Kebijakan Privasi

1. Pendahuluan

PT Amanah Sewa Nanjaya ("Arental", "kami") berkomitmen melindungi privasi data pribadi Anda. Kebijakan Privasi ini menjelaskan bagaimana kami mengumpulkan, menggunakan, menyimpan, dan melindungi informasi yang Anda berikan saat menggunakan layanan kami, termasuk situs web arental.co.id dan seluruh layanan penyewaan perangkat digital.

2. Dasar Hukum Pemrosesan

Pemrosesan data pribadi yang dilakukan Arental mengacu pada peraturan perundang-undangan Republik Indonesia berikut:

• UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) — kerangka utama hak subjek data dan kewajiban Pengendali Data.
• UU No. 11 Tahun 2008 jo. UU No. 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik (UU ITE) — pengaturan transaksi elektronik dan tanggung jawab penyelenggara sistem elektronik.
• PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE) — kewajiban registrasi dan kepatuhan PSE.
• Permenkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik — standar teknis pemrosesan dan keamanan data.

3. Data yang Kami Kumpulkan

Kami dapat mengumpulkan data berikut:

• Informasi identitas: nama lengkap, jabatan, dan nama perusahaan.
• Informasi kontak: alamat email, nomor telepon, dan alamat kantor.
• Informasi perusahaan: bidang usaha, ukuran perusahaan, dan kebutuhan perangkat.
• Data teknis: alamat IP, jenis browser, perangkat akses, dan data analitik situs web.
• Informasi transaksi: riwayat penyewaan, detail kontrak, faktur, dan catatan pembayaran.
• Data komunikasi: rekaman percakapan WhatsApp/email dengan tim sales dan helpdesk untuk keperluan service quality dan dispute resolution.

4. Penggunaan Data

Data pribadi Anda digunakan untuk:

• Memproses dan mengelola kontrak penyewaan perangkat.
• Memberikan dukungan teknis dan layanan purna jual.
• Mengirimkan penawaran, informasi produk, dan pembaruan layanan.
• Meningkatkan kualitas layanan dan pengalaman pengguna situs web.
• Memenuhi kewajiban hukum, audit pajak, dan peraturan yang berlaku.
• Mendeteksi dan mencegah fraud, penyalahgunaan layanan, serta menjaga keamanan sistem.

5. Perlindungan Data

Kami menerapkan langkah-langkah keamanan teknis dan organisasional sebagai berikut:

• Enkripsi data in-transit menggunakan TLS 1.2 atau lebih tinggi untuk seluruh komunikasi web dan API.
• Enkripsi data at-rest pada database produksi menggunakan AES-256 native cloud provider (Supabase/PostgreSQL).
• Kontrol akses berbasis peran (RBAC) dengan prinsip least-privilege untuk seluruh karyawan internal.
• Audit log seluruh akses data pribadi sensitif, di-review berkala oleh tim security dan compliance.
• Pelatihan rutin keamanan informasi dan kesadaran privasi bagi seluruh karyawan minimal 1x per tahun.

6. Pembagian Data

Kami tidak menjual atau menyewakan data pribadi Anda kepada pihak ketiga. Data hanya dapat dibagikan kepada:

• Mitra logistik yang membantu pengiriman dan instalasi perangkat.
• Penyedia layanan teknologi yang mendukung operasional kami (lihat daftar Pemroses Pihak Ketiga).
• Otoritas pemerintah bila diwajibkan oleh hukum yang berlaku atau perintah pengadilan yang sah.
• Pihak penerus dalam konteks merger, akuisisi, atau restrukturisasi korporat, dengan pemberitahuan sebelumnya kepada subjek data.

7. Pemroses Data Pihak Ketiga

Arental menggunakan penyedia layanan pihak ketiga berikut untuk pemrosesan data, masing-masing dengan tujuan spesifik dan komitmen keamanan yang terdokumentasi:

• Supabase (region ap-southeast-1, Singapura) — database utama untuk data klien, kontrak, dan transaksi; SOC 2 Type II compliant.
• Resend — pengiriman email transaksional (faktur, konfirmasi, notifikasi sistem) dari domain arental.co.id.
• Vercel — hosting infrastruktur web frontend dan edge functions; CDN global dengan region utama Singapore.
• Microsoft Clarity — analitik user behavior anonim (heatmap, session recording) untuk perbaikan UX situs.
• Google Analytics 4 — analitik trafik dan konversi dengan IP-anonymization aktif.
• Google Ads — pengukuran konversi campaign marketing; data event dikirim secara aggregated dan hashed.

8. Transfer Data Lintas Negara

Beberapa pemroses data Arental berbasis di luar Indonesia. Kami menerapkan safeguard berikut:

• Data domicile utama adalah Singapura (ap-southeast-1) untuk database produksi, yang berada dalam yurisdiksi dengan tingkat perlindungan data setara atau lebih tinggi dari Indonesia.
• Seluruh data in-transit ke pemroses luar negeri dienkripsi TLS 1.2+, dan data at-rest dienkripsi AES-256 di sisi pemroses.
• Setiap pemroses pihak ketiga terikat Data Processing Agreement (DPA) yang menetapkan standar perlindungan setara UU PDP.
• Klien dapat meminta laporan tahunan ringkasan transfer lintas negara melalui DPO untuk keperluan audit internal.

9. Cookie & Teknologi Pelacakan

Situs web kami menggunakan cookie untuk mengoperasikan situs serta mengukur performa analytics dan iklan agar kami dapat terus meningkatkan layanan. Kategori cookie yang kami gunakan:

• Cookie strictly necessary (session, theme preference, locale): retensi 1 tahun — fungsi inti situs, tidak dapat dinonaktifkan.
• Cookie analitik (Google Analytics 4 retensi 14 bulan, Microsoft Clarity retensi 1 tahun): mengukur cara situs digunakan agar kami dapat meningkatkan UX. Microsoft Clarity merekam heatmap dan replay sesi. Aktif secara default.
• Cookie marketing (Google Ads conversion tracking, retensi 90 hari): mengukur efektivitas campaign iklan. Aktif secara default.
• Mengelola cookie: untuk membatasi cookie analytics dan iklan, gunakan pengaturan privasi atau cookie pada browser Anda (blokir cookie pihak ketiga, aktifkan pencegahan pelacakan, atau gunakan jendela private/incognito), atau hubungi DPO kami via email.

10. Hak Anda

Sesuai Pasal 5–15 UU PDP, Anda memiliki hak untuk:

• Mengakses dan memperoleh salinan data pribadi Anda yang kami simpan.
• Meminta koreksi atas data yang tidak akurat atau tidak lengkap.
• Meminta penghapusan data pribadi Anda (right to erasure), dengan batasan kewajiban retensi hukum.
• Menolak penggunaan data untuk tujuan pemasaran (opt-out marketing).
• Menarik persetujuan yang sebelumnya telah diberikan, kapan saja, tanpa mempengaruhi keabsahan pemrosesan sebelum penarikan.
• Mengajukan keluhan kepada Lembaga Pelindungan Data Pribadi atau Kominfo bila merasa hak Anda dilanggar.

11. Data Protection Officer (DPO)

Arental menunjuk Data Protection Officer (DPO) sebagai narahubung resmi untuk seluruh urusan perlindungan data pribadi:

• Kontak DPO: email dpo@arental.co.id, ditujukan kepada "Data Protection Officer PT Amanah Sewa Nanjaya".
• Mekanisme permintaan: subjek data dapat mengajukan request akses/koreksi/hapus via email DPO dengan verifikasi identitas (KTP atau dokumen perusahaan yang sah).
• SLA respons: tanggapan awal dalam 7 Hari Kerja sejak permintaan diterima; penyelesaian penuh dalam maksimum 14 Hari Kerja, dapat diperpanjang 14 hari tambahan untuk permintaan kompleks dengan notifikasi tertulis.

12. Retensi Data

Periode penyimpanan data pribadi mengikuti kebutuhan operasional dan kewajiban hukum:

• Data kontrak aktif dan dokumen pendukung disimpan selama masa kontrak berlangsung plus 3 tahun setelah kontrak berakhir untuk keperluan dispute resolution.
• Dokumen perpajakan (faktur, bukti potong) disimpan selama 10 tahun sesuai PER-23/PJ/2020 dan Pasal 28 ayat (11) UU KUP.
• Data pemasaran (lead, prospect) disimpan maksimum 24 bulan sejak interaksi terakhir, kecuali subjek menarik persetujuan lebih awal.
• Data analitik web di-aggregate dan anonim dalam 14 bulan sesuai default retention Google Analytics 4.

13. Notifikasi Pelanggaran Data

Sesuai Pasal 46 UU PDP, Arental menjalankan protokol notifikasi pelanggaran data sebagai berikut:

• Insiden keamanan yang mengakibatkan kebocoran data pribadi akan dinotifikasi kepada subjek data dan otoritas pengawas (Kominfo/lembaga PDP) dalam maksimum 72 jam sejak insiden diketahui.
• Notifikasi memuat: jenis data terdampak, jumlah subjek terdampak, dampak yang mungkin terjadi, langkah mitigasi yang telah dan akan diambil.
• Klien korporat akan dinotifikasi terpisah via email DPO dan/atau executive contact yang terdaftar dalam Kontrak.
• Arental melakukan post-incident review dan menyediakan laporan final kepada klien terdampak dalam 30 Hari Kerja sejak insiden ditutup.

14. Data Anak di Bawah Umur

Layanan Arental ditujukan eksklusif untuk klien korporat dan profesional dewasa. Kami tidak secara sadar mengumpulkan data pribadi dari individu di bawah usia 18 tahun. Bila kami mengetahui bahwa data anak di bawah umur telah terkumpul tanpa persetujuan orang tua/wali yang sah, data tersebut akan segera dihapus dari seluruh sistem kami sesuai Pasal 25 UU PDP.

15. Persetujuan Pemasaran

Komunikasi pemasaran Arental tunduk pada mekanisme persetujuan eksplisit:

• Opt-in: subjek data secara aktif menyetujui menerima newsletter, promo, dan update produk melalui checkbox terpisah di form kontak atau halaman langganan.
• Opt-out: setiap email pemasaran dilengkapi link unsubscribe satu-klik di footer; permintaan opt-out diproses dalam 7 Hari Kerja.
• Komunikasi transaksional (faktur, konfirmasi kontrak, notifikasi service) tidak memerlukan opt-in dan tidak dapat di-opt-out selama kontrak aktif karena bersifat esensial layanan.

16. Perubahan Kebijakan

Arental berhak memperbarui Kebijakan Privasi ini sewaktu-waktu untuk mencerminkan perubahan layanan, teknologi, atau regulasi. Perubahan material akan dinotifikasi melalui email kepada subjek data terdaftar dan dipublikasikan di halaman ini minimal 30 hari sebelum berlaku efektif. Penggunaan layanan setelah tanggal efektif dianggap sebagai penerimaan kebijakan yang diperbarui.

17. Hubungi Kami

Jika Anda memiliki pertanyaan tentang Kebijakan Privasi ini atau ingin menggunakan hak Anda terkait data pribadi, silakan hubungi kami melalui email di sales@arental.co.id atau melalui halaman kontak di situs web kami.