CekDoku

Kebijakan Privasi

Bagaimana CekDoku mengumpulkan, menggunakan, dan melindungi data pribadi Anda.

Terakhir diperbarui: 21 April 2026

Catatan Draf

Dokumen ini disusun berdasarkan ketentuan Undang-Undang Republik Indonesia Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (“UU PDP”). Identitas pengendali data (operator) akan diperbarui menjelang peluncuran publik. Konsultasikan dengan Data Protection Officer (DPO) atau advokat berlisensi untuk kepatuhan penuh sebelum menerima data pengguna dalam skala produksi.

1. Pengendali Data Pribadi

Pengendali data pribadi atas layanan CekDoku adalah operator yang akan diumumkan pada pembaruan berikutnya (lihat catatan draf). Untuk sementara, segala pertanyaan terkait pelindungan data dapat ditujukan ke support@cekdoku.id.

2. Data Pribadi yang Kami Kumpulkan

2.1 Data yang Anda Berikan Secara Langsung

  • Pendaftaran akun: nama lengkap, alamat email, kata sandi (disimpan dalam bentuk hash scrypt, tidak dalam bentuk teks biasa).
  • Pembayaran: data transaksi (bukan nomor kartu kredit — data kartu dikelola langsung oleh Midtrans dan tidak pernah melewati server kami).
  • Tautan kanal pesan: nomor WhatsApp atau chat ID Telegram (bila Anda memilih menghubungkan).
  • Dokumen kontrak: file PDF/DOCX yang Anda unggah — lihat Bagian 4 untuk detail penanganan.

2.2 Data yang Dihasilkan Otomatis

  • Alamat IP, user agent, dan timestamp untuk keperluan rate-limiting, deteksi penyalahgunaan, dan catatan audit.
  • Catatan penggunaan kredit dan hasil tinjauan (ringkasan, risiko, kewajiban) agar Anda dapat meninjau ulang riwayat.

2.3 Data Khusus

Dokumen kontrak yang Anda unggah dapat memuat data pribadi bersifat spesifik (NIK, nomor rekening, NPWP, data karyawan, dll). Kami memperlakukan seluruh isi dokumen sebagai data sensitif meskipun tidak dapat mengidentifikasi atau mengklasifikasikan setiap elemen di dalamnya secara otomatis.

3. Dasar Pemrosesan (Pasal 20 UU PDP)

Kami memproses data pribadi Anda berdasarkan:

  • Persetujuan yang Anda berikan saat mendaftar akun, mengunggah dokumen, atau menghubungkan kanal pesan.
  • Kepentingan pelaksanaan kontrak, yaitu perjanjian layanan yang Anda setujui pada Syarat & Ketentuan.
  • Kewajiban hukum (misalnya retensi catatan pajak dan audit) yang mengikat kami sebagai operator usaha.

4. Penanganan Dokumen Kontrak

Kami menerapkan prinsip data minimization pada dokumen kontrak:

  1. File asli tidak disimpan permanen. Setelah teks diekstrak, file PDF/DOCX dihapus dari memori proses. Kami tidak membackup file asli.
  2. Teks hasil ekstraksi disimpan terenkripsi. Kami mengenkripsi teks kontrak dengan algoritma AES-256-GCM sebelum menyimpannya ke basis data, agar meskipun basis data terekspos, isi kontrak tetap tidak terbaca tanpa kunci enkripsi.
  3. Data yang kami simpan untuk riwayat: ringkasan, daftar risiko, kewajiban, langkah lanjutan, tingkat risiko, dan metadata file (nama, ukuran, jumlah halaman).
  4. Teks dikirimkan ke Anthropic (model Claude) untuk analisis — ketentuan pemrosesan oleh pihak ketiga dijelaskan pada Bagian 7.

5. Tujuan Pemrosesan

  • Menyediakan layanan tinjauan kontrak dan fitur terkait.
  • Memverifikasi identitas, mencegah penyalahgunaan, serta memelihara keamanan sistem.
  • Memproses pembayaran dan mengelola akun pengguna.
  • Mengirim notifikasi transaksional (verifikasi email, reset kata sandi, hasil tinjauan, notifikasi konsultasi).
  • Memenuhi kewajiban hukum dan merespons permintaan otoritas yang sah.

6. Jangka Waktu Retensi

  • File kontrak asli: tidak disimpan setelah ekstraksi.
  • Teks kontrak terenkripsi & hasil tinjauan: selama akun Anda aktif atau sampai Anda menghapus tinjauan tersebut.
  • Data akun: selama akun aktif. Setelah permintaan penghapusan, data pribadi dianonimkan segera; penghapusan permanen dilakukan 30 hari kemudian untuk memungkinkan pemulihan jika permintaan bukan dari Anda.
  • Catatan pembayaran & audit: minimal 5 (lima) tahun sesuai kewajiban perpajakan dan audit.

7. Pihak Ketiga yang Kami Gunakan

Kami menggunakan sub-prosesor berikut untuk menjalankan layanan. Setiap sub-prosesor diikat oleh komitmen kerahasiaan dan keamanan yang setara:

  • Anthropic PBC (Amerika Serikat) — pemrosesan analisis AI. Teks kontrak dikirim untuk dianalisis; Anthropic menyatakan tidak menggunakan data pelanggan untuk melatih model mereka secara default.
  • Vercel Inc. (Singapura) — infrastruktur hosting aplikasi dan edge network.
  • Railway Corp. (Singapura) — basis data PostgreSQL.
  • Upstash Inc. (Singapura) — cache dan rate limiter.
  • PT Midtrans (Indonesia) — pemrosesan pembayaran kredit.
  • Zoho Corporation — pengiriman email transaksional melalui SMTP.
  • Cloudflare Inc. — verifikasi CAPTCHA (Turnstile) pada formulir pendaftaran.
  • Telegram Messenger Inc. & Meta Platforms Ireland Ltd. — bila Anda memilih menghubungkan kanal pesan.

8. Transfer Data Lintas Batas

Beberapa sub-prosesor di atas berlokasi di luar wilayah Republik Indonesia. Kami melakukan transfer lintas batas berdasarkan ketentuan Pasal 55 UU PDP, dengan memastikan negara penerima menerapkan perlindungan setara atau dengan persetujuan khusus dari Anda. Saat Anda menggunakan layanan kami, Anda memahami dan menyetujui transfer tersebut untuk tujuan penyelenggaraan layanan.

9. Hak Anda Sebagai Subjek Data (Pasal 5–14 UU PDP)

Anda berhak untuk:

  • Mendapat informasi tentang kejelasan identitas dan tujuan pemrosesan.
  • Mengakses, memperbaiki, dan memperbarui data pribadi Anda.
  • Menghapus data pribadi (“right to be forgotten”) dengan tunduk pada kewajiban retensi hukum.
  • Menarik persetujuan pemrosesan, menghentikan pemrosesan lebih lanjut, dan/atau membatasi pemrosesan.
  • Meminta portabilitas data dalam format terstruktur yang umum digunakan.
  • Mengajukan keberatan atas pengambilan keputusan yang hanya didasarkan pada pemrosesan otomatis.
  • Mengajukan pengaduan ke lembaga pengawas yang berwenang.

Untuk menggunakan hak-hak di atas, hubungi support@cekdoku.id. Kami akan menanggapi dalam waktu maksimal 3 (tiga) hari kerja sejak permintaan terverifikasi.

10. Keamanan

Kami menerapkan langkah pengamanan teknis dan organisasi, antara lain:

  • Enkripsi TLS 1.3 untuk seluruh lalu lintas web.
  • Enkripsi at-rest AES-256-GCM untuk teks kontrak terekstraksi.
  • Hashing kata sandi menggunakan scrypt dengan salt acak per pengguna.
  • Rate-limiting pada endpoint sensitif untuk mencegah brute force.
  • Prinsip akses terbatas (least privilege) pada data basis data produksi.

Tidak ada sistem yang sepenuhnya bebas risiko. Anda membantu dengan menggunakan kata sandi kuat yang tidak dipakai ulang di layanan lain.

11. Cookies dan Teknologi Serupa

Kami menggunakan cookie sesi untuk autentikasi (NextAuth.js), cookie preferensi tema, dan cookie CSRF. Kami tidak menggunakan cookie pelacakan lintas situs untuk tujuan periklanan.

12. Anak di Bawah Umur

Layanan CekDoku ditujukan bagi pengguna berusia 18 tahun ke atas atau yang telah dewasa secara hukum. Kami tidak secara sengaja mengumpulkan data pribadi anak di bawah umur. Jika Anda mengetahui anak di bawah umur telah memberikan data pribadinya, mohon hubungi kami segera untuk menghapusnya.

13. Perubahan Kebijakan

Kami dapat memperbarui Kebijakan Privasi ini. Perubahan material akan diumumkan paling lambat 14 hari sebelum berlaku melalui email dan/atau notifikasi di aplikasi.

14. Kontak

Pertanyaan, permintaan hak subjek data, atau keluhan dapat ditujukan ke support@cekdoku.id. Kami akan menugaskan seorang Pejabat Pelindungan Data (DPO) setelah skala pemrosesan mencapai ambang batas Pasal 53 UU PDP.