Kami nyimpen data sebatas yang perlu buat workspace kamu jalan. Disimpan terenkripsi di server Singapura (tunduk UU PDP Indonesia), dan nggak pernah dijual ke pihak ketiga. Ini detail cara kerjanya.
Berlaku sejak 1 Maret 2026Update terakhir 12 Mei 2026Yurisdiksi IndonesiaUU PDP 27/2022
SECTION 01
Data yang kami kumpulkan
Kami cuma minta data yang perlu buat layanan jalan. Nggak ada tracking diam-diam, nggak ada selling profile ke pihak iklan. Berikut kategori datanya:
Data identitas akun
Nama lengkap dan email — wajib, buat login + verifikasi.
Nomor WhatsApp— opsional, buat notif aktivasi & reset password.
Foto profil — opsional, kamu upload sendiri kapan saja.
Nama studio/agency dan workspace — diisi saat onboarding.
Data konten workspace
Brief, kanban card, asset file yang kamu buat — semua disimpan terenkripsi di server Singapura (Supabase/Tencent), tunduk UU PDP Indonesia.
Pesan chat tim & komentar feedback klien — disimpan 365 hari, lalu otomatis dihapus.
File upload (foto, video, dokumen) — disimpan selama akun aktif + 90 hari grace setelah cancel.
Data telemetri (otomatis)
IP address & device info — buat security audit, ditahan 90 hari lalu di-anonimkan.
Page view + click event — anonim, agregat, nggak diikat ke user identity.
Yang TIDAK kami kumpulkan: lokasi GPS, kontak HP, isi email kamu, riwayat browsing di luar app. Pernah ada permintaan akses lokasi? Itu cuma buat fitur Shoot Scheduler — opsional, bisa di-deny tanpa kehilangan akses lain.
SECTION 02
Cara kami pakai data
Setiap data punya tujuan jelas. Nggak ada repurposing diam-diam.
Kategori
Email + Password
Tujuan
Autentikasi login
Basis hukum
Pasal 20 UU PDP · Pelaksanaan perjanjian
Kategori
Brief + Konten
Tujuan
Operasional workspace
Basis hukum
Pasal 20 UU PDP · Pelaksanaan perjanjian
Kategori
No. WhatsApp
Tujuan
Notif kritis (approval, reset pwd)
Basis hukum
Pasal 20 UU PDP · Kepentingan sah Pengendali Data
Kategori
Telemetri
Tujuan
Optimasi performance + security audit
Basis hukum
Pasal 20 UU PDP · Kepentingan sah Pengendali Data
Kategori
Data billing
Tujuan
Tagihan, invoice, refund via Mayar
Basis hukum
Pasal 20 UU PDP · Persetujuan eksplisit + kewajiban hukum
Kategori
Email marketing
Tujuan
Newsletter (opsional, opt-out kapan saja)
Basis hukum
Pasal 20 UU PDP · Persetujuan eksplisit + kewajiban hukum
Penggunaan untuk AI & Tavern
Prompt & output yang kamu hasilkan di Tavern AI TIDAKdipakai untuk training model AI manapun. Kami pakai opsi “no training” di semua API provider, dan workspace enterprise bisa minta data isolation tambahan.
Untuk improve fitur Tavern internal, kami pakai data agregat yang sudah di-anonimisasi (tanpa identitas user/brand) — itupun bisa di-opt-out lewat Settings → AI Provider.
SECTION 03
Berbagi data dengan pihak ketiga
Kami tidak pernah menjual data kamu. Tapi ada beberapa layanan pihak ketiga yang kami pakai untuk operasi — semuanya pakai kontrak Data Processing Agreement (DPA) yang ketat.
Sub-processor yang kami pakai
Mayar Indonesia — payment gateway. Data: email, no. invoice, nominal. Lokasi: Indonesia. Privacy policy Mayar →
Cloudflare — CDN, DDoS protection, penyimpanan file (R2). Data: IP, request headers, aset terupload. Lokasi: global edge (Singapura).
Sumopod — email transaksional dari noreply@tavkreatif.id. Data: alamat email penerima.
Supabase (Singapura)— database & backup harian. Data: seluruh data workspace (terenkripsi).
Transfer data internasional:Data utama kami (database, hosting, file) berada di Singapura; Cloudflare & AI providers juga di luar Indonesia. Kami menerapkan Standard Contractual Clauses (SCC) dan klausul UU PDP 27/2022 untuk transfer keluar yurisdiksi. List sub-processor lengkap bisa diunduh di halaman DPA.
Permintaan dari penegak hukum
Kami cuma kasih data ke aparat kalau ada surat perintah pengadilan / penetapan tertulis yang valid menurut hukum Indonesia. Kami akan notif user yang terkena permintaan, kecuali dilarang oleh pengadilan. Transparency report dipublikasikan tiap 6 bulan.
SECTION 04
Retensi & penghapusan data
Data nggak disimpen forever. Setiap kategori ada masa simpan yang clear, dan kamu bisa minta delete kapan saja.
Default retention
Akun aktif → data disimpan selama akun masih ada.
Cancel subscription → 90 hari grace period (data masih bisa di-restore), lalu auto-delete.
Account deletion request → eksekusi dalam 30 hari, kecuali ada kewajiban hukum (e.g. faktur pajak) yang perlu di-retain.
Log audit security → 1 tahun (anonim setelah 90 hari).
Faktur & data billing → 10 tahun (sesuai UU Pajak).
Cara minta delete
Settings → Keamanan → Danger Zone → Hapus Akun. Atau kirim email ke privacy@tavkreatif.id dari alamat email akun. SLA respons: 3 hari kerja.
SECTION 05
Hak kamu sebagai pemilik data
UU PDP 27/2022 ngasih kamu beberapa hak. Kami siap dukung semuanya.
Hak akses — minta export data kamu sendiri. Download .zip dari Settings → Keamanan → Export Data.
Hak koreksi — edit profile, email, no. WA langsung di Settings.
Hak hapus — delete akun + semua data terkait. Beberapa data billing harus di-retain sesuai UU.
Hak pembatasan pemrosesan — pause processing tanpa delete (e.g. pause AI training data feedback).
Hak portabilitas — export dalam format machine-readable (JSON + CSV) yang bisa diimport ke tools lain.
Hak keberatan — opt-out dari newsletter, telemetri agregat, atau fitur AI features kapan saja.
Hak tarik persetujuan — withdraw consent untuk processing yang basisnya consent (e.g. marketing email).
Mayoritas hak ini bisa kamu eksekusi self-service di Settings tanpa nunggu kami. Yang butuh approval manual (e.g. delete akun owner workspace) ditangani dalam 30 hari.
SECTION 06
Cookies, local storage & tracking
Kami pakai cookies seminimal mungkin — cuma yang esensial buat app jalan. Nggak ada third-party tracking pixel atau retargeting cookie.
Yang kami pakai
Session cookie (essential) — buat login state, expired 30 hari.
CSRF token (essential) — security, per-session.
Theme preference (functional) — dark/light mode pilihan kamu, local storage.
Analytics (anonim, opt-in) — self-hosted Plausible, no fingerprint, no cross-site tracking.
Yang TIDAK kami pakai
Google Analytics / Facebook Pixel / TikTok Pixel — zero third-party trackers.
Retargeting cookie atau adtech partner.
Cross-site fingerprinting.
SECTION 07
Penggunaan oleh anak di bawah 13 tahun
TavKreatif Space adalah produk B2B untuk profesional creative. Kami nggak mengizinkan pendaftaran oleh anak di bawah 13 tahun. User antara 13–17 tahun butuh persetujuan tertulis dari orang tua/wali (kirim ke privacy@tavkreatif.id).
Kalau kamu sadar ada akun yang dibuat oleh anak <13 tahun, tolong laporin — kami akan delete dalam 7 hari kerja.
SECTION 08
Kontak & Data Protection Officer (DPO)
Ada pertanyaan, keluhan, atau mau eksekusi hak data kamu? Hubungin kami langsung — bukan form generic, tapi orang nyata yang bales.
Kalau merasa hak data kamu dilanggar, kamu juga bisa lapor ke Kementerian Komunikasi dan Informatika RI sebagai otoritas pengawas UU PDP. Detail prosedur di kominfo.go.id.