Legal

Data Processing Addendum Finday

Data Processing Addendum ini ("DPA") menjadi bagian dari Syarat dan Ketentuan Finday, order form, invoice, proposal, atau perjanjian tertulis lain antara Finday dan Pelanggan yang mengatur penggunaan Layanan.

Tanggal efektif
1 Mei 2026
Penyedia Layanan
PT MACRO SOLUSI NUSANATARA
Alamat
Jl. Permata Regency, Jl. H. Kelik No. D/37, RT.1/RW.6, Srengseng, Kec. Kembangan, Kota Jakarta Barat, Daerah Khusus Ibukota Jakarta 11630
Kontak privasi dan legal
legal@helomacro.id

1. Tujuan dan Ruang Lingkup

DPA ini berlaku ketika Finday memproses Data Pribadi dalam Data Pelanggan atas nama Pelanggan untuk menyediakan Layanan.

DPA ini tidak menggantikan Kebijakan Privasi Finday untuk pemrosesan data akun, billing, dukungan, keamanan, marketing, analitik produk, atau operasional Finday yang dilakukan oleh Finday sebagai Pengendali Data Pribadi.

2. Definisi

Istilah yang tidak didefinisikan dalam DPA ini memiliki arti yang sama dengan Syarat dan Ketentuan Finday atau Kebijakan Privasi Finday.

"Data Pribadi Pelanggan" berarti Data Pribadi yang dimasukkan, diunggah, diimpor, dibuat, disimpan, diproses, atau disinkronkan oleh atau atas nama Pelanggan melalui Layanan.

"Pengendali Data Pribadi" berarti pihak yang menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi.

"Prosesor Data Pribadi" berarti pihak yang memproses Data Pribadi atas nama Pengendali Data Pribadi.

"Subprosesor" berarti pihak ketiga yang dilibatkan Finday untuk memproses Data Pribadi Pelanggan dalam rangka menyediakan Layanan.

3. Peran Para Pihak

Untuk Data Pribadi Pelanggan, Pelanggan umumnya bertindak sebagai Pengendali Data Pribadi dan Finday bertindak sebagai Prosesor Data Pribadi.

Finday dapat bertindak sebagai Pengendali Data Pribadi untuk data yang Finday tentukan tujuan dan cara pemrosesannya sendiri, termasuk data akun Pengguna, keamanan, billing, dukungan, komunikasi, penggunaan produk, kepatuhan, dan operasional Finday.

Jika hukum atau perjanjian tertulis menetapkan peran yang berbeda untuk suatu pemrosesan tertentu, ketentuan tersebut akan berlaku untuk pemrosesan tersebut.

4. Instruksi Pemrosesan

Finday akan memproses Data Pribadi Pelanggan hanya berdasarkan instruksi Pelanggan yang terdokumentasi, termasuk:

  1. Syarat dan Ketentuan Finday;
  2. DPA ini;
  3. order form, invoice, proposal, atau perjanjian tertulis terkait;
  4. konfigurasi, role, permission, workflow, integrasi, dan tindakan Pengguna dalam Layanan;
  5. instruksi dukungan, migrasi, export, import, atau troubleshooting yang diberikan oleh Pelanggan.

Jika Finday menilai suatu instruksi melanggar hukum atau menimbulkan risiko keamanan, Finday dapat menolak, menunda, membatasi, atau meminta klarifikasi atas instruksi tersebut.

5. Rincian Pemrosesan

Tujuan pemrosesan adalah menyediakan, mengamankan, memelihara, mendukung, meningkatkan, dan mengoperasikan Layanan sesuai instruksi Pelanggan.

Kategori subjek data dapat mencakup:

  1. Pengguna, Admin Perusahaan, approver, auditor internal, konsultan, accountant, dan invited user;
  2. karyawan, kandidat, kontraktor, penerima payroll, penerima reimbursement, dan pihak HR lain;
  3. pelanggan, vendor, supplier, contact person, penerima pembayaran, pemegang saham, dan pihak lawan transaksi;
  4. pihak yang disebut dalam dokumen, invoice, bill, kontrak, bukti pembayaran, bank statement, attachment, atau prompt AI yang diunggah Pelanggan.

Kategori Data Pribadi Pelanggan dapat mencakup:

  1. identitas, kontak, jabatan, role, permission, dan membership;
  2. data rekening bank, pembayaran, invoice, bill, transaksi, alokasi, dan rekonsiliasi;
  3. data pajak, NPWP, NIK, dokumen pajak, dan identitas perpajakan;
  4. data payroll, gaji, tunjangan, potongan, THR, benefit, payslip, attendance, leave, reimbursement, dan HR;
  5. data akuntansi, jurnal, chart of accounts, laporan, approval, audit trail, dan dokumen pendukung;
  6. dokumen, gambar, PDF, OCR text, metadata file, dan attachment;
  7. prompt, instruksi, hasil ekstraksi, transcript, feedback, dan konteks yang diproses melalui Fitur AI.

Durasi pemrosesan mengikuti periode penggunaan Layanan, periode retensi, periode offboarding, kewajiban hukum, dan ketentuan penghapusan dalam Syarat dan Ketentuan, Kebijakan Privasi, dan DPA ini.

6. Tanggung Jawab Pelanggan

Pelanggan bertanggung jawab untuk:

  1. memiliki dasar hukum, pemberitahuan, persetujuan, kewenangan, atau dasar pemrosesan lain yang diperlukan untuk Data Pribadi Pelanggan;
  2. memastikan Data Pribadi Pelanggan akurat, relevan, dan tidak berlebihan untuk tujuan pemrosesan;
  3. memberikan instruksi pemrosesan yang sah, jelas, dan sesuai hukum;
  4. mengelola role, permission, akses admin, integrasi, approval, dan tindakan Pengguna;
  5. menanggapi permintaan Subjek Data Pribadi jika Pelanggan bertindak sebagai Pengendali Data Pribadi;
  6. tidak memasukkan password, secret key, private key, CVV, credential, OTP, atau data keamanan lain ke kolom bebas, lampiran, support ticket, atau prompt AI yang tidak dirancang untuk itu;
  7. mengevaluasi apakah pemrosesan tertentu memerlukan penilaian dampak pelindungan data pribadi, pemberitahuan tambahan, atau persetujuan tambahan.

7. Kewajiban Finday sebagai Prosesor

Finday akan:

  1. memproses Data Pribadi Pelanggan sesuai instruksi Pelanggan dan DPA ini;
  2. menjaga kerahasiaan Data Pribadi Pelanggan;
  3. membatasi akses personel berdasarkan kebutuhan kerja;
  4. menerapkan langkah teknis dan organisasi yang wajar untuk melindungi Data Pribadi Pelanggan;
  5. membantu Pelanggan secara wajar dalam memenuhi kewajiban Pelanggan sebagai Pengendali Data Pribadi;
  6. memberitahu Pelanggan mengenai insiden Data Pribadi yang relevan sesuai DPA ini;
  7. memastikan Subprosesor terikat kewajiban perlindungan data yang relevan;
  8. menghapus, menganonimkan, mengarsipkan, atau mengembalikan Data Pribadi Pelanggan sesuai DPA ini dan ketentuan offboarding yang berlaku.

8. Langkah Keamanan

Finday menerapkan langkah keamanan yang dirancang untuk melindungi Data Pribadi Pelanggan, yang dapat mencakup:

  1. autentikasi pengguna;
  2. kontrol akses berbasis role dan tenant;
  3. pemisahan data berdasarkan company atau tenant;
  4. pembatasan akses internal;
  5. enkripsi data dalam perjalanan menggunakan protokol aman;
  6. logging dan audit trail;
  7. backup dan disaster recovery;
  8. kontrol akses terhadap secret dan credential;
  9. monitoring keamanan;
  10. review akses admin dan support;
  11. prosedur incident response;
  12. row-level security dan/atau filter tenant di tingkat aplikasi dan database jika relevan.

Tidak ada sistem yang sepenuhnya bebas risiko. Pelanggan tetap bertanggung jawab atas keamanan akun, perangkat, jaringan, credential, akses Pengguna, dan konfigurasi internal Pelanggan.

9. Subprosesor

Pelanggan memberikan persetujuan tertulis umum kepada Finday untuk menggunakan Subprosesor yang diperlukan untuk menyediakan Layanan, termasuk kategori Subprosesor yang tercantum dalam Kebijakan Privasi Finday.

Finday akan memastikan Subprosesor memproses Data Pribadi Pelanggan berdasarkan kewajiban kontraktual yang relevan dan hanya sejauh diperlukan untuk mendukung Layanan.

Finday dapat memperbarui daftar Subprosesor dari waktu ke waktu. Jika perubahan Subprosesor berdampak material pada pemrosesan Data Pribadi Pelanggan, Finday akan memberikan pemberitahuan yang wajar. Pelanggan dapat mengajukan keberatan tertulis yang beralasan dalam waktu 15 hari kalender setelah pemberitahuan. Para pihak akan berupaya mencari solusi yang wajar. Jika solusi tidak tersedia, Pelanggan dapat menghentikan penggunaan fitur yang terdampak atau mengakhiri Layanan sesuai perjanjian yang berlaku.

10. Transfer Data Lintas Negara

Finday dan Subprosesor dapat memproses atau menyimpan Data Pribadi Pelanggan di luar Indonesia jika diperlukan untuk menyediakan Layanan.

Jika terjadi transfer Data Pribadi ke luar wilayah hukum Indonesia, Finday akan menerapkan mekanisme perlindungan yang sesuai dengan hukum yang berlaku, yang dapat mencakup penilaian tingkat perlindungan negara tujuan, perlindungan kontraktual yang mengikat, pembatasan tujuan pemrosesan, kontrol akses, due diligence Subprosesor, dan pemberitahuan atau persetujuan jika diwajibkan hukum.

11. Fitur AI

Jika Pelanggan menggunakan Fitur AI, Data Pribadi Pelanggan, dokumen, prompt, instruksi, metadata, konteks perusahaan, hasil ekstraksi, transcript, atau feedback dapat diproses oleh Finday dan Subprosesor AI sejauh diperlukan untuk menyediakan Fitur AI.

Finday akan berupaya membatasi data yang dikirim ke penyedia AI sesuai kebutuhan fitur dan menggunakan konfigurasi yang membatasi penggunaan Data Pelanggan untuk training model umum tanpa izin yang sesuai.

Pelanggan tetap bertanggung jawab untuk melakukan review manusia atas output AI sebelum posting jurnal, approval, pembayaran, payroll, tax filing, export, filing, atau keputusan bisnis penting.

12. Permintaan Subjek Data Pribadi

Jika Finday menerima permintaan Subjek Data Pribadi terkait Data Pribadi Pelanggan yang diproses atas nama Pelanggan, Finday dapat mengarahkan permintaan tersebut kepada Pelanggan atau meminta instruksi Pelanggan.

Finday akan membantu Pelanggan secara wajar untuk memenuhi permintaan Subjek Data Pribadi sejauh diwajibkan hukum dan sejauh informasi tersebut tersedia melalui Layanan atau dukungan operasional Finday.

13. Insiden Data Pribadi

Jika Finday mengetahui insiden yang secara wajar dapat berdampak pada kerahasiaan, integritas, atau ketersediaan Data Pribadi Pelanggan, Finday akan mengambil langkah yang wajar untuk mengidentifikasi, mengendalikan, menilai, memitigasi, dan mendokumentasikan insiden tersebut.

Jika Finday bertindak sebagai Prosesor Data Pribadi, Finday akan memberitahu Pelanggan tanpa penundaan yang tidak wajar setelah Finday mengonfirmasi bahwa insiden tersebut relevan terhadap Data Pribadi Pelanggan. Jika secara wajar memungkinkan, pemberitahuan awal diberikan dalam waktu 2 x 24 jam setelah konfirmasi insiden relevan agar Pelanggan dapat mengevaluasi kewajiban pemberitahuan berdasarkan hukum yang berlaku.

Pemberitahuan awal dapat bersifat bertahap dan dapat diperbarui ketika informasi tambahan tersedia. Pemberitahuan dapat mencakup, sejauh diketahui saat itu, jenis data yang terdampak, waktu dan cara insiden terjadi, dampak yang diketahui, dan langkah penanganan atau pemulihan.

14. Bantuan Kepatuhan

Atas permintaan Pelanggan yang wajar, Finday akan memberikan informasi yang tersedia secara wajar untuk membantu Pelanggan memenuhi kewajiban pelindungan data pribadi, termasuk terkait keamanan, permintaan Subjek Data Pribadi, penilaian dampak pelindungan data pribadi, transfer lintas negara, dan insiden Data Pribadi.

Bantuan yang memerlukan pekerjaan tambahan, akses khusus, development, export khusus, atau dukungan di luar layanan standar dapat dikenakan biaya tambahan yang wajar jika disepakati para pihak.

15. Return, Export, dan Penghapusan

Selama langganan aktif, Pelanggan bertanggung jawab melakukan export Data Pelanggan yang diperlukan untuk kepatuhan, backup, audit, pajak, akuntansi, payroll, dan kebutuhan internal.

Setelah langganan berakhir, ketentuan export, reaktivasi, retensi, penghapusan, backup, audit trail, dan data yang tidak dapat langsung dihapus mengikuti Syarat dan Ketentuan Finday, Kebijakan Privasi Finday, dan perjanjian tertulis yang berlaku.

Setelah menerima permintaan penghapusan yang valid dari pihak yang berwenang mewakili Pelanggan, Finday akan berupaya secara wajar menghapus atau menganonimkan Data Pribadi Pelanggan dalam waktu 90 hari kalender, kecuali retensi masih diperlukan atau diperbolehkan untuk tujuan hukum, pajak, akuntansi, payroll, keamanan, sengketa, backup, audit trail, atau kepentingan bisnis yang sah.

Data dalam backup dapat tetap tersimpan sampai siklus backup dan disaster recovery berakhir. Data tersebut tidak akan digunakan untuk operasional aktif kecuali diperlukan untuk pemulihan, keamanan, kepatuhan, atau kewajiban hukum.

16. Audit dan Informasi

Finday akan menyediakan informasi yang secara wajar diperlukan untuk menunjukkan kepatuhan terhadap DPA ini, misalnya ringkasan kontrol keamanan, daftar kategori Subprosesor, kebijakan terkait, atau respons tertulis atas pertanyaan kepatuhan yang wajar.

Audit langsung terhadap sistem, fasilitas, kode, atau infrastruktur Finday hanya dapat dilakukan berdasarkan persetujuan tertulis terlebih dahulu, ruang lingkup yang wajar, perlindungan kerahasiaan, pembatasan keamanan, dan jadwal yang tidak mengganggu operasional Finday atau Pelanggan lain.

17. Kerahasiaan

Finday akan memastikan personel yang memiliki akses ke Data Pribadi Pelanggan tunduk pada kewajiban kerahasiaan yang sesuai.

Pelanggan wajib menjaga kerahasiaan informasi keamanan, dokumentasi teknis, laporan, atau informasi non-publik Finday yang diterima melalui DPA ini.

18. Konflik dan Tanggung Jawab

Jika terdapat konflik antara DPA ini dan Syarat dan Ketentuan Finday terkait pemrosesan Data Pribadi Pelanggan oleh Finday sebagai Prosesor Data Pribadi, DPA ini berlaku sejauh konflik tersebut.

Pembatasan tanggung jawab, indemnifikasi, hukum yang berlaku, penyelesaian sengketa, dan ketentuan umum lain dalam Syarat dan Ketentuan Finday tetap berlaku untuk DPA ini, kecuali dinyatakan lain secara tertulis.