Privacy Policy

Berlaku sejak: 4 Mei 2026 · Update terakhir: 4 Mei 2026

1. Pengantar

Wacal ("kami", "bot", atau "layanan") adalah aplikasi yang menjembatani Google Calendar/Tasks pengguna dengan WhatsApp untuk membuat, melihat, dan mengingatkan event/tugas. Kebijakan privasi ini menjelaskan data apa yang kami kumpulkan, bagaimana digunakan, dan hak Anda atas data tersebut.

Layanan ini ditujukan untuk penggunaan personal dan kalangan terbatas (friends-and-family). Dengan login dan otorisasi akses Google, Anda dianggap setuju dengan kebijakan ini.

2. Data yang dikumpulkan

2.1 Data akun aplikasi (saat dibuatkan akun oleh admin)

• Username — pilihan admin saat membuat akun untuk Anda.
• Password — disimpan sebagai hash bcrypt (tidak bisa dibaca balik, tidak bisa kami pulihkan).
• Email (opsional) — untuk pengiriman link reset password.
• Role (admin / user) dan userId bot.
• Metadata sesi — IP saat login, waktu login terakhir, percobaan gagal (untuk anti brute-force).

2.2 Data Google (setelah Anda klik "Sign in with Google")

• Profil dasar: alamat email Google, nama, foto profil — untuk identifikasi akun mana yang terhubung.
• OAuth refresh token — disimpan terenkripsi di volume server, dipakai untuk refresh access token saat dibutuhkan.
• Data Google Calendar: judul event, waktu, lokasi, deskripsi, peserta, recurrence rule, ID kalender. Hanya kalender yang Anda aktifkan (default: kalender yang ditampilkan di UI Google Calendar Anda).
• Data Google Tasks: judul task, status, due date, daftar (list) — kalau Anda pakai fitur /todo.

Bot hanya mengakses data sesuai scope yang Anda authorize: calendar, tasks, userinfo.email, userinfo.profile, openid. Bot tidak meminta akses ke Gmail, Drive, Photos, Contacts, atau scope lain.

2.3 Data WhatsApp

• Sesi WhatsApp (Baileys library) — kunci enkripsi end-to-end yang dibutuhkan untuk mengirim/menerima pesan dari nomor WA bot. Disimpan di volume server.
• Pesan masuk dari pemilik bot (Anda) — diproses di memori untuk parse perintah, lalu tidak disimpan kecuali yang menjadi event/task (yang otomatis tersimpan via Google).
• Daftar nomor whitelist — kalau Anda pakai fitur Customer Service, daftar nomor lawan bicara dan riwayat percakapan disimpan untuk konteks AI.

2.4 Data lain

• Log audit: event yang dibuat lewat bot dan reminder yang sudah/belum terkirim.
• Pengaturan: offset reminder, jam digest harian, kalender yang aktif, dll.
• Cookie sesi di browser Anda (HttpOnly, Secure, SameSite=Lax) — hanya untuk auth dashboard, tidak untuk tracking.

3. Cara data digunakan

• Menampilkan jadwal di WA dan dashboard Anda.
• Membuat/mengubah/menghapus event di Google Calendar Anda atas perintah Anda.
• Mengirim reminder via WhatsApp sebelum event dimulai.
• Menjalankan parser AI (Google Gemini) untuk memahami input bahasa natural Anda.
• Menjaga keamanan akun (lockout, rate-limit, deteksi anomali login).

Bot tidak menggunakan data Anda untuk: iklan, profiling pemasaran, dijual ke pihak ketiga, atau dipakai melatih model AI eksternal.

4. Penyimpanan dan keamanan

• Penyimpanan: data disimpan di infrastruktur cloud terenkripsi at-rest dengan kontrol akses ketat.
• Transport: semua komunikasi ke dashboard via HTTPS (TLS), enforced via HSTS.
• Password: disimpan sebagai one-way hash — tidak ada plaintext, admin pun tidak bisa membaca password Anda.
• Session: cookie HttpOnly + Secure + SameSite=Lax. Token random kriptografis.
• Anti brute-force: rate limit per IP + akun ter-lock otomatis setelah beberapa kegagalan beruntun.
• Header keamanan: CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy.
• Backup: terenkripsi di Google Drive milik admin (kalau diaktifkan).

5. Berbagi data dengan pihak ketiga

Kami tidak menjual data Anda. Pihak ketiga yang terlibat hanya sebagai processor infrastruktur:

• Google (Calendar API, Tasks API, OAuth, AI parsing) — sesuai Google Privacy Policy.
• WhatsApp / Meta — pengiriman pesan via WhatsApp Multi-Device protocol; sesuai WhatsApp Privacy Policy.
• Penyedia cloud hosting — server tempat aplikasi berjalan; data dilindungi oleh agreement standar penyedia.
• Penyedia layanan email (kalau email reset password aktif) — untuk pengiriman email transaksional.

Sesuai Google API Services User Data Policy (termasuk Limited Use), data Google Anda hanya digunakan untuk fitur yang menghadap Anda; tidak ditransfer kecuali untuk operasional layanan, compliance hukum, atau dengan persetujuan eksplisit Anda.

6. Retensi data

• Akun login: selama akun aktif. Akan dihapus dalam 30 hari setelah admin menghapus akun.
• Token Google: sampai Anda klik "Disconnect" di dashboard atau revoke di myaccount.google.com/permissions.
• Sesi WhatsApp: sampai Anda klik "Logout WA" atau revoke dari Linked Devices di app WA Anda.
• Reminder dan log event: 90 hari, lalu auto-rotate.
• Backup: 30 hari (rolling).

7. Hak Anda

• Akses: lihat semua data Anda lewat dashboard /login.
• Koreksi: edit settings, profil, atau ganti password kapan saja.
• Hapus: minta admin hapus akun Anda — semua data Anda akan dihapus dalam 30 hari.
• Cabut akses Google: myaccount.google.com/permissions → revoke "Wacal".
• Export: minta admin untuk export data Anda dalam format JSON.

8. Anak di bawah umur

Layanan ini tidak ditujukan untuk anak di bawah 13 tahun. Kami tidak secara sadar mengumpulkan data dari anak di bawah 13 tahun. Kalau Anda yakin anak di bawah umur menggunakan layanan ini, hubungi admin agar akunnya dihapus.

9. Perubahan kebijakan

Kami bisa memperbarui kebijakan ini. Versi terbaru selalu di URL ini dengan tanggal "Update terakhir" di atas. Perubahan signifikan akan dikabarkan via email (kalau email Anda terdaftar) atau notifikasi WA.

10. Kontak

Pertanyaan tentang privasi atau permintaan akses/hapus data, hubungi admin:

• Email: nico.alex.ha@gmail.com
• WhatsApp: +62 822-3517-4774

Dokumen ini ditulis dalam Bahasa Indonesia. Versi Inggris dapat disediakan atas permintaan.