Kebijakan Privasi

1. Pendahuluan

Chatpilot ("kami") menghormati privasi Anda dan berkomitmen untuk melindungi data pribadi yang Anda percayakan kepada kami. Kebijakan ini menjelaskan praktik kami dalam pengumpulan, penggunaan, penyimpanan, dan berbagi data pribadi, sesuai dengan Undang-Undang Republik Indonesia No. 27 Tahun 2022 tentang Pelindungan Data Pribadi ("UU PDP").

2. Peran Kami: Controller vs Processor

Kebijakan ini berlaku pada dua konteks pemrosesan data:

• Sebagai Pengendali Data (Controller): ketika Chatpilot mengumpulkan data Anda secara langsung sebagai Pelanggan kami — misalnya saat Anda mendaftar akun, melakukan pembayaran, atau berkomunikasi dengan tim support kami.
• Sebagai Pemroses Data (Processor): ketika Chatpilot memproses data Pelanggan Akhir Anda (customer toko / klien jasa Anda) atas nama Anda untuk menjalankan layanan AI agent. Dalam hal ini, Anda adalah Controller atas data tersebut. Hak dan kewajiban di konteks ini diatur dalam Data Processing Agreement (DPA).

3. Data yang Kami Kumpulkan

3.1 Dari Anda sebagai Pelanggan

• Data identitas & kontak: nama, email, nomor telepon, nama bisnis, NPWP / NIB (untuk Enterprise).
• Data pembayaran: diproses oleh penyedia payment gateway terdaftar (misal Midtrans, Xendit); Chatpilot tidak menyimpan nomor kartu kredit utuh.
• Data kredensial: token Meta Business System User, kredensial akses POS (terenkripsi at-rest dengan AES-256).
• Data penggunaan: log aktivitas dashboard, IP address, user-agent browser, fitur yang digunakan — untuk analytics & debugging.

3.2 Atas Nama Anda dari Pelanggan Akhir Anda

• Identifier WhatsApp: nomor HP Pelanggan Akhir, nama profil WhatsApp (jika tersedia).
• Isi percakapan: seluruh pesan masuk/keluar antara Pelanggan Akhir dan AI agent Anda, termasuk gambar & lampiran.
• Data POS yang ter-sinkron: nama produk, stok, harga, riwayat order — sesuai konfigurasi Connector Agent yang Anda atur.
• Metadata: timestamp, status pengiriman, hasil pemanggilan tool oleh AI agent.

4. Dasar Hukum Pemrosesan

Kami memproses data pribadi berdasarkan satu atau lebih dasar berikut:

• Pelaksanaan kontrak: untuk menyediakan layanan yang Anda berlangganan.
• Persetujuan: untuk pemrosesan tertentu seperti pengiriman newsletter atau riset produk (opt-in).
• Kepentingan sah: untuk mencegah penyalahgunaan, debugging, dan meningkatkan kualitas layanan.
• Kewajiban hukum: untuk memenuhi kewajiban perpajakan, permintaan dari otoritas berwenang, atau perintah pengadilan.

5. Bagaimana Kami Menggunakan Data

• Menjalankan AI agent yang menjawab Pelanggan Akhir Anda.
• Mengirim notifikasi operasional (tagihan, pemeliharaan, perubahan fitur).
• Memberikan support & debugging atas permintaan Anda.
• Analitik agregat untuk meningkatkan kualitas model AI dan UX dashboard (data dianonimkan / di-aggregate).
• Mencegah penipuan, abuse, dan pelanggaran kebijakan.

Kami TIDAK menggunakan isi percakapan Anda untuk melatih model AI generik milik kami atau pihak ketiga.

6. Berbagi Data dengan Pihak Ketiga (Sub-processors)

Untuk menjalankan Layanan, kami menggunakan pemroses bawahan (sub-processors) berikut. Daftar ini juga tercantum di DPA:

Setiap sub-processor terikat oleh perjanjian yang memuat standar perlindungan data yang setara atau lebih tinggi dari ketentuan ini.

7. Transfer Data Lintas Negara

Beberapa sub-processor kami berlokasi di luar Indonesia (Singapore, Amerika Serikat). Transfer dilakukan dengan menggunakan mekanisme perlindungan yang diakui, termasuk Standard Contractual Clauses (SCC) atau pengaman setara, sesuai persyaratan UU PDP Pasal 56.

8. Penyimpanan & Retensi

• Data percakapan: disimpan selama akun aktif. Setelah akun ditutup, percakapan dihapus dalam 90 hari kalender — kecuali jika retensi lebih lama diatur dalam DPA atau diwajibkan hukum.
• Data billing & transaksi: disimpan minimal 10 tahun sesuai kewajiban perpajakan Indonesia.
• Backup: disimpan maksimal 30 hari setelah penghapusan primer, kemudian dimusnahkan secara permanen.

9. Keamanan Data

Langkah-langkah keamanan teknis dan organisasional yang kami terapkan:

• Enkripsi TLS 1.3 untuk seluruh komunikasi (HTTPS, WebSocket, API).
• Enkripsi at-rest dengan AES-256 untuk database dan storage object.
• Multi-tenant isolation dengan Row-Level Security (RLS) di Postgres.
• Token Meta dan kredensial POS disimpan terenkripsi dengan kunci terpisah.
• Akses internal terbatas pada karyawan yang membutuhkan dan ter-audit (least privilege).
• Backup terenkripsi rutin dengan rotasi 30 hari.
• Notifikasi pelanggaran data dalam 72 jam sesuai Pasal 46 UU PDP.

10. Hak Anda sebagai Subjek Data

Sesuai UU PDP Pasal 5–14, Anda berhak untuk:

• Mendapatkan informasi tentang data Anda yang kami proses.
• Mengakses dan memperoleh salinan data Anda.
• Memperbaiki data yang tidak akurat.
• Menghapus data Anda (hak untuk dilupakan) — tunduk pada kewajiban retensi hukum.
• Membatasi atau menolak pemrosesan tertentu.
• Memportabilitaskan data ke layanan lain dalam format terbaca.
• Menarik persetujuan kapan saja untuk pemrosesan berbasis konsen.
• Mengajukan keluhan ke otoritas pelindung data atau jalur hukum yang tersedia.

Untuk menggunakan hak Anda, hubungi kami melalui WhatsApp atau email privacy@chatpilot.id. Kami akan menanggapi dalam maksimal 30 hari kalender.

11. Cookies & Pelacakan

Situs kami menggunakan cookies fungsional (sesi login, preferensi UI) dan analitik agregat. Kami tidak menggunakan cookies pelacakan iklan pihak ketiga. Anda dapat menonaktifkan cookies melalui pengaturan browser; namun beberapa fungsi dashboard mungkin tidak berfungsi optimal.

12. Anak di Bawah Umur

Layanan tidak ditujukan untuk anak di bawah 18 tahun. Kami tidak secara sengaja mengumpulkan data pribadi anak di bawah umur. Jika Anda menemukan kami telah melakukannya, mohon segera laporkan.

13. Perubahan Kebijakan

Kami dapat memperbarui Kebijakan ini. Perubahan material akan diberitahukan melalui email atau pengumuman di dashboard minimal 14 hari sebelum berlaku.

14. Kontak Petugas Pelindungan Data (DPO)

• Email: privacy@chatpilot.id
• WhatsApp: +62 811-3361-448