FirstCRM← Beranda

Data Processing Agreement (DPA)

Versi: 1.0 · Terakhir diperbarui: April 2026
Landasan hukum: UU No. 27 Tahun 2022 (UU PDP), khususnya Pasal 50-52 tentang hubungan Pengendali-Prosesor.

Para Pihak

Pengendali Data Pribadi: Organisasi pelanggan FirstCRM (UMKM klien)

Prosesor Data Pribadi: PT FIRST PRINCIPLE SYSTEMS — operator FirstCRM

1. Tujuan Perjanjian

Perjanjian ini mengatur hubungan pemrosesan data antara Pengendali (UMKM klien yang memiliki data pelanggan akhirnya) dan Prosesor (FirstCRM sebagai platform), sesuai UU PDP Pasal 50-52. Dengan menerima DPA ini saat onboarding, Pengendali menginstruksikan Prosesor untuk memproses data pribadi pelanggan Pengendali sesuai syarat di bawah.

2. Sifat & Ruang Lingkup Pemrosesan

2.1 Kategori Subjek Data

  • Pelanggan akhir Pengendali (yang menghubungi atau dihubungi via WhatsApp)
  • Prospek yang mengirim inbound ke WABA Pengendali
  • Kontak yang diimport manual oleh Pengendali

2.2 Kategori Data yang Diproses

  • Identitas: nama, nomor telepon (E.164 format)
  • Komunikasi: isi chat WhatsApp (text, media, metadata)
  • Transaksional: deal, quote, order, catatan staff
  • Perilaku: timestamp aktivitas, stage pipeline

Tidak termasuk data khusus (kesehatan, biometrik, genetik) — Pengendali dilarang memasukkan data khusus tanpa persetujuan eksplisit tertulis.

2.3 Tujuan Pemrosesan

  • Menyediakan fungsi CRM (inbox, pipeline, deal tracking)
  • Enrichment lead otomatis (AI kualifikasi)
  • Notifikasi internal ke staff Pengendali
  • Audit log untuk compliance
  • Backup dan keamanan

2.4 Durasi

  • Selama kontrak langganan FirstCRM aktif
  • Plus 90 hari grace period setelah terminasi untuk ekspor/penghapusan
  • Audit log disimpan 7 tahun (kewajiban hukum)

3. Kewajiban Prosesor (FirstCRM)

3.1 Pemrosesan sesuai instruksi

Memproses data pribadi HANYA sesuai instruksi Pengendali melalui fitur platform. Tidak memproses untuk tujuan sendiri kecuali diwajibkan hukum. Tidak menjual, menyewakan, atau menggunakan data untuk iklan.

3.2 Kerahasiaan

Semua personel yang mengakses data terikat NDA tertulis. Akses internal dibatasi least-privilege + audit log.

3.3 Keamanan (Pasal 35 UU PDP)

  • Enkripsi in-transit (TLS 1.2+) dan at-rest (AES-256)
  • Row-Level Security untuk isolasi antar Pengendali
  • Backup enkripsi harian dengan retensi 30 hari
  • Penetration testing tahunan
  • Incident response plan dengan RTO 4 jam, RPO 1 jam

3.4 Sub-prosesor

Daftar sub-prosesor:

  • Supabase (AWS) — Database + storage — Singapore
  • Vercel — Application hosting — Singapore
  • Meta Cloud API — WhatsApp delivery — Global
  • Midtrans — Payment gateway — Indonesia
  • Anthropic — AI inference (data masked) — USA
  • OpenAI — Embeddings (data masked) — USA
  • Resend — Transactional email — USA/EU

Prosesor akan memberitahu Pengendali 30 hari sebelum menambah atau mengganti sub-prosesor. Pengendali berhak objek; jika tidak dapat diakomodasi, Pengendali dapat terminasi langganan dengan refund prorata.

3.5 Bantuan kepada Pengendali

  • Menanggapi permintaan subjek data dalam 7 hari kerja
  • Melakukan DPIA jika diminta
  • Notifikasi pelanggaran data

3.6 Notifikasi Pelanggaran (Pasal 46 UU PDP)

  • Prosesor memberitahu Pengendali dalam 24 jam sejak mengetahui pelanggaran
  • Notifikasi mencakup: natur pelanggaran, kategori data, jumlah subjek terdampak, konsekuensi, mitigasi
  • Pengendali bertanggung jawab melaporkan ke Lembaga Pelindungan Data Pribadi (3×24 jam per Pasal 46)

3.7 Audit

  • Pengendali (atau auditor independen) dapat audit compliance maksimal 1x per tahun dengan pemberitahuan 30 hari
  • Audit darurat pasca-insiden: tanpa batasan waktu
  • Biaya audit ditanggung Pengendali kecuali ditemukan non-compliance material

3.8 Transfer Internasional (Pasal 56 UU PDP)

Data disimpan utamanya di Singapore (Supabase SEA). Transfer ke USA (Anthropic, OpenAI, Resend) dilindungi oleh Standard Contractual Clauses atau komitmen privasi setara.

3.9 Penghapusan di Akhir Layanan

Pada terminasi kontrak, atas pilihan Pengendali:

  • Return: ekspor semua data dalam 30 hari
  • Delete: hapus semua data dalam 30 hari (kecuali audit log 7 tahun)
  • Hybrid: ekspor + delete

4. Kewajiban Pengendali (UMKM Klien)

4.1 Landasan Hukum

Pengendali memiliki landasan hukum yang sah untuk memproses data pelanggan akhirnya (consent, pelaksanaan perjanjian, kepentingan sah, dll sesuai Pasal 20 UU PDP).

4.2 Informasi kepada Subjek Data

Pengendali memberitahu pelanggan akhirnya bahwa FirstCRM digunakan untuk manajemen komunikasi, dan mencantumkan Privacy Policy Pengendali sendiri yang mendisclose penggunaan CRM.

4.3 Data Minimisasi

Tidak memasukkan data yang tidak diperlukan. Tidak memasukkan data khusus tanpa consent eksplisit tertulis.

4.4 Hak Subjek Data

Pengendali menjadi kontak utama untuk permintaan subjek data dari pelanggan akhirnya.

4.5 Pelanggaran Data

Pengendali wajib melapor ke Lembaga Pelindungan Data Pribadi dalam 3×24 jam jika pelanggaran terjadi pada tingkat Pengendali, dan bekerja sama dengan FirstCRM jika di tingkat Prosesor.

4.6 Pembatasan Penggunaan

Tidak melakukan spam marketing. Mematuhi WhatsApp Business Policy Meta. Tidak menggunakan untuk tujuan ilegal.

5. Penggunaan WhatsApp Business API

Karena WABA adalah milik Pengendali langsung dari Meta:

  • Pengendali memiliki kontrak langsung dengan Meta (WhatsApp Business Terms)
  • FirstCRM hanya sebagai teknologi perantara untuk memproses pesan via API Meta
  • Opt-in pelanggan akhir dikumpulkan melalui aksi mereka (inbound message = consent per kebijakan Meta + UU PDP Pasal 20)
  • FirstCRM mencatat wa_opt_in_source dan wa_opt_in_at untuk bukti consent

6. Tanggung Jawab

Tanggung jawab Prosesor dibatasi sesuai Syarat dan Ketentuan Layanan utama (maksimal 12 bulan nilai kontrak).

Indemnifikasi oleh Pengendali melindungi Prosesor dari klaim pihak ketiga yang timbul dari kegagalan Pengendali mendapatkan consent yang sah, pelanggaran kewajiban DPA, atau tindakan staff Pengendali yang menyalahgunakan data.

Indemnifikasi oleh Prosesor melindungi Pengendali dari klaim akibat kegagalan menerapkan pengamanan §3.3, sub-prosesor yang dipilih Prosesor, atau tindakan personel Prosesor.

7. Jangka Waktu

DPA berlaku sejak Pengendali menerima persetujuan saat onboarding, tetap berlaku selama kontrak langganan aktif. Kewajiban yang secara sifat berlanjut (kerahasiaan, audit log, indemnifikasi) tetap berlaku pasca-terminasi.

8. Perubahan DPA

Perubahan material diberitahu 30 hari sebelum efektif. Pengendali yang tidak setuju dapat terminasi langganan dengan refund prorata.

9. Hukum Berlaku & Sengketa

Tunduk pada hukum Republik Indonesia, khususnya UU PDP. Sengketa diselesaikan sesuai mekanisme di Syarat dan Ketentuan utama.

10. Acknowledgment

Dengan mencentang “Saya menyetujui Data Processing Agreement” pada onboarding dan menekan tombol “Mulai Gunakan FirstCRM”, Pengendali:

  • Mengonfirmasi wewenang untuk mengikat Organisasi
  • Menyatakan telah membaca dan memahami DPA
  • Memberi instruksi tertulis kepada Prosesor untuk memproses data sesuai syarat di atas

Timestamp persetujuan dan versi DPA dicatat di organizations.dpa_accepted_at dan organizations.dpa_version.

11. Kontak

PT FIRST PRINCIPLE SYSTEMS · Terdaftar sebagai PSE Lingkup Privat di Kominfo.