Kebijakan Privasi (Privacy Policy)

Terakhir diperbarui: 18 Juni 2026

Pintarly ("kami", "Layanan") berkomitmen melindungi privasi Anda. Kebijakan Privasi ini menjelaskan bagaimana kami mengumpulkan, menggunakan, melindungi, dan membagikan data pribadi Anda saat Anda menggunakan platform Pintarly. Kebijakan ini disusun selaras dengan Undang-Undang Republik Indonesia Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) yang berlaku efektif penuh sejak Oktober 2024, dan Peraturan Pemerintah Nomor 17 Tahun 2025 tentang pelindungan anak dalam penyelenggaraan sistem elektronik.

Dengan mendaftar atau menggunakan Layanan, Anda menyatakan telah membaca, memahami, dan menyetujui praktik yang dijelaskan dalam Kebijakan Privasi ini.

1. Informasi yang Kami Kumpulkan

Kami mengumpulkan informasi yang diperlukan untuk menyediakan dan meningkatkan kualitas Layanan, sesuai dengan prinsip pengumpulan terbatas (data minimization):

  • Identitas Pribadi: Nama lengkap, alamat email, foto profil, dan nomor WhatsApp (opsional).
  • Tanggal Lahir: Kami mengumpulkan tanggal lahir Anda saat pendaftaran. Lihat Bagian 9 untuk penjelasan rinci mengapa kami memintanya dan bagaimana kami menggunakannya — singkatnya, hanya untuk menyesuaikan pengalaman sesuai usia dan memenuhi kewajiban perlindungan anak; tidak untuk iklan, profiling, atau dijual.
  • Data Akademik (untuk personalisasi): Status pendidikan (SMA/Gap Year/Mahasiswa), asal sekolah/universitas, kelas/semester, target universitas, target jurusan, dan mata pelajaran yang dikuasai atau perlu peningkatan. Digunakan untuk fitur Target Score dan rekomendasi belajar.
  • Aktivitas Belajar: Riwayat pengerjaan soal, nilai TryOut, video yang ditonton, durasi belajar, dan interaksi dengan fitur Layanan.
  • Konten yang Anda Buat: Catatan, unggahan dokumen (PDF/gambar), rekaman audio, dan materi lain yang Anda buat dalam Layanan. Konten ini tetap milik Anda (lihat Syarat & Ketentuan).
  • Interaksi AI: Riwayat percakapan dengan Aily Chat dan prompt yang Anda kirim ke fitur AI lain. Mohon tidak membagikan informasi sensitif seperti NIK, detail kartu kredit, atau alamat rumah lengkap dalam percakapan dengan AI.
  • Data Pembayaran: Untuk transaksi Premium, data pembayaran (mis. metode, jumlah, status) diproses melalui mitra pembayaran kami. Kami tidak menyimpan nomor kartu atau rincian rekening Anda — data tersebut ditangani langsung oleh penyedia pembayaran yang patuh standar PCI-DSS.
  • Data Teknis: Alamat IP, jenis perangkat, sistem operasi, peramban, dan halaman yang Anda kunjungi — dikumpulkan secara otomatis untuk keamanan, analitik, dan deteksi kecurangan.
  • Identifikasi Anti-Penyalahgunaan: Saat Anda mendaftar atau masuk, kami mencatat sinyal teknis terbatas (alamat IP, hash anonim dari peramban, dan ID sesi analitik) untuk mendeteksi pembuatan akun ganda yang ditujukan menghindari batasan kuota gratis. Sinyal IP dan peramban mentah otomatis dihapus/dianonimkan setelah 90 hari; hanya hash anonim yang dipertahankan untuk deteksi pola. Data ini diakses hanya oleh tim keamanan Pintarly dan tidak dibagikan ke pihak ketiga. Dasar hukum: kepentingan sah (legitimate interest) sesuai UU PDP.

2. Cara Kami Menggunakan Informasi

Data Anda kami gunakan berdasarkan dasar hukum yang sah (pelaksanaan kontrak, persetujuan, kewajiban hukum, dan/atau kepentingan sah), untuk tujuan-tujuan berikut:

  • Menyediakan Layanan: memberi Anda akses dan fitur yang Anda minta (dasar: pelaksanaan kontrak).
  • Personalisasi pengalaman Anda: menganalisis data belajar Anda sendiri untuk memberikan rekomendasi materi, prediksi skor, dan penyesuaian antarmuka yang relevan dengan target dan kelemahan Anda. Ini adalah bagian inti dari Layanan yang Anda gunakan (dasar: pelaksanaan kontrak), berbeda dari pelatihan model AI bersama yang diatur di Bagian 3.
  • Memproses transaksi langganan Premium dan mengirim konfirmasi pembayaran.
  • Mengirim email transaksional (verifikasi pendaftaran, reset kata sandi, notifikasi pembayaran).
  • Mengirim email pemasaran (newsletter, promosi) hanya kepada pengguna yang memberikan persetujuan eksplisit, dengan opsi berhenti berlangganan satu klik di setiap email.
  • Mendeteksi dan mencegah penyalahgunaan, kecurangan, atau pelanggaran terhadap Syarat dan Ketentuan kami.

3. Penggunaan Data untuk Pelatihan dan Pengembangan Model AI

Selain memakai penyedia AI pihak ketiga untuk menjalankan fitur (lihat Bagian 4), kami berencana mengembangkan dan menyempurnakan model AI milik Pintarly sendiri agar bantuan belajar menjadi lebih akurat dan relevan untuk siswa Indonesia. Kami menerapkan model persetujuan berlapis berikut:

  • Default — data anonim/agregat. Secara default, kami hanya menggunakan data yang telah dianonimkan atau diagregasi — yaitu data yang tidak lagi dapat mengidentifikasi Anda, baik secara langsung maupun tidak langsung — untuk melatih dan menyempurnakan model AI kami. Data dalam bentuk ini berada di luar cakupan data pribadi. Kami tidak akan berupaya mengidentifikasi ulang data yang telah dianonimkan.
  • Data teridentifikasi — hanya dengan persetujuan (opt-in). Kami tidak menggunakan data Anda yang masih teridentifikasi (mis. isi percakapan atau catatan yang dapat dikaitkan dengan akun Anda) untuk melatih model kecuali Anda memberikan persetujuan eksplisit melalui Pengaturan. Persetujuan ini bersifat sukarela, terpisah dari penggunaan Layanan, dan dapat Anda cabut kapan saja (pencabutan tidak memengaruhi model yang sudah dilatih sebelumnya, tetapi data Anda tidak akan dipakai dalam pelatihan berikutnya).
  • Pengguna di bawah 18 tahun. Untuk pengguna di bawah 18 tahun, data teridentifikasi tidak digunakan untuk pelatihan model tanpa persetujuan orang tua atau wali, sesuai Pasal 25 UU PDP.
  • Data sensitif dikecualikan. Kami tidak menggunakan data yang dapat mengungkap kategori sensitif (mis. kondisi kesehatan atau disabilitas belajar) untuk pelatihan model tanpa persetujuan eksplisit terpisah.
  • Tentang model yang dihasilkan. Kami tidak mengklaim bahwa model hasil pelatihan bersifat sepenuhnya anonim; kami menilai dan menjaga hal ini secara berkelanjutan, dan menerapkan pengaman teknis untuk mencegah pengungkapan data pelatihan.

4. Cara Kami Membagikan Informasi

Kami tidak menjual data pribadi Anda kepada pihak ketiga manapun. Kami hanya membagikan data terbatas kepada penyedia layanan tepercaya (Pemroses Data) yang membantu operasional kami, yang terikat oleh kewajiban kerahasiaan dan ketentuan pemrosesan data (Data Processing Agreement/DPA):

  • Hosting, komputasi & penyimpanan: Google Cloud Platform (wilayah Singapura).
  • Basis data, autentikasi & penyimpanan berkas: Supabase (Singapura).
  • Pemrosesan pembayaran: Midtrans (Indonesia) untuk pembayaran web; Google Play Billing melalui RevenueCat untuk pembelian dalam aplikasi Android.
  • Penyedia AI: Google Gemini API (tier berbayar). Untuk menjalankan fitur AI, sebagian konten yang Anda kirim (mis. pertanyaan, isi catatan, gambar) diproses oleh Google. Pada tier berbayar, Google tidak menggunakan data Anda untuk melatih model Google, dan data hanya disimpan dalam waktu terbatas untuk pemantauan keamanan/penyalahgunaan. Kami juga menggunakan Google Cloud Text-to-Speech untuk fitur suara/podcast.
  • Pengiriman email transaksional: Resend dan/atau AWS Simple Email Service.
  • Analitik produk: PostHog (di-hosting di Uni Eropa — pusat data Frankfurt, Jerman). Kami meminimalkan data yang dikirim (penangkapan otomatis/autocapture dinonaktifkan); pengenal akun tertentu dapat digunakan untuk mengaitkan peristiwa. Pada mode tertentu kami menggunakan perekaman sesi untuk perbaikan kualitas, dengan seluruh input teks otomatis disensor (masked) sehingga isi ketikan dan layar pembayaran tidak terekam.
  • Cadangan data: kami menyimpan cadangan basis data terenkripsi di penyimpanan cloud (wilayah Singapura) untuk pemulihan bencana.

Selain itu, kami dapat membagikan data: (a) jika diwajibkan oleh hukum atau permintaan resmi otoritas yang sah; atau (b) dalam hal pengalihan bisnis (merger/akuisisi), dengan pemberitahuan terlebih dahulu kepada Anda.

5. Transfer Data Lintas Negara

Sebagian data Anda diproses di pusat data yang berlokasi di luar wilayah Republik Indonesia (terutama Singapura dan, untuk analitik, Uni Eropa), demi keandalan, kecepatan, dan ketersediaan Layanan. Sesuai UU PDP Pasal 56, untuk setiap transfer kami mengandalkan pengaman yang memadai — yaitu kontrak pemrosesan data (DPA)/klausul kontraktual standar dengan penyedia yang memiliki sertifikasi keamanan industri (misalnya SOC 2, ISO 27001) dan tingkat pelindungan yang setara.

6. Keamanan Data

Kami menerapkan langkah-langkah keamanan teknis dan organisasional yang wajar:

  • Seluruh akses data berjalan melalui lapisan server yang menerapkan Row-Level Security (RLS) pada setiap tabel — perangkat Anda tidak pernah mengakses basis data secara langsung.
  • Kata sandi disimpan dalam format hash terenkripsi (bcrypt) — kami tidak pernah dapat melihat kata sandi asli Anda.
  • Komunikasi antara perangkat Anda dan server kami dienkripsi menggunakan TLS 1.2+, dan data cadangan dienkripsi saat disimpan (encryption at rest).
  • Akses ke data produksi dibatasi hanya untuk personel yang memerlukan, dengan otentikasi multi-faktor.
  • Audit keamanan berkala terhadap infrastruktur dan kode aplikasi, serta pemindaian rahasia (secret scanning) otomatis pada kode.
  • Pemantauan otomatis untuk aktivitas mencurigakan, termasuk perlindungan terhadap serangan otomatis (bot, brute-force) dan firewall aplikasi web (WAF).

7. Penyimpanan dan Penghapusan Data

Kami menyimpan data pribadi Anda selama akun Anda aktif atau selama diperlukan untuk memenuhi tujuan yang dijelaskan dalam Kebijakan ini. Untuk akun yang tidak aktif lebih dari 3 tahun, kami akan mengirimkan notifikasi terlebih dahulu sebelum penghapusan.

Anda dapat meminta penghapusan akun dan data terkait kapan saja melalui pengaturan akun. Saat permintaan diverifikasi dan diproses, kami akan menghapus akun Anda beserta data pribadi terkait dari sistem produksi kami (termasuk profil, catatan, riwayat percakapan AI, dan berkas yang Anda unggah), serta menghapus pengenal Anda dari penyedia analitik kami.

Catatan: (a) data tertentu yang diperlukan untuk pemenuhan kewajiban hukum (misalnya catatan transaksi keuangan untuk keperluan pajak) dapat kami simpan dalam jangka waktu yang lebih lama sesuai peraturan; dan (b) salinan dalam cadangan terenkripsi akan terhapus sesuai siklus rotasi cadangan kami.

8. Hak Anda sebagai Subjek Data

Sesuai UU PDP, Anda memiliki hak-hak berikut atas data pribadi Anda:

  • Hak Akses: meminta salinan data pribadi yang kami simpan tentang Anda.
  • Hak Pembaruan: memperbarui atau memperbaiki data yang tidak akurat melalui pengaturan profil.
  • Hak Penghapusan (Right to be Forgotten): meminta penghapusan akun dan data Anda.
  • Hak Portabilitas Data: meminta salinan data Anda dalam format terstruktur dan dapat dibaca mesin.
  • Hak Membatasi Pemrosesan: meminta pembatasan pemrosesan data untuk tujuan tertentu.
  • Hak Mencabut Persetujuan: menarik persetujuan kapan saja, termasuk untuk pelatihan model AI dan email pemasaran.
  • Hak Mengajukan Keberatan: mengajukan keberatan atas pemrosesan data tertentu, terutama untuk tujuan pemasaran atau profil.
  • Hak Mengajukan Pengaduan: menghubungi otoritas pelindungan data jika Anda merasa hak Anda tidak terpenuhi.

Untuk menggunakan hak-hak di atas, gunakan menu Pengaturan atau hubungi kami di privacy@pintarly.id. Kami akan menanggapi permintaan Anda dalam waktu yang wajar sesuai ketentuan UU PDP.

9. Komitmen kepada Pengguna Muda dan Verifikasi Usia

Layanan kami terutama digunakan oleh siswa SMA, gap-year, dan mahasiswa baru yang mempersiapkan ujian masuk perguruan tinggi. Karena banyak pengguna kami berusia di bawah 18 tahun, kami menerapkan perlindungan tambahan sesuai UU PDP Pasal 25 dan PP No. 17 Tahun 2025:

  • Mengapa kami menanyakan tanggal lahir Anda. Kami meminta tanggal lahir semata-mata untuk: (1) memastikan Anda memenuhi usia minimal (13 tahun); (2) menerapkan pengaturan dan perlindungan yang sesuai usia; dan (3) menentukan kapan persetujuan orang tua/wali diperlukan. Tanggal lahir Anda tidak digunakan untuk iklan, tidak untuk profiling pemasaran, tidak dijual atau dibagikan ke pihak ketiga untuk tujuan komersial, dan tidak ditampilkan secara publik di profil Anda.
  • Persetujuan orang tua/wali. Untuk pengguna di bawah 18 tahun, kami meminta konfirmasi persetujuan orang tua atau wali, dan menyediakan kanal (privacy@pintarly.id) bagi orang tua/wali untuk meninjau, mengubah, atau meminta penghapusan data anak mereka.
  • Privasi sebagai default: profil pengguna tidak terindeks publik tanpa persetujuan eksplisit, dan tidak ada profil yang dapat dicari tanpa autentikasi.
  • Tanpa pelacakan iklan pihak ketiga: model bisnis kami berbasis langganan, bukan iklan. Kami tidak melakukan profiling untuk targeting iklan.
  • Pengumpulan data minimal: kami tidak mengumpulkan data lokasi presisi atau data sensitif yang tidak relevan dengan tujuan belajar.
  • Tidak ditujukan untuk anak di bawah 13 tahun: apabila kami mengetahui telah mengumpulkan data dari anak di bawah usia tersebut tanpa persetujuan orang tua, kami akan menghapusnya segera.

10. Cookie dan Teknologi Pelacakan

Kami menggunakan cookie dan teknologi serupa untuk: menjaga sesi login Anda tetap aktif; mengingat preferensi Anda (mode gelap, bahasa); memahami pola penggunaan secara agregat untuk meningkatkan kualitas; serta mendeteksi dan mencegah aktivitas mencurigakan. Kami tidak menggunakan cookie pihak ketiga untuk iklan yang ditargetkan. Anda dapat mengelola preferensi cookie melalui pengaturan peramban Anda.

11. Pengambilan Keputusan Otomatis

Layanan kami menggunakan sistem otomatis dan AI untuk menganalisis performa belajar, memberikan prediksi skor, merekomendasikan materi, dan memfasilitasi percakapan dengan tutor AI (Aily Chat). Keputusan otomatis ini bersifat membantu proses belajar Anda dan tidak memiliki dampak hukum yang signifikan. Anda dapat meminta penjelasan tentang logika di balik keputusan otomatis tertentu dengan menghubungi privacy@pintarly.id.

12. Notifikasi Pelanggaran Data

Sesuai UU PDP Pasal 46, apabila terjadi pelanggaran perlindungan data pribadi yang berisiko menimbulkan kerugian terhadap Anda atau kepentingan publik, kami akan memberitahukan Anda dan otoritas yang berwenang dalam waktu 3 x 24 jam sejak kami mengetahui pelanggaran tersebut. Notifikasi akan mencakup sifat pelanggaran, data yang terdampak, langkah mitigasi yang telah diambil, dan rekomendasi tindakan yang dapat Anda lakukan.

13. Pejabat Pelindungan Data (DPO)

Sesuai UU PDP Pasal 53, kami menunjuk personel internal sebagai penanggung jawab fungsi pelindungan data. Untuk pertanyaan, permintaan akses data, atau pengaduan terkait pelindungan data pribadi, hubungi DPO kami di privacy@pintarly.id.

14. Perubahan Kebijakan

Kami dapat memperbarui Kebijakan Privasi ini dari waktu ke waktu untuk mencerminkan perubahan dalam praktik kami atau peraturan yang berlaku. Jika terdapat perubahan material — termasuk perubahan tujuan pemrosesan atau kategori data — kami akan memberitahukan Anda melalui email dan/atau pengumuman di aplikasi sebelum perubahan berlaku, sesuai Pasal 21 UU PDP. Tanggal "Terakhir diperbarui" di bagian atas Kebijakan ini selalu mencerminkan revisi terkini.

15. Hubungi Kami

Jika Anda memiliki pertanyaan, kekhawatiran, atau permintaan terkait Kebijakan Privasi ini atau cara kami menangani data pribadi Anda, silakan hubungi:

  • Email DPO / Privasi: privacy@pintarly.id
  • Email Dukungan Umum: support@pintarly.id

Kami berkomitmen menanggapi setiap pertanyaan terkait privasi dengan serius dan dalam waktu yang wajar.