1. Definisi
Dalam Kebijakan Privasi ini, istilah berikut memiliki arti sebagaimana didefinisikan di bawah ini:
- "Javara" berarti PT Javara Artificial Int beserta pendiri, karyawan, kontraktor, dan afiliasinya, yang mengoperasikan platform di javara.ai.
- "Platform" berarti layanan perangkat lunak berbasis web dan API yang disediakan oleh Javara, termasuk fitur loyalty management, analitik pertumbuhan berbasis AI, dan integrasi pihak ketiga.
- "Merchant" atau "Pelanggan" berarti pemilik atau operator bisnis F&B (Food & Beverage) yang mendaftar dan menggunakan Platform Javara atas nama usahanya.
- "Anggota Loyalty" atau "End-Customer" berarti konsumen akhir yang mendaftarkan diri ke program loyalty yang dikelola oleh Merchant melalui Platform Javara.
- "Data Pribadi" berarti segala informasi yang dapat digunakan untuk mengidentifikasi seseorang secara langsung maupun tidak langsung, sebagaimana didefinisikan dalam Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi ("UU PDP").
- "Pengendali Data" berarti pihak yang menentukan tujuan dan cara pemrosesan Data Pribadi.
- "Pemroses Data" berarti pihak yang memproses Data Pribadi atas instruksi Pengendali Data.
- "Sub-Prosesor" berarti pihak ketiga yang ditunjuk oleh Javara untuk membantu pemrosesan Data Pribadi dalam rangka penyampaian layanan.
- "Pemrosesan" berarti setiap operasi yang dilakukan terhadap Data Pribadi, termasuk pengumpulan, pencatatan, penyimpanan, penggunaan, pengungkapan, dan penghapusan.
- "Anda" berarti Merchant, Anggota Loyalty, atau pengunjung situs javara.ai yang tunduk pada Kebijakan ini.
2. Pengendali Data & Kontak
Pengendali Data:
| Nama Entitas | PT Javara Artificial Int |
| Penanggung Jawab | Anwar (Pendiri) |
| Alamat | Jakarta, Indonesia |
| Email Privasi | privacy@javara.ai |
| Website | https://javara.ai |
Javara bertindak sebagai Pengendali Data atas data yang dikumpulkan dari Merchant dan pengguna Platform secara umum. Dalam konteks data Anggota Loyalty yang dikumpulkan atas instruksi Merchant, Javara bertindak sebagai Pemroses Data dengan Merchant sebagai Pengendali Data — hubungan ini diatur lebih lanjut dalam Data Processing Addendum ("DPA").
Untuk pertanyaan terkait privasi, permintaan hak subjek data, atau keluhan, silakan hubungi: privacy@javara.ai
Sebagaimana disyaratkan oleh UU PDP Pasal 53, Javara menunjuk Pejabat Pelindungan Data (DPO) yang dapat dihubungi melalui: dpo@javara.ai.
3. Data yang Kami Kumpulkan
Javara mengumpulkan Data Pribadi dari tiga kelompok subjek utama:
3.1 Data Merchant (Pemilik/Operator Bisnis)
Data berikut dikumpulkan saat registrasi dan selama penggunaan Platform:
| Kategori Data | Detail | Tujuan Utama |
|---|---|---|
| Identitas Bisnis | Nama bisnis / outlet, alamat outlet | Identifikasi akun, tampilan program loyalty |
| Kontak Pemilik | Nama pemilik, alamat email, nomor WhatsApp | Autentikasi, notifikasi, dukungan |
| Perpajakan | NPWP bisnis (bila ada) | Penerbitan invoice/kuitansi resmi & administrasi pajak. PT Javara berstatus UMKM Non-PKP — tanpa PPN |
| Kredensial Akun | Email, token sesi login — login tanpa password (magic link email / Google OAuth); PIN kasir (di-hash) untuk aplikasi kasir | Keamanan akun |
| Data Pembayaran | Informasi pembayaran diproses oleh penyedia payment gateway berlisensi OJK; Javara hanya menyimpan status transaksi dan referensi ID — tidak menyimpan nomor kartu atau data kartu mentah | |
| Data Penggunaan | Log aktivitas platform, fitur yang digunakan, waktu login | Peningkatan layanan, deteksi anomali |
| Data POS yang Diunggah | File CSV/xlsx data transaksi dari sistem POS Merchant | Analitik pertumbuhan berbasis AI |
| Rekening Koran yang Diunggah | File rekening koran (PDF/CSV) yang diunggah Merchant untuk fitur pembukuan (tier PRO/MAX) | Kategorisasi pengeluaran otomatis & laporan keuangan |
3.2 Data End-Customer F&B (Anggota Loyalty)
Data berikut dikumpulkan oleh Merchant melalui Platform Javara saat mendaftarkan konsumen ke program loyalty:
| Kategori Data | Detail | Wajib/Opsional |
|---|---|---|
| Nomor Handphone | Nomor HP konsumen (sebagai identifikasi unik) | Wajib |
| Nama | Nama panggilan atau nama lengkap konsumen | Opsional |
| Tanggal Lahir | Untuk program hadiah ulang tahun | Opsional |
| Riwayat Transaksi | Nominal pembelian, tanggal, outlet lokasi | Otomatis dari proses loyalty |
| Riwayat Redemption | Poin/reward yang ditukarkan, waktu, jenis reward | Otomatis |
| Foto Struk (klaim mandiri) | Foto struk belanja yang diunggah konsumen untuk klaim poin self-service | Opsional (hanya bila fitur digunakan) |
| Data Reservasi | Tanggal & jam reservasi, jumlah tamu, catatan permintaan | Opsional (hanya bila Merchant mengaktifkan fitur reservasi) |
Catatan penting: Javara tidak mengumpulkan data keuangan sensitif (nomor rekening, data kartu), data kesehatan, atau data biometrik dari Anggota Loyalty.
3.3 Data Teknis dan Analitik
| Kategori Data | Detail | Sumber |
|---|---|---|
| Data Log Teknis | Alamat IP, user-agent browser, timestamp request | Penyedia infrastruktur hosting & CDN |
| Cookies & Local Storage | Session token, preferensi bahasa, status login | Browser pengguna |
| Data Analitik Produk | Halaman yang dikunjungi, fitur yang diklik, durasi sesi, error yang terjadi | Penyedia analitik & monitoring |
| Monitoring & Uptime | Log performa server, alert gangguan layanan | Penyedia monitoring uptime |
4. Tujuan Penggunaan Data
Javara memproses Data Pribadi hanya untuk tujuan-tujuan yang sah dan telah ditetapkan berikut ini:
| # | Tujuan | Kategori Data yang Digunakan |
|---|---|---|
| 4.1 | Penyampaian Layanan — Menjalankan dan menyediakan fungsi inti Platform Javara, termasuk manajemen program loyalty, analitik berbasis AI, dan integrasi pihak ketiga | Merchant, End-Customer, Teknis |
| 4.2 | Manajemen Akun — Pembuatan akun, autentikasi, pemulihan akses, dan pengelolaan izin pengguna | Merchant |
| 4.3 | Penagihan & Administrasi Pajak — Pemrosesan pembayaran, penerbitan invoice, dan pemenuhan kewajiban administrasi pajak yang berlaku | Merchant (NPWP, email, data pembayaran) |
| 4.4 | Dukungan Pelanggan — Merespons pertanyaan, menangani keluhan, dan menyelesaikan masalah teknis | Merchant, End-Customer (sesuai kebutuhan) |
| 4.5 | Peningkatan Produk — Menganalisis pola penggunaan secara agregat dan anonim untuk meningkatkan fitur Platform | Data Teknis (anonim) |
| 4.6 | Keamanan & Pencegahan Penipuan — Mendeteksi, menginvestigasi, dan mencegah aktivitas yang mencurigakan atau melanggar kebijakan | Semua kategori |
| 4.7 | Komunikasi Layanan — Mengirimkan notifikasi penting terkait layanan, pembaruan kebijakan, atau gangguan teknis; OTP WhatsApp untuk verifikasi | Merchant (email, WhatsApp); End-Customer (OTP WhatsApp, notifikasi loyalty/reservasi) |
| 4.8 | Kepatuhan Hukum — Memenuhi kewajiban hukum berdasarkan peraturan yang berlaku di Indonesia | Merchant (audit log, NPWP) |
| 4.9 | AI & Machine Learning — Melatih model AI Javara menggunakan data transaksi yang dianonimkan dan diagregasi untuk meningkatkan akurasi rekomendasi pertumbuhan | Data POS yang dianonimkan |
Javara tidak menggunakan Data Pribadi untuk iklan pihak ketiga, penjualan data kepada pihak lain, atau pembuatan profil yang merugikan subjek data.
5. Dasar Hukum Pemrosesan
Javara memproses Data Pribadi berdasarkan satu atau lebih dasar hukum yang diakui oleh UU PDP Nomor 27 Tahun 2022 dan prinsip-prinsip GDPR (sebagai standar internasional referensi):
| Dasar Hukum | Kapan Digunakan | Referensi UU PDP |
|---|---|---|
| Pelaksanaan Kontrak | Pemrosesan yang diperlukan untuk memberikan layanan yang dikontrak kepada Merchant (manajemen akun, penagihan, penyampaian Platform) | Pasal 20 ayat (2) huruf b |
| Kewajiban Hukum | Pemrosesan yang diwajibkan oleh hukum Indonesia (administrasi pajak/NPWP, kewajiban audit log) | Pasal 20 ayat (2) huruf c |
| Kepentingan Sah (Legitimate Interest) | Keamanan platform, pencegahan penipuan, peningkatan produk melalui analitik agregat, monitoring layanan | Pasal 20 ayat (2) huruf f |
| Persetujuan (Consent) | Komunikasi pemasaran opsional, pengumpulan data opsional End-Customer (nama, tanggal lahir), pemasangan cookies non-esensial | Pasal 20 ayat (2) huruf a |
Untuk data Anggota Loyalty: Merchant bertanggung jawab memperoleh persetujuan yang sah dari konsumen mereka sebelum mendaftarkan data tersebut ke Platform Javara. Javara mendukung Merchant dalam memenuhi kewajiban ini, antara lain melalui pencatatan waktu pendaftaran Anggota dan penghapusan data Anggota atas permintaan.
6. Sub-Prosesor
Javara menggunakan sub-prosesor pihak ketiga berikut untuk membantu penyampaian layanan. Setiap sub-prosesor terikat perjanjian pemrosesan data yang memadai.
| # | Kategori Sub-Prosesor | Fungsi | Lokasi Data |
|---|---|---|---|
| 1 | Infrastruktur Hosting & CDN | Hosting aplikasi web, content delivery, deployment | Amerika Serikat / Global |
| 2 | Database Terkelola | Penyimpanan database PostgreSQL utama | Singapura |
| 3 | Penyimpanan Objek | Penyimpanan file/objek (termasuk unggahan CSV POS) | Global (CDN) |
| 4 | Cache & Antrian Pesan | Redis cache dan antrian pesan | Singapura |
| 5 | Monitoring Error & Performa | Pelacakan error dan performa aplikasi | Amerika Serikat |
| 6 | Monitoring Uptime & Log | Pemantauan ketersediaan layanan & manajemen log | Global |
| 7 | Analitik Produk | Pengukuran pola penggunaan secara anonim | EU / Amerika Serikat |
| 8 | Pengiriman Email | Email transaksional | Global |
| 9 | Payment Gateway | Pemrosesan pembayaran (berlisensi OJK) | Indonesia |
| 10 | Akuntansi | Administrasi akuntansi & keuangan | Indonesia |
| 11 | WhatsApp Business API (BSP) | Pengiriman pesan WhatsApp resmi | Jerman / Global |
| 12 | Penyedia Layanan AI/LLM | Pemrosesan model AI untuk analitik & generasi konten | Amerika Serikat / Global |
Javara akan memperbarui daftar ini setiap kali ada penambahan atau perubahan sub-prosesor material. Merchant akan diberitahu setidaknya 30 hari sebelum penambahan sub-prosesor baru yang memproses Data Pribadi Anggota Loyalty, kecuali dalam keadaan darurat keamanan.
7. Integrasi Google Business Profile
Jika Merchant memilih menghubungkan Google Business Profile miliknya, javara mengakses data berikut atas nama dan dengan persetujuan Merchant, melalui Google OAuth (izin business.manage):
- Ulasan (reviews) pada lokasi bisnis milik Merchant — untuk ditampilkan di dashboard javara.
- Informasi lokasi & akun bisnis — hanya untuk membantu Merchant memilih lokasi mana yang ingin dihubungkan.
Penggunaan. Data ulasan dipakai semata untuk menampilkan ulasan kepada Merchant dan membantu Merchant menyusun balasan, termasuk draft balasan berbantuan AI yang disetujui Merchant sebelum dipublikasikan. javara bertindak hanya pada lokasi yang dimiliki dan diotorisasi Merchant.
Pembatasan. javara tidak menjual data Google, tidak memakainya untuk iklan, dan tidak memakainya untuk melatih model AI tujuan-umum. Akses oleh manusia dibatasi hanya bila diperlukan untuk operasional/keamanan atau atas persetujuan Merchant.
Limited Use. Penggunaan dan transfer informasi yang diterima javara dari Google API ke aplikasi lain mematuhi Google API Services User Data Policy, termasuk persyaratan Limited Use.
Pencabutan. Merchant dapat memutus koneksi kapan saja dari pengaturan javara atau dari Akun Google mereka; data Google yang tersimpan kemudian dihapus sesuai kebijakan retensi kami.
8. Transfer Data Lintas Batas
Sebagian sub-prosesor Javara berlokasi di luar Indonesia. Transfer data ini dikelola sebagai berikut:
Lokasi Primer (Singapura): Database utama Javara dihosting di pusat data berlokasi di Singapura. Singapura diakui sebagai yurisdiksi dengan standar perlindungan data yang memadai di kawasan Asia Tenggara dan merupakan lokasi residensi data yang diizinkan berdasarkan kebijakan dan praktik industri SEA saat ini.
Transfer ke Amerika Serikat (sebagian penyedia infrastruktur, monitoring, dan layanan AI): Transfer ini dilakukan berdasarkan:
- Klausul Kontrak Standar (Standard Contractual Clauses / SCC) atau mekanisme perlindungan yang setara yang disediakan oleh masing-masing sub-prosesor;
- Kebutuhan kontrak untuk penyampaian layanan (Pasal 56 ayat (1) huruf b UU PDP);
- Penilaian bahwa sub-prosesor yang dimaksud memiliki program kepatuhan privasi yang kuat (SOC 2, ISO 27001, atau setara).
Transfer ke Uni Eropa: Penyedia analitik produk menawarkan opsi residensi data EU. Javara menilai opsi ini untuk memastikan kepatuhan GDPR pada tahap ekspansi selanjutnya.
Javara berkomitmen untuk tidak mentransfer Data Pribadi ke yurisdiksi yang tidak memiliki tingkat perlindungan yang memadai tanpa mekanisme perlindungan yang sesuai.
9. Hak Pengguna
Sesuai dengan UU PDP Nomor 27 Tahun 2022 Pasal 5–16, Anda memiliki hak-hak berikut atas Data Pribadi Anda:
| Hak | Deskripsi | Cara Menggunakan |
|---|---|---|
| Hak Akses | Meminta salinan Data Pribadi yang kami simpan tentang Anda | Email ke privacy@javara.ai dengan subyek "Permintaan Akses Data" |
| Hak Rektifikasi | Meminta koreksi atas Data Pribadi yang tidak akurat atau tidak lengkap | Melalui dashboard akun atau email ke privacy@javara.ai |
| Hak Penghapusan | Meminta penghapusan Data Pribadi Anda (berlaku dengan pengecualian tertentu, termasuk kewajiban retensi hukum) | Email ke privacy@javara.ai dengan subyek "Permintaan Hapus Data" |
| Hak Portabilitas | Menerima Data Pribadi Anda dalam format yang dapat dibaca mesin (JSON/CSV) | Email ke privacy@javara.ai |
| Hak Keberatan | Mengajukan keberatan atas pemrosesan berdasarkan kepentingan sah atau untuk tujuan pemasaran langsung | Email ke privacy@javara.ai dengan subyek "Keberatan Pemrosesan" |
| Hak Penarikan Persetujuan | Menarik kembali persetujuan yang telah diberikan untuk pemrosesan berbasis consent | Melalui pengaturan akun atau email ke privacy@javara.ai |
| Hak Membatasi Pemrosesan | Meminta pembatasan pemrosesan dalam situasi tertentu (saat akurasi diperdebatkan, saat keberatan dipertimbangkan) | Email ke privacy@javara.ai |
Waktu Respons: Javara akan merespons permintaan hak subjek data dalam waktu 14 hari kerja sejak permintaan diterima. Untuk permintaan yang kompleks, Javara dapat memperpanjang respons hingga 30 hari dengan pemberitahuan sebelumnya.
Identifikasi: Untuk melindungi keamanan data, Javara dapat meminta verifikasi identitas sebelum memproses permintaan.
Untuk Anggota Loyalty: Permintaan hak Anggota Loyalty terkait data yang dikumpulkan oleh Merchant mungkin perlu diteruskan ke Merchant yang bersangkutan selaku Pengendali Data.
10. Retensi Data
Javara menyimpan Data Pribadi hanya selama diperlukan untuk tujuan yang ditetapkan, atau selama diwajibkan oleh hukum yang berlaku:
| Kategori Data | Periode Retensi | Dasar |
|---|---|---|
| Data Akun Merchant aktif | Selama subscription aktif + 1 (satu) tahun setelah berakhirnya subscription | Kebutuhan layanan, peluang reaktivasi |
| Data Anggota Loyalty | Selama subscription Merchant aktif + 1 (satu) tahun setelah berakhirnya subscription | Kebutuhan layanan, kontrak |
| Penghapusan permanen | 1 (satu) tahun setelah berakhirnya subscription — semua Data Pribadi dihapus secara permanen dari sistem produksi melalui proses penghapusan berkala yang dijalankan sekurang-kurangnya setahun sekali; salinan cadangan terhapus mengikuti siklus rotasi backup | UU PDP Pasal 33 |
| Audit Log & Log Keamanan | 1 (satu) tahun setelah pembatalan subscription | Kewajiban kepatuhan, penyelidikan keamanan |
| Data Faktur & Transaksi Keuangan | 5 (lima) tahun sesuai ketentuan UU Perpajakan Indonesia | Kewajiban hukum pajak |
| Data Pembayaran (via payment gateway) | Sesuai kebijakan retensi penyedia payment gateway; Javara hanya menyimpan referensi ID | Kepatuhan PCI-DSS |
Permintaan Penghapusan Awal: Merchant dapat meminta penghapusan Data Pribadi sebelum periode retensi 1 (satu) tahun berakhir melalui privacy@javara.ai. Penghapusan akan dilaksanakan dalam 30 hari kerja, kecuali ada kewajiban hukum yang menghalangi.
11. Keamanan Data
Javara menerapkan langkah-langkah teknis dan organisasi yang wajar dan proporsional untuk melindungi Data Pribadi dari akses tidak sah, kebocoran, kehilangan, atau penghancuran:
Keamanan Teknis:
- Enkripsi transit: Seluruh komunikasi data menggunakan TLS 1.2 atau lebih tinggi (HTTPS wajib di semua endpoint).
- Enkripsi diam: Database dienkripsi at-rest menggunakan standar enkripsi AES-256.
- Kontrol akses: Prinsip least-privilege diterapkan; akses ke data produksi dibatasi hanya pada personel yang memerlukan.
- Autentikasi: Login tanpa password (magic link email + Google OAuth) — tidak ada password yang disimpan; verifikasi OTP WhatsApp untuk aksi sensitif (mis. penukaran poin).
- API Security: Endpoint API dilindungi menggunakan token autentikasi dan pembatasan laju (rate limiting).
- Pemindaian kerentanan: Pemindaian keamanan berkala pada dependensi dan infrastruktur.
Keamanan Organisasi:
- Akses data produksi menggunakan prinsip need-to-know.
- Audit log mencatat semua akses dan modifikasi data sensitif.
- Review kebijakan keamanan dilakukan secara berkala.
- Kontraktor dan sub-prosesor terikat oleh kewajiban kerahasiaan dan keamanan yang setara.
12. Notifikasi Pelanggaran Data
Dalam hal terjadi pelanggaran keamanan yang mengakibatkan kebocoran, pengungkapan tidak sah, atau penghancuran Data Pribadi, Javara akan:
- Dalam 72 jam sejak Javara mengetahui adanya pelanggaran yang signifikan: melaporkan kepada otoritas yang berwenang (Komdigi / BSSN atau lembaga pengawas yang ditunjuk berdasarkan UU PDP) sesuai dengan Pasal 46 UU PDP dan ketentuan GDPR Pasal 33 (sebagai referensi standar internasional).
- Tanpa penundaan yang tidak wajar: Memberitahu Merchant yang terdampak secara langsung melalui email terdaftar.
- Untuk pelanggaran yang mempengaruhi Anggota Loyalty: Berkoordinasi dengan Merchant yang bersangkutan untuk memastikan notifikasi kepada individu yang terdampak sesuai kewajiban hukum.
Notifikasi kepada individu akan mencakup: (a) deskripsi sifat pelanggaran; (b) kategori dan perkiraan jumlah data yang terdampak; (c) nama dan kontak DPO; (d) kemungkinan konsekuensi; (e) tindakan mitigasi yang diambil atau direncanakan.
13. Cookies & Pelacakan
Platform Javara menggunakan cookies dan teknologi pelacakan serupa. Berikut kategori cookies yang digunakan:
| Kategori | Deskripsi | Dasar Hukum |
|---|---|---|
| Esensial | Diperlukan untuk fungsi dasar Platform (session login, keamanan CSRF, preferensi bahasa) | Kepentingan Sah (tidak memerlukan consent) |
| Analitik | Mengukur performa dan pola penggunaan. Di situs marketing javara.ai, analitik berjalan tanpa cookie (cookieless — tidak ada data yang disimpan di perangkat pengunjung). Di dalam aplikasi Platform (pengguna yang login), analitik terkait akun digunakan untuk operasional dan peningkatan layanan | Kepentingan Sah |
| Monitoring Error | Melacak error teknis untuk perbaikan layanan | Kepentingan Sah |
Situs marketing javara.ai tidak memasang cookie pelacakan di perangkat pengunjung, sehingga tidak menampilkan banner consent cookies. Pengguna dapat mengelola cookies melalui pengaturan browser, atau mengajukan keberatan atas pemrosesan analitik melalui privacy@javara.ai. Menonaktifkan cookies esensial dapat memengaruhi fungsionalitas Platform.
14. Data Anak
Platform Javara dirancang untuk digunakan oleh pelaku usaha F&B (Merchant), bukan oleh anak-anak secara langsung. Oleh karena itu:
- Akun Merchant: Javara tidak secara sengaja membuat akun untuk individu yang berusia di bawah 17 tahun.
- Anggota Loyalty: Dalam konteks program loyalty F&B, dimungkinkan bahwa sebagian Anggota Loyalty adalah anak-anak (misalnya, konsumen di bawah 17 tahun). Merchant selaku Pengendali Data bertanggung jawab untuk memastikan persetujuan yang sah diperoleh dari orang tua atau wali sesuai UU PDP Pasal 25 sebelum mendaftarkan konsumen di bawah umur ke program loyalty.
- Jika Javara mengetahui bahwa data anak-anak di bawah 17 tahun dikumpulkan tanpa persetujuan yang sah dari orang tua/wali, Javara akan menghapus data tersebut setelah menerima laporan.
15. Perubahan Kebijakan
Javara dapat memperbarui Kebijakan Privasi ini dari waktu ke waktu untuk mencerminkan perubahan dalam praktik pemrosesan data, persyaratan hukum, atau fitur layanan. Untuk perubahan material, Javara akan:
- Memposting versi baru di https://javara.ai/privacy dengan tanggal pembaruan yang jelas.
- Mengirimkan pemberitahuan email kepada Merchant yang terdaftar setidaknya 14 hari sebelum perubahan material berlaku.
- Memperbarui nomor versi dokumen ini.
Penggunaan Platform yang berkelanjutan setelah tanggal efektif perubahan merupakan penerimaan terhadap Kebijakan yang diperbarui.
16. Kontak DPO & Pengaduan
Kontak Privasi:
| Email Privasi | privacy@javara.ai |
| Email DPO | dpo@javara.ai |
| Alamat Surat | Jakarta, Indonesia |
| Website | https://javara.ai/privacy |
Jika Anda merasa hak privasi Anda dilanggar dan Javara tidak merespons dengan memuaskan, Anda berhak mengajukan pengaduan kepada:
Kementerian Komunikasi dan Digital (Komdigi) — selaku kementerian yang saat ini menjalankan fungsi pengawasan pelindungan data pribadi, atau Lembaga Pelindungan Data Pribadi setelah lembaga tersebut terbentuk berdasarkan UU PDP.
Website: https://www.komdigi.go.id
Dokumen ini diterbitkan oleh Javara (javara.ai) dan tunduk pada hukum Republik Indonesia.
1. Definitions
In this Privacy Policy, the following terms have the meanings defined below:
- "Javara" means PT Javara Artificial Int, its founder, employees, contractors, and affiliates, operating the platform at javara.ai.
- "Platform" means the web-based software services and APIs provided by Javara, including loyalty management, AI-driven growth analytics, and third-party integrations.
- "Merchant" or "Customer" means an F&B (Food & Beverage) business owner or operator who registers and uses the Javara Platform on behalf of their business.
- "Loyalty Member" or "End-Customer" means a consumer who enrolls in a loyalty program managed by a Merchant through the Javara Platform.
- "Personal Data" means any information that can identify a person directly or indirectly, as defined under Law No. 27 of 2022 on Personal Data Protection ("UU PDP").
- "Data Controller" means the party that determines the purposes and means of processing Personal Data.
- "Data Processor" means the party that processes Personal Data on behalf of the Data Controller.
- "Sub-Processor" means a third party engaged by Javara to assist in processing Personal Data in connection with service delivery.
- "Processing" means any operation performed on Personal Data, including collection, recording, storage, use, disclosure, and deletion.
- "You" means the Merchant, Loyalty Member, or visitor to javara.ai who is subject to this Policy.
2. Data Controller & Contact
Data Controller:
| Entity Name | PT Javara Artificial Int |
| Responsible Party | Anwar (Founder) |
| Address | Jakarta, Indonesia |
| Privacy Email | privacy@javara.ai |
| Website | https://javara.ai |
Javara acts as the Data Controller for data collected from Merchants and general Platform users. For Loyalty Member data collected at the Merchant's instruction, Javara acts as a Data Processor with the Merchant as Data Controller — this relationship is governed by the Data Processing Addendum ("DPA").
For privacy inquiries, data subject rights requests, or complaints, contact: privacy@javara.ai
As required by UU PDP Article 53, Javara appoints a Data Protection Officer (DPO) who can be reached at: dpo@javara.ai.
3. Data We Collect
Javara collects Personal Data from three primary groups of data subjects:
3.1 Merchant Data (Business Owner/Operator)
The following data is collected during registration and throughout Platform use:
| Data Category | Details | Primary Purpose |
|---|---|---|
| Business Identity | Business/outlet name, outlet address | Account identification, loyalty program display |
| Owner Contact | Owner name, email address, WhatsApp number | Authentication, notifications, support |
| Tax Data | Business tax ID (NPWP), if applicable | Official invoice/receipt issuance & tax administration. PT Javara is a Non-PKP micro-enterprise — no VAT |
| Account Credentials | Email, login session tokens — passwordless login (email magic link / Google OAuth); hashed cashier PIN for the cashier app | Account security |
| Payment Data | Payment information is processed by an OJK-licensed payment gateway provider; Javara stores only transaction status and reference IDs — no raw card numbers or card data are stored | |
| Usage Data | Platform activity logs, features used, login times | Service improvement, anomaly detection |
| Uploaded POS Data | CSV/xlsx transaction files from Merchant's POS system | AI-driven growth analytics |
| Uploaded Bank Statements | Bank statement files (PDF/CSV) uploaded by the Merchant for the bookkeeping feature (PRO/MAX tiers) | Automatic expense categorisation & financial reports |
3.2 F&B End-Customer Data (Loyalty Members)
The following data is collected by Merchants through the Javara Platform when enrolling consumers in loyalty programs:
| Data Category | Details | Required/Optional |
|---|---|---|
| Mobile Phone Number | Consumer's phone number (used as unique identifier) | Required |
| Name | Consumer's nickname or full name | Optional |
| Date of Birth | For birthday reward programs | Optional |
| Transaction History | Purchase amounts, dates, outlet location | Auto-generated from loyalty process |
| Redemption History | Points/rewards redeemed, time, reward type | Auto-generated |
| Receipt Photos (self-service claims) | Receipt photos uploaded by consumers for self-service point claims | Optional (only where the feature is used) |
| Reservation Data | Reservation date & time, party size, request notes | Optional (only where the Merchant enables the reservation feature) |
Important note: Javara does not collect sensitive financial data (account numbers, card data), health data, or biometric data from Loyalty Members.
3.3 Technical and Analytics Data
| Data Category | Details | Source |
|---|---|---|
| Technical Logs | IP address, browser user-agent, request timestamps | Hosting & CDN infrastructure provider |
| Cookies & Local Storage | Session tokens, language preferences, login state | User browser |
| Product Analytics Data | Pages visited, features clicked, session duration, errors | Analytics & monitoring provider |
| Monitoring & Uptime | Server performance logs, service disruption alerts | Uptime monitoring provider |
4. Purpose of Processing
Javara processes Personal Data only for the following legitimate and specified purposes:
| # | Purpose | Data Categories Used |
|---|---|---|
| 4.1 | Service Delivery — Operating and providing the core functions of the Javara Platform, including loyalty program management, AI-driven analytics, and third-party integrations | Merchant, End-Customer, Technical |
| 4.2 | Account Management — Account creation, authentication, access recovery, and user permission management | Merchant |
| 4.3 | Billing & Tax Administration — Payment processing, invoice issuance, and meeting applicable tax administration obligations | Merchant (NPWP, email, payment data) |
| 4.4 | Customer Support — Responding to inquiries, handling complaints, and resolving technical issues | Merchant, End-Customer (as needed) |
| 4.5 | Product Improvement — Analysing aggregated and anonymised usage patterns to enhance Platform features | Technical data (anonymised) |
| 4.6 | Security & Fraud Prevention — Detecting, investigating, and preventing suspicious activity or policy violations | All categories |
| 4.7 | Service Communications — Sending important service notifications, policy updates, or technical outage notices; WhatsApp OTP for verification | Merchant (email, WhatsApp); End-Customer (WhatsApp OTP, loyalty/reservation notifications) |
| 4.8 | Legal Compliance — Meeting legal obligations under applicable Indonesian regulations | Merchant (audit logs, NPWP) |
| 4.9 | AI & Machine Learning — Training Javara's AI models using anonymised and aggregated transaction data to improve the accuracy of growth recommendations | Anonymised POS data |
Javara does not use Personal Data for third-party advertising, selling data to other parties, or building profiles that are detrimental to data subjects.
5. Legal Basis for Processing
Javara processes Personal Data based on one or more legal bases recognized by UU PDP No. 27 of 2022 and GDPR principles (as an international reference standard):
| Legal Basis | When Applied | UU PDP Reference |
|---|---|---|
| Contract Performance | Processing necessary to deliver contracted services to the Merchant (account management, billing, Platform delivery) | Article 20(2)(b) |
| Legal Obligation | Processing required by Indonesian law (tax administration/NPWP, mandatory audit log obligations) | Article 20(2)(c) |
| Legitimate Interest | Platform security, fraud prevention, product improvement via aggregated analytics, service monitoring | Article 20(2)(f) |
| Consent | Optional marketing communications, optional End-Customer data collection (name, date of birth), non-essential cookies | Article 20(2)(a) |
For Loyalty Member data: Merchants are responsible for obtaining valid consent from their consumers before enrolling that data in the Javara Platform. Javara supports Merchants in meeting this obligation, including by recording Member enrolment timestamps and deleting Member data upon request.
6. Third-Party Sub-Processors
Javara uses the following third-party sub-processors to assist in delivering services. Each sub-processor is bound by adequate data processing agreements.
| # | Sub-Processor Category | Function | Data Location |
|---|---|---|---|
| 1 | Hosting & CDN Infrastructure | Web app hosting, content delivery, deployment | United States / Global |
| 2 | Managed Database | Primary PostgreSQL database storage | Singapore |
| 3 | Object Storage | File/object storage (including POS CSV uploads) | Global (CDN) |
| 4 | Cache & Message Queue | Redis cache and message queuing | Singapore |
| 5 | Error & Performance Monitoring | Error tracking and application performance | United States |
| 6 | Uptime & Log Monitoring | Service availability monitoring & log management | Global |
| 7 | Product Analytics | Anonymised usage pattern measurement | EU / United States |
| 8 | Email Delivery | Transactional email | Global |
| 9 | Payment Gateway | Payment processing (OJK-licensed) | Indonesia |
| 10 | Accounting | Accounting & financial administration | Indonesia |
| 11 | WhatsApp Business API (BSP) | Official WhatsApp messaging | Germany / Global |
| 12 | AI/LLM Service Provider | AI model processing for analytics & content generation | United States / Global |
Javara will update this list whenever a material change in sub-processors occurs. Merchants will be notified at least 30 days in advance of any new sub-processor addition that processes Loyalty Member Personal Data, except in cases of security emergencies.
7. Google Business Profile Integration
If a Merchant chooses to connect their Google Business Profile, javara accesses the following data on the Merchant's behalf and with their consent, via Google OAuth (the business.manage scope):
- Reviews on the Merchant's business locations — to display them in the javara dashboard.
- Location & business-account information — only to let the Merchant choose which of their locations to connect.
Use. Review data is used solely to show reviews to the Merchant and to help the Merchant compose replies, including AI-assisted reply drafts that the Merchant approves before publishing. javara acts only on locations the Merchant owns and authorizes.
Restrictions. javara does not sell Google data, does not use it for advertising, and does not use it to train general-purpose AI models. Human access is limited to what is necessary for operations/security or with the Merchant's consent.
Limited Use. javara's use and transfer of information received from Google APIs to any other app adheres to the Google API Services User Data Policy, including the Limited Use requirements.
Revocation. A Merchant can disconnect at any time from javara's settings or from their Google Account; stored Google data is then deleted in accordance with our data-retention policy.
8. Cross-Border Data Transfer
Some of Javara's sub-processors are located outside Indonesia. These data transfers are managed as follows:
Primary Location (Singapore): Javara's primary database is hosted in a data centre located in Singapore. Singapore is recognised as a jurisdiction with adequate data protection standards in the Southeast Asian region and is an accepted data residency location under current SEA industry norms and practices.
Transfers to the United States (certain infrastructure, monitoring, and AI service providers): These transfers are made based on:
- Standard Contractual Clauses (SCCs) or equivalent protective mechanisms provided by each sub-processor;
- Contractual necessity for service delivery (UU PDP Article 56(1)(b));
- Assessment that the sub-processors in question maintain robust privacy compliance programmes (SOC 2, ISO 27001, or equivalent).
Transfers to the European Union: The product analytics provider offers EU data residency options. Javara is evaluating this option to ensure GDPR compliance at the next stage of expansion.
Javara is committed to not transferring Personal Data to jurisdictions without adequate protection levels without appropriate safeguard mechanisms.
9. User Rights
Pursuant to UU PDP No. 27 of 2022 Articles 5–16, you have the following rights over your Personal Data:
| Right | Description | How to Exercise |
|---|---|---|
| Right of Access | Request a copy of the Personal Data we hold about you | Email privacy@javara.ai with subject "Data Access Request" |
| Right of Rectification | Request correction of inaccurate or incomplete Personal Data | Via account dashboard or email to privacy@javara.ai |
| Right of Erasure | Request deletion of your Personal Data (subject to certain exceptions, including legal retention obligations) | Email privacy@javara.ai with subject "Data Deletion Request" |
| Right of Portability | Receive your Personal Data in a machine-readable format (JSON/CSV) | Email privacy@javara.ai |
| Right to Object | Object to processing based on legitimate interest or for direct marketing purposes | Email privacy@javara.ai with subject "Processing Objection" |
| Right to Withdraw Consent | Withdraw previously given consent for consent-based processing | Via account settings or email to privacy@javara.ai |
| Right to Restrict Processing | Request restriction of processing in certain situations (when accuracy is disputed, while an objection is considered) | Email privacy@javara.ai |
Response Time: Javara will respond to data subject rights requests within 14 business days of receipt. For complex requests, Javara may extend the response period to 30 days with prior notice.
Identification: To protect data security, Javara may request identity verification before processing requests.
For Loyalty Members: Loyalty Member rights requests relating to data collected by Merchants may need to be directed to the relevant Merchant as Data Controller.
10. Data Retention
Javara retains Personal Data only for as long as necessary for the specified purposes, or as required by applicable law:
| Data Category | Retention Period | Basis |
|---|---|---|
| Active Merchant account data | Duration of active subscription + 1 (one) year after subscription end | Service necessity, reactivation window |
| Loyalty Member data | Duration of Merchant's active subscription + 1 (one) year after subscription end | Service necessity, contract |
| Permanent deletion | 1 (one) year after subscription end — all Personal Data is permanently deleted from production systems through a periodic deletion process run at least once a year; backup copies expire per the backup rotation cycle | UU PDP Article 33 |
| Audit Logs & Security Logs | 1 (one) year after subscription cancellation | Compliance obligation, security investigation |
| Invoice & Financial Transaction Data | 5 (five) years per Indonesian Tax Law requirements | Tax legal obligation |
| Payment Data (via payment gateway) | Per the payment gateway provider's retention policies; Javara stores reference IDs only | PCI-DSS compliance |
Early Deletion Requests: Merchants may request deletion of Personal Data before the 1 (one) year retention period ends via privacy@javara.ai. Deletion will be executed within 30 business days, unless a legal obligation prevents it.
11. Security Measures
Javara implements reasonable and proportionate technical and organisational measures to protect Personal Data from unauthorised access, leakage, loss, or destruction:
Technical Security:
- Encryption in transit: All data communications use TLS 1.2 or higher (HTTPS mandatory on all endpoints).
- Encryption at rest: Databases are encrypted at-rest using AES-256 encryption standards.
- Access control: Least-privilege principles are applied; access to production data is limited to personnel with a need-to-know.
- Authentication: Passwordless login (email magic link + Google OAuth) — no passwords are stored; WhatsApp OTP verification for sensitive actions (e.g., point redemption).
- API Security: API endpoints are protected using authentication tokens and rate limiting.
- Vulnerability scanning: Regular security scans on dependencies and infrastructure.
Organisational Security:
- Production data access follows need-to-know principles.
- Audit logs record all access to and modification of sensitive data.
- Security policy reviews are conducted periodically.
- Contractors and sub-processors are bound by equivalent confidentiality and security obligations.
12. Data Breach Notification
In the event of a security breach resulting in a leak, unauthorised disclosure, or destruction of Personal Data, Javara will:
- Within 72 hours of Javara becoming aware of a significant breach: report to the relevant authority (Komdigi / BSSN or the supervisory body designated under UU PDP) in accordance with UU PDP Article 46 and GDPR Article 33 (as an international standard reference).
- Without undue delay: Notify directly affected Merchants via their registered email address.
- For breaches affecting Loyalty Members: Coordinate with the relevant Merchant to ensure notification to affected individuals per legal obligations.
Notifications to individuals will include: (a) a description of the nature of the breach; (b) categories and approximate number of data records affected; (c) DPO name and contact details; (d) likely consequences; (e) mitigation measures taken or planned.
13. Cookies & Tracking
The Javara Platform uses cookies and similar tracking technologies. The following cookie categories are used:
| Category | Description | Legal Basis |
|---|---|---|
| Essential | Required for basic Platform functionality (login session, CSRF security, language preferences) | Legitimate Interest (no consent required) |
| Analytics | Measuring performance and usage patterns. On the javara.ai marketing site, analytics runs cookieless (nothing is stored on the visitor's device). Within the Platform applications (logged-in users), account-related analytics is used for service operations and improvement | Legitimate Interest |
| Error Monitoring | Tracking technical errors for service improvement | Legitimate Interest |
The javara.ai marketing site does not place tracking cookies on visitors' devices and therefore does not display a cookie consent banner. Users can manage cookies through browser settings, or object to analytics processing via privacy@javara.ai. Disabling essential cookies may affect Platform functionality.
14. Children's Data
The Javara Platform is designed for use by F&B business operators (Merchants), not directly by children. Therefore:
- Merchant accounts: Javara does not knowingly create accounts for individuals under 17 years of age.
- Loyalty Members: In the context of F&B loyalty programs, it is possible that some Loyalty Members are minors (e.g., consumers under 17). Merchants as Data Controllers are responsible for ensuring valid parental or guardian consent is obtained per UU PDP Article 25 before enrolling minors in loyalty programs.
- If Javara becomes aware that data from children under 17 has been collected without valid parental/guardian consent, Javara will delete such data upon receiving a report.
15. Changes to Policy
Javara may update this Privacy Policy from time to time to reflect changes in data processing practices, legal requirements, or service features. For material changes, Javara will:
- Post the new version at https://javara.ai/privacy with a clear update date.
- Send email notifications to registered Merchants at least 14 days before material changes take effect.
- Update the version number of this document.
Continued use of the Platform after the effective date of changes constitutes acceptance of the updated Policy.
16. DPO Contact & Complaints
Privacy Contact:
| Privacy Email | privacy@javara.ai |
| DPO Email | dpo@javara.ai |
| Postal Address | Jakarta, Indonesia |
| Website | https://javara.ai/privacy |
If you believe your privacy rights have been violated and Javara has not responded satisfactorily, you have the right to lodge a complaint with:
Ministry of Communication and Digital Affairs (Komdigi) — as the ministry currently exercising personal data protection oversight in Indonesia, or the Personal Data Protection Authority once that body is established under UU PDP.
Website: https://www.komdigi.go.id
This document is published by Javara (javara.ai) and is subject to the laws of the Republic of Indonesia.