Perjanjian Pemrosesan Data

antara

Pelanggan sesuai dengan SKU sebagai Pengendali (selanjutnya disebut "Pengendali"),

dan

Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Deutschland sebagai Pemroses Data (selanjutnya disebut "Pemroses Data", Pengendali dan Pemroses Data secara bersama-sama disebut sebagai "Para Pihak")

Pembukaan

Pengendali telah menugaskan Pemroses Data dalam SKU (selanjutnya disebut sebagai "Perjanjian Utama") untuk layanan yang ditentukan di dalamnya. Bagian dari pelaksanaan kontrak adalah pemrosesan data pribadi. Secara khusus, Art. 28 GDPR memberlakukan persyaratan khusus pada pemrosesan yang ditugaskan tersebut. Untuk mematuhi persyaratan ini, Para Pihak menandatangani Perjanjian Pemrosesan Data berikut (selanjutnya disebut sebagai "Perjanjian"), yang kinerjanya tidak akan diberi imbalan secara terpisah kecuali jika disetujui secara tegas.

§ 1 Definisi

(1) Sesuai dengan Art. 4 (7) GDPR, Pengendali adalah entitas yang secara sendiri atau bersama-sama dengan Pengendali lain menentukan tujuan dan cara pemrosesan data pribadi.

(2) Sesuai dengan Art. 4 (8) GDPR, Pemroses Data adalah orang perseorangan atau badan hukum, otoritas, institusi, atau badan lain yang memproses data pribadi atas nama Pengontrol.

(3) Sesuai dengan Art. 4 (1) GDPR, data pribadi berarti setiap informasi yang berkaitan dengan orang perseorangan yang teridentifikasi atau dapat diidentifikasi (selanjutnya disebut "Subjek Data"); orang perseorangan yang dapat diidentifikasi adalah orang yang dapat diidentifikasi, baik secara langsung maupun tidak langsung, khususnya dengan merujuk pada pengenal seperti nama, nomor identifikasi, data lokasi, pengenal daring, atau pada satu atau beberapa faktor yang spesifik terhadap identitas fisik, fisiologis, genetik, mental, ekonomi, budaya, atau sosial orang perseorangan tersebut.

(4) Data pribadi yang memerlukan perlindungan khusus adalah data pribadi sesuai dengan Art. 9 GDPR yang mengungkapkan asal ras atau etnis, pendapat politik, keyakinan agama atau filosofis, atau keanggotaan serikat pekerja dari Subjek Data, data pribadi sesuai dengan Art. 10 GDPR tentang hukuman pidana dan pelanggaran pidana atau tindakan keamanan terkait, serta data genetik sesuai dengan Art. 4 (13) GDPR, data biometrik sesuai dengan Art. 4 (14) GDPR, data kesehatan sesuai dengan Art. 4 (15) GDPR, dan data tentang kehidupan seks atau orientasi seksual seseorang.

(5) Menurut Pasal 4 (2) GDPR, pemrosesan adalah setiap operasi atau serangkaian operasi yang dilakukan terhadap data pribadi, baik dengan cara otomatis atau tidak, seperti pengumpulan, pencatatan, pengorganisasian, pengarsipan, penyimpanan, pengadaptasian atau pengubahan, pengambilan, konsultasi, penggunaan, pengungkapan melalui transmisi, penyebarluasan, atau dengan cara lain, penyelarasan atau penggabungan, pembatasan, penghapusan, atau pemusnahan.

(6) Berdasarkan Pasal 4 (21) GDPR, otoritas pengawas adalah badan negara independen yang dibentuk oleh Negara Anggota berdasarkan Pasal 51 GDPR.

§ 2 Subjek kontrak

(1) Pemroses Data menyediakan layanan yang ditentukan dalam Kontrak Utama untuk Pengendali. Dengan demikian, Pemroses Data memperoleh akses ke data pribadi, yang diproses oleh Pemroses Data untuk Pengendali secara eksklusif atas nama dan sesuai dengan instruksi Pengendali. Ruang lingkup dan tujuan pemrosesan data oleh Pemroses Data ditetapkan dalam Kontrak Utama dan deskripsi layanan terkait. Pengendali bertanggung jawab untuk menilai diterimanya pemrosesan data.

(2) Para Pihak membuat Perjanjian ini untuk menentukan hak dan kewajiban bersama berdasarkan hukum perlindungan data. Apabila terdapat keraguan, ketentuan-ketentuan dalam Perjanjian ini akan diutamakan daripada ketentuan-ketentuan dalam Kontrak Utama.

(3) Ketentuan-ketentuan dalam kontrak ini berlaku untuk semua kegiatan yang terkait dengan Kontrak Utama di mana Pemroses Data dan karyawannya atau orang yang diberi wewenang oleh Pemroses Data berhubungan dengan data pribadi yang berasal dari Pengendali atau yang dikumpulkan untuk Pengendali.

(4) Jangka waktu Perjanjian ini akan diatur oleh jangka waktu Kontrak Utama kecuali ketentuan-ketentuan berikut ini menimbulkan kewajiban lebih lanjut atau hak pengakhiran.

§ 3 Hak instruksi

(1) Pemroses Data hanya dapat mengumpulkan, memproses, atau menggunakan data dalam ruang lingkup Kontrak Utama dan sesuai dengan instruksi Pengendali. Jika Pemroses Data diwajibkan untuk melakukan pemrosesan lebih lanjut oleh hukum Uni Eropa atau Negara Anggota yang tunduk padanya, Pemroses Data harus memberi tahu Pengendali tentang persyaratan hukum ini sebelum melakukan pemrosesan.

(2) Instruksi Pengendali pada awalnya akan ditentukan oleh Perjanjian ini. Setelah itu, instruksi tersebut dapat diubah, ditambah, atau diganti oleh Pengendali secara tertulis atau dalam bentuk teks dengan instruksi individu (Instruksi Individu). Pengendali berhak untuk mengeluarkan instruksi tersebut setiap saat. Ini termasuk instruksi terkait koreksi, penghapusan, dan pemblokiran data.

(3) Semua instruksi yang dikeluarkan harus didokumentasikan oleh Pengendali. Instruksi yang melampaui layanan yang disepakati dalam Kontrak Utama akan diperlakukan sebagai permintaan perubahan layanan.

(4) Jika Pemroses Data berpendapat bahwa instruksi dari Pengendali melanggar ketentuan perlindungan data, maka Pemroses Data harus memberi tahu Pengendali tentang hal itu tanpa penundaan yang tidak semestinya. Pemroses Data berhak untuk menangguhkan pelaksanaan instruksi yang relevan hingga dikonfirmasi atau diubah oleh Pengendali. Pemroses Data dapat menolak untuk melaksanakan instruksi yang jelas-jelas melanggar hukum.

§ 4 Jenis data yang diproses, kelompok Subjek Data, negara ketiga

(1) Dalam lingkup pelaksanaan Kontrak Utama, Pemroses Data akan memiliki akses ke data pribadi yang ditentukan secara lebih rinci dalam Lampiran 1.

(2) Kelompok Subjek Data yang terpengaruh oleh pemrosesan data tercantum dalam Lampiran 1.

(3) Pemindahan data pribadi ke negara ketiga dapat dilakukan di bawah ketentuan Pasal. 44 et seq. GDPR.

§ 5 Tindakan perlindungan terhadap Pemroses Data

(1) Pemroses Data wajib mematuhi ketentuan hukum tentang perlindungan data dan tidak mengungkapkan informasi yang diperoleh dari domain Pengendali kepada pihak ketiga atau mengeksposnya untuk diakses oleh mereka. Dokumen dan data harus diamankan dari pengungkapan kepada orang yang tidak berwenang, dengan mempertimbangkan keadaan terkini.

(2) Pemroses Data harus mengatur organisasi internal dalam bidang tanggung jawabnya sedemikian rupa sehingga memenuhi persyaratan khusus perlindungan data. Pengolah Data harus mengambil langkah-langkah teknis dan organisasi yang ditentukan dalam Lampiran 2 untuk melindungi data Pengontrol secara memadai sesuai dengan Art. 32 GDPR, yang diakui oleh Pengendali sebagai memadai. Pengolah Data berhak untuk mengubah langkah-langkah keamanan yang diambil sambil memastikan bahwa tingkat perlindungan yang disepakati secara kontraktual tidak dilemahkan.

(3) Orang-orang yang dipekerjakan dalam pemrosesan data oleh Pemroses Data dilarang mengumpulkan, memproses, atau menggunakan data pribadi tanpa izin. Pemroses Data akan mewajibkan semua orang yang dipercayakan olehnya untuk memproses dan melaksanakan kontrak ini (selanjutnya disebut "Karyawan") dengan cara yang sesuai (kewajiban kerahasiaan, Art. 28 (3) lit. b GDPR) dan harus memastikan kepatuhan terhadap kewajiban ini dengan hati-hati.

(4) Pemroses Data telah menunjuk petugas perlindungan data. Petugas perlindungan data Pemroses Data adalah heyData GmbH, Schützenstr. 5, 10117 Berlin, datenschutz@heydata.eu, www.heydata.eu.

§ 6 Kewajiban informasi dari Pemroses Data

(1) Jika terjadi gangguan, dugaan pelanggaran perlindungan data atau pelanggaran kewajiban kontrak Pemroses Data, dugaan insiden terkait keamanan, atau penyimpangan lain dalam pemrosesan data pribadi oleh Pemroses Data, oleh orang yang dipekerjakannya dalam lingkup kontrak atau oleh pihak ketiga, Pemroses Data harus memberi tahu Pengontrol tanpa penundaan yang tidak semestinya. Hal yang sama akan berlaku untuk audit Pemroses Data oleh otoritas pengawas perlindungan data. Pemberitahuan pelanggaran data pribadi harus berisi setidaknya informasi berikut:

(a) deskripsi sifat pelanggaran data pribadi, termasuk, sejauh mungkin, kategori dan jumlah Subjek Data yang terpengaruh, kategori yang terpengaruh, dan jumlah catatan data pribadi yang terpengaruh;

(b) deskripsi tindakan yang diambil atau diusulkan oleh Pemroses Data untuk mengatasi pelanggaran dan, jika berlaku, tindakan untuk mengurangi kemungkinan dampak buruknya;

(c) deskripsi tentang konsekuensi yang mungkin terjadi dari pelanggaran data pribadi.

(2) Pemroses Data harus segera mengambil tindakan yang diperlukan untuk mengamankan data dan untuk mengurangi kemungkinan konsekuensi yang merugikan bagi Subjek Data, menginformasikan kepada Pengendali tentang hal tersebut dan meminta instruksi lebih lanjut.

(3) Selain itu, Pemroses Data wajib memberikan informasi kepada Pengendali setiap saat sejauh data Pengendali dipengaruhi oleh pelanggaran sesuai dengan ayat 1.

(4) Pemroses Data harus memberi tahu Pengendali mengenai setiap perubahan signifikan pada langkah-langkah keamanan sesuai dengan Bagian 5 (2).

§ 7 Hak-hak kontrol Pengendali

(1) Pengendali dapat memastikan sendiri langkah-langkah teknis dan organisasi Pemroses Data sebelum dimulainya pemrosesan data dan setelahnya secara rutin setiap tahun. Untuk tujuan ini, Pengendali dapat, misalnya, memperoleh informasi dari Pemroses Data, memperoleh sertifikat yang ada dari para ahli, sertifikasi atau audit internal atau, setelah berkoordinasi tepat waktu, secara pribadi memeriksa langkah-langkah teknis dan organisasi Pemroses Data selama jam kerja normal atau memintanya untuk diperiksa oleh pihak ketiga yang kompeten, asalkan pihak ketiga tersebut tidak berada dalam hubungan kompetitif dengan Pemroses Data. Pengontrol harus melakukan pemeriksaan hanya sejauh yang diperlukan dan tidak akan secara tidak proporsional mengganggu operasi Pemroses Data dalam prosesnya.

(2) Pemroses Data berjanji untuk memberikan kepada Pengendali, atas permintaan lisan atau tertulis dari Pengendali dan dalam jangka waktu yang wajar, semua informasi dan bukti yang diperlukan untuk melakukan pemeriksaan terhadap tindakan teknis dan organisasi Pemroses Data.

(3) Pengendali harus mendokumentasikan hasil pemeriksaan dan memberitahukannya kepada Pemroses Data. Jika terjadi kesalahan atau penyimpangan yang ditemukan oleh Pengendali, khususnya selama pemeriksaan hasil pemeriksaan, Pengendali harus memberi tahu Pemroses Data tanpa penundaan yang tidak semestinya. Jika ditemukan fakta selama pemeriksaan, yang untuk menghindarinya di masa mendatang memerlukan perubahan pada prosedur yang diperintahkan, Pengendali harus memberi tahu Pemroses Data tentang perubahan prosedural yang diperlukan tanpa penundaan.

§ 8 Penggunaan penyedia layanan

(1) Layanan yang disepakati secara kontraktual harus dilakukan dengan melibatkan penyedia layanan yang disebutkan dalam Lampiran 3 (selanjutnya disebut "Sub-pemroses"). Pengontrol memberikan otorisasi umum kepada Pemroses Data dalam arti Pasal 28 (2) s. 1 GDPR untuk melibatkan Sub-pemroses tambahan dalam ruang lingkup kewajiban kontraktualnya atau untuk mengganti Sub-pemroses yang sudah terlibat.

(2) Pemroses Data harus memberi tahu Pengendali sebelum melakukan perubahan apa pun yang dimaksudkan sehubungan dengan keterlibatan atau penggantian Sub-pemroses. Pengendali dapat mengajukan keberatan atas keterlibatan atau penggantian Sub-pemroses yang dimaksudkan karena alasan penting berdasarkan undang-undang perlindungan data.

(3) Keberatan atas keterlibatan atau penggantian Subpemroses yang dimaksudkan harus diajukan dalam waktu 2 minggu setelah menerima informasi tentang perubahan tersebut. Jika tidak ada keberatan yang diajukan, keterlibatan atau penggantian tersebut akan dianggap disetujui. Jika ada alasan penting berdasarkan undang-undang perlindungan data dan solusi damai tidak memungkinkan antara Pengendali dan Pemroses, Pengendali memiliki hak khusus untuk mengakhiri pada akhir bulan setelah keberatan diajukan.

(4) Ketika melibatkan Sub-pemroses, Pemroses Data harus mewajibkan mereka sesuai dengan ketentuan Perjanjian ini.

(5) Hubungan Sub-pemroses dalam arti ketentuan-ketentuan ini tidak ada jika Pemroses Data menugaskan pihak ketiga dengan layanan yang dianggap sebagai layanan tambahan murni. Ini termasuk, misalnya, layanan pos, transportasi dan pengiriman, layanan kebersihan, layanan telekomunikasi tanpa referensi khusus ke layanan yang disediakan oleh Pemroses Data kepada Pengendali dan layanan pengamanan. Layanan pemeliharaan dan pengujian merupakan hubungan Sub-pemroses yang memerlukan persetujuan sejauh layanan tersebut disediakan untuk sistem TI yang juga digunakan sehubungan dengan penyediaan layanan untuk Pengendali.

§ 9 Permintaan dan hak-hak Subjek Data

(1) Pemroses Data harus mendukung Pengendali dengan tindakan teknis dan organisasi yang sesuai dalam memenuhi kewajiban Pengendali sesuai dengan Pasal 12-22 dan 32 hingga 36 GDPR.

(2) Jika Subjek Data menuntut hak, seperti hak akses, koreksi, atau penghapusan terkait datanya, secara langsung terhadap Pemroses Data, Pemroses Data tidak boleh bereaksi secara independen, tetapi harus merujuk Subjek Data kepada Pengontrol dan menunggu instruksi dari Pengontrol.

§ 10 Kewajiban

(1) Dalam hubungan internal dengan Pemroses Data, Pengendali sendiri yang akan bertanggung jawab kepada Subjek Data atas kompensasi atas kerusakan yang diderita oleh Subjek Data karena pemrosesan data yang tidak dapat diterima atau tidak benar menurut undang-undang perlindungan data atau penggunaan dalam lingkup pemrosesan yang ditugaskan.

(2) Pemroses Data akan memiliki tanggung jawab tak terbatas atas kerusakan sejauh penyebab kerusakan didasarkan pada pelanggaran tugas yang disengaja atau sangat lalai oleh Pemroses Data, perwakilan hukumnya, atau agen perwakilannya.

(3) Pemroses Data hanya akan bertanggung jawab atas tindakan kelalaian jika terjadi pelanggaran kewajiban, yang pemenuhannya merupakan prasyarat untuk pelaksanaan kontrak yang tepat dan ketaatan yang secara teratur diandalkan oleh Pengontrol dan dapat diandalkan, tetapi terbatas pada kerusakan rata-rata yang biasa terjadi dalam kontrak. Dalam semua hal lainnya, tanggung jawab Pemroses - termasuk untuk agen perwakilannya - akan dikecualikan.

(4) Pembatasan tanggung jawab sesuai dengan § 10.3 tidak berlaku untuk klaim atas kerugian yang timbul dari cedera pada jiwa, tubuh, kesehatan atau dari asumsi suatu jaminan.

§ 11 Pengakhiran Kontrak Utama

(1) Setelah pengakhiran Kontrak Utama, Pemroses Data harus mengembalikan kepada Pengendali semua dokumen, data, dan pembawa data yang diberikan kepadanya atau - atas permintaan Pengendali, kecuali jika ada kewajiban untuk menyimpan data pribadi berdasarkan hukum Uni Eropa atau hukum Republik Federal Jerman - menghapusnya. Ini juga berlaku untuk cadangan data apa pun di Pemroses Data. Pemroses Data harus berdasarkan permintaan memberikan bukti terdokumentasi tentang penghapusan data apa pun yang tepat.

(2) Pengendali berhak untuk mengendalikan pengembalian atau penghapusan data secara lengkap dan kontraktual di Pemroses Data dengan cara yang sesuai.

(3) Pemroses Data berkewajiban untuk menjaga kerahasiaan data yang diketahuinya sehubungan dengan Kontrak Utama bahkan setelah Kontrak Utama berakhir. Perjanjian ini akan tetap berlaku setelah berakhirnya Kontrak Utama selama Pemroses Data memiliki data pribadi yang dimilikinya yang telah diteruskan kepadanya oleh Pengendali atau yang telah dikumpulkannya untuk Pengendali.

§ 12 Ketentuan akhir

(1) Sejauh Pemroses Data tidak secara tegas melakukan tindakan dukungan berdasarkan Perjanjian ini secara gratis, Pemroses Data dapat membebankan biaya yang wajar kepada Pengendali, kecuali jika tindakan atau kelalaian Pemroses Data sendiri yang membuat dukungan tersebut secara langsung diperlukan.

(2) Perubahan dan penambahan terhadap Perjanjian ini harus dilakukan secara tertulis. Hal ini juga berlaku untuk setiap pengabaian persyaratan formal ini. Prioritas perjanjian kontrak individual tidak akan terpengaruh.

(3) Apabila ketentuan-ketentuan individual dalam Perjanjian ini seluruhnya atau sebagian menjadi tidak sah atau tidak dapat dilaksanakan, hal ini tidak akan mempengaruhi keabsahan ketentuan-ketentuan lainnya.

(4) Perjanjian ini tunduk pada hukum Jerman.

Lampiran 2 - Langkah-langkah teknis dan organisasi dari Pemroses Data

1. Pendahuluan

Dokumen ini merangkum langkah-langkah teknis dan organisasi yang diambil oleh Pemroses dalam arti Art. 32 para. 1 GDPR. Ini adalah langkah-langkah yang diambil oleh Pemroses untuk melindungi data pribadi. Tujuan dari dokumen ini adalah untuk mendukung Pengontrol dalam memenuhi kewajiban akuntabilitasnya berdasarkan Art. 5 paragraf 2 GDPR.

2. Kerahasiaan (Pasal 32 ayat 1 huruf b GDPR)

2.1 Kontrol masuk

Langkah-langkah yang diterapkan berikut ini mencegah orang yang tidak berwenang untuk mendapatkan akses ke sistem pemrosesan data:

• Bekerja dari rumah: orang yang tidak berkepentingan tidak memiliki akses ke rumah karyawan

• Bekerja di kantor rumah: instruksi kepada karyawan untuk bekerja di kantor yang terpisah dari ruang keluarga mereka jika memungkinkan

2.2 Kontrol penerimaan

Langkah-langkah yang diterapkan berikut ini mencegah orang yang tidak berwenang untuk mendapatkan akses ke sistem pemrosesan data:

• Otentikasi dengan pengguna dan kata sandi

• Penggunaan firewall

• Penggunaan manajemen perangkat seluler

• Enkripsi pembawa data

• Kunci desktop otomatis

• Manajemen otorisasi pengguna

• Membuat profil pengguna

• Aturan kata sandi pusat

• Penggunaan autentikasi 2 faktor

• Kebijakan perusahaan untuk kata sandi yang aman

• Instruksi umum untuk mengunci desktop secara manual saat meninggalkan workstation

2.3 Kontrol akses

Langkah-langkah yang diterapkan berikut ini memastikan bahwa orang yang tidak berwenang tidak memiliki akses ke data pribadi:

• Pencatatan akses ke aplikasi (khususnya saat memasukkan, mengubah, dan menghapus data)

• Jumlah administrator dibuat sesedikit mungkin

• Manajemen hak pengguna oleh administrator sistem

• Instruksi kepada karyawan bahwa data hanya akan dihapus setelah konsultasi

2.4 Kontrol pemisahan

Langkah-langkah berikut ini memastikan bahwa data pribadi yang dikumpulkan untuk tujuan yang berbeda diproses secara terpisah:

• Penyimpanan yang terpisah secara fisik pada sistem atau pembawa data yang terpisah

• Pemisahan sistem produksi dan pengujian

• Pemisahan klien secara logis (di sisi perangkat lunak)

• Definisi hak basis data

• Instruksi internal untuk menganonimkan/mempersamarkan data pribadi jika terjadi pengungkapan atau setelah berakhirnya periode penghapusan menurut undang-undang, jika memungkinkan.

3. Integritas (Pasal 32 ayat 1 huruf b GDPR)

3.1 Kontrol transfer

Dipastikan bahwa data pribadi tidak dapat dibaca, disalin, diubah, atau dihapus tanpa otorisasi selama transmisi atau penyimpanan pada pembawa data dan memungkinkan untuk memeriksa orang atau badan mana yang telah menerima data pribadi. Langkah-langkah berikut ini telah diterapkan untuk memastikan hal ini:

• Enkripsi WLAN (WPA2 dengan kata sandi yang kuat)

• Pencatatan akses dan pengambilan

• Penyediaan data melalui koneksi terenkripsi seperti SFTP atau HTTPS

• Larangan mengunggah data perusahaan ke server eksternal

3.2 Kontrol input

Langkah-langkah berikut ini memastikan bahwa dimungkinkan untuk memeriksa siapa yang telah memproses data pribadi dalam sistem pemrosesan data dan pada waktu yang tepat:

• Mencatat entri, modifikasi, dan penghapusan data

• Kontrol log secara manual atau otomatis

• Penelusuran entri, modifikasi, dan penghapusan data melalui nama pengguna individual (bukan grup pengguna)

• Tanggung jawab yang jelas untuk penghapusan

legal.dpa.latest.annexes.2.3.2.text.6

4. Ketersediaan dan ketahanan (Pasal 32 ayat 1 huruf b GDPR)

Langkah-langkah berikut ini memastikan bahwa data pribadi dilindungi dari kerusakan atau kehilangan yang tidak disengaja dan selalu tersedia bagi klien:

• Alat pemadam kebakaran di ruang server

• Perangkat untuk memantau suhu dan kelembapan di ruang server

• Penyejuk udara di ruang server

• Strip soket pelindung di ruang server

• Catu daya tak terputus (UPS)

• Pengawasan video di ruang server

• Pesan alarm untuk akses tidak sah ke ruang server

• Pencadangan reguler

• Memeriksa proses pencadangan

• Penyimpanan cadangan data di lokasi yang aman dan di luar lokasi

• Tes pemulihan data secara teratur dan pencatatan hasilnya

• Tidak ada fasilitas sanitasi di dalam atau di atas ruang server

• Hosting (setidaknya untuk data yang paling penting) dengan penyedia layanan profesional

5. Prosedur untuk peninjauan, penilaian, dan evaluasi rutin (Pasal 32 paragraf 1 lit. d GDPR; Pasal 25 paragraf 1 GDPR)

5.1 Manajemen perlindungan data

Langkah-langkah berikut ini dimaksudkan untuk memastikan bahwa organisasi memenuhi persyaratan dasar hukum perlindungan data:

• Penggunaan platform heyData untuk manajemen perlindungan data

• Penunjukan petugas perlindungan data heyData

• Kewajiban karyawan untuk menjaga kerahasiaan data

• Pelatihan perlindungan data rutin untuk karyawan

• Mempertahankan ikhtisar aktivitas pemrosesan (Pasal 30 GDPR)

5.2 Manajemen respons insiden

Langkah-langkah berikut ini dimaksudkan untuk memastikan bahwa proses pelaporan dipicu jika terjadi pelanggaran perlindungan data:

• Proses pelaporan pelanggaran perlindungan data sesuai dengan Art. 4 No. 12 GDPR kepada otoritas pengawas (Pasal 33 GDPR)

• Proses pemberitahuan untuk pelanggaran data sesuai dengan Art. 4 No. 12 GDPR kepada subjek data (Pasal 34 GDPR)

• Keterlibatan petugas perlindungan data dalam insiden keamanan dan pelanggaran data

• Penggunaan firewall

5.3 Pengaturan default yang ramah terhadap perlindungan data (Pasal 25 ayat 2 GDPR)

Langkah-langkah berikut ini dimaksudkan untuk memastikan bahwa proses pelaporan dipicu jika terjadi pelanggaran perlindungan data:

• Proses pelaporan pelanggaran perlindungan data sesuai dengan Art. 4 No. 12 GDPR kepada otoritas pengawas (Pasal 33 GDPR)

• Proses pemberitahuan untuk pelanggaran data sesuai dengan Art. 4 No. 12 GDPR kepada subjek data (Pasal 34 GDPR)

5.4 Kontrol pesanan

Langkah-langkah berikut ini memastikan bahwa data pribadi hanya dapat diproses sesuai dengan instruksi:

• Instruksi tertulis kepada kontraktor atau instruksi dalam bentuk teks (misalnya melalui perjanjian pemrosesan data)

• Memastikan penghancuran data setelah pesanan selesai, misalnya dengan meminta konfirmasi yang sesuai

• Konfirmasi dari kontraktor bahwa mereka berkomitmen untuk menjaga kerahasiaan data karyawan mereka sendiri (biasanya dalam perjanjian pemrosesan data)

• Pemilihan kontraktor yang cermat (terutama yang berkaitan dengan keamanan data)

• Peninjauan berkelanjutan terhadap kontraktor dan aktivitas mereka

• Memastikan penghancuran data setelah pesanan selesai, misalnya dengan meminta konfirmasi yang sesuai

Versi 1.3, berlaku mulai tanggal 10 April 2024