DATA PROCESSING ADDENDUM (DPA) BISNAPI
Initial Version: 25 Maret 2026 (PT SNAPPY ANGKASA MEDIA formation) Last Updated: 17 Mei 2026 Effective Date: 17 Mei 2026 Version: 1.1 PSE: 022966.01/DJAI.PSE/04/2026
1. Pendahuluan dan Ruang Lingkup
1.0 Pejabat Pelindungan Data Pribadi (DPO)
PT Snappy Angkasa Media telah menunjuk Pejabat Pelindungan Data Pribadi (Data Protection Officer) sesuai UU PDP No. 27/2022 Pasal 46. Kontak DPO: legal@bisnapi.id.
1.0.1 Analisis Dampak Perlindungan Data Pribadi (DPIA)
PT Snappy Angkasa Media telah melakukan Analisis Dampak Perlindungan Data Pribadi (DPIA) sesuai UU PDP Pasal 34 untuk modul berisiko tinggi (Payroll/HRIS, BISNAY AI, POS, CRM, BE-Sentinel). Dokumen DPIA tersedia di: docs/legal/DPIA.md.
1.0.2 Catatan Aktivitas Pemrosesan (ROPA)
PT Snappy Angkasa Media memelihara Catatan Aktivitas Pemrosesan (Records of Processing Activities) sesuai UU PDP Pasal 46 yang mencakup seluruh aktivitas pemrosesan data pribadi dalam Platform.
1.1. Data Processing Addendum ini ("DPA") merupakan bagian tidak terpisahkan dari Syarat dan Ketentuan Penggunaan Bisnapi dan berlaku untuk seluruh pemrosesan Data Pribadi yang dilakukan oleh PT Snappy Angkasa Media ("Prosesor") atas instruksi Pengguna ("Pengendali") dalam konteks penggunaan platform Bisnapi.
1.2. DPA ini berlaku sesuai dengan:
2. Definisi
"Data Pribadi" โ setiap data yang berkaitan dengan individu yang teridentifikasi atau dapat diidentifikasi, baik secara langsung maupun tidak langsung, sebagaimana didefinisikan dalam UU PDP No. 27/2022.
"Pengendali Data" โ Pengguna, yang menentukan tujuan dan cara pemrosesan Data Pribadi karyawan, pelanggan, atau mitra bisnisnya.
"Prosesor Data" โ PT Snappy Angkasa Media, yang memproses Data Pribadi berdasarkan instruksi dari Pengendali.
"Sub-Prosesor" โ pihak ketiga yang ditunjuk oleh Prosesor untuk memproses Data Pribadi atas nama Prosesor.
"Pelanggaran Data" โ pelanggaran keamanan yang mengakibatkan pengungkapan, akses, perubahan, kehilangan, atau penghancuran Data Pribadi secara tidak sah.
"Data Sensitif" โ Data Pribadi yang memerlukan perlindungan lebih tinggi: data biometrik, data kesehatan, data keuangan, data perpajakan, NPWP, nomor rekening bank.
3. Peran Para Pihak
3.1. Pengguna sebagai Pengendali Data: Pengguna menentukan tujuan dan cara pemrosesan Data Pribadi yang dimasukkan ke dalam Bisnapi, termasuk data karyawan, pelanggan, dan mitra bisnis Pengguna.
3.2. PT Snappy Angkasa Media sebagai Prosesor Data: Kami memproses Data Pribadi semata-mata berdasarkan instruksi yang sah dari Pengendali dan untuk tujuan menyediakan layanan Bisnapi.
3.3. Kami tidak akan memproses Data Pribadi untuk tujuan selain yang tercantum dalam DPA ini kecuali diwajibkan oleh hukum yang berlaku.
4. Instruksi Pemrosesan
4.1. Pengendali dengan ini memberikan instruksi kepada Prosesor untuk memproses Data Pribadi dalam rangka:
Menyimpan dan mengelola data operasional bisnis (karyawan, transaksi, inventori).
Menjalankan fitur dan modul yang diaktifkan Pengguna.
Menghasilkan laporan dan analisis atas data yang diinput Pengguna.
Mengintegrasikan dengan layanan pihak ketiga yang diizinkan Pengguna.
Mengirimkan notifikasi layanan yang relevan.
4.2. Pengguna bertanggung jawab memastikan instruksi pemrosesan yang diberikan sesuai dengan hukum yang berlaku. Kami berhak menolak instruksi yang melanggar hukum dan akan memberitahu Pengguna secepatnya.
4.3. Pengguna harus memastikan telah memperoleh persetujuan yang sah dari setiap Subjek Data sebelum memasukkan Data Pribadi mereka ke dalam Bisnapi.
5. Kewajiban Prosesor
PT Snappy Angkasa Media berkomitmen untuk:
5.1. Kerahasiaan: Memastikan seluruh personel yang memiliki akses ke Data Pribadi terikat kewajiban kerahasiaan.
5.2. Keamanan: Menerapkan langkah-langkah teknis dan organisasi yang tepat untuk melindungi Data Pribadi dari akses tidak sah, pengungkapan, perubahan, atau penghancuran.
5.3. Sub-Prosesor: Tidak menggunakan Sub-Prosesor baru tanpa pemberitahuan terlebih dahulu kepada Pengendali. Pengendali memiliki hak untuk mengajukan keberatan dalam 14 hari sejak pemberitahuan.
5.4. Bantuan: Membantu Pengendali dalam memenuhi kewajibannya terhadap Subjek Data, termasuk hak akses, koreksi, penghapusan, dan portabilitas data.
5.5. Audit: Menyediakan informasi yang wajar dan diperlukan untuk membuktikan kepatuhan terhadap DPA ini, jika diminta Pengendali dengan pemberitahuan 30 hari sebelumnya.
5.6. Penghapusan/Pengembalian: Setelah berakhirnya perjanjian, atas pilihan Pengendali: mengembalikan semua Data Pribadi atau menghapusnya secara permanen dalam waktu 30 hari, kecuali diwajibkan oleh hukum untuk menyimpannya.
6. Sub-Prosesor yang Disetujui
Pengendali menyetujui penggunaan Sub-Prosesor berikut:
| Sub-Prosesor | Tujuan | Lokasi Data |
|---|---|---|
| Cloudflare, Inc. | Infrastruktur cloud, CDN, D1 database, R2 storage, Workers AI | Global (edge) |
| Xendit | Pemrosesan pembayaran dan transaksi keuangan | Indonesia |
6.1. Kami akan memberitahu Pengendali secara tertulis paling lambat 14 hari sebelum menambah atau mengganti Sub-Prosesor.
6.2. Pengendali dapat mengajukan keberatan tertulis dalam 14 hari sejak pemberitahuan. Jika keberatan valid dan tidak dapat diselesaikan, Pengendali berhak mengakhiri layanan tanpa penalti.
6.3. Kami memastikan setiap Sub-Prosesor terikat kewajiban perlindungan data yang setara dengan DPA ini.
7. Keamanan Data dan Langkah Teknis
7.1. Enkripsi
- In transit: TLS 1.3 untuk seluruh komunikasi antara klien dan server.
- At rest: AES-256 untuk data yang disimpan di Cloudflare R2 dan D1.
7.2. Isolasi Data
- Setiap Organisasi mendapatkan dedicated Cloudflare D1 database (
org_{id}). - Tidak ada shared database antar tenant โ isolasi fisik penuh.
- Cloudflare R2 bucket dipisah per organisasi.
7.3. Kontrol Akses
- Akses ke Data Pengguna oleh staf Kami hanya diberikan atas dasar kebutuhan (need-to-know basis).
- Seluruh akses internal dicatat dalam audit log.
- Multi-factor authentication diwajibkan untuk akses sistem produksi.
7.4. Monitoring
- Pemantauan keamanan 24/7 melalui Cloudflare dan sistem internal.
- Deteksi anomali otomatis untuk pola akses tidak normal.
8. Retensi dan Penghapusan Data
Tabel Retensi Master:
| Kategori Data | Periode Retensi | Dasar |
|---|---|---|
| Data Akun aktif | Selama aktif + 30 hari | Kontrak |
| Data Operasional (transaksi, invoice) | 5 tahun | Kewajiban perpajakan |
| Data Karyawan (payroll) | 5 tahun setelah kontrak berakhir | UU Ketenagakerjaan |
| Log Akses dan Keamanan | 90 hari | Keamanan operasional |
| Data Pembayaran | 5 tahun | Kewajiban perpajakan |
| Backup data | 30 hari rolling | Pemulihan bencana |
| Data RAKJAT non-aktif | Hingga Day 180 (sesuai TOS) | Efisiensi infrastruktur |
Setelah periode retensi, data dihapus menggunakan prosedur penghapusan aman yang tidak dapat dipulihkan.
9. Pelanggaran Data (Data Breach)
9.1. Kami akan memberitahu Pengendali dalam 72 jam setelah mengetahui adanya Pelanggaran Data yang mempengaruhi Data Pribadi milik Pengendali.
9.2. Notifikasi akan mencakup:
Deskripsi sifat pelanggaran.
Kategori dan estimasi jumlah Subjek Data dan data yang terdampak.
Nama dan kontak Data Protection Officer atau kontak yang relevan.
Kemungkinan konsekuensi dari pelanggaran.
Langkah yang telah dan akan diambil untuk mengatasi pelanggaran.
9.3. Kami akan membantu Pengendali dalam memenuhi kewajiban pelaporan kepada otoritas yang berwenang sesuai UU PDP No. 27/2022. PT Snappy Angkasa Media akan membantu Pengendali dalam notifikasi kepada Lembaga Perlindungan Data Pribadi dalam waktu 3ร24 jam sesuai UU PDP Pasal 46. PT Snappy Angkasa Media akan menyediakan rincian teknis yang diperlukan untuk kepatuhan pelaporan tersebut.
10. Hak Subjek Data
10.1. Pengguna selaku Pengendali bertanggung jawab untuk menerima dan merespons permintaan dari Subjek Data terkait hak-hak mereka.
10.2. Kami akan membantu Pengendali dalam memenuhi permintaan Subjek Data dengan menyediakan fungsionalitas teknis yang relevan (ekspor data, penghapusan data, dll.).
10.3. Permintaan dari Subjek Data wajib disampaikan melalui Pengendali, bukan langsung ke Kami. Pengendali wajib menginformasikan hal ini kepada Subjek Data.
10.4. Kami akan merespons permintaan bantuan dari Pengendali dalam hal hak Subjek Data dalam 14 hari kerja.
11. Transfer Data Lintas Batas
11.1. Data Pengguna diproses menggunakan infrastruktur Cloudflare yang beroperasi secara global. Pemrosesan edge dilakukan di Point of Presence (PoP) terdekat dengan pengguna, termasuk Jakarta untuk pengguna di Indonesia. Penyimpanan data (data at rest) berada di region Asia-Pasifik (APAC), dengan latensi akses <30ms dari Indonesia. Transfer data lintas batas dilakukan dengan jaminan perlindungan data setara melalui sub-prosesor yang tersertifikasi ISO 27001 dan SOC 2 Type II, sesuai UU PDP No. 27/2022 Pasal 56-57.
11.2. Kami memastikan bahwa setiap transfer data lintas batas dilakukan dengan perlindungan yang memadai, termasuk melalui perjanjian dengan Sub-Prosesor yang memuat klausul perlindungan data yang setara.
11.3. Fitur BISNAY AI diproses menggunakan Cloudflare Workers AI yang berjalan di infrastruktur edge Cloudflare. Pemrosesan AI tidak melibatkan pengiriman data ke penyedia AI pihak ketiga di luar ekosistem Cloudflare.
12. Audit dan Kepatuhan
12.1. Pengendali berhak meminta laporan atau sertifikasi kepatuhan Kami terhadap DPA ini maksimum satu kali per tahun, dengan pemberitahuan tertulis 30 hari sebelumnya.
12.2. PT Snappy Angkasa Media mewarisi sertifikasi keamanan dari infrastruktur Cloudflare, Inc., termasuk: ISO 27001 (Sistem Manajemen Keamanan Informasi), SOC 2 Type II (Service Organization Control), PCI DSS Level 1 (Payment Card Industry Data Security Standard), FIPS 140-2 (Federal Information Processing Standards), dan enkripsi post-quantum untuk perlindungan data jangka panjang. Informasi lengkap mengenai kepatuhan Cloudflare tersedia di: https://www.cloudflare.com/trust-hub/compliance-resources/
12.3. Kami dapat memenuhi kewajiban audit ini dengan menyediakan laporan audit pihak ketiga yang relevan (mis. SOC 2, ISO 27001 jika tersedia) sebagai pengganti audit langsung.
12.4. Biaya audit yang diprakarsai Pengendali ditanggung oleh Pengendali.
13. Durasi dan Pengakhiran
13.1. DPA ini berlaku selama Pengguna menggunakan Bisnapi.
13.2. Setelah pengakhiran layanan, Kami akan menghapus atau mengembalikan Data Pribadi sesuai ketentuan Pasal 5.6 dan EXIT.md.
13.3. Kewajiban kerahasiaan dan keamanan data berlaku selama 1 tahun setelah pengakhiran layanan.
14. Permintaan Data oleh Otoritas Hukum
14.1. Prinsip Umum
Kami hanya akan mengungkapkan Data Pengguna kepada aparat penegak hukum, regulator, atau otoritas pemerintah jika:
- Terdapat surat perintah resmi (court order, surat perintah penyidikan, atau perintah regulator) yang sah secara hukum berdasarkan hukum Indonesia; atau
- Terdapat kewajiban hukum yang mengharuskan pengungkapan sesuai peraturan perundang-undangan yang berlaku (UU ITE, UU PDP, UU No. 8/2010 TPPU, dll.).
14.2. Prosedur Internal
14.2.1. Seluruh permintaan data oleh otoritas hukum wajib disampaikan secara tertulis ke legal@bisnapi.id dan ditindaklanjuti setelah melalui verifikasi legalitas oleh tim internal atau kuasa hukum Kami.
14.2.2. Kami tidak akan memenuhi permintaan data yang:
- Tidak disertai dasar hukum yang jelas.
- Melebihi ruang lingkup yang diperlukan (over-broad requests).
- Tidak melalui prosedur resmi yang ditetapkan hukum.
14.3. Notifikasi kepada Pengendali
14.3.1. Kami akan memberitahu Pengendali (Pengguna) secara tertulis sebelum memenuhi permintaan data otoritas, kecuali jika:
Pemberitahuan dilarang secara eksplisit oleh perintah hukum yang berlaku; atau
Situasi darurat yang mengancam keselamatan jiwa.
14.3.2. Jika pemberitahuan dilarang, Kami akan mencatat permintaan tersebut secara internal dan memberitahu Pengendali sesegera mungkin setelah larangan dicabut.
14.4. Transparansi
Bisnapi berkomitmen untuk menerbitkan laporan transparansi (Transparency Report) secara berkala yang merangkum jumlah dan jenis permintaan data yang diterima dari otoritas, sesuai dengan batasan yang diizinkan hukum.
15. Kontak Data Protection
| Keperluan | Kontak |
|---|---|
| Pertanyaan DPA dan privasi | legal@bisnapi.id |
| Laporan Pelanggaran Data | legal@bisnapi.id |
| Permintaan hak Subjek Data | legal@bisnapi.id |
| Permintaan data oleh otoritas hukum | legal@bisnapi.id |
Riwayat Revisi
| Versi | Tanggal | Ringkasan Perubahan |
|---|---|---|
| 1.0 | 1 Mei 2026 | Rilis pertama |
| 1.1 | 17 Mei 2026 | Standardisasi metadata (dual-date frontmatter mengikuti pendirian PT 25 Maret 2026). |
ยฉ 2026 PT Snappy Angkasa Media. Seluruh hak dilindungi. PSE: 022966.01/DJAI.PSE/04/2026