5. Pengolahan Data

[5.1] Peran dan Kepatuhan Terhadap Peraturan; Otorisasi.

[5.1.1] Tanggung Jawab Prosesor dan Pengontrol. Para pihak mengetahui dan menyetujui bahwa:

(a) Lampiran 1 menjelaskan materi pokok dan detail pemrosesan Data Pribadi Pelanggan;

(b) Google adalah pemroses Data Pribadi Pelanggan di bawah Undang-Undang Perlindungan Data Eropa;

(c)Pelanggan adalah pengontrol atau pemroses, sebagaimana berlaku, dari Data Pribadi Pelanggan di bawah Undang-Undang Perlindungan Data Eropa; dan

(d) masing-masing pihak akan mematuhi kewajiban yang berlaku untuknya di bawah Undang-Undang Perlindungan Data Eropa sehubungan dengan pemrosesan Data Pribadi Pelanggan.

[5.1.2] Otorisasi oleh Pengontrol Pihak Ketiga. Jika Pelanggan adalah prosesor, Pelanggan menjamin kepada Google bahwa instruksi dan tindakan Pelanggan sehubungan dengan Data Pribadi Pelanggan, termasuk penunjukan Google sebagai prosesor lain, telah disahkan oleh pengontrol yang relevan.

[5.2] Instruksi Pelanggan. Dengan menyetujui Persyaratan Pemrosesan Data ini, Pelanggan menginstruksikan Google untuk memproses Data Pribadi Pelanggan hanya sesuai dengan hukum yang berlaku: (a) untuk menyediakan Layanan Prosesor dan dukungan teknis apa pun yang terkait; (b) sebagaimana ditentukan lebih lanjut melalui penggunaan Layanan Prosesor oleh Pelanggan (termasuk dalam pengaturan dan fungsi lain dari Layanan Prosesor) dan dukungan teknis terkait; (c) sebagaimana didokumentasikan dalam bentuk Perjanjian, termasuk Ketentuan Pemrosesan Data ini; dan (d) sebagaimana didokumentasikan lebih lanjut dalam petunjuk tertulis lainnya yang diberikan oleh Pelanggan dan diakui oleh Google sebagai petunjuk untuk tujuan Persyaratan Pemrosesan Data ini.

[5.3] Kepatuhan Google dengan Instruksi. Google akan mematuhi petunjuk yang dijelaskan di Bagian 5.2 (Petunjuk Pelanggan) (termasuk yang berkaitan dengan transfer data) kecuali Undang-undang Eropa atau Nasional yang tunduk pada Google mewajibkan pemrosesan lain atas Data Pribadi Pelanggan oleh Google, dalam hal ini Google akan memberi tahu Pelanggan ( kecuali hukum semacam itu melarang Google melakukannya atas dasar kepentingan publik yang penting).

[5.4] Produk Tambahan. Jika Pelanggan menggunakan Produk Tambahan apa pun, Layanan Prosesor dapat mengizinkan Produk Tambahan tersebut untuk mengakses Data Pribadi Pelanggan sebagaimana yang diperlukan untuk interoperasi Produk Tambahan dengan Layanan Prosesor. Untuk kejelasan, Persyaratan Pemrosesan Data ini tidak berlaku untuk pemrosesan data pribadi sehubungan dengan penyediaan Produk Tambahan apa pun yang digunakan oleh Pelanggan, termasuk data pribadi yang dikirimkan ke atau dari Produk Tambahan tersebut.

6. Penghapusan Data

[6.1] Penghapusan Selama Jangka Waktu.

[6.1.1] Layanan Prosesor Dengan Fungsi Penghapusan. Selama Jangka Waktu, jika:

(a) fungsionalitas Layanan Prosesor mencakup opsi bagi Pelanggan untuk menghapus Data Pribadi Pelanggan;

(b) Pelanggan menggunakan Layanan Prosesor untuk menghapus Data Pribadi Pelanggan tertentu; dan

(c) Data Pribadi Pelanggan yang dihapus tidak dapat dipulihkan oleh Pelanggan (misalnya, dari "sampah"),

maka Google akan menghapus Data Pribadi Pelanggan tersebut dari sistemnya secepat mungkin dan dalam jangka waktu maksimum 180 hari, kecuali Hukum Eropa atau Nasional memerlukan penyimpanan.

6.1.2 Layanan Prosesor Tanpa Fungsi Penghapusan. Selama Masa Berlaku, jika fungsi Layanan Prosesor tidak menyertakan opsi bagi Pelanggan untuk menghapus Data Pribadi Pelanggan, maka Google akan mematuhi:

(a) setiap permintaan yang wajar dari Pelanggan untuk memfasilitasi penghapusan tersebut, sejauh mungkin dengan mempertimbangkan sifat dan fungsi Layanan Prosesor dan kecuali Undang-undang Eropa atau Nasional memerlukan penyimpanan; dan

(b) praktik retensi data yang dijelaskan di policy.google.com/technologies/ads.

Google dapat mengenakan biaya (berdasarkan biaya wajar Google) untuk setiap penghapusan data berdasarkan Pasal [6.1.2] (a). Google akan memberikan detail lebih lanjut kepada Pelanggan tentang biaya yang berlaku, dan dasar penghitungannya, sebelum penghapusan data tersebut.

[6.2] Penghapusan pada Masa Kedaluwarsa. Saat Masa Berlaku berakhir, Pelanggan menginstruksikan Google untuk menghapus semua Data Pribadi Pelanggan (termasuk salinan yang ada) dari sistem Google sesuai dengan hukum yang berlaku. Google akan mematuhi instruksi ini sesegera mungkin dan dalam jangka waktu maksimum 180 hari, kecuali Undang-undang Eropa atau Nasional mewajibkan penyimpanan.

7. Keamanan data

[7.1] Tindakan dan Bantuan Keamanan Google.

[7.1.1] Tindakan Keamanan Google. Google akan menerapkan dan memelihara tindakan teknis dan organisasi untuk melindungi Data Pribadi Pelanggan dari kerusakan, kehilangan, pengubahan, pengungkapan atau akses yang tidak disengaja atau melanggar hukum seperti yang dijelaskan dalam Lampiran 2 (" Tindakan Keamanan”). Sebagaimana dijelaskan dalam Lampiran 2, Tindakan Keamanan mencakup tindakan: (a) untuk mengenkripsi data pribadi; (b) untuk membantu memastikan kerahasiaan, integritas, ketersediaan, dan ketahanan sistem dan layanan Google yang berkelanjutan; (c) untuk membantu memulihkan akses tepat waktu ke data pribadi setelah suatu insiden; dan (d) untuk pengujian efektivitas secara teratur. Google dapat memperbarui atau mengubah Tindakan Keamanan dari waktu ke waktu, asalkan pembaruan dan modifikasi tersebut tidak mengakibatkan penurunan keamanan secara keseluruhan dari Layanan Prosesor.

[7.1.2] Kepatuhan Keamanan oleh Staf Google. Google akan mengambil langkah-langkah yang sesuai untuk memastikan kepatuhan dengan Tindakan Keamanan oleh karyawan, kontraktor, dan Subpemrosesnya sejauh yang berlaku untuk cakupan kinerjanya, termasuk memastikan bahwa semua orang yang berwenang untuk memproses Data Pribadi Pelanggan telah berkomitmen pada kerahasiaan atau berada di bawah yang sesuai. kewajiban hukum kerahasiaan.

[7.1.3] Bantuan Keamanan Google. Pelanggan setuju bahwa Google akan (dengan mempertimbangkan sifat pemrosesan Data Pribadi Pelanggan dan informasi yang tersedia untuk Google) membantu Pelanggan dalam memastikan kepatuhan terhadap kewajiban Pelanggan terkait keamanan data pribadi dan pelanggaran data pribadi, termasuk (jika berlaku) Kewajiban pelanggan sesuai dengan Pasal 32 hingga 34 (termasuk) GDPR, dengan:

(a) menerapkan dan memelihara Tindakan Keamanan sesuai dengan Bagian 7.1.1 (Tindakan Keamanan Google);

(b) mematuhi persyaratan Bagian 7.2 (Insiden Data); dan

(c) memberikan Dokumentasi Keamanan kepada Pelanggan sesuai dengan Bagian 7.5.1 (Tinjauan Dokumentasi Keamanan) dan informasi yang terkandung dalam Persyaratan Pemrosesan Data ini.

[7.2] Insiden Data.
[7.2.1] Pemberitahuan Insiden. Jika Google mengetahui Insiden Data, Google akan: (a) segera memberi tahu Pelanggan tentang Insiden Data dan tanpa penundaan yang tidak semestinya; dan (b) segera mengambil langkah-langkah yang wajar untuk meminimalkan kerugian dan mengamankan Data Pribadi Pelanggan.

[7.2.2] Rincian Insiden Data. Pemberitahuan yang dibuat berdasarkan Bagian 7.2.1 (Pemberitahuan Insiden) akan menjelaskan, sejauh mungkin, detail Insiden Data, termasuk langkah-langkah yang diambil untuk mengurangi potensi risiko dan langkah-langkah yang disarankan Google kepada Pelanggan untuk mengatasi Insiden Data.

[7.2.3] Pengiriman Pemberitahuan. Google akan mengirimkan pemberitahuannya tentang Insiden Data ke Alamat Email Pemberitahuan atau, atas kebijaksanaan Google (termasuk jika Pelanggan belum memberikan Alamat Email Pemberitahuan), melalui komunikasi langsung lainnya (misalnya, melalui panggilan telepon atau pertemuan langsung) . Pelanggan sepenuhnya bertanggung jawab untuk memberikan Alamat Email Pemberitahuan dan memastikan bahwa Alamat Email Pemberitahuan adalah yang terbaru dan valid.

[7.2.4] Pemberitahuan Pihak Ketiga. Pelanggan sepenuhnya bertanggung jawab untuk mematuhi undang-undang pemberitahuan insiden yang berlaku bagi Pelanggan dan memenuhi kewajiban pemberitahuan pihak ketiga yang terkait dengan Insiden Data.

[7.2.5] Tidak Ada Pengakuan Kesalahan oleh Google. Pemberitahuan atau tanggapan Google atas Insiden Data berdasarkan Bagian 7.2 (Insiden Data) ini tidak akan ditafsirkan sebagai pengakuan Google atas kesalahan atau kewajiban apa pun terkait dengan Insiden Data.

[7.3] Tanggung Jawab dan Penilaian Keamanan Pelanggan.

[7.3.1] Tanggung Jawab Keamanan Pelanggan. Pelanggan setuju bahwa, tanpa mengurangi kewajiban Google berdasarkan Pasal 7.1 (Tindakan dan Bantuan Keamanan Google) dan 7.2 (Insiden Data):

(a) Pelanggan sepenuhnya bertanggung jawab atas penggunaan Layanan Prosesor olehnya, termasuk:

(saya)memanfaatkan Layanan Prosesor secara tepat untuk memastikan tingkat keamanan yang sesuai dengan risiko terkait Data Pribadi Pelanggan; dan

(ii) mengamankan kredensial otentikasi akun, sistem dan perangkat yang digunakan Pelanggan untuk mengakses Layanan Prosesor; dan

(b) Google tidak berkewajiban untuk melindungi Data Pribadi Pelanggan yang dipilih Pelanggan untuk disimpan atau ditransfer di luar sistem Google dan Subpemrosesnya.

[7.3.2] Penilaian Keamanan Pelanggan. Pelanggan mengakui dan menyetujui bahwa (dengan mempertimbangkan keadaan seni, biaya implementasi dan sifat, ruang lingkup, konteks, dan tujuan pemrosesan Data Pribadi Pelanggan serta risiko terhadap individu) Tindakan Keamanan diterapkan dan dipelihara oleh Google sebagaimana ditetapkan di Bagian 7.1.1 (Tindakan Keamanan Google) memberikan tingkat keamanan yang sesuai dengan risiko terkait Data Pribadi Pelanggan.

[7.4] Sertifikasi Keamanan. Untuk mengevaluasi dan membantu memastikan efektivitas berkelanjutan dari Tindakan Keamanan, Google akan mempertahankan Sertifikasi ISO 27001.

[7.5] Review dan Audit Kepatuhan.

[7.5.1] Review Dokumentasi Keamanan. Untuk menunjukkan kepatuhan Google dengan kewajibannya berdasarkan Persyaratan Pemrosesan Data ini, Google akan menyediakan Dokumentasi Keamanan untuk ditinjau oleh Pelanggan.

[7.5.2] Hak Audit Pelanggan.

(a) Google akan mengizinkan Pelanggan atau auditor pihak ketiga yang ditunjuk oleh Pelanggan untuk melakukan audit (termasuk inspeksi) guna memverifikasi kepatuhan Google dengan kewajibannya berdasarkan Persyaratan Pemrosesan Data ini sesuai dengan Pasal 7.5.3 (Persyaratan Bisnis Tambahan untuk Audit). Google akan berkontribusi pada audit seperti yang dijelaskan di Bagian 7.4 (Sertifikasi Keamanan) dan Bagian 7.5 ini (Tinjauan dan Audit Kepatuhan).

(b) Pelanggan juga dapat melakukan audit untuk memverifikasi kepatuhan Google terhadap kewajibannya berdasarkan Persyaratan Pemrosesan Data ini dengan meninjau sertifikat yang diterbitkan untuk Sertifikasi ISO 27001 (yang mencerminkan hasil audit yang dilakukan oleh auditor pihak ketiga).

[7.5.3] Ketentuan Bisnis Tambahan untuk Audit.

(a) Pelanggan akan mengirimkan permintaan audit apa pun berdasarkan Bagian 7.5.2 (a) ke Google seperti yang dijelaskan di Bagian 12.1 (Menghubungi Google).

(b) Setelah Google menerima permintaan berdasarkan Pasal 7.5.3 (a), Google dan Pelanggan akan membahas dan menyetujui sebelumnya tentang tanggal mulai yang wajar, cakupan dan durasi, serta kontrol keamanan dan kerahasiaan yang berlaku untuk, audit apa pun menurut Bagian 7.5. 2 (a).

(c) Google dapat mengenakan biaya (berdasarkan biaya Google yang wajar) untuk audit apa pun menurut Pasal 7.5.2 (a). Google akan memberi Pelanggan detail lebih lanjut tentang biaya yang berlaku, dan dasar penghitungannya, sebelum audit tersebut. Pelanggan akan bertanggung jawab atas segala biaya yang dibebankan oleh auditor pihak ketiga mana pun yang ditunjuk oleh Pelanggan untuk melaksanakan audit tersebut.

(d) Google dapat mengajukan keberatan kepada auditor pihak ketiga yang ditunjuk oleh Pelanggan untuk melakukan audit apa pun berdasarkan Pasal 7.5.2 (a) jika auditor tersebut, menurut pendapat wajar Google, tidak memiliki kualifikasi yang sesuai atau independen, adalah pesaing Google atau secara nyata tidak cocok. Setiap keberatan oleh Google akan mengharuskan Pelanggan menunjuk auditor lain atau melakukan audit itu sendiri.

(e) Tidak ada dalam Persyaratan Pemrosesan Data ini yang mengharuskan Google untuk mengungkapkan kepada Pelanggan atau auditor pihak ketiganya, atau mengizinkan Pelanggan atau auditor pihak ketiganya untuk mengakses:

(i) data apa pun dari pelanggan lain mana pun dari Entitas Google;

(ii) informasi keuangan atau akuntansi internal Entitas Google;

(iii) rahasia dagang apa pun dari Entitas Google;

(iv) informasi apa pun yang, menurut pendapat wajar Google, dapat: (A) membahayakan keamanan sistem atau lokasi Entitas Google; atau (B) menyebabkan Entitas Google melanggar kewajibannya berdasarkan Undang-Undang Perlindungan Data Eropa atau kewajiban keamanan dan / atau privasinya kepada Pelanggan atau pihak ketiga mana pun; atau

(v) informasi apa pun yang ingin diakses oleh Pelanggan atau auditor pihak ketiganya dengan alasan apa pun selain untuk memenuhi kewajiban Pelanggan dengan itikad baik berdasarkan Undang-Undang Perlindungan Data Eropa.

8. Penilaian dan Konsultasi Dampak

Pelanggan setuju bahwa Google akan (dengan mempertimbangkan sifat pemrosesan dan informasi yang tersedia untuk Google) membantu Pelanggan dalam memastikan kepatuhan terhadap kewajiban Pelanggan sehubungan dengan penilaian dampak perlindungan data dan konsultasi sebelumnya, termasuk (jika berlaku) kewajiban Pelanggan sesuai dengan ke Pasal 35 dan 36 GDPR, oleh:

(a) menyediakan Dokumentasi Keamanan sesuai dengan Bagian 7.5.1 (Tinjauan Dokumentasi Keamanan);

(b) memberikan informasi yang terkandung dalam Ketentuan Pemrosesan Data ini; dan

(c) menyediakan atau menyediakan, sesuai dengan praktik standar Google, materi lain tentang sifat Layanan Prosesor dan pemrosesan Data Pribadi Pelanggan (misalnya, materi pusat bantuan).

---

_{TRANSLATE to INDONESIA BY @aceh.point
SOURCE: GOOGLE}

---