Data Processing Agreement (DPA)
Terakhir diperbarui: April 2026
Perjanjian Pemrosesan Data ini ("DPA") berlaku antara:
- FirstCRM, dioperasikan oleh First Principle — selanjutnya disebut Prosesor Data.
- Pelanggan yang berlangganan layanan FirstCRM — selanjutnya disebut Pengendali Data.
DPA ini merupakan bagian dari Syarat dan Ketentuan layanan dan berlaku selama berlangganan aktif.
1. Definisi Peran
- Pengendali Data (Controller): Pelanggan (UMKM / bisnis) yang menggunakan FirstCRM untuk mengelola data kontak dan pelanggan mereka sendiri. Pengendali bertanggung jawab menentukan tujuan dan cara pemrosesan data.
- Prosesor Data (Processor): FirstCRM yang memproses data pribadi kontak atas nama dan sesuai instruksi Pengendali, dalam rangka menyediakan layanan CRM.
2. Ruang Lingkup Pemrosesan
2.1 Data yang Diproses
- Nama, nomor telepon, email, alamat kontak / pelanggan Pengendali.
- Riwayat transaksi, deal, dan komunikasi terkait kontak tersebut.
- Konten percakapan WhatsApp (jika integrasi WABA diaktifkan).
2.2 Tujuan Pemrosesan
Pemrosesan dilakukan semata-mata untuk menyediakan fitur-fitur platform FirstCRM sesuai instruksi Pengendali, termasuk: penyimpanan data, tampilan UI, notifikasi operasional, dan fitur AI (jika diaktifkan).
2.3 Durasi
Pemrosesan berlangsung selama masa berlangganan aktif. Setelah akun ditutup, data dipertahankan 90 hari dalam mode frozen sebelum dihapus, kecuali data keuangan yang tunduk pada kewajiban retensi 7 tahun.
3. Kewajiban Prosesor (FirstCRM)
- Memproses data hanya sesuai instruksi tertulis Pengendali (yang tercermin dalam konfigurasi platform dan DPA ini).
- Memastikan personel yang mengakses data terikat kerahasiaan.
- Menerapkan langkah-langkah teknis dan organisasi yang tepat untuk melindungi data (enkripsi, RLS, audit log, akses terbatas).
- Tidak menggunakan data untuk tujuan selain penyediaan layanan (tidak dijual, tidak digunakan untuk iklan pihak ketiga).
- Membantu Pengendali dalam memenuhi permintaan hak subjek data dalam 14 hari kerja.
- Memberikan notifikasi insiden keamanan dalam 24 jam sejak terdeteksi (lihat §6).
4. Kewajiban Pengendali (Pelanggan)
- Memiliki dasar hukum yang sah untuk memproses data subjek data (kontak / pelanggan) sesuai UU PDP sebelum memasukkan data ke platform.
- Memberikan pemberitahuan privasi yang memadai kepada subjek data tentang penggunaan layanan CRM.
- Tidak memasukkan kategori data sensitif (data kesehatan, keyakinan agama, dll.) ke dalam platform tanpa perlindungan tambahan.
5. Sub-Prosesor
FirstCRM menggunakan sub-prosesor berikut. Pengendali menyetujui penggunaan sub-prosesor ini dengan menandatangani DPA:
| Sub-Prosesor | Fungsi | Lokasi Data |
|---|---|---|
| Supabase | Database, Auth, Storage | Singapore (ap-southeast-1) |
| Vercel | Hosting, Edge Functions | Global (nearest edge) |
| Anthropic | AI enrichment (opsional) | US (data tidak disimpan permanen) |
| OpenAI | Embedding/AI backup (opsional) | US (data tidak disimpan permanen) |
| Meta / WhatsApp | Pengiriman pesan WA (opsional) | Sesuai kebijakan Meta |
| Xendit | Pemrosesan pembayaran langganan | Indonesia |
Kami akan memberikan notifikasi 30 hari sebelum menambah sub-prosesor baru yang memproses data Pengendali.
6. Notifikasi Insiden Keamanan
Jika terjadi pelanggaran keamanan data (data breach) yang berdampak pada data Pengendali, FirstCRM akan:
- Memberikan notifikasi awal ke email admin Pengendali dalam 24 jam sejak insiden terdeteksi, berisi: deskripsi insiden, jenis data yang terdampak, dan langkah mitigasi sementara.
- Memberikan laporan insiden lengkap dalam 72 jam, sesuai persyaratan notifikasi UU PDP.
- Bekerja sama dengan Pengendali untuk memenuhi kewajiban pelaporan kepada KOMINFO jika diperlukan.
7. Pengembalian dan Penghapusan Data
- Saat berlangganan berakhir, Pengendali dapat mengekspor data melalui fitur Export hingga 90 hari setelah penutupan akun.
- Setelah 90 hari, data non-keuangan akan dihapus permanen dari sistem produksi.
- Data keuangan (invoice, pembayaran) dipertahankan 7 tahun sesuai kewajiban perpajakan, dalam kondisi terisolasi tanpa akses UI.
- Atas permintaan tertulis, kami dapat mempercepat penghapusan data non-keuangan dalam 30 hari kerja.
8. Audit dan Kepatuhan
Pengendali berhak meminta bukti kepatuhan sekali per tahun, dalam bentuk ringkasan kebijakan keamanan dan hasil audit independen yang tersedia. Audit on-site memerlukan perjanjian terpisah.
9. Berlakunya DPA
DPA ini berlaku otomatis saat Pengendali menyelesaikan onboarding dan menyetujui Syarat dan Ketentuan layanan. Penerimaan DPA dicatat di tabel organizations.dpa_accepted_at dengan versi dokumen yang berlaku.
10. Kontak DPO
Data Protection Officer (DPO) FirstCRM dapat dihubungi di: dpo@firstcrm.id