Data Processing Agreement (DPA) | Duevent

1. Pengantar

Data Processing Agreement (“DPA”) adalah kontrak B2B yang mengatur bagaimana PT Tuca Teknologi Indonesia (“Duevent”) memproses data pribadi atas nama Customer dalam rangka penyediaan Layanan undangan digital tingkat Enterprise. DPA ini melengkapi Syarat dan Ketentuan dan Kebijakan Privasi Duevent.

DPA disusun mengacu pada Undang-Undang Republik Indonesia Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (“UU PDP”) dan, sepanjang berlaku, prinsip-prinsip General Data Protection Regulation (GDPR) Uni Eropa.

2. Ketersediaan

DPA tersedia khusus untuk customer Enterprise. Pelanggan tier Free, Starter, dan Pro tunduk pada Kebijakan Privasi standar yang sudah mencakup kewajiban Duevent sebagai Pengendali Data Pribadi.

Customer Enterprise dapat memperoleh DPA dengan mengisi formulir di bagian bawah halaman ini. Tim legal Duevent akan mengirim template DPA dalam format yang dapat ditandatangani (PDF/DOCX) melalui email PIC dalam waktu 3 (tiga) hari kerja.

3. Cakupan DPA

DPA Duevent terdiri atas batang tubuh utama dan 3 (tiga) Schedule:

Schedule 1 — Subject Matter: kategori subjek data, kategori data pribadi yang diproses, tujuan pemrosesan, dan durasi pemrosesan.
Schedule 2 — Sub-processor List: daftar pihak ketiga (Duitku, Sentry, MinIO, Fonnte, Google OAuth, Gmail SMTP) beserta lokasi pemrosesan dan tautan kebijakan privasi masing-masing.
Schedule 3 — Security Measures: langkah keamanan teknis dan organisasional (TLS 1.3, AES-256 backup, bcrypt cost 12, RBAC 55 permission, audit log, incident response plan).

4. Poin Utama Perjanjian

Duevent memproses data pribadi hanya sesuai instruksi tertulis Customer.
Notifikasi data breach paling lambat 72 jam sejak Duevent menyadari insiden (sesuai kewajiban UU PDP).
Customer berhak melakukan audit maksimal 1 (satu) kali per tahun dengan pemberitahuan 30 hari kerja sebelumnya; biaya audit ditanggung Customer.
Perubahan sub-processor diberitahukan minimal 30 hari sebelumnya; Customer berhak mengajukan keberatan tertulis dalam periode tersebut.
Hukum yang berlaku adalah hukum Republik Indonesia; sengketa diselesaikan di BANI Surabaya.
Setelah kontrak berakhir, Duevent menghapus atau mengembalikan data pribadi Customer dengan grace period 90 hari untuk keperluan export data.

5. Cara Mengajukan Permintaan DPA

Permintaan DPA dapat diajukan melalui dua cara:

Email langsung: kirim ke halotuca@gmail.comdengan subjek “DPA Request — [Nama Perusahaan]”.
Formulir di bawah:isi formulir berikut dan klik “Kirim Request DPA”. Email client Anda akan terbuka dengan template pesan yang sudah terisi otomatis. Anda hanya perlu meninjau dan menekan tombol kirim.

Tim legal akan merespons dalam waktu paling lambat 3 (tiga) hari kerja setelah permintaan diterima dan diverifikasi.

6. Catatan Penting

Template DPA Duevent saat ini berstatus draft dan akan ditinjau oleh penasihat hukum sebelum dilakukan tanda tangan dengan customer pertama. Tim legal Duevent akan menginformasikan Customer apabila terdapat penyesuaian pada klausul standar sebelum dokumen siap ditandatangani.

Untuk pertanyaan terkait pelaksanaan hak pemilik data pribadi (akses, koreksi, penghapusan, portabilitas), silakan hubungi halotuca@gmail.com.

7. Formulir Request DPA

Lengkapi formulir di bawah ini. Field bertanda asterisk (*) wajib diisi. Data yang Anda input akan dimasukkan ke template email; Duevent tidak menyimpan input formulir di server.

1. Pengantar

2. Ketersediaan

DPA tersedia khusus untuk customer Enterprise. Pelanggan tier Free, Starter, dan Pro tunduk pada Kebijakan Privasi standar yang sudah mencakup kewajiban Duevent sebagai Pengendali Data Pribadi.

3. Cakupan DPA

DPA Duevent terdiri atas batang tubuh utama dan 3 (tiga) Schedule:

Schedule 1 — Subject Matter: kategori subjek data, kategori data pribadi yang diproses, tujuan pemrosesan, dan durasi pemrosesan.

Schedule 2 — Sub-processor List: daftar pihak ketiga (Duitku, Sentry, MinIO, Fonnte, Google OAuth, Gmail SMTP) beserta lokasi pemrosesan dan tautan kebijakan privasi masing-masing.

Schedule 3 — Security Measures: langkah keamanan teknis dan organisasional (TLS 1.3, AES-256 backup, bcrypt cost 12, RBAC 55 permission, audit log, incident response plan).

4. Poin Utama Perjanjian

Duevent memproses data pribadi hanya sesuai instruksi tertulis Customer.

Notifikasi data breach paling lambat 72 jam sejak Duevent menyadari insiden (sesuai kewajiban UU PDP).

Customer berhak melakukan audit maksimal 1 (satu) kali per tahun dengan pemberitahuan 30 hari kerja sebelumnya; biaya audit ditanggung Customer.

Perubahan sub-processor diberitahukan minimal 30 hari sebelumnya; Customer berhak mengajukan keberatan tertulis dalam periode tersebut.

Hukum yang berlaku adalah hukum Republik Indonesia; sengketa diselesaikan di BANI Surabaya.

Setelah kontrak berakhir, Duevent menghapus atau mengembalikan data pribadi Customer dengan grace period 90 hari untuk keperluan export data.

5. Cara Mengajukan Permintaan DPA

Permintaan DPA dapat diajukan melalui dua cara:

Email langsung: kirim ke halotuca@gmail.comdengan subjek “DPA Request — [Nama Perusahaan]”.

Formulir di bawah:isi formulir berikut dan klik “Kirim Request DPA”. Email client Anda akan terbuka dengan template pesan yang sudah terisi otomatis. Anda hanya perlu meninjau dan menekan tombol kirim.

Tim legal akan merespons dalam waktu paling lambat 3 (tiga) hari kerja setelah permintaan diterima dan diverifikasi.

6. Catatan Penting

Untuk pertanyaan terkait pelaksanaan hak pemilik data pribadi (akses, koreksi, penghapusan, portabilitas), silakan hubungi halotuca@gmail.com.