Legal · GDPR

Adendum GDPR.

Bagi pengguna dan klien di Wilayah Ekonomi Eropa (EU/EEA + UK + Switzerland). Adendum ini melengkapi Kebijakan Privasi dengan ketentuan khusus GDPR — termasuk peran Processor, SCCs, dan hak yang dimirror.

Terakhir diperbarui 9 Mei 2026GDPR (EU 2016/679)UK GDPREU SCCs 2021
Daftar isi (11 bagian)
  1. 01Pengantar
  2. 02Cakupan dan kapan berlaku
  3. 03Peran: Controller vs Processor
  4. 04Dasar pemrosesan (Art. 6)
  5. 05Kewajiban Processor (Art. 28)
  6. 06Hak data subject EEA (Art. 12–22)
  7. 07Transfer EU → Indonesia
  8. 08Sub-prosesor
  9. 09Pemberitahuan pelanggaran (Art. 33)
  10. 10Perbandingan GDPR vs UU PDP
  11. 11Kontak GDPR

1. Pengantar

Adendum ini berlaku jika kamu, klienmu, atau Subjek Data yang datanya kamu proses melalui Databridge berdomisili di Wilayah Ekonomi Eropa (EU/EEA), Inggris (UK GDPR), atau Swiss. Adendum ini melengkapi — bukan menggantikan — Kebijakan Privasi.

Untuk klien Enterprise yang membutuhkan Data Processing Agreement (DPA) terpisah yang dapat ditandatangani, hubungi legal@databridge.id. Kami menawarkan EU SCCs versi 2021 modul Controller-to-Processor sebagai standar.

2. Cakupan dan kapan berlaku

GDPR berlaku untuk Databridge ketika:

  • Pengguna Databridge bermukim di EEA / UK / Swiss
  • Pengguna kami (agensi/tim marketing) memproses data Subjek Data EEA melalui Databridge — meskipun penggunanya sendiri di Indonesia
  • Databridge menggunakan infrastruktur yang dihosting di EEA (saat ini tidak — kami di Singapore + Jakarta, tapi adendum tetap berlaku untuk perlindungan setara)

3. Peran: Controller vs Processor

Penentuan peran sangat penting karena kewajiban GDPR berbeda. Pada Databridge:

  • Databridge sebagai Controller: untuk Data Pribadi akun langganan (nama, email, kontak penagihan), log keamanan, dan metrik penggunaan internal.
  • Databridge sebagai Processor: untuk data klien yang ditarik dari platform (Meta/Google/TikTok/X/LinkedIn/marketplace) ke Sheets-mu. Kamu (agensi) adalah Controller; kami memproses atas instruksimu.

4. Dasar pemrosesan (Art. 6 GDPR)

  • Pelaksanaan kontrak (Art. 6(1)(b)) — untuk menyediakan layanan langganan
  • Persetujuan (Art. 6(1)(a)) — untuk newsletter, analitik opt-in, dan transfer data ke negara non-adequate
  • Kewajiban hukum (Art. 6(1)(c)) — pelaporan pajak, perintah otoritas
  • Kepentingan sah (Art. 6(1)(f)) — keamanan platform, pencegahan penyalahgunaan, peningkatan layanan, dengan Legitimate Interest Assessment terdokumentasi

5. Kewajiban Databridge sebagai Processor (Art. 28)

Saat kami memproses data atas nama Controller (kamu / klien Enterprise):

  • Hanya atas instruksi terdokumentasi dari Controller — termasuk untuk transfer ke negara ketiga, kecuali wajib hukum
  • Konfidensialitas — semua personel Databridge yang mengakses data terikat NDA dan pelatihan privasi tahunan
  • Security measures per Art. 32: enkripsi at-rest dan in-transit, pseudonymization jika memungkinkan, business continuity, regular testing
  • Bantuan kepada Controller dalam menjawab permintaan data subject (Art. 12–22) dan dalam memenuhi kewajiban Art. 32–36 (security, breach notification, DPIA, prior consultation)
  • Penghapusan atau pengembalian data setelah akhir penyediaan layanan, kecuali wajib hukum untuk menyimpan
  • Informasi yang diperlukan untuk membuktikan kepatuhan + memungkinkan dan berkontribusi pada audit/inspeksi yang dilakukan Controller atau auditor

6. Hak Subjek Data EEA (Art. 12–22)

Subjek Data di EEA memiliki hak berikut, yang kami fasilitasi melalui dpo@databridge.id atau /data-deletion:

  • Art. 13–14: hak atas informasi (kebijakan privasi ini)
  • Art. 15: hak akses ke data pribadi
  • Art. 16: hak rektifikasi
  • Art. 17: hak penghapusan (“right to be forgotten”)
  • Art. 18: hak pembatasan pemrosesan
  • Art. 20: hak portabilitas data (CSV / JSON)
  • Art. 21: hak keberatan, termasuk terhadap direct marketing dan profil
  • Art. 22: hak untuk tidak menjadi subjek keputusan otomatis dengan dampak hukum/signifikan. Databridge tidak melakukan pengambilan keputusan otomatis seperti itu.

Permintaan diproses gratis dalam satu bulan (dapat diperpanjang dua bulan untuk permintaan kompleks). Jika kami menolak, kami memberi alasan dan menjelaskan hak banding ke Supervisory Authority.

7. Transfer EU → Indonesia

Indonesia tidak berada di daftar adequacy decision EU Commission. Untuk transfer Data Pribadi EEA ke Indonesia, kami mengandalkan:

  • Standard Contractual Clauses (SCCs) 2021 EU Commission — tersedia sebagai bagian dari DPA Enterprise
  • Transfer Impact Assessment (TIA) didokumentasikan per transfer route, mempertimbangkan UU PDP, UU ITE, UU Telekomunikasi, dan kewenangan pemerintah Indonesia
  • Tindakan tambahan: enkripsi end-to-end, pseudonymization token OAuth, tidak ada akses pemerintah Indonesia tanpa proses hukum yang sah

Untuk transfer dari Databridge ke platform AS (Meta, Google, TikTok, X, LinkedIn): platform-platform ini self-certify di bawah EU-US Data Privacy Framework (atau memakai SCCs sendiri). Kami memverifikasi status sertifikasi mereka secara berkala.

8. Sub-prosesor

Daftar sub-prosesor saat ini (selalu diperbarui):

  • Vercel (US/Singapore/Jakarta — hosting & CDN)
  • Supabase (Singapore — database)
  • Composio (US — broker OAuth platform)
  • Mayar (Indonesia — pembayaran)
  • Resend (US — email transactional)
  • Cloudflare (Global — DNS & WAF)

Penambahan sub-prosesor baru diberitahukan minimal 30 hari sebelumnya via email kepada Controller, dengan hak menolak.

9. Pemberitahuan pelanggaran (Art. 33)

Sebagai Processor, kami akan memberitahu Controller tanpa penundaan tidak wajar dan paling lambat 72 jam sejak menyadari pelanggaran data, mencakup:

  • Sifat pelanggaran (kategori dan perkiraan jumlah Subjek Data)
  • Kontak DPO Databridge untuk informasi lanjutan
  • Konsekuensi yang mungkin terjadi
  • Tindakan yang sudah/akan diambil untuk memitigasi

10. Perbandingan GDPR vs UU PDP

DimensiGDPRUU PDP 27/2022
Notifikasi pelanggaran ke otoritas72 jam (Art. 33)Sesegera mungkin (Pasal 46)
Notifikasi pelanggaran ke Subjek DataTanpa penundaan tidak wajar3 × 24 jam (Pasal 28 ayat 2)
Maksimal denda administratif4% omzet global tahunan2% pendapatan tahunan (Pasal 57)
Otoritas pengawasDPA negara anggota (CNIL, ICO, dll.)Komdigi → Lembaga PDP (transisi)
Transfer lintas batasAdequacy / SCCs / BCRsAdequacy / safeguards / persetujuan

11. Kontak GDPR

DPO
dpo@databridge.id
Permintaan DPA
legal@databridge.id
EU representative
Tersedia atas permintaan untuk klien Enterprise dengan kewajiban Art. 27

Pertanyaan? Kami balas.

Hubungi DPO kami di dpo@databridge.id atau tim umum di hello@databridge.id. Balas dalam 1×24 jam kerja (Senin–Jumat, WIB).

Hubungi timMinta hapus data