LAMPIRAN no. 3 dari Ketentuan Penggunaan Perjanjian Pemrosesan Data

Berlaku mulai 26 November 2025

Perjanjian Pemrosesan Data ini berlaku antara Anda dan ESET setiap kali Anda memproses data pribadi sebagai pengontrol data melalui penggunaan Layanan ESET yang disediakan dalam Ketentuan ini, dan ESET memproses data pribadi tersebut atas nama Anda sebagai pemroses data.

Berdasarkan persyaratan Peraturan (UE) 2016/679 Parlemen Eropa dan Dewan tanggal 27 April 2016 tentang Perlindungan perseorangan terkait pemrosesan data pribadi dan pergerakan bebas data tersebut, yang membatalkan Direktif 95/46/EC ("GDPR"), ESET "Pemroses") dan Anda ("Pengontrol") ikut serta dalam hubungan kontraktual pemrosesan data ini untuk menentukan syarat dan ketentuan pemrosesan data pribadi, cara perlindungannya, serta untuk menentukan hak dan kewajiban lain kedua belah pihak dalam pemrosesan data pribadi subjek data atas nama Pengontrol selama masa pelaksanaan substansi Ketentuan ini sebagai kontrak utama.

1. Pemrosesan Data Pribadi. Layanan yang disediakan sesuai Ketentuan ini meliputi pemrosesan informasi yang berkaitan dengan perseorangan yang terindentifikasi atau dapat diidentifikasi atas nama Pengontrol sebagaimana yang ditentukan dalam Kebijakan Privasi ("Data pribadi").

2. Otorisasi. Pengontrol memberikan wewenang kepada Pemroses untuk memproses Data Pribadi, termasuk instruksi berikut:

(i) Tujuan Pemrosesan berarti penyediaan Layanan sesuai dengan Ketentuan ini dan Dokumentasi. Pemroses hanya diizinkan untuk memproses Data Pribadi atas nama Pengontrol terkait penyediaan layanan yang diminta oleh Pengontrol. Semua informasi yang dikumpulkan untuk tujuan tambahan diproses di luar hubungan kontraktual antara Pengontrol dan Pemroses.

(ii) Periode Pemrosesan berarti periode sejak dimulainya kerja sama berdasarkan Ketentuan ini hingga berakhirnya ketentuan tersebut,

(iii) Cakupan dan Kategori Data Pribadi berarti setiap Data Pribadi yang diberikan atau disediakan oleh Pengontrol selama penyediaan Layanan. Layanan hanya dimaksudkan untuk pemrosesan data pribadi umum. Namun, Pengontrol sepenuhnya bertanggung jawab atas penentuan cakupan data pribadi.

(iv) Subjek Data berarti perseorangan sebagai pengguna sah perangkat Pengontrol yang digunakan untuk penyediaan Layanan,

(v) Aktivitas Pemrosesan berarti setiap dan semua operasi yang diperlukan untuk tujuan pemrosesan,

(vi) Instruksi yang Didokumentasikan berarti instruksi yang diuraikan dalam Ketentuan ini, Lampirannya, Kebijakan Privasi, dan Dokumentasi. Pengontrol bertanggung jawab atas penerimaan secara hukum terhadap pemrosesan Data Pribadi oleh Pemroses mengenai masing-masing ketentuan yang berlaku dalam undang-undang perlindungan data.

3. Kewajiban Pemroses. Pemroses berkewajiban untuk:

(i) memproses Data Pribadi hanya atas dasar Instruksi Terdokumen dan sesuai dengan Tujuan Pemrosesan,

(ii) menginstruksikan orang yang berwenang untuk memproses Data Pribadi ("Orang yang Berwenang") tentang hak dan kewajiban mereka sesuai dengan GDPR, tentang tanggung jawab mereka jika terjadi pelanggaran dan memastikan bahwa Orang yang Berwenang telah berkomitmen terhadap kerahasiaan dan mengikuti Instruksi terdokumentasi,

(iii) mengambil semua langkah terkait keamanan pemrosesan sebagaimana diwajibkan sesuai dengan Pasal 32 GDPR, dengan mempertimbangkan tingkat keahlian, biaya implementasi, dan sifat, cakupan, konteks, dan tujuan pemrosesan, serta risiko kemungkinan dan tingkat keparahan yang bervariasi terhadap hak dan kebebasan orang alami, untuk memastikan tingkat keamanan dalam pemrosesan Data Pribadi Pengontrol yang sesuai dengan risiko tersebut,

(iv) mempertimbangkan sifat pemrosesan, membantu Pengontrol merespons permintaan dari Subjek Data yang terkait dengan hak-hak mereka. Pemroses tidak boleh memperbaiki, menghapus, atau membatasi pemrosesan Data Pribadi tanpa instruksi dari Pengontrol. Semua permintaan dari Subjek Data terkait Data Pribadi yang diproses atas nama Pengontrol harus diteruskan ke Pengontrol tanpa penundaan.

(v) membantu Pengontrol terkait pemberitahuan pelanggaran data pribadi kepada otoritas pengawas dan Subjek Data. Pemroses harus memberi tahu Pengontrol tentang pelanggaran apa pun terhadap pemrosesan Data Pribadi atau keamanan data pribadi segera setelah pelanggaran tersebut diketahui. Pemroses harus bekerja sama sampai batas waktu yang wajar dalam penyelidikan dan pemulihan pelanggaran tersebut, dan mengambil langkah-langkah yang wajar untuk membatasi implikasi negatif lebih lanjut.

(vi) menghapus atau mengembalikan semua Data Pribadi kepada Pengontrol, atas pilihan Pengontrol, setelah akhir Periode Pemrosesan. Pengontrol berjanji untuk memberi tahu Pemroses tentang keputusannya dalam waktu sepuluh (10) hari setelah akhir Periode Pemrosesan. Ketentuan ini tidak akan memengaruhi hak Pemroses untuk menyimpan Data Pribadi sejauh yang diperlukan untuk tujuan pengarsipan demi kepentingan umum, tujuan penelitian ilmiah, tujuan statistik, atau untuk tujuan membuktikan, mengajukan, atau membantah gugatan hukum.

(vii) menyimpan daftar terbaru dari semua kategori kegiatan pemrosesan yang telah dilakukan atas nama Pengontrol,

(viii) menyusun semua informasi yang diperlukan untuk menunjukkan kepatuhan sebagai bagian dari Ketentuan, Lampirannya, Kebijakan Privasi, dan Dokumentasi yang tersedia bagi Pengontrol. Dalam hal audit atau kontrol pemrosesan Data Pribadi dari sisi Pengontrol, Pengontrol berkewajiban untuk memberi tahu Pemroses secara tertulis setidaknya tiga puluh (30) hari sebelum audit atau kontrol yang direncanakan.

4. Melibatkan Pemroses Lain. Pemroses pada umumnya berhak melibatkan pemroses lain untuk melakukan aktivitas pemrosesan khusus, seperti penyediaan penyimpanan cloud dan infrastruktur untuk Layanan sesuai dengan Ketentuan, Lampirannya, Kebijakan Privasi, dan Dokumentasi. Meski demikian, Pemroses akan tetap menjadi satu-satunya titik kontak dan pihak yang bertanggung jawab terhadap kepatuhan. Pemroses dengan ini berjanji untuk memberi tahu Pengontrol tentang penambahan atau penggantian pemroses lain untuk tujuan kemungkinan adanya penolakan atas perubahan tersebut. Subprosesor yang saat ini terlibat ditentukan dalam Kebijakan Privasi Pemroses.

5. Wilayah Pemrosesan. Pemroses memastikan bahwa pemrosesan berlangsung di Wilayah Ekonomi Eropa atau negara yang ditunjuk aman oleh keputusan Komisi Eropa berdasarkan keputusan Pengontrol. Klausul Kontraktual Standar akan berlaku apabila transfer dan pemrosesan berlokasi di luar Wilayah Ekonomi Eropa atau negara yang ditunjuk aman oleh keputusan Komisi Eropa berdasarkan permintaan Pengontrol.

6. Keamanan. Pemroses telah besertifikasi ISO 27001 dan menggunakan kerangka kerja ISO 27001 untuk mengimplementasikan strategi keamanan pertahanan berlapis saat menerapkan kontrol keamanan pada lapisan jaringan, sistem operasi, database, aplikasi, personel, dan proses pengoperasian. Kepatuhan terhadap persyaratan regulatif dan kontraktual dinilai dan ditinjau secara berkala serupa dengan infrastruktur dan operasi lainnya dari Pemroses, dan langkah-langkah yang diperlukan diambil untuk memastikan kepatuhan secara berkelanjutan. Pemroses telah mengatur keamanan data menggunakan ISMS berdasarkan ISO 27001. Dokumentasi keamanan terutama meliputi dokumen kebijakan untuk keamanan informasi, keamanan fisik, dan keamanan peralatan, manajemen insiden, penanganan kebocoran data dan insiden keamanan, dll.

7. Langkah-Langkah Teknis dan Organisatoris. Pemroses harus melindungi Data Pribadi dari kerusakan dan kehancuran yang bersifat biasa dan melanggar hukum, kehilangan biasa, perubahan, serta akses dan pengungkapan yang tidak sah. Untuk tujuan ini, Pemroses harus mengadopsi langkah-langkah teknis dan organisatoris yang memadai sesuai dengan mode pemrosesan dan risiko yang ditimbulkan oleh pemrosesan untuk hak-hak Subjek Data sesuai dengan persyaratan GDPR. Penjelasan terperinci tentang langkah-langkah teknis dan organisatoris dinyatakan dalam Kebijakan Keamanan.

8. Informasi Kontak Pemroses. Semua pemberitahuan, permintaan, penawaran, dan komunikasi lain mengenai perlindungan data pribadi harus dialamatkan ke ESET, spol. s.r.o., ditujukan kepada: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.