Kebijakan Privasi

Terakhir diperbarui: 21 April 2026 · Versi v1-2026-04-21

Kebijakan Privasi ini mengatur bagaimana BorongAda (selanjutnya disebut "BorongAda", "kami", atau "Platform") mengumpulkan, menggunakan, menyimpan, dan melindungi data pribadi Anda sesuai Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP).

1. Identitas Pengendali Data

  • Nama Badan Usaha: PT BorongAda Indonesia {{TBC legal name}}
  • Alamat: Jakarta, DKI Jakarta, Indonesia {{TBC alamat lengkap}}
  • Email DPO: privacy@borongada.com
  • Email Kontak Umum: support@borongada.com

2. Jenis Data Pribadi yang Dikumpulkan

Kami mengumpulkan data pribadi berikut ketika Anda menggunakan Platform:

  • Alamat email (saat pendaftaran akun)
  • Nomor WhatsApp / ponsel (opsional, untuk notifikasi)
  • Nama perusahaan / badan usaha
  • NPWP badan usaha (untuk profil kualifikasi)
  • Kualifikasi SBU/KBLI yang dimasukkan pengguna
  • Riwayat pencarian dan preferensi filter
  • Metadata teknis (IP address, user agent, cookie) melalui Supabase Auth dan Google Cloud Run
  • Data transaksi pembayaran (disimpan oleh provider pembayaran mitra — lihat §7)

Kami tidak mengumpulkan data pribadi sensitif (SARA, orientasi seksual, kesehatan, biometrik) maupun data yang tidak relevan dengan layanan.

3. Tujuan Pengumpulan dan Dasar Hukum

  • Penyediaan layanan (mencari, memfilter, menyimpan pencarian tender) — dasar: pelaksanaan perjanjian (Pasal 20 ayat (2) huruf b UU PDP).
  • Pengiriman notifikasi tender — dasar: persetujuan Anda saat mendaftar (Pasal 20 ayat (2) huruf a).
  • Pemrosesan pembayaran dan penagihan — dasar: pelaksanaan perjanjian.
  • Keamanan dan pencegahan penyalahgunaan — dasar: kepentingan sah pengendali data (Pasal 20 ayat (2) huruf f).
  • Kepatuhan hukum (audit pajak, permintaan aparat penegak hukum yang sah) — dasar: kewajiban hukum.

4. Durasi Penyimpanan Data

Data pribadi disimpan selama akun aktif. Setelah akun dihapus atau dinonaktifkan:

  • Data akun dan kualifikasi: dihapus dalam 30 hari
  • Log transaksi pembayaran: disimpan 10 tahun (kewajiban pajak)
  • Log akses teknis: disimpan maksimum 12 bulan
  • Data tender publik (bukan data pribadi): disimpan 24 bulan sejak deadline, lalu diarsipkan

Detail kebijakan retensi tender ada di dokumen kebijakan kepatuhan scraper.

5. Hak-Hak Subjek Data Pribadi

Sesuai Pasal 5-13 UU PDP, Anda memiliki hak untuk:

  • Mengakses data pribadi Anda (unduh profil dari dashboard)
  • Memperbaiki data yang tidak akurat
  • Menghapus data dan akun
  • Memperoleh salinan (portabilitas data) dalam format terstruktur
  • Membatasi pemrosesan data tertentu
  • Menolak pemrosesan untuk profiling dan pemasaran
  • Mencabut persetujuan kapan saja tanpa memengaruhi pemrosesan sebelum pencabutan
  • Mengajukan keluhan kepada Kementerian Komunikasi dan Informatika / Lembaga Pelindungan Data Pribadi

Untuk menggunakan hak ini, hubungi privacy@borongada.com. Kami akan menanggapi dalam 14 hari kerja.

6. Transfer Data ke Pihak Ketiga

Kami menggunakan penyedia layanan berikut untuk menjalankan Platform:

  • Supabase Inc. (database + autentikasi) — data disimpan di region {{TBC region}}.
  • Google Cloud Platform (hosting Cloud Run di region asia-southeast1, Jakarta).
  • Fonnte (pengiriman notifikasi WhatsApp) — nomor ponsel diteruskan hanya untuk pengiriman pesan.
  • Resend (pengiriman notifikasi email).
  • Xendit / Midtrans / Stripe (pemrosesan pembayaran) — masing-masing memiliki kebijakan privasinya sendiri.

Kami tidak menjual data pribadi Anda. Transfer hanya dilakukan untuk keperluan operasional dengan perjanjian pemrosesan data (DPA) yang sah.

7. Cookie dan Pelacakan

Platform menggunakan cookie esensial untuk sesi login (Supabase Auth) dan preferensi tampilan. Kami tidak menggunakan cookie iklan pihak ketiga. Anda dapat menolak cookie via pengaturan browser; beberapa fitur mungkin tidak berfungsi jika cookie dinonaktifkan.

8. Keamanan Data

  • Komunikasi dienkripsi dengan TLS 1.2+ (HTTPS)
  • Data tersimpan terenkripsi at-rest oleh Supabase (AES-256)
  • Akses data dibatasi via Row-Level Security (RLS) di level database
  • Password di-hash dengan bcrypt oleh Supabase Auth (tidak pernah disimpan dalam plain text)
  • Audit log akses admin untuk deteksi anomali

9. Data Anak

Platform ditujukan untuk vendor usaha berbadan hukum dan tidak dimaksudkan untuk digunakan oleh anak di bawah 18 tahun. Kami tidak secara sadar mengumpulkan data pribadi anak.

10. Pelanggaran Data

Jika terjadi insiden keamanan yang memengaruhi data pribadi Anda, kami akan memberitahu Anda dan Lembaga Pelindungan Data Pribadi dalam waktu 3×24 jam sesuai kewajiban Pasal 46 UU PDP.

11. Perubahan Kebijakan

Kami dapat memperbarui kebijakan ini dari waktu ke waktu. Perubahan material akan diberitahukan melalui email minimal 30 hari sebelum berlaku. Versi terbaru selalu tersedia di halaman ini.

12. Kontak

Pertanyaan atau keluhan terkait data pribadi dapat dikirim ke:

Lihat juga: Syarat Penggunaan