Fitur Harga Referensi API

Perjanjian Pemrosesan Data (DPA)

v1.0 -- Berlaku sejak Maret 2026

Morlivo berkomitmen untuk memproses data pribadi sesuai dengan Peraturan Perlindungan Data Umum (UE) 2016/679 ("GDPR"), UK GDPR, dan semua undang-undang perlindungan data lain yang berlaku. Perjanjian Pemrosesan Data ini mengatur pemrosesan data pribadi oleh Morlivo ("Pemroses") atas nama pelanggan kami ("Pengendali").

1. Definisi

Untuk tujuan Perjanjian Pemrosesan Data ini:

  • "Data Pribadi" berarti setiap informasi yang berkaitan dengan orang perorangan yang teridentifikasi atau dapat diidentifikasi, sebagaimana didefinisikan dalam Pasal 4(1) GDPR
  • "Pemrosesan" berarti setiap operasi yang dilakukan terhadap Data Pribadi, termasuk pengumpulan, penyimpanan, penggunaan, pengungkapan, atau penghapusan, sebagaimana didefinisikan dalam Pasal 4(2) GDPR
  • "Pengendali" berarti pelanggan yang menentukan tujuan dan cara Pemrosesan Data Pribadi
  • "Pemroses" berarti Morlivo, yang memproses Data Pribadi atas nama Pengendali
  • "Sub-pemroses" berarti pihak ketiga mana pun yang ditunjuk oleh Pemroses untuk memproses Data Pribadi atas nama Pengendali
  • "Subjek Data" berarti orang perorangan yang teridentifikasi atau dapat diidentifikasi yang Data Pribadinya diproses

2. Detail Pemrosesan

Pemroses harus memproses Data Pribadi hanya berdasarkan instruksi terdokumentasi dari Pengendali, termasuk sehubungan dengan transfer Data Pribadi ke negara ketiga, kecuali diwajibkan oleh hukum Uni atau Negara Anggota yang berlaku bagi Pemroses.

Detail pemrosesan adalah sebagai berikut:

  • Pokok bahasan: Penyediaan layanan terjemahan, transkripsi, dan pemrosesan bahasa
  • Durasi: Selama jangka waktu perjanjian layanan yang mendasarinya
  • Sifat dan tujuan: Memproses Konten Pelanggan untuk menyediakan terjemahan, transkripsi, dan layanan bahasa terkait
  • Kategori subjek data: Pengguna akhir dan individu yang datanya terdapat dalam Konten Pelanggan
  • Jenis data pribadi: Nama, informasi kontak, dan data pribadi lainnya yang terkandung dalam materi yang diajukan untuk diproses

3. Langkah-Langkah Keamanan

Pemroses harus menerapkan langkah-langkah teknis dan organisasi yang sesuai untuk memastikan tingkat keamanan yang sesuai dengan risiko, sesuai dengan Pasal 32 GDPR. Langkah-langkah ini meliputi:

  • Enkripsi Data Pribadi saat diam (AES-256) dan saat transit (TLS 1.2+)
  • Kemampuan untuk memastikan kerahasiaan, integritas, ketersediaan, dan ketahanan berkelanjutan dari sistem dan layanan pemrosesan
  • Kemampuan untuk memulihkan ketersediaan dan akses ke Data Pribadi secara tepat waktu dalam hal terjadi insiden fisik atau teknis
  • Pengujian, penilaian, dan evaluasi efektivitas langkah-langkah teknis dan organisasi secara berkala
  • Pseudonimisasi Data Pribadi jika secara teknis layak dan sesuai
  • Kontrol akses ketat berdasarkan prinsip hak akses minimum
  • Pencatatan audit dan pemantauan akses data yang komprehensif

Pemroses harus memastikan bahwa orang-orang yang berwenang memproses Data Pribadi telah berkomitmen terhadap kerahasiaan atau berada di bawah kewajiban kerahasiaan hukum yang sesuai.

4. Sub-pemroses

Pengendali memberikan otorisasi umum kepada Pemroses untuk melibatkan Sub-pemroses. Pemroses harus memelihara daftar Sub-pemroses yang terbaru dan menyediakannya kepada Pengendali atas permintaan. Daftar Sub-pemroses saat ini dipublikasikan di halaman Kebijakan Privasi kami.

Pemroses harus menginformasikan Pengendali tentang setiap perubahan yang dimaksud terkait penambahan atau penggantian Sub-pemroses, memberikan Pengendali kesempatan yang wajar untuk mengajukan keberatan atas perubahan tersebut. Jika Pemroses melibatkan Sub-pemroses, Pemroses harus membebankan kepada Sub-pemroses tersebut, melalui kontrak, kewajiban perlindungan data yang sama sebagaimana ditetapkan dalam DPA ini.

Pemroses tetap bertanggung jawab penuh kepada Pengendali atas pelaksanaan kewajiban Sub-pemroses mana pun berdasarkan DPA ini.

5. Hak Subjek Data

Pemroses harus membantu Pengendali dalam memenuhi kewajibannya untuk merespons permintaan dari Subjek Data yang menggunakan hak mereka berdasarkan Bab III GDPR, termasuk:

  • Hak akses (Pasal 15)
  • Hak pembetulan (Pasal 16)
  • Hak penghapusan (Pasal 17)
  • Hak pembatasan pemrosesan (Pasal 18)
  • Hak portabilitas data (Pasal 20)
  • Hak keberatan (Pasal 21)

Jika Pemroses menerima permintaan dari Subjek Data secara langsung, Pemroses harus segera meneruskan permintaan tersebut ke Pengendali dan tidak boleh merespons Subjek Data secara langsung kecuali diotorisasi oleh Pengendali.

6. Transfer Internasional

Pemroses tidak boleh mentransfer Data Pribadi ke negara ketiga atau organisasi internasional kecuali perlindungan yang sesuai telah diterapkan sebagaimana disyaratkan oleh Bab V GDPR. Mekanisme transfer yang disetujui meliputi:

  • Klausul Kontrak Standar (SCC) yang diadopsi oleh Komisi Eropa (Keputusan Pelaksanaan Komisi (UE) 2021/914)
  • Keputusan kecukupan sesuai Pasal 45 GDPR
  • Aturan Perusahaan yang Mengikat yang disetujui oleh otoritas pengawas yang berwenang

Pelanggan enterprise dapat mengonfigurasi pengaturan residensi data untuk membatasi pemrosesan dan penyimpanan Data Pribadi ke wilayah geografis tertentu (UE, AS, atau APAC), meminimalkan kebutuhan transfer lintas batas.

7. Pemberitahuan Pelanggaran

Pemroses harus memberitahu Pengendali tanpa penundaan yang tidak semestinya, dan dalam hal apa pun selambat-lambatnya empat puluh delapan (48) jam setelah mengetahui adanya pelanggaran Data Pribadi, sebagaimana didefinisikan dalam Pasal 4(12) GDPR.

Pemberitahuan harus mencakup:

  • Deskripsi sifat pelanggaran Data Pribadi, termasuk kategori dan perkiraan jumlah Subjek Data dan catatan yang bersangkutan
  • Nama dan detail kontak titik kontak perlindungan data Pemroses
  • Deskripsi kemungkinan konsekuensi dari pelanggaran tersebut
  • Deskripsi langkah-langkah yang diambil atau diusulkan untuk mengatasi pelanggaran, termasuk langkah-langkah untuk mengurangi dampak buruknya

8. Audit dan Inspeksi

Pemroses harus menyediakan kepada Pengendali semua informasi yang diperlukan untuk menunjukkan kepatuhan terhadap kewajiban yang ditetapkan dalam Pasal 28 GDPR. Pemroses harus mengizinkan dan berkontribusi pada audit, termasuk inspeksi, yang dilakukan oleh Pengendali atau auditor yang ditunjuk oleh Pengendali, dengan tunduk pada pemberitahuan terlebih dahulu yang wajar dan kewajiban kerahasiaan.

9. Jangka Waktu dan Penghapusan Data

DPA ini tetap berlaku selama durasi perjanjian layanan yang mendasarinya. Setelah pengakhiran perjanjian layanan, Pemroses harus, atas pilihan Pengendali, menghapus atau mengembalikan semua Data Pribadi dan menghapus salinan yang ada, kecuali hukum Uni atau Negara Anggota mewajibkan penyimpanan Data Pribadi. Pemroses harus menyatakan secara tertulis bahwa telah mematuhi kewajiban ini atas permintaan Pengendali.

Minta DPA

Untuk meminta Perjanjian Pemrosesan Data, hubungi tim kepatuhan kami. Kami akan bekerja sama dengan Anda untuk menyusun DPA yang memenuhi persyaratan perlindungan data organisasi Anda.

Hubungi Tim Kepatuhan Unduh Templat DPA