Addendum Pemrosesan Data

Addendum ini mengatur pemrosesan oleh Skeldy atas Data Pribadi Pelanggan atas nama pelanggan. Pelanggan adalah pengendali; Skeldy SAS adalah pemroses.

• Subjek data — staf, manajer, dan pengguna resmi pelanggan.
• Kategori — identifikasi (nama, email), metadata pekerjaan (peran, seksi, kualifikasi), data jadwal, komunikasi dalam aplikasi, log audit dan keamanan.
• Kategori khusus (Ps. 9 GDPR) tidak diproses secara default. Alasan medis tidak boleh dimasukkan.

Pemrosesan berlangsung selama berlangganan ditambah jendela penghapusan yang dijelaskan di bawah. Skeldy hanya memproses data berdasarkan instruksi pelanggan yang terdokumentasi, termasuk yang diberikan melalui UI dan API.

Skeldy menggunakan sub-pemroses yang tercantum dalam Kebijakan Privasi. Kami memberitahukan penambahan sub-pemroses baru setidaknya 30 hari sebelumnya. Pelanggan dapat keberatan dengan alasan yang sah; jika keberatan tidak dapat diselesaikan, mereka dapat keluar dari layanan yang terdampak.

Data produksi tetap berada di UE. Untuk transfer di luar EEA yang tidak dapat dihindari (misalnya Stripe), kami menerapkan Standard Contractual Clauses (Keputusan 2021/914) dan tindakan teknis tambahan.

• Enkripsi — TLS 1.2+ saat transit, AES-256 saat tidak aktif.
• Akses — berbasis peran dan hak minimum, MFA di semua akun administratif.
• Database — kebijakan RLS di setiap tabel sesuai hierarki.
• Pencatatan — tindakan hak istimewa disimpan 13 bulan.
• Cadangan — Point-in-Time Recovery aktif, pemulihan diuji setidaknya setiap tahun.
• Pen-test — pengujian independen setidaknya tahunan; perbaikan temuan tinggi dan kritis sebelum peluncuran.
• Personel — komitmen kerahasiaan, pelatihan tahunan.

Skeldy menyediakan endpoint swalayan untuk ekspor dan penghapusan. Untuk bantuan lebih lanjut, kami merespons dalam 30 hari. Kontak: [email protected].

Kami memberi tahu pelanggan tanpa penundaan yang tidak perlu dan dalam waktu 72 jam setelah mengetahui pelanggaran yang mempengaruhi Data Pribadi Pelanggan, memberikan informasi yang diperlukan untuk kewajiban GDPR pelanggan (Ps. 33/34).

Pelanggan dapat meminta informasi audit sekali setiap 12 bulan, dipenuhi melalui laporan SOC 2, ringkasan pen-test, atau kuesioner keamanan. Audit di tempat hanya jika diwajibkan oleh hukum, dengan biaya pihak yang meminta.

Setelah penghentian, pelanggan dapat mengekspor data selama 30 hari. Setelah itu, Skeldy menghapus Data Pribadi Pelanggan dalam 30 hari berikutnya, kecuali penyimpanan yang diwajibkan hukum (misalnya penagihan).