Kebijakan Privasi

Sesuai Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP), pihak yang bertindak sebagai Pengendali Data Pribadi adalah:

BrainUp memproses data pribadi berdasarkan satu atau lebih dasar hukum berikut sebagaimana diatur dalam Pasal 20 UU PDP:

Sesuai Pasal 16 ayat 1 huruf b UU PDP, data pribadimu diproses hanya untuk tujuan-tujuan berikut:

• Menyediakan akses ke layanan platform dan mengelola akunmu
• Mempersonalisasi pengalaman belajar dan menghasilkan analitik kelemahan per topik
• Memproses transaksi pemayaran dan mengelola langganan premium
• Mengirimkan notifikasi layanan penting yang tidak dapat dinonaktifkan (misalnya konfirmasi pembayaran)
• Mengirimkan komunikasi pemasaran — hanya jika kamu memilih untuk menerimanya
• Mendeteksi, mencegah, dan menangani aktivitas penipuan atau pelanggaran syarat layanan
• Memenuhi kewajiban hukum, perpajakan, dan pelaporan kepada pejabat berwenang
• Meningkatkan kualitas platform berdasarkan pola penggunaan secara agregat dan anonim

BrainUp tidak menjual, menyewakan, atau memperdagangkan data pribadimu kepada pihak ketiga mana pun. Data hanya diungkapkan kepada:

• Midtrans (Tokopedia Group): pemroses pembayaran yang telah tersertifikasi PCI DSS
• Penyedia layanan cloud (server Indonesia): penyimpanan dan operasional infrastruktur
• Layanan analitik anonim: data diagregasi dan dianonimkan sebelum diproses
• Kreator konten: hanya data non-identifikatif seperti jumlah pembelian paket
• Auditor atau konsultan hukum: terikat perjanjian kerahasiaan yang ketat
• Instansi pemerintah atau aparat penegak hukum: bila diwajibkan oleh hukum yang berlaku

Sesuai Pasal 35 UU PDP, BrainUp menerapkan langkah-langkah teknis dan organisasional yang tepat untuk melindungi data pribadimu:

• Enkripsi data saat transit menggunakan HTTPS/TLS 1.2+ di seluruh layanan
• Kata sandi disimpan menggunakan algoritma bcrypt — tidak pernah dalam bentuk teks biasa
• Autentikasi berbasis JWT dengan masa berlaku sesi terbatas
• Akses data internal dibatasi berdasarkan prinsip hak akses minimum (least privilege)
• Pemantauan anomali dan percobaan akses tidak sah secara berkelanjutan
• Pengujian keamanan dan audit secara berkala

Sesuai Pasal 46 UU PDP, apabila terjadi pelanggaran keamanan data pribadi yang berdampak signifikan terhadap hak dan kepentingan Subjek Data Pribadi, BrainUp wajib:

• Memberitahukan pelanggaran kepada Lembaga Perlindungan Data Pribadi (LPDP) paling lambat 14 hari kerja sejak diketahui
• Memberitahukan secara langsung kepada pengguna yang terdampak selambat-lambatnya 14 hari kerja
• Notifikasi mencakup: jenis data yang terdampak, estimasi jumlah pengguna terdampak, langkah mitigasi, dan kontak untuk pertanyaan
• Menjalankan langkah pemulihan dan pencegahan berulang secara segera

Sesuai Pasal 37 UU PDP, BrainUp menyimpan data pribadi hanya selama diperlukan untuk tujuan pemrosesannya atau selama diwajibkan oleh peraturan perundang-undangan:

• Data akun aktif: disimpan selama akun aktif digunakan
• Riwayat latihan dan analitik: disimpan maksimal 3 tahun untuk kepentingan analitik personal
• Data transaksi dan pembayaran: disimpan 10 tahun sesuai kewajiban perpajakan (UU KUP)
• Log keamanan dan akses: disimpan 1 tahun untuk keperluan audit
• Data akun yang dihapus: dihapus secara permanen dan tak dapat dipulihkan dalam 30 hari kalender setelah permintaan penghapusan dikonfirmasi
• Data anonim hasil analitik agregat: dapat disimpan tanpa batas waktu karena tidak dapat diatribusikan ke individu

Sesuai Pasal 22–34 UU PDP, kamu selaku Subjek Data Pribadi memiliki hak-hak berikut:

• Hak Mengakses: mendapatkan salinan data pribadi yang kami simpan tentang kamu
• Hak Memperbarui & Mengoreksi: meminta perbaikan data yang tidak akurat atau tidak lengkap
• Hak Menghapus: meminta penghapusan data pribadi jika pemrosesan tidak lagi diperlukan atau persetujuan ditarik
• Hak Membatasi Pemrosesan: meminta pembatasan pemrosesan data dalam situasi tertentu
• Hak Portabilitas Data: menerima data dalam format terstruktur dan mesin-terbaca untuk dipindahkan ke pihak lain
• Hak Keberatan: menolak pemrosesan data untuk tujuan pemasaran langsung atau profiling
• Hak Menarik Persetujuan: mencabut persetujuan kapan saja tanpa mengurangi keabsahan pemrosesan sebelumnya
• Hak Mengajukan Pengaduan: melaporkan dugaan pelanggaran kepada LPDP atau Kementerian Komunikasi

Sesuai Pasal 25 ayat 2 UU PDP, pemrosesan data pribadi anak yang belum berusia 17 tahun atau belum menikah wajib mendapatkan persetujuan dari orang tua atau wali yang sah.

BrainUp menyediakan konten latihan soal yang sesuai untuk pelajar semua usia. Untuk pengguna di bawah usia 17 tahun, platform memerlukan:

• Persetujuan orang tua atau wali yang dapat diverifikasi saat proses registrasi
• Akun pelajar yang terhubung dengan akun orang tua atau wali (fitur Guardian Account)
• Pembatasan fitur tertentu yang tidak relevan atau tidak sesuai untuk anak di bawah umur

Sesuai Pasal 55–56 UU PDP, apabila data pribadimu perlu ditransfer ke luar wilayah Republik Indonesia, BrainUp memastikan bahwa:

• Negara tujuan memiliki tingkat perlindungan data pribadi yang setara atau lebih tinggi dari Indonesia
• Transfer dilakukan berdasarkan perjanjian bilateral, klausul kontrak standar, atau mekanisme lain yang diakui LPDP
• Pengguna diberitahukan sebelum transfer dilakukan, kecuali jika diwajibkan oleh hukum

BrainUp dapat memperbarui Kebijakan Privasi ini sewaktu-waktu untuk mencerminkan perubahan layanan, teknologi, atau peraturan yang berlaku.

Perubahan material — yaitu perubahan yang secara signifikan memengaruhi cara kami menggunakan atau membagikan datamu — akan diberitahukan melalui:

• Email ke alamat yang terdaftar di akunmu
• Banner pemberitahuan di dalam platform
• Pembaruan tanggal 'Terakhir diperbarui' di bagian atas halaman ini

Untuk pertanyaan, permintaan terkait hak-hak subjek data, atau laporan dugaan pelanggaran, hubungi Petugas Pelindungan Data Pribadi (P3D) BrainUp melalui: