Kebijakan Privasi

Terahub adalah layanan penggajian berbasis web untuk usaha kecil dan menengah di Indonesia. Kebijakan ini menjelaskan data apa yang kami kumpulkan saat kamu menggunakan Terahub, bagaimana kami menggunakannya, dan apa hak kamu atas data tersebut, sesuai dengan Undang-Undang Perlindungan Data Pribadi No. 27/2022 (UU PDP).

Dengan mendaftar dan menggunakan Terahub, kamu menyetujui kebijakan ini. Jika ada yang tidak kamu setujui, mohon hentikan penggunaan layanan dan hubungi kami untuk penghapusan data.

Sesuai dengan UU PDP No. 27/2022, Pengendali Data Pribadi atas layanan ini adalah:

Data akun. Saat kamu mendaftar, kami menyimpan nama lengkap, nama perusahaan, dan alamat email kamu. Data ini digunakan untuk mengidentifikasi akunmu dan mengirimkan notifikasi terkait layanan.

Data karyawan (termasuk data pribadi bersifat spesifik). Saat kamu memasukkan data karyawan, kami menyimpan informasi seperti nama, Nomor Induk Kependudukan (NIK), Nomor Pokok Wajib Pajak (NPWP), jabatan, tanggal masuk, gaji, tunjangan, dan status pajak. NIK dan NPWP tergolong data pribadi bersifat spesifik berdasarkan Pasal 4 ayat (2) UU PDP dan diproses berdasarkan persetujuan eksplisit yang kamu berikan saat memasukkan data tersebut. Data ini sepenuhnya milik perusahaanmu dan hanya digunakan untuk keperluan penghitungan penggajian.

Data penggajian. Hasil penghitungan pajak, slip gaji yang dihasilkan, dan rekap penggajian disimpan agar kamu bisa mengaksesnya kapan saja.

Data cuti dan catatan cuti. Pengajuan cuti yang kamu kirimkan melalui portal karyawan, termasuk tipe cuti, tanggal, dan catatan opsional, disimpan dan dapat dilihat oleh admin dan operator perusahaanmu. Untuk cuti sakit, catatan bersifat opsional. Kamu bertanggung jawab atas isi catatan yang kamu tulis dan sebaiknya tidak mencantumkan informasi medis yang tidak diperlukan.

Data teknis. Kami mencatat alamat IP dan informasi browser secara otomatis untuk keamanan dan pendeteksian masalah. Data ini tidak dikaitkan dengan identitas pribadi dan dihapus setelah 90 hari.

Sesuai Pasal 20 UU PDP, setiap pemrosesan data pribadi memiliki dasar hukum yang jelas:

• •Data akun: diperlukan untuk pelaksanaan kontrak layanan antara kamu dan Terahub
• •Data karyawan (termasuk NIK dan NPWP) berdasarkan persetujuan eksplisit yang kamu berikan saat memasukkan data, serta kepentingan sah perusahaanmu untuk memenuhi kewajiban pajak
• •Data penggajian dan hasil perhitungan berdasarkan kewajiban hukum terkait dokumentasi perpajakan sesuai ketentuan DJP, serta pelaksanaan kontrak
• •Data teknis (IP, browser): kepentingan sah kami untuk menjaga keamanan dan kestabilan layanan
• •Data karyawan yang diakses oleh pengguna agensi (Mode Agensi): persetujuan eksplisit yang diberikan oleh admin perusahaan klien saat menyetujui permintaan akses agensi melalui aplikasi Terahub, sesuai Pasal 20 dan 56 UU PDP No. 27/2022

• •Menjalankan fitur penghitungan gaji dan pajak yang kamu minta
• •Mengirimkan email verifikasi dan notifikasi penting terkait akunmu
• •Mendeteksi dan mencegah penyalahgunaan layanan
• •Memperbaiki dan meningkatkan produk berdasarkan pola penggunaan (tanpa mengidentifikasi individu)

Kami tidak menggunakan data kamu untuk iklan, tidak menjual data ke pihak ketiga, dan tidak menggunakan data karyawanmu untuk keperluan di luar layanan Terahub.

Terahub menggunakan cookie dan penyimpanan lokal browser untuk keperluan berikut:

• •Cookie sesi autentikasi: diperlukan agar kamu tetap masuk ke akun selama sesi berlangsung. Cookie ini wajib dan tidak dapat dinonaktifkan.
• •Penyimpanan preferensi: menyimpan pengaturan tampilan dan preferensi lokalmu di browser.
• •Analitik produk (PostHog): menyimpan ID anonim untuk menghitung tindakan produk seperti “periode difinalisasi” atau “laporan diekspor.” Tidak ada data pribadi karyawan yang dikirim ke PostHog. Kamu dapat menonaktifkan ini di pengaturan browser (mode Do Not Track dihormati).

Kami tidak menggunakan cookie pihak ketiga untuk pelacakan iklan. Dengan menggunakan Terahub, kamu menyetujui penggunaan cookie yang diperlukan untuk menjalankan layanan.

Data disimpan di server Supabase yang berlokasi di Singapura (ap-southeast-1). Setiap perusahaan memiliki isolasi data penuh. Tidak ada akun lain yang bisa mengakses data kamu, bahkan secara tidak sengaja.

Transfer data ke luar wilayah Indonesia dilakukan berdasarkan perjanjian pemrosesan data (Data Processing Agreement) yang telah ditandatangani dengan setiap sub-prosesor kami, yang memuat perlindungan setara sesuai ketentuan Pasal 56 UU PDP No. 27/2022. Daftar lengkap sub-prosesor beserta kategori data dan yurisdiksinya tercantum pada Bagian 8.

Koneksi ke layanan kami dienkripsi menggunakan HTTPS. Data pribadi spesifik (NIK, NPWP) disimpan di infrastruktur Supabase yang dilindungi enkripsi AES-256 level storage, bersertifikasi SOC 2 Type II. Perlindungan ini bekerja di level infrastruktur penyimpanan, bukan enkripsi per kolom di level database. Akses ke data ini dibatasi secara ketat oleh Row Level Security di level database.

Sebagai langkah minimisasi data, NIK dan NPWP tidak dicatat dalam log audit sistem dan hanya dapat diakses oleh pengguna dengan hak pengelolaan penggajian (admin dan operator). Pengguna dengan peran viewer tidak dapat melihat NIK dan NPWP.

Kami menyimpan data selama akun kamu aktif. Jika kamu mengajukan penghapusan akun melalui halaman Pengaturan, permintaan akan masuk antrean 30 hari dan data akan dihapus permanen setelahnya.

Pengecualian retensi perpajakan. Data periode penggajian yang sudah difinalisasi (termasuk detail perhitungan PPh 21, log audit, dan hash finalisasi) wajib disimpan selama minimal 10 tahun berdasarkan Pasal 29 UU KUP No. 6/1983 sebagaimana diubah terakhir dengan UU HPP No. 7/2021. Data ini merupakan dokumen perpajakan yang diperlukan untuk pemeriksaan DJP dan tidak dapat dihapus lebih awal, meskipun akun sudah ditutup.

Data karyawan (nama, NIK, NPWP) yang tercatat dalam periode yang sudah difinalisasi ikut dipertahankan sebagai bagian dari snapshot perhitungan yang wajib disimpan. Ini adalah konsekuensi dari kewajiban hukum perpajakan, bukan pilihan kami. Kami sedang mengevaluasi pseudonymisasi sebagian data ini sebagai langkah perlindungan tambahan (lihat TDR pgcrypto di dokumentasi teknis kami).

Kami menggunakan penyedia layanan berikut untuk menjalankan Terahub. Setiap sub-prosesor terikat oleh perjanjian pemrosesan data (DPA) dan hanya memproses data sesuai instruksi kami. Tidak ada sub-prosesor yang berhak menggunakan datamu untuk kepentingan mereka sendiri.

Daftar sub-prosesor dapat berubah. Penambahan sub-prosesor baru yang memproses data pribadi spesifik (NIK, NPWP) akan diberitahukan sesuai ketentuan Bagian 11.

Berdasarkan UU PDP No. 27/2022, kamu berhak untuk:

• •Mengakses: memperoleh informasi tentang data pribadi yang kami simpan tentang kamu dan perusahaanmu
• •Portabilitas: mengunduh semua data perusahaan dalam format yang dapat dibaca mesin (CSV dan PDF) melalui menu Pengaturan → Ekspor Semua Data
• •Koreksi: meminta perbaikan data yang tidak akurat atau tidak lengkap
• •Penghapusan: mengajukan penghapusan akun dan data melalui Pengaturan → Hapus Akun. Penghapusan diproses dalam 30 hari. Data periode yang sudah difinalisasi dikecualikan karena kewajiban retensi perpajakan 10 tahun (lihat Bagian 7 untuk penjelasan lengkap).
• •Keberatan: mengajukan keberatan atas cara kami memproses datamu berdasarkan kepentingan sah
• •Penarikan persetujuan: menarik persetujuan yang pernah kamu berikan kapan saja, tanpa mempengaruhi keabsahan pemrosesan yang dilakukan sebelum penarikan

Hak portabilitas dan penghapusan dapat digunakan langsung melalui halaman Pengaturan di aplikasi. Untuk hak lainnya (akses, koreksi, keberatan, penarikan persetujuan), kirimkan permintaan ke email kami. Kami akan merespons dalam 14 hari kerja.

Jika kamu merasa hak-hakmu tidak dipenuhi, kamu berhak mengajukan pengaduan kepada otoritas pengawas perlindungan data pribadi yang berwenang di Indonesia sesuai ketentuan UU PDP No. 27/2022 Pasal 67–69.

Jika terjadi kebocoran, kerusakan, atau akses tidak sah terhadap data pribadimu yang dapat merugikanmu secara material, kami akan:

• •Memberitahumu melalui email dalam 14 hari kalender sejak kami mengetahui insiden tersebut, sesuai Pasal 46 UU PDP No. 27/2022
• •Menjelaskan data apa yang terdampak, perkiraan skala, dan langkah yang telah kami ambil untuk mengatasi insiden
• •Menyampaikan rekomendasi langkah yang dapat kamu ambil untuk melindungi dirimu

Jika kamu menemukan atau mencurigai adanya kebocoran data, segera hubungi kami di support@terahub.id.

Jika ada perubahan signifikan pada kebijakan ini (termasuk penambahan pihak ketiga baru atau perubahan dasar hukum pemrosesan), kami akan memberitahumu melalui email atau notifikasi di dalam aplikasi minimal 14 hari kalender sebelum perubahan berlaku. Perubahan kecil seperti klarifikasi bahasa dapat berlaku segera dengan pembaruan tanggal di bagian atas halaman ini.

Jika ada pertanyaan tentang kebijakan ini atau cara kami menangani datamu, kamu bisa menghubungi kami di: