Kebijakan Privasi ini ("Kebijakan") merupakan dokumen yang mengikat secara hukum antara Anda ("Pengguna") dengan AULAA, layanan rapat video yang dioperasikan oleh penyelenggara sebagaimana diidentifikasi pada Bagian 14 ("AULAA", "kami"). Kebijakan ini disusun untuk mematuhi Undang-Undang Republik Indonesia Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi ("UU PDP"), Undang-Undang Nomor 11 Tahun 2008 sebagaimana diubah dengan Undang-Undang Nomor 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik ("UU ITE"), Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik ("PP PSTE"), serta Google API Services User Data Policy termasuk Limited Use Policy. Dengan mengakses atau menggunakan AULAA, Anda menyatakan telah membaca, memahami, dan menyetujui keseluruhan isi Kebijakan ini.
1Definisi
Untuk keperluan Kebijakan ini, istilah berikut memiliki arti sebagai berikut:
1.1Data Pribadi
Setiap data tentang seseorang yang teridentifikasi atau dapat diidentifikasi, baik secara tersendiri maupun dikombinasikan dengan informasi lain, sebagaimana dimaksud dalam Pasal 1 angka 1 UU PDP.
1.2Subjek Data Pribadi
Pengguna yang Data Pribadinya diproses, sebagaimana dimaksud dalam Pasal 1 angka 6 UU PDP.
1.3Pengendali Data Pribadi
AULAA, sebagai pihak yang menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi.
1.4Prosesor Data Pribadi
Penyedia infrastruktur dan layanan pihak ketiga yang memproses Data Pribadi atas nama AULAA berdasarkan kontrak pengolahan data.
1.5Layanan
Platform rapat video AULAA, termasuk aplikasi web, aplikasi mobile, API publik, dan seluruh fitur yang menyertainya.
1.6Data Google
Data yang Anda izinkan untuk diakses oleh AULAA melalui Google OAuth 2.0, sebagaimana dirinci pada Bagian 6.
2Dasar Hukum Pemrosesan
Pemrosesan Data Pribadi oleh AULAA didasarkan pada salah satu atau lebih dasar hukum berikut, sebagaimana diatur dalam Pasal 20 UU PDP:
2.1Persetujuan eksplisit
Persetujuan yang sah, spesifik, terinformasi, dan jelas dari Subjek Data — diberikan saat Anda membuat akun atau mengaktifkan integrasi opsional (mis. Google Calendar sync).
2.2Pemenuhan kontrak
Pemrosesan yang diperlukan untuk pelaksanaan kontrak penyediaan Layanan kepada Anda (mis. menampilkan profil Anda kepada peserta rapat).
2.3Kewajiban hukum
Pemrosesan untuk pemenuhan kewajiban hukum AULAA (mis. retensi log untuk kepentingan audit perpajakan atau permintaan aparat penegak hukum yang sah).
2.4Kepentingan sah
Pemrosesan untuk kepentingan sah AULAA yang tidak melebihi hak dan kepentingan Subjek Data (mis. deteksi penyalahgunaan, keamanan akun).
3Kategori Data Pribadi yang Diproses
Kami mengumpulkan dan memproses kategori Data Pribadi berikut, dengan dasar hukum dan tujuan yang berbeda-beda:
3.1Data identitas & akun
Nama lengkap, alamat email, kata sandi (di-hash menggunakan algoritma bcrypt dan tidak pernah disimpan dalam bentuk plaintext), foto profil, preferensi bahasa, zona waktu. Sumber: pendaftaran langsung atau Google Sign-In. Dasar hukum: 2.1, 2.2.
3.2Data konten rapat
Judul rapat, jadwal, daftar peserta, log pesan chat dalam rapat, dan daftar tamu yang diundang. AULAA tidak pernah menyimpan stream audio atau video di server kami. Seluruh media ditransmisikan secara real-time antar perangkat peserta melalui media server, tanpa di-cache, di-rekam, atau di-arsipkan oleh AULAA. Apabila Pengguna menggunakan fitur perekaman, perekaman berjalan sepenuhnya di sisi perangkat klien (client-side); file rekaman yang dihasilkan tersimpan secara eksklusif di perangkat Pengguna sendiri dan tidak pernah diunggah ke infrastruktur AULAA. Dasar hukum: 2.2.
3.3Data teknis & perangkat
Alamat IP, jenis perangkat, model browser, versi sistem operasi, identifier sesi, log aktivitas autentikasi. Digunakan untuk diagnostik teknis, deteksi anomali, dan keamanan akun. Dasar hukum: 2.4.
3.4Data penggunaan
Statistik agregat tanpa pengidentifikasi langsung: jumlah rapat per bulan, rata-rata jumlah peserta, durasi rata-rata. Konten percakapan tidak pernah dianalisis. Dasar hukum: 2.4.
3.5Data komunikasi
Korespondensi yang Anda kirimkan kepada tim dukungan AULAA, termasuk lampiran. Dasar hukum: 2.1, 2.2.
4Tujuan Pemrosesan
Data Pribadi diproses semata-mata untuk tujuan-tujuan berikut, dan tidak akan digunakan untuk tujuan lain tanpa persetujuan tambahan dari Anda:
4.1Penyediaan Layanan
Membuat dan memelihara akun, menyediakan room rapat, menyinkronkan peserta, memproses kalender, mengirim undangan dan pengingat.
4.2Komunikasi pelayanan
Mengirimkan notifikasi penting terkait keamanan akun, perubahan Kebijakan, pemberitahuan downtime terjadwal, dan tanggapan permintaan dukungan.
4.3Keamanan & integritas
Mendeteksi dan mencegah penyalahgunaan, fraud, spam, brute-force, dan aktivitas yang melanggar Persyaratan Layanan.
4.4Peningkatan Layanan
Analisis agregat untuk meningkatkan stabilitas, performa, dan pengalaman pengguna. Tidak dilakukan profiling individu untuk tujuan komersial.
4.5Kepatuhan hukum
Memenuhi kewajiban perundang-undangan yang berlaku, termasuk merespons permintaan resmi dari aparat penegak hukum yang sesuai dengan KUHAP dan peraturan terkait.
5Pemrosesan oleh Pihak Ketiga (Sub-processors)
AULAA dapat melibatkan pihak ketiga sebagai Prosesor Data Pribadi untuk mendukung penyediaan Layanan. Setiap pihak ketiga tersebut tunduk pada perjanjian pemrosesan data (Data Processing Agreement) yang mengikat secara hukum dan hanya boleh memproses Data Pribadi sesuai instruksi AULAA.
5.1Penyedia infrastruktur
Penyedia hosting cloud, jaringan pengiriman konten (CDN), dan media server WebRTC untuk transmisi audio/video. Akses dibatasi pada data teknis yang strictly necessary untuk pengoperasian.
5.2Penyedia autentikasi
Google LLC sebagai penyedia OAuth 2.0, bila Anda memilih masuk menggunakan Google Account. Pemrosesan tunduk pada Google Privacy Policy.
5.3Penyedia surat elektronik
Penyedia layanan email transaksional untuk mengirim notifikasi sistem (verifikasi email, reset kata sandi, pengingat rapat).
5.4Tidak ada penjualan data
AULAA tidak menjual, menyewakan, atau menukar Data Pribadi Anda kepada pihak ketiga manapun untuk tujuan periklanan, profiling komersial, atau tujuan lain di luar yang disebutkan dalam Kebijakan ini.
6Data Google & Kepatuhan Limited Use Policy
Apabila Anda memilih untuk menghubungkan akun AULAA dengan Google Account melalui OAuth 2.0, perlakuan terhadap Data Google diatur secara khusus oleh Bagian ini, sebagai tambahan atas ketentuan umum Kebijakan.
6.1Scope yang diminta
AULAA hanya meminta scope minimum yang diperlukan untuk fungsionalitas yang Anda aktifkan, yaitu:• "openid", "email", "profile" — untuk autentikasi dan menampilkan identitas dasar Anda.• "https://www.googleapis.com/auth/calendar.events" — opsional, hanya bila Anda mengaktifkan sinkronisasi Google Calendar untuk membuat dan mengelola event rapat AULAA di kalender Anda.Kami tidak meminta scope yang lebih luas dari yang dibutuhkan.
6.2Penggunaan terbatas (Limited Use)
Penggunaan dan transfer informasi yang diterima dari Google API ke aplikasi lain akan mematuhi Google API Services User Data Policy, termasuk persyaratan Limited Use. Secara khusus, AULAA tidak akan:• Menggunakan Data Google untuk menyajikan iklan, termasuk iklan ter-personalisasi atau ter-retargeting.• Mentransfer Data Google ke pihak ketiga kecuali sebagai sub-processor sebagaimana diatur Bagian 5, atau jika diharuskan oleh hukum.• Mengizinkan manusia membaca Data Google kecuali (i) dengan persetujuan eksplisit dari Anda, (ii) untuk keperluan keamanan (mis. investigasi penyalahgunaan), (iii) untuk mematuhi hukum yang berlaku, atau (iv) untuk keperluan operasional internal yang sudah di-anonimisasi/agregasi.• Menggunakan Data Google untuk melatih model machine learning yang digeneralisasi.
6.3Penyimpanan Data Google
Token OAuth disimpan dalam bentuk terenkripsi dan hanya dapat diakses oleh proses yang berwenang. Anda dapat mencabut akses kapan saja melalui dashboard izin Google Account di https://myaccount.google.com/permissions atau dari pengaturan akun AULAA.
6.4Penghapusan saat pencabutan
Apabila Anda mencabut akses Google, AULAA akan menghapus token autentikasi terkait dan menghentikan sinkronisasi Calendar dalam waktu paling lama 7 (tujuh) hari kalender.
7Retensi Data
Periode retensi berbeda berdasarkan kategori data:
7.1Data akun aktif
Disimpan selama akun Anda aktif. Akun yang tidak digunakan selama 24 (dua puluh empat) bulan berturut-turut akan ditandai untuk peninjauan dan dapat dinonaktifkan setelah pemberitahuan terlebih dahulu.
7.2Data rapat & chat log
Metadata rapat dan log chat disimpan paling lama 90 (sembilan puluh) hari kalender sejak rapat berakhir, kecuali Anda menghapusnya lebih awal melalui dashboard. AULAA tidak menyimpan stream audio/video maupun file rekaman. Apabila Anda menggunakan fitur perekaman, file rekaman tersimpan secara eksklusif di perangkat Anda sendiri — periode penyimpanan, lokasi, dan kontrol akses sepenuhnya berada di bawah kendali Anda.
7.3Data teknis & log keamanan
Disimpan paling lama 30 (tiga puluh) hari, kecuali diperlukan lebih lama untuk investigasi insiden atau pemenuhan kewajiban hukum.
7.4Penghapusan akun
Saat Anda menghapus akun, seluruh Data Pribadi terkait akan dihapus dari sistem produksi dalam waktu paling lama 30 hari, kecuali untuk data yang wajib dipertahankan secara hukum (mis. catatan transaksi keuangan).
8Hak-Hak Subjek Data
Sesuai Pasal 5 sampai dengan Pasal 15 UU PDP, Anda memiliki hak-hak berikut:
8.1Hak untuk mendapatkan informasi
Memperoleh kejelasan tentang identitas pengendali, dasar hukum, tujuan, dan kategori Data Pribadi yang diproses.
8.2Hak akses & salinan
Meminta salinan Data Pribadi Anda dalam format elektronik yang lazim dan terstruktur (portabilitas data).
8.3Hak koreksi
Meminta perbaikan terhadap Data Pribadi yang tidak akurat, tidak lengkap, atau menyesatkan.
8.4Hak penghapusan
Meminta penghapusan Data Pribadi yang tidak lagi diperlukan ("right to be forgotten").
8.5Hak menolak & membatasi
Menolak atau membatasi pemrosesan Data Pribadi dalam kondisi tertentu, terutama bila Anda mempersengketakan akurasi data atau menentang kepentingan sah pengendali.
8.6Hak mencabut persetujuan
Menarik kembali persetujuan kapan saja, tanpa mempengaruhi keabsahan pemrosesan yang telah dilakukan sebelum penarikan.
8.7Cara penggunaan hak
Permintaan dapat diajukan melalui email ke privacy@aulaa.co dengan subjek "Permintaan Hak Subjek Data". Kami akan menanggapi dalam waktu paling lama 3 (tiga) hari kerja dan menyelesaikannya paling lama 30 hari kerja, kecuali permintaan bersifat kompleks dan memerlukan perpanjangan yang akan diberitahukan kepada Anda.
9Transfer Data Lintas Negara
Server primer AULAA berada di wilayah Republik Indonesia / Asia Tenggara. Dalam hal terdapat transfer Data Pribadi ke luar wilayah hukum Republik Indonesia (mis. untuk pencadangan, dukungan teknis, atau pemrosesan oleh sub-processor), transfer tersebut akan dilaksanakan dengan tunduk pada Pasal 56 UU PDP, yang mensyaratkan adanya:• Tingkat pelindungan Data Pribadi di negara penerima yang setara atau lebih tinggi dari UU PDP; atau• Jaminan pelindungan yang memadai dan mengikat secara hukum (mis. klausul kontrak standar); atau• Persetujuan dari Subjek Data Pribadi.
10Keamanan & Tindakan Pelindungan
AULAA menerapkan langkah-langkah teknis dan organisatoris yang wajar untuk melindungi Data Pribadi dari akses tidak sah, pengubahan, pengungkapan, atau pemusnahan, termasuk: kontrol akses berbasis peran, autentikasi multi-faktor untuk akses administratif, pemisahan lingkungan produksi dan pengembangan, serta audit log untuk aktivitas sensitif. Meskipun demikian, tidak ada sistem yang sepenuhnya kebal terhadap risiko keamanan, sehingga Anda turut berperan menjaga kerahasiaan kredensial akun Anda.
11Pelaporan Insiden
Apabila terjadi kegagalan pelindungan Data Pribadi yang berdampak material terhadap Subjek Data, AULAA akan memberitahukan Subjek Data terdampak dan Otoritas Pelindungan Data Pribadi (sebagaimana ditetapkan dalam UU PDP) dalam waktu paling lama 3x24 jam, sesuai Pasal 46 UU PDP. Pemberitahuan akan mencakup deskripsi insiden, kategori data yang terdampak, langkah penanganan, dan rekomendasi mitigasi.
13Anak di Bawah Umur
Layanan AULAA ditujukan untuk pengguna berusia minimal 13 (tiga belas) tahun. Untuk Pengguna di bawah usia 17 tahun, persetujuan orang tua atau wali sah diperlukan sesuai Pasal 25 UU PDP dan Pasal 1 KUHPerdata. Apabila kami mengetahui bahwa akun didaftarkan oleh anak di bawah usia minimum tanpa persetujuan orang tua, akun akan dinonaktifkan dan Data Pribadi terkait akan dihapus.
14Pengendali Data & Kontak
Pengendali Data Pribadi untuk Layanan AULAA dapat dihubungi melalui: • Surat elektronik umum: hello@aulaa.co• Permintaan terkait privasi: privacy@aulaa.co• Petugas Pelindungan Data (DPO): dpo@aulaa.co• Pelaporan dugaan pelanggaran: legal@aulaa.co Anda juga berhak menyampaikan aduan kepada Otoritas Pelindungan Data Pribadi sebagaimana ditetapkan oleh UU PDP, apabila Anda menilai pemrosesan Data Pribadi oleh AULAA melanggar peraturan perundang-undangan.
15Perubahan Kebijakan
Kebijakan ini dapat diubah sewaktu-waktu untuk mencerminkan perubahan praktik pemrosesan, perubahan regulasi, atau perubahan Layanan. Perubahan material akan diberitahukan kepada Pengguna terdaftar melalui email setidaknya 30 (tiga puluh) hari sebelum berlaku, kecuali apabila perubahan mendesak diharuskan oleh hukum atau keadaan keamanan. Tanggal "Pembaruan terakhir" pada bagian atas dokumen ini akan diperbarui untuk setiap revisi. Penggunaan berlanjut atas Layanan setelah tanggal efektif perubahan menyatakan persetujuan Anda terhadap versi terbaru.