebih dari sekali setiap 12 bulan, sesuai dengan Bagian A(2) (Audit dan Penilaian), di atas.
5. Permintaan Pelanggan. Pelanggan akan segera memberi tahu Zoom dan memberikan semua informasi yang diperlukan kepada Zoom setelah menerima dan memverifikasi permintaan Konsumen, dan Zoom akan segera mengambil tindakan tersebut dan memberikan informasi yang dapat diminta secara wajar oleh Pelanggan terkait dengan Informasi Pribadi Konsumen guna membantu Pelanggan memenuhi permintaan individu untuk menggunakan hak mereka berdasarkan CCPA, termasuk, tanpa batasan, permintaan untuk mengakses, memperbaiki, menghapus, memilih tidak ikut serta dari Penjualan atau Pembagian, atau menerima informasi tentang Informasi Pribadi yang berkaitan dengan mereka. Jika Zoom menerima permintaan apa pun secara langsung dari Konsumen Pelanggan, maka Zoom dapat (i) menyarankan Konsumen untuk menghubungi Pelanggan secara langsung terkait permintaan tersebut atau (ii) menghubungi Pelanggan untuk menanggapi Konsumen secara langsung.

Bagian C – Virginia, Colorado, Utah & Negara Bagian Lainnya. Bagian C dari Adendum ini berlaku untuk penyediaan Zoom dan penggunaan Layanan oleh Pelanggan sejauh Pelanggan adalah Pengontrol Data Pribadi dan Zoom Memproses Data Pribadi Pelanggan berdasarkan Undang-Undang Perlindungan Data Negara Bagian yang Berlaku.

1. Definisi. Sebagaimana digunakan dalam Bagian C dari Adendum ini: (a) “Undang-Undang Perlindungan Data Negara Bagian yang Berlaku” berarti (i) Undang-Undang Privasi Colorado tahun 2021, Undang-Undang Perlindungan Data Konsumen Virginia tahun 2021, atau Undang-Undang Privasi Konsumen Utah tahun 2022, sebagaimana diubah, atau (ii) Undang-Undang negara bagian AS lainnya yang berlaku dan diberlakukan untuk tujuan melindungi Data Pribadi di mana Pelanggan adalah Pengontrol dan Zoom adalah Pemroses serta syarat dan ketentuan Adendum ini memenuhi persyaratan Undang-Undang negara bagian tersebut; (b) “Pengontrol”, “Data Pribadi”, “Proses”, dan “Pemroses” akan memiliki arti masing-masing yang diberikan kepadanya dalam Undang-Undang Perlindungan Data Negara Bagian yang Berlaku; dan (c) “Instruksi” memiliki arti yang diberikan di bawah ini.
2. Pemrosesan Data Pribadi: Peran, Ruang Lingkup, dan Tanggung Jawab.
   1. Para pihak mengetahui dan menyetujui hal-hal berikut: Pelanggan adalah Pengontrol Data Pribadi Pelanggan. Zoom adalah Pemroses Data Pribadi Pelanggan.
   2. Hanya sejauh diperlukan dan proporsional, Pelanggan sebagai Pengontrol menginstruksikan Zoom untuk melakukan aktivitas berikut sebagai Pemroses atas nama Pelanggan (secara bersama-sama disebut "Instruksi"):
      1. Menyediakan dan memperbarui Layanan sebagaimana dilisensikan, dikonfigurasi, dan digunakan oleh Pelanggan dan penggunanya, termasuk melalui penggunaan pengaturan Zoom, kontrol administrator, atau fungsionalitas Layanan lainnya oleh Pelanggan;
      2. Memantau Layanan secara aman dan real-time;
      3. Mengatasi masalah, bug, dan kesalahan;
      4. Memberikan dukungan yang diminta Pelanggan, termasuk menerapkan pengetahuan yang diperoleh dari permintaan dukungan pelanggan individu untuk memberi manfaat bagi semua pelanggan Zoom tetapi hanya sejauh pengetahuan tersebut dianonimkan; dan
      5. Memproses Data Pribadi Pelanggan sebagaimana diatur dalam Perjanjian (termasuk Adendum ini dan Ekshibit A di sini), serta instruksi terdokumentasi lainnya yang diberikan oleh Pelanggan dan diakui oleh Zoom sebagai instruksi.
   3. Sejauh Zoom bertindak sebagai Pemroses Data Pribadi Pelanggan, Zoom hanya akan Memproses Data Pribadi Pelanggan sesuai dengan Instruksi Pelanggan. Pelanggan harus memastikan bahwa Instruksi untuk Zoom mematuhi semua Undang-Undang, aturan, dan peraturan yang berlaku untuk Data Pribadi Pelanggan, dan bahwa Pemrosesan Data Pribadi Pelanggan sesuai dengan Instruksi Pelanggan tidak akan menyebabkan Zoom melanggar Undang-Undang Perlindungan Data Negara Bagian yang Berlaku. Pelanggan sepenuhnya bertanggung jawab atas keakuratan, kualitas, dan legalitas (i) Data Pribadi Pelanggan yang diberikan kepada Zoom oleh atau atas nama Pelanggan; (ii) bagaimana Pelanggan memperoleh Data Pribadi Pelanggan tersebut; dan (iii) Instruksi yang diberikan kepada Zoom terkait Pemrosesan Data Pribadi Pelanggan tersebut. Pelanggan tidak akan memberikan atau menyediakan Data Pribadi Pelanggan apa pun yang melanggar Perjanjian atau Adendum ini kepada Zoom.
   4. Pelanggan mengizinkan Zoom untuk melakukan pemindaian dan pelaporan Data Pribadi dalam keadaan terbatas (misalnya, untuk mendeteksi dan melaporkan Materi Pelecehan Seksual terhadap Anak; untuk mematuhi Undang-Undang lain yang berlaku; untuk memastikan kepatuhan terhadap Pedoman Penggunaan Zoom yang Dapat Diterima).
3. Orang yang Berwenang. Zoom harus memastikan bahwa semua orang yang berwenang untuk Memproses Data Pribadi Pelanggan mengetahui sifat rahasia Data Pribadi Pelanggan dan tunduk pada kewajiban kerahasiaan sehubungan dengan data tersebut.
4. Subkontraktor dan Subpemroses. Sejauh Zoom adalah Pemroses, Pelanggan dengan ini secara umum mengizinkan Zoom untuk melibatkan subkontraktor dan subpemroses sesuai dengan Bagian C(4) ini.
   1. Pelanggan menyetujui penggunaan Zoom atas penyedia yang terdapat di https://explore.zoom.us/id/subprocessors/ untuk memproses Data Pribadi Pelanggan.
   2. Zoom dapat menghapus, mengganti, atau menunjuk penyedia tambahan. Asalkan Pelanggan berlangganan pembaruan di https://explore.zoom.us/id/subprocessors/, Zoom akan memberi tahu Pelanggan tentang setiap perubahan pada keterlibatan penyedia ini. Jika diwajibkan oleh Undang-Undang Perlindungan Data Negara Bagian yang Berlaku, Zoom juga akan memberikan kesempatan bagi Pelanggan untuk menolak perikatan sesuai dengan Bagian C(4)(d) dan C(4)(e) di sini.
   3. Dalam keadaan darurat terkait ketersediaan atau keamanan Layanan, Zoom tidak diwajibkan untuk memberikan pemberitahuan sebelumnya kepada Pelanggan tentang penghapusan, penggantian, atau penunjukan subkontraktor, tetapi akan memberikan pemberitahuan dalam waktu tujuh (7) hari kerja setelah perubahan subkontraktor.
   4. Dalam kasus apa pun, Pelanggan dapat menolak perikatan subkontraktor tersebut secara tertulis dalam waktu lima belas (15) hari kerja sejak diterimanya pemberitahuan yang disebutkan di atas oleh Zoom.
   5. Jika Pelanggan menolak keterlibatan subkontraktor baru, Zoom berhak untuk mengatasi keberatan tersebut melalui salah satu opsi berikut (untuk dipilih atas kebijakan Zoom sendiri):
      1. Zoom dapat membatalkan rencananya untuk menggunakan subkontraktor sehubungan dengan Data Pribadi Pelanggan.
      2. Zoom dapat mengambil langkah-langkah korektif yang diminta oleh Pelanggan dalam keberatannya (yang menghilangkan keberatan Pelanggan) dan melanjutkan penggunaan subkontraktor sehubungan dengan Data Pribadi Pelanggan.
      3. Zoom dapat berhenti menyediakan atau Pelanggan dapat menyetujui untuk tidak menggunakan (sementara atau secara permanen) aspek tertentu dari Layanan yang akan melibatkan penggunaan subkontraktor tersebut sehubungan dengan Data Pribadi Pelanggan. Zoom akan memberi Pelanggan deskripsi tertulis tentang alternatif yang wajar secara komersial, jika ada, untuk keterlibatan tersebut, termasuk namun tidak terbatas pada modifikasi Layanan. Jika Zoom, atas kebijakannya sendiri, tidak dapat memberikan alternatif apa pun, atau jika Pelanggan tidak menyetujui alternatif apa pun yang diberikan, Zoom dan Pelanggan dapat mengakhiri Perjanjian termasuk Adendum ini enam puluh (60) hari sebelumnya. Pengakhiran tidak akan membebaskan Pelanggan dari setiap biaya yang terutang kepada Zoom untuk Layanan yang disediakan hingga tanggal efektif penghentian berdasarkan Perjanjian.
      4. Jika Pelanggan tidak keberatan dengan keterlibatan subkontraktor baru dalam waktu 15 hari kerja sejak penerbitan pemberitahuan dari Zoom, subkontraktor baru tersebut akan dianggap diterima.
   6. Zoom akan melibatkan subkontraktor mana pun yang Memproses Data Pribadi Pelanggan hanya berdasarkan kontrak tertulis dan mewajibkan subkontraktor untuk memenuhi kewajiban Zoom yang disubkontrakkan sehubungan dengan Data Pribadi tersebut. Zoom tetap bertanggung jawab kepada Pelanggan jika subkontraktor tersebut gagal memenuhi kewajiban perlindungan datanya untuk pelaksanaan kewajiban subkontraktor tersebut pada tingkat yang sama dengan Zoom sendiri yang akan bertanggung jawab berdasarkan Adendum ini jika melakukan tindakan atau kelalaian tersebut.
5. Keamanan Informasi. Dengan mempertimbangkan konteks Pemrosesan, Zoom akan mempertahankan langkah-langkah teknis dan organisasional yang sesuai sehubungan dengan Data Pribadi Pelanggan untuk memastikan tingkat keamanan yang sesuai dengan risiko sesuai dengan Adendum ini dan sebagaimana dinyatakan secara tegas dalam Perjanjian.
6. Informasi Kepatuhan. Atas permintaan yang wajar dari Pelanggan, Zoom akan menyediakan informasi yang wajar kepada Pelanggan, sesuai dengan Undang-Undang yang berlaku, yang dimiliki Zoom yang diperlukan untuk menunjukkan kepatuhan Zoom terhadap kewajiban Zoom dalam Adendum ini.