Template DPA siap-tanda-tangan kalau klien kamu butuh kepastian tertulis tentang gimana data dikelola. Sesuai UU PDP 27/2022 + best practice GDPR Art. 28.
Versi 2026-Q2Auto-applied untuk plan PRO & EnterpriseUU PDP + GDPR-aligned
DOWNLOAD PRE-FILLED
DPA template · siap fill detail klien kamu
Generate PDF dengan nama klien, alamat, dan email DPO mereka — tinggal tanda tangan kedua belah pihak.
Versi cetak — simpan sebagai PDF lewat dialog print browser.
SECTION 01
Definisi Para Pihak
Dalam DPA ini, istilah berikut punya arti spesifik:
Data Controller (Pengendali Data)— pihak yang memutuskan tujuan & cara pemrosesan data pribadi. = Klien kamu (atau workspace Owner kalau B2B langsung).
Data Processor (Prosesor Data) — pihak yang memproses data atas nama Controller. = TavKreatif Space (usaha perorangan).
Sub-processor — pihak ketiga yang dikontrak Processor untuk bantu memproses data (Mayar, Cloudflare, AI providers, dll).
Data Subject — individu yang datanya diproses (end-user akun, klien akhir, talent, dll).
Data Pribadi — segala info yang identifikasi orang langsung atau tidak langsung (nama, email, IP, perilaku).
UU PDP — Undang-Undang Republik Indonesia Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi.
Peran TavKreatif: Untuk data konten kamu di workspace, kami berfungsi sebagai Processor. Untuk data akun kamu sendiri (email, login, billing), kami adalah Controller.
SECTION 02
Ruang Lingkup Pemrosesan
Tujuan pemrosesan
TavKreatif memproses data pribadi Controller hanya untuk: (a) menyediakan layanan workspace TavKreatif Space; (b) menjalankan fitur yang Controller aktifkan; (c) kepatuhan regulasi; (d) keamanan platform.
Kategori data
Data identitas: nama, email, no. WA, foto profil end-user yang diundang oleh Controller.
Data konten: brief, asset file, komentar, message thread yang Controller buat di workspace.
Data telemetri:IP, device, log aktivitas — untuk audit & security.
Data klien/talent: no. WA klien/talent yang Controller masukin untuk fitur approval/notif.
Durasi pemrosesan
Selama Controller berlangganan layanan + 90 hari grace period setelah berhenti (untuk restorability). Setelah itu data di-delete kecuali ada kewajiban hukum penyimpanan (e.g. faktur 10 tahun).
Hak Data Subject
TavKreatif menyediakan fitur self-service di Settings agar Data Subject bisa eksekusi haknya (akses, koreksi, hapus, portabilitas, keberatan). Untuk request manual, SLA respons 30 hari.
SECTION 03
Sub-processor List
Controller memberi izin umum kepada TavKreatif untuk menggunakan sub-processor berikut. Notif 30 hari sebelumnya akan dikirim untuk penambahan atau perubahan sub-processor — Controller boleh objection, dan kalau objection nggak resolvable, boleh terminate DPA tanpa penalty. Kolom Compliance di bawah adalah sertifikasi milik masing-masing vendor (bukan sertifikasi TavKreatif).
Vendor
Fungsi
Data yang diproses
Lokasi
Compliance
Mayar Indonesia
PT Mayar Solutions
Payment gateway
Email, nominal, no. invoice
Indonesia
Terdaftar OJK
Supabase
Supabase Inc.
Database (PostgreSQL) + backup
Seluruh data workspace
Singapura
SOC 2 Type II
Cloudflare R2
Cloudflare Inc.
Penyimpanan file + CDN
Aset terupload, IP, request headers
Global edge (Singapura)
SOC 2 Type II · ISO 27001
Sumopod
Sumopod (Indonesia)
Gateway AI + email transaksional
Konten prompt, email penerima
Indonesia
DPA tersedia
Tencent Cloud
via Coolify
Hosting server aplikasi
Data saat diproses
Singapura
ISO 27001
Subscribe perubahan sub-processor: kirim email ke subprocessor@tavkreatif.iddengan subject "SUBSCRIBE". Kamu akan dapat notif tiap kali list di-update.
SECTION 04
Security Measures · Technical & Organizational
TavKreatif menerapkan langkah keamanan berikut sesuai praktik keamanan standar industri:
Enkripsi at-rest
AES-256 untuk semua data tersimpan, termasuk file backup.
Enkripsi in-transit
TLS 1.3 wajib untuk semua koneksi. HSTS enforced.
Access control
RBAC granular per-peran + 2FA untuk akun. Akses internal terbatas ke pemilik.
Audit logging
Aktivitas akses & mutasi data dicatat, retensi 1 tahun.
Isolasi per-tenant
Tiap query DB di-scope otomatis per workspace (auto-scope app-layer). DB tanpa endpoint publik terbuka.
Akses internal terbatas ke pemilik; tidak ada pihak ketiga yang akses data klien.
Backup harian
Backup harian otomatis (Supabase managed) di region Singapura.
Hapus data terjadwal
Data dihapus permanen 90 hari setelah akun ditutup (bisa diekspor dulu).
SECTION 05
Data Breach · SLA & Prosedur Notifikasi
Kalau terjadi insiden data breach yang impact data Controller, TavKreatif berkomitmen kepada SLA berikut:
SLA
Target
Penerima notif
First notification
≤ 72 jam
Sejak insiden dikonfirmasi
Controller via email DPO + WA emergency
Initial impact report
≤ 7 hari
Sejak first notification
Controller + Kominfo (kalau impact ≥ 1k DSubject)
Full post-mortem
≤ 30 hari
RCA + remediation plan
Controller via email
Data subject notification
Joint decision
Controller put control
By Controller (TavKreatif menyediakan template)
Yang termasuk "data breach"
Confidentiality breach — akses tidak sah ke data pribadi.
Integrity breach — data dirusak / dimodif tanpa otorisasi.
Availability breach — data hilang / tidak bisa diakses lebih dari 24 jam.
Insiden minor yang tidak impact data pribadi Controller (e.g. internal misconfig yang fixed dalam 5 menit) tidak otomatis ter-trigger SLA ini, tapi dimasukkan ke quarterly security report kalau Controller minta.
SECTION 06
Audit Rights · Hak Audit Controller
Permintaan informasi audit
Controller bisa meminta informasi compliance dengan menghubungi DPO di dpa@tavkreatif.id. Atas permintaan, TavKreatif menyediakan (sejauh tersedia & tanpa menyangkut data customer lain):
Log akses ke data Controller (siapa, kapan, action).
Daftar sub-processor terkini beserta riwayat perubahannya.
Ringkasan praktik keamanan yang relevan. Sertifikasi ISO 27001 / SOC 2 menyusul bila sudah tercapai — saat ini belum.
Audit virtual
Untuk Controller plan Enterprise, sekali per tahun bisa request audit virtual (via video call) dengan notice 30 hari. Audit dilakukan oleh tim Controller atau auditor pihak ketiga yang disepakati.
Biaya audit di-cover Controller. TavKreatif menyediakan akses ke dokumen, walkthrough sistem, dan interview personnel relevan — kecuali yang menyangkut customer lain (confidentiality).
Finding & remediation
Kalau audit menemukan deficiency, TavKreatif menanggapi temuan dan menyepakati rencana remediasi bersama Controller, diprioritaskan sesuai tingkat risiko (temuan kritis didahulukan).
SECTION 07
Transfer Data Internasional
Beberapa sub-processor (Cloudflare, Supabase, Tencent Cloud) berada di luar Indonesia. Untuk transfer keluar yurisdiksi Indonesia, TavKreatif menerapkan:
Pasal 56 UU PDP — memastikan negara tujuan punya level perlindungan setara atau lebih dari Indonesia, atau pakai Standard Contractual Clauses (SCC).
Standard Contractual Clauses (SCC) dengan vendor di luar Indonesia (Cloudflare, Supabase).
Data minimization — hanya transfer data yang esensial untuk fungsi sub-processor.
Encryption in-transit dan at-rest di semua sub-processor.
Untuk Controller yang butuh data residency strict Indonesia (e.g. fintech / regulated industry), kami menyediakan opsi self-hosted deployment di plan Enterprise — semua data tetap di server Controller, tidak ada transfer keluar.
SECTION 08
Akhir Kontrak & Return / Delete Data
Saat DPA atau Layanan utama berakhir (cancel subscription, terminate, dll), Controller bisa pilih:
Return data — TavKreatif export semua data Controller dalam format JSON + CSV + asset zip. Diberikan dalam 7 hari kerja.
Delete data — semua data Controller dihapus dalam 30 hari, dengan certificate of deletion dikirim ke email Owner.
Default — kalau Controller nggak pilih, default return dulu lalu delete setelah konfirmasi terima dari Controller.
Backup dihapus dalam 90 hari setelah delete utama (sesuai rotation backup cycle).
Kewajiban TavKreatif yang sifatnya survival (confidentiality, audit log retention) tetap berlaku setelah DPA berakhir, sesuai durasi yang ditetapkan UU.
SECTION 09
Tanda Tangan Para Pihak
DPA ini berlaku saat ditandatangani oleh perwakilan resmi kedua belah pihak. Versi elektronik (PDF + e-signature via Privy.id atau VIDA) diakui sah sesuai UU ITE.