Lampiran Pemrosesan Data

Tanggal efektif: 23 Agustus 2024

Catatan: Ketentuan, Kebijakan, atau Perjanjian ini tersedia dalam Bahasa Indonesia dan Bahasa Inggris. Jika terdapat perbedaan terjemahan antara keduanya, versi Bahasa Indonesia akan menjadi acuan utama.

---

Lampiran Pemrosesan Data ("DPA") ini merupakan bagian integral dari Perjanjian Penggunaan Organisasi dan Perjanjian Penggunaan Pribadi (secara kolektif disebut "Perjanjian") antara Pelanggan dan/atau Pengguna dengan PT Dilan Teknologi Indonesia ("DiLan").

A. Latar Belakang dan Ketentuan Umum

1. Latar Belakang. Lampiran Pemrosesan Data ("DPA") ini mengatur pemrosesan Data Pribadi oleh PT Dilan Teknologi Indonesia ("DiLan") sesuai dengan Perjanjian antara DiLan dan Pelanggan ("Pelanggan") dan/atau Pengguna ("Pengguna"), sesuai dengan peraturan perundang-undangan yang berlaku di Indonesia, termasuk namun tidak terbatas pada Undang-Undang No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP), dan regulasi terkait lainnya.
2. Durasi dan Kelangsungan. DPA ini akan berlaku sejak tanggal efektif Perjanjian dan akan tetap berlaku hingga berakhirnya, atau dihentikannya Perjanjian, atau pengembalian, atau penghapusan Data Pribadi sesuai dengan ketentuan DPA ini.

B. Definisi

1. "Pengendali" berarti pihak yang menentukan tujuan dan cara pemrosesan Data Pribadi.
2. "Pemroses" berarti pihak yang memproses Data Pribadi atas nama Pengendali.
3. "Data Pribadi" berarti setiap informasi tentang seseorang yang teridentifikasi atau dapat diidentifikasi.
4. "Insiden Keamanan" berarti peristiwa yang melanggar keamanan informasi yang mengakibatkan akses, pengungkapan, pengubahan, atau penghancuran data yang tidak sah.

C. Kewajiban dan Tanggung Jawab

1. Instruksi Pengendali. DiLan hanya akan memproses Data Pribadi berdasarkan instruksi tertulis dari Pengendali, kecuali diwajibkan lain oleh hukum yang berlaku.
2. Kerahasiaan. Semua personel yang diberi wewenang oleh DiLan untuk memproses Data Pribadi akan tunduk pada kewajiban kerahasiaan.
3. Langkah-Langkah Keamanan. DiLan akan menerapkan langkah-langkah teknis dan organisatoris yang sesuai, termasuk enkripsi dan langkah-langkah lainnya, untuk melindungi Data Pribadi dari Insiden Keamanan sesuai dengan UU PDP dan regulasi terkait lainnya.
4. Subprosesor. Pengendali menyetujui bahwa DiLan dapat melibatkan subprosesor untuk memproses Data Pribadi. DiLan akan memastikan bahwa subprosesor tunduk pada kewajiban perlindungan data yang setara dengan yang ditetapkan dalam DPA ini.

D. Hak dan Tanggung Jawab Pengendali

1. Hak Akses. Pengendali berhak untuk mengakses dan memeriksa kepatuhan DiLan terhadap ketentuan DPA ini.
2. Permintaan Subjek Data. Jika DiLan menerima permintaan dari subjek data, DiLan akan segera memberi tahu Pengendali dan tidak akan menanggapi permintaan tersebut kecuali diizinkan oleh Pengendali.

E. Transfer Data

Data Pribadi hanya boleh ditransfer ke negara yang memiliki tingkat perlindungan Data Pribadi yang setara dengan Indonesia, atau berdasarkan persetujuan tertulis dari subjek data, kecuali diwajibkan lain oleh ketentuan perundang-undangan.

F. Insiden Keamanan

1. Pemberitahuan. DiLan akan memberi tahu Pengendali tanpa penundaan yang tidak semestinya setelah mengetahui adanya Insiden Keamanan.
2. Tindak Lanjut. DiLan akan bekerja sama dengan Pengendali untuk menyelidiki, mengatasi, dan mengurangi dampak Insiden Keamanan serta melakukan perbaikan yang diperlukan.

G. Penghapusan Data

Setelah berakhirnya atau dihentikannya Perjanjian, DiLan akan menghapus atau mengembalikan semua Data Pribadi sesuai dengan instruksi Pengendali dan ketentuan UU PDP.

H. Ketentuan Lain

1. Hukum yang Berlaku. DPA ini diatur oleh dan ditafsirkan sesuai dengan hukum Republik Indonesia.
2. Perubahan. DiLan berhak untuk mengubah DPA ini sewaktu-waktu. Setiap perubahan material pada DPA ini akan diberitahukan kepada Pengendali paling lambat 30 (tiga puluh) hari sebelum perubahan tersebut berlaku. Pengendali berhak untuk mengakhiri Perjanjian jika tidak setuju dengan perubahan tersebut dengan memberikan pemberitahuan tertulis kepada DiLan dalam jangka waktu 30 (tiga puluh) hari sejak pemberitahuan perubahan diterima.
3. Penyelesaian Sengketa. Setiap sengketa yang timbul dari atau sehubungan dengan DPA ini akan diselesaikan secara musyawarah untuk mufakat. Jika tidak dapat diselesaikan secara musyawarah, sengketa akan diselesaikan melalui arbitrase sesuai dengan ketentuan yang berlaku di Indonesia.

Lampiran I

Deskripsi Pemrosesan Data

1. Tujuan Pemrosesan. Pemrosesan ini dilakukan untuk menyediakan Layanan yang diuraikan dalam Perjanjian.
2. Kategori Subjek Data. Data Pribadi yang diproses mencakup karyawan, pelanggan, pemasok, konsultan, dan kontraktor.
3. Kategori Data Pribadi. Data Pribadi yang diproses dapat mencakup nama, alamat, nomor telepon, alamat email, data identifikasi, data finansial, dan data lainnya yang relevan sesuai dengan Layanan yang disediakan.
4. Periode Retensi. Data Pribadi akan disimpan selama diperlukan untuk memenuhi tujuan pemrosesan dan akan dihapus sesuai dengan kebijakan retensi data atau instruksi Pengendali setelah berakhirnya Perjanjian.
5. Jenis Data Pribadi yang Diproses oleh DiLan:
   • a. Informasi pribadi dasar (seperti nama, alamat, nomor telepon, alamat email).
   • b. Data finansial (seperti informasi pembayaran, detail akun bank).
   • c. Data lain yang diizinkan oleh Pengendali sesuai dengan Layanan yang diberikan.
6. Tujuan Pemrosesan Data:
   • a. Untuk menyediakan Layanan kepada Pelanggan dan Pengguna sesuai dengan Perjanjian.
   • b. Untuk memenuhi kewajiban hukum dan regulator.
   • c. Untuk tujuan analisis dan pengembangan Layanan.

Lampiran II

Langkah-Langkah Keamanan Teknis dan Organisatoris

1. Implementasi. DiLan mengimplementasikan langkah-langkah keamanan berikut:
   • a. Enkripsi Data. Data dienkripsi dalam transfer dan saat penyimpanan menggunakan teknologi enkripsi yang sesuai (misalnya, TLS untuk transmisi data dan AES-256 untuk penyimpanan data).
   • b. Kontrol Akses. Akses ke Data Pribadi terbatas pada personel yang berwenang dan memerlukan otentikasi multi-faktor.
2. Pencadangan Data. Data Pribadi dicadangkan secara berkala untuk memastikan pemulihan data jika terjadi insiden.
3. Pseudonimisasi dan Anonimisasi. Implementasi teknik pseudonimisasi dan anonimisasi untuk melindungi identitas Data Pribadi, jika diperlukan.
4. Log Insiden Keamanan. Notifikasi insiden dan tindakan mitigasi dilaporkan dan dicatat secara berkala dan sistematis.
5. Kebijakan Penyimpanan Data. Penerapan kebijakan retensi data yang ketat untuk memastikan Data Pribadi hanya disimpan selama diperlukan untuk tujuan pemrosesan.
6. Proses untuk mengatasi Insiden Keamanan:
   • a. Penilaian Risiko. Penilaian cepat untuk menentukan dampak insiden.
   • b. Komunikasi dan Pemberitahuan. Memberitahukan Pengendali dan pihak terkait sesuai dengan peraturan yang berlaku.
   • c. Tindakan Pemulihan. Melakukan tindakan pemulihan yang diperlukan untuk memperbaiki dan mencegah insiden serupa di masa depan.
7. Dokumentasi. Penyimpanan catatan semua aktivitas pemrosesan untuk audit internal dan eksternal.
8. Penghapusan Data. Pelanggan dapat mengajukan permintaan penghapusan data dengan mengisi formulir yang disediakan melalui Layanan dukungan pelanggan DiLan. Layanan dukungan akan memvalidasi permintaan, mengumpulkan informasi yang diperlukan, dan memastikan bahwa data dihapus sesuai dengan prosedur penghapusan aman yang telah diimplementasikan.

Hubungi Kami

Kontak untuk Pertanyaan

Jika Anda memiliki pertanyaan atau kekhawatiran mengenai Syarat, Kebijakan, atau Perjanjian kami, silakan hubungi kami melalui Formulir Syarat & Privasi.