ChatpilotChatpilot
Coba Gratis
Kembali ke beranda

Data Processing Agreement

Perjanjian Pemrosesan Data (PPD) antara Chatpilot sebagai Pemroses Data dan Pelanggan sebagai Pengendali Data, sesuai UU No. 27/2022 tentang Pelindungan Data Pribadi.

Terakhir diperbarui:

Ringkasan: apa itu DPA?

Data Processing Agreement (DPA) — atau dalam istilah UU PDP Indonesia disebut Perjanjian Pemrosesan Data — adalah kontrak B2B yang mengikat antara dua pihak dengan peran berbeda:

  • Pengendali Data (Data Controller) — pihak yang menentukan tujuan dan cara pemrosesan data pribadi. Dalam konteks Chatpilot, ini adalah Anda (Pelanggan), karena Anda yang punya hubungan langsung dengan Pelanggan Akhir Anda (customer toko Anda) dan menentukan bagaimana data mereka digunakan.
  • Pemroses Data (Data Processor) — pihak yang memproses data atas instruksi Controller. Dalam konteks ini, Chatpilot adalah Processor — kami menjalankan AI agent, menyimpan percakapan, dan men-sinkron data POS atas nama Anda.

DPA ini wajib ada secara hukum (UU PDP Pasal 51) ketika Controller menugaskan Processor untuk memproses data pribadi. DPA otomatis mengikat antara Chatpilot dan Anda sejak Anda menyetujui Syarat & Ketentuan. Versi terpisah yang ditandatangani manual tersedia untuk klien Enterprise atas permintaan.

1. Para Pihak

Perjanjian ini dibuat antara:

  • "Chatpilot" — layanan SaaS AI agent WhatsApp, bertindak sebagai Pemroses Data (Processor).
  • "Pelanggan" — entitas bisnis pelanggan Chatpilot, bertindak sebagai Pengendali Data (Controller) atas data Pelanggan Akhir-nya.

2. Definisi

  • Data Pribadi — informasi tentang individu yang teridentifikasi atau dapat diidentifikasi, sebagaimana didefinisikan UU PDP.
  • Pelanggan Akhir — customer dari Pelanggan Chatpilot yang berinteraksi dengan AI agent.
  • Sub-processor — pihak ketiga yang ditunjuk Chatpilot untuk memproses data atas nama Pelanggan (mis. Anthropic, Supabase).
  • Pelanggaran Data — kebocoran, hilangnya, atau akses tidak sah terhadap Data Pribadi.

3. Ruang Lingkup & Tujuan Pemrosesan

AspekDetail
Subjek pemrosesanPenyediaan layanan AI agent WhatsApp, sinkronisasi POS, dashboard inbox, dan fitur terkait.
DurasiSelama Pelanggan berlangganan layanan Chatpilot, plus periode retensi pasca-terminasi (lihat Bagian 9).
Sifat pemrosesanPengumpulan, penyimpanan, pengiriman ke LLM API, pengambilan data dari POS, pengiriman pesan ke WhatsApp.
TujuanMembalas pesan Pelanggan Akhir secara otomatis dengan informasi kontekstual dari bisnis Pelanggan.
Kategori subjek dataPelanggan Akhir (customer toko/jasa), karyawan/admin Pelanggan yang punya akses dashboard.
Kategori dataNomor HP, nama profil WA, isi percakapan, identifier produk & order, metadata interaksi.

4. Kewajiban Chatpilot sebagai Processor

Chatpilot berjanji untuk:

  • Memproses Data Pribadi hanya berdasarkan instruksi tertulis Pelanggan (instruksi standar tertanam dalam konfigurasi dashboard dan API).
  • Menjamin bahwa personel yang berwenang mengakses data terikat kewajiban kerahasiaan yang setara dengan ketentuan ini.
  • Menerapkan langkah-langkah keamanan teknis dan organisasional yang tepat (lihat Bagian 6).
  • Membantu Pelanggan memenuhi kewajiban menanggapi permintaan dari Pelanggan Akhir tentang hak mereka.
  • Memberitahu Pelanggan dalam 72 jam setelah menyadari adanya Pelanggaran Data, sesuai Pasal 46 UU PDP.
  • Atas pemutusan layanan, menghapus atau mengembalikan seluruh Data Pribadi sesuai pilihan Pelanggan (kecuali kewajiban retensi hukum).

5. Kewajiban Pelanggan sebagai Controller

Pelanggan berjanji untuk:

  • Memastikan adanya dasar hukum (persetujuan / kepentingan sah / dasar lain dalam Pasal 20 UU PDP) untuk memproses Data Pribadi Pelanggan Akhir.
  • Menerbitkan pemberitahuan privasi yang sesuai kepada Pelanggan Akhir di kanal Pelanggan sendiri.
  • Tidak menggunakan layanan Chatpilot untuk memproses data sensitif khusus (data kesehatan, biometrik, data anak, data keuangan rinci) tanpa kesepakatan tambahan secara tertulis.
  • Memastikan instruksi yang diberikan kepada Chatpilot mematuhi UU PDP dan peraturan lain yang relevan.

6. Langkah Keamanan

Chatpilot menerapkan kontrol keamanan berikut:

  • Enkripsi: TLS 1.3 in-transit; AES-256 at-rest untuk database dan storage.
  • Isolasi multi-tenant: Row-Level Security (RLS) Postgres mencegah data antar-tenant ter-mix.
  • Manajemen kunci: token Meta & kredensial POS disimpan terenkripsi dengan kunci terpisah per-tenant.
  • Kontrol akses: least-privilege; akses internal hanya untuk personel yang membutuhkan dan ter-audit.
  • Backup: backup terenkripsi rutin; retensi 30 hari; pengujian restore berkala.
  • Logging: audit log untuk akses dan operasi sensitif.
  • Network: firewall, rate-limiting, perlindungan DDoS via Cloudflare.
  • Pemulihan bencana: RPO 24 jam, RTO 4 jam untuk Enterprise (kesepakatan khusus dimungkinkan).

7. Sub-processors

Pelanggan memberikan otorisasi umum kepada Chatpilot untuk menunjuk sub-processor berikut dalam menjalankan layanan:

Sub-processorTujuanLokasi
Anthropic, PBCLLM API (Claude) untuk pemrosesan AI agentAmerika Serikat
OpenAI, L.L.C.LLM API (GPT) alternatif (opsional, sesuai konfigurasi)Amerika Serikat
Supabase, Inc.Database Postgres, auth, storage, realtimeSingapore (ap-southeast-1)
Hetzner Online GmbHHosting server aplikasi (NestJS API, Redis, BullMQ)Singapore (Hetzner SG)
Meta Platforms, Inc.WhatsApp Business Cloud APIGlobal (sesuai infrastruktur Meta)
Cloudflare, Inc.CDN, DNS, tunnel (Connector Agent)Global edge network
Vercel, Inc.Hosting landing page & dashboard frontendSingapore (sin1) + global edge

Chatpilot akan memberi tahu Pelanggan tentang penambahan atau penggantian sub-processor minimal 30 hari sebelum perubahan efektif. Pelanggan dapat mengajukan keberatan tertulis dalam masa notifikasi tersebut; jika tidak ada solusi, Pelanggan berhak mengakhiri layanan tanpa penalti.

8. Transfer Data Lintas Negara

Transfer Data Pribadi ke sub-processor di luar Indonesia dilakukan dengan memenuhi salah satu syarat berikut sesuai Pasal 56 UU PDP:

  • Negara penerima memiliki tingkat pelindungan yang setara atau lebih tinggi dari Indonesia, atau
  • Tersedia jaminan kontraktual berupa Standard Contractual Clauses (SCC) atau dokumen serupa yang ditandatangani Chatpilot dengan sub-processor terkait.

9. Penghapusan & Pengembalian Data

Atas pemutusan layanan oleh salah satu pihak, Chatpilot akan:

  • Memberikan periode 30 hari pasca-terminasi bagi Pelanggan untuk mengekspor data (via API atau dashboard).
  • Menghapus seluruh Data Pribadi dari sistem primer dalam 90 hari setelah masa ekspor berakhir.
  • Memastikan backup yang masih memuat data Pelanggan dihapus dalam rotasi backup berikutnya (maksimal 30 hari setelah penghapusan primer).
  • Memberikan sertifikat penghapusan (Certificate of Destruction) atas permintaan tertulis Pelanggan Enterprise.

10. Hak Audit

Pelanggan berhak melakukan audit terhadap kepatuhan Chatpilot atas DPA ini dengan ketentuan:

  • Audit diberitahukan tertulis minimal 30 hari sebelumnya.
  • Maksimal 1 kali per tahun kalender (kecuali setelah Pelanggaran Data).
  • Tidak mengganggu operasional Chatpilot atau pelanggan lain.
  • Sebagai alternatif, Chatpilot dapat menyediakan laporan audit dari pihak ketiga independen (SOC 2 / ISO 27001) jika tersedia.

11. Pemberitahuan Pelanggaran Data

Apabila terjadi Pelanggaran Data, Chatpilot akan:

  • Memberi tahu Pelanggan terdampak dalam 72 jam sejak mengetahui kejadian.
  • Menyertakan informasi: sifat pelanggaran, kategori & jumlah subjek data terdampak, potensi konsekuensi, langkah mitigasi yang telah/akan diambil.
  • Membantu Pelanggan memenuhi kewajiban notifikasi ke otoritas dan Pelanggan Akhir sesuai Pasal 46 UU PDP.

12. Tanggung Jawab

Pembatasan tanggung jawab Chatpilot atas DPA ini tunduk pada pembatasan yang sama dalam Syarat & Ketentuan, kecuali untuk kewajiban yang timbul dari pelanggaran berat ketentuan kerahasiaan atau keamanan data.

13. Jangka Waktu & Pemutusan

DPA ini berlaku selama Pelanggan berlangganan layanan Chatpilot dan tetap berlaku setelahnya untuk kewajiban yang belum diselesaikan (mis. retensi data, pelaporan pelanggaran tertunda). Pemutusan DPA mengikuti pemutusan Syarat & Ketentuan utama.

14. Ketentuan Pelengkap

Bila terjadi pertentangan antara DPA ini dan Syarat & Ketentuan, ketentuan DPA berlaku untuk hal-hal yang berkaitan dengan pemrosesan Data Pribadi. Untuk hal lain, Syarat & Ketentuan berlaku.

15. Hukum yang Berlaku

DPA ini diatur oleh hukum Republik Indonesia, terutama UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi dan peraturan pelaksanaannya. Penyelesaian sengketa mengikuti Pasal 14 dari Syarat & Ketentuan.

16. Kontak

  • Petugas Pelindungan Data (DPO): privacy@chatpilot.id
  • WhatsApp Enterprise & Legal: +62 811-3361-448

Catatan: dokumen ini adalah template awal untuk operasional Chatpilot dan belum direview oleh penasihat hukum bersertifikat. Sebelum digunakan untuk transaksi enterprise atau dilanjutkan ke kesepakatan komersial besar, harap konsultasikan dengan kuasa hukum yang kompeten di yurisdiksi Indonesia.