Data Processing Agreement (DPA)

Terakhir diperbarui: 26 April 2026

1. Pendahuluan

Data Processing Agreement ("DPA") ini merupakan dokumen pelengkap dari perjanjian layanan utama (Master Services Agreement) antara Dewata Tech ("Prosesor") dan Klien ("Pengendali"). DPA ini berlaku setiap kali Dewata Tech memproses Data Pribadi atas nama Klien dalam rangka penyediaan layanan pengembangan website, hosting, analitik, lead capture, sistem booking properti, dan layanan terkait lainnya.

DPA ini disusun untuk memenuhi kewajiban berdasarkan Undang-Undang Republik Indonesia No. 27 Tahun 2022 tentang Pelindungan Data Pribadi ("UU PDP"). Bagi Klien internasional, DPA ini juga merujuk pada prinsip General Data Protection Regulation (GDPR) Uni Eropa, khususnya Pasal 28 mengenai hubungan Pengendali dan Prosesor. Apabila terdapat pertentangan antara DPA ini dengan perjanjian utama, ketentuan DPA ini akan berlaku khusus untuk perlindungan data.

2. Definisi

Untuk keperluan DPA ini, istilah berikut memiliki arti sebagai berikut:

Pengendali (Controller): Klien yang menentukan tujuan dan cara pemrosesan Data Pribadi, sebagaimana didefinisikan dalam Pasal 1 angka 4 UU PDP.
Prosesor (Processor): Dewata Tech yang memproses Data Pribadi atas nama dan berdasarkan instruksi tertulis Pengendali, sebagaimana didefinisikan dalam Pasal 1 angka 5 UU PDP.
Data Pribadi (Personal Data): Setiap data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi, baik secara langsung maupun tidak langsung, baik bersifat umum maupun spesifik, sesuai Pasal 1 angka 1 UU PDP.
Subjek Data (Data Subject): Orang perseorangan yang Data Pribadinya melekat pada dirinya, mencakup pengunjung website, lead, tamu booking villa, klien properti, dan karyawan Pengendali.
Sub-Prosesor (Sub-Processor): Pihak ketiga yang ditunjuk oleh Prosesor untuk memproses Data Pribadi atas nama Pengendali, termasuk penyedia hosting, analitik, dan platform iklan.
Pelanggaran Data (Data Breach): Insiden keamanan yang mengakibatkan akses tidak sah, kehilangan, perubahan, atau pengungkapan Data Pribadi yang diproses.

3. Lingkup dan Objek Pemrosesan

DPA ini mengatur pemrosesan Data Pribadi yang dilakukan Dewata Tech dalam rangka memberikan layanan kepada Klien. Lingkup pemrosesan mencakup:

Hosting website dan aplikasi: Penyimpanan konten, file media, dan database yang berisi Data Pribadi visitor atau pelanggan Klien.
Analitik dan pelacakan: Pengumpulan data perilaku pengunjung melalui Google Analytics 4, Microsoft Clarity, dan Meta Pixel atas instruksi Klien.
Lead capture dan formulir kontak: Pemrosesan nama, email, nomor telepon, perusahaan, dan pesan yang dikirim melalui formulir Klien.
Sistem booking dan property management: Untuk klien villa, hotel, dan agensi real estate, pemrosesan data tamu booking, calon pembeli, dan inquiry properti.
Email transaksional dan notifikasi: Pengiriman konfirmasi booking, balasan inquiry, dan notifikasi sistem atas nama Klien.

Durasi pemrosesan adalah selama perjanjian layanan berlaku, ditambah periode retensi yang disepakati untuk keperluan backup dan kepatuhan hukum.

4. Peran dan Tanggung Jawab

Klien bertindak sebagai Pengendali yang menentukan tujuan, dasar hukum, dan cara pemrosesan Data Pribadi. Klien bertanggung jawab atas keabsahan persetujuan Subjek Data, transparansi terhadap Subjek Data, dan kepatuhan terhadap UU PDP serta peraturan lain yang berlaku pada bisnis Klien.

Dewata Tech bertindak sebagai Prosesor yang memproses Data Pribadi semata-mata atas instruksi tertulis Klien. Dewata Tech tidak akan menggunakan Data Pribadi Klien untuk tujuan internal Dewata Tech, tidak menjual atau membagikan data kepada pihak ketiga di luar Sub-Prosesor yang disetujui, dan tidak melakukan pemrosesan tambahan tanpa persetujuan tertulis Klien.

5. Kewajiban Prosesor

Sebagai Prosesor, Dewata Tech berkomitmen pada kewajiban berikut:

Memproses Data Pribadi hanya berdasarkan instruksi tertulis Pengendali yang terdokumentasi, termasuk untuk transfer Data Pribadi ke negara lain, kecuali diwajibkan oleh hukum Indonesia.
Menjamin kerahasiaan dengan mewajibkan seluruh staf, kontraktor, dan personel yang memiliki akses ke Data Pribadi untuk menandatangani perjanjian kerahasiaan (Non-Disclosure Agreement).
Menerapkan langkah-langkah keamanan teknis dan organisasi yang sesuai sebagaimana diatur dalam Bagian 8 DPA ini.
Memberikan notifikasi pelanggaran data kepada Pengendali dalam waktu paling lambat 72 jam sejak Prosesor mengetahui adanya pelanggaran, sesuai Pasal 46 ayat 3 UU PDP, dengan menyertakan informasi mengenai sifat pelanggaran, kategori dan jumlah Subjek Data yang terdampak, serta langkah mitigasi.
Membantu Pengendali memenuhi kewajibannya kepada Subjek Data dan otoritas pengawas, termasuk dalam hal Data Protection Impact Assessment (DPIA) jika diperlukan.
Menghapus atau mengembalikan seluruh Data Pribadi pada akhir penyediaan layanan, sesuai pilihan Pengendali, kecuali penyimpanan diwajibkan oleh hukum yang berlaku.

6. Sub-Prosesor

Pengendali memberikan otorisasi umum kepada Dewata Tech untuk menggunakan Sub-Prosesor berikut dalam pemrosesan Data Pribadi:

Vercel Inc. (Amerika Serikat dan Singapura APAC): Hosting edge dan deployment aplikasi Next.js.
Hostinger International Ltd. (Indonesia, Singapura): Hosting shared dan VPS untuk website Klien dengan server utama di Jakarta.
Cloudflare, Inc. (global): Content Delivery Network, DNS, perlindungan DDoS, dan Web Application Firewall.
Sanity.io (Amerika Serikat, EU): Headless CMS untuk konten website dan blog Klien.
Google LLC (global): Google Analytics 4, Google Tag Manager, dan Google Workspace bila digunakan oleh Klien.
Microsoft Corporation (global): Microsoft Clarity untuk session replay dan heatmap.
Meta Platforms, Inc. (global): Meta Pixel, Conversions API, dan WhatsApp Business Platform.
Supabase, Inc. (Singapura, Amerika Serikat): Database, autentikasi, dan storage untuk aplikasi custom.

Dewata Tech akan memberitahukan Pengendali secara tertulis paling lambat 30 hari sebelum penambahan atau penggantian Sub-Prosesor. Pengendali berhak mengajukan keberatan secara tertulis dengan alasan yang wajar terkait perlindungan data. Apabila keberatan tidak dapat diselesaikan, Pengendali berhak mengakhiri layanan terkait tanpa penalti. Setiap Sub-Prosesor terikat oleh kewajiban perlindungan data yang setara dengan DPA ini melalui kontrak tertulis.

7. Hak Subjek Data

Dewata Tech akan membantu Pengendali memenuhi hak-hak Subjek Data sebagaimana diatur dalam Pasal 5 sampai dengan Pasal 15 UU PDP, mencakup:

Hak untuk memperoleh informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan Data Pribadi, serta akuntabilitas pihak yang meminta Data Pribadi.
Hak akses (right of access): mendapatkan salinan Data Pribadi yang diproses dalam format yang dapat dibaca.
Hak rektifikasi (right to rectification): meminta perbaikan atau pembaruan Data Pribadi yang tidak akurat atau tidak lengkap.
Hak penghapusan (right to erasure): meminta penghapusan Data Pribadi sesuai ketentuan UU PDP.
Hak pembatasan pemrosesan dan hak keberatan terhadap pemrosesan, termasuk profiling otomatis.
Hak portabilitas data: menerima Data Pribadi dalam format terstruktur, umum digunakan, dan dapat dibaca mesin.

Apabila Subjek Data menghubungi Dewata Tech secara langsung dengan permintaan terkait haknya, Dewata Tech akan meneruskan permintaan tersebut kepada Pengendali dalam waktu 5 hari kerja, kecuali instruksi tertulis Pengendali menyatakan lain. Dewata Tech menyediakan tools, log akses, dan ekstraksi data yang dibutuhkan Pengendali untuk merespons permintaan dalam tenggat 30 hari sebagaimana diatur UU PDP.

8. Langkah-Langkah Keamanan

Dewata Tech menerapkan langkah-langkah keamanan teknis dan organisasi yang sesuai dengan tingkat risiko, mengikuti praktik industri:

Enkripsi data dalam transit menggunakan TLS 1.3 untuk seluruh komunikasi HTTP, API, dan webhook.
Enkripsi data saat tersimpan (at rest) pada database produksi dan backup, menggunakan AES-256 atau setara.
Multi-Factor Authentication (MFA) wajib untuk seluruh akses administratif ke panel hosting, CMS, database, dan repositori kode.
Kontrol akses berbasis peran (Role-Based Access Control) dengan prinsip akses minimum (least privilege) dan log audit untuk setiap akses ke Data Pribadi.
Backup terenkripsi harian dengan retensi minimal 30 hari, disimpan di lokasi geografis terpisah dari produksi.
Header keamanan HTTP termasuk Content Security Policy (CSP), Strict-Transport-Security (HSTS), X-Frame-Options, dan X-Content-Type-Options.
Patching keamanan rutin pada sistem operasi, dependensi npm, runtime Node.js, dan framework Next.js.
Pemantauan keamanan berkelanjutan melalui Cloudflare WAF, alerting Vercel, dan tinjauan log akses bulanan.

9. Transfer dan Penyimpanan Data

Lokasi penyimpanan utama Data Pribadi adalah sebagai berikut:

Penyimpanan utama: Data center Hostinger di Jakarta, Indonesia, untuk hosting website dan database utama Klien Indonesia.
Edge dan APAC: Vercel edge network region Singapura (sin1) untuk akselerasi pengiriman konten kepada visitor APAC.
Backup geografis: Region backup di Amerika Serikat untuk redundansi disaster recovery.
Logging dan analitik: Google Analytics dan Microsoft Clarity menyimpan data pada infrastruktur global penyedia masing-masing.

Untuk transfer Data Pribadi lintas batas, Dewata Tech mematuhi Pasal 56 UU PDP yang mensyaratkan tingkat perlindungan data setara di negara penerima, atau adanya perjanjian internasional, atau persetujuan Subjek Data. Untuk klien yang tunduk pada GDPR, Dewata Tech menggunakan Standard Contractual Clauses (SCCs) Komisi Eropa sebagai dasar hukum transfer data ke negara di luar European Economic Area.

10. Jangka Waktu dan Pengakhiran

DPA ini berlaku efektif sejak penandatanganan perjanjian layanan utama dan tetap berlaku selama Dewata Tech memproses Data Pribadi atas nama Klien. DPA ini secara otomatis berakhir pada saat perjanjian layanan utama berakhir, kecuali untuk ketentuan yang berdasarkan sifatnya tetap berlaku setelah pengakhiran, seperti kerahasiaan dan kewajiban audit.

Pada saat pengakhiran, Dewata Tech akan menyediakan ekspor lengkap Data Pribadi Klien dalam format JSON, CSV, atau SQL dump sesuai permintaan, dalam waktu 14 hari kerja. Setelah ekspor diterima dan dikonfirmasi Klien, Dewata Tech akan menghapus seluruh Data Pribadi dari sistem produksi dan backup dalam waktu 30 hari, kecuali penyimpanan diwajibkan oleh hukum Indonesia. Sertifikat penghapusan akan diberikan kepada Klien atas permintaan.

11. Tanggung Jawab dan Hak Audit

Klien sebagai Pengendali memiliki hak untuk melakukan audit kepatuhan Dewata Tech terhadap DPA ini, dengan ketentuan:

Pemberitahuan tertulis paling lambat 14 hari kerja sebelum pelaksanaan audit.
Audit dilakukan pada hari kerja, di luar masa kritis operasional, dan tidak mengganggu layanan kepada Klien lain.
Auditor pihak ketiga harus terikat perjanjian kerahasiaan dan tidak boleh merupakan kompetitor langsung Dewata Tech.
Frekuensi audit maksimal satu kali per tahun, kecuali setelah insiden pelanggaran data.
Lingkup audit terbatas pada kepatuhan DPA dan UU PDP / GDPR, tidak melampaui kebutuhan tersebut.

Sebagai alternatif audit langsung, Dewata Tech dapat menyediakan laporan audit pihak ketiga atau kuesioner kepatuhan yang telah diisi. Tanggung jawab masing-masing pihak atas pelanggaran DPA mengikuti ketentuan tanggung jawab pada perjanjian layanan utama, dengan tetap mengacu pada batas dan pengecualian sebagaimana diatur UU PDP serta GDPR yang berlaku.

12. Kontak Data Protection Officer (DPO)

Untuk pertanyaan, permintaan, atau notifikasi terkait DPA ini dan pemrosesan Data Pribadi, hubungi Data Protection Officer Dewata Tech:

Nama Perusahaan: Dewata Tech
Email DPO: contact@dewatatech.com
Telepon dan WhatsApp: +62 851-7975-5016
Alamat Kantor: Jl. Sakura Gg. I No.3, Dangin Puri Kangin, Denpasar Utara, Bali 80233, Indonesia
Jam respons: Hari kerja Senin sampai Jumat, pukul 09.00 sampai 18.00 WITA

Untuk insiden pelanggaran data atau permintaan mendesak terkait hak Subjek Data, gunakan kanal WhatsApp dengan subjek diawali "URGENT DPO" untuk mendapatkan prioritas respons di luar jam kerja.