1. Identitas Pengendali Data

Aplikasi KantorRTRW dikelola oleh KantorRTRW Team (selanjutnya disebut "Kami"). Kami bertindak sebagai Pengendali Data Pribadi atas seluruh data yang Anda berikan melalui aplikasi ini.

Untuk pertanyaan terkait data pribadi, hubungi Petugas Pelindung Data (DPO) di dpo@kantorrtrw.com. Anda juga dapat mengakses, mengoreksi, atau menghapus data Anda dari halaman "Privasi & Data" di dalam aplikasi.

2. Data yang Dikumpulkan

Identitas: nama lengkap (selalu dikumpulkan), nomor telepon (selalu, untuk login OTP), serta NIK, nomor KK, foto KTP, dan data biografi KTP (tempat & tanggal lahir, jenis kelamin, agama, status perkawinan, pekerjaan, golongan darah) — pengumpulan field-field ini tergantung konfigurasi RT/RW Anda; SuperAdmin platform dapat menetapkan tiap field sebagai Wajib, Tunda (diisi nanti dari menu "Lengkapi Profil"), atau Tidak Dikumpulkan sama sekali. Email dan foto profil (avatar) bersifat opsional dan diset sendiri oleh warga.

Profil tempat tinggal: alamat rumah, RT/RW, nomor rumah, status hunian (pemilik / penyewa / anggota keluarga), tanggal pindah, kontak darurat. Untuk Tenancy / sewa-menyewa: nama penyewa, jenis dokumen, masa sewa.

Aktivitas: pengajuan surat pengantar (termasuk lampiran), aduan/keluhan (termasuk foto), pemilihan musyawarah, pass tamu QR yang diterbitkan, kendaraan terdaftar (plat & jenis), iklan & transaksi Pasar Warga (termasuk foto barang & log kontak antar warga), permintaan & pembatalan booking fasilitas, RSVP acara.

Tombol Darurat & Patroli (hanya saat fitur aktif): titik koordinat GPS Anda dikirim ke pengurus + Satpam saat tombol panic ditekan, atau saat petugas Satpam mencatat patroli di checkpoint (foto + GPS).

Data teknis: nomor token push notifikasi (Expo Push), versi aplikasi, platform (iOS / Android), bahasa aplikasi, preferensi notifikasi per kategori, sesi login (refresh token JWT), permintaan penghapusan akun jika ada.

Log operasional: catatan pengiriman OTP & push notifikasi (status keberhasilan, bukan isi pesan), log audit tindakan pengurus (siapa menerbitkan / menolak surat, mengubah peran, dll.).

3. Tujuan Pemrosesan

Mengelola layanan administrasi RT/RW (surat pengantar, info iuran bulanan, pendataan warga, booking fasilitas).

Memverifikasi identitas warga dan tamu di gerbang (QR pass + lookup kendaraan).

Mengirim notifikasi terkait layanan (status surat, aduan, panic alert, RSVP acara, pengumuman, hasil polling).

Mendeteksi & memperbaiki kesalahan teknis (laporan error otomatis lewat Sentry — data PII otomatis disensor sebelum dikirim).

Mendukung penegakan hukum dan kepatuhan terhadap regulasi pemerintah daerah & nasional, termasuk pelaporan data warga ke kelurahan/kecamatan jika diminta oleh peraturan setempat.

4. Dasar Hukum Pemrosesan

Persetujuan Anda saat mendaftar sebagai warga atau menyetujui Kebijakan ini.

Pelaksanaan kewajiban kontraktual antara Anda dan pengurus RT/RW (iuran, layanan administrasi).

Kepentingan sah pengelola Kawasan untuk keamanan lingkungan (visitor pass, panic alert, kendaraan).

Kepatuhan terhadap kewajiban hukum (pelaporan ke kelurahan/kecamatan jika diminta).

5. Penerima Data

Pengurus RT/RW di Kawasan Anda (akses dibatasi peran: PENGURUS, NEWS_REVIEWER, dll.).

Satpam / Kepala Satpam untuk verifikasi tamu, lookup kendaraan, dan tindak lanjut panic alert. Akses Satpam dibatasi pada permukaan operasional gerbang & tidak mencakup data PII keuangan.

SuperAdmin platform untuk triase masalah kritis (akses dicatat di audit log; tidak digunakan untuk konsumsi rutin).

Penyedia infrastruktur tepercaya: Railway (hosting & basis data Postgres), Redis (cache & rate limit), Expo Push / Apple APNS / Google FCM (pengiriman notifikasi), Sentry (pelaporan error dengan PII otomatis tersensor), Pika (rute pesan WhatsApp untuk OTP, jika diaktifkan administrator deployment).

Tidak ada data pribadi yang dijual atau dibagikan ke pihak ketiga untuk tujuan pemasaran. Tidak ada profiling otomatis yang menghasilkan keputusan signifikan tanpa keterlibatan manusia.

6. Periode Penyimpanan

Data warga aktif: selama Anda terdaftar sebagai warga di salah satu Kawasan.

Riwayat surat pengantar & aduan: 5 tahun setelah penyelesaian (mengikuti praktik kearsipan kelurahan).

Riwayat iuran: 7 tahun (mengikuti standar pencatatan keuangan Indonesia).

Pass tamu QR: 90 hari setelah masa berlaku berakhir, lalu dihapus.

Log pengiriman OTP & push notifikasi: 30 hari (dapat dikonfigurasi administrator deployment, minimum 7 hari) — disimpan untuk diagnosa gangguan delivery, bukan isi pesan.

Audit log tindakan pengurus: terikat masa hidup akun pengurus & Kawasan tersebut; dihapus bersamaan dengan akun.

Laporan error teknis (Sentry): mengikuti retensi standar Sentry (umumnya ≤ 90 hari), dengan PII tersensor.

Setelah Anda meminta penghapusan akun lewat tombol "Hapus Akun", data akan disimpan selama minimal 30 hari (masa tenggang untuk pembatalan permintaan), lalu dihapus permanen secara otomatis kecuali ada kewajiban hukum yang mengharuskan kami menyimpannya lebih lama.

7. Hak Anda Sebagai Subjek Data

Hak akses: melihat seluruh data yang kami simpan tentang Anda (tombol "Unduh Data Saya").

Hak pembetulan: memperbarui data yang tidak akurat (lewat halaman Profil).

Hak penghapusan: meminta penghapusan akun dan data terkait (tombol "Hapus Akun").

Hak portabilitas: mengunduh data dalam format yang dapat dibaca mesin (JSON).

Hak menarik persetujuan: dengan menghapus akun, Anda menarik persetujuan pemrosesan.

Hak menyampaikan keluhan ke lembaga pelindungan data pribadi yang ditetapkan oleh Pemerintah Republik Indonesia di bawah UU PDP No. 27 Tahun 2022.

8. Keamanan Data

Data dienkripsi saat transit (HTTPS / TLS) di seluruh komunikasi aplikasi ↔ server.

Token sensitif (refresh JWT, OTP, payload QR) disimpan terpisah di Redis dengan masa berlaku terbatas dan dapat dicabut sewaktu-waktu.

Akses ke data warga dibatasi per peran (warga / pengurus / Satpam / SuperAdmin) dan per Kawasan — penegakan dilakukan di lapisan aplikasi sebelum kueri menyentuh basis data (Prisma middleware estate-scoping).

Sesi login menggunakan token JWT berumur pendek (15 menit) dengan refresh token (30 hari) yang dapat dicabut oleh SuperAdmin secara terpisah jika ada indikasi penyalahgunaan.

Tindakan administratif (penerbitan / penolakan surat, perubahan peran, kick paksa, suspend Kawasan) dicatat di audit log yang tidak dapat diubah oleh pengurus biasa.

Endpoint sensitif (OTP, registrasi warga, verifikasi publik) memiliki pembatasan rate per-IP & per-nomor untuk mencegah penyalahgunaan.

Laporan error otomatis (Sentry) menyensor field PII (OTP, NIK, KK, foto KTP, nomor telepon, email, koordinat GPS) sebelum data meninggalkan perangkat.

Permintaan reviewer App Store / Play menggunakan akun demo terpisah dengan OTP tetap — tidak menyentuh data warga sungguhan.

9. Anak di Bawah Umur

Aplikasi KantorRTRW ditujukan untuk warga yang berusia minimum 13 tahun. Anak di bawah 13 tahun tidak boleh membuat akun sendiri; pendaftaran anggota keluarga di bawah 13 tahun harus dilakukan oleh orang tua atau wali yang sudah terdaftar sebagai warga.

Apabila kami mengetahui bahwa data anak di bawah 13 tahun telah dikumpulkan tanpa persetujuan orang tua/wali, data tersebut akan dihapus segera. Hubungi DPO di dpo@kantorrtrw.com untuk laporan terkait.

10. Perubahan Kebijakan

Kami dapat memperbarui Kebijakan Privasi ini sewaktu-waktu. Versi terbaru selalu tersedia di halaman ini. Perubahan signifikan akan diumumkan via notifikasi push.

11. Tanggal Berlaku

Versi 1.4 — efektif 17 Mei 2026.