1. Pengantar
Databridge adalah layanan SaaS yang dioperasikan oleh Ahmad Azzam Fuadie, pelaku usaha perorangan terdaftar dengan Nomor Induk Berusaha (NIB) 1107260053869 (selanjutnya disebut “Databridge”, “kami”), berkedudukan di Jl. Cempedak 4 Blok C14, Padasuka, Ciomas, Kabupaten Bogor, Jawa Barat, Indonesia. Kami tunduk pada ketentuan Penyelenggara Sistem Elektronik (PSE) Lingkup Privat sesuai Permenkominfo No. 5/2020.
Kebijakan Privasi ini menjelaskan bagaimana kami mengumpulkan, menggunakan, mengungkapkan, dan melindungi Data Pribadi pengguna saat kamu mengakses situs databridge.id, endpoint MCP dan API kami, serta add-on Google Sheets Databridge (legacy). Kami menyusunnya selaras dengan UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP), UU No. 11 Tahun 2008 sebagaimana diubah oleh UU No. 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik (UU ITE), PP 71/2019, dan Permenkominfo 5/2020. Untuk pengguna di Wilayah Ekonomi Eropa (EEA), kami mematuhi GDPR sebagaimana diuraikan dalam Adendum GDPR.
2. Definisi penting
Untuk menyelaraskan dengan UU PDP, kami menggunakan istilah berikut:
- Data Pribadi
- Setiap data tentang seseorang yang teridentifikasi atau dapat diidentifikasi (UU PDP Pasal 1 angka 1).
- Subjek Data
- Orang perseorangan yang Data Pribadinya melekat (Pasal 1 angka 6).
- Pengendali Data
- Pihak yang menentukan tujuan dan kendali pemrosesan. Untuk akun Databridge, Pengendali Data adalah kamu (agensi atau tim marketing) untuk data klienmu, dan Databridge untuk data akun langganan dan log layananmu sendiri.
- Prosesor Data
- Pihak yang melakukan pemrosesan atas nama Pengendali. Databridge bertindak sebagai Prosesor saat menarik metrik iklan dari Meta / Google / TikTok / X / LinkedIn / marketplace atas permintaanmu, lewat MCP client yang kamu hubungkan, query builder dashboard, atau export ke Google Sheets.
- Data Pribadi Spesifik
- Data sensitif yang diatur lebih ketat (Pasal 4 ayat 2 UU PDP). Kami tidak memproses kategori ini.
3. Data yang kami kumpulkan
3.1 Data akun dan langganan
- Nama, alamat email, nomor telepon, nama perusahaan/agensi
- Kredensial autentikasi (password ter-hash dengan bcrypt cost 12)
- API key MCP (format
db_live_*) untuk akses AI/agent: kami hanya menyimpan hash SHA-256-nya. Plaintext key tampil satu kali saat dibuat dan tidak pernah kami simpan maupun catat di log. - Data penagihan: NPWP (jika diisi), alamat penagihan, riwayat invoice. Pembayaran diproses oleh Mayar; kami tidak menyimpan nomor kartu/QRIS lengkap.
- Status langganan, paket, dan riwayat penggunaan kuota
3.2 Token OAuth dan akses platform
Saat kamu menghubungkan akun iklan, kami menyimpan access token dan refresh token hasil OAuth. Token ini terenkripsi at-rest (AES-256-GCM) dan tidak pernah terekspos di antarmuka maupun log. Cakupan akses minimal:
- Meta Marketing API:
ads_read,business_management(read),read_insights - Google Ads / Analytics: scope
adwordsread-only dananalytics.readonly - TikTok Marketing API:
ad.read,ad_account.read,report.read - X Ads API: scope
ads.read,tweet.read - LinkedIn Marketing API:
r_ads_reporting,r_organization_social - Meta organik (Pages · Instagram · Threads):
pages_show_list,pages_read_engagement,read_insights,instagram_basic,instagram_manage_insights,threads_basic,threads_manage_insights - YouTube Analytics:
yt-analytics.readonly,youtube.readonly - TikTok organik (Login Kit):
user.info.basic,video.list - X organik:
tweet.read,users.read
3.3 Metrik dan dimensi iklan (data pelanggan-mu)
Saat kamu (atau AI client-mu) menjalankan report, kami sementara memproses metrik akun iklan: spend, impressions, clicks, actions, purchase_roas, video_p25_watched_actions, dan dimensi seperti campaign_id, ad_id. Hasil report dikirim ke tujuan yang kamu pilih: AI client lewat MCP, tampilan dashboard, atau export ke Google Sheets; kami tidak mempertahankan salinan agregat di luar log debug 90 hari.
3.4 Data marketplace Indonesia
Untuk integrasi Shopee Open Platform, Tokopedia Open API, Blibli, Lazada Open Platform, dan TikTok Shop: data order, SKU, stok, dan metrik performa toko, sesuai cakupan yang kamu izinkan saat OAuth.
3.5 Data teknis otomatis
- Alamat IP, user agent, ID perangkat (untuk keamanan)
- Halaman yang dikunjungi, waktu kunjungan, referrer
- Log integrasi (timestamp pull, status, error code; retensi 90 hari)
4. Dasar hukum pemrosesan
Sesuai Pasal 20 UU PDP, setiap pemrosesan harus punya dasar yang sah. Kami memproses Data Pribadi atas dasar berikut:
- Persetujuan (Pasal 20 ayat 2 huruf a): saat kamu membuat akun, menghubungkan platform OAuth, atau berlangganan newsletter.
- Pelaksanaan kontrak (huruf b): saat memproses langganan, mengirim invoice, dan menyediakan Layanan (endpoint MCP, dashboard, export, dan add-on legacy).
- Kewajiban hukum (huruf c): pelaporan pajak, pelaksanaan permintaan otoritas (Kominfo, OJK, kepolisian).
- Kepentingan sah (huruf f): keamanan platform, pencegahan penipuan, peningkatan layanan, dengan uji keseimbangan (legitimate interest assessment) yang kami dokumentasikan.
5. Tujuan pemrosesan
- Penyediaan layanan: menjalankan report yang diminta AI client-mu lewat MCP, menjalankan query dari dashboard, menyimpan saved queries, dan mengeksekusi export ke Google Sheets saat kamu memintanya
- Manajemen akun: autentikasi, manajemen langganan, penagihan via Mayar
- Dukungan pelanggan: membalas tiket support dan email
- Keamanan: deteksi anomali, pencegahan penyalahgunaan API, audit log
- Komunikasi produk: pemberitahuan layanan kritis (selalu) dan promosi (opt-in)
- Kepatuhan: memenuhi UU PDP, UU ITE, dan persyaratan platform mitra (Meta, Google, dll.)
Kami tidak: (a) menjual data ke pihak ketiga; (b) menggunakan data pengguna untuk melatih model AI: data kamu tidak pernah dipakai melatih model AI, milik kami maupun pihak lain; (c) menampilkan iklan berbasis profil ke pengguna kami; (d) memproses Data Pribadi Spesifik (kesehatan, finansial detail, biometrik, dll.).
6. Integrasi platform: kepatuhan spesifik
Setiap integrasi tunduk pada Ketentuan Layanan dan kebijakan data platform terkait. Kami berkomitmen pada batas-batas berikut:
6.1 Meta (Facebook · Instagram · Threads · WhatsApp Business)
Kami mematuhi Meta Platform Terms, Developer Policies, dan Limited Use Policy. Data dari Meta hanya digunakan untuk memberikan fitur yang kamu minta (menjawab report yang kamu atau AI client-mu jalankan), tidak untuk profiling pengguna lain, tidak dijual, dan dapat kamu cabut kapan saja melalui Settings → Apps di Meta atau melalui dashboard Databridge.
6.2 Google (Ads · Analytics · Search Console · Sheets)
Penggunaan Databridge atas data dari Google API mematuhi Google API Services User Data Policy termasuk persyaratan Limited Use. Spesifiknya: (i) penggunaan terbatas pada penyediaan fitur yang kamu lihat; (ii) kami tidak mentransfer data ke pihak lain kecuali untuk menyediakan/meningkatkan fitur, mematuhi hukum, atau atas perintahmu; (iii) kami tidak menggunakan data untuk iklan yang ditargetkan; (iv) manusia Databridge tidak membaca data, kecuali atas izin spesifikmu, untuk debugging keamanan, atau wajib hukum.
Databridge’s use and transfer to any other app of information received from Google APIs will adhere to Google API Services User Data Policy, including the Limited Use requirements.
Google Sheets sebagai tujuan export opsional: Google Sheets bukan bagian inti pipeline data kami. Hanya saat kamu (atau AI client-mu, atas perintahmu) memakai tool export_to_google_sheets atau add-on legacy, hasil report ditulis ke spreadsheet milikmu. Pada jalur itu, Google LLC memproses data spreadsheet tersebut sebagai penyedia layanan Google Sheets, sesuai kebijakan privasi Google.
6.2.1 Layanan API YouTube
Databridge menggunakan YouTube API Services untuk menarik metrik channel dan video atas izinmu. Dengan menghubungkan akun YouTube, kamu juga menyetujui YouTube Terms of Service dan Google Privacy Policy. Data YouTube yang di-cache disimpan maksimal 30 hari, dan token akses dihapus saat kamu memutuskan koneksi. Kamu dapat mencabut akses Databridge ke data YouTube kapan saja melalui Google security settings atau melalui dashboard Databridge.
6.3 TikTok for Business · TikTok Shop
Kami mematuhi TikTok Marketing API Terms dan TikTok Shop Open Platform Terms. Data hanya digunakan untuk fitur yang kamu minta dan tidak dijual.
6.4 X (Twitter) Ads · LinkedIn Marketing
Kami mematuhi X Developer Agreement dan LinkedIn API Terms of Use. Kami tidak melakukan Restricted Use Cases (memata-matai, profiling sensitif, pelanggaran privasi) yang dilarang oleh kebijakan platform.
6.5 Marketplace Indonesia (Shopee · Tokopedia · Blibli · Lazada · TikTok Shop)
Kami mematuhi Open Platform Terms masing-masing dan Permendag No. 50/2020 tentang ketentuan dan tata cara perizinan usaha, periklanan, pembinaan, dan pengawasan pelaku usaha dalam perdagangan melalui sistem elektronik.
6.6 AI assistant yang kamu hubungkan (MCP)
Jalur utama Databridge adalah MCP: AI client kamu (Claude, ChatGPT, Cursor, atau MCP client lain) meminta data lewat endpoint MCP memakai API key milikmu, dan hasil report dikirim ke AI client yang kamu pilih. Untuk jalur ini berlaku ketentuan berikut:
- Pengungkapan yang kamu perintahkan sendiri: data hanya mengalir ke AI assistant saat kamu atau agen-mu memanggil endpoint MCP dengan API key milikmu, bukan atas inisiatif Databridge.
- Apa yang penyedia AI lakukan atas data percakapan (termasuk hasil report yang masuk ke percakapan) diatur oleh ketentuan penyedia AI tersebut; pilihan client ada di tanganmu. Data yang kamu kirim diproses di infrastruktur penyedia AI sesuai kebijakan mereka, misalnya kebijakan privasi Anthropic dan kebijakan privasi OpenAI. Kami tidak mengendalikan pemrosesan mereka.
- Kamu bertanggung jawab memilih penyedia AI, meninjau kebijakannya, dan memastikan dasar hukum yang sah untuk mengirim data klienmu ke sana (Pasal 20 UU PDP).
- Penyedia AI bukan sub-prosesor Databridge: mereka pihak yang kamu tunjuk sendiri. Kamu bisa cabut akses kapan saja dengan menghapus API key di /dashboard/api-keys.
6.7 Add-on Google Sheets (legacy)
Add-on Google Sheets lama tetap kami dukung untuk pengguna eksisting. Pemrosesan datanya sama dengan jalur lain: read-only, token OAuth terenkripsi, dan hasil report ditulis ke spreadsheet milikmu. Report dari add-on dihitung dalam kuota “report AI” yang sama.
7. Berbagi data dengan pihak ketiga
Sesuai UU PDP Pasal 47–55, kami hanya membagikan Data Pribadi kepada:
- Sub-prosesor terpercaya dengan Data Processing Agreement (DPA): Vercel (hosting & CDN, region Singapore/Jakarta), Supabase (database, region Singapore), Composio (broker OAuth), Mayar (pembayaran), Resend (email transactional), Vercel Analytics (anonim).
- Platform yang kamu hubungkan sesuai konfigurasi OAuth (Meta, Google, TikTok, X, LinkedIn, marketplace).
- AI assistant pilihanmu (Anthropic, OpenAI, dll.), hanya atas perintahmu melalui API key MCP. Lihat bagian 6.6; mereka bukan sub-prosesor kami.
- Otoritas Indonesia jika diwajibkan: Kominfo, OJK, BSSN, Kepolisian, atau pengadilan, atas dasar perintah resmi.
- Pembeli aset dalam hal merger / akuisisi, dengan notifikasi 30 hari sebelumnya kepadamu.
Daftar lengkap sub-prosesor diperbarui di Adendum GDPR. Kami akan memberi tahu 30 hari sebelumnya sebelum menambah sub-prosesor baru; kamu berhak menolak.
8. Transfer data lintas batas
Sesuai UU PDP Pasal 56, transfer ke luar wilayah hukum Indonesia hanya kami lakukan jika negara penerima memiliki tingkat perlindungan setara atau lebih tinggi, atau ada perlindungan kontraktual yang memadai.
- Hosting kami di Singapore (Asia Pacific) dan Jakarta (Indonesia).
- Untuk integrasi platform yang berbasis di luar negeri (Meta: AS, Google: global, TikTok: Singapore/AS, X: AS, LinkedIn: AS), kami menggunakan Standard Contractual Clauses atau mekanisme setara.
- Untuk pengguna EEA, kami menggunakan SCC versi 2021 EU Commission + Transfer Impact Assessment.
9. Penyimpanan dan retensi
- Data akun: selama akun aktif + 30 hari grace period setelah pembatalan
- Token OAuth: terenkripsi, dihapus segera setelah kamu cabut akses atau menutup akun
- Log integrasi: 90 hari (untuk debugging & audit keamanan)
- Catatan penagihan / faktur pajak: 10 tahun sesuai UU KUP Pasal 28 ayat 11
- Data dukungan / tiket: 2 tahun setelah penutupan tiket
- Backup: snapshot harian dengan rotasi 30 hari
10. Hak Subjek Data Pribadi
Sesuai UU PDP Pasal 5–15, kamu memiliki hak penuh atas Data Pribadimu:
- Hak atas informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan Data Pribadi (Pasal 5).
- Hak melengkapi, memperbarui, atau memperbaiki Data Pribadi (Pasal 6).
- Hak mengakses dan memperoleh salinan Data Pribadi (Pasal 7).
- Hak mengakhiri pemrosesan / menghapus Data Pribadi (Pasal 8: “right to be forgotten”).
- Hak menarik kembali persetujuan (Pasal 9).
- Hak mengajukan keberatan atas tindakan pengambilan keputusan otomatis (Pasal 10).
- Hak menunda atau membatasi pemrosesan (Pasal 11).
- Hak menggugat dan menerima ganti rugi atas pelanggaran (Pasal 12).
- Hak portabilitas: menerima dan/atau menggunakan Data Pribadi dalam bentuk yang biasa digunakan (Pasal 13).
Untuk menggunakan hak ini: kirim email ke dpo@databridge.id atau gunakan formulir di /data-deletion. Kami akan membalas dalam 3×24 jam kerja dan menyelesaikan permintaan dalam maksimal 30 hari (dapat diperpanjang 30 hari sekali dengan alasan).
11. Keamanan data
Sesuai UU PDP Pasal 39 dan Pasal 47, kami menerapkan kontrol keamanan teknis dan organisasi yang sebanding dengan risiko:
- Enkripsi TLS 1.3 untuk data dalam transit
- Enkripsi AES-256-GCM untuk token OAuth at-rest
- Hashing bcrypt (cost 12) untuk password
- API key MCP disimpan sebagai hash SHA-256 satu arah; plaintext hanya tampil sekali saat pembuatan
- Multi-factor authentication (MFA) opsional, wajib untuk admin internal
- Role-based access control (RBAC) dengan least-privilege
- Audit log immutable untuk akses data
- Penetration testing tahunan oleh pihak ketiga independen
- Background check dan kontrak NDA untuk seluruh tim Databridge
- Disaster recovery plan dan business continuity plan diuji 2× setahun
12. Pemberitahuan pelanggaran data
Sesuai UU PDP Pasal 46, jika terjadi kegagalan perlindungan Data Pribadi, kami akan:
- Memberitahukan kepada Subjek Data dan kepada Lembaga PDP selambat-lambatnya 3×24 jam sejak pelanggaran diketahui;
- Mencantumkan jenis Data Pribadi yang terdampak, kapan dan bagaimana pelanggaran terjadi, serta upaya penanganan dan pemulihan;
- Bagi pengguna EEA, kami mematuhi GDPR Art. 33–34 (notifikasi dalam 72 jam).
13. Cookies dan teknologi pelacak
Lihat Kebijakan Cookies untuk daftar lengkap cookie yang kami pakai (kategori: strictly necessary, functional, analytics; analytics anonim by default).
14. Privasi anak
Sesuai UU PDP Pasal 25 dan Pasal 35, layanan kami ditujukan untuk pengguna berusia minimal 17 tahun atau telah menikah. Kami tidak secara sengaja mengumpulkan Data Pribadi anak. Jika kamu mengetahui anak telah memberikan data, hubungi dpo@databridge.id untuk penghapusan segera.
15. Perubahan kebijakan
Kami dapat memperbarui kebijakan ini. Perubahan material akan diberitahukan via email dan banner di dashboard 30 hari sebelum berlaku. Tanggal “Terakhir diperbarui” di atas selalu menunjukkan revisi terkini. Riwayat versi tersedia atas permintaan ke dpo@databridge.id.
16. Kontak DPO dan otoritas
Untuk pertanyaan, permintaan hak, atau pengaduan privasi:
- Pengendali Data
- Ahmad Azzam Fuadie — usaha perorangan terdaftar (NIB 1107260053869), merek dagang Databridge
- DPO
- dpo@databridge.id
- Tim umum
- hello@databridge.id
- Alamat
- Jl. Cempedak 4 Blok C14, Padasuka, Ciomas, Kab. Bogor, Jawa Barat, Indonesia
- Telepon
- +62 819-3203-2355
Kamu juga berhak mengajukan pengaduan ke Lembaga Perlindungan Data Pribadi (atau Kominfo sebagai otoritas sementara hingga Lembaga PDP terbentuk penuh) dan ke OJK bila terkait data keuangan.