Dokumen Legal

Kebijakan Privasi

Penjelasan menyeluruh tentang bagaimana kami mengumpulkan, menggunakan, dan melindungi data pribadi Anda sesuai UU Pelindungan Data Pribadi No. 27/2022.

Berlaku efektif 1 Januari 2026 Terakhir diperbarui 22 Mei 2026

Kebijakan Privasi ini ("Kebijakan") menjelaskan bagaimana SmartShop yang dioperasikan oleh PT Harmoni Indonesia Media mengumpulkan, menggunakan, menyimpan, memproses, mengungkapkan, dan melindungi data pribadi Anda saat menggunakan situs smartshop.id beserta seluruh Layanan di bawahnya.

Dokumen ini disusun sesuai UU No. 27/2022 tentang Pelindungan Data Pribadi, PP No. 71/2019, dan Permenkominfo No. 5/2020. Dengan menggunakan Layanan, Anda menyatakan menyetujui isi Kebijakan ini.

01 Definisi

  • Data Pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya.
  • Subjek Data Pribadi adalah orang perseorangan yang pada dirinya melekat Data Pribadi.
  • Pengendali Data Pribadi adalah pihak yang menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi. SmartShop bertindak sebagai Pengendali atas data akun pengguna platform.
  • Prosesor Data Pribadi adalah pihak yang memproses Data Pribadi atas nama Pengendali. SmartShop bertindak sebagai Prosesor atas data pelanggan akhir (customer) milik tenant.
  • Pengguna adalah Anda, baik sebagai pelaku UMKM yang berlangganan layanan SmartShop maupun sebagai pengunjung umum.

02 Data Pribadi yang Kami Kumpulkan

Kami mengumpulkan Data Pribadi dengan kategori sebagai berikut:

2.1 Data yang Anda berikan langsung

  • Nama lengkap, email, nomor telepon, kata sandi.
  • Foto profil, alamat tempat tinggal, alamat pengambilan barang (pickup address).
  • Data identitas usaha: nama toko, kategori usaha, NIK, NPWP, dan informasi rekening bank untuk settlement Xendit For Platforms.
  • Data kartu identitas dan dokumen pendukung untuk proses Know Your Customer (KYC) penyedia layanan pembayaran.
  • Konten yang Anda unggah: gambar produk, deskripsi, logo, dan materi pemasaran.

2.2 Data yang dikumpulkan otomatis

  • Alamat IP, jenis perangkat, sistem operasi, browser, identifikasi perangkat.
  • Data lokasi perangkat (jika diizinkan), zona waktu, dan bahasa.
  • Log aktivitas: halaman dikunjungi, waktu, durasi sesi, dan referer URL.
  • Data cookie dan teknologi pelacakan serupa.

2.3 Data dari pihak ketiga

  • Data profil dari Google ketika Anda masuk dengan akun Google: nama, email, foto, ID Google.
  • Data dari Xendit dan Biteship sehubungan dengan transaksi yang Anda lakukan.

03 Dasar Hukum Pemrosesan

Sesuai Pasal 20 UU PDP, Kami memproses Data Pribadi Anda atas dasar:

  • Persetujuan yang sah dari Subjek Data Pribadi untuk tujuan tertentu yang telah disampaikan.
  • Pemenuhan kewajiban perjanjian di mana Anda merupakan salah satu pihak.
  • Pemenuhan kewajiban hukum dari Pengendali Data Pribadi.
  • Pemenuhan kepentingan yang sah dengan tetap memperhatikan keseimbangan hak Subjek Data.

04 Tujuan Pemrosesan Data Pribadi

Kami memproses Data Pribadi Anda untuk tujuan sebagai berikut:

  • Membuat dan mengelola akun pengguna serta menyediakan akses ke Layanan.
  • Menyediakan, mengoperasikan, dan meningkatkan fitur Layanan termasuk pembuatan toko, manajemen produk, dan pemrosesan pesanan.
  • Memproses transaksi pembayaran berlangganan dan transaksi e-commerce melalui mitra penyedia jasa pembayaran.
  • Memverifikasi identitas pengguna dan mendukung proses KYC.
  • Mengirim pemberitahuan transaksional, faktur, dan pengingat masa berlaku langganan.
  • Mengirim komunikasi pemasaran dengan persetujuan terpisah yang dapat ditarik sewaktu-waktu.
  • Mencegah, mendeteksi, dan menindak kecurangan (fraud) serta pelanggaran terhadap Syarat & Ketentuan.
  • Memenuhi kewajiban hukum termasuk permintaan dari otoritas yang berwenang.
  • Melakukan analitik internal dan riset untuk meningkatkan kualitas Layanan.

05 Pengungkapan Data Pribadi kepada Pihak Ketiga

Kami tidak menjual Data Pribadi Anda. Pembagian data ke pihak ketiga hanya terjadi dalam keadaan yang dijelaskan di bawah ini.

  • Penyedia layanan pembayaran: PT Xendit Indonesia (Xendit For Platforms) untuk memproses pembayaran berlangganan, transaksi e-commerce, dan KYC.
  • Penyedia layanan pengiriman: PT Biteship Solusi Indonesia untuk pengelolaan pickup dan pengiriman pesanan tenant.
  • Penyedia layanan domain: Hostinger International Ltd. untuk pendaftaran dan pengelolaan domain kustom tenant.
  • Penyedia layanan otentikasi: Google LLC apabila Anda masuk dengan akun Google.
  • Penyedia layanan AI: Google (Gemini API) untuk fitur ekstraksi produk dari tangkapan layar.
  • Penyedia infrastruktur: penyedia server, cloud, dan analitik yang menjalankan fungsi teknis Layanan.
  • Aparat penegak hukum apabila diwajibkan oleh peraturan perundang-undangan yang berlaku di Republik Indonesia.

Setiap pihak ketiga di atas terikat perjanjian pemrosesan data yang mewajibkan mereka menjaga kerahasiaan dan keamanan Data Pribadi setara dengan Kebijakan ini.

06 Penyimpanan dan Keamanan Data

Data Pribadi Anda disimpan di pusat data yang berlokasi di wilayah Republik Indonesia sesuai PP 71/2019. Kami menerapkan langkah keamanan teknis dan organisasional sebagai berikut:

Enkripsi in-transit

TLS 1.2+ untuk semua koneksi.

Enkripsi at-rest

Data sensitif (KYC) dienkripsi saat disimpan.

Role-based access

Akses terbatas berdasarkan peran pegawai.

Audit log

Pencatatan setiap akses terhadap Data Pribadi.

Pengujian keamanan

Pemantauan kerentanan dan audit berkala.

Backup terenkripsi

Pencadangan rutin dan aman.

Data Pribadi disimpan selama akun aktif atau selama diperlukan untuk memenuhi tujuan pemrosesan, kewajiban hukum perpajakan dan akuntansi, atau penyelesaian sengketa. Setelah masa retensi berakhir, Data Pribadi dihapus atau dianonimkan secara aman.

07 Hak Subjek Data Pribadi

Sesuai Pasal 5–15 UU PDP, Anda memiliki hak-hak berikut:

  • Mendapatkan informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan, dan akuntabilitas pihak yang meminta data.
  • Melengkapi, memperbarui, dan/atau memperbaiki kesalahan dan ketidakakuratan Data Pribadi.
  • Mengakses dan memperoleh salinan Data Pribadi.
  • Mengakhiri pemrosesan, menghapus, dan/atau memusnahkan Data Pribadi.
  • Menarik kembali persetujuan pemrosesan Data Pribadi yang telah diberikan.
  • Mengajukan keberatan atas pengambilan keputusan otomatis (automated decision making).
  • Menunda atau membatasi pemrosesan Data Pribadi secara proporsional.
  • Menggugat dan menerima ganti rugi atas pelanggaran pemrosesan Data Pribadi.
  • Memperoleh Data Pribadi dalam format yang dapat dibaca sistem elektronik (portabilitas data).

Untuk menggunakan hak-hak di atas, hubungi kami melalui kontak pada Bagian 13. Kami akan menanggapi paling lambat 3 × 24 jam sesuai standar UU PDP.

08 Pemberitahuan Kegagalan Pelindungan Data

Apabila terjadi kegagalan pelindungan Data Pribadi yang berdampak pada Anda, Kami akan memberitahukan secara tertulis kepada Anda dan Lembaga Pelindungan Data Pribadi paling lambat 3 × 24 (tiga kali dua puluh empat) jam setelah Kami mengetahui terjadinya kegagalan tersebut, sesuai Pasal 46 UU PDP. Pemberitahuan akan memuat informasi mengenai Data Pribadi yang terungkap, kapan dan bagaimana Data Pribadi terungkap, serta upaya penanganan yang dilakukan.

10 Perlindungan Anak di Bawah Umur

Layanan ini tidak ditujukan untuk anak di bawah usia 17 (tujuh belas) tahun atau di bawah usia yang dipersyaratkan untuk membuat perjanjian secara hukum. Apabila Anda merupakan orang tua atau wali dan mengetahui anak Anda memberikan Data Pribadi kepada Kami tanpa persetujuan Anda, mohon segera menghubungi Kami untuk penghapusan data.

11 Transfer Data Lintas Negara

Sebagian penyedia layanan pihak ketiga Kami mungkin memproses Data Pribadi di luar wilayah Republik Indonesia. Dalam hal demikian, Kami memastikan negara tujuan memiliki tingkat pelindungan Data Pribadi yang setara atau lebih tinggi dari UU PDP, atau Kami menerapkan klausul perlindungan kontraktual yang memadai, sesuai Pasal 56 UU PDP.

12 Perubahan Kebijakan

Kami dapat mengubah Kebijakan ini dari waktu ke waktu. Perubahan material akan diberitahukan melalui email atau notifikasi di Platform paling lambat 14 (empat belas) hari sebelum perubahan berlaku. Penggunaan Layanan secara terus-menerus setelah perubahan berlaku merupakan penerimaan Anda atas Kebijakan yang diperbarui.

13 Kontak Kami

Untuk pertanyaan, keluhan, atau penggunaan hak-hak Subjek Data Pribadi, silakan menghubungi Pejabat Perlindungan Data (DPO) Kami:

PT Harmoni Indonesia Media
DPO
privacy@smartshop.id
Email Umum
halo@smartshop.id
Alamat
Jakarta, Indonesia

Apabila permintaan Anda belum ditanggapi dengan memuaskan, Anda berhak mengajukan pengaduan kepada Lembaga Pelindungan Data Pribadi melalui kanal resmi Kementerian Komunikasi dan Informatika Republik Indonesia.