LAMPIRAN I: Perjanjian Pemrosesan Data

Perjanjian Pemrosesan Data ini mengatur bagaimana ILOVEPDF memproses data pribadi atas nama Pengendali sesuai dengan Peraturan (UE) 2016/679 (GDPR).

Perjanjian pemrosesan data ini ("Data Processing Agreement") adalah kesepakatan pemrosesan yang berlaku untuk pemrosesan data pribadi yang dilakukan oleh ILOVEPDF, ("ILOVEPDF") dengan CIF B66921552 dan kantor terdaftar di Calle Sabino de Arana, 60, 08028 Barcelona, atas nama Anda, terkait dengan data pribadi yang diproses sesuai dengan ketentuan berikut.

Dalam hal ini, ILOVEPDF akan menyediakan Anda layanan tertentu melalui perangkat lunak atau program komputer yang dimiliki oleh ILOVEPDF. Penggunaan layanan ini memerlukan akses dan pemrosesan oleh ILOVEPDF, sebagai pemroses (disebut selanjutnya sebagai "pemroses") terhadap data pribadi tertentu yang Anda kendalikan (selanjutnya disebut sebagai "pengendali").

Perjanjian Pemrosesan ini adalah bagian dari Syarat dan Ketentuan ILOVEPDF dan akan berlaku setelah Anda menerima Syarat dan Ketentuan tersebut. Jika terjadi konflik, perbedaan, atau kontradiksi antara Syarat dan Ketentuan dan Kontrak Pemrosesan, maka Kontrak Pemrosesan akan berlaku lebih dari Syarat dan Ketentuan.

Untuk mematuhi ketentuan Regulasi (UE) 2016/679 dari Parlemen Eropa dan Dewan pada tanggal 27 April 2016 tentang perlindungan individu sehubungan dengan pemrosesan data pribadi dan pergerakan bebas data tersebut ("GDPR"), pengendali dan pemroses menandatangani Kontrak Pemrosesan ini sesuai ketentuan berikut



KLAUSUL

Klausul 1

Tujuan dan ruang lingkup

  1. Tujuan Perjanjian Pemrosesan adalah untuk memastikan kepatuhan dengan Artikel 28(3) dan (4) dari GDPR.
  2. Pengendali dan pemroses telah sepakat untuk terikat dengan Perjanjian ini untuk memastikan kepatuhan dengan Artikel 28(3) dan (4) dari GDPR.
  3. Perjanjian Pemrosesan ini berlaku untuk pemrosesan data pribadi yang ditentukan dalam Lampiran I.
  4. Lampiran I dan II merupakan bagian dari Perjanjian Pemrosesan.
  5. Syarat dan ketentuan ini tidak mengurangi kewajiban yang harus dipatuhi pengendali sesuai dengan GDPR.
  6. Syarat dan ketentuan ini sendiri tidak memastikan kepatuhan dengan kewajiban terkait transfer internasional sesuai dengan Bab V GDPR.

Klausul 2

Interpretasi

  1. Saat istilah yang didefinisikan dalam GDPR digunakan dalam Perjanjian Pemrosesan ini, istilah tersebut dipahami memiliki arti yang sama seperti dalam GDPR.
  2. Perjanjian Pemrosesan ini harus dibaca dan ditafsirkan sesuai dengan ketentuan GDPR.
  3. Perjanjian Pemrosesan Data ini tidak boleh ditafsirkan dengan cara yang bertentangan dengan hak dan kewajiban yang ditetapkan dalam GDPR dan/atau dengan cara yang merugikan hak atau kebebasan mendasar subjek data.

Klausul 3

Hierarki

Jika terdapat kontradiksi antara Perjanjian Pemrosesan ini dan ketentuan perjanjian terkait lainnya antara Para Pihak yang ada pada saat Syarat dan Ketentuan ini disetujui atau dimasukkan kemudian, maka Perjanjian Pemrosesan ini akan menjadi yang berlaku.

Klausul 4

Deskripsi pemrosesan

Lampiran I menyebutkan rincian operasi pemrosesan, terutama kategori data pribadi dan tujuan pemrosesan yang dilakukan atas nama pengendali.

Klausul 5

Kewajiban Para Pihak

5.1. Instruksi

  1. Pemroses hanya akan memproses data pribadi berdasarkan instruksi terdokumentasi dari pengendali, kecuali jika diwajibkan oleh hukum Uni Eropa atau Negara Anggota yang berlaku terhadap pemroses. Dalam hal ini, pemroses akan memberitahukan pengendali tentang persyaratan hukum tersebut sebelum melakukan pemrosesan, kecuali jika undang-undang melarang hal ini karena alasan penting untuk kepentingan umum. Instruksi selanjutnya mungkin juga akan diberikan oleh pengendali selama pemrosesan data pribadi berlangsung. Instruksi ini harus selalu didokumentasikan.
  2. Pemroses akan segera memberi tahu pengendali jika, menurut pemroses, instruksi yang diberikan oleh pengendali melanggar GDPR atau hukum Perlindungan Data Uni Eropa atau Anggota Negara yang berlaku.

5.2. Batasan tujuan

Pemroses hanya akan memproses data pribadi untuk tujuan tertentu yang ditetapkan dalam Lampiran I, kecuali menerima instruksi lebih lanjut dari pengontrol.

5.3. Durasi pemrosesan data pribadi

Pemrosesan oleh pemroses hanya akan dilakukan selama waktu yang ditentukan dalam Lampiran I.

5.4. Keamanan pemrosesan

  1. Pemroses wajib, setidaknya, menerapkan langkah-langkah teknis dan organisasi yang ditentukan dalam Lampiran II untuk memastikan keamanan data pribadi. Ini termasuk melindungi data terhadap pelanggaran keamanan yang mengakibatkan penghancuran, kehilangan, perubahan, serta pengungkapan atau akses tanpa izin terhadap data secara tidak sengaja atau melawan hukum (pelanggaran data pribadi). Dalam menilai tingkat keamanan yang sesuai, para Pihak harus mempertimbangkan perkembangan teknologi, biaya penerapan, sifat, ruang lingkup, konteks dan tujuan pemrosesan, serta risiko yang ada bagi subjek data.
  2. Pemroses harus memberikan akses terhadap data pribadi yang sedang diproses kepada anggota personelnya hanya sejauh yang benar-benar diperlukan untuk menerapkan, mengelola, dan memantau kontrak tersebut. Pengolah harus memastikan bahwa orang yang diberi wewenang untuk memproses data pribadi telah berkomitmen untuk menjaga kerahasiaan atau berada di bawah kewajiban kerahasiaan sebagaimana diatur oleh undang-undang.

5.5. Data sensitif

Jika pemrosesan melibatkan data pribadi yang mengungkapkan asal-usul ras atau etnis, pandangan politik, kepercayaan agama atau spiritual, atau keanggotaan serikat pekerja, data genetik atau data biometrik untuk tujuan mengidentifikasi seseorang secara unik, data kesehatan atau kehidupan seksual atau orientasi seksual seseorang, atau data yang terkait dengan hukuman pidana dan pelanggaran ("data sensitif"), maka pemroses harus menerapkan batasan khusus dan/atau langkah pengamanan tambahan.

5.6. Dokumentasi dan kepatuhan

  1. Para Pihak harus dapat menunjukkan kepatuhan terhadap Perjanjian Pemrosesan Data ini.
  2. Pemroses harus dengan segera dan memadai menangani pertanyaan dari pengendali mengenai pemrosesan data sesuai dengan Perjanjian Pemrosesan ini.
  3. Pemroses wajib menyediakan kepada pengendali atau pihak ketiga independen semua informasi yang diperlukan untuk menunjukkan kepatuhan terhadap kewajiban yang ditetapkan dalam Perjanjian Pemrosesan ini dan yang langsung berasal dari GDPR. Atas permintaan pengendali, pengolah juga harus mengizinkan dan berkontribusi pada audit kegiatan pemrosesan yang dicakup oleh Perjanjian Pemrosesan Data ini. Audit akan dibatasi secara material dan temporal sesuai dengan apa yang benar-benar diperlukan sehingga pengendali dapat melakukan pemeriksaan yang diperlukan dalam hal kecurigaan - yang dibenarkan sebelumnya secara tertulis - atas ketidakpatuhan pemroses data terhadap ketentuan mana pun dari Perjanjian Pemrosesan Data ini. Dalam keadaan apapun, audit bertujuan semata-mata untuk memverifikasi kondisi ketidakpatuhan, dibatasi maksimal satu (1) audit per tahun, dan harus diberitahukan setidaknya satu (1) bulan sebelumnya. Dalam keadaan apa pun, audit akan dilakukan atas biaya pengendali data.
  4. Para pihak wajib menyediakan kepada otoritas pengawas yang berwenang, atas permintaan mereka, informasi yang disebutkan dalam klausul ini dan, khususnya, hasil audit tersebut.

5.7. Penggunaan sub-pemroses

  1. Pemroses memiliki otorisasi umum dari pengendali untuk melibatkan sub-pemroses. Pengolah wajib menyediakan kepada pengendali informasi yang diperlukan untuk memungkinkan pengendali menggunakan hak menolak.
  2. Ketika pemroses melibatkan sub-pemroses untuk melaksanakan aktivitas pemrosesan tertentu (atas nama pengendali), ini harus dilakukan melalui kontrak yang memberlakukan pada sub-pemroses, pada dasarnya, kewajiban perlindungan data yang sama dengan yang berlaku pada pemroses data sesuai dengan klausul-klausul ini. Pemroses harus memastikan bahwa sub-pemroses mematuhi kewajiban yang berlaku untuk pemroses berdasarkan Perjanjian Pemrosesan ini dan GDPR.
  3. Pemroses tetap bertanggung jawab penuh kepada pengendali atas pelaksanaan kewajiban sub-pemroses sesuai dengan kontraknya dengan pemroses. Pemroses wajib memberi tahu pengendali atas kegagalan sub-pemroses dalam memenuhi kewajiban kontraktual mereka.

5.8. Transfer internasional

  1. Transfer data ke negara ketiga atau ke organisasi internasional yang dilakukan oleh pemroses akan dilakukan sesuai dengan Bab V GDPR.
  2. Pengendali setuju bahwa ketika pemroses melibatkan sub-pemroses sesuai dengan klausul 5.7 untuk menjalankan aktivitas pemrosesan tertentu (atas nama pengendali) dan aktivitas pemrosesan tersebut melibatkan transfer data pribadi dalam arti Bab V GDPR, pemroses dan sub-pemroses dapat memastikan kepatuhan terhadap Bab V GDPR dengan: (i) mentransfer data pribadi ke negara-negara yang telah mengadopsi keputusan kecukupan dari Komisi Eropa berdasarkan Pasal 45 GDPR; atau (ii) menggunakan klausul kontrak standar yang diadopsi oleh Komisi sesuai dengan Pasal 46(2) GDPR, dengan syarat ketentuan penggunaan klausul kontrak standar tersebut terpenuhi. Sebagai aturan umum, dan kecuali pengendali memilih sebaliknya, pemroses data memproses data pribadi Anda di Area Ekonomi Eropa. Terlepas dari hal di atas, dan untuk pengendali dari luar Area Ekonomi Eropa, untuk mengoptimalkan kinerja dan efisiensi layanan kami, pemroses dapat memproses data pribadi Anda di wilayah geografis yang lebih dekat dengan lokasi Anda, dengan syarat jaminan perlindungan yang disebutkan sebelumnya diterapkan.
  3. Selain itu, jika ada komunikasi data pribadi dari pemroses ke pengendali yang melibatkan transfer data pribadi menurut Bab V GDPR, pemroses dan pengendali harus menyetujui klausul kontrak standar (modul 4) yang terlampir sebagai Lampiran II.

Klausul 6

Bantuan kepada pengendali

  1. Pemroses harus segera memberi tahu pengendali tentang setiap permintaan yang diterimanya dari subjek data. Pemroses tidak akan menanggapi permintaan tersebut, kecuali jika diizinkan oleh pengendali.
  2. Pengolah akan meneruskan kepada pengendali setiap permintaan terkait pelaksanaan hak-hak subjek data yang diterimanya, dan tanggapannya menjadi tanggung jawab pengendali karena merujuk pada data pribadi yang mana pengendali bertindak sebagai pengendali data.
  3. Selain kewajiban pemroses untuk membantu pengendali sesuai dengan Klausul 6(b), pemroses juga harus membantu pengendali dalam memastikan kepatuhan dengan kewajiban berikut ini, dengan mempertimbangkan sifat pemrosesan data dan informasi yang tersedia bagi pemroses:
    1. the obligation to carry out an assessment of the impact of the envisaged processing operations on the protection of personal data ('a data protection impact assessment') where a type of processing is likely to result in a high risk to the rights and freedoms of natural persons;
    2. kewajiban untuk berkonsultasi dengan otoritas pengawas yang berwenang sebelum pemrosesan ketika penilaian dampak perlindungan data menunjukkan bahwa pemrosesan dapat mengakibatkan risiko tinggi jika pengendali tidak mengambil langkah-langkah untuk mengurangi risiko;
    3. kewajiban untuk memastikan data pribadi akurat dan terkini, dengan segera memberi tahu pengendali jika pemroses menyadari bahwa data pribadi yang sedang diproses tidak akurat atau telah kedaluwarsa;
    4. kewajiban dalam Pasal 32 GDPR.
  4. Pihak-pihak harus menetapkan dalam Lampiran II langkah-langkah teknis dan organisasi yang sesuai, yang dengannya pemroses diharuskan membantu pengendali dalam penerapan klausul ini, serta ruang lingkup dan tingkat bantuan yang diperlukan.

Klausul 7

Pemberitahuan pelanggaran data pribadi

  1. Dalam hal terjadi pelanggaran data pribadi, pemroses akan bekerjasama dan membantu pengendali agar pengendali dapat mematuhi kewajibannya di bawah Pasal 33 dan 34 dari GDPR, dengan mempertimbangkan sifat dari pemrosesan dan informasi yang tersedia bagi pemroses.
  2. Dalam hal terjadinya pelanggaran keamanan data pribadi yang diproses oleh pemroses atas nama pengendali, pemroses harus memberi tahu pengendali tanpa penundaan yang tidak semestinya saat pemroses menyadarinya. Pemberitahuan tersebut harus mencakup paling sedikit:
    1. deskripsi tentang sifat pelanggaran (termasuk, jika memungkinkan, jenis dan perkiraan jumlah subjek data dan catatan data yang terlibat);
    2. rincian dari titik kontak tempat informasi lebih lanjut mengenai pelanggaran data pribadi dapat diperoleh;
    3. kemungkinan konsekuensi dan langkah-langkah yang diambil atau diusulkan untuk mengatasi pelanggaran, termasuk untuk mengurangi dampak buruk yang dapat terjadi.
  3. Ketika informasi tidak dapat diberikan seluruhnya secara bersamaan, informasi yang tersedia akan disampaikan dalam pemberitahuan awal dan, seiring terkumpulnya, informasi tambahan akan diberikan tanpa penundaan yang tidak perlu.

LAMPIRAN I: DESKRIPSI PEMPROSESAN

Kategori subjek data yang data pribadinya diproses
Kategori subjek data yang datanya terdapat dalam file yang diunggah oleh pengendali saat menggunakan layanan yang disediakan oleh ILOVEPDF (misalnya, karyawan, pelanggan, pemasok, dll.).

Kategori data pribadi yang diproses
Kategori data pribadi yang termasuk dalam file yang diunggah oleh pengendali saat menggunakan layanan yang disediakan oleh ILOVEPDF.

Data sensitif yang diproses (jika berlaku) dan batasan atau perlindungan yang diterapkan harus sepenuhnya mempertimbangkan sifat data dan risiko yang ada, seperti batasan tujuan yang ketat, pembatasan akses (termasuk akses hanya untuk staf yang sudah mendapat pelatihan khusus), pencatatan riwayat akses data, pembatasan transfer lebih lanjut, dan langkah-langkah keamanan tambahan.
Kategori data pribadi khusus akan diproses sejauh file yang diunggah oleh pengendali saat menggunakan layanan yang disediakan oleh ILOVEPDF mengandung kategori data pribadi khusus tersebut.

Sifat pemrosesan
Pemroses akan melaksanakan semua tindakan yang diperlukan untuk menyediakan layanan (misalnya konversi, pengeditan, dan kompresi dokumen yang mengandung data pribadi).

Tujuan pemrosesan data pribadi atas nama pengendali
Untuk menyediakan layanan atas nama ILOVEPDF.

Durasi pemrosesan data
Sejauh yang benar-benar diperlukan untuk menyediakan layanan.

Sub-pemroses dan jenis layanan yang disediakan

Dalam konteks penyediaan layanannya, ILOVEPDF menggunakan penyedia layanan pihak ketiga yang bertindak sebagai sub-pemroses dari data pribadi. Di antara mereka, ILOVEPDF memiliki Cloudscale, Digital Ocean, Hetzner, OVHcloud,Vultr, sebagai penyedia hosting web dan solusi komputasi cloud, yang menyediakan layanan infrastruktur teknologi untuk memastikan pemrosesan yang aman, penyimpanan sementara data, dan kesinambungan operasional dari platform.

Sub-pemroses bertindak sesuai dengan instruksi ILOVEPDF, menerapkan langkah-langkah teknis dan organisasi yang sesuai untuk memastikan perlindungan data pribadi sesuai dengan Regulasi (UE) 2016/679 (GDPR) dan peraturan perlindungan data lainnya yang berlaku.

Untuk informasi lebih lanjut tentang sub-pemroses ILOVEPDF, Anda dapat mengakses dengan mengklik di sini.

LAMPIRAN II: TINDAKAN TEKNIS DAN ORGANISASI TERMASUK TINDAKAN TEKNIS DAN ORGANISASI UNTUK MEMASTIKAN KEAMANAN DATA

Pemroses harus menerapkan langkah-langkah keamanan teknis dan organisasi berikut untuk kegiatan pemrosesan yang dilakukan berdasarkan Perjanjian Pemrosesan ini:

  • Langkah-langkah teknis untuk melindungi terhadap penyadapan, penyalinan, modifikasi, kesalahan pengalihan, dan penghancuran informasi yang ditransfer.
  • Prosedur teknis dan kebijakan internal untuk mendeteksi, melindungi, dan mengurangi aplikasi berbahaya (malware) yang dapat ditransmisikan melalui komunikasi elektronik.
  • Perlindungan teknis atas informasi sensitif saat dikirimkan sebagai lampiran.
  • Kebijakan internal tentang penggunaan yang dapat diterima untuk sumber daya komunikasi.
  • Langkah-langkah organisasi untuk memastikan tanggung jawab semua pengguna (staf dan pihak ketiga) yang memiliki akses otorisasi ke sumber daya pemroses sehubungan dengan informasi mereka sendiri.
  • Penggunaan teknik kriptografi untuk melindungi kerahasiaan, integritas, dan keaslian informasi.
  • Pedoman organisasi untuk retensi dan pembuangan semua korespondensi bisnis, termasuk pesan, sesuai dengan hukum dan peraturan nasional dan lokal yang relevan.
  • Pengulangan informasi dan penetapan kebijakan internal untuk staf mengenai tidak diperbolehkannya pengungkapan informasi rahasia, termasuk: tidak meninggalkan pesan yang mengandung informasi sensitif pada mesin penjawab, tidak melakukan percakapan rahasia di tempat umum, tidak menggunakan saluran komunikasi yang tidak aman, tidak melakukan percakapan rahasia di kantor terbuka, dll.

Kontrol versi: Kamis, 19 Februari 2026

Woops! Ada kesalahan pada koneksi Internet Anda...