Kebijakan Privasi BarberOS

Terakhir diperbarui: 13 Mei 2026

Kebijakan ini menjelaskan bagaimana BarberOS mengumpulkan, menyimpan, dan menggunakan data pribadi sesuai UU 27/2022 tentang Pelindungan Data Pribadi (UU PDP).

1. Peran Kami

Untuk owner barbershop (akun staff): Kami adalah Pengendali Data Pribadi. Data Anda (email, nomor HP, nama, aktivitas login) dikumpulkan untuk operasi layanan.

Untuk pelanggan barbershop (data pelanggan): Kami adalah Prosesor Data Pribadi. Pengendalinya adalah barbershop (tenant). Kami memproses data pelanggan atas instruksi tenant.

2. Data yang Kami Kumpulkan

• Akun staff/owner: nama, email, password (hashed), nomor HP (opsional), tenant + role, log audit aktivitas.
• Pelanggan barbershop: nama, nomor HP (E.164), email (opsional), tanggal lahir (opsional), riwayat kunjungan, poin loyalty, opt-in marketing.
• Transaksi: ticket, line items, pembayaran (tanpa data kartu — kami hanya menerima referensi gateway).
• Operasional: alamat IP request, user-agent, log error, metrik kinerja.

3. Tujuan Pemrosesan

• Mengoperasikan layanan POS, booking, dan kasir.
• Menagih dan memproses pembayaran berlangganan.
• Mengirim notifikasi transaksional (struk, reminder booking).
• Mengirim materi pemasaran hanya bila pelanggan opt-in.
• Mencegah penipuan dan menjaga keamanan layanan.
• Memenuhi kewajiban hukum (audit pajak, perintah pengadilan).

4. Penyimpanan dan Lokasi

Data disimpan di VPS yang berlokasi di Indonesia (Jakarta). Backup terenkripsi disimpan di Cloudflare R2. Kami menerapkan Row-Level Security pada level database — setiap tenant terisolasi secara fisik melalui kebijakan Postgres RLS.

5. Hak Subjek Data Pribadi

Sesuai UU PDP, pelanggan/staff berhak:

• Akses — meminta salinan data pribadi.
• Koreksi — memperbaiki data yang tidak akurat.
• Penghapusan — meminta penghapusan ("right to be forgotten").
• Portabilitas — mengunduh data dalam format terstruktur (JSON / CSV).
• Penolakan pemrosesan — termasuk opt-out marketing.

Permintaan ke privacy@barbershopos.net. Kami merespons dalam ≤ 14 hari kerja.

6. Berbagi Data dengan Pihak Ketiga

• Fonnte — pengiriman WhatsApp (E.164 + isi pesan).
• Resend — pengiriman email (alamat + isi).
• Midtrans — pemrosesan pembayaran QRIS.
• Cloudflare R2 — penyimpanan backup terenkripsi.
• Sentry / PostHog — telemetri error & produk (anonim, opt-out tersedia).

Kami tidak menjual data pribadi.

7. Insiden Keamanan

Jika terjadi pelanggaran data yang berisiko terhadap hak pelanggan, kami akan memberitahu pengendali (tenant) dan Lembaga PDP dalam waktu 72 jam sesuai UU PDP §35. Template notifikasi tersedia di dokumentasi internal kami.

8. Retensi

• Data transaksional: disimpan selama akun aktif + 5 tahun (kewajiban perpajakan).
• Data pelanggan yang di-soft-delete: hard-delete setelah 30 hari.
• Log audit: disimpan minimal 1 tahun, maksimal 5 tahun.

9. Cookie

Kami menggunakan cookie sesi (HttpOnly + Secure) untuk autentikasi. Tidak ada cookie pelacakan pihak ketiga di domain BarberOS.

10. Anak di Bawah Umur

Layanan tidak ditujukan untuk anak di bawah 17 tahun. Pelanggan di bawah umur harus didaftarkan oleh orang tua/wali.

11. Kontak DPO

Data Protection Officer: dpo@barbershopos.net