Kebijakan Privasi

1. Definisi Ringkas

Data Pribadi:

Informasi yang dapat atau dapat dikaitkan dengan individu tertentu.

Pelanggan:

Klinik kecantikan/bisnis yang membuat akun Bagus Technologies untuk menggunakan platform AI customer service dan booking management.

Pengguna Akhir:

Pelanggan/calon pelanggan klinik yang berinteraksi dengan AI melalui WhatsApp atau platform lain (mis. chat, booking, konsultasi).

Integrasi Pihak Ketiga:

Layanan non-Bagus Technologies yang terhubung (mis. WhatsApp/WAHA, Google Calendar, payment gateway, dsb.).

Data Integrasi:

Token, kredensial, metadata, payload, dan log yang diperlukan untuk menghubungkan dan menjalankan Integrasi Pihak Ketiga.

Input/Output AI:

Percakapan, prompt, gambar konsultasi, hasil analisis AI, lead scoring, dan respons otomatis yang dihasilkan sistem.

2. Cakupan & Peran Kami

• Untuk sebagian fungsi, Bagus Technologies bertindak sebagai Pengendali Data (data controller) — contohnya data akun klinik, penagihan, analitik platform.
• Saat memproses data percakapan pelanggan akhir atas instruksi Pelanggan (klinik), Bagus Technologies bertindak sebagai Pemroses Data (data processor).
• Dalam konteks ini, Pelanggan (klinik) adalah pengendali data dan bertanggung jawab atas pemberitahuan dan dasar hukum kepada Pengguna Akhir mereka.

3. Data yang Kami Kumpulkan

3.1 Data yang Anda berikan kepada kami

• Identitas & kontak: nama, email, nomor telepon, nama klinik/organisasi.
• Kredensial akun: kata sandi (di-hash), preferensi, peran/izin pengguna.
• Data klinik: informasi layanan/produk, jadwal dokter, harga treatment, FAQ, alamat klinik.
• Penagihan: alamat penagihan, NPWP (jika ada), transaksi (diproses via penyedia pembayaran).
• Komunikasi: tiket support, korespondensi email/WhatsApp.

3.2 Data yang dikumpulkan secara otomatis

• Data perangkat & log: alamat IP, user agent, ID perangkat, jenis browser/OS, timestamp, halaman/endpoint yang diakses, waktu respons, event error/crash.
• Telemetri produk: klik, penggunaan fitur, metrik performa (di-aggregasi/pseudonim saat memungkinkan).
• Cookie & teknologi serupa: lihat Bagian 10.

3.3 Data Integrasi Pihak Ketiga

Berdasarkan izin Anda:

• Token & refresh token untuk akses API WhatsApp/WAHA, Google Calendar (disimpan terenkripsi; prinsip least privilege).
• Metadata integrasi (ID akun eksternal, konfigurasi konektor, webhook).
• Payload data yang diperlukan untuk menjalankan layanan (mis. data booking, pesan WhatsApp, status pengiriman, event calendar).

3.4 Data Percakapan & AI

• Percakapan antara Pengguna Akhir dan AI (pesan teks, gambar konsultasi kulit, voice note).
• Data lead: nama, nomor WhatsApp, keluhan/kebutuhan, lead score, riwayat interaksi.
• Data booking: nama pelanggan, treatment yang dipilih, tanggal/waktu, catatan konsultasi.
• Output AI: respons otomatis, rekomendasi treatment, analisis sentimen, lead scoring.

4. Tujuan Pemrosesan & Dasar Hukum

Tujuan

• Menyediakan dan mengoperasikan Layanan (autentikasi, AI chat, booking management, lead management, integrasi).
• Keamanan & pencegahan penyalahgunaan (deteksi penipuan, spam, rate limiting, audit).
• Peningkatan produk & analitik (diagnostik, feedback UX, pengujian fitur AI) — dianonimkan/pseudonim saat memungkinkan.
• Dukungan pelanggan & komunikasi operasional.
• Penagihan & akuntansi.
• Kepatuhan hukum & penegakan Ketentuan Layanan.

Dasar hukum

(Bergantung yurisdiksi): pelaksanaan kontrak, kepentingan sah, persetujuan, kewajiban hukum.

5. Integrasi Google & Kepatuhan "Limited Use"

Jika Anda menghubungkan akun Google (mis. Calendar), kami mengikuti Google API Services User Data Policy, termasuk persyaratan Limited Use:

• Kami menggunakan data Google hanya untuk menyediakan/meningkatkan fitur yang Anda minta; tidak untuk iklan atau penjualan data.
• Akses manusia dilarang kecuali: (i) dengan persetujuan tegas Anda; (ii) jika diperlukan untuk keamanan, penyalahgunaan, kepatuhan hukum; atau (iii) jika data telah dianonimkan secara agregat.
• Transfer data ke pihak ketiga dilarang kecuali diperlukan untuk menyediakan Layanan (subprosesor), atas instruksi Anda, atau diwajibkan hukum — dan selalu tunduk pada kewajiban kerahasiaan setara.
• Cakupan minimal ("least privilege"): kami meminta scope paling rendah yang memungkinkan fitur berjalan dan hanya mengakses data yang Anda pilih.

6. Berbagi Data

Kami dapat membagikan data dengan:

• Subprosesor yang membantu pengoperasian (hosting, basis data, analitik, email/SMS, observabilitas). Semua terikat kewajiban kerahasiaan dan keamanan.
• Pihak ketiga yang Anda hubungkan (Integrasi Pihak Ketiga seperti WhatsApp, Google Calendar) — berbagi hanya sesuai instruksi Anda.
• Penegak hukum/otoritas jika diwajibkan oleh hukum yang berlaku atau untuk melindungi hak/keselamatan kami/pengguna.
• Transaksi korporasi (merger/akuisisi) — tunduk pada pemberitahuan dan perlindungan setara.

7. Keamanan Informasi

Kami menerapkan kontrol yang wajar secara komersial, termasuk namun tidak terbatas pada:

• Enkripsi in transit (TLS) dan at rest pada penyimpanan utama.
• Isolasi lingkungan, RBAC/"least privilege", dan rotasi kredensial.
• Penyimpanan token OAuth di vault terenkripsi.
• Audit log akses/administratif dan deteksi anomali.
• Penilaian kerentanan dan patching rutin.
• Prosedur tanggap insiden & uji pemulihan.

Tidak ada metode transmisi/penyimpanan yang sepenuhnya aman. Kami berupaya maksimal, namun risiko residual tetap ada.

8. Retensi & Penghapusan Data

9. Hak Anda

Bergantung yurisdiksi (termasuk UU PDP Indonesia dan, jika berlaku, GDPR/CCPA), Anda berhak untuk:

• Akses data pribadi Anda
• Perbaikan data yang tidak akurat
• Penghapusan (right to be forgotten) dalam kondisi tertentu
• Pembatasan atau keberatan atas pemrosesan
• Portabilitas data dalam format terstruktur
• Menarik persetujuan kapan saja (tanpa memengaruhi keabsahan sebelumnya)
• Mengajukan keluhan ke otoritas terkait

Permintaan dapat diajukan melalui admin@scalin.id. Kami akan merespons dalam jangka waktu yang diwajibkan hukum (umumnya ≤30 hari).

10. Cookie & Teknologi Pelacakan

Kami menggunakan:

• Cookie esensial: untuk login, keamanan, dan fungsi inti (wajib).
• Cookie fungsional: preferensi & pengalaman pengguna.
• Analitik: memahami penggunaan fitur (di-aggregasi; IP dipersingkat bila memungkinkan).

11. Transfer Internasional

Infrastruktur kami dan subprosesor dapat berada di luar negara Anda (mis. Asia Tenggara/UE/AS). Kami menerapkan mekanisme perlindungan yang sesuai untuk memastikan tingkat perlindungan setara dengan hukum yang berlaku.

12. Perubahan Kebijakan

Kami dapat memperbarui Kebijakan ini dari waktu ke waktu. Perubahan material akan diberitahukan melalui Layanan/email. Tanggal "Terakhir diperbarui" di atas mencerminkan versi terbaru.

13. Kontak Kami

14. Landasan Hukum Setempat

Kami mematuhi Undang-Undang No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) dan peraturan turunannya. Jika Anda berada di wilayah lain (mis. Uni Eropa/Inggris/California), kami akan menerapkan prinsip serupa yang diwajibkan di yurisdiksi tersebut.