Perjanjian Pemrosesan Data
Berlaku mulai 29 September 2023 | Lihat Perjanjian Pemrosesan Data versi sebelumnya | Bandingkan perubahan
Berdasarkan persyaratan Peraturan (UE) 2016/679 Parlemen Eropa dan Dewan tanggal 27 April 2016 tentang Perlindungan individu hukum terkait pemrosesan data pribadi dan pergerakan bebas data tersebut, yang membatalkan Direktif 95/46/EC (selanjutnya disebut sebagai "GDPR"), Penyedia (selanjutnya disebut sebagai "Pemroses") dan Anda (selanjutnya disebut sebagai "Pengontrol") ikut serta dalam hubungan kontraktual pemrosesan data ini untuk menentukan syarat dan ketentuan pemrosesan data pribadi, cara perlindungannya, serta untuk menentukan hak dan kewajiban lain kedua belah pihak dalam pemrosesan data pribadi subjek data atas nama Pengontrol selama masa pelaksanaan substansi Ketentuan ini sebagai kontrak utama.
1. Pemrosesan Data Pribadi. Layanan yang disediakan sesuai Ketentuan ini meliputi pemrosesan informasi yang berkaitan dengan individu hukum yang diidentifikasi atau dapat diidentifikasi yang tercantum dalam Kebijakan Privasi (selanjutnya disebut sebagai "Data pribadi").
2. Otorisasi. Pengontrol memberikan wewenang kepada Pemroses untuk memproses Data Pribadi, termasuk instruksi berikut:
(i) "Tujuan pemrosesan" berarti penyediaan layanan sesuai dengan Ketentuan ini. Pemroses hanya diizinkan untuk memproses Data Pribadi atas nama Pengontrol terkait penyediaan layanan yang diminta oleh Pengontrol. Semua informasi yang dikumpulkan untuk tujuan tambahan diproses di luar hubungan kontraktual antara Pengontrol dan Pemroses.
(ii) periode pemrosesan berarti periode sejak dimulainya kerja sama timbal balik berdasarkan Ketentuan ini hingga penghentian layanan,
(iii) Cakupan dan Kategori Data Pribadi. Layanan hanya dimaksudkan untuk pemrosesan data pribadi umum. Namun, Pengontrol sepenuhnya bertanggung jawab atas penentuan cakupan data pribadi.
(iv) "Subjek data" berarti individu hukum sebagai pengguna sah perangkat Pengontrol,
(v) Aktivitas Pemrosesan berarti setiap dan semua operasi yang diperlukan untuk tujuan pemrosesan,
(vi) "Instruksi yang didokumentasikan" berarti instruksi yang diuraikan dalam Ketentuan ini, Tambahan, Kebijakan Privasi, dan dokumentasi layanannya. Pengontrol bertanggung jawab atas penerimaan secara hukum terhadap pemrosesan Data Pribadi oleh Pemroses mengenai masing-masing ketentuan yang berlaku dalam undang-undang perlindungan data.
3. Kewajiban Pemroses. Pemroses berkewajiban untuk:
(i) memproses Data Pribadi hanya atas dasar Instruksi terdokumentasi dan untuk tujuan yang ditentukan dalam Ketentuan, Lampirannya, Kebijakan Privasi, dan dokumentasi layanan,
(ii) menginstruksikan orang yang berwenang untuk memproses Data Pribadi (selanjutnya disebut sebagai "Orang yang Berwenang") tentang hak dan kewajiban mereka sesuai dengan GDPR, tentang tanggung jawab mereka jika terjadi pelanggaran dan memastikan bahwa Orang yang Berwenang telah berkomitmen terhadap kerahasiaan dan mengikuti Instruksi terdokumentasi,
(iii) menerapkan dan mengikuti langkah-langkah yang dijelaskan dalam Ketentuan, Lampirannya, Kebijakan Privasi, dan dokumentasi layanan,
(iv) membantu Pengontrol merespons permintaan dari Subjek Data yang terkait dengan hak-hak mereka. Pemroses tidak boleh memperbaiki, menghapus, atau membatasi pemrosesan Data Pribadi tanpa instruksi dari Pengontrol. Semua permintaan dari Subjek Data terkait Data Pribadi yang diproses atas nama Pengontrol harus diteruskan ke Pengontrol tanpa penundaan.
(v) membantu Pengontrol terkait pemberitahuan pelanggaran data pribadi kepada otoritas pengawas dan Subjek Data. Pemroses harus memberi tahu Pengontrol tentang pelanggaran apa pun terhadap pemrosesan Data Pribadi atau keamanan data pribadi segera setelah pelanggaran tersebut diketahui. Pemroses harus bekerja sama sampai batas waktu yang wajar dalam penyelidikan dan pemulihan pelanggaran tersebut, dan mengambil langkah-langkah yang wajar untuk membatasi implikasi negatif lebih lanjut.
(vi) menghapus atau mengembalikan semua Data Pribadi kepada Pengontrol, atas pilihan Pengontrol, setelah akhir Periode Pemrosesan. Pengontrol berjanji untuk memberi tahu Pemroses tentang keputusannya dalam waktu sepuluh (10) hari setelah akhir Periode Pemrosesan. Ketentuan ini tidak akan memengaruhi hak Pemroses untuk menyimpan Data Pribadi sejauh yang diperlukan untuk tujuan pengarsipan demi kepentingan umum, tujuan penelitian ilmiah, tujuan statistik, atau untuk tujuan membuktikan, mengajukan, atau membantah gugatan hukum.
(vii) menyimpan daftar terbaru dari semua kategori kegiatan pemrosesan yang telah dilakukan atas nama Pengontrol,
(viii) menyusun semua informasi yang diperlukan untuk menunjukkan kepatuhan sebagai bagian dari Ketentuan, Lampirannya, Kebijakan Privasi, dan dokumentasi layanan yang tersedia bagi Pengontrol. Dalam hal audit atau kontrol pemrosesan Data Pribadi dari sisi Pengontrol, Pengontrol berkewajiban untuk memberi tahu Pemroses secara tertulis setidaknya tiga puluh (30) hari sebelum audit atau kontrol yang direncanakan.
4. Melibatkan Pemroses Lain. Pemroses berhak melibatkan pemroses lain untuk melakukan aktivitas pemrosesan khusus, seperti penyediaan penyimpanan dan infrastruktur cloud untuk layanan sesuai dengan Ketentuan, Lampirannya, Kebijakan Privasi, dan dokumentasi layanan. Saat ini, Microsoft menyediakan penyimpanan dan infrastruktur cloud sebagai bagian dari Azure Cloud Service. Meski demikian, Pemroses akan tetap menjadi satu-satunya titik kontak dan pihak yang bertanggung jawab terhadap kepatuhan. Pemroses dengan ini berjanji untuk memberi tahu Pengontrol tentang penambahan atau penggantian pemroses lain untuk tujuan kemungkinan adanya penolakan atas perubahan tersebut.
5. Wilayah Pemrosesan. Pemroses memastikan bahwa pemrosesan berlangsung di Wilayah Ekonomi Eropa atau negara yang ditunjuk aman oleh keputusan Komisi Eropa berdasarkan keputusan Pengontrol. Klausul Kontraktual Standar akan berlaku apabila transfer dan pemrosesan berlokasi di luar Wilayah Ekonomi Eropa atau negara yang ditunjuk aman oleh keputusan Komisi Eropa berdasarkan permintaan Pengontrol.
6. Keamanan. Pemroses telah besertifikasi ISO 27001:2013 dan menggunakan kerangka kerja ISO 27001 untuk mengimplementasikan strategi keamanan pertahanan berlapis saat menerapkan kontrol keamanan pada lapisan jaringan, sistem operasi, database, aplikasi, personel, dan proses pengoperasian. Kepatuhan terhadap persyaratan regulatif dan kontraktual dinilai dan ditinjau secara berkala serupa dengan infrastruktur dan operasi lainnya dari Pemroses, dan langkah-langkah yang diperlukan diambil untuk memastikan kepatuhan secara berkelanjutan. Pemroses telah mengatur keamanan data menggunakan ISMS berdasarkan ISO 27001. Dokumentasi keamanan terutama meliputi dokumen kebijakan untuk keamanan informasi, keamanan fisik, dan keamanan peralatan, manajemen insiden, penanganan kebocoran data dan insiden keamanan, dll.
7. Langkah-Langkah Teknis dan Organisatoris. Pemroses harus melindungi Data Pribadi dari kerusakan dan kehancuran yang bersifat biasa dan melanggar hukum, kehilangan biasa, perubahan, serta akses dan pengungkapan yang tidak sah. Untuk tujuan ini, Pemroses harus mengadopsi langkah-langkah teknis dan organisatoris yang memadai sesuai dengan mode pemrosesan dan risiko yang ditimbulkan oleh pemrosesan untuk hak-hak Subjek Data sesuai dengan persyaratan GDPR. Penjelasan terperinci tentang langkah-langkah teknis dan organisatoris dinyatakan dalam Kebijakan Keamanan.
8. Informasi Kontak Pemroses. Semua pemberitahuan, permintaan, penawaran, dan komunikasi lain mengenai perlindungan data pribadi harus dialamatkan ke ESET, spol. s.r.o., ditujukan kepada: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.