Kebijakan Privasi
Berlaku sejak: 9 Mei 2026 | Versi: 1.0
Kebijakan Privasi ini menjelaskan bagaimana kaliyan mengumpulkan, menggunakan, menyimpan, dan melindungi data pribadi Anda saat menggunakan layanan kami. Kebijakan ini disusun untuk mematuhi Undang-Undang Pelindungan Data Pribadi (UU PDP) No. 27 Tahun 2022 dan peraturan terkait di Indonesia.
1. Identitas Pengendali Data
Pengendali Data Pribadi dalam layanan ini adalah:
- Nama: Catalyst 100
- Alamat: Yogyakarta, Daerah Istimewa Yogyakarta, Indonesia
- Email kontak: privacy@kaliyan.id
- Petugas Pelindungan Data (DPO): dpo@kaliyan.id
2. Jenis Data yang Kami Kumpulkan
kaliyan mengumpulkan kategori data pribadi berikut:
2.1 Data Identitas Pengguna
- Nama lengkap
- Alamat email
- Nomor telepon (opsional)
2.2 Data Acara Pernikahan
- Tanggal pernikahan, lokasi venue
- Anggaran (budget) dan target tabungan
- Daftar tamu beserta kontak yang Anda input
- Daftar vendor beserta detail kontak dan pembayaran
2.3 Data Syarat Nikah (jika fitur diaktifkan)
- Nomor Induk Kependudukan (NIK)
- Nomor Kartu Keluarga
- Dokumen administrasi pernikahan lainnya
Data spesifik yang bersifat khusus (sensitif seperti NIK, KK) diproses berdasarkan Pasal 4 UU PDP dengan persetujuan eksplisit Anda dan disimpan dengan enkripsi tambahan.
3. Tujuan dan Dasar Hukum Pemrosesan
Kami memproses data pribadi Anda untuk tujuan berikut:
- Penyediaan layanan (Pasal 20 ayat 2 huruf b UU PDP - perjanjian): mengelola fitur checklist, budget planner, vendor list, daftar tamu
- Komunikasi dengan Anda (Pasal 20 ayat 2 huruf b - perjanjian): mengirim notifikasi terkait akun, reminder, dan informasi layanan
- Pemrosesan pembayaran (Pasal 20 ayat 2 huruf b - perjanjian): memproses langganan via Mayar
- Peningkatan layanan (Pasal 20 ayat 2 huruf f - kepentingan sah): analisis penggunaan agregat untuk perbaikan produk
- Kepatuhan hukum (Pasal 20 ayat 2 huruf c UU PDP): memenuhi kewajiban hukum yang berlaku
4. Pihak Ketiga Penerima Data
Kami menggunakan layanan pihak ketiga berikut yang bertindak sebagaiProsesor Data atas instruksi kami:
- Supabase (database & autentikasi) — server di Tokyo, Jepang
- Vercel (hosting aplikasi) — server di Amerika Serikat
- Mayar (gerbang pembayaran) — server di Indonesia
- Resend (pengiriman email) — server di Amerika Serikat
- Google AI (Gemini) (pembuatan catatan ringkasan di dashboard) — server di Amerika Serikat. Data yang dikirim: statistik agregat persiapan pernikahan (jumlah tamu, persentase budget, status checklist). Tidak termasuk nama, NIK, atau data identitas pribadi.
Kami tidak menjual atau menyewakan data Anda kepada pihak ketiga untuk tujuan pemasaran mereka.
5. Transfer Data Lintas Negara
Sebagian data Anda diproses di luar wilayah Indonesia (Jepang dan Amerika Serikat) oleh prosesor data kami. Transfer ini dilakukan dengan tingkat pelindungan yang setara dengan ketentuan UU PDP, sesuai Pasal 56 UU PDP, melalui:
- Data Processing Agreement (DPA) dengan setiap prosesor
- Enkripsi end-to-end untuk data dalam perjalanan dan saat tersimpan
- Pemilihan vendor yang terikat regulasi pelindungan data internasional (GDPR, CCPA)
6. Periode Penyimpanan Data
- Data akun aktif: selama akun Anda aktif
- Data akun dihapus: dihapus dalam 30 hari sejak permintaan penghapusan
- Log transaksi pembayaran: disimpan 5 tahun untuk kepatuhan akuntansi sesuai UU Perpajakan
- Backup database: dipertahankan maksimal 30 hari setelah penghapusan akun
7. Hak-Hak Anda Sebagai Subjek Data
Sesuai Pasal 5–11 UU PDP, Anda berhak untuk:
- Mengakses data pribadi Anda yang kami simpan
- Memperbaiki data yang tidak akurat
- Menghapus data Anda (right to be forgotten)
- Membatasi pemrosesan data tertentu
- Memindahkan data Anda ke layanan lain (data portability)
- Mencabut persetujuan kapan saja
- Mengajukan keberatan atas pemrosesan tertentu
- Mengajukan keluhan kepada Lembaga Pelindungan Data Pribadi
Untuk menggunakan hak ini, kirim permintaan ke email kontak yang tertera di bagian 1. Kami akan merespons dalam maksimal 3x24 jam kerja sesuai Pasal 5 ayat 1 UU PDP.
8. Keamanan Data
Kami menerapkan langkah teknis dan organisasional untuk melindungi data:
- Enkripsi TLS 1.3 untuk semua koneksi
- Enkripsi data saat tersimpan (encryption at rest)
- Row-Level Security (RLS) di database untuk isolasi data antar pengguna
- Akses internal terbatas dengan prinsip least-privilege
- Audit log untuk akses data sensitif
- Backup terenkripsi dengan rotasi kunci berkala
9. Notifikasi Pelanggaran Data
Sesuai Pasal 46 UU PDP, jika terjadi pelanggaran data pribadi yang berisiko tinggi terhadap Anda, kami akan memberitahu Anda dan Lembaga Pelindungan Data Pribadi dalam maksimal 3x24 jam sejak kami mengetahui pelanggaran tersebut, dengan informasi mengenai kategori data, dampak potensial, dan langkah mitigasi.
10. Cookie dan Teknologi Serupa
kaliyan menggunakan cookie esensial untuk fungsi autentikasi dan preferensi UI. Kami tidak menggunakan cookie pelacakan pihak ketiga untuk iklan.
11. Anak di Bawah Umur
Layanan kami ditujukan untuk pengguna berusia 18 tahun ke atas. Kami tidak secara sengaja mengumpulkan data pribadi dari anak di bawah umur. Jika Anda mengetahui anak Anda telah memberikan data kepada kami, hubungi kami untuk penghapusan.
12. Perubahan Kebijakan
Kami dapat memperbarui Kebijakan Privasi ini. Perubahan material akan diberitahukan kepada Anda melalui email atau notifikasi dalam aplikasi minimal 14 hari sebelum berlaku.
13. Kontak
Untuk pertanyaan, permintaan hak subjek data, atau keluhan terkait pelindungan data pribadi, hubungi:
- Email: dpo@kaliyan.id
- Subjek email: "[DPO] Permintaan Pelindungan Data"
Anda juga berhak mengajukan keluhan langsung kepada Lembaga Pelindungan Data Pribadi Republik Indonesia.
Dokumen ini disusun berdasarkan UU PDP No. 27 Tahun 2022, UU ITE No. 11 Tahun 2008 jo. UU No. 19 Tahun 2016, dan PP No. 71 Tahun 2019. Direkomendasikan untuk direview oleh penasehat hukum sebelum publikasi final.