PhotoRobot
Pusat Kepercayaan
Hukum
Perjanjian Pemrosesan Data (DPA) PhotoRobot
Ketentuan Layanan PhotoRobot
Perjanjian Lisensi PhotoRobot
Dokumen Privasi PhotoRobot - Ikhtisar
Kebijakan Privasi PhotoRobot
Pemberitahuan Privasi GDPR PhotoRobot (Pasal 13)
Perjanjian Pemrosesan Data (DPA) PhotoRobot
Kebijakan Penggunaan yang Dapat Diterima PhotoRobot (AUP)
Perjanjian Tingkat Layanan (SLA) PhotoRobot
Perjanjian Tingkat Layanan (SLA) untuk Perangkat Lunak PhotoRobot
Perjanjian Tingkat Layanan (SLA) untuk Perangkat Keras PhotoRobot
Ketentuan Dukungan Pelanggan PhotoRobot
Kebijakan Cookie PhotoRobot
Kebijakan Persetujuan Pemasaran PhotoRobot
Daftar Sub-Prosesor PhotoRobot
Definisi Hukum & Glosarium PhotoRobot
Terakhir diedit: 29 Des 2025

Perjanjian Pemrosesan Data (DPA) PhotoRobot

Dokumen ini mewakili Perjanjian Pemrosesan Data PhotoRobot: Versi 1.0 — PhotoRobot Edition, uni-Robot Ltd., Republik Ceko.

1. Pesta

Perjanjian Pemrosesan Data ("DPA") ini dibuat antara:

Pengontrol (Pelanggan)
Perorangan atau badan hukum yang telah menandatangani Ketentuan Layanan PhotoRobot dan menggunakan Layanan.

dan

Prosesor:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Praha 1
Republik Ceko
ID Perusahaan: 01478061
ID PPN: CZ01478061
Surel: legal@photorobot.com

Selanjutnya secara kolektif disebut sebagai "Para Pihak".

DPA ini melengkapi Ketentuan Layanan PhotoRobot dan berlaku ketika PhotoRobot memproses data pribadi atas nama Pelanggan.

2. Pokok Pokok & Sifat Pemrosesan

PhotoRobot ("Prosesor") menyediakan layanan berbasis cloud, ekstensi perangkat lunak lokal, manajemen firmware, dan infrastruktur hosting yang diperlukan untuk memproses gambar, metadata, dan konten digital terkait yang diunggah oleh Pelanggan ("Pengontrol").

Pemrosesan meliputi:

  • koleksi
  • penyimpanan
  • Penularan
  • ekstraksi metadata
  • sinkronisasi antara CL ↔ Cloud
  • hosting konten yang diunggah pelanggan
  • pembuatan log dan diagnostik
  • operasi pencadangan

Pemrosesan dilakukan secara ketat atas nama Pengontrol, sesuai dengan instruksi terdokumentasi mereka.

3. Durasi

DPA ini tetap berlaku selama hubungan kontraktual antara Para Pihak, dan setelahnya selama Pemroses menyimpan atau memproses data pribadi apa pun atas nama Pengontrol.

4. Data Pribadi & Kategori Subjek Data

4.1. Jenis Data Pribadi

Bergantung pada bagaimana Layanan digunakan, data yang diproses dapat mencakup:

  • Data identifikasi (nama, nama keluarga, perusahaan)
  • data kontak (email, telepon)
  • Konten visual (gambar, video)
  • metadata yang terkait dengan konten yang diupload
  • data log, alamat IP, pengidentifikasi teknis
  • Data tingkat proyek
  • kredensial (hash), token akses

Pemroses tidak memerlukan atau dengan sengaja memproses kategori data khusus (Pasal 9 GDPR).

4.2. Kategori Subjek Data

  • Karyawan pelanggan
  • Klien atau mitra pelanggan
  • Pengguna Resmi
  • Setiap individu yang ditampilkan dalam konten visual yang diunggah oleh Pelanggan

Pelanggan bertanggung jawab penuh untuk memastikan pengumpulan data yang sah dari subjek data.

5. Instruksi dari Pengontrol

Pemroses hanya memproses data pribadi:

  1. menurut instruksi terdokumentasi Pengontrol,
  2. sebagaimana diperlukan untuk menyediakan Layanan,
  3. untuk memastikan keamanan, integritas, dan ketersediaan sistem,
  4. sebagaimana diwajibkan oleh hukum UE atau Ceko.

Jika Prosesor menganggap instruksi melanggar hukum, Pemroses harus memberi tahu Pengontrol.

6. Kerahasiaan

Pemroses memastikan bahwa semua orang yang berwenang untuk memproses data pribadi:

  • tunduk pada kewajiban kerahasiaan,
  • telah menerima pelatihan yang sesuai,
  • memproses data hanya berdasarkan instruksi dari Pengontrol.

7. Sub-Prosesor

Pemroses menggunakan pihak ketiga tertentu ("Sub-Pemroses") untuk mendukung Layanan.

7.1. Sub-Pemroses yang Disetujui

Pengontrol memberikan otorisasi umum bagi Pemroses untuk melibatkan kategori Sub-Pemroses berikut:

  • penyedia infrastruktur cloud (misalnya, Google Cloud Platform)
  • Penyedia pengiriman email
  • penyedia analitik
  • Sistem Tiket
  • Layanan pemantauan keamanan
  • Sistem pencadangan dan pemulihan bencana

Daftar lengkap disimpan dalam Daftar Sub-Prosesor PhotoRobot dan dapat diperbarui.

7.2. Pemberitahuan Perubahan

Pemroses harus memberi tahu Pengontrol tentang setiap perubahan yang dimaksudkan pada Sub-Pemroses setidaknya 15 hari sebelumnya, memungkinkan Pengontrol untuk menolak dengan alasan yang wajar.

8. Transfer Data Internasional

Jika Sub-Pemroses atau infrastruktur berlokasi di luar EEA, Pemroses memastikan:

  • penerapan Klausul Kontrak Standar (SCC 2021),
  • perlindungan teknis dan organisasi tambahan,
  • akses dan enkripsi yang diminimalkan,
  • audit kepatuhan oleh penyedia yang mendasarinya.

Google Cloud Platform menyediakan:

  • ISO 27001, ISO 27017, ISO 27018
  • Laporan SOC 1/2/3
  • Dokumentasi kepatuhan GDPR

Detail tersedia di https://cloud.google.com/security.

9. Langkah-langkah Keamanan

Pemroses harus menerapkan langkah-langkah teknis dan organisasi (TOM) standar industri, termasuk:

9.1. Tindakan Teknis

  • Enkripsi TLS data dalam transit
  • Penyimpanan aman dengan token akses terenkripsi
  • lingkungan pemrosesan terisolasi
  • hashing kata sandi
  • Batas laju dan sistem deteksi intrusi
  • Firewall multi-layer
  • keamanan pusat data fisik (melalui Google Cloud)

9.2. Langkah-langkah Organisasi

  • Kontrol akses berbasis peran
  • Pencatatan dan pemantauan akses
  • Kebijakan internal untuk penanganan data
  • Kewajiban Kerahasiaan Karyawan
  • pelatihan keamanan berkala
  • Manajemen Risiko Vendor

Daftar lengkap TOM tersedia berdasarkan permintaan.

10. Hak Subjek Data

Prosesor membantu Pengontrol dalam menanggapi:

  • Permintaan akses
  • Perbaikan
  • Penghapusan
  • Pembatasan
  • Portabilitas Data
  • Keberatan

Pemroses harus meneruskan permintaan langsung dari subjek data kepada Pengendali tanpa penundaan yang tidak semestinya.

11. Pemberitahuan Pelanggaran Data

Jika terjadi pelanggaran data pribadi, Pemroses harus memberi tahu Pengontrol:

  • tanpa penundaan yang tidak semestinya,
  • termasuk semua informasi yang diwajibkan oleh Pasal 33 GDPR,
  • dan memberikan pembaruan berkelanjutan hingga remediasi selesai.

Pengontrol tetap bertanggung jawab untuk memberi tahu pihak berwenang dan individu yang terkena dampak.

12. Penghapusan atau Pengembalian Data

Setelah pengakhiran kontrak:

  • Prosesor menghapus Data Pelanggan setelah 30 hari,
  • kecuali diinstruksikan lain oleh Pengontrol,
  • kecuali jika penyimpanan diwajibkan oleh hukum.

Cadangan ditimpa selama siklus hidup normalnya.

13. Audit

Pengontrol berhak untuk:

  • menerima dokumentasi yang membuktikan kepatuhan GDPR
  • meminta laporan tentang TOM
  • melakukan audit yang wajar, dibatasi hingga sekali setahun
  • mengandalkan sertifikasi pihak ketiga (laporan ISO/SOC dari Google Cloud)

Audit tidak boleh membahayakan keamanan atau mengganggu operasi.

14. Tanggung jawab

Tanggung jawab Para Pihak mengikuti Ketentuan Layanan.
Pemroses hanya bertanggung jawab atas pelanggaran yang disebabkan oleh pelanggaran kewajiban GDPR sendiri.

15. Hukum & Yurisdiksi yang Mengatur

DPA ini diatur oleh hukum Republik Ceko.

Perselisihan akan diselesaikan oleh pengadilan di Praha, Republik Ceko.

16. Klausul Kontrak Standar (SCC)

Jika diperlukan, SCC 2021 (Modul 2: Pengontrol → Prosesor) berlaku sebagai lampiran DPA ini.

PhotoRobot:

  • menggabungkan SCC dengan referensi,
  • mencakup semua klausul wajib,
  • menerapkan langkah-langkah teknis tambahan
  • memastikan kepatuhan untuk transfer ke sub-pemroses di luar EEA.

SCC dapat diberikan secara penuh berdasarkan permintaan.

17. Kontak

uni-Robot Ltd.
Vodičkova 710/31
110 00 Praha 1
Republik Ceko

Surel: legal@photorobot.com