LEGAL · DPA

Data Processing Addendum.

Data Processing Addendum (DPA) KlindrOS mengatur cara kami memproses data pribadi atas nama pelanggan. Berlaku untuk pelanggan enterprise yang tunduk pada GDPR, UU Perlindungan Data Pribadi Indonesia (UU PDP), atau rezim serupa, dan melengkapi Master Service Agreement.

Terakhir diperbarui: 11 Mei 2026

Halaman ini adalah ringkasan publik tentang isi DPA dan cara mendapatkan versi eksekutif. DPA eksekutif ditandatangani oleh KlindrOS dan entitas pelanggan, dan berlaku atas ketidaksesuaian dengan ringkasan ini.

01Yang dicakup DPA

DPA eksekutif mencakup ketentuan berikut, selaras dengan Pasal 28 dan 32 GDPR serta padanannya di UU PDP:

Peran. KlindrOS bertindak sebagai Processor atas nama Pelanggan (Controller) untuk data pribadi yang diproses via Layanan.
Tujuan dan cakupan. Pemrosesan terbatas pada penyediaan Layanan sesuai Order Form dan instruksi terdokumentasi dari Pelanggan.
Standard Contractual Clauses (SCCs). SCC Module 2 yang disetujui EU dilampirkan untuk transfer data pribadi EU ke luar EEA.
Sub-processor. Kami memelihara daftar sub-processor (di bawah), memberi tahu Pelanggan atas perubahan, dan meneruskan perlindungan yang sama dengan yang kami berikan.
Tindakan keamanan. Tindakan teknis dan organisasional termasuk enkripsi in transit dan at rest, kontrol akses, audit logging, dan respons insiden.
Notifikasi insiden. Kami memberi tahu Pelanggan dalam 72 jam sejak mengetahui adanya pelanggaran data pribadi yang memengaruhi data mereka.
Hak subjek data. Kami membantu Pelanggan merespon permintaan akses, koreksi, penghapusan, dan portabilitas dari subjek data.
Hak audit. Pelanggan bisa mengaudit kepatuhan kami terhadap DPA sekali per tahun, dengan pemberitahuan wajar, tunduk pada kerahasiaan.
Pengembalian atau penghapusan. Pada saat terminasi, kami mengembalikan atau menghapus Data Pelanggan dalam 90 hari, tunduk pada kewajiban retensi hukum.

02Daftar sub-processor saat ini

Sub-processor berikut memproses data pribadi atas nama KlindrOS untuk menjalankan Layanan. Kami memberi tahu pelanggan atas penambahan atau penggantian minimal 30 hari sebelumnya, memberi waktu untuk keberatan wajar.

Sub-processor	Layanan	Kategori data	Lokasi
Apify Inc	Scraping profil sosial publik untuk diagnostik KScore	Handle sosial yang di-submit, data profil publik	Amerika Serikat
OpenAI, L.L.C.	Audit profil dan rekomendasi pertumbuhan ber-AI (KScore Personal tier berbayar)	Data profil publik yang di-scrape, preferensi persona	Amerika Serikat
PT Kharisma Catur Mandala (Duitku)	Pemrosesan pembayaran untuk KScore Personal dan tagihan langganan	Metadata pembayaran, kontak penagihan, riwayat transaksi	Indonesia
Hostinger International Limited	Hosting VPS dan pengiriman SMTP untuk email transaksional	Semua data Layanan at rest; alamat dan konten email penerima	Lithuania / Uni Eropa
Google LLC	Google Analytics 4, reCAPTCHA v3, Google Fonts	Penggunaan situs, alamat IP, metadata browser	Amerika Serikat
Microsoft Corporation	Analitik sesi Microsoft Clarity	Penggunaan situs, alamat IP (di-truncate), rekaman sesi	Amerika Serikat
IPGeolocation Inc	Lookup IP-ke-negara untuk saran locale	IP pengunjung (di-lookup server-side, tidak disimpan)	Kanada
Ghost Foundation Ltd	Hosting Ghost CMS untuk blog KlindrOS	IP pembaca blog dan metadata kunjungan (analitik saja)	Singapura

03Tindakan keamanan

Kami memelihara program keamanan informasi yang terdokumentasi, termasuk:

Enkripsi. TLS 1.2+ untuk data in transit. AES-256 untuk data at rest di database dan backup.
Kontrol akses. Akses berbasis peran untuk personel KlindrOS; akses produksi terbatas pada staf dengan kebutuhan bisnis terdokumentasi.
Audit logging. Event aplikasi dan infrastruktur produksi dicatat dan ditinjau untuk anomali.
Manajemen kerentanan. Pemindaian rutin dependensi dan infrastruktur; patch diterapkan sesuai SLA tingkat keparahan.
Backup. Backup terenkripsi dengan prosedur restore yang teruji.
Personel. Background check untuk staf dengan akses produksi; pelatihan kesadaran keamanan tahunan; surat kerahasiaan yang ditandatangani.
Due diligence vendor. Sub-processor ditinjau postur keamanan dan privasinya sebelum onboarding.

Deskripsi kontrol lengkap tersedia di bawah NDA dari dpo@klindros.com.

04Notifikasi insiden

Bila kami mengetahui adanya pelanggaran data pribadi yang melibatkan Data Pelanggan, kami akan:

Memberi tahu Pelanggan yang terdampak dalam 72 jam sejak mengetahui.
Mendeskripsikan sifat pelanggaran, kategori dan perkiraan jumlah subjek data serta catatan yang terdampak.
Mengkomunikasikan kemungkinan konsekuensi dan tindakan yang sudah/akan kami ambil.
Memberikan update saat investigasi kami berlangsung.
Bekerjasama dengan notifikasi Pelanggan ke otoritas pengawas atau subjek data, bila diwajibkan hukum.

05Penanganan hak subjek data

Bila kami menerima permintaan subjek data (akses, koreksi, penghapusan, portabilitas, keberatan) langsung via situs atau inbox DPO terkait Data Pelanggan, kami akan meneruskannya ke Pelanggan untuk ditangani, kecuali diinstruksikan lain. Kami membantu Pelanggan merespon dalam tenggat statutori dengan menyediakan sarana teknis untuk memenuhi permintaan.

06Mendapatkan DPA eksekutif

Pelanggan yang membutuhkan DPA bertandatangan bisa minta versi eksekutif dengan mengirim email ke dpo@klindros.com beserta nama entitas legal dan rezim yang berlaku (GDPR, UU PDP, dll). Biasanya kami counter-sign dalam lima hari kerja.

Minta DPA eksekutif