Perjanjian Pemrosesan Data
antara
Pelanggan sesuai dengan SKU sebagai Pengendali (selanjutnya disebut "Pengendali"),
dan
Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Deutschland sebagai Pemroses Data (selanjutnya disebut "Pemroses Data", Pengendali dan Pemroses Data secara bersama-sama disebut sebagai "Para Pihak")
Pembukaan
Pengendali telah menugaskan Pemroses Data dalam SKU (selanjutnya disebut sebagai "Perjanjian Utama") untuk layanan yang ditentukan di dalamnya. Bagian dari pelaksanaan kontrak adalah pemrosesan data pribadi. Secara khusus, Art. 28 GDPR memberlakukan persyaratan khusus pada pemrosesan yang ditugaskan tersebut. Untuk mematuhi persyaratan ini, Para Pihak menandatangani Perjanjian Pemrosesan Data berikut (selanjutnya disebut sebagai "Perjanjian"), yang kinerjanya tidak akan diberi imbalan secara terpisah kecuali jika disetujui secara tegas.
§ 1 Definisi
(1) Sesuai dengan Art. 4 (7) GDPR, Pengendali adalah entitas yang secara sendiri atau bersama-sama dengan Pengendali lain menentukan tujuan dan cara pemrosesan data pribadi.
(2) Sesuai dengan Art. 4 (8) GDPR, Pemroses Data adalah orang perseorangan atau badan hukum, otoritas, institusi, atau badan lain yang memproses data pribadi atas nama Pengontrol.
(3) Sesuai dengan Art. 4 (1) GDPR, data pribadi berarti setiap informasi yang berkaitan dengan orang perseorangan yang teridentifikasi atau dapat diidentifikasi (selanjutnya disebut "Subjek Data"); orang perseorangan yang dapat diidentifikasi adalah orang yang dapat diidentifikasi, baik secara langsung maupun tidak langsung, khususnya dengan merujuk pada pengenal seperti nama, nomor identifikasi, data lokasi, pengenal daring, atau pada satu atau beberapa faktor yang spesifik terhadap identitas fisik, fisiologis, genetik, mental, ekonomi, budaya, atau sosial orang perseorangan tersebut.
(4) Data pribadi yang memerlukan perlindungan khusus adalah data pribadi sesuai dengan Art. 9 GDPR yang mengungkapkan asal ras atau etnis, pendapat politik, keyakinan agama atau filosofis, atau keanggotaan serikat pekerja dari Subjek Data, data pribadi sesuai dengan Art. 10 GDPR tentang hukuman pidana dan pelanggaran pidana atau tindakan keamanan terkait, serta data genetik sesuai dengan Art. 4 (13) GDPR, data biometrik sesuai dengan Art. 4 (14) GDPR, data kesehatan sesuai dengan Art. 4 (15) GDPR, dan data tentang kehidupan seks atau orientasi seksual seseorang.
(5) Menurut Pasal 4 (2) GDPR, pemrosesan adalah setiap operasi atau serangkaian operasi yang dilakukan terhadap data pribadi, baik dengan cara otomatis atau tidak, seperti pengumpulan, pencatatan, pengorganisasian, pengarsipan, penyimpanan, pengadaptasian atau pengubahan, pengambilan, konsultasi, penggunaan, pengungkapan melalui transmisi, penyebarluasan, atau dengan cara lain, penyelarasan atau penggabungan, pembatasan, penghapusan, atau pemusnahan.
(6) Berdasarkan Pasal 4 (21) GDPR, otoritas pengawas adalah badan negara independen yang dibentuk oleh Negara Anggota berdasarkan Pasal 51 GDPR.
§ 2 Subjek kontrak
(1) Pemroses Data menyediakan layanan yang ditentukan dalam Kontrak Utama untuk Pengendali. Dengan demikian, Pemroses Data memperoleh akses ke data pribadi, yang diproses oleh Pemroses Data untuk Pengendali secara eksklusif atas nama dan sesuai dengan instruksi Pengendali. Ruang lingkup dan tujuan pemrosesan data oleh Pemroses Data ditetapkan dalam Kontrak Utama dan deskripsi layanan terkait. Pengendali bertanggung jawab untuk menilai diterimanya pemrosesan data.
(2) Para Pihak membuat Perjanjian ini untuk menentukan hak dan kewajiban bersama berdasarkan hukum perlindungan data. Apabila terdapat keraguan, ketentuan-ketentuan dalam Perjanjian ini akan diutamakan daripada ketentuan-ketentuan dalam Kontrak Utama.
(3) Ketentuan-ketentuan dalam kontrak ini berlaku untuk semua kegiatan yang terkait dengan Kontrak Utama di mana Pemroses Data dan karyawannya atau orang yang diberi wewenang oleh Pemroses Data berhubungan dengan data pribadi yang berasal dari Pengendali atau yang dikumpulkan untuk Pengendali.
(4) Jangka waktu Perjanjian ini akan diatur oleh jangka waktu Kontrak Utama kecuali ketentuan-ketentuan berikut ini menimbulkan kewajiban lebih lanjut atau hak pengakhiran.
§ 3 Hak instruksi
(1) Pemroses Data hanya dapat mengumpulkan, memproses, atau menggunakan data dalam ruang lingkup Kontrak Utama dan sesuai dengan instruksi Pengendali. Jika Pemroses Data diwajibkan untuk melakukan pemrosesan lebih lanjut oleh hukum Uni Eropa atau Negara Anggota yang tunduk padanya, Pemroses Data harus memberi tahu Pengendali tentang persyaratan hukum ini sebelum melakukan pemrosesan.
(2) Instruksi Pengendali pada awalnya akan ditentukan oleh Perjanjian ini. Setelah itu, instruksi tersebut dapat diubah, ditambah, atau diganti oleh Pengendali secara tertulis atau dalam bentuk teks dengan instruksi individu (Instruksi Individu). Pengendali berhak untuk mengeluarkan instruksi tersebut setiap saat. Ini termasuk instruksi terkait koreksi, penghapusan, dan pemblokiran data.
(3) Semua instruksi yang dikeluarkan harus didokumentasikan oleh Pengendali. Instruksi yang melampaui layanan yang disepakati dalam Kontrak Utama akan diperlakukan sebagai permintaan perubahan layanan.
(4) Jika Pemroses Data berpendapat bahwa instruksi dari Pengendali melanggar ketentuan perlindungan data, maka Pemroses Data harus memberi tahu Pengendali tentang hal itu tanpa penundaan yang tidak semestinya. Pemroses Data berhak untuk menangguhkan pelaksanaan instruksi yang relevan hingga dikonfirmasi atau diubah oleh Pengendali. Pemroses Data dapat menolak untuk melaksanakan instruksi yang jelas-jelas melanggar hukum.
§ 4 Jenis data yang diproses, kelompok Subjek Data, negara ketiga
(1) Dalam lingkup pelaksanaan Kontrak Utama, Pemroses Data akan memiliki akses ke data pribadi yang ditentukan secara lebih rinci dalam Lampiran 1.
(2) Kelompok Subjek Data yang terpengaruh oleh pemrosesan data tercantum dalam Lampiran 1.
(3) Pemindahan data pribadi ke negara ketiga dapat dilakukan di bawah ketentuan Pasal. 44 et seq. GDPR.
§ 5 Tindakan perlindungan terhadap Pemroses Data
(1) Pemroses Data wajib mematuhi ketentuan hukum tentang perlindungan data dan tidak mengungkapkan informasi yang diperoleh dari domain Pengendali kepada pihak ketiga atau mengeksposnya untuk diakses oleh mereka. Dokumen dan data harus diamankan dari pengungkapan kepada orang yang tidak berwenang, dengan mempertimbangkan keadaan terkini.
(2) Pemroses Data harus mengatur organisasi internal dalam bidang tanggung jawabnya sedemikian rupa sehingga memenuhi persyaratan khusus perlindungan data. Pengolah Data harus mengambil langkah-langkah teknis dan organisasi yang ditentukan dalam Lampiran 2 untuk melindungi data Pengontrol secara memadai sesuai dengan Art. 32 GDPR, yang diakui oleh Pengendali sebagai memadai. Pengolah Data berhak untuk mengubah langkah-langkah keamanan yang diambil sambil memastikan bahwa tingkat perlindungan yang disepakati secara kontraktual tidak dilemahkan.
(3) Orang-orang yang dipekerjakan dalam pemrosesan data oleh Pemroses Data dilarang mengumpulkan, memproses, atau menggunakan data pribadi tanpa izin. Pemroses Data akan mewajibkan semua orang yang dipercayakan olehnya untuk memproses dan melaksanakan kontrak ini (selanjutnya disebut "Karyawan") dengan cara yang sesuai (kewajiban kerahasiaan, Art. 28 (3) lit. b GDPR) dan harus memastikan kepatuhan terhadap kewajiban ini dengan hati-hati.
(4) Pemroses Data telah menunjuk petugas perlindungan data. Petugas perlindungan data Pemroses Data adalah heyData GmbH, Schützenstr. 5, 10117 Berlin, datenschutz@heydata.eu, www.heydata.eu.
§ 6 Kewajiban informasi dari Pemroses Data
(1) Jika terjadi gangguan, dugaan pelanggaran perlindungan data atau pelanggaran kewajiban kontrak Pemroses Data, dugaan insiden terkait keamanan, atau penyimpangan lain dalam pemrosesan data pribadi oleh Pemroses Data, oleh orang yang dipekerjakannya dalam lingkup kontrak atau oleh pihak ketiga, Pemroses Data harus memberi tahu Pengontrol tanpa penundaan yang tidak semestinya. Hal yang sama akan berlaku untuk audit Pemroses Data oleh otoritas pengawas perlindungan data. Pemberitahuan pelanggaran data pribadi harus berisi setidaknya informasi berikut:
(a) deskripsi sifat pelanggaran data pribadi, termasuk, sejauh mungkin, kategori dan jumlah Subjek Data yang terpengaruh, kategori yang terpengaruh, dan jumlah catatan data pribadi yang terpengaruh;
(b) deskripsi tindakan yang diambil atau diusulkan oleh Pemroses Data untuk mengatasi pelanggaran dan, jika berlaku, tindakan untuk mengurangi kemungkinan dampak buruknya;
(c) deskripsi tentang konsekuensi yang mungkin terjadi dari pelanggaran data pribadi.
(2) Pemroses Data harus segera mengambil tindakan yang diperlukan untuk mengamankan data dan untuk mengurangi kemungkinan konsekuensi yang merugikan bagi Subjek Data, menginformasikan kepada Pengendali tentang hal tersebut dan meminta instruksi lebih lanjut.
(3) Selain itu, Pemroses Data wajib memberikan informasi kepada Pengendali setiap saat sejauh data Pengendali dipengaruhi oleh pelanggaran sesuai dengan ayat 1.
(4) Pemroses Data harus memberi tahu Pengendali mengenai setiap perubahan signifikan pada langkah-langkah keamanan sesuai dengan Bagian 5 (2).
§ 7 Hak-hak kontrol Pengendali
(1) Pengendali dapat memastikan sendiri langkah-langkah teknis dan organisasi Pemroses Data sebelum dimulainya pemrosesan data dan setelahnya secara rutin setiap tahun. Untuk tujuan ini, Pengendali dapat, misalnya, memperoleh informasi dari Pemroses Data, memperoleh sertifikat yang ada dari para ahli, sertifikasi atau audit internal atau, setelah berkoordinasi tepat waktu, secara pribadi memeriksa langkah-langkah teknis dan organisasi Pemroses Data selama jam kerja normal atau memintanya untuk diperiksa oleh pihak ketiga yang kompeten, asalkan pihak ketiga tersebut tidak berada dalam hubungan kompetitif dengan Pemroses Data. Pengontrol harus melakukan pemeriksaan hanya sejauh yang diperlukan dan tidak akan secara tidak proporsional mengganggu operasi Pemroses Data dalam prosesnya.
(2) Pemroses Data berjanji untuk memberikan kepada Pengendali, atas permintaan lisan atau tertulis dari Pengendali dan dalam jangka waktu yang wajar, semua informasi dan bukti yang diperlukan untuk melakukan pemeriksaan terhadap tindakan teknis dan organisasi Pemroses Data.
(3) Pengendali harus mendokumentasikan hasil pemeriksaan dan memberitahukannya kepada Pemroses Data. Jika terjadi kesalahan atau penyimpangan yang ditemukan oleh Pengendali, khususnya selama pemeriksaan hasil pemeriksaan, Pengendali harus memberi tahu Pemroses Data tanpa penundaan yang tidak semestinya. Jika ditemukan fakta selama pemeriksaan, yang untuk menghindarinya di masa mendatang memerlukan perubahan pada prosedur yang diperintahkan, Pengendali harus memberi tahu Pemroses Data tentang perubahan prosedural yang diperlukan tanpa penundaan.
§ 8 Penggunaan penyedia layanan
(1) Layanan yang disepakati secara kontraktual harus dilakukan dengan melibatkan penyedia layanan yang disebutkan dalam Lampiran 3 (selanjutnya disebut "Sub-pemroses"). Pengontrol memberikan otorisasi umum kepada Pemroses Data dalam arti Pasal 28 (2) s. 1 GDPR untuk melibatkan Sub-pemroses tambahan dalam ruang lingkup kewajiban kontraktualnya atau untuk mengganti Sub-pemroses yang sudah terlibat.
(2) Pemroses Data harus memberi tahu Pengendali sebelum melakukan perubahan apa pun yang dimaksudkan sehubungan dengan keterlibatan atau penggantian Sub-pemroses. Pengendali dapat mengajukan keberatan atas keterlibatan atau penggantian Sub-pemroses yang dimaksudkan karena alasan penting berdasarkan undang-undang perlindungan data.
(3) Keberatan atas keterlibatan atau penggantian Subpemroses yang dimaksudkan harus diajukan dalam waktu 2 minggu setelah menerima informasi tentang perubahan tersebut. Jika tidak ada keberatan yang diajukan, keterlibatan atau penggantian tersebut akan dianggap disetujui. Jika ada alasan penting berdasarkan undang-undang perlindungan data dan solusi damai tidak memungkinkan antara Pengendali dan Pemroses, Pengendali memiliki hak khusus untuk mengakhiri pada akhir bulan setelah keberatan diajukan.
(4) Ketika melibatkan Sub-pemroses, Pemroses Data harus mewajibkan mereka sesuai dengan ketentuan Perjanjian ini.
(5) Hubungan Sub-pemroses dalam arti ketentuan-ketentuan ini tidak ada jika Pemroses Data menugaskan pihak ketiga dengan layanan yang dianggap sebagai layanan tambahan murni. Ini termasuk, misalnya, layanan pos, transportasi dan pengiriman, layanan kebersihan, layanan telekomunikasi tanpa referensi khusus ke layanan yang disediakan oleh Pemroses Data kepada Pengendali dan layanan pengamanan. Layanan pemeliharaan dan pengujian merupakan hubungan Sub-pemroses yang memerlukan persetujuan sejauh layanan tersebut disediakan untuk sistem TI yang juga digunakan sehubungan dengan penyediaan layanan untuk Pengendali.
§ 9 Permintaan dan hak-hak Subjek Data
(1) Pemroses Data harus mendukung Pengendali dengan tindakan teknis dan organisasi yang sesuai dalam memenuhi kewajiban Pengendali sesuai dengan Pasal 12-22 dan 32 hingga 36 GDPR.
(2) Jika Subjek Data menuntut hak, seperti hak akses, koreksi, atau penghapusan terkait datanya, secara langsung terhadap Pemroses Data, Pemroses Data tidak boleh bereaksi secara independen, tetapi harus merujuk Subjek Data kepada Pengontrol dan menunggu instruksi dari Pengontrol.
§ 10 Kewajiban
(1) Dalam hubungan internal dengan Pemroses Data, Pengendali sendiri yang akan bertanggung jawab kepada Subjek Data atas kompensasi atas kerusakan yang diderita oleh Subjek Data karena pemrosesan data yang tidak dapat diterima atau tidak benar menurut undang-undang perlindungan data atau penggunaan dalam lingkup pemrosesan yang ditugaskan.
(2) Pemroses Data akan memiliki tanggung jawab tak terbatas atas kerusakan sejauh penyebab kerusakan didasarkan pada pelanggaran tugas yang disengaja atau sangat lalai oleh Pemroses Data, perwakilan hukumnya, atau agen perwakilannya.
(3) Pemroses Data hanya akan bertanggung jawab atas tindakan kelalaian jika terjadi pelanggaran kewajiban, yang pemenuhannya merupakan prasyarat untuk pelaksanaan kontrak yang tepat dan ketaatan yang secara teratur diandalkan oleh Pengontrol dan dapat diandalkan, tetapi terbatas pada kerusakan rata-rata yang biasa terjadi dalam kontrak. Dalam semua hal lainnya, tanggung jawab Pemroses - termasuk untuk agen perwakilannya - akan dikecualikan.
(4) Pembatasan tanggung jawab sesuai dengan § 10.3 tidak berlaku untuk klaim atas kerugian yang timbul dari cedera pada jiwa, tubuh, kesehatan atau dari asumsi suatu jaminan.
§ 11 Pengakhiran Kontrak Utama
(1) Setelah pengakhiran Kontrak Utama, Pemroses Data harus mengembalikan kepada Pengendali semua dokumen, data, dan pembawa data yang diberikan kepadanya atau - atas permintaan Pengendali, kecuali jika ada kewajiban untuk menyimpan data pribadi berdasarkan hukum Uni Eropa atau hukum Republik Federal Jerman - menghapusnya. Ini juga berlaku untuk cadangan data apa pun di Pemroses Data. Pemroses Data harus berdasarkan permintaan memberikan bukti terdokumentasi tentang penghapusan data apa pun yang tepat.
(2) Pengendali berhak untuk mengendalikan pengembalian atau penghapusan data secara lengkap dan kontraktual di Pemroses Data dengan cara yang sesuai.
(3) Pemroses Data berkewajiban untuk menjaga kerahasiaan data yang diketahuinya sehubungan dengan Kontrak Utama bahkan setelah Kontrak Utama berakhir. Perjanjian ini akan tetap berlaku setelah berakhirnya Kontrak Utama selama Pemroses Data memiliki data pribadi yang dimilikinya yang telah diteruskan kepadanya oleh Pengendali atau yang telah dikumpulkannya untuk Pengendali.
§ 12 Ketentuan akhir
(1) Sejauh Pemroses Data tidak secara tegas melakukan tindakan dukungan berdasarkan Perjanjian ini secara gratis, Pemroses Data dapat membebankan biaya yang wajar kepada Pengendali, kecuali jika tindakan atau kelalaian Pemroses Data sendiri yang membuat dukungan tersebut secara langsung diperlukan.
(2) Perubahan dan penambahan terhadap Perjanjian ini harus dilakukan secara tertulis. Hal ini juga berlaku untuk setiap pengabaian persyaratan formal ini. Prioritas perjanjian kontrak individual tidak akan terpengaruh.
(3) Apabila ketentuan-ketentuan individual dalam Perjanjian ini seluruhnya atau sebagian menjadi tidak sah atau tidak dapat dilaksanakan, hal ini tidak akan mempengaruhi keabsahan ketentuan-ketentuan lainnya.
(4) Perjanjian ini tunduk pada hukum Jerman.
Lampiran 1 - Deskripsi data/kategori data dan Subjek Data/kelompok Subjek Data yang terkena dampak
| Jenis pelanggan | Kategori subjek data | Kategori data |
|---|---|---|
| Akun perusahaan | Karyawan | Nama, detail kontak, posisi, departemen, foto, detail perusahaan, tautan ke media sosial |
| Akun perusahaan & pengguna perorangan | Pihak yang berkepentingan | Alamat IP (kota, negara), detail kontak, nama, perusahaan, pesan (opsional) |
Lampiran 2 - Langkah-langkah teknis dan organisasi dari Pemroses Data
1. Pendahuluan
Dokumen ini merangkum langkah-langkah teknis dan organisasi yang diambil oleh Pemroses dalam arti Art. 32 para. 1 GDPR. Ini adalah langkah-langkah yang diambil oleh Pemroses untuk melindungi data pribadi. Tujuan dari dokumen ini adalah untuk mendukung Pengontrol dalam memenuhi kewajiban akuntabilitasnya berdasarkan Art. 5 paragraf 2 GDPR.
2. Kerahasiaan (Pasal 32 ayat 1 huruf b GDPR)
2.1 Kontrol masuk
Langkah-langkah yang diterapkan berikut ini mencegah orang yang tidak berwenang untuk mendapatkan akses ke sistem pemrosesan data:
Bekerja dari rumah: orang yang tidak berkepentingan tidak memiliki akses ke rumah karyawan
Bekerja di kantor rumah: instruksi kepada karyawan untuk bekerja di kantor yang terpisah dari ruang keluarga mereka jika memungkinkan
2.2 Kontrol penerimaan
Langkah-langkah yang diterapkan berikut ini mencegah orang yang tidak berwenang untuk mendapatkan akses ke sistem pemrosesan data:
Otentikasi dengan pengguna dan kata sandi
Penggunaan firewall
Penggunaan manajemen perangkat seluler
Enkripsi pembawa data
Kunci desktop otomatis
Manajemen otorisasi pengguna
Membuat profil pengguna
Aturan kata sandi pusat
Penggunaan autentikasi 2 faktor
Kebijakan perusahaan untuk kata sandi yang aman
Instruksi umum untuk mengunci desktop secara manual saat meninggalkan workstation
2.3 Kontrol akses
Langkah-langkah yang diterapkan berikut ini memastikan bahwa orang yang tidak berwenang tidak memiliki akses ke data pribadi:
Pencatatan akses ke aplikasi (khususnya saat memasukkan, mengubah, dan menghapus data)
Jumlah administrator dibuat sesedikit mungkin
Manajemen hak pengguna oleh administrator sistem
Instruksi kepada karyawan bahwa data hanya akan dihapus setelah konsultasi
2.4 Kontrol pemisahan
Langkah-langkah berikut ini memastikan bahwa data pribadi yang dikumpulkan untuk tujuan yang berbeda diproses secara terpisah:
Penyimpanan yang terpisah secara fisik pada sistem atau pembawa data yang terpisah
Pemisahan sistem produksi dan pengujian
Pemisahan klien secara logis (di sisi perangkat lunak)
Definisi hak basis data
Instruksi internal untuk menganonimkan/mempersamarkan data pribadi jika terjadi pengungkapan atau setelah berakhirnya periode penghapusan menurut undang-undang, jika memungkinkan.
3. Integritas (Pasal 32 ayat 1 huruf b GDPR)
3.1 Kontrol transfer
Dipastikan bahwa data pribadi tidak dapat dibaca, disalin, diubah, atau dihapus tanpa otorisasi selama transmisi atau penyimpanan pada pembawa data dan memungkinkan untuk memeriksa orang atau badan mana yang telah menerima data pribadi. Langkah-langkah berikut ini telah diterapkan untuk memastikan hal ini:
Enkripsi WLAN (WPA2 dengan kata sandi yang kuat)
Pencatatan akses dan pengambilan
Penyediaan data melalui koneksi terenkripsi seperti SFTP atau HTTPS
Larangan mengunggah data perusahaan ke server eksternal
3.2 Kontrol input
Langkah-langkah berikut ini memastikan bahwa dimungkinkan untuk memeriksa siapa yang telah memproses data pribadi dalam sistem pemrosesan data dan pada waktu yang tepat:
Mencatat entri, modifikasi, dan penghapusan data
Kontrol log secara manual atau otomatis
Penelusuran entri, modifikasi, dan penghapusan data melalui nama pengguna individual (bukan grup pengguna)
Tanggung jawab yang jelas untuk penghapusan
legal.dpa.latest.annexes.2.3.2.text.6
4. Ketersediaan dan ketahanan (Pasal 32 ayat 1 huruf b GDPR)
Langkah-langkah berikut ini memastikan bahwa data pribadi dilindungi dari kerusakan atau kehilangan yang tidak disengaja dan selalu tersedia bagi klien:
Alat pemadam kebakaran di ruang server
Perangkat untuk memantau suhu dan kelembapan di ruang server
Penyejuk udara di ruang server
Strip soket pelindung di ruang server
Catu daya tak terputus (UPS)
Pengawasan video di ruang server
Pesan alarm untuk akses tidak sah ke ruang server
Pencadangan reguler
Memeriksa proses pencadangan
Penyimpanan cadangan data di lokasi yang aman dan di luar lokasi
Tes pemulihan data secara teratur dan pencatatan hasilnya
Tidak ada fasilitas sanitasi di dalam atau di atas ruang server
Hosting (setidaknya untuk data yang paling penting) dengan penyedia layanan profesional
5. Prosedur untuk peninjauan, penilaian, dan evaluasi rutin (Pasal 32 paragraf 1 lit. d GDPR; Pasal 25 paragraf 1 GDPR)
5.1 Manajemen perlindungan data
Langkah-langkah berikut ini dimaksudkan untuk memastikan bahwa organisasi memenuhi persyaratan dasar hukum perlindungan data:
Penggunaan platform heyData untuk manajemen perlindungan data
Penunjukan petugas perlindungan data heyData
Kewajiban karyawan untuk menjaga kerahasiaan data
Pelatihan perlindungan data rutin untuk karyawan
Mempertahankan ikhtisar aktivitas pemrosesan (Pasal 30 GDPR)
5.2 Manajemen respons insiden
Langkah-langkah berikut ini dimaksudkan untuk memastikan bahwa proses pelaporan dipicu jika terjadi pelanggaran perlindungan data:
Proses pelaporan pelanggaran perlindungan data sesuai dengan Art. 4 No. 12 GDPR kepada otoritas pengawas (Pasal 33 GDPR)
Proses pemberitahuan untuk pelanggaran data sesuai dengan Art. 4 No. 12 GDPR kepada subjek data (Pasal 34 GDPR)
Keterlibatan petugas perlindungan data dalam insiden keamanan dan pelanggaran data
Penggunaan firewall
5.3 Pengaturan default yang ramah terhadap perlindungan data (Pasal 25 ayat 2 GDPR)
Langkah-langkah berikut ini dimaksudkan untuk memastikan bahwa proses pelaporan dipicu jika terjadi pelanggaran perlindungan data:
Proses pelaporan pelanggaran perlindungan data sesuai dengan Art. 4 No. 12 GDPR kepada otoritas pengawas (Pasal 33 GDPR)
Proses pemberitahuan untuk pelanggaran data sesuai dengan Art. 4 No. 12 GDPR kepada subjek data (Pasal 34 GDPR)
5.4 Kontrol pesanan
Langkah-langkah berikut ini memastikan bahwa data pribadi hanya dapat diproses sesuai dengan instruksi:
Instruksi tertulis kepada kontraktor atau instruksi dalam bentuk teks (misalnya melalui perjanjian pemrosesan data)
Memastikan penghancuran data setelah pesanan selesai, misalnya dengan meminta konfirmasi yang sesuai
Konfirmasi dari kontraktor bahwa mereka berkomitmen untuk menjaga kerahasiaan data karyawan mereka sendiri (biasanya dalam perjanjian pemrosesan data)
Pemilihan kontraktor yang cermat (terutama yang berkaitan dengan keamanan data)
Peninjauan berkelanjutan terhadap kontraktor dan aktivitas mereka
Memastikan penghancuran data setelah pesanan selesai, misalnya dengan meminta konfirmasi yang sesuai
Lampiran 3 - Sub-pemrosesor saat ini
Semua sub-pemroses AS disertifikasi di bawah [Kerangka Kerja Privasi Data] (https://www.dataprivacyframework.gov/).
| Nama | Alamat | Fungsi | Lokasi server |
|---|---|---|---|
| Hetzner Online GmbH | Industriestr. 25, 91710 Gunzenhausen, Germany | Hosting & Infrastruktur | UNI EROPA |
| Cloudflare, Inc. | 101 Townsend Street, San Francisco, CA 94107, USA | Jaringan & Keamanan Pengiriman Konten | Global, tergantung pada lokasi pengguna |
| ActiveCampaign, LLC | 1 N Dearborn St., 5th Floor, Chicago, Illinois 60602, USA | Pengiriman Email | AMERIKA SERIKAT |
| Functional Software, Inc. | 132 Hawthorne Street San Francisco, CA 94107, USA | Pelaporan & Pemantauan Kesalahan | UNI EROPA |
| Microsoft Ireland Operations, Ltd. | One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland | Layanan Pelanggan & Komunikasi | UNI EROPA |
| HubSpot, Inc. | 25 1st Street Cambridge, MA 0214, USA | Layanan Pelanggan & Komunikasi | UNI EROPA |
Versi 1.3, berlaku mulai tanggal 10 April 2024
| Nama: | |
| Posisi: | |
| Email: | |
| Tanggal: | |
| Tanda tangan: |
| Nama: | Florian Theimer |
| Posisi: | Founder & CEO |
| Email: | privacy@spreadly.app |
| Tanggal: | |
| Tanda tangan: |
Cetak Perjanjian Pemrosesan Data ini dan kirimkan versi yang telah ditandatangani ke privacy@spreadly.app dengan melampirkan nomor pelanggan Anda. Anda akan menerima versi yang telah ditandatangani dari kami dalam beberapa hari kerja berikutnya.
Anda ingin mendapatkan salinan Perjanjian Pemrosesan Data yang telah ditandatangani?
Cetak Perjanjian Pemrosesan Data ini dan kirimkan versi yang telah ditandatangani ke privacy@spreadly.app dengan melampirkan nomor pelanggan Anda.
Anda akan menerima versi yang telah ditandatangani dari kami dalam beberapa hari kerja berikutnya.