Kebijakan Privasi / Privacy Policy

Aplikasi Surau

Versi: 1.0 Berlaku sejak / Effective date: 1 Maret 2026 Diperbarui / Last updated: 24 Februari 2026

Bilingual document. Indonesian version (Bahasa Indonesia) is the legally binding version in accordance with UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP). The English translation is provided for convenience.

BAHASA INDONESIA

1. Tentang Kami

SURAU ("kami", "kita", "platform") adalah layanan platform Islam Indonesia yang dioperasikan oleh PT. Surya Amanah Ummat, berkedudukan di Jl. Pinang Ranti II, Rt.13/Rw.1, Pinang Ranti, Kec. Makasar, Jakarta Timur, Indonesia 13560. Platform ini menghubungkan jemaah, masjid, dan komunitas Muslim melalui fitur ibadah, muamalah, dan kegiatan sosial Islami.

Tagline: "Connecting Jemaah" Kontak Privasi: privacy@surau.app

2. Data Pribadi yang Kami Kumpulkan

2.1 Data yang Anda Berikan Langsung

Kategori	Data	Tujuan
Identitas	Nama, foto profil	Profil akun
Kontak	Nomor telepon	Autentikasi OTP
Lokasi manual	Kota/kabupaten	Jadwal shalat & kiblat
Konten	Pesan, komentar, postingan komunitas	Fitur sosial
Keuangan	Riwayat transaksi (tanpa data kartu)	Sadaqah, donasi, muamalah

2.2 Data yang Dikumpulkan Otomatis saat Penggunaan

Kategori	Data	Tujuan
Lokasi presisi	GPS real-time	Pencarian masjid terdekat, arah kiblat, ibadah Haji
Kamera	Gambar dari kamera	QR code, unggah foto profil/konten
Mikrofon / Audio	Rekaman suara	Fitur tanya-jawab ilmu (ADA), tilawah
Bluetooth (BLE)	Sinyal BLE perangkat sekitar	Fitur Haji Offline — pelacak jemaah hilang
Notifikasi	Token perangkat FCM	Notifikasi adzan, pengumuman masjid
Teknis	Model perangkat, versi OS, IP address	Keamanan, debug, analitik layanan
Penggunaan	Halaman dikunjungi, waktu sesi	Peningkatan fitur (dianonim)

2.3 Data Anak

Platform Surau tidak ditujukan untuk anak di bawah usia 13 tahun. Kami tidak mengumpulkan data pribadi anak secara sadar. Jika Anda orang tua dan mengetahui anak Anda mendaftar tanpa izin, hubungi kami di privacy@surau.app untuk penghapusan data.

3. Dasar Hukum Pemrosesan Data

Pemrosesan data Anda berdasarkan salah satu atau lebih dasar berikut (UU PDP Pasal 20):

Persetujuan (consent): Anda memberikan izin eksplisit (lokasi, kamera, mikrofon, BLE)
Pelaksanaan perjanjian: Data diperlukan untuk menyediakan layanan yang Anda minta
Kepentingan yang sah (legitimate interest): Keamanan platform, pencegahan penipuan, analitik agregat
Kewajiban hukum: Kepatuhan terhadap regulasi OJK, Kominfo, dan kewajiban perpajakan

4. Penggunaan Data

Kami menggunakan data Anda untuk:

Menyediakan fitur ibadah: jadwal shalat, arah kiblat, Al-Quran, tazkiyah
Menampilkan masjid, tempat halal, dan fasilitas Islam terdekat
Memproses transaksi muamalah, sadaqah, dan donasi
Mengirimkan notifikasi adzan dan pengumuman masjid Anda
Meningkatkan kualitas asisten ADA (dianonim)
Fitur Haji Offline: membantu jemaah yang terpisah dengan BLE
Keamanan akun (deteksi login mencurigakan, pencegahan penipuan)
Memenuhi kewajiban hukum dan regulasi Indonesia

Kami TIDAK:

Menjual data Anda kepada pihak ketiga
Menggunakan data untuk iklan pihak ketiga
Membagikan data kepada broker data

5. Berbagi Data dengan Pihak Ketiga

Pihak Ketiga	Tujuan	Lokasi Data	Perlindungan
Google Firebase	Notifikasi push (FCM), Crashlytics	AS/Singapura	Google Privacy Policy, SCCs
Google Cloud	Infrastruktur server (asia-southeast1)	Singapura	Google Cloud DPA
Twilio	Pengiriman OTP via SMS	AS	Twilio DPA
OpenAI / Provider AI	ADA — asisten Islam AI (teks, suara)	AS	OpenAI DPA
Midtrans / Payment Gateway	Proses pembayaran muamalah	Indonesia	Terikat NDA & DPA
Masjid terdaftar	Data jemaah yang terhubung ke masjid tersebut	Indonesia	Perjanjian Kerahasiaan

Kami memastikan seluruh pemrosesan lintas batas memenuhi persyaratan transfer internasional UU PDP.

6. Penyimpanan dan Retensi Data

Jenis Data	Retensi
Data akun aktif	Selama akun aktif
Riwayat transaksi keuangan	5 tahun (kewajiban pajak)
Log audit keamanan	2 tahun
Data BLE Haji (sesi haji)	45 hari setelah musim haji
Rekaman audio (Ada)	Diproses, tidak disimpan permanen
Data log teknis	90 hari

Setelah akun dihapus, data dianonimkan atau dihapus dalam 30 hari, kecuali ada kewajiban retensi hukum.

7. Hak-Hak Anda (UU PDP Pasal 5-17)

Anda memiliki hak untuk:

Mengakses data pribadi Anda yang kami simpan
Memperbaiki data yang tidak akurat
Menghapus data Anda (hak untuk dilupakan) — melalui Pengaturan → Hapus Akun atau email ke privacy@surau.app
Membatasi pemrosesan dalam kondisi tertentu
Memindahkan data (portabilitas data) dalam format yang dapat dibaca mesin
Mencabut persetujuan kapan saja (tidak memengaruhi pemrosesan sebelumnya)
Mengajukan keberatan terhadap pemrosesan tertentu
Tidak menjadi subjek keputusan otomatis semata-mata

Untuk mengajukan permintaan, kirim email ke privacy@surau.app dengan subjek: [PERMINTAAN PRIVASI] - [Jenis Permintaan]. Kami akan merespons dalam 30 hari kalender.

8. Keamanan Data

Kami menerapkan langkah-langkah teknis dan organisasi:

Enkripsi data saat transit (TLS 1.3) dan saat diam (AES-256)
Autentikasi JWT RS256 (kriptografi asimetris)
Penyimpanan kredensial di GCP Secret Manager (bukan hardcoded)
Audit log untuk setiap akses data sensitif
Pengujian penetrasi berkala
Akses data internal berbasis prinsip least-privilege

9. Perubahan Kebijakan

Kami akan memberi tahu Anda melalui notifikasi in-app atau email sekurang-kurangnya 30 hari sebelum perubahan material berlaku. Penggunaan layanan setelah tanggal efektif merupakan penerimaan terhadap kebijakan yang diperbarui.

10. Hubungi Kami

Penanggung Jawab Perlindungan Data Pribadi (PIC): Email: privacy@surau.app Alamat: Jl. Pinang Ranti II, Rt.13/Rw.1, Pinang Ranti, Kec. Makasar, Jakarta Timur, Indonesia 13560

Regulasi: Anda dapat mengajukan pengaduan kepada Lembaga Pengawas Perlindungan Data Pribadi yang dibentuk berdasarkan UU PDP No. 27/2022, atau kepada Kementerian Komunikasi dan Informatika Republik Indonesia.

ENGLISH VERSION (Translation — Indonesian version prevails)

1. Who We Are

SURAU ("we", "our", "platform") is an Indonesian Islamic super-platform operated by PT. Surya Amanah Ummat, located at Jl. Pinang Ranti II, Rt.13/Rw.1, Pinang Ranti, Kec. Makasar, East Jakarta, Indonesia 13560. The platform connects jemaah (congregants), mosques, and Muslim communities through Islamic worship, commerce, and social features. "Connecting Jemaah."

Privacy Contact: privacy@surau.app

2. Personal Data We Collect

2.1 Data You Provide Directly

Identity: Name, profile photo
Contact: Phone number (for OTP authentication)
Location (manual): City/district for prayer times and qibla direction
Content: Messages, comments, community posts
Financial: Transaction history (no card data stored by us)

2.2 Data Collected Automatically During Use

Precise location (GPS): Nearest mosque finder, qibla direction, Hajj companion features
Camera: QR code scanning, profile/content photo uploads
Microphone/Audio: ADA Islamic Q&A, Quran recitation features
Bluetooth (BLE): Hajj Offline — lost pilgrim tracking within groups
Push notification token: FCM token for adhan alerts and mosque announcements
Device/technical: Device model, OS version, IP address (security and crash reporting)
Usage analytics: Pages visited, session duration (anonymized for feature improvement)

2.3 Children's Data

Surau is not intended for children under 13. We do not knowingly collect data from children. Contact privacy@surau.app for removal if applicable.

3. Legal Basis for Processing

We process your data under one or more of:

Consent: Explicit permission for location, camera, microphone, BLE
Contract performance: Required to provide the service you requested
Legitimate interest: Platform security, fraud prevention, aggregate analytics
Legal obligation: Indonesian regulatory compliance (OJK, Kominfo, tax)

4. How We Use Your Data

Provide Islamic worship features (prayer times, qibla, Quran, tazkiyah)
Display nearest mosques, halal venues, and Islamic facilities
Process muamalah, sadaqah, and donation transactions
Send adhan notifications and mosque announcements
Improve ADA assistant quality (anonymized)
Hajj Offline: BLE-based pilgrim reunion assistance
Account security and fraud detection
Fulfill legal and regulatory obligations

We do NOT sell, rent, or share your data with advertising networks or data brokers.

5. Third-Party Sharing

See table in Indonesian section above. All transfers comply with Indonesian UU PDP international transfer requirements.

6. Your Rights

You have the right to: access, correct, delete, restrict, port, and object to processing of your data. Contact privacy@surau.app. We respond within 30 calendar days.

7. Data Security

TLS 1.3 in transit, AES-256 at rest, RS256 JWT authentication, GCP Secret Manager, audit logging, least-privilege access, and periodic penetration testing.

8. Contact

Data Protection Officer: Email: privacy@surau.app Address: Jl. Pinang Ranti II, Rt.13/Rw.1, Pinang Ranti, Kec. Makasar, East Jakarta, Indonesia 13560