Legal · Privasi

Kebijakan Privasi.

Kami memproses data atas nama agensi dan tim marketing Indonesia. Halaman ini menjelaskan apa yang dikumpulkan, untuk apa, atas dasar hukum apa, dan kontrol apa yang kamu miliki — dalam Bahasa Indonesia, sesuai UU PDP No. 27/2022.

Terakhir diperbarui 9 Mei 2026UU PDP 27/2022UU ITE 11/2008GDPR (EEA)Meta · Google · TikTok · X · LinkedIn
Daftar isi (16 bagian)
  1. 01Pengantar
  2. 02Definisi penting
  3. 03Data yang kami kumpulkan
  4. 04Dasar hukum pemrosesan
  5. 05Tujuan pemrosesan
  6. 06Integrasi platform
  7. 07Berbagi data dengan pihak ketiga
  8. 08Transfer lintas batas
  9. 09Penyimpanan dan retensi
  10. 10Hak Subjek Data Pribadi
  11. 11Keamanan data
  12. 12Pemberitahuan pelanggaran
  13. 13Cookies dan teknologi pelacak
  14. 14Privasi anak
  15. 15Perubahan kebijakan
  16. 16Kontak DPO

1. Pengantar

Databridge adalah layanan SaaS yang dioperasikan oleh PT Visual Maji Network (selanjutnya disebut “Databridge”, “kami”), berkedudukan di Jl. Cempedak 4 Blok C14, Padasuka, Ciomas, Kabupaten Bogor, Jawa Barat, Indonesia. Kami terdaftar sebagai Penyelenggara Sistem Elektronik (PSE) Privat di Kementerian Komunikasi dan Informatika sesuai Permenkominfo No. 5/2020.

Kebijakan Privasi ini menjelaskan bagaimana kami mengumpulkan, menggunakan, mengungkapkan, dan melindungi Data Pribadi pengguna saat kamu mengakses situs databridge.id, add-on Google Sheets Databridge, atau API kami. Kami menyusunnya selaras dengan UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP), UU No. 11 Tahun 2008 sebagaimana diubah oleh UU No. 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik (UU ITE), PP 71/2019, dan Permenkominfo 5/2020. Untuk pengguna di Wilayah Ekonomi Eropa (EEA), kami mematuhi GDPR sebagaimana diuraikan dalam Adendum GDPR.

Versi singkat
Kami hanya mengakses akun iklanmu dengan persetujuan eksplisit, hanya baca data (read-only), tidak menjual data ke siapa pun, dan kamu bisa cabut akses atau hapus data kapan saja melalui dashboard atau email dpo@databridge.id.

2. Definisi penting

Untuk menyelaraskan dengan UU PDP, kami menggunakan istilah berikut:

Data Pribadi
Setiap data tentang seseorang yang teridentifikasi atau dapat diidentifikasi (UU PDP Pasal 1 angka 1).
Subjek Data
Orang perseorangan yang Data Pribadinya melekat (Pasal 1 angka 6).
Pengendali Data
Pihak yang menentukan tujuan dan kendali pemrosesan. Untuk akun Databridge, Pengendali Data adalah kamu (agensi atau tim marketing) untuk data klienmu, dan Databridge untuk data akun langganan dan log layananmu sendiri.
Prosesor Data
Pihak yang melakukan pemrosesan atas nama Pengendali. Databridge bertindak sebagai Prosesor saat menarik metrik iklan dari Meta / Google / TikTok / X / LinkedIn / marketplace ke Sheets-mu.
Data Pribadi Spesifik
Data sensitif yang diatur lebih ketat (Pasal 4 ayat 2 UU PDP). Kami tidak memproses kategori ini.

3. Data yang kami kumpulkan

3.1 Data akun dan langganan

  • Nama, alamat email, nomor telepon, nama perusahaan/agensi
  • Kredensial autentikasi (password ter-hash dengan bcrypt cost 12)
  • Data penagihan: NPWP (jika diisi), alamat penagihan, riwayat invoice. Pembayaran diproses oleh Mayar; kami tidak menyimpan nomor kartu/QRIS lengkap.
  • Status langganan, paket, dan riwayat penggunaan kuota

3.2 Token OAuth dan akses platform

Saat kamu menghubungkan akun iklan, kami menyimpan access token dan refresh token hasil OAuth. Token ini terenkripsi at-rest (AES-256-GCM) dan tidak pernah terekspos di antarmuka maupun log. Cakupan akses minimal:

  • Meta Marketing API: ads_read, business_management (read), read_insights
  • Google Ads / Analytics: scope adwords read-only dan analytics.readonly
  • TikTok Marketing API: ad.read, ad_account.read, report.read
  • X Ads API: scope ads.read, tweet.read
  • LinkedIn Marketing API: r_ads_reporting, r_organization_social

3.3 Metrik dan dimensi iklan (data pelanggan-mu)

Saat kamu menarik data, kami sementara memproses metrik publik akun iklan: spend, impressions, clicks, actions, purchase_roas, video_p25_watched_actions, dan dimensi seperti campaign_id, ad_id. Data ini ditulis langsung ke spreadsheet-mu; kami tidak mempertahankan salinan agregat di luar log debug 90 hari.

3.4 Data marketplace Indonesia

Untuk integrasi Shopee Open Platform, Tokopedia Open API, Blibli, Lazada Open Platform, dan TikTok Shop: data order, SKU, stok, dan metrik performa toko — sesuai cakupan yang kamu izinkan saat OAuth.

3.5 Data teknis otomatis

  • Alamat IP, user agent, ID perangkat (untuk keamanan)
  • Halaman yang dikunjungi, waktu kunjungan, referrer
  • Log integrasi (timestamp pull, status, error code) — retensi 90 hari

4. Dasar hukum pemrosesan

Sesuai Pasal 20 UU PDP, setiap pemrosesan harus punya dasar yang sah. Kami memproses Data Pribadi atas dasar berikut:

  • Persetujuan (Pasal 20 ayat 2 huruf a): saat kamu membuat akun, menghubungkan platform OAuth, atau berlangganan newsletter.
  • Pelaksanaan kontrak (huruf b): saat memproses langganan, mengirim invoice, dan menyediakan add-on.
  • Kewajiban hukum (huruf c): pelaporan pajak, pelaksanaan permintaan otoritas (Kominfo, OJK, kepolisian).
  • Kepentingan sah (huruf f): keamanan platform, pencegahan penipuan, peningkatan layanan — dengan uji keseimbangan (legitimate interest assessment) yang kami dokumentasikan.

5. Tujuan pemrosesan

  • Penyediaan layanan: menarik metrik iklan dari platform ke Sheets-mu, menjalankan auto-refresh, menyimpan saved queries
  • Manajemen akun: autentikasi, manajemen langganan, penagihan via Mayar
  • Dukungan pelanggan: membalas tiket support dan email
  • Keamanan: deteksi anomali, pencegahan penyalahgunaan API, audit log
  • Komunikasi produk: pemberitahuan layanan kritis (selalu) dan promosi (opt-in)
  • Kepatuhan: memenuhi UU PDP, UU ITE, dan persyaratan platform mitra (Meta, Google, dll.)

Kami tidak: (a) menjual data ke pihak ketiga; (b) menggunakan data restricted-scope untuk melatih model AI/ML umum; (c) menampilkan iklan berbasis profil ke pengguna kami; (d) memproses Data Pribadi Spesifik (kesehatan, finansial detail, biometrik, dll.).

6. Integrasi platform — kepatuhan spesifik

Setiap integrasi tunduk pada Ketentuan Layanan dan kebijakan data platform terkait. Kami berkomitmen pada batas-batas berikut:

6.1 Meta (Facebook · Instagram · WhatsApp Business)

Kami mematuhi Meta Platform Terms, Developer Policies, dan Limited Use Policy. Data dari Meta hanya digunakan untuk memberikan fitur yang kamu minta (menampilkan metrik di Sheets), tidak untuk profiling pengguna lain, tidak dijual, dan dapat kamu cabut kapan saja melalui Settings → Apps di Meta atau melalui dashboard Databridge.

6.2 Google (Ads · Analytics · Search Console · Sheets)

Penggunaan Databridge atas data dari Google API mematuhi Google API Services User Data Policy termasuk persyaratan Limited Use. Spesifiknya: (i) penggunaan terbatas pada penyediaan fitur yang kamu lihat; (ii) kami tidak mentransfer data ke pihak lain kecuali untuk menyediakan/meningkatkan fitur, mematuhi hukum, atau atas perintahmu; (iii) kami tidak menggunakan data untuk iklan yang ditargetkan; (iv) manusia Databridge tidak membaca data, kecuali atas izin spesifikmu, untuk debugging keamanan, atau wajib hukum.

Databridge’s use and transfer to any other app of information received from Google APIs will adhere to Google API Services User Data Policy, including the Limited Use requirements.

6.3 TikTok for Business · TikTok Shop

Kami mematuhi TikTok Marketing API Terms dan TikTok Shop Open Platform Terms. Data hanya digunakan untuk fitur yang kamu minta dan tidak dijual.

6.4 X (Twitter) Ads · LinkedIn Marketing

Kami mematuhi X Developer Agreement dan LinkedIn API Terms of Use. Kami tidak melakukan Restricted Use Cases (memata-matai, profiling sensitif, pelanggaran privasi) yang dilarang oleh kebijakan platform.

6.5 Marketplace Indonesia (Shopee · Tokopedia · Blibli · Lazada · TikTok Shop)

Kami mematuhi Open Platform Terms masing-masing dan Permendag No. 50/2020 tentang ketentuan dan tata cara perizinan usaha, periklanan, pembinaan, dan pengawasan pelaku usaha dalam perdagangan melalui sistem elektronik.

7. Berbagi data dengan pihak ketiga

Sesuai UU PDP Pasal 47–55, kami hanya membagikan Data Pribadi kepada:

  • Sub-prosesor terpercaya dengan Data Processing Agreement (DPA): Vercel (hosting & CDN — region Singapore/Jakarta), Supabase (database — region Singapore), Composio (broker OAuth), Mayar (pembayaran), Resend (email transactional), Vercel Analytics (anonim).
  • Platform yang kamu hubungkan sesuai konfigurasi OAuth (Meta, Google, TikTok, X, LinkedIn, marketplace).
  • Otoritas Indonesia jika diwajibkan: Kominfo, OJK, BSSN, Kepolisian, atau pengadilan, atas dasar perintah resmi.
  • Pembeli aset dalam hal merger / akuisisi, dengan notifikasi 30 hari sebelumnya kepadamu.

Daftar lengkap sub-prosesor diperbarui di /docs. Kami akan memberi tahu 30 hari sebelumnya sebelum menambah sub-prosesor baru — kamu berhak menolak.

8. Transfer data lintas batas

Sesuai UU PDP Pasal 56, transfer ke luar wilayah hukum Indonesia hanya kami lakukan jika negara penerima memiliki tingkat perlindungan setara atau lebih tinggi, atau ada perlindungan kontraktual yang memadai.

  • Hosting kami di Singapore (Asia Pacific) dan Jakarta (Indonesia).
  • Untuk integrasi platform yang berbasis di luar negeri (Meta — AS, Google — global, TikTok — Singapore/AS, X — AS, LinkedIn — AS), kami menggunakan Standard Contractual Clauses atau mekanisme setara.
  • Untuk pengguna EEA, kami menggunakan SCC versi 2021 EU Commission + Transfer Impact Assessment.

9. Penyimpanan dan retensi

  • Data akun: selama akun aktif + 30 hari grace period setelah pembatalan
  • Token OAuth: terenkripsi, dihapus segera setelah kamu cabut akses atau menutup akun
  • Log integrasi: 90 hari (untuk debugging & audit keamanan)
  • Catatan penagihan / faktur pajak: 10 tahun sesuai UU KUP Pasal 28 ayat 11
  • Data dukungan / tiket: 2 tahun setelah penutupan tiket
  • Backup: snapshot harian dengan rotasi 30 hari

10. Hak Subjek Data Pribadi

Sesuai UU PDP Pasal 5–15, kamu memiliki hak penuh atas Data Pribadimu:

  1. Hak atas informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan Data Pribadi (Pasal 5).
  2. Hak melengkapi, memperbarui, atau memperbaiki Data Pribadi (Pasal 6).
  3. Hak mengakses dan memperoleh salinan Data Pribadi (Pasal 7).
  4. Hak mengakhiri pemrosesan / menghapus Data Pribadi (Pasal 8 — “right to be forgotten”).
  5. Hak menarik kembali persetujuan (Pasal 9).
  6. Hak mengajukan keberatan atas tindakan pengambilan keputusan otomatis (Pasal 10).
  7. Hak menunda atau membatasi pemrosesan (Pasal 11).
  8. Hak menggugat dan menerima ganti rugi atas pelanggaran (Pasal 12).
  9. Hak portabilitas — menerima dan/atau menggunakan Data Pribadi dalam bentuk yang biasa digunakan (Pasal 13).

Untuk menggunakan hak ini: kirim email ke dpo@databridge.id atau gunakan formulir di /data-deletion. Kami akan membalas dalam 3×24 jam kerja dan menyelesaikan permintaan dalam maksimal 30 hari (dapat diperpanjang 30 hari sekali dengan alasan).

11. Keamanan data

Sesuai UU PDP Pasal 39 dan Pasal 47, kami menerapkan kontrol keamanan teknis dan organisasi yang sebanding dengan risiko:

  • Enkripsi TLS 1.3 untuk data dalam transit
  • Enkripsi AES-256-GCM untuk token OAuth at-rest
  • Hashing bcrypt (cost 12) untuk password
  • Multi-factor authentication (MFA) opsional, wajib untuk admin internal
  • Role-based access control (RBAC) dengan least-privilege
  • Audit log immutable untuk akses data
  • Penetration testing tahunan oleh pihak ketiga independen
  • Background check dan kontrak NDA untuk seluruh tim Databridge
  • Disaster recovery plan dan business continuity plan diuji 2× setahun

12. Pemberitahuan pelanggaran data

Sesuai UU PDP Pasal 46, jika terjadi kegagalan perlindungan Data Pribadi, kami akan:

  • Memberitahukan kepada Subjek Data dan kepada Lembaga PDP selambat-lambatnya 3×24 jam sejak pelanggaran diketahui;
  • Mencantumkan jenis Data Pribadi yang terdampak, kapan dan bagaimana pelanggaran terjadi, serta upaya penanganan dan pemulihan;
  • Bagi pengguna EEA, kami mematuhi GDPR Art. 33–34 (notifikasi dalam 72 jam).

13. Cookies dan teknologi pelacak

Lihat Kebijakan Cookies untuk daftar lengkap cookie yang kami pakai (kategori: strictly necessary, functional, analytics — analytics anonim by default).

14. Privasi anak

Sesuai UU PDP Pasal 25 dan Pasal 35, layanan kami ditujukan untuk pengguna berusia minimal 17 tahun atau telah menikah. Kami tidak secara sengaja mengumpulkan Data Pribadi anak. Jika kamu mengetahui anak telah memberikan data, hubungi dpo@databridge.id untuk penghapusan segera.

15. Perubahan kebijakan

Kami dapat memperbarui kebijakan ini. Perubahan material akan diberitahukan via email dan banner di dashboard 30 hari sebelum berlaku. Tanggal “Terakhir diperbarui” di atas selalu menunjukkan revisi terkini. Riwayat versi tersedia atas permintaan ke dpo@databridge.id.

16. Kontak DPO dan otoritas

Untuk pertanyaan, permintaan hak, atau pengaduan privasi:

Pengendali Data
PT Visual Maji Network
DPO
dpo@databridge.id
Tim umum
hello@databridge.id
Alamat
Jl. Cempedak 4 Blok C14, Padasuka, Ciomas, Kab. Bogor, Jawa Barat, Indonesia
Telepon
+62 819-3203-2355

Kamu juga berhak mengajukan pengaduan ke Lembaga Perlindungan Data Pribadi (atau Kominfo sebagai otoritas sementara hingga Lembaga PDP terbentuk penuh) dan ke OJK bila terkait data keuangan.

Pertanyaan? Kami balas.

Hubungi DPO kami di dpo@databridge.id atau tim umum di hello@databridge.id. Balas dalam 1×24 jam kerja (Senin–Jumat, WIB).

Hubungi timMinta hapus data