Perjanjian Pemrosesan Data

1. Subjek dan Durasi

Subjek pemrosesan adalah penyediaan platform pelepasan tanggung jawab digital WaiverKit kepada Pengendali. Pemrosesan berlanjut selama Pengendali memelihara akun aktif dan untuk periode retensi pasca pengakhiran yang berlaku seperti dijelaskan dalam Bagian 11.

2. Sifat dan Tujuan Pemrosesan

Pemroses memproses data pribadi semata-mata untuk menghosting, mengirimkan, mengamankan, dan mendukung layanan WaiverKit: mengumpulkan dan menyimpan pelepasan tanggung jawab yang ditandatangani, membuat catatan PDF, mengirim email transaksional, mengautentikasi pengguna, memproses pembayaran, dan menghasilkan analitik atas nama Pengendali.

3. Jenis Data Pribadi dan Kategori Subjek Data

Data pribadi yang diproses dapat mencakup:

• Data identitas penanda tangan (nama, tanggal lahir, alamat, email, telepon)
• Gambar tanda tangan dan tanda tangan yang diketik
• Data wali untuk penanda tangan di bawah umur
• Data akun pengguna bisnis (nama, email, identifier autentikasi, alamat IP)

Kategori subjek data meliputi: peserta yang menandatangani pelepasan tanggung jawab, wali peserta di bawah umur, serta karyawan atau pengguna resmi Pengendali.

4. Kewajiban dan Hak Pengendali

Pengendali bertanggung jawab atas keabsahan pengumpulan dan pemrosesan data pribadi, untuk memperoleh persetujuan yang diperlukan dari subjek data, atas keakuratan instruksi yang diberikan kepada Pemroses, dan untuk memastikan bahwa template dan alur kerja pelepasan tanggung jawab yang dikonfigurasinya mematuhi hukum yang berlaku. Pengendali memegang semua hak atas data pribadi dan dapat mengeluarkan instruksi terdokumentasi kepada Pemroses kapan saja.

5. Sub-pemroses

Pengendali memberikan wewenang kepada Pemroses untuk melibatkan sub-pemroses berikut guna mengirimkan layanan:

• Clerk (autentikasi, manajemen sesi, dan direktori pengguna).
• Stripe (pemrosesan pembayaran dan penagihan langganan).
• Resend (pengiriman email transaksional).
• Cloudflare R2 (penyimpanan objek untuk gambar tanda tangan dan artefak PDF).
• Vercel (hosting aplikasi, jaringan edge, dan perutean permintaan).
• Neon (Postgres) (hosting basis data Postgres terkelola untuk data terstruktur).

Pemroses akan memberi tahu Pengendali tentang setiap rencana penambahan atau penggantian sub-pemroses dengan kesempatan yang wajar untuk keberatan berdasarkan alasan yang sah.

6. Langkah Keamanan

Pemroses menerapkan langkah teknis dan organisasi yang sesuai untuk melindungi data pribadi, termasuk:

• Enkripsi dalam transit (TLS 1.2+) dan saat tersimpan untuk basis data dan penyimpanan objek
• Kontrol akses berbasis peran dan IAM dengan hak akses minimum di seluruh infrastruktur
• Isolasi tenant yang diterapkan di lapisan aplikasi dan kueri
• Pencatatan audit untuk tindakan administratif dan akses PII
• Pencadangan rutin, pemindaian dependensi otomatis, dan prosedur respons insiden

7. Hak Subjek Data

Dengan mempertimbangkan sifat pemrosesan, Pemroses akan membantu Pengendali dengan langkah teknis dan organisasi yang sesuai untuk memenuhi kewajiban Pengendali dalam menanggapi permintaan dari subjek data yang menggunakan hak akses, perbaikan, penghapusan, pembatasan, portabilitas, dan keberatan mereka berdasarkan Pasal 15 hingga 22 GDPR.

8. Pemberitahuan Pelanggaran Data

Pemroses akan memberi tahu Pengendali tanpa penundaan yang tidak semestinya dan dalam hal apa pun dalam waktu 72 jam setelah mengetahui adanya pelanggaran data pribadi yang memengaruhi data Pengendali. Pemberitahuan akan menjelaskan sifat pelanggaran, kemungkinan konsekuensi, langkah yang diambil atau diusulkan, dan titik kontak untuk informasi lebih lanjut.

9. Transfer Internasional

Bila data pribadi ditransfer ke luar Wilayah Ekonomi Eropa, Inggris, atau Swiss ke negara tanpa keputusan kecukupan, transfer tersebut diatur oleh Standard Contractual Clauses (SCC) Komisi Eropa dan, bila berlaku, Addendum Transfer Data Internasional Inggris serta addendum Swiss, bersama dengan langkah tambahan apa pun yang disyaratkan oleh penilaian dampak transfer.

10. Hak Audit

Pemroses akan menyediakan bagi Pengendali semua informasi yang diperlukan secara wajar untuk menunjukkan kepatuhan terhadap DPA ini dan akan mengizinkan serta berkontribusi pada audit, termasuk inspeksi, yang dilakukan oleh Pengendali atau auditor yang ditunjuk oleh Pengendali, tunduk pada kewajiban kerahasiaan yang wajar dan tidak lebih dari sekali per tahun kalender kecuali dalam hal insiden keamanan terdokumentasi atau permintaan regulator.

11. Pengakhiran, Pengembalian, dan Penghapusan

Setelah pengakhiran perjanjian, Pemroses akan, atas pilihan Pengendali, menghapus atau mengembalikan semua data pribadi yang diproses atas nama Pengendali, dan menghapus salinan yang ada, kecuali hukum yang berlaku mensyaratkan penyimpanan berkelanjutan. Cadangan yang berisi data pribadi akan dihapus dalam siklus retensi cadangan normal.