For your convenience, we have provided the Bahasa Indonesia translation of this page, which follows the English text. The Bahasa Indonesia translation is for informational purposes only, and the definitive version of this page is the English version. / Untuk kemudahan, kami telah menyediakan terjemahan Bahasa Indonesia dari halaman ini, yang tertera setelah teks bahasa Inggris. Terjemahan Bahasa Indonesia hanya ditujukan untuk informasi, dan versi yang berlaku secara definitif adalah versi bahasa Inggris dari halaman ini.

Data Protection Agreement

Last updated: March 13, 2025

THIS DATA PROTECTION AGREEMENT (“DPA”) is subject to and forms part of the Services Agreement and/or Outsourcing Agreement (as applicable) entered into between the applicable Nium entity (“Nium”) and the applicable client entity ("Client”) that is a party to that agreement. Nium and Client shall be collectively referred to herein as “Parties” and individually as a “Party”.

1. DEFINITIONS 

1. “Business” means the term as defined under the US CCPA.
2. “Business Purpose” means performance of the Nium Services by Nium pursuant to any applicable Services Agreement or performance of the Client Services by the Client pursuant to any applicable Outsourcing Agreement.
3. “Client Services” means any services provided by Client to Nium under the terms of any applicable Outsourcing Agreement.
4. “Controller” means the entity which determines the purposes and means of the Processing of Personal Data.
5. “Data Complaint” means a complaint or request relating to either Party’s obligations under the Data Protection Laws relevant to this DPA, including any complaint by a Data Subject or any notice, investigation, or other action by a supervisory authority.
6. “Data Incident” means any act or omission that compromises the security, confidentiality or integrity of Personal Data or the physical, technical, administrative or organisational safeguards put in place to protect it that rises to the level of a security breach or incident under the applicable Data Protection Laws. Data Incidents include accidental or unlawful acquisition, destruction, loss, alteration, unauthorised disclosure of, or access to, Personal Data.
7. “Data Protection Laws” means all applicable laws, regulations, and other legally-binding requirements in any jurisdiction relating to privacy, data protection, data security, breach notification, or the Processing of Personal Data under this DPA, including without limitation, solely to the extent applicable, the General Data Protection Regulation, Regulation (EU) 2016/679 (“EU GDPR”); the United Kingdom Data Protection Act of 2018 (“UK GDPR”); the Swiss Federal Act on Data Protection (“FADP”); the Personal Data Protection and Electronic Documents Act, S.C. 2000, c. 5 of Canada along with any successor laws and regulations that have the same general intent and effect (Canada PIPEDA), the Singapore Personal Data Protection Act of 2012 (“Singapore PDPA”), the California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et seq. (as amended and together with its regulations, the “US CCPA”), and Indonesian Law Number 27 of 2022 on Personal Data Protection along with any successor and implementing laws and regulations that have the same general intent and effect. For the avoidance of doubt, if a Party’s activities involving Personal Data are not within the scope of a given Data Protection Law, such law is not applicable for purposes of this DPA.
8. “Data Subject” means the identified or identifiable person to whom Personal Data relates.
9. “Data Subject Request” means a request from a Data Subject relating to Processing of Personal Data in connection with a Services Agreement or the Nium Services to exercise the Data Subject's right of access, right to rectification, right to restrict Processing, right of erasure (i.e. “right to be forgotten”), right to data portability, right to object to the Processing, right not to be subject to automated individual decision making, or another applicable data subject right available to such Data Subject under applicable Data Protection Laws.
10. “GDPR” means the EU GDPR or the UK GDPR (as applicable).
11. “EU Standard Contractual Clauses” means (i) the Standard Contractual Clauses based on the Commission Decision C (2010) 593 on standard contractual clauses, as set out in the Annex to Commission Decision (EU) 2021/914, on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council, available at http://data.europa.eu/eli/dec_impl/2021/914/oj and completed as set forth herein, as amended and modified, and (ii) any successor standard contractual clauses that have the same general intent and effect.
12. “Outsourcing Agreement” means the outsourcing agreement entered into between the Parties, under the terms of which Nium receives certain outsourced services from Client.
13. “Nium Services” means any services provided by Nium to the Client under the terms of the applicable Services Agreement.
14. “Personal Data” means any information that (a) identifies or relates to an individual who can be identified directly or indirectly from that data alone or in combination with other information in a Party’s possession or control or that such Party is likely to have access to, or (b) any other information that is defined as “personal information” or “personal data” under any applicable Data Protection Laws, which is Processed by a Party in connection with the Services Agreement or Outsourcing Agreement (as applicable) and this DPA.
15. “Process” or “Processing” means any operation or set of operations which is performed upon Personal Data, whether or not by automatic means, including collection, recording, organization, structuring, storage, adaption or alteration, retrieval, consultation, use, disclosure by transmission, dissemination, or otherwise making available, alignment or combination, restriction, erasure, or destruction, or any other activity that the relevant Data Protection Laws may otherwise include in the definition of processing.
16. “Processor” means the entity which Processes Personal Data on behalf of the Controller.
17. “Services Agreement" means a services agreement executed between the Parties, under the terms of which the Client receives Nium Services from Nium or its affiliates, including, but not limited to, the Nium Direct Services Agreement or the Nium Platform Services Agreement.
18. “Services Provider” means a Processor Processing Personal Data for the Business Purpose and any other entity that is defined as a “service provider” or “contractor” under applicable Data Protection Laws.
19. “Standard Contractual Clauses” means (i) the EU Standard Contractual Clauses (where applicable) and (ii) the UK Standard Contractual Clauses (where applicable).
20. “Sub-Processor” means a third-party Processor engaged by a Processor.
21. “UK Standard Contractual Clauses” means (i) the UK Addendum to the European Union Standard Contractual Clauses, provided by the United Kingdom’s Information Commissioner’s Office, as amended and modified, and (ii) any successor standard contractual clauses that have the same general intent and effect.

2. PROCESSING OF PERSONAL DATA

a. Independent Controller Terms under a Service Agreement. Where the Parties Process Personal Data under or otherwise in connection with a Service Agreement, the Parties understand and agree that they are acting, and shall act, independently of one another in their respective Processing of such Personal Data and that the following terms and the applicable parts of Appendix A as referenced shall apply with respect to the Processing of Personal Data under the Service Agreement:

1. Roles of the Parties as Independent Controllers. The Parties agree that in regard to the Processing of Personal Data under Data Protection Laws that define the Parties’ relationship as one between a Controller and a Processor (such as the GDPR), Nium and Client shall both be considered independent Controllers, shall individually determine the purposes and means of their Processing of such Personal Data, and shall not be “joint controllers” of such Personal Data within the meaning of Article 26 (1) of the GDPR. The Parties understand and agree that the applicable module of the Standard Contractual Clauses has been determined pursuant to the roles of the Parties as defined in this Section 2(a) and the roles of the Parties as importer and exporter. The Parties agree that in regard to the Processing of Personal Data under Data Protection Laws that define the Parties’ relationship as one between a Business and a Service Provider (such US CCPA), neither Party shall be considered a Service Provider, and each Party shall be considered the Business. The Parties agree that in respect of the Processing of Personal Data under Data Protection Laws that define the Parties’ relationship as one between a “organisation” and a “data intermediary” (such as the Singapore PDPA), Nium and Client shall both be considered independent organisations. Nothing in this DPA or in the Services Agreement or Outsourcing Agreement (as applicable) shall be construed as to state or imply that (A) Nium has a direct relationship with the individual customers or users of Client, unless such direct relationship is specifically established under the terms of the Services Agreement or Outsourcing Agreement (as applicable), or (B) that Nium is acting as a Processor under Data Protection Laws. The Parties further agree and acknowledge that neither Party is responsible for determining the requirements of Data Protection Laws applicable to the other Party.
2. Responsibility of the Parties. Without limiting the roles identified in Section 2(a)(i) above, each Party agrees to: (A) maintain a publicly-accessible privacy policy on its website that satisfies all applicable transparency and notice requirements as required by Data Protection Laws with respect to Processing of Personal Data, (B) delete or destroy Personal Data, in accordance with the requirements of applicable Data Protection Laws, upon the conclusion of its purpose for Processing such Personal Data unless applicable law requires a longer retention period, and (C) implement appropriate technical and organisational measures to protect the Personal Data.
3. Treatment of Personal Data. The parties agree to treat Personal Data as Confidential Information in accordance with the terms of each Services Agreement or Outsourcing Agreement (as applicable). Each Party acknowledges and confirms that it will, only to the extent required under Data Protection Laws: (A) comply with applicable Data Protection Laws and this DPA in connection with its Processing of Personal Data; (B) only give lawful instructions to any Processors and/or Service Providers; (C) be responsible for determining the legal basis of its own Processing activities; (D) not attempt to re-identify any pseudonymized, anonymized, aggregate, or de-identified Personal Data without the other Party’s express written permission; and (E) provide the other Party with reasonable assistance, information and cooperation as such Party may reasonably request to ensure compliance with the Parties' respective obligations under Data Protection Laws. Nothing in this DPA shall be construed to convey any ownership interest or license in the Personal Data that is contrary to the ownership interests and licenses set forth in Services Agreement or Outsourcing Agreement.
4. Data Subject Requests. Each Party will, to the extent legally permitted, notify the other Party within a reasonable time period if the notifying Party receives a Data Subject Request. The notifying Party will use commercially reasonable efforts to assist the other Party in responding to such Data Subject Request, to the extent the notifying Party is legally permitted to do so and the response to such Data Subject Request is required under Data Protection Laws. The other Party shall be responsible for any costs arising from the notifying Party’s provision of such assistance.
5. Data Incident. In the event that either Party suffers a Data Incident in connection with any Nium Services, such Party shall notify the other Party without undue delay and the Parties shall reasonably cooperate with each other in taking such measures as may be necessary to notify affected Data Subjects, comply with each Party's obligations under Data Protection Laws, and to mitigate or remedy the effects of such Data Subjects, comply with each Party's obligations under Data Protection Laws, and to mitigate or remedy the effects of such Data Incident.

b. Processor Terms under an Outsourcing Agreement. Where the Client Processes Nium Personal Data under or otherwise in connection with an Outsourcing Agreement, the applicable parts of Appendix A as referenced, and the entirety Appendix B applies.

3. COOPERATION

Each Party shall provide reasonable assistance to the other Party and cooperation with respect to any consultation or request by any regulatory or supervisory authority who has governance over such other Party related to the Processing of Personal Data, to the extent related to the Nium Services and required under Data Protection Laws.

4. INTERNATIONAL TRANSFERS

If Data Protection Laws restrict cross-border Personal Data transfers between two independent Controllers, each Party will only transfer Personal Data to the other Party under the following conditions: (a) the transferring Party, either through its location or participation in a valid cross-border transfer mechanism under Data Protection Laws, may legally receive that Personal Data, or (b) the transfer otherwise complies with Data Protection Laws. If any Personal Data transfer between the Parties, as two independent Controllers, requires execution of Standard Contractual Clauses in order to comply with Data Protection Laws, the Parties agree that the Standard Contractual Clauses, in their entirety and as applicable, are hereby incorporated into this DPA and shall govern. Pursuant to any Personal Data transfer between Client and Nium that requires execution of Standard Contractual Clauses, the Parties will take all actions required to legitimize the transfer, including, if necessary: (x) co-operating to register the Standard Contractual Clauses with any applicable supervisory authority; (y) procuring approval from any such supervisory authority; or (z) providing additional information about the transfer to such supervisory authority. As applicable, in the event of a conflict or inconsistency between this DPA and the Standard Contractual Clauses, the Standard Contractual Clauses shall prevail.

For transfers of Personal Data that are subject to the FADP, the EU Standard Contractual Clauses form part of this DPA as set forth above, but with the following differences to the extent required by the FADP: (1) references to the EU GDPR in the EU Standard Contractual Clauses are to be understood as references to the FADP insofar as the data transfers are subject exclusively to the FADP and not to the EU GDPR; (2) the term “member state” in EU Standard Contractual Clauses shall not be interpreted in such a way as to exclude data subjects in Switzerland from the possibility of suing for their rights in their place of habitual residence (Switzerland) in accordance with Clause 18(c) of the EU Standard Contractual Clauses; and (3) the relevant supervisory authority is the Swiss Federal Data Protection and Information Commissioner (for transfers subject to the FADP and not the EU GDPR), or both such Commissioner and the supervisory authority identified in the EU Standard Contractual Clauses (where the FADP and EU GDPR apply, respectively).

5. US CCPA

If a party discloses Personal Data (“Disclosing Party”) to the other party (“Receiving Party”), the Parties agree that such disclosure shall not be considered a “Sale” or “Sharing” for purposes of “Cross-Context Behavioral Advertising” (as such terms in quotes are defined in the US CCPA), and that such disclosure will be solely for the parties’ legitimate business purposes as detailed in the Services Agreement or Outsourcing Agreement (as applicable), and for purposes permitted by the US CPPA along with its legally binding amendments and regulations. The Receiving Party represents and warrants that it will not retain, use, disclose, or process Personal Data obtained pursuant to the Agreement for any purpose other than for the specific purposes set forth herein, unless the Receiving Party has received appropriate consent under Data Protection Law from the individual about whom the Personal Data relates. The Receiving Party represents and warrants that it will comply with all requirements of Data Protection Law, including but not limited to by:

• Providing the same level of privacy protection to Personal Data as required of the Disclosing Party under Data Protection Law, and in no event less than a reasonable standard of care;
• Providing any required disclosures, such as privacy policies, notices at collection, or opt out notices to individuals whose Personal Data it processes; and comply with any required opt out rights; and
• Implementing appropriate technical and organizational measures to ensure a level of security for the Personal Data appropriate to the risk.
• Not “Selling” or “Sharing” for purposes of Cross-Context Behavioral Advertising Personal Data (as such terms are defined in the US CCPA).

The Disclosing Party has the right to take reasonable and appropriate steps to ensure that the Receiving Party uses Personal Data provided by the Disclosing Party under the Agreement consistent with Data Protection Law, and, upon reasonable advance notice, to take reasonable steps to stop and remediate any use of Personal Data by the Receiving Party that is inconsistent with applicable Data Protection Laws or this provision.

6. GENERAL PROVISIONS

1. Notice Requirement. Each Party agrees that it will notify the other Party if it determines that it cannot or will no longer meet the obligations set forth in this DPA or applicable Data Protection Laws with respect to the Business Purpose. All such notices shall be sent in accordance with the notice provision(s) set forth in the applicable Services Agreement or Outsourcing Agreement (as applicable).
2. Term. This DPA will remain in force and effect for the duration of (i) the Services Agreement or (ii) the Outsourcing Agreement unless otherwise agreed in writing between the Parties.
3. Severability. If one or more provisions of this DPA are held to be unenforceable under applicable law, the Parties agree to renegotiate such provision in good faith. In the event that such provision was not required by the Data Protection Laws and the Parties cannot reach a mutually agreeable and enforceable replacement, then (a) such provision shall be excluded from this DPA, (b) the balance of this DPA shall be interpreted as if such provision were so excluded, and (c) the balance of this DPA shall be enforceable in accordance with its terms.
4. Limitation of Liability. Each Party’s liability arising out of or related to this DPA, whether in contract, tort or under any other theory of liability, is subject to the limitations of liability set forth in the applicable Services Agreement or Outsourcing Agreement and any reference in the Services Agreement or Outsourcing Agreement limiting a Party’s liability means the aggregate liability of that Party under the such agreement and this DPA.
5. Governing Law and Jurisdiction. This DPA shall be governed by and construed in accordance with the laws of the governing jurisdiction that is set forth in the applicable Services Agreement or Outsourcing Agreement (the “Governing Jurisdiction”), and the parties shall submit to the exclusive jurisdiction of the courts of the Governing Jurisdiction for any dispute which may arise out of or in connection with this DPA; provided, however, that (i) any dispute arising from the EU Standard Contractual Clauses shall be governed by any construed in accordance with the laws of Malta or Switzerland (as provided in Section 4 above in accordance with the FADP) and shall be subject to the jurisdiction of the courts of Malta and (ii) any dispute arising from the UK Standard Contractual Clauses shall be governed by any construed in accordance with the laws of England and Wales and shall be subject to the jurisdiction of the courts of England and Wales.
6. Remedies. Nium and Client each agree that the obligations set forth in this DPA are necessary and reasonable in order to ensure that Data Subjects continue to benefit from effective safeguards and protection as required by the Data Protection Laws. Nium and Client each expressly agree that due to the unique nature of the Personal Data covered hereunder, monetary damages would be inadequate to compensate either Party for any breach by the other Party of its covenants and agreements set forth in this DPA. Accordingly, Nium and Client each agree and acknowledge that any such violation or threatened violation shall cause irreparable injury to a Party and that, in addition to any other remedies that may available, in law, in equity or otherwise, such Party shall be entitled to obtain injunctive relief against the threatened breach of this DPA or the continuation of any such breach by the other Party, without the necessity of proving actual damages. Except as expressly set out in this DPA, each Party’s rights and remedies under this DPA are cumulative and not exclusive of any other rights or remedies to which the Party may be lawfully entitled under this DPA or at law, and each Party may pursue all of the Party’s rights and remedies concurrently, consecutively and alternatively.
7. Headings. The headings and subheadings within this DPA are for convenience only and do not define, limit, or enlarge the scope or meaning of this DPA or any of its provisions.
8. Amendment and Waiver. Nium may modify all or any part of this DPA at any time by posting a modified version of this DPA (including any terms incorporated by reference into this DPA) on the Nium Legal Page or by notifying the Client. The modified DPA is effective upon posting or, if Nium notified the client, as stated in the notice. If the Client objects to any of the modified terms in the DPA, the Client may terminate this DPA together with the Services Agreement. By continuing to use the Services after the effective date of any modification to this DPA, the Client agrees to be bound by the modified DPA. It is the Company’s obligation to check the Nium Legal Page regularly for modifications to this DPA. Nium last modified this DPA on the date listed at the top of this DPA. Except as this DPA (including this clause) otherwise allows, this Agreement may not be modified except in writing by the parties. Without limiting the foregoing, the Parties acknowledge that the Data Protection Laws and Standard Contractual Clauses have been incorporated into this DPA as amended and modified and include all implementing regulations enacted thereunder, as applicable. The Parties acknowledge and agree that amendments and modifications to the Data Protection Laws and Standard Contractual Clauses shall be automatically incorporated into this DPA; such amendments and modification to the Data Protection Laws and Standard Contractual Clauses may change the Parties’ obligations under this DPA but shall not be considered an amendment or modification of this DPA necessitating notice by Nium. The Parties acknowledge and agree that the mere issuing of amendments and modifications to the Data Protection Laws and Standard Contractual Clauses shall not grant either Party the unilateral right to terminate any part of this DPA.
9. Survival. The provisions of this DPA survive the termination or expiration of the applicable Services Agreement or Outsourcing Agreement for so long as the Parties Processes Personal Data.
10. Entire Agreement. This DPA is the product of both of the Parties and constitutes the entire agreement between the Parties with respect to the subject matter hereof and supersedes all other prior agreements and understandings, both written and oral, between the Parties with respect to the subject matter hereof. In the case of conflict or ambiguity between any provision in this DPA and the Services Agreement or Outsourcing Agreement, the provisions of this DPA will prevail.
11. Language. In compliance with Indonesian Law No. 24 of 2009 regarding National Flag, Language, Coat of Arms, and Anthem and Presidential Regulation No. 63 of 2019 on Use of Bahasa Indonesia (“Language Law”), this Agreement is made in the languages of English and Bahasa Indonesia, and both the English version and the Bahasa Indonesia version will be equally authentic. The Bahasa Indonesia version of this Agreement shall not create any duplication of the rights or obligations of the Parties. The Parties hereto agree that in the event of any inconsistency or different interpretation between the English version and the Bahasa Indonesia version of this Agreement: (i) the English  version shall be controlling for all purposes and shall prevail; and (ii) the text of the Bahasa Indonesia version of this Agreement will be amended, or in all cases be deemed to be amended automatically, to conform with the corresponding English text of this Agreement. Each Party agrees and undertakes that it will not (and will not allow or assist any other party to) in any manner or forum, challenge the validity of, or raise or file any objection to, this Agreement or any transaction on the basis of any failure to comply with the Language Law.

APPENDIX A

ANNEXES I AND II TO EUROPEAN UNION STANDARD CONTRACTUAL CLAUSES

ANNEX I

A. LIST OF PARTIES

Data exporters and importers: 

B. DESCRIPTION OF TRANSFER

C. COMPETENT SUPERVISORY AUTHORITY

ANNEX II

TECHNICAL AND ORGANIZATIONAL MEASURES INCLUDING
TECHNICAL AND ORGANIZATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA

The technical and organizational measures of Nium are as set forth below:

The technical and organizational measures of Client are as set forth below:

APPENDIX B

Where the Client Processes Nium Personal Data under or otherwise in connection with an Outsourcing Agreement, the Parties understand and agree that Nium is the Controller and the Client is the Processor and that the Processing of Personal Data under the Outsourcing Agreement is subject to this Appendix B.

1. Role of the Client as a Processor. Nium is the Controller and the Client is the Processor.

2. Instructions and Details of Processing. When the Client processes Personal Data on behalf of Nium, the Client shall:

1. unless required to do otherwise by applicable laws, (and shall take steps to ensure each person acting under its authority shall) process the Personal Data only on and in accordance with this Agreement and Appendix D to the Outsourcing Agreement and any other documented instructions from Nium (including with regard to any transfers to a third country or an international organisation) all as updated from time to time upon written agreement between the Parties (“Processing Instructions”);
2. if applicable laws require it to process Personal Data other than in accordance with the Processing Instructions, notify Nium of any such requirement before processing the Personal Data (unless applicable laws prohibit such information on important grounds of public interest).
3. notify Nium if it becomes aware that any of the Personal Data is inaccurate or has become outdated.
4. not share the Personal Data with any third party except as expressly authorised by Nium and pursuant to Section 3 below.
5. not transfer, access or process Personal Data of Nium outside of the UK and the EEA without obtaining Nium's explicit written consent and without having in place such legally enforceable mechanism(s) for transfers of Personal Data as may be permitted under the GDPR from time to time, including those set out in Article 46 of the GDPR and the implementation of binding corporate rules pursuant to Article 47 of the GDPR.

3. Personnel and Other Processors.

The Client shall not engage a Sub-Processor to carry out any processing activities in respect of the Personal Data without notifying Nium, seeking Nium’s prior written consent and subject to compliance by the Client with Section 3. Nium is deemed to have provided its approval where it has not objected to the new proposed Sub-Processor within thirty (30) calendar days from the date the Client’s notice was received.

a. The Client shall: 

1. provide details to Nium of any Sub-Processor. Any Sub-Processor agreed by Nium as at the date of this Agreement is set out in Appendix D of the Outsourcing Agreement;
2. notify Nium 30 days in advance of any change in a Sub-Processor (through the addition or replacement of a Sub-Processor) and shall provide such information as necessary to enable Nium to decide whether to consent to the change. Nium shall be entitled to object to any change in the Sub-Processor and at its discretion (not to be unreasonably exercised) may elect to terminate the Agreement or that part of the Agreement that involves processing of the Personal Data by the Sub-Processor in the event that the Client fails to take the steps suggested by Nium to address the objection and otherwise does not cease to use the relevant Sub-Processor;
3. prior to the relevant Sub-Processor carrying out any processing activities in respect of the Personal Data, appoint each Sub-Processor under a written contract containing obligations which offer materially the same level of protection for the Personal Data as those set out in this Agreement, including an obligation on the Sub-Processor to provide sufficient guarantees to implement equivalent technical and organizational measures in accordance with Section 4 and to delete or return the Personal Data in accordance with Section 8. The contract with the Sub-Processor shall state that compliance with the obligations may be enforced by Nium including if the Client ceases to exist or becomes insolvent. On request by Nium, the Client shall provide a copy of the contract with the Sub-Processor. The Client may redact the text of the contract to the extent necessary to protect confidential information including any personal data; and
4. notify Nium of any failure by a Sub-Processor to fulfil its contractual obligations.

b. The Client shall ensure that all persons authorised by it (or by any Sub-Processor) to process Personal Data are subject to an obligation to keep the Personal Data confidential. The Client shall grant access to the Personal Data to members of the personnel on an "as needed basis" and only for the purposes set out in Appendix D of the Outsourcing Agreement.

c. The Client shall remain fully liable to Nium for any and all acts and omissions of any Sub- Processor, and any persons authorised by it (or by any Sub-Processor) to process Personal Data as if they were its own.

4. Technical and Organizational Measures. The Client shall implement and maintain appropriate technical and organisational measures in accordance with Appendix B, to:

a. ensure that the processing of Personal Data will meet the minimum requirements of the Data Protection Laws (including as set out in Article 32 GDPR) and ensure the protection of the rights of Data Subjects; and

b. provide reasonable assistance to Nium in responding to Data Subject Requests relating to Personal Data.

5. Information and Audit.

a. The Client shall maintain complete, accurate and up-to-date written records of all categories of Processing activities carried out in accordance with the Data Protection Laws (the “Records”).

b. The Client shall, in accordance with the Data Protection Laws:

1. as soon as reasonably practicable make available to Nium such information as requested by it from time to time, including any Records, that is necessary to demonstrate the Client's compliance with its obligations under this Agreement and the Data Protection Laws, and it shall immediately inform Nium if, in its reasonable opinion, an instruction infringes the Data Protection Laws or any applicable law; and
2. allow Nium (either itself or mandate an independent auditor to) inspect, test and audit, all facilities, premises, equipment, systems, documents and electronic data relating to the processing of Nium’s Personal Data by the Client, including where required by a supervisory authority. Such inspections and audits shall be at reasonable times and with prior written notice, subject to any inspection or audit required by a supervisory authority where this is not possible.

c. The Client shall:

1. provide full cooperation and assistance in relation to such inspection, test and audit (subject to any confidentiality obligations) and on request shall provide copies of the results of any penetration and security testing procedures and third-party audit reports such as SOC II type audit reports (if such reports are available); and
2. in the event that Nium identifies any non-compliance with this Agreement as a result of an inspection, test or audit, the Client shall take such steps as Nium may reasonably request in order to promptly remedy the non-compliance, at no further cost to Nium.

d. All Parties shall be entitled to share any information referred to in this Section D including the results of any audit, with a competent supervisory authority as may be necessary from time to time.

6. Assistance and Data Subject Rights

a. The Client shall maintain a complete and accurate record of Data Subject Requests. Upon receipt of any Data Subject Request, the Client shall immediately (and no later than within 48 (forty-eight) hours of receipt) refer such Data Subject Request to Nium and shall, at its own expense, promptly assist Nium with such Data Subject Request to ensure that Nium meets the response times under the Data Protection Laws. The Client shall not respond to a Data Subject Request without providing prior written notice to Nium or as required by applicable laws, in which case the Client shall, to the extent permitted by applicable laws, inform Nium of that legal requirement prior to the Client responding to such Data Subject Request.

b. b. The Client shall provide such assistance as reasonably required by Nium to ensure compliance with Nium’s obligations under the Data Protection Laws with respect to:

1. security of processing;
2. data protection impact assessments (as such term is defined in the Data Protection Laws);
3. prior consultation with a supervisory authority regarding high-risk processing;
4. notifications to the supervisory authority and/or communications to data subjects by Nium in response to any Data Incident; and
5. any remedial action to be taken in response to a Data Incident and/or a Data Complaint or request relating to either Party’s obligations under the Data Protection Laws relevant to the Agreement.

7. Breach Notification

a. In respect of any Data Incident, the Client shall, without undue delay but in no event later than 48 (forty-eight) hours (or earlier where possible) after becoming aware, notify Nium of the Data Incident and provide Nium with details of the Data Incident including the nature of the Data Incident, the categories and approximate volume of data subjects, the Personal Data records concerned, the likely consequences of the Data Incident and any measures taken or to be taken by the Client to mitigate the effects of the Data Incident. Where, and insofar as, it is not possible for the Client to provide all of this information at the same time, the initial notification will provide such information as available to the Client and the Client shall provide the further information as soon as it becomes available without undue delay (but in no event later than 24 (twenty-four) hours after it becomes available).

b. The Client shall immediately, at its own expense, investigate the Data Incident and take steps to identify, prevent and mitigate the effects of and to remedy any Data Incident. The Client shall not release or publish any filing, communication, notice, press release or report concerning any Data Incident without Nium’s prior written approval.

c. The Client shall promptly (but in no event later than 48 (forty-eight) hours after becoming aware) inform Nium if it receives or becomes aware of a Data Complaint and shall not respond to the Data Complaint without Nium’s prior written approval.

8. Deletion or Return of Personal Data and Copies

a. The Client only shall process the Personal Data for the duration of the Outsourcing Agreement.

b. The Client shall ensure that any Personal Data (and all copies) are securely returned to Nium or destroyed (at Nium’s discretion and direction) in accordance with the instructions given by Nium (unless storage is required by Applicable Laws and, if so, the Client shall inform Nium of any such requirement) in the following circumstances:

1. On termination of the Outsourcing Agreement or this DPA
2. Once processing of the Personal Data is no longer necessary for the purposes set out in Appendix D of the Outsourcing Agreement.

c. Following the destruction of the Personal Data in accordance with this Section 8, the Client shall certify to Nium that the Personal Data in question has been destroyed in accordance with Nium’s instructions.

Perjanjian Perlindungan Data

Terakhir diperbarui: 13 Maret 2025

PERJANJIAN PERLINDUNGAN DATA INI (“DPA”) tunduk pada dan merupakan bagian dari Perjanjian Layanan dan/atau Perjanjian Alih Daya (sebagaimana berlaku) yang dibuat antara entitas Nium yang berlaku (“Nium”) dan entitas klien yang berlaku (“Klien”) yang merupakan pihak dalam perjanjian tersebut. Nium dan Klien secara bersama-sama disebut di sini sebagai “Para Pihak” dan secara individual sebagai “Pihak”.

1. DEFINISI 

1. “Bisnis” berarti istilah sebagaimana didefinisikan dalam US CCPA.
2. “Tujuan Usaha” berarti pelaksanaan Layanan Nium oleh Nium sesuai dengan Perjanjian Layanan yang berlaku atau pelaksanaan Layanan Klien oleh Klien sesuai dengan Perjanjian Alih Daya yang berlaku.
3. “Layanan Klien” berarti layanan apa pun yang diberikan oleh Klien kepada Nium sesuai dengan ketentuan Perjanjian Alih Daya yang berlaku.
4. “Pengendali” berarti entitas yang menentukan tujuan dan cara Pemrosesan Data Pribadi.
5. “Keluhan Data” berarti keluhan atau permintaan yang berkaitan dengan kewajiban salah satu Pihak berdasarkan Hukum Perlindungan Data yang relevan dengan DPA ini, termasuk keluhan apa pun dari Subjek Data atau pemberitahuan, investigasi, atau tindakan lain apa pun dari otoritas pengawas.
6. “Insiden Data” berarti setiap tindakan atau kelalaian yang membahayakan keamanan, kerahasiaan, atau integritas Data Pribadi atau perlindungan fisik, teknis, administratif, atau organisasi yang diterapkan untuk melindunginya, yang naik ke tingkat pelanggaran keamanan atau insiden berdasarkan Hukum Perlindungan Data yang berlaku. Insiden Data mencakup akuisi, penghancuran, kehilangan, perubahan, pengungkapan yang tidak disengaja atau tidak sah, atau akses, ke Data Pribadi.
7. “Hukum Perlindungan Data Pribadi” berarti semua hukum, peraturan, dan persyaratan yang mengikat secara hukum lainnya yang berlaku di yurisdiksi mana pun yang berkaitan dengan privasi, perlindungan data, keamanan data, pemberitahuan pelanggaran, atau Pemrosesan Data Pribadi berdasarkan DPA ini, termasuk namun tidak terbatas pada, semata-mata sejauh yang dapat diterapkan, Peraturan Perlindungan Data Umum, Peraturan (EU) 2016/679 (“EU GDPR”); Undang-Undang Perlindungan Data Inggris Tahun 2018 (United Kingdom Data Protection Act – “UK GDPR”); Undang-Undang Federal Swiss tentang Perlindungan Data (Swiss Federal Act on Data Protection – “FADP”); Undang-Undang Perlindungan Data Pribadi dan Dokumen Elektronik, S.C. 2000, c. 5 dari Kanada bersama dengan undang-undang dan peraturan penggantinya yang memiliki maksud dan dampak umum yang sama (Personal Data Protection and Electronic Documents Act – Canada PIPEDA), Undang-Undang Perlindungan Data Pribadi Singapura Tahun 2012 (Singapore Personal Data Protection Act of 2012 – “Singapore PDPA”), Undang-Undang Privasi Konsumen California (California Consumer Privacy Act), Cal. Civ. Code § 1798.100 et seq (sebagaimana telah diubah dan bersama dengan peraturannya, “US CCPA”), dan Undang-Undang Republik Indonesia Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi beserta peraturan perundang-undangan penggantinya dan peraturan pelaksananya yang memiliki maksud dan dampak yang sama. Untuk menghindari keraguan, jika aktivitas suatu Pihak yang melibatkan Data Pribadi tidak berada dalam cakupan Hukum Perlindungan Data tertentu, hukum tersebut tidak berlaku untuk tujuan DPA ini.
8. “Subjek Data” berarti orang yang teridentifikasi atau dapat diidentifikasi yang terkait dengan Data Pribadi.
9. “Permintaan Subjek Data” berarti permintaan dari Subjek Data yang berkaitan dengan Pemrosesan sehubungan dengan Perjanjian Layanan atau Layanan Nium untuk menggunakan hak akses Subjek Data, hak untuk perbaikan, hak untuk membatasi Pemrosesan, hak penghapusan (yaitu “hak untuk dilupakan”), hak portabilitas data, hak untuk menolak Pemrosesan, hak untuk mengajukan keberatan atas pengambilan keputusan individual yang didasarkan pada pemrosesan secara otomatis, atau hak subjek sata lain yang berlaku yang tersedia untuk Subjek Data tersebut di bawah Hukum Perlindungan Data yang berlaku.
10. “GDPR” berarti EU GDPR atau UK GDPR (sebagaimana berlaku).
11. “Klausul Kontrak Standar EU” berarti (i) Klausul Kontrak Standar berdasarkan Keputusan Komisi C (2010) 593 tentang klausul kontrak standar, sebagaimana tercantum dalam Lampiran Keputusan Komisi (EU) 2021/914, tentang klausul kontrak standar untuk pentransferan data pribadi kepada negara ketiga sesuai dengan Peratruan (EU) 2016/679 Parlemen Eropa dan Dewan Eropa, tersedia pada http://data.europa.eu/eli/dec_impl/2021/914/oj dan dilengkapi sebagaimana ditetapkan di sini, sebagaimana telah diubah dan dimodifikasi, dan (ii) klausul kontrak standar pengganti yang memiliki maksud dan dampak umum yang sama.
12. “Perjanjian Alih Daya” berarti perjanjian alih daya yang dibuat antara Para Pihak, di mana Nium menerima layanan alih daya tertentu dari Klien.
13. “Layanan Nium” berarti layanan apa pun yang disediakan oleh Nium kepada Klien berdasarkan ketentuan Perjanjian Layanan yang berlaku.
14. “Data Pribadi” berarti setiap informasi yang (a) mengidentifikasi atau berhubungan dengan individu yang dapat diidentifikasi secara langsung atau tidak langsung dari data itu sendiri atau dikombinasikan dengan informasi lain yang dimiliki atau dikendalikan oleh suatu Pihak atau yang kemungkinan besar dapat diakses oleh Pihak tersebut, atau (b) informasi lain yang didefinisikan sebagai "informasi pribadi" atau "data pribadi" berdasarkan Hukum Perlindungan Data apapun yang berlaku, yang Diproses oleh suatu Pihak sehubungan dengan Perjanjian Layanan atau Perjanjian Alih Daya (sebagaimana berlaku) serta DPA ini.
15. “Proses” atau “Pemrosesan” berarti setiap operasi atau serangkaian operasi yang dilakukan pada Data Pribadi, baik dengan cara otomatis atau tidak, termasuk pengumpulan, pencatatan, pengorganisasian, penataan, penyimpanan, pengadaptasian atau pengubahan, pengambilan, konsultasi, penggunaan, pengungkapan melalui transmisi, penyebaran, atau aktivitas lain apa pun yang mungkin termasuk dalam definisi pemrosesan menurut Hukum Perlindungan Data yang relevan.
16. “Prosesor” berarti entitas yang melakukan Pemrosesan Data Pribadi atas nama Pengendali.
17. “Perjanjian Layanan” berarti suatu perjanjian layanan yang dilaksanakan antara Para Pihak, berdasarkan ketentuan di mana Klien menerima Layanan Nium dari Nium atau afiliasinya, termasuk, namun tidak terbatas pada, Perjanjian Layanan Langsung Nium atau Perjanjian Layanan Platform Nium.
18. “Penyedia Layanan” berarti Prosesor yang melakukan Pemrosesan Data Pribadi untuk Tujuan Usaha dan entitas lain yang didefinisikan sebagai “penyedia layanan” atau “kontraktor” berdasarkan Hukum Perlindungan Data yang berlaku.
19. “Klausul Kontrak Standar” berarti (i) Klausul Standar EU (jika berlaku) dan (ii) Klausul Standar UK (jika berlaku).
20. “Sub-Prosesor” berarti Prosesor pihak ketiga yang dilibatkan oleh Prosesor.
21. “Klausul Kontrak Standar Inggris” berarti (i) Adendum UK terhadap Klausul Kontrak Standar EU, yang disediakan oleh Kantor Komisioner Informasi Inggris Raya, sebagaimana telah diubah dan dimodifikasi, dan (ii) klausul kontrak standar pengganti apa pun yang memiliki maksud dan akibat umum yang sama.

2. PEMROSESAN DATA PRIBADI

a. Ketentuan Pengendali Independen berdasarkan suatu Perjanjian Layanan. Apabila Para Pihak Memproses Data Pribadi berdasarkan atau sehubungan dengan suatu Perjanjian Layanan, Para Pihak memahami dan menyetujui bahwa mereka bertindak, dan akan bertindak, secara independen dari satu sama lain dalam masing-masing Pemrosesan Data Pribadi tersebut dan bahwa ketentuan-ketentuan berikut ini dan bagian-bagian yang berlaku dari Lampiran A sebagaimana dirujuk akan berlaku sehubungan dengan Pemrosesan Data Pribadi berdasarkan Perjanjian Layanan:

1. Peran Para Pihak sebagai Pengendali Independen. Para Pihak setuju bahwa sehubungan dengan Pemrosesan Data Pribadi berdasarkan Hukum Perlindungan Data yang mendefinisikan hubungan Para Pihak sebagai hubungan antara Pengendali dan Prosesor (seperti GDPR), Nium dan Klien akan dianggap sebagai Pengendali independen, secara sendiri-sendiri akan menentukan tujuan dan cara Pemrosesan Data Pribadi tersebut, dan tidak akan menjadi "pengendali bersama" dari Data Pribadi tersebut dalam arti Pasal 26 (1) GDPR. Para Pihak memahami dan menyetujui bahwa modul yang berlaku dari Klausul Kontrak Standar telah ditentukan sesuai dengan peran Para Pihak sebagaimana didefinisikan dalam Bagian 2(a) ini dan peran Para Pihak sebagai importir dan eksportir. Para Pihak setuju bahwa sehubungan dengan Pemrosesan Data Pribadi berdasarkan Hukum Perlindungan Data yang mendefinisikan hubungan Para Pihak sebagai hubungan antara Bisnis dan suatu Penyedia Layanan (seperti US CCPA), tidak ada Pihak yang akan dianggap sebagai Penyedia Layanan dan masing-masing Pihak akan dianggap sebagai Bisnis. Para Pihak setuju bahwa sehubungan dengan Pemrosesan Data Pribadi berdasarkan Hukum Perlindungan Data yang mendefinisikan hubungan Para Pihak sebagai hubungan antara “organisasi” dan “perantara data” (seperti Singapore PDPA), Nium dan Klien akan dianggap sebagai organisasi independen. Tidak ada ketentuan dalam DPA ini atau dalam Perjanjian Layanan atau Perjanjian Alih Daya (sebagaimana berlaku) yang dapat ditafsirkan untuk menyatakan atau menyiratkan bahwa (A) Nium memiliki hubungan langsung dengan pelanggan atau pengguna Klien yang merupakan individu, kecuali hubungan langsung tersebut secara khusus dibuat berdasarkan ketentuan Perjanjian Layanan atau Perjanjian Alih Daya (sebagaimana berlaku), atau (B) bahwa Nium bertindak sebagai Prosesor berdasarkan Hukum Perlindungan Data. Para Pihak setuju dan mengakui bahwa tidak ada Pihak yang bertanggung jawab untuk menentukan persyaratan Hukum Perlindungan Data yang berlaku untuk Pihak lainnya
2. Tanggung Jawab Para Pihak. Tanpa membatasi peran yang diidentifikasi dalam Bagian 2(a)(i) di atas, masing-masing Pihak setuju untuk: (A) mempertahankan kebijakan privasi yang dapat diakses publik di situsnya yang memenuhi semua persyaratan transparansi dan pemberitahuan yang berlaku seperti yang dipersyaratkan oleh Hukum Perlindungan Data sehubungan dengan Pemrosesan Data Pribadi, (B) menghapus atau memusnahkan Data Pribadi, sesuai dengan persyaratan Hukum Perlindungan Data yang berlaku, pada saat berakhirnya tujuannya untuk Pemrosesan Data Pribadi tersebut kecuali jika hukum yang berlaku mensyaratkan periode penyimpanan yang lebih lama, dan (C) menerapkan langkah-langkah teknis dan organisasi yang sesuai untuk melindungi Data Pribadi.
3. Perlakuan terhadap Data Pribadi. Para Pihak setuju untuk memperlakukan Data Pribadi sebagai Informasi Rahasia sesuai dengan ketentuan masing-masing Perjanjian Layanan atau Perjanjian Alih Daya (sebagaimana berlaku). Masing-masing Pihak mengakui dan mengonfirmasi bahwa mereka akan, hanya sejauh yang diwajibkan oleh Hukum Perlindungan Data: (A) mematuhi Hukum Perlindungan Data yang berlaku dan DPA ini sehubungan dengan Pemrosesan Data Pribadi; (B) hanya memberikan instruksi yang sah secara hukum kepada Prosesor dan/atau Penyedia Layanan mana pun; (C) bertanggung jawab untuk menentukan dasar hukum kegiatan Pemrosesannya sendiri; (D) tidak berusaha mengidentifikasi kembali Data Pribadi yang disamarkan, dianonimkan, dikumpulkan, atau dihilangkan identitasnya tanpa izin tertulis dari Pihak lain dan (E) memberikan bantuan, informasi, dan kerja sama yang wajar kepada Pihak lain sebagaimana yang diminta secara wajar oleh Pihak tersebut untuk memastikan kepatuhan terhadap kewajiban masing-masing Pihak berdasarkan Hukum Perlindungan Data. Tidak ada ketentuan dalam DPA ini yang dapat ditafsirkan sebagai penyampaian kepentingan kepemilikan atau lisensi apa pun dalam Data Pribadi yang bertentangan dengan kepentingan kepemilikan dan lisensi yang ditetapkan dalam Perjanjian Layanan atau Perjanjian Alih Daya.
4. Permintaan Subjek Data. Masing-masing Pihak akan, sejauh diizinkan secara hukum, memberi tahu Pihak lainnya dalam jangka waktu yang wajar jika Pihak yang memberi tahu menerima Permintaan Subjek Data.  Pihak yang memberi tahu akan melakukan upaya yang wajar secara komersial untuk membantu Pihak lain dalam menanggapi Permintaan Subjek Data tersebut, sejauh Pihak yang memberi tahu diizinkan secara hukum untuk melakukannya dan tanggapan terhadap Permintaan Subjek Data tersebut diwajibkan berdasarkan Hukum Perlindungan Data. Pihak lain akan bertanggung jawab atas segala biaya yang timbul dari penyediaan bantuan tersebut oleh Pihak yang memberi tahu.
5. Insiden Data. Jika salah satu Pihak mengalami Insiden Data sehubungan dengan Layanan Nium apa pun, Pihak tersebut harus memberi tahu Pihak lain tanpa penundaan yang tidak semestinya dan Para Pihak harus bekerja sama secara wajar dengan satu sama lain dalam mengambil tindakan yang mungkin diperlukan untuk memberi tahu Subjek Data yang terkena dampak, mematuhi kewajiban masing-masing Pihak berdasarkan Hukum Perlindungan Data, dan untuk mengurangi atau memperbaiki efek Insiden Data tersebut.

b. Ketentuan Prosesor berdasarkan suatu Perjanjian Alih Daya. Apabila Klien Memproses Data Pribadi Nium berdasarkan atau sehubungan dengan suatu Perjanjian Alih Daya, bagian yang berlaku dari Lampiran A sebagaimana dirujuk, dan keseluruhan Lampiran B berlaku.

3. KERJA SAMA

Setiap Pihak harus memberikan bantuan yang wajar kepada Pihak lain dan kerja sama sehubungan dengan konsultasi atau permintaan apa pun oleh otoritas pengatur atau pengawas apa pun yang memiliki tata kelola atas Pihak lain tersebut sehubungan dengan Pemrosesan Data Pribadi, sejauh yang terkait dengan Layanan Nium dan diwajibkan berdasarkan Hukum Perlindungan Data.

4. TRANSFER INTERNASIONAL

Jika Hukum Perlindungan Data membatasi transfer Data Pribadi lintas batas antara dua Pengendali independen, masing-masing Pihak hanya akan mentransfer Data Pribadi tersebut ke Pihak lain dalam kondisi berikut: (a) Pihak yang mentransfer, baik melalui lokasinya atau keikutsertaannya dalam mekanisme transfer lintas batas yang valid berdasarkan Hukum Perlindungan Data, dapat secara sah menerima Data Pribadi tersebut, atau (b) transfer tersebut mematuhi Hukum Perlindungan Data. Jika ada transfer Data Pribadi antara Para Pihak, sebagai dua Pengendali independen, yang memerlukan pelaksanaan Klausul Kontrak Standar untuk mematuhi Hukum Perlindungan Data, Para Pihak setuju bahwa Klausul Kontrak Standar, secara keseluruhan dan sebagaimana berlaku, dengan ini dimasukkan ke dalam DPA ini dan akan mengatur. Berdasarkan transfer Data Pribadi apa pun antara Klien dan Nium yang memerlukan pelaksanaan Klausul Kontrak Standar, Para Pihak akan mengambil semua tindakan yang diperlukan untuk melegitimasi transfer tersebut, termasuk, jika perlu: (x) bekerja sama untuk mendaftarkan Klausul Kontrak Standar dengan otoritas pengawas yang berlaku; (y) mendapatkan persetujuan dari otoritas pengawas tersebut; atau (z) memberikan informasi tambahan tentang transfer kepada otoritas pengawas tersebut. Sebagaimana berlaku, apabila terjadi konflik atau ketidaksesuaian antara DPA ini dan Klausul Kontrak Standar, Klausul Kontrak Standar yang akan berlaku.

Untuk pentransferan Data Pribadi yang tunduk pada FADP, Klausul Kontrak Standar EU merupakan bagian dari DPA ini sebagaimana disebutkan di atas, tetapi dengan perbedaan berikut sejauh yang disyaratkan oleh FADP: (1) rujukan ke EU GDPR dalam Klausul Kontrak Standar EU harus dipahami sebagai rujukan ke FADP sejauh transfer data tunduk secara eksklusif pada FADP dan bukan pada EU GDPR; (2) istilah "negara anggota" dalam Klausul Kontrak Standar EU tidak boleh ditafsirkan sedemikian rupa sehingga mengecualikan subjek data di Swiss dari kemungkinan untuk menuntut hak-hak mereka di tempat tinggal mereka yang lazim (Swiss) sesuai dengan Klausul 18(c) Klausul Kontrak Standar EU; dan (3) otoritas pengawas yang relevan adalah Komisioner Perlindungan Data dan Informasi Federal Swiss (Swiss Federal Data Protection and Information Commissioner) (untuk transfer yang tunduk pada FADP dan bukan EU GDPR), atau keduanya Komisioner tersebut dan otoritas pengawas yang diidentifikasi dalam Klausul Kontrak Standar EU (di mana FADP dan EU GDPR masing-masing berlaku).

5. US CCPA

Jika salah satu pihak mengungkapkan Data Pribadi (“Pihak yang Mengungkapkan”) kepada pihak lain (“Pihak Penerima”), Para Pihak setuju bahwa pengungkapan tersebut tidak akan dianggap sebagai “Penjualan” atau “Pembagian” untuk tujuan "Periklanan Perilaku Lintas-Konteks (Cross-Context Behavioral Advertising)” (sebagaimana istilah dalam tanda kutip didefinisikan dalam US CCPA), dan bahwa pengungkapan tersebut akan semata-mata untuk tujuan bisnis para pihak yang sah sebagaimana dirinci dalam Perjanjian Layanan atau Perjanjian Alih Daya (sebagaimana berlaku), dan untuk tujuan yang diizinkan oleh US CCPA bersama dengan amandemen dan peraturan yang mengikat secara hukum. Pihak Penerima menyatakan dan menjamin bahwa ia tidak akan menyimpan, menggunakan, mengungkapkan, atau memproses Data Pribadi yang diperoleh berdasarkan Perjanjian untuk tujuan apa pun selain untuk tujuan khusus yang ditetapkan di sini, kecuali Pihak Penerima telah menerima persetujuan yang sesuai berdasarkan Hukum Perlindungan Data dari individu yang terkait dengan Data Pribadi tersebut. Pihak Penerima menyatakan dan menjamin bahwa ia akan mematuhi semua persyaratan Hukum Perlindungan Data, termasuk namun tidak terbatas pada oleh:

• Memberikan tingkat perlindungan privasi yang sama terhadap Data Pribadi seperti yang diwajibkan kepada Pihak yang Mengungkapkan berdasarkan Hukum Perlindungan Data, dan tidak boleh kurang dari standar perawatan yang wajar;
• Memberikan pengungkapan yang diperlukan, seperti kebijakan privasi, pemberitahuan pada saat pengumpulan, atau pemberitahuan untuk memilih tidak ikut serta (opt-out) kepada individu yang Data Pribadinya diproses; dan mematuhi hak untuk tidak ikut serta (opt-out) yang diwajibkan; dan
• Menerapkan langkah-langkah teknis dan organisasi yang tepat untuk memastikan tingkat keamanan Data Pribadi yang sesuai dengan risikonya.
• Tidak “Menjual” atau “Membagikan” untuk keperluan Data Pribadi Periklanan Perilaku Lintas Konteks (Cross-Context Behavioral Advertising Personal Data) (sebagaimana istilah tersebut didefinisikan dalam US CCPA).

Pihak yang Mengungkapkan memiliki hak untuk mengambil langkah-langkah yang wajar dan sesuai untuk memastikan bahwa Pihak Penerima menggunakan Data Pribadi yang diberikan oleh Pihak yang Mengungkapkan berdasarkan Perjanjian sesuai dengan Hukum Perlindungan Data, dan, dengan pemberitahuan sebelumnya yang wajar, untuk mengambil langkah-langkah yang wajar untuk menghentikan dan memperbaiki penggunaan Data Pribadi oleh Pihak Penerima yang tidak sesuai dengan Hukum Perlindungan Data yang berlaku atau ketentuan ini.

6. KETENTUAN UMUM

1. Persyaratan Pemberitahuan. Masing-masing Pihak setuju bahwa mereka akan memberi tahu Pihak lainnya jika mereka memutuskan bahwa mereka tidak dapat atau tidak akan lagi memenuhi kewajiban yang ditetapkan dalam DPA ini atau Hukum Perlindungan Data yang berlaku sehubungan dengan Tujuan Usaha. Semua pemberitahuan tersebut harus dikirim sesuai dengan ketentuan(-ketentuan) pemberitahuan yang ditetapkan dalam Perjanjian Layanan atau Perjanjian Alih Daya yang berlaku (sebagaimana berlaku).
2. Jangka waktu. DPA ini akan tetap berlaku dan berlaku selama jangka waktu (i) Perjanjian Layanan atau (ii) Perjanjian Alih Daya kecuali ditentukan lain secara tertulis oleh Para Pihak.
3. Keterpisahan. Jika satu atau beberapa ketentuan dalam DPA ini dianggap tidak dapat diberlakukan berdasarkan hukum yang berlaku, Para Pihak setuju untuk menegosiasikan kembali ketentuan tersebut dengan itikad baik. Apabila ketentuan tersebut tidak diwajibkan oleh Hukum Perlindungan Data dan Para Pihak tidak dapat mencapai penggantian yang disepakati bersama dan dapat diberlakukan, maka (a) ketentuan tersebut akan dikecualikan dari DPA ini, (b) keseluruhan DPA ini akan ditafsirkan seolah-olah ketentuan tersebut dikecualikan, dan (c) keseluruhan DPA ini akan dapat diberlakukan sesuai dengan ketentuannya.
4. Batasan Tanggung Jawab. Tanggung jawab masing-masing Pihak yang timbul dari atau terkait dengan DPA ini, baik dalam kontrak, perbuatan melawan hukum, atau berdasarkan teori tanggung jawab lainnya, tunduk pada batasan tanggung jawab yang ditetapkan dalam Perjanjian Layanan atau Perjanjian Alih Daya yang berlaku dan setiap rujukan dalam Perjanjian Layanan atau Perjanjian Alih Daya yang membatasi tanggung jawab suatu Pihak berarti tanggung jawab keseluruhan Pihak tersebut berdasarkan perjanjian tersebut dan DPA ini.
5. Hukum dan Yurisdiksi yang Mengatur. DPA ini akan diatur oleh dan ditafsirkan sesuai dengan hukum yurisdiksi yang mengatur yang ditetapkan dalam Perjanjian Layanan atau Perjanjian Alih Daya yang berlaku (“Yurisdiksi yang Mengatur”), dan para pihak harus tunduk pada yurisdiksi eksklusif pengadilan Yurisdiksi yang Mengatur untuk setiap perselisihan yang mungkin timbul dari atau sehubungan dengan DPA ini; namun, dengan ketentuan bahwa (i) setiap sengketa yang timbul dari Klausul Kontrak Standar EU akan diatur oleh dan ditafsirkan sesuai dengan hukum Malta atau Swiss (sebagaimana ditentukan dalam Bagian 4 di atas sesuai dengan FADP) dan tunduk pada yurisdiksi pengadilan Malta dan (ii) setiap sengketa yang timbul dari Klausul Kontrak Standar UK akan diatur oleh dan ditafsirkan sesuai dengan hukum Inggris dan Wales dan tunduk pada yurisdiksi pengadilan Inggris dan Wales.
6. Upaya Perbaikan. Nium dan Klien masing-masing setuju bahwa kewajiban yang ditetapkan dalam DPA ini diperlukan dan masuk akal untuk memastikan bahwa Subjek Data terus mendapat manfaat dari pengamanan dan perlindungan yang efektif sebagaimana diwajibkan oleh Hukum Perlindungan Data. Nium dan Klien masing-masing secara tegas setuju bahwa karena sifat unik dari Data Pribadi yang tercakup di bawah ini, ganti kerugian moneter tidak akan cukup untuk mengkompensasi salah satu Pihak untuk setiap pelanggaran oleh Pihak lain atas janji-janji dan perjanjian yang ditetapkan dalam DPA ini. Oleh karena itu, Nium dan Klien masing-masing setuju dan mengakui bahwa pelanggaran atau ancaman pelanggaran tersebut akan menyebabkan kerugian yang tidak dapat diperbaiki pada salah satu Pihak dan bahwa, selain upaya perbaikan lain yang mungkin tersedia, dalam hukum, dalam keadilan atau lainnya, Pihak tersebut berhak untuk mendapatkan putusan sela terhadap pelanggaran yang terancam terhadap DPA ini atau kelanjutan dari pelanggaran tersebut oleh Pihak lain, tanpa keharusan untuk membuktikan kerugian aktual. Kecuali secara tegas diatur dalam DPA ini, hak dan upaya perbaikan masing-masing Pihak berdasarkan DPA ini bersifat kumulatif dan tidak eksklusif dari hak atau upaya perbaikan lain yang mungkin dimiliki oleh Pihak tersebut secara sah berdasarkan DPA ini atau hukum, dan masing-masing Pihak dapat menuntut semua hak dan upaya perbaikan Pihak tersebut secara bersamaan, berturut-turut, dan secara bergantian.
7. Judul. Judul dan subjudul dalam DPA ini hanya untuk memudahkan dan tidak mendefinisikan, membatasi, atau memperluas cakupan atau makna DPA ini atau ketentuan-ketentuannya.
8. Perubahan dan Pengesampingan. Nium dapat mengubah semua atau sebagian dari DPA ini kapan saja dengan mengunggah versi modifikasi dari DPA ini (termasuk ketentuan apa pun yang dimasukkan melalui rujukan ke dalam DPA ini) di Halaman Hukum (Legal Page) Nium atau dengan memberi tahu Klien. DPA yang dimodifikasi berlaku efektif ketika diunggah atau, jika Nium memberi tahu Klien, sebagaimana dinyatakan dalam pemberitahuan tersebut. Jika Klien keberatan dengan salah satu ketentuan yang dimodifikasi dalam DPA, Klien dapat mengakhiri DPA ini bersama dengan Perjanjian Layanan. Dengan terus menggunakan Layanan setelah tanggal efektif dari setiap modifikasi pada DPA ini, Klien setuju untuk terikat oleh DPA yang dimodifikasi. Merupakan kewajiban Perusahaan untuk memeriksa Halaman Hukum (Legal Page) Nium secara teratur untuk mengetahui perubahan pada DPA ini. Nium terakhir kali mengubah DPA ini pada tanggal yang tercantum di bagian atas DPA ini. Kecuali jika DPA ini (termasuk klausul ini) mengizinkan sebaliknya, Perjanjian ini tidak dapat diubah kecuali secara tertulis oleh para pihak. Tanpa membatasi ketentuan di atas, Para Pihak mengakui bahwa Hukum Perlindungan Data dan Klausul Kontrak Standar telah dimasukkan ke dalam DPA ini sebagaimana telah diubah dan dimodifikasi dan termasuk semua peraturan pelaksana yang diberlakukan di bawahnya, sebagaimana berlaku. Para Pihak mengakui dan menyetujui bahwa amandemen dan modifikasi terhadap Hukum Perlindungan Data dan Klausul Kontrak Standar akan secara otomatis dimasukkan ke dalam DPA ini; amandemen dan modifikasi Hukum Perlindungan Data dan Klausul Kontrak Standar tersebut dapat mengubah kewajiban Para Pihak di bawah DPA ini, tetapi tidak akan dianggap sebagai amandemen atau modifikasi DPA ini yang memerlukan pemberitahuan oleh Nium. Para Pihak mengakui dan menyetujui bahwa penerbitan amandemen dan modifikasi terhadap Hukum Perlindungan Data dan Klausul Kontrak Standar tidak akan memberikan hak sepihak kepada salah satu Pihak untuk mengakhiri bagian mana pun dari DPA ini.
9. Keberlangsungan. Ketentuan-ketentuan dalam DPA ini tetap berlaku setelah pengakhiran atau berakhirnya Perjanjian Layanan atau Perjanjian Alih Daya yang berlaku selama Para Pihak Memproses Data Pribadi.
10. Keseluruhan Perjanjian. DPA ini adalah produk dari kedua belah Pihak dan merupakan keseluruhan perjanjian antara Para Pihak sehubungan dengan pokok bahasan dalam Perjanjian ini dan menggantikan semua perjanjian dan kesepahaman sebelumnya, baik tertulis maupun lisan, antara Para Pihak sehubungan dengan pokok bahasan dalam Perjanjian ini. Jika terjadi konflik atau ambiguitas antara ketentuan apa pun dalam DPA ini dan Perjanjian Layanan atau Perjanjian Alih Daya, ketentuan dalam DPA ini yang akan berlaku.
11. Bahasa. Sesuai dengan Undang-Undang Republik Indonesia No. 24 Tahun 2009 tentang Bendera, Bahasa, dan Lambang Negara, serta Lagu Kebangsaan dan Peraturan Presiden Republik Indonesia No. 63 Tahun 2019 tentang Penggunaan Bahasa Indonesia ("Undang-Undang Bahasa"), Perjanjian ini dibuat dalam bahasa Inggris dan Bahasa Indonesia, dan baik versi Bahasa Inggris maupun versi Bahasa Indonesia akan sama-sama sah. Versi Bahasa Indonesia dari Perjanjian ini tidak akan menciptakan duplikasi hak atau kewajiban dari Para Pihak. Para Pihak dengan ini setuju bahwa apabila terdapat ketidaksesuaian atau perbedaan penafsiran antara versi Bahasa Inggris dan versi Bahasa Indonesia dari Perjanjian ini: (i) versi bahasa Inggris yang akan berlaku untuk semua tujuan dan akan berlaku; dan (ii) teks versi Bahasa Indonesia dari Perjanjian ini akan diubah, atau dalam segala hal dianggap telah diubah secara otomatis, untuk disesuaikan dengan teks versi bahasa Inggris yang sesuai dari Perjanjian ini. Masing-masing Pihak setuju dan berjanji bahwa mereka tidak akan (dan tidak akan mengizinkan atau membantu pihak lain untuk) dengan cara atau forum apa pun, menggugat keabsahan, atau mengajukan atau mengajukan keberatan apa pun terhadap Perjanjian ini atau transaksi apa pun atas dasar kegagalan untuk mematuhi Undang-Undang Bahasa.

LAMPIRAN A

TAMBAHAN I DAN II KLAUSUL KONTRAK STANDAR UNI EROPA

TAMBAHAN I

A. DAFTAR PARA PIHAK

Eksportir dan importir data:

C. OTORITAS PENGAWAS YANG BERWENANG

LAMPIRAN II

LANGKAH-LANGKAH TEKNIS DAN ORGANISASI TERMASUK LANGKAH-LANGKAH TEKNIS DAN ORGANISASI UNTUK MEMASTIKAN KEAMANAN DATA

Langkah-langkah teknis dan organisasi Nium adalah seperti yang ditetapkan di bawah ini:

Langkah-langkah teknis dan organisasi Klien adalah seperti yang ditetapkan di bawah ini:

LAMPIRAN B

Apabila Klien Memproses Data Pribadi Nium berdasarkan atau sehubungan dengan Perjanjian Alih Daya, Para Pihak memahami dan menyetujui bahwa Nium adalah Pengendali dan Klien adalah Prosesor dan bahwa Pemrosesan Data Pribadi berdasarkan Perjanjian Alih Daya tunduk pada Lampiran B ini.

1. Peran Klien sebagai Prosesor. Nium adalah Pengendali dan Klien adalah Prosesor.

2. Instruksi dan Rincian Pemrosesan. Apabila Klien memproses Data Pribadi atas nama Nium, Klien harus:

1. kecuali diwajibkan untuk melakukan hal lain oleh hukum yang berlaku, (dan harus mengambil langkah-langkah untuk memastikan setiap orang yang bertindak di bawah wewenangnya harus) memproses Data Pribadi hanya pada dan sesuai dengan Perjanjian ini dan Lampiran D pada Perjanjian Alih Daya dan instruksi terdokumentasi lainnya dari Nium (termasuk yang berkaitan dengan transfer ke negara ketiga atau organisasi internasional) semua sebagaimana diperbarui dari waktu ke waktu berdasarkan persetujuan tertulis antara Para Pihak (“Instruksi Pemrosesan”);
2. jika hukum yang berlaku mengharuskannya untuk memproses Data Pribadi selain sesuai dengan Instruksi Pemrosesan, beri tahu Nium tentang persyaratan tersebut sebelum memproses Data Pribadi (kecuali jika hukum yang berlaku melarang informasi tersebut dengan alasan penting untuk kepentingan publik).
3. memberi tahu Nium jika mengetahui bahwa salah satu Data Pribadi tidak akurat atau sudah kedaluwarsa.
4. tidak membagikan Data Pribadi kepada pihak ketiga mana pun kecuali sebagaimana diizinkan secara tegas oleh Nium dan sesuai dengan Bagian 3 di bawah ini.
5. tidak mentransfer, mengakses, atau memproses Data Pribadi Nium di luar Inggris dan EEA tanpa memperoleh persetujuan tertulis eksplisit dari Nium dan tanpa memiliki mekanisme(-mekanisme) yang dapat ditegakkan secara hukum untuk transfer Data Pribadi yang mungkin diizinkan berdasarkan GDPR dari waktu ke waktu, termasuk yang ditetapkan dalam Pasal 46 GDPR dan penerapan aturan perusahaan yang mengikat sesuai dengan Pasal 47 GDPR.

3. Personel dan Prosesor Lainnya.

Klien tidak akan melibatkan Sub-Prosesor untuk melakukan aktivitas pemrosesan apa pun sehubungan dengan Data Pribadi tanpa memberi tahu Nium, meminta persetujuan tertulis sebelumnya dari Nium, dan tunduk pada kepatuhan Klien terhadap Bagian 3. Nium dianggap telah memberikan persetujuannya jika tidak mengajukan keberatan terhadap Sub-Prosesor yang diusulkan dalam waktu tiga puluh (30) hari kalender sejak tanggal pemberitahuan Klien diterima.

a. Klien harus:

1. memberikan rincian kepada Nium tentang Sub-Prosesor mana pun. Setiap Sub-Prosesor yang disetujui oleh Nium pada tanggal Perjanjian ini ditetapkan dalam Lampiran D dari Perjanjian Alih Daya.
2. memberi tahu Nium 30 hari sebelumnya mengenai perubahan apa pun pada Sub-Prosesor (melalui penambahan atau penggantian dari Sub-Prosesor) dan harus memberikan informasi yang diperlukan untuk memungkinkan Nium untuk memutuskan apakah akan menyetujui perubahan tersebut. Nium berhak untuk mengajukan keberatan atas perubahan apa pun pada Sub-Prosesor dan atas diskresinya sendiri (tidak boleh dilakukan secara tidak wajar) dapat memilih untuk mengakhiri Perjanjian atau bagian Perjanjian yang melibatkan pemrosesan Data Pribadi oleh Sub-Prosesor dalam hal Klien gagal untuk mengambil langkah-langkah yang diusulkan Nium untuk mengatasi keberatan tersebut dan tidak berhenti mengunakan Sub-Prosesor yang relevan.
3. sebelum Sub-Prosesor yang relevan melakukan aktivitas pemrosesan apa pun sehubungan dengan Data Pribadi, menunjuk setiap Sub-Prosesor berdasarkan kontrak tertulis yang berisi kewajiban yang menawarkan tingkat perlindungan yang secara material sama untuk Data Pribadi seperti yang ditetapkan dalam Perjanjian ini, termasuk kewajiban Sub-Prosesor untuk memberikan jaminan yang cukup untuk menerapkan langkah-langkah teknis dan organisasi yang setara sesuai dengan Bagian 4 dan menghapus atau mengembalikan Data Pribadi sesuai dengan Bagian 8. Kontrak dengan Sub-Prosesor harus menyatakan bahwa kepatuhan terhadap kewajiban dapat ditegakkan oleh Nium termasuk jika Klien tidak ada lagi atau menjadi pailit. Atas permintaan Nium, Klien harus memberikan salinan kontrak dengan Sub-Prosesor. Klien dapat menyunting teks kontrak sejauh yang diperlukan untuk melindungi informasi rahasia termasuk data pribadi apa pun; dan
4. memberi tahu Nium mengenai kegagalan Sub-Prosesor untuk memenuhi kewajiban kontraktualnya.

b. Klien harus memastikan bahwa semua orang yang diberi wewenang olehnya (atau oleh Sub-Prosesor mana pun) untuk memproses Data Pribadi tunduk pada kewajiban untuk menjaga kerahasiaan Data Pribadi. Klien harus memberikan akses ke Data Pribadi kepada anggota personel secara "sesuai kebutuhan" dan hanya untuk tujuan yang ditetapkan dalam Lampiran D dari Perjanjian Alih Daya.

c. Klien akan tetap bertanggung jawab penuh kepada Nim atas setiap dan semua tindakan dan kelalaian Sub-Proseor, dan setiap orang yang diberi wewenang olehnya (atau oleh Sub-Prosesor mana pun) untuk memproses Data Pribadi seolah-olah Data Pribadi tersebut adalah miliknya.

4. Langkah-langkah Teknis dan Organisasi. Klien harus menerapkan dan memelihara langkah-langkah teknis dan organisasi yang sesuai sesuai dengan Lampiran B, untuk:

a. memastikan bahwa pemrosesan Data Pribadi akan memenuhi persyaratan minimum Hukum Perlindungan Data (termasuk sebagaimana ditetapkan dalam Pasal 32 GDPR) dan memastikan perlindungan hak-hak Subjek Data; dan

b. memberikan bantuan yang wajar kepada Nium dalam menanggapi Permintaan Subjek Data yang berkaitan dengan Data Pribadi.

5. Informasi dan Audit.

a. Klien harus menyimpan catatan tertulis yang lengkap, akurat, dan terkini dari semua kategori kegiatan Pemrosesan yang dilakukan sesuai dengan Hukum Perlindungan Data (“Catatan").

b. Klien harus, sesuai dengan Hukum Perlindungan Data:

1. sesegera mungkin menyediakan kepada Nium informasi yang diminta olehnya dari waktu ke waktu, termasuk Catatan apa pun, yang diperlukan untuk menunjukkan kepatuhan Klien terhadap kewajibannya berdasarkan Perjanjian ini dan Hukum Perlindungan Data, dan Klien harus segera menginformasikan kepada Nium jika, menurut pendapatnya yang wajar, suatu instruksi melanggar Hukum Perlindungan Data atau hukum apa pun yang berlaku; dan
2. mengizinkan Nium (baik sendiri atau memberikan mandat kepada auditor independen untuk) memeriksa, menguji, dan mengaudit, semua fasilitas, tempat, peralatan, sistem, dokumen, dan data elektronik yang berkaitan dengan pemrosesan Data Pribadi Nium oleh Klien, termasuk jika diperlukan oleh otoritas pengawas. Inspeksi dan audit tersebut harus dilakukan pada waktu yang wajar dan dengan pemberitahuan tertulis sebelumnya, tunduk pada inspeksi atau audit apa pun yang disyaratkan oleh otoritas pengawas jika hal ini tidak memungkinkan.

c. Klien harus:

1. memberikan kerja sama dan bantuan penuh sehubungan dengan pemeriksaan, pengujian, dan audit tersebut (tunduk pada kewajiban kerahasiaan apa pun) dan berdasarkan permintaan harus memberikan salinan hasil dari setiap prosedur pengujian penetrasi dan keamanan dan laporan audit pihak ketiga seperti laporan audit tipe SOC II (jika laporan tersebut tersedia); dan
2. dalam hal Nium mengidentifikasi adanya ketidakpatuhan terhadap Perjanjian ini sebagai hasil dari pemeriksaan, pengujian, atau audit, Klien harus mengambil langkah-langkah yang secara wajar diminta oleh Nium untuk segera memperbaiki ketidakpatuhan tersebut, tanpa biaya lebih lanjut kepada Nium.

d. Semua Pihak berhak untuk membagikan informasi apa pun yang disebutkan dalam Bagian D ini, termasuk hasil audit, kepada otoritas pengawas yang berwenang sebagaimana mungkin diperlukan dari waktu ke waktu.

6. Bantuan dan Hak Subjek Data

a. Klien harus menyimpan catatan yang lengkap dan akurat tentang Permintaan Subjek Data. Setelah menerima Permintaan Subjek Data apa pun, Klien harus segera (dan tidak lebih dari 48 (empat puluh delapan) jam setelah diterimanya) merujuk Permintaan Subjek Data tersebut kepada Nium dan harus, dengan biaya sendiri, segera membantu Nium dengan Permintaan Subjek Data tersebut untuk memastikan bahwa Nium memenuhi waktu respons berdasarkan Hukum Perlindungan Data. Klien tidak akan menanggapi Permintaan Subjek Data tanpa memberikan pemberitahuan tertulis sebelumnya kepada Nium atau sebagaimana diwajibkan oleh hukum yang berlaku, dalam hal ini Klien harus, sejauh diizinkan oleh hukum yang berlaku, memberi tahu Nium tentang persyaratan hukum tersebut sebelum Klien menanggapi Permintaan Subjek Data tersebut.

b. Klien harus memberikan bantuan sebagaimana yang secara wajar diperlukan oleh Nium untuk memastikan kepatuhan terhadap kewajiban Nium berdasarkan Hukum Perlindungan Data sehubungan dengan:

1. keamanan pemrosesan;
2. penilaian dampak perlindungan data (sebagaimana istilah tersebut didefinisikan dalam Hukum Perlindungan Data);
3. konsultasi terlebih dahulu dengan otoritas pengawas mengenai pemrosesan berisiko tinggi;
4. pemberitahuan kepada otoritas pengawas dan/atau komunikasi kepada subjek data oleh Nium sebagai tanggapan atas Insiden Data apa pun; dan
5. tindakan perbaikan apa pun perbaikan apa pun yang akan diambil sebagai tanggapan atas Insiden Data dan/atau Keluhan Data atau permintaan yang berkaitan dengan kewajiban salah satu Pihak berdasarkan Hukum Perlindungan Data yang relevan dengan Perjanjian.

7. Pemberitahuan Pelanggaran

a. Sehubungan dengan Insiden Data apa pun, Klien harus, tanpa penundaan yang tidak semestinya tetapi tidak boleh lebih dari 48 (empat puluh delapan) jam (atau lebih awal jika memungkinkan) setelah mengetahui, memberi tahu Nium tentang Insiden Data dan memberi Nium perincian tentang Insiden Data termasuk sifat Insiden Data, kategori dan perkiraan volume subjek data, catatan Data Pribadi yang terkait, kemungkinan konsekuensi dari Insiden Data dan tindakan apa pun yang diambil atau yang akan diambil oleh Klien untuk mengurangi dampak Insiden Data. Jika, dan sejauh, tidak memungkinkan bagi Klien untuk memberikan semua informasi ini pada saat yang sama, pemberitahuan awal akan memberikan informasi tersebut sebagaimana tersedia untuk Klien dan Klien harus memberikan informasi lebih lanjut segera setelah tersedia tanpa penundaan yang tidak semestinya (namun tidak lebih dari 24 (dua puluh empat) jam setelah informasi tersebut tersedia).

b. Klien harus segera, dengan biaya sendiri, menyelidiki Insiden Data dan mengambil langkah-langkah untuk mengidentifikasi, mencegah, dan mengurangi dampak dan untuk memperbaiki Insiden Data apa pun. Klien tidak boleh merilis atau mempublikasikan pengarsipan, komunikasi, pemberitahuan, siaran pers, atau laporan apa pun terkait Insiden Data apa pun tanpa persetujuan tertulis dari Nium.

c. Klien harus segera (tetapi tidak lebih dari 48 (empat puluh delapan) jam setelah mengetahui) memberi tahu Nium jika menerima atau mengetahui adanya Pengaduan Data dan tidak akan menanggapi Pengaduan Data tanpa persetujuan tertulis dari Nium.

8. Deletion or Return of Personal Data and Copies

a. Klien hanya akan memproses Data Pribadi selama jangka waktu Perjanjian Alih Daya.

b. Klien harus memastikan bahwa setiap Data Pribadi (dan semua salinannya) dikembalikan dengan aman kepada Nium atau dimusnahkan (atas kebijaksanaan dan arahan Nium) sesuai dengan instruksi yang diberikan oleh Nium (kecuali jika penyimpanan diwajibkan oleh Hukum yang Berlaku dan, jika demikian, Klien harus memberi tahu Nium tentang persyaratan tersebut) dalam keadaan berikut:

1. Pada saaat pengakhiran Perjanjian Alih Daya atau DPA ini
2. Setelah pemrosesan Data Pribadi tidak lagi diperlukan untuk tujuan yang ditetapkan dalam Lampiran D dari Perjanjian Alih Daya;

c. Setelah pemusnahan Data Pribadi sesuai dengan Bagian 8 ini, Klien harus menyatakan kepada Nium bahwa Data Pribadi tersebut telah dimusnahkan sesuai dengan instruksi Nium.