Kebijakan Privasi

Berlaku efektif: 15 September 2026 · Pembaruan terakhir: 8 Juni 2026

Halo. Kami PT Widigital Tri Buana (selanjutnya disebut "WTB" atau "kami") menyediakan layanan Studio — aplikasi otomasi konten sosial media untuk bisnis Indonesia. Privasi Anda penting. Dokumen ini menjelaskan data apa yang kami kumpulkan, kenapa kami butuh data tersebut, bagaimana kami melindungi data Anda, dan hak yang Anda miliki sesuai Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi ("UU PDP").

Bahasa di dokumen ini sengaja kami buat sederhana. Kalau ada yang tidak jelas, hubungi tim kami di privacy@widigitaltribuana.com.

1. Identitas Pengendali Data

Pengendali data pribadi (data controller) untuk layanan Studio adalah:

Nama: PT Widigital Tri Buana
Alamat: Indonesia (alamat detail tersedia atas permintaan tertulis)
Email umum: hello@widigitaltribuana.com
Email privasi (DSR): privacy@widigitaltribuana.com
Pejabat Perlindungan Data (DPO): Witdono (founder PT WTB)

2. Data yang Kami Kumpulkan

2.1 Data yang Anda berikan langsung

Data akun: nama lengkap, alamat email, kata sandi (kami simpan sebagai hash PBKDF2 — tidak pernah simpan kata sandi mentah)
Data workspace: nama workspace, industri, target audience, brand voice (tone, gaya bahasa, contoh post)
Data konten: draft caption, hashtag, jadwal posting yang Anda buat atau generate
Data pembayaran: bukti transfer bank ke BCA 628-2444778 a/n PT Widigital Tri Buana, nama rekening pengirim, nominal, tanggal — kami tidak menyimpan nomor kartu kredit atau debit karena tidak menggunakan payment gateway saat ini
Data komunikasi: email support, feedback, pesan WhatsApp Business yang Anda kirim ke kami

2.2 Data yang dikumpulkan otomatis

Data teknis: alamat IP, user agent browser, tipe perangkat, sistem operasi, halaman yang dikunjungi, waktu kunjungan
Cookie esensial: session ID untuk login, anti-CSRF token (lihat Bagian 8)
Log audit: aktivitas penting di akun Anda (login, generate konten, schedule, perubahan workspace) untuk keperluan keamanan dan debugging

2.3 Data dari layanan pihak ketiga (jika Anda mengaktifkan)

LinkedIn OAuth: kalau Anda menghubungkan akun LinkedIn untuk fitur auto-publish (Phase 2), kami menyimpan access token dan refresh token (dienkripsi di basis data) serta data profil dasar (nama, ID profil). Token ini bisa Anda cabut kapan saja dari dashboard. Kami tidak mengakses pesan pribadi atau koneksi LinkedIn Anda.

3. Dasar Hukum Pemrosesan Data

Sesuai Pasal 20 UU PDP, kami memproses data pribadi Anda berdasarkan:

Persetujuan yang sah (Pasal 20 ayat 2 huruf a) — saat Anda mendaftar dan menyetujui kebijakan ini secara eksplisit
Pelaksanaan kontrak (Pasal 20 ayat 2 huruf b) — data yang dibutuhkan untuk menyediakan layanan Studio sesuai Syarat Layanan
Kepentingan yang sah (legitimate interest) (Pasal 20 ayat 2 huruf f) — pencegahan kecurangan, peningkatan layanan, audit log keamanan
Kewajiban hukum (Pasal 20 ayat 2 huruf c) — kepatuhan pajak, permintaan resmi dari otoritas berwenang Indonesia

4. Tujuan Pemrosesan Data

Kami menggunakan data Anda untuk:

Menyediakan, mengoperasikan, dan memelihara layanan Studio
Memproses generate konten Anda via AI (lihat Bagian 6 tentang transfer data lintas batas ke Anthropic)
Mengirim email transaksional (invoice, notifikasi aktivasi akun, pengingat trial habis)
Memverifikasi pembayaran transfer bank dan mengaktifkan langganan
Memberikan dukungan pelanggan (customer support)
Mencegah penyalahgunaan (spam, abuse, fraud, pelanggaran Syarat Layanan)
Mematuhi kewajiban hukum dan permintaan resmi otoritas
Meningkatkan layanan berdasarkan analitik penggunaan agregat

5. Hak Anda sebagai Subjek Data

Sesuai Pasal 5–15 UU PDP, Anda memiliki hak berikut atas data pribadi Anda:

Hak akses — minta salinan data pribadi yang kami simpan tentang Anda
Hak koreksi — perbaiki data yang tidak akurat atau tidak lengkap
Hak penghapusan — minta data Anda dihapus (right to be forgotten) sesuai retention policy di Bagian 7
Hak portabilitas data — minta data Anda dalam format terstruktur (JSON / CSV) untuk dipindahkan ke layanan lain
Hak menarik persetujuan — cabut consent kapan saja tanpa mempengaruhi pemrosesan sebelum penarikan
Hak keberatan (objection) — menolak pemrosesan tertentu, termasuk profiling
Hak menunda atau membatasi pemrosesan — minta penundaan pemrosesan dalam kondisi tertentu
Hak ganti rugi — meminta kompensasi atas pelanggaran pemrosesan data pribadi sesuai Pasal 12 UU PDP

Untuk menggunakan hak-hak di atas, kirim permintaan ke privacy@widigitaltribuana.com. Kami akan respon dalam 3 × 24 jam kerja dan menyelesaikan permintaan dalam paling lambat 30 hari kalender sesuai Pasal 9 UU PDP.

6. Transfer Data Lintas Batas

Untuk menyediakan layanan, sebagian data Anda diproses oleh penyedia pihak ketiga yang berlokasi di luar Indonesia. Sesuai Pasal 56 UU PDP, kami memastikan transfer ini dilakukan ke yurisdiksi dengan tingkat perlindungan setara atau lebih tinggi, melalui:

Perjanjian Pemrosesan Data (DPA) dengan masing-masing vendor
Standard Contractual Clauses (SCC) versi GDPR yang diakui internasional
Komitmen kontraktual bahwa data tidak diakses untuk tujuan di luar instruksi WTB

Daftar vendor pemroses data (data processor) kami:

Vendor	Lokasi	Data yang diproses	Tujuan
Cloudflare, Inc.	Singapura (D1 region APAC)	Data akun, workspace, konten, audit log	Basis data dan hosting aplikasi
Anthropic, PBC	Amerika Serikat	Prompt generate konten + brand voice (transient, tidak disimpan oleh Anthropic untuk training)	AI generation Bahasa Indonesia
Resend, Inc.	Amerika Serikat	Email address, isi email transaksional	Pengiriman email (invoice, notifikasi)
Google LLC (Google Drive)	Amerika Serikat / global	Sample post, invoice PDF, backup terenkripsi	Storage objek (Phase 1 sementara, migrasi ke storage dedicated di Phase 2)

Catatan tentang AI generation (Anthropic): kami memilih Anthropic karena kebijakan privasi mereka mendukung "data not used for model training by default for API customers". Prompt yang Anda kirim diproses transien (tidak disimpan permanen di sisi Anthropic). Brand voice profile tidak digunakan untuk melatih model umum.

7. Penyimpanan dan Retensi Data

Kami menyimpan data Anda selama Anda masih menjadi pelanggan aktif. Setelah Anda berhenti berlangganan atau menghapus akun:

Soft delete — 30 hari pertama: data tetap tersimpan tapi tidak dapat diakses. Anda bisa restore akun dengan menghubungi kami
Hard delete — setelah 30 hari (sampai hari ke-90): data secara permanen dihapus dari sistem produksi kami
Total grace period: 90 hari sebelum penghapusan permanen tuntas
Backup terenkripsi: backup harian dipertahankan maksimal 30 hari, lalu diputar (rotated)
Audit log keamanan: dipertahankan 12 bulan untuk keperluan investigasi insiden, sesuai best practice ISO 27001
Data finansial (invoice, bukti transfer): dipertahankan 10 tahun sesuai kewajiban perpajakan Indonesia (UU KUP)

Anda bisa minta penghapusan lebih cepat di luar grace period 30+60 hari dengan kirim permintaan ke privacy@widigitaltribuana.com, kecuali data yang wajib disimpan karena kewajiban hukum (perpajakan, audit).

8. Cookie dan Teknologi Pelacak

Studio menggunakan cookie esensial saja — tidak ada cookie pelacak iklan pihak ketiga, tidak ada Google Analytics, tidak ada Facebook Pixel. Cookie yang kami pakai:

session_token — cookie HTTP-only, secure, SameSite=Lax. Tujuan: keep you logged in. Masa aktif: 7 hari atau sampai logout
csrf_token — anti-CSRF protection. Masa aktif: per session
theme_preference — preferensi dark/light mode (opsional). Masa aktif: 365 hari

Karena hanya cookie esensial yang kami gunakan, banner consent cookie tidak diperlukan secara hukum, namun saat sign-up Anda akan diberitahu eksplisit melalui consent checkbox kebijakan privasi ini.

9. Keamanan Data

Kami menerapkan langkah keamanan teknis dan organisasional untuk melindungi data Anda:

Enkripsi transit: semua komunikasi via HTTPS / TLS 1.3
Enkripsi at-rest: basis data Cloudflare D1 terenkripsi at-rest, token OAuth dienkripsi tambahan dengan AES-256-GCM
Hash password: PBKDF2 dengan iterasi tinggi dan salt unik — kami tidak pernah menyimpan password mentah
Akses terbatas: hanya personel berwenang WTB yang punya akses ke sistem produksi, dengan audit log
Audit log: aktivitas penting dicatat untuk forensik insiden
Backup harian: backup otomatis terenkripsi dengan rotasi 30 hari
Vulnerability scan: dependency security scan rutin (npm audit, CodeQL)

10. Notifikasi Pelanggaran Data (Data Breach)

Sesuai Pasal 46 UU PDP, jika terjadi kegagalan perlindungan data pribadi (data breach), kami akan:

Memberitahu Anda dan otoritas berwenang (Kominfo) dalam maksimal 3 × 24 jam sejak insiden diketahui
Menjelaskan jenis data yang terpengaruh, dampak potensial, dan langkah mitigasi yang sudah diambil
Memberikan rekomendasi langkah perlindungan untuk Anda (misalnya: ganti password)

11. Anak di Bawah Umur

Layanan Studio ditujukan untuk pengguna berusia 18 tahun ke atas. Kami tidak secara sengaja mengumpulkan data dari anak di bawah 18 tahun. Kalau Anda orang tua / wali dan mengetahui anak Anda memberikan data ke kami tanpa izin, hubungi privacy@widigitaltribuana.com untuk penghapusan segera.

12. Perubahan Kebijakan Privasi

Kami bisa memperbarui kebijakan ini sewaktu-waktu. Perubahan material akan kami beritahukan via email ke alamat email akun Anda, paling lambat 30 hari sebelum berlaku. Tanggal "Pembaruan terakhir" di bagian atas akan kami update setiap revisi.

Anda boleh menolak perubahan dengan menutup akun sebelum tanggal efektif perubahan. Lanjut pakai layanan setelah tanggal efektif berarti Anda menyetujui versi baru.

13. Hubungi Kami

Pertanyaan, keluhan, atau permintaan Hak Subjek Data (DSR) silakan kirim ke:

Email DPO / DSR: privacy@widigitaltribuana.com
Email umum: hello@widigitaltribuana.com
Website: widigitaltribuana.com

Anda juga berhak mengajukan keluhan ke Lembaga Pelindungan Data Pribadi Indonesia (saat lembaga terbentuk per UU 27/2022) atau ke Kementerian Komunikasi dan Informatika (Kominfo) sebagai otoritas pengawas saat ini.