Dokumen Legal

Kebijakan Privasi

Kebijakan ini menjelaskan bagaimana PT. IKAVIA DIGITAL NUSANTARA mengumpulkan, memproses, menyimpan, dan melindungi Data Pribadi Pengguna WACCA sesuai Undang-Undang Perlindungan Data Pribadi No. 27 Tahun 2022.

Versi 1.1 Terakhir diperbarui 6 Juli 2026 Berlaku efektif 6 Juli 2026

01Pendahuluan

WACCA adalah aplikasi laundry online yang menghubungkan konsumen dengan penyedia jasa laundry (merchant) di Indonesia. Layanan ini dikembangkan dan dioperasikan oleh PT. IKAVIA DIGITAL NUSANTARA (selanjutnya "WACCA", "kami").

Kebijakan Privasi ini berlaku untuk seluruh Pengguna WACCA — meliputi Konsumen aplikasi, Merchant terdaftar, dan pengunjung situs web wacca.ikavia.com. Dengan menggunakan layanan WACCA, Anda memahami dan menyetujui pemrosesan Data Pribadi sebagaimana diuraikan dalam dokumen ini.

Kebijakan ini disusun sesuai Undang-Undang Republik Indonesia Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi ("UU PDP") beserta peraturan pelaksanaannya, serta standar internasional keamanan informasi.

02Pengendali Data Pribadi

Pengendali Data Pribadi (Data Controller) atas seluruh Data Pribadi yang dikumpulkan melalui layanan WACCA adalah:

PT. IKAVIA DIGITAL NUSANTARA

Alamat terdaftar: Gg. Randhim No. 165, RT 07/RW 05, Tirtonirmolo, Kec. Kasihan, Kabupaten Bantul, Daerah Istimewa Yogyakarta, Indonesia

Email umum: info@ikavia.com

Email privasi: privacy@ikavia.com

Situs web: wacca.ikavia.com

PT. IKAVIA DIGITAL NUSANTARA menentukan tujuan dan sarana pemrosesan Data Pribadi Pengguna, serta bertanggung jawab atas kepatuhan terhadap UU PDP.

03Definisi

IstilahDefinisi
Data PribadiSetiap data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi, baik langsung maupun tidak langsung.
PenggunaSetiap pihak yang menggunakan layanan WACCA, meliputi Konsumen dan Merchant.
PengendaliPihak yang menentukan tujuan & sarana pemrosesan Data Pribadi — dalam hal ini PT. IKAVIA DIGITAL NUSANTARA.
ProsesorPihak ketiga yang memproses Data Pribadi atas nama Pengendali (mis. payment gateway, penyedia analitik).
PemrosesanSetiap kegiatan terkait Data Pribadi (pengumpulan, penyimpanan, penggunaan, pengungkapan, penghapusan).
PersetujuanPernyataan Pengguna atas kesediaan untuk pemrosesan Data Pribadi untuk tujuan yang telah ditetapkan.
DPOData Protection Officer — petugas pelindung Data Pribadi sesuai UU PDP §53.

04Data yang Dikumpulkan

Jenis Data Pribadi yang dikumpulkan berbeda antara Konsumen (pengguna aplikasi WACCA) dan Merchant (pengguna aplikasi WACCA Laundry Owner).

4.1. Data Konsumen — Registrasi & Profil

  • Saat registrasi: alamat email, kata sandi (disimpan dalam bentuk hash, bukan plaintext), nama tampilan (display name), dan identifier platform (Android/iOS).
  • Verifikasi email: tautan verifikasi dikirim ke account.ikavia.com/verify-email.
  • Alternatif login: Google Sign-In (opsional) — apabila digunakan, informasi profil dasar Google (email, nama, foto profil) diterima melalui protokol OAuth resmi.
  • Profil pengguna: nomor telepon, foto profil (opsional).
  • Alamat pengantaran: nama penerima, alamat lengkap (provinsi, kota, kecamatan), koordinat latitude/longitude, nomor telepon penerima, catatan tambahan.

4.2. Data Merchant — Registrasi, KYC & Operasional

  • Saat registrasi: alamat email, kata sandi, nama tampilan (sama seperti Konsumen).
  • Verifikasi Merchant (KYC):
    • Nama bisnis (business_name)
    • Nama pemilik (owner_name)
    • Nomor Induk Kependudukan (nationality_number/NIK) — dasar verifikasi identitas legal
    • Nomor telepon bisnis
    • Foto profil bisnis (opsional)
    • Deskripsi usaha (opsional)
  • Data outlet: nama outlet, alamat, koordinat lokasi, status operasional, ketersediaan kurir/driver.
  • Data driver (kurir): nama, nomor telepon, nomor plat kendaraan.
  • Rekening bank: nomor rekening tidak disimpan di aplikasi mobile. Aplikasi hanya menampilkan flag status ketersediaan rekening (bank_account_is_active). Pendaftaran rekening dilakukan melalui kanal terpisah yang dikelola langsung oleh mitra payment gateway berlisensi Bank Indonesia.

4.3. Data Lokasi

  • Aplikasi Konsumen: koordinat GPS hanya diakses saat Pengguna aktif membuka peta untuk mencari laundry terdekat atau menentukan alamat pengantaran.
  • Aplikasi Merchant: koordinat GPS hanya diakses saat Merchant menetapkan titik lokasi outlet.
  • Akses lokasi bersifat foreground-only — sesuai izin NSLocationWhenInUseUsageDescription (iOS) dan ACCESS_FINE_LOCATION/ACCESS_COARSE_LOCATION (Android). Tidak ada pelacakan lokasi di background.
  • Peta ditampilkan menggunakan Google Maps SDK; data koordinat dan pola penggunaan peta dapat diproses oleh Google LLC sesuai kebijakan Google Maps.

4.4. Data Transaksi & Pesanan

  • Riwayat pesanan: jenis layanan, jadwal, alamat, catatan tambahan.
  • Nilai transaksi, waktu transaksi, dan status pesanan pada setiap tahap.
  • Metode pembayaran resmi WACCA adalah QRIS.
  • Rating dan ulasan yang diberikan Pengguna terhadap Merchant, dan sebaliknya.
  • Data pembayaran diproses sepenuhnya oleh mitra payment gateway berlisensi Bank Indonesia. Aplikasi WACCA tidak pernah menerima, memproses, atau menyimpan data sensitif kartu (nomor kartu lengkap, CVV, atau PIN).

4.5. Data Foto & Media

  • Foto kondisi pakaian yang diambil Konsumen saat membuat pesanan (opsional).
  • Foto profil pengguna (opsional).
  • Foto profil / dokumentasi outlet untuk Merchant (opsional).
  • Lampiran foto pada keluhan/komplain (opsional).
  • Media diunggah ke layanan penyimpanan media internal WACCA dan tidak disimpan permanen di perangkat.

4.6. Data Perangkat & Teknis

  • Jenis dan model perangkat, sistem operasi, dan versi aplikasi.
  • Alamat IP dan informasi jaringan.
  • Token Firebase Cloud Messaging (FCM) untuk pengiriman notifikasi push, disimpan pada penyimpanan aman lokal (flutter_secure_storage).
  • Firebase Installation ID sebagai identifier instalasi aplikasi.
  • Log kesalahan (crash log) yang dikirim otomatis ke Firebase Crashlytics hanya pada versi produksi, tanpa memuat isi form atau data sensitif Pengguna.

4.7. Data Situs Web (wacca.ikavia.com)

  • Data agregat penggunaan situs melalui Google Analytics 4: halaman yang dikunjungi, durasi, dan klik tombol.
  • Cookie identifier (_ga, _ga_*) dengan masa berlaku hingga 24 bulan.
  • Cookie ini hanya diaktifkan setelah Pengguna memberikan persetujuan eksplisit melalui banner cookie (Google Consent Mode v2 — default denied).

WACCA TIDAK mengumpulkan: data biometrik, data lokasi historis di luar penggunaan aplikasi, nomor kartu kredit/debit lengkap, CVV/PIN, atau kategori Data Pribadi Spesifik sensitif lain di luar yang disebutkan di atas.

05Sumber Data

Data Pribadi diperoleh dari:

  • Langsung dari Pengguna — saat registrasi, verifikasi email, mengisi profil, mendaftarkan outlet (Merchant), membuat pesanan (Konsumen), atau mengunggah foto/lampiran.
  • Otomatis dari perangkat — saat aplikasi digunakan (jenis perangkat, versi OS, IP, token FCM, koordinat GPS saat peta aktif).
  • Dari Google (opsional) — jika Pengguna memilih Google Sign-In, WACCA menerima email, nama, dan foto profil dari akun Google Pengguna melalui protokol OAuth.
  • Dari Merchant / Konsumen lain — status pesanan, rating & ulasan, catatan operasional.
  • Dari mitra payment gateway — konfirmasi status pembayaran QRIS (tanpa detail sensitif kartu/rekening).

06Tujuan Pemrosesan & Dasar Hukum

TujuanDasar Hukum (UU PDP §20)
Menjalankan layanan inti (pencocokan pesanan, pembayaran, pengantaran)Pelaksanaan kontrak
Verifikasi identitas MerchantPelaksanaan kontrak & kepentingan hukum
Pencegahan fraud & keamanan platformKepentingan sah (legitimate interest)
Kepatuhan terhadap kewajiban hukum (pajak, akuntansi)Kepatuhan hukum
Analitik penggunaan & pengembangan produkPersetujuan (dapat ditarik)
Notifikasi promosi & marketingPersetujuan (opt-in, dapat ditarik)
Dukungan pelanggan & penyelesaian sengketaPelaksanaan kontrak

07Retensi Data

Data Pribadi disimpan hanya selama diperlukan untuk tujuan pemrosesan atau selama diwajibkan oleh peraturan yang berlaku:

Kategori DataMasa Retensi
Data akun aktifSelama akun aktif
Data akun setelah penghapusan12 bulan (audit & anti-fraud), kemudian dihapus permanen
Data transaksi5 tahun (kepatuhan UU Perpajakan & akuntansi)
Data lokasi real-timeTidak disimpan permanen — dihapus setelah pesanan selesai
Data analitik (Google Analytics)14 bulan (default GA4 maksimum)
Log keamanan & audit12 bulan
Data komplain & sengketa2 tahun sejak penyelesaian

Setelah masa retensi berakhir, Data Pribadi akan dihapus atau dianonimisasi secara permanen sehingga tidak dapat diidentifikasi kembali.

08Berbagi Data dengan Pihak Ketiga

WACCA tidak menjual Data Pribadi Pengguna kepada pihak manapun. Data hanya dibagikan dalam batas yang diperlukan kepada:

8.1. Merchant & Konsumen (antar Pengguna)

Data pesanan Konsumen (nama, kontak, alamat pengantaran, detail layanan, foto kondisi pakaian) dibagikan kepada Merchant yang dipilih untuk memenuhi pesanan. Sebaliknya, data outlet Merchant (nama, alamat, jam operasional, rating) ditampilkan kepada Konsumen. Merchant terikat perjanjian kemitraan digital dan tidak diperkenankan menggunakan data untuk tujuan di luar pemenuhan pesanan.

8.2. Payment Gateway (Berlisensi Bank Indonesia)

Data transaksi diproses oleh mitra payment gateway berlisensi Bank Indonesia yang menangani penerimaan pembayaran QRIS serta pencairan saldo Merchant. WACCA tidak menerima maupun menyimpan data sensitif kartu (nomor kartu lengkap, CVV, PIN) atau nomor rekening bank Merchant di aplikasi. Mitra gateway tunduk pada standar keamanan PCI-DSS dan regulasi Bank Indonesia.

8.3. Firebase (Google LLC)

Aplikasi mobile WACCA menggunakan layanan Firebase dari Google LLC untuk fungsi berikut:

  • Firebase Authentication — jika Pengguna memilih login dengan Google Sign-In, otentikasi diproses melalui Firebase Auth.
  • Firebase Cloud Messaging (FCM) — pengiriman notifikasi push. Token FCM disimpan di perangkat dan diregistrasikan ke server WACCA agar backend dapat mengirim notifikasi.
  • Firebase Crashlytics — laporan kesalahan otomatis (crash log) pada versi produksi, untuk pemantauan stabilitas aplikasi. Data yang dikirim berupa stack trace, tipe perangkat, dan versi aplikasi — tidak memuat isi form atau data pribadi identitas.

Data yang diterima Firebase tunduk pada Kebijakan Privasi Google.

8.4. Google Maps API (Google LLC)

Peta ditampilkan menggunakan Google Maps SDK. Koordinat lokasi dan pola interaksi peta dapat diproses oleh Google LLC. Pengiriman data terjadi hanya saat fitur peta aktif digunakan Pengguna.

8.5. Google Analytics 4 (Situs Web)

Data analitik agregat pada situs wacca.ikavia.com diproses oleh Google Analytics 4 (Google LLC). Data dianonimisasi dan tidak berisi identitas langsung Pengguna. Pemrosesan hanya berjalan setelah persetujuan cookie eksplisit.

8.6. Layanan Media (Internal)

Foto dan lampiran diunggah ke layanan penyimpanan media internal yang dikelola PT. IKAVIA DIGITAL NUSANTARA. Akses terhadap media dibatasi berdasarkan konteks pesanan/pengguna terkait.

8.7. Otoritas Hukum

Data Pribadi dapat diungkapkan kepada aparat penegak hukum atau otoritas yang berwenang berdasarkan perintah pengadilan atau kewajiban hukum yang sah, sesuai UU PDP §15.

8.8. Penyedia Infrastruktur

Data dapat diproses oleh penyedia hosting, CDN, dan penyedia infrastruktur cloud yang seluruhnya terikat perjanjian pemrosesan data (Data Processing Agreement) dengan WACCA.

09Transfer Data Lintas Negara

Sebagian mitra layanan WACCA berkedudukan di luar wilayah Indonesia. Data yang mungkin diproses lintas negara mencakup:

  • Firebase (Google LLC) — layanan Firebase Auth, Firebase Cloud Messaging, dan Firebase Crashlytics diproses di infrastruktur global Google (termasuk Amerika Serikat, Eropa, dan Asia).
  • Google Maps API (Google LLC) — data interaksi peta dan koordinat lokasi dapat diproses di server global Google.
  • Google Analytics 4 (Google LLC) — data analitik agregat situs web dapat diproses di server global Google.
  • Google Sign-In (Google LLC) — apabila Pengguna login menggunakan akun Google, otentikasi diproses di server Google.
  • Penyedia cloud infrastruktur — sebagian region dapat berlokasi di luar Indonesia.

Setiap transfer Data Pribadi lintas negara dilakukan dengan menerapkan pengamanan yang setara dengan tingkat perlindungan UU PDP, sesuai UU PDP §56 — termasuk melalui klausul kontraktual standar, sertifikasi standar internasional, atau mekanisme perlindungan lain yang diakui hukum yang berlaku.

10Cookies & Identifier

10.1. Cookies pada Situs Web (wacca.ikavia.com)

Situs menggunakan cookies dan teknologi serupa untuk mendukung fungsi dan analitik terbatas:

CookieTujuanMasa Berlaku
_gaIdentifikasi unik pengunjung (Google Analytics)24 bulan
_ga_*Persistensi state session (Google Analytics 4)24 bulan
wacca_consentMenyimpan pilihan consent cookie Pengguna12 bulan

10.2. Pengaturan Consent (Web)

Cookies analitik tidak aktif sampai Pengguna memberikan persetujuan eksplisit melalui banner cookie. Sebelum persetujuan, WACCA menerapkan Google Consent Mode v2 dengan default denied, sehingga tidak ada cookie tracking yang dipasang.

Pengguna dapat menarik persetujuan kapan saja dengan menghapus cookie wacca_consent pada browser, atau melalui pengaturan browser masing-masing.

10.3. Identifier pada Aplikasi Mobile

Aplikasi mobile WACCA tidak menggunakan cookies. Sebagai penggantinya, aplikasi menyimpan sejumlah identifier dan token pada penyimpanan aman lokal perangkat (flutter_secure_storage) yang terenkripsi oleh sistem operasi:

IdentifierTujuanRetensi
access_tokenOtentikasi sesi ke backend WACCAHingga logout / kadaluarsa
refresh_tokenPerpanjangan sesi tanpa login ulangHingga logout / kadaluarsa
cached_userProfil ringkas Pengguna untuk mempercepat startup aplikasiHingga logout
fcm_tokenPengiriman notifikasi push melalui Firebase Cloud MessagingSampai token di-refresh Firebase
Firebase Installation IDIdentifier instalasi FirebaseSampai aplikasi di-uninstall

Pengguna dapat menghapus seluruh identifier ini dengan melakukan logout dan/atau uninstall aplikasi.

11Keamanan Data

WACCA menerapkan langkah pengamanan teknis dan organisasi yang wajar untuk melindungi Data Pribadi dari akses, perubahan, pengungkapan, atau penghapusan yang tidak sah:

  • Enkripsi in-transit — seluruh komunikasi melalui HTTPS/TLS 1.2 atau lebih tinggi
  • Enkripsi at-rest — Data Pribadi sensitif dienkripsi pada database
  • Kontrol akses — prinsip least-privilege, otentikasi multi-faktor untuk sistem internal
  • Audit log — pencatatan seluruh akses terhadap Data Pribadi
  • Pemisahan environment — data produksi terisolasi dari lingkungan development/staging
  • Backup terenkripsi — dilakukan berkala dengan retensi terkontrol
  • Uji keamanan berkalavulnerability scanning dan penetration test

Meskipun demikian, tidak ada sistem yang 100% kebal terhadap ancaman. Pengguna dianjurkan menjaga kerahasiaan kredensial akun dan segera melapor apabila mencurigai adanya akses tidak sah.

12Hak Pengguna sesuai UU PDP

Sebagai Subjek Data Pribadi, Pengguna memiliki hak berikut sesuai UU PDP §5–15:

  1. Hak akses — meminta salinan Data Pribadi yang WACCA miliki
  2. Hak koreksi — memperbaiki data yang tidak akurat atau tidak lengkap
  3. Hak penghapusan — meminta penghapusan Data Pribadi (right to be forgotten)
  4. Hak pembatasan pemrosesan — meminta pembatasan penggunaan data
  5. Hak portabilitas — menerima Data Pribadi dalam format terstruktur untuk dipindahkan
  6. Hak menarik persetujuan — kapan saja untuk pemrosesan berbasis persetujuan
  7. Hak menolak pemrosesan otomatis — termasuk profiling
  8. Hak mengajukan keberatan & keluhan — kepada WACCA maupun otoritas pengawas

Untuk menggunakan hak tersebut, hubungi privacy@ikavia.com. Permintaan akan diverifikasi dan direspons paling lambat 14 hari kerja.

13Perlindungan Anak di Bawah Umur

Layanan WACCA ditujukan untuk pengguna berusia minimum 17 tahun (usia minimum kepemilikan KTP). Pengguna berusia di bawah 17 tahun hanya dapat menggunakan layanan dengan bimbingan dan persetujuan tertulis orang tua atau wali sah.

Apabila kami mengetahui adanya Data Pribadi anak di bawah umur yang terkumpul tanpa persetujuan wali yang sah, kami akan menghapusnya segera. Orang tua/wali dapat menghubungi privacy@ikavia.com untuk menyampaikan keberatan.

14Perubahan Kebijakan

Kebijakan ini dapat diperbarui sewaktu-waktu untuk mencerminkan perubahan layanan, regulasi, atau best practice keamanan. Setiap perubahan material akan diberitahukan melalui:

  • Notifikasi in-app dan/atau email kepada Pengguna terdaftar
  • Pengumuman di halaman ini dengan pembaruan tanggal "Terakhir diperbarui"
  • Untuk perubahan yang mengubah tujuan pemrosesan secara mendasar — meminta persetujuan ulang

Riwayat versi kebijakan tersedia pada Bagian 17.

15Notifikasi Insiden Keamanan Data

Sesuai UU PDP §46, apabila terjadi insiden yang menyebabkan kegagalan perlindungan Data Pribadi (mis. kebocoran, akses tidak sah), WACCA akan:

  1. Memberitahukan Subjek Data terdampak paling lambat 72 jam sejak insiden diketahui, melalui email dan/atau in-app notification
  2. Melaporkan kepada Lembaga Perlindungan Data Pribadi (LPDP) sebagaimana diamanatkan UU PDP
  3. Menjelaskan sifat insiden, kategori data yang terdampak, potensi konsekuensi, dan langkah mitigasi yang telah/akan diambil
  4. Menyediakan kanal khusus (privacy@ikavia.com) untuk pertanyaan lebih lanjut

16Kontak Data Protection Officer (DPO)

Sesuai UU PDP §53, WACCA menetapkan pejabat pelindung Data Pribadi (DPO) yang bertanggung jawab atas kepatuhan pemrosesan Data Pribadi.

Data Protection Officer — PT. IKAVIA DIGITAL NUSANTARA

Email: privacy@ikavia.com

Alamat surat: DPO WACCA, PT. IKAVIA DIGITAL NUSANTARA, Gg. Randhim No. 165, RT 07/RW 05, Tirtonirmolo, Kec. Kasihan, Kabupaten Bantul, Daerah Istimewa Yogyakarta, Indonesia

Waktu respons: paling lambat 14 hari kerja untuk permintaan hak subjek data; 72 jam untuk laporan insiden keamanan.

Apabila Pengguna merasa hak Data Pribadinya belum ditangani dengan memuaskan, Pengguna berhak mengajukan pengaduan kepada Lembaga Perlindungan Data Pribadi (LPDP) Republik Indonesia.

17Riwayat Versi

VersiTanggal BerlakuPerubahan
1.05 Juli 2026Versi awal — publikasi Kebijakan Privasi.
1.16 Juli 2026Pembaruan alamat terdaftar Pengendali Data; penegasan QRIS sebagai satu-satunya metode pembayaran.