1. Pendahuluan
Delta Attendance (sebelumnya "HADIR Attendance") ("Aplikasi", "Layanan") adalah aplikasi absensi karyawan berbasis SaaS multi-tenant yang dikembangkan dan dioperasikan oleh ALURWEB Digital Solutions ("ALURWEB", "kami") untuk perusahaan-perusahaan pelanggan di Indonesia.
Setiap perusahaan yang berlangganan Delta Attendance ("Customer Organization" atau "Perusahaan Pelanggan") memiliki tenant data tersendiri yang terisolasi melalui Row-Level Security. Kebijakan Privasi ini menjelaskan bagaimana data pribadi karyawan Customer Organization dikumpulkan, digunakan, disimpan, dibagikan, dan dilindungi saat menggunakan Aplikasi.
Peran Pemrosesan Data:
- Pengendali Data (Data Controller): masing-masing Customer Organization (perusahaan pelanggan) — pemilik dan penentu tujuan pemrosesan data karyawannya sendiri.
- Pemroses Data (Data Processor): ALURWEB Digital Solutions — penyedia teknis yang memproses data atas instruksi masing-masing Customer Organization berdasarkan Perjanjian Pemrosesan Data (Data Processing Agreement).
Aplikasi ini ditujukan untuk karyawan perusahaan-perusahaan yang berlangganan Delta Attendance. Karyawan dibuatkan akun oleh administrator HR perusahaan masing-masing — bukan pendaftaran mandiri.
2. Dasar Hukum
Pemrosesan data pribadi dalam Aplikasi tunduk pada:
- Undang-Undang Republik Indonesia Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP).
- Peraturan Pemerintah Pelaksana UU PDP yang berlaku.
- Kebijakan internal masing-masing Customer Organization terkait kepegawaian dan keabsahan jam kerja.
- Apple App Store, Google Play Data Safety, dan Developer Program Policies yang berlaku.
Dasar hukum pemrosesan: (a) Pelaksanaan kontrak kerja antara karyawan dan Customer Organization, dan (b) Kepentingan sah Customer Organization dalam administrasi kepegawaian.
3. Data yang Dikumpulkan
3.1 Data Identitas Karyawan
- Nama lengkap
- ID Karyawan / NIK Karyawan
- Email perusahaan
- Nomor telepon (opsional)
- Jabatan, departemen, shift kerja
- Foto profil
3.2 Data Lokasi (Sensitif)
- Koordinat GPS (latitude, longitude) saat check-in dan check-out.
- Akurasi lokasi (radius meter).
- Hasil verifikasi geofence: di dalam atau di luar area kerja.
- Lokasi hanya diambil saat aksi absensi (scan QR check-in/check-out) dan saat admin menyetel titik cabang — diambil di foreground ketika pengguna sedang membuka aplikasi.
- Aplikasi tidak melacak posisi karyawan di latar belakang (background) maupun secara terus-menerus 24/7. Tidak ada pemantauan geofence berkelanjutan atau auto check-out otomatis.
3.3 Data Absensi
- Tanggal & waktu check-in / check-out
- Status absensi: hadir, terlambat, izin, sakit, cuti
- Permohonan izin/cuti dan persetujuan/penolakan
- Hasil scan QR code cabang (untuk verifikasi kehadiran)
- Catatan administratif
3.4 Data Perangkat
- Model & versi sistem operasi (Android / iOS)
- Identifier perangkat (device ID) untuk mencegah login ganda
- Versi aplikasi
- Token notifikasi push (Firebase Cloud Messaging)
- Log error & crash (anonim, tanpa data pribadi)
3.5 Data Login
- Email & password (password disimpan dalam bentuk hash, tidak pernah dalam teks asli)
- Token sesi (session token) berbasis JWT
- Riwayat login & logout
3.6 Data Foto / Lampiran Dokumen Medis
Ketika karyawan mengajukan permohonan izin sakit ("Sakit"), Aplikasi opsional memungkinkan — dan wajib untuk jenis izin Sakit — pengunggahan foto surat keterangan dokter (surat izin sakit) sebagai bukti pendukung.
- Sumber data: Foto diambil dari kamera perangkat atau dipilih dari galeri foto.
- Konten: Gambar surat keterangan dokter / bukti medis yang diserahkan karyawan.
- Penyimpanan: Diunggah ke bucket penyimpanan privat
leave-attachmentsdi Supabase Inc. (server: Australia/Sydney, region ap-southeast-2 — lihat §12). - Pengendalian akses: Dilindungi dengan Row-Level Security (RLS) — hanya karyawan yang bersangkutan dan administrator/atasan yang berwenang yang dapat mengakses file tersebut.
- Retensi: Disimpan selama masa aktif catatan permohonan izin tersebut. Apabila catatan izin dihapus dari sistem, lampiran foto turut dihapus secara permanen.
- Tujuan: Semata-mata untuk proses verifikasi dan persetujuan izin sakit oleh HR / atasan. Tidak digunakan untuk tujuan lain apa pun.
- Tidak ada pemrosesan biometrik: Foto tidak dianalisis secara otomatis; tidak ada pengenalan wajah atau ekstraksi biometrik.
Pengumpulan foto ini merupakan data yang disediakan secara sukarela oleh karyawan sebagai bagian dari proses pengajuan izin sakit.
4. Cara Pengumpulan Data
Data dikumpulkan melalui:
- Input langsung karyawan saat registrasi awal & login.
- Sensor perangkat — kamera (scan QR code cabang untuk absensi; pengambilan foto bukti izin sakit), GPS (lokasi), saat karyawan melakukan aksi di foreground.
- Galeri foto / kamera — foto surat keterangan dokter yang dipilih atau difoto oleh karyawan saat mengajukan permohonan izin Sakit (lihat §3.6).
- Sistem otomatis — log waktu, device info, notification token, crash report.
- Administrator HR Customer Organization yang mendaftarkan data karyawan ke sistem.
5. Tujuan Penggunaan Data
Data digunakan eksklusif untuk:
| Tujuan | Data yang Digunakan |
|---|---|
| Verifikasi absensi via QR | Hasil scan QR code + waktu; identitas dikonfirmasi via JWT login |
| Validasi kehadiran di lokasi kerja | Koordinat GPS, geofence |
| Pencatatan jam kerja & laporan administrasi | Data absensi, identitas karyawan |
| Verifikasi & persetujuan permohonan izin sakit | Foto surat keterangan dokter (lampiran izin Sakit) |
| Notifikasi pengingat shift, persetujuan izin | Token notifikasi, jadwal shift |
| Audit & laporan ke manajemen Customer Organization | Seluruh data absensi |
| Keamanan akun & pencegahan akses tidak sah | Data login, device ID |
| Perbaikan & pemeliharaan aplikasi | Crash report anonim |
Data TIDAK digunakan untuk:
- Iklan komersial atau profiling marketing.
- Dijual ke pihak ketiga.
- Pelacakan lokasi di luar jam kerja atau tanpa aksi absensi.
- Tujuan apa pun di luar administrasi kepegawaian Customer Organization yang berlangganan layanan.
6. Pembagian Data ke Pihak Ketiga
Data karyawan hanya dibagikan kepada:
6.1 Customer Organization (Pengendali Data)
Sebagai Pengendali Data, masing-masing Customer Organization dapat mengakses seluruh data karyawan dalam tenant-nya sendiri melalui dashboard administrator. Row-Level Security mencegah Customer Organization mana pun melihat data karyawan Customer Organization lain.
6.2 Penyedia Infrastruktur Teknis (Sub-processor)
Untuk pengoperasian Aplikasi, data diproses pada layanan cloud berikut, yang terikat kontrak perlindungan data:
- Supabase Inc. — basis data, autentikasi, & penyimpanan file (server: Australia/Sydney, region ap-southeast-2).
- Google LLC (Firebase Cloud Messaging) — pengiriman notifikasi push.
- Google LLC (Google Play Services) — distribusi aplikasi.
6.3 Pengecualian Hukum
Data dapat diungkapkan jika diwajibkan oleh:
- Putusan pengadilan atau perintah resmi otoritas berwenang Republik Indonesia.
- Penegakan hukum sesuai prosedur UU PDP.
Data TIDAK dibagikan kepada pihak ketiga lain untuk tujuan komersial, iklan, atau analitik di luar yang disebutkan di atas.
7. Retensi Data
| Jenis Data | Periode Retensi |
|---|---|
| Data identitas karyawan aktif | Selama karyawan masih bekerja di Customer Organization terkait |
| Data identitas karyawan resign | Maksimum 5 tahun setelah resign (untuk kepentingan audit pajak & ketenagakerjaan) |
| Riwayat absensi | 5 tahun (sesuai retensi dokumen ketenagakerjaan) |
| Foto lampiran dokumen medis (surat keterangan dokter) | Selama catatan permohonan izin terkait masih aktif; dihapus permanen bersama catatan izin |
| Log lokasi GPS | 1 tahun |
| Log error / crash anonim | 30 hari |
| Token sesi | Hingga logout atau 30 hari tidak aktif |
Setelah masa retensi berakhir, data dihapus permanen dari database produksi dan backup, kecuali diwajibkan disimpan lebih lama oleh hukum.
8. Keamanan Data
ALURWEB menerapkan langkah-langkah keamanan teknis dan organisatoris:
Teknis
- Enkripsi data dalam transit: TLS 1.2+ (HTTPS) untuk semua koneksi.
- Enkripsi data saat istirahat: AES-256 pada penyimpanan database Supabase.
- Row-Level Security (RLS): karyawan hanya bisa mengakses data miliknya sendiri; administrator hanya data dalam lingkup organisasinya.
- Autentikasi multi-faktor tersedia opsional untuk akun administrator.
- Hashing password: algoritma bcrypt (cost factor ≥10).
- Token sesi berbasis JWT dengan masa berlaku terbatas dan rotasi otomatis.
- Validasi server-side pada setiap permintaan; client-side validation tidak diandalkan untuk otorisasi.
- Audit log untuk akses administrator.
Organisatoris
- Akses developer ALURWEB ke database produksi dibatasi & dicatat.
- Kontrak Pemroses Data ditandatangani dengan setiap Customer Organization yang berlangganan.
- Tidak ada developer yang menyimpan kredensial produksi di mesin lokal tanpa enkripsi.
Meskipun demikian, tidak ada sistem yang 100% aman. Pengguna dianjurkan menjaga kerahasiaan password.
9. Hak Pengguna (Karyawan)
Berdasarkan UU 27/2022 tentang Pelindungan Data Pribadi, karyawan berhak:
- Mengakses data pribadinya yang tersimpan dalam Aplikasi.
- Memperbaiki data yang tidak akurat (melalui administrator HR Customer Organization).
- Menghapus data setelah berakhirnya hubungan kerja (sesuai jadwal retensi).
- Menarik persetujuan atas pemrosesan data tertentu (catatan: penarikan persetujuan absensi dapat berdampak pada kewajiban kerja).
- Membatasi pemrosesan dalam kondisi tertentu.
- Portabilitas data — mengekspor data pribadi dalam format yang dapat dibaca.
- Mengajukan keluhan kepada Otoritas Pelindungan Data Pribadi RI.
Permintaan terkait hak di atas dapat diajukan melalui:
- HR / Administrator Customer Organization tempat karyawan terdaftar (jalur utama)
- ALURWEB Support — admin@alurweb.com (sebagai pemroses teknis)
Respons akan diberikan dalam maksimum 30 hari kerja sesuai UU PDP.
10. Izin Aplikasi yang Diminta
Aplikasi meminta izin Android berikut, semuanya esensial untuk fungsi absensi:
| Izin | Tujuan | Dapat Dinonaktifkan? |
|---|---|---|
| CAMERA | Memindai QR code cabang untuk verifikasi absensi | Tidak — absensi tidak berfungsi |
| ACCESS_FINE_LOCATION | Verifikasi GPS di area kerja saat absensi | Tidak — absensi tidak berfungsi |
| ACCESS_COARSE_LOCATION | Fallback lokasi presisi rendah | Tidak |
| INTERNET | Sinkronisasi data ke server | Tidak — wajib |
| POST_NOTIFICATIONS | Pengingat shift & status persetujuan izin | Ya, opsional |
Aplikasi tidak meminta izin background location (ACCESS_BACKGROUND_LOCATION) maupun foreground-service-location — lokasi hanya diakses
di foreground saat aksi absensi. Tidak ada pelacakan 24/7 maupun auto
check-out otomatis.
11. Pengguna di Bawah Umur
Aplikasi ini hanya untuk karyawan dewasa (18 tahun ke atas) Customer Organization. Aplikasi tidak ditujukan untuk anak-anak, dan kami tidak secara sadar mengumpulkan data dari individu di bawah 18 tahun.
Jika kami mengetahui data anak di bawah umur masuk ke sistem, data akan dihapus segera.
12. Transfer Data Lintas Negara
Data dapat diproses di server Supabase yang berlokasi di Australia/Sydney (region: ap-southeast-2). Transfer ini:
- Dilindungi oleh kontrak standar perlindungan data antara ALURWEB dan Supabase.
- Memenuhi syarat transfer data lintas negara berdasarkan UU PDP RI.
- Menggunakan enkripsi end-to-end dalam transit.
13. Cookies & Pelacakan
Aplikasi mobile ini tidak menggunakan cookies. Identifier perangkat (device ID) yang digunakan untuk autentikasi bukan untuk pelacakan iklan dan tidak dibagikan ke jaringan iklan.
14. Perubahan Kebijakan Privasi
Kami dapat memperbarui Kebijakan Privasi ini dari waktu ke waktu. Perubahan signifikan akan diberitahukan melalui:
- Notifikasi dalam Aplikasi
- Email ke alamat terdaftar
- Pengumuman di halaman ini
Tanggal "Berlaku Efektif" di bagian atas akan diperbarui setiap revisi. Penggunaan Aplikasi setelah revisi menandakan persetujuan terhadap kebijakan baru.
15. Kontak
Pertanyaan, keluhan, atau permintaan terkait privasi data dapat ditujukan kepada:
Pengendali Data
Pengendali Data adalah masing-masing Customer Organization tempat karyawan terdaftar. Detail kontak Pengendali Data (alamat, person in charge data privacy) tersedia melalui administrator HR perusahaan terkait.
Karyawan yang ingin menghubungi Pengendali Data dapat menanyakan ke HR perusahaan tempat mereka bekerja. Daftar Customer Organization yang aktif berlangganan Delta Attendance tidak kami publikasikan untuk menjaga kerahasiaan kontrak komersial.
Pemroses Data Teknis
ALURWEB Digital Solutions
- Email: admin@alurweb.com
- WhatsApp: +62 851-9065-5485
- Website: https://alurweb.com
- Alamat: Sangatta, Kutai Timur, Kalimantan Timur, Indonesia
Otoritas Pengawas
Karyawan berhak mengajukan keluhan kepada Otoritas Pelindungan Data Pribadi Republik Indonesia apabila merasa hak privasinya tidak dipenuhi.
© 2026 ALURWEB Digital Solutions. All rights reserved.
Kebijakan Privasi ini disusun untuk memenuhi kewajiban transparansi berdasarkan UU 27/2022 dan persyaratan privasi Apple App Store serta Google Play Data Safety.