Kebijakan ini menjelaskan bagaimana PT Next Step Advisory (“NSA”, “kami”) mengumpulkan, menggunakan dan melindungi data pribadi sesuai Undang-Undang Republik Indonesia Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Jika Anda mengunjungi situs ini dari Uni Eropa atau Britania Raya, ketentuan tambahan dari GDPR / UK GDPR berlaku dan kami menerapkan tingkat perlindungan yang sebanding.

1. Pengendali Data

PT Next Step Advisory
Jalan Raya Semat No. 1, Tibubeneng, North Kuta, Badung Regency, Bali 80361, Indonesia
KBLI 46511 — Wholesale of computers, computer peripherals and software
Surel: nextstepadvisory11@gmail.com

2. Data Pribadi yang Kami Kumpulkan

Kami mengumpulkan data minimum yang diperlukan untuk merespons permintaan komersial dan memenuhi kewajiban kami sebagai pemasok:

Data identifikasi: nama, jabatan, perusahaan.
Data kontak: alamat surel kerja, nomor telepon, alamat pengiriman.
Data permintaan: isi pesan Anda, model atau kategori yang diminta, kuantitas, deadline.
Data teknis: alamat IP, jenis browser, halaman yang dikunjungi — hanya untuk keamanan dan analitik agregat.

3. Data Pribadi Spesifik dan Data Anak

Kami tidak mengumpulkan «Data Pribadi Spesifik» sebagaimana didefinisikan Pasal 4 ayat (2) UU PDP — data kesehatan, biometrik, genetik, catatan kejahatan, data keuangan pribadi, data anak, atau data agama dan kepercayaan. Situs ini ditujukan untuk klien B2B dewasa; kami tidak secara sadar mengumpulkan data pribadi orang berusia di bawah 17 tahun (Pasal 35 UU PDP). Bila kami menemukan bahwa data anak telah diterima tanpa sengaja, data tersebut akan dihapus tanpa penundaan.

4. Dasar Hukum dan Tujuan

Sesuai Pasal 20 UU PDP, kami memproses setiap kategori data berdasarkan satu dari dasar hukum berikut:

Kategori data	Dasar hukum	Tujuan
Identifikasi + kontak + permintaan	Pelaksanaan kontrak (Pasal 20(2)(b))	Menyusun quote, menerbitkan invoice, mengirim barang, mendukung pasca-jual.
Invoice + catatan transaksi	Kewajiban hukum (Pasal 20(2)(c))	Pencatatan pajak (PPN/PPh) sesuai UU KUP Indonesia.
Data teknis (IP, log, browser)	Kepentingan sah (Pasal 20(2)(f))	Keamanan situs, pencegahan penyalahgunaan, analitik agregat.
Cookie non-esensial	Persetujuan (Pasal 20(2)(a))	Hanya setelah persetujuan eksplisit melalui banner cookie.

5. Periode Retensi

Quote dan korespondensi komersial — 3 tahun sejak pesan terakhir.
Invoice dan dokumen transaksi — 10 tahun (Pasal 28 ayat 11 UU KUP).
Log teknis — 12 bulan.
Catatan persetujuan cookie — 6 bulan sejak terakhir disetujui.

6. Pengungkapan kepada Pihak Ketiga (Processors)

Kami tidak menjual data pribadi. Daftar lengkap pemroses (processors) yang kami gunakan, sesuai dengan kewajiban transparansi:

Pemroses	Tujuan	Yurisdiksi
DigitalOcean LLC	Hosting situs (Droplet, Singapore)	Singapura
Cloudflare, Inc.	DNS, CDN, perlindungan DDoS	USA (EU & UK DPAs)
MinIO / S3-compatible storage	Penyimpanan gambar produk	Singapura
Google LLC (Gmail SMTP)	Pengiriman email transaksional dari /contact dan /quote, plus kotak surat tujuan.	USA
Penyedia logistik (pengiriman barang)	Alamat pengiriman, nama, telepon untuk pengantaran.	Indonesia
Otoritas pajak Indonesia (DJP)	Pelaporan pajak bila diwajibkan hukum.	Indonesia

7. Transfer Lintas Batas

Beberapa pemroses di atas berlokasi di luar Indonesia (Singapura dan Amerika Serikat). Sesuai Pasal 56 UU PDP, kami melakukan transfer hanya bila salah satu syarat terpenuhi: (a) negara tujuan menyediakan tingkat perlindungan yang setara atau lebih tinggi; (b) terdapat klausul kontrak standar (Standard Contractual Clauses / SCC) atau Binding Corporate Rules (BCR) antara kami dan pemroses; atau (c) terdapat persetujuan eksplisit dari subjek data. Saat ini transfer ke pemroses di Singapura dan USA dilakukan berdasarkan SCC / DPA standar yang dipublikasikan oleh masing-masing penyedia. Sertifikasi ISO 27001 / SOC 2 dari pemroses adalah lapisan tambahan, bukan dasar hukum transfer.

8. Hak Subjek Data

Berdasarkan Pasal 5–13 UU PDP, Anda memiliki hak untuk:

Mendapatkan informasi yang jelas tentang pemrosesan (Pasal 5–6).
Mengakses data Anda dan menerima salinan (Pasal 7).
Melengkapi dan memperbarui data yang tidak akurat (Pasal 8).
Menghapus data Anda (Pasal 9), tunduk pada periode retensi hukum.
Menarik persetujuan kapan saja untuk pemrosesan berbasis persetujuan (Pasal 10).
Menolak keputusan berbasis otomatis (Pasal 11). Saat ini kami tidak menggunakan profiling otomatis.
Membatasi pemrosesan tertentu (Pasal 12).
Menuntut kompensasi atas kerugian akibat pelanggaran data (Pasal 13).
Memindahkan data Anda ke pengendali lain (portabilitas).

Hubungi kami di nextstepadvisory11@gmail.com untuk menggunakan hak-hak ini. Kami merespons dalam 30 hari kalender.

9. Pemberitahuan Pelanggaran Data

Sesuai Pasal 46 UU PDP, jika terjadi pelanggaran data pribadi yang berdampak signifikan, kami akan memberitahukan subjek data yang terdampak dan otoritas pengawas dalam waktu paling lambat 3 × 24 jam sejak diketahui. Pemberitahuan akan menjelaskan: kategori data yang terdampak, waktu dan dampak pelanggaran, serta langkah penanganan dan mitigasi yang diambil.

10. Keamanan

Kami menggunakan TLS untuk semua transfer data, enkripsi penyimpanan, kontrol akses berbasis peran, dan audit log. Akses dibatasi pada karyawan yang membutuhkannya untuk pekerjaan. Pemroses pihak ketiga yang kami pilih memegang sertifikasi keamanan yang diakui (ISO 27001 dan/atau SOC 2).

11. Pejabat Pelindungan Data

Berdasarkan Pasal 53 UU PDP, penunjukan formal Pejabat Pelindungan Data wajib hanya untuk pengendali yang (a) memproses data atas nama lembaga publik, (b) melakukan pemantauan sistematis skala besar, atau (c) memproses Data Pribadi Spesifik dalam skala besar. Aktivitas kami sebagai pedagang grosir IT tidak masuk dalam kategori tersebut. Pertanyaan terkait privasi ditangani langsung oleh manajemen melalui surel di atas; pertanyaan dapat diajukan ke direktur (Ilgar Mustafaev) sebagai Person-in-Charge.

12. Perubahan Kebijakan

Kami dapat memperbarui kebijakan ini sesekali. Tanggal berlaku di bagian atas mencerminkan revisi terbaru. Perubahan material akan ditandai dengan jelas di halaman ini dan, bila berpengaruh besar pada pemrosesan, dikomunikasikan kepada subjek data yang relevan melalui surel.

Pertanyaan?

Tulis surel ke nextstepadvisory11@gmail.com.

1. Pengendali Data

2. Data Pribadi yang Kami Kumpulkan

Kami mengumpulkan data minimum yang diperlukan untuk merespons permintaan komersial dan memenuhi kewajiban kami sebagai pemasok:

Data identifikasi: nama, jabatan, perusahaan.
Data kontak: alamat surel kerja, nomor telepon, alamat pengiriman.
Data permintaan: isi pesan Anda, model atau kategori yang diminta, kuantitas, deadline.
Data teknis: alamat IP, jenis browser, halaman yang dikunjungi — hanya untuk keamanan dan analitik agregat.

3. Data Pribadi Spesifik dan Data Anak

4. Dasar Hukum dan Tujuan

Sesuai Pasal 20 UU PDP, kami memproses setiap kategori data berdasarkan satu dari dasar hukum berikut:

Kategori data	Dasar hukum	Tujuan
Identifikasi + kontak + permintaan	Pelaksanaan kontrak (Pasal 20(2)(b))	Menyusun quote, menerbitkan invoice, mengirim barang, mendukung pasca-jual.
Invoice + catatan transaksi	Kewajiban hukum (Pasal 20(2)(c))	Pencatatan pajak (PPN/PPh) sesuai UU KUP Indonesia.
Data teknis (IP, log, browser)	Kepentingan sah (Pasal 20(2)(f))	Keamanan situs, pencegahan penyalahgunaan, analitik agregat.
Cookie non-esensial	Persetujuan (Pasal 20(2)(a))	Hanya setelah persetujuan eksplisit melalui banner cookie.

5. Periode Retensi

Quote dan korespondensi komersial — 3 tahun sejak pesan terakhir.
Invoice dan dokumen transaksi — 10 tahun (Pasal 28 ayat 11 UU KUP).
Log teknis — 12 bulan.
Catatan persetujuan cookie — 6 bulan sejak terakhir disetujui.

6. Pengungkapan kepada Pihak Ketiga (Processors)

Kami tidak menjual data pribadi. Daftar lengkap pemroses (processors) yang kami gunakan, sesuai dengan kewajiban transparansi:

Pemroses	Tujuan	Yurisdiksi
DigitalOcean LLC	Hosting situs (Droplet, Singapore)	Singapura
Cloudflare, Inc.	DNS, CDN, perlindungan DDoS	USA (EU & UK DPAs)
MinIO / S3-compatible storage	Penyimpanan gambar produk	Singapura
Google LLC (Gmail SMTP)	Pengiriman email transaksional dari /contact dan /quote, plus kotak surat tujuan.	USA
Penyedia logistik (pengiriman barang)	Alamat pengiriman, nama, telepon untuk pengantaran.	Indonesia
Otoritas pajak Indonesia (DJP)	Pelaporan pajak bila diwajibkan hukum.	Indonesia

7. Transfer Lintas Batas

8. Hak Subjek Data

Berdasarkan Pasal 5–13 UU PDP, Anda memiliki hak untuk:

Mendapatkan informasi yang jelas tentang pemrosesan (Pasal 5–6).
Mengakses data Anda dan menerima salinan (Pasal 7).
Melengkapi dan memperbarui data yang tidak akurat (Pasal 8).
Menghapus data Anda (Pasal 9), tunduk pada periode retensi hukum.
Menarik persetujuan kapan saja untuk pemrosesan berbasis persetujuan (Pasal 10).
Menolak keputusan berbasis otomatis (Pasal 11). Saat ini kami tidak menggunakan profiling otomatis.
Membatasi pemrosesan tertentu (Pasal 12).
Menuntut kompensasi atas kerugian akibat pelanggaran data (Pasal 13).
Memindahkan data Anda ke pengendali lain (portabilitas).

Hubungi kami di nextstepadvisory11@gmail.com untuk menggunakan hak-hak ini. Kami merespons dalam 30 hari kalender.

9. Pemberitahuan Pelanggaran Data

10. Keamanan

11. Pejabat Pelindungan Data

12. Perubahan Kebijakan

Pertanyaan?

Tulis surel ke nextstepadvisory11@gmail.com.

Kebijakan Privasi.

1. Pengendali Data

2. Data Pribadi yang Kami Kumpulkan

3. Data Pribadi Spesifik dan Data Anak

4. Dasar Hukum dan Tujuan

5. Periode Retensi

6. Pengungkapan kepada Pihak Ketiga (Processors)

7. Transfer Lintas Batas

8. Hak Subjek Data

9. Pemberitahuan Pelanggaran Data

10. Keamanan

11. Pejabat Pelindungan Data

12. Perubahan Kebijakan

Pertanyaan?

Kebijakan Privasi.

1. Pengendali Data

2. Data Pribadi yang Kami Kumpulkan

3. Data Pribadi Spesifik dan Data Anak

4. Dasar Hukum dan Tujuan

5. Periode Retensi

6. Pengungkapan kepada Pihak Ketiga (Processors)

7. Transfer Lintas Batas

8. Hak Subjek Data

9. Pemberitahuan Pelanggaran Data

10. Keamanan

11. Pejabat Pelindungan Data

12. Perubahan Kebijakan

Pertanyaan?