Kebijakan Privasi

Terakhir diperbarui: April 2026

FirstCRM ("kami", "layanan kami") berkomitmen untuk melindungi privasi data kamu dan pelanggan kamu sesuai Undang-Undang Perlindungan Data Pribadi (UU PDP) No. 27 Tahun 2022 dan peraturan turunannya.

1. Data yang Kami Kumpulkan

Dalam menjalankan layanan CRM, kami mengumpulkan dan memproses data berikut:

• Data Akun Organisasi: nama bisnis, email admin, nomor telepon, alamat bisnis, data tagihan.
• Data Pengguna (Staff): nama, email, peran (owner / admin / staff), riwayat login.
• Data Kontak / Pelanggan: nama, nomor telepon (E.164), email, nama bisnis, catatan, sumber kontak, tag — dimasukkan oleh kamu selaku Pengendali Data.
• Data Percakapan WhatsApp: isi pesan (teks, media), timestamp, status pengiriman — hanya jika integrasi WABA aktif.
• Data Operasional: leads, deals, quotes, orders, aktivitas, invoice referensi.
• Data Teknis: log akses, IP address, user agent, error log.

2. Tujuan Pemrosesan

• Menyediakan dan menjalankan layanan CRM sesuai perjanjian langganan.
• Mengirim notifikasi operasional (pengingat pembayaran, peringatan sistem).
• Meningkatkan kualitas layanan melalui analisis penggunaan anonim.
• Memenuhi kewajiban hukum dan regulasi yang berlaku di Indonesia.
• Menjalankan fitur AI enrichment (jika diaktifkan) — data dikirim ke penyedia AI (Anthropic, OpenAI) sesuai kontrak pemrosesan data mereka.

3. Dasar Hukum Pemrosesan

• Pelaksanaan kontrak — pemrosesan data yang diperlukan untuk menjalankan layanan yang kamu berlangganan.
• Kewajiban hukum — retensi data keuangan sesuai ketentuan perpajakan Indonesia (7 tahun).
• Kepentingan sah — keamanan sistem, pencegahan penipuan, peningkatan layanan.

4. Hak Subjek Data

Berdasarkan UU PDP Pasal 5–6, kamu dan pelanggan kamu berhak untuk:

• Mengetahui data pribadi apa yang kami proses.
• Mengakses dan mendapatkan salinan data kamu.
• Meminta koreksi data yang tidak akurat.
• Meminta penghapusan data (right to erasure) — berlaku untuk data non-keuangan. Data keuangan dipertahankan 7 tahun sesuai kewajiban hukum.
• Menolak atau membatasi pemrosesan tertentu.
• Portabilitas data (export dalam format standar).

Untuk mengajukan permintaan hak subjek data, kirim email ke privacy@firstcrm.id. Kami akan merespons dalam 14 hari kerja.

5. Retensi Data

• Data keuangan (invoice, order, payment): retensi minimum 7 tahun sesuai ketentuan perpajakan Indonesia.
• Data kontak yang dihapus: di-soft-delete (PII disamarkan), referensi keuangan tetap utuh untuk audit.
• Data percakapan: 3 tahun sejak percakapan terakhir, atau sesuai kebijakan retensi yang kamu tentukan di pengaturan organisasi.
• Log audit: 7 tahun, tidak dapat dihapus (immutable).
• Data lainnya: selama akun aktif + 90 hari setelah penutupan akun.

6. Sub-Prosesor

Kami menggunakan sub-prosesor berikut untuk menjalankan layanan:

• Supabase (database & auth) — data disimpan di region Singapore.
• Vercel (hosting) — infrastruktur global dengan edge di Asia Pacific.
• Anthropic (AI enrichment, opsional) — data dikirim saat fitur AI aktif.
• Meta / WhatsApp Cloud API (pesan WA, opsional) — tunduk pada kebijakan Meta.
• Xendit (pembayaran) — data tagihan diproses sesuai PCI-DSS.

7. Keamanan Data

• Enkripsi data at-rest dan in-transit (TLS 1.3).
• Row-Level Security (RLS) — data antar organisasi terisolasi secara ketat.
• Audit log immutable untuk setiap perubahan data sensitif.
• Akses admin terbatas dan dicatat.

8. Kontak

Pertanyaan tentang privasi: privacy@firstcrm.id
Permintaan data: dpo@firstcrm.id