Finding Retreats — Kebijakan Privasi
Terakhir diperbarui: 20 Mei 2026 Berlaku: 20 Mei 2026 Versi dokumen: 1.0
1. Tentang Kebijakan Privasi ini
1.1 Tentang kami
Kebijakan Privasi ini menjelaskan bagaimana Finding Retreats — dioperasikan oleh PT Next Step Projects ("Finding Retreats", "kami"), suatu perseroan terbatas yang didirikan berdasarkan hukum Republik Indonesia, dengan kantor terdaftar di Bajar Sala, Jalan Buung Said Pura Dalem, Ubud, Pejeng Kawan, Tampaksiring, Kabupaten Gianyar, Bali 80571, terdaftar dengan NIB 1006220038831 dan NPWP 065.745.459.1-905.000 — mengumpulkan, menggunakan, membagikan, dan melindungi data pribadi Anda ketika Anda menggunakan findingretreats.com, subdomain terkait, aplikasi seluler kami, dan komunikasi email yang dikirim dari domain kami (secara kolektif, "Platform").
Kebijakan Privasi ini berlaku baik Anda sebagai Tamu, Host, maupun pengunjung yang menjelajahi Platform.
1.2 Peran kami berdasarkan hukum perlindungan data
Untuk data pribadi yang kami proses, Finding Retreats bertindak sebagai Pengendali Data Pribadi. Hal ini berarti kami menentukan tujuan dan cara pemrosesan data pribadi Anda.
Dalam beberapa kasus, kami membagikan data dengan Host yang kemudian memproses data tersebut untuk tujuan mereka sendiri (misalnya, menyelenggarakan Retreat yang Anda pesan). Ketika Host memproses data Anda untuk tujuan mereka sendiri, mereka bertindak sebagai Pengendali Data Pribadi independen dan bertanggung jawab atas penanganan data Anda berdasarkan kebijakan privasi mereka sendiri.
1.3 Kerangka hukum
Kami mematuhi hukum perlindungan data yang berlaku, termasuk:
Indonesia — Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi ("UU PDP"), Peraturan Pemerintah Nomor 71 Tahun 2019, dan Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016.
Kawasan Ekonomi Eropa, Inggris, dan Swiss — General Data Protection Regulation (Regulation (EU) 2016/679) ("GDPR") dan hukum nasional yang setara.
Australia — Privacy Act 1988 (Cth) dan Australian Privacy Principles.
Yurisdiksi lainnya — hukum yang berlaku di tempat Anda berdomisili.
1.4 Komitmen bahasa yang sederhana
Kebijakan privasi sering ditulis untuk pengacara. Kami berupaya menulis Kebijakan Privasi ini agar dapat dipahami. Bila kami menggunakan istilah teknis, kami mendefinisikannya pada saat pertama kali istilah tersebut muncul. Jika ada hal yang tidak jelas, silakan hubungi kami di [email protected].
2. Ringkasan Singkat
Jika Anda hanya memiliki waktu untuk satu paragraf, bacalah ini:
Kami mengumpulkan data pribadi yang Anda berikan kepada kami (seperti nama dan email Anda ketika mendaftar atau memesan), data yang kami kumpulkan secara otomatis ketika Anda menggunakan Platform (seperti alamat IP dan informasi perangkat), dan data yang kami terima dari pihak ketiga (seperti konfirmasi pembayaran dari Stripe). Kami menggunakan data ini untuk menyediakan dan meningkatkan Platform, memproses Pemesanan, berkomunikasi dengan Anda, mematuhi hukum, dan menjaga keamanan Platform. Kami membagikan data dengan Host tempat Anda melakukan pemesanan, dengan penyedia layanan yang membantu kami menjalankan Platform (seperti Stripe, Supabase, Resend, Vercel, dan lainnya), dan ketika diwajibkan oleh hukum. Sebagian besar penyedia layanan ini berada di luar Indonesia, sehingga data Anda ditransfer secara internasional. Anda memiliki hak untuk mengakses, mengoreksi, menghapus, dan membatasi penggunaan data Anda — lihat Bagian 9. Untuk menggunakan hak Anda atau mengajukan pertanyaan apa pun tentang privasi Anda, kirim email ke [email protected].
Bagian selanjutnya dari dokumen ini adalah perinciannya.
3. Data Pribadi yang Kami Kumpulkan
Kami mengumpulkan data pribadi melalui tiga cara: data yang Anda berikan secara langsung, data yang kami kumpulkan secara otomatis, dan data yang kami terima dari pihak ketiga.
3.1 Data yang Anda berikan secara langsung
Ketika Anda membuat akun (Tamu atau Host), kami mengumpulkan:
Nama Anda (depan dan belakang);
Alamat email Anda;
Kata sandi (disimpan sebagai hash satu arah; kami tidak pernah melihat kata sandi Anda dalam bentuk teks biasa);
Nomor telepon Anda (jika Anda memilih untuk memberikannya);
Negara dan (jika diperlukan) kota tempat tinggal Anda;
Foto profil Anda (jika Anda memilih untuk mengunggahnya);
Preferensi komunikasi dan bahasa Anda.
Ketika Anda melakukan Pemesanan sebagai Tamu, kami juga mengumpulkan:
Nama semua anggota kelompok Anda yang akan hadir (jika diperlukan oleh Host);
Tanggal perjalanan dan preferensi akomodasi;
Persyaratan diet, alergi, dan permintaan khusus lainnya yang Anda pilih untuk dibagikan;
Informasi kesehatan, medis, kesehatan mental, kehamilan, atau aksesibilitas hanya jika Anda memilih untuk membagikannya dengan Host melalui Platform — ini adalah data pribadi spesifik (sensitif) dan kami menanganinya dengan kehati-hatian tambahan (lihat Bagian 3.4);
Detail kontak darurat, jika diminta;
Alamat penagihan Anda.
Ketika Anda mendaftar sebagai Host, kami juga mengumpulkan:
Nama usaha, nama badan hukum, alamat terdaftar, dan nomor pendaftaran usaha Anda;
Nomor pokok wajib pajak Anda (seperti NPWP di Indonesia);
Detail rekening bank Anda, informasi routing, dan detail akun Stripe Connect (lihat Bagian 3.5);
Dokumen verifikasi identitas (seperti KTP, paspor, izin usaha, atau yang setara);
Informasi tentang lokasi, program, instruktur, dan personel Anda;
Sertifikat asuransi dan kredensial profesional.
Ketika Anda menghubungi kami atau menggunakan layanan pesan di Platform, kami mengumpulkan:
Isi pesan Anda dengan kami, dengan Host, dan dengan pengguna lain;
File, foto, atau dokumen yang Anda lampirkan;
Umpan balik, ulasan, dan penilaian yang Anda kirimkan.
Ketika Anda berpartisipasi dalam promosi, survei, atau program referral, kami mengumpulkan:
Informasi yang Anda berikan sebagai bagian dari kegiatan tersebut;
Detail kontak orang yang Anda rujuk (dengan pernyataan Anda bahwa Anda memiliki izin untuk membagikannya).
3.2 Data yang kami kumpulkan secara otomatis
Ketika Anda menggunakan Platform, kami secara otomatis mengumpulkan:
Data perangkat — jenis perangkat, sistem operasi, jenis dan versi peramban, ukuran layar, pengaturan bahasa, dan pengidentifikasi unik perangkat atau iklan.
Data log — alamat IP, waktu akses, halaman yang dilihat, URL referensi dan URL keluar, data clickstream, dan laporan crash.
Data lokasi — perkiraan lokasi yang berasal dari alamat IP Anda. Kami tidak mengumpulkan lokasi GPS yang presisi kecuali Anda secara eksplisit mengaktifkannya pada perangkat seluler.
Cookies dan teknologi serupa — lihat Bagian 7 untuk perincian.
Data perilaku — bagaimana Anda menavigasi Platform, Listing mana yang Anda lihat, pencarian Anda, item yang Anda simpan, dan interaksi Anda dengan email yang kami kirim.
3.3 Data yang kami terima dari pihak ketiga
Kami menerima data pribadi tentang Anda dari:
Pemroses pembayaran — Stripe (dan jika berlaku, penyedia pembayaran lainnya) mengkonfirmasi hasil pembayaran dan membagikan detail transaksi terbatas dengan kami. Kami tidak menyimpan nomor lengkap kartu pembayaran atau CVV Anda — Stripe yang menyimpannya.
Penyedia verifikasi identitas — ketika kami menggunakan pihak ketiga untuk memverifikasi identitas Host, pendaftaran usaha, atau izin.
Penyedia login — jika Anda masuk menggunakan Google, Apple, Facebook, atau layanan login pihak ketiga lainnya ("SSO" — Single Sign-On), kami menerima informasi yang telah Anda izinkan untuk dibagikan oleh layanan tersebut, biasanya nama, email, dan foto profil Anda.
Host — Host dapat membagikan informasi tentang Pemesanan Anda, perilaku Anda selama Retreat, atau hal-hal relevan lainnya jika diperlukan untuk menyelenggarakan Pemesanan atau untuk menyelesaikan sengketa.
Pengguna lain — Tamu atau Host lain dapat menyertakan Anda dalam pesan, pemesanan kelompok, atau ulasan.
Sumber yang tersedia untuk umum — untuk Listing scrape-and-claim yang dijelaskan dalam Syarat dan Ketentuan kami, kami mengumpulkan informasi usaha yang tersedia untuk umum dari situs web Host, direktori usaha, dan media sosial. Listing yang Belum Diklaim dapat diubah atau dihapus berdasarkan permintaan (lihat Bagian 9).
Mitra pemasaran dan penyedia analitik — lihat Bagian 7.
3.4 Data pribadi sensitif (spesifik)
Kami memperlakukan hal-hal berikut sebagai data pribadi sensitif:
Informasi kesehatan, termasuk alergi, pembatasan diet, kondisi medis, informasi kesehatan mental, kehamilan, dan kebutuhan aksesibilitas;
Keyakinan agama atau filosofis (yang mungkin tersirat dari partisipasi Anda dalam Retreat tertentu);
Orientasi seksual atau identitas gender (yang mungkin tersirat dari partisipasi Anda dalam Retreat yang spesifik untuk identitas tertentu);
Data biometrik (jika digunakan untuk verifikasi identitas);
Nomor identifikasi yang diterbitkan pemerintah.
Berdasarkan UU PDP Pasal 4 ayat (2), jenis data ini disebut "Data Pribadi Spesifik" dan memerlukan perlindungan yang lebih kuat. Berdasarkan GDPR Pasal 9, ini adalah data "kategori khusus". Kami memproses jenis data ini hanya:
Dengan persetujuan eksplisit Anda; atau
Jika sangat diperlukan untuk menyediakan layanan yang Anda minta (misalnya, membagikan persyaratan diet dengan Host); atau
Jika diwajibkan secara hukum.
Anda tidak pernah diwajibkan untuk membagikan data pribadi sensitif kepada kami. Jika Anda memilih untuk tidak melakukannya, beberapa Host mungkin tidak dapat memberikan layanan tertentu dengan aman.
3.5 Data pembayaran
Ketika Anda melakukan pembayaran, nomor lengkap kartu, CVV, dan data keuangan sensitif sejenis Anda dimasukkan ke dalam formulir yang dihosting oleh Stripe, pemroses pembayaran kami. Finding Retreats tidak pernah melihat dan tidak pernah menyimpan data ini. Stripe menanganinya sebagai penyedia layanan PCI-DSS Level 1, berdasarkan kebijakan privasi mereka sendiri.
Kami menerima dan menyimpan:
Fakta bahwa pembayaran telah dicoba, berhasil, atau gagal;
Jumlah, mata uang, dan waktu pembayaran;
Empat digit terakhir kartu yang digunakan (untuk referensi Anda);
Negara penerbit kartu;
Nomor referensi transaksi Stripe.
3.6 Data tentang anak-anak
Platform ini tidak ditujukan untuk anak-anak di bawah usia 18 tahun. Kami tidak dengan sengaja mengumpulkan data pribadi dari anak-anak. Jika seorang Tamu membawa anak sebagai bagian dari Pemesanan kelompok, orang dewasa yang memesan bertanggung jawab untuk memberikan informasi yang relevan tentang anak tersebut dan memastikan bahwa mereka memiliki hak hukum untuk melakukannya. Jika Anda yakin kami telah mengumpulkan data tentang seorang anak secara keliru, silakan hubungi kami di [email protected].
4. Bagaimana Kami Menggunakan Data Pribadi Anda
Kami menggunakan data pribadi Anda hanya untuk tujuan yang dijelaskan di bawah ini. UU PDP dan GDPR sama-sama mensyaratkan kami memiliki dasar hukum untuk setiap penggunaan. Kami telah menetapkan tujuan kami dan dasar hukum yang sesuai di bawah ini.
4.1 Untuk menyediakan Platform dan memproses Pemesanan
Ini mencakup:
Membuat dan mengelola akun Anda;
Menampilkan Listing dan hasil pencarian kepada Anda;
Memproses pertanyaan, Pemesanan, pembayaran, pengembalian dana, dan ulasan Anda;
Mengomunikasikan konfirmasi, pengingat, dan pembaruan Pemesanan;
Memfasilitasi pesan antara Anda dan pengguna lain;
Memberikan dukungan pelanggan.
Dasar hukum: UU PDP: pelaksanaan kontrak (Pasal 20 ayat (2)(b)); kepentingan yang sah (Pasal 20 ayat (2)(f)). GDPR: pelaksanaan kontrak (Pasal 6(1)(b)); kepentingan yang sah (Pasal 6(1)(f)). Australian Privacy Principles: tujuan utama pengumpulan (APP 6).
4.2 Untuk menjaga Platform tetap aman dan terpercaya
Ini mencakup:
Memverifikasi identitas Anda dan identitas Host;
Mendeteksi dan mencegah penipuan, pencucian uang, pelecehan, penyalahgunaan, kegiatan ilegal, dan pelanggaran Syarat kami;
Menyelidiki aktivitas mencurigakan;
Menjaga integritas moderasi konten dan ulasan;
Mengamankan Platform terhadap akses tidak sah, malware, dan ancaman lainnya.
Dasar hukum: UU PDP: kepentingan yang sah (Pasal 20 ayat (2)(f)); kewajiban hukum (Pasal 20 ayat (2)(c)). GDPR: kepentingan yang sah (Pasal 6(1)(f)); kewajiban hukum (Pasal 6(1)(c)).
4.3 Untuk mematuhi hukum
Ini mencakup:
Kepatuhan pajak dan akuntansi, termasuk penerbitan faktur dan catatan pajak;
Menanggapi permintaan sah dari pengadilan, regulator, dan penegak hukum;
Pemeriksaan anti-pencucian uang dan pemberantasan pendanaan terorisme;
Pencatatan yang diwajibkan oleh hukum perdagangan elektronik, keuangan, dan perlindungan konsumen Indonesia.
Dasar hukum: UU PDP: kewajiban hukum (Pasal 20 ayat (2)(c)). GDPR: kewajiban hukum (Pasal 6(1)(c)).
4.4 Untuk meningkatkan Platform
Ini mencakup:
Memahami bagaimana Platform digunakan;
Mendiagnosis masalah teknis;
Meneliti dan mengembangkan fitur baru;
Menguji perubahan dan peningkatan (pengujian A/B);
Menghasilkan statistik agregat dan anonim untuk penggunaan internal dan, dalam beberapa kasus, untuk pelaporan eksternal (selalu dalam bentuk yang tidak dapat mengidentifikasi Anda).
Dasar hukum: UU PDP: kepentingan yang sah (Pasal 20 ayat (2)(f)). GDPR: kepentingan yang sah (Pasal 6(1)(f)).
4.5 Untuk berkomunikasi dengan Anda (transaksional)
Ini mencakup:
Mengirimkan konfirmasi, pengingat, kuitansi, dan pembaruan Pemesanan;
Memberi tahu Anda tentang perubahan penting pada akun Anda, Kebijakan Privasi ini, atau Syarat kami;
Menanggapi pertanyaan dan permintaan dukungan Anda;
Mengirim pesan administratif tentang Platform.
Dasar hukum: UU PDP: pelaksanaan kontrak (Pasal 20 ayat (2)(b)); kewajiban hukum (Pasal 20 ayat (2)(c)). GDPR: pelaksanaan kontrak (Pasal 6(1)(b)); kepentingan yang sah (Pasal 6(1)(f)).
Anda tidak dapat memilih untuk tidak menerima pesan transaksional selama Anda memiliki akun aktif atau Pemesanan aktif, karena pesan tersebut diperlukan untuk menyediakan layanan.
4.6 Untuk berkomunikasi dengan Anda (pemasaran)
Ini mencakup:
Mengirim newsletter dan pembaruan tentang Retreat, Experience, dan fitur baru;
Penawaran promosi dari Finding Retreats;
Rekomendasi yang dipersonalisasi berdasarkan minat dan aktivitas Anda sebelumnya.
Dasar hukum: UU PDP: persetujuan Anda (Pasal 20 ayat (2)(a)). GDPR: persetujuan Anda (Pasal 6(1)(a)); dalam kasus terbatas, kepentingan yang sah (Pasal 6(1)(f)) untuk pelanggan yang sudah ada berdasarkan aturan "soft opt-in" di yurisdiksi tertentu.
Anda dapat berhenti menerima pemasaran kapan saja dengan mengeklik tautan unsubscribe di setiap email pemasaran, atau dengan memperbarui preferensi komunikasi Anda di akun Anda.
Kami tidak membagikan data Anda dengan pengiklan pihak ketiga untuk pemasaran langsung mereka sendiri, dan kami tidak "menjual" data pribadi Anda dalam pengertian hukum privasi yang berlaku.
4.7 Untuk memfasilitasi proses scrape-and-claim
Ini mencakup:
Membuat Listing yang Belum Diklaim berdasarkan informasi usaha yang tersedia untuk umum tentang penyedia retreat;
Mengirim email penjangkauan kepada penyedia retreat dengan mengundang mereka untuk mengklaim Listing mereka;
Menanggapi pertanyaan pada Listing yang Belum Diklaim.
Dasar hukum: UU PDP: kepentingan yang sah (Pasal 20 ayat (2)(f)) dalam membangun marketplace yang komprehensif dan menghubungkan Tamu dengan penyedia. GDPR (jika Host berbasis di Uni Eropa): kepentingan yang sah (Pasal 6(1)(f)).
Host dapat berhenti dicantumkan kapan saja dengan menghubungi [email protected]. Jika diminta, kami menghapus Listing tersebut.
4.8 Untuk penyelesaian sengketa dan klaim hukum
Ini mencakup:
Menyelidiki dan menyelesaikan sengketa antara Tamu dan Host;
Menanggapi chargeback dan sengketa pengembalian dana;
Membela Finding Retreats terhadap klaim hukum;
Bekerja sama dengan perusahaan asuransi, pialang, dan pengacara.
Dasar hukum: UU PDP: kepentingan yang sah (Pasal 20 ayat (2)(f)); kewajiban hukum (Pasal 20 ayat (2)(c)). GDPR: kepentingan yang sah (Pasal 6(1)(f)); klaim hukum (Pasal 9(2)(f) untuk data sensitif).
5. Dengan Siapa Kami Membagikan Data Pribadi Anda
Kami membagikan data pribadi hanya bila perlu, dan hanya dengan kategori penerima di bawah ini.
5.1 Dengan Host
Ketika Anda melakukan Pemesanan atau mengirim pertanyaan, kami membagikan kepada Host:
Nama Anda dan (jika diperlukan) nama anggota kelompok Anda;
Alamat email dan nomor telepon Anda;
Tanggal dan detail Pemesanan;
Permintaan khusus, persyaratan diet, atau kebutuhan aksesibilitas yang Anda pilih untuk dibagikan;
Informasi kesehatan atau medis yang Anda pilih untuk dibagikan dengan Host;
Pesan Anda yang dipertukarkan dengan Host melalui Platform.
Host menggunakan informasi ini sebagai Pengendali Data Pribadi independen untuk menyelenggarakan Retreat dan mematuhi kewajiban hukum mereka sendiri. Host diwajibkan berdasarkan Perjanjian Host kami untuk mematuhi hukum perlindungan data yang berlaku.
5.2 Dengan penyedia layanan kami
Kami membagikan data pribadi dengan pihak ketiga yang membantu kami menjalankan Platform. Yang utama tercantum di bawah ini. Daftar ini dapat berubah seiring berkembangnya operasi kami; daftar terkini tersedia berdasarkan permintaan.
Penyedia layanan | Tujuan | Lokasi pemrosesan |
|---|---|---|
Stripe Payments | Pemrosesan pembayaran, pembayaran ke Host (Stripe Connect), deteksi penipuan | Irlandia, Amerika Serikat |
Supabase | Hosting basis data, autentikasi | Amerika Serikat |
Vercel | Hosting web dan pengiriman konten | Amerika Serikat (dengan jaringan global) |
Resend | Pengiriman email transaksional dan pemasaran | Amerika Serikat |
Google (Workspace, Maps, Analytics) | Email bisnis, pemetaan, analitik | Amerika Serikat dan global |
Penyedia ini terikat secara kontraktual untuk memproses data hanya atas instruksi kami, untuk tujuan yang kami tentukan, dan untuk menerapkan langkah-langkah keamanan yang sesuai.
5.3 Dengan pengguna lain
Sebagian data Anda dapat dilihat oleh pengguna lain di Platform:
Foto profil dan nama depan Anda dapat dilihat pada ulasan yang Anda kirimkan;
Ulasan yang Anda tulis dapat dilihat secara publik (terkait dengan nama depan Anda dan huruf pertama nama belakang Anda, atau nama pengguna jika Anda telah menetapkannya);
Pesan yang Anda kirim dapat dilihat oleh penerima.
Anda dapat mengontrol beberapa pengaturan ini di preferensi akun Anda.
5.4 Dengan penasihat profesional kami
Kami membagikan data dengan pengacara, akuntan, auditor, perusahaan asuransi, dan penasihat profesional lainnya jika diperlukan secara wajar, dan selalu dengan kewajiban kerahasiaan.
5.5 Dengan pengadilan, regulator, dan penegak hukum
Kami mengungkapkan data pribadi jika diwajibkan untuk mematuhi perintah pengadilan, surat panggilan, permintaan regulator, atau tuntutan sah lainnya. Kami juga dapat mengungkapkan data jika kami yakin dengan itikad baik bahwa pengungkapan tersebut diperlukan untuk:
Melindungi hak, properti, atau keselamatan Finding Retreats, pengguna kami, atau publik;
Menyelidiki dan mencegah penipuan atau kegiatan ilegal lainnya;
Menegakkan Syarat atau perjanjian lainnya.
Bila pengungkapan dilakukan kepada penegak hukum Indonesia berdasarkan UU PDP dan Undang-Undang Informasi dan Transaksi Elektronik, kami mematuhi persyaratan yang ditetapkan dalam undang-undang tersebut.
Kami tidak secara sukarela memberikan data sebagai tanggapan atas permintaan informal. Kami mensyaratkan proses hukum kecuali dalam keadaan darurat yang mengancam jiwa atau cedera tubuh yang serius.
5.6 Dalam pengalihan usaha
Jika Finding Retreats terlibat dalam merger, akuisisi, restrukturisasi, atau penjualan aset, data pribadi dapat dialihkan sebagai bagian dari transaksi tersebut. Kami akan memberi tahu Anda dan (jika diperlukan) meminta persetujuan Anda sebelum pengalihan yang akan mengubah secara material bagaimana data Anda ditangani.
5.7 Dengan persetujuan Anda
Kami membagikan data dengan pihak lain bila Anda memberikan persetujuan spesifik kepada kami.
6. Transfer Data Internasional
6.1 Mengapa data Anda meninggalkan Indonesia
Platform menggunakan beberapa penyedia layanan yang pusat datanya berada di luar Indonesia, terutama di Amerika Serikat, Irlandia, dan lokasi lainnya. Akibatnya, data pribadi Anda ditransfer secara internasional sebagai bagian normal dari penggunaan Platform.
6.2 Kepatuhan kami terhadap aturan transfer lintas batas Indonesia
Berdasarkan Pasal 56 UU PDP, kami dapat mentransfer data pribadi ke luar Indonesia hanya bila:
Yurisdiksi tujuan memberikan perlindungan data pribadi yang setidaknya setara dengan yang diatur dalam UU PDP (sebagaimana diakui oleh Lembaga PDP Indonesia); atau
Terdapat tindakan pelindungan data pribadi yang memadai dan mengikat antara kami dan penerima; atau
Anda telah memberikan persetujuan untuk transfer tersebut.
Saat ini kami mengandalkan kombinasi:
Perlindungan kontraktual — perjanjian pemrosesan data dengan penyedia layanan kami, yang mencakup komitmen yang setara dengan perlindungan UU PDP;
Perlindungan khusus penerima — banyak penyedia kami (misalnya, Stripe, Vercel) memelihara program privasi global yang selaras dengan GDPR;
Persetujuan eksplisit Anda, yang diberikan ketika Anda mendaftar ke Platform, bila persetujuan merupakan dasar hukum yang sesuai.
Kami memberitahukan transfer lintas batas kepada Kementerian Komunikasi dan Digital Indonesia (Komdigi) sebagaimana diwajibkan.
6.3 Transfer yang sesuai GDPR (untuk pengguna EEA/Inggris/Swiss)
Bila data pribadi ditransfer dari EEA, Inggris, atau Swiss ke negara yang belum menerima keputusan kecukupan dari Komisi Eropa (atau yang setara di Inggris atau Swiss), kami mengandalkan:
Standard Contractual Clauses Komisi Eropa (Modul 2: pengendali ke pemroses; Modul 4: pemroses ke pengendali, sebagaimana berlaku);
UK International Data Transfer Addendum (jika berlaku);
Pengakuan Swiss Federal Data Protection and Information Commissioner terhadap SCC;
Tindakan tambahan jika diwajibkan oleh putusan Schrems II.
Anda dapat meminta salinan mekanisme transfer yang relevan dengan menghubungi [email protected].
6.4 Pengguna di Australia
Untuk data yang ditransfer dari Australia, kami mematuhi Australian Privacy Principle 8 (pengungkapan lintas batas). Kami mengambil langkah-langkah wajar untuk memastikan bahwa penerima di luar negeri menangani data Anda secara konsisten dengan Australian Privacy Principles.
7. Cookies dan Teknologi Serupa
7.1 Apa itu cookies
Cookies adalah file teks kecil yang disimpan di perangkat Anda ketika Anda mengunjungi situs web. Mereka memungkinkan situs web mengingat informasi tentang kunjungan Anda, yang dapat memudahkan kunjungan berikutnya dan membuat situs web lebih bermanfaat bagi Anda. Teknologi serupa meliputi local storage, pixels, beacons, dan SDK.
7.2 Untuk apa kami menggunakan cookies
Kami menggunakan cookies dan teknologi serupa untuk:
Yang sangat diperlukan — agar Platform berfungsi (misalnya, menjaga Anda tetap masuk, mengingat item di keranjang Anda). Cookies ini tidak dapat dinonaktifkan.
Fungsional — untuk mengingat preferensi Anda dan meningkatkan pengalaman Anda (misalnya, bahasa dan mata uang Anda).
Analitik — untuk memahami bagaimana Platform digunakan secara agregat, sehingga kami dapat meningkatkannya.
Pemasaran dan personalisasi — untuk menampilkan konten yang relevan dan (jika Anda telah memberikan persetujuan) komunikasi yang ditargetkan.
7.3 Mengelola cookies
Ketika Anda pertama kali mengunjungi Platform dari yurisdiksi tertentu, kami meminta persetujuan Anda untuk cookies yang tidak penting. Anda dapat mengubah preferensi kapan saja melalui tautan Pengaturan Cookies di footer.
Anda juga dapat mengontrol cookies melalui pengaturan peramban, meskipun menonaktifkan cookies yang sangat diperlukan akan merusak sebagian Platform.
7.4 Do Not Track
Beberapa peramban mengirimkan sinyal "Do Not Track" (DNT). Tidak ada standar universal untuk menafsirkan DNT. Saat ini kami tidak menanggapi sinyal DNT, tetapi kami menghormati preferensi cookies yang Anda tetapkan melalui banner persetujuan kami.
8. Berapa Lama Kami Menyimpan Data Pribadi Anda
Kami menyimpan data pribadi hanya selama yang kami perlukan untuk tujuan yang ditetapkan dalam Kebijakan Privasi ini, atau sebagaimana diwajibkan oleh hukum.
8.1 Periode retensi indikatif
Kategori data | Periode retensi |
|---|---|
Data akun aktif | Selama akun Anda aktif, ditambah periode wajar setelah penutupan akun untuk tujuan hukum dan akuntansi |
Catatan Pemesanan dan transaksi | 10 tahun sejak tanggal Pemesanan (persyaratan pencatatan pajak dan akuntansi Indonesia) |
Data pemasaran dan keterlibatan email | Sampai Anda menarik persetujuan atau 3 tahun tidak aktif, mana yang lebih cepat |
Korespondensi dukungan pelanggan | 3 tahun sejak tanggal interaksi terakhir |
Cookies dan analitik | Sesuai masa berlaku cookie; biasanya 1 hari hingga 24 bulan |
Catatan verifikasi identitas (Host) | Selama jangka waktu hubungan Host ditambah 10 tahun |
Informasi kesehatan dan diet yang dibagikan dengan Host | Dihapus dari sistem aktif kami dalam 90 hari setelah Pemesanan, dengan ketentuan retensi untuk penyelesaian sengketa dan klaim hukum |
Catatan terkait sengketa atau klaim hukum | Selama jangka waktu sengketa ditambah masa daluwarsa yang berlaku |
8.2 Setelah periode retensi
Ketika periode retensi berakhir, kami akan:
Menghapus data secara permanen;
Menganonimkannya (sehingga Anda tidak dapat lagi diidentifikasi, bahkan dengan menggabungkannya dengan data lain); atau
Bila penghapusan tidak memungkinkan secara teknis (misalnya, backup terenkripsi), kami menempatkan data di luar penggunaan dan menghapusnya pada siklus backup berikutnya.
9. Hak Anda
Bagian ini menjelaskan hak yang Anda miliki atas data pribadi Anda. Banyak dari hak ini berlaku untuk semua pengguna, terlepas dari tempat tinggal Anda. Beberapa hak tambahan tersedia bagi pengguna di yurisdiksi tertentu.
9.1 Hak yang tersedia untuk semua pengguna
Anda memiliki hak untuk:
Mengakses — meminta salinan data pribadi yang kami simpan tentang Anda;
Mengoreksi — meminta kami untuk mengoreksi data pribadi yang tidak akurat atau tidak lengkap;
Menghapus — meminta kami untuk menghapus data pribadi yang kami simpan tentang Anda, dengan tunduk pada kewajiban hukum kami untuk menyimpan data tertentu;
Membatasi pemrosesan — meminta kami untuk membatasi cara kami memproses data Anda dalam keadaan tertentu;
Mengajukan keberatan — mengajukan keberatan atas pemrosesan data Anda oleh kami bila dasar hukumnya adalah kepentingan yang sah, termasuk pemasaran;
Menarik persetujuan — menarik persetujuan apa pun yang telah Anda berikan kepada kami, kapan saja;
Mengajukan pengaduan — kepada otoritas perlindungan data yang relevan (lihat Bagian 9.5).
9.2 Hak tambahan — Indonesia (UU PDP)
Selain hak di atas, jika Anda berada di Indonesia atau data Anda diproses berdasarkan UU PDP, Anda memiliki hak untuk:
Memperoleh data pribadi tentang Anda dalam format yang terstruktur, umum digunakan, dan dapat dibaca mesin (Pasal 9 UU PDP);
Menerima informasi tentang tujuan pemrosesan, data yang diproses, dan periode retensi (Pasal 5 UU PDP);
Menunda atau membatasi pemrosesan dalam situasi tertentu (Pasal 9(d) UU PDP);
Menggugat dan memperoleh kompensasi atas pelanggaran UU PDP (Pasal 12 UU PDP);
Menarik persetujuan kapan saja (Pasal 9(e) UU PDP);
Mengakhiri atau menghapus data pribadi setelah tujuannya tercapai (Pasal 8 UU PDP).
Waktu tanggapan: Berdasarkan Pasal 30 UU PDP, kami harus menanggapi permintaan untuk memperbarui atau mengoreksi data pribadi Anda dalam waktu 3 × 24 jam (3 hari kalender) sejak menerima permintaan. Kami berupaya menanggapi semua permintaan subjek data dalam jangka waktu yang sama bila memungkinkan secara wajar, dan dalam semua kasus dalam jangka waktu yang diwajibkan oleh hukum yang berlaku.
9.3 Hak tambahan — EEA, Inggris, dan Swiss (GDPR)
Jika Anda berada di EEA, Inggris, atau Swiss, Anda juga memiliki hak untuk:
Portabilitas data — menerima data Anda dalam format yang terstruktur, umum digunakan, dapat dibaca mesin dan mentransmisikannya ke pengendali lain bila secara teknis memungkinkan (Pasal 20 GDPR);
Tidak menjadi subjek pengambilan keputusan otomatis — termasuk profiling yang menghasilkan efek hukum atau efek yang signifikan secara serupa (Pasal 22 GDPR). Saat ini kami tidak membuat keputusan signifikan tentang Anda berdasarkan pemrosesan otomatis semata, tetapi jika ini berubah, kami akan memberi tahu Anda dan memberikan hak tambahan;
Mengajukan pengaduan kepada otoritas pengawas lokal Anda.
9.4 Cara menggunakan hak Anda
Untuk menggunakan hak ini:
Kirim email kepada kami di [email protected]; atau
Gunakan menu pengaturan akun, bila tersedia.
Kami mungkin meminta Anda untuk memverifikasi identitas Anda sebelum bertindak atas permintaan, untuk melindungi data Anda dari diakses oleh seseorang yang berpura-pura menjadi Anda. Biasanya ini berarti mengkonfirmasi detail yang sudah kami simpan tentang Anda.
Sebagian besar permintaan tidak dikenakan biaya. Jika permintaan jelas tidak berdasar atau berlebihan (misalnya, permintaan yang sama diajukan berulang kali), kami dapat membebankan biaya yang wajar atau menolak untuk bertindak, dalam hal mana kami akan memberi tahu Anda alasannya.
9.5 Hak untuk mengajukan pengaduan
Jika Anda yakin kami tidak menangani data pribadi Anda dengan benar, silakan hubungi kami terlebih dahulu — kami ingin memperbaikinya. Anda juga memiliki hak untuk mengajukan pengaduan kepada regulator:
Indonesia — setelah Lembaga Pelindungan Data Pribadi Indonesia terbentuk, pengaduan dapat diajukan kepadanya. Sampai saat itu, pengaduan dapat diarahkan kepada Kementerian Komunikasi dan Digital (Komdigi).
Uni Eropa — Otoritas Perlindungan Data lokal Anda. Daftar tersedia di edpb.europa.eu.
Inggris — Information Commissioner's Office di ico.org.uk.
Australia — Office of the Australian Information Commissioner di oaic.gov.au.
10. Bagaimana Kami Melindungi Data Pribadi Anda
10.1 Langkah-langkah keamanan
Kami menerapkan langkah-langkah teknis dan organisasi yang sesuai dengan risiko pemrosesan data Anda, termasuk:
Enkripsi dalam pengangkutan — TLS 1.2 atau lebih tinggi untuk semua koneksi ke Platform;
Enkripsi saat istirahat — untuk data sensitif yang disimpan dalam sistem kami;
Kontrol akses — akses berbasis peran, autentikasi dua faktor untuk staf, prinsip hak akses minimum;
Penyimpanan kata sandi yang aman — kata sandi disimpan sebagai hash satu arah menggunakan algoritma standar industri; kami tidak melihat atau menyimpan kata sandi dalam bentuk teks biasa;
Pemisahan data pembayaran — data kartu lengkap ditangani oleh Stripe, penyedia layanan PCI-DSS Level 1; kami tidak menyimpannya;
Tinjauan keamanan reguler — kami meninjau praktik keamanan kami secara berkala dan menggunakan bantuan eksternal untuk pengujian bila perlu;
Uji tuntas penyedia layanan — kami mengevaluasi praktik keamanan dan privasi penyedia layanan kami.
10.2 Yang dapat Anda lakukan
Keamanan adalah tanggung jawab bersama. Anda dapat membantu melindungi akun Anda dengan:
Menggunakan kata sandi yang kuat dan unik;
Mengaktifkan autentikasi dua faktor bila tersedia;
Tidak berbagi kredensial akun Anda;
Memperbarui perangkat dan peramban Anda;
Memberi tahu kami segera jika Anda mencurigai akses tidak sah.
10.3 Pemberitahuan pelanggaran data
Dalam hal terjadi pelanggaran data pribadi yang menimbulkan risiko terhadap hak dan kepentingan Anda, kami akan memberitahukan:
Otoritas pengawas Indonesia (saat ini Komdigi, dan Lembaga PDP setelah terbentuk) dalam waktu 3 × 24 jam (72 jam) sejak mengetahui pelanggaran, sebagaimana diwajibkan oleh Pasal 46 UU PDP;
Subjek data yang terdampak dalam waktu 3 × 24 jam (72 jam) sejak mengetahui pelanggaran, dengan informasi tentang data yang terdampak, kapan dan bagaimana pelanggaran terjadi, dan tindakan yang kami ambil;
Regulator lain (seperti otoritas pengawas EU/Inggris berdasarkan GDPR, atau OAIC berdasarkan Australian Notifiable Data Breaches scheme) bila diwajibkan oleh hukum yang berlaku.
Bila pelanggaran mengganggu layanan publik atau memiliki dampak publik yang signifikan, kami juga akan menerbitkan pemberitahuan publik, sebagaimana diwajibkan oleh UU PDP.
11. Kontak Perlindungan Data
Jika Anda memiliki pertanyaan tentang Kebijakan Privasi ini atau tentang bagaimana kami menangani data pribadi Anda, silakan hubungi:
Email — [email protected]
Alamat pos — Bajar Sala, Jalan Buung Said Pura Dalem, Ubud, Pejeng Kawan, Tampaksiring, Kabupaten Gianyar, Bali 80571
12. Perubahan pada Kebijakan Privasi ini
Kami dapat memperbarui Kebijakan Privasi ini dari waktu ke waktu. Bila kami melakukannya:
Kami akan memublikasikan Kebijakan Privasi yang diperbarui di Platform dengan tanggal "Terakhir diperbarui" yang direvisi.
Untuk perubahan material yang memengaruhi hak Anda, kami akan memberikan pemberitahuan terlebih dahulu yang wajar — biasanya melalui email dan melalui pemberitahuan di Platform — setidaknya 30 hari sebelum perubahan berlaku.
Bila diwajibkan oleh hukum, kami akan memperoleh persetujuan Anda untuk perubahan material.
Penggunaan Platform yang berkelanjutan setelah tanggal berlaku perubahan merupakan penerimaan atas Kebijakan Privasi yang diperbarui.
13. Hubungi Kami
Untuk setiap pertanyaan, permintaan, atau masalah tentang privasi Anda atau Kebijakan Privasi ini:
Pertanyaan privasi — [email protected]
Dukungan umum — [email protected]
Sengketa — [email protected]
Pemberitahuan hukum — [email protected]
Alamat pos — Bajar Sala, Jalan Buung Said Pura Dalem, Ubud, Pejeng Kawan, Tampaksiring, Kabupaten Gianyar, Bali 80571
NIB — 1006220038831
NPWP — 065.745.459.1-905.000
Kontrol dokumen
Versi | Tanggal | Perubahan |
|---|---|---|
1.0 | 20 Mei 2026 | Penerbitan awal |