Kebijakan Privasi FirstCRM

Versi: 1.0 · Terakhir diperbarui: April 2026
Landasan hukum utama: UU No. 27 Tahun 2022 (UU Pelindungan Data Pribadi) + Permenkominfo No. 5 Tahun 2020 (PSE Lingkup Privat).

1. Pengendali dan Prosesor Data

FirstCRM dioperasikan oleh:

• PT FIRST PRINCIPLE SYSTEMS (PT Perorangan)
• Email kontak privasi: legal@firstprinciple.id
• Email kontak umum: crm@firstprinciple.id

Peran FirstCRM dalam setiap alur data:

• Akun user organisasi (email login, nama, role) — FirstCRM sebagai Pengendali Data
• Data pelanggan UMKM (kontak, chat WA, deal) — FirstCRM sebagai Prosesor Data; UMKM klien adalah Pengendali
• Data billing & langganan — FirstCRM sebagai Pengendali Data
• Log teknis & telemetri anonim — FirstCRM sebagai Pengendali Data

Pengaturan detail untuk peran Prosesor diatur dalam Data Processing Agreement (DPA) terpisah yang Anda setujui saat onboarding.

2. Data yang Kami Kumpulkan

2.1 Data Akun User

• Nama lengkap, email, nomor telepon (opsional)
• Password (di-hash dengan bcrypt; tidak pernah disimpan plaintext)
• Foto profil (opsional), peran dalam organisasi

2.2 Data Organisasi

• Nama bisnis, alamat usaha, NPWP (opsional untuk invoice)
• Detail langganan & status pembayaran

2.3 Data Pelanggan UMKM (Pengendali: UMKM klien)

• Nama kontak, nomor telepon (E.164 format)
• Isi chat WhatsApp (text, gambar, dokumen, audio, video)
• Metadata transaksi (deal, quote, order)
• Catatan dan aktivitas staff

FirstCRM tidak memiliki hak komersial atas data ini. Kami hanya memproses atas instruksi UMKM klien sesuai DPA.

2.4 Data Teknis & Keamanan

• Alamat IP (rate limiting & fraud prevention)
• Browser/device fingerprint (non-personal)
• Timestamp login, log audit perubahan data

2.5 Data Pembayaran

Diproses melalui Midtrans (Verifikasi PCI-DSS). Kami TIDAK menyimpan data kartu kredit di server FirstCRM.

3. Dasar Hukum Pemrosesan (Pasal 20 UU PDP)

1. Persetujuan — Anda mencentang persetujuan saat registrasi
2. Pelaksanaan perjanjian — untuk menyediakan layanan FirstCRM
3. Kewajiban hukum — pelaporan pajak, audit
4. Kepentingan yang sah — keamanan sistem, pencegahan penipuan

4. Tujuan Penggunaan Data

• Menyediakan layanan CRM (inbox, lead management, deal pipeline)
• Autentikasi dan keamanan akun
• Memproses pembayaran langganan
• Mengirim notifikasi layanan (NOT marketing — marketing terpisah dengan opt-in)
• Analitik agregat untuk meningkatkan produk (selalu anonymized)
• Memenuhi kewajiban hukum & perpajakan

Kami TIDAK akan: menjual data Anda atau pelanggan Anda; melatih model AI pihak luar dengan data pelanggan Anda; menggunakan isi chat WA untuk iklan; mengirim email marketing tanpa opt-in eksplisit.

5. WhatsApp & Meta Platform

FirstCRM terhubung ke WhatsApp Business API melalui Meta Platforms. Hal-hal penting yang perlu Anda ketahui:

• WABA milik klien: WhatsApp Business Account (WABA) adalah milik Organisasi Anda — dibuat langsung di akun Meta Business Anda, bukan milik FirstCRM.
• Pesan bersifat private: Isi pesan WhatsApp Anda dan pelanggan Anda adalah privat. Kami tidak menggunakannya untuk iklan, tidak membagikannya ke pihak ketiga untuk tujuan komersial, dan tidak pernah memonetisasi konten percakapan WhatsApp.
• Pesan diproses melalui server Meta di Singapura, tunduk pada WhatsApp Business Terms of Service milik Meta.
• Data yang dikumpulkan via Meta Platform: nomor telepon pelanggan, isi pesan (text, gambar, dokumen, audio, video), dan metadata percakapan (timestamp, status pesan). Data ini diproses atas instruksi klien UMKM (lihat §1 — FirstCRM sebagai Prosesor Data).
• Biaya 0% markup: FirstCRM tidak menambah markup atas biaya percakapan Meta. Anda membayar Meta langsung via akun WABA Anda.

Untuk penghapusan data yang terkait dengan penggunaan WhatsApp di FirstCRM, kunjungi: firstcrm.id/data-deletion.

6. AI Processing (Khusus)

FirstCRM menggunakan AI (Anthropic Claude, OpenAI) untuk:

• Kualifikasi lead otomatis (intent, kategori, urgensi)
• Draft saran follow-up untuk staff (tidak pernah auto-send)
• Analitik agregat

Perlindungan:

• Nomor telepon di-mask (hanya 4 digit terakhir) sebelum dikirim ke AI provider
• AI provider berkomitmen tidak melatih model dengan data API enterprise kami
• Konten pesan WhatsApp tidak digunakan untuk melatih model AI apapun
• Data subject request memicu permintaan delete ke AI provider

7. Pembagian Data dengan Pihak Ketiga

Sub-prosesor yang kami gunakan, semuanya terikat kontrak perlindungan data:

• Supabase (database hosting) — Singapore (SEA) — Standard Contractual Clauses
• Vercel (hosting aplikasi) — Singapore (SEA)
• Meta Platforms (WhatsApp Business API) — Global — kontrak langsung UMKM klien
• Midtrans (payment gateway) — Indonesia (domestik)
• Anthropic (AI processing) — USA — Enterprise DPA + masked data only
• OpenAI (embeddings) — USA — Enterprise DPA + masked data only
• Resend (transactional email) — USA/EU

Transfer data keluar Indonesia: Sesuai Pasal 56 UU PDP, kami memastikan negara tujuan memiliki tingkat perlindungan setara, atau menggunakan Standard Contractual Clauses.

8. Penyimpanan & Retensi

• Data akun aktif: selama akun aktif
• Data akun setelah cancel: 90 hari (grace period), lalu di-anonymize
• Audit log: 7 tahun (kewajiban akuntansi & UU PDP)
• Data financial-adjacent: 7 tahun
• Log telemetri: 90 hari
• Backup terenkripsi: 30 hari rolling

Penghapusan dilakukan via soft-delete dengan timestamp deleted_at. Hard delete dilarang untuk data compliance (audit log, financial).

9. Hak Subjek Data (Pasal 47–52 UU PDP)

1. Informasi — mengetahui tujuan, dasar hukum, dan jenis data yang kami proses
2. Akses — menerima salinan data pribadi Anda (format mesin-readable, dalam 30 hari)
3. Koreksi — melengkapi atau memperbaiki data yang tidak akurat
4. Penghapusan ("right to be forgotten") — meminta data dihapus
5. Pembatasan pemrosesan — meminta pemrosesan dihentikan sementara
6. Portabilitas — menerima data dalam format terstruktur/machine-readable untuk dipindahkan ke layanan lain
7. Menarik persetujuan — kapan saja, tanpa penalti, tanpa mempengaruhi pemrosesan sebelumnya
8. Mengajukan keberatan atas automated decision making yang berdampak signifikan
9. Menuntut ganti rugi atas pelanggaran UU PDP yang menimbulkan kerugian

Cara mengajukan: email ke legal@firstprinciple.id — kami merespons dalam maksimal 3×24 jam kerja. Untuk akun FirstCRM, Anda juga bisa langsung menghapus akun & data di sini.

10. Keamanan

• Enkripsi data in-transit (TLS 1.2+)
• Enkripsi data at-rest (AES-256 via Supabase)
• Row-Level Security (RLS) untuk isolasi multi-tenant
• Akses minimal (least privilege) dengan audit log
• Review kode wajib sebelum deploy production
• Kebijakan password kuat + 2FA opsional

11. Pemberitahuan Pelanggaran Data (Pasal 46 UU PDP)

Jika terjadi kebocoran data pribadi yang berisiko pada Anda, kami akan:

1. Memberitahu Anda dalam 3×24 jam sejak diketahui
2. Melaporkan ke Lembaga Pelindungan Data Pribadi dalam jangka waktu yang sama
3. Menyertakan: jenis data, jumlah subjek, dampak, langkah mitigasi

12. Anak di Bawah 18 Tahun

FirstCRM tidak ditujukan untuk pengguna di bawah 18 tahun. Jika Anda menemukan data anak di sistem kami, laporkan ke legal@firstprinciple.id dan akan kami hapus.

13. Cookies & Tracking

FirstCRM hanya menggunakan:

• Cookies esensial untuk autentikasi (tidak bisa di-opt-out)
• Analytics agregat tanpa tracking individual cross-site

Tidak ada cookies iklan. Tidak ada pixel Facebook/Google Ads.

14. Perubahan Kebijakan

Perubahan material akan diberitahu via:

• Email 30 hari sebelum efektif
• Banner di dashboard

Penggunaan berkelanjutan setelah tanggal efektif = persetujuan versi baru.

15. Kontak & Pengaduan

• Pertanyaan privasi & DPO: legal@firstprinciple.id
• Kontak umum: crm@firstprinciple.id
• Insiden keamanan: security@firstprinciple.id
• Lembaga Pelindungan Data Pribadi RI — untuk pengaduan eksternal

PT FIRST PRINCIPLE SYSTEMS · Terdaftar sebagai PSE Lingkup Privat di Kominfo.