I.        PENDAHULUAN

Pelindungan data/informasi internal serta eksternal menjadi hal yang sangat penting bagi PT Bintraco Dharma Tbk ("Perseroan") dan setiap perusahaan yang tergabung dalam grup Perseroan (masing-masing disebut "BD Group") yang bergerak dalam berbagai bidang usaha, dimana dalam menjalankan kegiatan usaha tersebut membutuhkan pemrosesan data/informasi.

Data/lnformasi merupakan aset utama bagi BO Group dan harus dilindungi keamanannya.  Penerapan  pelindungan data/lnformasi  bertujuan  untuk  menjamin keberlangsungan serta ketersediaan data/lnformasi dari risiko yang mungkin terjadi, yang dapat  menyebabkan  pengelolaan data/lnformasi  serta kegiatan operasional sehari-hari  menjadi terganggu.  Untuk itu,  BO Group mempunyai tanggung jawab dalam  mengelola data/lnformasi  agar terhindar dari  risiko  kerusakan,  kehilangan, atau terungkapnya  data/lnformasi  ke pihak  luar yang tidak  mempunyai  izin  atau akses  atas data/lnformasi  tersebut.  Proses  pelindungan terhadap  data/lnformasi tersebut harus dikelola dengan baik sehingga data/lnformasi yang dihasilkan dapat terjaga kerahasiaan,  integritas,  dan ketersediaannya secara efektif.

BO Group menilai  bahwa data/informasi  pribadi  milik seseorang adalah hal  yang paling  utama  untuk  dilindungi,   oleh  karenanya   BO  Group  menghormati   dan melindungi data pribadi yang dikelola atau diproses dalam BO Group sebagai bentuk komitmen untuk menjaga  kerahasiaan dan kepercayaan subjek data pribadi.

Sehingga untuk mewujudkan hal-hal tersebut di atas, perlu dibuat landasan berupa pembentukan Kebijakan Pelindungan Data Pribadi ini ("Kebijakan") untuk menjamin hak   konstitusional   subjek   data   pribadi   sesuai   dengan   ketentuan   peraturan perundang-undangan yang berlaku.


II.   DASAR HUKUM

1.      Undang-Undang No.  27 Tahun 2022 tentang  Pelindungan Data Pribadi  ("UU PDP");

2.     Undang-Undang Nomor 43 tahun 2009 tentang Kearsipan;

3.     Undang-Undang  Nomor  11    Tahun  2008  tentang  lnformasi   dan  Transaksi Elektronik;

4.     Undang-Undang Nomor 8 Tahun 1999 tentang Perlindungan Konsumen.


Ill.     MAKSUD  DAN TUJUAN

Maksud dan tujuan pembentukan Kebijakan ini adalah sebagai acuan untuk memastikan bahwa Data Pribadi di seluruh BO Group mendapatkan pelindungan dari kehilangan,  kebocoran data,  serta penyalahgunaan Data Pribadi.

Kebijakan ini ditetapkan sebagai pedoman atau panduan bagi seluruh karyawan BO Group dalam pelaksanaan kegiatan pemrosesan Data Pribadi sehubungan dengan telah  berlakunya  Undang-Undang  No.  27 Tahun 2022 tentang  Pelindungan  Data Pribadi "UU PDP").

Mengingat dalam UU PDP terdapat ancaman berupa sanksi pidana bagi pihak-pihak yang melakukan pelanggaran terhadap  beberapa ketentuan  dalam UU PDP tersebut dan   untuk   memitigasi   risiko   hukum   serta   meminimalisir   potensi   kerugian   yang dihadapi  oleh  BO Group  terkait  dengan  kegiatan  pemrosesan  Data  Pribadi  dalam kaitannya   dengan   keberlakuan   UU  PDP  tersebut,  maka  dipandang   perlu  untuk membuat sebuah  Kebijakan awal sebagai landasan  untuk melakukan  aktivitas yang berkaitan dengan  Data Pribadi tersebut.

Kebijakan  awal  ini  dibuat  mengingat   beberapa   peraturan  turunan   dalam   bentuk Peraturan   Pemerintah   ataupun   Peraturan   Presiden   sebagaimana   diamanatkan dalam   UU   PDP  tersebut   belum   diundangkan   oleh   Pemerintah   sehingga   untuk selanjutnya Kebijakan ini akan diperbarui atau diamandemen dengan tujuan ntuk menjadikan  landasan  aktivitas  yang  berkaitan  dengan  Data  Pribadi  menjadi  lebih baik  dan  sesuai  dengan  perkembangan  praktik  bisnis  yang  berlaku  dan perkembangan  peraturan-peraturan  turunan  dari UU PDP yang diterbitkan  di masa mendatang.


IV.    KEBERLAKUAN

Kebijakan ini berlaku untuk:

1.     BO Group (termasuk seluruh entitas anak yang tergabung dalam BD Group);

2.     Seluruh karyawan BO Group;

3.     Mitra yang bekerjasama  dengan BO Group;  dan

4.    Pihak  lainnya  yang  dapat   mengakses   dan  mengelola   data   pribadi   guna mendukung sasaran bisnis BD Group.


V.     DEFINISI

1.   Perusahaan  adalah  PT Bintraco  Dharma  Tbk  beserta  entitas  anak perusahaannya  atau yang dikenal sebagai  BO Group.

2.    Karyawan  adalah  setiap  orang  yang  bekerja  atau  terlibat  dengan  kegiatan pekerjaan di  BO Group, dengan  status  karyawan  tetap  (PKWTT)  dan kontrak (PKWT).

3.     Pelanggan adalah setiap orang yang memperoleh  Produk dan/atau  Jasa dari BO  Group,  baik  bagi  kepentingan  diri  sendiri,   keluarga,  orang   lain,   yang merupakan Subjek Data Pribadi yang diatur dalam Kebijakan  ini.

4.    Mitra Perseroan adalah pihak luar yang menjalin perikatan dengan Perseroan, termasuk setiap pihak yang sebelumnya sudah menandatangani  Perjanjian Kerahasiaan   dengan   Perseroan   atau   perjanjian   apapun   yang   mengatur kewajiban  kerahasiaan  di  dalamnya,  antara lain:  mitra asuransi,  mitra leasing, biro jasa,  vendor,  konsultan,  auditor,  outsource, dan pihak eksternal lainnya.

5.    Data Pribadi adalah data tentang orang perseorangan  yang teridentifikasi atau dapat diidentifikasi secara tersendiri  atau dikombinasi dengan informasi  lainnya baik secara langsung  maupun tidak langsung  melalui  sistem elektronik  atau  non-elektronik.  Data Pribadi  terdiri  dari:

i.     Data  Pribadi  yang  bersifat  umum,  yang  meliputi:  nama  lengkap,  jenis kelamin,  kewarganegaraan,  agama,  dan/atau  Data  Pribadi  yang dikombinasikan  untuk mengidentifikasi seseorang.

ii.   Data  Pribadi  yang  bersifat  spesifik,   yang  meliputi:   data  dan  informasi Kesehatan, data   biometrik, data genetika, kehidupan/orientasi seksual, pandangan politik, catatan kejahatan, data anak, data keuangan pribadi, dan/atau data lainnya sesuai dengan ketentuan peraturan perundang-undangan.

termasuk namun tidak terbatas pada:

a.     Nama;

b.     Jenis kelamin;

c.     Tempat,  Tanggal lahir;

d.     Nomor Handphone;

e.     Nomor telepon;

f.     Alamat tempat tinggal;

g.     Agama;

h.     Status Perkawinan;

i. Data keuangan/informasi  keuangan termasuk  data perbankan yang dimiliki Subjek  Data Pribadi (contoh:  nomor  rekening,  rekening  koran,  data kartu kredit atau data kartu debit);

J.         Rekaman suara/gambar/video seseorang;

k.     Data pribadi yang dikombinasikan  untuk mengidentifikasi  seseorang;

I.         Data Keluarga karyawan (contoh: ayah/ibu/suami/istri/anak);  dan/atau

m.   Data  pribadi  lainnya  yang  diinformasikan  oleh  Subjek  Data  Pribadi  atau Kuasa Subjek Data Pribadi yang diatur sesuai ketentuan perundang-undangan yang berlaku.

6.     Subjek  Data Pribadi  adalah  orang  perseorangan  yang  pada dirinya  melekat Data Pribadi,  Subjek Data Pribadi meliputi:

a.     Pelanggan dan calon Pelanggan;

b.     Karyawan dan calon Karyawan,  mantan Karyawan;

c.     Vendor,  calon Vendor,  mantan Vendor;

d.     Investor; dan/atau

e.    Pihak lainnya yang  berkaitan atau memiliki hubungan  hukum  dengan  BD Group.


VI.     PRINSIP PELINDUNGAN DATA PRIBADI

Untuk melaksanakan  bisnisnya, kegiatan pemrosesan data diperlukan untuk dimanfaatkan  dalam  pengembangan   produk,  penawaran  produk,  maupun pencegahan  tindakan  kriminal.  Adapun  kegiatan  pemrosesan   Data  Pribadi  yang berjalan di BD Group adalah sebagai berikut:

1.      Pemerolehan  dan pengumpulan;

2.     Pengolahan dan penganalisisan;

3.     Penyimpanan;

4.     Perbaikan  dan  pembaruan;

5.     Penampilan,  pengumuman,  transfer,  penyebarluasan,  atau pengungkapan; dan/atau

6.     Penghapusan  atau pemusnahan.

(selanjutnya  disebut sebagai  "Pemrosesan  Data Pribadi")

Kegiatan    Pemrosesan    Data   Pribadi   dilakukan    dengan    memastikan    adanya penerapan keamanan informasi dengan tidak mengesampingkan kepentingan pelindungan  Data Pribadi atau  hak dasar  milik Subjek Data Pribadi  sebagaimana diatur dalam peraturan  perundang-undangan yang berlaku.

Dalam  hal ini  BD Group  melakukan  mekanisme  atau  prosedur  Pemrosesan  Data Pribadi sesuai dengan  prinsip-prinsip  pelindungan  Data Pribadi sebagaimana  diatur dalam peraturan perundang-undangan yang berlaku,  antara lain:

1.      Pengumpulan   Data  Pribadi  dilakukan   secara  terbatas,  spesifik,  sah  secara hukum,  dan transparan;

2.     Pemrosesan  Data Pribadi dilakukan sesuai dengan tujuannya;

3.     Pemrosesan  Data Pribadi dilakukan dengan menjamin hak Subjek Data Pribadi;

4.    Pemrosesan  Data Pribadi dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir,  dan dapat dipertanggungjawabkan;

5.    Pemrosesan  Data Pribadi dilakukan dengan melindungi keamanan  Data Pribadi dari pengaksesan  yang tidak sah, pengungkapan  yang tidak sah, pengubahan yang  tidak  sah,  penyalahgunaan,  perusakan,  dan/  atau  penghilangan   Data Pribadi;

6.    Pemrosesan   Data   Pribadi   dilakukan   dengan   memberitahukan  tujuan   dan aktivitas pemrosesan, serta kegagalan  pelindungan  Data Pribadi;

7.     Data Pribadi  yang tidak lagi  diperlukan  untuk tujuan  Pemrosesan  Data Pribadi

atau berdasarkan  permintaan  Subjek Data Pribadi  untuk dihapus/dimusnahkan, harus dihapus/dimusnahkan,  sesuai dengan ketentuan yang berlaku;  dan

8.    Pemrosesan   Data  Pribadi  dilakukan   secara  bertanggung   jawab   dan  dapat dibuktikan  secara jelas.


VII.PEMROSESAN DATA PRIBADI

KEBIJAKAN

BD Group  berkomitmen  untuk berupaya  melindungi  Data Pribadi  dalam  rangkaian pemrosesan  Data  Pribadi  demi  menjamin  hak konstitusional  Subjek  Data  Pribadi sesuai dengan ketentuan peraturan  perundang-undangan yang berlaku.

Pemrosesan  Data Pribadi wajib dilakukan dengan ketentuan sebagai berikut:

1.     Pemrosesan    Data    Pribadi    didokumentasikan   sesuai   dengan    ketentuan perundang-undangan yang berlaku;

2.    Pemrosesan  Data  Pribadi  dilakukan  dengan  informasi dan  penjelasan tujuan pemrosesan  terlebih  dahulu  dari BD Group  kepada  Subjek  Data Pribadi yang meliputi:

a.     Legalitas dari  pemrosesan  Data Pribadi;

b.     Tujuan pemrosesan Data Pribadi;

c.     Jenis dan relevansi Data Pribadi yang akan diproses;

d.     Jangka waktu retensi dokumen yang memuat Data Pribadi;

e.     Rincian mengenai  lnformasi yang dikumpulkan;

f.      Jangka waktu pemrosesan Data Pribadi; dan

g.     Hak Subjek Data Pribadi.

BO Group wajib memastikan, seluruh kegiatan Pemrosesan Data Pribadi telah mendapatkan persetujuan dari Subjek Data Pribadi sebelum melakukan pemrosesan,  pengumpulan,  maupun perekaman Data Pribadi termasuk dalam hal memberikan Data Pribadi kepada pihak ketiga selaku Pengendali atau Prosesor Data Pribadi maupun yang menjalankan fungsi  lainnya;

3.     BO Group wajib memiliki mekanisme/prosedur mengenai perolehan persetujuan yang sah dari Subjek Data Pribadi untuk pemrosesan Data Pribadi. Persetujuan yang sah secara eksplisit dari Subjek Data Pribadi atas pemrosesan yang akan dilakukan dilaksanakan dengan:

a.     Persetujuan pemrosesan Data Pribadi  dilakukan secara elektronik maupun non-elektronik;

b.     Persetujuan   baik  secara  elektronik  maupun  non-elektronik  mempunyai kekuatan hukum yang sama;

c.     Dalam  hal   persetujuan  pemrosesan  Data  Pribadi  memuat  tujuan   lain, permintaan persetujuan harus memenuhi  ketentuan:

(i)    Dapat dibedakan secara jelas dengan hal lainnya;

(ii)   Dibuat dengan format yang dapat dipahami dan mudah diakses;  dan

(iii)  Menggunakan Bahasa Indonesia yang sederhana dan jelas;

4.    Pemenuhan  kewajiban  perjanjian  dalam  hal  Subjek  Data Pribadi  merupakan salah satu pihak atau untuk memenuhi  permintaan Subjek Data Pribadi  pada saat melakukan perjanjian;

5.    Pemenuhan   kewajiban   hukum   dari   BO  Group   sesuai   dengan   peraturan perundang-undangan;

6.    Pelaksanaan tugas dalam rangka kepentingan umum,  pelayanan publik,  atau pelaksanaan kewenangan BO Group berdasarkan peraturan perundang• undangan;

7.   Pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan,  dan keseimbangan  kepentingan  BO Group dan Hak Subjek  Data Pribadi;

8.    Untuk  pemrosesan  Data Pribadi terkait  dengan  permintaan  pelaksanaan  hak oleh  Subjek  Data Pribadi  berdasarkan  ketentuan  perundang-undangan  yang berlaku,  maka  BO Group  wajib  melakukan  verifikasi  terlebih  dahulu  kepada Subjek Data Pribadi.


VIII.   HAK-HAK SUBJEK DATA PRIBADI

Hak-hak  Subjek  Data  Pribadi  selama  kegiatan  Pemrosesan  Data  Pribadi  adalah sebagai berikut:

1.    Mendapatkan informasi tentang kejelasan dasar kepentingan hukum, tujuan permintaan dan penggunaan Data Pribadi,  dan akuntabilitas BD Group;

2.    Melengkapi, memperbaharui, dan/atau memperbaiki kesalahan dan/atau ketidakakuratan Data Pribadi sesuai dengan tujuan Pemrosesan Data Pribadi;

3.    Mendapatkan  akses  dan  memperoleh  Salinan  Data  Pribadi  sesuai  dengan peraturan perundang-undangan;

4.     Mengakhiri   pemrosesan,   menghapus,   dan/atau   memusnahkan   Data  Pribadi sesuai dengan peraturan perundang-undangan;

5.    Menarik  kembali  persetujuan  pemrosesan  Data  Pribadi  yang telah  diberikan kepada BD Group sesuai dengan ketentuan peraturan perundang-undangan;

6.   Mengajukan keberatan atas tindakan pengambilan keputusan yang hanya didasarkan pada pemrosesan secara otomatis, termasuk pemrofilan yang menimbulkan   akibat  hukum  atau  berdampak   signifikan   pada  Subjek   Data Pribadi;

7.     Menunda atau membatasi pemrosesan Data Pribadi secara proporsional sesuai dengan tujuan  pemrosesan Data Pribadi;

8.    Menggugat dan menerima ganti rugi atas pelanggaran pemrosesan Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan;

9.    Mendapatkan/menggunakan Data Pribadi tentang dirinya dari BD Group dalam bentuk sesuai dengan struktur dan/atau format yang lazim digunakan.


IX.    PENGUMPULAN DAN PEREKAMAN DATA PRIBADI

1.      Dasar pemerolehan atau pengumpulan Data Pribadi di BO Group adalah berupa persetujuan yang  sah secara  eksplisit  dari  Subjek  Data Pribadi  untuk 1 (satu) atau beberapa tujuan tertentu yang telah disampaikan  oleh BD Group kepada Subjek Data Pribadi;

2.    Tujuan pemerolehan  dan pengumpulan  Data Pribadi milik Subjek  Data Pribadi sebagaimana tercantum di dalam Pasal V ayat 6 adalah untuk:

a.     kebutuhan penyediaan  produk dan jasa oleh BD Group;

b.  menjawab pertanyaan, keluhan, permintaan, menghubungi dan/atau menginformasikan Subjek Data Pribadi, baik melalui sarana telekomunikasi (telepon atau SMS),  surat elektronik (e-mail),  maupun platform lainnya;

c.     melakukan survei,  riset,  analisa,  pengembangan dan peningkatan layanan;

d.     melakukan aktivitas promosi  produk,  layanan, dan aktivitas sosial  lainnya;

e.    Berpartisipasi   di  halaman   media  sosial   BO  Group  seperti   Facebook, lnstagram,  Twitter,  Linkedin,  dan platform lainnya;

f.      Kebutuhan  personalia

g.    Aktivitas atau transaksi  keuangan dan/atau

h.     Kebutuhan  lainnya  sehubungan  dengan  bisnis  BO Group  sebagaimana diatur dalam peraturan perundang-undangan  yang berlaku;

3.     Batas besaran jumlah  atau jenis  Data Pribadi yang dikumpulkan  oleh BO Group adalah  sebatas  dengan  keperluan  bisnis  BO Group  dalam  melakukan pemrosesan  dan sesuai dengan  keperluan  bisnis BO Group, batasan jenis  Data Pribadi  yang  diperoleh  tersebut  adalah  data  dan  informasi  Data  Pribadi  yang telah disetujui oleh Subjek Data Pribadi, oleh karenanya seluruh Karyawan BD Group maupun pihak lainnya yang bertindak atas nama BD Group. dilarang untuk mengumpulkan  Data Pribadi maupun informasi pribadi lainnya milik Subjek Data Pribadi yang belum atau tidak mendapatkan  persetujuan dari Subjek Data Pribadi yang bersangkutan;

4.   Perekaman Data Pribadi yang dilakukan BD Group wajib dilakukan dengan mekanisme yang aman, yaitu dengan cara sebagai berikut:

a.     Secara berkala wajib melakukan pembaharuan  langkah-langkah keamanan digital dan enkripsi data;

b.     Wajib melakukan perekaman/pencatatan histori transfer Data Pribadi;

c.     Wajib membatasi akses Data Pribadi dalam lingkungan perusahaan;

d.     Wajib mengumpulkan  Data Pribadi hanya data yang diperlukan untuk tujuan Pemrosesan  Data Pribadi yang disetujui oleh Subjek Data Pribadi;

e.    Wajib  untuk segera  mengembalikan  kepada  Subjek  Data Pribadi apabila terdapat  data-data/informasi  yang  tidak  diperlukan  dalam  tujuan Pemrosesan  Data Pribadi; dan

f.     Wajib  melakukan  pemeriksaan  di  dalam  perangkat  terkait  data-data  yang akan diproses  atau telah selesai diproses, apabila menemukan  data yang tidak diperlukan untuk keperluan Pemrosesan, maka wajib untuk segera menghapus  Data Pribadi tersebut.


X.     PENGOLAHAN DAN PENGANALISISAN

1.     Data Pribadi yang diolah  dan dianalisa  oleh  BD Group  adalah  dengan tujuan sebagai berikut:

a.     Layanan dan produk

1.     Menyediakan   produk,   layanan,   dan  penawaran   bagi   Subjek   Data Pribadi;

2.    Memberikan  informasi  kepada  Subjek  Data  Pribadi  tentang  manfaat dan perubahan pada fitur produk dan layanan yang disediakan  oleh BD Group;

3.     Memberikan   penawaran   dan  promosi  terbaru   kepada  Subjek  Data Pribadi.

b.     Komunikasi dengan Subjek Data Pribadi

(i)    Mengirimkan  pesan kepada Subjek  Data Pribadi sehubungan  dengan aktifitas bisnis BD Group seperti terkait pelaksanaan  rekrutmen, komunikasi  terkait  dengan  layanan/produk,  dan  komunikasi  lainnya terkait dengan kebutuhan  bisnis BD Group;

(ii)   Menggunakan  informasi Subjek Data Pribadi untuk berpartisipasi dalam

survei atau pertemuan yang diadakan oleh BO Group;

(iii)  Mengirimkan   informasi  kepada   Subjek  Data  Pribadi  melalui  surat elektronik   (e-mail),   sarana  telekomunikasi   (panggilan   telepon   atau pesan teks) atau media sosial tentang produk dan layanan,  maupun kolaborasi dengan pihak lainnya.

c.     Operasional Bisnis

(i)     Memproses        penagihan,         pembayaran       dan        menanggapi permintaan/pertanyaan dari Subjek Data Pribadi;

(ii)    Penelitian   dan   studi   terhadap   pelanggan   yang   secara   sukarela membagikan Data Pribadinya untuk berpartisipasi;

(iii)   Kegiatan    akuntansi,     audit,     penagihan,     rekonsiliasi,     termasuk pemantauan  dan  pencegahan  kejahatan  atau  penipuan,  melindungi hak-hak  hukum  BO Group,  dan  melakukan  kewajiban  berdasarkan perjanjian.

d.     Pengembangan

(i)     Mengukur level Layanan BO Group dan diagnosis permasalahan terkait produk dan layanan yang disediakan oleh BO Group;

(ii)    Menguji,  mengubah,  atau mengembangkan produk dan layanan  baru BO Group dan untuk mengidentifikasi tren yang terjadi terkait dengan bisnis yang dijalankan  BO Group.

e.     lklan dan Pemasaran

(i)     Melakukan analisa atas riwayat  penggunaan layanan/produk  sebagai dasar menyediakan penawaran kepada Subjek Data  Pribadi;

(ii)    Melakukan   penawaran   otomatis   (melalui    SMS/media   lain    untuk produk/layanan tertentu).

f.       Personalia

Tujuan pengolahan dan analisa Data Pribadi yang berkenaan dengan Karyawan terkait dengan kebutuhan personalia selama masa kerja sesuai dengan peraturan ketenagakerjaan yang berlaku.

g.    Tujuan lainnya sesuai dengan peraturan perundang-undangan yang berlaku beserta peraturan pelaksanaannya.

2.    Dalam rangka memastikan bahwa Data Pribadi yang diolah dan dianalisis telah akurat dan lengkap, maka dibutuhkan mekanisme dan/atau standar penerapan kualitas data yang mencakup beberapa prinsip dan praktek sebagai  berikut:

a.     Memastikan bahwa data pribadi yang dikumpulkan dari Subjek Data Pribadi adalah akurat dan relevan untuk tujuan  Pemrosesan Data Pribadi;

b.     Memastikan bahwa Data Pribadi yang digunakan untuk tujuan Pemrosesan Data Pribadi adalah akurat,  lengkap,  dan dapat diperbarui jika diperlukan;

c.     Ketika ditemukan kesalahan atau ketidakakuratan dalam Data Pribadi yang diperoleh,  maka wajib  untuk  melakukan  follow-up  terhadap  Subjek  Data Pribadi yang bersangkutan;

d.    Bahwa  Subjek  Data  Pribadi  memiliki  hak  untuk  meminta  koreksi  atau perbaikan data tersebut;

e.     Wajib   mengambil   langkah-langkah   teknis   dan   organisasional    yang diperlukan  untuk menjaga  keakuratan data  pribadi dan mencegah akses atau penggunaan yang tidak sah;

f.      Data pribadi yang tidak lagi diperlukan untuk tujuan yang dinyatakan harus dihapus atau dianonimkan,  sesuai dengan ketentuan yang berlaku;

g.    Secara berkala meninjau dan mengevaluasi keakuratan Data Pribadi yang diproses.

3.    Apabila  terdapat  pengolahan  dan  penganalisisan  Data  Pribadi  di  luar  atau sebagai tambahan tujuan dari tujuan awal pengolahan dan penganalisisan Data Pribadi yang telah disetujui oleh Subjek Data Pribadi, maka harus memberikan informasi kepada Subjek Data Pribadi dan wajib dimintakan persetujuan kembali kepada Subjek Data Pribadi untuk penambahan tersebut.

4.    Melakukan  proses  evaluasi  sistematis  untuk  mengidentifikasi  potensi  risiko terkait dengan pengolahan dan analisis Data Pribadi,  terutama jika pengolahan ini  memiliki  potensi risiko tinggi terhadap Subjek Data Pribadi dengan cara:

a.     Mengidentifikasi    potensi    risiko    seperti    risiko    terhadap    keamanan, kerahasiaan,  integritas, dan ketersediaan data;

b.     Menilai dampak dari  risiko-risiko yang teridentifikasi terhadap  Subjek Data Pribadi,  serta aspek lain yang relevan;

c.   Mengusulkan langkah-langkah atau tindakan yang dapat diambil untuk mengurangi risiko-risiko yang teridentifikasi, baik secara teknis maupun organisasional;

d.    Melakukan   konsultasi   dengan   melibatkan   pihak-pihak   yang   relevan, termasuk pihak internal dan jika diperlukan pihak eksternal, seperti otoritas pengawas data atau ahli hukum yang memahami potensi pelanggaran regulasi perlindungan Data Pribadi;

e.    Mendokumentasikan  hasil  dari  penilaian  dampak,  termasuk  risiko-risiko yang diidentifikasi dan langkah-langkah pengurangan risiko yang direkomendasikan.

5.    Wajib   menerapkan   prinsip-prinsip   pemrosesan   Data   Pribadi   dalam   hal pengolahan   dan   penganalisisan   Data   Pribadi   sesuai   dengan   ketentuan peraturan perundang undangan.


XI.    PENGELOLAAN DATA PRIBADI


a.   PENYIMPANAN DATA PRIBADI

Sehubungan dengan penyimpanan Data Pribadi,  BD Group akan melakukan upaya-upaya sebagai  berikut:

1.      Menentukan  dan  menerapkan  pengendalian  keamanan  Data  Pribadi  yang disimpan baik secara fisik maupun elektronik;

2.    Apabila  terdapat  Data  Pribadi  yang  tersimpan  dalam  perangkat  elektronik pribadi,    maka   data   pribadi   tersebut   wajib   untuk   segera   dihapus   dan dimusnahkan  dari  perangkat  elektronik  pribadi tersebut. Apabila  terjadi kehilangan, kebocoran, atau penyalahgunaan Data Pribadi yang disimpan dalam perangkat elektronik pribadi Karyawan, maka seluruh kerugian maupun  tuntutan  hukum  merupakan  tanggung  jawab  pribadi  Karyawan yang bersangkutan;

3.    Menetapkan dan menerapkan mekanisme retensi Data Pribadi; dimana dalam menetapkan dan menerapkan retensi  Data Pribadi,  perlu dipertimbangkan:

a.     Tujuan  awal pengumpulan  Data Pribadi;

b.     Kebutuhan bisnis seperti  analisa bisnis,  pemenuhan layanan  pelanggan, atau keperluan  hukum;

c.     Konservasi  integritas data yaitu integritas dan konsistensi data;  dan/atau

d.     Permintaan pelanggan;

4.    Masa  retensi  Data Pribadi  adalah sekurang-kurangnya  selama  10  (sepuluh) tahun,  terhitung  sejak  tanggal  subjek  Data  Pribadi memberikan  persetujuan kepada BD Group untuk memperoleh Data Pribadi miliknya, dengan tetap memperhatikan ketentuan peraturan perundang-undangan yang berlaku;

5.    Wajib menerapkan pencegahan kegagalan pelindungan Data Pribadi dalam hal penyimpanan Data Pribadi wajib dilakukan dengan:

a.     menerapkan enkripsi dan/atau penyamaran data;

b.     membuat salinan cadangan terhadap Data Pribadi;  dan

c.     melakukan enkripsi  dan/atau penyamaran data terhadap salinan cadangan Data Pribadi;

6.  Wajib   mengetahui,   mencatat   dan/atau   mendokumentasikan   lokasi penyimpanan, dan media penyimpanan Data Pribadi;

7.   Wajib melakukan Upaya keamanan seperti security patching, vulnerability assessment, penetration  test pada sistem keamanan perangkat, agar data yang tersimpan aman dari virus, serangan siber, atau tindakan hacker yang merugikan BD Group maupun Subjek Data Pribadi;

8.     Menerapkan prinsip-prinsip pemrosesan Data Pribadi  dalam hal  penyimpanan

Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan.


b.   PERBAIKAN DAN PEMBARUAN DATA PRIBADI

1.      BD Group wajib melakukan pembaruan dan/atau perbaikan kesalahan dan/atau ketidakakuratan  Data Pribadi  maksimal 3 (tiga)  hari atau 3 x 24 jam terhitung sejak  BD Group  menerima  permintaan  pembaruan dan/atau  perbaikan  Data Pribadi dari Subjek Data Pribadi.

2.     BD Group  akan memberitahukan  hasil  pembaruan  dan/atau  perbaikan  Data Pribadi  kepada Subjek  Data Pribadi.

3.     BD Group berhak menolak memberikan akses perubahan terhadap Data Pribadi dalam hal:

a.     Membahayakan keamanan,  kesehatan fisik,  atau kesehatan mental Subjek Data Pribadi dan/atau orang lain;

b.     Berdampak pada pengungkapan Data Pribadi  milik orang lain;  dan/atau

c.     Bertentangan dengan kepentingan pertahanan dan keamanan nasional.


c.   PENAMPILAN ATAU PEMBERIAN AKSES DATA PRIBADI

1.    BD Group memberikan akses kepada Subjek Data Pribadi terhadap Data Pribadi yang di proses beserta rekam jejak pemrosesannya sesuai dengan jangka waktu penyimpanan Data Pribadi.

2.   Akses diberikan maksimal 3 (tiga)  hari atau 3 x 24 jam terhitung sejak BD Group menerima permintaan akses dari Subiek Data Pribadi.

3.    BD Group berhak menolak memberikan akses terhadap Data Pribadi dalam hal:

a.     Membahayakan keamanan,  kesehatan fisik,  atau kesehatan mental  Subjek Data Pribadi dan/atau  orang lain;

b.     Berdampak pada pengungkapan Data Pribadi  milik orang lain;  dan/atau

c.     Bertentangan dengan kepentingan  pertahanan dan keamanan nasional.


d.   PENUNDAAN    DAN   PENCABUTAN    PERSETUJUAN    PEMROSESAN    DATA PRIBADI

1.      Penundaan Pemrosesan Data Pribadi.

a.   BD Group wajib melakukan penundaan dan pembatasan pemrosesan Data Pribadi baik sebagian maupun seluruhnya maksimal 3 (tiga) hari terhitung sejak BD Group menerima permintaan penundaan dan pembatasan pemrosesan Data Pribadi.

b.    Penundaan dan pembatasan pemrosesan Data Pribadi dikecualikan dalam hal:

(i) Terdapat ketentuan peraturan perundang-undangan yang tidak memungkinkan dilakukan penundaan dan pemrosesan Data Pribadi;

(ii)   Penundaan   dan   pembatasan    pemrosesan   Data   Pribadi   dapat membahayakan keselamatan pihak lain;  dan/atau

(iii)  Subjek Data Pribadi terikat perjanjian tertulis dengan BO Group perihal tidak diperbolehkan dilakukannya pembatasan pemrosesan Data Pribadi.

c.    BD  Group  waiib  memberitahukan   telah  dilaksanakan   penundaan  dan pembatasan pemrosesan Data Pribadi  kepada Subjek Data Pribadi.

2.     Pencabutan Persetujuan  Pemrosesan Data Pribadi.

a.    BO Group wajib menghentikan Pemrosesan Data Pribadi maksimal 3  (tiga) hari   terhitung   sejak   BD   Group   menerima    permintaan   pencabutan persetujuan  Pemrosesan Data Pribadi  oleh Subjek Data Pribadi;

b.    Sebelum   menghentikan   Pemrosesan   Data   Pribadi,   BO  Group   wajib melakukan verifikasi  kepada Subjek Data Pribadi;

c.     Dalam  hal  Data Pribadi  masih diperlukan  oleh BD Group terkait  dengan transaksi/kewajiban  yang  masih  berjalan  (penyelesaian  perjanjian, kewajiban Subjek Data Pribadi kepada BD Group belum terpenuhi, dan hal lainnya terkait dengan penyelesaian transaksi/kewajiban), maka BD Group dapat menyimpan Data Pribadi tersebut sampai dengan selesainya transaksi/kewajiban dengan tetap memperhatikan  ketentuan tentang masa rentensi yang berlaku.

d.     BD   Group    waiib    memberitahukan    telah    dilaksanakan    pencabutan persetujuan  Pemrosesan Data Pribadi  kepada Subjek Data Pribadi.


e.   PENGHAPUSAN ATAU PEMUSNAHAN DATA PRIBADI

1.      BD Group melakukan penghapusan Data Pribadi dalam hal:

a.     Data Pribadi tidak lagi diperlukan untuk tujuan pemrosesan Data Pribadi;

b.     Subjek  Data Pribadi  melakukan  penarikan  atas persetujuan  pemrosesan Data Pribadi;

c.     Terdapat permintaan penghapusan dari Subjek Data Pribadi; dan/atau

d.     Data Pribadi diperoleh dan/atau diproses dengan cara melawan hukum.

2.     BD Group melakukan pemusnahan Data Pribadi dalam hal:

a.    Data Pribadi telah  habis masa retensinya  sesuai  dengan  kebijakan yang berlaku;

b.     Terdapat permintaan dari  Subjek Data Pribadi;

c.     Data Pribadi diperoleh dan/atau diproses dengan cara melawan hukum,;

d.    Data  Pribadi  tidak  berkaitan  dengan  penyelesaian  proses  hukum  suatu perkara hukum; dan/atau

e.     Terdapat kebocoran Data Pribadi yang merugikan Subjek Data Pribadi dan Perusahaan.

3.    Penghapusan  dan/atau  pemusnahan  Data Pribadi wajib diberitahukan kepada Subjek Data Pribadi dengan disertai berita acara penghapusan dan/atau pemusnahan data pribadi.


f.    PENGAKHIRAN PEMROSESAN DATA PRIBADI

BD Group melakukan pengakhiran pemrosesan Data Pribadi dalam hal:

1.      Tujuan  Pemrosesan Data Pribadi telah tercapai;

2.     Telah mencapai masa retensi;  atau

3.     Terdapat permintaan dari  Subjek Data Pribadi.


g.   PROSESOR DATA PRIBADI

1.      BD Group dapat menunjuk prosesor Data Pribadi untuk bertindak atas nama BD Group  dalam  melaksanakan  kegiatan  Pemrosesan  Data  Pribadi  ("Prosesor Data Pribadi").

2.    Prosesor Data Pribadi wajib melakukan Pemrosesan Data Pribadi berdasarkan keputusan dari  BD Group dan harus sesuai dengan ketentuan UU PDP.

3.   Prosesor Data Pribadi dapat melibatkan prosesor Data Pribadi lain dalam melakukan Pemrosesan Data Pribadi berdasarkan persetujuan tertulis dari BD Group.

4.    Apabila Prosesor Data Pribadi melakukan Pemrosesan Data Pribadi diluar dari perintah dan tujuan yang ditetapkan oleh BD Group, maka seluruh akibat yang ditimbulkan dari pemrosesan tersebut merupakan tanggung jawab dari Prosesor Data Pribadi yang bersangkutan.


h.  TRANSFER DATA PRIBADI

1.     Transfer Data Pribadi dalam Wilayah Hukum Indonesia

a.     BD Group dapat melakukan transfer Data Pribadi  kepada pengendali  Data Pribadi  lainnya dalam wilayah hukum Negara Republik Indonesia.

b.    BD  Group   wajib   memastikan   bahwa   pengendali   Data   Pribadi   yang menerima transfer Data Pribadi melakukan Pelindungan Data Pribadi sesuai yang diatur dalam Undang-undang Perlindungan Data Pribadi.

2.  Transfer Data Pribadi di  luar Wilayah  Hukum Indonesia

a.    BD Group dapat melakukan transfer Data Pribadi kepada pengendali Data Pribadi  dan/atau  Prosesor  Data  Pribadi  lainnya  di  luar  wilayah  hukum Negara Republik Indonesia.

b.    BD Group wajib  memastikan  negara tempat  kedudukan  pengendali  Data Pribadi  dan/atau  Prosesor  Data  Pribadi  yang  menerima  transfer   Data Pribadi  memiliki tingkat  Pelindungan  Data Pribadi  yang setara atau lebih tinggi  dari  yang  di   atur  dalam  UU  PDP,  termasuk  dalam  hal  adanya peraturan lainnya yang mengikat untuk pengendali  Data Pribadi/Prosesor Data Pribadi tersebut.

c.     Dalam hal ketentuan pada huruf (b) di atas tidak terpenuhi,  maka BD Group wajib memastikan terdapat  Pelindungan  Data Pribadi yang memadai dan bersifat mengikat.

d.     Dalam hal ketentuan huruf (b) dan huruf (c) tidak terpenuhi,  maka BD Group wajib mendapatkan persetujuan Subjek Data Pribadi.


XII.   PENGAWASAN DAN TANGGUNG JAWAB

1.     Tanggung Jawab

a.     Kerahasiaan  Data  Pribadi  wajib dijaga  oleh setiap divisi  yang melakukan Pemrosesan Data Pribadi.

b.     Data Pribadi hanya dapat digunakan sesuai dengan tujuan dari pemrosesan Data Pribadi yang telah disetujui oleh Subjek Data Pribadi.

c.     Data Pribadi  yang  akan diungkapkan  oleh  Divisi/Departemen  dalam  BD Group kepada  Mitra Perseroan  atau pihak ketiga lainnya  harus mendapatkan  persetujuan terlebih  dahulu dari  Kepala Divisi/Departemen. Persetujuan  tersebut harus dilakukan melalui  media yang dapat disimpan dan dapat dibuktikan baik secara elektronik maupun non-elektronik.

d.    Sebelum  diungkapkan  kepada Mitra Perseroan atau pihak ketiga lainnya (sepanjang  pengungkapan tersebut  diizinkan  oleh hukum yang  berlaku), Karyawan wajib untuk memastikan bahwa Mitra Perseroan atau pihak ketiga tersebut telah terikat oleh  kewajiban kerahasiaan yang konsisten dengan Kebijakan ini,  dan peraturan perundang-undangan yang berlaku.

2.     Larangan

Setiap Karyawan BD Group yang melakukan Pemrosesan Data Pribadi dilarang untuk:

a.    memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan cara yang bertentangan dengan ketentuan yang berlaku, termasuk melakukan aktivitas  untuk memperoleh atau mengumpulkan  Data Pribadi tanpa tujuan atau kepentingan yang nyata untuk kepentingan Perusahaan yang diatur oleh hukum ataupun anggaran dasar perusahaan.

b.    mengungkapkan   Data  Pribadi  yang  bukan  miliknya  kepada  pihak  lain dengan cara yang bertentangan dengan ketentuan yang berlaku

c.     menggunakan  Data Pribadi  yang bukan miliknya,  baik untuk kepentingan

pribadi    maupun   untuk   kepentingan   perusahaan,    dengan   cara   yang bertentangan dengan ketentuan yang berlaku.

d.     membuat  Data Pribadi palsu atau memalsukan  Data  Pribadi,  baik untuk kepentingan diri sendiri maupun perusahaan, yang dapat merugikan Subjek

Data Pribadi dan/atau orang lain.

Dalam hal Perusahaan mengalami kerugian, tuntutan, dan/atau klaim dari pihak ketiga akibat pelanggaran terhadaphal-hal tersebut di atas dan dapat dibuktikan bahwa hal tersebut merupakan kesalahan dari Karyawan tertentu, maka kerugian, tuntutan,  dan/atau klaim tersebut a.kan  menjadi tanggung jawab dari  Karyawan yang bersangkutan.

Setiap divisi/departemen  dalam melakukan aktivitas terkait Data Pribadi wajib memperhatikan hal-hal  sebagai berikut:

a.  Memastikan  bahwa  Pemrosesan  Data  Pribadi  telah  mendapatkan persetujuan Pemrosesan Data Pribadi yang sah secara eksplisit dari Subjek Data Pribadi sesuai dengan tujuan yang telah disampaikan, yaitu berkaitan dengan:

(i)    Legalitas dari  Pemrosesan Data Pribadi.

(ii)   Tujuan  Pemrosesan Data Pribadi.

(iii)  Jenis dan relevansi  Data Pribadi yang diserahkan untuk diproses.

(iv)  Jangka waktu penggunaan dan retensi Data Pribadi.

(v)   Rincian mengenai  informasi yang dikumpulkan.

(vi)  Hak Subjek Data Pribadi.

b.   Persetujuan  pada huruf a  di  atas dapat dilakukan secara tertulis  maupun terekam yang dapat disampaikan secara elektronik atau non-elektronik oleh Subjek Data Pribadi.

c.   Karyawan yang menggunakan Data Pribadi milik Subjek Data Pribadi untuk kepentingan Pemrosesan Data Pribadi wajib melakukan pengawasan terhadap setiap pihak yang bersangkutan dan terlibat dalam aktivitas yang berkaitan dengan Data Pribadi tersebut.

d.    Dalam hal Subjek Data Pribadi menolak untuk melanjutkan proses kegiatan menggunakan Data Pribadi miliknya, maka aktivitas yang berkaitan dengan Data Pribadi tersebut harus dihentikan dalam jangka waktu maksimal  3x24 Jam terhitung  sejak adanya permintaan tertulis dari  Subjek Data Pribadi untuk tidak melanjutkan proses tersebut, penghentian tersebut wajib disampaikan kepada Subjek Data Pribadi pada saat dilakukannya penghentian.


XIII.  KEGAGALAN  PELINDUNGAN  DATA PRIBADI

1.     Apabila terdapat insiden kegagalan Pelindungan Data Pribadi, BD Group wajib memberitahukan  kepada Subjek Data Pribadi dan  lembaga terkait selambat• lambatnya  3 (tiga)  hari  terhitung  sejak  insiden  kegagalan  pelindungan  Data Pribadi tersebut telah diketahui.

2.     Pemberitahuan tertulis atas insiden kegagalan pelindungan Data Pribadi minimal memuat:

a.     Data Pribadi yang terungkap;

b.     Kapan dan bagaimana Data Pribadi terungkap;  dan

c.     Upaya penanganan dan pemulihan atas terungkapnya Data Pribadi.

3.    Dalam  hal  tertentu  seperti  terjadinya  insiden  kegagalan  pelindungan  Data Pribadi   yang   mengganggu   pelayanan   publik  dan/atau   berdampak   serius terhadap kepentingan masyarakat luas,  maka BO Group wajib memberitahukan kepada masyarakat mengenai terjadinya  insiden kegagalan Pelindungan Data Pribadi tersebut melalui  website resmi.


XIV.  PERANAN DAN FUNGSI  DPO

1.     BO Group wajib menunjuk Data Protection Officer ("DPO") yang bertugas melaksanakan fungsi pelindungan Data Pribadi.

2.    DPO  ditunjuk  berdasarkan  profesionalitas,  memiliki  pengetahuan  mengenai hukum,  teknologi  informasi,  audit,  dan praktik pelindungan Data Pribadi,  dan kemampuan lainnya  untuk memenuhi tugas-tugasnya.

3.    DPO dapat  berasal  dari dalam  dan/atau  dari  luar  perusahaan  yang ditunjuk berdasarkan kewenangan manajemen BO Group.

4.     Kriteria  DPO berdasarkan SKKNI  Norn or 103 Tahun 2023,  antara lain:

a.    Profesional  dan  memiliki  kompetensi  seputar  praktik  pelindungan  Data Pribadi dan dapat dibuktikan dengan mengikuti pelatihan dan sertifikasi dari lembaga  pelatihan yang terdaftar.

b.     lndependen,     tidak    memiliki     konflik    kepentingan    dengan    kegiatan pemrosesan data pribadi.

5.     Fungsi  DPO antara lain:

a.     Menginformasikan dan memberikan saran kepada 8D Group terkait dengan pelaksanaan UU PDP;

b.     Memantau dan memastikan kepatuhan terhadap UU PDP dan Kebijakan ini;

c.     Memberikan saran mengenai  penilaian dampak pelindungan Data Pribadi;

d.    Berkoordinasi  dan bertindak sebagai  narahubung untuk isu  yang berkaitan dengan pemrosesan Data Pribadi;  dan

e.     Menjalankan fungsi  lainnya  sesuai dengan kewajiban  yang diatur dengan peraturan perundang-undangan.

6.     Tugas DPO antara lain:

a.     Merencanakan program kerja pelindungan Data Pribadi;

b.     Mengelola program kerja pelindungan Data Pribadi;

c.     Menjaga keberlangsungan program kerja Perlindungan Data Pribadi;

d.     Merespon  permintaan  informasi  dan insiden  kegagalan pelindungan  Data Pribadi;

e.     Menjalankan  tugas  lainnya  sesuai  dengan  kewajiban  yang diatur dengan peraturan perundang-undangan;  dan

f.      Menganalisa  dan memantau dampak dan risiko  pelindungan  Data Pribadi atas kebijakan atau peraturan perundang-undangan  yang berlaku.


XV.   SANKSI

Pelanggaran  terhadap  Kebijakan  ini  akan dikenakan  sanksi  yang  sangat  berat, termasuk  namun  tidak  terbatas  pada  pemutusan  hubungan  kerja,  atau  sanksi lainnya  sebagaimana  diatur  dalam  Peraturan  Perusahaan  yang  berlaku  di  BD Group. Terlepas dari sanksi-sanksi tersebut, perusahaan juga dapat membawa pelanggaran tersebut  ke ranah hukum baik perdata maupun pidana berdasarkan ketentuan perundang-undangan  yang berlaku.


XVI. AUDIT

BD  Group  akan  melakukan   pemeriksaan   kepatuhan  terhadap   Kebijakan   ini sewaktu-waktu, setiap Karyawan yang bertugas di Divisi/Departemen yang terlibat dalam  kegiatan  Pemrosesan  Data Pribadi wajib untuk mendukung  dan berpartisipasi secara aktif dalam proses audit yang akan dilakukan oleh BD Group.


XVII.PENUTUP

1.    Demikian  Kebijakan ini  dibuat dan disesuaikan  dengan  peraturan perundang-undangan  yang  berlaku  dan  peraturan  pelaksanaannya.  Kebijakan  ini  wajib ditinjau   ulang  dan  disesuaikan   dari  waktu   ke  waktu   dalam   hal  terdapat perubahan ketentuan dalam peraturan perundang-undangan atau peraturan lainnya,  atau diperlukan untuk diubah sesuai dengan kebutuhan BD Group.

2.   Perubahan  Kebijakan  ini  wajib  mendapatkan  persetujuan tertulis  dari  Direksi, tanpa adanya persetujuan tertulis dari Direksi, maka tidak diperbolehkan adanya perubahan atau penambahan isi dari  Kebijakan  ini.