Perjanjian Pemrosesan Data
Terakhir diperbarui: 13 Juli 2026
Kalau Anda memakai Forgelo untuk membuat situs yang mengumpulkan data pribadi orang lain, misalnya formulir kontak di situs yang Anda buatkan untuk klien, maka Anda adalah pengendali data itu dan kami adalah prosesor Anda. Pasal 28 GDPR mewajibkan hubungan itu dituangkan dalam kontrak tertulis. Inilah kontraknya.
Perjanjian ini otomatis berlaku untuk setiap pelanggan bisnis sebagai bagian dari Ketentuan Layanan. Kalau pembeli atau klien Anda butuh salinan bertanda tangan di atas kertas, kirim email ke hello@forgelo.com dan akan kami tandatangani.
Ini draf kerja yang disusun secara internal dan belum ditinjau penasihat hukum eksternal. Anggap ini sebagai komitmen kami soal cara menangani data, dan mintalah pengacara Anda membacanya sebelum Anda mengandalkannya dalam pengadaan yang diatur ketat.
1. Siapa berperan apa
Anda (Pelanggan) adalah pengendali data. Anda yang menentukan data pribadi apa yang dikumpulkan situs Anda dan untuk apa.
Forgelo, yang dioperasikan oleh Creativism di Yogyakarta, Indonesia, adalah prosesor data. Kami memproses data pribadi itu semata-mata untuk menyediakan layanan kepada Anda.
Perjanjian ini hanya mencakup data yang Anda proses lewat Forgelo dalam kapasitas Anda sebagai pengendali. Data yang kami simpan tentang Anda, pelanggan kami, seperti akun dan tagihan Anda, diatur dalam Kebijakan Privasi, di mana kamilah pengendalinya.
2. Apa yang kami proses, dan berapa lama
| Butir | Rincian |
|---|---|
| Pokok perjanjian | Menyediakan AI website builder Forgelo: membuat, meng-hosting, dan menyajikan situs yang Anda buat, serta memproses apa pun yang dikumpulkan situs tersebut |
| Jangka waktu | Selama akun Anda aktif, ditambah masa penghapusan pada bagian 10 |
| Sifat dan tujuan | Penyimpanan, hosting, generate, penayangan, pencadangan, dan penghapusan konten serta data yang dikirim ke situs Anda |
| Jenis data pribadi | Apa pun yang dikumpulkan situs Anda. Umumnya: nama, alamat email, nomor telepon, nomor WhatsApp, dan pesan bebas yang dikirim lewat formulir kontak dan formulir leads. Ditambah data teknis pengunjung situs Anda, seperti alamat IP |
| Kategori subjek data | Pengunjung situs yang Anda terbitkan, dan orang-orang yang datanya Anda masukkan ke dalamnya |
| Data spesifik | Tidak diperkirakan ada. Jangan memakai formulir Forgelo untuk mengumpulkan data kesehatan, data biometrik, atau data spesifik lain tanpa memberi tahu kami lebih dulu |
3. Kami hanya bertindak atas instruksi Anda
Kami memproses data pribadi hanya atas instruksi terdokumentasi dari Anda, yang pada dasarnya berarti: sejauh diperlukan untuk menyediakan layanan yang Anda daftarkan, sebagaimana dijelaskan dalam Ketentuan Layanan dan pengaturan yang Anda pilih.
Kami tidak akan memprosesnya untuk kepentingan kami sendiri, dan tidak akan menjualnya. Kami tidak memakai data yang dikumpulkan situs Anda untuk melatih model AI.
Kalau hukum mewajibkan kami memprosesnya dengan cara lain, kami akan memberi tahu Anda sebelum melakukannya, kecuali hukum melarang kami memberi tahu.
Kalau menurut kami sebuah instruksi Anda melanggar hukum pelindungan data, kami akan memberi tahu Anda, dan kami bisa menjeda pemrosesan itu sampai persoalannya selesai.
4. Kerahasiaan
Setiap orang di Forgelo yang bisa mengakses data pribadi terikat kewajiban menjaga kerahasiaan, dan aksesnya dibatasi hanya untuk yang benar-benar membutuhkannya dalam pekerjaan mereka.
5. Langkah keamanan
Kami menerapkan langkah teknis dan organisasi yang memadai sesuai Pasal 32, yang saat ini berarti:
- Enkripsi saat transit (TLS) dan enkripsi saat disimpan melalui penyedia hosting dan basis data kami.
- Row level security di basis data, sehingga data satu pelanggan tidak bisa dibaca pelanggan lain.
- Kata sandi disimpan dalam bentuk hash, tidak pernah terbaca.
- Akses ke produksi dibatasi hanya untuk orang yang disebut namanya, dengan autentikasi wajib.
- Rate limiting dan deteksi penyalahgunaan pada endpoint publik.
- Pencadangan rutin, dan jalur penghapusan yang terdokumentasi.
- Keamanan adalah sasaran yang terus bergerak, jadi langkah-langkah ini akan berubah. Kami tidak akan menurunkannya di bawah tingkat yang dijelaskan di sini tanpa memberi tahu Anda.
6. Subprosesor
Anda memberi kami otorisasi umum untuk memakai subprosesor di bawah ini. Masing-masing terikat ketentuan tertulis yang mewajibkan pelindungan data setara dengan yang ada di perjanjian ini.
| Subprosesor | Perannya | Lokasi |
|---|---|---|
| Vercel Inc. | Hosting aplikasi, pengiriman edge, penyajian situs terbit | Amerika Serikat, edge global |
| Supabase Inc. | Basis data, autentikasi, dan penyimpanan berkas | Di luar Indonesia |
| Cloudflare, Inc. | Penyimpanan objek R2 untuk gambar situs | Jaringan global |
| Penyedia model AI | Membuat dan mengedit konten situs dari prompt | Amerika Serikat |
| Resend | Pengiriman email transaksional | Amerika Serikat |
| Lemon Squeezy | Merchant of record, pembayaran kartu dan langganan | Amerika Serikat |
| Xendit | Pemrosesan QRIS dan pembayaran Indonesia | Indonesia, Singapura |
7. Mengganti subprosesor
Kalau kami ingin menambah atau mengganti subprosesor, kami akan memperbarui halaman ini dan mengirim email ke alamat di akun Anda paling lambat 30 hari sebelum perubahan berlaku. Kalau Anda punya keberatan yang wajar dari sisi pelindungan data, sampaikan dalam 30 hari itu dan kami akan berusaha menyelesaikannya. Kalau tidak bisa, Anda boleh menghentikan bagian layanan yang terdampak dan kami akan mengembalikan sisa masa berlangganan Anda.
8. Transfer internasional
Kami berada di Indonesia dan sebagian besar subprosesor kami di Amerika Serikat, jadi data pribadi akan keluar dari negara tempat data itu dikumpulkan.
Untuk data yang tunduk pada GDPR, transfer dilakukan berdasarkan Standard Contractual Clauses Komisi Eropa (Implementing Decision (EU) 2021/914), atau keputusan adequacy kalau berlaku. Untuk data Inggris kami memakai UK Addendum atas klausul tersebut.
Untuk data yang tunduk pada UU Pelindungan Data Pribadi (UU No. 27 Tahun 2022), kami menerapkan Pasal 56: kami menilai apakah tingkat pelindungan di negara penerima setara atau lebih tinggi dari hukum Indonesia, dan kalau tidak, kami memastikan ada pelindungan yang memadai dan bersifat mengikat sebelum transfer dilakukan.
Minta saja dan akan kami berikan pengaman transfer yang berlaku untuk subprosesor tertentu.
9. Membantu Anda memenuhi kewajiban Anda
- Permintaan subjek data. Kalau ada orang menghubungi kami untuk memakai haknya atas data yang Anda kendalikan, kami tidak akan menjawab mewakili Anda. Kami akan meneruskannya kepada Anda tanpa penundaan dan membantu Anda menjawab, termasuk dengan memberi Anda akses ke datanya lewat aplikasi.
- Kebocoran data. Kalau terjadi kebocoran data pribadi yang memengaruhi data Anda, kami akan memberi tahu Anda tanpa penundaan, dan tetap dalam waktu yang cukup bagi Anda untuk memenuhi tenggat Anda sendiri: 72 jam menurut GDPR, dan paling lambat 3x24 jam menurut UU Pelindungan Data Pribadi. Kami akan menjelaskan apa yang terjadi, data apa yang terlibat, apa perkiraan dampaknya, dan apa yang sedang kami lakukan.
- Penilaian dampak. Kami akan memberikan informasi yang wajar Anda butuhkan untuk penilaian dampak pelindungan data atau konsultasi awal dengan regulator.
10. Penghapusan dan pengembalian
Anda bisa mengekspor atau menghapus data Anda dari aplikasi kapan saja. Saat akun Anda ditutup, kami menghapus data pribadi dalam 30 hari dan membersihkannya dari cadangan dalam 90 hari, kecuali yang wajib kami simpan menurut hukum, misalnya catatan pembayaran untuk keperluan pajak. Atas permintaan, dan sebelum penghapusan, kami akan mengembalikan salinannya dalam format yang lazim dan terbaca mesin.
11. Audit
Kami akan memberikan informasi yang Anda perlukan untuk menunjukkan bahwa kami memenuhi Pasal 28, termasuk dokumentasi keamanan kami dan laporan pihak ketiga yang diterbitkan penyedia kami. Kalau itu belum cukup, Anda boleh mengaudit kami sekali setahun, dengan pemberitahuan tertulis 30 hari sebelumnya, atas biaya Anda, pada waktu yang tidak mengganggu layanan, dan tunduk pada kerahasiaan. Kami bisa memenuhi permintaan audit dengan memberikan laporan independen sebagai gantinya.
12. Tanggung jawab
Tanggung jawab berdasarkan perjanjian ini tunduk pada batas yang ada di Ketentuan Layanan, kecuali di titik-titik yang hukum pelindungan data melarangnya.
13. Cara menerima perjanjian ini
Memakai Forgelo sebagai pelanggan bisnis berarti menerima ketentuan ini, dan tidak perlu tanda tangan. Kalau proses pengadaan Anda mewajibkan salinan bertanda tangan balik, atau memakai template DPA Anda sendiri, kirim dokumennya ke hello@forgelo.com dan akan kami tinjau serta tandatangani.