Record of Processing Activities (ROPA)
Record of Processing Activities (ROPA)
Merujuk pada Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi Pasal 31, GDPR Article 30 (Record of Processing Activities), ISO 27001:2022 Annex A.5.23
| No. Dokumen | POL-LEG-007 |
|---|---|
| Versi | 2.1 |
| Berlaku sejak | 20 Februari 2026 |
| Review berikutnya | 20 Agustus 2026 |
| Pemilik Dokumen | Legal & Compliance + IT |
| Disetujui oleh | Director |
Riwayat Revisi
| Versi | Tanggal | Penulis | Perubahan |
|---|---|---|---|
| 1.0 | Februari 2026 | Legal & Compliance | Dokumen original |
| 2.0 | 20 Februari 2026 | AI Audit System | Standardisasi Document Control section |
| 2.1 | 21 Februari 2026 | AI Audit System | Perbaikan nilai CIRCCA sesuai standar perusahaan |
Filosofi CIRCCA
Katatan Aktivitas Pemrosesan Data (ROPA) kami didasarkan pada nilai-nilai inti CIRCCA:
- Curiosity: Proaktif memetakan dan memahami seluruh aktivitas pemrosesan data pribadi
- Impact: Dokumentasi ROPA yang akurat berdampak langsung pada kepatuhan UU PDP dan GDPR
- Respect: Menghormati hak privasi data subject melalui pencatatan yang transparan
- Courage: Berani mengidentifikasi dan menghentikan pemrosesan data yang tidak sesuai
- Commitment: Komitmen menjaga ROPA selalu akurat dan up-to-date
- Adaptability: Responsif terhadap perubahan proses bisnis dan regulasi privasi data
Ruang Lingkup
| Aspek | Keterangan |
|---|---|
| Berlaku untuk | Semua departemen Divistant yang memproses data pribadi (HR, Finance, Sales, Engineering, Operations, IT) |
| Cakupan | Semua aktivitas pemrosesan data pribadi, baik data klien, karyawan, vendor, maupun prospek bisnis |
| Pihak terkait | Legal & Compliance, IT Security, Departemen Heads, Data Processing Managers, DPO (Delegated) |
Definisi Istilah
| Istilah | Definisi |
|---|---|
| Data Pribadi | Informasi apapun yang berkaitan dengan individu yang teridentifikasi atau dapat diidentifikasi |
| Pemrosesan Data | Operasi apapun yang dilakukan pada data pribadi, termasuk pengumpulan, pencatatan, penyimpanan, penggunaan, pengubahan, atau penghapusan |
| Pengontrol Data (Data Controller) | Pihak yang menentukan tujuan dan cara pemrosesan data pribadi; untuk Divistant adalah entitas perusahaan |
| Pemroses Data (Data Processor) | Pihak yang memproses data pribadi atas nama pengontrol; dapat berupa sistem IT, vendor layanan cloud, atau subkontraktor |
| Kegiatan Pemrosesan | Satu atau serangkaian operasi yang dilakukan pada data pribadi dalam konteks bisnis spesifik |
| Record of Processing Activities | Dokumentasi lengkap mengenai semua kegiatan pemrosesan data yang dilakukan oleh organisasi |
| Data Subject | Individu yang data pribadinya diproses (klien, karyawan, vendor) |
| Basis Hukum | Dasar sah yang memungkinkan pemrosesan data pribadi (consent, kontrak, kewajiban hukum, kepentingan bisnis yang sah) |
Pernyataan Kebijakan
Divistant berkomitmen untuk mematuhi Undang-Undang No. 27 Tahun 2022 tentang Perlindungan Data Pribadi dan standar internasional seperti GDPR dalam mengelola data pribadi. Kami mengakui bahwa perlindungan data pribadi adalah hak fundamental dan tanggung jawab setiap organisasi.
Oleh karena itu, Divistant mewajibkan semua departemen untuk secara akurat dan lengkap mendokumentasikan setiap aktivitas pemrosesan data pribadi dalam Records of Processing Activities (ROPA). Dokumentasi ini bertujuan untuk memberikan transparansi, memfasilitasi kepatuhan regulasi, dan memastikan bahwa semua data pribadi diproses dengan aman dan sesuai dengan prinsip-prinsip perlindungan data yang berlaku.
Apa yang Harus Didokumentasikan
Kategori Data yang Harus Didokumentasikan:
Data Klien
- Informasi kontak (nama, email, phone, alamat)
- Data billing dan payment
- Data project dan timeline
- Feedback dan komunikasi
Data Karyawan
- Data personal (nama, tanggal lahir, alamat, nomor identitas)
- Data ketenagakerjaan (posisi, department, gaji, performance)
- Data kesehatan dan asuransi
- Data komunikasi internal
Data Vendor & Partner
- Informasi kontak dan profile
- Data kontrak dan payment
- Data compliance dan assessment
- Komunikasi bisnis
Data Prospek
- Lead information (nama, email, company)
- Marketing communication preferences
- Interaction history
- Assessment data
Informasi Minimum untuk Setiap Pemrosesan:
| Elemen | Deskripsi | Contoh |
|---|---|---|
| Nama Kegiatan Pemrosesan | Deskripsi jelas tentang apa yang diproses | "Manajemen Data Karyawan HR", "Billing Klien", "Lead Nurturing" |
| Deskripsi Proses | Langkah-langkah pemrosesan | Pengumpulan → Penyimpanan → Analisis → Pelaporan |
| Kategori Data Pribadi | Jenis data apa yang diproses | Nama, email, nomor identitas, alamat, data finansial |
| Kategori Data Subject | Siapa subjek data | Karyawan, klien, vendor, prospek |
| Tujuan Pemrosesan | Mengapa data diproses | Manajemen HR, fulfillment layanan, marketing |
| Basis Hukum | Dasar sah pemrosesan | Consent, kontrak kerja, kewajiban hukum, legitimate interest |
| Penerima Data | Siapa yang menerima data | Internal teams, vendor, sistem pihak ketiga |
| Periode Retensi | Berapa lama data disimpan | 5 tahun, selama kontrak aktif, seumur hidup (dengan alasan) |
| Lokasi Penyimpanan | Dimana data disimpan | BizOps on-premise, Cloud AWS, Google Drive |
| Metode Keamanan | Bagaimana data diproteksi | Encryption, access control, firewall, backup |
| Departemen/Pemilik | Siapa yang bertanggung jawab | HR, Sales, Finance, IT |
Inventori Pemrosesan Data
Template Inventori Proses Pemrosesan:
### [Nama Kegiatan]
**Departemen Pemilik**: [Department Name]
**Owner/Manager**: [Name & Email]
**Status**: [Active/Inactive]
**Tanggal Dibuat**: [Date]
**Tanggal Update Terakhir**: [Date]
#### Deskripsi Proses
[Detailed description of the processing activity]
#### Data yang Diproses
- Kategori Data: [List all data types]
- Data Subject: [Who the data belongs to]
- Sensitivitas: [Normal/Sensitif/Sangat Sensitif]
#### Tujuan & Basis Hukum
- Tujuan Utama: [Primary purpose]
- Tujuan Sekunder: [Secondary uses if any]
- Basis Hukum: [Consent/Contract/Legal Obligation/Legitimate Interest]
#### Alur Pemrosesan
1. [Step 1]: [Description] - Responsible party
2. [Step 2]: [Description] - Responsible party
3. [Step 3]: [Description] - Responsible party
#### Sistem & Infrastruktur
- Sistem Utama: [System name]
- Lokasi Penyimpanan: [On-premise/Cloud/Hybrid]
- Cloud Provider: [AWS/Azure/Google/Other]
- Database/Tools: [Specific tools used]
#### Keamanan Data
- Enkripsi: [At rest/In transit/Both]
- Access Control: [Role-based access]
- Backup Frequency: [Daily/Weekly/Monthly]
- Disaster Recovery: [RTO/RPO]
#### Periode Retensi
- Durasi Penyimpanan: [How long]
- Alasan Retensi: [Why kept]
- Metode Penghapusan: [Deletion method]
#### Pihak Ketiga
- Vendor/Processor: [List]
- Purpose of Sharing: [Why shared]
- Data Protection Agreement: [Yes/No]
#### Pembaruan Terakhir
- Diperbarui oleh: [Name]
- Tanggal: [Date]
- Perubahan yang dilakukan: [Changes made]
Contoh Implementasi - HR Data Processing:
### Manajemen Data Karyawan (HR Management)
**Departemen Pemilik**: Human Resources
**Owner**: HR Manager
**Status**: Active
**Tanggal Dibuat**: 2026-02-01
#### Deskripsi Proses
Pengelolaan data karyawan Divistant untuk tujuan administrasi, payroll, compliance, dan employee management. Termasuk proses onboarding, attendance tracking, performance management, benefit administration, dan offboarding.
#### Data yang Diproses
- Nama, tanggal lahir, jenis kelamin, alamat, nomor identitas (KTP/SIM)
- Data ketenagakerjaan (posisi, department, hire date, salary, contract type)
- Data kesehatan (vaksinasi, medical checkup, asuransi)
- Data komunikasi (email perusahaan, nomor telepon)
- Data performa (evaluasi, training records, incident reports)
- Data keluarga (penerima tunjangan, contact emergency)
- Bank account untuk gaji
- Data absensi dan cuti
#### Tujuan & Basis Hukum
- Tujuan: Manajemen hubungan kerja, payroll, compliance dengan UU Ketenagakerjaan
- Basis Hukum: Kontrak kerja, kewajiban hukum (UU No. 13 Tahun 2003)
#### Alur Pemrosesan
1. **Rekrutmen & Onboarding**: Data dikumpulkan dari form aplikasi → diinput ke sistem BizOps → verifikasi dokumen
2. **Penyimpanan**: Data tersentralisasi di BizOps HR module dengan backup harian
3. **Penggunaan**: Access oleh HR staff untuk administrasi, approval manager untuk review
4. **Pelaporan**: Payroll generation, compliance reporting, analytics
5. **Offboarding**: Data diarsip, akses dihapus, data personal dihapus per periode retensi
#### Sistem & Infrastruktur
- Sistem Utama: BizOps (ERPNext) - HR Module
- Lokasi: On-premise server + cloud backup (AWS)
- Database: MySQL (BizOps) + AWS S3 untuk backup
- Akses: Role-based (HR Staff, Managers, Administrators)
#### Keamanan Data
- Enkripsi: Data at rest (database encryption), in transit (HTTPS)
- Access Control: RBAC dengan password-based authentication
- Backup: Harian dengan retention 90 hari
- DR: RTO 4 jam, RPO 1 jam
#### Periode Retensi
- Aktif Karyawan: Selama masa kontrak + 1 tahun setelah perpisahan
- Alasan: Compliance dengan UU Ketenagakerjaan No. 13 Tahun 2003
- Metode Penghapusan: Permanent deletion dari database, destruction physical dokumen
#### Pihak Ketiga
- Asuransi Kesehatan Provider (untuk data kesehatan)
- Bank (untuk payroll)
- Data Protection Agreement: Ada, melalui kontrak vendor
Tanggung Jawab Controller vs Processor
Divistant sebagai Data Controller:
Untuk data yang Divistant kumpulkan dan tentukan cara pengunaannya:
| Tanggung Jawab | Deskripsi |
|---|---|
| Dokumentasi ROPA | Maintain complete Records of Processing Activities |
| Data Subject Rights | Provide access, rectification, deletion, portability |
| Data Protection Impact Assessment | Conduct DPIA for high-risk processing |
| Security Measures | Implement appropriate technical & organizational measures |
| Breach Notification | Notify authorities within 72 hours if breached |
| Vendor Management | Ensure processor agreements include data protection clauses |
| Training | Provide data protection training to staff |
| Transparency | Provide privacy notices to data subjects |
Divistant sebagai Data Processor:
Untuk data yang diproses atas permintaan klien (contoh: sistem yang kami develop untuk klien):
| Tanggung Jawab | Deskripsi |
|---|---|
| Data Processing Agreement | Execute written DPA dengan controller |
| Instructions Only | Process data sesuai instruksi tertulis dari controller |
| Sub-processor Notification | Inform controller about sub-processors |
| Confidentiality | Ensure staff sign confidentiality agreements |
| Security & Compliance | Implement security measures per DPA |
| Audit Access | Allow controller to audit processing activities |
| Data Return/Deletion | Return atau delete data when contract ends |
| Breach Notification | Notify controller immediately if breach occurs |
Jadwal Review dan Pembaruan
Review Schedule:
| Waktu | Aktivitas | Penanggung Jawab | Frekuensi |
|---|---|---|---|
| Setiap Bulan | Verifikasi akses dan activity logs | IT Security | Monthly |
| Setiap Kuartal | Review perubahan dalam proses bisnis yang mempengaruhi pemrosesan data | Legal & Compliance | Q1, Q2, Q3, Q4 |
| Setiap Semester | Audit keamanan data dan compliance | IT Security + Legal | June, December |
| Setiap Tahun | Comprehensive review dan update ROPA | Legal & Compliance | February |
| As Needed | Emergency review jika ada perubahan significant atau incident | Legal & Compliance | Ad-hoc |
Proses Update ROPA:
- Identifikasi Perubahan: Departemen melaporkan perubahan dalam pemrosesan data
- Analisis Dampak: Legal & IT menilai dampak terhadap ROPA
- Update Dokumentasi: Revisi ROPA dengan perubahan yang diperlukan
- Approval: Kepala Legal & Compliance mengsetujui update
- Komunikasi: Notifikasi kepada affected departments dan stakeholders
- Dokumentasi Perubahan: Record tanggal, alasan, dan perubahan yang dilakukan
Template ROPA Lengkap
ROPA Master List Template:
| No | Nama Kegiatan | Departemen | Data Pribadi | Data Subject | Tujuan | Basis Hukum | Penerima | Retensi | Lokasi | Owner | Status | Last Updated |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | HR Management | HR | Nama, DoB, ID, Alamat, Gaji | Karyawan | Administrasi Kerja | Kontrak | HR Staff, Manager | 1 Tahun | BizOps | HR Manager | Active | 2026-02-01 |
| 2 | Klien CRM | Sales | Nama, Email, Phone, Company | Klien | Relationship Management | Consent | Sales Team | Duration+1Y | BizOps | Sales Manager | Active | 2026-02-01 |
| 3 | Payroll Processing | Finance | Nama, Bank Account, Salary | Karyawan | Pembayaran Gaji | Kontrak | Finance, Bank | Duration | BizOps, Bank System | Finance Manager | Active | 2026-02-01 |
| 4 | Email & Communication | IT | Email, IP Address, Content | All | Internal Communication | Legitimate Interest | IT Admin | 2 Tahun | Email Server | IT Manager | Active | 2026-02-01 |
| 5 | Project Management | Operations | Nama, Email, Task Assignment | Karyawan | Project Execution | Kontrak | Project Team | Duration+3M | BizOps | Operations Manager | Active | 2026-02-01 |
Kepatuhan Regulasi
Kesesuaian dengan UU PDP No. 27 Tahun 2022:
- Pasal 31: Dokumentasi aktivitas pemrosesan data
- Pasal 32: Penerapan data protection by design and by default
- Pasal 39: Notifikasi pelanggaran data ke otoritas
- Pasal 40: Hak-hak data subject (akses, koreksi, penghapusan)
Kesesuaian dengan GDPR Article 30:
- ROPA mencakup semua informasi yang dipersyaratkan (data controller/processor, purposes, categories, retention, security)
- Records dipertahankan dalam format yang accessible untuk compliance demonstration
- Reviewed secara regular dan updated sesuai perubahan
Training & Awareness
| Aktivitas | Frekuensi | Sasaran | Metode | Pemimpin |
|---|---|---|---|---|
| Data Protection Onboarding | Saat hire | Semua karyawan baru | Online module | Legal & Compliance |
| ROPA Process Training | 1x per tahun | Department managers, data handlers | Workshop | Legal & IT |
| GDPR/UU PDP Awareness | 2x per tahun | Semua karyawan | Email + Poster | Legal & Compliance |
| Incident Response Drill | 2x per tahun | All departments | Simulation | IT Security + Legal |
| Data Subject Rights Training | 1x per tahun | HR, Legal, Customer Service | Workshop | Legal & Compliance |
Kebijakan Terkait
- Data Protection & Privacy Policy
- Information Security Policy
- Data Breach Notification & Incident Response Policy
- Vendor Data Processing Agreement (DPA)
- Employee Privacy & Monitoring Policy
- Client Data Handling Standard Operating Procedures
Kontak
| Posisi | Nama/Tim | Phone | |
|---|---|---|---|
| Kepala Legal & Compliance | Legal & Compliance | legal@divistant.com | +62-21-XXXX-XXXX |
| IT Security Manager | IT Department | it.security@divistant.com | +62-21-XXXX-XXXX |
| HR Manager | Human Resources | hr@divistant.com | +62-21-XXXX-XXXX |
| Data Protection Officer (Delegated) | Legal & Compliance | legal@divistant.com | +62-21-XXXX-XXXX |
Last updated 3 months ago
Was this helpful?