to select ↑↓ to navigate
Company Playbook

Company Playbook

Company Playbook Data & AI Playbook Delivery Playbook Engineering Playbook Finance Playbook HR Playbook Learning Playbook Marketing Playbook Partnership Playbook Presales Playbook Product Playbook QA & Testing Playbook Sales Playbook Strategy & Advisory Playbook
Edit
Open in ChatGPT
Ask ChatGPT about this page
Open in Claude
Ask Claude about this page

Data Privacy Policy

Data Privacy Policy (Kebijakan Privasi Data)

Kebijakan ini mengatur perlindungan data pribadi dalam organisasi kami sesuai dengan Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) Indonesia dan General Data Protection Regulation (GDPR) Uni Eropa.

Document Control

No. Dokumen Versi Berlaku sejak Review berikutnya Pemilik Dokumen Disetujui oleh
POL-LEG-001 2.1 20 Februari 2026 20 Februari 2027 Legal & Compliance AI Audit System

Riwayat Revisi

Versi Tanggal Deskripsi Perubahan Diubah oleh
1.0 Februari 2026 Versi original System
2.0 20 Februari 2026 Standardisasi dokumen kontrol dan metadata AI Audit System
2.1 21 Februari 2026 Perbaikan nilai CIRCCA sesuai standar perusahaan AI Audit System

Filosofi CIRCCA

Curiosity — Terus menggali pemahaman mendalam tentang regulasi privasi data dan best practices terbaru. Impact — Memastikan perlindungan data pribadi memberikan dampak nyata bagi kepercayaan karyawan, pelanggan, dan mitra bisnis. Respect — Menghormati hak-hak data subject sebagai fondasi utama pengelolaan data pribadi. Courage — Berani menerapkan standar privasi tertinggi meskipun memerlukan investasi dan perubahan proses yang signifikan. Commitment — Komitmen penuh pada kepatuhan UU PDP dan GDPR dalam seluruh aspek pemrosesan data. Adaptability — Responsif terhadap perubahan regulasi privasi dan perkembangan teknologi perlindungan data.

Ruang Lingkup

Kebijakan ini berlaku untuk:

  • Semua karyawan dan kontraktor
  • Pemrosesan data pribadi karyawan, pelanggan, dan pihak ketiga
  • Penggunaan sistem IT dan platform digital
  • Transaksi bisnis dan operasional
SIKLUS PENGELOLAAN DATA PRIBADI — PT DIVISTANT TEKNOLOGI INDONESIA 1. Collection Dasar hukum jelas Data minimization 2. Processing Sesuai purpose Authorized only 3. Storage Enkripsi AES-256 Access control 4. Sharing DPA wajib Consent / legal basis 5. Retention Sesuai schedule Retensi bertahap 6. Disposal Secure deletion Documented destruction HAK DATA SUBJECT (UU PDP + GDPR): Akses Koreksi Hapus Batasi Portabilitas Keberatan Proses koreksi: max 30 hari kerja | Breach notification: 72 jam ke data subject + Lembaga PDP RETENSI DATA: Karyawan aktif: selama kerja + 3 thn Pelanggan: +5 thn audit Finansial: 30 thn (UU Pajak) Log akses: 1 thn KEAMANAN: AES-256 at rest | TLS 1.2+ in transit | RBAC + MFA | Pen-test 2x/thn | DPIA untuk pemrosesan berisiko tinggi

Prinsip-Prinsip Perlindungan Data Pribadi

1. Lawfulness, Fairness, and Transparency (Keabsahan, Keadilan, dan Transparansi)

  • Pemrosesan data harus memiliki dasar hukum yang jelas
  • Data subject harus diberitahu tentang pemrosesan data mereka
  • Kebijakan privasi harus mudah dipahami dan dapat diakses

2. Purpose Limitation (Pembatasan Tujuan)

  • Data hanya dapat diproses untuk tujuan yang telah dideklarasikan
  • Penggunaan kembali data untuk tujuan lain harus sesuai dengan regulasi
  • Perubahan tujuan memerlukan notifikasi data subject

3. Data Minimization (Meminimalkan Data)

  • Hanya mengumpulkan data yang relevan dan diperlukan
  • Tidak ada pengumpulan data yang berlebihan
  • Evaluasi berkala tentang kebutuhan data

4. Accuracy (Akurasi)

  • Memastikan data pribadi akurat dan terkini
  • Memiliki mekanisme koreksi dan pembaruan data
  • Menghapus atau memperbaiki data yang tidak akurat

5. Storage Limitation (Pembatasan Penyimpanan)

  • Data hanya disimpan dalam durasi yang diperlukan
  • Menerapkan schedule retensi data yang jelas
  • Penghapusan data setelah tujuan tercapai

6. Integrity and Confidentiality (Integritas dan Kerahasiaan)

  • Mengimplementasikan keamanan teknis dan organisasional
  • Enkripsi data sensitif
  • Akses terbatas berdasarkan prinsip least privilege
  • Audit trail untuk semua pemrosesan data

7. Accountability (Akuntabilitas)

  • Dokumentasi lengkap tentang pemrosesan data
  • Penilaian dampak privasi (DPIA) untuk pemrosesan berisiko tinggi
  • Pelaporan insiden data breach dalam 72 jam
  • Pelatihan dan kesadaran privasi untuk semua staff

Hak-Hak Data Subject

Sesuai dengan UU PDP dan GDPR, setiap individu memiliki hak untuk:

1. Right to Know (Hak untuk Mengetahui)

  • Mengetahui apakah data pribadi mereka diproses
  • Mengakses informasi lengkap tentang pemrosesan data
  • Menerima salinan data pribadi dalam format yang dapat dibaca mesin

2. Right to Correct (Hak untuk Memperbaiki)

  • Memperbaiki data pribadi yang tidak akurat
  • Melengkapi data yang tidak lengkap
  • Proses koreksi harus diselesaikan dalam 30 hari kerja

3. Right to Delete (Hak untuk Menghapus)

  • Menghapus data pribadi dalam kondisi tertentu ("Right to be Forgotten")
  • Meminta penghapusan data yang tidak lagi diperlukan
  • Pengecualian untuk data yang harus disimpan berdasarkan hukum

4. Right to Restrict Processing (Hak untuk Membatasi Pemrosesan)

  • Membatasi penggunaan data pribadi
  • Meminta penundaan pemrosesan data
  • Menjaga data tanpa penghapusan untuk keperluan hukum

5. Right to Data Portability (Hak untuk Portabilitas Data)

  • Menerima data pribadi dalam format terstruktur, umum, dan dapat dibaca mesin
  • Memindahkan data ke penyedia layanan lain
  • Hak berlaku untuk data yang diberikan oleh data subject

6. Right to Object (Hak untuk Keberatan)

  • Mengajukan keberatan terhadap pemrosesan data
  • Menolak profiling atau otomasi pengambilan keputusan
  • Menolak pemasaran langsung
  • Tidak dikenai keputusan yang berdasarkan pemrosesan otomatis saja
  • Hak untuk penjelasan dan intervensi manusia
  • Perlindungan dari profiling yang menghasilkan efek hukum

Pengelolaan Data Pribadi

Kategori Data yang Diproses

  1. Data Identitas: Nama, nomor identitas, alamat, kontak
  2. Data Kesehatan: Informasi medis, asuransi kesehatan, cuti sakit
  3. Data Finansial: Gaji, rekening bank, data pajak
  4. Data Profesional: Riwayat pekerjaan, kualifikasi, performa
  5. Data Komunikasi: Email, telepon, log aktivitas digital
  6. Data Lokasi: GPS, akses gedung, data perjalanan
  7. Data Biometrik: Sidik jari, wajah untuk keamanan akses

Basis Hukum Pemrosesan Data

  • Kontrak: Pemrosesan yang diperlukan untuk pemenuhan kontrak kerja
  • Kewajiban Hukum: Kepatuhan terhadap regulasi pajak, ketenagakerjaan, dan hukum lainnya
  • Kepentingan Sah: Keamanan, pencegahan penipuan, kepentingan bisnis yang sah
  • Persetujuan: Untuk pemrosesan yang tidak termasuk kategori di atas
  • Perlindungan Data Subject: Data sensitif hanya untuk keperluan khusus yang diijinkan hukum

Data Retention Schedule

Durasi penyimpanan data disesuaikan dengan tujuan dan kebutuhan hukum:

  • Data Karyawan Aktif: Selama masa kerja + 3 tahun setelah pensiun/resign
  • Data Pelanggan: Sesuai periode transaksi + 5 tahun untuk audit
  • Data Transaksi Finansial: 30 tahun (sesuai UU Perpajakan)
  • Data Medis/Asuransi: 5 tahun setelah transaksi berakhir
  • Log Akses Sistem: 1 tahun untuk audit trail
  • Data Komunikasi: 1 tahun untuk compliance monitoring

Pengalihan Data Lintas Negara

  • Data pribadi hanya ditransfer ke negara yang memiliki perlindungan data yang setara
  • Transfer ke non-EEA/non-adequate countries memerlukan mekanisme perlindungan tambahan
  • Standard Contractual Clauses (SCC) atau Binding Corporate Rules (BCR) harus digunakan
  • Penilaian transfer harus didokumentasikan dalam DPIA

Keamanan Data (Data Security)

Enkripsi Data

  • Data at Rest: Enkripsi AES-256 untuk penyimpanan data sensitif
  • Data in Transit: TLS 1.2 atau lebih tinggi untuk transmisi data
  • Database Encryption: Enkripsi level database untuk data kritial
  • Key Management: Sistem manajemen kunci yang aman dengan akses terbatas

Kontrol Akses

  • Role-Based Access Control (RBAC): Akses berdasarkan peran dan tanggung jawab
  • Principle of Least Privilege: Karyawan hanya mendapat akses yang diperlukan
  • Multi-Factor Authentication (MFA): Wajib untuk akses sistem yang mengandung data sensitif
  • Regular Access Review: Audit akses minimal setiap 6 bulan

Monitoring dan Audit

  • Activity Logging: Semua akses dan modifikasi data dicatat dalam audit trail
  • Real-time Monitoring: Sistem deteksi anomali untuk aktivitas mencurigakan
  • Penetration Testing: Pengujian keamanan minimal 2 kali per tahun
  • Vulnerability Assessment: Identifikasi dan perbaikan kerentanan sistem

Incident Response

  • Data Breach Response Plan: Prosedur tertulis untuk menangani pelanggaran data
  • Detection Timeline: Deteksi dalam 24 jam, investigasi dalam 5 hari
  • Notification Requirements: Notifikasi data subject dalam 72 jam jika ada dampak risiko
  • Documentation: Dokumentasi lengkap dari setiap insiden

Data Processing Agreement (DPA)

Untuk pemrosesan data yang melibatkan pihak ketiga (processor):

  • Perjanjian Tertulis: DPA harus disepakati sebelum pemrosesan dimulai
  • Tanggung Jawab: Kejelasan tentang tanggung jawab processor dan controller
  • Sub-processor: Approved list dari sub-processor yang diizinkan
  • Data Subject Rights: Memastikan processor mendukung hak data subject
  • Audit Rights: Hak untuk audit dan inspeksi sistem processor

Privacy by Design dan Privacy by Default

Privacy by Design

  • Integrasi privasi sejak tahap perencanaan sistem baru
  • Data minimization dalam desain aplikasi
  • Pseudonymization dan enkripsi sebagai standar default
  • Dokumentasi dalam Privacy Impact Assessment (DPIA)

Privacy by Default

  • Setting privasi yang paling protektif sebagai default
  • Pengguna tidak perlu mengubah pengaturan untuk privasi yang optimal
  • Consent harus opt-in, bukan opt-out
  • Transparansi penuh tentang pengumpulan data

Data Protection Impact Assessment (DPIA)

DPIA harus dilakukan untuk pemrosesan yang berisiko tinggi:

Kriteria Pemrosesan Berisiko Tinggi

  • Pemrosesan data sensitif dalam skala besar
  • Penggunaan teknologi baru (AI, biometrik, profiling)
  • Automated decision-making atau profiling
  • Transfer data lintas negara
  • Kombinasi data dari berbagai sumber
  • Pemantauan sistematis (CCTV, monitoring aktivitas)

Komponen DPIA

  1. Description of Processing: Deskripsi lengkap pemrosesan data
  2. Necessity Assessment: Penilaian kebutuhan dan proporsionalitas
  3. Risk Analysis: Analisis risiko terhadap hak dan kebebasan data subject
  4. Mitigation Measures: Rencana mitigasi risiko
  5. Stakeholder Consultation: Konsultasi dengan data subject dan pihak terkait
  6. Documentation: Dokumentasi lengkap proses DPIA

Peran dan Tanggung Jawab

Data Protection Officer (DPO)

  • Bertanggung jawab untuk kepatuhan privasi data
  • Mengawasi implementasi kebijakan privasi
  • Menangani permintaan data subject dan insiden
  • Melakukan pelatihan dan awareness program
  • Menjalin komunikasi dengan otoritas privasi

Data Controller

  • Menentukan tujuan dan cara pemrosesan data
  • Memastikan kepatuhan terhadap privasi regulations
  • Mengimplementasikan technical dan organizational measures
  • Dokumentasi dan accountability

Data Processor

  • Memproses data sesuai instruksi controller
  • Menerapkan keamanan data yang memadai
  • Melaporkan pelanggaran data kepada controller
  • Menyediakan informasi untuk DPIA dan audit

Setiap Karyawan

  • Melindungi data pribadi dalam pekerjaan sehari-hari
  • Melaporkan insiden atau dugaan pelanggaran privasi
  • Mengikuti pelatihan privasi data
  • Menghormati hak-hak data subject

Compliance Monitoring dan Audit

Internal Audit Program

  • Frequency: Audit minimal 1 kali per tahun
  • Scope: Verifikasi compliance terhadap kebijakan privasi
  • Documentation: Audit trail lengkap dari semua aktivitas pemrosesan
  • Follow-up: Tindakan korektif untuk findings audit

External Audit

  • Third-party Assessment: Audit independen oleh external party
  • Certification: ISO 27001 atau sertifikasi keamanan internasional lainnya
  • Regularity: Minimal setiap 2 tahun

Regulatory Compliance

  • Koordinasi dengan DPA: Komunikasi dengan otoritas perlindungan data
  • Dokumentasi: Record keeping sesuai UU PDP dan GDPR
  • Notifikasi: Pelaporan data breach dalam timeframe yang ditentukan
  • Investigation: Investigasi lengkap atas setiap klaim pelanggaran

Training dan Awareness

Mandatory Training

  • All Employees: Data privacy awareness training minimal 1 kali per tahun
  • HR Personnel: Pelatihan lanjutan tentang data handling karyawan
  • IT Staff: Pelatihan teknis tentang keamanan dan enkripsi data
  • Management: Pelatihan tentang tanggung jawab dan accountability

Training Content

  • Pengenalan UU PDP dan GDPR
  • Kategori data pribadi dan cara menanganinya
  • Hak-hak data subject dan cara responsnya
  • Security best practices dan incident reporting
  • Studi kasus dan scenario-based learning

Lampiran: Formulir dan Template

1. Data Access Request Form

Template untuk permintaan akses data pribadi oleh data subject:

Data Subject Access Request Form

Nama Pemohon: __________
Email: __________
No. Identitas: __________
Tanggal Permintaan: __________

Jenis Data yang Diminta:
☐ Data pribadi saya
☐ Data dalam komunikasi email
☐ Data aktivitas sistem
☐ Lainnya: __________

Alamat Email untuk Pengiriman: __________

Tandatangan: __________ Tanggal: __________

2. Data Breach Incident Report

Template untuk pelaporan insiden pelanggaran data:

Data Breach Incident Report

Tanggal Insiden: __________
Tanggal Ditemukan: __________
Tipe Data yang Terpengaruh: __________
Jumlah Data Subject: __________

Deskripsi Insiden:
_________________________

Causa Root:
_________________________

Tindakan Segera:
_________________________

Estimasi Impact Risk:
☐ Low Risk
☐ Medium Risk
☐ High Risk

Apakah Perlu Notifikasi Data Subject?
☐ Ya ☐ Tidak

Dilapor oleh: __________ Tanggal: __________

3. Data Processing Record Template

Template untuk dokumentasi pemrosesan data:

Data Processing Record

Nama Sistem: __________
Pemilik: __________
Waktu Implementasi: __________

Kategori Data:
☐ Identitas ☐ Finansial ☐ Kesehatan ☐ Lokasi ☐ Komunikasi

Basis Hukum:
☐ Kontrak ☐ Kewajiban Hukum ☐ Kepentingan Sah ☐ Consent

Tujuan Pemrosesan:
_________________________

Durasi Retensi:
_________________________

Category of Recipients:
_________________________

Security Measures:
_________________________

DPIA Required?
☐ Ya ☐ Tidak

Effective Date

Kebijakan ini berlaku efektif mulai 20 Februari 2026 dan akan di-review pada 20 Februari 2027.

Approval

Kebijakan ini telah disetujui oleh:

  • Data Protection Officer: _________________
  • Legal & Compliance: _________________
  • Executive Management: _________________

Tanggal Persetujuan: 20 Februari 2026

Last updated 3 months ago
Was this helpful?
Thanks!