Skip to content
GoDesk
HUKUM · DPA

Lampiran Pemrosesan Data

DPA ini berlaku antara upDevTeam LTD (si 'Pengolah') dan setiap pelanggan layanan GoDesk yang, dalam menggunakan layanan, memproses data pribadi individu yang dapat diidentifikasi sebagai 'Pengendali' di bawah GDPR. Ini diintegrasikan ke dalam Ketentuan Layanan melalui rujukan.

Terakhir diperbarui: 2026-05-06
TL;DR

Jika Anda menggunakan GoDesk untuk mendukung pelanggan bisnis, karyawan, atau orang lain yang dapat diidentifikasi, Anda adalah Pengendali dan kami adalah Pengolah. DPA ini mengatur bagaimana kami menangani data pribadi atas nama Anda di bawah Pasal 28 GDPR.

Dengan menerima Ketentuan Layanan kami, Anda juga menerima DPA ini. Pelanggan Enterprise yang membutuhkan PDF yang ditandatangani dapat memintanya di info@godeskflow.com.

Isi
  1. 01Definisi
  2. 02Ruang lingkup dan peran
  3. 03Rincian pemrosesan (Pasal 28(3) GDPR)
  4. 04Kewajiban Pengolah
  5. 05Sub-pengolah
  6. 06Langkah-langkah keamanan
  7. 07Transfer internasional
  8. 08Permintaan subjek data
  9. 09Pelanggaran data pribadi
  10. 10Audit
  11. 11Pengembalian dan penghapusan
  12. 12Tanggung jawab
  13. 13Jangka waktu
  14. 14Hukum yang mengatur
  15. 15Kontak

01Definisi

Istilah yang ditulis dengan huruf kapital memiliki makna yang diberikan dalam GDPR. Istilah berikut memiliki makna di bawah ini.

Data Pribadi Pelanggan
Data pribadi yang dikirimkan oleh Pelanggan atau pengguna akhir melalui, atau disimpan dalam, Layanan GoDesk, dan yang kami proses atas nama Pelanggan sebagai Pengolah.
GDPR
Peraturan (EU) 2016/679 dari Parlemen Eropa dan Dewan pada 27 April 2016 (Peraturan Perlindungan Data Umum), dan setiap undang-undang implementasi nasional, termasuk GDPR Inggris.
Pengolah
upDevTeam LTD.
Pengendali
Pelanggan.
Sub-pengolah
Setiap pengolah pihak ketiga yang terlibat oleh upDevTeam LTD untuk memproses Data Pribadi Pelanggan.
Klausul Kontrak Standar
Klausul Kontrak Standar untuk transfer data pribadi ke negara ketiga berdasarkan GDPR, yang diadopsi oleh Keputusan Pelaksanaan Komisi (EU) 2021/914 (Modul 2 / Modul 3 sesuai kebutuhan).

02Ruang lingkup dan peran

DPA ini berlaku untuk pemrosesan Data Pribadi Pelanggan yang dilakukan oleh upDevTeam LTD atas nama Pelanggan selama penyediaan Layanan.

Para pihak mengakui bahwa, sehubungan dengan pemrosesan tersebut, Pelanggan adalah Pengendali dan upDevTeam LTD adalah Pengolah.

upDevTeam LTD juga memproses data sebagai Pengendali terkait operasional bisnisnya sendiri (penagihan akun, anti-penyalahgunaan, pemasaran). Kebijakan Privasi menjelaskan pemrosesan tersebut.

03Rincian pemrosesan (Pasal 28(3) GDPR)

Perihal
Penyediaan layanan remote-desktop GoDesk kepada Pelanggan.
Durasi
Selama Pelanggan menggunakan Layanan ditambah dengan retensi pasca-berakhir yang disepakati dalam bagian 11.
Sifat dan tujuan
Hosting, transmisi, otentikasi, telemetri, dukungan, dan pemrosesan lain yang diperlukan untuk mengoperasikan Layanan.
Kategori data
Identifikasi akun (email, peer ID), metadata koneksi (stempel waktu, IP), dan data pribadi apa pun yang dipilih oleh Pelanggan untuk dimasukkan ke dalam nama perangkat atau metadata sesi. Konten sesi dienkripsi end-to-end dan tidak dapat diakses oleh kami dalam bentuk plaintext.
Kategori subjek data
Pengguna akhir Pelanggan, karyawan, kontraktor, dan individu mana pun yang perangkatnya diakses melalui Layanan oleh Pelanggan.
Kategori data khusus
Tidak dikumpulkan oleh upDevTeam LTD sebagai Pengolah. Pelanggan tidak boleh memasukkan data kategori khusus ke dalam nama perangkat atau metadata plaintext lainnya.

04Kewajiban Pengolah

upDevTeam LTD akan:

  • memproses Data Pribadi Pelanggan hanya berdasarkan instruksi tertulis dari Pelanggan, termasuk yang diatur dalam Syarat dan DPA ini, kecuali diharuskan oleh hukum EU atau negara bagian;
  • memastikan bahwa personel yang berwenang untuk memproses Data Pribadi Pelanggan terikat oleh kewajiban kerahasiaan yang tepat;
  • mengimplementasikan dan mempertahankan langkah teknis dan organisasi yang dijelaskan dalam bagian 6;
  • menghormati syarat dalam Pasal 28(2) dan (4) GDPR untuk melibatkan Sub-pengolah (bagian 5);
  • membantu Pelanggan, dengan mempertimbangkan sifat pemrosesan, dalam memenuhi kewajiban di bawah Pasal 32 hingga 36 GDPR;
  • menghadirkan semua informasi yang diperlukan untuk membuktikan kepatuhan terhadap Pasal 28 GDPR.

05Sub-pengolah

Pelanggan memberikan izin kepada upDevTeam LTD untuk melibatkan Sub-pengolah berikut:

Supabase, Inc.
Basis data akun, otentikasi, penyimpanan telemetri. Dihosting di UE.
Hetzner Online GmbH
Komputasi dan bandwidth untuk relai dan infrastruktur web (Siprus dan Jerman).
Cloudflare, Inc.
DNS, CDN, keamanan tepi.
Google Ireland Ltd.
Analisis opsional, hanya ketika pengguna akhir Pelanggan setuju melalui banner cookie.
Stripe Payments Europe Ltd.
Pemrosesan kartu untuk paket berbayar.

Kami akan memberi Pelanggan setidaknya 30 hari pemberitahuan sebelum menambahkan atau mengganti Sub-pengolah dengan memposting perubahan di godeskflow.com/dpa atau mengirim email kepada kontak akun. Jika Pelanggan keberatan dengan alasan perlindungan data, kami akan bekerja dengan itikad baik untuk menemukan solusi; jika tidak ada yang dapat disepakati, Pelanggan dapat menghentikan Layanan yang terpengaruh untuk kenyamanan.

Kami tetap bertanggung jawab kepada Pelanggan atas tindakan dan kelalaian Sub-pengolah kami seolah-olah itu adalah tindakan kami sendiri.

06Langkah-langkah keamanan

Kami mengimplementasikan dan mempertahankan langkah teknis dan organisasi yang sesuai dengan risiko, termasuk:

  • TLS 1.3 dalam perjalanan, AES-256-GCM saat istirahat untuk cadangan, pertukaran kunci X25519 + ED25519 untuk konten sesi yang dienkripsi end-to-end;
  • kontrol akses berbasis peran dengan default hak akses minimum dan otentikasi dua faktor yang wajib untuk staf;
  • pencatatan audit terpusat dari tindakan administratif pada sistem produksi;
  • manajemen kerentanan, pemindaian ketergantungan, dan pemeliharaan keamanan yang tepat waktu;
  • keamanan fisik diserahkan kepada operator pusat data yang bersertifikat ISO 27001;
  • prosedur tanggap insiden yang terdokumentasi dengan rotasi ponsel.

07Transfer internasional

Data Pribadi Pelanggan dikelola di EEA. Ketika transfer Data Pribadi Pelanggan ke luar EEA diperlukan (misalnya saat melibatkan Sub-pengolah yang berkantor pusat di AS), para pihak memasukkan Klausul Kontraktual Standar melalui referensi, dengan upDevTeam LTD bertindak sebagai 'pengekspor data' untuk transfer tersebut dan Sub-pengolah sebagai 'pengimpor data'.

Ketika Pelanggan berada di luar EEA dan data pribadi mengalir dari upDevTeam LTD ke Pelanggan, para pihak menggabungkan SCC (Modul 4) untuk transfer yang bersangkutan.

Kami menyelesaikan penilaian dampak transfer untuk setiap Sub-prosesor non-EEA dan menerapkan langkah tambahan (enkripsi, pseudonimisasi) di mana penilaian merekomendasikannya.

08Permintaan subjek data

Jika kami menerima permintaan dari subjek data sehubungan dengan Data Pribadi Pelanggan, kami tidak akan merespons secara langsung kecuali untuk mengonfirmasi penerimaan dan mengarahkan subjek data kepada Pelanggan. Kami akan meneruskan permintaan kepada Pelanggan tanpa penundaan yang tidak semestinya.

Kami akan memberikan bantuan yang wajar kepada Pelanggan dalam menanggapi permintaan akses, perbaikan, penghapusan, pembatasan, portabilitas, dan keberatan, dengan mempertimbangkan sifat pemrosesan dan informasi yang tersedia bagi kami. Di mana permintaan berlebihan atau jelas tidak berdasar, kami dapat mengenakan biaya yang wajar.

09Pelanggaran data pribadi

Kami akan memberi tahu Pelanggan tanpa penundaan yang tidak semestinya, dan dalam hal ini dalam waktu 72 jam setelah mengetahui, tentang pelanggaran data pribadi yang mempengaruhi Data Pribadi Pelanggan. Pemberitahuan akan mencakup informasi yang dibutuhkan oleh Pasal 33(3) GDPR sejauh yang diketahui, dengan pembaruan saat penyelidikan berlangsung.

Kami akan bekerja sama dengan Pelanggan untuk mengendalikan, menyelidiki, dan mendokumentasikan pelanggaran, dan tidak akan membuat pernyataan publik tentang hal itu tanpa persetujuan sebelumnya dari Pelanggan kecuali diharuskan oleh hukum.

10Audit

Kami menyediakan informasi yang diperlukan kepada Pelanggan untuk menunjukkan kepatuhan terhadap Pasal 28 GDPR melalui (a) DPA ini, (b) dokumen putih keamanan yang tersedia berdasarkan permintaan, dan (c) laporan audit pihak ketiga terbaru dari Sub-prosesor yang relevan (mis. laporan SOC 2).

Jika Pelanggan secara wajar percaya bahwa bahan yang disebutkan dalam bagian 10.1 tidak memadai, Pelanggan dapat, atas biaya sendiri dan dengan pemberitahuan tertulis setidaknya 30 hari, mengaudit kepatuhan kami terhadap DPA ini tidak lebih dari sekali per tahun (kecuali dalam kasus pelanggaran material), selama audit (i) dilakukan selama jam kerja normal, (ii) tidak mengganggu operasi kami, (iii) dilakukan oleh auditor independen yang terikat oleh kewajiban kerahasiaan yang sesuai, dan (iv) tidak mencakup akses ke fasilitas atau data pelanggan lainnya.

Laporan audit adalah informasi rahasia dari upDevTeam LTD dan hanya dapat dibagikan kepada regulator dan penasihat hukum di bawah kerahasiaan.

11Pengembalian dan penghapusan

Pada penghentian Layanan, kami akan, atas pilihan Pelanggan dan dalam waktu 30 hari dari tanggal penghentian, mengembalikan semua Data Pribadi Pelanggan dalam format elektronik yang terstruktur atau menghapusnya dengan aman, kecuali sejauh retensi diharuskan oleh hukum UE atau negara bagian.

Salinan cadangan akan dihapus sesuai dengan kebijakan pemulihan cadangan standar kami (saat ini 35 hari). Cadangan tetap dilindungi oleh langkah-langkah keamanan dalam bagian 6 sampai mereka ditimpa.

12Tanggung jawab

Tanggung jawab yang timbul di bawah DPA ini diatur oleh bagian pembatasan tanggung jawab dari Ketentuan Layanan.

Di mana Pasal 82 GDPR membagi tanggung jawab antara pengendali bersama, pemroses, dan sub-prosesor, para pihak setuju untuk mengikuti pembagian hukum tersebut.

13Jangka waktu

DPA ini berlaku sejak tanggal Pelanggan menerima Ketentuan Layanan dan berlanjut selama upDevTeam LTD memproses Data Pribadi Pelanggan atas nama Pelanggan, ditambah periode kelangsungan yang diperlukan untuk memenuhi kewajiban di bawah bagian 9, 10, dan 11.

14Hukum yang mengatur

DPA ini diatur oleh hukum Republik Siprus, kecuali bahwa, di mana SCC berlaku, hukum yang mengatur yang diidentifikasi dalam SCC berlaku untuk masalah dalam lingkup SCC.

15Kontak

Pemberitahuan di bawah DPA ini harus dikirim ke info@godeskflow.com (masalah pemrosesan data) dan ke info@godeskflow.com (masalah subjek data dan otoritas pengawas).

Jika Anda memerlukan salinan DPA ini yang ditandatangani silang di kepala surat upDevTeam LTD, tulislah ke info@godeskflow.com. Versi bahasa Inggris dari DPA ini adalah versi yang mengendalikan.