Perjanjian Pemrosesan Data Pribadi

Data Processing Agreement (DPA) - Terakhir diperbarui: 5 Juni 2026

1. Para Pihak dan Peran

• Pengendali Data adalah Unit, yaitu individu, fasilitas kesehatan, atau organisasi kesehatan yang menentukan tujuan dan sarana pemrosesan data melalui Epidplus
• Prosesor Data adalah Arus Karsa Arthayasa, pengelola Epidplus yang memproses data pribadi atas nama dan berdasarkan instruksi Pengendali Data
• Subjek Data mencakup pasien, kontak kasus, pelapor, kader, petugas, pengguna portal, atau individu lain yang datanya diproses
• Platform mencakup aplikasi Epidplus, portal publik, portal jaringan/jejaring, dashboard publik, API, penyimpanan, dan layanan pendukungnya

2. Ruang Lingkup Pemrosesan

Prosesor memproses data pribadi untuk menyediakan dan mengoperasikan fitur Epidplus, termasuk:

• Pencatatan kasus, pelacakan kontak, laporan W2, buletin SKDR, formulir PE, workspace KLB, sampel, dan intervensi
• Analisis epidemiologi, peta geospasial, sinyal awal, prediksi alert, skrining sindromik, data sasaran, variabel kesehatan, dan kalender epidemiologi
• Portal publik/EBS, portal jaringan/jejaring, dashboard publik, manajemen kader, impor data RME, audit log, langganan, pembayaran, dan bantuan teknis

Durasi pemrosesan berlaku selama Pengendali Data menggunakan Platform atau selama data diperlukan untuk tujuan yang diinstruksikan, kewajiban hukum, keamanan, audit, atau penyelesaian sengketa.

3. Instruksi Pengendali Data

Prosesor hanya memproses data pribadi berdasarkan instruksi Pengendali Data yang diberikan melalui konfigurasi Platform, penggunaan fitur, permintaan dukungan, Kebijakan Privasi, Syarat dan Ketentuan, dan perjanjian ini. Prosesor tidak menggunakan data Unit untuk tujuan lain yang tidak terkait dengan penyediaan layanan, keamanan, kepatuhan, atau instruksi yang sah.

4. Kewajiban Prosesor Data

1. Menjaga kerahasiaan data dan membatasi akses personel berdasarkan kebutuhan kerja
2. Menerapkan langkah keamanan teknis dan organisatoris yang wajar, termasuk isolasi data per Unit, autentikasi, kontrol akses, hashing password, enkripsi koneksi, dan audit log
3. Memproses identifier pasien seperti NIK atau nomor rekam medis menjadi hash satu arah untuk deteksi duplikasi dan tidak menyimpan nilai asli dalam basis data
4. Membantu Pengendali Data memenuhi hak Subjek Data, termasuk akses, koreksi, pembatasan, penghapusan, atau anonimisasi sesuai konteks dan instruksi yang sah
5. Memberitahu Pengendali Data jika terjadi insiden keamanan yang relevan tanpa penundaan yang tidak wajar setelah insiden terkonfirmasi
6. Mengembalikan, menghapus, atau menganonimisasi data setelah hubungan layanan berakhir sesuai instruksi Pengendali Data dan kewajiban hukum yang berlaku

5. Kewajiban Pengendali Data

1. Menentukan tujuan, dasar hukum, cakupan, dan instruksi pemrosesan data pribadi
2. Memastikan persetujuan, mandat, kewajiban hukum, atau dasar pemrosesan lain telah tersedia sebelum data dimasukkan atau diimpor ke Platform
3. Menjaga akurasi data dan memastikan hanya personel berwenang yang memiliki akses
4. Menjaga kerahasiaan kredensial, token portal, tautan publik, dan konfigurasi akses eksternal
5. Meneruskan permintaan hak Subjek Data kepada Prosesor dengan informasi yang cukup agar dapat ditindaklanjuti
6. Memverifikasi seluruh hasil analisis, prediksi, skrining, dan keluaran otomatis sebelum tindakan klinis, epidemiologis, administratif, atau pelaporan resmi

6. Sub-Prosesor dan Infrastruktur

Prosesor dapat menggunakan penyedia infrastruktur cloud, hosting, database, autentikasi, pembayaran, email, analitik teknis, atau layanan pendukung lain sepanjang diperlukan untuk menjalankan Epidplus. Prosesor akan memastikan sub-prosesor tersebut berada di bawah kewajiban kerahasiaan dan perlindungan data yang wajar.

Jika terjadi perubahan sub-prosesor yang berdampak material terhadap pemrosesan data, Prosesor akan menyediakan pemberitahuan yang wajar melalui aplikasi, email, atau dokumen kebijakan.

7. Transfer Data Lintas Batas

Data dapat diproses atau disimpan pada infrastruktur di dalam atau di luar wilayah Republik Indonesia. Prosesor akan menerapkan perlindungan yang wajar sesuai UU PDP, termasuk memastikan tingkat perlindungan yang memadai, perjanjian kontraktual, atau mekanisme lain yang relevan.

8. Audit, Log, dan Informasi Kepatuhan

1. Platform menyediakan audit log untuk aktivitas penting yang dapat digunakan Pengendali Data meninjau penggunaan sistem
2. Prosesor akan menyediakan informasi yang wajar untuk menunjukkan kepatuhan terhadap perjanjian ini, sepanjang tidak membahayakan keamanan sistem, rahasia dagang, atau data Unit lain
3. Permintaan audit teknis yang lebih mendalam harus disepakati secara tertulis, termasuk cakupan, jadwal, kerahasiaan, dan batasan keamanan

9. Pelanggaran Data Pribadi

Setelah pelanggaran data pribadi terkonfirmasi, Prosesor akan memberitahu Pengendali Data dan menyediakan informasi yang tersedia secara wajar, termasuk sifat insiden, kategori data terdampak, langkah mitigasi, dan rekomendasi tindakan. Pengendali Data bertanggung jawab memenuhi kewajiban pemberitahuan kepada Subjek Data dan otoritas sesuai hukum yang berlaku.

10. Pengakhiran dan Retensi

Saat layanan berakhir, Pengendali Data dapat meminta ekspor, penghapusan, atau anonimisasi data sesuai kemampuan teknis Platform dan kewajiban hukum. Data agregat atau data yang telah dianonimisasi dapat dipertahankan untuk statistik, keamanan, audit, peningkatan layanan, atau penelitian yang tidak mengidentifikasi Subjek Data.

11. Hukum yang Berlaku

Perjanjian ini tunduk pada hukum Republik Indonesia. Jika terdapat konflik antara perjanjian ini, Kebijakan Privasi, dan Syarat dan Ketentuan, dokumen ini berlaku untuk hubungan pemrosesan data antara Pengendali Data dan Prosesor, sedangkan dokumen lain tetap berlaku untuk aspek layanan dan penggunaan Platform.

12. Kontak

• Email: aruskarsaarthayasa@gmail.com
• Pengelola: Arus Karsa Arthayasa