Kebijakan Privasi

Last updated: 06 May 2026

Kebijakan Privasi ini menjelaskan cara PT UNIT GLOBAL SYSTEM ("UnitPay", "kami") mengumpulkan, menggunakan, mengungkapkan, dan melindungi data pribadi. Kebijakan ini berlaku bagi pengunjung situs web ini, calon dan merchant aktif, pemilik manfaat dan direktur yang disebutkan dalam onboarding merchant, pelanggan akhir yang data pembayarannya kami proses atas nama merchant, serta siapa pun yang menghubungi kami melalui saluran yang tercantum di bawah. Kebijakan ini selaras dengan Undang-Undang Pelindungan Data Pribadi (UU 27 Tahun 2022, "UU PDP"), dan General Data Protection Regulation 2016/679 Uni Eropa ("GDPR") sepanjang berlaku secara ekstrateritorial. Pemberitahuan khusus Indonesia diterbitkan terpisah di Pemberitahuan Data Pribadi UU PDP dan didahulukan bagi subjek data Indonesia apabila terjadi konflik.

1. Identitas pengendali dan kontak

Pengendali data adalah PT UNIT GLOBAL SYSTEM, perseroan terbatas yang didirikan menurut hukum Indonesia. Kantor terdaftar: Menara Cakrawala Lt. 12 Unit 05A, Jl. M.H. Thamrin, Desa/Kelurahan Kebon Sirih, Kec. Menteng, Kota Adm. Jakarta Pusat, Provinsi DKI Jakarta 10340, Republik Indonesia. Nomor Pokok Wajib Pajak (NPWP): 22.709.627.8-021.000. Nomor Induk Berusaha (NIB): 2511240128903, diterbitkan 25 November 2024.

Pertanyaan umum mengenai privasi dapat dialamatkan ke legal@unitpay.net. Permintaan subjek data (akses, perbaikan, penghapusan, portabilitas, keberatan, pembatasan) harus dikirim ke Pejabat Pelindungan Data kami di dpo@unitpay.net dengan subjek "Permintaan DSR". Korespondensi tertulis dapat dikirim ke kantor terdaftar di atas ditujukan kepada Pejabat Pelindungan Data.

2. Kategori data pribadi yang kami proses

Kategori data pribadi yang kami proses bergantung pada cara Anda berinteraksi dengan kami:

  • Pengunjung situs web: alamat IP, pengenal perangkat dan peramban, halaman yang dikunjungi, perujuk, preferensi bahasa, dan pengenal cookie sebagaimana dijelaskan dalam Kebijakan Cookie.
  • Onboarding merchant: data badan hukum (nama, nomor registrasi, alamat), data identitas pemilik manfaat (nama lengkap, tempat dan tanggal lahir, kewarganegaraan, nomor KTP atau paspor, foto, hash template liveness biometrik), nomor instrumen perbankan untuk settlement, kegiatan usaha dan kode KBLI, dokumen korporat pendukung.
  • Pemrosesan pembayaran pelanggan akhir: token instrumen pembayaran, jumlah dan timestamp transaksi, pengenal merchant, sinyal deteksi penipuan (sidik perangkat, geolokasi kasar), dan pengenal pelanggan minimum yang dipasok merchant untuk skrining penipuan dan penanganan sengketa.
  • Kontak dukungan dan keluhan: detail kontak yang Anda berikan, isi pertanyaan Anda, dan tanggapan kami, disimpan untuk periode yang ditetapkan dalam bagian 7.
  • Kepatuhan dan audit: hasil skrining AML dan sanksi, laporan transaksi mencurigakan yang disampaikan ke PPATK, korespondensi regulator, dan log akses ke sistem yang berisi data di atas.

Kami tidak dengan sengaja mengumpulkan data pribadi dari anak-anak di bawah 17 tahun. Apabila Anda meyakini seorang anak telah memberikan data pribadi, mohon hubungi Pejabat Pelindungan Data untuk penghapusan secepatnya.

3. Sumber data pribadi

Kami memperoleh data pribadi langsung dari Anda ketika Anda mengunjungi situs, mengirim aplikasi onboarding, menghubungi dukungan, atau berinteraksi dengan kami. Kami juga menerima data pribadi dari pihak ketiga: dari merchant terkait pelanggan akhir mereka dalam hubungan prosesor data, dari penyedia layanan KYC dan AML (Didit untuk verifikasi identitas, vendor yang sama untuk skrining sanksi dan PEP), dari skema kartu dan mitra acquiring dalam pemrosesan pembayaran, dan dari registri publik ketika kami memverifikasi data badan usaha yang disampaikan saat onboarding.

4. Tujuan dan dasar hukum pemrosesan

Setiap kategori pemrosesan didasarkan pada dasar hukum terdokumentasi menurut UU PDP Pasal 20 dan, sepanjang berlaku, GDPR Pasal 6:

  • Pelaksanaan kontrak: penyediaan layanan pembayaran kepada merchant, settlement dana, tanggapan dukungan pelanggan, dan penanganan sengketa. Dasar hukum: keperluan kontraktual (UU PDP Ps 20(b); GDPR Ps 6(1)(b)).
  • Kepatuhan terhadap kewajiban hukum: customer due diligence dan pemantauan berkelanjutan menurut UU TPPU (UU 8 Tahun 2010) dan aturan PPATK; penanganan keluhan menurut POJK 18/2018; pencatatan perpajakan. Dasar hukum: kewajiban hukum (UU PDP Ps 20(c); GDPR Ps 6(1)(c)).
  • Kepentingan sah: deteksi penipuan, pemantauan transaksi, keamanan jaringan dan informasi, pembelaan klaim hukum, dan pengoperasian kabinet merchant. Dasar hukum: kepentingan sah (UU PDP Ps 20(f); GDPR Ps 6(1)(f)), tunduk pada uji penyeimbangan yang tidak menggantikan hak Anda.
  • Persetujuan: cookie opsional untuk analitik dan komunikasi pemasaran apa pun di masa depan. Dasar hukum: persetujuan (UU PDP Ps 20(a); GDPR Ps 6(1)(a)). Persetujuan diberikan secara bebas, terinformasi, spesifik, dan dapat dicabut kapan saja tanpa memengaruhi keabsahan pemrosesan yang dilakukan sebelum pencabutan.

5. Penerima dan pengungkapan

Kami mengungkapkan data pribadi kepada kategori penerima berikut, masing-masing terikat kewajiban kerahasiaan kontraktual dan pelindungan data yang selaras dengan UU PDP dan, sepanjang berlaku, GDPR Pasal 28:

  • Penyedia infrastruktur kami Amazon Web Services (Asia Pacific - Jakarta), yang meng-host beban kerja produksi di kawasan ap-southeast-3 (Jakarta) menurut model shared-responsibility yang dipublikasikannya.
  • Vendor skrining KYC dan AML kami Didit untuk verifikasi identitas, sanksi, dan pemeriksaan PEP. Pemrosesan lanjutan dibatasi pada tujuan verifikasi dan skrining yang ditetapkan dalam perjanjian kami.
  • Bank acquiring, skema kartu (Visa, Mastercard), dan operator metode pembayaran lokal (QRIS, penerbit virtual-account) ketika pihak-pihak tersebut diperlukan untuk merutekan transaksi atau menyelesaikan sengketa.
  • Platform manajemen persetujuan kami Iubenda untuk penangkapan persetujuan cookie dan jejak audit.
  • Penasihat profesional (hukum, audit, pajak) yang terikat kerahasiaan.
  • Regulator dan otoritas (Bank Indonesia, OJK, PPATK, Otoritas Pelindungan Data Pribadi Indonesia, otoritas pajak, pengadilan, dan penegak hukum) apabila pengungkapan diwajibkan hukum atau diharuskan oleh proses hukum yang sah.

Kami tidak menjual data pribadi. Kami tidak membagikan data pribadi untuk tujuan pemasaran mandiri pihak ketiga.

6. Transfer lintas batas

Data pribadi subjek data Indonesia diproses dan disimpan di Indonesia (ap-southeast-3, kawasan Jakarta) secara default. Apabila transfer lintas batas diperlukan untuk tujuan yang dijelaskan di atas (misalnya, ketika tim respons insiden vendor beroperasi di luar Indonesia), kami menerapkan pelindungan UU PDP Pasal 56: penetapan kecukupan, pelindungan kontraktual termasuk Standard Contractual Clauses Komisi Eropa apabila yurisdiksi penerima kekurangan kecukupan, dan langkah teknis tambahan seperti enkripsi dalam transit dan saat istirahat dengan kunci yang kami kuasai. Daftar terkini yurisdiksi sub-prosesor diterbitkan bersama Pemberitahuan Data Pribadi UU PDP; kami memberi tahu merchant tentang perubahan sub-prosesor material di muka melalui kabinet merchant.

7. Retensi

Kami menyimpan data pribadi hanya selama diperlukan untuk tujuan pengumpulannya, dan tidak lebih lama dari periode maksimum yang ditetapkan hukum:

  • Catatan onboarding merchant, artefak KYC, catatan transaksi: setidaknya 10 tahun setelah berakhirnya hubungan merchant, selaras dengan UU TPPU Pasal 24 dan aturan penyimpanan catatan Bank Indonesia.
  • Korespondensi dukungan pelanggan: 24 bulan sejak kontak terakhir, kecuali retensi diperpanjang oleh keluhan terbuka atau klaim hukum.
  • Log audit dan log akses: 7 tahun berdasarkan kerangka keamanan yang dijelaskan dalam Kebijakan Keamanan kami.
  • Analitik situs web: agregat hingga 26 bulan; pengenal yang terkait dengan cookie dihapus saat penarikan persetujuan atau di akhir sesi apabila persetujuan tidak pernah diberikan.
  • Daftar kontak pemasaran: hingga persetujuan dicabut, dengan daftar suppression yang dipertahankan selama diperlukan untuk menghormati pencabutan.

Apabila hukum memungkinkan periode lebih singkat, kami memperpendek retensi sesuai. Apabila hukum mewajibkan lebih lama (misalnya, sehubungan dengan proses hukum yang sedang berjalan atau instruksi regulator), kami memperpanjang retensi untuk periode minimum yang diperlukan dan mendokumentasikan dasar hukumnya.

8. Hak Anda

Tunduk pada hukum yang berlaku, Anda memiliki hak untuk: diberi tahu tentang cara kami memproses data pribadi Anda; mengakses data pribadi yang kami simpan tentang Anda; memperbaiki data yang tidak akurat; menghapus data apabila penyimpanan tidak lagi dibenarkan; membatasi pemrosesan dalam keadaan tertentu; menerima data Anda dalam format portabel dan mentransmisikannya ke pengendali lain apabila secara teknis layak; berkeberatan terhadap pemrosesan yang dilakukan atas dasar kepentingan sah; dan mencabut persetujuan kapan saja tanpa memengaruhi keabsahan pemrosesan sebelumnya.

Untuk menggunakan hak apa pun, hubungi Pejabat Pelindungan Data di dpo@unitpay.net. Kami merespons dalam jangka waktu yang ditetapkan hukum yang berlaku (30 hari menurut GDPR Ps 12, akui dalam 3 x 24 jam menurut UU PDP). Kami mungkin meminta bukti identitas sebelum mengungkapkan data pribadi; ini untuk melindungi Anda, bukan untuk menghalangi permintaan. Apabila Anda tidak puas dengan tanggapan kami, Anda dapat mengajukan keluhan kepada Otoritas Pelindungan Data Pribadi Indonesia atau, apabila GDPR berlaku, kepada otoritas pengawas lokal Anda. Keluhan terkait jasa keuangan juga dapat dieskalasi ke OJK melalui saluran kontak dalam Kebijakan Resolusi Sengketa kami.

9. Keamanan

Kami melindungi data pribadi melalui kontrol yang dijelaskan dalam Kebijakan Keamanan kami, termasuk transportasi terenkripsi TLS, enkripsi saat istirahat dengan kunci yang dikelola pelanggan di ap-southeast-3, akses least-privilege dengan otentikasi multi-faktor, log audit menyeluruh, dan kapabilitas respons insiden 24x7. Pelanggaran data pribadi yang memenuhi ambang batas UU PDP Pasal 46 diberitahukan kepada Otoritas Pelindungan Data Pribadi dan kepada subjek data yang terdampak dalam waktu 3 x 24 jam sejak penentuan konfirmasi.

10. Perubahan kebijakan dan kontak

Kami meninjau kebijakan ini setidaknya tahunan dan pada setiap perubahan material terhadap pemrosesan kami. Perubahan material ditandai di bagian atas halaman ini dan, untuk merchant, dikomunikasikan melalui kabinet merchant. "Tanggal efektif" di bawah menunjukkan versi yang saat ini berlaku; versi yang digantikan disimpan secara internal untuk audit.

Untuk pertanyaan umum tentang privasi: legal@unitpay.net. Untuk hak subjek data dan kontak DPO: dpo@unitpay.net. Untuk keluhan menurut POJK 18/2018: complaints@unitpay.net. Jam kerja kami adalah Sen-Jum 09.00-18.00 WIB.

Tanggal efektif: 06 May 2026