01Yang dicakup DPA
DPA eksekutif mencakup ketentuan berikut, selaras dengan Pasal 28 dan 32 GDPR serta padanannya di UU PDP:
- Peran. KlindrOS bertindak sebagai Processor atas nama Pelanggan (Controller) untuk data pribadi yang diproses via Layanan.
- Tujuan dan cakupan. Pemrosesan terbatas pada penyediaan Layanan sesuai Order Form dan instruksi terdokumentasi dari Pelanggan.
- Standard Contractual Clauses (SCCs). SCC Module 2 yang disetujui EU dilampirkan untuk transfer data pribadi EU ke luar EEA.
- Sub-processor. Kami memelihara daftar sub-processor (di bawah), memberi tahu Pelanggan atas perubahan, dan meneruskan perlindungan yang sama dengan yang kami berikan.
- Tindakan keamanan. Tindakan teknis dan organisasional termasuk enkripsi in transit dan at rest, kontrol akses, audit logging, dan respons insiden.
- Notifikasi insiden. Kami memberi tahu Pelanggan dalam 72 jam sejak mengetahui adanya pelanggaran data pribadi yang memengaruhi data mereka.
- Hak subjek data. Kami membantu Pelanggan merespon permintaan akses, koreksi, penghapusan, dan portabilitas dari subjek data.
- Hak audit. Pelanggan bisa mengaudit kepatuhan kami terhadap DPA sekali per tahun, dengan pemberitahuan wajar, tunduk pada kerahasiaan.
- Pengembalian atau penghapusan. Pada saat terminasi, kami mengembalikan atau menghapus Data Pelanggan dalam 90 hari, tunduk pada kewajiban retensi hukum.