Lewati ke konten

Adendum de Pemrosesan Data

Versi: 1.1 Terakhir diperbarui: 2026-06-10 Berlaku sejak: 2026-06-10

Versi bahasa Inggris merupakan versi yang mengikat secara hukum dan bersifat otentik dari Adendum Pemrosesan Data ini. Setiap terjemahan yang disediakan hanya bersifat informatif. Dalam hal terjadi pertentangan, perbedaan, atau ketidaksesuaian, versi bahasa Inggris ini akan berlaku secara ketat dalam segala hal.

Adendum Pemrosesan Data

Adendum Pemrosesan Data ini ("DPA") merupakan bagian dari, dan dimasukkan dengan referensi ke dalam, Ketentuan Layanan CeroVueltas ("Perjanjian") antara SUITE IMPERIAL LLC, sebuah perseroan terbatas (limited liability company) Negara Bagian New Mexico, yang menjalankan usaha dengan nama CeroVueltas ("CeroVueltas"), dan entitas yang menerima Perjanjian tersebut ("Pelanggan"). DPA ini berlaku sejauh CeroVueltas memproses Data Pribadi atas nama Pelanggan sehubungan dengan Layanan. Dengan menerima Perjanjian atau menggunakan Layanan, Pelanggan menyetujui DPA ini.

  • "Hukum Perlindungan Data yang Berlaku" berarti seluruh undang-undang privasi dan perlindungan data yang berlaku terhadap Data Pribadi yang diproses berdasarkan DPA ini, termasuk, sebagaimana berlaku: California Consumer Privacy Act sebagaimana diubah oleh CPRA ("CCPA"); undang-undang privasi komprehensif negara bagian AS lainnya (termasuk Colorado, Connecticut, Texas, Utah, dan Virginia) ("Undang-Undang Privasi Negara Bagian AS"); dan, hanya apabila berlaku terhadap penggunaan Pelanggan, Regulasi Perlindungan Data Umum Uni Eropa 2016/679 ("GDPR"), UK GDPR, Swiss FADP, LGPD Brasil, Ley 25.326 Argentina, dan LFPDPPP Meksiko.
  • "Data Pribadi" berarti setiap informasi yang berkaitan dengan orang perseorangan yang teridentifikasi atau dapat diidentifikasi yang terdapat dalam Data Pelanggan yang diproses oleh CeroVueltas atas nama Pelanggan. Istilah "Pengendali," "Pemroses," "Bisnis," "Penyedia Layanan," "Subjek Data," "Konsumen," "Jual," "Bagikan," dan "Pemrosesan" memiliki makna sebagaimana diberikan dalam Hukum Perlindungan Data yang Berlaku.
  • "Insiden Keamanan" berarti pelanggaran keamanan yang terkonfirmasi yang mengakibatkan penghancuran, kehilangan, perubahan, pengungkapan tanpa izin, atau akses tanpa izin terhadap Data Pribadi yang diproses oleh CeroVueltas, baik secara tidak sengaja maupun melawan hukum.
  • "Subpemroses" berarti pihak ketiga yang ditunjuk oleh CeroVueltas untuk memproses Data Pribadi atas nama Pelanggan, termasuk penyedia infrastruktur hosting dan penyedia API Kecerdasan Buatan pihak ketiga.
  • "SCC" berarti Klausul Kontraktual Standar (Standard Contractual Clauses) yang disetujui berdasarkan Keputusan Komisi Eropa (EU) 2021/914.

Istilah-istilah yang diawali huruf kapital yang tidak didefinisikan di sini memiliki makna sebagaimana diberikan dalam Perjanjian.

2.1 Peran. Pelanggan adalah Pengendali (atau Bisnis) atas Data Pribadi, atau bertindak sebagai Pemroses atas nama Pengendali pihak ketiga. CeroVueltas adalah Pemroses (atau Penyedia Layanan) yang bertindak berdasarkan instruksi tertulis Pelanggan.

2.2 Instruksi Pelanggan. CeroVueltas hanya akan memproses Data Pribadi: (a) untuk menyediakan, mengamankan, memelihara, dan memecahkan masalah Layanan sebagaimana diuraikan dalam Perjanjian; (b) sebagaimana didokumentasikan dalam DPA ini dan Lampiran I; dan (c) sesuai dengan instruksi tertulis dan sah Pelanggan lainnya. Perjanjian, konfigurasi Layanan oleh Pelanggan (termasuk Basis Pengetahuan dan aturan perutean), serta penggunaan dasbor merupakan instruksi Pelanggan. CeroVueltas akan memberitahu Pelanggan apabila, menurut pendapatnya, suatu instruksi melanggar Hukum Perlindungan Data yang Berlaku.

2.3 Tanggung Jawab Pelanggan. Pelanggan sepenuhnya bertanggung jawab atas: (a) keakuratan, kualitas, dan keabsahan Data Pribadi serta cara perolehannya; (b) pemberian seluruh pemberitahuan yang diwajibkan secara hukum kepada, dan perolehan seluruh persetujuan yang diwajibkan secara hukum dari, Pengguna Akhir (termasuk untuk widget situs web, penangkapan sesi, dan komunikasi otomatis/berbasis AI); dan (c) memastikan instruksinya mematuhi Hukum Perlindungan Data yang Berlaku.

Sejauh CeroVueltas memproses Data Pribadi yang tunduk pada CCPA atau Undang-Undang Privasi Negara Bagian AS, CeroVueltas:

(a) bertindak sebagai Penyedia Layanan / Pemroses dan hanya akan memproses Data Pribadi untuk tujuan bisnis sebagaimana diuraikan dalam Perjanjian dan Lampiran I;

(b) tidak akan Menjual atau Membagikan Data Pribadi;

(c) tidak akan menyimpan, menggunakan, atau mengungkapkan Data Pribadi di luar hubungan bisnis langsung dengan Pelanggan atau untuk tujuan apa pun selain tujuan bisnis yang ditentukan, kecuali sebagaimana diizinkan oleh Hukum Perlindungan Data yang Berlaku;

(d) tidak akan menggabungkan Data Pribadi dengan informasi pribadi yang diterimanya dari sumber lain, kecuali sebagaimana diizinkan oleh Hukum Perlindungan Data yang Berlaku (misalnya, untuk keamanan dan pencegahan penipuan);

(e) menyatakan bahwa CeroVueltas memahami dan akan mematuhi pembatasan dalam Pasal 3 ini;

(f) akan memberitahu Pelanggan apabila CeroVueltas menetapkan bahwa CeroVueltas tidak lagi dapat memenuhi kewajibannya berdasarkan Hukum Perlindungan Data yang Berlaku, di mana dalam hal tersebut Pelanggan dapat mengambil langkah-langkah yang wajar dan tepat untuk menghentikan dan memulihkan pemrosesan yang tidak sah; dan

(g) memberikan Pelanggan hak untuk mengambil langkah-langkah yang wajar guna memastikan CeroVueltas menggunakan Data Pribadi secara konsisten dengan kewajiban Pelanggan, melalui mekanisme audit dalam Pasal 9.

CeroVueltas wajib memastikan bahwa personel yang berwenang memproses Data Pribadi terikat oleh kewajiban kerahasiaan tertulis atau kewajiban kerahasiaan berdasarkan ketentuan peraturan perundang-undangan yang berlaku, dan hanya mengakses Data Pribadi berdasarkan prinsip need-to-know.

5.1 Otorisasi Umum. Pelanggan memberikan otorisasi tertulis umum kepada CeroVueltas untuk menunjuk Subpemroses, termasuk penyedia infrastruktur hosting dan penyedia API Kecerdasan Buatan pihak ketiga yang digunakan untuk perutean dinamis. Daftar Subpemroses material yang berlaku saat ini dipelihara di Daftar Subpemroses kami.

5.2 Pembaruan dan Keberatan. CeroVueltas akan memperbarui Daftar Subpemroses sebelum menambahkan atau mengganti Subpemroses material dan menyediakan mekanisme untuk berlangganan notifikasi pembaruan. Pelanggan dapat mengajukan keberatan berdasarkan alasan perlindungan data yang wajar dan terdokumentasi dalam waktu sepuluh (10) hari sejak pembaruan melalui pemberitahuan tertulis kepada privacidad@cerovueltas.com. Apabila para pihak tidak dapat menyelesaikan keberatan tersebut dengan itikad baik dalam waktu tiga puluh (30) hari, satu-satunya dan eksklusif upaya hukum Pelanggan adalah penghentian Layanan yang terdampak. Pelanggan tidak berhak atas pengembalian dana, kredit, atau penggantian apa pun atas kapasitas yang telah dikonsumsi, kuota penggunaan yang telah digunakan, atau saldo layanan yang telah kedaluwarsa pada saat penghentian berdasarkan Pasal ini.

5.3 Penerusan Kewajiban. CeroVueltas wajib membebankan kewajiban perlindungan data kepada Subpemroses yang secara material tidak kurang protektif dari DPA ini dan tetap bertanggung jawab atas kinerja Subpemrosesnya dalam batas yang sama sebagaimana CeroVueltas bertanggung jawab apabila melaksanakan layanan tersebut sendiri, tunduk pada batasan-batasan dalam Perjanjian.

5.4 Larangan Pelatihan AI. Sesuai dengan Pasal 10.2 Perjanjian, CeroVueltas tidak menggunakan Data Pribadi, Data Pelanggan, konten Basis Pengetahuan, atau pesan Pengguna Akhir untuk melatih model AI atau pembelajaran mesin, dan memilih Subpemroses AI pihak ketiga yang kebijakan publiknya melarang penggunaan data API untuk melatih model fondasi tujuan umum mereka. Pelanggan mengakui bahwa Subpemroses tersebut dapat menyimpan log API untuk sementara waktu secara ketat untuk tujuan keamanan, pemantauan penyalahgunaan, dan kepercayaan serta keselamatan, sesuai dengan kebijakan masing-masing.

6.1 Langkah-Langkah. CeroVueltas wajib menerapkan dan memelihara langkah-langkah teknis dan organisasional yang secara komersial wajar yang dirancang untuk melindungi Data Pribadi dari Insiden Keamanan, sebagaimana diuraikan dalam Lampiran II. CeroVueltas dapat memperbarui langkah-langkah tersebut, dengan ketentuan bahwa pembaruan tersebut tidak secara material mengurangi tingkat perlindungan secara keseluruhan.

6.2 Pemberitahuan Insiden Keamanan. CeroVueltas wajib memberitahu Pelanggan tanpa penundaan yang tidak semestinya, dan dalam hal apa pun dalam waktu tujuh puluh dua (72) jam, setelah mengkonfirmasi Insiden Keamanan yang memengaruhi Data Pribadi Pelanggan. Pemberitahuan tersebut akan mencakup, sejauh diketahui: sifat insiden, kategori dan perkiraan volume data yang terdampak, kemungkinan konsekuensi, serta langkah-langkah yang telah atau akan diambil. Pemberitahuan CeroVueltas bukan merupakan pengakuan atas kesalahan atau tanggung jawab hukum. Pelanggan sepenuhnya bertanggung jawab atas setiap pemberitahuan yang diwajibkan secara hukum kepada regulator, Subjek Data, atau Konsumen.

Dengan mempertimbangkan sifat pemrosesan, CeroVueltas wajib memberikan bantuan yang wajar kepada Pelanggan dalam hal: (a) menanggapi permintaan Subjek Data / Konsumen (akses, penghapusan, koreksi, portabilitas, penolakan) — apabila permintaan tersebut diterima langsung oleh CeroVueltas, CeroVueltas akan mengarahkan pemohon kepada Pelanggan; (b) penilaian dampak perlindungan data dan konsultasi sebelumnya dengan otoritas pengawas, apabila diwajibkan oleh GDPR; dan (c) kepatuhan Pelanggan terhadap kewajiban keamanan dan pemberitahuan pelanggarannya.

Biaya Administratif: Setiap bantuan administratif manual, teknis, atau yang disesuaikan yang diberikan oleh CeroVueltas berdasarkan Pasal ini yang melebihi fungsi platform otomatis sederhana atau pengalihan dasar (termasuk, tanpa batasan, ekstraksi manual riwayat percakapan atau penyusunan dokumentasi teknis) akan dikenakan biaya layanan administratif sebesar USD 150 per jam, ditagih dalam kelipatan minimum satu (1) jam, yang harus dibayar penuh oleh Pelanggan di muka sebelum pelaksanaan bantuan tersebut.

Setelah berakhirnya atau habisnya masa berlaku Perjanjian, CeroVueltas wajib, dalam waktu tiga puluh (30) hari, menghapus atau menganonimkan seluruh Data Pribadi dari sistem produksi aktif, kecuali apabila penyimpanan diwajibkan oleh hukum yang berlaku atau untuk keperluan audit pajak/keuangan (tidak melebihi tujuh (7) tahun untuk catatan tersebut). Data Pribadi dalam cadangan otomatis akan dihapus atau ditimpa dalam waktu sembilan puluh (90) hari. Selama masa berlaku Perjanjian, Pelanggan dapat mengekspor Data Pelanggan melalui dasbor atau API yang tersedia.

9.1 Laporan Audit. Atas permintaan tertulis, tidak lebih dari satu kali dalam dua belas (12) bulan, CeroVueltas wajib, dalam waktu empat puluh lima (45) hari setelah menerima permintaan tersebut, menyediakan dokumentasi yang secara wajar diperlukan untuk menunjukkan kepatuhan terhadap DPA ini. Dokumentasi tersebut dibatasi secara ketat pada ringkasan keamanan standar, FAQ, atau ikhtisar kebijakan umum sebagaimana umumnya disediakan oleh CeroVueltas kepada pelanggannya pada saat itu.

9.2 Audit Regulasi dan Wajib. Apabila Hukum Perlindungan Data yang Berlaku memberikan Pelanggan hak hukum wajib yang tidak dapat dikesampingkan untuk melakukan audit yang tidak dapat dipenuhi secara wajar melalui dokumentasi yang disediakan berdasarkan Pasal 9.1, Pelanggan dapat memulai audit tersebut secara ketat tunduk pada kondisi kumulatif berikut:

(a) Pelanggan wajib memberikan pemberitahuan tertulis kepada CeroVueltas setidaknya enam puluh (60) hari kalender beserta rencana audit yang terperinci;

(b) Audit harus dilakukan secara eksklusif oleh auditor pihak ketiga independen dan bersertifikat (dibatasi secara ketat pada firma akuntansi dan audit "Big Four" yang diakui) yang disetujui secara tertulis oleh CeroVueltas, dan terikat oleh perjanjian kerahasiaan yang ketat; karyawan internal, personel, atau pesaing langsung/tidak langsung Pelanggan dilarang secara mutlak untuk bertindak sebagai auditor;

(c) Ruang lingkup audit dibatasi secara ketat pada tinjauan desktop jarak jauh atas bukti kepatuhan yang disesuaikan, log sistem yang telah disunting, dan penelusuran arsitektur keamanan yang disediakan melalui berbagi layar jarak jauh oleh personel CeroVueltas;

(d) LARANGAN AKSES EKSPLISIT: Dalam keadaan apa pun, auditor atau Pelanggan tidak akan diberikan akses fisik atau logis apa pun ke sistem, infrastruktur, jaringan, perangkat lunak, basis data, lingkungan, personel, atau aset fisik atau digital lainnya, sumber daya, atau informasi kepemilikan dalam bentuk apa pun, baik yang dimiliki maupun digunakan oleh CeroVueltas. Audit dibatasi secara ketat pada tinjauan visual jarak jauh atas bukti yang secara eksplisit disediakan atau ditampilkan oleh CeroVueltas;

(e) Pelanggan menanggung seratus persen (100%) dari seluruh biaya, ongkos, dan pengeluaran yang timbul dari auditor eksternal; dan

(f) Pelanggan wajib membayar kepada CeroVueltas biaya gangguan administratif dan operasional wajib sebesar USD 1.500 per hari (atau bagian dari hari tersebut) selama pelaksanaan tinjauan audit, yang harus dibayar seluruhnya di muka. CeroVueltas berhak untuk segera menangguhkan atau menghentikan audit apabila tinjauan tersebut menyebabkan ketidakstabilan sistem, berisiko mengekspos kekayaan intelektual, atau melanggar batas keamanan operasional.

10.1 Lokasi Pemrosesan. Layanan di-host dan dioperasikan di Amerika Serikat. Pelanggan mengakui dan menginstruksikan bahwa Data Pribadi akan diproses di Amerika Serikat dan di yurisdiksi Subpemroses yang tercantum dalam Daftar Subpemroses kami.

10.2 Transfer EEA/UK/Swiss. Hanya sejauh Pelanggan mentransfer Data Pribadi yang tunduk pada GDPR, UK GDPR, atau Swiss FADP kepada CeroVueltas, SCC dimasukkan dengan referensi sebagai berikut:

Item Penerapan
Modul Modul Dua (Pengendali → Pemroses); Modul Tiga (Pemroses → Pemroses) apabila Pelanggan adalah Pemroses
Klausul 7 (Penggabungan) Tidak berlaku
Klausul 9 (Subpemroses) Opsi 2 (otorisasi umum), periode pemberitahuan sesuai Pasal 5.2
Klausul 11 (Upaya Hukum) Bahasa opsional tidak berlaku
Klausul 17 (Hukum yang Mengatur) Hukum Irlandia
Klausul 18 (Forum) Pengadilan Irlandia
Lampiran I–II Dilengkapi oleh Lampiran I–II DPA ini
Transfer UK UK International Data Transfer Addendum (IDTA Addendum) berlaku, dengan tabel yang dilengkapi oleh DPA ini
Transfer Swiss SCC diadaptasi sebagaimana diwajibkan oleh Swiss FDPIC (referensi terhadap GDPR dibaca sebagai FADP; otoritas pengawas adalah FDPIC)

10.3 Tanggung Jawab Pelanggan. Pelanggan, sebagai Pengendali, tetap bertanggung jawab untuk menentukan keabsahan transfer internasional untuk kasus penggunaan spesifik dan Subjek Datanya. CeroVueltas tidak membuat pernyataan apa pun bahwa yurisdiksi Subpemroses mana pun dianggap "memadai."

11.1 Tanggung jawab hukum masing-masing pihak yang timbul dari atau berkaitan dengan DPA ini (termasuk SCC) tunduk secara ketat pada pengecualian dan batasan tanggung jawab hukum menyeluruh yang ditetapkan dalam Perjanjian (Ketentuan Layanan), termasuk batas tanggung jawab hukum, prosedur ganti rugi, pengesampingan gugatan perwakilan kelompok, dan ketentuan arbitrase di dalamnya. DPA ini tidak mengubah, menggantikan, memperluas, atau mengurangi batasan tanggung jawab hukum atau ketentuan penyelesaian sengketa apa pun dalam Perjanjian.

11.2 Dalam hal terjadi pertentangan: (a) SCC berlaku di atas DPA ini hanya sehubungan dengan transfer yang diaturnya; (b) DPA ini berlaku di atas Perjanjian hanya sehubungan dengan mekanisme teknis pemrosesan Data Pribadi; dan (c) Perjanjian (Ketentuan Layanan) berlaku secara ketat dalam segala hal lainnya, termasuk, tanpa batasan, seluruh hal yang berkaitan dengan tanggung jawab hukum, ganti rugi, penyelesaian sengketa, dan hukum yang mengatur.

DPA ini berlaku selama CeroVueltas memproses Data Pribadi atas nama Pelanggan. CeroVueltas dapat memperbarui DPA ini sebagaimana diperlukan secara wajar untuk mencerminkan perubahan dalam Hukum Perlindungan Data yang Berlaku atau Layanan, sesuai dengan Pasal 21.6 Perjanjian. Kecuali apabila SCC mensyaratkan sebaliknya, DPA ini diatur oleh hukum yang ditentukan dalam Pasal 19 Perjanjian.

Item Keterangan
Pengekspor data Pelanggan (Pengendali atau Pemroses)
Pengimpor data SUITE IMPERIAL LLC d/b/a CeroVueltas (Pemroses), New Mexico, AS
Kategori Subjek Data Pengguna Akhir yang berkomunikasi dengan Pelanggan melalui WhatsApp atau widget situs web; personel yang berwenang dan pengguna akun Pelanggan
Kategori Data Pribadi Nama, nomor telepon, nama profil dan ID WhatsApp, konten pesan, metadata percakapan, data kontak, kredensial akun, detail kontak penagihan, dan Data Pribadi apa pun yang disertakan Pelanggan dalam Basis Pengetahuan atau Data Pelanggan
Data Sensitif Tidak dimaksudkan. Pelanggan tidak boleh menyerahkan data sensitif/kategori khusus kecuali diizinkan secara hukum dan disepakati secara tertulis dalam kontrak
Sifat dan Tujuan Hosting, perutean pesan masuk, pengkodean vektor (RAG), pembuatan respons berbasis AI melalui API pihak ketiga, analitik dasbor, dukungan, keamanan, dan pemecahan masalah
Durasi Masa berlaku Perjanjian ditambah periode penghapusan dalam Pasal 8
Frekuensi Berkelanjutan
Otoritas Pengawas yang Berwenang (SCC) Ditentukan sesuai Klausul 13 SCC berdasarkan tempat kedudukan pengekspor data
  • Enkripsi & Pseudonimisasi: TLS 1.2+ dalam transit; AES-256-GCM saat tidak aktif untuk basis data dan komunikasi penting. Pseudonimisasi kriptografis digunakan untuk pengidentifikasi PII dalam kueri basis data.
  • Kontrol Akses: Integrasi SSO melalui Penyedia Identitas (misalnya, Google/Facebook Login/Email) dengan dukungan MFA tingkat penyedia; akses berbasis peran; pemisahan penyewa secara logis (pembatasan tingkat basis data yang ketat per ID Pelanggan).
  • Keamanan Sesi: Manajemen sesi Zero-Trust menggunakan cookie berawalan aman, kebijakan Strict SameSite, tokenisasi CSRF, dan batas waktu sesi tidak aktif yang ketat.
  • Pencegahan DDoS & Penyalahgunaan: Pembatasan laju otomatis dengan pelacakan atomik dan pembatasan ukuran muatan yang ketat untuk memitigasi penyalahgunaan dan kelelahan sumber daya.
  • Keamanan AI: Mekanisme deteksi injeksi prompt otomatis dan protokol sanitasi dinamis untuk memitigasi masukan adversarial dan RAG Poisoning.
  • Redaksi PII Otomatis: Penyembunyian otomatis Informasi Identitas Pribadi (Email, Nomor telepon, Kata sandi) dalam log audit sistem sebelum penyerapan ke basis data.
  • Infrastruktur & Manajemen Rahasia: Hosting pada penyedia cloud terkemuka yang mempertahankan sertifikasi yang diakui (misalnya, SOC 2, ISO 27001). Manajemen rahasia terpusat berbasis cloud untuk mencegah paparan kredensial. Penerapan Content Security Policy (CSP) yang ketat.
  • Manajemen Kerentanan: Penambalan berkala, tinjauan dependensi, dan alur kerja penerapan dasar yang aman (Zero-Downtime pipelines).
  • Kelangsungan Bisnis: Cadangan otomatis; prosedur respons insiden dan perutean cadangan yang terdokumentasi untuk API dinamis.
  • Siklus Hidup Data: Protokol penghapusan otomatis GDPR/SOC2 (misalnya, jendela penghapusan 72 jam kerja) dan proses penimpaan cadangan sesuai Pasal 8.

Daftar Subpemroses material yang berlaku saat ini (penyedia hosting dan AI) dipelihara di Daftar Subpemroses kami, yang dimasukkan dengan referensi.

Kontak: privacidad@cerovueltas.com | legal@cerovueltas.com

SUITE IMPERIAL LLC, New Mexico, AS