Perjanjian Pemrosesan Data
Terakhir diperbarui 11 Mei 2026
Perjanjian Pemrosesan Data ini ("DPA") dibuat antara entitas yang diidentifikasi sebagai Pengendali dalam formulir pesanan atau perjanjian layanan yang berlaku ("Pengendali") dan PZX (CNPJ: 62.054.402/0001-26), yang berkantor pusat di Negara Bagian São Paulo, Brasil ("Operator"), dan merupakan bagian dari perjanjian yang mengatur penggunaan Konn ("Perjanjian").
1. Definisi
"Data Pribadi" berarti setiap informasi yang berkaitan dengan orang perorangan yang teridentifikasi atau dapat diidentifikasi, sebagaimana didefinisikan oleh Undang-Undang Perlindungan Data Umum Brasil (LGPD, Undang-Undang No. 13.709/2018).
"Pemrosesan" berarti setiap operasi yang dilakukan terhadap Data Pribadi, termasuk pengumpulan, penyimpanan, penggunaan, akses, transmisi, dan penghapusan.
"Pengendali" berarti orang perorangan atau badan hukum yang memiliki kewenangan pengambilan keputusan atas Pemrosesan Data Pribadi.
"Operator" berarti orang perorangan atau badan hukum yang memproses Data Pribadi atas nama Pengendali, sesuai dengan instruksi Pengendali.
"Subjek Data" berarti orang perorangan yang berkaitan dengan Data Pribadi tersebut.
"Sub-operator" berarti pihak ketiga manapun yang ditunjuk oleh Operator untuk memproses Data Pribadi atas nama Pengendali.
"Layanan" berarti platform Konn dan setiap fitur terkait yang disediakan oleh PZX berdasarkan Perjanjian.
2. Ruang Lingkup dan Hubungan
DPA ini mengatur pemrosesan Data Pribadi oleh PZX dalam kapasitasnya sebagai Operator, atas nama Pengendali, sehubungan dengan penyediaan Layanan.
Pengendali menentukan tujuan dan cara pemrosesan. PZX memproses Data Pribadi semata-mata untuk menyediakan dan mengoperasikan Layanan, sesuai dengan instruksi Pengendali sebagaimana ditetapkan dalam DPA ini dan Perjanjian.
3. Sifat, Tujuan, dan Durasi Pemrosesan
Sifat: penyimpanan, pengorganisasian, pengindeksan, pemrosesan semantik, pengambilan, dan penampilan konten yang dikirimkan oleh Pengendali dan pengguna yang berwenang.
Tujuan: penyediaan platform Konn, termasuk manajemen dokumen, grafik pengetahuan, pencarian semantik, dan fitur kontekstual berbantuan AI.
Durasi: selama jangka waktu Perjanjian. Setelah penghentian, ketentuan Pasal 12 berlaku.
4. Kategori Data Pribadi dan Subjek Data
Kategori Data Pribadi yang diproses berdasarkan DPA ini bergantung pada konten yang dikirimkan oleh Pengendali. Dapat mencakup, tanpa terbatas pada:
Data identifikasi dan kontak: nama, alamat email, dan informasi profesional pengguna Pengendali serta setiap individu yang disebutkan dalam konten yang diunggah;
Data organisasi: struktur tim, peran, dan komunikasi internal;
Data konten: dokumen, catatan, dan entri pengetahuan yang dapat berisi Data Pribadi tentang karyawan, klien, atau pihak ketiga Pengendali.
Pengendali mengakui bahwa PZX tidak dapat mengendalikan atau memprediksi kategori Data Pribadi yang terdapat dalam konten yang diunggah ke Layanan. Pengendali bertanggung jawab untuk memastikan bahwa semua Data Pribadi yang dikirimkan ke Layanan memiliki dasar hukum yang sah untuk pemrosesan berdasarkan hukum yang berlaku.
Subjek Data terutama adalah karyawan dan pengguna yang berwenang dari Pengendali, dan berpotensi pihak ketiga yang datanya muncul dalam konten yang diunggah oleh Pengendali.
5. Kewajiban Operator
PZX, sebagai Operator, akan:
5.1 Mengikuti instruksi: memproses Data Pribadi hanya berdasarkan instruksi tertulis dari Pengendali, kecuali jika diharuskan oleh hukum yang berlaku. PZX akan memberitahu Pengendali jika menganggap suatu instruksi melanggar hukum yang berlaku, sebelum melanjutkan.
5.2 Kerahasiaan: memastikan bahwa personel berwenang yang memproses Data Pribadi terikat oleh kewajiban kerahasiaan.
5.3 Keamanan: menerapkan dan memelihara langkah-langkah teknis dan organisasi yang tepat untuk melindungi Data Pribadi, sebagaimana dijelaskan dalam Pasal 8.
5.4 Sub-operator: menunjuk Sub-operator hanya sesuai dengan Pasal 7.
5.5 Hak Subjek Data: membantu Pengendali dalam menanggapi permintaan hak Subjek Data, sebagaimana dijelaskan dalam Pasal 9.
5.6 Penghapusan: menghapus atau mengembalikan Data Pribadi setelah penghentian, sebagaimana dijelaskan dalam Pasal 12.
5.7 Audit: menyediakan informasi yang diperlukan untuk membuktikan kepatuhan terhadap DPA ini, sebagaimana dijelaskan dalam Pasal 11.
5.8 Pemberitahuan insiden: memberitahu Pengendali tanpa penundaan yang tidak semestinya, dan paling lambat 72 jam setelah mengetahui, tentang setiap insiden keamanan yang dikonfirmasi yang melibatkan Data Pribadi yang diproses berdasarkan DPA ini. Pemberitahuan akan mencakup sifat insiden, kategori dan jumlah perkiraan Subjek Data yang terkena dampak, konsekuensi yang mungkin terjadi, dan tindakan yang diambil atau diusulkan.
6. Kewajiban Pengendali
Pengendali akan:
6.1 Dasar hukum: memastikan bahwa semua Data Pribadi yang dikirimkan ke Layanan memiliki dasar hukum yang sah untuk pemrosesan berdasarkan hukum yang berlaku, termasuk data tentang pihak ketiga yang diunggah sebagai bagian dari dokumen atau konten pengetahuan.
6.2 Akurasi: memberikan instruksi yang akurat dan terbaru serta memastikan bahwa Data Pribadi yang dikirimkan memadai dan relevan untuk tujuan yang dimaksudkan.
6.3 Hak Subjek Data: menangani permintaan Subjek Data yang ditujukan kepada Pengendali dan berkoordinasi dengan PZX jika bantuan Operator diperlukan.
6.4 Kepatuhan: mematuhi semua undang-undang perlindungan data yang berlaku dalam kapasitasnya sebagai Pengendali, termasuk memperoleh persetujuan yang diperlukan dari Subjek Data.
7. Sub-operator
7.1 Sub-operator saat ini
Pengendali memberi wewenang kepada PZX untuk menunjuk Sub-operator berikut sehubungan dengan Layanan:
Sub-operator | Lokasi | Tujuan |
|---|---|---|
Amazon Web Services (AWS) | Amerika Serikat | Infrastruktur cloud dan hosting |
Cloudflare | Amerika Serikat | Keamanan jaringan, CDN, dan perlindungan DDoS |
OpenAI | Amerika Serikat | Pemrosesan model bahasa AI dan text embeddings |
Anthropic | Amerika Serikat | Pemrosesan model bahasa AI |
Stripe | Amerika Serikat | Pemrosesan pembayaran dan penagihan |
Resend | Amerika Serikat | Pengiriman email transaksional |
7.2 Sub-operator masa depan
PZX dapat menunjuk penyedia model AI tambahan (termasuk, tanpa terbatas pada, penyedia layanan reranking, embedding, atau pemrosesan audio) seiring berkembangnya Layanan. PZX akan memberitahu Pengendali tentang setiap penambahan atau penggantian Sub-operator yang dimaksudkan setidaknya 30 hari sebelumnya.
Pengendali dapat menolak Sub-operator baru atas dasar perlindungan data yang wajar dengan memberitahu PZX secara tertulis dalam waktu 15 hari setelah menerima pemberitahuan. Jika para pihak tidak dapat menyelesaikan keberatan tersebut, Pengendali dapat mengakhiri Perjanjian tanpa denda, dengan pemberitahuan tertulis 30 hari.
7.3 Kewajiban Sub-operator
PZX akan memberlakukan kewajiban perlindungan data kepada semua Sub-operator yang setara dengan yang ditetapkan dalam DPA ini. PZX tetap bertanggung jawab kepada Pengendali atas pelaksanaan kewajiban Sub-operator.
8. Langkah-langkah Keamanan
PZX menerapkan langkah-langkah teknis dan organisasi berikut untuk melindungi Data Pribadi:
Enkripsi data dalam transit (TLS) dan saat tidak digunakan;
Isolasi tenant: data setiap Pengendali secara logis dipisahkan dari tenant lain;
Kontrol akses berbasis peran yang membatasi akses kepada personel berwenang;
Pemantauan dan pencatatan keamanan;
Tinjauan akses berkala.
PZX dapat memperbarui langkah-langkah ini dari waktu ke waktu, dengan syarat pembaruan tidak secara material mengurangi tingkat perlindungan secara keseluruhan.
9. Hak Subjek Data
PZX akan membantu Pengendali dalam memenuhi kewajibannya untuk menanggapi permintaan hak Subjek Data berdasarkan hukum yang berlaku, termasuk permintaan akses, koreksi, penghapusan, portabilitas, dan keberatan.
Pengendali bertanggung jawab untuk menerima dan menilai awal permintaan Subjek Data. Jika pemenuhan permintaan memerlukan tindakan dari PZX, Pengendali akan menyampaikan permintaan tersebut kepada PZX melalui saluran kontak di Pasal 13. PZX akan menanggapi dalam waktu 15 hari kerja.
10. Transfer Data Internasional
Data Pribadi yang diproses berdasarkan DPA ini dapat ditransfer ke dan diproses di negara-negara di luar Brasil, termasuk Amerika Serikat, tempat Sub-operator PZX beroperasi. Transfer tersebut dilakukan berdasarkan perlindungan kontraktual yang memadai sesuai dengan Pasal 33 LGPD.
Bagi Pengendali yang tunduk pada GDPR, transfer ke Sub-operator di luar Wilayah Ekonomi Eropa diatur oleh mekanisme transfer yang berlaku, termasuk Klausul Kontraktual Standar bila diperlukan.
11. Hak Audit
Atas permintaan tertulis dari Pengendali, PZX akan menyediakan informasi yang secara wajar diperlukan untuk membuktikan kepatuhan terhadap DPA ini. PZX dapat memenuhi kewajiban ini dengan menyediakan sertifikasi terbaru, dokumentasi keamanan, atau ringkasan laporan audit.
Pengendali dapat meminta audit di lokasi tidak lebih dari sekali per tahun kalender, dengan pemberitahuan tertulis setidaknya 30 hari dan dengan biaya Pengendali. Setiap audit harus dilakukan dengan cara yang tidak mengganggu operasi PZX atau membahayakan keamanan atau kerahasiaan data pelanggan lain.
12. Jangka Waktu, Penghentian, dan Penghapusan Data
DPA ini tetap berlaku selama jangka waktu Perjanjian.
Setelah penghentian atau berakhirnya Perjanjian:
Pengendali akan memiliki 30 hari untuk mengekspor datanya dari Layanan;
Setelah periode ini, PZX akan menghapus semua Data Pribadi yang diproses berdasarkan DPA ini dalam waktu 30 hari, termasuk salinan yang dipegang oleh Sub-operator jika secara teknis layak;
PZX akan memberikan konfirmasi tertulis penghapusan atas permintaan Pengendali;
PZX dapat menyimpan Data Pribadi melebihi periode ini hanya sejauh yang diwajibkan oleh hukum yang berlaku, dalam hal mana data akan tetap tunduk pada kewajiban kerahasiaan DPA ini.
13. Tanggung Jawab
Tanggung jawab masing-masing pihak berdasarkan DPA ini tunduk pada batasan yang ditetapkan dalam Perjanjian. Tidak ada dalam DPA ini yang membatasi tanggung jawab salah satu pihak atas kewajiban yang tidak dapat dikecualikan atau dibatasi berdasarkan hukum perlindungan data yang berlaku.
14. Hukum yang Mengatur
DPA ini diatur oleh hukum Republik Federatif Brasil, khususnya LGPD (Undang-Undang No. 13.709/2018). Setiap perselisihan yang timbul dari DPA ini yang tidak dapat diselesaikan secara damai akan diajukan ke pengadilan Distrik São Paulo, Negara Bagian São Paulo.
15. Kontak
Untuk hal-hal yang berkaitan dengan DPA ini, permintaan hak subjek data, atau insiden keamanan:
Email: [email protected]
Situs web: pzx.app
Petugas Perlindungan Data:
Nama: Filipe Albuquerque Brauns Cazelgrandi
Email: [email protected]
Lampiran A, Rincian Pemrosesan
Lampiran ini melengkapi Pasal 3 dan dapat diperbarui dengan kesepakatan tertulis bersama untuk mencerminkan perubahan dalam Layanan.
Bidang | Rincian |
|---|---|
Pokok bahasan | Manajemen pengetahuan organisasi melalui platform Konn |
Sifat pemrosesan | Penyimpanan, pengindeksan, pencarian semantik, pengambilan dan generasi berbantuan AI |
Tujuan | Penyediaan Layanan sebagaimana dijelaskan dalam Perjanjian |
Periode retensi | Jangka waktu Perjanjian, ditambah periode penghapusan dalam Pasal 12 |
Kategori Subjek Data | Karyawan Pengendali, pengguna yang berwenang, dan setiap pihak ketiga yang disebutkan dalam konten yang diunggah |
Kategori Data Pribadi | Sebagaimana dijelaskan dalam Pasal 4; kategori aktual bergantung pada konten yang dikirimkan oleh Pengendali |