OBARAOBARA
Daftar
Dokumen Hukum

Kebijakan Privasi

Berlaku efektif sejak 6 Juni 2026

Kebijakan ini menjelaskan bagaimana OBARA Nusantara Kolektiva ("OBARA", "kami") mengumpulkan, menggunakan, menyimpan, dan melindungi data pribadi Anda saat menggunakan platform OBARA. Kebijakan ini disusun sesuai Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) yang berlaku di Republik Indonesia.

1. Data yang Kami Kumpulkan

1.1. Data dari Pengguna (Operator Studio)

  • Identitas: nama lengkap, alamat email, nomor HP/WhatsApp, nama studio.
  • Kredensial akun: password (di-hash, tidak disimpan plain).
  • Data bisnis: alamat outlet, jenis usaha (gym/studio/physio/dst.), informasi pajak/legal (kalau ada).
  • Data pembayaran: riwayat transaksi langganan, metode pembayaran (kami tidak menyimpan nomor kartu kredit — diproses langsung oleh DUITKU).
  • Data teknis: alamat IP, jenis browser, log aktivitas dalam dashboard (untuk troubleshooting dan deteksi anomali).

1.2. Data dari Member (Pelanggan Studio)

Pengguna (operator studio) bertanggung jawab atas data Member yang mereka kelola via OBARA. Data yang biasanya tersimpan meliputi: nama, kontak, riwayat booking, status langganan membership. OBARA bertindak sebagai Prosesor Data dan TIDAK menggunakan data Member di luar penyediaan Layanan kepada operator.

2. Tujuan Penggunaan Data

Kami menggunakan data Anda untuk:

  • Menyediakan, mengoperasikan, dan memelihara Layanan OBARA;
  • Memproses pembayaran berlangganan dan mengeluarkan invoice;
  • Mengirim email transaksional (verifikasi email, reset password, notifikasi billing, pengingat trial berakhir);
  • Memberi dukungan teknis dan onboarding;
  • Mengirim newsletter atau update produk (Anda dapat opt-out kapan saja via link di email);
  • Mendeteksi dan mencegah penyalahgunaan, fraud, atau pelanggaran keamanan;
  • Memenuhi kewajiban hukum dan permintaan otoritas yang berwenang.

3. Dasar Hukum Pemrosesan

Sesuai UU PDP Pasal 20, kami memproses data berdasarkan:

  • Persetujuan Anda — yang Anda berikan saat mendaftar dan menyetujui kebijakan ini;
  • Pelaksanaan kontrak — untuk menyediakan Layanan yang Anda langgan;
  • Kepentingan sah — untuk keamanan platform dan deteksi fraud;
  • Kewajiban hukum — untuk laporan pajak dan audit yang dipersyaratkan.

4. Pihak Ketiga yang Memproses Data

Kami bekerja sama dengan penyedia layanan tepercaya yang membantu mengoperasikan platform. Setiap pihak berikut hanya memproses data sesuai instruksi kami dan terikat perjanjian kerahasiaan:

  • Supabase (database & autentikasi) — server di Tokyo, Jepang.
  • Vercel (hosting aplikasi) — server di Singapura/Jakarta.
  • Resend (pengiriman email) — server di AS, melalui Amazon SES (region Asia Pacific).
  • DUITKU Payment Gateway (pemrosesan pembayaran) — server di Indonesia, terdaftar Bank Indonesia.

Kami TIDAK menjual data pribadi Anda kepada pihak ketiga untuk tujuan iklan atau marketing di luar OBARA.

5. Penyimpanan Data

Data Anda disimpan selama akun aktif. Setelah akun dihentikan, data akan dipertahankan selama 30 hari untuk memungkinkan reaktivasi atau ekspor, lalu dihapus secara permanen.

Pengecualian: data yang wajib disimpan untuk kepatuhan hukum (mis. invoice, log audit pembayaran) akan dipertahankan minimal 10 tahun sesuai UU Perpajakan.

6. Hak Anda sebagai Subjek Data

Sesuai UU PDP Pasal 5–14, Anda memiliki hak untuk:

  • Akses: meminta salinan data pribadi Anda yang kami simpan;
  • Koreksi: meminta pembaruan data yang tidak akurat;
  • Penghapusan: meminta penghapusan data tertentu (kecuali yang wajib disimpan untuk kepatuhan hukum);
  • Pembatasan pemrosesan: meminta penundaan pemrosesan data dalam keadaan tertentu;
  • Portabilitas data: menerima data Anda dalam format yang dapat dibaca mesin (mis. CSV, JSON);
  • Penolakan: menolak pemrosesan untuk tujuan pemasaran;
  • Penarikan persetujuan: kapan saja, tanpa memengaruhi keabsahan pemrosesan sebelum penarikan.

Untuk menggunakan hak ini, kirim permintaan ke connect@obara.my.id dengan menyertakan identitas akun Anda. Kami akan merespons dalam 14 hari kerja.

7. Keamanan Data

Kami menerapkan langkah keamanan teknis dan organisasional sesuai standar industri:

  • Enkripsi data saat transit (TLS 1.2+) dan saat istirahat (AES-256);
  • Password di-hash dengan algoritma bcrypt, tidak pernah disimpan plain;
  • Akses internal ke data dibatasi atas dasar need-to-know dan dicatat (audit log);
  • Row-Level Security (RLS) di database untuk isolasi data antar tenant;
  • Backup harian dengan retention 30 hari;
  • Pemantauan keamanan 24/7 dan tinjauan keamanan rutin.

8. Cookies dan Teknologi Pelacakan

Kami menggunakan cookies untuk: mempertahankan sesi login, menyimpan preferensi bahasa, dan analitik penggunaan (anonim, agregat). Kami TIDAK menggunakan cookies iklan pihak ketiga.

Anda dapat menolak cookies via pengaturan browser, namun beberapa fitur (mis. login) tidak akan berfungsi tanpa cookies sesi.

9. Transfer Data Antar-Negara

Beberapa penyedia layanan kami berlokasi di luar Indonesia (Tokyo, Singapura, AS). Sebelum transfer, kami memastikan negara tujuan memiliki tingkat perlindungan data yang setara atau lebih tinggi dari UU PDP, atau kami menggunakan Standard Contractual Clauses sebagai pengamanan.

10. Pelanggaran Keamanan

Jika terjadi pelanggaran keamanan yang berdampak pada data pribadi Anda, kami akan memberitahu Anda dan Otoritas Pelindungan Data dalam 72 jam sejak teridentifikasi, sesuai UU PDP Pasal 46.

11. Anak di Bawah Umur

Layanan OBARA tidak ditujukan untuk pengguna di bawah usia 18 tahun. Kami tidak secara sengaja mengumpulkan data anak. Jika Anda mengetahui adanya data anak yang tersimpan, hubungi kami untuk penghapusan segera.

12. Perubahan Kebijakan

Kebijakan ini dapat diperbarui sewaktu-waktu. Perubahan material akan diberitahukan melalui email minimal 14 hari sebelum efektif. Tanggal "berlaku efektif" di bagian atas halaman ini selalu menunjukkan versi terkini.

13. Kontak

Untuk pertanyaan, keluhan, atau penggunaan hak subjek data, hubungi:

Jika Anda merasa hak Anda tidak terpenuhi, Anda dapat mengajukan pengaduan ke Otoritas Pelindungan Data Pribadi sesuai mekanisme yang ditetapkan UU PDP.