Perjanjian Pemrosesan Data (Data Processing Agreement)

Berlaku sejak: 21 April 2026 Terakhir diperbarui: 21 April 2026

Tentang Dokumen Ini

Perjanjian Pemrosesan Data ("DPA") ini mengatur hubungan antara Anda sebagai pelanggan berbayar First Principle ("Pengendali") dan PT First Principle Systems ("Prosesor"), khususnya dalam hal pemrosesan data pribadi pihak ketiga yang Anda kelola melalui Layanan.

DPA ini terbentuk secara otomatis dan menjadi bagian yang tidak terpisahkan dari Syarat dan Ketentuan First Principle bagi seluruh pelanggan berbayar yang memproses data pribadi pihak ketiga melalui platform kami (termasuk data pelanggan, karyawan, atau kontak bisnis).

DPA ini tunduk pada dan ditafsirkan sesuai UU 27/2022 tentang Pelindungan Data Pribadi (UU PDP) Republik Indonesia.

Definisi Peran

Pengendali Data Pribadi (Controller): Anda sebagai pelanggan First Principle. Anda menentukan tujuan dan cara pemrosesan data pribadi pihak ketiga yang Anda masukkan ke dalam Layanan.

Prosesor Data Pribadi (Processor): PT First Principle Systems. Kami memproses data tersebut atas instruksi Anda dan untuk keperluan penyediaan Layanan.

Klasifikasi ini berlaku sebagaimana didefinisikan dalam UU PDP Pasal 1 angka 4 dan 5.

Ruang Lingkup Pemrosesan

Kategori Data yang Diproses

Bergantung pada produk yang Anda gunakan, First Principle dapat memproses kategori data berikut atas instruksi Anda:

FirstJournal:

  • Nama, alamat, NPWP, dan data kontak pelanggan/pemasok bisnis Anda
  • Data transaksi keuangan, invoice, dan pembayaran
  • Data rekening bank pihak ketiga (terbatas pada informasi yang Anda masukkan)

FirstCRM:

  • Nama lengkap, email, nomor telepon kontak/prospek
  • Riwayat komunikasi dan interaksi bisnis
  • Status pipeline dan catatan penjualan

FirstPayroll:

  • Nama, NIK, NPWP, nomor BPJS karyawan
  • Data kompensasi, tunjangan, dan potongan
  • Informasi rekening bank karyawan

Kategori Subjek Data

Pelanggan dan prospek bisnis Anda, karyawan Anda, pemasok dan mitra bisnis Anda, serta pihak ketiga lain yang datanya Anda masukkan ke dalam Layanan.

Durasi Pemrosesan

Selama masa berlangganan aktif Anda, ditambah periode retensi post-terminasi sebagaimana diatur dalam Kebijakan Privasi kami (termasuk kewajiban 10 tahun untuk data akuntansi per UU 8/1997).

Kewajiban First Principle sebagai Prosesor

Sebagai Prosesor, First Principle berkomitmen untuk:

  1. Memproses sesuai instruksi: Memproses data pribadi hanya sesuai instruksi tertulis Anda yang diberikan melalui penggunaan Layanan, kecuali diwajibkan lain oleh hukum yang berlaku.

  2. Kerahasiaan: Memastikan seluruh personel yang memiliki akses ke data pribadi terikat oleh kewajiban kerahasiaan.

  3. Keamanan: Menerapkan langkah-langkah keamanan teknis dan organisasi yang sesuai sebagaimana diuraikan dalam Kebijakan Keamanan kami, termasuk enkripsi data at-rest dan in-transit.

  4. Sub-prosesor: Hanya menggunakan sub-prosesor yang tercantum dalam Kebijakan Privasi kami atau yang telah diberitahukan kepada Anda dengan cukup waktu sebelumnya. Sub-prosesor terikat kontrak dengan kewajiban perlindungan data yang setara.

  5. Hak subjek data: Membantu Anda dalam memenuhi kewajiban Anda untuk merespons permintaan hak subjek data dari pihak ketiga yang datanya Anda proses melalui Layanan kami.

  6. Pelaporan insiden: Memberitahukan Anda tanpa penundaan yang tidak perlu — dan dalam 3×24 jam sejak dikonfirmasi — apabila terjadi pelanggaran data yang memengaruhi data yang Anda proses melalui Layanan.

  7. Penghapusan atau pengembalian data: Setelah berakhirnya kontrak, menghapus atau mengembalikan seluruh data pribadi atas pilihan Anda, kecuali penyimpanan lebih lanjut diwajibkan oleh hukum.

Kewajiban Anda sebagai Pengendali

Sebagai Pengendali, Anda bertanggung jawab untuk memastikan:

  1. Anda memiliki dasar hukum yang sah berdasarkan UU PDP untuk memproses data pribadi pihak ketiga yang Anda masukkan ke dalam Layanan.
  2. Anda telah memberikan informasi yang cukup kepada subjek data tentang pemrosesan data mereka, termasuk penggunaan sub-prosesor First Principle.
  3. Data yang Anda masukkan ke dalam Layanan tidak melanggar hak pihak ketiga manapun.
  4. Anda menggunakan Layanan sesuai dengan instruksi dan panduan yang kami berikan.

Sub-Prosesor

Anda memberikan otorisasi umum kepada First Principle untuk menggunakan sub-prosesor sebagaimana tercantum dalam Kebijakan Privasi kami. First Principle akan memberitahukan Anda melalui email dan pembaruan halaman Kebijakan Privasi apabila ada penambahan sub-prosesor baru, dengan pemberitahuan minimal 14 hari sebelum sub-prosesor tersebut mulai memproses data Anda.

Anda berhak mengajukan keberatan tertulis atas penambahan sub-prosesor baru dalam 10 hari sejak pemberitahuan. Apabila keberatan tidak dapat diselesaikan, Anda berhak mengakhiri langganan dengan pengembalian dana pro-rata.

Keamanan Teknis dan Organisasi

First Principle menerapkan langkah-langkah keamanan berikut untuk melindungi data yang Anda proses melalui Layanan:

  • Enkripsi data saat tersimpan (AES-256) dan saat transit (TLS 1.3)
  • Kontrol akses berbasis peran yang membatasi akses personel ke data yang diperlukan
  • Autentikasi multi-faktor untuk akses sistem internal
  • Pengujian keamanan dan vulnerability scanning berkala
  • Kebijakan retensi dan penghapusan data yang terstruktur
  • Prosedur respons insiden yang terdokumentasi

Detail lengkap tersedia di Kebijakan Keamanan kami.

Hak Audit

Anda berhak melakukan audit atas kepatuhan First Principle terhadap DPA ini dengan:

  1. Memberikan pemberitahuan tertulis minimal 30 hari sebelumnya ke legal@firstprinciple.id.
  2. Audit dilaksanakan tidak lebih dari sekali dalam 12 bulan, kecuali setelah terjadi insiden keamanan.
  3. Biaya audit ditanggung oleh Anda; First Principle akan menanggung biaya persiapan internal kami.
  4. Sebagai alternatif, First Principle dapat menyediakan laporan audit keamanan terbaru yang dilakukan oleh pihak ketiga independen.

Protokol Pelanggaran Data

Jika First Principle mendeteksi atau menduga terjadinya pelanggaran data yang memengaruhi data yang Anda proses:

  1. Notifikasi awal kepada Anda dalam 3×24 jam sejak insiden dikonfirmasi, mencakup deskripsi awal insiden.
  2. Laporan lengkap dalam 72 jam berikutnya, mencakup: sifat pelanggaran, kategori dan perkiraan jumlah data/subjek terdampak, kemungkinan konsekuensi, dan langkah mitigasi yang telah/akan diambil.
  3. First Principle akan membantu Anda dalam memenuhi kewajiban pelaporan kepada otoritas yang berwenang.

Akhir Layanan — Pengembalian dan Penghapusan Data

Setelah terminasi akun, Anda memiliki 30 hari kalender untuk mengunduh seluruh data Anda melalui fitur ekspor yang tersedia di dasbor. First Principle menyediakan ekspor dalam format yang dapat dibaca mesin (CSV, JSON).

Setelah 30 hari, data akan dihapus dari sistem aktif dan backup dalam siklus penghapusan backup berikutnya (maksimal 30 hari setelah penghapusan data aktif), kecuali data yang wajib dipertahankan oleh hukum (data akuntansi 10 tahun per UU 8/1997).

Atas permintaan tertulis Anda, First Principle akan mengeluarkan sertifikasi penghapusan data dalam 30 hari setelah penghapusan selesai dilakukan.

Pertanyaan terkait DPA: legal@firstprinciple.id PT First Principle Systems — Reiz Vasaka, Jl. Tembakau Deli No.1, Kesawan, Kec. Medan Bar., Kota Medan, Sumatera Utara 20231