✦ Privasi & Kepatuhan

Kebijakan Privasi

Versi 2026-05-01 — diperbarui 1 Mei 2026

Daftar Isi
  1. Tentang Kebijakan Ini
  2. Pengendali Data
  3. Definisi
  4. Data yang Kami Proses
  5. Tujuan & Dasar Hukum
  6. Pihak Ketiga & Pemroses
  7. Transfer Data ke Luar Negeri
  8. Penyimpanan & Retensi
  9. Keamanan
  10. Hak Anda
  11. Pemrosesan Data Anak
  12. Cookie
  13. Notifikasi Pelanggaran
  14. Perubahan Kebijakan
  15. Kontak DPO

1. Tentang Kebijakan Ini

Kebijakan ini menjelaskan bagaimana Tarot World Diamond ("kami") mengumpulkan, menggunakan, menyimpan, mengungkapkan, dan melindungi data pribadi pengguna ("Anda") dalam rangka menjalankan layanan konsultasi tarot dan oracle melalui situs ini.

Kebijakan ini disusun untuk memenuhi Undang-Undang Republik Indonesia Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi ("UU PDP") beserta peraturan pelaksananya.

2. Pengendali Data

Dalam pemrosesan data pribadi yang dilakukan melalui layanan ini, Tarot World Diamond bertindak sebagai Pengendali Data Pribadi sebagaimana dimaksud Pasal 1 angka 4 UU PDP. Untuk pertanyaan privasi, hubungi Petugas Pelindungan Data Pribadi (DPO) — lihat bagian Kontak DPO.

3. Definisi

  • Data Pribadi Umum — nama, alamat email, nomor telepon, alamat IP, dan data identifikasi lain yang tidak termasuk data spesifik (Pasal 4 ayat 3 UU PDP).
  • Data Pribadi Spesifik — data yang dampaknya lebih besar bagi Subjek Data, mencakup di antaranya: Nomor Induk Kependudukan (NIK), citra KTP, data biometrik, data anak, data keuangan pribadi (Pasal 4 ayat 2 UU PDP).
  • Subjek Data — orang perseorangan yang data pribadinya kami proses (yaitu, Anda).
  • Pemrosesan — perolehan, pengumpulan, pengolahan, analisis, penyimpanan, perbaikan, penampilan, pengumuman, transfer, penyebarluasan, atau penghapusan data pribadi (Pasal 16 UU PDP).

4. Data yang Kami Proses

4.1 Saat Pendaftaran Akun

  • nama lengkap;
  • alamat email;
  • nomor telepon seluler (untuk verifikasi OTP);
  • kata sandi (disimpan dalam bentuk hash, tidak pernah dalam teks asli);
  • tanggal lahir (opsional, untuk fitur numerologi).

4.2 Data Pribadi Spesifik (Verifikasi KTP)

Untuk fitur tertentu (mis. menjadi reader atau penarikan saldo) kami meminta:

  • Nomor Induk Kependudukan (NIK);
  • Citra fisik KTP Anda.

Data ini tergolong Data Pribadi Spesifik dan kami memperlakukannya dengan perlindungan tambahan: akses dibatasi pada tim verifikasi yang berwenang, disimpan terenkripsi pada penyimpanan objek (Cloudflare R2), dan tidak dipergunakan untuk tujuan lain selain verifikasi identitas serta pemenuhan kewajiban hukum.

4.3 Data Pembayaran

Pembayaran diproses oleh penyedia Midtrans. Kami menerima dan menyimpan identifier transaksi, status, dan jumlah, tetapi tidak menyimpan nomor kartu kredit/debit atau kredensial dompet digital Anda.

4.4 Data Sesi Login & Keamanan

  • alamat IP saat pendaftaran dan saat login;
  • identitas peramban / perangkat (user agent);
  • token sesi (cookie autentikasi);
  • kode OTP (sementara, kedaluwarsa otomatis);
  • token Cloudflare Turnstile (verifikasi bot, tidak menyimpan IP setelah verifikasi).

4.5 Data Penggunaan Layanan

  • riwayat sesi konsultasi (reader yang dipilih, kategori, cerita yang Anda ketik);
  • riwayat transaksi kredit / poin;
  • komentar pada artikel;
  • preferensi UI (mis. reader/kategori terakhir).

4.6 Data yang Dikumpulkan Otomatis

  • cookie (lihat Kebijakan Cookie);
  • log akses server (URL, status, timestamp);
  • data perangkat dan resolusi layar untuk responsive UI.

5. Tujuan Pemrosesan & Dasar Hukum

Sesuai Pasal 20 ayat (2) UU PDP, setiap pemrosesan harus memiliki dasar hukum. Berikut peta tujuan dan dasar hukumnya:

TujuanDataDasar Hukum
Menyediakan akun dan otentikasi email, password, OTP, sesi Pelaksanaan kontrak (Pasal 20 ayat 2 huruf b)
Verifikasi identitas reader / penarikan saldo NIK, citra KTP Persetujuan eksplisit (Pasal 20 ayat 2 huruf a) + kewajiban hukum (huruf c)
Memproses pembayaran identifier transaksi Pelaksanaan kontrak (huruf b)
Mencegah penipuan & penyalahgunaan IP, user agent, log audit Kepentingan sah (Pasal 20 ayat 2 huruf f)
Mengirim notifikasi transaksional via email email, nama Pelaksanaan kontrak (huruf b)
Cookie analitik & iklan cookie, IP Persetujuan (huruf a) — lihat Kebijakan Cookie
Memenuhi kewajiban perpajakan & audit data transaksi & identitas Kewajiban hukum (huruf c)
Penyelenggaraan undian berhadiah (verifikasi peserta, pengumuman pemenang, transfer hadiah) nama, NIK, citra KTP, alamat, nomor rekening, citra wajah saat acara undian Persetujuan eksplisit (huruf a) + kewajiban hukum (huruf c) — UU No. 22/1954 jo. Permensos No. 14/2006

6. Pihak Ketiga & Pemroses Data

Untuk mendukung operasional layanan, kami menggunakan penyedia layanan pihak ketiga berikut. Pemrosesan data oleh masing-masing penyedia tunduk pada Terms of Service dan kebijakan privasi mereka — yang umumnya mencakup ketentuan perlindungan data setara DPA (Data Processing Addendum) yang dimaksud Pasal 51 UU PDP.

  • Hostingerweb hosting dan pengiriman email transaksional (SMTP); yurisdiksi: Lithuania (Uni Eropa). Kebijakan privasi.
  • Midtrans (PT Midtrans) — payment gateway; yurisdiksi: Indonesia. Kebijakan privasi.
  • Cloudflare (Turnstile, R2 storage) — proteksi bot dan penyimpanan berkas (citra KTP, foto reader); yurisdiksi: Amerika Serikat dengan kehadiran edge global. Kebijakan privasi.
  • Google AdSense — penayangan iklan; hanya aktif setelah Anda memberikan persetujuan kategori "Pemasaran" di banner cookie. Yurisdiksi: Amerika Serikat. Kebijakan privasi.
  • Anthropic — model AI untuk fitur Oracle/AI reading; yurisdiksi: Amerika Serikat. Kebijakan privasi.
  • PT Pegadaian (Persero) — Tring by Pegadaiankhusus pemenang undian berhadiah: pembukaan rekening untuk penerimaan hadiah dengan verifikasi e-KYC + face recognition. Data yang ditransfer: nama, NIK, citra KTP, citra wajah, dan informasi kontak — hanya setelah Peserta memenangkan undian dan memberikan persetujuan eksplisit. Yurisdiksi: Indonesia. Kebijakan privasi.

Kami tidak menjual data pribadi Anda kepada pihak ketiga. Kami terus mengupayakan perjanjian DPA tertulis dengan tiap penyedia yang memprosesnya secara berarti, sebagaimana dimaksud Pasal 51 UU PDP.

7. Transfer Data ke Luar Wilayah Indonesia

Sebagian Pemroses Data di atas berada di luar yurisdiksi Indonesia. Sesuai Pasal 56 UU PDP, transfer data ke luar negeri dilakukan dengan memastikan:

  • negara tujuan memiliki tingkat pelindungan setara atau lebih tinggi daripada UU PDP, atau
  • terdapat pelindungan yang memadai dan mengikat secara hukum (mis. Data Processing Agreement), atau
  • kami memperoleh persetujuan eksplisit dari Anda.

8. Penyimpanan & Retensi

  • Akun aktif — selama akun Anda masih aktif.
  • Akun yang dihapus — sebagian besar data identifikasi (nama, email, nomor telepon, foto profil, tanggal lahir, log IP) di-anonimkan / dihapus segera saat permintaan penghapusan diajukan. Catatan transaksi tetap disimpan untuk kewajiban perpajakan (sampai 10 tahun, UU KUP Pasal 28).
  • Citra KTP & NIK — disimpan selama hubungan kontraktual berlangsung. Setelah permintaan penghapusan akun: di-retain selama 1 tahun untuk keperluan penyelesaian sengketa, chargeback, dan investigasi anti-fraud, kemudian dihapus permanen secara otomatis oleh sistem (cron harian).
  • Log keamanan & audit — 12 bulan untuk kepentingan forensik, kemudian dihapus atau di-agregasi.
  • Catatan persetujuan cookie — disimpan sebagai bukti kepatuhan selama 3 tahun setelah persetujuan diberikan atau ditarik.

9. Keamanan

Sesuai Pasal 35 UU PDP, kami menerapkan langkah teknis dan organisatoris yang wajar:

  • HTTPS dengan HSTS untuk seluruh trafik;
  • Content-Security-Policy ketat untuk mencegah XSS;
  • kata sandi disimpan sebagai hash;
  • OTP, sesi, dan token reset kedaluwarsa otomatis;
  • Cloudflare Turnstile pada formulir publik untuk mitigasi bot;
  • rate limiting dan log audit untuk percobaan login;
  • akses ke data spesifik (NIK, KTP) dibatasi peran (RBAC);
  • backup terenkripsi dan rotasi kredensial berkala.

10. Hak Anda sebagai Subjek Data

Sesuai Pasal 5 sampai 13 UU PDP, Anda berhak untuk:

  1. Memperoleh informasi mengenai identitas pengendali, tujuan, kategori data, jangka waktu retensi, hak Anda, dan dasar hukum (Pasal 5);
  2. Melengkapi, memperbarui, dan memperbaiki data pribadi (Pasal 6);
  3. Mengakses dan memperoleh salinan data pribadi (Pasal 7);
  4. Mengakhiri pemrosesan, menghapus, dan memusnahkan data pribadi (Pasal 8);
  5. Menarik kembali persetujuan (Pasal 9);
  6. Mengajukan keberatan terhadap pengambilan keputusan otomatis termasuk profiling (Pasal 10);
  7. Menunda atau membatasi pemrosesan (Pasal 11);
  8. Menggugat dan menerima ganti rugi atas pelanggaran (Pasal 12);
  9. Memperoleh dan menggunakan data dalam format interoperabel (portabilitas data, Pasal 13).

Permintaan dapat diajukan melalui email DPO (lihat bagian Kontak DPO). Kami akan menanggapi paling lambat 3 × 24 jam sesuai Pasal 30 UU PDP.

11. Pemrosesan Data Anak

Layanan ini ditujukan untuk pengguna berusia 18 tahun ke atas. Sesuai Pasal 25 UU PDP, pemrosesan data anak (di bawah 18 tahun) mensyaratkan persetujuan orang tua / wali. Bila Anda mengetahui kami menyimpan data anak tanpa persetujuan tersebut, mohon hubungi DPO segera agar kami dapat menghapusnya.

13. Notifikasi Pelanggaran Data

Apabila terjadi kegagalan pelindungan data pribadi, kami akan memberitahukan Anda dan Lembaga PDP paling lambat 3 × 24 jam sejak pelanggaran diketahui, sesuai Pasal 46 UU PDP. Notifikasi berisi data yang terdampak, kapan dan bagaimana hal itu terjadi, serta upaya penanganan yang kami lakukan.

14. Perubahan Kebijakan

Bila terjadi perubahan material atas kebijakan ini, kami akan memperbarui versi dan tanggal di bagian atas, serta menampilkan pemberitahuan pada saat Anda masuk berikutnya. Untuk perubahan yang berdampak pada dasar hukum persetujuan, kami akan meminta persetujuan baru.

15. Kontak DPO (Petugas Pelindungan Data Pribadi)

Untuk seluruh pertanyaan, permintaan hak subjek data, atau aduan, silakan hubungi DPO kami:

  • Email: [email protected]
  • Alamat surat: Ngawen, Desa/Kelurahan Trihanggo, Kec. Gamping, Kab. Sleman, Provinsi Daerah Istimewa Yogyakarta, Kode Pos 55291

Apabila Anda merasa tidak puas dengan tanggapan kami, Anda berhak mengajukan pengaduan kepada Lembaga Pelindungan Data Pribadi sesuai Pasal 58 UU PDP.