Papan KerjaKebijakan Privasi Papan Kerja / Papan Kerja Privacy Policy
๐ฎ๐ฉ Bahasa Indonesia
1. Pendahuluan
Selamat datang di Papan Kerja, sebuah platform pasar (marketplace) yang menghubungkan pemberi tugas dengan pekerja harian/freelance di Indonesia. Kebijakan Privasi ini menjelaskan bagaimana PT Papan Kerja Nusantara ("Papan Kerja", "kami") mengumpulkan, menggunakan, menyimpan, dan melindungi data pribadi Anda saat Anda menggunakan aplikasi Papan Kerja (selanjutnya disebut "Aplikasi").
Kebijakan ini berlaku efektif sejak [Tanggal publikasi resmi di Google Play Store] dan disusun untuk mematuhi:
- Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi ("UU PDP")
- Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
- Peraturan terkait lainnya dari Kementerian Komunikasi dan Informatika dan Otoritas Jasa Keuangan
2. Definisi
- Data Pribadi: setiap data tentang seseorang baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya.
- Data Pribadi Bersifat Spesifik (sebagaimana didefinisikan dalam Pasal 4 UU PDP): mencakup data biometrik (foto KTP), data anak (kami tidak melayani anak di bawah 18 tahun), dan data keuangan pribadi.
- Pemberi Tugas: pengguna yang memposting pekerjaan/tugas pada Aplikasi.
- Pekerja: pengguna yang melamar dan/atau mengerjakan tugas dari Pemberi Tugas.
- Subjek Data: Anda, sebagai pengguna Aplikasi.
3. Data Pribadi yang Kami Kumpulkan
3.1. Data yang Anda berikan secara langsung
| Kategori | Contoh data | Saat dikumpulkan |
|---|---|---|
| Identitas akun | Nomor telepon, nama tampilan, tanggal lahir, alamat email (opsional jika menggunakan Google Sign-In) | Saat pendaftaran |
| Identitas terverifikasi (data spesifik) โ ๏ธ LEGAL | Foto KTP, Nomor Induk Kependudukan (NIK), nama lengkap dari KTP, alamat dari KTP, tanggal lahir dari KTP | Saat verifikasi KTP |
| Lokasi tugas | Alamat lengkap pekerjaan, koordinat (latitude/longitude) | Saat memposting atau melamar tugas |
| Informasi pembayaran | Nama bank, nomor rekening, nama pemilik rekening (untuk pencairan ke Pekerja) | Saat menambahkan akun pembayaran |
| Konten pengguna | Teks dan media dalam obrolan, foto/video/dokumen bukti pekerjaan, deskripsi tugas, rating dan ulasan | Saat menggunakan fitur terkait |
| Laporan dan keluhan | Isi laporan terhadap pengguna lain, tiket dukungan, banding terhadap keputusan | Saat melaporkan atau membuat tiket |
3.2. Data yang dikumpulkan secara otomatis
| Kategori | Contoh data |
|---|---|
| Data perangkat | Model perangkat, sistem operasi Android, versi aplikasi, pengidentifikasi perangkat (Android Advertising ID, Firebase Installation ID), token Firebase Cloud Messaging (FCM) untuk notifikasi push |
| Data penggunaan | Peristiwa pembukaan aplikasi, layar yang dikunjungi, fitur yang digunakan, durasi sesi (melalui Firebase Analytics) |
| Data error | Catatan crash, stack trace, kondisi perangkat saat error (melalui Firebase Crashlytics) |
| Saldo dan riwayat dompet | Saldo dompet aplikasi, riwayat top-up, riwayat penarikan, riwayat transaksi |
3.3. Data yang TIDAK kami kumpulkan
Kami tidak mengumpulkan: data kesehatan, orientasi seksual, keyakinan politik atau agama, data kartu kredit (transaksi pembayaran ditangani sepenuhnya oleh Durianpay), data biometrik selain foto KTP.
4. Tujuan Pengumpulan dan Dasar Hukum Pemrosesan
Kami memproses Data Pribadi Anda untuk tujuan berikut:
| Tujuan | Dasar hukum (UU PDP Pasal 20) |
|---|---|
| Menyediakan layanan inti Aplikasi (mempertemukan Pemberi Tugas dan Pekerja, memfasilitasi transaksi, mengelola dompet) | Pelaksanaan perjanjian (Pasal 20 ayat 2 huruf b) |
| Verifikasi identitas pengguna untuk keamanan transaksi (KTP/NIK) | Persetujuan tegas Subjek Data (Pasal 20 ayat 2 huruf a) โ Anda secara eksplisit menyetujui unggah KTP pada saat onboarding |
| Memfasilitasi pembayaran dan pencairan dana melalui Durianpay | Pelaksanaan perjanjian |
| Mencegah penipuan, pelanggaran ketentuan layanan, atau aktivitas mencurigakan | Kepentingan sah pengendali (Pasal 20 ayat 2 huruf f) |
| Komunikasi terkait layanan (notifikasi pesanan, status verifikasi, peringatan keamanan) | Pelaksanaan perjanjian |
| Analisis penggunaan dan peningkatan layanan (agregat dan/atau anonim) | Kepentingan sah pengendali |
| Mematuhi kewajiban hukum (pajak, audit, permintaan otoritas penegak hukum) | Pelaksanaan kewajiban hukum (Pasal 20 ayat 2 huruf c) |
| Mengirim notifikasi pemasaran (akan diaktifkan pada rilis mendatang dengan opt-in eksplisit) | Persetujuan |
5. Pihak Ketiga yang Memproses Data
Data Anda dapat dibagikan kepada pihak ketiga berikut, hanya sebatas yang diperlukan untuk menyediakan layanan:
| Pihak ketiga | Tujuan | Lokasi pemrosesan |
|---|---|---|
| Google LLC (Firebase) โ Firebase Authentication, Firestore, Cloud Storage, Cloud Functions, Cloud Messaging, Crashlytics, Analytics | Infrastruktur teknis: penyimpanan data, autentikasi, fungsi backend, analitik | Asia Tenggara (region asia-southeast2, Jakarta), Amerika Serikat untuk beberapa layanan |
| Durianpay | Pemrosesan pembayaran (top-up dompet, pembayaran pekerjaan, pencairan dana ke Pekerja). Durianpay adalah Penyedia Jasa Pembayaran (PJP) berlisensi Bank Indonesia. | Indonesia |
| Google LLC (Google Play Services, Google Sign-In, Google Maps API) | Verifikasi keaslian aplikasi (Play Integrity), otentikasi opsional dengan akun Google, pemetaan lokasi tugas | Global |
| Fazpass (penyedia layanan verifikasi OTP) | Pengiriman kode OTP (One-Time Password) untuk verifikasi nomor telepon, dikirim melalui WhatsApp | Indonesia; pengiriman WhatsApp melalui infrastruktur Meta Platforms (global) |
Kami tidak menjual Data Pribadi Anda kepada pihak ketiga manapun untuk tujuan pemasaran.
6. Transfer Data Lintas Batas Negara โ ๏ธ LEGAL
Sebagian Data Pribadi Anda dapat ditransfer ke negara di luar Indonesia (khususnya untuk layanan Firebase yang sebagian infrastrukturnya berada di Amerika Serikat dan negara lain). Sesuai Pasal 56 UU PDP, transfer lintas batas dilakukan dengan memastikan negara penerima memiliki tingkat pelindungan yang setara, atau berdasarkan perjanjian yang memadai dengan penyedia layanan, atau dengan persetujuan Anda. Google LLC (induk Firebase) memiliki sertifikasi keamanan internasional (ISO 27001, SOC 2/3) dan menyediakan Standard Contractual Clauses (SCC) untuk transfer data.
7. Lama Penyimpanan Data
| Kategori data | Lama penyimpanan |
|---|---|
| Akun aktif (data dasar pengguna) | Selama akun masih aktif |
| Foto dan media obrolan | 365 hari sejak diunggah (kebijakan siklus hidup Cloud Storage) |
| Pesan obrolan tugas (teks) | Diarsipkan 12 jam setelah pekerjaan ditutup ATAU 122 jam setelah pesan terakhir (mana yang lebih dulu); akses pengguna terbatas setelah arsip; penghapusan total mengikuti retensi 365 hari |
| Pesan langsung dari Tim Papan Kerja (adminโpengguna) | Disimpan tanpa pengarsipan otomatis untuk menjaga kelanjutan riwayat dukungan; pengguna dapat membalas kapan saja; penghapusan total mengikuti retensi 365 hari |
Riwayat notifikasi dalam aplikasi (/notifications) |
90 hari setelah notifikasi dibuat |
| Foto dan media bukti pekerjaan | 365 hari sejak pekerjaan diselesaikan |
| Riwayat transaksi dompet dan pembayaran | Disimpan untuk keperluan audit dan kepatuhan pajak, sekurang-kurangnya 5 tahun sebagaimana disyaratkan oleh peraturan perpajakan Indonesia |
Log audit administratif (/userAccountLog, /walletReviewLog) |
365 hari setelah pencatatan |
Notifikasi peringatan sistem (/alerts) yang terselesaikan |
30 hari setelah resolusi |
| Lamaran kerja status terminal (ditolak/dibatalkan) | 60 hari setelah status final |
Saldo dompet historis (/balanceHistory) |
90 hari setelah pencatatan |
Kunci idempotensi pembayaran (/idempotencyKeys) |
Sampai kedaluwarsa (~24 jam) |
| Foto KTP dan data verifikasi identitas | Selama akun aktif; setelah penghapusan akun, dihapus permanen kecuali ada kewajiban hukum untuk mempertahankan (penyelidikan, sengketa, audit pajak) |
| Ulasan dan rating | Disimpan permanen untuk akurasi reputasi pasar (pengguna lain dapat melihat rating historis pihak yang diulas) โ bahkan setelah akun yang diulas dihapus, ulasan tetap muncul atas akun penulis ulasan |
8. Keamanan Data
Kami menerapkan langkah-langkah teknis dan organisasi untuk melindungi Data Pribadi Anda:
- Enkripsi dalam transit: semua komunikasi antara aplikasi dan server menggunakan HTTPS/TLS.
- Enkripsi saat istirahat: data di Firestore dan Cloud Storage dienkripsi otomatis menggunakan kunci yang dikelola Google.
- Kontrol akses berbasis aturan: aturan keamanan Firestore (
firestore.rules) dan Cloud Storage (storage.rules) membatasi akses data hanya untuk pemilik dan pihak yang berwenang. - Verifikasi keaslian aplikasi: melalui Google Play Integrity API untuk mencegah aplikasi tiruan.
- Pemantauan dan audit: log audit untuk seluruh tindakan administratif yang sensitif, ditinjau secara berkala.
- Pembatasan akses internal: anggota Tim Papan Kerja memiliki akses berbasis peran dengan otentikasi multi-faktor.
Meskipun demikian, tidak ada sistem yang sepenuhnya aman. Anda bertanggung jawab atas keamanan kredensial akun Anda sendiri (jangan membagikan OTP atau password kepada siapapun).
9. Hak Anda sebagai Subjek Data โ ๏ธ LEGAL
Sesuai dengan UU PDP, Anda memiliki hak-hak berikut atas Data Pribadi Anda:
| Hak (UU PDP Pasal 5-13) | Cara menggunakan |
|---|---|
| Hak untuk mengakses dan memperoleh salinan data pribadi | Hubungi [email protected] dengan subjek "Permintaan Akses Data" โ kami akan menyediakan salinan data pribadi Anda dalam waktu paling lambat 3 ร 24 jam |
| Hak untuk memperbaharui dan/atau memperbaiki data yang tidak akurat | Aplikasi โ Profil โ Ubah informasi pribadi |
| Hak untuk mengakhiri pemrosesan, menghapus, dan/atau memusnahkan data pribadi | Aplikasi โ Pengaturan โ Hapus Akun. Penghapusan akun akan menghapus data pribadi Anda kecuali yang wajib dipertahankan untuk kewajiban hukum (transaksi keuangan, log audit). |
| Hak untuk menarik kembali persetujuan | Hubungi [email protected] โ penarikan persetujuan dapat berarti penghentian sebagian atau seluruh layanan |
| Hak untuk menolak tindakan pengambilan keputusan otomatis | Aplikasi tidak menggunakan keputusan otomatis yang berdampak hukum signifikan terhadap pengguna |
| Hak untuk mengajukan keberatan atas pemrosesan | Hubungi [email protected] |
| Hak untuk menunda atau membatasi pemrosesan | Hubungi [email protected] |
| Hak untuk mengajukan gugatan atas pelanggaran | Anda dapat mengajukan pengaduan kepada Lembaga Pelindungan Data Pribadi (setelah lembaga tersebut terbentuk) atau pengadilan |
| Hak untuk mendapatkan ganti rugi atas pelanggaran | Sesuai mekanisme hukum yang berlaku |
Kami akan menanggapi permintaan Anda dalam waktu paling lama 3 ร 24 jam untuk permintaan akses dan paling lama 30 hari kerja untuk permintaan lainnya, sesuai standar UU PDP.
10. Pemberitahuan Insiden Kebocoran Data โ ๏ธ LEGAL
Sesuai Pasal 46 UU PDP, dalam hal terjadi insiden kebocoran Data Pribadi, kami akan:
- Memberitahukan Anda dalam waktu paling lama 3 ร 24 jam setelah kami mengetahui insiden tersebut, dengan menjelaskan: data yang terdampak, waktu dan tanggal insiden, upaya penanganan yang sudah dilakukan, dan langkah pencegahan ke depan.
- Memberitahukan Lembaga PDP (setelah terbentuk) dalam tenggat waktu yang sama.
11. Anak-Anak
Aplikasi Papan Kerja ditujukan untuk pengguna berusia 18 tahun ke atas. Kami tidak secara sadar mengumpulkan Data Pribadi dari anak-anak di bawah 18 tahun. Jika Anda mengetahui bahwa anak Anda telah memberikan Data Pribadi kepada kami, harap hubungi kami untuk penghapusan segera.
12. Perubahan Kebijakan Privasi
Kami dapat memperbarui Kebijakan Privasi ini dari waktu ke waktu. Perubahan material akan diberitahukan melalui aplikasi (notifikasi in-app) dan email terdaftar Anda paling lambat 7 hari kalender sebelum berlaku. Penggunaan Aplikasi setelah tanggal efektif perubahan berarti Anda menerima pembaruan tersebut.
13. Kontak Kami
Untuk pertanyaan, permintaan hak Subjek Data, atau keluhan terkait privasi:
- Pengendali Data: PT Papan Kerja Nusantara
- Alamat: Jalan Puskesmas, Desa/Kelurahan Dukuh, Kec. Kramatjati, Kota Adm. Jakarta Timur, Provinsi DKI Jakarta, Kode Pos: 13550
- Email umum: [email protected]
- Email Petugas Pelindungan Data (DPO): [email protected]
- Nomor registrasi (NIB / nomor pendaftaran PSE): 1205260123504
๐ฌ๐ง English (Reference Translation)
The Bahasa Indonesia version above is the authoritative version; this English section is a reference translation for international reviewers (e.g., Google Play review team) and future expansion.
1. Introduction
Welcome to Papan Kerja, a marketplace platform connecting task posters with freelance/daily workers in Indonesia. This Privacy Policy explains how PT Papan Kerja Nusantara ("Papan Kerja", "we") collects, uses, stores, and protects your personal data when you use the Papan Kerja application (the "App").
This policy is effective as of [Tanggal publikasi resmi di Google Play Store] and is designed to comply with:
- Law No. 27 of 2022 on Personal Data Protection ("PDP Law")
- Government Regulation No. 71 of 2019 on the Implementation of Electronic Systems and Transactions
- Other applicable regulations from the Ministry of Communication and Informatics and the Financial Services Authority
2. Definitions
- Personal Data: any data about an identified or identifiable natural person.
- Specific Personal Data (as defined in Article 4 of the PDP Law): includes biometric data (KTP photos), children's data (we do not serve users under 18), and personal financial data.
- Task Poster: a user who posts a job/task on the App.
- Worker: a user who applies for and/or performs a Task Poster's task.
- Data Subject: you, as a user of the App.
3. Personal Data We Collect
3.1. Data you provide directly
| Category | Examples | When collected |
|---|---|---|
| Account identity | Phone number, display name, date of birth, email (optional with Google Sign-In) | At registration |
| Verified identity (specific data) | KTP photo, National Identification Number (NIK), full name and address from KTP, date of birth from KTP | During KTP verification |
| Job location | Job address, coordinates (latitude/longitude) | When posting or applying for jobs |
| Payment information | Bank name, account number, account holder name (for disbursements to Workers) | When adding a payout account |
| User-generated content | Text and media in chats, proof photos/videos/documents, job descriptions, ratings and reviews | When using related features |
| Reports and complaints | Report content against other users, support tickets, appeals against decisions | When reporting or creating tickets |
3.2. Data collected automatically
| Category | Examples |
|---|---|
| Device data | Device model, Android OS, app version, device identifiers (Android Advertising ID, Firebase Installation ID), FCM push notification token |
| Usage data | App open events, screens visited, features used, session duration (via Firebase Analytics) |
| Error data | Crash logs, stack traces, device state at error time (via Firebase Crashlytics) |
| Wallet and transaction history | App wallet balance, top-up history, withdrawal history, transaction history |
3.3. Data we do NOT collect
We do not collect: health data, sexual orientation, political or religious beliefs, credit card data (payment transactions are handled entirely by Durianpay), biometric data other than KTP photos.
4. Purposes and Lawful Basis for Processing
We process your Personal Data for the following purposes:
| Purpose | Lawful basis (PDP Law Article 20) |
|---|---|
| Providing core App services (matching Task Posters and Workers, facilitating transactions, managing wallets) | Performance of a contract |
| Identity verification for transaction safety (KTP/NIK) | Explicit consent of the Data Subject โ given during onboarding |
| Facilitating payments and disbursements via Durianpay | Performance of a contract |
| Preventing fraud, terms-of-service violations, or suspicious activity | Legitimate interest of the controller |
| Service-related communications (order notifications, verification status, security alerts) | Performance of a contract |
| Usage analytics and service improvement (aggregated/anonymized) | Legitimate interest of the controller |
| Complying with legal obligations (tax, audit, law-enforcement requests) | Compliance with legal obligations |
| Marketing notifications (to be enabled in future releases with explicit opt-in) | Consent |
5. Third Parties Processing Data
Your data may be shared with the following third parties, only to the extent necessary to provide services:
| Third party | Purpose | Processing location |
|---|---|---|
| Google LLC (Firebase) โ Firebase Authentication, Firestore, Cloud Storage, Cloud Functions, Cloud Messaging, Crashlytics, Analytics | Technical infrastructure: data storage, authentication, backend functions, analytics | Southeast Asia (asia-southeast2, Jakarta), United States for some services |
| Durianpay | Payment processing (wallet top-up, job payments, disbursements to Workers). Durianpay is a Bank Indonesia-licensed Payment Service Provider (PJP). | Indonesia |
| Google LLC (Google Play Services, Google Sign-In, Google Maps API) | App integrity verification (Play Integrity), optional authentication with Google account, location mapping for jobs | Global |
| Fazpass (OTP verification service provider) | Delivery of OTP (One-Time Password) codes for phone number verification, sent via WhatsApp | Indonesia; WhatsApp delivery via Meta Platforms infrastructure (global) |
We do NOT sell your Personal Data to any third party for marketing purposes.
6. Cross-Border Data Transfer
Some of your Personal Data may be transferred to countries outside Indonesia (in particular for Firebase services, parts of whose infrastructure are located in the United States and other countries). In accordance with Article 56 of the PDP Law, cross-border transfers are conducted by ensuring the recipient country has an equivalent level of protection, or under an adequate agreement with the service provider, or with your consent. Google LLC (Firebase's parent) holds international security certifications (ISO 27001, SOC 2/3) and provides Standard Contractual Clauses (SCC) for data transfers.
7. Data Retention
| Data category | Retention period |
|---|---|
| Active account (basic user data) | While the account is active |
| Chat photos and media | 365 days from upload (Cloud Storage lifecycle policy) |
| Job chat messages (text) | Archived 12 hours after job closure OR 122 hours after last message (whichever earlier); user access limited post-archive; full deletion follows 365-day retention |
| Direct messages from Tim Papan Kerja (adminโuser) | Retained without automatic archival to preserve support history continuity; users may reply at any time; full deletion follows 365-day retention |
In-app notification history (/notifications) |
90 days after the notification is created |
| Proof photos and media | 365 days after job completion |
| Wallet and payment transaction history | Retained for audit and tax compliance, minimum 5 years as required by Indonesian tax regulations |
Administrative audit logs (/userAccountLog, /walletReviewLog) |
365 days after the event |
Resolved system alerts (/alerts) |
30 days after resolution |
| Terminal-state job applications (rejected/cancelled) | 60 days after final status |
Historical wallet balance (/balanceHistory) |
90 days after the snapshot |
Payment idempotency keys (/idempotencyKeys) |
Until expiry (~24 hours) |
| KTP photos and identity verification data | While the account is active; permanently deleted after account deletion unless a legal hold applies |
| Reviews and ratings | Retained permanently for marketplace reputation accuracy (other users can see historical ratings of the reviewed party) โ even after the reviewed account is deleted, reviews remain attached to the reviewer's account |
8. Data Security
We implement technical and organizational measures to protect your Personal Data:
- Encryption in transit: all communication between the App and servers uses HTTPS/TLS.
- Encryption at rest: data in Firestore and Cloud Storage is automatically encrypted with Google-managed keys.
- Rule-based access control: Firestore (
firestore.rules) and Cloud Storage (storage.rules) security rules restrict data access to owners and authorized parties only. - App integrity verification: via Google Play Integrity API to prevent counterfeit apps.
- Monitoring and auditing: audit logs for all sensitive administrative actions, reviewed periodically.
- Internal access controls: Papan Kerja Team members have role-based access with multi-factor authentication.
Despite our measures, no system is entirely secure. You are responsible for the security of your own account credentials (never share OTP codes or passwords with anyone).
9. Your Rights as a Data Subject
In accordance with the PDP Law, you have the following rights over your Personal Data:
| Right (PDP Law Articles 5-13) | How to exercise |
|---|---|
| Right to access and obtain a copy of personal data | Contact [email protected] with the subject "Data Access Request" โ we will provide a copy of your personal data within 3 ร 24 hours |
| Right to update and/or correct inaccurate data | App โ Profile โ Edit personal information |
| Right to terminate processing, delete, and/or destroy personal data | App โ Settings โ Delete Account. Account deletion removes your personal data except where retention is legally required (financial transactions, audit logs). |
| Right to withdraw consent | Contact [email protected] โ withdrawal of consent may mean partial or complete termination of service |
| Right to object to automated decision-making | The App does not use automated decisions with significant legal effects on users |
| Right to object to processing | Contact [email protected] |
| Right to delay or restrict processing | Contact [email protected] |
| Right to file a complaint for violations | You may file complaints with the Personal Data Protection Authority (once established) or the courts |
| Right to compensation for violations | Per applicable legal mechanisms |
We respond to your requests within 3 ร 24 hours for access requests and within 30 working days for other requests, per PDP Law standards.
10. Data Breach Notification
In accordance with Article 46 of the PDP Law, in the event of a Personal Data breach incident, we will:
- Notify you within 3 ร 24 hours of becoming aware of the incident, explaining: data affected, time and date of incident, mitigation actions taken, and future prevention steps.
- Notify the Data Protection Authority (once established) within the same time frame.
11. Children
The Papan Kerja App is intended for users 18 years of age and older. We do not knowingly collect Personal Data from children under 18. If you become aware that your child has provided Personal Data to us, please contact us for immediate deletion.
12. Changes to the Privacy Policy
We may update this Privacy Policy from time to time. Material changes will be notified through the app (in-app notification) and your registered email at least 7 calendar days before they take effect. Continued use of the App after the effective date of changes means you accept the update.
13. Contact Us
For questions, Data Subject rights requests, or privacy-related complaints:
- Data Controller: PT Papan Kerja Nusantara
- Address: Jalan Puskesmas, Desa/Kelurahan Dukuh, Kec. Kramatjati, Kota Adm. Jakarta Timur, Provinsi DKI Jakarta, Kode Pos: 13550
- General email: [email protected]
- Data Protection Officer (DPO) email: [email protected]
- Registration number (NIB / PSE registration number): 1205260123504