Kebijakan Privasi Papan Kerja / Papan Kerja Privacy Policy

🇮🇩 Bahasa Indonesia

1. Pendahuluan

Selamat datang di Papan Kerja, sebuah platform pasar (marketplace) yang menghubungkan pemberi tugas dengan pekerja harian/freelance di Indonesia. Kebijakan Privasi ini menjelaskan bagaimana PT Papan Kerja Nusantara ("Papan Kerja", "kami") mengumpulkan, menggunakan, menyimpan, dan melindungi data pribadi Anda saat Anda menggunakan aplikasi Papan Kerja (selanjutnya disebut "Aplikasi").

Kebijakan ini berlaku efektif sejak [Tanggal publikasi resmi di Google Play Store] dan disusun untuk mematuhi:

Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi ("UU PDP")
Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
Peraturan terkait lainnya dari Kementerian Komunikasi dan Informatika dan Otoritas Jasa Keuangan

2. Definisi

Data Pribadi: setiap data tentang seseorang baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya.
Data Pribadi Bersifat Spesifik (sebagaimana didefinisikan dalam Pasal 4 UU PDP): mencakup data biometrik (foto KTP), data anak (kami tidak melayani anak di bawah 18 tahun), dan data keuangan pribadi.
Pemberi Tugas: pengguna yang memposting pekerjaan/tugas pada Aplikasi.
Pekerja: pengguna yang melamar dan/atau mengerjakan tugas dari Pemberi Tugas.
Subjek Data: Anda, sebagai pengguna Aplikasi.

3. Data Pribadi yang Kami Kumpulkan

3.1. Data yang Anda berikan secara langsung

Kategori	Contoh data	Saat dikumpulkan
Identitas akun	Nomor telepon, nama tampilan, tanggal lahir, alamat email (opsional jika menggunakan Google Sign-In)	Saat pendaftaran
Identitas terverifikasi (data spesifik) ⚠️ LEGAL	Foto KTP, Nomor Induk Kependudukan (NIK), nama lengkap dari KTP, alamat dari KTP, tanggal lahir dari KTP	Saat verifikasi KTP
Lokasi tugas	Alamat lengkap pekerjaan, koordinat (latitude/longitude)	Saat memposting atau melamar tugas
Informasi pembayaran	Nama bank, nomor rekening, nama pemilik rekening (untuk pencairan ke Pekerja)	Saat menambahkan akun pembayaran
Konten pengguna	Teks dan media dalam obrolan, foto/video/dokumen bukti pekerjaan, deskripsi tugas, rating dan ulasan	Saat menggunakan fitur terkait
Laporan dan keluhan	Isi laporan terhadap pengguna lain, tiket dukungan, banding terhadap keputusan	Saat melaporkan atau membuat tiket

3.2. Data yang dikumpulkan secara otomatis

Kategori	Contoh data
Data perangkat	Model perangkat, sistem operasi Android, versi aplikasi, pengidentifikasi perangkat (Android Advertising ID, Firebase Installation ID), token Firebase Cloud Messaging (FCM) untuk notifikasi push
Data penggunaan	Peristiwa pembukaan aplikasi, layar yang dikunjungi, fitur yang digunakan, durasi sesi (melalui Firebase Analytics)
Data error	Catatan crash, stack trace, kondisi perangkat saat error (melalui Firebase Crashlytics)
Saldo dan riwayat dompet	Saldo dompet aplikasi, riwayat top-up, riwayat penarikan, riwayat transaksi

3.3. Data yang TIDAK kami kumpulkan

Kami tidak mengumpulkan: data kesehatan, orientasi seksual, keyakinan politik atau agama, data kartu kredit (transaksi pembayaran ditangani sepenuhnya oleh Durianpay), data biometrik selain foto KTP.

4. Tujuan Pengumpulan dan Dasar Hukum Pemrosesan

Kami memproses Data Pribadi Anda untuk tujuan berikut:

Tujuan	Dasar hukum (UU PDP Pasal 20)
Menyediakan layanan inti Aplikasi (mempertemukan Pemberi Tugas dan Pekerja, memfasilitasi transaksi, mengelola dompet)	Pelaksanaan perjanjian (Pasal 20 ayat 2 huruf b)
Verifikasi identitas pengguna untuk keamanan transaksi (KTP/NIK)	Persetujuan tegas Subjek Data (Pasal 20 ayat 2 huruf a) — Anda secara eksplisit menyetujui unggah KTP pada saat onboarding
Memfasilitasi pembayaran dan pencairan dana melalui Durianpay	Pelaksanaan perjanjian
Mencegah penipuan, pelanggaran ketentuan layanan, atau aktivitas mencurigakan	Kepentingan sah pengendali (Pasal 20 ayat 2 huruf f)
Komunikasi terkait layanan (notifikasi pesanan, status verifikasi, peringatan keamanan)	Pelaksanaan perjanjian
Analisis penggunaan dan peningkatan layanan (agregat dan/atau anonim)	Kepentingan sah pengendali
Mematuhi kewajiban hukum (pajak, audit, permintaan otoritas penegak hukum)	Pelaksanaan kewajiban hukum (Pasal 20 ayat 2 huruf c)
Mengirim notifikasi pemasaran (akan diaktifkan pada rilis mendatang dengan opt-in eksplisit)	Persetujuan

5. Pihak Ketiga yang Memproses Data

Data Anda dapat dibagikan kepada pihak ketiga berikut, hanya sebatas yang diperlukan untuk menyediakan layanan:

Pihak ketiga	Tujuan	Lokasi pemrosesan
Google LLC (Firebase) — Firebase Authentication, Firestore, Cloud Storage, Cloud Functions, Cloud Messaging, Crashlytics, Analytics	Infrastruktur teknis: penyimpanan data, autentikasi, fungsi backend, analitik	Asia Tenggara (region `asia-southeast2`, Jakarta), Amerika Serikat untuk beberapa layanan
Durianpay	Pemrosesan pembayaran (top-up dompet, pembayaran pekerjaan, pencairan dana ke Pekerja). Durianpay adalah Penyedia Jasa Pembayaran (PJP) berlisensi Bank Indonesia.	Indonesia
Google LLC (Google Play Services, Google Sign-In, Google Maps API)	Verifikasi keaslian aplikasi (Play Integrity), otentikasi opsional dengan akun Google, pemetaan lokasi tugas	Global
Fazpass (penyedia layanan verifikasi OTP)	Pengiriman kode OTP (One-Time Password) untuk verifikasi nomor telepon, dikirim melalui WhatsApp	Indonesia; pengiriman WhatsApp melalui infrastruktur Meta Platforms (global)

Kami tidak menjual Data Pribadi Anda kepada pihak ketiga manapun untuk tujuan pemasaran.

6. Transfer Data Lintas Batas Negara ⚠️ LEGAL

Sebagian Data Pribadi Anda dapat ditransfer ke negara di luar Indonesia (khususnya untuk layanan Firebase yang sebagian infrastrukturnya berada di Amerika Serikat dan negara lain). Sesuai Pasal 56 UU PDP, transfer lintas batas dilakukan dengan memastikan negara penerima memiliki tingkat pelindungan yang setara, atau berdasarkan perjanjian yang memadai dengan penyedia layanan, atau dengan persetujuan Anda. Google LLC (induk Firebase) memiliki sertifikasi keamanan internasional (ISO 27001, SOC 2/3) dan menyediakan Standard Contractual Clauses (SCC) untuk transfer data.

7. Lama Penyimpanan Data

Kategori data	Lama penyimpanan
Akun aktif (data dasar pengguna)	Selama akun masih aktif
Foto dan media obrolan	365 hari sejak diunggah (kebijakan siklus hidup Cloud Storage)
Pesan obrolan tugas (teks)	Diarsipkan 12 jam setelah pekerjaan ditutup ATAU 122 jam setelah pesan terakhir (mana yang lebih dulu); akses pengguna terbatas setelah arsip; penghapusan total mengikuti retensi 365 hari
Pesan langsung dari Tim Papan Kerja (admin↔pengguna)	Disimpan tanpa pengarsipan otomatis untuk menjaga kelanjutan riwayat dukungan; pengguna dapat membalas kapan saja; penghapusan total mengikuti retensi 365 hari
Riwayat notifikasi dalam aplikasi (`/notifications`)	90 hari setelah notifikasi dibuat
Foto dan media bukti pekerjaan	365 hari sejak pekerjaan diselesaikan
Riwayat transaksi dompet dan pembayaran	Disimpan untuk keperluan audit dan kepatuhan pajak, sekurang-kurangnya 5 tahun sebagaimana disyaratkan oleh peraturan perpajakan Indonesia
Log audit administratif (`/userAccountLog`, `/walletReviewLog`)	365 hari setelah pencatatan
Notifikasi peringatan sistem (`/alerts`) yang terselesaikan	30 hari setelah resolusi
Lamaran kerja status terminal (ditolak/dibatalkan)	60 hari setelah status final
Saldo dompet historis (`/balanceHistory`)	90 hari setelah pencatatan
Kunci idempotensi pembayaran (`/idempotencyKeys`)	Sampai kedaluwarsa (~24 jam)
Foto KTP dan data verifikasi identitas	Selama akun aktif; setelah penghapusan akun, dihapus permanen kecuali ada kewajiban hukum untuk mempertahankan (penyelidikan, sengketa, audit pajak)
Ulasan dan rating	Disimpan permanen untuk akurasi reputasi pasar (pengguna lain dapat melihat rating historis pihak yang diulas) — bahkan setelah akun yang diulas dihapus, ulasan tetap muncul atas akun penulis ulasan

8. Keamanan Data

Kami menerapkan langkah-langkah teknis dan organisasi untuk melindungi Data Pribadi Anda:

Enkripsi dalam transit: semua komunikasi antara aplikasi dan server menggunakan HTTPS/TLS.
Enkripsi saat istirahat: data di Firestore dan Cloud Storage dienkripsi otomatis menggunakan kunci yang dikelola Google.
Kontrol akses berbasis aturan: aturan keamanan Firestore (firestore.rules) dan Cloud Storage (storage.rules) membatasi akses data hanya untuk pemilik dan pihak yang berwenang.
Verifikasi keaslian aplikasi: melalui Google Play Integrity API untuk mencegah aplikasi tiruan.
Pemantauan dan audit: log audit untuk seluruh tindakan administratif yang sensitif, ditinjau secara berkala.
Pembatasan akses internal: anggota Tim Papan Kerja memiliki akses berbasis peran dengan otentikasi multi-faktor.

Meskipun demikian, tidak ada sistem yang sepenuhnya aman. Anda bertanggung jawab atas keamanan kredensial akun Anda sendiri (jangan membagikan OTP atau password kepada siapapun).

9. Hak Anda sebagai Subjek Data ⚠️ LEGAL

Sesuai dengan UU PDP, Anda memiliki hak-hak berikut atas Data Pribadi Anda:

Hak (UU PDP Pasal 5-13)	Cara menggunakan
Hak untuk mengakses dan memperoleh salinan data pribadi	Hubungi `support@papankerja.com` dengan subjek "Permintaan Akses Data" — kami akan menyediakan salinan data pribadi Anda dalam waktu paling lambat 3 × 24 jam
Hak untuk memperbaharui dan/atau memperbaiki data yang tidak akurat	Aplikasi → Profil → Ubah informasi pribadi
Hak untuk mengakhiri pemrosesan, menghapus, dan/atau memusnahkan data pribadi	Aplikasi → Pengaturan → Hapus Akun. Penghapusan akun akan menghapus data pribadi Anda kecuali yang wajib dipertahankan untuk kewajiban hukum (transaksi keuangan, log audit).
Hak untuk menarik kembali persetujuan	Hubungi `support@papankerja.com` — penarikan persetujuan dapat berarti penghentian sebagian atau seluruh layanan
Hak untuk menolak tindakan pengambilan keputusan otomatis	Aplikasi tidak menggunakan keputusan otomatis yang berdampak hukum signifikan terhadap pengguna
Hak untuk mengajukan keberatan atas pemrosesan	Hubungi `support@papankerja.com`
Hak untuk menunda atau membatasi pemrosesan	Hubungi `support@papankerja.com`
Hak untuk mengajukan gugatan atas pelanggaran	Anda dapat mengajukan pengaduan kepada Lembaga Pelindungan Data Pribadi (setelah lembaga tersebut terbentuk) atau pengadilan
Hak untuk mendapatkan ganti rugi atas pelanggaran	Sesuai mekanisme hukum yang berlaku

Kami akan menanggapi permintaan Anda dalam waktu paling lama 3 × 24 jam untuk permintaan akses dan paling lama 30 hari kerja untuk permintaan lainnya, sesuai standar UU PDP.

10. Pemberitahuan Insiden Kebocoran Data ⚠️ LEGAL

Sesuai Pasal 46 UU PDP, dalam hal terjadi insiden kebocoran Data Pribadi, kami akan:

Memberitahukan Anda dalam waktu paling lama 3 × 24 jam setelah kami mengetahui insiden tersebut, dengan menjelaskan: data yang terdampak, waktu dan tanggal insiden, upaya penanganan yang sudah dilakukan, dan langkah pencegahan ke depan.
Memberitahukan Lembaga PDP (setelah terbentuk) dalam tenggat waktu yang sama.

11. Anak-Anak

Aplikasi Papan Kerja ditujukan untuk pengguna berusia 18 tahun ke atas. Kami tidak secara sadar mengumpulkan Data Pribadi dari anak-anak di bawah 18 tahun. Jika Anda mengetahui bahwa anak Anda telah memberikan Data Pribadi kepada kami, harap hubungi kami untuk penghapusan segera.

12. Perubahan Kebijakan Privasi

Kami dapat memperbarui Kebijakan Privasi ini dari waktu ke waktu. Perubahan material akan diberitahukan melalui aplikasi (notifikasi in-app) dan email terdaftar Anda paling lambat 7 hari kalender sebelum berlaku. Penggunaan Aplikasi setelah tanggal efektif perubahan berarti Anda menerima pembaruan tersebut.

13. Kontak Kami

Untuk pertanyaan, permintaan hak Subjek Data, atau keluhan terkait privasi:

Pengendali Data: PT Papan Kerja Nusantara
Alamat: Jalan Puskesmas, Desa/Kelurahan Dukuh, Kec. Kramatjati, Kota Adm. Jakarta Timur, Provinsi DKI Jakarta, Kode Pos: 13550
Email umum: support@papankerja.com
Email Petugas Pelindungan Data (DPO): support@papankerja.com
Nomor registrasi (NIB / nomor pendaftaran PSE): 1205260123504

🇬🇧 English (Reference Translation)

The Bahasa Indonesia version above is the authoritative version; this English section is a reference translation for international reviewers (e.g., Google Play review team) and future expansion.

1. Introduction

Welcome to Papan Kerja, a marketplace platform connecting task posters with freelance/daily workers in Indonesia. This Privacy Policy explains how PT Papan Kerja Nusantara ("Papan Kerja", "we") collects, uses, stores, and protects your personal data when you use the Papan Kerja application (the "App").

This policy is effective as of [Tanggal publikasi resmi di Google Play Store] and is designed to comply with:

Law No. 27 of 2022 on Personal Data Protection ("PDP Law")
Government Regulation No. 71 of 2019 on the Implementation of Electronic Systems and Transactions
Other applicable regulations from the Ministry of Communication and Informatics and the Financial Services Authority

2. Definitions

Personal Data: any data about an identified or identifiable natural person.
Specific Personal Data (as defined in Article 4 of the PDP Law): includes biometric data (KTP photos), children's data (we do not serve users under 18), and personal financial data.
Task Poster: a user who posts a job/task on the App.
Worker: a user who applies for and/or performs a Task Poster's task.
Data Subject: you, as a user of the App.

3. Personal Data We Collect

3.1. Data you provide directly

Category	Examples	When collected
Account identity	Phone number, display name, date of birth, email (optional with Google Sign-In)	At registration
Verified identity (specific data)	KTP photo, National Identification Number (NIK), full name and address from KTP, date of birth from KTP	During KTP verification
Job location	Job address, coordinates (latitude/longitude)	When posting or applying for jobs
Payment information	Bank name, account number, account holder name (for disbursements to Workers)	When adding a payout account
User-generated content	Text and media in chats, proof photos/videos/documents, job descriptions, ratings and reviews	When using related features
Reports and complaints	Report content against other users, support tickets, appeals against decisions	When reporting or creating tickets

3.2. Data collected automatically

Category	Examples
Device data	Device model, Android OS, app version, device identifiers (Android Advertising ID, Firebase Installation ID), FCM push notification token
Usage data	App open events, screens visited, features used, session duration (via Firebase Analytics)
Error data	Crash logs, stack traces, device state at error time (via Firebase Crashlytics)
Wallet and transaction history	App wallet balance, top-up history, withdrawal history, transaction history

3.3. Data we do NOT collect

We do not collect: health data, sexual orientation, political or religious beliefs, credit card data (payment transactions are handled entirely by Durianpay), biometric data other than KTP photos.

4. Purposes and Lawful Basis for Processing

We process your Personal Data for the following purposes:

Purpose	Lawful basis (PDP Law Article 20)
Providing core App services (matching Task Posters and Workers, facilitating transactions, managing wallets)	Performance of a contract
Identity verification for transaction safety (KTP/NIK)	Explicit consent of the Data Subject — given during onboarding
Facilitating payments and disbursements via Durianpay	Performance of a contract
Preventing fraud, terms-of-service violations, or suspicious activity	Legitimate interest of the controller
Service-related communications (order notifications, verification status, security alerts)	Performance of a contract
Usage analytics and service improvement (aggregated/anonymized)	Legitimate interest of the controller
Complying with legal obligations (tax, audit, law-enforcement requests)	Compliance with legal obligations
Marketing notifications (to be enabled in future releases with explicit opt-in)	Consent

5. Third Parties Processing Data

Your data may be shared with the following third parties, only to the extent necessary to provide services:

Third party	Purpose	Processing location
Google LLC (Firebase) — Firebase Authentication, Firestore, Cloud Storage, Cloud Functions, Cloud Messaging, Crashlytics, Analytics	Technical infrastructure: data storage, authentication, backend functions, analytics	Southeast Asia (`asia-southeast2`, Jakarta), United States for some services
Durianpay	Payment processing (wallet top-up, job payments, disbursements to Workers). Durianpay is a Bank Indonesia-licensed Payment Service Provider (PJP).	Indonesia
Google LLC (Google Play Services, Google Sign-In, Google Maps API)	App integrity verification (Play Integrity), optional authentication with Google account, location mapping for jobs	Global
Fazpass (OTP verification service provider)	Delivery of OTP (One-Time Password) codes for phone number verification, sent via WhatsApp	Indonesia; WhatsApp delivery via Meta Platforms infrastructure (global)

We do NOT sell your Personal Data to any third party for marketing purposes.

6. Cross-Border Data Transfer

Some of your Personal Data may be transferred to countries outside Indonesia (in particular for Firebase services, parts of whose infrastructure are located in the United States and other countries). In accordance with Article 56 of the PDP Law, cross-border transfers are conducted by ensuring the recipient country has an equivalent level of protection, or under an adequate agreement with the service provider, or with your consent. Google LLC (Firebase's parent) holds international security certifications (ISO 27001, SOC 2/3) and provides Standard Contractual Clauses (SCC) for data transfers.

7. Data Retention

Data category	Retention period
Active account (basic user data)	While the account is active
Chat photos and media	365 days from upload (Cloud Storage lifecycle policy)
Job chat messages (text)	Archived 12 hours after job closure OR 122 hours after last message (whichever earlier); user access limited post-archive; full deletion follows 365-day retention
Direct messages from Tim Papan Kerja (admin↔user)	Retained without automatic archival to preserve support history continuity; users may reply at any time; full deletion follows 365-day retention
In-app notification history (`/notifications`)	90 days after the notification is created
Proof photos and media	365 days after job completion
Wallet and payment transaction history	Retained for audit and tax compliance, minimum 5 years as required by Indonesian tax regulations
Administrative audit logs (`/userAccountLog`, `/walletReviewLog`)	365 days after the event
Resolved system alerts (`/alerts`)	30 days after resolution
Terminal-state job applications (rejected/cancelled)	60 days after final status
Historical wallet balance (`/balanceHistory`)	90 days after the snapshot
Payment idempotency keys (`/idempotencyKeys`)	Until expiry (~24 hours)
KTP photos and identity verification data	While the account is active; permanently deleted after account deletion unless a legal hold applies
Reviews and ratings	Retained permanently for marketplace reputation accuracy (other users can see historical ratings of the reviewed party) — even after the reviewed account is deleted, reviews remain attached to the reviewer's account

8. Data Security

We implement technical and organizational measures to protect your Personal Data:

Encryption in transit: all communication between the App and servers uses HTTPS/TLS.
Encryption at rest: data in Firestore and Cloud Storage is automatically encrypted with Google-managed keys.
Rule-based access control: Firestore (firestore.rules) and Cloud Storage (storage.rules) security rules restrict data access to owners and authorized parties only.
App integrity verification: via Google Play Integrity API to prevent counterfeit apps.
Monitoring and auditing: audit logs for all sensitive administrative actions, reviewed periodically.
Internal access controls: Papan Kerja Team members have role-based access with multi-factor authentication.

Despite our measures, no system is entirely secure. You are responsible for the security of your own account credentials (never share OTP codes or passwords with anyone).

9. Your Rights as a Data Subject

In accordance with the PDP Law, you have the following rights over your Personal Data:

Right (PDP Law Articles 5-13)	How to exercise
Right to access and obtain a copy of personal data	Contact `support@papankerja.com` with the subject "Data Access Request" — we will provide a copy of your personal data within 3 × 24 hours
Right to update and/or correct inaccurate data	App → Profile → Edit personal information
Right to terminate processing, delete, and/or destroy personal data	App → Settings → Delete Account. Account deletion removes your personal data except where retention is legally required (financial transactions, audit logs).
Right to withdraw consent	Contact `support@papankerja.com` — withdrawal of consent may mean partial or complete termination of service
Right to object to automated decision-making	The App does not use automated decisions with significant legal effects on users
Right to object to processing	Contact `support@papankerja.com`
Right to delay or restrict processing	Contact `support@papankerja.com`
Right to file a complaint for violations	You may file complaints with the Personal Data Protection Authority (once established) or the courts
Right to compensation for violations	Per applicable legal mechanisms

We respond to your requests within 3 × 24 hours for access requests and within 30 working days for other requests, per PDP Law standards.

10. Data Breach Notification

In accordance with Article 46 of the PDP Law, in the event of a Personal Data breach incident, we will:

Notify you within 3 × 24 hours of becoming aware of the incident, explaining: data affected, time and date of incident, mitigation actions taken, and future prevention steps.
Notify the Data Protection Authority (once established) within the same time frame.

11. Children

The Papan Kerja App is intended for users 18 years of age and older. We do not knowingly collect Personal Data from children under 18. If you become aware that your child has provided Personal Data to us, please contact us for immediate deletion.

12. Changes to the Privacy Policy

We may update this Privacy Policy from time to time. Material changes will be notified through the app (in-app notification) and your registered email at least 7 calendar days before they take effect. Continued use of the App after the effective date of changes means you accept the update.

13. Contact Us

For questions, Data Subject rights requests, or privacy-related complaints:

Data Controller: PT Papan Kerja Nusantara
Address: Jalan Puskesmas, Desa/Kelurahan Dukuh, Kec. Kramatjati, Kota Adm. Jakarta Timur, Provinsi DKI Jakarta, Kode Pos: 13550
General email: support@papankerja.com
Data Protection Officer (DPO) email: support@papankerja.com
Registration number (NIB / PSE registration number): 1205260123504