DPA Vendor: Apa yang Harus Ada dalam Kontrak dengan Vendor Teknologi Anda

Mengapa DPA Bukan Sekadar Formalitas

Tanggung jawab atas data pribadi pengguna tidak berpindah ke vendor hanya karena Anda menyerahkan pemrosesannya kepada mereka. Sebagai pengendali data, Anda tetap bertanggung jawab atas bagaimana data tersebut diproses, termasuk oleh pihak ketiga yang Anda tunjuk.

Artinya jika vendor Anda mengalami kebocoran data atau memproses data di luar tujuan yang diizinkan, Anda bisa ikut bertanggung jawab secara hukum. DPA yang komprehensif adalah satu-satunya cara untuk mendistribusikan tanggung jawab ini secara adil dan memastikan vendor beroperasi sesuai standar yang Anda tetapkan.

Klausul Minimum yang Wajib Ada

DPA yang memenuhi standar minimum UU PDP harus mencakup instruksi pemrosesan yang spesifik, yaitu untuk tujuan apa saja data boleh diproses dan apa saja yang dilarang. Selanjutnya harus ada kewajiban kerahasiaan bagi personel vendor yang menangani data, standar keamanan teknis dan organisasional yang wajib dipenuhi, ketentuan mengenai sub-prosesor yaitu vendor yang boleh digunakan oleh vendor Anda, kewajiban notifikasi insiden keamanan beserta tenggat waktunya, serta ketentuan pengembalian atau penghapusan data pada akhir kontrak.

Mengatur Sub-Prosesor dengan Tepat

Banyak vendor teknologi menggunakan sub-vendor dalam operasional mereka. Platform SaaS Anda mungkin menggunakan layanan cloud dari provider lain, atau menggunakan tools pihak ketiga untuk pemrosesan tertentu. Data pengguna Anda bisa saja melewati rantai sub-prosesor yang panjang.

DPA harus mengatur apakah vendor diizinkan menggunakan sub-prosesor, mekanisme persetujuan Anda atas penambahan sub-prosesor baru, dan kewajiban vendor untuk memastikan sub-prosesor mereka terikat oleh ketentuan perlindungan data yang setara.

Hak Audit dan Pembuktian Kepatuhan

Memiliki DPA yang bagus di atas kertas tidak cukup jika Anda tidak dapat memverifikasi bahwa vendor benar-benar mematuhinya. Hak audit memberikan Anda kemampuan untuk melakukan pemeriksaan atau meminta laporan kepatuhan dari vendor.

Dalam praktik, melaksanakan audit langsung ke vendor besar seringkali tidak realistis. Alternatif yang lebih umum adalah meminta sertifikasi keamanan seperti ISO 27001 atau SOC 2, atau meminta laporan audit pihak ketiga yang dilakukan secara rutin. DPA harus menentukan mekanisme pembuktian kepatuhan yang dapat diterima oleh kedua belah pihak.