Pengantar

DPIA adalah proses terdokumentasi yang dilakukan pengontrol data untuk menjelaskan, menilai, dan mengelola risiko privasi atau perlindungan data pada suatu project, serta untuk menunjukkan kepatuhan terhadap kewajiban privasi atau perlindungan data. Dalam konteks ini, “project” dapat berupa pengalihdayaan oleh organisasi yang melibatkan penggunaan Google Workspace, atau penggunaan Google Workspace for Education untuk mendukung pengajaran, pembelajaran, dan kolaborasi.

Organisasi dapat diwajibkan menyelesaikan DPIA sehubungan dengan data pribadi yang mereka proses sebagai “pengontrol”. Istilah “pengontrol” sebagaimana didefinisikan dalam GDPR pada intinya mendeskripsikan organisasi yang menentukan sendiri cara dan tujuan pemrosesan data pribadi. Kami menyadari bahwa sebagian pelanggan kami mungkin merupakan pemroses data yang bertindak atas nama pihak lain. Namun, Pusat Referensi ini ditujukan terutama untuk organisasi yang menggunakan Layanan Cloud sebagai pengontrol. 

DPIA harus mendeskripsikan:

• Cara dan alasan organisasi Anda memproses data pribadi, serta mengidentifikasi dasar hukum GDPR Anda untuk pemrosesan tersebut.

• Penilaian Anda terhadap kebutuhan dan proporsionalitas pemrosesan itu (alasan organisasi Anda perlu memproses data pribadi untuk mencapai tujuannya). Hal ini mencakup pemroses data, misalnya Google, yang digunakan organisasi Anda untuk mendukung pemrosesan datanya.

• Segala potensi risiko yang telah Anda identifikasi dan tindakan yang akan Anda ambil untuk mengatasi dan memitigasi risiko tersebut. DPIA dapat menjadi cara yang efektif untuk menilai dan menunjukkan kepatuhan proyek Anda terhadap prinsip-prinsip perlindungan data. 

Jika Anda memulai project baru yang melibatkan pemrosesan data pribadi, Anda harus menentukan sejak awal apakah organisasi Anda memerlukan DPIA dan memahami prosesnya. Melakukan DPIA lebih awal juga dapat membantu Anda mengidentifikasi dengan lebih baik perubahan apa pun yang mungkin diperlukan (atau dipilih) untuk dilakukan pada project Anda. Jika Anda menentukan bahwa Anda memerlukan DPIA, GDPR mengharuskan Anda menyelesaikannya sebelum pemrosesan data pribadi dimulai. Lihat Apakah Anda memerlukan DPIA?.

DPIA juga harus ditinjau secara berkelanjutan. Jika ada perubahan signifikan pada cara pemrosesan data pribadi (misalnya, jika Anda memutuskan menggunakan Layanan Cloud untuk workload baru atau untuk memproses set data yang berbeda), Anda harus menilai ulang risikonya dan menentukan apakah ada tindakan tambahan yang mungkin diperlukan untuk menanganinya.

Jika organisasi Anda adalah pengontrol data yang tunduk pada GDPR, organisasi Anda bertanggung jawab menentukan apakah DPIA diperlukan dan menyiapkan DPIA. 

Jika organisasi Anda memiliki Petugas Perlindungan Data (DPO), Anda harus meminta saran mereka saat melakukan DPIA. Anda juga dapat melibatkan tim atau individu lain di organisasi Anda yang memiliki keterampilan dan keahlian yang relevan untuk mendukung proses ini (misalnya tim IT, kepatuhan, atau hukum).

DPIA dapat diselesaikan secara internal atau dialihdayakan kepada penasihat eksternal, tetapi organisasi Anda tetap bertanggung jawab atas proses ini.

Jika organisasi Anda adalah pengontrol data yang tunduk pada GDPR, organisasi Anda harus melakukan DPIA jika pemrosesan data pribadi dalam project Anda berpotensi menimbulkan “risiko tinggi” terhadap hak dan kebebasan individu. Beberapa jenis pemrosesan selalu dianggap “berisiko tinggi” dan akan selalu memerlukan DPIA berdasarkan GDPR. Untuk jenis pemrosesan lainnya, organisasi Anda harus menilai risiko yang terlibat secara objektif. 

Dewan Perlindungan Data Eropa telah memilih penggunaan teknologi baru sebagai salah satu faktor yang dapat mengindikasikan “risiko tinggi” berdasarkan GDPR. Dewan juga telah menerbitkan panduan yang menyatakan bahwa banyak operasi pemrosesan sektor publik yang mengandalkan layanan cloud kemungkinan memerlukan DPIA.

Untuk informasi selengkapnya, lihat bagian "Bagaimana cara memutuskan apakah pemrosesan memenuhi pemicu untuk DPIA?" di bawah ini.

Informasi di bawah ini akan membantu Anda melakukan penilaian awal terkait apakah organisasi Anda perlu melakukan DPIA atau tidak. Namun, sebaiknya Anda tetap meninjau panduan apa pun dari otoritas perlindungan data di negara Anda dan meminta nasihat hukum independen.  

Jika organisasi Anda hanya bertindak sebagai pemroses data yang tunduk pada GDPR, GDPR tidak mewajibkan organisasi Anda menyelesaikan DPIA—meskipun hal itu tetap bisa menjadi latihan kepatuhan yang bermanfaat. 

Jika GDPR berlaku, DPIA akan selalu diwajibkan untuk beberapa aktivitas pemrosesan data. Hal itu berlaku jika project Anda melibatkan salah satu dari hal berikut:

• Pemrosesan data pribadi secara otomatis yang melibatkan evaluasi menyeluruh dan sistematis atas aspek pribadi individu (termasuk pembuatan profil), dan pemrosesan tersebut mendasari keputusan yang menimbulkan dampak hukum (atau yang sama signifikannya) terhadap individu tersebut.

Misalnya, jika organisasi Anda menggunakan Layanan Cloud untuk otomatis (artinya tanpa campur tangan manusia) menganalisis data pribadi yang berkaitan dengan karyawan (misalnya performa kerja mereka), dan hal itu dapat memengaruhi kondisi kerja atau gaji mereka, Anda kemungkinan harus menjalankan DPIA untuk mematuhi GDPR.

• Pemrosesan kategori data khusus dalam skala besar, atau data yang berkaitan dengan pelanggaran atau vonis pidana. 

Misalnya, jika organisasi Anda menggunakan penyimpanan cloud untuk menyimpan set data berskala besar yang berisi data kesehatan individu, seperti rekam medis atau hasil uji klinis, Anda kemungkinan harus menjalankan DPIA untuk mematuhi GDPR.

• Pemantauan sistematis pada area yang dapat diakses publik dalam skala besar. Dalam konteks ini, area yang dapat diakses secara publik adalah area yang terbuka bagi setiap anggota masyarakat.

Misalnya, jika organisasi Anda ingin mengintegrasikan sistem CCTV dengan Layanan Cloud, seperti menyimpan rekaman CCTV lokasi kantor Anda di cloud, kemungkinan Anda harus menjalankan DPIA untuk mematuhi GDPR.

Catatan: Setiap otoritas perlindungan data Eropa telah menetapkan jenis pemrosesan tambahan yang akan selalu mewajibkan DPIA berdasarkan GDPR. Oleh karena itu, Anda harus memeriksa persyaratan tambahan di negara Anda. 

Pemrosesan yang dijelaskan pada bagian di atas akan selalu memerlukan DPIA jika GDPR berlaku. Namun, meskipun pemrosesan oleh organisasi Anda tidak termasuk dalam kategori tersebut, Anda tetap harus menentukan apakah pemrosesan itu berpotensi menimbulkan "risiko tinggi" terhadap hak dan kebebasan individu berdasarkan GDPR.

Jika GDPR berlaku, Anda harus mengevaluasi risiko dalam pemrosesan organisasi Anda secara objektif untuk mengambil keputusan tersebut. Penilaian Anda harus mempertimbangkan sifat, cakupan, konteks, dan tujuan pemrosesan. Dengan kata lain, apa yang Anda lakukan dengan data pribadi Anda dan mengapa, serta semua keadaan di sekitarnya. 

DPIA kemungkinan besar akan diwajibkan oleh GDPR jika pemrosesan tersebut melibatkan penggunaan teknologi baru. Hal ini tidak berarti bahwa setiap dan semua pemrosesan yang melibatkan teknologi baru, secara default, memerlukan DPIA. Namun, jika organisasi Anda menggunakan teknologi inovatif atau aplikasi baru dari teknologi yang ada, penggunaan tersebut harus dianggap sebagai bagian dari penilaian Anda. Sebaiknya pelanggan Layanan Cloud memberi perhatian khusus pada peran teknologi Google Cloud dalam pemrosesannya saat menyiapkan penilaian risiko.

Dewan Perlindungan Data Eropa (EDPB) telah menerbitkan panduan terkait cara menentukan apakah pemrosesan data Anda berpotensi menghasilkan “risiko tinggi” atau tidak menurut GDPR. Panduan ini mencakup sembilan faktor yang merupakan indikator “risiko tinggi” jika GDPR berlaku:

1. Pemrosesan Anda melibatkan pembuatan profil, evaluasi, atau pemberian skor individu (misalnya, penskoran referensi kredit).

2. Anda membuat keputusan otomatis menggunakan data pribadi yang memiliki dampak hukum atau signifikan yang serupa terhadap individu (misalnya, perekrutan secara online atau penolakan permohonan kredit online).

3. Anda memantau individu secara sistematis (misalnya, CCTV atau pelacakan lokasi).

4. Anda memproses data kategori khusus atau data pribadi yang bersifat sangat pribadi (misalnya, rekam medis).

5. Anda memproses data pribadi dalam skala besar. Karena 'skala besar' tidak didefinisikan dalam panduan, ini akan menjadi masalah untuk penilaian Anda.

6. Anda mencocokkan atau menggabungkan set data yang berbeda (misalnya, jika Anda telah memperoleh set data terpisah dari pihak ketiga untuk memperkaya set data yang ada).

7. Anda memproses data tentang individu yang rentan (misalnya, anak-anak atau pasien).

8. Anda menerapkan solusi teknologi atau organisasi yang baru, atau Anda menggunakan teknologi yang inovatif (misalnya, Kecerdasan Buatan).

9. Pemrosesan Anda mencegah individu menggunakan hak atau menggunakan layanan atau kontrak (misalnya, menolak pinjaman seorang individu).

Umumnya, jika pemrosesan data oleh organisasi Anda memenuhi dua atau lebih faktor risiko ini, kemungkinan Anda harus melakukan DPIA berdasarkan GDPR.

Faktor lain yang relevan dengan keputusan Anda adalah apakah organisasi Anda merupakan badan publik atau terlibat dalam pemrosesan data pribadi dalam sektor publik (misalnya departemen pemerintah, dewan lokal, atau kotamadya). EDPB telah menerbitkan panduan yang menyatakan bahwa banyak operasi pemrosesan data sektor publik yang mengandalkan layanan cloud berpotensi menghasilkan “risiko tinggi” berdasarkan GDPR, misalnya karena sensitifnya data atau besarnya skala pemrosesan.

Beberapa otoritas perlindungan data Eropa telah mengembangkan alat penilaian risiko untuk membantu Anda memutuskan apakah Anda perlu menjalankan DPIA atau tidak. Jadi, jika GDPR berlaku, sebaiknya periksa situs otoritas Anda untuk mendapatkan panduan.

Sebagai pengontrol data, organisasi Anda bertanggung jawab menentukan apakah DPIA diperlukan, dan menyiapkan DPIA. Google tidak dapat melakukan DPIA atas nama pelanggan kami, tetapi kami memberikan bantuan dengan menyediakan informasi dan referensi lain yang dapat membantu Anda menyelesaikan DPIA untuk penggunaan Layanan Cloud.

DPIA umumnya terdiri dari beberapa fase utama yang dibahas secara lebih mendetail di bagian ini:

1. Menjelaskan pemrosesan data

2. Menilai kebutuhan dan proporsionalitas

3. Menjelaskan risiko dan cara Anda akan mengelolanya

4. Mengumpulkan input tambahan

5. Mendokumentasikan kesimpulan Anda

Tidak ada format baku untuk DPIA. Beberapa otoritas perlindungan data telah memublikasikan template yang dapat Anda gunakan, atau Anda dapat menggunakan template yang disediakan oleh Google Cloud (lihat Cara Google mendukung DPIA Anda).

Baik menggunakan template maupun membuat format DPIA Anda sendiri, DPIA Anda harus menyertakan:

• Cara dan alasan organisasi Anda akan memproses data pribadi dan mengidentifikasi dasar hukum GDPR Anda yang sah (misalnya, izin, pelaksanaan kontrak, atau kepentingan yang sah).

• Penilaian Anda terhadap kebutuhan dan proporsionalitas pemrosesan (mengapa Anda perlu memproses data pribadi untuk mencapai tujuan Anda).

• Setiap potensi risiko yang telah Anda identifikasi, dan langkah-langkah yang akan Anda ambil untuk mengatasi dan memitigasi risiko tersebut. Langkah ini bisa menjadi cara yang efektif untuk menilai dan menunjukkan kepatuhan proyek Anda terhadap prinsip-prinsip perlindungan data.

Selain itu, memantau aktivitas pemrosesan data secara rutin yang memicu DPIA Anda, serta mengintegrasikan update saat diperlukan, merupakan bagian penting dari keseluruhan siklus proses DPIA. Saat terjadi perubahan penting yang memengaruhi aktivitas pemrosesan data, Anda mungkin perlu meninjau dan memperbarui bagian DPIA yang relevan.

1. Menjelaskan pemrosesan data

Anda diharapkan memberikan deskripsi fungsional tentang pemrosesan data organisasi Anda. Jika Anda melakukannya, pertanyaan berikut akan berguna untuk Anda pertimbangkan:

• Jenis data pribadi apa yang akan digunakan dalam proyek Anda (misalnya, nama, informasi kontak, detail keuangan, email)?

• Tentang siapa data pribadi tersebut (juga dikenal sebagai subjek data) (misalnya, karyawan, pelanggan, siswa Anda)?

• Apa yang menjadi sumber data pribadi? Apakah Anda akan mengumpulkannya langsung dari individu, atau melalui pihak ketiga? 

• Untuk tujuan apa Anda akan menggunakan data tersebut? Dengan kata lain, mengapa Anda memprosesnya?

• Bagaimana Anda akan menggunakan data tersebut? Bagaimana Anda akan menyimpannya? Berapa lama Anda akan menyimpannya?

• Siapa yang akan memiliki akses ke data pribadi tersebut di dalam organisasi Anda?

• Apakah Anda akan membagikan data tersebut dengan siapa pun di luar organisasi Anda?

Anda juga dapat menyertakan diagram, diagram alir, atau alat bantu visual lainnya sebagai bagian dari deskripsi Anda. 

2. Menilai kebutuhan dan proporsionalitas 

Kebutuhan dan proporsionalitas merupakan prinsip utama dalam hukum perlindungan data Eropa, dan mungkin relevan untuk hukum di luar Eropa.

Untuk menunjukkan kebutuhan dan proporsionalitas pemrosesan data Anda jika GDPR berlaku, Anda diharapkan menunjukkan bagaimana organisasi Anda akan mematuhi kewajiban perlindungan datanya berdasarkan GDPR. Penilaian Anda harus menunjukkan bahwa Anda telah mempertimbangkan:

• Apa dasar hukum GDPR Pasal 6 Anda untuk memproses data ini (misalnya izin, pelaksanaan kontrak, kepentingan yang sah, atau lainnya)? Jika Anda mengandalkan kepentingan yang sah, Anda harus menjelaskan kepentingan tersebut.

• Apakah pemrosesan diperlukan untuk mencapai tujuan Anda? Apakah Anda puas jika tidak dapat mencapai tujuan ini tanpa memproses data pribadi?

• Bagaimana Anda memastikan bahwa Anda tidak memproses data pribadi melebihi yang diperlukan? Sudahkah Anda mempertimbangkan untuk melakukan pseudonimisasi atau menganonimkan data?

• Bagaimana Anda akan memberi tahu individu yang bersangkutan bahwa Anda memproses data pribadinya dan memberinya informasi yang diperlukan berdasarkan GDPR (misalnya, kebijakan privasi atau pemberitahuan)?

• Apakah Anda memberi tahu subjek data tentang hak mereka terkait penggunaan data pribadi mereka, misalnya, untuk mengakses data pribadi atau menolak pemrosesannya? Untuk informasi selengkapnya tentang cara Layanan Cloud mendukung hak subjek data, lihat Cara Google mendukung DPIA Anda. 

• Sudahkah Anda menetapkan periode retensi maksimum untuk data pribadi? Bagaimana hal ini dapat dibenarkan, dan tindakan apa yang dapat Anda ambil untuk memastikan data tersebut dihapus pada waktu yang seharusnya?

• Pemroses data mana yang Anda gunakan untuk mendukung pemrosesan Anda? Google Cloud akan menjadi salah satu pemroses data Anda, dan Anda harus mendokumentasikannya di DPIA. Lihat Cara Google mendukung DPIA untuk mengetahui informasi selengkapnya tentang Google dan subpemrosesnya. 

• Jika Anda berbagi data dengan pihak mana pun (misalnya perusahaan eksternal atau anak perusahaan Anda sendiri) yang berbasis di luar Wilayah Ekonomi Eropa di negara yang tidak memberikan tingkat perlindungan data yang memadai (sebagaimana ditentukan oleh Komisi Eropa), pengamanan apa yang Anda terapkan untuk melindungi data di negara ketiga tersebut? Untuk informasi selengkapnya tentang pengamanan Google Cloud untuk transfer data, lihat Bagaimana Google dapat membantu Anda mematuhi prinsip-prinsip perlindungan data? 

• Jika pemrosesan mematuhi Kode Etik yang disetujui oleh otoritas perlindungan data, Anda harus mempertimbangkan hal ini. Untuk mendapatkan informasi tentang kepatuhan Google terhadap Kode Etik Cloud Uni Eropa, lihat Cara Google mendukung DPIA Anda.

3. Menjelaskan risiko dan cara Anda akan mengelolanya

DPIA Anda harus mengidentifikasi risiko terhadap hak dan kebebasan individu yang dapat diakibatkan oleh pemrosesan data organisasi Anda. 

Mengidentifikasi risiko ini merupakan bagian penting dari DPIA: penilaian Anda terhadap dampak sebenarnya dari aktivitas pemrosesan data. Dampak dan risikonya mungkin berbeda-beda bergantung pada aktivitas organisasi Anda, sifat data pribadi, dan individu yang bersangkutan. 

Ada banyak cara untuk menilai dampak dan risiko perlindungan data, dan GDPR tidak mewajibkan pendekatan tertentu. Beberapa otoritas perlindungan data Eropa telah memublikasikan materi dan alat untuk membantu organisasi melaksanakan penilaian ini, yang mungkin berguna bagi Anda.

Berikut adalah beberapa elemen yang kemungkinan akan menjadi bagian dari penilaian Anda.

A) Potensi risiko apa yang harus Anda pertimbangkan?

DPIA Anda harus mempertimbangkan dampak negatif yang dapat terjadi sebagai akibat dari proyek Anda. Sebaiknya posisikan diri Anda sebagai individu yang data pribadinya akan diproses, dan pertimbangkan hal yang dapat membuat mereka khawatir. 

Contoh potensi risiko meliputi:

• Penggunaan data pribadi yang mengejutkan atau tidak terduga untuk individu tersebut.

• Hilangnya kontrol oleh individu atas data pribadi mereka.

• Diskriminasi atau bias.

• Meningkatnya risiko pencurian identitas atau penipuan.

• Penyerangan pada kehidupan pribadi seseorang.

• Hilangnya kerahasiaan.

• Identifikasi ulang data yang dipseudonimisasi.

• Mengungkapkan informasi atau informasi sensitif tentang individu yang rentan (misalnya anak-anak).

• Mengumpulkan informasi yang tidak akurat atau membuat asumsi yang tidak akurat tentang individu.

Dalam penilaian, Anda juga dapat memasukkan risiko Anda sendiri sebagai organisasi, seperti risiko kerusakan reputasi, tindakan regulasi, atau hilangnya kepercayaan publik.

Pertimbangkan juga tingkat risiko, dengan mempertimbangkan kemungkinan dan keparahan potensi bahaya tersebut. Contohnya, sebuah risiko bisa jadi sangat serius, tetapi dalam praktiknya sangat kecil kemungkinannya; di sisi lain, risiko mungkin relatif kecil, tetapi memiliki probabilitas terjadinya yang tinggi. Menetapkan skor risiko numerik mungkin dapat membantu, atau menggunakan pendekatan 'lampu lalu lintas' berwarna merah/kuning/hijau. 

B) Langkah apa yang dapat Anda ambil untuk memitigasi risiko?

Setelah menilai tingkat risiko, Anda harus mengidentifikasi langkah apa pun yang dapat diambil untuk memitigasi risiko tersebut. Contoh langkah-langkah mitigasi meliputi:

• Memutuskan untuk tidak mengumpulkan beberapa data pribadi.

• Melakukan pseudonimisasi data.

• Mengecualikan individu yang rentan dari set data, jika memungkinkan.

• Menerapkan langkah-langkah untuk memastikan tingkat keamanan yang sesuai dengan risiko.

• Menerapkan kebijakan penanganan data internal untuk staf.

• Melatih staf tentang cara menggunakan data pribadi.

• Mengambil langkah tambahan untuk memberi tahu individu tentang bagaimana organisasi akan menangani data pribadi mereka.

• Memberikan pilihan kepada individu terkait bagaimana data pribadi mereka akan digunakan.

Anda tidak perlu menghilangkan seluruhnya semua risiko. Namun, Anda harus dapat mengurangi keseluruhan risiko hingga tingkat yang dapat diterima, sesuai dengan kewajiban Anda berdasarkan GDPR jika berlaku. Saat menilai risiko yang tersisa, Anda dapat memperhitungkan manfaat proyek Anda, termasuk manfaat bagi individu. Jika risiko yang tersisa tetap "tinggi", Anda dapat memutuskan untuk tidak melanjutkan proyek, atau Anda perlu berkonsultasi dengan otoritas perlindungan data Anda sebelum melanjutkannya lebih jauh.

4. Mengumpulkan input tambahan

Jika organisasi Anda memiliki Petugas Perlindungan Data (DPO) dan tunduk pada GDPR, GDPR mewajibkan Anda meminta saran DPO saat menyiapkan DPIA. Anda juga mungkin akan terbantu jika berbicara dengan pemangku kepentingan lainnya di organisasi Anda, misalnya, Tim IT, kepatuhan, atau hukum. 

Bergantung pada sifat proyek dan risiko yang ada, Anda mungkin juga ingin mencari masukan dari individu yang datanya akan Anda proses. Input ini dapat berupa banyak bentuk, sesuai dengan proyek dan lokasi Anda, misalnya, berbicara kepada karyawan Anda untuk menjawab pertanyaan atau masalah yang mungkin mereka miliki; berkonsultasi dengan perwakilan karyawan di organisasi Anda (misalnya, dewan atau komite kerja, jika Anda memilikinya); atau melakukan riset pasar untuk mengetahui pandangan dari pengguna akhir Anda (misalnya, pelanggan Anda jika Anda adalah organisasi ritel). 

5. Mendokumentasikan kesimpulan Anda

Setelah menyelesaikan penilaian, Anda harus mencatat hal berikut di DPIA:

• Risiko pemrosesan data pribadi terencana yang telah Anda identifikasi.

• Langkah-langkah yang akan Anda ambil untuk memitigasi risiko tersebut.

• Sejauh mana sisa risikonya tetap ada, dan seberapa tinggi tingkat sisa risiko tersebut.

• Apakah Anda perlu mengambil langkah tambahan, seperti berkonsultasi dengan otoritas perlindungan data Anda.

Jika GDPR berlaku, dan DPIA Anda menyimpulkan bahwa segala risiko yang teridentifikasi telah dimitigasi secara memadai, Anda dapat memilih untuk melanjutkan pemrosesan tanpa berkonsultasi dengan otoritas perlindungan data organisasi Anda.

Namun, jika GDPR berlaku dan DPIA Anda menyimpulkan bahwa (terlepas dari mitigasi risiko apa pun) pemrosesan tersebut menimbulkan “risiko tinggi”, Anda harus berkonsultasi dengan otoritas perlindungan data sebelum memulai pemrosesan atau memutuskan untuk tidak melanjutkan project tersebut. 

Kami menawarkan dua template DPIA: satu untuk Google Workspace (termasuk Google Workspace for Education) dan satu untuk Google Cloud:

• Template DPIA untuk Google Workspace

• Template DPIA untuk Google Cloud

Template ini dapat menjadi alat yang berguna untuk membantu Anda memikirkan, merencanakan, dan menjalankan DPIA. Meskipun dirancang untuk penggunaan yang berhubungan dengan Layanan Cloud, template ini tidak (dan tidak dapat) mengantisipasi semua kemungkinan kasus penggunaan yang mungkin dimiliki pelanggan kami untuk Layanan Cloud dan, dengan demikian, bersifat generik dan harus diperlakukan sebagai titik awal yang disarankan Google. Selain itu, informasi yang ada di dalamnya bukan merupakan nasihat hukum. Perlu diingat bahwa menyelesaikan DPIA (jika diwajibkan oleh GDPR atau hukum privasi lainnya) merupakan tanggung jawab Anda sebagai pengontrol data. DPIA harus spesifik sesuai dengan kasus penggunaan yang Anda rencanakan untuk Layanan Cloud.

GDPR tidak menetapkan format baku untuk DPIA. Beberapa otoritas perlindungan data Eropa telah menerbitkan template DPIA mereka sendiri, jadi Anda juga perlu melihat format yang mereka sarankan.

Untuk membantu pelanggan kami menjelaskan pemrosesan data yang relevan, Anda dapat menemukan beberapa informasi tentang Layanan Cloud di bawah ini. Anda juga dapat menemukan link ke materi tambahan tentang Layanan Cloud yang dapat membantu menyelesaikan bagian ini di DPIA Anda.

Data pribadi apa yang harus dicakup DPIA?

DPIA Anda harus mencakup data pribadi apa pun yang Anda proses sebagai pengontrol, dan yang termasuk dalam definisi “Data Pribadi Pelanggan” dalam Adendum Pemrosesan Data Cloud (“Cloud Data Processing Addendum/CDPA”). 

Sebagaimana diuraikan dalam Lampiran 1 CDPA, kategori data pribadi yang diproses melalui Layanan Cloud akan mencakup data apa pun yang diberikan kepada Google terkait para individu, melalui Layanan Cloud, oleh (atau sesuai arahan dari) Pelanggan atau Pengguna Akhir. 

Dalam praktiknya, hal ini dapat mencakup:

• Detail pribadi, termasuk informasi apa pun yang mengidentifikasi subjek data dan karakteristik pribadi mereka, termasuk: nama, alamat, detail kontak, usia, tanggal lahir, jenis kelamin, dan deskripsi fisik.

• Detail pekerjaan, termasuk informasi yang berkaitan dengan pekerjaan subjek data, termasuk riwayat pekerjaan dan karier, detail perekrutan dan pemutusan hubungan kerja, catatan kehadiran, penilaian kinerja, catatan pelatihan, dan catatan keamanan.

• Detail keuangan, termasuk informasi yang berkaitan dengan urusan keuangan dari subjek data, termasuk pendapatan, gaji, aset dan investasi, pembayaran, kelayakan kredit, pinjaman, tunjangan, hibah, detail asuransi, dan informasi pensiun.

• Detail pendidikan dan pelatihan, termasuk informasi yang berkaitan dengan pendidikan dan pelatihan profesional apa pun terkait subjek data, termasuk catatan akademis, kualifikasi, keterampilan, catatan pelatihan, keahlian profesional, catatan pelajar.

• Detail pribadi yang diterbitkan sebagai pengenal oleh otoritas publik, termasuk detail paspor, nomor jaminan nasional, nomor kartu identitas, detail surat izin mengemudi.

• Keadaan keluarga, gaya hidup, dan sosial, termasuk informasi apa pun yang berkaitan dengan keluarga subjek data serta gaya hidup dan keadaan sosial subjek data, termasuk detail keluarga dan anggota rumah tangga lainnya, kebiasaan, perumahan, rincian perjalanan, kegiatan rekreasi, dan keanggotaan organisasi amal atau sukarela.

• Data pribadi lain apa pun yang dikontrol oleh organisasi Anda.

Bergantung pada tujuan organisasi Anda menggunakan Layanan Cloud, data pribadi ini dapat mencakup data pribadi kategori khusus sebagaimana didefinisikan oleh GDPR atau hukum privasi lainnya, misalnya data yang mengungkapkan asal ras atau etnis, opini politik, keyakinan agama atau filosofis, atau keanggotaan serikat buruh; data genetik; data biometrik (jika digunakan untuk tujuan identifikasi); atau data yang berkaitan dengan kesehatan, kehidupan seks, atau orientasi seksual.

Informasi tambahan jika Google memproses Data Layanan sebagai pemroses Anda

Terlepas dari pemrosesan Data Pribadi Pelanggan oleh Google, Google juga memproses Data Layanan saat Google menyediakan Layanan Cloud. Berdasarkan Pemberitahuan Privasi Google Cloud, Data Layanan adalah informasi pribadi yang dikumpulkan atau dihasilkan oleh Google selama penyediaan atau penatagunaan Layanan Cloud, tidak termasuk Data Pelanggan. 

Pelanggan Google Workspace for Education dapat melakukan persetujuan persyaratan kontrak dengan Google (yang disebut sebagai Adendum Data Layanan Google Workspace for Education). Dalam persyaratan kontrak ini, pelanggan bertindak sebagai pengontrol Data Layanan, yang meminta Google sebagai pemroses Data Layanan mereka. Terdapat pengecualian untuk pemrosesan Data Layanan terbatas, yakni Google akan terus menjalankan peran sebagai pengontrol. Pelanggan tersebut dapat menggunakan bagian Pusat Referensi ini yang memiliki judul yang sama dengan sub-bagian ini untuk membahas penggunaan Data Layanan di DPIA mereka.

Bagaimana Anda dapat menjelaskan pemrosesan yang terlibat dalam penggunaan Layanan Cloud oleh Anda?

Ketika Anda menjelaskan aktivitas pemrosesan, ada baiknya Anda membaca deskripsi kami tentang layanan dan fitur yang tersedia sebagai bagian dari Layanan Cloud.

• Google Workspace dan Google Workspace for Education adalah alat produktivitas dan kolaborasi. Layanan tersebut dijelaskan dalam Ringkasan Layanan Google Workspace (buka edisi/SKU yang relevan bagi Anda). Jika Anda memerlukan informasi selengkapnya tentang layanan ini, lihat di sini untuk Google Workspace dan di sini untuk Google Workspace for Education.

• Google Cloud terdiri dari lebih dari 150 produk cloud computing, analisis data, dan machine learning. Layanan yang tersedia bagi pelanggan Google Cloud dijelaskan dalam Ringkasan Layanan Google Cloud. Jika Anda memerlukan informasi lebih lanjut tentang layanan ini, lihat di sini.

Untuk alasan kejelasan, Layanan Cloud terpisah dan berbeda dari layanan konsumen umum yang juga ditawarkan Google, seperti YouTube dan Penelusuran. Layanan Cloud tidak membagikan Data Pelanggan apa pun (termasuk Data Pribadi Pelanggan) kepada layanan konsumen tersebut untuk penggunaan komersial (misalnya untuk peningkatan layanan, iklan, atau pelatihan model AI).

Apa arti penggunaan Layanan Cloud bagi tujuan pemrosesan data Anda?

DPIA Anda harus menjelaskan tujuan yang mengharuskan organisasi Anda (sebagai pengontrol) menginstruksikan pemroses untuk memproses data pribadi atas nama organisasi Anda.

Saat menggunakan Layanan Cloud, organisasi Anda melibatkan Google Cloud untuk memproses Data Pribadi Pelanggan guna mendukung tujuan tersebut. Secara khusus, organisasi Anda (sebagai pengontrol) memberikan instruksi kepada Google Cloud (sebagai pemroses) untuk memproses Data Pribadi Pelanggan sesuai dengan perjanjian Layanan Cloud yang berlaku (termasuk CDPA), hanya untuk tujuan berikut:

• Menyediakan, mengamankan, dan memantau Layanan Cloud dan layanan dukungan teknis apa pun yang disediakan berdasarkan perjanjian Layanan Cloud Anda.

• Sebagaimana ditentukan lebih lanjut melalui penggunaan Layanan Cloud dan layanan dukungan teknis yang relevan oleh Anda, atau melalui instruksi tertulis lainnya yang Anda berikan berdasarkan CDPA dan dikonfirmasi oleh Google sebagaimana mestinya.

Google akan mematuhi instruksi Anda sebagaimana dijelaskan dalam CDPA sehubungan dengan pemrosesan tersebut.

Informasi tambahan jika Google memproses Data Layanan sebagai pemroses Anda

Jika Anda adalah pelanggan Google Workspace for Education dan telah memilih untuk menyetujui Adendum Data Layanan Google Workspace for Education, maka petunjuk yang akan diikuti Google Cloud (sebagai pemroses) sehubungan dengan Data Layanan ditetapkan dalam Adendum tersebut.

Pihak ketiga mana saja yang akan memiliki akses ke data pribadi di Layanan Cloud?

DPIA Anda harus mengidentifikasi pihak ketiga mana saja yang akan Anda ajak berbagi data pribadi:

• Saat Anda menggunakan Layanan Cloud, Anda akan membagikan Data Pribadi Pelanggan kepada entitas kontrak Google yang dinyatakan dalam CDPA, yang akan menjadi pemroses data tersebut. Anda dapat memeriksa entitas yang benar di sini.

• Google Cloud juga menggunakan subpemroses untuk melakukan aktivitas terbatas sehubungan dengan Layanan Cloud, seperti layanan dukungan teknis, operasi pusat data, atau pemeliharaan layanan. Jika menyetujui CDPA kami, Anda juga mengizinkan penetapan pihak ketiga tersebut.

Catatan: Anda dapat menemukan daftar subpemroses (dan informasi tentang aktivitas yang dilakukannya) untuk Google Workspace (termasuk Google Workspace for Education) di sini, dan untuk Google Cloud di sini.

Saat subpemroses digunakan, Google berkomitmen untuk memastikan bahwa:

• Setiap subpemroses hanya memiliki akses ke Data Pelanggan (termasuk Data Pribadi Pelanggan) dalam cakupan aktivitas terbatas yang disubkontrakkan padanya, dan melakukannya sesuai dengan perjanjian Layanan Cloud antara Google dan pelanggan (termasuk CDPA).

• kewajiban perlindungan data yang dijelaskan dalam CDPA diberlakukan kepada subpemroses sebagaimana diwajibkan oleh GDPR atau hukum privasi lainnya (jika berlaku).

• Pelanggan kami mendapatkan pemberitahuan awal sebelum subpemroses baru mulai memproses Data Pelanggan apa pun (termasuk Data Pribadi Pelanggan), termasuk nama dan lokasi subpemroses, serta aktivitas yang akan dilakukannya.

Informasi tambahan jika Google memproses Data Layanan sebagai pemroses Anda

Jika Anda adalah pelanggan Google Workspace for Education dan telah memilih untuk menyetujui Adendum Data Layanan Google Workspace for Education, maka Subpemroses Google untuk Informasi Data Pribadi Pelanggan juga akan menjadi Subpemroses Data Layanan, dan tunduk pada komitmen serupa untuk Data Layanan yang ditetapkan dalam Adendum tersebut.

Di mana data disimpan dan diproses?

Mengingat sifat layanan cloud publik kami yang global, kami mengelola fasilitas di semua region (secara global) untuk menyimpan dan memproses Data Pelanggan (termasuk Data Pribadi Pelanggan).

Anda dapat mengetahui informasi selengkapnya tentang lokasi tempat Google dan subpemroses mengelola fasilitas:

Untuk Google Workspace (termasuk Google Workspace for Education):

• Fasilitas Google

• Fasilitas subpemroses 

Untuk Google Cloud:

• Fasilitas Google

• Fasilitas subpemroses

Informasi lebih lanjut mengenai infrastruktur (misalnya, hardware dan jaringan) yang digunakan untuk memproses Data Pelanggan (termasuk Data Pribadi Pelanggan) tersedia di Ringkasan Desain Infrastruktur Keamanan, serta:

• Untuk Google Workspace (termasuk Google Workspace for Education), dalam Laporan Resmi Keamanan Google Workspace.

• Untuk Google Cloud, di Ringkasan keamanan Google.

Kami juga menyadari bahwa beberapa pelanggan menginginkan lebih banyak pilihan dan kontrol atas lokasi Data Pelanggan mereka:

• Untuk Google Cloud: Pelanggan dapat mengonfigurasi layanan yang tercantum di sini untuk menyimpan Data Pelanggan dalam penyimpanan di region khusus atau di multi-region, seperti yang tercantum di Halaman Lokasi Cloud. Komitmen ini tercermin dalam Bagian “Lokasi Data” dalam Persyaratan Khusus Layanan Google Cloud. Selain itu, pelanggan juga dapat menyiapkan Kebijakan Organisasi yang membatasi lokasi fisik resource baru untuk layanan yang didukung.

• Untuk Google Workspace (termasuk Google Workspace for Education): Pelanggan yang menggunakan edisi yang memenuhi syarat dapat memilih menggunakan fitur Region Data kami yang memungkinkan mereka memilih region data (misalnya Eropa) untuk menyimpan Data Pelanggan (termasuk cadangan) dalam penyimpanan mereka yang tercakup. Saat ini, fitur ini berlaku untuk layanan inti Google Workspace dan data yang ditetapkan di sini (yang tercantum di Bagian “Region Data” dalam Persyaratan Spesifik Per Layanan Google Workspace).

Informasi tambahan jika Google memproses Data Layanan sebagai pemroses Anda

Untuk pelanggan Google Workspace for Education yang telah memilih untuk menyetujui Adendum Data Layanan Google Workspace for Education, informasi yang berlaku tentang 'fasilitas Subpemroses' kami dapat ditemukan di link yang relevan dalam Adendum.

Berapa lama Google Cloud menyimpan Data Pelanggan?

Kecuali jika pelanggan kami menghapusnya lebih awal, Google Cloud akan memproses Data Pelanggan tersebut:

• Selama durasi Masa Berlaku CDPA (yang akan berakhir saat penyediaan Layanan Cloud berakhir).

• Selama periode setelah berakhirnya Masa Berlaku hingga data dihapus. Setelah periode pemulihan yang berdurasi maksimum 30 hari, Google akan menghapus data tersebut secepat yang dapat dilakukannya secara wajar dan dalam waktu maksimum 180 hari, sebagaimana dijelaskan dalam CDPA. Jika ingin menyimpan data setelah akhir Masa Berlaku, Anda dapat meminta Google untuk mengembalikannya sebelum Masa Berlaku berakhir menggunakan fungsi bawaan, seperti alat ekspor data.

Anda juga dapat menghapus Data Pelanggan kapan saja selama Masa Berlaku menggunakan fungsi bawaan Layanan Cloud yang Anda gunakan. Jika Anda menggunakan fungsionalitas Layanan Cloud untuk menghapus Data Pelanggan, Google akan menghapus data tersebut secepat yang dapat dilakukannya secara wajar dan dalam waktu maksimum 180 hari, sebagaimana dijelaskan dalam CDPA.

Untuk mengetahui informasi lebih lanjut tentang retensi dan penghapusan:

• Untuk Google Workspace (termasuk Google Workspace for Education), lihat artikel pusat bantuan kami tentang Menghapus atau mengeluarkan pengguna dari organisasi Anda dan Menghapus Akun Google organisasi Anda.

• Untuk Google Cloud, lihat halaman Penghapusan data di Google Cloud.

Perlu diketahui bahwa Anda bertanggung jawab atas salinan data yang mungkin Anda pilih untuk disimpan di luar sistem Google atau subpemrosesnya.

Informasi tambahan jika Google memproses Data Layanan sebagai pemroses Anda

Untuk pelanggan Google Workspace for Education yang telah memilih untuk menyetujui Adendum Data Layanan Google Workspace for Education, komitmen retensi dan penghapusan Google sehubungan dengan Layanan Data ditetapkan dalam Adendum tersebut.

Saat menilai kebutuhan dan proporsionalitas pemrosesan Anda, DPIA harus mencakup berbagai aspek kepatuhan Anda terhadap prinsip-prinsip perlindungan data.

Meskipun, sebagai pengontrol, organisasi Anda bertanggung jawab menunjukkan kepatuhan, Layanan Cloud menawarkan pengamanan, fitur, dan fungsionalitas yang dapat mendukung penilaian Anda.

Bagaimana Google dapat mendukung upaya minimalisasi data Anda?

Selain tindakan teknis dan organisasi yang diterapkan organisasi Anda untuk memastikan bahwa jumlah data pribadi yang diprosesnya hanya sebatas yang diperlukan untuk mencapai tujuan yang dinyatakan, Google Cloud dapat menyediakan fitur, fungsionalitas, dan resource tertentu yang dapat membantu mengurangi jumlah data pribadi yang diproses di Layanan Cloud. Lihat contoh dokumentasi Google Cloud kami tentang Melakukan de-identifikasi data sensitif dan Pseudonimisasi.

Bagaimana cara Google membantu Anda mematuhi hak subjek data?

Sebagai pengontrol data pribadi, organisasi Anda bertanggung jawab memberi tahu individu tentang hak-hak mereka sehubungan dengan data pribadi mereka (misalnya hak akses, penghapusan, dan portabilitas), serta menanggapi segala permintaan dari individu yang menggunakan hak tersebut.

Untuk membantu organisasi Anda mematuhi kewajibannya, Google akan mengizinkan Anda—sesuai dengan fungsionalitas Layanan Cloud—menghapus, mengakses, mengekspor, memperbaiki, atau membatasi pemrosesan Data Pelanggan (termasuk Data Pribadi Pelanggan).

Jika Tim Perlindungan Data Cloud Google menerima permintaan dari individu yang berkaitan dengan Data Pribadi Pelanggan dan mengidentifikasi organisasi Anda, Google akan menyarankan individu tersebut untuk mengirimkan permintaannya kepada Anda. Google akan segera memberi tahu Anda bahwa Google telah menerima permintaan tersebut dan tidak akan menanggapinya tanpa seizin Anda. 

Untuk Google Workspace (termasuk Google Workspace for Education), Panduan Permintaan Subjek Data (DSR) Google Workspace menyediakan informasi lebih lanjut tentang cara menggunakan layanan tersebut untuk membantu Anda merespons permintaan dari subjek data.

Informasi tambahan jika Google memproses Data Layanan sebagai pemroses Anda

Bagi pelanggan Google Workspace for Education yang telah memilih untuk menyetujui Adendum Data Layanan Google Workspace for Education, Google juga menawarkan komitmen yang diuraikan di bagian ini untuk Data Layanan yang diproses Google sebagai pemroses.

Pengamanan apa yang diterapkan untuk transfer data internasional?

Jika GDPR berlaku, baik organisasi Anda (sebagai pengontrol) maupun Google (sebagai pemroses) bertanggung jawab memastikan bahwa segala transfer Data Pribadi Pelanggan (dan Data Layanan, untuk pelanggan Google Workspace for Education yang memilih untuk menyetujui Adendum Data Layanan Google Workspace for Education) ke “negara ketiga” di luar Wilayah Ekonomi Eropa mematuhi persyaratan GDPR terkait transfer data. 

Saat data tersebut ditransfer ke atau diteruskan dari Amerika Serikat yang tunduk pada GDPR, Google saat ini mengandalkan EU-U.S. Data Privacy Framework, atau “DPF”, sebagai Solusi Transfer Alternatif, sebagaimana dijelaskan di https://cloud.google.com/terms/alternative-transfer-solution. DPF mencerminkan keputusan kecukupan oleh Komisi Eropa.

Untuk transfer lain apa pun atas data tersebut yang tunduk pada GDPR ke negara ketiga yang tidak dicakup oleh keputusan kecukupan, kami mengandalkan Klausul Kontrak Standar (SCC) yang disetujui Komisi Uni Eropa, sebagaimana dijelaskan dalam laporan resmi Pendekatan Google Cloud terhadap Klausul Kontrak Standar Eropa. 

Komitmen kontraktual kami sehubungan dengan transfer internasional Data Pribadi Pelanggan diuraikan dalam CDPA. 

Kami juga memberikan informasi tambahan tentang pengamanan teknis, hukum, dan organisasi yang diterapkan Google untuk melindungi transfer data internasional jika GDPR atau hukum perlindungan data Eropa lainnya berlaku:

• Untuk Google Workspace (termasuk Google Workspace for Education), lihat laporan resmi Safeguards for International Data Transfers with Google Workspace and Google Workspace.

• Untuk Google Cloud, lihat laporan resmi Safeguards for International Data Transfers with Google Cloud.

Apakah Google mematuhi Kode Etik yang disetujui?

Google mematuhi Kode Etik Cloud GDPR Uni Eropa sehubungan dengan Layanan Cloud. 

Kode Etik Cloud adalah mekanisme bagi penyedia cloud untuk menunjukkan cara mereka menawarkan jaminan yang memadai guna menerapkan tindakan teknis dan organisasi yang tepat sebagai pemroses berdasarkan GDPR. Lihat di sini untuk mengetahui Layanan Cloud yang termasuk dalam cakupan. 

Kode Etik Cloud telah disetujui oleh Otoritas Perlindungan Data Belgia pada 20 Mei 2021, berdasarkan pendapat positif dari Dewan Perlindungan Data Eropa. 

Setelah Anda menilai risiko pemrosesan data oleh organisasi Anda, DPIA Anda harus menjelaskan rencana mitigasi risiko tersebut. Hal ini biasanya menunjukkan bahwa organisasi Anda telah menerapkan tindakan teknis dan organisasi yang sesuai dengan risiko yang terlibat, termasuk tindakan keamanan data.

Saat Anda menggunakan Layanan Cloud, pemrosesan Data Pelanggan akan mendapatkan manfaat dari:

• Langkah-langkah keamanan terdepan di industri yang diterapkan dan dikelola oleh Google.

• Resource, fitur, fungsi, dan/atau kontrol keamanan tambahan yang tersedia untuk pengguna Layanan Cloud, yang dapat Anda gunakan sesuai pilihan Anda.

• Komitmen kontraktual dari Google terkait tindakan teknis, organisasi, dan fisik. 

Informasi tambahan jika Google memproses Data Layanan sebagai pemroses Anda

Untuk pelanggan Google Workspace for Education yang telah memilih untuk menyetujui Adendum Data Layanan Google Workspace for Education, perubahan ini juga mencakup komitmen kontraktual yang setara terkait langkah-langkah keamanan untuk Data Layanan yang diproses Google sebagai pemroses. 

Jika organisasi Anda menyepakati CDPA, Anda setuju bahwa tindakan ini memberikan tingkat keamanan yang sesuai dengan mengingat risiko yang ada dalam pemrosesan Anda.

Tindakan keamanan apa yang dikelola Google untuk Layanan Cloud?

Sebagai inovator cloud, Google memahami keamanan di dalam cloud. Kami menjadikan keamanan sebagai prioritas utama dalam operasi kami, dan Layanan Cloud dirancang untuk memberikan keamanan yang lebih baik daripada kebanyakan pendekatan lokal lainnya.

Keamanan mendorong struktur organisasi, budaya, prioritas pelatihan, dan proses perekrutan Google. Ini membentuk desain pusat data kami dan teknologi yang dinaunginya. Data ini menjadi pusat operasi sehari-hari kami dan diprioritaskan dalam cara kami menangani Data Pelanggan maupun Data Layanan. Hal ini juga memengaruhi sertifikasi dan laporan audit yang kami kelola.

Anda dapat membaca Security Infrastructure Design Overview Google untuk mengetahui informasi selengkapnya tentang cara infrastruktur teknis kami yang berskala global dirancang untuk menyediakan deployment Layanan Cloud yang aman, komunikasi yang aman antar-layanan, komunikasi yang aman dan pribadi dengan pelanggan melalui internet, dan operasi yang aman oleh administrator.

Anda juga dapat menemukan informasi yang lebih spesifik tentang tindakan teknis dan organisasi yang dikelola oleh Google:

• Untuk Google Workspace (termasuk Google Workspace for Education), lihat Laporan Resmi Keamanan Google Workspace. 

• Untuk Google Cloud, lihat Ringkasan Keamanan Google dan Laporan Resmi Keamanan Google Cloud. 

Referensi tambahan tentang tindakan keamanan organisasi dan teknis Google untuk Layanan Cloud tersedia di Pusat Praktik Terbaik Keamanan dan Pusat Referensi Privasi kami.

Kontrol keamanan opsional apa yang dapat Anda terapkan terhadap penggunaan Layanan Cloud oleh Anda?

Google juga menawarkan kontrol keamanan tambahan opsional untuk membantu pelanggan Layanan Cloud memenuhi kebutuhan keamanan dan kepatuhan mereka. Ini adalah resource, fitur, fungsi, dan kontrol keamanan yang dapat digunakan pelanggan sesuai pilihan mereka, termasuk Konsol Admin, solusi enkripsi, alat logging dan pemantauan, serta pengelolaan akses dan identitas.

Anda dapat menemukan informasi selengkapnya tentang cara organisasi Anda dapat mengonfigurasi Layanan, fitur, dan fungsi Cloud:

• Untuk Google Workspace(termasuk Google Workspace for Education ), Panduan Penerapan Perlindungan Data kami untuk Google Workspace da nGoogle Workspace for Education memberikan informasi tentang cara pelanggan dapat menggunakan dan mengonfigurasi layanan dan setelan yang relevan.

• Untuk Google Cloud, Framework Arsitektur Google Cloud menetapkan praktik terbaik dan rekomendasi implementasi, serta dapat membantu pelanggan mendesain deployment Google Cloud agar sesuai dengan kebutuhan bisnis mereka.

Kami memiliki referensi lain yang tersedia untuk membantu Anda memenuhi kebutuhan keamanan dan kepatuhan di Pusat Praktik Terbaik Keamanan dan Pusat Referensi Privasi kami.

Apa komitmen kontraktual dan lainnya yang diberikan Google?

CDPA menetapkan komitmen kontraktual Google sehubungan dengan Data Pelanggan, termasuk Data Pribadi Pelanggan. Google berkomitmen untuk (antara lain) menerapkan dan memelihara langkah-langkah teknis, organisasi, dan fisik untuk melindungi Data Pelanggan dari kerusakan, kehilangan, perubahan, pengungkapan atau akses yang tidak disengaja atau melanggar hukum.

Tindakan ini dijelaskan secara lebih mendetail dalam Lampiran 2 CDPA, dan mencakup komitmen terkait keamanan pusat data dan jaringan, kontrol akses dan situs, keamanan data, keamanan personel, dan keamanan subpemroses.

Selain itu, Komitmen Privasi Perusahaan Google Cloud kami menjelaskan, dalam istilah yang lebih umum, cara kami membantu melindungi data pelanggan yang menggunakan Layanan Cloud kami:

1. Anda yang mengontrol data Anda: Data Pelanggan adalah data Anda, bukan data Google. Kami hanya memproses data Anda sesuai dengan perjanjian Anda.

2. Kami tidak pernah menggunakan data Anda untuk penargetan iklan: Kami tidak memproses Data Pelanggan Anda untuk membuat profil iklan atau meningkatkan kualitas produk Google Ads.

3. Kami bersikap transparan terkait pengumpulan dan penggunaan data: Kami berkomitmen terhadap transparansi, kepatuhan terhadap peraturan seperti GDPR, dan praktik terbaik privasi.

4. Kami tidak pernah menjual Data Pelanggan atau Data Layanan: Kami tidak pernah menjual Data Pelanggan atau Data Layanan kepada pihak ketiga.

5. Keamanan dan privasi adalah kriteria desain utama untuk semua produk kami: Memprioritaskan privasi pelanggan kami berarti melindungi data yang Anda percayakan kepada kami. Kami membangun teknologi keamanan yang andal ke dalam produk kami.

Informasi tambahan jika Google memproses Data Layanan sebagai pemroses Anda

Jika Anda adalah pelanggan Google Workspace for Education dan telah memilih untuk menyetujui Adendum Data Layanan Google Workspace for Education, komitmen kontraktual Google untuk Data Layanan yang diprosesnya sebagai pemroses ditetapkan dalam Adendum tersebut.

Bagaimana cara Google menangani permintaan dari lembaga penegak hukum?

Google telah mengembangkan proses yang transparan dan menyeluruh yang memenuhi praktik terbaik internasional dalam hal permintaan akses data dari lembaga penegak hukum dan pemerintah. Google Cloud memberikan respons per kasus, dengan mempertimbangkan berbagai keadaan dan didasarkan pada persyaratan hukum, perjanjian pelanggan, dan kebijakan privasi. 

Proses yang akan diikuti Google Cloud sehubungan dengan permintaan tersebut dijelaskan dalam laporan resmi Permintaan Pemerintah untuk Data Pelanggan Cloud kami.

Selain itu, Laporan Transparansi kami mengungkapkan, jika diizinkan oleh hukum yang berlaku, jumlah permintaan yang dibuat oleh lembaga penegak hukum dan lembaga pemerintah untuk informasi pelanggan Enterprise Cloud. 

Bagaimana cara Google Cloud menunjukkan kepatuhan?

Layanan Cloud secara rutin menjalani verifikasi independen atas kontrol keamanan, privasi, dan kepatuhan mereka, serta mendapatkan sertifikasi, pengesahan, dan laporan audit untuk menunjukkan kepatuhan. Pelanggan dapat langsung mengakses dan mendownload berbagai sertifikasi (termasuk ISO 27001, 27017, 27018, dan 27701), laporan audit (termasuk SOC 1, 2, dan 3), serta referensi relevan lainnya melalui Pengelola Laporan Kepatuhan kami. 

Selain itu, dan sebagai demonstrasi dari komitmen berkelanjutan kami untuk melindungi Data Layanan, kami telah memperluas cakupan sertifikasi ISO 27001, 27017, 27018, dan 27701 agar juga menyertakan Data Layanan (tempat kami bertindak sebagai pemroses data tersebut), untuk layanan Google Workspace yang terkait. 

Selanjutnya, seperti yang disebutkan di atas, Google mematuhi Kode Etik Cloud GDPR Uni Eropa, yaitu mekanisme bagi penyedia cloud untuk menunjukkan cara mereka menawarkan jaminan yang memadai untuk menerapkan tindakan teknis dan organisasi yang sesuai sebagai pemroses berdasarkan GDPR.