Kebijakan Privasi

1. Pengantar

Kebijakan Privasi ini menjelaskan bagaimana PT Tuca Teknologi Indonesia (selanjutnya disebut “Duevent”, “Kami”, atau “Perusahaan”) mengumpulkan, menggunakan, menyimpan, mengungkapkan, dan melindungi data pribadi pengguna layanan platform Duevent (“Layanan”). Kebijakan ini disusun berdasarkan Undang-Undang Republik Indonesia Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (“UU PDP”) dan peraturan pelaksanaannya.

Dengan menggunakan Layanan Duevent, Pengguna dianggap telah membaca, memahami, dan memberikan persetujuan terhadap praktik pemrosesan data pribadi sebagaimana diuraikan dalam dokumen ini.

2. Pengendali Data Pribadi

Pengendali Data Pribadi atas Layanan Duevent adalah:

Nama Badan Hukum: PT Tuca Teknologi Indonesia
NPWP: 10.000.000.0-935.5127
Alamat Terdaftar: Surabaya, Jawa Timur, Indonesia
Petugas Perlindungan Data (Data Protection Officer): halotuca@gmail.com
Kontak Umum: halotuca@gmail.com

3. Data Pribadi yang Dikumpulkan

Duevent mengumpulkan kategori data pribadi sebagai berikut, sesuai keperluan penyediaan Layanan:

3.1. Data Identitas

Nama lengkap, alamat email, kata sandi (disimpan dalam bentuk hash bcrypt).
Nomor telepon (opsional, untuk notifikasi WhatsApp).
Foto profil dan informasi akun OAuth (Google) bila Pengguna memilih opsi tersebut.

3.2. Data Aktivitas dan Konten

Konten event yang dibuat: nama acara, tanggal, lokasi, daftar tamu, foto, video, dan elemen template lainnya.
Daftar tamu (Tamu Pengguna) yang diinput oleh Pengguna, termasuk nama, kontak, dan preferensi RSVP.
Log aktivitas teknis: alamat IP, jenis perangkat, sistem operasi, browser, dan riwayat akses Layanan untuk keperluan audit dan keamanan.

3.3. Data Pembayaran

Transaksi pembayaran berlangganan diproses melalui Duitku (PT Kharisma Catur Mandala, sub-processor). Duevent tidak menyimpan nomor kartu kredit atau kredensial pembayaran. Kami hanya menerima referensi transaksi dan status pembayaran dari Duitku.

4. Tujuan Pengumpulan dan Pemrosesan

Data pribadi diproses untuk tujuan berikut:

Penyediaan, pemeliharaan, dan peningkatan kualitas Layanan.
Autentikasi Pengguna dan manajemen sesi.
Komunikasi transaksional (verifikasi email, notifikasi billing, notifikasi event).
Pencegahan penipuan, penyalahgunaan Layanan, dan keamanan sistem.
Audit kepatuhan internal dan pemenuhan kewajiban hukum.
Analisis agregat dan anonim untuk pengembangan produk.

5. Dasar Hukum Pemrosesan

Pemrosesan data pribadi oleh Duevent dilakukan berdasarkan salah satu dasar hukum berikut, sesuai Pasal 20 UU PDP:

Persetujuan Pengguna saat pendaftaran akun dan persetujuan eksplisit untuk kategori data sensitif.
Pelaksanaan kontrak yaitu Syarat dan Ketentuan Layanan yang disepakati Pengguna.
Kewajiban hukum Pengendali Data Pribadi, termasuk kewajiban perpajakan dan permintaan otoritas yang berwenang.
Kepentingan sah Duevent untuk keamanan sistem, pencegahan penipuan, dan pengembangan produk, sepanjang tidak melanggar hak dasar Pengguna.

6. Periode Retensi Data

Duevent menyimpan data pribadi sesuai periode retensi berikut:

Data akun: selama akun aktif. Setelah Pengguna mengajukan penghapusan akun, data akan dihapus dalam waktu 90 hari kalender.
Data event: 1 (satu) tahun sejak tanggal event terakhir, kecuali Pengguna secara eksplisit meminta penghapusan lebih awal.
Log audit: 12 (dua belas) bulan, untuk keperluan investigasi keamanan dan kepatuhan.
Catatan perpajakan dan pembayaran: 5 (lima) tahun, sesuai kewajiban perpajakan Republik Indonesia.
Backup sistem: 7 (tujuh) hari rolling backup, setelah itu dihapus secara otomatis.

7. Pembagian Data dengan Sub-processor

Duevent menggunakan pihak ketiga (sub-processor) untuk mendukung operasional Layanan. Daftar sub-processor mencakup namun tidak terbatas pada:

Duitku (PT Kharisma Catur Mandala): pemrosesan pembayaran berlangganan.
Google Cloud / Workspace: autentikasi OAuth dan layanan email.
Sentry: pemantauan error dan kinerja aplikasi.
Biznet Gio: hosting infrastruktur dan penyimpanan objek.

Daftar lengkap dan tujuan masing-masing sub-processor dapat dilihat pada halaman daftar sub-processor (akan dipublikasikan terpisah).

8. Hak Pemilik Data Pribadi

Sesuai Pasal 5 sampai dengan Pasal 15 UU PDP, Pengguna sebagai Subjek Data Pribadi memiliki hak sebagai berikut:

Hak untuk mendapatkan informasi yang jelas mengenai pemrosesan data.
Hak untuk mengakses dan memperoleh salinan data pribadi.
Hak untuk melakukan koreksi atau pembaruan data pribadi yang tidak akurat.
Hak untuk mengakhiri pemrosesan, menghapus, atau memusnahkan data pribadi.
Hak untuk menarik kembali persetujuan pemrosesan.
Hak untuk mengajukan keberatan atas tindakan pengambilan keputusan otomatis.
Hak untuk menunda atau membatasi pemrosesan data pribadi.
Hak untuk menuntut dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi.
Hak atas portabilitas data dalam format yang lazim digunakan dan dapat dibaca mesin.

Permintaan pelaksanaan hak dapat diajukan melalui halotuca@gmail.com. Duevent berkomitmen menanggapi permintaan dalam waktu paling lambat 3 (tiga) hari kerja sejak permintaan diterima dan diverifikasi.

9. Keamanan Data

Duevent menerapkan langkah teknis dan organisasional untuk melindungi data pribadi, termasuk namun tidak terbatas pada:

Enkripsi lalu lintas data menggunakan TLS 1.3.
Enkripsi data backup menggunakan AES-256.
Penyimpanan kata sandi menggunakan algoritma bcrypt dengan cost factor 12.
Rotasi token JWT (akses 15 menit, refresh 7 hari dengan hashing SHA-256).
Audit log komprehensif untuk semua aktivitas administratif.
Redaction otomatis pada logger untuk parameter sensitif (token, password, kunci API).
Pemisahan hak akses berbasis peran (RBAC) dengan 55 izin pada 15 modul.

11. Transfer Data Lintas Negara

Beberapa sub-processor Duevent (antara lain Sentry dan Google Cloud) memiliki infrastruktur di luar wilayah Republik Indonesia. Transfer data pribadi ke luar negeri dilakukan dengan mekanisme perlindungan setara, antara lain melalui Standard Contractual Clauses (SCC) atau kebijakan privasi setara dari penyedia layanan. Transfer hanya dilakukan sepanjang diperlukan untuk operasional Layanan.

12. Data Anak-Anak

Layanan Duevent tidak ditujukan untuk pengguna berusia di bawah 17 tahun. Duevent tidak secara sengaja mengumpulkan data pribadi anak-anak. Apabila orang tua atau wali sah mengetahui bahwa anak di bawah usia 17 tahun telah memberikan data pribadi kepada Duevent, mohon menghubungi halotuca@gmail.com untuk penghapusan segera.

13. Perubahan Kebijakan

Duevent berhak melakukan perubahan terhadap Kebijakan Privasi ini dari waktu ke waktu. Perubahan material akan diberitahukan kepada Pengguna melalui email yang terdaftar dan/atau pemberitahuan dalam aplikasi paling lambat 30 (tiga puluh) hari kalender sebelum perubahan berlaku efektif. Pengguna yang tetap menggunakan Layanan setelah tanggal efektif dianggap menyetujui perubahan tersebut.

14. Kontak dan Pengaduan

Pertanyaan, permintaan pelaksanaan hak pemilik data, atau pengaduan terkait pemrosesan data pribadi dapat disampaikan melalui:

Email DPO: halotuca@gmail.com
Email Umum: halotuca@gmail.com

Apabila Pengguna merasa pengaduan tidak ditanggapi secara memadai, Pengguna berhak menyampaikan pengaduan kepada Kementerian Komunikasi dan Digital Republik Indonesia atau lembaga pengawas perlindungan data pribadi yang berwenang.

1. Pengantar

Dengan menggunakan Layanan Duevent, Pengguna dianggap telah membaca, memahami, dan memberikan persetujuan terhadap praktik pemrosesan data pribadi sebagaimana diuraikan dalam dokumen ini.

2. Pengendali Data Pribadi

Pengendali Data Pribadi atas Layanan Duevent adalah:

Nama Badan Hukum: PT Tuca Teknologi Indonesia
NPWP: 10.000.000.0-935.5127
Alamat Terdaftar: Surabaya, Jawa Timur, Indonesia
Petugas Perlindungan Data (Data Protection Officer): halotuca@gmail.com
Kontak Umum: halotuca@gmail.com

3. Data Pribadi yang Dikumpulkan

Duevent mengumpulkan kategori data pribadi sebagai berikut, sesuai keperluan penyediaan Layanan:

3.1. Data Identitas

Nama lengkap, alamat email, kata sandi (disimpan dalam bentuk hash bcrypt).
Nomor telepon (opsional, untuk notifikasi WhatsApp).
Foto profil dan informasi akun OAuth (Google) bila Pengguna memilih opsi tersebut.

3.2. Data Aktivitas dan Konten

Konten event yang dibuat: nama acara, tanggal, lokasi, daftar tamu, foto, video, dan elemen template lainnya.
Daftar tamu (Tamu Pengguna) yang diinput oleh Pengguna, termasuk nama, kontak, dan preferensi RSVP.
Log aktivitas teknis: alamat IP, jenis perangkat, sistem operasi, browser, dan riwayat akses Layanan untuk keperluan audit dan keamanan.

3.3. Data Pembayaran

4. Tujuan Pengumpulan dan Pemrosesan

Data pribadi diproses untuk tujuan berikut:

Penyediaan, pemeliharaan, dan peningkatan kualitas Layanan.
Autentikasi Pengguna dan manajemen sesi.
Komunikasi transaksional (verifikasi email, notifikasi billing, notifikasi event).
Pencegahan penipuan, penyalahgunaan Layanan, dan keamanan sistem.
Audit kepatuhan internal dan pemenuhan kewajiban hukum.
Analisis agregat dan anonim untuk pengembangan produk.

5. Dasar Hukum Pemrosesan

Pemrosesan data pribadi oleh Duevent dilakukan berdasarkan salah satu dasar hukum berikut, sesuai Pasal 20 UU PDP:

Persetujuan Pengguna saat pendaftaran akun dan persetujuan eksplisit untuk kategori data sensitif.
Pelaksanaan kontrak yaitu Syarat dan Ketentuan Layanan yang disepakati Pengguna.
Kewajiban hukum Pengendali Data Pribadi, termasuk kewajiban perpajakan dan permintaan otoritas yang berwenang.
Kepentingan sah Duevent untuk keamanan sistem, pencegahan penipuan, dan pengembangan produk, sepanjang tidak melanggar hak dasar Pengguna.

6. Periode Retensi Data

Duevent menyimpan data pribadi sesuai periode retensi berikut:

Data akun: selama akun aktif. Setelah Pengguna mengajukan penghapusan akun, data akan dihapus dalam waktu 90 hari kalender.
Data event: 1 (satu) tahun sejak tanggal event terakhir, kecuali Pengguna secara eksplisit meminta penghapusan lebih awal.
Log audit: 12 (dua belas) bulan, untuk keperluan investigasi keamanan dan kepatuhan.
Catatan perpajakan dan pembayaran: 5 (lima) tahun, sesuai kewajiban perpajakan Republik Indonesia.
Backup sistem: 7 (tujuh) hari rolling backup, setelah itu dihapus secara otomatis.

7. Pembagian Data dengan Sub-processor

Duevent menggunakan pihak ketiga (sub-processor) untuk mendukung operasional Layanan. Daftar sub-processor mencakup namun tidak terbatas pada:

Duitku (PT Kharisma Catur Mandala): pemrosesan pembayaran berlangganan.
Google Cloud / Workspace: autentikasi OAuth dan layanan email.
Sentry: pemantauan error dan kinerja aplikasi.
Biznet Gio: hosting infrastruktur dan penyimpanan objek.

Daftar lengkap dan tujuan masing-masing sub-processor dapat dilihat pada halaman daftar sub-processor (akan dipublikasikan terpisah).

8. Hak Pemilik Data Pribadi

Sesuai Pasal 5 sampai dengan Pasal 15 UU PDP, Pengguna sebagai Subjek Data Pribadi memiliki hak sebagai berikut:

Hak untuk mendapatkan informasi yang jelas mengenai pemrosesan data.
Hak untuk mengakses dan memperoleh salinan data pribadi.
Hak untuk melakukan koreksi atau pembaruan data pribadi yang tidak akurat.
Hak untuk mengakhiri pemrosesan, menghapus, atau memusnahkan data pribadi.
Hak untuk menarik kembali persetujuan pemrosesan.
Hak untuk mengajukan keberatan atas tindakan pengambilan keputusan otomatis.
Hak untuk menunda atau membatasi pemrosesan data pribadi.
Hak untuk menuntut dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi.
Hak atas portabilitas data dalam format yang lazim digunakan dan dapat dibaca mesin.

9. Keamanan Data

Duevent menerapkan langkah teknis dan organisasional untuk melindungi data pribadi, termasuk namun tidak terbatas pada:

Enkripsi lalu lintas data menggunakan TLS 1.3.
Enkripsi data backup menggunakan AES-256.
Penyimpanan kata sandi menggunakan algoritma bcrypt dengan cost factor 12.
Rotasi token JWT (akses 15 menit, refresh 7 hari dengan hashing SHA-256).
Audit log komprehensif untuk semua aktivitas administratif.
Redaction otomatis pada logger untuk parameter sensitif (token, password, kunci API).
Pemisahan hak akses berbasis peran (RBAC) dengan 55 izin pada 15 modul.

11. Transfer Data Lintas Negara

12. Data Anak-Anak

13. Perubahan Kebijakan

14. Kontak dan Pengaduan

Pertanyaan, permintaan pelaksanaan hak pemilik data, atau pengaduan terkait pemrosesan data pribadi dapat disampaikan melalui:

Email DPO: halotuca@gmail.com
Email Umum: halotuca@gmail.com

Kebijakan Privasi

1. Pengantar

2. Pengendali Data Pribadi

3. Data Pribadi yang Dikumpulkan

3.1. Data Identitas

3.2. Data Aktivitas dan Konten

3.3. Data Pembayaran

4. Tujuan Pengumpulan dan Pemrosesan

5. Dasar Hukum Pemrosesan

6. Periode Retensi Data

7. Pembagian Data dengan Sub-processor

8. Hak Pemilik Data Pribadi

9. Keamanan Data

10. Cookie dan Teknologi Pelacakan

11. Transfer Data Lintas Negara

12. Data Anak-Anak

13. Perubahan Kebijakan

14. Kontak dan Pengaduan

Kebijakan Privasi

1. Pengantar

2. Pengendali Data Pribadi

3. Data Pribadi yang Dikumpulkan

3.1. Data Identitas

3.2. Data Aktivitas dan Konten

3.3. Data Pembayaran

4. Tujuan Pengumpulan dan Pemrosesan

5. Dasar Hukum Pemrosesan

6. Periode Retensi Data

7. Pembagian Data dengan Sub-processor

8. Hak Pemilik Data Pribadi

9. Keamanan Data

10. Cookie dan Teknologi Pelacakan

11. Transfer Data Lintas Negara

12. Data Anak-Anak

13. Perubahan Kebijakan

14. Kontak dan Pengaduan