Kembali ke Beranda

Perjanjian Pemrosesan Data

Terakhir diperbarui: 24 Februari 2026

1. Definisi

Perjanjian Pemrosesan Data ("DPA") ini merupakan bagian yang tidak terpisahkan dari Syarat dan Ketentuan layanan Dewata AI dan berlaku antara PT DEWATA ARTIFICIAL INTELLIGENCE ("Dewata AI", "Pemroses Data", "Kami") dan pelanggan yang menggunakan layanan platform Dewata AI ("Pelanggan", "Pengendali Data", "Anda").

Dalam DPA ini, istilah-istilah berikut memiliki arti sebagai berikut:

  • Data Pribadi: Setiap data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik, sebagaimana didefinisikan dalam UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP)
  • Pemrosesan: Setiap operasi atau rangkaian operasi yang dilakukan terhadap Data Pribadi, baik dengan atau tanpa bantuan sarana otomatis, termasuk pengumpulan, pencatatan, pengorganisasian, penyimpanan, adaptasi atau perubahan, pengambilan, konsultasi, penggunaan, pengungkapan melalui transmisi, penyebaran, atau penyelarasan, serta penghapusan atau pemusnahan
  • Pengendali Data: Pelanggan Dewata AI yang menentukan tujuan dan cara pemrosesan Data Pribadi pelanggan akhir (end user) mereka melalui platform Dewata AI
  • Pemroses Data: Dewata AI yang memproses Data Pribadi atas nama dan sesuai instruksi Pengendali Data
  • Subjek Data: Orang perseorangan yang Data Pribadinya diproses, dalam konteks ini adalah pelanggan akhir (end user) yang berinteraksi dengan chatbot yang dibuat oleh Pelanggan
  • Sub-Pemroses: Pihak ketiga yang ditunjuk oleh Dewata AI untuk memproses Data Pribadi atas nama Pengendali Data
  • Pelanggaran Data Pribadi: Pelanggaran keamanan yang mengakibatkan pemusnahan, kehilangan, perubahan, pengungkapan, atau akses terhadap Data Pribadi yang tidak sah baik secara sengaja maupun tidak sengaja

2. Ruang Lingkup dan Tujuan Pemrosesan Data

DPA ini mengatur pemrosesan Data Pribadi yang dilakukan oleh Dewata AI atas nama Pelanggan dalam rangka penyediaan layanan platform chatbot AI. Pemrosesan Data Pribadi dilakukan semata-mata untuk tujuan berikut:

  • Penyediaan layanan chatbot: Memproses pesan dari pelanggan akhir, menghasilkan respons AI berdasarkan konfigurasi bot Pelanggan, dan menyimpan riwayat percakapan
  • Resolusi identitas pelanggan: Mengidentifikasi pengunjung widget chatbot melalui browser fingerprinting untuk memberikan pengalaman percakapan yang berkesinambungan
  • Lead scoring dan kualifikasi: Menganalisis sinyal percakapan untuk menilai kualifikasi prospek dan memicu notifikasi atau penawaran promosi
  • Pelacakan siklus hidup pelanggan: Mengelola tahapan pelanggan dari pengunjung hingga pelanggan berulang
  • Integrasi channel: Memproses pesan melalui WhatsApp Business API, Instagram Messaging API, dan Telegram Bot API
  • E-commerce: Memproses data produk, pesanan, dan link pembayaran untuk fitur e-commerce chatbot
  • Human handoff: Memfasilitasi pengalihan percakapan ke agen manusia termasuk pembuatan ringkasan percakapan dan notifikasi
  • Booking: Memproses data reservasi dan booking yang dibuat melalui chatbot
  • RAG/embedding knowledge base: Menghasilkan embedding vektor dan melakukan pencarian semantik pada dokumen knowledge base
  • Memori pelanggan: Menyimpan memori pelanggan persisten lintas sesi (preferensi, fakta, ringkasan interaksi)
  • Otomatisasi workflow: Menjalankan trigger berbasis aturan dan aksi otomatis berdasarkan konfigurasi Pelanggan
  • Sinkronisasi produk: Mengimpor katalog produk dari sumber eksternal (Google Sheets/CSV)
  • Panel admin: Administrasi platform dengan pencatatan audit

Kategori Data Pribadi yang diproses:

  • Nama, alamat email, dan nomor telepon pelanggan akhir (jika dikumpulkan melalui lead capture)
  • Konten pesan percakapan dan metadata sesi
  • Browser fingerprint dan data identifikasi perangkat
  • Nomor telepon WhatsApp, ID Instagram, atau ID Telegram pengirim pesan
  • Data booking (tanggal, waktu, detail layanan)
  • Data transaksi e-commerce (pesanan, pembayaran)
  • Skor lead dan klasifikasi siklus hidup pelanggan
  • Embedding vektor knowledge base (representasi matematis turunan)
  • Catatan memori pelanggan dengan skor kepercayaan
  • Data profil pengguna yang diperluas (nama lengkap, telepon, perusahaan, industri, dll.)
  • Konfigurasi workflow dan jejak audit eksekusi

3. Kewajiban Pengendali Data (Pelanggan)

Sebagai Pengendali Data, Pelanggan bertanggung jawab untuk:

  • Dasar hukum pemrosesan: Memastikan bahwa terdapat dasar hukum yang sah untuk setiap pemrosesan Data Pribadi pelanggan akhir melalui platform Dewata AI, termasuk memperoleh persetujuan yang diperlukan sesuai UU PDP
  • Pemberitahuan kepada Subjek Data: Memberikan pemberitahuan yang jelas kepada pelanggan akhir tentang pemrosesan Data Pribadi mereka, termasuk penggunaan chatbot AI, browser fingerprinting, lead scoring, dan integrasi channel
  • Hak Subjek Data: Menangani permintaan hak Subjek Data dan meneruskan permintaan yang relevan kepada Dewata AI jika diperlukan
  • Instruksi pemrosesan: Memberikan instruksi pemrosesan yang sah dan sesuai hukum kepada Dewata AI melalui konfigurasi bot, pengaturan fitur, dan integrasi channel
  • Konten dan system prompt: Memastikan bahwa system prompt, knowledge base, dan konten yang diunggah ke platform tidak melanggar hak privasi pihak ketiga atau mengandung Data Pribadi sensitif yang tidak seharusnya diproses
  • Kepatuhan domain: Mengonfigurasi daftar domain yang diizinkan (domain allowlist) untuk membatasi penggunaan widget chatbot pada situs web yang sah
  • Keamanan kredensial: Menjaga kerahasiaan API key, kredensial integrasi channel, dan kredensial akun dashboard

4. Kewajiban Pemroses Data (Dewata AI)

Sebagai Pemroses Data, Dewata AI berkomitmen untuk:

  • Pemrosesan sesuai instruksi: Memproses Data Pribadi hanya berdasarkan instruksi tertulis dari Pengendali Data, kecuali diwajibkan lain oleh peraturan perundang-undangan yang berlaku. Instruksi dianggap diberikan melalui konfigurasi bot, pengaturan fitur, dan aktivasi integrasi channel
  • Kerahasiaan: Memastikan bahwa seluruh personel yang berwenang memproses Data Pribadi telah berkomitmen untuk menjaga kerahasiaan atau terikat oleh kewajiban kerahasiaan berdasarkan undang-undang
  • Langkah keamanan: Menerapkan langkah-langkah teknis dan organisatoris yang memadai untuk melindungi Data Pribadi dari pemrosesan yang tidak sah, kehilangan, pemusnahan, atau kerusakan yang tidak disengaja
  • Sub-pemroses: Tidak melibatkan Sub-Pemroses lain tanpa otorisasi umum tertulis sebelumnya dari Pengendali Data. Daftar Sub-Pemroses saat ini tercantum dalam Bagian 5 DPA ini
  • Bantuan kepada Pengendali Data: Membantu Pengendali Data dalam memenuhi kewajiban terkait hak Subjek Data, penilaian dampak pelindungan data, dan konsultasi dengan otoritas pengawas
  • Penghapusan data: Menghapus atau mengembalikan semua Data Pribadi kepada Pengendali Data setelah berakhirnya penyediaan layanan, kecuali peraturan perundang-undangan mewajibkan penyimpanan lebih lanjut
  • Audit: Menyediakan informasi yang diperlukan untuk menunjukkan kepatuhan terhadap kewajiban DPA ini dan mengizinkan serta berkontribusi pada audit yang dilakukan oleh Pengendali Data atau auditor yang ditunjuk
  • Pemberitahuan pelanggaran: Memberitahukan Pengendali Data tentang Pelanggaran Data Pribadi tanpa penundaan yang tidak semestinya sesuai ketentuan Bagian 7

5. Sub-Pemroses

Dewata AI menggunakan Sub-Pemroses berikut untuk menyediakan layanan platform. Dengan menyetujui DPA ini, Pelanggan memberikan otorisasi umum kepada Dewata AI untuk melibatkan Sub-Pemroses yang tercantum di bawah ini:

  • Supabase Inc. — Database hosting, autentikasi, dan penyimpanan file. Lokasi: Amerika Serikat / sesuai konfigurasi region. Memproses: data akun, riwayat percakapan, konfigurasi bot, data pelanggan, dan seluruh data yang disimpan di database
  • OpenAI / AI Gateway (Vercel): — Pemrosesan model AI untuk menghasilkan respons chatbot. Lokasi: Amerika Serikat. Memproses: konten pesan percakapan, system prompt, dan konteks knowledge base yang dikirim sebagai bagian dari permintaan API
  • Meta Platforms, Inc. — WhatsApp Business Cloud API dan Instagram Messaging API untuk integrasi channel. Lokasi: Amerika Serikat / global. Memproses: pesan masuk dan keluar, nomor telepon WhatsApp, ID dan username Instagram, token akses
  • Telegram FZ-LLC — Telegram Bot API untuk integrasi channel Telegram. Lokasi: Uni Emirat Arab / global. Memproses: pesan masuk dan keluar, ID Telegram, nama tampilan pengguna, token bot
  • PT Midtrans (GoTo Financial) — Pemrosesan pembayaran untuk langganan platform dan top-up kredit. Lokasi: Indonesia. Memproses: data transaksi pembayaran, informasi pembayar
  • Vercel Inc. — Hosting aplikasi, CDN, dan edge computing. Lokasi: Amerika Serikat / global (CDN). Memproses: lalu lintas web, log akses, data permintaan HTTP
  • Functional Software, Inc. (Sentry) — Pemantauan error dan performa aplikasi. Lokasi: Amerika Serikat. Memproses: laporan error, data performa, replay sesi (saat terjadi error)
  • Resend Inc. — Layanan pengiriman email untuk notifikasi lead dan handoff. Lokasi: Amerika Serikat. Memproses: alamat email penerima, konten notifikasi
  • Sanity Inc. — CMS untuk konten blog dan changelog. Lokasi: Amerika Serikat / CDN global. Memproses: konten editorial, metadata artikel, aset media

Dewata AI akan memberitahukan Pelanggan tentang setiap perubahan pada daftar Sub-Pemroses melalui pembaruan DPA ini setidaknya 30 (tiga puluh) hari sebelum perubahan berlaku. Pelanggan berhak mengajukan keberatan terhadap penambahan atau penggantian Sub-Pemroses dalam waktu 14 (empat belas) hari sejak pemberitahuan.

Dewata AI memastikan bahwa setiap Sub-Pemroses terikat oleh kewajiban pelindungan data yang setidaknya setara dengan kewajiban yang ditetapkan dalam DPA ini, melalui perjanjian tertulis antara Dewata AI dan masing-masing Sub-Pemroses.

6. Langkah Keamanan Data

Dewata AI menerapkan langkah-langkah teknis dan organisatoris berikut untuk melindungi Data Pribadi dari pemrosesan yang tidak sah, kehilangan, atau kerusakan:

Langkah teknis:

  • Enkripsi transit: Semua data dalam transit dilindungi oleh enkripsi SSL/TLS
  • Enkripsi penyimpanan: Data sensitif seperti token akses channel dan kredensial merchant dienkripsi menggunakan algoritma AES-256-GCM sebelum disimpan di database
  • Hashing API key: API key pelanggan di-hash menggunakan SHA-256 sebelum disimpan; hanya prefix yang ditampilkan kepada pengguna
  • Row Level Security (RLS): Database menerapkan kebijakan RLS yang memastikan setiap pengguna hanya dapat mengakses data milik mereka sendiri
  • Validasi input: Semua input pengguna divalidasi untuk mencegah serangan XSS, SQL injection, dan vektor serangan lainnya
  • Rate limiting: Sistem pembatasan laju (rate limiting) diterapkan pada semua endpoint untuk mencegah penyalahgunaan
  • Domain allowlist: Widget chatbot hanya dapat dimuat dari domain yang telah diotorisasi oleh Pelanggan
  • Security headers: Header keamanan HTTP termasuk X-Frame-Options, X-XSS-Protection, dan HSTS diterapkan pada semua respons

Langkah organisatoris:

  • Prinsip keistimewaan minimum: Akses ke Data Pribadi dibatasi hanya untuk personel yang memerlukan akses untuk menjalankan tugasnya
  • Pemisahan lingkungan: Lingkungan produksi dan pengembangan dipisahkan secara ketat
  • Pemantauan: Sistem pemantauan error dan performa melalui Sentry untuk mendeteksi anomali dan potensi insiden keamanan
  • Penanganan insiden: Prosedur penanganan insiden keamanan yang mencakup identifikasi, penahanan, pemberitahuan, dan remediasi
  • Tinjauan berkala: Langkah-langkah keamanan ditinjau dan diperbarui secara berkala sesuai perkembangan ancaman dan praktik terbaik industri

7. Pemberitahuan Pelanggaran Data

Apabila terjadi Pelanggaran Data Pribadi yang melibatkan Data Pribadi yang diproses atas nama Pengendali Data, Dewata AI akan:

  • Pemberitahuan cepat: Memberitahukan Pengendali Data tanpa penundaan yang tidak semestinya dan dalam waktu maksimal 72 (tujuh puluh dua) jam sejak Pelanggaran Data Pribadi dikonfirmasi, melalui email yang terdaftar di akun Pelanggan
  • Informasi pelanggaran: Menyertakan dalam pemberitahuan informasi berikut sejauh tersedia:
    • Sifat pelanggaran, termasuk kategori dan perkiraan jumlah Subjek Data yang terdampak
    • Kategori dan perkiraan jumlah catatan Data Pribadi yang terdampak
    • Deskripsi kemungkinan konsekuensi dari pelanggaran
    • Deskripsi langkah-langkah yang telah atau akan diambil untuk mengatasi pelanggaran dan memitigasi dampaknya
    • Nama dan detail kontak penanggung jawab pelindungan data atau titik kontak untuk informasi lebih lanjut
  • Bantuan pemberitahuan: Membantu Pengendali Data dalam memenuhi kewajiban pemberitahuan pelanggaran kepada Subjek Data dan otoritas pengawas sesuai Pasal 46 dan 47 UU PDP (pemberitahuan dalam waktu 3x24 jam)
  • Dokumentasi: Mendokumentasikan semua Pelanggaran Data Pribadi, termasuk fakta-fakta seputar pelanggaran, dampaknya, dan tindakan remediasi yang diambil
  • Langkah remediasi: Mengambil langkah-langkah yang wajar untuk membatasi, memperbaiki, dan memitigasi dampak Pelanggaran Data Pribadi

8. Hak Subjek Data

Dewata AI akan membantu Pengendali Data dalam memenuhi kewajiban untuk menanggapi permintaan Subjek Data terkait hak-hak mereka berdasarkan UU PDP, termasuk:

  • Hak akses: Menyediakan akses ke Data Pribadi Subjek Data yang diproses melalui platform, termasuk riwayat percakapan, data pelanggan, dan skor lead
  • Hak perbaikan: Memperbaiki Data Pribadi yang tidak akurat atau tidak lengkap berdasarkan permintaan yang diteruskan oleh Pengendali Data
  • Hak penghapusan: Menghapus Data Pribadi Subjek Data sesuai permintaan, dengan tunduk pada kewajiban retensi yang berlaku berdasarkan peraturan perundang-undangan
  • Hak portabilitas: Menyediakan Data Pribadi dalam format yang terstruktur, umum digunakan, dan dapat dibaca mesin untuk keperluan portabilitas data
  • Hak pembatasan: Membatasi pemrosesan Data Pribadi tertentu sesuai permintaan yang sah dari Pengendali Data
  • Hak keberatan: Menghentikan pemrosesan tertentu (seperti lead scoring atau browser fingerprinting) sesuai keberatan yang disampaikan melalui Pengendali Data

Dewata AI akan menanggapi permintaan terkait hak Subjek Data yang diteruskan oleh Pengendali Data dalam waktu 14 (empat belas) hari kerja sejak permintaan diterima. Jika permintaan bersifat kompleks atau berjumlah banyak, jangka waktu dapat diperpanjang dengan pemberitahuan kepada Pengendali Data.

Apabila Dewata AI menerima permintaan langsung dari Subjek Data, Dewata AI akan meneruskan permintaan tersebut kepada Pengendali Data yang relevan tanpa penundaan yang tidak semestinya, kecuali diwajibkan lain oleh hukum yang berlaku.

9. Transfer Data Lintas Batas

Dalam rangka penyediaan layanan, Data Pribadi dapat ditransfer dan diproses di luar wilayah Republik Indonesia. Dewata AI memastikan bahwa setiap transfer data lintas batas dilakukan sesuai dengan ketentuan Pasal 56 UU PDP dan peraturan pelaksanaannya.

Negara tujuan transfer dan tujuan pemrosesan:

  • Amerika Serikat: Supabase (database), OpenAI/Vercel (AI processing), Meta (WhatsApp/Instagram API), Sentry (monitoring), Resend (email), Sanity (CMS)
  • Uni Emirat Arab / Global: Telegram (Bot API)
  • Global (CDN): Vercel (hosting dan distribusi konten)
  • Indonesia: Midtrans (pemrosesan pembayaran)

Langkah perlindungan untuk transfer lintas batas:

  • Perjanjian pemrosesan data dengan setiap Sub-Pemroses yang mencakup kewajiban pelindungan data yang setara atau lebih tinggi dari UU PDP
  • Enkripsi data dalam transit (SSL/TLS) dan data sensitif yang disimpan (AES-256-GCM)
  • Pembatasan akses berdasarkan prinsip keistimewaan minimum
  • Pemantauan berkelanjutan terhadap kepatuhan Sub-Pemroses
  • Mekanisme untuk menghentikan transfer jika negara tujuan tidak lagi memberikan tingkat pelindungan yang memadai

Pelanggan, dengan menyetujui DPA ini, memberikan persetujuan untuk transfer data lintas batas sebagaimana dijelaskan di atas, sesuai dengan ketentuan UU PDP.

10. Jangka Waktu dan Pengakhiran

DPA ini berlaku efektif sejak Pelanggan mulai menggunakan layanan Dewata AI dan akan tetap berlaku selama Dewata AI memproses Data Pribadi atas nama Pelanggan.

Pada saat pengakhiran layanan:

  • Penghapusan data: Dewata AI akan menghapus semua Data Pribadi yang diproses atas nama Pengendali Data dalam waktu 30 (tiga puluh) hari setelah pengakhiran layanan, kecuali peraturan perundang-undangan mewajibkan penyimpanan lebih lanjut
  • Ekspor data: Sebelum penghapusan, Pelanggan dapat meminta ekspor Data Pribadi dalam format yang terstruktur dan dapat dibaca mesin. Permintaan ekspor harus diajukan sebelum tanggal pengakhiran layanan
  • Konfirmasi penghapusan: Setelah penghapusan selesai, Dewata AI akan memberikan konfirmasi tertulis kepada Pelanggan bahwa Data Pribadi telah dihapus
  • Pengecualian retensi: Data transaksi keuangan akan disimpan minimum 10 tahun sesuai PP No. 80 Tahun 2019, dan data non-keuangan terkait transaksi akan disimpan minimum 5 tahun

Kewajiban kerahasiaan dan pelindungan Data Pribadi yang ditetapkan dalam DPA ini akan tetap berlaku setelah pengakhiran DPA, selama Data Pribadi masih disimpan oleh Dewata AI atau Sub-Pemrosesnya.

11. Kepatuhan terhadap UU PDP dan GDPR

DPA ini disusun untuk memenuhi persyaratan peraturan pelindungan data yang berlaku, khususnya:

UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP):

  • Pasal 34-38: Kewajiban Pengendali Data Pribadi dan Pemroses Data Pribadi
  • Pasal 20-26: Dasar hukum pemrosesan Data Pribadi
  • Pasal 5-13: Hak-hak Subjek Data Pribadi
  • Pasal 46-47: Pemberitahuan kegagalan pelindungan Data Pribadi
  • Pasal 55-56: Transfer Data Pribadi lintas batas negara
  • Pasal 57-66: Ketentuan sanksi administratif dan pidana

General Data Protection Regulation (GDPR) - Uni Eropa:

Meskipun Dewata AI beroperasi di Indonesia, DPA ini juga dirancang untuk memenuhi standar GDPR apabila Pelanggan memproses Data Pribadi warga negara Uni Eropa melalui platform kami. Ketentuan tambahan untuk kepatuhan GDPR meliputi:

  • Article 28: Kewajiban pemroses data, termasuk perjanjian tertulis dan instruksi terdokumentasi
  • Article 32: Keamanan pemrosesan, termasuk langkah teknis dan organisatoris yang memadai
  • Article 33-34: Pemberitahuan pelanggaran data dalam waktu 72 jam
  • Articles 44-49: Mekanisme transfer data lintas batas menggunakan Standard Contractual Clauses (SCC) atau mekanisme yang disetujui lainnya

Peraturan pelaksana lainnya:

  • PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
  • PP No. 80 Tahun 2019 tentang Perdagangan Melalui Sistem Elektronik

Dewata AI berkomitmen untuk terus memantau perkembangan peraturan pelindungan data dan memperbarui DPA ini sesuai kebutuhan untuk memastikan kepatuhan berkelanjutan.

Untuk pertanyaan mengenai DPA ini, silakan hubungi kami di:

PT DEWATA ARTIFICIAL INTELLIGENCE

contact@dewataai.com