Kebijakan Privasi

INTEK CENTER SASU, terdaftar di 369Q Avenue de Verdun, 33700 Mérignac, Prancis (RCS Bordeaux 844 849 174, PPN intra-komunitas FR02844849174), bertindak sebagai Pengontrol Data dalam arti Regulasi (EU) 2016/679 ("GDPR") dan Undang-Undang Prancis No. 78-17 tanggal 6 Januari 1978 ("Loi Informatique et Libertés").

Kontak perlindungan data: formulir dukungan dalam aplikasi.

Meskipun Perusahaan tidak diwajibkan secara hukum untuk menunjuk Petugas Perlindungan Data (Pasal 37 GDPR), kontak di atas berfungsi sebagai titik kontak yang ditunjuk untuk semua masalah perlindungan data dan akan menangani semua permintaan dengan kecermatan yang sama seperti DPO resmi.

2.1. Data Layanan

2.2. Data Akun (opsional)

Pembuatan akun bersifat opsional. Layanan penghapusan kata sandi pemilik gratis tidak memerlukan akun atau email.

2.3. Data Pembayaran

Perusahaan tidak menyimpan nomor kartu kredit. Semua data pembayaran diproses secara eksklusif oleh Stripe di lingkungan yang sesuai PCI-DSS.

2.4. Data Teknis

2.5. Data Analitik (memerlukan persetujuan)

Data analitik dikumpulkan melalui Google Analytics 4 (GA4) hanya setelah persetujuan eksplisit melalui spanduk persetujuan cookie.

Pengambilan keputusan otomatis dan pembuatan profil (Art. 22 GDPR): Layanan tidak terlibat dalam pengambilan keputusan otomatis atau pembuatan profil apa pun yang menghasilkan efek hukum atau mempengaruhi Anda secara signifikan serupa.

Kami menggunakan data Anda secara eksklusif untuk:

• Menyediakan, mengoperasikan, dan meningkatkan Layanan (pemulihan kata sandi, pembukaan kunci PDF).
• Mengekstrak hanya hash enkripsi dari PDF yang diunggah — kami tidak pernah membaca, mengindeks, atau menyimpan isi sebenarnya dari dokumen Anda.
• Memproses pembayaran, menghasilkan faktur, dan menangani pengembalian dana melalui Stripe.
• Berkomunikasi dengan Anda (notifikasi penyelesaian pekerjaan, konfirmasi pembelian, balasan dukungan).
• Mendeteksi dan mencegah penipuan, penyalahgunaan, dan akses tidak sah (pembatasan kecepatan, verifikasi webhook).
• Mematuhi kewajiban hukum (akuntansi, pajak, permintaan penegakan hukum).
• Menganalisis pola penggunaan dengan data yang dianonimkan (hanya dengan persetujuan).

Kami tidak pernah menjual, menyewakan, atau memperdagangkan data pribadi Anda.

Data Anda dapat dibagikan dengan penyedia layanan berikut, khusus untuk tujuan yang dijelaskan di atas:

Kami hanya bekerja dengan sub-prosesor yang memberikan perlindungan memadai di bawah GDPR. Data Anda tidak pernah dibagikan dengan pengiklan, pialang data, atau pihak ketiga lainnya.

Penyimpanan data utama berada di dalam Uni Eropa (Google Cloud, Belgia, europe-west1). Beberapa sub-prosesor berbasis di Amerika Serikat. Transfer ini diamankan oleh:

• Keputusan kecukupan Kerangka Privasi Data EU-AS (DPF) oleh Komisi Eropa (10 Juli 2023), yang diadopsi dan disertifikasi oleh sub-prosesor AS kami.
• Di mana DPF tidak berlaku, Klausul Kontraktual Standar (SCC) yang diadopsi oleh Komisi Eropa (Keputusan 2021/914), dilengkapi dengan langkah-langkah teknis dan organisasi yang tepat (enkripsi dalam transit dan saat istirahat, kontrol akses, pseudonimisasi).

Di bawah GDPR dan hukum Prancis, Anda memiliki hak-hak berikut:

• Akses (Art. 15 GDPR): Mendapatkan salinan semua data yang kami miliki tentang Anda.
• Rektifikasi (Art. 16): Memperbaiki data yang tidak akurat atau tidak lengkap.
• Penghapusan (Art. 17): Meminta penghapusan (tunduk pada kewajiban retensi hukum).
• Pembatasan (Art. 18): Meminta pembatasan pemrosesan.
• Portabilitas (Art. 20): Menerima data Anda dalam format terstruktur yang dapat dibaca mesin.
• Keberatan (Art. 21): Keberatan terhadap pemrosesan berdasarkan kepentingan sah.
• Mencabut persetujuan (Art. 7): Mencabut persetujuan analitik/pemasaran kapan saja melalui "Kelola cookie" di footer.
• Direktif pasca-mortem (hukum Prancis): Menentukan arahan mengenai nasib data Anda setelah kematian.

Untuk menggunakan hak Anda, hubungi formulir dukungan dalam aplikasi. Kami akan merespons dalam 30 hari (dapat diperpanjang hingga 60 hari untuk permintaan yang kompleks, dengan pemberitahuan).

Anda berhak mengajukan keluhan kepada otoritas pengawas. Di Prancis: Commission Nationale de l'Informatique et des Libertés (CNIL) — cnil.fr.

Kami menerapkan langkah-langkah teknis dan organisasi standar industri:

• Semua komunikasi dienkripsi melalui TLS 1.2+ (HTTPS diberlakukan oleh Firebase Hosting).
• Kata sandi pengguna di-hash — kami tidak pernah menyimpan kata sandi autentikasi teks biasa.
• Akses database dikontrol oleh aturan keamanan Firestore yang ketat (prinsip hak istimewa minimum).
• Berkas PDF disimpan di Firebase Storage dengan TTL penghapusan otomatis (24 jam).
• Tanda tangan webhook (Stripe) diverifikasi secara kriptografis untuk mencegah pemalsuan.
• Pembatasan kecepatan pada semua endpoint API untuk mencegah brute force dan penyalahgunaan (5 unggahan/jam per IP, maksimal 3 pekerjaan bersamaan).
• Kata sandi PDF yang dipulihkan disimpan terenkripsi, dihapus otomatis setelah 7 hari.
• Tinjauan keamanan dan pembaruan dependensi secara rutin.

Dalam hal terjadi pelanggaran data yang kemungkinan mengakibatkan risiko bagi hak dan kebebasan Anda, kami akan memberi tahu CNIL dalam waktu 72 jam (Art. 33 GDPR) dan menginformasikan pengguna yang terdampak tanpa penundaan yang tidak semestinya (Art. 34 GDPR).

9.1. Sangat Diperlukan (tidak memerlukan persetujuan)

• Sesi autentikasi — Mempertahankan status masuk (localStorage).
• Preferensi UI — Tema (terang/gelap) dan bahasa (kunci localStorage: pdfunlock-theme, pdfunlock-locale).
• Pilihan persetujuan — Mencatat keputusan persetujuan cookie Anda.

9.2. Analitik (memerlukan persetujuan)

• Google Analytics 4 — Cookie: _ga, _ga_*. Durasi: hingga 14 bulan. Tujuan: memahami pola penggunaan situs web. Hanya diaktifkan setelah persetujuan eksplisit.

9.3. Pemasaran (memerlukan persetujuan)

• Google Ads — Cookie: _gcl_*. Tujuan: mengukur efektivitas kampanye iklan melalui hubungan GA4.
• Microsoft Advertising (Bing UET) — Cookie: _uetmsclkid, _uetvid. Tujuan: pelacakan konversi.

Kami menerapkan Google Consent Mode v2. Semua pelacak analitik dan pemasaran diblokir secara default (analytics_storage: denied, ad_storage: denied, ad_user_data: denied, ad_personalization: denied) dan hanya diaktifkan setelah persetujuan eksplisit dan afirmatif Anda melalui spanduk cookie.

Anda dapat mengubah pilihan Anda kapan saja dengan mengklik "Kelola cookie" di footer situs web.

Event sisi server (purchase, refund) dikirim melalui GA4 Measurement Protocol dari backend kami (webhook Stripe) dan tidak tunduk pada persetujuan cookie, karena tidak melibatkan pelacakan sisi klien atau pengumpulan data pribadi di luar transaksi itu sendiri.

Layanan ini tidak ditujukan untuk anak-anak di bawah usia 16 tahun. Kami tidak secara sengaja mengumpulkan data pribadi dari anak-anak. Jika kami mengetahui bahwa kami telah mengumpulkan data dari anak di bawah 16 tahun tanpa persetujuan orang tua, kami akan segera menghapusnya. Jika Anda yakin hal ini telah terjadi, silakan hubungi kami di formulir dukungan dalam aplikasi.

Kami dapat memperbarui Kebijakan Privasi ini dari waktu ke waktu untuk mencerminkan perubahan dalam praktik, teknologi, persyaratan hukum, atau faktor lainnya. Perubahan akan diposting di halaman ini dengan tanggal "Terakhir diperbarui" yang diperbarui.

Untuk perubahan material yang mempengaruhi hak Anda, kami akan memberi tahu pengguna terdaftar melalui email setidaknya 15 hari sebelum perubahan berlaku.