Klausul Kontrak Standar

1. Tujuan dan ruang lingkup

1. Tujuan dari klausul kontrak standar ini adalah untuk memastikan kepatuhan terhadap persyaratan Peraturan (UE) 2016/679 Parlemen Eropa dan Dewan 27 April 2016 tentang perlindungan orang perseorangan sehubungan dengan pemrosesan data pribadi dan pergerakan bebas dari data tersebut (Peraturan Perlindungan Data Umum) untuk transfer data pribadi ke negara ketiga.
2. Para pihak
1. perorangan atau badan hukum, otoritas publik, agensi atau badan lain (selanjutnya disebut “entitas”) yang mentransfer data pribadi, sebagaimana tercantum dalam Lampiran I.A. (selanjutnya masing-masing disebut “pengekspor data”), dan
2. entitas di negara ketiga yang menerima data pribadi dari pengekspor data, secara langsung atau tidak langsung melalui entitas lain yang juga Pihak dalam Klausul ini, sebagaimana tercantum dalam Lampiran I.A. (selanjutnya disebut tiap-tiap “pengimpor data”)
3. telah menyetujui klausul kontrak standar ini (selanjutnya disebut: “Klausul”).
4. Klausul ini berlaku sehubungan dengan transfer data pribadi sebagaimana ditentukan dalam Lampiran I.B.
5. Lampiran Klausul yang memuat Lampiran yang dirujuk di dalamnya merupakan bagian yang tidak terpisahkan dari Klausul ini.

2. Efek dan invariabilitas Klausul

1. Klausul ini menetapkan perlindungan yang sesuai, termasuk hak subjek data yang dapat ditegakkan dan pemulihan hukum yang efektif, sesuai Pasal 46(1) dan Pasal 46(2)(c) Regulasi (UE) 2016/679 dan, sehubungan dengan data transfer dari pengontrol ke pemroses dan/atau pemroses ke pemroses, klausul kontrak standar sesuai Pasal 28(7) Regulasi (EU) 2016/679, asalkan tidak diubah, kecuali untuk memilih Modul yang sesuai atau untuk menambah atau memperbarui informasi dalam Lampiran. Regulasi ini tidak menghalangi Para Pihak untuk memasukkan klausul kontraktual standar yang ditetapkan dalam Klausul ini dalam kontrak yang lebih luas dan/atau menambahkan klausul lain atau perlindungan tambahan, sepanjang tidak bertentangan dengan Klausul ini, secara langsung atau tidak langsung, atau merugikan hak-hak dasar atau kebebasan subjek data.
2. Klausul ini tanpa mengurangi kewajiban ketundukan pengekspor data berdasarkan Peraturan (UE) 2016/679.

3. Penerima manfaat pihak ketiga

1. Subjek data dapat meminta dan memberlakukan Klausul ini, sebagai penerima pihak ketiga, terhadap pengekspor data dan/atau pengimpor data, dengan pengecualian berikut:
1. Klausul 1, Klausul 2, Klausul 3, Klausul 6, Klausul 7;
2. Klausul 8 - Klausul 8.1(b), 8.9(a), (c), (d) dan (e);
3. Klausul 9 - Klausul 9(a), (c), (d) dan (e);
4. Klausul 12 - Klausul 12(a), (d) dan (f);
5. Klausul 13;
6. Klausul 15.1(c), (d) dan (e);
7. Klausul 16(e);
8. Klausul 18 - Klausul 18(a) dan (b);
2. Ayat (a) tidak mengurangi hak subjek data berdasarkan Regulasi (EU) 2016/679.

4. Interpretation

1. Bila Klausul ini menggunakan istilah yang didefinisikan dalam Peraturan (UE) 2016/679, istilah tersebut akan memiliki arti yang sama seperti dalam Peraturan itu.
2. Klausul ini harus dibaca dan ditafsirkan berdasarkan ketentuan Regulasi (UE) 2016/679.
3. Klausul ini tidak boleh ditafsirkan dengan cara yang bertentangan dengan hak dan kewajiban yang diatur dalam Peraturan (UE) 2016/679.

5. Hierarki

Jika terjadi kontradiksi antara Klausul ini dan ketentuan dari perjanjian terkait antara Para Pihak, yang ada pada saat Klausul ini disetujui atau dibuat setelahnya, Klausul ini yang akan berlaku.

6. Deskripsi transfer

Perincian transfer, dan khususnya kategori data pribadi yang ditransfer dan tujuan transfernya, ditentukan dalam Lampiran I.B.

7. Klausul dok

1. Entitas yang bukan merupakan Pihak dari Klausul ini dapat, dengan persetujuan Para Pihak, mengakses Klausul ini setiap saat, baik sebagai pengekspor data atau sebagai pengimpor data, dengan melengkapi Lampiran dan menandatangani Lampiran I.A.
2. Setelah menyelesaikan Lampiran dan menandatangani Lampiran I.A, entitas pengakses akan menjadi Pihak dalam Klausul ini dan memiliki hak dan kewajiban sebagai pengekspor data atau pengimpor data sesuai dengan penunjukannya dalam Lampiran I.A.
3. Entitas yang melakukan aksesi tidak akan memiliki hak atau kewajiban yang timbul berdasarkan Klausul ini sejak periode sebelum menjadi Pihak.

BAGIAN II – KEWAJIBAN PARA PIHAK

8. Pengamanan perlindungan data

Pengekspor data menjamin bahwa ia telah melakukan upaya yang wajar untuk menentukan bahwa pengimpor data mampu, melalui penerapan langkah-langkah teknis dan organisasional yang sesuai, untuk memenuhi kewajibannya berdasarkan Klausul ini.

8.1 Instruksi

1. Pengimpor data harus memproses data pribadi hanya berdasarkan instruksi terdokumentasi dari pengekspor data. Pengekspor data dapat memberikan instruksi tersebut selama durasi kontrak.
2. Pengimpor data harus segera memberi tahu pengekspor data jika tidak dapat mengikuti instruksi tersebut.

8.2 Batasan tujuan

Pengimpor data harus memproses data pribadi hanya untuk tujuan spesifik dari transfer tersebut, sebagaimana diatur dalam Lampiran I.B, kecuali atas instruksi lebih lanjut dari pengekspor data.

8.3 Transparansi

Berdasarkan permintaan, pengekspor data harus membuat salinan Klausul ini, termasuk Lampiran yang dilengkapi oleh Para Pihak, yang tersedia untuk subjek data secara gratis. Sejauh yang diperlukan untuk melindungi rahasia bisnis atau informasi rahasia lainnya, termasuk langkah-langkah yang dijelaskan dalam Lampiran II dan data pribadi, pengekspor data dapat menyunting sebagian teks Lampiran Klausul ini sebelum membagikan salinannya, tetapi harus memberikan ringkasan ketika subjek data tidak akan dapat memahami isinya atau menggunakan haknya. Berdasarkan permintaan, Para Pihak harus memberikan subjek data dengan alasan untuk penyuntingan, sejauh memungkinkan tanpa mengungkapkan informasi yang disunting. Klausul ini tidak mengurangi kewajiban pengekspor data berdasarkan Pasal 13 dan 14 Peraturan (UE) 2016/679.

8.4 Akurasi

Jika pengimpor data mengetahui bahwa data pribadi yang diterimanya tidak akurat, atau sudah usang, pengimpor data harus memberi tahu pengekspor data tanpa penundaan yang tidak semestinya. Dalam hal ini, pengimpor data harus bekerja sama dengan pengekspor data untuk menghapus atau memperbaiki data.

8.5 Durasi pemrosesan dan penghapusan atau pengembalian data

Pemrosesan oleh pengimpor data hanya akan berlangsung selama durasi yang ditentukan dalam Lampiran I.B. Setelah berakhirnya penyediaan layanan pemrosesan, pengimpor data harus, atas pilihan pengekspor data, menghapus semua data pribadi yang diproses atas nama pengekspor data dan menyatakan kepada pengekspor data bahwa ia telah melakukannya, atau kembali ke pengekspor data semua data pribadi yang diproses atas namanya dan menghapus salinan yang ada. Sampai data dihapus atau dikembalikan, pengimpor data harus terus memastikan kepatuhan terhadap Klausul ini. Jika undang-undang setempat yang berlaku untuk pengimpor data yang melarang pengembalian atau penghapusan data pribadi, pengimpor data menjamin bahwa ia akan terus memastikan kepatuhan terhadap Klausul ini dan hanya akan memprosesnya sejauh dan selama diperlukan berdasarkan itu hukum setempat. Ketentuan ini tanpa mengurangi Klausul 14, khususnya persyaratan bagi pengimpor data berdasarkan Klausul 14(e) untuk memberi tahu pengekspor data selama masa kontrak jika ia memiliki alasan untuk meyakini bahwa merupakan atau telah menjadi subjek hukum atau praktik tidak sesuai dengan persyaratan dalam Klausul 14(a).

8.6 Keamanan pemrosesan

1. Pengimpor data dan, selama transmisi, juga pengekspor data harus menerapkan langkah-langkah teknis dan organisasional yang sesuai untuk memastikan keamanan data, termasuk perlindungan terhadap pelanggaran keamanan yang menyebabkan hancurnya, hilangnya, perubahan, pengungkapan yang tidak disengaja atau melanggar hukum atau akses ke data tersebut (selanjutnya disebut “pelanggaran data pribadi”). Dalam menilai tingkat keamanan yang sesuai, Para Pihak harus mempertimbangkan kemajuan, biaya implementasi, sifat, ruang lingkup, konteks dan tujuan pemrosesan dan risiko yang terlibat dalam pemrosesan untuk subjek data. Para Pihak secara khusus harus mempertimbangkan untuk menggunakan enkripsi atau pseudonimisasi, termasuk selama transmisi, di mana tujuan pemrosesan dapat dipenuhi dengan cara tersebut. Dalam hal nama samaran, informasi tambahan untuk menghubungkan data pribadi dengan subjek data tertentu, jika memungkinkan, tetap berada di bawah kontrol eksklusif pengekspor data. Dalam memenuhi kewajibannya berdasarkan ayat ini, pengimpor data setidaknya harus menerapkan langkah-langkah teknis dan organisasional yang ditentukan dalam Lampiran II. Pengimpor data harus melakukan pemeriksaan rutin untuk memastikan bahwa langkah-langkah ini terus memberikan tingkat keamanan yang sesuai.

2. Pengimpor data harus memberikan akses ke data pribadi kepada anggota personelnya hanya sejauh yang benar-benar diperlukan untuk penerapan, pengelolaan, dan pemantauan kontrak. Ini harus memastikan bahwa orang yang berwenang untuk memproses data pribadi telah berkomitmen terhadap kerahasiaan atau berada di bawah kewajiban kerahasiaan yang sesuai dengan undang-undang.

   Jika terjadi pelanggaran data pribadi mengenai data pribadi yang diproses oleh pengimpor data berdasarkan Klausul ini, pengimpor data harus mengambil tindakan yang tepat untuk mengatasi pelanggaran tersebut, termasuk tindakan untuk mengurangi dampak buruknya. Pengimpor data juga harus memberi tahu pengekspor data tanpa penundaan yang tidak semestinya setelah mengetahui pelanggaran tersebut. Pemberitahuan tersebut harus berisi perincian titik kontak di mana informasi lebih lanjut dapat diperoleh, deskripsi sifat pelanggaran (termasuk, jika memungkinkan, kategori dan perkiraan jumlah subjek data dan catatan data pribadi yang bersangkutan), kemungkinan konsekuensinya, dan langkah-langkah yang diambil atau diusulkan untuk mengatasi pelanggaran termasuk, jika perlu, langkah-langkah untuk mengurangi kemungkinan dampak buruknya. Jika, dan sejauh, tidak mungkin untuk memberikan semua informasi pada saat yang sama, pemberitahuan awal harus berisi informasi yang tersedia pada saat itu dan informasi lebih lanjut harus, jika tersedia, selanjutnya diberikan tanpa penundaan yang tidak semestinya.

3. Pengimpor data harus bekerja sama dan membantu pengekspor data untuk memungkinkan pengekspor data mematuhi kewajibannya berdasarkan Peraturan (UE) 2016/679, khususnya untuk memberi tahu otoritas pengawas yang kompeten dan subjek data yang terpengaruh, dengan mempertimbangkan sifat pemrosesan dan informasi yang tersedia bagi pengimpor data.

8.7 Data sensitif

Jika transfer melibatkan data pribadi yang mengungkapkan asal ras atau etnis, pendapat politik, keyakinan agama atau filosofi, atau keanggotaan serikat pekerja, data genetik, atau data biometrik untuk tujuan mengidentifikasi secara unik seseorang, data mengenai kesehatan atau kehidupan seks seseorang atau orientasi seksual, atau data yang berkaitan dengan hukuman dan pelanggaran pidana (selanjutnya disebut “data sensitif”), pengimpor data harus menerapkan pembatasan khusus dan/atau perlindungan tambahan sebagaimana dijelaskan dalam Lampiran I.B.

8.8 Transfer selanjutnya

Pengimpor data hanya boleh memproses data pribadi kepada pihak ketiga berdasarkan instruksi terdokumentasi dari pengekspor data. Selain itu, data hanya dapat diungkapkan kepada pihak ketiga yang berlokasi di luar Uni Eropa (di negara yang sama dengan pengimpor data atau di negara ketiga lainnya, selanjutnya disebut “transfer selanjutnya”) jika pihak ketiga tersebut terikat atau setuju untuk terikat oleh Klausul ini, di bawah Modul yang sesuai, atau jika:

1. transfer lanjutan adalah ke negara yang mendapat manfaat dari keputusan kecukupan sesuai Pasal 45 Regulasi (EU) 2016/679 yang mencakup transfer lanjutan;
2. pihak ketiga memastikan perlindungan yang tepat sesuai Pasal 46 atau 47 Peraturan (UE) 2016/679 sehubungan dengan pemrosesan yang dimaksud;
3. pengalihan selanjutnya diperlukan untuk penetapan, pelaksanaan atau pembelaan tuntutan hukum dalam konteks proses administrasi, peraturan atau peradilan tertentu; atau
4. transfer selanjutnya diperlukan untuk melindungi kepentingan vital subjek data atau orang lain.

Setiap transfer selanjutnya tunduk pada kepatuhan oleh pengimpor data dengan semua perlindungan lain berdasarkan Klausul ini, dalam batasan tujuan tertentu.

8.9 Dokumentasi dan kepatuhan

1. Pengimpor data harus dengan segera dan secara memadai menangani pertanyaan dari pengekspor data yang terkait dengan pemrosesan berdasarkan Klausul ini.
2. Para Pihak harus dapat menunjukkan kepatuhan terhadap Klausul ini. Secara khusus, pengimpor data harus menyimpan dokumentasi yang sesuai tentang aktivitas pemrosesan yang dilakukan atas nama pengekspor data.
3. Pengimpor data harus menyediakan kepada pengekspor data semua informasi yang diperlukan untuk menunjukkan kepatuhan terhadap kewajiban yang ditetapkan dalam Klausul ini dan atas permintaan pengekspor data, mengizinkan dan berkontribusi pada audit aktivitas pemrosesan yang tercakup dalam Klausul ini, dalam interval yang wajar atau jika ada indikasi ketidakpatuhan. Dalam memutuskan tinjauan atau audit, pengekspor data dapat mempertimbangkan sertifikasi relevan yang dimiliki oleh pengimpor data.
4. Pengekspor data dapat memilih untuk melakukan audit sendiri atau memberi amanat kepada auditor independen. Audit dapat mencakup inspeksi di tempat atau fasilitas fisik pengimpor data dan harus, jika sesuai, dilakukan dengan pemberitahuan yang wajar.
5. Para Pihak wajib menyediakan informasi sebagaimana dimaksud dalam ayat (b) dan (c), termasuk hasil audit, kepada otoritas pengawas yang kompeten berdasarkan permintaan.

9. Penggunaan sub-pemroses

1. Pengimpor data memiliki otorisasi umum pengekspor data untuk melibatkan sub-pemroses dari daftar yang telah disepakati. Pengimpor data harus secara khusus menginformasikan kepada pengekspor data secara tertulis tentang setiap perubahan yang dimaksudkan pada daftar tersebut melalui penambahan atau penggantian sub-pemroses setidaknya 24 jam sebelumnya, sehingga memberikan waktu yang cukup bagi pengekspor data untuk dapat mengajukan keberatan perubahan tersebut sebelum keterlibatan sub-pemroses. Pengimpor data harus memberikan informasi yang diperlukan kepada pengekspor data agar pengekspor data dapat menggunakan haknya untuk mengajukan keberatan.
2. Jika pengimpor data melibatkan sub-pemroses untuk melakukan aktivitas pemrosesan tertentu (atas nama pengekspor data), pengimpor data harus melakukannya melalui kontrak tertulis yang secara substansi mengatur kewajiban perlindungan data yang sama sebagaimana seperti yang mengikat pengimpor data berdasarkan Klausul ini, termasuk dalam hal hak penerima manfaat pihak ketiga untuk subjek data. Para Pihak setuju bahwa, dengan mematuhi Klausul ini, pengimpor data memenuhi kewajibannya berdasarkan Klausul 8.8. Pengimpor data harus memastikan bahwa sub-pemroses mematuhi kewajiban yang tunduk pada pengimpor data sesuai dengan Klausul ini.
3. Pengimpor data harus memberikan, atas permintaan pengekspor data, salinan perjanjian sub-pemroses tersebut dan setiap amandemen selanjutnya kepada pengekspor data. Sejauh diperlukan untuk melindungi rahasia bisnis atau informasi rahasia lainnya, termasuk data pribadi, pengimpor data dapat menyunting teks perjanjian sebelum membagikan salinannya.
4. Pengimpor data akan tetap bertanggung jawab penuh kepada pengekspor data atas kinerja kewajiban sub-pemroses berdasarkan kontraknya dengan pengimpor data. Pengimpor data harus memberi tahu pengekspor data tentang kegagalan sub-pemroses untuk memenuhi kewajibannya berdasarkan kontrak tersebut.
5. Pengimpor data harus menyetujui klausul penerima manfaat pihak ketiga dengan sub-pemroses di mana, jika pengimpor data secara faktual menghilang, tidak ada lagi dalam hukum, atau menjadi bangkrut, pengekspor data berhak menghentikan kontrak sub-pemroses dan untuk menginstruksikan sub-pemroses guna menghapus atau mengembalikan data pribadi.

10. Hak subjek data

1. Pengimpor data harus segera memberi tahu pengekspor data tentang setiap permintaan yang diterimanya dari subjek data. Ini tidak akan menanggapi permintaan itu sendiri kecuali telah diizinkan untuk melakukannya oleh pengekspor data.

   Pengimpor data harus membantu pengekspor data dalam memenuhi kewajibannya untuk menanggapi permintaan subjek data untuk melaksanakan haknya berdasarkan Peraturan (UE) 2016/679. Dalam kasus ini, para Pihak wajib menetapkan dalam Lampiran II langkah-langkah teknis dan organisasional yang sesuai, dengan mempertimbangkan sifat pemrosesan, di mana bantuan akan diberikan, serta ruang lingkup dan tingkat bantuan yang diperlukan.

2. Dalam memenuhi kewajibannya berdasarkan ayat (a) dan (b), pengimpor data harus mematuhi instruksi dari pengekspor data.

11. Perbaikan

1. Pengimpor data harus menginformasikan subjek data dalam format yang transparan dan mudah diakses, melalui pemberitahuan individu atau di situs webnya, tentang titik kontak yang berwenang untuk menangani keluhan. Ini akan segera menangani setiap keluhan yang diterimanya dari subjek data.
2. Dalam hal terjadi perselisihan antara subjek data dan salah satu Pihak sehubungan dengan kepatuhan terhadap Klausul ini, Pihak tersebut akan menggunakan upaya terbaiknya untuk menyelesaikan masalah secara damai secara tepat waktu. Para Pihak harus saling memberi informasi tentang perselisihan tersebut dan, jika perlu, bekerja sama dalam menyelesaikannya.
3. Jika subjek data meminta hak penerima manfaat pihak ketiga sesuai dengan Klausul 3, pengimpor data harus menerima keputusan subjek data untuk:
1. mengajukan pengaduan kepada otoritas pengawas di Negara Anggota tempat tinggal atau tempat kerjanya, atau otoritas pengawas yang kompeten sesuai dengan Klausul 13;
2. merujuk sengketa ke pengadilan yang berwenang dalam pengertian Klausul 18.
4. Para Pihak menerima bahwa subjek data dapat diwakili oleh badan, organisasi, atau asosiasi nirlaba berdasarkan ketentuan yang ditetapkan dalam Pasal 80(1) Regulasi (UE) 2016/679.
5. Pengimpor data harus mematuhi keputusan yang mengikat berdasarkan undang-undang UE atau Negara Anggota yang berlaku.
6. Pengimpor data setuju bahwa pilihan yang dibuat oleh subjek data tidak akan mengurangi hak substantif dan proseduralnya untuk mencari pemulihan sesuai hukum yang berlaku.

12. Tanggung Jawab

1. Masing-masing Pihak akan bertanggung jawab kepada Pihak lainnya atas segala kerugian yang ditimbulkan kepada Pihak lainnya akibat pelanggaran Klausul-klausul ini.

2. Pengimpor data akan bertanggung jawab kepada subjek data, dan subjek data berhak menerima kompensasi, atas kerusakan material atau non-material apa pun yang disebabkan oleh pengimpor data atau sub-pemrosesnya terhadap subjek data karena melanggar hak-hak penerima manfaat pihak ketiga berdasarkan Klausul ini.

   Menyimpang dari ayat (b), pengekspor data bertanggung jawab kepada subjek data, dan subjek data berhak menerima kompensasi, untuk setiap kerugian material atau non-material pengekspor data atau pengimpor data (atau sub-pemroses) menyebabkan subjek data dengan melanggar hak penerima manfaat pihak ketiga sesuai Klausul ini. Hal ini tanpa mengurangi kewajiban pengekspor data dan, jika pengekspor data adalah pemroses yang bertindak atas nama pengontrol, terhadap kewajiban pengontrol berdasarkan Peraturan (EU) 2016/679 atau Peraturan (EU) 2018/1725, sebagaimana berlaku.

3. Para Pihak setuju bahwa jika pengekspor data bertanggung jawab berdasarkan ayat (c) atas kerugian yang disebabkan oleh pengimpor data (atau sub-pemrosesnya), ia berhak menuntut kembali dari pengimpor data bagian dari kompensasi sesuai tanggung jawab pengimpor data atas kerugian tersebut.
4. Apabila lebih dari satu Pihak bertanggung jawab atas segala kerugian yang terjadi pada subjek data sebagai akibat dari pelanggaran Klausul ini, semua Pihak yang bertanggung jawab akan bertanggung jawab secara tanggung renteng dan subjek data berhak mengajukan gugatan ke pengadilan terhadap salah satu Pihak ini.
5. Para Pihak setuju bahwa jika salah satu Pihak bertanggung jawab berdasarkan ayat (e), maka Pihak tersebut berhak menuntut kembali dari Pihak lain bagian dari kompensasi yang sesuai dengan tanggung jawabnya atas kerusakan tersebut.
6. Pengimpor data tidak boleh meminta tindakan sub-pemroses untuk menghindari tanggung jawabnya sendiri.

13. Pengawasan

1. Otoritas pengawas yang bertanggung jawab untuk memastikan kepatuhan eksportir data terhadap Peraturan (EU) 2016/679 terkait transfer data, sebagaimana ditunjukkan dalam Lampiran I.C, akan bertindak sebagai otoritas pengawas yang kompeten.
2. Pengimpor data setuju untuk tunduk pada yurisdiksi dan bekerja sama dengan otoritas pengawas yang kompeten dalam setiap prosedur yang bertujuan untuk memastikan kepatuhan terhadap Klausul ini. Secara khusus, pengimpor data setuju untuk menanggapi pertanyaan, tunduk pada audit dan mematuhi tindakan yang diambil oleh otoritas pengawas, termasuk tindakan perbaikan dan kompensasi. Ini harus memberikan otoritas pengawas dengan konfirmasi tertulis bahwa tindakan yang diperlukan telah diambil.

BAGIAN III – UNDANG-UNDANG DAERAH DAN KEWAJIBAN DALAM HAL AKSES OLEH OTORITAS PUBLIK

14. Hukum dan praktik setempat yang memengaruhi kepatuhan terhadap Klausul

1. Para Pihak menjamin bahwa mereka tidak memiliki alasan untuk percaya bahwa undang-undang dan praktik di negara tujuan ketiga berlaku untuk pemrosesan data pribadi oleh pengimpor data, termasuk persyaratan apa pun untuk mengungkapkan data pribadi atau langkah-langkah yang mengizinkan akses oleh publik. berwenang, mencegah pengimpor data memenuhi kewajibannya berdasarkan Klausul ini. Hal ini didasarkan pada pemahaman bahwa undang-undang dan praktik yang menghormati esensi hak dan kebebasan dasar dan tidak melebihi apa yang diperlukan dan proporsional dalam masyarakat demokratis untuk melindungi salah satu tujuan yang tercantum dalam Pasal 23(1) Regulasi (EU) 2016/679, tidak bertentangan dengan Klausul ini.
2. Para Pihak menyatakan bahwa dalam memberikan jaminan dalam ayat (a), mereka secara khusus telah mempertimbangkan unsur-unsur berikut:
1. keadaan khusus dari transfer, termasuk panjang rantai pemrosesan, jumlah pelaku yang terlibat dan saluran transmisi yang digunakan; transfer selanjutnya yang dimaksudkan; jenis penerima; tujuan pemrosesan; kategori dan format data pribadi yang ditransfer; sektor ekonomi di mana transfer terjadi; lokasi penyimpanan data yang ditransfer;
2. undang-undang dan praktik negara tujuan ketiga, termasuk yang mensyaratkan pengungkapan data kepada otoritas publik atau pemberian otorisasi akses oleh otoritas tersebut, relevan dengan kondisi spesifik transfer, dan batasan serta pengamanan yang berlaku;
3. setiap pengamanan kontrak, teknis atau organisasional yang relevan yang diberlakukan untuk melengkapi pengamanan berdasarkan Klausul ini, termasuk langkah-langkah yang diterapkan selama transmisi dan pemrosesan data pribadi di negara tujuan.
3. Pengimpor data menjamin bahwa, dalam melaksanakan penilaian berdasarkan ayat (b), telah melakukan upaya terbaiknya untuk memberikan informasi yang relevan kepada pengekspor data dan setuju bahwa ia akan terus bekerja sama dengan pengekspor data dalam memastikan kepatuhan terhadap Klausul ini.
4. Para Pihak setuju untuk mendokumentasikan penilaian berdasarkan ayat (b) dan menyediakannya kepada otoritas pengawas yang kompeten berdasarkan permintaan.
5. Pengimpor data setuju untuk segera memberi tahu pengekspor data jika, setelah menyetujui Klausul ini dan selama masa kontrak, ia memiliki alasan untuk meyakini bahwa hal itu sedang atau telah menjadi subjek hukum atau praktik yang tidak sejalan dengan persyaratan berdasarkan ayat (a), termasuk mengikuti perubahan hukum negara ketiga atau tindakan (seperti permintaan pengungkapan) yang menunjukkan penerapan hukum tersebut dalam praktik yang tidak sejalan dengan persyaratan dalam ayat (a).
6. Setelah pemberitahuan sesuai dengan ayat (e), atau jika pengekspor data memiliki alasan lain untuk meyakini bahwa pengimpor data tidak dapat lagi memenuhi kewajibannya berdasarkan Klausul ini, pengekspor data harus segera mengidentifikasi tindakan yang sesuai (mis. langkah-langkah teknis dan organisasional untuk memastikan keamanan dan kerahasiaan) yang akan diadopsi oleh pengekspor data dan/atau pengimpor data untuk mengatasi situasi tersebut. Pengekspor data harus menangguhkan transfer data jika menganggap bahwa tidak ada pengamanan yang memadai untuk memastikan transfer tersebut, atau jika diinstruksikan oleh otoritas pengawas yang kompeten untuk melakukannya. Dalam hal ini, pengekspor data berhak mengakhiri kontrak, sejauh menyangkut pemrosesan data pribadi berdasarkan Klausul ini. Jika kontrak melibatkan lebih dari dua Pihak, pengekspor data dapat menggunakan hak pengakhiran ini hanya sehubungan dengan Pihak terkait, kecuali Para Pihak telah menyetujui sebaliknya. Ketika kontrak diakhiri sesuai Klausul ini, Klausul 16(d) dan (e) akan berlaku.

15. Kewajiban pengimpor data dalam hal akses oleh otoritas publik

15.1 Pemberitahuan

1. Pengimpor data setuju untuk segera memberi tahu pengekspor data dan, jika memungkinkan, subjek data (jika perlu dengan bantuan pengekspor data) jika:
1. menerima permintaan yang mengikat secara hukum dari otoritas publik, termasuk otoritas yudisial, berdasarkan hukum negara tujuan untuk pengungkapan data pribadi yang ditransfer sesuai dengan Klausul ini; pemberitahuan tersebut harus mencakup informasi tentang data pribadi yang diminta, otoritas peminta, dasar hukum permintaan dan tanggapan yang diberikan; atau
2. mengetahui adanya akses langsung oleh otoritas publik ke data pribadi yang ditransfer sesuai dengan Klausul ini berdasarkan hukum negara tujuan; pemberitahuan tersebut harus mencakup semua informasi yang tersedia bagi importir.
2. Jika pengimpor data dilarang memberi tahu pengekspor data dan/atau subjek data berdasarkan undang-undang negara tujuan, pengimpor data setuju untuk menggunakan upaya terbaiknya guna mendapatkan pengecualian atas larangan tersebut, dengan maksud menyampaikan informasi sebanyak mungkin, sesegera mungkin. Pengimpor data setuju untuk mendokumentasikan upaya terbaiknya agar dapat menunjukkannya atas permintaan pengekspor data.
3. Jika diizinkan berdasarkan undang-undang negara tujuan, pengimpor data setuju untuk memberikan kepada pengekspor data, secara berkala selama durasi kontrak, sebanyak mungkin informasi yang relevan tentang permintaan yang diterima (khususnya, nomor permintaan, jenis data yang diminta, otoritas yang meminta, apakah permintaan telah ditentang dan hasil dari tantangan tersebut, dll.).
4. Pengimpor data setuju untuk menyimpan informasi sesuai ayat (a) hingga (c) selama masa kontrak dan menyediakannya kepada otoritas pengawas yang kompeten berdasarkan permintaan.
5. Ayat (a) hingga (c) tidak mengurangi kewajiban pengimpor data sesuai dengan Klausul 14(e) dan Klausul 16 untuk segera memberi tahu pengekspor data jika tidak dapat mematuhi Klausul ini.

15.2 Tinjauan legalitas dan minimalisasi data

1. Pengimpor data setuju untuk meninjau keabsahan permintaan pengungkapan, khususnya apakah itu tetap dalam wewenang yang diberikan kepada otoritas publik yang meminta, dan untuk menentang permintaan tersebut jika, setelah penilaian yang cermat, disimpulkan bahwa ada alasan yang masuk akal untuk mempertimbangkan bahwa permintaan tersebut tidak sah berdasarkan hukum negara tujuan, kewajiban yang berlaku menurut hukum internasional dan prinsip-prinsip kesopanan internasional. Pengimpor data harus, dalam kondisi yang sama, mengupayakan kemungkinan banding. Saat menentang permintaan, pengimpor data harus mencari tindakan interim dengan maksud untuk menangguhkan dampak permintaan sampai otoritas yudisial yang kompeten memutuskan manfaatnya. Langkah ini tidak akan mengungkapkan data pribadi yang diminta sampai diminta untuk melakukannya berdasarkan aturan prosedural yang berlaku. Persyaratan ini tanpa mengurangi kewajiban pengimpor data berdasarkan Klausul 14(e).
2. Pengimpor data setuju untuk mendokumentasikan penilaian hukumnya dan setiap tantangan terhadap permintaan pengungkapan dan, sejauh diizinkan menurut undang-undang negara tujuan, membuat dokumentasi tersedia bagi pengekspor data. Ini juga harus menyediakannya kepada otoritas pengawas yang kompeten berdasarkan permintaan.
3. Pengimpor data setuju untuk memberikan jumlah minimum informasi yang diizinkan saat menanggapi permintaan pengungkapan, berdasarkan interpretasi yang wajar atas permintaan tersebut.

BAGIAN IV – KETENTUAN AKHIR

16. Ketidakpatuhan terhadap Klausul dan penghentian

1. Pengimpor data harus segera memberi tahu pengekspor data jika ia tidak dapat mematuhi Klausul ini, karena alasan apa pun.
2. Jika pengimpor data melanggar Klausul ini atau tidak dapat mematuhi Klausul ini, pengekspor data harus menangguhkan transfer data pribadi ke pengimpor data hingga kepatuhan dipastikan kembali atau kontrak diakhiri. Ini tanpa mengurangi Klausul 14(f).
3. Pengekspor data berhak mengakhiri kontrak, sejauh menyangkut pemrosesan data pribadi berdasarkan Klausul ini, ketika:
1. pengekspor data telah menangguhkan transfer data pribadi ke pengimpor data sesuai ayat (b) dan kepatuhan terhadap Klausul ini tidak dipulihkan dalam waktu yang wajar dan dalam hal apa pun dalam waktu satu bulan penangguhan;
2. pengimpor data secara substansial atau terus-menerus melanggar Klausul ini; atau
3. pengimpor data gagal mematuhi keputusan yang mengikat dari pengadilan atau otoritas pengawas yang berwenang mengenai kewajibannya berdasarkan Klausul ini.

Dalam kasus ini, ia harus memberi tahu otoritas pengawas yang kompeten tentang ketidakpatuhan tersebut. Ketika kontrak melibatkan lebih dari dua Pihak, pengekspor data dapat menggunakan hak pengakhiran ini hanya sehubungan dengan Pihak terkait, kecuali Para Pihak telah menyetujui sebaliknya.

4. Data pribadi yang telah ditransfer sebelum pemutusan kontrak sesuai ayat (c) atas pilihan pengekspor data harus segera dikembalikan ke pengekspor data atau dihapus seluruhnya. Hal yang sama berlaku untuk setiap salinan data. Pengimpor data harus mengklarifikasi penghapusan data kepada pengekspor data. Sampai data dihapus atau dikembalikan, pengimpor data harus terus memastikan kepatuhan terhadap Klausul ini. Jika undang-undang setempat yang berlaku untuk pengimpor data yang melarang pengembalian atau penghapusan data pribadi yang ditransfer, pengimpor data menjamin bahwa ia akan terus memastikan kepatuhan terhadap Klausul ini dan hanya akan memproses data sejauh dan selama diperlukan berdasarkan itu hukum setempat.
5. Salah satu Pihak dapat mencabut persetujuannya untuk terikat oleh Klausul ini di mana (i) Komisi Eropa mengambil keputusan sesuai Pasal 45(3) Regulasi (EU) 2016/679 yang mencakup transfer data pribadi yang Klausul berlaku; atau (ii) Regulasi (EU) 2016/679 menjadi bagian dari kerangka hukum negara tujuan transfer data pribadi. Ini tanpa mengurangi kewajiban lain yang berlaku untuk pemrosesan yang dimaksud berdasarkan Peraturan (UE) 2016/679.

17. Hukum yang Mengatur

Klausul ini akan diatur oleh hukum salah satu Negara Anggota UE, asalkan undang-undang tersebut mengizinkan hak penerima manfaat pihak ketiga. Para Pihak setuju bahwa ini akan menjadi hukum Irlandia.

18. Pilihan forum dan yurisdiksi

1. Perselisihan yang timbul dari Klausul ini harus diselesaikan oleh pengadilan dari Negara Anggota UE.
2. Para Pihak setuju bahwa yang dimaksud adalah pengadilan Irlandia.
3. Subjek data juga dapat mengajukan tuntutan hukum terhadap pengekspor data dan/atau pengimpor data ke pengadilan Negara Anggota di mana orang yang bersangkutan biasa bertempat tinggal.
4. Para Pihak setuju untuk tunduk pada yurisdiksi pengadilan tersebut.

LAMPIRAN

LAMPIRAN I

A. DAFTAR PARA PIHAK

Pengekspor data:

1. Nama: WhatsApp Ireland Limited

Alamat: Merrion Road, Dublin 4, D04 X2K5, Irlandia

Nama kontak, jabatan, dan detail kontak: Stephen Deadman, Data Protection Officer, dpo@fb.com

Aktivitas yang relevan dengan data yang ditransfer berdasarkan Klausul: Penyediaan Layanan oleh WhatsApp Ireland Limited dari waktu ke waktu di Wilayah.

Tanda tangan dan tanggal:

_____________________________


Pengimpor(-pengimpor) data

2. Nama: WhatsApp LLC

1601 Willow Road, Menlo Park, CA 94025, California, United States of America

Nama kontak, jabatan, dan detail kontak: Andrea Kirkpatrick, Head of WhatsApp Legal, wanotices@fb.com

Aktivitas yang relevan dengan data yang ditransfer berdasarkan Klausul: Penyediaan layanan dan aktivitas lain yang terkait dengan tujuan pemrosesan yang ditetapkan dalam Bagian 2 Lampiran ini.

Tanda tangan dan tanggal:

_____________________________

B. DESKRIPSI TRANSFER

Kategori subjek data yang data pribadinya ditransfer

Pengguna layanan WhatsApp wilayah Eropa.

Kategori data pribadi yang ditransfer

Nomor ponsel pengguna wilayah Eropa dari layanan WhatsApp dan dalam keadaan tertentu (yaitu bila dikombinasikan dengan nomor telepon yang relevan yang dapat mengarah pada identifikasi individu), kode verifikasi yang akan dikirim ke pengguna tersebut.

Data sensitif yang ditransfer (jika berlaku) dan pembatasan atau pengamanan yang berlaku yang sepenuhnya mempertimbangkan sifat data dan risiko yang terlibat, misalnya pembatasan tujuan yang ketat, pembatasan akses (termasuk akses hanya untuk staf yang telah mengikuti pelatihan khusus), menjaga catatan akses ke data, pembatasan untuk transfer selanjutnya atau langkah-langkah keamanan tambahan.

Tidak ada data sensitif yang ditransfer.

Frekuensi transfer (misalnya apakah data ditransfer satu kali atau terus menerus).

Berkelanjutan.

Sifat pemrosesan

Sifat pemrosesan adalah kinerja operasi yang mungkin diperlukan untuk melaksanakan layanan terkait jaringan seluler. Yaitu:

• transfer data melalui protokol Short Message Peer-to-Peer (SMPP) atau protokol serupa; dan
• mengubah pesan menjadi bentuk SMS untuk transmisi selanjutnya.

Tujuan transfer data dan pemrosesan lebih lanjut

Tujuan pemrosesan adalah untuk memungkinkan pengiriman pesan SMS ke pengguna WhatsApp dan khususnya yang berikut:

• Berkomunikasi dengan pengguna melalui layanan jaringan seluler, termasuk:
• melakukan autentikasi dua faktor;
• mengirim pesan untuk mengonfirmasi kepemilikan nomor telepon saat pendaftaran ke WhatsApp;
• Menyediakan dukungan teknik teknis dan pemecahan masalah.

Jangka waktu penyimpanan data pribadi, atau, jika tidak memungkinkan, kriteria yang digunakan untuk menentukan jangka waktu tersebut

Pengimpor data harus menyimpan data pribadi yang ditransfer sesuai Perjanjian ini selama jangka waktu Perjanjian ini, kecuali diwajibkan untuk menghapus, mengembalikan, atau menyimpan data pribadi tersebut sesuai dengan Perjanjian ini atau sesuai dengan kebijakan penyimpanan grup yang berlaku atau hukum yang berlaku.

Untuk transfer ke (sub-)pemroses, tentukan juga materi pelajaran, sifat, dan durasi pemrosesan

Tidak berlaku

C. OTORITAS PENGAWAS YANG KOMPETEN

Identifikasi otoritas pengawas yang kompeten sesuai dengan Klausul 13

Komisi Perlindungan Data, Irlandia

LAMPIRAN II

TINDAKAN TEKNIS DAN ORGANISASIONAL TERMASUK TINDAKAN TEKNIS DAN ORGANISASIONAL UNTUK MENJAMIN KEAMANAN DATA

Deskripsi langkah-langkah teknis dan organisasional yang diterapkan oleh importir data (termasuk sertifikasi yang relevan) untuk memastikan tingkat keamanan yang sesuai, dengan mempertimbangkan sifat, ruang lingkup, konteks dan tujuan pemrosesan, dan risiko untuk hak dan kebebasan individu.

Pengimpor data harus menerapkan tujuan keamanan yang dijelaskan di bawah ini untuk melindungi sistemnya, termasuk kontrol fisik, teknis, dan administratif yang mengatur akses ke dan penggunaan sistem pengimpor data. Diimplementasikan dengan benar, langkah-langkah di bawah ini mewakili deskripsi langkah-langkah keamanan teknis dan organisasional yang dianggap tepat oleh pengekspor data untuk memastikan keamanan data, dengan mempertimbangkan sifat, ruang lingkup, konteks, dan tujuan aktivitas pemrosesan serta potensi risiko terhadap hak dan kebebasan individu.

Untuk memungkinkan pengawasan implementasi tindakan importir data, importir data harus memiliki tim keamanan khusus untuk mengawasi pengembangan, implementasi, pengujian efektivitas dan pemeliharaan berkelanjutan dari program keamanan, untuk mewujudkan persyaratan keamanan ini.

Pengimpor data juga harus, atas permintaan pengekspor data, dapat menjelaskan cara untuk mencapai persyaratan keamanan ini dan harus memelihara catatan yang sesuai dan bukti lain untuk memungkinkan pengekspor data melakukan pengawasan terhadap langkah-langkah keamanan yang diterapkan.

1. Keamanan Aplikasi

Pengimpor data harus menerapkan langkah-langkah keamanan yang tepat untuk mencegah, mendeteksi, dan mengurangi ancaman/cacat produk dan layanannya selama siklus hidup pengembangan.

Langkah-langkah ini meliputi:

1. Implementasi dan pemeliharaan kerangka kerja aplikasi yang aman sebagai bagian dari siklus hidup pengembangan perangkat lunak.
2. Kontrol untuk mengidentifikasi bug dan triase, memantau dan menguranginya melalui penggunaan alat analisis statis dan dinamis, program bug bounty, dan tinjauan kode manual.

2. Pengelolaan Aset

Pengimpor data harus secara aktif mengelola (menginventarisir, melacak, dan memperbaiki) perangkat di jaringannya, sehingga hanya perangkat resmi yang diberi akses. Langkah-langkah tersebut harus mencakup persyaratan untuk identifikasi pengguna dan otorisasi.

Langkah-langkah ini meliputi:

1. Akuisisi aset, termasuk permintaan penerimaan dan persetujuan pembelian, harus dilakukan sesuai dengan kebijakan yang relevan (sebagaimana diperbarui dari waktu ke waktu) melalui proses yang ditentukan dan saluran yang disetujui.
2. Pemeliharaan inventaris aset, melacak semua aset sepanjang siklus hidupnya.
3. Perangkat seluler dilengkapi dengan solusi pengelolaan perangkat seluler (Manajemen Perangkat Seluler (“MDM”) yang telah terpasang sebelumnya yang memungkinkan akses terkontrol ke jaringan dan memiliki kemampuan untuk menghapus perangkat seluler yang hilang atau dicuri dari jarak jauh.
4. Perangkat akan dikarantina jika tidak terhubung dengan solusi MDM secara teratur.

3. Kesinambungan Bisnis dan Pemulihan Bencana

Pengimpor data harus melindungi proses bisnis penting dari efek kegagalan besar sistem atau bencana informasi dan memastikan dimulainya kembali secara tepat waktu jika terjadi insiden. Langkah-langkah ini harus mencakup persyaratan untuk memastikan ketersediaan dan ketahanan berkelanjutan dari sistem pemrosesan dan layanan serta untuk kemampuan memulihkan ketersediaan dan akses ke data pribadi secara tepat waktu di kejadian dari suatu kejadian.

Langkah-langkah ini meliputi:

1. Implementasi program pemulihan bencana yang berfokus pada pembuatan sistem informasi yang tahan terhadap kegagalan dan bencana dengan personel yang ditunjuk dengan tanggung jawab untuk mengembangkan dan meningkatkan kemampuan pemulihan bencana.
2. Lakukan pencadangan data untuk memungkinkan dimulainya kembali operasi sistem jika terjadi kegagalan.
3. Replikasi data di beberapa wilayah pusat data di seluruh dunia dan secara otomatis mengarahkan dan menyeimbangkan lalu lintas jaringan berdasarkan latensi dan pemeriksaan kesehatan jaringan.
4. Pengujian pemulihan bencana reguler dan, berdasarkan pembelajaran dari pengujian ini, berfungsi untuk memperbarui dan meningkatkan proses pemulihan bencana dan teknologi otomatisnya.

4. Kepatuhan, Kebijakan & Risiko Keamanan

Pengimpor data harus menyelaraskan tujuan keamanan dengan tujuan bisnis, hukum dan peraturan yang berlaku melalui pembuatan dan pemeliharaan dokumentasi yang sesuai, sekaligus mengelola risiko secara efektif dan memenuhi persyaratan kepatuhan.

Langkah-langkah ini meliputi:

1. Mempertimbangkan dan, jika sesuai, mengadopsi rekomendasi dari tim kepemimpinan keamanan yang mapan, termasuk pemangku kepentingan utama untuk mengoperasikan, memelihara, dan terus mengembangkan program keamanan informasi yang komprehensif melalui sistem kebijakan yang terintegrasi, standar, pedoman, dan kontrol.
2. Pemeliharaan paket kebijakan keamanan informasi berdasarkan kerangka kebijakan standar.
   1. Memberikan persyaratan keamanan berbasis risiko dan rekomendasi keamanan terukur dalam bentuk kebijakan;
   2. Memberikan panduan tentang penerapan persyaratan dan rekomendasi;
   3. Prosedur mengenai siklus hidup pengembangan kebijakan (manajemen pengembangan, implementasi, pemeliharaan, dan pengecualian).
3. Penilaian reguler atas kepatuhan terhadap kebijakan keamanan, kerangka kerja, dan persyaratan peraturan.
4. Pemeliharaan program risiko yang mencakup prosedur penilaian risiko dan manajemen risiko.
5. Masukan dari aktivitas seperti pemindaian kerentanan, pengujian penetrasi, dan tinjauan keamanan produk digunakan untuk menentukan risiko.

5. Pengelolaan Konfigurasi

Pengimpor data harus memiliki langkah-langkah untuk mengonfigurasi sistem dan aplikasi dengan cara yang konsisten dan aman.

Langkah-langkah ini meliputi:

1. Konfigurasi setelan, termasuk titik awal aman dipertahankan melalui alat manajemen sistem untuk server produksi, perangkat seluler, dan perangkat jaringan:
   1. Konfigurasi titik awal disimpan dalam repositori pusat dan menentukan layanan yang tersedia pada setiap sistem dan bagaimana layanan tersebut harus dikonfigurasi;
   2. Konfigurasi standar dibuat untuk perangkat jaringan.
2. Alat otomatis memverifikasi bahwa konfigurasi perangkat standar sedang digunakan dan mendeteksi perubahan pada konfigurasi.
3. Konfigurasi keamanan dikelola melalui manajemen konfigurasi dan kontrol perubahan proses.

6. Pengelolaan Perubahan

Pengimpor data harus memiliki langkah-langkah untuk memastikan perubahan pada sistem kritis mengikuti prosedur yang disetujui dan dilacak melalui alat kontrol versi.

Langkah-langkah ini meliputi:

1. Proses formal dan sistem pelacakan internal untuk memulai dan mencatat perubahan, meninjau, dan menguji perubahan kode yang memastikan integritas dan akuntabilitas untuk perubahan kode.
2. Proses formal dan sistem pelacakan internal untuk memulai, mencatat, meninjau, dan menguji perubahan kode yang memastikan integritas dan akuntabilitas untuk perubahan konfigurasi.
3. Memantau perubahan untuk jangka waktu tertentu sebelum penerapan penuh ke semua sistem produksi.

7. Keamanan Data

Pengimpor data harus memiliki langkah-langkah keamanan untuk melindungi kerahasiaan, integritas, dan ketersediaan data sepanjang siklus hidup data, dari pembuatan hingga penghapusan.

Tindakan tersebut harus memastikan kerahasiaan dan integritas yang berkelanjutan dari sistem dan layanan pemrosesan dan mencakup persyaratan untuk perlindungan data selama transmisi dan penyimpanan.

Langkah-langkah ini meliputi:

1. Implementasi kebijakan dan standar seperti standar klasifikasi data yang memerlukan keamanan dan kontrol akses yang sesuai untuk diterapkan, dengan mempertimbangkan jenis data, kebutuhan bisnis, sifat dan tujuan pemrosesan, persyaratan hukum, dan peran dan tanggung jawab pihak pengakses:
   1. Kebijakan khusus berlaku untuk akses dan penggunaan data pengguna WhatsApp;
   2. Ketidakpatuhan terhadap kebijakan tersebut dapat mengakibatkan proses pendisiplinan formal.
2. Kebijakan spesifik menentukan berbagi data yang diizinkan dan dilarang, berdasarkan klasifikasi data.
3. Data tidak dibagikan secara eksternal tanpa terlebih dahulu mendapatkan persetujuan dari pemangku kepentingan yang sesuai, termasuk Bagian Hukum, dan, jika sesuai atau diperlukan, penerapan perjanjian kerahasiaan.
4. Berbagi internal data rahasia/pribadi tunduk pada prinsip-prinsip hak akses paling rendah (yang mengharuskan personel hanya memiliki tingkat akses minimum yang diperlukan untuk menjalankan peran dan tanggung jawab pekerjaan mereka).
5. Enkripsi berbasis disk dan file penuh diimplementasikan pada semua laptop dan perangkat seluler yang dikelola.
6. Enkripsi data dalam perjalanan melintasi jaringan publik menggunakan protokol industri yang kuat.

8. Pengelolaan Identitas & Akses

Pengimpor data harus menerapkan langkah-langkah teknis dan organisasional untuk memberikan keamanan di seluruh siklus hidup manajemen akses dan identitas dengan memastikan akses ke data dan sistem disediakan untuk orang yang berwenang melalui saluran yang benar.

Langkah-langkah ini meliputi:

1. Identitas pengguna terkait dengan akun unik dan akses dibatasi berdasarkan peran, akses yang ditingkatkan seperti akses administratif atau pengguna super yang memungkinkan kontrol penuh identitas penting dan manajemen akses sistem dibatasi untuk personel yang berwenang.
2. Sistem pengelolaan identitas (atau layanan direktori) digunakan untuk mengelola:
   1. Kredensial akses akun yang menyediakan akses ke sistem informasi, mis. jaringan perusahaan atau produksi; dan
   2. kredensial akses yang ditingkatkan.
3. Kredensial akses tidak boleh dibagikan dengan individu yang tidak berwenang, disimpan di perangkat yang tidak sah, atau disimpan dengan cara yang tidak aman.
4. Perubahan ke tingkat akses dicatat untuk tujuan analisis dan investigasi.
5. Secara otomatis menonaktifkan kredensial akses akun, memberikan akses ke sistem informasi, mis. jaringan korporat atau produksi, yang ditugaskan kepada karyawan, termasuk kontraktor dan pekerja tidak tetap setelah tanggal pemutusan hubungan kerja mereka.
6. Kata sandi harus memenuhi persyaratan kerumitan kata sandi, seperti yang ditentukan dalam standar kata sandi dan kode sandi kompleksitas.
7. Autentikasi multi-faktor diaktifkan, jika memungkinkan, untuk semua sistem informasi.
8. Secara kriptografis melindungi atau mengamankan kata sandi pengguna saat disimpan dan saat transit melalui Internet atau saluran transmisi serupa lainnya.

9. Pencatatan & Pemantauan

Pengimpor data harus memastikan bahwa catatan keamanan sudah dibuat, dilindungi, dan ditinjau secara efektif untuk mendukung deteksi dan investigasi kejadian mencurigakan dalam sistem produksi dan perusahaan.

Langkah-langkah ini meliputi:

1. Sistem pencatatan dan pemantauan dirancang untuk menghasilkan catatan jenis peristiwa yang memungkinkan keamanan aktivitas terkait dideteksi.
2. Catatan dikirim ke sistem agregator log jarak jauh.
3. Jam disinkronkan ke satu sumber waktu yang direferensikan.
4. Catatan dilindungi dalam perjalanan jika sesuai.
5. Catatan dilindungi dari perubahan atau akses yang tidak sah.
6. Catatan dicadangkan sesuai dengan jadwal dan kebijakan penyimpanan yang ditentukan.
7. Prosedur diterapkan untuk memastikan bahwa peringatan yang dipicu oleh alat pemantauan dan deteksi diarahkan ke Personel keamanan khusus, ditinjau dan diprioritaskan berdasarkan jenis peringatan, dan ditingkatkan jika sesuai.
8. Perangkat lunak pemantauan-endpoint tersedia untuk mencatat dan memantau aktivitas pada aset TI yang dikelola.

10. Keamanan Jaringan

Pengimpor data harus memiliki langkah-langkah untuk merancang, melindungi, dan mengelola infrastruktur jaringan pendukung dengan aman (termasuk firewall, router, sakelar, dan infrastruktur terkait) dan untuk melindungi informasi yang mengalir di dalamnya jaringan dari akses yang tidak sah.

Langkah-langkah ini meliputi:

1. Melindungi data dan sistem informasi terhadap akses tidak sah berdasarkan risiko yang terkait dengan setiap jaringan, termasuk jaringan tamu, dan internet dengan menggunakan: segmentasi jaringan, zona keamanan, daftar kontrol akses, pemantauan lalu lintas, firewall, dan demiliterisasi zona (yaitu subjaringan yang secara fisik atau logis terpisah dari satu sama lain dan jaringan internal).
2. Layanan autentikasi dan otorisasi terpusat yang digunakan untuk mengakses dan mengelola aset jaringan.
3. Penggunaan protokol aman untuk akses jarak jauh ke sistem penting seperti klien VPN yang disetujui dan autentikasi 2 faktor.
4. Penggunaan menggunakan firewall, teknologi anti-spoofing pada sistem informasi perimeter dan tepi.
5. Peninjauan rutin firewall dan konfigurasi router, termasuk pemindaian port otomatis untuk penemuan layanan guna memastikan aturan konfigurasi mematuhi persyaratan keamanan yang berlaku.
6. Mekanisme deteksi dan mitigasi DDoS tersedia untuk melindungi jaringan dari serangan penolakan layanan.

11. Keamanan Orang

Pengimpor data harus memiliki proses berlaku yang menetapkan harapan dan tanggung jawab keamanan bagi personelnya sebelum, selama, dan setelah pemutusan hubungan kerja.

Langkah-langkah ini meliputi:

1. Pemeriksaan latar belakang diselesaikan pada karyawan dan pekerja agen sebelum memulai pekerjaan.
2. Karyawan dan pekerja agen harus menandatangani perjanjian kerahasiaan sebelum memulai pekerjaan.
3. Memberikan pelatihan kepada karyawan baru tentang kebijakan dan prosedur keamanan informasi dengan pelatihan lebih lanjut yang berkaitan dengan peran pekerjaan yang sesuai.
4. Melanjutkan pemberian pelatihan kesadaran keamanan kepada personel selama mereka bekerja.
5. Aset dikembalikan setelah pemutusan hubungan kerja atau kontrak.

12. Keamanan Fisik

Pengimpor data harus memiliki langkah-langkah untuk mencegah akses fisik yang tidak sah ke aset dan sistem organisasional, untuk melindunginya dari kerusakan, penyalahgunaan, perusakan pencurian. Langkah-langkah ini mencakup persyaratan untuk keamanan fisik lokasi tempat data pribadi diproses.

Langkah-langkah ini meliputi:

1. Proses manajemen pengunjung untuk memastikan pengunjung mendaftar di resepsionis, menunjukkan identitas yang sah, dan menandatangani perjanjian kerahasiaan, atau mendapatkan pengecualian yang disetujui.
2. Pengunjung didampingi oleh karyawan saat berada di lokasi setiap saat.
3. Staf penjaga di lokasi bertanggung jawab untuk memantau fasilitas dan menanggapi peringatan keamanan fisik melalui Pusat Operasi Keamanan yang terus beroperasi (24x7).
4. Akses dikontrol melalui lencana akses yang diberikan kepada personel (termasuk karyawan, pekerja magang, pekerja tidak tetap, dan vendor).
5. Akses ke area berisiko lebih tinggi dipantau melalui sarana fisik dan elektronik canggih dengan hak istimewa lencana akses yang terbatas pada personel yang membutuhkan akses. Pusat data dapat menggunakan langkah-langkah keamanan tambahan, termasuk perangkat biometrik.
6. Pra-persetujuan diperlukan untuk mengakses pusat data dan akses ke pusat data ditinjau secara berkala.
7. Melindungi peralatan pusat data dari kerusakan, kehancuran dan/atau gangguan karena faktor lingkungan, langkah-langkah tersebut meliputi:
   1. Kontrol suhu dan tingkat kelembaban untuk memantau dan memelihara kondisi lingkungan yang sesuai;
   2. Peralatan pendeteksi dan pemadam kebakaran tersedia di semua pusat data;
   3. Tenaga sekunder redundan (UPS/CPS), unit generator cadangan, dan telekomunikasi cadangan untuk mendukung sistem penting jika terjadi pemadaman listrik.

13. Tanggapan Insiden Keamanan

Pengimpor data harus memiliki langkah-langkah untuk mempersiapkan, menanggapi, dan belajar dari insiden keamanan dengan cara yang efektif.

Langkah-langkah ini meliputi:

1. Kebijakan tanggap insiden keamanan yang memberikan instruksi mengenai tim keamanan mana yang harus diikutsertakan dalam menangani upaya tanggap insiden.
2. Tim khusus untuk menangani berbagai insiden keamanan, termasuk, tetapi tidak terbatas pada, insiden yang melibatkan pelaku ancaman eksternal, pelaku ancaman internal, perangkat yang hilang atau dicuri, gangguan layanan, insiden yang melibatkan data yang diatur, dan insiden yang memerlukan koordinasi dengan penegakan hukum.

14. Keamanan Pihak Ketiga

Pengimpor data harus memiliki langkah-langkah untuk melindungi keamanan data yang diakses, diproses, ditransfer ke, dibagikan dengan, atau dikelola oleh para pihak dan vendor eksternal.

Langkah-langkah ini meliputi:

1. Terdapat proses untuk melakukan uji tuntas pada penyedia layanan yang mungkin menerima atau diberikan akses ke data untuk mengevaluasi apakah standar keamanan data mereka sesuai untuk melindungi data.
2. Penilaian keamanan vendor dilakukan oleh personel keamanan dan didasarkan pada serangkaian faktor.
3. Tingkat penilaian yang dilakukan untuk setiap vendor ditentukan menurut jenis data yang mungkin diproses vendor dan sifat konektivitas yang diantisipasi.
4. Masalah kritis yang diidentifikasi selama proses penilaian harus diperbaiki sebelum vendor masuk.
5. Bergantung pada sensitivitas data yang dibagikan dengan penyedia layanan dan faktor lainnya, penyedia layanan mungkin diwajibkan menjalani penilaian keamanan secara berkala atau acak.

15. Manajemen Kerentanan

Pengimpor data harus memiliki langkah-langkah untuk mencegah, mendeteksi, dan memulihkan kerentanan perangkat lunak dalam infrastruktur perusahaan dan produksinya. Langkah-langkah tersebut mencakup proses untuk pengujian secara teratur, menilai dan mengevaluasi kerentanan untuk memastikan keamanan pemrosesan.

Langkah-langkah ini meliputi:

1. Memelihara inventaris aset infrastruktur untuk memberikan dasar peninjauan dan analisis kerentanan.
2. Melakukan pemindaian/deteksi kerentanan secara berkala pada sistem internal dan eksternal untuk mengidentifikasi dan mengevaluasi risiko yang ditimbulkan oleh kerentanan.
3. Menguji kerentanan basis kode (dan memasukkan informasi ancaman baru ke dalam pengujian).
4. Berkoordinasi dengan pemilik produk atau sistem yang terpengaruh untuk mengatasi kerentanan sesuai tingkat keparahan dan tingkat layanan yang ditentukan.
5. Melakukan pengujian penetrasi tahunan untuk mengevaluasi sistem dan proses penting untuk kerentanan.

16. Prinsip Perlindungan Data dan Hak Subjek Data

Sesuai dengan instruksi pengekspor data, pengimpor data harus memiliki langkah-langkah untuk memastikan bahwa data pribadi:

1. memadai, relevan, dan terbatas pada apa yang diperlukan sehubungan dengan tujuan pemrosesannya; dan
2. akurat dan, jika perlu, selalu diperbarui (setiap langkah yang wajar harus diambil untuk memastikan bahwa data pribadi yang tidak akurat, dengan memperhatikan tujuan yang diproses, dihapus atau diperbaiki tanpa menunda).

Pengimpor data harus bertanggung jawab atas kepatuhannya sendiri terhadap kewajiban berdasarkan Klausul dan Lampiran II ini, dan harus dapat menunjukkan kepatuhan tersebut jika diminta. Pengimpor data harus memiliki langkah-langkah yang tepat untuk menyimpan dan menghapus data pribadi sesuai kebijakan penyimpanan yang relevan (sebagaimana diperbarui dari waktu ke waktu), dan tunduk pada persyaratan berdasarkan hukum yang berlaku.

Pengimpor data harus memiliki langkah-langkah yang tepat untuk membantu pengekspor data dalam memenuhi kewajibannya sehubungan dengan hak subjek data, termasuk hak akses, hak untuk memperbaiki, hak untuk membatasi pemrosesan, hak untuk portabilitas data (termasuk dengan memanfaatkan secara umum format file yang digunakan), dan atas arahan pengekspor data harus menggunakan alat otomatis untuk memungkinkan pengguna menggunakan hak akses dan portabilitas mereka secara langsung.