Addendum Pemrosesan Data

Terakhir diperbarui: 15 Mei 2026

DPA ini dimasukkan dengan referensi ke dalam Syarat dan Ketentuan Bisnis dan berlaku efektif pada saat Pelanggan menerima Syarat dan Ketentuan Bisnis atau pertama kali menggunakan Layanan setelah tanggal di atas, mana yang lebih awal. Pelanggan yang memerlukan salinan DPA ini yang telah ditandatangani bersama pada kop surat perusahaan dapat mengajukan permintaan dengan menulis kepada privacy@easyweek.io. EasyWeek akan menandatangani bersama tanpa perubahan pada substansi templat ini.

1. Definisi

Istilah yang ditulis dengan huruf kapital namun tidak didefinisikan dalam DPA ini memiliki makna sebagaimana diberikan dalam Ketentuan Layanan Bisnis atau dalam UU PDP No. 27 Tahun 2022. Secara khusus:

• "UU PDP No. 27 Tahun 2022" — Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi, dan, jika berlaku, peraturan pelaksanaannya yang dibaca dengan penyesuaian yang diperlukan.
• "Pengendali Data", "Prosesor Data", "Subjek Data", "Data Pribadi", "Pelanggaran Data Pribadi", "Pemrosesan", "Sub-prosesor", "Otoritas Pengawas" — sebagaimana didefinisikan dalam UU PDP No. 27 Tahun 2022.
• "Data Pribadi Pelanggan" — Data Pribadi yang dikirimkan atau dihasilkan oleh Pelanggan atau pengguna yang berwenang melalui Layanan dan yang diproses oleh EasyWeek atas nama Pelanggan.
• "Klausul Kontrak Standar" — Klausul Kontrak Standar untuk transfer data pribadi ke negara ketiga yang diadopsi melalui Keputusan Pelaksanaan Komisi (EU) 2021/914 tanggal 4 Juni 2021, sebagaimana diterapkan oleh EasyWeek GmbH selaku entitas yang berdomisili di Jerman dalam kapasitasnya sebagai pengendali atau prosesor data subjek di EEA.

2. Peran

Pelanggan adalah Pengendali Data Pribadi Pelanggan. EasyWeek adalah Pemroses dan memproses Data Pribadi Pelanggan hanya berdasarkan instruksi terdokumentasi dari Pelanggan dan sesuai dengan DPA ini, Ketentuan Layanan Bisnis, dan hukum yang berlaku.

Para pihak mengakui bahwa EasyWeek adalah Pengendali untuk kategori data pribadi tertentu yang diproses oleh EasyWeek untuk tujuannya sendiri — misalnya, kredensial akun pengguna yang berwenang, data penagihan, dan telemetri penggunaan Layanan. Pemrosesan tersebut diatur oleh Kebijakan Privasi Bisnis, bukan DPA ini.

3. Pokok perjanjian, jangka waktu, tujuan

Pokok perjanjian, sifat, tujuan, jangka waktu, kategori Data Pribadi, dan kategori Subjek Data diuraikan dalam Lampiran I.

DPA berlaku selama EasyWeek memproses Data Pribadi Pelanggan atas nama Pelanggan dan tetap berlaku setelah berakhirnya Syarat dan Ketentuan Layanan Bisnis selama yang diperlukan untuk mematuhi Pasal 13.

4. Instruksi Pelanggan

Layanan itu sendiri, konfigurasi yang diterapkan oleh Pelanggan melalui antarmuka pengguna dan API Layanan, Ketentuan Layanan Bisnis, dan DPA ini merupakan instruksi lengkap dan final yang didokumentasikan dari Pelanggan kepada EasyWeek mengenai pemrosesan Data Pribadi Pelanggan. Instruksi tambahan atau yang berbeda memerlukan persetujuan tertulis dan dapat dikenai biaya tambahan.

EasyWeek akan memberitahu Pelanggan tanpa penundaan yang tidak semestinya apabila, menurut pendapatnya, suatu instruksi melanggar UU PDP No. 27 Tahun 2022 atau ketentuan pelindungan data pribadi lainnya yang berlaku, dan dapat menangguhkan instruksi yang dipersengketakan tersebut hingga diperoleh konfirmasi tertulis dari Pelanggan.

5. Kerahasiaan

EasyWeek memastikan bahwa personel yang diberi wewenang untuk memproses Data Pribadi Pelanggan telah mengikatkan diri pada kewajiban kerahasiaan (atau tunduk pada kewajiban kerahasiaan berdasarkan peraturan perundang-undangan yang berlaku, termasuk UU PDP No. 27 Tahun 2022) serta terikat oleh kontrol akses dan prinsip hak akses minimal. Akses terhadap Data Pribadi Pelanggan dibatasi hanya kepada personel yang membutuhkannya untuk mengoperasikan atau meningkatkan Layanan.

6. Keamanan (TOM)

EasyWeek menerapkan langkah-langkah teknis dan organisasi yang sesuai untuk memastikan tingkat keamanan yang memadai sesuai dengan risiko, sebagaimana diuraikan dalam Lampiran II. EasyWeek dapat memperbarui TOM-nya dari waktu ke waktu selama tingkat perlindungan tidak dikurangi.

7. Subprosesor

Pelanggan dengan ini memberikan otorisasi tertulis umum kepada EasyWeek untuk melibatkan Subprosesor. Daftar Subprosesor yang disetujui per tanggal DPA ini tercantum dalam Lampiran III dan dikelola di /business/subprocessors.

EasyWeek akan memberitahu Pelanggan paling lambat tiga puluh (30) hari sebelum penambahan atau penggantian Subprosesor yang direncanakan, melalui pusat notifikasi dalam aplikasi dan, jika Pelanggan telah berlangganan, melalui email. Pelanggan dapat mengajukan keberatan atas dasar perlindungan data yang wajar dan terdokumentasi dalam waktu tiga puluh (30) hari sejak pemberitahuan. Jika para pihak tidak dapat menyepakati penyelesaian, Pelanggan dapat mengakhiri Ketentuan Layanan Bisnis sehubungan dengan bagian Layanan yang memerlukan Subprosesor yang disengketakan, dengan pengembalian dana pro-rata atas biaya yang telah dibayar di muka untuk sisa jangka waktu.

EasyWeek memberlakukan kewajiban perlindungan data kepada setiap Subprosesor melalui kontrak tertulis yang tidak kurang protektif daripada yang ditetapkan dalam DPA ini. EasyWeek tetap sepenuhnya bertanggung jawab kepada Pelanggan atas pelaksanaan kewajiban para Subprosesornya.

8. Transfer internasional

Data Pribadi Pelanggan terutama diproses di Kawasan Ekonomi Eropa. Apabila Data Pribadi Pelanggan ditransfer ke negara di luar Kawasan Ekonomi Eropa (KEE) tanpa adanya keputusan kecukupan dari Komisi Eropa, maka Klausul Kontraktual Standar (KKS) berlaku dengan pilihan berikut:

• Modul Dua (Pengendali ke Pemroses) dimasukkan dengan referensi untuk transfer dari Pelanggan (atau Pengendali KEE-nya) ke EasyWeek di mana EasyWeek memproses Data Pribadi Pelanggan di negara ketiga.
• Modul Tiga (Pemroses ke Pemroses) dimasukkan dengan referensi untuk transfer lebih lanjut dari EasyWeek ke Sub-Pemroses di negara ketiga.
• Pasal 7 (Klausul penggabungan) disertakan.
• Pasal 9(a) — Opsi 2 (otorisasi tertulis umum, pemberitahuan 30 hari) berlaku.
• Pasal 11(a) — badan penyelesaian sengketa independen tidak dipilih.
• Pasal 17 — hukum yang mengatur adalah hukum Jerman.
• Pasal 18 — pengadilan yang berwenang adalah pengadilan di Düsseldorf, Jerman.
• Lampiran I KKS diisi dengan referensi ke Lampiran I DPA ini.
• Lampiran II KKS diisi dengan referensi ke Lampiran II DPA ini.
• Lampiran III KKS diisi dengan referensi ke Lampiran III DPA ini.

Penilaian Dampak Transfer yang merangkum evaluasi EasyWeek terhadap hukum negara tujuan serta tindakan teknis, kontraktual, atau organisasi tambahan tersedia atas permintaan melalui privacy@easyweek.io.

Untuk transfer ke Inggris Raya, Adendum Transfer Data Internasional Inggris Raya terhadap KKS (yang diterbitkan oleh ICO dan berlaku sejak 21 Maret 2022) berlaku. Untuk transfer ke Swiss, KKS dibaca dengan substitusi yang disyaratkan oleh FDPIC.

9. Permintaan Subjek Data

Layanan menyediakan fitur layanan mandiri yang memungkinkan Pelanggan memenuhi Permintaan Subjek Data untuk akses, rektifikasi, penghapusan, pembatasan, portabilitas, dan keberatan. Apabila Subjek Data menghubungi EasyWeek secara langsung, EasyWeek akan meneruskan permintaan tersebut kepada Pelanggan tanpa penundaan yang tidak semestinya dan tidak akan merespons Subjek Data selain untuk mengonfirmasi penerimaan dan mengarahkan permintaan kepada Pelanggan.

EasyWeek akan membantu Pelanggan, dengan mempertimbangkan sifat pemrosesan, melalui langkah-langkah teknis dan organisasi yang tepat, dalam memenuhi kewajiban Pelanggan untuk merespons Permintaan Subjek Data berdasarkan UU PDP No. 27 Tahun 2022 Pasal 5 hingga 16.

10. Pelanggaran data pribadi

EasyWeek akan memberitahu Pelanggan tanpa penundaan yang tidak semestinya dan dalam hal apapun dalam waktu tujuh puluh dua (72) jam setelah mengetahui adanya Pelanggaran Data Pribadi yang berdampak pada Data Pribadi Pelanggan. Pemberitahuan tersebut akan mencakup, paling sedikit, informasi yang disyaratkan oleh UU PDP No. 27 Tahun 2022 sepanjang diketahui: sifat Pelanggaran, kategori dan perkiraan jumlah Subjek Data dan catatan yang terdampak, kemungkinan konsekuensinya, serta langkah-langkah yang telah diambil atau diusulkan.

EasyWeek akan mengambil langkah-langkah yang wajar untuk mengendalikan dan memulihkan kondisi akibat Pelanggaran tersebut serta memberikan kepada Pelanggan informasi yang diperlukan agar Pelanggan dapat memenuhi kewajiban pemberitahuannya sendiri kepada Lembaga Pelindung Data Pribadi (atau Kementerian Komunikasi dan Informatika RI sebagai otoritas interim, https://www.kominfo.go.id/) dan kepada Subjek Data yang terdampak.

11. DPIA dan konsultasi sebelumnya

EasyWeek akan memberikan bantuan yang wajar kepada Pelanggan sehubungan dengan Penilaian Dampak Perlindungan Data atau konsultasi sebelumnya yang wajib dilakukan oleh Pelanggan berdasarkan UU PDP No. 27 Tahun 2022, sepanjang bantuan tersebut diperlukan secara wajar dan informasi yang dimaksud dimiliki oleh EasyWeek.

12. Audit

EasyWeek akan menyediakan kepada Pelanggan semua informasi yang diperlukan untuk menunjukkan kepatuhan terhadap DPA ini, termasuk:

• Salinan terkini dari sertifikasi dan laporan audit yang paling relevan (seperti ISO 27001 jika tersedia, laporan SOC 2 tipe II dari Sub-prosesor yang relevan).
• Tanggapan tertulis atas kuesioner keamanan yang wajar, satu kali per periode dua belas bulan, tanpa biaya.

Apabila informasi di atas tidak mencukupi dan Pelanggan diwajibkan oleh Otoritas Pengawasnya untuk melaksanakan audit di tempat, Pelanggan dapat melakukan atau menunjuk auditor independen untuk melaksanakan audit atas biaya Pelanggan, dengan pemberitahuan tertulis setidaknya enam puluh (60) hari sebelumnya, selama jam kerja, tidak lebih dari satu kali per periode dua belas bulan (kecuali terjadi Pelanggaran Data Pribadi), berdasarkan komitmen kerahasiaan yang wajar, dan tanpa mengganggu operasional bisnis EasyWeek atau keamanan pelanggan lain. Ruang lingkup audit terbatas pada verifikasi kepatuhan EasyWeek terhadap DPA ini.

13. Pengembalian dan penghapusan

Dalam waktu tiga puluh (30) hari sejak pengakhiran Ketentuan Layanan Bisnis, Pelanggan dapat mengekspor Data Pribadi Pelanggan melalui alat ekspor mandiri yang disediakan oleh Layanan. Setelah masa tenggang tiga puluh hari ini, EasyWeek akan menghapus atau menganonimkan Data Pribadi Pelanggan dalam waktu yang wajar dan bagaimanapun juga dalam waktu sembilan puluh (90) hari, kecuali sepanjang EasyWeek diwajibkan oleh hukum yang berlaku untuk menyimpan sebagian atau seluruhnya (dalam hal mana data yang disimpan tetap tunduk pada kewajiban kerahasiaan dan keamanan dalam DPA ini).

Cadangan yang berisi Data Pribadi Pelanggan ditimpa secara bergulir dalam periode retensi cadangan standar dan tetap tunduk pada DPA ini hingga masa berlakunya berakhir.

14. Tanggung Jawab dan Ketentuan Lain-Lain

Tanggung jawab masing-masing pihak berdasarkan atau sehubungan dengan DPA ini tunduk pada batasan dan pengecualian tanggung jawab yang diatur dalam Ketentuan Layanan Bisnis.

DPA ini merupakan bagian dari Ketentuan Layanan Bisnis. Dalam hal terdapat pertentangan antara DPA ini dan Ketentuan Layanan Bisnis sehubungan dengan pemrosesan Data Pribadi Pelanggan, DPA ini yang berlaku. Dalam hal terdapat pertentangan antara DPA ini dan Klausul Kontrak Standar, Klausul Kontrak Standar yang berlaku.

DPA ini diatur oleh hukum Republik Federal Jerman. Pengadilan Düsseldorf, Jerman, memiliki yurisdiksi eksklusif, tanpa mengesampingkan perlindungan wajib bagi Subjek Data berdasarkan tempat tinggal biasa mereka.

Lampiran I – Deskripsi pemrosesan

Pokok hal Pemrosesan yang diperlukan untuk menyediakan Layanan Bisnis EasyWeek kepada Pelanggan.

Durasi Selama jangka waktu Ketentuan Layanan Bisnis dan setiap periode retensi pasca-pengakhiran yang diperlukan untuk melaksanakan Pasal 13.

Sifat dan tujuan pemrosesan Hosting, penyimpanan, pengambilan, pengorganisasian, modifikasi, transmisi, penghapusan, anonimisasi, analisis statistik, dan operasi pemrosesan lainnya yang diperlukan untuk menyediakan pemesanan online, manajemen hubungan pelanggan, keuangan dan penagihan, otomasi pemasaran, pembangunan situs web, pengingat dan notifikasi, daftar marketplace, fitur berbantuan AI, dan fungsi tambahan.

Kategori Subjek Data

• Pelanggan akhir dan calon pelanggan dari Pelanggan
• Karyawan, pekerja lepas, kontraktor, dan pengguna resmi lainnya dari Pelanggan
• Pengunjung halaman pemesanan online dan widget tertanam milik Pelanggan
• Pengirim dan penerima komunikasi yang diarahkan melalui Layanan

Kategori Data Pribadi

• Data identifikasi (nama, foto, jenis kelamin)
• Data kontak (email, telepon, alamat)
• Kredensial akun pengguna resmi Pelanggan
• Riwayat pemesanan dan janji temu
• Catatan, file, foto, dokumen yang diunggah oleh Pelanggan
• Data program loyalitas, saldo kartu hadiah, segmen pelanggan
• Konten komunikasi (SMS, WhatsApp, isi email, isi notifikasi push, obrolan dalam aplikasi)
• Data keuangan (catatan faktur, status pembayaran, 4 digit terakhir kartu pembayaran — data kartu lengkap diproses langsung oleh Stripe dan tidak disimpan oleh EasyWeek)
• Data teknis (alamat IP, pengidentifikasi perangkat, browser, bahasa, cap waktu)
• Apabila Pelanggan memilih untuk mencatatnya: catatan terkait kesehatan (dalam konteks kecantikan, kebugaran, medis, atau gigi). Pelanggan bertanggung jawab untuk memastikan bahwa Pelanggan memiliki dasar hukum yang sah berdasarkan UU PDP No. 27 Tahun 2022 Pasal 9 sebelum mencatat data tersebut.

Frekuensi transfer Berkelanjutan.

Retensi Data Pribadi Pelanggan disimpan selama Pelanggan menginstruksikan dan sebagaimana dijelaskan lebih lanjut dalam Pasal 13.

Lampiran II – Tindakan teknis dan organisasional

EasyWeek menerapkan setidaknya tindakan-tindakan berikut, yang sewaktu-waktu dapat diperbarui selama tingkat perlindungan tidak dikurangi:

• Pseudonimisasi dan enkripsi — TLS 1.3 untuk data yang sedang transit di jaringan publik; AES-256 untuk data yang tersimpan (database storage, object storage, cadangan); kunci enkripsi per-penyewa untuk bidang-bidang sensitif jika berlaku.
• Kerahasiaan — kontrol akses berbasis peran dengan hak akses minimum (least-privilege), autentikasi multifaktor wajib untuk semua akses administratif, batas waktu sesi otomatis, kontrol akses berbasis IP untuk sistem produksi, kewajiban kerahasiaan tertulis bagi seluruh personel.
• Integritas — manajemen perubahan, tinjauan kode, pemindaian dependensi otomatis, artefak deployment bertanda tangan, pemeriksaan integritas pada cadangan.
• Ketersediaan dan ketahanan — hosting produksi di pusat data Hetzner di Jerman dengan daya dan jaringan redundan, orkestrasi Kubernetes dengan pemulihan otomatis, cadangan harian dengan replikasi lintas zona, rencana pemulihan bencana yang terdokumentasi dengan latihan meja tahunan, halaman status di status.easyweek.io.
• Pemulihan — retensi cadangan yang memadai untuk memulihkan layanan setelah insiden fisik atau teknis; uji pemulihan setiap kuartal.
• Pengujian dan evaluasi — uji penetrasi tahunan oleh pihak ketiga terhadap lingkungan produksi, pengujian keamanan aplikasi statis dan dinamis berkelanjutan dalam CI/CD, proses manajemen kerentanan dengan SLA remediasi yang ditetapkan.
• Segregasi jaringan — lingkungan produksi, staging, dan pengembangan dipisahkan secara logis dan fisik; akses admin hanya melalui bastion host.
• Pencatatan dan pemantauan — log audit terpusat untuk autentikasi, otorisasi, perubahan konfigurasi, dan peristiwa ekspor data, disimpan setidaknya selama satu tahun; pemantauan informasi keamanan dan peristiwa dengan peringatan atas anomali.
• Pengembangan yang aman — SDLC dengan pemodelan ancaman, tinjauan sejawat, pemindaian rahasia, kepatuhan lisensi, dan standar pengkodean yang selaras dengan OWASP.
• Manajemen pemasok — kontrak tertulis dengan semua Sub-Prosesor yang memberlakukan kewajiban setara; tinjauan berkala.
• Keamanan personel — pemeriksaan latar belakang sejauh diizinkan hukum; pelatihan kesadaran keamanan dan pelindungan data saat rekrutmen dan setiap tahun setelahnya.
• Manajemen insiden — rotasi on-call 24/7; playbook respons insiden yang terdokumentasi; pemberitahuan pelanggaran dalam 72 jam sesuai Pasal 10.
• Keamanan fisik — akses fisik ke fasilitas pemrosesan dikendalikan oleh Sub-Prosesor yang mengoperasikan fasilitas tersebut (Hetzner, Google Cloud) berdasarkan kontrol bersertifikat ISO 27001 / SOC 2.

Lampiran III – Sub-Pemroses yang Disetujui

Daftar terkini Sub-Pemroses EasyWeek diterbitkan dan dipelihara di /business/subprocessors. Daftar pada URL tersebut dengan ini dimasukkan sebagai referensi ke dalam DPA ini dan Lampiran III.