Gemah (“Kami”, “Layanan”) menghargai privasi dan keamanan data pribadi Anda. Kebijakan Privasi ini menjelaskan bagaimana Kami mengumpulkan, menggunakan, menyimpan, melindungi, dan membagikan data pribadi Anda sesuai dengan Undang-Undang Republik Indonesia No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP).
Dengan menggunakan Layanan Kami, Anda menyatakan telah membaca, memahami, dan menyetujui praktik yang dijelaskan dalam Kebijakan Privasi ini.
1. Identitas Pengendali Data Pribadi
Pengendali Data Pribadi atas Layanan ini adalah:
- Nama Entitas: PT Gemah Indonesia (dalam proses pendirian)
- Alamat: [Alamat Kantor] — akan diperbarui setelah pendirian PT selesai
- Email Kontak: privacy@gemah.id
- WhatsApp: +62 851-6141-3060
2. Data Pribadi yang Kami Kumpulkan
2.1 Data dari Pemilik/Pengelola Bisnis
- Nama lengkap, email, nomor telepon, alamat
- Nama bisnis, NPWP badan/pribadi, informasi rekening bank
- Alamat outlet restoran/kafe
2.2 Data dari Karyawan Anda
- Nama, email, nomor telepon, foto profil
- Lokasi GPS saat absen (geofencing)
- Foto selfie saat clock-in (opsional, dengan persetujuan karyawan)
- Data payroll: gaji, jam kerja, lembur
2.3 Data Operasional
- Data penjualan: item menu, harga, channel (dine-in/takeaway/online)
- Data pengeluaran: supplier, bahan baku, harga pembelian
- Foto struk belanja (untuk OCR oleh AI)
- Data inventori: stok, pergerakan barang
2.4 Data Teknis (Otomatis Dikumpulkan)
- Alamat IP, jenis browser, sistem operasi
- Timestamp login/logout dan aktivitas pengguna
- Cookie untuk autentikasi dan preferensi
3. Dasar Hukum Pemrosesan Data
Sesuai Pasal 20 ayat (2) UU PDP, Kami memproses data pribadi Anda berdasarkan:
| Jenis Data | Dasar Hukum |
|---|---|
| Data akun, penjualan, pengeluaran | Pelaksanaan perjanjian berlangganan (Pasal 20(2)(b)) |
| Data karyawan (nama, foto, GPS) | Persetujuan eksplisit dari karyawan (Pasal 20(2)(a)) |
| Foto struk (OCR via Google Gemini) | Persetujuan eksplisit (Pasal 22) |
| Log aktivitas, alamat IP | Kepentingan sah untuk keamanan (Pasal 20(2)(f)) |
| Dokumen pajak dan payroll | Kewajiban hukum (UU Perpajakan, UU Ketenagakerjaan) |
4. Tujuan Pemrosesan Data
Data pribadi Anda digunakan untuk:
- Menyediakan dan mengelola Layanan (dashboard, POS, laporan)
- Memproses pembayaran berlangganan
- Mengirim notifikasi penting (WhatsApp, email)
- Analitik AI untuk insight bisnis (CEO Brief)
- Scan struk otomatis menggunakan Google Gemini AI
- Mencegah penipuan dan menjaga keamanan sistem
- Memenuhi kewajiban hukum (pajak, ketenagakerjaan)
- Memberikan dukungan pelanggan via WhatsApp
5. Pihak Ketiga dan Pemrosesor Data
Kami bekerja sama dengan penyedia layanan berikut yang memiliki akses terbatas pada data Anda untuk kepentingan operasional:
| Pihak Ketiga | Fungsi | Lokasi Server |
|---|---|---|
| Supabase Inc. | Database, autentikasi, penyimpanan file | Singapura (AWS) |
| Google LLC (Gemini API) | Scan struk OCR, analisis AI | Amerika Serikat |
| Fonnte | Gateway WhatsApp untuk notifikasi | Indonesia |
| Sentry.io | Monitoring error (tanpa data pribadi) | Amerika Serikat |
| AWS Lightsail | Hosting aplikasi | Jakarta, Indonesia |
Kami tidak menjual, menyewakan, atau menukar data pribadi Anda kepada pihak ketiga untuk tujuan pemasaran.
6. Transfer Data Lintas Negara
Sesuai Pasal 56 UU PDP, sebagian data Anda dapat ditransfer ke luar Indonesia (Singapura, Amerika Serikat) untuk kepentingan hosting dan pemrosesan AI. Kami memastikan:
- Negara tujuan memiliki tingkat perlindungan yang memadai, atau
- Adanya pengamanan kontraktual (Data Processing Agreement) dengan pemrosesor, atau
- Anda telah memberikan persetujuan eksplisit atas transfer tersebut
7. Hak Anda sebagai Subjek Data Pribadi
Sesuai Pasal 5–15 UU PDP, Anda berhak untuk:
- Mendapatkan informasi tentang data yang Kami kumpulkan
- Mengakses salinan data pribadi Anda (portabilitas data)
- Memperbaiki atau melengkapi data yang tidak akurat
- Menghapus data pribadi Anda (hak untuk dilupakan)
- Menarik persetujuan kapan saja tanpa pinalti
- Mengajukan keberatan terhadap keputusan otomatis
- Membatasi atau menunda pemrosesan data
- Menuntut ganti rugi jika terjadi pelanggaran
Untuk menggunakan hak-hak tersebut, hubungi Kami di privacy@gemah.id. Kami akan merespon dalam 3x24 jam untuk permintaan mendesak dan maksimal 30 hari kerja untuk permintaan biasa.
8. Periode Penyimpanan Data
| Jenis Data | Periode Penyimpanan |
|---|---|
| Data akun aktif | Selama akun masih aktif + 2 tahun setelah penutupan |
| Data transaksi dan pajak | 10 tahun (sesuai UU KUP) |
| Data payroll karyawan | 2 tahun setelah karyawan resign |
| Log aktivitas dan IP | 6 bulan |
| Foto struk | 1 tahun setelah pemrosesan |
| Backup database | 90 hari (rolling) |
9. Keamanan Data
Kami menerapkan langkah-langkah teknis dan organisasional yang wajar untuk melindungi data Anda:
- Enkripsi data dalam transit (HTTPS/TLS) dan at-rest
- Row Level Security (RLS) di database — setiap merchant hanya melihat datanya sendiri
- Autentikasi multi-faktor untuk akun admin
- Security headers (CSP, HSTS, X-Frame-Options)
- Rate limiting untuk mencegah brute force
- Monitoring otomatis via Sentry
- Backup harian otomatis
Meski demikian, tidak ada sistem yang 100% aman. Anda bertanggung jawab menjaga kerahasiaan password dan tidak membagikannya kepada pihak lain.
10. Pemberitahuan Kegagalan Perlindungan Data
Jika terjadi kegagalan perlindungan data (data breach) yang dapat membahayakan hak dan kepentingan Anda, Kami akan memberitahu Anda dan Lembaga Perlindungan Data Pribadi dalam waktu paling lambat 3x24 jam (72 jam) sejak kejadian diketahui, sesuai Pasal 46 UU PDP.
Pemberitahuan akan mencakup: jenis data yang terdampak, tanggal dan waktu kejadian, penyebab, langkah mitigasi, dan kontak person.
11. Data Anak di Bawah Umur
Layanan Kami tidak ditujukan untuk anak di bawah 17 tahun. Kami tidak secara sengaja mengumpulkan data pribadi anak. Jika Anda mengetahui data anak telah dikirim ke Kami, mohon hubungi privacy@gemah.id untuk penghapusan segera.
12. Cookie dan Teknologi Serupa
Kami menggunakan cookie dan teknologi serupa untuk:
- Menjaga sesi login Anda
- Menyimpan preferensi (bahasa, tampilan)
- Analitik penggunaan (Vercel Analytics, Speed Insights)
Anda dapat menonaktifkan cookie melalui pengaturan browser, namun beberapa fitur Layanan mungkin tidak berfungsi optimal.
13. Perubahan Kebijakan
Kami dapat memperbarui Kebijakan Privasi ini dari waktu ke waktu. Perubahan material akan diinformasikan via email atau notifikasi dalam aplikasi minimal 14 hari sebelum berlaku. Tanggal “Terakhir diperbarui” di atas menunjukkan kapan revisi terakhir dibuat.
14. Hukum yang Berlaku dan Penyelesaian Sengketa
Kebijakan Privasi ini diatur oleh hukum Republik Indonesia. Sengketa terkait kebijakan ini akan diselesaikan secara musyawarah. Jika tidak tercapai kesepakatan, sengketa diselesaikan melalui Pengadilan Negeri Jakarta Pusat atau Lembaga Perlindungan Data Pribadi sesuai UU PDP.
15. Kontak Kami
Untuk pertanyaan, permintaan, atau keluhan terkait data pribadi Anda, silakan hubungi:
- Email: privacy@gemah.id
- WhatsApp: +62 851-6141-3060
- Jam operasional: Senin–Jumat, 09:00–17:00 WIB
Dengan terus menggunakan Layanan Gemah, Anda mengkonfirmasi bahwa Anda telah membaca dan menyetujui Kebijakan Privasi ini.