BaruTiga SaaS suite gratis launching Q3 2026: Budget Wizard, Audience Card, Campaign Builder.
AkarRumput.coAkarRumput.co

Legal

Data Processing Agreement

DPA berlaku untuk klien B2B, government, dan enterprise yang require formal data processing agreement per UU PDP No.27/2022 Republik Indonesia. Default retail user Phase 1: ToS + Privacy Policy cukup. DPA opt-in untuk klien yang request.

Update terakhir:

Definisi peran

Controller: Klien (User) yang menentukan tujuan dan cara pemrosesan data.

Processor: AkarRumput.co yang memproses data atas instruksi Controller.

Data Subject: Individu yang data-nya diproses (User, atau audience User kalau User input PII audience).

Lingkup pemrosesan

AkarRumput sebagai Processor:

  • Memproses data atas instruksi Controller (User)
  • Tidak memproses data untuk kepentingan sendiri (kecuali anonymized aggregate per ToS section 2.5)
  • Menerapkan technical dan organizational measure untuk keamanan data

Sub-processor

AkarRumput menggunakan sub-processor (per Privacy Policy section 3.3): Supabase (database + auth, Singapore), Vercel (hosting + Blob storage, US edge), Resend (email transactional, US), iPaymu (payment, Indonesia), Google OAuth, plus AI providers (OpenAI, Anthropic, DeepSeek, Perplexity, Firecrawl, Apify) untuk processing input.

Notifikasi sub-processor baru dikirim ke Controller. Controller boleh terminate kalau objek dengan addisi sub-processor.

Hak Data Subject

AkarRumput membantu Controller respond ke data subject request:

  • Akses (export data subject)
  • Koreksi (update data subject)
  • Hapus (delete data subject)
  • Portabilitas (export format JSON/CSV)
  • Objek (opt-out marketing)
  • Limit processing (mis. opt-out case study showcase)

Notifikasi ke Controller dalam 48 jam kalau ada data subject request langsung ke AkarRumput.

Security measure

  • Encryption at rest (Supabase + Vercel Blob default)
  • Encryption in transit (HTTPS + TLS 1.3)
  • Access control (RLS policy per row di Supabase)
  • Audit log (1-year retention)
  • Penetration test annual (per D-033 dogfood + Semgrep)

Breach notification

Kalau terjadi data breach, AkarRumput notify Controller dalam 72 jam (sesuai UU PDP Pasal 46) dengan scope breach, data subject affected, mitigation yang diambil, dan remediation plan.

Durasi dan terminasi DPA

DPA active selama Controller pakai layanan AkarRumput plus 14-day grace period setelah account terminated (untuk data deletion). AkarRumput tidak retain data lebih lama kecuali required by law (billing 5 tahun, audit log 1 tahun anonymized).

Governing law

Hukum Indonesia. Jurisdiksi Pengadilan Negeri Jakarta Pusat untuk dispute resolution.

Kontak DPA

Untuk request DPA formal atau pertanyaan tentang data processing, hubungi kami@akarrumput.co.

AkarRumput Legal

Pertanyaan tentang kebijakan ini? Email legal@akarrumput.co.