00Pendahuluan
PT Catatra Teknologi Indonesia ("Catatra," "kami") mengoperasikan platform akuntansi cloud di catatra.id. Kebijakan ini menjelaskan cara kami mengumpulkan, menggunakan, menyimpan, dan melindungi data pribadi Anda berdasarkan UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP), PP PSTE No. 71/2019, dan UU ITE No. 11/2008 jo. No. 19/2016.
Versi Bahasa Indonesia adalah versi yang mengikat secara hukum. Terjemahan Bahasa Inggris disediakan untuk kemudahan saja.
01Pengendali Data
Entitas yang bertanggung jawab atas data pribadi Anda:
NamaPT Catatra Teknologi Indonesia
DomisiliJakarta, Indonesia
Kontak Privasiprivacy@catatra.id
Kontak Umumhello@catatra.id
02Data Pribadi yang Kami Kumpulkan
a. Identitas & Kontak
- Nama lengkap, alamat email, nomor telepon
- NIK dan NPWP Pribadi — diperlukan untuk fitur PPh 21 dan kepatuhan pajak
- Foto profil (opsional)
b. Data Bisnis & Perusahaan
- Nama perusahaan, bentuk hukum, nomor registrasi usaha (NIB/SIUP/TDP)
- NPWP Badan dan status PKP
- Alamat perusahaan, detail rekening bank
- Nama dan jabatan penandatangan dokumen pajak
c. Data Keuangan & Akuntansi
- Transaksi: faktur, purchase order, jurnal, saldo buku besar
- Dokumen pajak: Faktur Pajak, SPT Masa/Tahunan, Bukti Potong, Kode Billing
- Rekening koran, data rekonsiliasi bank, data arus kas
- Data gaji karyawan dan pemotongan PPh 21 (jika menggunakan fitur penggajian)
Catatan: Data keuangan dan pajak merupakan Data Pribadi Sensitif berdasarkan Pasal 4(2) UU PDP. Kami menerapkan perlindungan yang lebih ketat untuk kategori data ini.
d. Data Teknis & Penggunaan
- Alamat IP, jenis browser, sistem operasi, identifier perangkat
- Waktu login, token sesi, halaman yang dikunjungi
- Log jejak audit yang tidak dapat diubah (pengguna, tindakan, waktu, perubahan data)
- Log kesalahan dan metrik kinerja
e. Data Pembayaran
- Paket langganan, riwayat tagihan, catatan faktur
- Detail metode pembayaran diproses oleh penyedia pembayaran kami dan tidak disimpan di server kami
03Dasar Hukum Pemrosesan (Pasal 20 UU PDP)
| Dasar Hukum | Pasal | Aktivitas Pemrosesan |
|---|---|---|
| Persetujuan | Ps. 20(1)(a) | Pendaftaran akun, komunikasi pemasaran opsional |
| Pelaksanaan perjanjian | Ps. 20(1)(b) | Penyediaan layanan akuntansi & pajak (e-Faktur, SPT, Bukti Potong) |
| Kewajiban hukum | Ps. 20(1)(c) | Penyimpanan catatan pajak 10 tahun (UU KUP); respons permintaan DJP |
| Kepentingan yang sah | Ps. 20(1)(e) | Pemantauan keamanan, pencegahan penipuan, analitik agregat anonim |
04Cara Kami Menggunakan Data Anda
- Menyediakan, mengoperasikan, dan meningkatkan platform Catatra
- Membuat dan mengirimkan dokumen pajak (e-Faktur, e-SPT, e-Billing) ke sistem DJP atas nama Anda
- Memproses pembayaran langganan dan menerbitkan Faktur Pajak atas layanan kami
- Mengirimkan notifikasi transaksi (jatuh tempo faktur, peringatan rekonsiliasi, pengingat pelaporan pajak)
- Mendeteksi, menyelidiki, dan mencegah akses tidak sah atau penipuan
- Memenuhi kewajiban audit DJP, permintaan otoritas pajak, dan perintah pengadilan
- Memberikan dukungan pelanggan dan merespons permintaan Anda
- Melakukan analisis anonim dan agregat untuk peningkatan produk
05Pembagian & Pengungkapan Data
Kami tidak menjual data pribadi Anda kepada pihak ketiga mana pun.
Kami berbagi data hanya dalam situasi berikut:
- Penyedia Layanan: Infrastruktur cloud (Supabase/AWS ap-southeast-1), pengiriman email (Resend), notifikasi push (Firebase), pemroses pembayaran — semua dengan perjanjian pemrosesan data tertulis.
- Sistem DJP/Coretax: Data transaksi relevan dikirimkan langsung ke DJP saat Anda menggunakan fitur e-Faktur, e-SPT, atau e-Billing, sebagaimana diwajibkan hukum.
- Kewajiban Hukum: Berdasarkan hukum Indonesia yang berlaku, penetapan pengadilan yang sah, atau permintaan sah dari otoritas pemerintah yang berwenang.
- Pengalihan Bisnis: Dalam merger, akuisisi, atau penjualan aset. Anda akan diberitahu minimal 30 hari sebelumnya.
- Dengan Persetujuan Anda: Pembagian lainnya memerlukan persetujuan eksplisit Anda.
06Retensi Data
| Kategori Data | Periode Retensi | Dasar Hukum |
|---|---|---|
| Catatan akuntansi (jurnal, buku besar) | 10 tahun | UU KUP No. 28/2007 Ps. 28–29 |
| Dokumen pajak (SPT, Faktur Pajak, Bukti Potong) | 10 tahun | UU KUP No. 28/2007 Ps. 28 |
| Log jejak audit | 7 tahun | Persyaratan audit DJP; UU KUP |
| Data akun & identitas | Masa akun aktif + 5 tahun | UU PDP; UU KUP |
| Catatan rekonsiliasi bank | 10 tahun | UU KUP No. 28/2007 |
| Log teknis & akses | 90 hari | Keamanan operasional |
| Catatan pembayaran & langganan | 5 tahun | UU No. 8/1999 |
07Hak Anda Berdasarkan UU PDP
Sebagai Subjek Data Pribadi, Anda dapat menggunakan hak-hak berikut dengan menghubungi privacy@catatra.id. Kami akan merespons dalam 3 × 24 jam.
| Hak | Pasal UU PDP | Keterangan |
|---|---|---|
| Akses | Ps. 34 | Memperoleh salinan data pribadi yang kami simpan |
| Koreksi | Ps. 35 | Memperbaiki data yang tidak akurat atau tidak lengkap |
| Penghapusan | Ps. 36 | Meminta penghapusan data (tunduk pada kewajiban retensi hukum) |
| Tarik Persetujuan | Ps. 38 | Menarik persetujuan tanpa memengaruhi pemrosesan sebelumnya |
| Keberatan | Ps. 37 | Keberatan terhadap pemrosesan berdasarkan kepentingan yang sah |
| Portabilitas | Ps. 39 | Menerima data dalam format JSON/CSV yang dapat dibaca mesin |
| Pembatasan | Ps. 40 | Membatasi pemrosesan selama sengketa sedang diselesaikan |
08Keamanan Data
- Enkripsi TLS 1.3 untuk semua data dalam perjalanan (in transit)
- Enkripsi AES-256 untuk data saat disimpan (at rest)
- Row-Level Security (RLS) di lapisan database untuk isolasi multi-tenant yang ketat
- Dukungan Multi-Factor Authentication (MFA)
- Log jejak audit yang tidak dapat diubah untuk semua modifikasi data
- Penilaian keamanan dan uji penetrasi secara berkala
- Kontrol akses karyawan berdasarkan prinsip need-to-know
Notifikasi Pelanggaran: Jika terjadi kebocoran data yang berisiko merugikan Subjek Data, kami akan memberitahu pengguna terdampak dalam 14 × 24 jam dan melaporkan kepada otoritas dalam 14 hari kalender (Pasal 46 UU PDP).
09Transfer Data Lintas Batas
Infrastruktur utama kami berlokasi di Singapura (AWS/Supabase region ap-southeast-1). Sesuai Pasal 21 PP PSTE No. 71/2019, kami mempertahankan replikasi data di wilayah Indonesia untuk data pengguna Indonesia yang dikategorikan strategis.
Transfer ke negara di luar Indonesia hanya dilakukan ke negara dengan tingkat perlindungan data yang setara, atau berdasarkan klausul kontrak standar yang memadai.
10Cookie
| Jenis | Tujuan | Persetujuan Diperlukan? |
|---|---|---|
| Esensial | Manajemen sesi, autentikasi, perlindungan CSRF | Tidak |
| Analitik | Metrik penggunaan fitur untuk peningkatan produk | Ya |
11Perubahan Kebijakan
Kami akan memberitahu Anda tentang perubahan material melalui email dan notifikasi dalam aplikasi minimal 30 hari sebelum berlaku. Penggunaan Layanan yang berlanjut setelah tanggal berlaku merupakan penerimaan Kebijakan yang direvisi.
12Hubungi Kami
Privasiprivacy@catatra.id
Umumhello@catatra.id
AlamatPT Catatra Teknologi Indonesia, Jakarta, Indonesia