Ketentuan Kerahasiaan dan Pemrosesan Data ini (“Ketentuan“) berlaku efektif sejak 01 Juli 2025 dan ditetapkan oleh PT Innovasia Inovasi Indonesia (“Innovasia” atau “Prosesor Data”). Dokumen ini ditujukan kepada [Nama Mitra] (“Mitra” atau “Pengendali Data”) dan mengikat penggunaan Layanan oleh Mitra tanpa memerlukan tanda tangan dari pihak Mitra. Dengan melanjutkan penggunaan Layanan, Mitra dianggap telah membaca, memahami, dan menyetujui Ketentuan ini, serta ketentuan terkait lainnya sebagaimana dirujuk dalam Perjanjian Layanan/MoU/PKS yang berlaku.
Latar Belakang
A. Innovasia menyediakan layanan Software as a Service (SaaS) yang terintegrasi dengan Platform Bisnis WhatsApp untuk manajemen hubungan pelanggan (“Layanan”).
B. Dalam rangka penyediaan Layanan kepada Mitra, Innovasia akan menerima, mengakses, menyimpan, dan memproses informasi tertentu yang bersifat rahasia dan data pribadi yang dikendalikan oleh Mitra.
C. Ketentuan ini mengatur kewajiban terkait kerahasiaan dan pemrosesan data pribadi sesuai dengan hukum yang berlaku, termasuk namun tidak terbatas pada Undang-Undang No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (“UU PDP”) dan ketentuan yang ditetapkan oleh penyedia platform inti.
Pasal 1: Definisi
1.1 “Informasi Rahasia”: seluruh informasi yang diungkapkan oleh Mitra kepada Innovasia atau yang diakses oleh Innovasia dalam penyediaan Layanan, dalam bentuk apa pun, termasuk namun tidak terbatas pada: (a) seluruh basis data yang dihosting Innovasia atas nama Mitra; (b) Data Pribadi; (c) daftar kontak, rincian, dan isi percakapan antara Mitra dan pelanggan akhir; (d) data transaksi, metadata, dan data analitik yang dihasilkan dari aktivitas Mitra di platform Layanan; (e) informasi bisnis, teknis, atau keuangan milik Mitra.
1.2 “Data Pribadi”: data tentang orang perseorangan yang teridentifikasi/teridentifikasi secara tidak langsung, termasuk kategori umum dan spesifik sebagaimana didefinisikan dalam UU PDP.
1.3 “Pengendali Data Pribadi”: pihak yang menentukan tujuan dan kendali pemrosesan Data Pribadi, dalam konteks ini adalah Mitra.
1.4 “Prosesor Data Pribadi”: pihak yang memproses Data Pribadi atas nama Pengendali Data Pribadi, dalam konteks ini adalah Innovasia.
1.5 “Subjek Data”: orang perseorangan yang pada dirinya melekat Data Pribadi yang diproses.
1.6 “Kegagalan Perlindungan Data Pribadi”: kegagalan melindungi kerahasiaan, integritas, dan ketersediaan Data Pribadi, termasuk pelanggaran keamanan yang mengarah pada kerusakan, kehilangan, perubahan, pengungkapan, atau akses tidak sah.
1.7 “Ketentuan Platform”: ketentuan, kebijakan, dan dokumentasi yang berlaku dari Meta/WhatsApp (mis. WhatsApp Business Terms, Messaging Policy, Commerce Policy).
Pasal 2: Kewajiban Kerahasiaan dan Keamanan
2.1 Kerahasiaan. Innovasia menjaga kerahasiaan atas semua Informasi Rahasia dan tidak akan mengungkapkannya kepada pihak ketiga tanpa persetujuan tertulis dari Mitra, kecuali sebagaimana diizinkan dalam Perjanjian ini atau diwajibkan oleh hukum.
2.2 Keamanan. Innovasia menerapkan dan memelihara langkah-langkah keamanan teknis dan organisasional yang sesuai untuk melindungi Informasi Rahasia dari akses, pengungkapan, perubahan, atau penghancuran yang tidak sah atau melanggar hukum. Paling sedikit mencakup:
(a) kontrol akses logis dan fisik;
(b) enkripsi data saat istirahat (at rest) dan saat transit (in transit);
(c) prosedur manajemen insiden dan respons;
(d) pelatihan kesadaran keamanan bagi personel; dan
(e) pencadangan (backup) terjadwal sekurang-kurangnya 1 (satu) kali setiap minggu ke media penyimpanan Cloud Storage (bucket) pada Google Cloud Platform (GCP). Salinan cadangan disimpan terenkripsi, aksesnya dibatasi menggunakan prinsip least-privilege, dan hanya digunakan untuk pemulihan layanan. Innovasia melakukan uji pemulihan (restore) secara berkala untuk memastikan integritas cadangan. Salinan cadangan disimpan sekurang-kurangnya 90 (sembilan puluh) hari dan berlokasi pada region GCP asia-southeast2 (Jakarta).
Pasal 3: Ketentuan Pemrosesan Data Pribadi
3.1 Peran. Mitra adalah Pengendali Data Pribadi dan Innovasia adalah Prosesor Data Pribadi.
3.2 Subjek, Durasi, Sifat, Tujuan. Innovasia hanya memproses Data Pribadi atas nama dan sesuai instruksi tertulis Mitra. Subjek pemrosesan: penyediaan Layanan CRM WhatsApp. Sifat & tujuan: menyimpan, mengelola, dan memfasilitasi komunikasi Mitra-pelanggan melalui platform. Durasi: mengikuti jangka waktu Perjanjian Layanan/MoU/PKS yang berlaku.
3.3 Instruksi Pengendali. Perjanjian ini beserta penggunaan fitur yang dikonfigurasi Mitra merupakan instruksi lengkap dan final. Instruksi tambahan/perubahan harus disampaikan tertulis.
3.4 Kerahasiaan Personel. Personel berwenang terikat kewajiban kerahasiaan.
3.5 Bantuan kepada Pengendali. Innovasia membantu secara wajar (sepanjang memungkinkan) pemenuhan hak Subjek Data, keamanan data, notifikasi Kegagalan Perlindungan Data Pribadi, serta penilaian dampak.
3.6 Sub-Prosesor. Mitra memberikan otorisasi umum bagi Innovasia menunjuk sub-prosesor (termasuk penyedia cloud). Innovasia akan memberitahukan penambahan/penggantian dan mewajibkan perlindungan data setara. Sub-prosesor saat ini termasuk Google Cloud Platform (Cloud Storage) sebagai sarana penyimpanan dan pencadangan data.
Pasal 4: Penggunaan yang Diizinkan dan Larangan
4.1 Informasi Rahasia, termasuk Data Pribadi, hanya digunakan untuk menyediakan Layanan kepada Mitra sesuai Perjanjian Layanan yang berlaku.
4.2 Innovasia dilarang: (a) menjual/menyewakan/memperdagangkan Informasi Rahasia; (b) menggunakannya untuk pemasaran/pengembangan/analisis internal di luar kebutuhan operasional Layanan; (c) memproses untuk tujuan lain selain instruksi Mitra.
Pasal 5: Pengecualian
Kewajiban kerahasiaan tidak berlaku untuk informasi yang: (a) menjadi domain publik bukan karena pelanggaran; (b) diterima sah dari pihak ketiga tanpa kewajiban kerahasiaan; (c) dikembangkan independen tanpa merujuk Informasi Rahasia Mitra; atau (d) wajib diungkap berdasarkan hukum/perintah pengadilan, dengan pemberitahuan layak kepada Mitra.
Pasal 6: Jangka Waktu dan Pengembalian/Pemusnahan Data (Offboarding)
6.1 Durasi Kerahasiaan. Kewajiban kerahasiaan tetap berlaku selama jangka waktu Layanan dan 5 (lima) tahun setelahnya.
6.2 Ekspor atau Hapus. Saat pengakhiran Layanan, atas pilihan Mitra, Innovasia akan: (i) menyediakan 1 (satu) kali ekspor data dalam CSV/JSON (machine-readable) melalui kanal aman; atau (ii) melakukan penghapusan data operasional/aktif milik Mitra. Proses ekspor/penghapusan operasional diselesaikan paling lambat 30 (tiga puluh) hari kalender sejak tanggal pengakhiran atau permintaan tertulis Mitra (mana yang lebih akhir).
6.3 Cadangan. Salinan pada media backup tidak dihapus instan dan akan terhapus melalui siklus retensi sesuai Pasal 2.2(e). Cadangan tidak digunakan operasional, dan tidak dipulihkan setelah pengakhiran kecuali diwajibkan hukum atau untuk pemulihan insiden yang sah selama masa retensi.
6.4 Pernyataan Penghapusan. Atas permintaan Mitra, Innovasia menerbitkan pernyataan penghapusan data setelah proses 6.2–6.3 selesai.
Pasal 7: Notifikasi Pelanggaran
Innovasia wajib memberitahukan Mitra tanpa penundaan yang tidak semestinya setelah mengetahui Kegagalan Perlindungan Data Pribadi atau pelanggaran keamanan lain yang mempengaruhi Informasi Rahasia, termasuk rincian insiden, sifat pelanggaran, dan langkah mitigasi.
Pasal 8: Kepatuhan Mitra dan Ganti Rugi
8.1 Mitra menyatakan dan menjamin bahwa penggunaan Layanan akan mematuhi hukum yang berlaku (termasuk UU PDP) dan seluruh Ketentuan Platform.
8.2 Dengan menggunakan Layanan, Mitra setuju untuk membela, mengganti rugi, dan membebaskan Innovasia, direktur, pejabat, dan karyawannya dari klaim/kerugian/kewajiban/biaya yang timbul dari: (a) pelanggaran hukum atau Ketentuan Platform oleh Mitra; (b) klaim pihak ketiga (termasuk Meta/pelanggan akhir) yang timbul dari penggunaan Layanan oleh Mitra.
Pasal 9: Hukum yang Mengatur dan Penyelesaian SengketaPerjanjian ini diatur oleh hukum Republik Indonesia. Setiap sengketa diselesaikan terlebih dahulu melalui musyawarah; jika tidak tercapai, diselesaikan melalui Pengadilan Negeri Bandung.