Privasi kamu penting buat kami. Halaman ini menjelaskan apa data yang kami kumpulkan, kenapa kami mengumpulkannya, siapa yang bisa akses, berapa lama kami simpan, dan apa hak kamu. Kami menulis dengan bahasa yang jelas karena kamu berhak paham.
Kebijakan ini disusun mengacu pada Undang-Undang No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) dan peraturan turunannya.
Ringkasan perubahan v1.2 (29 Juni 2026): Kami memisahkan persyaratan data untuk pencairan dana dari verifikasi identitas (KTP). Mulai sekarang seller cukup menambahkan rekening bank untuk mencairkan saldo — verifikasi KTP tidak lagi menjadi syarat pencairan. Verifikasi KTP tetap diperlukan untuk mendapatkan badge "Terverifikasi", menjual produk eksklusif, dan (bila kelak kami aktifkan) pencairan di atas ambang batas tertentu — pengaturan ambang ini default tidak aktif. Kami juga memperjelas penggunaan hash rekening (HMAC) untuk memastikan satu rekening hanya dipakai satu akun aktif. Tidak ada penjualan data ke pihak ketiga.
Ringkasan perubahan v1.1 (26 Juni 2026): Kami memperjelas dan menambah pengungkapan untuk data yang sudah kami proses seiring fitur baru — identitas badan usaha penjual (NIB), hash NIK untuk pencegahan duplikasi, PIN penarikan dana, bukti unggahan saat refund/komplain, riwayat penggunaan kupon, metadata sertifikat pengalihan, pesan chat antar pengguna, data pembeli tamu (guest), dan token perangkat tepercaya 2FA. Tidak ada penjualan data ke pihak ketiga.
1. Identitas Pengendali Data (Data Controller)
Pengendali data pribadi di Platform Kreavo adalah Tim Kreavo selaku usaha perseorangan yang mengoperasikan Kreavo.
Saat PT Kreavo Digital Indonesia terbentuk dan aktif, pengendali data akan dialihkan ke PT Kreavo Digital Indonesia. Kamu akan diberitahu 30 hari sebelum pengalihan ini efektif.
Data Protection Officer (DPO)
Email: privacy@kreavo.id · Subjek baris: [PRIVACY] atau [DPO]
2. Data yang Kami Kumpulkan
Kami hanya mengumpulkan data yang benar-benar kami butuhkan untuk menjalankan layanan.
2.1 Data Akun
- Nama lengkap
- Alamat email
- Password (disimpan sebagai hash — kami tidak bisa membaca password aslimu)
2.2 Data Rekening Bank (Pencairan Dana)
Untuk mencairkan saldo hasil penjualan, seller cukup menambahkan data rekening bank. Menambahkan rekening sudah cukup untuk mulai mencairkan dana — verifikasi KTP tidak diperlukan untuk pencairan biasa.
- Nama bank
- Nomor rekening
- Nama pemilik rekening
- Hash rekening (HMAC) — kami menyimpan hasil enkripsi satu arah (HMAC) dari nomor rekening, bukan untuk menampilkannya kembali, melainkan semata untuk memastikan satu rekening hanya dipakai oleh satu akun aktif (pencegahan penyalahgunaan dan rekening pinjaman/money mule).
- PIN penarikan dana — angka rahasia yang kamu buat untuk mengonfirmasi penarikan saldo. Disimpan sebagai hash (kami tidak bisa membacanya), dipakai semata untuk mengamankan pencairan dana kamu.
Data ini hanya diminta dari seller yang akan mencairkan dana. Kami tidak meminta data ini dari buyer. Dasar hukum: pelaksanaan kontrak (UU PDP Pasal 20 huruf b) — data rekening diperlukan untuk menjalankan layanan pencairan dana yang kamu minta.
2.2a Data Legalitas Usaha Seller (NIB)
Untuk seller yang merupakan pelaku usaha, kami dapat meminta Nomor Induk Berusaha (NIB) beserta status legalisasinya. Pengumpulan ini merupakan kewajiban hukum kami sebagai penyelenggara PMSE berdasarkan Permendag No. 19 Tahun 2026 (Pasal 17). NIB adalah identitas badan usaha — kami menggunakannya hanya untuk kepatuhan regulasi dan menampilkan status legalitas seller; kami tidak memverifikasinya ke sistem OSS dan tidak menjadikannya dasar profil pribadi.
2.2b Data Identitas Seller (KYC/KTP) — Opsional
Verifikasi identitas dengan KTP tidak wajib untuk mencairkan dana. Verifikasi identitas (KYC) hanya diperlukan untuk tiga konteks berikut:
- Mendapatkan badge "Terverifikasi" (sekaligus prasyarat untuk tier badge yang lebih tinggi);
- Menjual produk eksklusif (pengalihan lisensi/kepemilikan); dan
- Pencairan dana di atas ambang batas tertentu, bila Operator mengaktifkan ambang ini — pengaturan ini default tidak aktif dan baru berlaku jika dan ketika kami mengumumkannya.
Bila kamu memilih melakukan verifikasi identitas, kami mengumpulkan:
- Foto KTP (Kartu Tanda Penduduk)
- Selfie verifikasi
- Hash NIK — kami menyimpan hasil enkripsi satu arah (hash) dari Nomor Induk Kependudukan (NIK) di KTP, bukan NIK aslinya. Hash ini hanya dipakai untuk mendeteksi pendaftaran ganda (satu KTP tidak bisa dipakai banyak akun) dan pencegahan fraud. Karena NIK memuat unsur tanggal lahir, jenis kelamin, dan wilayah, hash NIK kami perlakukan sebagai data pribadi sesuai UU PDP.
- NPWP (opsional, untuk seller terdaftar)
Kami tidak mengumpulkan NIK untuk keperluan pencairan dana. Bila di kemudian hari kami diwajibkan mengumpulkan NIK untuk pelaporan perpajakan, kami akan memberitahukannya terlebih dahulu dan memperbarui kebijakan ini.
2.3 Data Transaksi
- Riwayat pembelian dan penjualan
- Invoice dan bukti transaksi
- Metode pembayaran yang dipakai (nomor kartu tidak disimpan oleh Kreavo — ditangani langsung oleh payment gateway)
- Nominal transaksi dan komisi
- Status refund (jika ada)
- Bukti unggahan refund/komplain — saat kamu mengajukan refund atau komplain, kami menyimpan file/foto bukti yang kamu unggah, beserta deskripsi keluhan, untuk memproses dan menyelesaikan sengketa.
- Riwayat penggunaan kupon dan saldo Koin — kupon yang kamu pakai, jumlah Koin yang diperoleh/digunakan, serta cashback, untuk menjalankan program promosi dan mencegah penyalahgunaan.
2.3a Data Sertifikat Pengalihan (Produk Eksklusif)
Untuk pembelian produk eksklusif, kami menerbitkan sertifikat pengalihan kepemilikan/lisensi yang berisi metadata transaksi (nama pihak, ID pesanan, tanggal pengalihan, status). Sertifikat ini berfungsi sebagai catatan transaksi dan dokumen elektronik (alat bukti) sesuai UU ITE Pasal 5, 6, dan 11. Lihat Bagian 6 untuk informasi penyimpanan.
2.4 Data Produk (Seller)
- File produk yang diupload (template, musik, ebook, dll.)
- Thumbnail dan gambar preview
- Metadata produk (judul, deskripsi, kategori, harga)
- Variasi produk (opsi varian dan harganya) serta data lencana (badge) seller yang dihitung dari aktivitas penjualan kamu.
2.5 Data Penggunaan
- Halaman yang dikunjungi, fitur yang digunakan, waktu dan durasi sesi
- Pencarian yang dilakukan
- Klik dan interaksi
2.5a Data Pembeli Tamu (Guest Checkout)
Jika kamu berbelanja tanpa membuat akun (guest checkout), kami tetap mengumpulkan alamat email yang diperlukan untuk memproses pesanan dan mengirim produk/magic link. Data ini diperlakukan dengan standar perlindungan yang sama seperti data akun terdaftar.
2.6 Data Teknis
- Alamat IP
- Jenis browser dan versi
- Jenis perangkat dan sistem operasi
- Waktu akses
- Token perangkat tepercaya 2FA — bila kamu mengaktifkan verifikasi dua langkah (2FA) dan memilih "percayai perangkat ini", kami menyimpan token terenkripsi di perangkatmu agar kamu tidak diminta kode berulang kali selama jangka waktu tertentu. Token ini tidak mengidentifikasi kamu ke pihak lain.
- Cookie dan teknologi serupa (lihat Bagian 8)
2.7 Data Komunikasi
- Tiket dukungan dan pesan ke support@kreavo.id
- Pesan chat antara pembeli dan penjual di dalam Platform — disimpan untuk keamanan transaksi, penyelesaian sengketa, serta penegakan aturan anti-transaksi di luar Platform (lihat Pasal 25 Syarat & Ketentuan).
- Laporan pelanggaran HKI atau keluhan ke legal@kreavo.id
3. Tujuan Pemrosesan dan Dasar Hukum
Setiap data yang kami kumpulkan punya tujuan jelas dan dasar hukum yang sah, sesuai UU PDP Pasal 20.
| Jenis Data | Tujuan Pemrosesan | Dasar Hukum |
|---|---|---|
| Data Akun | Membuat dan mengelola akun, autentikasi, notifikasi layanan | Pelaksanaan kontrak |
| Data Rekening Bank | Memproses pencairan dana (payout) ke rekening seller | Pelaksanaan kontrak |
| Hash Rekening (HMAC) | Memastikan satu rekening hanya dipakai satu akun aktif, pencegahan penyalahgunaan | Kepentingan sah Operator |
| PIN penarikan dana | Mengamankan konfirmasi pencairan saldo seller | Pelaksanaan kontrak + kepentingan sah |
| Data Identitas Seller (KTP/KYC) | Verifikasi identitas untuk badge Terverifikasi, penjualan produk eksklusif, dan pencairan di atas ambang (bila diaktifkan); pencegahan fraud | Pelaksanaan kontrak + kepentingan sah |
| Hash NIK | Mencegah pendaftaran ganda satu identitas, pencegahan fraud | Kepentingan sah Operator |
| Data Legalitas Usaha (NIB) | Kepatuhan regulasi PMSE, menampilkan status legalitas seller | Kewajiban hukum (Permendag 19/2026) |
| Data Transaksi | Memproses pembayaran (via Midtrans), menerbitkan bukti, penyelesaian sengketa, pelaporan pajak, audit pembukuan | Pelaksanaan kontrak + kewajiban hukum |
| Bukti refund/komplain | Memproses dan menyelesaikan sengketa refund/komplain | Pelaksanaan kontrak |
| Riwayat kupon & Koin | Menjalankan program promosi, mencegah penyalahgunaan | Pelaksanaan kontrak + kepentingan sah |
| Metadata Sertifikat Pengalihan | Catatan transaksi & dokumen elektronik (alat bukti) untuk produk eksklusif | Kewajiban hukum + kepentingan sah (UU ITE) |
| Data Produk | Menampilkan ke buyer, distribusi setelah pembelian, moderasi | Pelaksanaan kontrak |
| Data Penggunaan | Memperbaiki fitur, memahami perilaku pengguna, analitik agregat | Kepentingan sah Operator |
| Data Teknis | Mendeteksi aktivitas mencurigakan, mencegah akses tidak sah, keamanan Platform | Kepentingan sah Operator + pengguna |
| Token perangkat tepercaya (2FA) | Mengurangi friksi login pada perangkat yang kamu percayai | Pelaksanaan kontrak + kepentingan sah |
| Data Komunikasi (termasuk chat) | Memberikan dukungan, menangani keluhan, penyelesaian sengketa, anti-circumvention, memproses laporan HKI | Pelaksanaan kontrak + kepentingan sah |
4. Pihak Ketiga yang Memproses Data Kamu
| Pihak Ketiga | Peran | Lokasi Server |
|---|---|---|
| Supabase | Database, autentikasi, file storage | Singapura / US |
| Vercel | Hosting aplikasi web | US / Edge global |
| Cloudflare | CDN, proteksi DDoS, file storage R2 | Global (edge) |
| Midtrans (PT Midtrans) | Payment gateway — pemrosesan pembayaran dan pencegahan fraud | Indonesia |
| Resend | Pengiriman email transaksional | US / Eropa |
Kami TIDAK menjual data kamu ke pihak ketiga untuk keperluan iklan.
4.1 Pengungkapan Data ke Midtrans (PT Midtrans)
Saat kamu melakukan transaksi di Platform, data berikut diteruskan ke PT Midtrans ("Midtrans") sebagai payment processor berlisensi Bank Indonesia:
| Data yang Dibagikan | Tujuan |
|---|---|
| Nama lengkap | Identifikasi pemegang transaksi |
| Alamat email | Konfirmasi dan notifikasi transaksi |
| Jumlah transaksi (gross amount) | Pemrosesan pembayaran |
| Alamat IP (saat checkout) | Pencegahan fraud dan deteksi risiko |
| Informasi perangkat (user agent) | Pencegahan fraud |
Tujuan pembagian data: (a) pemrosesan pembayaran (pelaksanaan kontrak), dan (b) pencegahan fraud sesuai kewajiban hukum dan kepentingan sah Kreavo serta Midtrans.
Dasar hukum: pelaksanaan kontrak antara Buyer dan Kreavo (UU PDP Pasal 20 huruf b) — data ini diperlukan untuk memproses transaksi yang kamu minta.
Midtrans beroperasi di bawah regulasi Bank Indonesia dan tunduk pada kebijakan privasinya sendiri, yang tersedia di midtrans.com/privacy-policy. Sebagai bagian dari kepatuhan UU PDP Pasal 56 terkait pemrosesan data oleh pihak ketiga, Kreavo mensyaratkan perjanjian pemrosesan data (Data Processing Agreement) dengan prosesor pembayaran yang digunakan; status dan dokumentasi perjanjian ini tersedia atas permintaan ke privacy@kreavo.id.
Kreavo tidak meneruskan data kartu kredit/debit kamu ke sistem kami — data tersebut dikirim langsung oleh browser kamu ke infrastruktur Midtrans yang bersertifikasi PCI-DSS.
5. Transfer Data ke Luar Negeri
Sebagian infrastruktur yang kami gunakan menjalankan server di luar Indonesia. Sesuai UU PDP Pasal 56, kami berupaya memastikan transfer data lintas negara dilakukan dengan perlindungan yang setara dengan UU PDP, melalui langkah-langkah berikut:
- Memilih prosesor yang memiliki sertifikasi standar industri (SOC 2, ISO 27001)
- Mensyaratkan Data Processing Agreement (DPA) atau mekanisme kontraktual setara dengan prosesor yang memproses data pribadi
- Menerapkan klausul kontraktual standar untuk transfer internasional
Detail teknis tersedia atas permintaan ke privacy@kreavo.id.
6. Berapa Lama Data Disimpan (Retention)
| Jenis Data | Lama Penyimpanan |
|---|---|
| Data akun aktif | Selama akun aktif |
| Data setelah akun dihapus | 30 hari, lalu dihapus permanen |
| Data transaksi | 10 tahun sejak transaksi (kewajiban pembukuan UU No. 8/1997 Pasal 11; minimum 5 tahun untuk keperluan audit pajak DJP) |
| Data identitas seller (KTP) | Selama akun seller aktif + 5 tahun |
| Hash NIK | Selama akun seller aktif + 5 tahun (mengikuti retensi data identitas seller) |
| Data rekening bank seller | Selama akun seller aktif + sesuai kewajiban pembukuan (lihat data transaksi) |
| Data legalitas usaha (NIB) | Selama akun seller aktif |
| Bukti refund/komplain | Mengikuti retensi data transaksi terkait |
| Riwayat kupon & Koin | Mengikuti retensi data transaksi terkait |
| Metadata sertifikat pengalihan | Disimpan secara permanen sebagai catatan transaksi dan dokumen elektronik (alat bukti) sesuai UU ITE Pasal 5, 6, dan 11. Dikecualikan dari hak penghapusan data (UU PDP Pasal 8 ayat 2) karena diperlukan untuk kepentingan hukum yang sah dan pembuktian sengketa. |
| Pesan chat antar pengguna | 2 tahun sejak pesan dibuat (selaras Pasal 25.6 Syarat & Ketentuan) |
| Data pembeli tamu (guest) | 2 tahun sejak transaksi (selaras Pasal 23.3 Syarat & Ketentuan) |
| Token perangkat tepercaya (2FA) | Hingga 30 hari, atau sampai kamu mencabut/keluar dari perangkat |
| Log teknis (IP, aktivitas sistem) | 90 hari |
| Data komunikasi support | 2 tahun sejak ticket selesai |
| Cookie analitik | Maksimum 12 bulan |
Saat kamu menghapus akun, data masuk masa retensi 30 hari sebelum dihapus permanen. Sebagian data — misalnya data transaksi, identitas seller, dan metadata sertifikat — dapat disimpan lebih lama bila diwajibkan oleh hukum atau diperlukan untuk keperluan pembukuan, perpajakan, dan penyelesaian sengketa (lihat Bagian 7.4).
7. Hak Kamu atas Data Pribadi (UU PDP)
Berdasarkan UU No. 27 Tahun 2022 Pasal 5-15:
- 7.1 Hak Mendapatkan Informasi (Pasal 5) — kamu berhak tahu pengendali, dasar hukum, tujuan, dan jenis data yang dikumpulkan.
- 7.2 Hak Akses (Pasal 6) — minta salinan data pribadi.
- 7.3 Hak Memperbaiki Data (Pasal 7) — koreksi data yang tidak akurat.
- 7.4 Hak Menghapus Data (Pasal 8 dan 9) — kamu berhak meminta penghapusan data pribadimu. Sebagian data tidak dapat langsung dihapus selama masih ada dasar hukum untuk menyimpannya — misalnya data transaksi dan identitas seller untuk kewajiban pembukuan/perpajakan, serta data yang diperlukan untuk penyelesaian sengketa yang sedang berjalan atau sebagai dokumen elektronik (alat bukti) sesuai UU ITE. Setelah dasar tersebut berakhir, data akan dihapus sesuai jadwal retensi pada Bagian 6.
- 7.5 Hak Menarik Persetujuan (Pasal 10) — untuk pemrosesan berbasis consent.
- 7.6 Hak Keberatan (Pasal 11) — atas pemrosesan berbasis kepentingan sah.
- 7.7 Hak Portabilitas (Pasal 13) — ekspor data dalam format umum (JSON, CSV).
- 7.8 Hak Membatasi Pemrosesan (Pasal 12) — penundaan dalam kondisi tertentu.
Kirim permintaan ke privacy@kreavo.id dengan nama lengkap, email terdaftar, hak yang ingin digunakan, dan bukti identitas. Respon dalam 14 hari kerja, gratis dalam batas wajar.
8. Cookie dan Teknologi Serupa
8.1 Cookie Teknis (Wajib)
Diperlukan untuk login, transaksi, dan fitur dasar. Tidak bisa dimatikan.
8.2 Cookie Analitik (Opsional)
Membantu kami memahami penggunaan agregat. Kamu bisa memilih untuk tidak mengizinkan, tanpa mempengaruhi penggunaan dasar.
8.3 Tidak Ada Cookie Iklan / Tracking
Kreavo tidak menggunakan cookie iklan pihak ketiga tanpa persetujuan eksplisit di banner cookie.
9. Keamanan Data
9.1 Enkripsi
- Data sensitif (KTP, data keuangan) dienkripsi dengan AES-256 at rest
- Komunikasi browser-server menggunakan HTTPS / TLS 1.2+
- Password disimpan dengan algoritma hash kuat (bcrypt)
9.2 Kontrol Akses Internal
- Prinsip least privilege, 2FA wajib untuk admin, audit log untuk akses data sensitif
9.3 Infrastruktur
- Database di Supabase dengan Row Level Security (RLS)
- File produk di Cloudflare R2 dengan signed URL terbatas waktu
- Monitoring keamanan aktif
10. Prosedur Pelanggaran Data (Data Breach)
10.1 Timeline Respons (UU PDP Pasal 46)
- T+0: Deteksi insiden
- 0-24 jam: Investigasi internal awal
- 24-48 jam: Penilaian dampak — data apa, subjek mana yang terdampak
- Maks 72 jam: Notifikasi ke subjek data terdampak dan ke Lembaga PDP
- Selanjutnya: Remediation, perbaikan sistem, pencegahan berulang, laporan pasca-insiden
10.2 Apa yang Akan Kami Sampaikan ke Kamu
Notifikasi akan berisi: apa yang terjadi, data apa yang terdampak, kapan kejadian, langkah kami, langkah yang bisa kamu lakukan (ganti password, pantau aktivitas), dan kontak untuk pertanyaan.
11. Perlindungan Anak
Kreavo tidak diperuntukkan bagi pengguna di bawah usia 17 tahun. Jika kami mengetahui ada data pengguna di bawah 17 tahun yang dikumpulkan tanpa persetujuan orang tua/wali, kami akan menghapus data tersebut.
12. Perubahan Kebijakan Privasi
Untuk perubahan material, kami akan memberitahu 30 hari sebelum berlaku melalui email dan notifikasi in-app.
13. Pengaduan dan Eskalasi
13.1 Hubungi Kami Dulu
Email: privacy@kreavo.id · Subjek: [PRIVACY] · SLA: 14 hari kerja
13.2 Eskalasi ke Regulator
- Lembaga PDP (kominfo.go.id)
- BSSN (bssn.go.id) untuk masalah keamanan siber
14. Kontak
Email DPO: privacy@kreavo.id · Email umum: support@kreavo.id
Kebijakan Privasi ini disusun mengacu pada UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP). Versi: 1.2 — Terakhir diperbarui 29 Juni 2026.