Lampiran pemrosesan data

Lampiran ini merupakan bagian yang tidak terpisahkan dari Kontrak dan ditandatangani oleh:

(i) Klien (" Eksportir Data ")
(ii) IQUALIF (" Importir Data ")

Masing-masing menjadi " Pihak " dan umumnya " Pihak ".

Pembukaan

DI MANA Pengimpor Data menyediakan layanan perangkat lunak profesional, komputer, dan layanan terkait (seperti browser dengan fungsi pencarian lanjutan);

DIMANA sesuai dengan Kontrak, Pengimpor Data telah setuju untuk memberikan kepada Pengekspor Data layanan yang ditentukan dalam Kontrak (" Layanan ");

DIMANA, dengan menyediakan Layanan, Pengimpor Data menerima atau memperoleh manfaat dari akses ke informasi Pengekspor Data atau informasi orang lain yang memiliki hubungan (potensial) dengan Pengekspor Data, informasi tersebut dapat dikualifikasikan sebagai data pribadi dalam pengertian Peraturan (EU) 2016/679 Parlemen Eropa dan Dewan 27 April 2016 tentang perlindungan individu terkait pemrosesan data pribadi dan pergerakan bebas data tersebut (" GDPR ") dan undang-undang perlindungan data lain yang berlaku.

DI MANA Lampiran ini berisi syarat dan ketentuan yang berlaku untuk pengumpulan, pemrosesan, dan penggunaan data pribadi tersebut oleh Pengimpor Data dalam kapasitasnya sebagai agen pemrosesan data resmi dari Pengekspor Data, untuk memastikan bahwa Para Pihak mematuhi undang-undang perlindungan data yang berlaku .

OLEH KARENA ITU, dan untuk memungkinkan Para Pihak melanjutkan hubungan mereka secara sah, Para Pihak telah menyimpulkan Lampiran ini sebagai berikut:

Bagian 1

1. Struktur dokumen dan definisi

1.1 Struktur

Lampiran ini terdiri dari beberapa bagian sebagai berikut:

Bagian 1:	berisi ketentuan umum, misalnya mengenai definisi yang digunakan dalam Lampiran ini, kepatuhan terhadap hukum setempat, waktu, dan penghentian
Bagian 2:	berisi isi dokumen Klausul Kontrak Standar yang belum diubah
Lampiran 1.1 Bagian 2:	berisi perincian operasi pemrosesan yang diberikan oleh Pengimpor Data kepada Pengekspor Data sebagai agen pemrosesan data resmi (termasuk pemrosesan, sifat, dan tujuan pemrosesan, jenis data pribadi, dan kategori subjek data) berdasarkan ini Lampiran
Lampiran 2 Bagian 2:	berisi uraian tentang langkah-langkah keamanan teknis dan organisasi Pengimpor Data, yang diterapkan sehubungan dengan semua aktivitas pemrosesan yang dijelaskan dalam Lampiran 1.1 Bagian 2
Bagian 3:	berisi tanda tangan Para Pihak yang akan diikat oleh Lampiran ini dan mengidentifikasi setiap Pengimpor Data

1.2 Terminologi dan definisi

Untuk tujuan Apendiks ini, terminologi dan definisi yang digunakan oleh GDPR dapat diterapkan (Dalam isi dokumen Klausul Kontrak Standar di Bagian 2, di mana istilah yang didefinisikan tidak dikapitalisasi).

"Negara anggota"	berarti negara milik Uni Eropa atau Wilayah Ekonomi Eropa
"Kategori khusus data (pribadi)"	mengacu pada data pribadi yang mengungkapkan asal ras atau etnis, pendapat politik, keyakinan agama atau filosofi, atau keanggotaan serikat pekerja, dan data genetik, data biometrik, jika diproses untuk tujuan mengidentifikasi seseorang secara unik, data mengenai kesehatan, data mengenai jenis kelamin seseorang kehidupan atau orientasi seksual
"Klausul Kontrak Standar"	berarti Klausul Kontrak Standar untuk mentransfer data pribadi agen pemrosesan yang ditetapkan di negara ketiga, berdasarkan Keputusan Komisi 2010/87/EU pada tanggal 5 Februari 2010, yang diubah dengan Keputusan Pelaksanaan Komisi (EU) 2016/2297 pada tanggal 16 Desember 2016
œPengolah data	berarti agen pemroses mana pun, yang berada di dalam atau di luar UE/EEA, yang setuju untuk menerima dari Pengimpor Data atau pemroses Pengimpor Data lainnya, data pribadi untuk tujuan eksklusif aktivitas pemrosesan yang akan dilakukan oleh Pengekspor Data setelah transfer sesuai dengan instruksi Pengekspor Data, ketentuan Lampiran ini dan Kontrak dengan Pengimpor Data

2. Kewajiban Eksportir Data

2.1 Pengekspor Data memiliki kewajiban untuk memastikan kepatuhan terhadap semua kewajiban yang berlaku berdasarkan GDPR dan undang-undang perlindungan data lain yang berlaku yang berlaku untuk Pengekspor Data dan untuk menunjukkan kepatuhan seperti yang disyaratkan oleh Pasal 5 (2) GDPR. Eksportir Data menjamin bahwa Pengimpor Data telah memperoleh persetujuan sebelumnya dari subjek data sesuai dengan Pasal 6 (a) GDPR dan telah memenuhi kewajibannya untuk menginformasikan subjek data sesuai dengan Pasal 13 dan 14 GDPR.

2.2 Eksportir Data harus memberikan kepada Pengimpor Data masing-masing file dari aktivitas pemrosesan sesuai dengan Pasal 30 (1) GDPR terkait dengan Layanan berdasarkan Apendiks ini, sejauh yang diperlukan bagi Pengimpor Data untuk mematuhi kewajiban berdasarkan Pasal 30 (2) GDPR.

2.3 Eksportir Data harus menunjuk petugas atau perwakilan perlindungan data sejauh yang disyaratkan oleh undang-undang perlindungan data yang berlaku. Eksportir Data wajib memberikan rincian kontak agen atau perwakilan perlindungan data, jika ada, kepada Pengimpor Data.

2.4. Pengekspor Data mengonfirmasikan sebelum penyelesaian pemrosesan, dengan menerima Lampiran ini, bahwa langkah-langkah keamanan teknis dan organisasi Pengimpor Data, sebagaimana ditetapkan dalam Lampiran 2 hingga Bagian 2, sesuai dan memadai untuk melindungi hak-hak subjek data. dan mengonfirmasikan bahwa Pengimpor Data memberikan perlindungan yang memadai dalam hal ini.

3. Kepatuhan terhadap hukum setempat

Untuk memenuhi persyaratan penerapan agen pemrosesan yang mengikuti Pasal 28 GDPR, amandemen berikut berlaku:

3.1 Instruksi

(i) Pengekspor Data menginstruksikan Pengimpor Data untuk memproses data pribadi hanya atas nama Pengekspor Data. Instruksi Pengekspor Data disediakan dalam Lampiran ini dan dalam Kontrak. Eksportir Data memiliki kewajiban untuk memastikan bahwa semua instruksi yang diberikan kepada Pengimpor Data mematuhi undang-undang perlindungan data yang berlaku. Pengimpor Data harus memproses data pribadi hanya sesuai dengan instruksi yang diberikan oleh Pengekspor Data kecuali diwajibkan lain oleh Uni Eropa atau hukum Negara Anggota (dalam kasus terakhir, Bagian 1 Klausul 3.2 (iv) (c) berlaku) .
(ii) Semua instruksi lain yang melampaui instruksi dalam Lampiran ini atau dalam Kontrak harus dimasukkan dalam subjek Lampiran ini dan Kontrak. Jika pelaksanaan instruksi tambahan ini melibatkan biaya untuk Pengimpor Data, Pengimpor Data harus memberi tahu Pengekspor Data tentang biaya tersebut dan memberikan penjelasan sebelum menerapkan instruksi. Hanya setelah Pengekspor Data mengonfirmasi penerimaan biaya ini untuk penerapan instruksi, Pengimpor Data akan menerapkan instruksi tambahan ini. Pengekspor Data harus memberikan instruksi tambahan secara tertulis kecuali urgensi atau keadaan khusus lainnya memerlukan bentuk lain (misalnya lisan, elektronik). Instruksi dalam bentuk selain tertulis harus dikonfirmasikan secara tertulis dan tanpa penundaan oleh Eksportir Data.
1. Kecuali Pengekspor Data tidak dapat melakukan pembetulan, penghapusan, atau pembatasan data pribadi dengan sendirinya, instruksi dapat juga terkait dengan pembetulan, penghapusan, dan/atau pembatasan data pribadi sebagaimana diatur dalam Bagian 1 Klausul 3.3.
2. Pengimpor Data harus segera memberi tahu Pengekspor Data jika, menurut pendapatnya, suatu Instruksi melanggar GDPR atau ketentuan perlindungan data lain yang berlaku dari Uni Eropa atau Negara Anggota (" Instruksi yang DisengketakanJika otoritas pengawas menyatakan Instruksi yang ditentang sebagai sah, Pengimpor Data harus mengimplementasikan Instruksi yang ditentang. Bagian 1 Klausul 3.1 (ii) akan tetap berlaku.

3.2 Kewajiban Importir Data

(i) Pengimpor Data harus memastikan bahwa orang yang diberi wewenang oleh Pengimpor Data untuk memproses data pribadi atas nama Pengekspor Data, khususnya karyawan Pengimpor Data dan karyawan Sub-Kontraktor mana pun, telah berjanji untuk menjaga kerahasiaan atau tunduk pada kewajiban kerahasiaan yang sesuai menurut undang-undang, dan bahwa orang-orang yang memiliki akses ke data pribadi memprosesnya sesuai dengan instruksi Pengekspor Data.
(ii) Pengimpor Data harus menerapkan langkah-langkah keamanan teknis dan organisasional sebagaimana ditetapkan dalam Lampiran 2 hingga Bagian 2 sebelum memproses data pribadi atas nama Pengekspor Data. Importir Data dapat mengubah langkah-langkah keamanan teknis dan organisasional dari waktu ke waktu jika tindakan tersebut tidak memberikan perlindungan yang kurang dari yang ditetapkan dalam Lampiran 2 hingga Bagian 2.
(iii) Pengimpor Data harus menyediakan kepada Pengekspor Data, atas permintaan Pengekspor Data, informasi untuk menunjukkan kepatuhan terhadap kewajiban Pengimpor Data berdasarkan Lampiran ini. Para Pihak setuju bahwa kewajiban informasi ini dipenuhi dengan memberikan kepada Eksportir Data laporan audit (mencakup keamanan prinsip, ketersediaan sistem, dan kerahasiaan) ("Laporan Audit"). Jika aktivitas audit tambahan diwajibkan secara hukum, Pengekspor Data dapat meminta agar inspeksi dilakukan oleh Pengekspor Data atau auditor lain yang ditunjuk oleh Pengekspor Data, dengan tunduk pada pelaksanaan perjanjian kerahasiaan dengan Pengimpor Data kepada Pengimpor Data oleh auditor tersebut. kepuasan yang wajar ("Audit"). Audit ini tunduk pada ketentuan sebagai berikut: (i) penerimaan tertulis formal sebelumnya dari Pengimpor Data; dan (ii) Pengekspor Data akan menanggung semua biaya yang berkaitan dengan Audit di Tempat untuk Pengekspor Data dan Pengimpor Data. Eksportir Data harus membuat laporan audit yang merangkum hasil dan pengamatan Audit di Tempat ("Laporan Audit di Tempat"). Laporan Audit Di Tempat, dan Laporan Audit, adalah informasi rahasia Pengimpor Data dan tidak boleh diungkapkan kepada pihak ketiga kecuali diwajibkan oleh undang-undang perlindungan data yang berlaku atau sesuai dengan persetujuan Pengimpor Data.
(iv) Pengimpor Data berkewajiban untuk memberi tahu Pengekspor Data tanpa penundaan yang tidak semestinya:
1. sebuah. mengenai setiap permintaan yang mengikat secara hukum untuk pengungkapan data pribadi oleh otoritas penegak hukum, kecuali jika dilarang, seperti larangan menurut hukum pidana untuk melindungi kerahasiaan penyelidikan penegakan hukum
2. b. mengenai setiap keluhan dan permintaan yang diterima langsung dari subjek data (misalnya mengenai akses, perbaikan, penghapusan, pembatasan pemrosesan, portabilitas data, keberatan terhadap pemrosesan data, pengambilan keputusan otomatis) tanpa menanggapi permintaan tersebut, kecuali Pengimpor Data telah diberi wewenang untuk lakukanlah
3. c. jika Pengimpor Data atau pemroses Data diwajibkan, berdasarkan undang-undang Uni Eropa atau Negara Anggota tempat Pengimpor Data atau pemroses Data tunduk, untuk memproses data pribadi di luar instruksi Pengekspor Data, sebelum melakukan pemrosesan tersebut di luar instruksi, kecuali undang-undang Uni Eropa atau Negara Anggota melarang pemrosesan tersebut atas dasar kepentingan publik yang vital, dalam hal ini pemberitahuan kepada Pengekspor Data harus menetapkan persyaratan hukum berdasarkan undang-undang Uni Eropa atau Negara Anggota tersebut; atau
4. d. jika Pengimpor Data menyadari pelanggaran data pribadi, semata-mata karena dirinya sendiri atau subkontraktornya, yang akan memengaruhi data pribadi Pengekspor Data yang tercakup dalam kontrak ini, dalam hal ini Pengimpor Data akan membantu Pengekspor Data dalam kewajibannya, berhadapan dengan undang-undang perlindungan data yang berlaku, untuk memberi tahu subjek data dan, jika berlaku, otoritas pengawas dengan memberikan informasi yang tersedia, sesuai dengan Pasal 33 (3) GDPR.
5. (v) Atas permintaan Pengekspor Data, Pengimpor Data wajib membantu Pengekspor Data dalam kewajibannya untuk melakukan penilaian dampak perlindungan data yang mungkin diwajibkan oleh Pasal 35 GDPR dan konsultasi sebelumnya yang mungkin diperlukan disyaratkan oleh Pasal 36 GDPR mengenai layanan yang diberikan oleh Pengimpor Data kepada Pengekspor Data berdasarkan Lampiran ini, yang memberikan informasi dan yang diperlukan kepada Pengekspor Data. Pengimpor Data hanya wajib memberikan bantuan tersebut jika Pengekspor Data tidak dapat memenuhi kewajibannya dengan cara lain. Pengimpor Data akan memberi tahu Pengekspor Data tentang biaya bantuan tersebut. Segera setelah Pengekspor Data mengonfirmasi bahwa mereka dapat menanggung biaya ini, Pengimpor Data akan memberikan bantuan ini kepada Pengekspor Data.
6. (vi) Pada akhir penyediaan layanan, Pengekspor Data dapat meminta pengembalian data pribadi yang diproses oleh Pengimpor Data berdasarkan Lampiran ini dalam waktu satu bulan setelah layanan. Kecuali undang-undang Negara Anggota atau Uni Eropa mengharuskan Pengimpor Data untuk menyimpan atau menyimpan data pribadi tersebut, Pengimpor Data akan menghapus semua data pribadi atau non-pribadi tersebut setelah periode satu bulan, baik data tersebut telah dikembalikan ke Eksportir Data atas permintaannya atau tidak.

3.3 Hak-hak orang yang bersangkutan

1. (i) Pengekspor Data mengelola dan menanggapi permintaan yang dibuat oleh subjek data. Importir Data tidak berkewajiban untuk menanggapi langsung subjek data.
2. (ii) Jika Pengekspor Data memerlukan bantuan Pengimpor Data dalam memproses dan menanggapi permintaan Subjek Data, Pengekspor Data akan mengeluarkan instruksi lebih lanjut sesuai dengan Klausul 3.1 (ii) Bagian 1. Pengimpor Data akan membantu Pengekspor Data dengan langkah-langkah organisasional dan teknis yang sesuai untuk menanggapi permintaan pelaksanaan hak subjek data yang ditetapkan dalam Bab III GDPR sebagai berikut:
3. sebuah. Mengenai permintaan informasi, Pengimpor Data hanya akan memberikan kepada Pengekspor Data informasi yang disyaratkan oleh Pasal 13 dan 14 PGRD yang mungkin dimilikinya jika Pengekspor Data tidak dapat menemukannya sendiri.
4. b. Mengenai permintaan akses (Pasal 15 GDPR), Pengimpor Data hanya akan memberikan kepada Pengekspor Data informasi yang seharusnya diberikan kepada subjek data untuk permintaan akses tersebut, yang mungkin dimilikinya jika yang terakhir tidak dapat menemukannya sendiri.
5. c. Mengenai permintaan pembetulan (Pasal 16 GDPR), permintaan penghapusan (Pasal 17 GDPR), pembatasan permintaan pemrosesan (Pasal 18 GDPR), atau permintaan portabilitas (Pasal 20 GDPR), dan hanya jika Pengekspor Data tidak dapat memperbaiki sendiri atau menghapus, membatasi, atau mengirimkan data pribadi ke pihak ketiga lainnya, Pengimpor Data akan menawarkan kepada Pengekspor Data kemungkinan untuk memperbaiki atau menghapus, membatasi, atau mengirimkan data pribadi terkait kepada pihak ketiga lainnya, atau jika hal ini tidak memungkinkan, ia akan memberikan bantuan untuk memperbaiki atau menghapus, membatasi, atau mengirimkan data pribadi yang bersangkutan kepada pihak ketiga lainnya.
6. d. Mengenai pemberitahuan terkait pembetulan, penghapusan, atau pembatasan pemrosesan (Pasal 19 GDPR), Pengimpor Data akan membantu Pengekspor Data dengan memberi tahu semua penerima data pribadi yang digunakan oleh Pengimpor Data sebagai pemroses jika Pengekspor Data meminta dan jika Pengekspor Data tidak dapat memperbaiki situasinya sendiri.
7. e. Mengenai hak penentangan yang dilakukan oleh subjek data (Pasal 21 dan 22 GDPR), Pengekspor Data akan menentukan apakah penentangan itu sah dan bagaimana menanganinya.
8. (iii) Kewajiban bantuan Pengimpor Data terbatas pada data pribadi yang diproses dalam infrastrukturnya (mis. basis data, sistem, aplikasi yang dimiliki atau disediakan oleh Pengimpor Data).
9. (iv) Pengekspor Data harus menentukan apakah Subjek Data dapat menggunakan hak Subjek Data yang ditetapkan dalam Klausul 3.1 Bagian 1 ini dan harus memberi tahu Importir Data sejauh mana bantuan yang ditentukan dalam Klausul 3.3 (ii), ( iii) Bagian 1 diperlukan.
10. (v) Jika Pengekspor Data meminta tindakan teknis dan organisasi tambahan atau yang dimodifikasi untuk memenuhi hak subjek data yang melampaui bantuan yang diberikan oleh Pengimpor Data berdasarkan Sub-Klausula 3.3 (ii), (iii) Bagian 1, Data Importir harus memberi tahu Pengekspor Data tentang biaya penerapan tindakan teknis dan organisasi tambahan atau modifikasi tersebut. Segera setelah Pengekspor Data mengonfirmasi bahwa ia dapat memenuhi biaya ini, Pengimpor Data harus menerapkan langkah-langkah teknis dan organisasi tambahan atau yang dimodifikasi tersebut untuk membantu Pengekspor Data dalam menanggapi permintaan Subjek Data.
11. (vi) Tanpa membatasi cakupan Klausul 3.3 (v) Bagian 1, Pengekspor Data wajib mengganti Pengimpor Data atas biaya wajar yang dikeluarkannya untuk menanggapi permintaan Subjek Data.

3.4 Sub-pemrosesan

1. (i) Pengekspor Data memberi wewenang kepada Pengimpor Data untuk menggunakan subkontraktor untuk penyediaan layanan berdasarkan Lampiran ini. Pengimpor Data harus memilih pemroses Data tersebut dengan hati-hati. Pengekspor Data menyetujui pemroses Data yang tercantum dalam Lampiran 1.1 di akhir Bagian 2.
2. (ii) Pengimpor Data akan mengalihkan kewajibannya berdasarkan Lampiran ini kepada pemroses Data sejauh yang berlaku untuk layanan yang disubkontrakkan.
3. (iii) Pengimpor Data dapat memberhentikan, mengganti, atau menunjuk pemroses Data lain yang sesuai dan andal atas kebijakannya sendiri. Jika diminta secara tertulis oleh Pengekspor Data, Pengimpor Data harus mengikuti prosedur yang ditetapkan di bawah ini:
1. sebuah. Pengimpor Data harus memberi tahu Pengekspor Data sebelum perubahan apa pun pada daftar pemroses Data yang dirujuk dalam Klausul 3.4 (i) Bagian 1. Jika Pengekspor Data tidak berkeberatan berdasarkan Klausul 3.4. (b) Bagian 1 tiga puluh hari setelah menerima pemberitahuan dari Importir Data, pemroses Data tambahan akan dianggap diterima.
2. b. Jika Pengekspor Data memiliki alasan yang sah untuk menolak pemroses Data tambahan, Pengekspor Data akan memberikan pemberitahuan tertulis sebelumnya kepada Pengimpor Data dalam waktu tiga puluh hari sejak diterimanya pemberitahuan Pengimpor Data dan sebelum layanan Pengimpor Data dioperasikan. Jika Pengekspor Data keberatan dengan penggunaan pemroses Data tambahan, Pengimpor Data dapat menghapus keberatan dengan salah satu opsi berikut (dipilih atas pertimbangannya sendiri): (A) Pengimpor Data akan membatalkan rencananya untuk menggunakan pemroses tambahan terkait data pribadi Pengekspor Data; (B) Pengimpor Data akan mengambil tindakan korektif yang diminta oleh Pengekspor Data dalam keberatannya (membatalkan keberatan) dan menggunakan pemroses tambahan terkait data pribadi Pengekspor Data;
1. (iv) jika pemroses Data berbasis di luar EU-EEA di negara yang tidak diakui menawarkan tingkat perlindungan data yang memadai setelah keputusan Komisi Eropa, Pengimpor Data akan mengambil tindakan untuk mematuhi tingkat yang memadai perlindungan data sesuai dengan GDPR (langkah-langkah tersebut dapat mencakup - antara lain dan - penggunaan kontrak pemrosesan data berdasarkan klausul Model UE, transfer ke pemroses Data yang disertifikasi sendiri dalam kerangka Perisai Perlindungan UE-AS , atau program serupa).

3.5 Kedaluwarsa

Berakhirnya Lampiran ini sama dengan tanggal berakhirnya Kontrak yang bersangkutan. Kecuali ditentukan lain dalam Lampiran ini, hak dan kewajiban yang berkaitan dengan pemutusan hubungan kerja harus sama dengan yang tercantum dalam Kontrak.

4. Batasan Tanggung Jawab

4.1 Masing-masing pihak menangani kewajibannya berdasarkan Lampiran ini dan undang-undang perlindungan data yang berlaku.

4.2 Setiap kewajiban yang berkaitan dengan pelanggaran kewajiban berdasarkan Lampiran ini atau undang-undang perlindungan data yang berlaku harus tunduk pada dan diatur oleh ketentuan kewajiban yang ditetapkan dalam, atau berlaku untuk, Kontrak, kecuali jika ditentukan lain dalam Lampiran ini. Jika kewajiban diatur oleh ketentuan kewajiban yang ditetapkan dalam atau berlaku untuk Kontrak, untuk menghitung batas kewajiban atau menentukan penerapan batasan kewajiban lainnya, setiap kewajiban yang timbul berdasarkan Lampiran ini akan dianggap timbul berdasarkan Kontrak.

5. Ketentuan umum

5.1 Jika ada inkonsistensi atau perbedaan antara Bagian 1 dan 2 dari Lampiran ini, Bagian 2 yang akan berlaku. Secara khusus, bahkan dalam kasus seperti itu, Bagian 1 yang hanya melampaui Bagian 2 (yaitu ketentuan klausa Standar) tanpa bertentangan akan tetap berlaku.

5.2 Jika ada perbedaan yang muncul antara ketentuan Lampiran ini dan ketentuan kontrak lain yang mengikat para pihak, Lampiran ini akan berlaku mengenai kewajiban perlindungan data para pihak. Jika ada keraguan apakah klausul dalam kontrak lain menyangkut kewajiban perlindungan data para pihak, Lampiran ini yang akan berlaku.

5.3 Jika ada ketentuan dari Lampiran ini yang tidak sah atau tidak dapat dilaksanakan, sisa dari Lampiran ini akan tetap memiliki kekuatan dan efek penuh. Ketentuan yang tidak sah atau tidak dapat dilaksanakan akan (i) diubah untuk memastikan keabsahan dan keberlakuannya, sambil mempertahankan sejauh mungkin maksud para pihak, atau - jika ini tidak mungkin - (ii) ditafsirkan seolah-olah bagian yang tidak sah atau tidak dapat dilaksanakan telah tidak pernah menjadi bagian dari kontrak. Hal tersebut di atas juga berlaku jika ada kelalaian dalam Lampiran ini.

5.5 Sejauh diperlukan, Para Pihak dapat meminta amandemen Bagian 1, Klausul 3 (Kepatuhan dengan hukum setempat) atau bagian lain dari Lampiran untuk mematuhi interpretasi, arahan, atau perintah yang dikeluarkan oleh otoritas yang berwenang dari Perhimpunan atau Negara Anggota, ketentuan penegakan nasional, atau perkembangan hukum lainnya terkait GDPR atau kondisi pendelegasian lainnya ke entitas mana pun yang terlibat dalam pemrosesan data dan khususnya terkait penggunaan Klausul Kontrak Standar dalam GDPR. Ketentuan Klausul Kontrak Standar tidak boleh diubah atau diganti kecuali jika Komisi Eropa secara tegas menyetujuinya (misalnya dengan klausul baru yang memadai dan standar perlindungan data).

5.6 Setiap referensi dalam Lampiran ini untuk " Klausul " harus dipahami mengacu pada semua ketentuan Lampiran ini kecuali dinyatakan lain.

5.7 Pilihan hukum di Bagian 2, Klausul 9 berlaku untuk seluruh Kontrak.

6. Data pribadi yang dikirimkan dan diproses oleh para pihak untuk kepentingan pribadi (transfer dari pengontrol data ke pengontrol data)

6.1 Para Pihak mengetahui sepenuhnya bahwa data pribadi tertentu akan ditransfer dari Pengekspor Data ke Pengimpor Data dan sebaliknya, dan bahwa data tersebut diproses oleh masing-masing Pihak untuk tujuannya sendiri. Mengenai data pribadi tersebut, tidak mempengaruhi ketentuan lain dari Lampiran ini (kecuali untuk klausul 6) ini.

6.2 Pengekspor Data dapat mentransfer data pribadi yang berkaitan dengan staf Pengimpor Data kepada Pengimpor Data, termasuk informasi tentang insiden keamanan, atau dokumen atau file lain yang dibuat atau dibuat oleh Pengekspor Data sehubungan dengan Layanan yang disediakan oleh staf pengimpor data. Pengimpor Data dapat memproses data pribadi tersebut untuk tujuannya sendiri, khususnya dalam hubungan profesionalnya dengan personel Pengimpor Data, untuk kontrol kualitas dan pelatihan, atau untuk tujuan bisnis.

6.3. Pengimpor Data dapat mentransfer data pribadi ke Pengekspor Data, termasuk nama dan detail kontak personel Pengimpor Data. Pengekspor Data dapat memproses data pribadi tersebut untuk tujuannya sendiri.

6.4 Kedua belah pihak harus mematuhi undang-undang perlindungan data yang berlaku, termasuk GDPR, dalam mengumpulkan, memproses, dan menggunakan data pribadi yang diterima dari pihak lain berdasarkan klausul 1 Bagian 1. Secara khusus, kedua Pihak harus mengambil langkah-langkah keamanan yang memadai, dengan ketentuan tingkat perlindungan yang serupa dengan langkah-langkah keamanan yang ditetapkan dalam Lampiran 2 Bagian 2. Setiap akses ke data pribadi tersebut harus dibatasi pada kebutuhan untuk mengetahuinya.

6.5 Kedua Pihak harus menghapus data pribadi tersebut sesegera mungkin setelah tujuan tercapai.

Bagian 2

KEPUTUSAN KOMISI

pada tanggal 5 Februari 2010

tentang klausul kontrak standar untuk transfer data pribadi ke pemroses data yang ditetapkan di negara pihak ketiga berdasarkan Arahan 95/46/EC Parlemen Eropa dan Dewan

Klausul 1

definisi

Dalam arti klausa:

a) 'data pribadi', 'kategori data khusus', 'pemrosesan/pemrosesan', 'pengontrol', 'pemroses', 'subjek data' dan 'otoritas pengawas' memiliki arti yang sama seperti dalam 95/46/EC Arahan Parlemen Eropa dan Dewan 24 Oktober 1995 tentang melindungi individu terkait pemrosesan data pribadi dan pergerakan bebas data tersebut (1);

b) 'Pengekspor Data' adalah pengontrol Data yang mentransfer data pribadi;

c) 'Pengimpor Data' adalah pemroses Data yang setuju untuk menerima dari Pengekspor Data data pribadi yang dimaksudkan untuk diproses atas nama Pengekspor Data setelah transfer sesuai dengan instruksinya dan berdasarkan ketentuan klausul ini dan siapa yang tidak tunduk pada mekanisme negara ketiga yang memastikan perlindungan yang memadai dalam arti Pasal 25(1) Arahan 95/46/EC; (d) 'Pemroses data' berarti pemroses Data yang digunakan oleh Pengimpor Data atau oleh pengolah Data lain dari Pengimpor Data yang setuju untuk menerima dari Pengimpor Data atau pengolah Data lainnya dari Pengimpor Data data pribadi khusus untuk kegiatan pemrosesan untuk dilakukan atas nama Eksportir Data setelah transfer sesuai dengan instruksi Eksportir Data,

e) "undang-undang perlindungan data yang berlaku" berarti undang-undang yang melindungi hak-hak dasar dan kebebasan individu, termasuk hak atas privasi terkait pemrosesan data pribadi, dan berlaku untuk pengontrol di Negara Anggota tempat Eksportir Data didirikan;

f) "langkah-langkah teknis dan organisasi yang berkaitan dengan keamanan" berarti langkah-langkah yang dimaksudkan untuk melindungi data pribadi terhadap perusakan yang tidak disengaja atau melanggar hukum atau kehilangan, perubahan, pengungkapan atau akses yang tidak sah, khususnya jika pemrosesan melibatkan transmisi data melalui jaringan, dan terhadap semua bentuk pemrosesan yang melanggar hukum lainnya.

Ayat 2

Detail transfer

Rincian transfer, termasuk, jika sesuai, kategori khusus data pribadi, ditentukan dalam Lampiran 1, yang merupakan bagian integral dari klausul ini.

Klausul 3

Klausul penerima manfaat pihak ketiga

1. Subjek data dapat memberlakukan Klausul ini kepada Pengekspor Data, Klausul 4(b) sampai (i), Klausul 5(a) sampai (e) dan (g) sampai (j), Klausul 6 (1) dan (2 ), Klausul 7, Klausul 8(2) dan Klausul 9 sampai 12 sebagai penerima pihak ketiga

2. Subyek data dapat memberlakukan Klausula, Klausul 5 (a) sampai dengan (e) dan (g), Klausul 6, Klausul 7, Klausul 8 (2) dan Klausul 9 sampai dengan 12 terhadap Importir Data dimana Eksportir Data secara fisik telah menghilang atau tidak ada lagi dalam hukum, kecuali semua kewajiban hukumnya telah dialihkan, melalui kontrak atau berdasarkan hukum, kepada entitas penerus, yang oleh karena itu dikembalikan hak dan kewajiban Pengekspor Data, dan terhadap mana data Oleh karena itu, subjek dapat menegakkan klausa tersebut.

Subjek data dapat memberlakukan Klausul ini, Klausul 5 (a) sampai (e) dan (g), Klausul 6, Klausul 7, Klausul 8 (2) dan Klausul 9 sampai 12 terhadap pemroses Data, tetapi hanya dalam kasus di mana Data Eksportir dan Pengimpor Data telah menghilang secara fisik, tidak ada lagi dalam hukum atau menjadi bangkrut, kecuali semua kewajiban hukum Pengekspor Data telah dialihkan, melalui kontrak atau berdasarkan hukum, kepada penerus yang sah, kepada siapa hak dan kewajiban Eksportir Data oleh karena itu dipegang, dan terhadap siapa subjek data dapat memberlakukan klausul tersebut. Tanggung jawab pemroses Data tersebut harus dibatasi pada aktivitas pemrosesannya sendiri berdasarkan klausul ini.

4. Para pihak tidak berkeberatan jika subjek data diwakili oleh suatu asosiasi atau badan lain jika dia menginginkannya dan jika hukum nasional mengizinkannya.

Klausul 4

Kewajiban Eksportir Data

Pengekspor Data menerima dan menjamin hal-hal berikut:

a) pemrosesan, termasuk transfer data pribadi yang sebenarnya, telah dan akan terus dilakukan sesuai dengan ketentuan yang relevan dari undang-undang perlindungan data yang berlaku (dan, jika berlaku, telah diberitahukan kepada otoritas yang berwenang dari Negara Anggota di mana Eksportir Data berbasis) dan tidak melanggar ketentuan yang relevan di Negara tersebut;

b) mereka telah menginstruksikan, dan akan menginstruksikan selama layanan pemrosesan data pribadi, Pengimpor Data untuk memproses data pribadi yang ditransfer atas nama Pengekspor Data dan sesuai dengan undang-undang perlindungan data yang berlaku dan klausul ini;

c) Pengimpor Data akan memberikan perlindungan yang memadai mengenai langkah-langkah keamanan teknis dan organisasi yang ditentukan dalam Lampiran 2 pada kontrak ini;

d) setelah evaluasi persyaratan undang-undang perlindungan data yang berlaku, langkah-langkah keamanan memadai untuk melindungi data pribadi dari perusakan yang tidak disengaja atau melanggar hukum atau kehilangan, perubahan, pengungkapan yang tidak sah, atau akses yang tidak disengaja, khususnya jika pemrosesan melibatkan transmisi data melalui jaringan, dan terhadap semua bentuk pemrosesan yang melanggar hukum lainnya dan memastikan tingkat keamanan yang sesuai dengan risiko yang diwakili oleh pemrosesan dan sifat data yang akan dilindungi, dengan memperhatikan tingkat teknologi dan biaya implementasi;

e) mereka akan memastikan kepatuhan terhadap langkah-langkah keamanan;

f) jika transfer berkaitan dengan kategori data khusus, subjek data telah diinformasikan atau akan diinformasikan sebelum transfer, atau sesegera mungkin setelah transfer bahwa datanya dapat ditransfer ke negara ketiga yang tidak menawarkan tingkat perlindungan yang memadai dalam arti Petunjuk 95/46/EC;

g) mereka akan meneruskan pemberitahuan apa pun yang diterima dari Pengimpor Data atau pemroses Data mana pun berdasarkan Klausul 5 (b) dan 8 (3) kepada otoritas pengawas perlindungan data jika otoritas tersebut memutuskan untuk melanjutkan transfer atau mencabut penangguhannya;

h) mereka harus menyediakan kepada subjek data, jika mereka meminta, salinan Klausula ini, kecuali untuk Lampiran 2, dan deskripsi ringkasan tindakan pengamanan, dan salinan dari setiap perjanjian subkontrak lebih lanjut, yang dibuat berdasarkan Klausula ini kecuali jika Klausul atau perjanjian berisi informasi komersial, dalam hal ini ia dapat menarik informasi tersebut;

i) dalam hal mensubkontrakkan proses pemrosesan data, aktivitas pemrosesan dilakukan sesuai dengan Klausul 11 oleh pemroses Data yang memberikan setidaknya tingkat perlindungan data pribadi dan hak subjek data yang sama dengan Pengimpor Data berdasarkan Klausul ini ; dan

j) itu akan memastikan kepatuhan terhadap Klausul 4 (a) sampai (i).

Klausul 5

Kewajiban Importir Data

Pengimpor Data menerima dan menjamin hal-hal berikut:

a) mereka akan memproses data pribadi hanya atas nama Pengekspor Data dan berdasarkan instruksi Pengekspor Data dan klausul ini; jika tidak dapat memenuhi karena alasan apa pun, mereka setuju untuk memberi tahu Pengekspor Data tentang ketidakmampuannya sesegera mungkin, dalam hal mana Pengekspor Data dapat menangguhkan transfer data dan/atau mengakhiri kontrak;

b) mereka tidak memiliki alasan untuk percaya bahwa undang-undang yang berlaku untuk mereka mencegahnya memenuhi instruksi yang diberikan oleh Pengekspor Data dan kewajiban yang dibebankan kepadanya berdasarkan kontrak, dan jika undang-undang tersebut tunduk pada perubahan yang dapat merugikan secara material efek pada jaminan dan kewajiban berdasarkan Klausula, ia harus memberi tahu Pengekspor Data tentang perubahan tersebut tanpa penundaan setelah menyadarinya, dalam hal mana Pengekspor Data dapat menangguhkan transfer data dan/atau mengakhiri kontrak; (c) mereka telah menerapkan langkah-langkah keamanan teknis dan organisasi yang ditentukan dalam Lampiran 2 sebelum memproses data pribadi yang ditransfer;

d) mereka akan memberi tahu Pengekspor Data tanpa penundaan:

i) setiap permintaan yang mengikat untuk pengungkapan data pribadi dari otoritas penegak hukum, kecuali ditentukan lain, seperti larangan pidana yang bertujuan untuk menjaga kerahasiaan penyelidikan polisi;

ii) setiap akses insidental atau tidak sah; dan

iii) setiap permintaan yang diterima secara langsung dari orang-orang yang bersangkutan tanpa menjawabnya kecuali dia telah diberi wewenang untuk melakukannya; administrator

e) mereka akan segera dan tepat menangani semua pertanyaan dari Pengekspor Data mengenai pemrosesan data pribadi yang ditransfer dan akan bertindak berdasarkan pendapat otoritas pengawas mengenai pemrosesan data yang ditransfer;

f) atas permintaan Pengekspor Data, mereka akan mengaudit fasilitas pemrosesan datanya atas aktivitas pemrosesan yang tercakup dalam klausul ini untuk dilakukan oleh Pengekspor Data atau badan pengawas yang terdiri dari anggota independen dengan kualifikasi profesional yang dipersyaratkan, tunduk pada kewajiban kerahasiaan dan dipilih oleh Eksportir Data, jika sesuai dengan persetujuan otoritas pengawas;

g) mereka akan menyediakan kepada subjek data, jika ia meminta, salinan Klausul ini, atau subkontrak yang ada dari kontrak pemrosesan data, kecuali Klausul atau kontrak tersebut berisi informasi komersial, dalam hal ini dapat menghapus informasi, kecuali Lampiran 2, yang akan diganti dengan ringkasan deskripsi tindakan pengamanan, di mana subjek data tidak dapat memperoleh salinan dari Pengekspor Data;

h) dalam hal kerahasiaan subkontrak lebih lanjut untuk pemrosesan data, dia akan memastikan bahwa dia memberi tahu Pengekspor Data terlebih dahulu dan mendapatkan persetujuan tertulis dari Pengekspor Data;

i) layanan pemrosesan yang disediakan oleh pemroses Data harus sesuai dengan Klausul 11;

j) mereka akan segera mengirimkan salinan dari setiap sub-kontrak dari perjanjian pemrosesan data yang dibuat olehnya berdasarkan Klausula ini kepada Pengekspor Data.

Ayat 6

Tanggung jawab

1. Para pihak sepakat bahwa setiap subjek data yang mengalami kerugian karena pelanggaran kewajiban sebagaimana dimaksud dalam Klausula 3 atau Klausul 11 oleh salah satu pihak atau oleh pengolah Data dapat memperoleh ganti rugi dari Pengekspor Data atas kerusakan yang diderita.

2. Jika subjek data dicegah untuk mengajukan tuntutan ganti rugi sebagaimana dimaksud pada ayat 1 terhadap Pengekspor Data karena kegagalan Pengimpor Data atau pengolah Datanya untuk memenuhi kewajibannya berdasarkan Klausul 3 atau Klausul 11 karena Data Eksportir telah menghilang secara fisik, tidak ada lagi dalam hukum atau menjadi bangkrut, Pengimpor Data setuju bahwa subjek data dapat mengajukan keluhan terhadapnya seolah-olah itu adalah Pengekspor Data kecuali semua kewajiban hukum Pengekspor Data telah dialihkan, melalui kontrak atau berdasarkan hukum, kepada entitas penggantinya, di mana subjek data kemudian dapat menegakkan haknya. Pengimpor Data tidak boleh mengandalkan pelanggaran kewajibannya oleh pemroses Data untuk menghindari kewajibannya sendiri.

3. Jika subjek data dicegah untuk melakukan tindakan sebagaimana dimaksud pada ayat 1 dan 2 terhadap Pengekspor Data atau Pengimpor Data karena pelanggaran oleh pengolah Data atas kewajibannya berdasarkan Klausul 3 atau Klausul 11 karena Pengekspor Data dan Pengimpor Data telah hilang secara fisik, tidak ada lagi dalam hukum atau menjadi bangkrut, pemroses Data setuju bahwa subjek data dapat mengajukan keluhan terhadapnya mengenai kegiatan pemrosesannya sendiri sesuai dengan klausul ini seolah-olah itu adalah Pengekspor Data atau Pengimpor Data kecuali semua kewajiban hukum Pengekspor Data atau Pengimpor Data telah dialihkan, melalui kontrak atau berdasarkan hukum, kepada penerus yang sah, kepada siapa subjek data kemudian dapat menuntut haknya.Tanggung jawab pemroses Data harus dibatasi pada aktivitas pemrosesannya sendiri sesuai dengan klausul ini.

Klausul 7

Mediasi dan yurisdiksi

1. Importir Data setuju bahwa jika berdasarkan klausula, subjek data meminta kepadanya hak penerima manfaat pihak ketiga dan/atau menuntut ganti rugi atas prasangka yang diderita, ia akan menerima keputusan subjek data:

a) untuk mengajukan sengketa ke mediasi oleh orang independen atau, jika perlu, otoritas pengawas;

b) membawa perselisihan tersebut ke pengadilan Negara Anggota dimana Eksportir Data berada.

2. Para pihak setuju bahwa pilihan yang dibuat oleh subjek data tidak akan mempengaruhi hak prosedural atau substantif dari subjek data untuk memperoleh ganti rugi sesuai dengan ketentuan hukum nasional atau internasional lainnya.

Klausul 8

Kerjasama dengan otoritas pengawas

1. Pengekspor Data setuju untuk menyetorkan salinan kontrak ini kepada otoritas pengawas jika yang terakhir mengharuskan demikian atau jika penyetoran tersebut diatur oleh undang-undang perlindungan data yang berlaku.

2. Para pihak setuju bahwa otoritas pengawas dapat melakukan pemeriksaan di Pengimpor Data dan pengolah Data pada tingkat yang sama dan dalam kondisi yang sama dengan pemeriksaan yang dilakukan di Pengekspor Data sesuai dengan undang-undang perlindungan data yang berlaku.

3. Importir Data sesegera mungkin memberitahukan kepada Pengekspor Data adanya peraturan perundang-undangan mengenai Pengimpor Data atau pengolah Data yang menghalangi verifikasi pada Pengimpor Data atau pengolah Data sesuai dengan ayat 2. Dalam hal demikian, Pengimpor Data Eksportir Data dapat mengambil langkah-langkah yang diatur dalam Klausul 5 (b).

Klausul 9

Hukum yang berlaku

Klausul ini berlaku dan diatur oleh hukum Negara Anggota tempat Eksportir Data berada.

Klausul 10

Modifikasi kontrak

Para pihak berjanji untuk tidak mengubah klausul ini. Para pihak tetap bebas untuk memasukkan klausul komersial lain yang mereka anggap perlu, asalkan tidak bertentangan dengan klausul ini.

Klausul 11

Subkontrak berikutnya

1. Pengimpor Data tidak boleh mensubkontrakkan aktivitas pemrosesannya yang dilakukan atas nama Pengekspor Data berdasarkan klausul ini tanpa persetujuan tertulis sebelumnya dari Pengekspor Data. Pengimpor Data hanya akan mensubkontrakkan kewajibannya berdasarkan Klausula ini, dengan persetujuan Pengekspor Data, melalui perjanjian tertulis dengan pemroses Data yang membebankan pada pemroses Data kewajiban yang sama seperti yang dikenakan pada Pengimpor Data berdasarkan Klausul ini. Jika pemroses Data tidak dapat memenuhi kewajiban perlindungan datanya berdasarkan perjanjian tertulis tersebut, Pengimpor Data akan tetap bertanggung jawab penuh kepada Pengekspor Data untuk pemenuhan kewajiban tersebut.

2. Perjanjian tertulis sebelumnya antara Pengimpor Data dan pengolah Data juga harus menyertakan klausul penerima pihak ketiga sebagaimana diatur dalam Klausul 3 untuk kasus di mana subjek data dicegah untuk mengajukan tuntutan ganti rugi sebagaimana dimaksud dalam Klausul 6 (1 ), terhadap Pengekspor Data atau Pengimpor Data karena Pengekspor Data atau Pengimpor Data telah hilang secara fisik, tidak ada lagi karena hukum atau menjadi pailit dan semua kewajiban hukum Pengekspor Data atau Pengimpor Data belum dialihkan, melalui kontrak atau operasi hukum, kepada entitas pengganti lainnya. Tanggung jawab pemroses Data harus dibatasi pada aktivitas pemrosesannya sendiri sesuai dengan klausul ini.

3. Ketentuan yang berkaitan dengan aspek perlindungan data dari sub-kontrak pemrosesan data kontrak sebagaimana dimaksud dalam ayat 1 diatur oleh hukum Negara Anggota tempat Eksportir Data didirikan.

4. Eksportir Data harus menyimpan daftar sub-kontrak dari perjanjian pemrosesan data yang dibuat berdasarkan Klausula ini dan diberitahukan oleh Importir Data sesuai dengan Klausul 5 (j), yang harus diperbarui setidaknya setahun sekali. Daftar ini harus tersedia bagi otoritas pengawas perlindungan data Eksportir Data.

Klausul 12

Kewajiban setelah penghentian layanan pemrosesan data pribadi

1. Para pihak setuju bahwa setelah menyelesaikan layanan pemrosesan data, Pengimpor Data dan pemroses Data akan, sesuai keinginan Pengekspor Data, mengembalikan semua data pribadi yang ditransfer dan salinannya kepada Pengekspor Data, atau memusnahkan semua data tersebut dan memberikan bukti pemusnahan terhadap Pengekspor Data, kecuali undang-undang yang diberlakukan pada Pengimpor Data mencegahnya mengembalikan atau memusnahkan semua atau sebagian data pribadi yang ditransfer. Dalam hal ini, Pengimpor Data menjamin akan menjamin kerahasiaan data pribadi yang ditransfer dan tidak akan lagi memproses data secara aktif.

2. Pengimpor Data dan pengolah Data harus memastikan bahwa, jika diminta oleh Pengekspor Data dan/atau otoritas pengawas, mereka akan tunduk pada sarana pemrosesan data mereka untuk verifikasi langkah-langkah sebagaimana dimaksud dalam ayat 1.

Lampiran 1.1 ke Bagian 2

Detail transfer

Eksportir Data

Pengekspor Data adalah Pelanggan yang ditentukan dalam perjanjian Kontrak.

Pengimpor Data

Pengimpor Data adalah IQUALIF dan ditugaskan untuk memproses data, memberikan layanan kepada Pengekspor Data.

Subyek data

Data pribadi yang ditransfer menyangkut kategori subjek data berikut:

˜' pelanggan telepon terdaftar di direktori universal

Lainnya, antara lain:

Kategori data

Data pribadi yang ditransfer menyangkut kategori data berikut:

Kategori data pribadi subjek data Eksportir Data khususnya,

' Nama lengkap

˜' Alamat pos

˜' Rincian kontak (e-mail, telepon, alamat IP, dll.)

˜' Rincian kegiatan pemasaran mengenai pelanggan telepon

˜' Lainnya, termasuk jenis tempat tinggal, pendapatan, dan rata-rata usia menurut kota yang dibuat secara anonim

Kategori data khusus (jika ada)

Data pribadi yang ditransfer menyangkut kategori data khusus berikut:

˜' Transfer kategori data khusus tidak diperkirakan

Ras atau asal etnis

Keyakinan agama atau filosofis

˜ Keanggotaan serikat pekerja

Pandangan politik

Informasi genetik

Informasi biometrik

˜ Informasi tentang orientasi seksual atau kehidupan seksual

Data Kesehatan

Kegiatan pengolahan

Data pribadi yang ditransfer akan tunduk pada aktivitas pemrosesan dasar berikut:

- ¢ Tujuan pengolahan

Pemrosesan yang dilakukan atas nama Pengekspor Data didasarkan pada subjek berikut, khususnya:

˜' Mengambil alih produk atau layanan yang ditawarkan oleh Eksportir Data

' Penawaran produk atau layanan yang dapat diminta oleh orang yang dipanggil

˜' Perintah diambil dari orang yang dipanggil dan diproses lebih lanjut dari pesanan tersebut

˜' Studi kuesioner dan analisis

' Pemasaran jarak jauh

Lainnya, antara lain:

- ¢ Sifat dan tujuan pengolahan

Pengimpor Data memproses data pribadi subjek data atas nama Pengekspor Data, untuk menyediakan layanan berikut, dan yang paling penting:

˜' Penjualan dan Pemasaran

˜' Lainnya, termasuk pemutakhiran database balai kota dan partai politik

- ¢ Penyediaan layanan dan pekerjaan penyedia layanan

IQUALIF terutama menggabungkan, memusatkan, dan menyediakan layanan kepada Eksportir Data. Layanan yang disediakan oleh penyedia layanan yang disebutkan dapat terstruktur (antara lain sesuai kebutuhan) di sekitar layanan tambahan berikut: (i) penyediaan aplikasi, alat, sistem, dan infrastruktur TI dalam kaitannya dengan pusat pemrosesan data yang digunakan, untuk menyediakan dan mendukung layanan, termasuk pemrosesan data pribadi subjek data seperti yang dijelaskan di atas, melalui aplikasi, alat, dan sistem tersebut, (ii) penyediaan dukungan TI, pemeliharaan, dan layanan lain yang terkait dengan aplikasi, alat, sistem tersebut dan infrastruktur TI, termasuk akses potensial ke data pribadi yang disimpan dalam aplikasi, alat, dan sistem tersebut, dan (iii) penyediaan layanan perlindungan data, pemantauan perlindungan, dan layanan respons insiden, termasuk potensi akses ke data pribadi saat memberikan layanan perlindungan tersebut. IQUALIF dapat melibatkan pemroses Data sebagaimana diatur di bawah ini untuk menyediakan layanan, termasuk layanan tambahan.

- ¢ Penyedia layanan pihak ketiga eksternal sebagai sub-entitas yang ditugaskan untuk pemrosesan data

IQUALIF melibatkan penyedia layanan eksternal dan pihak ketiga, yang bukan merupakan anak perusahaan dari IQUALIF, untuk mendukung penyediaan layanan kepada Eksportir Data. Pengekspor Data menyetujui penyedia layanan pihak ketiga eksternal tersebut sebagai sub-entitas yang ditugaskan untuk pemrosesan data.

Jika sub-entitas yang terlibat dalam pemrosesan data berada di luar UE/EEA, di negara yang dianggap tidak memiliki tingkat perlindungan data yang memadai berdasarkan keputusan Komisi Eropa, Pengimpor Data akan mengambil langkah-langkah untuk mendapatkan tingkat perlindungan data yang memadai. perlindungan data sesuai dengan GDPR dan pasal 3.4 (iv) Bagian 1.

Lampiran 2, Bagian 2

Langkah-langkah perlindungan teknis dan organisasi

Pengimpor Data harus mengambil langkah-langkah perlindungan teknis dan organisasi berikut yang dikonfirmasi oleh Pengekspor Data, untuk menjamin tingkat keamanan yang sesuai untuk hak dan kebebasan individu, tergantung pada risikonya. Dalam menilai tingkat perlindungan yang bersangkutan, Pengekspor Data telah mempertimbangkan, khususnya, risiko yang terlibat dalam pemrosesan, termasuk penghancuran yang tidak disengaja atau melanggar hukum, perubahan, pengungkapan yang tidak sah, atau akses ke data pribadi yang dikirimkan, disimpan, atau diproses dengan cara lain. Dengan klarifikasi: Tindakan perlindungan teknis dan organisasi ini tidak berlaku untuk aplikasi, alat, sistem, dan/atau infrastruktur TI yang disediakan oleh Pengekspor Data.

1 Langkah-langkah perlindungan teknis dan organisasi umum

1.1 Informasi umum dan strategi perlindungan data

Langkah-langkah berikut harus diambil untuk mengikuti strategi perlindungan data dan informasi umum:

a) mengambil langkah-langkah untuk mengevaluasi yang diambil mengenai perlindungan teknis dan organisasi;

b) memberikan pelatihan untuk meningkatkan kesadaran di antara karyawan;

c) memiliki deskripsi sistem yang bersangkutan dan memberikan akses kepada karyawan;

d) menetapkan proses dokumentasi formal setiap kali sistem diimplementasikan atau dimodifikasi;

e) mendokumentasikan struktur organisasi, proses, tanggung jawab, dan evaluasi masing-masing;

1.2 Organisasi perlindungan informasi

Langkah-langkah berikut harus diambil untuk mengkoordinasikan kegiatan perlindungan data dan informasi:

a) tanggung jawab yang ditetapkan untuk perlindungan informasi dan data (misalnya melalui kebijakan manajemen perlindungan data);

b) keahlian yang diperlukan untuk melindungi informasi dan data yang tersisa;

c) semua karyawan berkomitmen untuk memastikan bahwa data pribadi dijaga kerahasiaannya, dan telah diberitahu tentang potensi konsekuensi pelanggaran komitmen ini.

1.3 Kontrol akses ke area pemrosesan

Langkah-langkah berikut harus diambil untuk mencegah orang yang tidak berwenang mendapatkan akses ke sistem pemrosesan data (khususnya perangkat lunak dan perangkat keras) ketika data pribadi diproses, disimpan, atau dikirim:

a) membangun daerah yang aman;

b) melindungi dan membatasi akses ke sistem pemrosesan data;

c) menetapkan otorisasi akses untuk karyawan dan pihak ketiga, termasuk dokumen masing-masing;

d) setiap akses ke pusat pemrosesan data tempat data pribadi disimpan harus dicatat.

1.4 Kontrol akses ke sistem pemrosesan data

Langkah-langkah berikut harus diambil untuk mencegah akses tidak sah ke sistem pemrosesan data:

a) kebijakan dan prosedur otentikasi pengguna;

b) penggunaan kata sandi pada semua sistem komputer;

c) akses jarak jauh ke jaringan memerlukan otentikasi multi-faktor dan diberikan kepada orang yang bersangkutan sesuai dengan tanggung jawab mereka dan atas otorisasi;

d) akses ke fungsi tertentu didasarkan pada fungsi pekerjaan dan/atau atribut yang ditetapkan secara individual ke akun pengguna;

e) hak akses yang terkait dengan data pribadi ditinjau secara berkala;

f) catatan perubahan hak akses terus diperbarui.

1.5 Mengontrol akses ke area tertentu dari penggunaan sistem pemrosesan data

Langkah-langkah berikut harus diambil untuk memastikan bahwa orang yang berwenang dengan hak untuk menggunakan sistem pemrosesan data hanya dapat mengakses data dalam tanggung jawab dan otorisasi akses masing-masing dan bahwa data pribadi tidak dapat dibaca, disalin, diubah, atau dihapus tanpa izin:

1. a) kebijakan, instruksi, dan pelatihan karyawan, mengenai kewajiban masing-masing karyawan tentang kerahasiaan, hak akses ke data pribadi, dan ruang lingkup pemrosesan data pribadi;

b) tindakan disipliner terhadap orang yang mengakses data pribadi tanpa izin;

c) akses ke data pribadi hanya akan diberikan kepada orang yang berwenang, berdasarkan kebutuhan untuk mengetahui;

d) memelihara daftar administrator sistem dan mengambil tindakan yang tepat untuk memantau administrator sistem;

e) tidak menyalin atau mereproduksi data pribadi pada sistem penyimpanan apa pun untuk memungkinkan orang yang tidak berwenang menghapus informasi pembuatnya;

f) penghapusan atau penghancuran data yang terkontrol dan terdokumentasi;

g) untuk menyimpan dengan aman semua data pribadi yang harus disimpan karena alasan hukum atau peraturan (misalnya kewajiban untuk menyimpan data), dan hanya selama diwajibkan oleh hukum.

1.6 Kontrol transmisi

Langkah-langkah berikut harus diambil untuk mencegah data pribadi dibaca, disalin, diubah, atau dihapus oleh pihak ketiga yang tidak berwenang selama transmisi atau pengangkutan perangkat penyimpanan data (tergantung pada pemrosesan data pribadi yang dilakukan):

1. a) penggunaan firewall;

b) menghindari penyimpanan data pribadi pada perangkat penyimpanan seluler untuk tujuan transportasi, atau mengenkripsi perangkat;
c) digunakan pada laptop dan perangkat seluler lainnya hanya setelah perlindungan enkripsi diaktifkan;

d) pencatatan transmisi data pribadi.

1.7 Kontrol entri data

Langkah-langkah berikut harus diambil untuk memastikan bahwa dimungkinkan untuk memverifikasi dan menentukan apakah data pribadi telah dimasukkan atau dihapus dari sistem pemrosesan data dan oleh siapa:

1. a) kebijakan untuk mengizinkan pembacaan, pengubahan, dan penghapusan data yang disimpan;

b) tindakan perlindungan terkait dengan pembacaan, pengubahan, dan penghapusan data yang disimpan.

1.8 Kontrol kerja

Dalam hal pemrosesan data pribadi yang didelegasikan, langkah-langkah berikut harus diambil untuk memastikan bahwa data tersebut diproses sesuai dengan instruksi Supervisor:

1. a) entitas atau sub-entitas yang ditugaskan untuk pemrosesan data, dipilih dengan hati-hati (penyedia layanan memproses data pribadi atas nama pengontrol);

b) instruksi mengenai ruang lingkup pemrosesan data pribadi apa pun kepada karyawan, entitas, atau sub-entitas yang ditugaskan untuk pemrosesan data;

c) hak audit yang disepakati dengan entitas atau sub-entitas yang ditugaskan untuk pemrosesan data;

d) perjanjian dengan entitas atau sub-entitas yang ditugaskan untuk memproses data.

1.9 Pemisahan dari pemrosesan untuk tujuan lain

Langkah-langkah berikut harus diambil untuk memastikan bahwa data yang dikumpulkan untuk tujuan lain dapat diproses secara terpisah:

1. a) akses terpisah ke data pribadi sesuai dengan hak pengguna yang ada;

b) antarmuka, pemrosesan batch, dan pelaporan untuk tujuan dan fungsi lain, sehingga data yang dikumpulkan untuk tujuan lain dapat diproses secara terpisah.

1.10 Pseudonimisasi

Langkah-langkah berikut harus diambil terkait dengan nama samaran data pribadi:

1. a) Jika Pengekspor Data memerintahkan operasi pemrosesan tertentu atau jika ini dianggap tepat oleh Pengimpor Data sesuai dengan undang-undang perlindungan data yang berlaku mengenai aktivitas pemrosesan tertentu, pemrosesan data pribadi akan dilakukan sedemikian rupa sehingga data tidak dapat lagi dikaitkan dengan orang tertentu tanpa menggunakan informasi tambahan. Informasi tambahan ini akan disimpan secara terpisah;

b) penggunaan teknik pseudonimisasi, termasuk pengacakan daftar alokasi; penciptaan nilai dalam bentuk benda tajam.

1.11 Enkripsi

Langkah-langkah berikut harus diambil untuk mengenkripsi data pribadi dalam aplikasi dan transmisi yang mendukung enkripsi:

1. a) penggunaan teknik enkripsi;

b) pembentukan manajemen enkripsi untuk mendukung teknik enkripsi yang diizinkan untuk digunakan;

c) mendukung penggunaan kriptografi melalui prosedur dan protokol untuk menghasilkan, memodifikasi, mencabut, menghancurkan, mendistribusikan, mengesahkan, menyimpan, menangkap, menggunakan, dan mengarsipkan kunci kriptografi untuk melindungi dari modifikasi dan pengungkapan yang tidak sah.

1.12 Kelengkapan sistem dan layanan pemrosesan data

Langkah-langkah berikut harus diambil untuk memastikan kelengkapan sistem dan layanan pemrosesan data:

a) perlindungan sistem pemrosesan data terhadap manipulasi atau perusakan dengan cara yang sesuai (misalnya perangkat lunak anti-virus, perangkat lunak dan perangkat lunak pencegahan kehilangan data terhadap malware, patch perangkat lunak, firewall, dan perlindungan desktop yang dikelola);

b) melarang pemasangan layanan atau perangkat lunak apa pun yang berbahaya bagi sistem pemrosesan data, layanan, atau manipulasi data pribadi;

c) penggunaan sistem deteksi dan pencegahan intrusi jaringan dalam struktur jaringan itu sendiri.

1.13 Ketersediaan sistem dan layanan pemrosesan data dan kemungkinan memulihkan akses ke dan penggunaan data pribadi jika terjadi insiden material atau teknis

Langkah-langkah berikut harus diambil untuk memastikan ketersediaan sistem pemrosesan data, serta dapat dengan cepat memulihkan ketersediaan dan akses ke data pribadi, jika terjadi insiden material atau teknis (khususnya dengan memastikan bahwa data pribadi dilindungi dari kehancuran atau kehilangan yang tidak disengaja):

a) memiliki sarana kontrol untuk menyimpan salinan cadangan dan memulihkan data yang hilang atau terhapus;

b) redundansi infrastruktur dan pengujian kinerja;

c) perlindungan fisik sumber daya komputer;

d) penggunaan alat untuk memantau status dan ketersediaan jaringan internal;

e) pelaporan insiden dan kebijakan tanggapan yang mengatur prosedur manajemen insiden, dan pengulangan kepatuhan terhadap kebijakan ini sebagai bagian dari pelatihan reguler;

f) pencadangan (terkadang di luar lokasi) untuk memulihkan sistem agar dapat menjalankan fungsinya kembali;

g) rencana kelangsungan usaha/pemulihan bencana

1.14 Ketahanan sistem dan layanan pemrosesan data

Langkah-langkah berikut harus diambil untuk memastikan ketahanan sistem dan layanan pemrosesan data:

a) sistem dan dikonfigurasi secara harmonis, menggunakan parameter keamanan yang disetujui;

b) redundansi jaringan;

c) perlindungan penahanan sistem kritis.

1.15 Prosedur untuk menguji, mengevaluasi, dan menilai keefektifan langkah-langkah teknis dan organisasi secara berkala untuk memastikan keamanan pemrosesan data

Prosedur untuk secara teratur menguji, mengevaluasi, dan menilai efektivitas langkah-langkah teknis dan organisasi untuk melindungi pemrosesan data.

a) mengambil langkah-langkah yang diperlukan untuk menilai risiko dan strategi mitigasi;

b) pertemuan analisis layanan dari departemen TI untuk mengatasi masalah saat ini;

c) rencana kelangsungan bisnis/pemulihan bencana diperbarui secara berkala.

Bagian 3

Tanda tangan para pihak dan daftar Importir Data

Saat Anda mengisi formulir pemesanan online dan memvalidasinya dengan mencentang kotak yang menerima syarat dan ketentuan umum penggunaan, kontrak yang mengatur hubungan antara Pelanggan dan IQUALIF dibuat.

Mengirim pembayaran ke IQUALIF akan mempertimbangkan kontrak yang disepakati dan ditetapkan.

Perhatikan: Teks ini telah diterjemahkan dari bahasa Prancis. Versi Prancis asli, yang sah dan membatasi secara hukum, tersedia di sini .