NobiPlay - Leading Streaming Platform

01

Pendahuluan

Siapa kami dan mengapa kebijakan ini ada

PT Indotech Digital Group ("NobiPlay", "kami", "milik kami") adalah pengendali data yang bertanggung jawab atas pemrosesan data pribadi Anda sehubungan dengan layanan streaming NobiPlay. Kebijakan Privasi ini berlaku untuk semua produk dan layanan NobiPlay, termasuk situs web nobiplay.id, aplikasi mobile, dan aplikasi Smart TV.

Kebijakan ini disusun dan diperbarui sesuai dengan:

UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP)
UU No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE) sebagaimana telah diubah
PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
Praktik industri terbaik internasional, termasuk prinsip-prinsip GDPR

Data Protection Officer (DPO): NobiPlay telah menunjuk seorang Data Protection Officer yang dapat dihubungi di [email protected] untuk pertanyaan atau pengaduan terkait privasi.

02

Data yang Kami Kumpulkan

Jenis-jenis data pribadi yang kami proses

Kami mengumpulkan beberapa kategori data pribadi berikut, masing-masing dengan dasar dan tujuan yang berbeda:

Kategori Data	Detail	Jenis
Data Identitas	Nama lengkap, nama pengguna, tanggal lahir, jenis kelamin, foto profil	Wajib
Data Kontak	Alamat email, nomor telepon, alamat (opsional)	Wajib
Data Autentikasi	Hash kata sandi, token sesi, data 2FA, riwayat login	Wajib
Data Pembayaran	4 digit terakhir kartu, nama bank/e-wallet, riwayat transaksi (data kartu penuh tidak disimpan — diproses oleh gateway pembayaran pihak ketiga)	Wajib Legal
Data Penggunaan	Riwayat tontonan, durasi menonton, konten yang disukai/disimpan, pencarian, rating, komentar	Otomatis
Data Perangkat & Teknis	Alamat IP, jenis perangkat, sistem operasi, versi browser/aplikasi, pengidentifikasi perangkat (Device ID)	Otomatis
Data Lokasi	Lokasi perkiraan berdasarkan IP (negara/kota) untuk penentuan ketersediaan konten. Lokasi presisi GPS hanya jika Anda memberikan izin	Otomatis Opsional
Data Komunikasi	Pesan dukungan pelanggan, umpan balik, survei yang Anda kirimkan	Opsional
Data Inferensi	Preferensi konten, profil minat, segmen pengguna yang kami buat berdasarkan analisis perilaku penggunaan	Otomatis

Kami tidak mengumpulkan data pribadi yang bersifat sensitif seperti data ras/etnis, keyakinan agama, data biometrik, data kesehatan, atau catatan kriminal, kecuali secara eksplisit dan dengan persetujuan khusus Anda.

03

Cara Pengumpulan Data

Sumber dan metode pengumpulan data

3.1 Data yang Anda berikan langsung saat mendaftar akun, mengisi profil, melakukan pembayaran, menghubungi tim dukungan, mengisi survei, atau berinteraksi dengan fitur sosial Platform.

3.2 Data yang dikumpulkan secara otomatis ketika Anda menggunakan Platform, termasuk melalui cookie, web beacon, SDK aplikasi mobile, dan teknologi pelacak serupa. Lihat Pasal 7 untuk detail lebih lanjut.

3.3 Data dari pihak ketiga, termasuk:

Login Sosial: Jika Anda masuk menggunakan Google, Facebook, atau Apple, kami menerima data profil dasar (nama, email, foto) dari penyedia tersebut sesuai izin yang Anda berikan.
Mitra Pembayaran: Penyedia layanan pembayaran berbagi konfirmasi transaksi dan status pembayaran dengan kami.
Mitra Analitik: Layanan analitik pihak ketiga memberikan data agregat tentang cara pengguna berinteraksi dengan Platform kami.
Sumber Publik: Informasi yang tersedia secara publik yang relevan untuk verifikasi atau pencegahan penipuan.

04

Tujuan Penggunaan Data

Bagaimana dan mengapa kami memproses data Anda

Tujuan	Detail Pemrosesan
Penyediaan Layanan	Membuat dan mengelola akun, memproses pembayaran, mengaktifkan streaming dan unduhan, mengelola preferensi profil.
Personalisasi	Menghasilkan rekomendasi konten yang dipersonalisasi berdasarkan riwayat tontonan, preferensi, dan perilaku penggunaan.
Komunikasi Layanan	Mengirim konfirmasi transaksi, notifikasi akun, pembaruan kebijakan, dan informasi teknis yang penting.
Komunikasi Pemasaran	Dengan persetujuan Anda, mengirim penawaran promosi, konten baru, dan informasi produk. Anda dapat berhenti berlangganan kapan saja.
Keamanan & Pencegahan Penipuan	Mendeteksi, menyelidiki, dan mencegah aktivitas penipuan, penggunaan yang tidak sah, atau pelanggaran Syarat Layanan.
Analitik & Peningkatan Layanan	Memahami cara penggunaan Platform, mengidentifikasi masalah teknis, mengukur efektivitas fitur, dan meningkatkan pengalaman pengguna.
Kepatuhan Hukum	Memenuhi kewajiban hukum, merespons permintaan penegak hukum yang sah, dan melindungi hak NobiPlay.
Dukungan Pelanggan	Menangani pertanyaan, keluhan, dan permintaan bantuan teknis.

05

Dasar Hukum Pemrosesan

Landasan legal yang membenarkan pemrosesan data

Sesuai UU PDP Pasal 20, kami memproses data pribadi Anda berdasarkan salah satu dari dasar hukum berikut:

Pelaksanaan perjanjian: Pemrosesan yang diperlukan untuk menyediakan layanan NobiPlay sesuai Syarat dan Ketentuan yang Anda setujui (akun, pembayaran, streaming).
Persetujuan: Untuk pemrosesan opsional seperti komunikasi pemasaran, analitik lanjutan, dan berbagi data dengan mitra tertentu — kami meminta persetujuan eksplisit Anda yang dapat dicabut kapan saja.
Kepentingan sah (legitimate interest): Untuk keamanan akun, pencegahan penipuan, dan peningkatan layanan, di mana kepentingan kami tidak mengalahkan hak-hak Anda.
Kewajiban hukum: Ketika pemrosesan diwajibkan oleh hukum Indonesia yang berlaku, termasuk kewajiban perpajakan, keamanan siber, dan permintaan penegak hukum.

Anda dapat mencabut persetujuan yang sebelumnya diberikan kapan saja melalui Profil → Pengaturan → Privasi & Persetujuan tanpa mempengaruhi legalitas pemrosesan yang telah dilakukan sebelum pencabutan.

06

Berbagi & Pengungkapan Data

Dengan siapa kami dapat berbagi data Anda

NobiPlay tidak menjual data pribadi Anda. Kami dapat membagikan data hanya dalam situasi berikut:

Penerima	Data yang Dibagikan	Dasar
Penyedia Infrastruktur Cloud	Data tersimpan pada server cloud terenkripsi (AWS, GCP) yang beroperasi berdasarkan perjanjian pemrosesan data yang ketat	Perjanjian
Gateway Pembayaran	Data yang diperlukan untuk memproses transaksi (nama, email, nominal). Data kartu penuh tidak pernah melewati server kami	Perjanjian
Mitra Konten & Studio	Data agregat dan anonim tentang pola tontonan untuk pelaporan lisensi — tidak ada data identitas pribadi	Kontrak
Layanan Analitik	Data penggunaan yang disamarkan untuk analitik produk (Firebase, Mixpanel)	Persetujuan
Penegak Hukum	Data yang diminta melalui proses hukum yang sah, sesuai kewajiban hukum Indonesia	Kewajiban Hukum
Penerus Bisnis	Dalam hal merger, akuisisi, atau restrukturisasi perusahaan, data dapat dialihkan dengan pemberitahuan kepada Anda	Kepentingan Sah

Semua mitra pihak ketiga yang menerima data Anda terikat oleh perjanjian kerahasiaan dan perlindungan data yang setara dengan standar kami.

07

Cookie & Teknologi Pelacak

Jenis cookie dan cara mengelolanya

NobiPlay menggunakan cookie dan teknologi serupa untuk mengoperasikan dan meningkatkan Platform. Cookie adalah file teks kecil yang disimpan di perangkat Anda.

Anda dapat mengelola preferensi cookie kapan saja melalui Pengaturan → Privasi → Kelola Cookie atau melalui pengaturan browser Anda. Perhatikan bahwa menonaktifkan cookie esensial akan memengaruhi fungsi Platform.

08

Retensi & Penghapusan Data

Berapa lama kami menyimpan data Anda

Kami hanya menyimpan data pribadi selama diperlukan untuk memenuhi tujuan pengumpulannya atau untuk memenuhi kewajiban hukum yang berlaku:

Jenis Data	Periode Retensi
Data akun aktif	Selama akun aktif + 90 hari setelah penutupan akun
Riwayat tontonan & preferensi	3 tahun sejak interaksi terakhir, atau hingga akun ditutup
Data transaksi & pembayaran	10 tahun (sesuai kewajiban perpajakan dan akuntansi Indonesia)
Log keamanan & akses	2 tahun untuk deteksi penyalahgunaan dan audit keamanan
Komunikasi dukungan pelanggan	3 tahun sejak penyelesaian tiket
Data analitik (dianonimisasi)	Tanpa batas waktu (karena tidak dapat diatribusikan ke individu)
Cookie & data sesi	Sesi: dihapus saat browser ditutup. Persisten: 90 hari – 2 tahun tergantung jenisnya

Setelah periode retensi berakhir, data akan dihapus secara aman atau dianonimisasi secara permanen sehingga tidak dapat diatribusikan kembali kepada Anda.

09

Keamanan Data

Langkah-langkah teknis dan organisasi yang kami terapkan

NobiPlay menerapkan langkah-langkah keamanan teknis dan organisasi yang memadai untuk melindungi data pribadi Anda dari akses tidak sah, perubahan, pengungkapan, atau penghancuran:

Enkripsi transit: Semua komunikasi antara perangkat Anda dan server kami dienkripsi menggunakan TLS 1.3.
Enkripsi penyimpanan: Data sensitif disimpan dalam format terenkripsi menggunakan AES-256.
Autentikasi berlapis: Sistem kami mendukung autentikasi dua faktor (2FA) dan fitur login yang aman.
Akses berbasis peran: Hanya personel yang memerlukan akses data untuk menjalankan tugasnya yang diberikan izin, dengan prinsip hak akses minimal.
Audit keamanan berkala: Kami melakukan penetration testing dan audit keamanan secara rutin oleh pihak ketiga independen.
Pemantauan 24/7: Sistem deteksi intrusi dan pemantauan anomali beroperasi secara berkelanjutan.
Rencana respons insiden: Prosedur respons insiden keamanan yang terdokumentasi dengan timeline pelaporan yang jelas.

Meskipun kami menerapkan langkah keamanan terbaik, tidak ada sistem yang benar-benar 100% aman. Dalam hal terjadi pelanggaran data yang mempengaruhi data Anda, kami akan memberi tahu Anda dalam 72 jam sesuai kewajiban UU PDP.

10

Privasi Anak

Perlindungan khusus untuk pengguna di bawah umur

10.1 Batasan Usia. Layanan NobiPlay tidak ditujukan untuk anak-anak di bawah usia 13 tahun. Kami tidak secara sengaja mengumpulkan data pribadi dari anak di bawah 13 tahun. Jika kami mengetahui telah mengumpulkan data dari anak di bawah usia tersebut tanpa verifikasi persetujuan orang tua, kami akan segera menghapus data tersebut.

10.2 Pengguna 13–17 Tahun. Untuk pengguna berusia 13–17 tahun, penggunaan layanan NobiPlay memerlukan persetujuan dari orang tua atau wali. Fitur tertentu seperti konten dewasa dan pembelian dalam aplikasi memerlukan verifikasi orang tua.

10.3 Profil Anak (Kids Mode). Profil anak yang dibuat oleh orang tua melalui fitur Kontrol Orang Tua hanya dapat mengakses konten yang sesuai usia. Data penggunaan profil anak tidak digunakan untuk periklanan yang ditargetkan.

Jika Anda adalah orang tua yang meyakini anak Anda telah membuat akun NobiPlay tanpa izin Anda, hubungi kami segera di [email protected] untuk penghapusan akun tersebut.

11

Hak Subjek Data

Hak-hak Anda atas data pribadi berdasarkan UU PDP

Berdasarkan UU PDP dan praktik terbaik internasional, Anda memiliki hak-hak berikut atas data pribadi Anda:

Hak Akses

Anda berhak memperoleh konfirmasi tentang data yang kami simpan dan mendapatkan salinan data tersebut. Dapat diminta melalui Profil → Pengaturan → Unduh Data.

Hak Koreksi

Anda berhak meminta koreksi data yang tidak akurat atau tidak lengkap. Dapat dilakukan langsung di Profil → Edit Profil.

Hak Penghapusan

Anda berhak meminta penghapusan data pribadi dalam kondisi tertentu. Kirim permintaan ke [email protected].

Hak Portabilitas

Anda berhak menerima data Anda dalam format terstruktur dan mudah dibaca mesin untuk dikirim ke layanan lain.

Hak Keberatan

Anda berhak mengajukan keberatan terhadap pemrosesan data berdasarkan kepentingan sah, termasuk profiling untuk pemasaran langsung.

Hak Pembatasan

Anda berhak meminta pembatasan pemrosesan data dalam kondisi tertentu, misalnya saat akurasi data sedang dipersengketakan.

Untuk menggunakan hak-hak di atas, kirim permintaan tertulis ke [email protected]. Kami akan merespons dalam 30 hari kalender sejak permintaan diterima. Untuk permintaan yang kompleks, periode ini dapat diperpanjang 60 hari dengan pemberitahuan.

12

Transfer Data Internasional

Perpindahan data lintas batas dan perlindungannya

Beberapa penyedia layanan kami yang menyimpan atau memproses data berlokasi di luar Indonesia. Dalam hal terjadi transfer data internasional, kami memastikan perlindungan yang setara melalui:

Klausul kontrak standar (Standard Contractual Clauses) yang mengharuskan penerima data mematuhi standar perlindungan data yang setara.
Verifikasi tingkat perlindungan — kami hanya mentransfer data ke negara atau entitas yang memiliki tingkat perlindungan data yang memadai.
Perjanjian pemrosesan data (Data Processing Agreement) dengan semua mitra yang menerima data pribadi.

Saat ini, data NobiPlay dapat diproses di fasilitas yang berlokasi di: Indonesia (server utama), Singapura, dan Amerika Serikat (untuk layanan cloud tertentu).

13

Perubahan Kebijakan

Cara kami mengomunikasikan pembaruan

NobiPlay dapat memperbarui Kebijakan Privasi ini secara berkala untuk mencerminkan perubahan dalam praktik kami, perubahan regulasi, atau perkembangan teknologi. Kami akan memberitahu Anda melalui:

Notifikasi dalam aplikasi atau pop-up di situs web untuk perubahan material.
Email ke alamat terdaftar Anda setidaknya 14 hari sebelum perubahan berlaku.
Pembaruan tanggal "Berlaku sejak" di bagian atas dokumen ini.

Penggunaan layanan yang berkelanjutan setelah tanggal efektif perubahan menunjukkan penerimaan Anda atas Kebijakan Privasi yang diperbarui. Jika Anda tidak setuju dengan perubahan material, Anda dapat menutup akun sebelum perubahan berlaku.

Terakhir diperbarui: 1 Januari 2026 — Versi 3.1

14

Kontak & Data Protection Officer

Cara menghubungi tim privasi dan DPO kami

Untuk pertanyaan, keberatan, atau pengaduan terkait penanganan data pribadi Anda, silakan hubungi:

Peran / Saluran	Detail Kontak
Data Protection Officer (DPO)	[email protected] — untuk pengaduan privasi dan permintaan hak subjek data
Tim Privasi Umum	[email protected] — untuk pertanyaan umum terkait kebijakan
Keamanan Data	[email protected] — untuk melaporkan insiden keamanan atau kebocoran data
Alamat Pos	Tim Privasi & DPO, PT Indotech Digital Group, Gedung Indotech Tower Lt. 18, Jl. Sudirman Kav. 52–53, Jakarta Selatan 12190
Regulator (BSSN/Kominfo)	Jika Anda tidak puas dengan respons kami, Anda dapat mengajukan pengaduan ke Badan Siber dan Sandi Negara (BSSN) atau Kementerian Komunikasi dan Informatika

Kami berkomitmen untuk merespons semua pertanyaan privasi dalam 5 hari kerja dan menyelesaikan permintaan hak subjek data dalam 30 hari kalender.