Kebijakan Privasi

Kebijakan Privasi ini menjelaskan bagaimana Swopli LTDA ("Swopli", "kami") mengumpulkan, menggunakan, membagikan, dan melindungi data pribadi saat kamu menggunakan platform Swopli — situs web, aplikasi mobile, dan layanan terkait kami (secara bersama-sama, "Platform"). Swopli adalah marketplace barter peer-to-peer yang memungkinkan pengguna menukar produk dan layanan secara langsung, tanpa transaksi keuangan antar pengguna.

Kebijakan ini disusun dalam bagian Global Baseline yang berlaku untuk semua pengguna di seluruh dunia, diikuti bagian khusus yurisdiksi yang memberikan hak, pengungkapan, dan perlindungan tambahan yang diwajibkan hukum lokal. Jika kamu tinggal di yurisdiksi yang tercakup oleh salah satu bagian khusus di bawah, bagian tersebut melengkapi (dan jika terjadi konflik, mengesampingkan) Global Baseline.

Pengendali Data: Swopli LTDA CNPJ: 61.902.473/0001-79 Rua Alm Protogenes 289, Sala 122, Cond Office Jd Negocios C, Jardim, Santo Andre/SP, CEP 09090-760, Brazil

Petugas Perlindungan Data (DPO): Email: dpo@swopli.com

---

Global Baseline

Bagian ini berlaku untuk semua pengguna Swopli di mana pun Swopli menyediakan layanan atau fitur terkait menurut Jadwal Ketersediaan Fitur. Kami menerapkan prinsip GDPR-first sebagai standar dasar kami, yang berarti semua pengguna mendapatkan standar perlindungan data tinggi terlepas dari persyaratan hukum lokal.

Data yang Kami Kumpulkan

Data yang Kamu Berikan

Kategori	Saat Dikumpulkan	Contoh
Identifikasi	Pendaftaran	Nama lengkap, username, email, telepon (E.164), tanggal lahir
Profil	Onboarding	Foto, bio, kota, bahasa pilihan
Alamat	Pengaktifan pengiriman	Jalan, nomor, pelengkap, kode pos, kota, negara bagian, negara
Identifikasi pajak dan verifikasi	Publikasi produk, Swap Protection, KYC, pencegahan penipuan, dan penegakan satu akun	CPF atau nomor identifikasi pajak setara jika diwajibkan
Konten	Penggunaan Platform	Produk yang dicantumkan, foto, deskripsi, pesan, ulasan
Pembayaran	Pembelian VIP/Boost	Data pembayaran diproses oleh RevenueCat (iOS/Android), Paddle (web), atau Stripe (Swap Protection) — Swopli tidak menyimpan nomor kartu

Data yang Dikumpulkan Otomatis

Kategori	Cara Dikumpulkan	Tujuan
Pengidentifikasi teknis	Log server	Alamat IP, user agent, pengidentifikasi perangkat
Penggunaan platform	Event dalam aplikasi	Halaman yang dikunjungi, tindakan yang diambil, timestamp
Lokasi perkiraan	Geolokasi IP (otomatis)	Deteksi yurisdiksi banner cookie, pencegahan penipuan
Lokasi presisi	Izin perangkat opt-in	Filter radius pencarian (presisi ~100m)
Cookie fungsional	Browser	Sesi, preferensi bahasa, persetujuan cookie
Cookie analitik	Browser, setelah persetujuan	Event penggunaan PostHog (dihosting di EU: eu.posthog.com)

Data Pihak Ketiga

Saat kamu mendaftar melalui Google, Apple, atau Facebook, kami menerima dari penyedia tersebut: email, nama lengkap (jika diotorisasi), foto profil (jika diotorisasi), dan pengidentifikasi penyedia unik. Kami tidak menerima kata sandi akun penyedia tersebut.

Tujuan dan Dasar Hukum

Tujuan	Dasar Hukum	Rujukan GDPR
Pendaftaran dan operasi akun	Pelaksanaan kontrak	Pasal 6(1)(b)
Memfasilitasi pertukaran antar pengguna	Pelaksanaan kontrak	Pasal 6(1)(b)
Memproses pembayaran VIP/Boost/pengiriman	Pelaksanaan kontrak	Pasal 6(1)(b)
Komunikasi transaksional (notifikasi pertukaran, pesan)	Pelaksanaan kontrak	Pasal 6(1)(b)
Kepatuhan pajak dan regulasi	Kewajiban hukum	Pasal 6(1)(c)
Pencegahan penipuan dan keamanan platform	Kepentingan sah	Pasal 6(1)(f)
Peningkatan platform melalui analitik (PostHog)	Persetujuan	Pasal 6(1)(a)
Penyelesaian sengketa antar pengguna	Pelaksanaan kontrak + Kepentingan sah	Pasal 6(1)(b) + Pasal 6(1)(f)
Kepatuhan terhadap perintah pengadilan atau permintaan otoritas	Kewajiban hukum	Pasal 6(1)(c)

Kami tidak menggunakan data pribadimu untuk: pengambilan keputusan otomatis atau profiling yang menghasilkan dampak hukum (GDPR Pasal 22), menjual datamu kepada pihak ketiga, atau iklan tertarget yang dioperasikan Swopli berdasarkan data pribadimu. Atribusi checkout Paddle/Meta opsional dijelaskan dalam Kebijakan Cookie dan dinonaktifkan saat pengaturan cookie Pemasaran, GPC, atau Jangan Jual atau Bagikan memilih opt out.

Pemroses Sub

Swopli membagikan data pribadi dengan penyedia dan pemroses sub berikut. Jika penyedia bertindak sebagai pemroses Swopli, hubungan tersebut dicakup oleh Data Processing Agreement (DPA) atau pengamanan kontraktual setara:

Pemroses Sub	Tujuan	Lokasi	Mekanisme Transfer
Supabase (AWS sa-east-1)	Hosting database, autentikasi, penyimpanan file	Brasil (AWS sa-east-1) — Supabase Inc. berbasis di AS	Domestik untuk pengguna Brasil; SCCs Modul 2 untuk pengguna internasional
Stripe, Inc. / Stripe Payments Brasil Serviços Financeiros Ltda.	Checkout Swap Protection, deposit refundable, refund, transfer, KYC Connect, dan dukungan pengiriman/pembayaran jika berlaku	Brasil / AS, tergantung alur	Pemrosesan domestik Brasil jika ditangani entitas Brasil; SCCs Modul 2 + DPF jika berlaku
RevenueCat Inc	Orkestrasi langganan lintas platform (iOS/Android/Web), Customer Center, pengelolaan entitlement VIP	AS	SCCs Modul 2 + UK IDTA (International Data Transfer Addendum) — tidak bersertifikasi DPF
Paddle.com Market Limited	Merchant of Record untuk checkout web (VIP/Boost), pengumpulan pajak global, konversi mata uang otomatis	UK + AS	Keputusan kecukupan UK (Commission Implementing Decision (EU) 2025/2574 yang mengubah Decision (EU) 2021/1772, valid sampai 2031-12-27); EU SCCs dengan UK Approved Addendum untuk UK→AS
Apple Inc / Google LLC	Push notification + pemrosesan In-App Purchase (merchant-of-record untuk iOS/Android)	AS	DPA platform; cakupan In-App Purchase (IAP)
Resend	Pengiriman email transaksional	AS	SCCs Modul 2 + TIA
Cloudflare	CDN, perlindungan DDoS, geolokasi IP untuk banner cookie	Global	SCCs Modul 2 + TIA; jaringan edge global; perwakilan EU ditunjuk
PostHog	Analitik produk (dikendalikan persetujuan di EU/UK/CH)	EU (Frankfurt)	Tidak ada transfer (dihosting di EU)
Sentry	Pemantauan error (PII diminimalkan dan disensor jika dikonfigurasi)	AS	SCCs Modul 2 + TIA
Nominatim (geocoding OpenStreetMap self-hosted)	Reverse geocoding untuk tampilan lokasi	EU (self-hosted)	Tidak ada transfer pihak ketiga oleh Nominatim; hosting dicakup oleh penyedia infrastruktur yang tercantum di atas
OpenAI OpCo, LLC / OpenAI Ireland Ltd.	Moderasi teks/konten otomatis dan tinjauan trust & safety	AS / Irlandia (jika berlaku)	SCCs Modul 2 + UK Addendum; OpenAI DPA
Melhor Envio	Pembuatan label pengiriman dan pelacakan (hanya Brasil)	Brasil	Tidak ada transfer (domestik)

Untuk daftar pemroses sub lengkap dan berversi dengan log perubahan serta pemberitahuan pembaruan 30 hari, lihat Daftar Pemroses Sub kami.

Retensi Data

Kategori	Periode Retensi	Alasan
Data akun aktif	Selama akun ada	Operasi layanan
Pesan antar pengguna	Selama akun ada; dihapus saat akun dihapus	Konteks pertukaran
Catatan transaksi keuangan	5 tahun setelah transaksi	Kewajiban pajak (Brasil: Art. 173 CTN; EU: berbeda menurut negara anggota)
Log akses server	6 bulan	Pemantauan keamanan
Log audit keamanan	1 tahun	Kepentingan keamanan sah
Data analitik (PostHog)	12 bulan (pengidentifikasi anonim)	Peningkatan produk (berbasis persetujuan)
Laporan error (Sentry)	90 hari	Siklus penyelesaian bug
Data anonim/agregat	Tidak terbatas	Bukan lagi data pribadi

Setelah periode yang berlaku, data dihapus permanen atau dianonimkan secara tidak dapat dibalik. Kami meninjau periode retensi setiap tahun.

Tindakan Keamanan

Kami menerapkan tindakan teknis dan organisasi untuk melindungi datamu:

• Enkripsi dalam transit: Semua koneksi menggunakan TLS 1.2+.
• Enkripsi saat disimpan: Data sensitif dienkripsi oleh penyedia infrastruktur (Supabase, Stripe).
• Kontrol akses: Row Level Security (RLS) di database mencegah akses data lintas pengguna.
• Autentikasi: Autentikasi berbasis OAuth (Google, Apple) dengan manajemen sesi aman melalui Supabase Auth.
• Pemantauan error: Sentry untuk deteksi insiden (PII diminimalkan dan disensor jika dikonfigurasi).
• Log audit: Tindakan sensitif dicatat dengan aktor, timestamp, dan jenis tindakan.
• Manajemen dependensi: Pembaruan keamanan diterapkan secara teratur.

Meski ada tindakan ini, tidak ada sistem yang 100% aman. Jika terjadi pelanggaran data yang memengaruhi data pribadimu, kami akan memberi tahu kamu dan otoritas terkait sebagaimana diwajibkan hukum yang berlaku (72 jam untuk otoritas pengawas EU berdasarkan GDPR Pasal 33; "waktu yang wajar" untuk ANPD berdasarkan LGPD Pasal 48).

Pembatasan Usia

Swopli tidak ditujukan untuk individu di bawah 18 tahun. Kami tidak dengan sengaja mengumpulkan data pribadi dari anak di bawah umur. Kami memverifikasi usia melalui tanggal lahir yang diberikan saat pendaftaran. Jika kami mengidentifikasi akun anak di bawah umur, kami akan segera menonaktifkannya dan menghapus data terkait.

Jika kamu adalah orang tua atau wali hukum dan meyakini anak di bawah umur telah membuat akun, hubungi dpo@swopli.com untuk penghapusan segera.

Hak Kamu (Global)

Semua pengguna, terlepas dari yurisdiksi, dapat menggunakan hak berikut:

Hak	Cara Menggunakan
Akses	Settings > Privacy & Data > Export My Data (unduhan ZIP), atau email dpo@swopli.com
Perbaikan	Settings > Edit Profile, atau email dpo@swopli.com
Penghapusan	Settings > Privacy & Data > Delete My Account (hard delete permanen dalam 24 jam)
Portabilitas Data	Ekspor memberikan file JSON terstruktur dalam arsip ZIP
Penarikan Persetujuan	Settings > Email Notifications; /id/privasi/preferensi untuk cookie
Keberatan	Email dpo@swopli.com untuk pemrosesan berdasarkan kepentingan sah
Keluhan	Hubungi otoritas perlindungan data lokalmu (lihat bagian yurisdiksi di bawah)

Waktu respons: Hingga 30 hari (dapat diperpanjang 60 hari untuk permintaan kompleks, dengan pemberitahuan). Penggunaan hak ini gratis.

Formulir web: Kirim permintaan subjek data di swopli.com/id/privasi/data-saya atau email dpo@swopli.com.

Cookie

Swopli menggunakan cookie dan teknologi serupa di situs webnya. Untuk detail lengkap tentang cookie yang kami gunakan, tujuan, periode retensi, dan cara mengelolanya, lihat Kebijakan Cookie kami.

• EU/EEA/UK/CH: Banner persetujuan pada kunjungan pertama; opt-in diwajibkan untuk cookie non-esensial.
• Yurisdiksi lain: Banner pemberitahuan dengan opt-out untuk analitik; cookie yang sangat diperlukan selalu aktif.
• Semua pengguna: Kelola preferensi kapan saja di /id/privasi/preferensi.

Perubahan Kebijakan Ini

Kami dapat memperbarui Kebijakan Privasi ini untuk mencerminkan perubahan dalam praktik, teknologi, atau persyaratan hukum kami.

Perubahan material (memengaruhi hakmu, kategori data, atau tujuan pemrosesan): pemberitahuan setidaknya 30 hari sebelumnya melalui email dan/atau notifikasi dalam aplikasi, dengan deskripsi perubahan yang jelas.

Perubahan non-material (klarifikasi, pemformatan): dapat berlaku tanpa pemberitahuan sebelumnya. Tanggal "Terakhir Diperbarui" selalu mencerminkan revisi terbaru.

---

Brazil (LGPD)

Berlaku untuk: Pengguna yang tinggal di Brasil. Hukum yang berlaku: Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).

Pengendali dan DPO

Swopli LTDA adalah pengendali (controlador) data pribadimu berdasarkan LGPD.

Petugas Perlindungan Data (DPO): Email: dpo@swopli.com Alamat pos: Rua Alm Protogenes 289, Sala 122, Cond Office Jd Negocios C, Jardim, Santo Andre/SP, CEP 09090-760 (Ditunjuk sebagai "Encarregado" berdasarkan LGPD Pasal 41)

DPO bertanggung jawab untuk: menerima keluhan dan komunikasi dari subjek data; menerima komunikasi dari ANPD; membimbing karyawan dan kontraktor tentang praktik perlindungan data; dan menjalankan tugas yang ditetapkan oleh pengendali (Pasal 41 LGPD).

Dasar Hukum Berdasarkan LGPD

LGPD menyediakan dasar hukum spesifik untuk pemrosesan data pribadi (Pasal 7). Kami mengandalkan:

Tujuan	Dasar Hukum	Pasal LGPD
Pembuatan akun dan penyediaan layanan	Pelaksanaan kontrak	Pasal 7, V
Kewajiban pajak dan regulasi	Kewajiban hukum	Pasal 7, II
Pencegahan penipuan, keamanan platform	Kepentingan sah	Pasal 7, IX
Analitik (PostHog)	Persetujuan	Pasal 7, I
Pelaksanaan hak dalam proses hukum	Pelaksanaan hak	Pasal 7, VI
Perlindungan kredit (verifikasi penjual)	Perlindungan kredit	Pasal 7, X

Hak Kamu Berdasarkan LGPD (Pasal 18)

Selain hak yang tercantum dalam Global Baseline, pengguna Brasil memiliki hak spesifik berikut berdasarkan Pasal 18 LGPD:

1. Konfirmasi pemrosesan — mengonfirmasi apakah kami memproses data pribadimu.
2. Akses — memperoleh salinan data pribadimu.
3. Koreksi — memperbaiki data yang tidak lengkap, tidak akurat, atau kedaluwarsa.
4. Anonimisasi, pemblokiran, atau penghapusan — atas data yang tidak perlu, berlebihan, atau tidak sesuai.
5. Portabilitas — mentransfer datamu kepada penyedia layanan lain (Pasal 18, V).
6. Penghapusan — atas data pribadi yang diproses dengan persetujuanmu, saat persetujuan ditarik.
7. Informasi tentang pembagian — mengetahui entitas publik dan privat mana yang telah menerima datamu.
8. Informasi tentang persetujuan — diberi tahu tentang kemungkinan dan konsekuensi tidak memberikan persetujuan.
9. Penarikan persetujuan — menarik persetujuan kapan saja (Pasal 18, IX).

Lokalisasi Data

Data akun utamamu disimpan di Brasil (Supabase AWS sa-east-1, region São Paulo). Transfer internasional ke pemroses sub seperti Stripe/Stripe Brasil, RevenueCat, Sentry, Resend, Cloudflare, dan penyedia lain yang tercantum di atas dicakup oleh pengamanan kontraktual yang sesuai, termasuk Standard Contractual Clauses jika berlaku, dan mematuhi LGPD Pasal 33.

Bahasa

Kebijakan Privasi ini tersedia dalam bahasa Portugis (pt-BR) sebagaimana diwajibkan oleh hukum perlindungan konsumen Brasil (CDC Pasal 31). Jika terjadi konflik antara versi Portugis dan Inggris, versi Portugis berlaku untuk pengguna Brasil.

Otoritas Pengawas

Autoridade Nacional de Proteção de Dados (ANPD) Website: https://www.gov.br/anpd Email: comunicacao@anpd.gov.br

---

EU/UK/CH (GDPR)

Berlaku untuk: Pengguna yang tinggal di European Economic Area (30 negara), United Kingdom, dan Swiss. Hukum yang berlaku: General Data Protection Regulation (GDPR — Regulation (EU) 2016/679), UK GDPR (UK Data Protection Act 2018), Swiss Federal Act on Data Protection (FADP/nDSG).

Perwakilan EU (Pasal 27 GDPR)

Karena Swopli LTDA didirikan di luar EU, kami sedang dalam proses menunjuk perwakilan EU sesuai Pasal 27 GDPR dan perwakilan UK sesuai UK GDPR Pasal 27:

Perwakilan EU/UK: Penunjukan sedang berlangsung — detail akan dipublikasikan di sini setelah selesai. Hubungi dpo@swopli.com untuk sementara.

Perwakilan yang ditunjuk juga akan bertindak sebagai perwakilan kami berdasarkan Pasal 13 Digital Services Act (DSA).

Dasar Hukum (Pasal 6 GDPR)

Kami memproses data pribadimu berdasarkan dasar hukum yang dijelaskan dalam bagian Global Baseline. Jika kami mengandalkan kepentingan sah (Pasal 6(1)(f)), kami telah melakukan balancing test (Legitimate Interest Assessments) untuk memastikan kepentingan kami tidak mengesampingkan hak dan kebebasan fundamentalmu. Kamu dapat meminta detail penilaian ini dengan menghubungi dpo@swopli.com.

Jika kami mengandalkan persetujuan (Pasal 6(1)(a)), kamu dapat menarik persetujuan kapan saja melalui Settings > Privacy & Data atau /id/privasi/preferensi. Penarikan tidak memengaruhi keabsahan pemrosesan berdasarkan persetujuan sebelum penarikan.

Hak GDPR Kamu (Pasal 15-22)

Selain hak dalam Global Baseline, pengguna EU/UK/CH memiliki hak spesifik berikut:

• Hak Akses (Pasal 15): Memperoleh konfirmasi pemrosesan dan salinan datamu, termasuk informasi tentang tujuan, kategori, penerima, periode retensi, dan pengamanan transfer internasional.
• Hak Perbaikan (Pasal 16): Memperbaiki data yang tidak akurat dan melengkapi data yang tidak lengkap.
• Hak Penghapusan (Pasal 17): Meminta penghapusan data pribadimu ("right to be forgotten"). Penghapusan akun melalui Settings bersifat permanen (hard delete dalam 24 jam). Pengecualian: kewajiban hukum, pembelaan klaim hukum, kepentingan publik.
• Hak Pembatasan Pemrosesan (Pasal 18): Membatasi pemrosesan saat kamu mempermasalahkan akurasi, pemrosesan melanggar hukum, kami tidak lagi membutuhkan data, atau kamu telah mengajukan keberatan sambil menunggu verifikasi.
• Hak Portabilitas Data (Pasal 20): Menerima datamu dalam format terstruktur, umum digunakan, dan dapat dibaca mesin (JSON dalam ZIP).
• Hak Keberatan (Pasal 21): Menolak pemrosesan berdasarkan kepentingan sah. Kami akan menghentikan pemrosesan kecuali kami menunjukkan dasar sah yang memaksa.
• Hak untuk Tidak Tunduk pada Keputusan Otomatis (Pasal 22): Swopli tidak membuat keputusan semata-mata berdasarkan pemrosesan otomatis yang menghasilkan dampak hukum terhadap kamu.

Transfer Internasional (Bab V)

Transfer data pribadi ke luar EEA/UK/CH mematuhi GDPR Bab V melalui mekanisme berikut:

• EU→Brasil (Supabase): Standard Contractual Clauses (SCCs) Modul 2 (controller-to-processor), diadopsi oleh European Commission Decision 2021/914, dilengkapi Transfer Impact Assessment (TIA).
• EU→AS (Stripe): SCCs Modul 2 + EU-U.S. Data Privacy Framework (DPF) jika berlaku.
• EU→AS (RevenueCat): SCCs Modul 2 + UK IDTA (International Data Transfer Addendum). RevenueCat tidak bersertifikasi DPF.
• EU→UK (Paddle): Keputusan kecukupan UK (Commission Implementing Decision (EU) 2025/2574 tanggal 19 Desember 2025, yang mengubah Decision (EU) 2021/1772, valid sampai 2031-12-27). Subpemroses UK→AS dicakup oleh EU SCCs dengan UK Approved Addendum.
• EU→AS/global (Sentry, Resend, Cloudflare): SCCs Modul 2 (controller-to-processor) + TIA untuk hubungan pemroses langsung Swopli. Transfer subpemroses lanjutan diatur oleh DPA penyedia dan SCC atau pengamanan setara yang berlaku.
• EU→EU (PostHog): Tidak perlu transfer — dihosting di Frankfurt.

Kamu dapat meminta salinan SCC dan TIA yang berlaku dengan menghubungi dpo@swopli.com.

Persetujuan Cookie (ePrivacy Directive)

Cookie non-esensial (analitik, pemasaran) membutuhkan persetujuan opt-in sebelumnya di yurisdiksi EU/EEA/UK/CH. Banner cookie kami ditampilkan pada kunjungan pertama dan memungkinkan kamu menerima semua, menolak non-esensial, atau menyesuaikan berdasarkan kategori. Lihat Kebijakan Cookie kami untuk detail.

Kepatuhan DSA

Swopli mematuhi Digital Services Act (Regulation (EU) 2022/2065) sebagai layanan hosting. Praktik moderasi konten, prosedur notice-and-action, dan kewajiban transparansi kami dirinci dalam Kebijakan Moderasi Konten dan Penghapusan kami.

Otoritas Pengawas

Kamu berhak mengajukan keluhan kepada otoritas pengawas di negara tempat tinggalmu:

• Daftar lengkap otoritas EEA: https://edpb.europa.eu/about-edpb/about-edpb/members_en
• UK Information Commissioner's Office (ICO): https://ico.org.uk/make-a-complaint/
• Swiss Federal Data Protection and Information Commissioner (FDPIC): https://www.edoeb.admin.ch/

---

United States

Berlaku untuk: Pengguna yang tinggal di Amerika Serikat. Hukum yang berlaku: California Consumer Privacy Act (CCPA), sebagaimana diubah oleh California Privacy Rights Act (CPRA); Virginia Consumer Data Protection Act (VCDPA); Colorado Privacy Act (CPA); dan hukum privasi negara bagian lain yang berlaku.

Swopli menerapkan CCPA/CPRA sebagai baseline seluruh AS, memberikan semua pengguna AS perlindungan tingkat California terlepas dari negara bagian tempat tinggal mereka.

Kategori Informasi Pribadi (Pengungkapan CCPA)

Berdasarkan CCPA section 1798.100 dan 1798.110, kami mengungkap kategori informasi pribadi yang dikumpulkan dalam 12 bulan sebelumnya:

Kategori CCPA	Dikumpulkan	Contoh	Tujuan Bisnis
A. Identifiers	Ya	Nama, email, username, alamat IP, ID perangkat, OAuth ID	Operasi akun, komunikasi
B. Cal. Civ. Code 1798.80(e)	Ya	Nama, alamat (jika diberikan untuk pengiriman)	Layanan platform, pengiriman
C. Protected classifications	Ya	Tanggal lahir (verifikasi usia saja)	Verifikasi kelayakan
D. Commercial information	Ya	Produk yang dicantumkan, riwayat pertukaran, pembelian VIP/Boost	Layanan platform, analitik
F. Internet activity	Ya	Riwayat penelusuran di Platform, interaksi, event analitik	Analitik, peningkatan, pencegahan penipuan
G. Geolocation	Ya	Perkiraan (IP); presisi hanya dengan persetujuan (radius pencarian)	Pencarian, pencegahan penipuan
K. Inferences	Ya	Kategori minat produk, pola engagement	Peningkatan platform

Kategori E, H, I, J, L: Tidak dikumpulkan.

RevenueCat menerima Kategori A (identifiers) dan Kategori D (data pembelian). Paddle menerima Kategori A, Kategori D, dan 4 digit terakhir kartu. Jika cookie Pemasaran diterima di halaman checkout web, atribusi Paddle/Meta dapat menerima pengidentifikasi cookie, alamat IP, user agent, dan metadata event checkout untuk atribusi. Aktivitas ini tidak memperkenalkan kategori CCPA tambahan selain yang diungkapkan di atas.

Pilihan Penjualan dan Pembagian

Swopli TIDAK menjual informasi pribadi sebagaimana didefinisikan oleh CCPA section 1798.140(ad). Swopli tidak menggunakan informasi pribadi untuk iklan perilaku lintas konteks sebagai bagian dari Platform inti.

Atribusi Paddle/Meta opsional pada halaman checkout web dapat diperlakukan sebagai "sharing" menurut CPRA saat cookie Pemasaran diterima. Atribusi ini dinonaktifkan jika kamu menolak cookie Pemasaran, menggunakan preferensi Jangan Jual atau Bagikan, atau mengirim sinyal Global Privacy Control yang valid. Tautan Jangan Jual atau Bagikan tersedia di footer situs web kami.

Hak CCPA/CPRA Kamu

Semua pengguna AS dapat menggunakan hak ini:

• Hak untuk Tahu (§1798.100): Meminta pengungkapan kategori dan bagian spesifik informasi pribadi yang dikumpulkan, sumber, tujuan, dan penerima pihak ketiga.
• Hak untuk Menghapus (§1798.105): Meminta penghapusan informasi pribadi. Melalui Settings > Privacy & Data > Delete My Account, atau email dpo@swopli.com.
• Hak untuk Memperbaiki (CPRA): Meminta koreksi informasi pribadi yang tidak akurat. Melalui Settings > Edit Profile.
• Hak Opt-Out dari Penjualan/Pembagian (§1798.120): Kami tidak menjual informasi pribadi. Kamu dapat opt out dari atribusi cookie Pemasaran opsional yang dapat diperlakukan sebagai "sharing" menurut CPRA.
• Hak Membatasi Sensitive PI (§1798.121): Kami hanya mengumpulkan tanggal lahir sebagai sensitive PI, digunakan semata-mata untuk verifikasi usia. Tidak ada penggunaan tambahan.
• Hak Non-Diskriminasi (§1798.125): Kami tidak akan mendiskriminasi kamu karena menggunakan hak CCPA apa pun.

Menggunakan Hak Kamu

• Dalam aplikasi: Settings > Privacy & Data (ekspor, hapus, koreksi)
• Formulir web: swopli.com/id/privasi/data-saya
• Email: dpo@swopli.com

Kami akan mengakui penerimaan dalam 10 hari kerja dan merespons secara substantif dalam 45 hari kalender (dapat diperpanjang 45 hari dengan pemberitahuan). Kami memverifikasi identitasmu sebelum memenuhi permintaan. Agen berwenang harus memberikan otorisasi tertulis yang ditandatangani.

Global Privacy Control (GPC)

Swopli menghormati sinyal browser Global Privacy Control (GPC) sebagaimana diwajibkan oleh peraturan CCPA. Saat sinyal GPC terdeteksi, kami memperlakukannya sebagai permintaan opt-out penjualan/pembagian yang valid.

Otoritas Pengawas

• California Attorney General: https://oag.ca.gov/privacy — (916) 210-6276
• Federal Trade Commission: https://www.ftc.gov/complaint

---

Canada (PIPEDA)

Berlaku untuk: Pengguna yang tinggal di Kanada. Hukum yang berlaku: Personal Information Protection and Electronic Documents Act (PIPEDA); Quebec Act Respecting the Protection of Personal Information in the Private Sector (Law 25).

Prinsip PIPEDA

Swopli mematuhi 10 prinsip informasi yang adil dalam Schedule 1 PIPEDA:

1. Akuntabilitas: Swopli LTDA bertanggung jawab atas informasi pribadi di bawah kendalinya. Petugas Perlindungan Data kami (dpo@swopli.com) mengawasi kepatuhan.
2. Identifikasi Tujuan: Kami mengidentifikasi tujuan pengumpulan pada atau sebelum waktu pengumpulan (lihat Global Baseline — Tujuan dan Dasar Hukum).
3. Persetujuan: Kami memperoleh persetujuan bermakna untuk pengumpulan, penggunaan, dan pengungkapan. Persetujuan dapat tegas (pembuatan akun, analitik) atau tersirat (operasi platform yang diperlukan).
4. Pembatasan Pengumpulan: Kami hanya mengumpulkan informasi yang diperlukan untuk tujuan yang diidentifikasi.
5. Pembatasan Penggunaan, Pengungkapan, dan Retensi: Informasi pribadi digunakan dan diungkapkan hanya untuk tujuan pengumpulannya, dan disimpan hanya selama diperlukan.
6. Akurasi: Kami mengambil langkah wajar untuk memastikan informasi pribadi akurat, lengkap, dan terbaru. Kamu dapat memperbaiki informasimu melalui Settings > Edit Profile.
7. Pengamanan: Kami melindungi informasi pribadi melalui tindakan keamanan yang proporsional dengan sensitivitas data (lihat Global Baseline — Tindakan Keamanan).
8. Keterbukaan: Kebijakan Privasi ini merinci kebijakan dan praktik kami terkait pengelolaan informasi pribadi.
9. Akses Individu: Kamu dapat meminta akses ke informasi pribadimu dan mempermasalahkan akurasinya (lihat Global Baseline — Hak Kamu).
10. Menentang Kepatuhan: Kamu dapat menentang kepatuhan kami terhadap prinsip-prinsip ini dengan menghubungi dpo@swopli.com. Jika kami tidak dapat menyelesaikan kekhawatiranmu, kamu dapat mengajukan keluhan kepada Office of the Privacy Commissioner.

Quebec Law 25

Untuk pengguna yang tinggal di Quebec, ketentuan tambahan berikut berlaku:

• Privacy Impact Assessment (PIA): Kami melakukan PIA untuk transfer lintas batas yang melibatkan informasi pribadi penduduk Quebec, sebagaimana diwajibkan Law 25.
• Privacy Officer: DPO kami (dpo@swopli.com) bertindak sebagai privacy officer yang ditunjuk untuk kepatuhan Quebec Law 25.
• Bahasa Prancis: Kebijakan Privasi ini tersedia dalam bahasa Prancis untuk pengguna Quebec.
• Persetujuan: Persetujuan tegas diwajibkan untuk pengumpulan dan penggunaan informasi pribadi sensitif, termasuk data biometrik (Swopli tidak mengumpulkan data biometrik) dan geolokasi presisi (opt-in saja).

Transfer Lintas Batas

Transfer informasi pribadi ke luar Kanada diungkapkan dalam tabel Pemroses Sub (Global Baseline). Kami memastikan semua transfer mematuhi PIPEDA s. 5(3) dan bahwa organisasi penerima memberikan tingkat perlindungan yang sebanding.

Otoritas Pengawas

Office of the Privacy Commissioner of Canada (OPC) Website: https://www.priv.gc.ca Bebas pulsa: 1-800-282-1376

Commission d'accès à l'information du Québec (CAI) (untuk penduduk Quebec) Website: https://www.cai.gouv.qc.ca

---

Latin America

Berlaku untuk: Pengguna yang tinggal di Meksiko, Argentina, Chile, Kolombia, Peru, Uruguay, Kosta Rika, Guatemala, Honduras, dan Nikaragua.

Hukum perlindungan data di Amerika Latin umumnya mengikuti kerangka hak ARCO (Acceso, Rectificación, Cancelación, Oposición). Swopli menghormati hak ini untuk semua pengguna Amerika Latin.

Hak ARCO Kamu

Hak	Deskripsi	Cara Menggunakan
Acceso (Akses)	Mengetahui data pribadi apa yang kami simpan tentang kamu	Settings > Privacy & Data > Export My Data
Rectificación (Perbaikan)	Memperbaiki data yang tidak akurat atau tidak lengkap	Settings > Edit Profile
Cancelación (Pembatalan/Penghapusan)	Meminta penghapusan data pribadimu	Settings > Privacy & Data > Delete My Account
Oposición (Keberatan)	Menolak pemrosesan datamu untuk tujuan spesifik	Email dpo@swopli.com

Waktu respons: Hingga 20 hari kerja (berbeda menurut negara).

Catatan Khusus Negara

Meksiko (LFPDPPP): Pemberitahuan privasi Swopli (aviso de privacidad) adalah Kebijakan Privasi ini. Kami memproses datamu berdasarkan persetujuan yang diperoleh saat pendaftaran. Kamu dapat mencabut persetujuan kapan saja dengan menghubungi dpo@swopli.com. Transfer ke pihak ketiga diungkapkan dalam tabel Pemroses Sub.

Argentina (Ley 25.326): Kamu berhak mengakses data pribadimu secara gratis pada interval tidak kurang dari 6 bulan (Pasal 14). Dirección Nacional de Protección de Datos Personales (DNPDP) adalah otoritas pengawas: https://www.argentina.gob.ar/aaip/datospersonales

Kolombia (Ley 1581 de 2012): Kami memproses datamu berdasarkan otorisasi (autorización) yang diperoleh saat pendaftaran. Kamu memiliki hak akses, koreksi, penghapusan, dan pencabutan otorisasi. Superintendencia de Industria y Comercio (SIC): https://www.sic.gov.co

Chile (Ley 19.628): Kamu memiliki hak akses, perbaikan, pembatalan, dan keberatan. Kerangka perlindungan data baru memperkuat hak-hak ini. Consejo para la Transparencia: https://www.consejotransparencia.cl

Peru (Ley 29733): Data pribadimu diproses berdasarkan persetujuanmu. Kamu dapat menggunakan hak ARCO dengan menghubungi dpo@swopli.com. Autoridad Nacional de Protección de Datos Personales: https://www.gob.pe/anpd

Uruguay (Ley 18.331): Uruguay memiliki keputusan kecukupan EU, memberikan tingkat perlindungan data tinggi. Unidad Reguladora y de Control de Datos Personales (URCDP): https://www.gub.uy/unidad-reguladora-control-datos-personales

Kosta Rika, Guatemala, Honduras, Nikaragua: Kami menerapkan prinsip GDPR-first sebagai baseline untuk negara yang kerangka perlindungan datanya masih berkembang.

Transfer Lintas Batas

Transfer internasional data pribadi untuk pengguna Amerika Latin dicakup oleh mekanisme yang dijelaskan dalam tabel Pemroses Sub Global Baseline. Kami memastikan transfer mematuhi persyaratan lokal yang berlaku, termasuk transfer berbasis persetujuan jika diwajibkan.

---

India (DPDPA)

Berlaku untuk: Pengguna yang tinggal di India. Hukum yang berlaku: Digital Personal Data Protection Act, 2023 (DPDPA).

Data Fiduciary

Swopli LTDA bertindak sebagai Data Fiduciary berdasarkan DPDPA terkait data pribadi pengguna India.

Persetujuan sebagai Dasar Utama

Berdasarkan DPDPA, persetujuan adalah dasar hukum utama untuk memproses data pribadi. Berbeda dengan GDPR, DPDPA tidak mengakui "kepentingan sah" sebagai dasar hukum independen.

Kami memperoleh persetujuanmu untuk pemrosesan saat pendaftaran akun. Persetujuanmu mencakup semua tujuan yang tercantum dalam bagian Global Baseline, termasuk pencegahan penipuan dan keamanan platform. Persetujuanmu:

• Bebas: Tidak dikondisikan pada layanan tambahan.
• Terinformasi: Kebijakan Privasi ini berfungsi sebagai pemberitahuanmu (Bagian 5 DPDPA).
• Spesifik: Persetujuan diperoleh untuk setiap tujuan yang diidentifikasi.
• Tanpa syarat: Tidak terkait dengan kondisi yang tidak berhubungan.

Kamu dapat menarik persetujuan kapan saja melalui Settings > Privacy & Data atau dengan mengirim email ke dpo@swopli.com. Penarikan dapat memengaruhi kemampuanmu menggunakan fitur Platform tertentu.

Hak Kamu Berdasarkan DPDPA

Hak	Deskripsi
Hak Akses	Memperoleh ringkasan data pribadi dan aktivitas pemrosesanmu (Bagian 11)
Hak Koreksi dan Penghapusan	Meminta koreksi data tidak akurat dan penghapusan data pribadi (Bagian 12)
Hak Penyelesaian Keluhan	Mengirim keluhan kepada Grievance Officer kami (Bagian 13)
Hak Menunjuk	Menunjuk individu lain untuk menggunakan hakmu dalam hal kematian atau ketidakmampuan (Bagian 14)

Grievance Officer

Grievance Officer: dpo@swopli.com Waktu respons: Dalam 72 jam sejak diterima, dengan penyelesaian dalam 30 hari.

Jika kamu tidak puas dengan respons kami, kamu dapat mengajukan keluhan kepada Data Protection Board of India setelah dibentuk.

Data Anak

Untuk pengguna di bawah 18 tahun di India, DPDPA mewajibkan persetujuan orang tua yang dapat diverifikasi sebelum pemrosesan data pribadi. Karena Swopli mewajibkan semua pengguna berusia 18+, ketentuan ini dipenuhi oleh gerbang usia kami.

Transfer Lintas Batas

DPDPA mengizinkan transfer lintas batas kecuali ke negara yang secara khusus dibatasi oleh Pemerintah Pusat. Per tanggal Kebijakan ini, belum ada pembatasan yang diumumkan. Transfer diungkapkan dalam tabel Pemroses Sub (Global Baseline).

Pembatasan Tujuan Bisnis

Kami memproses data pribadi pengguna India hanya untuk tujuan spesifik yang diungkapkan dalam Kebijakan Privasi ini. Pemrosesan di luar tujuan tersebut memerlukan persetujuan baru.

---

Asia-Pacific

Berlaku untuk: Pengguna yang tinggal di Indonesia, Malaysia, Filipina, Singapura, Thailand, Vietnam, Jepang, Korea Selatan, Taiwan, dan Hong Kong.

Hukum perlindungan data di wilayah Asia-Pasifik sangat bervariasi. Bagian ini membahas persyaratan utama untuk setiap yurisdiksi.

Jepang (APPI)

Act on the Protection of Personal Information (APPI) mengatur pemrosesan data di Jepang.

• Pengungkapan Transfer ke Luar Negeri: Kami mengungkap bahwa data pribadimu ditransfer ke negara yang tercantum dalam tabel Pemroses Sub (Global Baseline). Jepang memiliki keputusan kecukupan EU, yang memfasilitasi transfer.
• Informasi Sensitif: Swopli tidak mengumpulkan special care-required personal information (要配慮個人情報) sebagaimana didefinisikan APPI Pasal 2(3). Jika kami perlu mengumpulkan data tersebut, kami akan memperoleh persetujuan opt-in sebelumnya.
• Opt-Out dari Penyediaan Data Pihak Ketiga: Kamu dapat opt out dari penyediaan data pihak ketiga dengan menghubungi dpo@swopli.com.
• Personal Information Protection Commission (PPC): https://www.ppc.go.jp/en/

Korea Selatan (PIPA)

Personal Information Protection Act (PIPA) memberikan hak perlindungan data yang komprehensif.

• Persetujuan: Kami memperoleh persetujuanmu untuk pengumpulan, penggunaan, dan transfer lintas batas saat pendaftaran. Persetujuan untuk transfer lintas batas secara khusus mengungkap: penerima, negara, tujuan, dan jenis data yang ditransfer.
• Transfer Lintas Batas: Transfer diungkapkan dalam tabel Pemroses Sub. Kami mematuhi PIPA Pasal 17 dan Pasal 28-2 terkait transfer luar negeri.
• Hak: Akses, koreksi, penghapusan, dan penghentian pemrosesan. Melalui Settings atau dpo@swopli.com.
• Personal Information Protection Commission (PIPC): https://www.pipc.go.kr/eng/

Singapura (PDPA)

Personal Data Protection Act 2012 (PDPA) mengatur pemrosesan data di Singapura.

• Data Protection Officer: dpo@swopli.com bertindak sebagai DPO yang ditunjuk untuk kepatuhan PDPA.
• Persetujuan: Kami mengumpulkan dan menggunakan data pribadi berdasarkan persetujuan yang diperoleh saat pendaftaran, atau deemed consent jika dapat diharapkan secara wajar (PDPA s. 15).
• Transfer: Kami memastikan penerima memberikan perlindungan sebanding sebagaimana diwajibkan PDPA s. 26.
• Do Not Call Registry: Swopli tidak melakukan telemarketing.
• Personal Data Protection Commission (PDPC): https://www.pdpc.gov.sg/

Thailand (PDPA)

Personal Data Protection Act B.E. 2562 (2019) berlaku. Peraturan pelaksana masih difinalisasi.

• Status: MONITOR — Tidak ada tindakan penegakan terhadap platform asing per tanggal Kebijakan ini. Kami menerapkan prinsip GDPR-first sebagai baseline.
• Hak: Akses, koreksi, penghapusan, pembatasan, portabilitas, dan keberatan — semua tersedia melalui Settings atau dpo@swopli.com.
• Office of the Personal Data Protection Committee (PDPC): https://www.pdpc.or.th/

Vietnam (PDP Decree)

Decree 13/2023/ND-CP tentang perlindungan data pribadi berlaku.

• Status: MONITOR — Portal pengajuan wajib untuk transfer lintas batas (MPS) belum diluncurkan. Kami akan mengajukan saat portal beroperasi.
• Persetujuan: Kami memperoleh persetujuan untuk pemrosesan dan transfer lintas batas saat pendaftaran.
• Data Protection Impact Assessment (DPIA): Kami memiliki templat DPIA yang siap diajukan saat portal MPS dibuka.

Indonesia (PDP Law)

Law No. 27 of 2022 tentang Perlindungan Data Pribadi berlaku. Peraturan pelaksana masih tertunda.

• Status: MONITOR — Peraturan pelaksana belum diterbitkan. Kami menerapkan prinsip GDPR-first.
• Persetujuan: Kami memperoleh persetujuan untuk pemrosesan saat pendaftaran.
• Hak: Akses, koreksi, penghapusan, dan pembatasan.

Malaysia (PDPA 2010)

• Persetujuan: Diperoleh saat pendaftaran. Kami mematuhi Personal Data Protection Act 2010.
• Hak: Akses, koreksi, dan penarikan persetujuan.
• Department of Personal Data Protection: https://www.pdp.gov.my/

Filipina (DPA 2012)

• Persetujuan: Diperoleh saat pendaftaran. Kami mematuhi Republic Act No. 10173.
• Hak: Akses, koreksi, penghapusan, keberatan, dan portabilitas.
• National Privacy Commission (NPC): https://www.privacy.gov.ph/

Taiwan (PDPA)

• Persetujuan: Diperoleh saat pendaftaran. Kami mematuhi Personal Data Protection Act.
• Hak: Akses, koreksi, penghapusan, dan penghentian pemrosesan.

Hong Kong (PDPO)

• Persetujuan: Kami mematuhi Personal Data (Privacy) Ordinance (Cap. 486).
• Prinsip Perlindungan Data: Praktik kami selaras dengan enam DPP.
• Office of the Privacy Commissioner for Personal Data: https://www.pcpd.org.hk/

---

Rest of World

Berlaku untuk: Pengguna yang tinggal di Australia, Selandia Baru, Afrika Selatan, Uni Emirat Arab, Bahrain, Mesir, Israel, Yordania, Kuwait, Oman, Qatar, Lebanon, Moldova, Ukraina, Azerbaijan, dan Pakistan.

Untuk negara dalam bagian ini, kami menerapkan prinsip GDPR-first sebagai baseline global. Jika hukum lokal memberikan hak atau persyaratan spesifik tambahan, kami membahasnya di bawah.

Australia (Privacy Act 1988)

Australian Privacy Principles (APPs) mengatur penanganan data.

• APP 1 (Keterbukaan): Kebijakan Privasi ini berfungsi sebagai kebijakan privasi yang sesuai APP.
• APP 5 (Pemberitahuan): Kami memberi tahu kamu pada atau sebelum waktu pengumpulan tentang hal-hal yang diwajibkan APP 5.
• APP 8 (Pengungkapan Lintas Batas): Kami mengungkap transfer luar negeri dalam tabel Pemroses Sub dan mengambil langkah wajar untuk memastikan penerima mematuhi APP.
• APP 12 (Akses): Kamu dapat mengakses informasi pribadimu melalui Settings atau dpo@swopli.com.
• APP 13 (Koreksi): Kamu dapat memperbaiki informasi pribadimu melalui Settings > Edit Profile.
• Office of the Australian Information Commissioner (OAIC): https://www.oaic.gov.au/

Selandia Baru (Privacy Act 2020)

• Information Privacy Principles (IPPs): Praktik kami mematuhi 13 IPP.
• Transfer Lintas Batas: Kami memastikan penerima transfer tunduk pada perlindungan privasi sebanding.
• Office of the Privacy Commissioner: https://www.privacy.org.nz/

Afrika Selatan (POPIA)

Protection of Personal Information Act 4 of 2013 (POPIA) berlaku.

• Responsible Party: Swopli LTDA adalah responsible party untuk pemrosesan informasi pribadi.
• Conditions for Lawful Processing: Kami mematuhi 8 kondisi berdasarkan POPIA Bab 3.
• Transfer Lintas Batas: Transfer mematuhi POPIA s. 72 (perlindungan memadai atau persetujuan atau kebutuhan kontraktual).
• Hak: Akses, koreksi, penghapusan, keberatan. Melalui Settings atau dpo@swopli.com.
• Information Regulator: https://inforegulator.org.za/

Timur Tengah (UAE, Bahrain, Mesir, Israel, Yordania, Kuwait, Oman, Qatar, Lebanon)

Kerangka perlindungan data di wilayah Timur Tengah sedang berkembang. Kami menerapkan prinsip GDPR-first sebagai baseline dan mematuhi persyaratan spesifik jika berlaku:

• UAE (Federal Decree-Law No. 45 of 2021): Kami memproses data berdasarkan persetujuan dan kebutuhan kontraktual. Data Protection Office: https://tdra.gov.ae/
• Israel (Protection of Privacy Law 5741-1981): Israel memiliki keputusan kecukupan EU. Kami mematuhi persyaratan Israeli Privacy Protection Authority. https://www.gov.il/en/departments/the_privacy_protection_authority
• Bahrain (PDPL 2018): Kami memperoleh persetujuan untuk pemrosesan dan transfer lintas batas.
• Mesir: MONITOR — Data Protection Center (DPC) belum beroperasi. Kami akan mematuhi persyaratan operasional saat DPC diluncurkan.
• Qatar (Law No. 13 of 2016): Kami memproses data berdasarkan persetujuan dan mematuhi persyaratan National Data Privacy Office.

Eropa Timur (Moldova, Ukraina, Azerbaijan)

• Ukraina (Law on Personal Data Protection No. 2297-VI): Kami memproses data berdasarkan persetujuan dan mematuhi persyaratan perlindungan data. Mengingat situasi yang sedang berlangsung, kami mengambil perhatian tambahan terhadap keamanan data pengguna Ukraina.
• Moldova: Kami menerapkan prinsip perlindungan data yang selaras dengan EU.
• Azerbaijan: Kami menerapkan prinsip GDPR-first sebagai baseline.

Pakistan

Kerangka perlindungan data Pakistan sedang berkembang. Kami menerapkan prinsip GDPR-first dan akan mematuhi persyaratan spesifik saat legislasi diberlakukan dan ditegakkan.

Kontak Umum untuk Rest of World

Untuk pengguna di negara Rest of World mana pun, gunakan hak datamu melalui:

• Dalam aplikasi: Settings > Privacy & Data
• Email: dpo@swopli.com
• Formulir web: swopli.com/id/privasi/data-saya

---

Pertanyaan tentang Kebijakan Privasi ini? Hubungi Petugas Perlindungan Data kami di dpo@swopli.com atau tulis ke: Swopli LTDA, Rua Alm Protogenes 289, Sala 122, Santo Andre/SP, CEP 09090-760, Brazil.

Untuk detail tentang cookie kami, lihat Kebijakan Cookie. Untuk detail tentang pemroses sub kami, lihat Daftar Pemroses Sub. Untuk permintaan subjek data, kunjungi /id/privasi/data-saya.