Kebijakan Privasi
HostyRoom berkomitmen melindungi data pribadi pengguna staff, Organisasi pelanggan, dan data tamu yang diproses melalui Platform sesuai praktik terbaik keamanan informasi dan Undang-Undang Perlindungan Data Pribadi (UU PDP) Indonesia.
1. Pendahuluan
Kebijakan Privasi ini menjelaskan bagaimana HostyRoom ("kami") mengumpulkan, menggunakan, menyimpan, dan melindungi data pribadi dalam konteks platform PMS hotel multi-tenant kami.
Kebijakan ini berlaku untuk pengunjung situs, pendaftar organisasi, pengguna staff, dan — sejauh diproses melalui Platform — data tamu hotel yang dikelola oleh Organisasi pelanggan kami.
2. Peran dan tanggung jawab
Data tamu hotel: Organisasi pelanggan (hotel) umumnya menjadi pengendali data; kami memproses Data Tamu atas instruksi Organisasi untuk menyediakan Layanan.
Organisasi bertanggung jawab memastikan tamu menerima informasi privasi yang memadai dan memberikan persetujuan bila diwajibkan (mis. saat check-in atau booking).
3. Jenis data yang kami kumpulkan
3.1 Data akun staff dan organisasi
- Nama, alamat email, peran (role), dan status akun
- Informasi organisasi: nama, slug, plan langganan, billing
- Log autentikasi, aktivitas audit, dan preferensi sesi
- Data teknis: alamat IP, browser, perangkat (log keamanan)
3.2 Data operasional properti
- Konfigurasi hotel: kamar, tarif, pajak, inventori kalender
- Reservasi, folio, transaksi operasional, laporan
3.3 Data tamu (diproses untuk Organisasi)
- Identitas dan kontak: nama, email, telepon, alamat, nomor identitas (KTP/passport) bila diinput staff
- Data menginap: tanggal, preferensi kamar, catatan operasional
- Persetujuan privasi tamu (privacy consent) yang dicatat saat registrasi
3.4 Data yang tidak kami minta secara sengaja
Mohon jangan mengunggah data yang tidak diperlukan untuk operasional hotel. Kami mendorong Organisasi menerapkan prinsip minimisasi data.
4. Tujuan pemrosesan
Kami memproses data pribadi untuk:
- Menyediakan, mengamankan, dan meningkatkan Platform
- Autentikasi, otorisasi, dan isolasi data multi-tenant
- Verifikasi email, undangan staff, dan notifikasi operasional
- Pemrosesan langganan dan invoice (plan berbayar)
- Audit keamanan, pencegahan fraud, dan kepatuhan hukum
- Dukungan pelanggan dan penyelesaian insiden
5. Dasar hukum (Indonesia — UU PDP)
Pemrosesan data didasarkan pada satu atau lebih hal berikut:
- Persetujuan — verifikasi email, persetujuan tamu, opsi komunikasi
- Pelaksanaan perjanjian — penyediaan Layanan SaaS kepada Organisasi
- Kepentingan sah — keamanan sistem, pencegahan penyalahgunaan, analitik operasional agregat
- Kewajiban hukum — permintaan regulator, proses hukum yang sah
6. Retensi data
Data akun dan organisasi disimpan selama langganan aktif dan periode transisi wajar setelah penghentian, kecuali diwajibkan penyimpanan lebih lama oleh hukum.
Log audit staff dan platform mengikuti kebijakan retensi internal (mis. 90 hari untuk aktivitas staff, 365 hari untuk log platform) yang dapat disesuaikan per environment.
Data tamu dan transaksi operasional dikelola oleh Organisasi; kebijakan retensi tamu menjadi tanggung jawab Organisasi selaku pengendali data, dengan dukungan ekspor/hapus sejauh disediakan fitur Platform.
7. Pembagian data kepada pihak ketiga
Kami tidak menjual data pribadi. Data dapat dibagikan kepada:
- Penyedia infrastruktur cloud — hosting database, cache, dan compute
- Penyedia email — pengiriman verifikasi akun dan notifikasi transaksional (mis. Resend)
- Penyedia pembayaran — pemrosesan langganan berbayar (mis. Dodo Payments)
- Penyedia observabilitas — monitoring error dan performa (data sensitif diminimalkan)
Pihak ketiga hanya memproses data sesuai kontrak dan instruksi kami, dengan standar keamanan yang wajar.
8. Keamanan data
Kami menerapkan kontrol teknis dan organisasi, termasuk enkripsi saat transit (TLS), hashing kata sandi, kontrol akses berbasis peran (RBAC), isolasi tenant, audit log, dan pembatasan akses internal.
Tidak ada sistem yang 100% aman. Jika terjadi insiden yang memengaruhi data pribadi, kami akan memberitahu Organisasi terkait sesuai kewajiban hukum dan prosedur insiden kami.
9. Hak subjek data
Sesuai UU PDP dan peraturan terkait, subjek data dapat memiliki hak untuk:
- Mengakses dan memperoleh salinan data pribadi
- Memperbarui atau melengkapi data yang tidak akurat
- Menarik persetujuan (bila pemrosesan berbasis persetujuan)
- Meminta penghapusan atau pembatasan pemrosesan
- Mengajukan keberatan atas pemrosesan tertentu
Tamu hotel
Ajukan permintaan kepada hotel tempat Anda menginap (Organisasi pengendali). Hotel dapat menghubungi kami untuk permintaan teknis terkait data di Platform.
Staff / perwakilan Organisasi
Kirim permintaan ke privacy@inapin.app dengan identitas dan detail permintaan yang jelas. Kami merespons dalam jangka waktu yang wajar.
10. Transfer data internasional
Infrastruktur atau subprosesor kami dapat berlokasi di luar Indonesia. Jika transfer lintas negara terjadi, kami menerapkan safeguard yang sesuai (kontrak pemrosesan, standard contractual clauses, atau mekanisme lain yang diakui) sejalan dengan UU PDP.
11. Cookie dan teknologi serupa
Platform web menggunakan cookie sesi dan penyimpanan lokal yang diperlukan untuk autentikasi staff dan preferensi workspace. Kami tidak menggunakan cookie iklan behavioral pihak ketiga pada aplikasi operasional inti.
12. Privasi anak
Layanan ditujukan untuk Organisasi bisnis dan staff dewasa. Kami tidak dengan sengaja mengumpulkan data pribadi anak di bawah usia yang disyaratkan undang-undang tanpa persetujuan orang tua/wali yang sah.
13. Perubahan kebijakan
Kebijakan ini dapat diperbarui seiring perkembangan Layanan atau persyaratan hukum. Tanggal pembaruan terakhir tercantum di bagian atas halaman. Perubahan material akan dikomunikasikan melalui Platform atau email terdaftar Organisasi.
14. Kontak privasi
Pertanyaan, permintaan hak subjek data, atau laporan insiden privasi: privacy@inapin.app.
Syarat penggunaan Platform: Syarat & Ketentuan.