Skip to main content
E
Expandly
← Kembali ke Beranda

Kebijakan Privasi

Bagaimana Expandly mengumpulkan, menggunakan, dan melindungi data pribadi Anda, sesuai UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) dan UU No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik.

Terakhir diperbarui: 10 Mei 2026

Pendahuluan

Selamat datang di Expandly ("Layanan"). Halaman ini menjelaskan bagaimana kami memperlakukan data pribadi Anda: apa yang kami kumpulkan, kenapa, kepada siapa data itu kami bagikan, berapa lama kami menyimpannya, dan hak apa yang Anda miliki atas data tersebut.

Kami menyusun kebijakan ini supaya pengguna Indonesia dapat membaca dan memahami praktik kami sesuai dengan kerangka UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi ("UU PDP") yang berlaku efektif sejak 17 Oktober 2024, serta UU No. 11 Tahun 2008 sebagaimana telah diubah ("UU ITE"). Bila ada perbedaan interpretasi antara versi Indonesia dan Inggris, versi Indonesia yang berlaku.

1. Identitas Pengendali Data Pribadi

Pengendali Data Pribadi (Data Controller) untuk layanan ini adalah:

Nama operasional: Expandly (operasional di bawah merek expandly.id)

Kontak privasi (DPO): privacy@expandly.id

Domisili: Republik Indonesia

Catatan: Expandly saat ini beroperasi sebagai usaha rintisan dalam tahap pra-pendirian badan hukum. Begitu pendirian badan hukum (PT/CV) selesai, halaman ini akan diperbarui dengan nama lengkap entitas, NPWP, dan alamat resmi. Untuk seluruh urusan terkait perlindungan data, kanal kontak yang berlaku adalah privacy@expandly.id; balasan kami sediakan dalam 1×24 jam pada hari kerja.

2. Data yang Kami Kumpulkan

2.1 Data yang Anda berikan langsung

Saat Anda membuat akun, melakukan pembayaran, atau menghubungi kami, kami mengumpulkan:

  • Nama dan email: dikumpulkan saat pendaftaran akun, untuk mengidentifikasi pengguna dan mengirim notifikasi terkait paket.
  • Password (di-hash menggunakan bcrypt): kami tidak menyimpan password dalam bentuk plaintext dan tim Expandly tidak dapat melihat password asli Anda.
  • Atestasi usia + persetujuan Ketentuan Layanan & Kebijakan Privasi: direkam saat pendaftaran sebagai bukti consent yang sah (UU PDP Pasal 22).
  • Data pembayaran: diproses oleh Midtrans (pihak ketiga); kami menerima dan menyimpan ID transaksi, jumlah, status, dan metadata penagihan, namun TIDAK menyimpan nomor kartu, CVV, atau kredensial e-wallet Anda.
  • Data rekening bank atau e-wallet: hanya untuk pembayaran cashout referral, jika Anda memilih untuk menerima pembayaran. Disimpan terenkripsi (AES-256-GCM) per ADR-0019.
  • Komunikasi support: pesan yang Anda kirim ke kami via WhatsApp/Discord/email akan kami simpan untuk keperluan dokumentasi tiket support.

2.2 Data yang dikumpulkan otomatis saat Anda menggunakan Layanan

Saat Anda menggunakan website atau ekstensi browser kami, sistem otomatis mengumpulkan:

  • Alamat IP, jenis perangkat, jenis dan versi browser, sistem operasi.
  • Tanggal dan waktu kunjungan, halaman yang dikunjungi, durasi sesi.
  • Token sesi ekstensi (di-sign menggunakan EXTENSION_TOKEN_SIGNING_SECRET) untuk autentikasi ekstensi, beserta metadata perangkat untuk pengelolaan sesi.
  • Catatan aktivitas akun (login, perubahan paket, koneksi ke layanan upstream) untuk keperluan audit dan deteksi penyalahgunaan.
  • Catatan error ekstensi (dengan retensi singkat) untuk diagnosis masalah teknis.
  • Cookie/session storage di browser untuk sesi web (session cookie NextAuth) dan cache cookie akun premium upstream pada penyimpanan ekstensi (chrome.storage.session, per ADR-0026, tidak persisten lintas restart browser).

2.3 Data sensitif (Data Pribadi Spesifik per Pasal 4 UU PDP)

Kami TIDAK secara aktif mengumpulkan data biometrik, data kesehatan, data keuangan terinci di luar yang diperlukan untuk pembayaran, data anak (kami tidak mengizinkan pendaftaran di bawah 18 tahun tanpa izin orang tua/wali, lihat Bagian 13), data asal-usul, data agama, data politik, atau data orientasi seksual. Bila informasi tersebut Anda kirim secara sukarela melalui kanal support, kami akan memintanya dihapus kecuali memang relevan untuk menyelesaikan tiket Anda.

3. Dasar Hukum Pemrosesan Data

Sesuai Pasal 20 UU PDP, setiap pemrosesan data pribadi memerlukan dasar hukum yang sah. Dasar yang kami gunakan untuk masing-masing tujuan:

  1. Persetujuan (consent), Pasal 20(2)(a): Untuk pendaftaran akun, pemrosesan data analitik (Google Analytics, Meta Pixel, TikTok Pixel, hanya jika Anda menyetujui di banner cookie), dan pengiriman email lifecycle/marketing.
  2. Pelaksanaan kontrak, Pasal 20(2)(b): Untuk pemrosesan pembayaran, aktivasi paket, penyediaan akses ke akun premium upstream, pengelolaan sesi ekstensi, dan eksekusi cashout referral.
  3. Kepentingan sah (legitimate interest), Pasal 20(2)(f): Untuk deteksi penyalahgunaan layanan (rate limiting, anti-sharing pattern enforcement per ADR-0028), pencegahan fraud, audit keamanan, dan agregasi data analitik internal yang tidak menggunakan pixel pihak ketiga.
  4. Kewajiban hukum, Pasal 20(2)(c): Untuk menyimpan catatan transaksi sesuai ketentuan perpajakan (UU 7/2021 HPP / UU PPN), merespons permintaan resmi otoritas (OJK, Bank Indonesia, PPATK, Kemenkominfo), dan memenuhi kewajiban pelaporan AML.

4. Bagaimana Kami Menggunakan Data Anda

Data yang kami kumpulkan kami gunakan untuk:

  • Menyediakan dan memelihara Layanan, termasuk autentikasi pengguna, alokasi seat akun premium upstream, pemrosesan antrian, dan rotasi sesi.
  • Memproses pembayaran dan mengaktifkan paket, termasuk komunikasi dengan Midtrans dan rekonsiliasi pembayaran via cron rutin.
  • Mengirim email transaksional dan lifecycle: verifikasi opsional, konfirmasi pembayaran, pengingat masa aktif paket. Anda dapat opt-out dari email lifecycle kapan saja.
  • Mendeteksi dan mencegah penyalahgunaan, termasuk pemantauan pola login mencurigakan, deteksi credential sharing antar akun Expandly, dan penegakan Ketentuan Layanan.
  • Menjawab pertanyaan support dan memproses klaim refund, termasuk menyimpan riwayat tiket support sebagai dokumentasi.
  • Menghitung dan membayar komisi referral kepada referrer yang berhak, termasuk menyimpan dan memverifikasi data rekening cashout.
  • Memenuhi kewajiban hukum, termasuk pencatatan untuk perpajakan, kepatuhan terhadap permintaan resmi otoritas, dan pelaporan AML jika ambang batas tercapai.

5. Pihak Ketiga yang Menerima Data Anda

Kami TIDAK menjual data Anda. Kami membagikan data kepada penyedia layanan pihak ketiga ("Prosesor Data") yang membantu kami menjalankan Layanan, sesuai dengan tujuan yang sudah disebutkan. Berikut daftar lengkap kategori penerima:

Pemroses Pembayaran

Penerima / Recipient: Midtrans (PT Midtrans, Indonesia)

Tujuan / Purpose: Pemrosesan transaksi pembayaran (kartu debit/kredit, Virtual Account, e-wallet OVO/GoPay/DANA/ShopeePay, QRIS). Tunduk pada Kebijakan Privasi Midtrans.

Penyedia Email Transaksional

Penerima / Recipient: Resend (Resend Inc., Amerika Serikat) atau penyedia SMTP yang dikonfigurasi.

Tujuan / Purpose: Pengiriman email transaksional (verifikasi, konfirmasi pembayaran, lifecycle email, password reset).

Penyedia Hosting & Database

Penerima / Recipient: Supabase (PostgreSQL hosting, region Singapura), Railway (application hosting, region Singapura), Cloudflare (CDN/proxy edge global).

Tujuan / Purpose: Hosting aplikasi, penyimpanan database, akselerasi konten, perlindungan DDoS.

Pixel Analitik & Iklan (HANYA jika Anda setuju di banner cookie)

Penerima / Recipient: Google Analytics 4 (Google LLC, Amerika Serikat), Meta Pixel (Meta Platforms Inc., Amerika Serikat), TikTok Pixel (ByteDance/TikTok Pte. Ltd., Singapura/RRC).

Tujuan / Purpose: Pengukuran performa kampanye marketing dan funnel konversi. Pixel TIDAK aktif sebelum Anda menekan tombol "Aktifkan analitik" di banner cookie kami; bila Anda memilih "Hanya esensial", pixel ini tidak akan dimuat.

Penyedia Layanan AI Upstream (untuk fitur AI Coding API)

Penerima / Recipient: OpenAI (Amerika Serikat), Anthropic (Amerika Serikat), Google AI (Amerika Serikat), xAI (Amerika Serikat), DeepSeek (RRC), dan penyedia lain yang mungkin berubah seiring kapasitas.

Tujuan / Purpose: Routing permintaan API AI untuk pengguna paket dengan akses AI Coding API. Detail routing di Bagian "AI Coding API" pada Ketentuan Layanan.

Otoritas dan Lembaga Resmi

Penerima / Recipient: OJK, Bank Indonesia, PPATK, Kemenkominfo, kepolisian, atau pengadilan.

Tujuan / Purpose: Hanya saat menerima permintaan resmi tertulis sesuai prosedur hukum yang berlaku. Kami akan memberitahu pengguna yang terdampak kecuali pemberitahuan tersebut dilarang oleh hukum.

Setiap prosesor pihak ketiga di atas terikat oleh kebijakan privasi mereka sendiri dan, untuk yang berdomisili di luar Indonesia, oleh perjanjian pemrosesan data (DPA / Standard Contractual Clauses) yang menjamin tingkat perlindungan setara dengan yang diwajibkan UU PDP.

6. Transfer Data Lintas Batas (Cross-Border Transfer)

Sesuai Pasal 56 UU PDP, kami wajib memberitahu Anda bahwa beberapa data Anda diproses di luar yurisdiksi Republik Indonesia. Lokasi pemrosesan untuk setiap kategori prosesor:

  • Singapura: Supabase (database PostgreSQL), Railway (server aplikasi), TikTok (region Asia-Pasifik).
  • Amerika Serikat: Resend (email), Google Analytics, Meta Pixel, OpenAI, Anthropic, Google AI, xAI.
  • Republik Rakyat Tiongkok: DeepSeek (untuk routing AI ke model DeepSeek).
  • Global edge network: Cloudflare CDN (lokasi server terdekat berdasarkan geolokasi Anda).

Dasar hukum transfer lintas batas: (a) Anda memberikan persetujuan eksplisit pada saat pendaftaran (Pasal 56(2)(a) UU PDP); (b) transfer diperlukan untuk pelaksanaan kontrak antara Anda dan kami (Pasal 56(2)(b)); dan/atau (c) negara penerima atau prosesor menyediakan jaminan perlindungan data yang setara melalui DPA/SCC (Pasal 56(2)(c)). Bila Anda ingin mencabut persetujuan transfer lintas batas, harap pahami hal ini akan menyebabkan Layanan tidak dapat berfungsi karena seluruh infrastruktur kami berada di luar negeri.

7. Keputusan Otomatis

Beberapa proses dalam Layanan kami berjalan secara otomatis tanpa keterlibatan manusia secara langsung. Yang materil mempengaruhi Anda:

  • Pembatalan otomatis pembayaran tertunda (PENDING) yang melewati batas waktu reconciliation cron. Anda akan menerima notifikasi dan dapat menghubungi tim untuk peninjauan manual.
  • Penghentian sesi otomatis ketika perangkat dianggap idle terlalu lama (per pengaturan paket), agar slot dapat dipakai pengguna lain dalam queue.
  • Pencabutan akses jika sistem mendeteksi pola anti-sharing yang merugikan tenant lain (per ADR-0028). Keputusan ini didokumentasikan dalam ActivityLog dan dapat ditinjau ulang oleh admin atas permintaan Anda.
  • Penangguhan API key bila kuota bulanan token AI Coding API habis, dengan reaktivasi otomatis di siklus berikutnya atau setelah upgrade paket.

Anda berhak meminta intervensi manusia atas keputusan otomatis tersebut (UU PDP Pasal 5(g)). Kirim permintaan ke privacy@expandly.id dengan menjelaskan situasi Anda; admin akan meninjau dalam 1×24 jam pada hari kerja.

8. Berapa Lama Kami Menyimpan Data Anda

Kami menyimpan data hanya selama diperlukan untuk tujuan yang dijelaskan, kecuali kewajiban hukum lain mensyaratkan retensi lebih lama. Periode retensi konkret per kategori:

  • Akun pengguna aktif

    Selama akun aktif. Setelah akun dihapus secara soft-delete, data dipertahankan 30 hari untuk recovery, lalu di-purge permanen oleh cron.

  • Catatan aktivitas akun (ActivityLog)

    Maksimum 90 hari (dapat diatur oleh admin via env ACTIVITY_LOG_RETENTION_DAYS).

  • Catatan error ekstensi (ExtensionErrorLog)

    Maksimum 7 hari (env EXTENSION_ERROR_LOG_RETENTION_DAYS).

  • Catatan perangkat ekstensi yang dicabut (RevokedDevice)

    Maksimum 90 hari (env REVOKED_DEVICE_RETENTION_DAYS).

  • Catatan transaksi pembayaran

    Minimum 5 tahun, sesuai Peraturan Menteri Keuangan tentang penyimpanan dokumen perpajakan.

  • Catatan keputusan refund / tiket support

    24 bulan setelah resolusi tiket (mendukung penyelesaian sengketa retroaktif).

  • Cookies analitik (jika Anda setuju)

    Sesuai kebijakan masing-masing penyedia: GA hingga 14 bulan; Meta hingga 90 hari aktif; TikTok hingga 13 bulan.

  • Email lifecycle log

    Maksimum 12 bulan untuk audit pengiriman.

9. Keamanan Data

Kami menerapkan langkah teknis dan organisasional yang wajar untuk melindungi data Anda: kredensial akun premium upstream disimpan terenkripsi AES-256 di server, semua koneksi web menggunakan HTTPS (TLS 1.2+), password pengguna di-hash dengan bcrypt, data rekening cashout dienkripsi AES-256-GCM dengan kunci yang dikelola terpisah dari data utama (per ADR-0019). Akses internal ke data produksi dibatasi pada admin terverifikasi melalui MFA. Namun perlu dipahami bahwa tidak ada sistem yang sepenuhnya kebal. Bila terjadi insiden keamanan yang material, kami akan memberitahu Anda dan otoritas terkait dalam 3×24 jam sesuai Pasal 46 UU PDP.

10. Hak Anda atas Data Pribadi

Sesuai Pasal 5 UU PDP, sebagai Subjek Data Pribadi Anda berhak untuk:

  • Mendapatkan informasi yang jelas tentang siapa kami, kenapa data dikumpulkan, dan kepada siapa data dibagikan (Pasal 5(a)).
  • Mengakses dan mendapatkan salinan data pribadi Anda yang kami simpan (Pasal 5(b)).
  • Memperbarui dan memperbaiki data yang tidak akurat atau tidak lengkap (Pasal 5(c)).
  • Mengakhiri pemrosesan, menghapus, atau memusnahkan data pribadi Anda, termasuk hak "untuk dilupakan", kecuali retensi diperlukan oleh kewajiban hukum lain (Pasal 5(d) dan (e)).
  • Menolak tindakan pengambilan keputusan yang hanya didasarkan pada pemrosesan otomatis dan meminta intervensi manusia (Pasal 5(g)).
  • Mencabut persetujuan kapan saja, dengan pemahaman bahwa pencabutan tidak mempengaruhi keabsahan pemrosesan yang dilakukan sebelumnya (Pasal 5(h)).
  • Mengajukan keberatan dan/atau gugatan atas pelanggaran perlindungan data pribadi (Pasal 5(i)).
  • Memperoleh dan menggunakan data pribadi Anda dari kami dalam format yang sesuai dan/atau lazim digunakan antara sistem elektronik (data portability, Pasal 5(j)).

Untuk menggunakan hak-hak di atas, kirim email ke privacy@expandly.id dengan menyebutkan hak yang ingin Anda gunakan dan email akun Expandly Anda untuk verifikasi. Kami akan merespons dalam paling lambat 3×24 jam kerja, dan menyelesaikan permintaan dalam 30 hari kerja sesuai Pasal 30 UU PDP. Bila kami tidak dapat memenuhi permintaan, kami akan memberi alasan tertulis dan menjelaskan jalur banding.

11. Cookies dan Teknologi Pelacakan

Kami menggunakan dua kategori cookie. (a) Cookie esensial: diperlukan untuk autentikasi sesi, anti-CSRF, dan fungsionalitas dasar. Cookie ini selalu aktif karena Layanan tidak dapat berjalan tanpa keduanya. (b) Cookie analitik dan iklan: Google Analytics, Meta Pixel, TikTok Pixel. Cookie ini HANYA aktif jika Anda menekan tombol "Aktifkan analitik" pada banner cookie. Bila Anda memilih "Hanya esensial", pixel-pixel tersebut tidak akan dimuat.

Anda dapat mengubah pilihan cookie kapan saja dengan menghapus localStorage browser Anda untuk domain expandly.id (kunci: expandly:cookie-consent), atau dengan menggunakan pengaturan privasi browser. Cookie pihak ketiga juga tunduk pada kebijakan privasi penyedianya masing-masing.

12. Privasi Anak (Pengguna di Bawah 18 Tahun)

Sesuai Pasal 25 UU PDP, pemrosesan data pribadi anak (di bawah 18 tahun) memerlukan persetujuan orang tua atau wali yang dapat diverifikasi. Layanan ini ditujukan untuk pengguna berusia 18 tahun ke atas, atau untuk pengguna di bawah 18 tahun yang telah memperoleh izin orang tua/wali. Saat mendaftar Anda diminta menyatakan hal tersebut secara eksplisit. Bila kami mengetahui bahwa pengguna di bawah 18 tahun mendaftar tanpa izin orang tua/wali, kami akan menonaktifkan akun tersebut dan menghapus datanya dalam 7 hari sejak diberitahukan. Orang tua/wali yang mencurigai anaknya menggunakan Layanan tanpa izin dapat mengirim email ke privacy@expandly.id.

13. Pembaruan Kebijakan

Kami dapat memperbarui Kebijakan Privasi ini dari waktu ke waktu untuk menyesuaikan dengan perubahan praktik kami atau perubahan hukum. Bila terdapat perubahan material, kami akan: (a) memperbarui tanggal "Terakhir diperbarui" di header halaman ini; (b) mengirim notifikasi via email kepada pengguna terdaftar minimum 30 hari sebelum perubahan berlaku; dan (c) bila perubahan menyangkut dasar hukum atau penerima data, meminta Anda mengkonfirmasi ulang persetujuan saat Anda login berikutnya. Pengguna yang tidak mengkonfirmasi ulang dapat memilih untuk menghentikan Layanan tanpa konsekuensi.

14. Kontak dan Pengajuan Keluhan

Untuk pertanyaan atau permintaan terkait privasi:

Pertanyaan privasi & permintaan hak Subjek Data: privacy@expandly.id

Dukungan umum: support@expandly.id

Pengaduan ke regulator: Bila Anda merasa hak privasi Anda dilanggar dan tidak puas dengan respons kami, Anda dapat mengajukan pengaduan kepada Kementerian Komunikasi dan Informatika (Kemenkominfo) sebagai otoritas pengawas UU PDP, atau ke Badan Penyelesaian Sengketa Konsumen (BPSK) untuk sengketa konsumen.

Kebijakan Privasi | Expandly