Kebijakan Privasi

PT PrivacyTrack Indonesia ("kami", "PrivacyTrack", atau "Pengendali Data") mengoperasikan layanan analitik web PrivacyTrack.id ("Layanan") yang dirancang dari awal untuk menghormati privasi pengunjung website. Kebijakan Privasi ini menjelaskan bagaimana kami mengumpulkan, menggunakan, memproses, dan melindungi data pribadi sesuai dengan Undang-Undang Republik Indonesia Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi ("UU PDP"). Dengan menggunakan Layanan kami — baik sebagai Pengguna (pemilik akun) maupun sebagai pengunjung website yang memasang skrip kami — kamu dianggap telah membaca dan memahami Kebijakan Privasi ini.

Untuk memudahkan pemahaman, berikut definisi istilah yang digunakan dalam kebijakan ini: - Data Pribadi: data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya. - Pemilik Data Pribadi / Subjek Data: orang perseorangan yang pada dirinya melekat Data Pribadi. - Pengendali Data Pribadi: setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi. Dalam konteks Layanan ini, PrivacyTrack adalah Pengendali Data untuk Data Akun Pengguna, dan Pengguna adalah Pengendali Data untuk Data Analitik pengunjung website-nya, sementara PrivacyTrack bertindak sebagai Prosesor Data. - Prosesor Data Pribadi: setiap orang, badan publik, dan organisasi internasional yang melakukan pemrosesan Data Pribadi atas nama Pengendali Data Pribadi. - Pemrosesan: kegiatan terhadap Data Pribadi meliputi pengumpulan, pengolahan, penganalisisan, penyimpanan, pengubahan, dan penghapusan.

Kami membagi data menjadi dua kategori: A. Data Akun Pengguna (di mana PrivacyTrack adalah Pengendali Data): - Nama lengkap - Alamat email - Password yang di-hash menggunakan algoritma bcrypt (kami tidak pernah melihat password aslinya) - Nomor telepon (opsional, untuk verifikasi) - Riwayat login (IP address, User-Agent, waktu) untuk keamanan akun - Preferensi email dan notifikasi - Data pembayaran ditangani oleh penyedia pembayaran pihak ketiga (Tripay) dan tidak disimpan di server kami B. Data Analitik Website (di mana PrivacyTrack adalah Prosesor Data): Saat pengunjung mengakses website yang memasang skrip PrivacyTrack, kami mengumpulkan data statistik anonim berikut: - URL halaman yang dikunjungi (tanpa query parameters yang sensitif) - Halaman referrer (dari mana pengunjung datang) - Sumber trafik (referrer domain, UTM parameters) - Tipe perangkat (desktop/mobile/tablet) - Browser dan sistem operasi (contoh: "Chrome 120" di "macOS") - Resolusi layar (contoh: 1920x1080) - Negara, provinsi/region, dan kota (dari GeoIP, bukan IP address yang disimpan) - Zona waktu dan bahasa browser - Timestamp kunjungan (tanggal dan jam) - Session hash (lihat Pasal 5) - Event kustom opsional yang dipicu secara manual oleh Pengguna DATA YANG TIDAK PERNAH KAMI KUMPULKAN: - ❌ Alamat IP pengunjung (tidak disimpan dalam bentuk apapun) - ❌ Cookie tracking - ❌ Fingerprint browser persisten - ❌ Nama, email, atau nomor telepon pengunjung website Pengguna - ❌ Isi form, input pengguna, atau data yang diketik - ❌ Keystrokes, mouse movement, atau session recording - ❌ Data perbankan atau kartu kredit

Kami memproses Data Pribadi berdasarkan salah satu atau beberapa dasar hukum berikut: Untuk Data Akun Pengguna: - Persetujuan yang sah dari Pengguna saat mendaftar akun (UU PDP Pasal 20 ayat 2 huruf a) - Pelaksanaan kontrak antara Pengguna dan PrivacyTrack (Pasal 20 ayat 2 huruf b) - Kewajiban hukum untuk pencatatan transaksi dan pajak (Pasal 20 ayat 2 huruf c) - Kepentingan yang sah untuk keamanan, pencegahan fraud, dan operasional Layanan (Pasal 20 ayat 2 huruf f) Untuk Data Analitik Website: - Data analitik yang kami kumpulkan bersifat anonim dan tidak mengidentifikasi individu. Karenanya, menurut tafsir UU PDP, sebagian besar data ini berada di luar ruang lingkup "Data Pribadi" karena tidak dapat dihubungkan dengan orang perseorangan tertentu. - Untuk keamanan lebih, kami memastikan Pengguna memberikan pemberitahuan kepada pengunjung websitenya tentang penggunaan analitik.

Sebagai pengganti cookie, kami menggunakan session hash yang dibuat dari kombinasi: - User-Agent browser pengunjung - Bahasa browser - Resolusi layar - Zona waktu - Tanggal hari ini (UTC) Kombinasi ini di-hash menggunakan SHA-256 menghasilkan string satu arah (one-way) sepanjang 64 karakter. Properti penting session hash: - Tidak dapat di-reverse: dari hash tidak bisa diambil kembali User-Agent atau informasi aslinya - Berubah setiap hari: karena memasukkan komponen tanggal, hash berganti di tengah malam UTC — sehingga pengunjung tidak bisa di-track lintas hari - Tidak disimpan di perangkat: kami tidak menyimpan apa-apa di browser pengunjung - Tidak unik secara global: banyak pengunjung dengan konfigurasi serupa akan berbagi hash yang sama, membuat identifikasi individual mustahil Metode ini patuh UU PDP karena tidak menghasilkan "Data Pribadi" sebagaimana didefinisikan dalam Pasal 1 ayat 1 UU PDP.

Kami memproses Data Pribadi untuk tujuan berikut: Data Akun Pengguna: 1. Mengoperasikan dan memelihara akun Pengguna 2. Mengautentikasi Pengguna saat login 3. Memproses pembayaran dan menerbitkan faktur 4. Mengirim email transaksional (verifikasi, reset password, laporan mingguan) 5. Memberikan dukungan teknis 6. Mencegah penyalahgunaan, fraud, dan pelanggaran keamanan 7. Mematuhi kewajiban hukum (laporan pajak, permintaan otoritas) 8. Mengirim notifikasi penting terkait Layanan (perubahan harga, downtime terencana) Data Analitik Website: 1. Memberikan laporan statistik kepada Pengguna 2. Menghitung kuota penggunaan untuk penagihan 3. Memelihara integritas sistem (deteksi spam, bot, DDoS)

Lokasi server: Semua data disimpan di server yang berlokasi di Republik Indonesia. Kami TIDAK mentransfer Data Pribadi ke luar wilayah Indonesia sebagaimana dimaksud Pasal 56 UU PDP. Apabila di masa depan kami perlu melakukan transfer data ke luar negeri, kami akan: - Memberitahu Pengguna terlebih dahulu - Memastikan tujuan transfer memiliki tingkat perlindungan data yang setara atau lebih tinggi - Meminta persetujuan eksplisit dari Pengguna jika diwajibkan Layanan pihak ketiga yang kami gunakan: - Cloudflare untuk CDN, DNS, dan perlindungan DDoS (traffic origin server tetap di Indonesia) - Tripay (PT Trijuara Agung) untuk pemrosesan pembayaran — data kartu kredit tidak pernah menyentuh server kami - Resend untuk pengiriman email transaksional — hanya alamat email dan isi email - Sentry untuk error tracking — tidak mengumpulkan Data Pribadi pengunjung website - MaxMind untuk database GeoIP — database di-download sekali dan disimpan lokal di server kami

Kami TIDAK menjual, menyewakan, menukar, atau membagikan Data Pribadi kepada pihak ketiga untuk tujuan pemasaran atau komersial lainnya. Data Pribadi hanya akan dibagikan dalam situasi terbatas berikut: 1. Penyedia layanan teknis (seperti tercantum di Pasal 7) yang membantu operasional kami — hanya data minimum yang diperlukan, di bawah perjanjian kerahasiaan (NDA) dan Data Processing Agreement (DPA) 2. Otoritas hukum ketika diwajibkan oleh hukum Republik Indonesia, putusan pengadilan, atau permintaan resmi dari lembaga penegak hukum yang sah 3. Pembeli atau penerus bisnis dalam hal terjadi merger, akuisisi, atau penjualan aset — dengan pemberitahuan sebelumnya kepada Pengguna dan hak untuk menolak dengan menghapus akun 4. Dengan persetujuan eksplisit dari Pengguna untuk keperluan spesifik yang diinformasikan sebelumnya

Kami mengimplementasikan langkah-langkah teknis dan organisasi sesuai standar industri untuk melindungi Data Pribadi: Keamanan teknis: - Enkripsi data dalam transit menggunakan TLS 1.2+ (HTTPS di semua endpoint) - Password di-hash menggunakan bcrypt dengan cost factor 12 - Koneksi database terenkripsi - API keys disimpan sebagai hash SHA-256, bukan plaintext - Autentikasi dua faktor (2FA) opsional dengan TOTP - Rate limiting pada endpoint sensitif untuk mencegah brute force - Monitoring keamanan real-time via Sentry dan fail2ban - Firewall UFW membatasi akses jaringan Keamanan organisasi: - Akses data dibatasi berdasarkan prinsip "need to know" - Audit trail untuk tindakan administratif - Backup data terenkripsi - Incident response plan untuk kebocoran data - Pelatihan keamanan untuk semua pegawai yang memiliki akses

Sesuai UU PDP, sebagai Subjek Data kamu memiliki hak berikut: 1. Hak untuk mendapatkan informasi tentang kejelasan identitas, dasar hukum, tujuan, dan akuntabilitas pemrosesan (Pasal 5) 2. Hak untuk melengkapi, memperbarui, dan memperbaiki Data Pribadi (Pasal 6) 3. Hak untuk mengakses dan mendapatkan salinan Data Pribadi (Pasal 7) 4. Hak untuk mengakhiri pemrosesan, menghapus, dan memusnahkan Data Pribadi (Pasal 8) 5. Hak untuk menarik kembali persetujuan pemrosesan Data Pribadi (Pasal 9) 6. Hak untuk mengajukan keberatan atas tindakan pengambilan keputusan yang hanya didasarkan pemrosesan otomatis (Pasal 10) 7. Hak untuk menunda atau membatasi pemrosesan Data Pribadi (Pasal 11) 8. Hak untuk menuntut dan menerima ganti rugi atas pelanggaran pemrosesan Data Pribadi (Pasal 12) 9. Hak untuk mendapatkan dan/atau menggunakan Data Pribadi dalam bentuk yang sesuai dengan struktur dan format yang lazim (hak portabilitas data, Pasal 13) Cara menggunakan hak-hak ini: - Akses, perbarui, perbaiki: Gunakan halaman Settings di dashboard kamu - Hapus akun + semua data: Gunakan tombol "Hapus Akun" di Settings → Bahaya - Ekspor data (portabilitas): Gunakan fitur Export di dashboard untuk mendapatkan data dalam format JSON/CSV - Tarik persetujuan: Hapus akun kamu - Permintaan khusus atau keluhan: Kirim email ke [email protected] Kami akan menanggapi permintaan dalam maksimal 3 × 24 jam untuk permintaan darurat dan maksimal 14 hari kerja untuk permintaan standar, sesuai mandat UU PDP.

Kami menyimpan Data Pribadi selama diperlukan untuk tujuan pemrosesan: Data Akun: - Selama akun aktif - Setelah penghapusan akun: 14 hari untuk kemungkinan pemulihan, kemudian dihapus secara permanen - Data transaksi pembayaran: 10 tahun sesuai kewajiban perpajakan Indonesia Data Analitik Website: Retensi tergantung pada paket berlangganan: - Paket Gratis: 3 bulan - Paket Starter: 12 bulan - Paket Bisnis: 24 bulan - Paket Pro: selamanya (selama akun aktif) Data yang melebihi periode retensi akan dihapus otomatis setiap hari melalui cron job. Data login history dan audit log: 12 bulan, kemudian dihapus untuk kepatuhan privasi.

Layanan kami tidak ditujukan untuk anak di bawah usia 17 tahun. Kami tidak mengumpulkan Data Pribadi secara sadar dari anak di bawah 17 tahun. Pemrosesan Data Pribadi anak hanya dilakukan dengan persetujuan orang tua atau wali sesuai Pasal 25 UU PDP. Jika kamu adalah orang tua/wali dan menemukan anak kamu telah memberikan Data Pribadi kepada kami, hubungi [email protected] dan kami akan menghapusnya dalam waktu 48 jam.

Dalam hal terjadi kegagalan pelindungan Data Pribadi (data breach), kami berkomitmen untuk: 1. Memberitahu Subjek Data secara tertulis dalam waktu paling lambat 3 × 24 jam sejak diketahui 2. Memberitahu Lembaga (instansi pemerintah yang menyelenggarakan pelindungan Data Pribadi) dalam jangka waktu yang sama 3. Memberikan informasi mengenai: - Data Pribadi yang terungkap - Kapan dan bagaimana kegagalan terjadi - Upaya penanganan dan pemulihan yang dilakukan Kami telah menetapkan Incident Response Plan internal untuk menangani kejadian semacam ini.

Sesuai Pasal 53 UU PDP, kami telah menunjuk Data Protection Officer (DPO) yang bertanggung jawab untuk: - Memastikan kepatuhan terhadap UU PDP - Menangani permintaan Subjek Data - Menjadi narahubung dengan Lembaga pelindungan Data Pribadi - Mengawasi implementasi kebijakan privasi Kontak DPO: - Email: [email protected] - Response time: 1 × 24 jam untuk permintaan urgent, 3 hari kerja untuk pertanyaan umum Kamu juga dapat mengajukan keluhan langsung kepada Lembaga pelindungan Data Pribadi yang berwenang di Indonesia.

Kami dapat memperbarui Kebijakan Privasi ini dari waktu ke waktu untuk mencerminkan perubahan dalam praktik kami, peraturan hukum, atau fitur Layanan. Jenis perubahan: - Perubahan material (contoh: tujuan pemrosesan baru, kategori data baru, transfer data ke luar negeri): kami akan memberitahu Pengguna melalui email minimal 30 hari sebelum perubahan berlaku, dan meminta persetujuan ulang jika diwajibkan - Perubahan non-material (contoh: klarifikasi bahasa, perbaikan typo): berlaku segera dengan update tanggal di halaman ini Riwayat perubahan tersedia di repository publik kami atau dapat diminta via email.

Pengendali Data: PrivacyTrack.id Indonesia Kontak umum: - Email: [email protected] - Website: https://privacytrack.id Kontak privasi / DPO: - Email: [email protected] Untuk keluhan terkait pelindungan data, kamu dapat menghubungi: - DPO kami di alamat di atas - Lembaga pelindungan Data Pribadi yang berwenang di Republik Indonesia --- *Kebijakan Privasi ini disusun dalam Bahasa Indonesia sebagai bahasa resmi. Apabila ada versi dalam bahasa lain, versi Bahasa Indonesia yang berlaku dalam hal terdapat perbedaan interpretasi.*