Pilih Tipe Akun

Terakhir diperbarui: 4 Juni 2025

Perjanjian Pemrosesan Data

Perjanjian Pemrosesan Data ini (“Perjanjian”) dibuat antara PT Quipper Edukasi Indonesia, suatu perseroan terbatas yang berkedudukan di Jakarta dan didirikan berdasarkan hukum Republik Indonesia (“Pengendali”); dan Anda sebagai pelanggan atau pengguna atau pengunjung umum layanan kami (“Pelanggan”).

(bersama-sama sebagai “Para Pihak” dan secara individu sebagai “Pihak”).

BAHWA

  1. Kinerja langganan dan/atau akses umum ke platform Pengendali mungkin melibatkan Pemrosesan Data Pribadi (sebagaimana didefinisikan di bawah) yang dilakukan oleh Pengendali atau Prosesor mana pun yang ditunjuk oleh Pengendali.
  2. Mengingat hal-hal di atas, Perjanjian Pemrosesan Data yang dilampirkan pada platform Pengendali akan dianggap sebagai syarat dan ketentuan standar yang secara otomatis disetujui oleh Pelanggan.
  1. Definisi dan Interpretasi
    1. Dalam Perjanjian Pemrosesan Data ini, kecuali jika subjek atau konteksnya menentukan lain, kata-kata dan ungkapan berikut ini akan memiliki arti yang sebagaimana diberikan kepadanya:
      1. Hukum dan Peraturan yang Berlaku” berarti hukum dan peraturan yang berlaku terkait dengan pengumpulan, penggunaan, pembagian, pengungkapan, pengalihan, atau Pemrosesan Data Pribadi di yurisdiksi Indonesia.
      2. Pengendali” berarti setiap entitas yang, baik secara sendiri-sendiri maupun bersama-sama, menentukan tujuan dan menjalankan kontrol atas Pemrosesan Data Pribadi.
      3. Subjek Data” berarti semua individu yang Data Pribadinya (sebagaimana didefinisikan di bawah ini) akan diproses oleh Prosesor atas nama Pengendali sesuai dengan syarat dan ketentuan dalam Perjanjian Pemrosesan Data ini.
      4. Permintaan Hak Subjek Data” berarti setiap komunikasi tertulis atau pemberitahuan oleh Subjek Data yang ingin menggunakan hak-hak mereka sehubungan dengan Data Pribadi mereka berdasarkan Hukum dan Peraturan yang Berlaku.
      5. Transfer Data” berarti pengalihan, pengungkapan, atau penyediaan Data Pribadi dari satu Pihak ke entitas lain.
      6. Data Pribadi” berarti setiap data atau informasi yang terkait dengan individu yang teridentifikasi atau dapat diidentifikasi, secara terpisah atau digabungkan dengan informasi lain, secara langsung atau tidak langsung melalui sistem elektronik atau non-elektronik. Untuk tujuan Perjanjian Pemrosesan Data ini, Data Pribadi berarti data yang berkaitan dengan Subjek Data yang akan diproses oleh Prosesor atas nama Pengendali sesuai dengan syarat dan ketentuan dalam Perjanjian Pemrosesan Data ini.
      7. Kegagalan Perlindungan Data Pribadi” berarti setiap pelanggaran keamanan yang menyebabkan kegagalan dalam melindungi Data Pribadi dalam hal kerahasiaan, integritas, dan ketersediaan Data Pribadi, termasuk pelanggaran keamanan, baik yang disengaja maupun tidak disengaja, yang menyebabkan pembuangan, kehilangan, perubahan, pengungkapan, atau akses yang tidak sah ke Data Pribadi yang dikirim, disimpan, atau diproses.
      8. Prosesor” berarti setiap orang, badan publik/badan pemerintah, dan organisasi internasional yang bertindak secara individu atau bersama-sama dalam memproses Data Pribadi atas nama Pengendali.
      9. Kegiatan Pemrosesan” berarti setiap pengumpulan, perolehan, penyaringan, analisis, penyimpanan, pembaruan, perbaikan, penampilan, pengumuman, transfer, penyebarluasan, pengungkapan, penghapusan, atau pemusnahan Data Pribadi sebagaimana diinstruksikan oleh Pengendali kepada Prosesor sesuai dengan ketentuan dalam Perjanjian ini.
      10. Penerima” memiliki arti yang diberikan dalam Pasal 9.
      11. Subprosesor” berarti setiap entitas yang dapat disubkontrakkan oleh Prosesor untuk melakukan Kegiatan Pemrosesan atas nama Prosesor.
    2. Dalam Perjanjian Pemrosesan Data ini: (i) referensi ke Pasal, pertimbangan, dan Lampiran akan dianggap mereferensikan ke pasal, pertimbangan, dan lampiran dalam Perjanjian Pemrosesan Data ini; (ii) setiap kali kata “termasuk” digunakan dalam Perjanjian Pemrosesan Data ini, kata tersebut akan dianggap diikuti dengan kata “tanpa batasan”; (iii) Lampiran Perjanjian Pemrosesan Data ini akan dianggap sebagai satu kesatuan dari Perjanjian Pemrosesan Data ini dan semua referensi ke Perjanjian Pemrosesan Data ini akan mencakup seluruh Lampiran; (iv) kata-kata yang menandakan bentuk tunggal juga akan menandakan bentuk jamak dan sebaliknya jika konteksnya mengharuskan; (v) judul Pasal dimasukkan hanya untuk kemudahan dan tidak akan mempengaruhi interpretasi Perjanjian Pemrosesan Data ini; (vi) kecuali secara tegas dinyatakan sebaliknya, semua referensi ke sejumlah hari berarti hari kalender, dan kata-kata “bulan” atau “setiap bulanan” serta semua referensi ke sejumlah bulan berarti bulan kalender; (vii) tanggal dan waktu adalah waktu Indonesia; dan (viii) setiap kali istilah yang didefinisikan dalam Hukum dan Peraturan yang Berlaku digunakan dalam Perjanjian Pemrosesan Data ini, istilah-istilah tersebut memiliki arti yang sama dengan Hukum dan Peraturan yang Berlaku.
  2. Tujuan dan Ruang Lingkup
    1. Perjanjian Pemrosesan Data ini mengatur Pemrosesan Data Pribadi oleh Pengendali untuk tujuan penyediaan Layanan oleh Pengendali, yang mana Layanan tersebut mungkin mengharuskan Pengendali untuk memproses data pribadi Subjek Data dengan menggunakan layanan dari Prosesor.
    2. Perjanjian Pemrosesan Data ini akan menjadi prioritas di atas ketentuan serupa yang terdapat dalam perjanjian lain antara Para Pihak.
  3. Controller sebagai Pengendali Data Pribadi
    1. Sebagai Pengendali Data Pribadi, Pengendali menentukan tujuan dan cara Kegiatan Pemrosesan Data Pribadi sebagaimana ditetapkan dalam Lampiran I.
    2. Pengendali berjanji bahwa Data Pribadi yang ditransfer ke dan akan diproses oleh Prosesor atas nama Pengendali sebagaimana diuraikan dalam Lampiran I Perjanjian Pemrosesan Data ini telah dikumpulkan, digunakan, diungkapkan, atau diproses sesuai dengan Hukum dan Peraturan yang Berlaku.
  4. Kewajiban Umum Pengendali dan Prosesor Terkait Aktivitas Pemrosesan
    1. Pengendali hanya boleh melakukan Pemrosesan data secara ketat:
      1. sesuai dengan tujuan usaha; dan/atau
      2. sebagaimana mungkin diwajibkan oleh Peraturan Perundang-undangan yang Berlaku.
    2. Pengendali tidak boleh melakukan Pemrosesan data Data Pribadi apa pun untuk tujuan lain apa pun atau menggunakan metode lain apa pun yang tidak ditentukan dalam Perjanjian Pemrosesan Data ini.
    3. Pengendali tidak boleh mengungkapkan Data Pribadi kepada subjek data mana pun atau kepada pihak ketiga atau sebagaimana diwajibkan oleh Peraturan Perundang-undangan yang Berlaku.
    4. Pengendali menjamin bahwa Prosesor dan/atau Subprosesor akan menerapkan kewajiban yang sama sebagaimana tercantum dalam klausul 4.1. ke 4.3. Perjanjian Pemrosesan Data ini.
  5. Kewajiban Pengendali dan Prosesor Sehubungan dengan Personilnya
    1. Pengendali harus memastikan keandalan setiap karyawan atau personilnya yang mungkin memiliki akses ke Data Pribadi dan memastikan dalam setiap kasus bahwa akses tersebut sangat terbatas pada individu yang perlu mengetahui atau perlu mengakses Data Pribadi yang relevan, sebagaimana diperlukan untuk tujuan tersebut. Kegiatan Pengolahan yang ditetapkan di sini.
    2. Pengendali harus memastikan bahwa semua individu tersebut tunduk pada perjanjian kerahasiaan atau kewajiban kerahasiaan profesional atau undang-undang. Oleh karena itu, akses apapun terhadap Data Pribadi tanpa penundaan akan ditolak atau dihapus dari karyawan atau personel mana pun jika otorisasi dicabut dari karyawan atau personel tersebut.
    3. Pengendali harus menyimpan catatan terkini tentang semua karyawan dan personel yang telah mengakses Data Pribadi.
    4. Pengendali menjamin bahwa Prosesor dan/atau Subprosesor akan menerapkan kewajiban yang sama sebagaimana tercantum dalam klausul 5.1. ke 5.3. Perjanjian Pemrosesan Data ini.
  6. Kewajiban Pengendali dan Prosesor Terkait dengan Keamanan Kegiatan Pemrosesan
    1. Pengendali harus memastikan bahwa Prosesor harus menerapkan, memelihara, dan secara berkala menilai dan memperbarui langkah-langkah keamanan teknis dan organisasi sehubungan dengan Aktivitas Pemrosesan untuk memastikan kepatuhan terhadap Peraturan Perundang-undangan yang Berlaku.
    2. Pengendali harus memastikan bahwa Prosesor harus melakukan penilaian keamanan dan setelah itu menerapkan tindakan yang tepat untuk melawan risiko yang teridentifikasi sehubungan dengan Aktivitas Pemrosesan.
    3. Dalam menilai kecukupan tingkat keamanan, Pengendali harus memastikan bahwa Prosesor harus mempertimbangkan teknologi tercanggih dan standar praktik terbaik industri untuk Aktivitas Pemrosesan yang ditetapkan berdasarkan Perjanjian Pemrosesan Data ini.
    4. Para Pihak setuju bahwa Prosesor seminimalnya wajib menerapkan langkah-langkah keamanan teknis dan organisasi yang ditentukan dalam Lampiran II Perjanjian Pemrosesan Data ini.
  7. Keterlibatan Subprosesor

    Pengendali harus memastikan bahwa:

    1. Prosesor hanya dapat melibatkan SubProsesor mana pun berdasarkan hubungan kontraktual dalam bentuk perjanjian subPemrosesan antara Prosesor dan SubProsesor yang dilibatkan.
    2. Prosesor harus memastikan bahwa setiap SubProsesor yang terlibat memenuhi kewajiban perlindungan data pribadi yang diwajibkan berdasarkan Peraturan Perundang-undangan yang Berlaku dan tunduk pada kewajiban yang sama yang berlaku bagi Pengendali berdasarkan Perjanjian Pemrosesan Data ini.
    3. Prosesor tidak akan dibebaskan dari tanggung jawab atau kewajiban apa pun berdasarkan Perjanjian Pemrosesan Data ini dengan alasan melibatkan SubProsesor. Pengendali bertanggung jawab atas setiap Aktivitas Pemrosesan Subprosesor. Prosesor harus memberitahukan pada kesempatan pertama mengenai kegagalan SubProsesor dalam melaksanakan kewajibannya berdasarkan perjanjian subPemrosesan atau kewajiban perlindungan data berdasarkan Peraturan dan Perundang-undangan yang Berlaku.
    4. Keterlibatan/penunjukan SubProsesor oleh Prosesor yang menghasilkan Transfer Data lintas batas akan dilakukan sesuai dengan Klausul 9 Perjanjian Pemrosesan Data ini.
  8. Kegagalan Perlindungan Data Pribadi
    1. Dalam hal Pengendali mengetahui atau mencurigai secara wajar bahwa Pelanggaran Data Pribadi sedang terjadi atau mungkin terjadi di fasilitas Prosesor atau fasilitas SubProsesor terkait dengan Aktivitas Pemrosesan Data Pribadi, Pengendali harus:
      1. memastikan Prosesor memberitahukan tanpa penundaan yang tidak semestinya semua informasi relevan yang berkaitan dengan Pelanggaran Data Pribadi,
      2. segera dan atas biayanya sendiri (i) menangani, membendung, dan menutup Pelanggaran Data Pribadi menggunakan praktik terbaik industri sesegera mungkin, (ii) mengambil langkah-langkah yang wajar untuk mengurangi dampak dan potensi kerugian dari Pelanggaran Data Pribadi, (iii) melakukan penilaian pasca-insiden sebagaimana diwajibkan oleh praktik terbaik industri,
      3. menentukan perlu tidaknya kewajiban pemberitahuan sebagaimana disyaratkan oleh Peraturan Perundang-undangan yang Berlaku, dan
      4. memberikan akses ke tempat dan/atau sistemnya untuk tujuan penyelidikan oleh pihak yang berwenang.
    2. Pengendali berhak menghentikan semua Aktivitas Pemrosesan Data Pribadi untuk jangka waktu yang tidak terbatas selama dan setelah terjadinya Pelanggaran Data Pribadi.
    3. Artikel ini akan tetap berlaku setelah berakhirnya atau diakhirinya Perjanjian Pemrosesan Data ini.
  9. Transfer Data Lintas Negara
    1. Prosesor hanya akan diizinkan untuk melakukan Kegiatan Pemrosesan Data Pribadi berdasarkan instruksi terdokumentasi dari Pengendali Data, termasuk dalam hal Transfer Data ke negara ketiga mana pun. Tanpa instruksi atau persetujuan dari Pengendali, Prosesor tidak dapat melakukan kegiatan Pemrosesan Data dalam kerangka kerja Perjanjian Pemrosesan Data ini:
      1. mengungkapkan Data Pribadi kepada pihak mana pun di negara ketiga atau organisasi internasional;
      2. melimpahkan Pemrosesan Data Pribadi kepada Subprosesor di negara ketiga; atau
      3. memiliki Data Pribadi yang diproses di divisi, anak perusahaan, atau afiliasi Prosesor lain yang berlokasi di negara ketiga.
    2. Ketika melakukan Transfer Data lintas negara dengan penerima pihak ketiga mana pun (termasuk namun tidak terbatas pada Subprosesor atau anak perusahaan atau afiliasi Prosesor) (“Penerima”), Prosesor harus memastikan bahwa terdapat perlindungan yang memadai untuk Transfer Data lintas batas sesuai dengan Hukum dan Peraturan yang Berlaku.
      1. Data Pribadi hanya ditransfer ke Penerima yang berlokasi di negara dengan standar perlindungan data pribadi yang sama atau lebih tinggi dari Hukum dan Peraturan yang Berlaku; atau
      2. Instrumen mengikat yang memadai yang dibuat antara Prosesor dan Penerima yang bersangkutan, seperti klausul kontrak standar dan/atau aturan perusahaan yang mengikat sesuai dengan Hukum dan Peraturan yang Berlaku.
    3. Jika pelaksanaan Perjanjian Pemrosesan Data ini mengakibatkan Transfer Data lintas negara antara Pengendali dan Prosesor, Para Pihak setuju untuk memastikan adanya perlindungan yang memadai untuk Transfer Data lintas negara sebagaimana disebutkan dalam Pasal 9.2 di atas.
  10. Penyimpanan dan Pencatatan Data
    1. Prosesor harus menyimpan Data Pribadi tidak lebih lama dari yang benar-benar diperlukan (i) untuk penyediaan Layanan; (ii) jika periode penyimpanan disetujui oleh Para Pihak, tidak lebih lama dari periode penyimpanan tersebut; atau (iii) sesuai dengan periode penyimpanan minimum sebagaimana diwajibkan berdasarkan Hukum dan Peraturan yang Berlaku.
    2. Prosesor akan menyimpan catatan tertulis yang terperinci, akurat, dan terkini mengenai Kegiatan Pemrosesan Data Pribadi apa pun, termasuk namun tidak terbatas pada, akses, kontrol, dan keamanan Data Pribadi, tujuan Pemrosesan, kategori Pemrosesan, dan deskripsi umum tentang langkah-langkah keamanan teknis dan organisasi.
    3. Pengendali harus melakukan audit dan penilaian terhadap Prosesor secara berkala untuk memastikan kepatuhan sejauh yang diamanatkan oleh Peraturan Perundang-undangan yang Berlaku.
  11. Permulaan dan Pengakhiran
    1. Perjanjian Pemrosesan Data ini secara otomatis akan berlaku setelah Pelanggan mengakses platform Pengendali atau berlangganan layanan Pengendali.
    2. Ketika Perjanjian Pemrosesan Data atau Langganan ini diakhiri, dengan tunduk pada mekanisme yang diatur dalam Lampiran I Perjanjian ini, Pengendali harus menghentikan semua Aktivitas Pemrosesan pada kesempatan pertama segera setelah secara teknis dapat dilakukan dan membuang semua salinan yang ada kecuali Berlaku Peraturan Perundang-undangan mewajibkan Pengendali untuk menyimpan Data Pribadi tersebut.
    3. Terlepas dari pengakhiran Perjanjian ini, kewajiban dalam Perjanjian Pemrosesan Data ini akan berlaku selama Prosesor masih melakukan Aktivitas Pemrosesan hingga penghentian semua Aktivitas Pemrosesan dan pembuangan Data Pribadi apa pun oleh Pengendali dan SubProsesor mana pun.
  12. Komunikasi
    1. Pengendali menunjuk individu-individu berikut sebagai petugas komunikasi untuk memfasilitasi pemberitahuan yang efisien dan tepat waktu antara Para Pihak: [email protected]; +62811 1902 7360
    2. Semua komunikasi, notifikasi, atau pengiriman dokumen yang diperlukan sebagaimana diwajibkan dalam Perjanjian Pemrosesan Data ini atau diwajibkan oleh Hukum dan Peraturan yang Berlaku yang ditujukan untuk dikirim ke Pihak lain harus dikirim secara fisik atau elektronik ke alamat individu sebagaimana dicantumkan dalam Pasal 12.1 Perjanjian Pemrosesan Data ini. Pihak yang menerima komunikasi, pemberitahuan, atau dokumen apa pun harus memberitahukan kepada Pihak pengirim mengenai penerimaan komunikasi, notifikasi, atau dokumen tersebut pada kesempatan pertama ketika mereka mengetahuinya.
  13. Ketentuan Umum
    1. Hukum yang Mengatur. Perjanjian Pemrosesan Data ini diatur oleh, dan akan ditafsirkan sesuai dengan hukum Republik Indonesia.
    2. Penyelesaian Perselisihan
      1. Setiap perselisihan, kontroversi, atau klaim yang timbul dari, terkait dengan, atau sehubungan dengan Perjanjian Pemrosesan Data ini, termasuk pertanyaan apa pun terkait keberadaan, keabsahan, atau pengakhirannya, akan dirujuk dan diselesaikan dengan mekanisme penyelesaian perselisihan sebagaimana diatur dalam Perjanjian Layanan Induk.
      2. Masing-masing Pihak akan terus melaksanakan kewajibannya masing-masing berdasarkan Perjanjian Pemrosesan Data ini meskipun terdapat perselisihan.
    3. Amendemen
      1. Apabila terdapat perubahan pada Hukum dan Peraturan yang Berlaku yang membuat ketentuan apa pun dalam Perjanjian Pemrosesan Data ini menjadi tidak sah atau tidak dapat dilaksanakan, Para Pihak harus mengubah ketentuan tersebut agar sesuai dengan Hukum dan Peraturan yang Berlaku.
      2. Tidak ada perubahan dari Perjanjian Pemrosesan Data ini akan berlaku efektif kecuali jika dibuat secara tertulis dan ditandatangani oleh kedua belah Pihak.
    4. Pengesampingan. Kegagalan salah satu Pihak untuk memberlakukan, pada saat atau untuk jangka waktu tertentu, ketentuan mana pun dalam Perjanjian Pemrosesan Data ini tidak akan ditafsirkan sebagai pengesampingan ketentuan tersebut atau ketentuan lain dalam Perjanjian Pemrosesan Data ini.
    5. Keseluruhan Perjanjian. Perjanjian Pemrosesan Data ini merupakan keseluruhan perjanjian antara Para Pihak yang berkaitan dengan pokok bahasan dalam Perjanjian Pemrosesan Data ini dan menggantikan secara penuh semua pemahaman, komunikasi, dan kesepakatan sebelumnya antara Para Pihak yang berkaitan dengan pokok bahasan Perjanjian Pemrosesan Data ini.
    6. Keterpisahan. Jika ada ketentuan dalam Perjanjian Pemrosesan Data ini atau bagian dari padanya yang dianggap batal, melanggar hukum atau tidak dapat dilaksanakan oleh undang-undang yang berlaku padanya, maka ketentuan tersebut akan dianggap batal, melanggar hukum atau tidak dapat dilaksanakan hanya pada sampai batasan tersebut, dan hal ini sama sekali tidak akan mempengaruhi atau mengurangi keberlakuan sisa ketentuan tersebut atau ketentuan lain dalam Perjanjian Pemrosesan Data ini.
    7. Pelimpahan. Kecuali sebagaimana diatur dalam Pasal 7, hak dan kewajiban masing-masing Pihak berdasarkan Perjanjian Pemrosesan Data ini tidak dapat dialihkan, ditransfer, disubkontrakkan, atau dihapuskan, baik secara keseluruhan maupun sebagian, tanpa persetujuan tertulis sebelumnya dari Pihak lainnya.
    8. Keberlangsungan. Setiap ketentuan dalam Perjanjian Pemrosesan Data ini yang secara tegas dinyatakan, atau yang menurut sifatnya, akan tetap berlaku setelah berakhirnya atau diakhirinya Perjanjian Pemrosesan Data ini, akan tetap berlaku bahkan setelah berakhirnya atau diakhirinya Perjanjian Pemrosesan Data ini.
    9. Bahasa. Perjanjian Pemrosesan Data ini dibuat dan ditandatangani dalam Bahasa Inggris dan Bahasa Indonesia. Dalam hal terjadi perbedaan makna antara Bahasa Inggris dan Bahasa Indonesia, maka yang berlaku adalah versi Bahasa Inggris.

LAMPIRAN I: RUANG LINGKUP KEGIATAN PEMROSESAN

  1. Kategori Subjek Data

    Kategori Subjek Data yang Data Pribadinya akan ditransfer oleh Pengendali dan diproses oleh Prosesor adalah:

    • Kandidat/pelamar
    • Klien: i) badan hukum (sekolah, perusahaan, dll); ii) individu (individu, anak-anak)
  2. Kategori Data Pribadi yang akan Diproses

    Kategori Data Pribadi yang akan ditransfer oleh Pengendali dan diproses oleh Prosesor adalah, termasuk namun tidak terbatas pada:

    • Data Pribadi Umum:
      • Nama, alamat, tanggal lahir (usia), jenis kelamin
      • Detail kontak (nomor telepon, alamat email)
      • Informasi afiliasi (tempat kerja, afiliasi, jabatan, sekolah, dll.)
      • Nomor ID (SIM, informasi paspor, ID sosial, dll.)
      • Informasi Kartu Kredit
      • akun bank
      • Data lokasi (informasi GPS dll.)
      • Pengidentifikasi online (alamat IP, cookie)
      • Informasi tentang preferensi pribadi (pembelian data, dll.)
      • Informasi evaluasi dan nilai
      • Asal ras atau etnis
      • Pendapat politik
      • Agama atau keyakinan
      • Keanggotaan serikat pekerja
      • data kehidupan seks atau orientasi seksual seseorang
    • Data sensitif:
      • Informasi kesehatan (riwayat kesehatan, riwayat bedah, hasil pemeriksaan kesehatan, dll.)
      • Data Genetik (data tentang karakteristik genetik seseorang, data genom, dll.)
      • Data biometrik (gambar wajah, data daktiloskopi, dll.)
      • Data yang berkaitan dengan hukuman dan pelanggaran pidana
      • Data pribadi anak
      • Data pribadi penyandang disabilitas
  3. Tujuan Kegiatan Pemrosesan

    Prosesor melakukan Kegiatan Pemrosesan Data Pribadi atas nama Pengendali dengan tujuan, termasuk namun tidak terbatas, untuk:

    • pendekatan dan akuisisi klien
    • penutupan penjualan
    • pendaftaran akun di platform Pengendali
    • penghapusan akun
    • manajemen keterlibatan dengan klien Pengendali (siswa dan guru)
    • melakukan survei terkait produk atau layanan Pengendali
    • mencari dan merekrut kandidat (karyawan)
    • laporan wajib kepada otoritas (misalnya laporan pajak, dan laporan ketenagakerjaan)
    • penyimpanan data pada penyimpanan/sistem cloud Prosesor
  4. Metode untuk Kegiatan Pemrosesan
    • Prosesor harus mentransfer Data Pribadi dan hasil Kegiatan Pemrosesan ke Pengendali menggunakan alat yang mendukung enkripsi.
    • Prosesor harus melakukan Aktivitas Pemrosesan menggunakan alat: kasus per kasus setelah berdiskusi dengan Prosesor data.
    • Prosesor akan menyimpan Data Pribadi menggunakan penyimpanan data yang mendukung enkripsi dan otorisasi.
    • Prosesor akan melakukan Kegiatan Pemrosesan hanya pada sistem elektronik yang berlokasi di: kasus per kasus setelah berdiskusi dengan Prosesor data.
    • Prosesor akan melakukan penghapusan dan pembuangan Data Pribadi menggunakan alat yang dapat melacak riwayat operasi.
  5. Jangka waktu Kegiatan Pemrosesan

    Kegiatan Pemrosesan oleh Prosesor atas nama Pengendali dapat dilakukan ketika Perjanjian Pemrosesan Data ini berlaku.

  6. Penyimpanan, Pengembalian, Penghapusan, dan Pemusnahan Data
    1. Prosesor hanya akan menyimpan Data Pribadi dalam bentuk yang memungkinkan identifikasi Subjek Data selama melakukan pemenuhan tujuan yang relevan sebagaimana disebutkan dalam Pasal 3 Lampiran ini, dan sesuai dengan periode penyimpanan minimum sebagaimana diwajibkan berdasarkan Hukum dan Peraturan yang Berlaku.
    2. Prosesor harus mengembalikan semua Data Pribadi setelah jangka waktu Kegiatan Pemrosesan sebagaimana ditentukan dalam Pasal 5 Lampiran I telah berakhir dan tidak diperpanjang dan harus menghapus semua salinan Data Pribadi beserta hasil Pemrosesannya dari sistem Prosesor.
    3. Prosesor harus memusnahkan semua Data Pribadi jika Perjanjian Pemrosesan Data ini diakhiri.
    4. Selain kewajiban penghapusan dan pemusnahan Data Pribadi sebagaimana disebutkan dalam Pasal 6.1 dan 6.2 Lampiran I Perjanjian Pemrosesan Data ini,Pengendali memiliki hak untuk memerintahkan Prosesor untuk menghapus dan/atau memusnahkan Data Pribadi dalam rangka memenuhi Permintaan Hak Subjek Data atau kewajiban hukum lainnya berdasarkan Hukum dan Peraturan yang Berlaku.
    5. Prosesor harus melaporkan kepada Pengendali tentang setiap kegiatan penghapusan atau pemusnahan Data Pribadi dalam format tertulis sedemikian rupa sehingga dapat menjadi bukti bahwa Prosesor telah melakukan penghapusan atau pemusnahan Data Pribadi.
    6. Prosesor akan menyimpan Data Pribadi hanya selama jangka waktu Perjanjian Pemrosesan Data ini, atau sebagaimana diwajibkan oleh kewajiban hukum berdasarkan Hukum dan Peraturan yang Berlaku dengan terlebih dahulu menginformasikan Pengendali tentang kewajiban hukum tersebut.

LAMPIRAN II: LANGKAH-LANGKAH TEKNIS DAN ORGANISASI

  1. Prosesor harus menerapkan kebijakan penanganan data atau langkah organisasi yang setara yang setidaknya harus mengatur hal-hal berikut ini sesuai dengan standar minimum yang ditetapkan oleh Hukum dan Peraturan yang Berlaku:
    1. Pemenuhan Permintaan Hak Subjek Data
    2. Penyimpanan data
    3. Audit kepatuhan internal
    4. Keamanan data
      1. Catatan akses personil
    5. Kebijakan verifikasi keakuratan dan kelengkapan Data Pribadi
    6. Dokumentasi kepatuhan
      1. Kebijakan tentang catatan aktivitas Pemrosesan
      2. Kebijakan penilaian dampak perlindungan data
  2. Prosesor harus menerapkan kebijakan Kegagalan Perlindungan Data Pribadi atau rencana tanggapan yang setidaknya harus mengatur hal-hal sebagai berikut sesuai dengan standar praktik industri terbaik:
    1. Pembagian peran dan tanggung jawab pihak internal selama terjadinya Kegagalan Perlindungan Data Pribadi,
    2. Mekanisme dan langkah-langkah yang harus diambil saat terjadi Kegagalan Perlindungan Data Pribadi,
    3. Mekanisme untuk melakukan Dokumentasi Kegagalan Perlindungan Data Pribadi, dan
    4. Mekanisme untuk mengevaluasi dan memperbarui kebijakan Kegagalan Perlindungan Data Pribadi.
  3. Prosesor harus menerapkan langkah-langkah teknis keamanan yang harus terdiri dari hal-hal berikut ini sesuai dengan standar praktik industri terbaik:
    1. Menggunakan cara-cara teknis untuk melindungi informasi termasuk namun tidak terbatas pada teknik enkripsi dan anonimisasi.
    2. Mengambil semua tindakan yang dapat dilakukan untuk memulihkan data pribadi yang telah dimodifikasi atau dihapuskan sebagai akibat dari akses yang tidak sah.
    3. Departemen IT harus memastikan bahwa pembuat file yang berisi Data Pribadi, orang yang memodifikasi dan mengakses file tersebut, serta tanggal pembuatan dan modifikasi dapat diidentifikasi.
    4. Transfer Data harus dilakukan dengan cara yang aman. Misalnya, saat mentransfer file yang berisi Data Pribadi, perlindungan kata sandi harus digunakan. Kata sandi tidak boleh dikomunikasikan dalam email yang sama.
  4. Prosesor harus menerapkan langkah-langkah keamanan fisik di lokasi fisik kegiatan Pemrosesan sesuai dengan standar praktik industri terbaik:
    1. Memastikan keamanan tempat di mana sistem informasi yang digunakan untuk memproses data pribadi berada. Keamanan tersebut harus mencegah akses yang tidak terkendali ke tempat tersebut oleh orang yang tidak memiliki hak untuk mengakses tempat tersebut.
    2. Menyetujui daftar orang yang diberi wewenang untuk mengakses sistem informasi di mana data pribadi diproses.
    3. Data Pribadi dalam bentuk cetak atau media penyimpan data harus disimpan di tempat yang aman di luar jam kerja. Dokumen dan catatan yang berisi Data Pribadi tidak boleh ditinggalkan tanpa kunci di atas meja kerja setelah jam kerja. Jika karyawan meninggalkan meja kerjanya untuk sementara waktu, ia harus memastikan bahwa orang yang tidak berwenang tidak memiliki akses ke Data Pribadi selama ketidakhadirannya. Laptop dan ponsel perusahaan tidak boleh ditinggalkan tanpa pengawasan. Laptop dan ponsel yang berisi Data Pribadi tidak boleh ditinggalkan tanpa pengawasan di dalam kendaraan.
    4. Karyawan tidak boleh mengungkapkan kepada orang yang tidak berwenang atau memberikan kata sandi ke perangkat atau aplikasi perusahaan kepada orang tersebut. Dilarang keras menulis kata sandi di mana pun atau mengirimkannya kepada orang lain melalui pesan teks atau email.
© 2025. All rights reserved