LAMPIRAN I: Perjanjian Pemprosesan Data

Perjanjian Pemprosesan Data ini mengawal cara ILOVEPDF memproses data peribadi bagi pihak Pengawal selaras dengan Peraturan (EU) 2016/679 (GDPR).

Perjanjian pemprosesan data ini ("Perjanjian Pemprosesan Data") merupakan perjanjian yang terpakai bagi pemprosesan data peribadi yang dilaksanakan oleh ILOVEPDF ("ILOVEPDF"), dengan CIF B66921552 dan alamat berdaftar di Calle Sabino de Arana, 60, 08028 Barcelona, bagi pihak anda berhubung dengan data peribadi yang diproses selaras dengan ketetapan di bawah.

Dalam hal ini, ILOVEPDF akan menyediakan anda perkhidmatan tertentu melalui perisian atau program komputer milik ILOVEPDF. Penggunaan perkhidmatan ini memerlukan akses kepada dan pemprosesan oleh ILOVEPDF, sebagai pemproses (selepas ini dirujuk sebagai "pemproses") bagi data peribadi tertentu yang anda bertindak sebagai pengawal (selepas ini dirujuk sebagai "pengawal").

Perjanjian Pemprosesan ini merupakan sebahagian daripada Terma dan Syarat ILOVEPDF dan akan berkuat kuasa apabila Terma dan Syarat diterima. Sekiranya terdapat sebarang konflik atau percanggahan antara Terma dan Syarat dengan Kontrak Pemprosesan, Kontrak Pemprosesan akan mengatasi Terma dan Syarat.

Bahawa, bagi mematuhi ketetapan Peraturan (EU) 2016/679 Parlimen Eropah dan Majlis pada 27 April 2016 berkenaan dengan perlindungan orang semula jadi berkaitan dengan pemprosesan data peribadi dan pergerakan bebas data tersebut ("GDPR"), pengawal dan pemproses menandatangani Kontrak Pemprosesan ini selaras dengan perkara berikut.



KLAUSA

Klausa 1

Tujuan dan skop

  1. Tujuan Perjanjian Pemprosesan adalah untuk memastikan pematuhan dengan Artikel 28(3) dan (4) GDPR.
  2. Pengawal dan pemproses telah bersetuju untuk terikat dengan Perjanjian ini demi memastikan pematuhan dengan Artikel 28(3) dan (4) GDPR.
  3. Perjanjian Pemprosesan ini terpakai kepada pemprosesan data peribadi yang dinyatakan dalam Lampiran I.
  4. Lampiran I dan II adalah sebahagian daripada Perjanjian Pemprosesan.
  5. Terma dan syarat ini tidak menjejaskan kewajipan yang harus dipatuhi oleh pengawal berdasarkan GDPR.
  6. Terma dan syarat ini tidak dengan sendirinya memastikan pematuhan dengan kewajipan yang berkaitan dengan pemindahan antarabangsa selaras dengan Bab V GDPR.

Klausa 2

Interpretasi

  1. Apabila istilah yang ditakrifkan dalam GDPR digunakan dalam Perjanjian Pemprosesan ini, ia akan difahami mempunyai makna yang sama seperti dalam GDPR.
  2. Perjanjian Pemprosesan ini harus dibaca dan ditafsirkan selaras dengan peruntukan GDPR.
  3. Perjanjian Pemprosesan Data ini tidak boleh ditafsirkan dengan cara yang bertentangan dengan hak-hak dan kewajipan yang disediakan dalam GDPR dan/atau dengan cara yang menjejaskan hak asasi atau kebebasan subjek data.

Klausa 3

Hierarki

Sekiranya terdapat percanggahan antara Perjanjian Pemprosesan ini dan peruntukan perjanjian berkaitan antara Pihak yang wujud pada masa perjanjian ini dipersetujui atau dimeterai selepas itu, Perjanjian Pemprosesan ini akan mengatasi.

Klausa 4

Penerangan pemprosesan

Lampiran I menentukan butiran operasi pemprosesan, terutamanya kategori data peribadi dan tujuan pemprosesan bagi mana data peribadi diproses bagi pihak pengawal.

Klausa 5

Kewajipan Pihak

5.1. Arahan

  1. Pemproses hanya boleh memproses data peribadi berdasarkan arahan terdokumentasi daripada pengawal, kecuali jika dikehendaki oleh undang-undang Kesatuan atau undang-undang Negara Anggota yang terpakai ke atas pemproses. Dalam hal ini, pemproses akan memaklumkan pengawal tentang keperluan undang-undang itu sebelum menjalankan pemprosesan, kecuali jika undang-undang melarang dengan alasan penting kepada kepentingan awam. Arahan seterusnya juga boleh diberikan oleh pengawal sepanjang tempoh pemprosesan data peribadi. Arahan ini harus selalu terdokumentasi.
  2. Pemproses harus segera memberitahu pengawal jika, menurut pandangan pemproses, arahan yang diberikan oleh pengawal melanggar GDPR atau undang-undang Kesatuan atau Negera Anggota yang berkenaan tentang peruntukan perlindungan data.

5.2. Pembatasan tujuan

Pemproses hanya akan memproses data peribadi untuk tujuan pemprosesan tertentu, seperti dinyatakan dalam Lampiran I, melainkan jika menerima arahan lanjut daripada pengawal.

5.3. Tempoh pemprosesan data peribadi

Pemprosesan oleh pemproses akan dilakukan hanya untuk tempoh yang dinyatakan dalam Lampiran I.

5.4. Keselamatan pemprosesan

  1. Pemproses, sekurang-kurangnya, harus melaksanakan langkah teknikal dan organisasi yang dinyatakan dalam Lampiran II untuk memastikan keselamatan data peribadi. Ini termasuk melindungi data terhadap pelanggaran keselamatan yang menyebabkan pemusnahan, kehilangan, pengubahsuaian, pendedahan atau akses tidak sah secara tidak sengaja atau melanggar undang-undang (pelanggaran data peribadi). Dalam menilai tahap keselamatan yang sesuai, pihak-pihak harus mengambil kira keadaan terkini, kos pelaksanaan, sifat, skop, konteks dan tujuan pemprosesan serta risiko yang terlibat kepada subjek data.
  2. Pemproses harus memberikan akses kepada data peribadi yang sedang diproses kepada anggota personelnya hanya setakat yang benar-benar perlu bagi pelaksanaan, pengurusan dan pemantauan kontrak. Pemproses harus memastikan bahawa orang yang dibenarkan untuk memproses data peribadi yang diterima telah berjanji untuk mematuhi kerahsiaan atau tertakluk kepada kewajipan kerahsiaan di bawah undang-undang yang berkenaan.

5.5. Data sensitif

Jika pemprosesan melibatkan data peribadi yang mendedahkan asal usul bangsa atau etnik, pendapat politik, kepercayaan agama atau falsafah, atau keahlian kesatuan sekerja, data genetik atau data biometrik untuk tujuan mengenal pasti individu secara unik, data berkaitan kesihatan, kehidupan seksual atau orientasi seksual seseorang, atau data berkaitan sabitan jenayah dan kesalahan (“data sensitif”), pemproses hendaklah mengenakan batasan tertentu dan/atau perlindungan tambahan.

5.6. Dokumentasi dan pematuhan

  1. Pihak-pihak hendaklah dapat membuktikan pematuhan terhadap Perjanjian Pemprosesan Data ini.
  2. Pemproses harus mengendalikan dengan segera dan sewajarnya pertanyaan daripada pengawal tentang pemprosesan data selaras dengan Perjanjian Pemprosesan ini.
  3. Pemproses harus menyediakan kepada pengawal atau pihak ketiga yang bebas semua maklumat yang diperlukan untuk menunjukkan pematuhan dengan kewajipan yang ditetapkan dalam Perjanjian Pemprosesan ini yang berpunca secara langsung dari GDPR. Atas permintaan pengawal, pemproses juga harus membenarkan dan menyumbang kepada audit terhadap pemprosesan yang diliputi oleh Perjanjian Pemprosesan Data ini. Audit tersebut akan dibatasi secara material dan secara temporal kepada apa yang benar-benar perlu agar pengawal dapat menjalankan pemeriksaan yang perlu sekiranya terdapat kecurigaan yang dibenarkan secara bertulis terlebih dahulu mengenai ketidakpatuhan terhadap mana-mana peruntukan Perjanjian Pemprosesan Data ini oleh pemproses. Dalam mana-mana hal, audit akan bertujuan eksklusif untuk mengesahkan keadaan ketidakpatuhan, akan dibatasi kepada maksimum satu (1) audit setahun dan mesti diberitahu sekurang-kurangnya satu (1) bulan lebih awal. Dalam apa jua keadaan, audit akan dijalankan dengan kos ditanggung oleh pengawal data.
  4. Pihak-pihak harus menyediakan maklumat yang dirujuk dalam klausa ini kepada pihak berkuasa pengawas yang kompeten, atas permintaan mereka, khususnya hasil audit.

5.7. Penggunaan sub-pemproses

  1. Pemproses mempunyai kebenaran umum daripada pengawal untuk pelantikan sub-pemproses. Pemproses harus menyediakan kepada pengawal maklumat yang diperlukan untuk membolehkan pengawal menjalankan hak untuk membantah.
  2. Apabila pemproses melantik sub-pemproses bagi melaksanakan aktiviti pemprosesan tertentu (bagi pihak pengawal), pemproses hendaklah berbuat demikian melalui kontrak yang mengenakan ke atas sub-pemproses, pada asasnya, kewajipan perlindungan data yang sama seperti yang dikenakan kepada pemproses mengikut klausa-klausa ini. Pemproses harus memastikan bahawa sub-pemproses mematuhi kewajipan yang dikenakan ke atas pemproses di bawah Perjanjian Pemprosesan ini dan GDPR.
  3. Pemproses akan kekal bertanggungjawab sepenuhnya kepada pengawal untuk prestasi kewajipan sub-pemproses selaras dengan kontraknya dengan pemproses. Pemproses harus memberitahu pengawal tentang sebarang kegagalan oleh sub-pemproses dalam memenuhi kewajipan kontraknya.

5.8. Pemindahan antarabangsa

  1. Pemindahan data ke negara ketiga atau kepada organisasi antarabangsa oleh pemproses akan dijalankan selaras dengan Bab V GDPR.
  2. Pengawal bersetuju bahawa apabila pemproses melantik sub-pemproses menurut klausa 5.7 untuk melaksanakan aktiviti pemprosesan tertentu (bagi pihak pengawal) dan aktiviti pemprosesan tersebut melibatkan pemindahan data peribadi dalam maksud Bab V GDPR, pemproses dan sub-pemproses boleh memastikan pematuhan dengan Bab V GDPR dengan: (i) memindahkan data peribadi ke negara yang mana Suruhanjaya Eropah telah mengguna pakai keputusan kecukupan menurut Artikel 45 GDPR; atau (ii) menggunakan klausa kontraktual standard yang diguna pakai oleh Suruhanjaya mengikut Artikel 46(2) GDPR, dengan syarat bahawa syarat bagi penggunaan klausa kontraktual standard tersebut dipenuhi. Secara umum, dan kecuali pengawal telah memilih sebaliknya, pemproses memproses data peribadi anda dalam Kawasan Ekonomi Eropah. Walau bagaimanapun, dan untuk pengawal dari luar Kawasan Ekonomi Eropah, untuk mengoptimumkan prestasi dan kecekapan perkhidmatan kami, pemproses boleh memproses data peribadi anda di kawasan geografi lebih dekat kepada lokasi anda, dengan syarat perlindungan yang dinyatakan sebelumnya dilaksanakan.
  3. Sebagai tambahan, jika terdapat komunikasi data peribadi daripada pemproses kepada pengawal yang membawa kepada pemindahan data peribadi dalam maksud Bab V GDPR, pemproses dan pengawal hendaklah memasuki klausa kontraktual standard (modul 4) yang dilampirkan sebagai Appendix II.

Klausa 6

Bantuan kepada pengawal

  1. Pemproses harus segera memaklumkan pengawal tentang sebarang permintaan yang diterimanya daripada subjek data. Pemproses tidak boleh menjawab permintaan itu sendiri, kecuali dibenarkan oleh pengawal.
  2. Pemproses akan mengemukakan kepada pengawal sebarang permintaan untuk pelaksanaan hak-hak subjek data yang diterimanya dan yang responsnya adalah tanggungjawab pengawal kerana ia merujuk kepada data peribadi yang mana pengawal bertindak sebagai pengawal data.
  3. Di samping kewajipan pemproses untuk membantu pengawal menurut Klausa 6(b), pemproses juga perlu membantu pengawal dalam memastikan pematuhan terhadap kewajipan berikut, dengan mengambil kira sifat pemprosesan data dan maklumat yang tersedia untuk pemproses.
    1. kewajipan untuk menjalankan penilaian impak pemprosesan yang dirancang terhadap perlindungan data peribadi ('penilaian impak perlindungan data') di mana jenis pemprosesan mungkin menyebabkan risiko tinggi kepada hak dan kebebasan orang semula jadi.
    2. kewajipan untuk berunding dengan pihak berkuasa penyeliaan yang kompeten sebelum pemprosesan di mana penilaian impak perlindungan data menunjukkan bahawa pemprosesan akan menyebabkan risiko tinggi jika tiada langkah yang diambil oleh pengawal untuk mengurangkan risiko itu;
    3. kewajipan untuk memastikan bahawa data peribadi adalah tepat dan terkini, dengan memaklumkan pengawal tanpa kelewatan jika pemproses menyedari bahawa data peribadi yang diproses adalah tidak tepat atau telah menjadi usang;
    4. kewajipan dalam Artikel 32 GDPR.
  4. Pihak-pihak harus menetapkan dalam Lampiran II langkah teknikal dan organisasi yang sesuai dengan mana pemproses diperlukan untuk membantu pengawal dalam penerapan klausa ini, serta skop dan takat bantuan yang diperlukan.

Klausa 7

Pemberitahuan pelanggaran data peribadi

  1. Sekiranya berlaku pelanggaran data peribadi, pemproses harus bekerjasama dan membantu pengawal untuk mematuhi kewajipan dalam Artikel 33 dan 34 GDPR, dengan mengambil kira sifat pemprosesan dan maklumat yang tersedia kepada pemproses.
  2. Dalam kes pelanggaran keselamatan data peribadi yang diproses oleh pemproses bagi pihak pengawal, pemproses hendaklah memberitahu pengawal tanpa kelewatan yang tidak wajar sebaik sahaja pemproses menyedarinya. Pemberitahuan tersebut hendaklah sekurang-kurangnya merangkumi:
    1. penjelasan tentang sifat pelanggaran (termasuk, jika boleh, kategori dan anggaran bilangan subjek data dan rekod data yang terlibat);
    2. butiran maklumat hubungan di mana maklumat lanjut mengenai pelanggaran data peribadi boleh diperoleh;
    3. kemungkinan akibatnya dan tindakan yang diambil atau dicadangkan untuk menangani pelanggaran tersebut, termasuk untuk mengurangkan kesan buruknya yang mungkin timbul.
  3. Sekiranya dan setakat mana tidak semua maklumat dapat diberikan pada masa yang sama, maklumat yang tersedia pada waktu itu hendaklah diberikan dalam pemberitahuan awal dan, sebaik sahaja ia dikumpulkan, maklumat tambahan hendaklah diberikan tanpa kelewatan yang tidak wajar.

LAMPIRAN I: PENERANGAN PEMPROSESAN

Kategori subjek data yang data peribadinya diproses
Kategori subjek data yang data peribadinya diproses dalam fail yang dimuat naik oleh pengawal semasa menggunakan perkhidmatan yang disediakan oleh ILOVEPDF (contohnya, pekerja, pelanggan, pembekal, dan lain-lain).

Kategori data peribadi yang diproses
Kategori data peribadi yang disertakan dalam fail yang dimuat naik oleh pengawal apabila menggunakan perkhidmatan yang disediakan oleh ILOVEPDF.

Data sensitif yang diproses (jika berkenaan) dan pembatasan atau perlindungan yang dikenakan sepenuhnya mempertimbangkan sifat data dan risiko yang terlibat, seperti pembatasan tujuan yang ketat, pembatasan akses (termasuk akses hanya untuk kakitangan yang telah mengikuti latihan khas), penyimpanan rekod akses kepada data, pembatasan untuk pemindahan lebih lanjut atau langkah-langkah keselamatan tambahan.
Kategori khas data peribadi akan diproses setakat mana fail yang dimuat naik oleh pengawal ketika menggunakan perkhidmatan yang disediakan oleh ILOVEPDF mengandungi kategori khas tersebut.

Sifat pemprosesan
Pemproses akan menjalankan semua tindakan yang diperlukan untuk menyediakan perkhidmatan (contohnya penukaran, penyuntingan dan pemampatan dokumen yang mengandungi data peribadi).

Tujuan di mana data peribadi diproses bagi pihak pengawal
Untuk menyediakan perkhidmatan bagi pihak ILOVEPDF.

Tempoh pemprosesan
Setakat yang benar-benar diperlukan bagi menyediakan perkhidmatan.

Sub-pemproses dan jenis perkhidmatan yang disediakan

Dalam konteks menyediakan perkhidmatannya, ILOVEPDF menggunakan penyedia perkhidmatan pihak ketiga yang bertindak sebagai sub-pemproses data peribadi. Antaranya, ILOVEPDF mempunyai Cloudscale, Digital Ocean, Hetzner, OVHcloud dan Vultr sebagai penyedia hosting web dan penyelesaian pengkomputeran awan, yang menyediakan perkhidmatan infrastruktur teknologi untuk memastikan pemprosesan data yang selamat, penyimpanan data sementara, dan kesinambungan operasi platform.

Sub-pemproses bertindak berdasarkan arahan ILOVEPDF, melaksanakan langkah-langkah teknikal dan organisasi yang sesuai untuk memastikan perlindungan data peribadi selaras dengan Peraturan (EU) 2016/679 (GDPR) dan peraturan perlindungan data yang lain.

Untuk maklumat lanjut mengenai sub-pemproses iLovePDF anda boleh akses dengan mengklik di sini.

LAMPIRAN II: LANGKAH TEKNIKAL DAN ORGANISASI TERMASUK LANGKAH TEKNIKAL DAN ORGANISASI UNTUK MENJAMIN KESELAMATAN DATA

Pemproses harus menerapkan langkah-langkah keselamatan teknikal dan organisasi berikut untuk aktiviti pemprosesan yang dijalankan di bawah Perjanjian Pemprosesan ini:

  • Langkah teknikal untuk melindungi terhadap intersepsi, penyalinan, pengubahsuaian, kesalahan perutean dan pemusnahan maklumat dipindahkan.
  • Prosedur teknikal dan polisi dalaman untuk mengesan, melindungi dan mengurangkan perisian hasad (malware) yang boleh dihantar melalui komunikasi elektronik.
  • Perlindungan teknikal maklumat sensitif apabila dihantar sebagai lampiran.
  • Polisi dalaman tentang penggunaan sumber komunikasi yang diterima.
  • Langkah organisasi untuk memastikan tanggungjawab semua pengguna (staf dan pihak ketiga) dengan akses berizin kepada sumber pemproses berhubung dengan maklumat mereka sendiri.
  • Penggunaan teknik kriptografi untuk melindungi kerahsiaan, integriti, dan keaslian maklumat.
  • Garis panduan organisasi untuk pengekalan dan pelupusan semua surat-menyurat perniagaan, termasuk mesej, selaras dengan undang-undang dan peraturan negara serta tempatan yang berkaitan.
  • Maklumat berkala dan penetapan dasar dalaman untuk kakitangan mengenai pencegahan pendedahan maklumat sulit, termasuk tujuan seperti: tidak meninggalkan mesej yang mengandungi maklumat sensitif di mesin menjawab, tidak mengadakan perbualan sulit di tempat awam, tidak menggunakan saluran komunikasi yang tidak selamat, serta tidak mengadakan perbualan sulit di ruang pejabat terbuka.

Kawalan versi: Khamis, 19 Februari 2026

Woops! Sesuatu tidak kena dengan sambungan internet anda...