Spıcelab

Privacy Policy

Berlaku efektif: 22 Mei 2026 · Versi 2.0

1. Pendahuluan

Spicelab (“Spicelab”, “kami”, atau “Layanan”) dioperasikan oleh PT Spicelab Technology Intelligence, badan hukum yang didirikan di Republik Indonesia, beralamat di Jl Cikini Raya FG 6 No 2, Tangerang Selatan 15227, Indonesia.

Kebijakan ini menjelaskan bagaimana kami mengumpulkan, menyimpan, memproses, mentransfer, dan melindungi data pribadi Anda ketika menggunakan layanan kami melalui website spicelab.ai, dashboard app.spicelab.ai, integrasi pihak ketiga (Meta Platform, WhatsApp Business, dll), dan kanal lain yang kami sediakan.

Kepatuhan kami mengacu pada: Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) Republik Indonesia, General Data Protection Regulation (GDPR) untuk pengguna dari European Economic Area, Meta Platform Terms & Developer Policies, dan Standard Contractual Clauses (SCC) untuk transfer data lintas negara.

2. Data yang Kami Kumpulkan

Kami mengumpulkan kategori data berikut:

  • Data akun: nama, email, nomor WhatsApp, nama bisnis, NPWP (untuk invoice).
  • Data percakapan AI Consultant: isi diagnostic chat untuk personalisasi rekomendasi paket dan PDF report Anda.
  • Data integrasi pihak ketiga: ketika Anda hubungkan Instagram, WhatsApp Business, TikTok, atau POS — kami akses sesuai izin yang Anda berikan.
  • Data customer Anda (end-user data): ketika AI kami balas DM/chat customer Anda — kami simpan riwayat percakapan sebagai memory untuk konteks balasan.
  • Data analitik: cookie, IP, jenis browser, perilaku di landing page (Google Analytics 4, Meta Pixel, Microsoft Clarity).
  • Data pembayaran: diproses langsung oleh DOKU — kami tidak menyimpan nomor kartu, CVV, atau detail rekening.

3. Data dari Meta Platform (Instagram, Facebook, WhatsApp)

Spicelab terdaftar sebagai aplikasi resmi di Meta Developer Platform. Kami mengakses data berikut dari akun Meta yang Anda hubungkan, hanya dengan persetujuan eksplisit Anda:

  • Instagram Graph API — permission: instagram_basic, instagram_manage_messages, instagram_manage_comments, instagram_content_publish, pages_show_list, pages_read_engagement. Data yang diakses: profile bisnis, isi DM masuk, komentar di post Anda, media library, follower count (aggregate, tanpa identitas individual).
  • Messenger Platform — permission: pages_messaging, pages_manage_metadata. Data: percakapan masuk dari Messenger ke Page bisnis Anda untuk auto-reply.
  • WhatsApp Business API — permission: whatsapp_business_messaging, whatsapp_business_management. Data: phone number ID, isi pesan masuk/keluar via WABA, template message, business profile.
  • Business Management — permission: business_management. Data: nama Business Manager, ad account ID, asset assignment (untuk modul AI Social Media Manager yang publish ke akun Anda).

Cakupan exact permission bisa Anda lihat dan revoke kapan saja di Facebook Settings → Business Integrations atau Instagram → Apps and Websites. Pencabutan izin akan menonaktifkan modul terkait dalam waktu maksimal 24 jam.

Token strategy: kami menggunakan System User Token (long-lived, non-expiring) yang di-issue oleh Business Manager Anda. Token disimpan terenkripsi (AES-256) di vault terisolasi dan tidak pernah di-expose ke modul aplikasi lain.

4. Cara Kami Menggunakan Data

  • Mengoperasikan layanan AI Customer Service, AI Social Media Manager, dan AI Consultant Anda.
  • Menyusun PDF diagnostic report yang Anda minta.
  • Mengkalibrasi brand voice AI untuk bisnis Anda.
  • Auto-reply DM/komentar Meta dan WhatsApp customer Anda sesuai konfigurasi brand voice.
  • Komunikasi terkait akun (invoice, perubahan layanan, security alert).
  • Marketing analytics — hanya pakai data agregat dan anonim.
  • Mematuhi kewajiban hukum (pajak, audit, request aparat penegak hukum yang sah).

Kami TIDAK pernah:

  • Menjual data Anda atau data customer Anda ke pihak ketiga.
  • Menggunakan data Anda untuk training model AI publik (Claude, GPT, Gemini, dll) — kontrak kami dengan Anthropic dan OpenAI mengaktifkan zero data retention.
  • Membagikan isi percakapan customer Anda ke bisnis lain.
  • Menggunakan data Meta untuk tujuan di luar yang dijelaskan dalam izin user grant.
  • Berbagi data Meta dengan pihak yang tidak terdaftar sebagai sub-processor di Section 8.

5. Keamanan Data

Data Anda dienkripsi at rest (AES-256) dan in transit (TLS 1.3). Server primer berlokasi di data center region Asia-Pacific dengan failover region. Akses developer dibatasi via role-based access control (RBAC) + audit trail per request. Token Meta disimpan terisolasi di secret vault. Sertifikasi SOC 2 Type II sedang dalam proses.

6. Hak Anda (UU PDP / GDPR)

Sebagai subjek data, Anda berhak:

  • Akses — meminta salinan data pribadi Anda yang kami simpan.
  • Koreksi — memperbaiki data yang tidak akurat.
  • Penghapusan — meminta penghapusan data Anda. Lihat panduan lengkap di spicelab.ai/data-deletion (kecuali yang wajib disimpan untuk kewajiban hukum, misal invoice 10 tahun).
  • Portabilitas — export data ke format machine-readable (CSV/JSON).
  • Penarikan persetujuan — cancel langganan kapan saja, 1 klik di dashboard.
  • Keberatan terhadap pemrosesan — termasuk profiling otomatis untuk rekomendasi.

Kirim permintaan ke privacy@spicelab.ai atau via halaman User Data Deletion. Kami respons dalam 7 hari kerja dan eksekusi maksimal 30 hari kalender sesuai UU PDP Pasal 16 dan GDPR Article 12.

7. Cookies & Tracking

Kami pakai cookie esensial (session, preference) dan cookie analitik (Google Analytics 4, Meta Pixel, Microsoft Clarity). Anda bisa nonaktifkan cookie non-esensial via setting browser atau cookie banner di halaman pertama.

8. Sub-processor & Pihak Ketiga

Untuk operasional, kami pakai sub-processor berikut dengan kontrak Data Processing Agreement (DPA):

  • AI model: Anthropic (Claude), OpenAI (GPT), Google (Gemini) — zero-retention contract.
  • Infrastruktur: Cloudflare (CDN + edge), Hetzner (compute), Google Cloud (storage), Vercel (frontend hosting).
  • Database: Neon / Supabase Postgres (region Singapore).
  • Pembayaran: DOKU (payment gateway resmi Indonesia, PCI DSS Level 1 certified).
  • Komunikasi: WhatsApp Business Cloud API (Meta), Resend (email transactional), ElevenLabs (voice).
  • Analitik: Google Analytics 4, Meta Pixel, Microsoft Clarity.
  • Observability: Sentry, Phoenix (self-hosted).

Perubahan material pada daftar sub-processor di-notif minimal 30 hari di muka via email.

9. Transfer Data Lintas Negara

Sebagian data Anda diproses di server di luar Indonesia (Singapore, Frankfurt) untuk keperluan AI inference dan failover. Transfer dilakukan dengan dasar hukum:

  • Standard Contractual Clauses (SCC) sesuai European Commission Decision 2021/914.
  • Persetujuan eksplisit Anda saat onboarding (UU PDP Pasal 56).
  • Kebutuhan kontrak pemberian layanan AI yang Anda minta.

Negara penerima yang dipakai (Singapore, Amerika Serikat, Jerman) memiliki tingkat perlindungan yang setara melalui kontrak DPA dengan sub-processor.

10. Retensi Data

  • Data akun aktif: selama langganan aktif + 90 hari grace period setelah cancel.
  • Data percakapan customer Anda: 90 hari rolling window (untuk konteks AI), kecuali Anda set retention berbeda.
  • Token Meta: sampai user revoke atau cancel langganan.
  • Data invoice & pajak: 10 tahun sesuai UU Perpajakan.
  • Log audit: 12 bulan untuk security/forensic.
  • Backup terenkripsi: 30 hari rolling, auto-purge.

11. Anak di Bawah Umur

Layanan Spicelab ditujukan khusus untuk pengguna usia 18 tahun ke atas yang memiliki kapasitas hukum untuk menjalankan bisnis. Kami tidak secara sadar mengumpulkan data pribadi dari anak di bawah 18 tahun. Jika Anda mengetahui bahwa data seorang minor telah dikirim ke kami, harap hubungi privacy@spicelab.ai — kami akan menghapus data tersebut dalam 7 hari kerja.

12. Data Protection Officer (DPO)

Sesuai UU PDP Pasal 53, kami menunjuk Data Protection Officer yang dapat dihubungi melalui:
Email: dpo@spicelab.ai
Alamat surat: Jl Cikini Raya FG 6 No 2, Tangerang Selatan 15227, Indonesia

13. Perubahan Kebijakan

Kami bisa update kebijakan ini sewaktu-waktu. Perubahan material kami beri tahu via email + notifikasi dashboard minimal 30 hari sebelum berlaku. Penggunaan layanan setelah tanggal efektif dianggap menyetujui versi baru.

14. Kontak

Pertanyaan, keluhan, atau eksekusi hak subjek data:
Privacy: privacy@spicelab.ai
Data Protection Officer: dpo@spicelab.ai
Legal: legal@spicelab.ai
WhatsApp: +62 811-1095-42
Alamat: Jl Cikini Raya FG 6 No 2, Tangerang Selatan 15227, Indonesia

Jika permintaan tidak ditanggapi dalam 30 hari, Anda berhak mengajukan keluhan ke Kementerian Komunikasi dan Informatika Republik Indonesia (Kominfo) atau lembaga pengawas data pribadi yang berwenang.