Kebijakan Privasi

Skeldy SAS (Skeldy SAS, 12 rue de la Paix, 75002 Paris, Prancis) adalah pengendali data untuk data pribadi yang diproses melalui produk Skeldy. Terdaftar di Prancis, RCS Paris (nomor pendaftaran akan dikonfirmasi saat pendirian).

Untuk pertanyaan privasi, hubungi [email protected]. Untuk Petugas Perlindungan Data, hubungi [email protected].

Kami mengumpulkan data minimum yang diperlukan untuk mengoperasikan Skeldy. Kategorinya meliputi:

• Data akun — nama, email, peran, keanggotaan organisasi.
• Data jadwal — shift, bagian, kualifikasi, ketersediaan, preferensi.
• Komunikasi — pesan, komentar, terjemahan siaran dalam produk.
• Data penagihan — ditangani oleh Stripe; kami hanya menerima metadata tidak sensitif (empat digit terakhir kartu, negara).
• Analitik produk — tampilan halaman, klik, penggunaan fitur. Hanya dikumpulkan dengan persetujuan eksplisit Anda.
• Data teknis — alamat IP, user agent, log permintaan (disimpan 30 hari untuk keamanan).

Setiap aktivitas pemrosesan memiliki tujuan yang ditentukan dan dasar hukum GDPR Pasal 6:

Menyediakan layanan

Pelaksanaan kontrak (Ps. 6(1)(b)). Termasuk pembuatan akun, penjadwalan, rekonfigurasi berbantuan AI, terjemahan siaran, dan pemeriksaan kepatuhan.

Penagihan dan pajak

Kewajiban hukum (Ps. 6(1)(c)) dan pelaksanaan kontrak.

Keamanan dan pencegahan penyalahgunaan

Kepentingan sah (Ps. 6(1)(f)). Log audit (mutasi yang dilindungi), pembatasan laju, dan deteksi penipuan.

Analitik dan peningkatan produk

Persetujuan (Ps. 6(1)(a)). Dapat dicabut kapan saja melalui banner cookie atau /cookies.

Dukungan pelanggan

Pelaksanaan kontrak dan kepentingan sah.

Produk ini dihosting di infrastruktur Eropa. Data produksi berada di eu-central-1 (Frankfurt). Sub-pemroses kami:

• Supabase (database, autentikasi, penyimpanan) — eu-central-1.
• Vercel (hosting web) — wilayah UE, Vercel Pro EU.
• Resend (email transaksional) — wilayah UE.
• Stripe (pembayaran) — UE dan AS, Standard Contractual Clauses berlaku.
• Google LLC (Google AI API — inferensi LLM, teks dan visi) — infrastruktur global; residensi data UE tidak dijamin secara kontraktual. Ketentuan: business.safety.google/sar/
• Sentry (pemantauan kesalahan) — instansi UE.
• PostHog (analitik produk, opt-in) — eu.posthog.com.
• Plain (obrolan dukungan dalam aplikasi) — operator menangani percakapan dukungan yang Anda mulai melalui widget dalam aplikasi atau [email protected].

Ketika transfer di luar UE/EEA tidak dapat dihindari, kami menerapkan Standard Contractual Clauses (Keputusan 2021/914) dan tindakan teknis tambahan (enkripsi saat transit dan saat tidak aktif, akses berbasis peran, log audit pada mutasi yang dilindungi).

⚠ Catatan: Google AI API (aistudio.google.com) tidak menjamin residensi data UE secara kontraktual. Data yang diproses oleh asisten penjadwalan AI dapat diproses di infrastruktur global Google. Ini berbeda dari perjanjian Vertex AI europe-west4 kami sebelumnya. Kami mengevaluasi kembali ke infrastruktur AI wilayah UE. Jika ini memengaruhi persyaratan kepatuhan Anda, hubungi kami di [email protected].

• Data akun — selama berlangganan, ditambah 30 hari setelah penghentian.
• Data jadwal — selama berlangganan, ditambah 30 hari; ekspor tersedia melalui endpoint GDPR.
• Log audit — 13 bulan (keamanan dan litigasi); diberlakukan oleh tugas basis data harian.
• Dokumen penagihan — 10 tahun (Kode Perdagangan Prancis).
• Foto Audit Kepatuhan Gratis — dienkripsi dan dihapus otomatis setelah 1 jam.
• Acara analitik — 12 bulan, hanya dengan persetujuan.

Anda memiliki hak akses, rektifikasi, penghapusan, pembatasan, portabilitas, dan keberatan, serta hak untuk mencabut persetujuan kapan saja tanpa mempengaruhi keabsahan pemrosesan sebelumnya.

Anda dapat menjalankannya melalui pengaturan akun, melalui endpoint GDPR swalayan (/api/gdpr/export memberikan arsip JSON data Anda; /api/gdpr/delete menjadwalkan penghapusan, dengan pengecualian retensi hukum), atau dengan menulis ke [email protected]. Kami merespons dalam satu bulan, dapat diperpanjang dua bulan untuk permintaan kompleks dengan pemberitahuan.

Anda dapat mengajukan keluhan ke otoritas perlindungan data di negara tempat tinggal, tempat kerja, atau tempat dugaan pelanggaran — misalnya CNIL (Prancis), AEPD (Spanyol), BfDI (Jerman), atau Information Commissioner's Office (Inggris).

Jika General Manager atau Section Manager Anda mengundang Anda ke Skeldy, kami menerima nama, email, peran, dan penugasan bagian dari mereka, bukan langsung dari Anda (Ps. 14 GDPR). Dasar hukumnya adalah kepentingan sah organisasi dalam mengelola penjadwalan, diseimbangkan dengan kepentingan Anda melalui kebijakan ini. Anda dapat keberatan kapan saja dengan menghubungi General Manager atau menulis kepada kami.

Fungsi AI Skeldy (pemeriksaan kepatuhan, rekonfigurasi jadwal, komunikasi multibahasa, OCR foto untuk Audit Kepatuhan Gratis) mengusulkan hasil; tidak pernah secara otomatis menerapkan perubahan pada shift Anda. General Manager atau Section Manager selalu meninjau dan mengkonfirmasi sebelum penerbitan. Anda tidak dikenai keputusan yang semata-mata didasarkan pada pemrosesan otomatis sesuai Ps. 22(1) GDPR.

Jika Anda yakin bahwa saran AI yang diterapkan manajer telah merugikan Anda secara tidak adil, Anda berhak mendapatkan penjelasan, menantang keputusan tersebut, dan meminta peninjauan manusia. Pertama hubungi General Manager Anda; jika masalah tetap ada, tulis kepada kami.

Skeldy adalah platform manajemen tenaga kerja B2B dan tidak ditujukan untuk anak-anak. Saat staf di bawah umur dijadwalkan, General Manager bertanggung jawab mengkonfirmasi izin orang tua jika diperlukan oleh hukum nasional. Mesin kepatuhan Skeldy secara otomatis menerapkan pembatasan nasional untuk di bawah umur (tidak ada shift malam, istirahat wajib, batas mingguan). Kami tidak sengaja mengumpulkan data pribadi anak di bawah usia persetujuan digital nasional tanpa izin orang tua.

Enkripsi saat transit (TLS 1.2+) dan saat tidak aktif (AES-256). Row-level security di setiap tabel. Akses berbasis peran sesuai hierarki (General Manager, Section Manager, Staf). Log audit pada mutasi yang dilindungi (shift, aturan, tim, lokasi, langganan, undangan, impor), retensi 13 bulan. Pengujian penetrasi tahunan. Jalur SOC 2 Tipe 1 sedang berjalan.

Kerentanan yang dicurigai dapat dilaporkan secara rahasia ke [email protected].

Kami memberi tahu pelanggan melalui email setidaknya 14 hari sebelum perubahan material apa pun. Tanggal di bagian atas menunjukkan versi yang berlaku saat ini.