Adendum Pemrosesan Data

Adendum Pemrosesan Data

Terakhir diperbarui: 2025-03-15 11:40:25

Adendum Pemrosesan Data ini (“Adendum”) dibuat dan disepakati antara:

PT KOKEK (selanjutnya disebut “Surveiku”), sebuah perseroan terbatas yang didirikan dan tunduk pada hukum Republik Indonesia, dengan alamat terdaftar di Jl. PrapenIndah J-12 A Surabaya 60299, sebagai penyedia layanan, dan

Pelanggan (“Pelanggan”), yaitu pihak pengguna layanan aplikasi surveiku.com,

yang bersama-sama disebut sebagai “Para Pihak”.

Adendum ini dilampirkan dan menjadi bagian yang tidak terpisahkan dari Syarat dan Ketentuan Layanan Surveiku dan perjanjian lainnya terkait dengan penggunaan layanan(“Perjanjian Utama”).

 

1. DEFINISI

  • Afiliasi: Setiap entitas yang mengendalikan, dikendalikan oleh, atau berada di bawah kendali bersama dengan Surveiku.

  • Layanan yang Dicakup: Semua layanan dan fitur yang tersedia di platform Surveiku, termasuk tetapi tidak terbatas pada sistem survei daring, dashboard analitik, penyimpanan datasurvei, dan fitur lainnya.

  • Data Pribadi: Setiap data yang secara langsung atau tidak langsung dapat mengidentifikasi individu, termasuk tetapi tidak terbatas pada nama, email, nomor telepon, alamat IP, datademografis, dan jawaban survei.

  • Pemrosesan: Segala bentuk pengumpulan, perekaman, pengorganisasian, penyimpanan, penggunaan, pengungkapan, penghapusan, atau bentuk lainnya dari pengolahan data pribadi.

  • Subjek Data: Individu yang datanya dikumpulkan dan diproses melalui layanan Surveiku.

  • Pengendali: Pihak (Pelanggan) yang menentukan tujuan dan cara pemrosesan data pribadi.

  • Pemroses: Surveiku, yang memproses data pribadi atas nama Pelanggan.

  • Sub-Pemroses: Pihak ketiga yang ditunjuk oleh Surveiku untuk membantu memproses data pribadi.

  • Insiden Keamanan: Pelanggaran terhadap sistem yang mengakibatkan akses tidak sah, pengungkapan, kehilangan, atau perubahan data pribadi.

  • Hukum Perlindungan Data yang Berlaku: UU Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi dan hukum internasional yang relevan.

 

2. RUANG LINGKUP PEMROSESAN DATA DAN HUBUNGAN PARA PIHAK

2.1 Surveiku sebagai Pemroses

  • Surveiku bertindak sebagai Pemroses atas Data Pribadi yang dikumpulkan oleh Pelanggan.

  • Pelanggan bertanggung jawab sebagai Pengendali dan menjamin dasar hukum yang sah untuk pengumpulan dan pemrosesan data.

  • Surveiku hanya akan memproses data sesuai dengan instruksi Pelanggan, perjanjian, atau kewajiban hukum.

2.2 Rincian Pemrosesan

Surveiku hanya akan memproses Data Pelanggan untuk tujuan:

  • Sesuai dengan Ketentuan Layanan;

  • Atas inisiatif pengguna akhir dalam menggunakan Layanan yang Dicakup;

  • Sesuai instruksi terdokumentasi yang wajar dari Pelanggan.

Surveiku tidak akan:

  • Memproses, menyimpan, menggunakan, menjual, atau mengungkapkan Data Pelanggan kecuali untuk memberikan Layanan yang Dicakup atau sebagaimana diwajibkan oleh hukum;

  • Menjual Data Pelanggan ke pihak ketiga;

  • Menggunakan Data Pelanggan di luar hubungan bisnis langsung antara Surveiku dan Pelanggan.

Pelanggan bertanggung jawab atas keakuratan, kualitas, dan legalitas Data Pelanggan. Jika Pelanggan adalah Pengendali, maka ia wajib:

  • Memberi tahu dan mendapatkan persetujuan dari subjek data;

  • Menginformasikan bahwa data pengguna akhir dapat diproses di luar negara asalnya.

Jika Pelanggan adalah Pemroses, ia menjamin bahwa semua instruksinya telah diotorisasi oleh Pengendali.

 

3. KERAHASIAAN DATA PELANGGAN

  • Surveiku tidak akan mengungkapkan Data Pelanggan kepada pemerintah atau pihak ketiga, kecuali diwajibkan oleh hukum. Jika memungkinkan, Surveiku akan memberi pemberitahuan kepadaPelanggan agar dapat mengambil tindakan hukum yang diperlukan.

 

4. MODEL TANGGUNG JAWAB BERSAMA TERHADAP KEAMANAN

4.1 Surveiku akan menerapkan langkah-langkah teknis dan organisasi untuk menjaga keamanan, sebagaimana dijelaskan dalam Lampiran 2.

4.2 Dalam hal terjadi insiden keamanan, Surveiku akan segera memberi tahu Pelanggan dan mengambil langkah mitigasi yang diperlukan.

4.3 Pelanggan bertanggung jawab untuk:

  • Mengonfigurasi survei secara benar;

  • Menggunakan kontrol keamanan yang tersedia;

  • Mengamankan, melindungi, dan menghapus Data Pelanggan sebagaimana diperlukan.

 

5. HAK SUBJEK DATA

  • Surveiku akan membantu Pelanggan dalam memenuhi permintaan Subjek Data sesuai hukum perlindungan data yang berlaku.

  • Permintaan yang diterima langsung oleh Surveiku dari Subjek Data akan diteruskan kepada Pelanggan. 

  • Jika Surveiku menerima permintaan langsung dari Subjek Data, Surveiku akan memberi tahu Pelanggan (sepanjang diizinkan hukum), dan jika diminta, akan membantu dengan biayatambahan.

 

6. SUB-PEMPROSES

  • Surveiku dapat menggunakan Sub-Pemroses, termasuk Amazon Web Services, Google Cloud Platform, dan lainnya.

  • Surveiku akan memastikan Sub-Pemroses tunduk pada kewajiban yang setara sebagaimana tercantum dalam Adendum ini.

 

7. INSIDEN KEAMANAN

7.1 Pemberitahuan Insiden Keamanan
Surveiku akan memberitahukan Pelanggan tanpa penundaan yang tidak wajar setelah mengetahui adanya Insiden Keamanan yang berdampak pada DataPribadi. Pemberitahuan ini akan mencakup informasi yang tersedia pada saat itu terkait insiden, termasuk langkah-langkah perbaikan dan mitigasi yang telah atau akan diambil olehSurveiku.

7.2 Bantuan Pelaporan Pelanggaran
Surveiku akan memberikan dukungan wajar secara komersial kepada Pelanggan dalam memenuhi kewajiban pelaporan pelanggaran data kepadaotoritas perlindungan data dan/atau Subjek Data sebagaimana disyaratkan oleh hukum yang berlaku.

7.3 Pengecualian Insiden Gagal
Insiden yang tidak mengakibatkan akses tidak sah atau tidak berdampak pada kerahasiaan, integritas, atau ketersediaan Data Pribadi tidak akandianggap sebagai Insiden Keamanan yang wajib dilaporkan. Contoh termasuk percobaan akses yang gagal, pemindaian port, atau serangan denial-of-service yang tidak berhasil.

7.4 Metode Pemberitahuan
Pemberitahuan atas Insiden Keamanan akan dikirimkan ke alamat email administratif yang terdaftar oleh Pelanggan atau melalui panel admin Surveiku.

7.5 Bukan Pengakuan Kesalahan
Pemberitahuan Insiden Keamanan oleh Surveiku tidak akan dianggap sebagai pengakuan tanggung jawab atau kesalahan dari pihak Surveiku atasinsiden yang terjadi.

 

8. HAK PELANGGAN

8.1 Penilaian Mandiri oleh Pelanggan
Pelanggan bertanggung jawab untuk menilai secara independen apakah Layanan yang Dicakup oleh Surveiku memenuhi standar keamanan danpersyaratan hukum terkait perlindungan data yang berlaku bagi Pelanggan.

8.2 Hak Audit dan Permintaan Informasi
Pelanggan berhak, dalam batas yang wajar, untuk meminta dokumentasi, kebijakan, atau informasi lainnya yang relevan guna memastikankepatuhan Surveiku terhadap Adendum ini. Permintaan harus disampaikan secara tertulis dan tidak mengganggu operasional Surveiku.

8.3 Audit Fisik atau Teknis
Jika diizinkan oleh hukum yang berlaku dan jika diperlukan, Pelanggan dapat mengajukan permintaan audit langsung atau inspeksi sistem teknis danorganisasi Surveiku. Audit tersebut harus disepakati bersama terlebih dahulu dan dilakukan oleh pihak ketiga yang independen serta tunduk pada ketentuan kerahasiaan.

8.4 Konsekuensi Penolakan Audit
Jika Surveiku menolak permintaan audit yang sah dan wajar, Pelanggan berhak untuk menghentikan Adendum ini dan Perjanjian Utama sesuaiketentuan pengakhiran yang berlaku, tanpa penalti.

 

9. TRANSFER INTERNASIONAL

  • Surveiku akan memastikan transfer data ke luar negeri dilakukan dengan perlindungan hukum yang sesuai, seperti Standard Contractual Clauses (SCC).

 

10. PENGHAPUSAN ATAU PENGEMBALIAN DATA

  • Data akan dihapus dalam waktu 30 hari setelah penghentian layanan, kecuali diminta untuk dikembalikan sebelum waktu tersebut.

 

11. AUDIT DAN KEPATUHAN

  • Pelanggan berhak mengajukan permintaan audit atau informasi terkait kepatuhan Surveiku terhadap Adendum ini secara tertulis dan wajar.

 

12. BATASAN TANGGUNG JAWAB

  • Tanggung jawab Surveiku tunduk pada ketentuan Perjanjian Utama.

  • Pelanggan bertanggung jawab penuh atas instruksi dan kepatuhan terhadap hukum perlindungan data.

 

13. MASA BERLAKU ADENDUM

  • Adendum ini berlaku selama masa berlakunya Perjanjian Utama dan akan berakhir setelah penghapusan seluruh Data Pribadi.

 

14. PENUTUP

  • Jika terdapat konflik antara Adendum ini dan Perjanjian Utama, maka ketentuan Adendum ini yang berlaku untuk pemrosesan data pribadi.

 

 

LAMPIRAN 1 – RINCIAN PEMROSESAN

  • Sifat & Tujuan: Pemrosesan untuk memberikan Layanan yang Dicakup.

  • Durasi: Selama Ketentuan Layanan berlaku.

  • Kategori Subjek Data: Pelanggan, mitra, pegawai, pengguna akhir, dll.

  • Kategori Data Pribadi: Nama, alamat, nomor telepon, tanggal lahir, email, dll.

  • Data Sensitif: Dapat termasuk data sensitif; tanggung jawab ada pada Pelanggan.

LAMPIRAN 2 – STANDAR KEAMANAN

  • Langkah-langkah teknis dan organisasi termasuk enkripsi, manajemen akses, firewall, pemantauan, kontrol perubahan, pemulihan bencana, dll.

  • Program privasi dan pelatihan internal dilakukan secara berkala.

LAMPIRAN 3 – SUB-PEMPROSES

  1. Solindo

  2. Google Cloud EMEA Limited

  3. Cloudflare, Inc.

  4. Kirim Email

Views: 411