I. PENDAHULUAN
Pelindungan data/informasi internal serta eksternal menjadi hal yang sangat penting bagi PT Bintraco Dharma Tbk ("Perseroan") dan setiap perusahaan yang tergabung dalam grup Perseroan (masing-masing disebut "BD Group") yang bergerak dalam berbagai bidang usaha, dimana dalam menjalankan kegiatan usaha tersebut membutuhkan pemrosesan data/informasi.
Data/lnformasi merupakan aset utama bagi BO Group dan harus dilindungi keamanannya. Penerapan pelindungan data/lnformasi bertujuan untuk menjamin keberlangsungan serta ketersediaan data/lnformasi dari risiko yang mungkin terjadi, yang dapat menyebabkan pengelolaan data/lnformasi serta kegiatan operasional sehari-hari menjadi terganggu. Untuk itu, BO Group mempunyai tanggung jawab dalam mengelola data/lnformasi agar terhindar dari risiko kerusakan, kehilangan, atau terungkapnya data/lnformasi ke pihak luar yang tidak mempunyai izin atau akses atas data/lnformasi tersebut. Proses pelindungan terhadap data/lnformasi tersebut harus dikelola dengan baik sehingga data/lnformasi yang dihasilkan dapat terjaga kerahasiaan, integritas, dan ketersediaannya secara efektif.
BO Group menilai bahwa data/informasi pribadi milik seseorang adalah hal yang paling utama untuk dilindungi, oleh karenanya BO Group menghormati dan melindungi data pribadi yang dikelola atau diproses dalam BO Group sebagai bentuk komitmen untuk menjaga kerahasiaan dan kepercayaan subjek data pribadi.
Sehingga untuk mewujudkan hal-hal tersebut di atas, perlu dibuat landasan berupa pembentukan Kebijakan Pelindungan Data Pribadi ini ("Kebijakan") untuk menjamin hak konstitusional subjek data pribadi sesuai dengan ketentuan peraturan perundang-undangan yang berlaku.
II. DASAR HUKUM
1. Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi ("UU PDP");
2. Undang-Undang Nomor 43 tahun 2009 tentang Kearsipan;
3. Undang-Undang Nomor 11 Tahun 2008 tentang lnformasi dan Transaksi Elektronik;
4. Undang-Undang Nomor 8 Tahun 1999 tentang Perlindungan Konsumen.
Ill. MAKSUD DAN TUJUAN
Maksud dan tujuan pembentukan Kebijakan ini adalah sebagai acuan untuk memastikan bahwa Data Pribadi di seluruh BO Group mendapatkan pelindungan dari kehilangan, kebocoran data, serta penyalahgunaan Data Pribadi.
Kebijakan ini ditetapkan sebagai pedoman atau panduan bagi seluruh karyawan BO Group dalam pelaksanaan kegiatan pemrosesan Data Pribadi sehubungan dengan telah berlakunya Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi "UU PDP").
Mengingat dalam UU PDP terdapat ancaman berupa sanksi pidana bagi pihak-pihak yang melakukan pelanggaran terhadap beberapa ketentuan dalam UU PDP tersebut dan untuk memitigasi risiko hukum serta meminimalisir potensi kerugian yang dihadapi oleh BO Group terkait dengan kegiatan pemrosesan Data Pribadi dalam kaitannya dengan keberlakuan UU PDP tersebut, maka dipandang perlu untuk membuat sebuah Kebijakan awal sebagai landasan untuk melakukan aktivitas yang berkaitan dengan Data Pribadi tersebut.
Kebijakan awal ini dibuat mengingat beberapa peraturan turunan dalam bentuk Peraturan Pemerintah ataupun Peraturan Presiden sebagaimana diamanatkan dalam UU PDP tersebut belum diundangkan oleh Pemerintah sehingga untuk selanjutnya Kebijakan ini akan diperbarui atau diamandemen dengan tujuan ntuk menjadikan landasan aktivitas yang berkaitan dengan Data Pribadi menjadi lebih baik dan sesuai dengan perkembangan praktik bisnis yang berlaku dan perkembangan peraturan-peraturan turunan dari UU PDP yang diterbitkan di masa mendatang.
IV. KEBERLAKUAN
Kebijakan ini berlaku untuk:
1. BO Group (termasuk seluruh entitas anak yang tergabung dalam BD Group);
2. Seluruh karyawan BO Group;
3. Mitra yang bekerjasama dengan BO Group; dan
4. Pihak lainnya yang dapat mengakses dan mengelola data pribadi guna mendukung sasaran bisnis BD Group.
V. DEFINISI
1. Perusahaan adalah PT Bintraco Dharma Tbk beserta entitas anak perusahaannya atau yang dikenal sebagai BO Group.
2. Karyawan adalah setiap orang yang bekerja atau terlibat dengan kegiatan pekerjaan di BO Group, dengan status karyawan tetap (PKWTT) dan kontrak (PKWT).
3. Pelanggan adalah setiap orang yang memperoleh Produk dan/atau Jasa dari BO Group, baik bagi kepentingan diri sendiri, keluarga, orang lain, yang merupakan Subjek Data Pribadi yang diatur dalam Kebijakan ini.
4. Mitra Perseroan adalah pihak luar yang menjalin perikatan dengan Perseroan, termasuk setiap pihak yang sebelumnya sudah menandatangani Perjanjian Kerahasiaan dengan Perseroan atau perjanjian apapun yang mengatur kewajiban kerahasiaan di dalamnya, antara lain: mitra asuransi, mitra leasing, biro jasa, vendor, konsultan, auditor, outsource, dan pihak eksternal lainnya.
5. Data Pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau non-elektronik. Data Pribadi terdiri dari:
i. Data Pribadi yang bersifat umum, yang meliputi: nama lengkap, jenis kelamin, kewarganegaraan, agama, dan/atau Data Pribadi yang dikombinasikan untuk mengidentifikasi seseorang.
ii. Data Pribadi yang bersifat spesifik, yang meliputi: data dan informasi Kesehatan, data biometrik, data genetika, kehidupan/orientasi seksual, pandangan politik, catatan kejahatan, data anak, data keuangan pribadi, dan/atau data lainnya sesuai dengan ketentuan peraturan perundang-undangan.
termasuk namun tidak terbatas pada:
a. Nama;
b. Jenis kelamin;
c. Tempat, Tanggal lahir;
d. Nomor Handphone;
e. Nomor telepon;
f. Alamat tempat tinggal;
g. Agama;
h. Status Perkawinan;
i. Data keuangan/informasi keuangan termasuk data perbankan yang dimiliki Subjek Data Pribadi (contoh: nomor rekening, rekening koran, data kartu kredit atau data kartu debit);
J. Rekaman suara/gambar/video seseorang;
k. Data pribadi yang dikombinasikan untuk mengidentifikasi seseorang;
I. Data Keluarga karyawan (contoh: ayah/ibu/suami/istri/anak); dan/atau
m. Data pribadi lainnya yang diinformasikan oleh Subjek Data Pribadi atau Kuasa Subjek Data Pribadi yang diatur sesuai ketentuan perundang-undangan yang berlaku.
6. Subjek Data Pribadi adalah orang perseorangan yang pada dirinya melekat Data Pribadi, Subjek Data Pribadi meliputi:
a. Pelanggan dan calon Pelanggan;
b. Karyawan dan calon Karyawan, mantan Karyawan;
c. Vendor, calon Vendor, mantan Vendor;
d. Investor; dan/atau
e. Pihak lainnya yang berkaitan atau memiliki hubungan hukum dengan BD Group.
VI. PRINSIP PELINDUNGAN DATA PRIBADI
Untuk melaksanakan bisnisnya, kegiatan pemrosesan data diperlukan untuk dimanfaatkan dalam pengembangan produk, penawaran produk, maupun pencegahan tindakan kriminal. Adapun kegiatan pemrosesan Data Pribadi yang berjalan di BD Group adalah sebagai berikut:
1. Pemerolehan dan pengumpulan;
2. Pengolahan dan penganalisisan;
3. Penyimpanan;
4. Perbaikan dan pembaruan;
5. Penampilan, pengumuman, transfer, penyebarluasan, atau pengungkapan; dan/atau
6. Penghapusan atau pemusnahan.
(selanjutnya disebut sebagai "Pemrosesan Data Pribadi")
Kegiatan Pemrosesan Data Pribadi dilakukan dengan memastikan adanya penerapan keamanan informasi dengan tidak mengesampingkan kepentingan pelindungan Data Pribadi atau hak dasar milik Subjek Data Pribadi sebagaimana diatur dalam peraturan perundang-undangan yang berlaku.
Dalam hal ini BD Group melakukan mekanisme atau prosedur Pemrosesan Data Pribadi sesuai dengan prinsip-prinsip pelindungan Data Pribadi sebagaimana diatur dalam peraturan perundang-undangan yang berlaku, antara lain:
1. Pengumpulan Data Pribadi dilakukan secara terbatas, spesifik, sah secara hukum, dan transparan;
2. Pemrosesan Data Pribadi dilakukan sesuai dengan tujuannya;
3. Pemrosesan Data Pribadi dilakukan dengan menjamin hak Subjek Data Pribadi;
4. Pemrosesan Data Pribadi dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan;
5. Pemrosesan Data Pribadi dilakukan dengan melindungi keamanan Data Pribadi dari pengaksesan yang tidak sah, pengungkapan yang tidak sah, pengubahan yang tidak sah, penyalahgunaan, perusakan, dan/ atau penghilangan Data Pribadi;
6. Pemrosesan Data Pribadi dilakukan dengan memberitahukan tujuan dan aktivitas pemrosesan, serta kegagalan pelindungan Data Pribadi;
7. Data Pribadi yang tidak lagi diperlukan untuk tujuan Pemrosesan Data Pribadi
atau berdasarkan permintaan Subjek Data Pribadi untuk dihapus/dimusnahkan, harus dihapus/dimusnahkan, sesuai dengan ketentuan yang berlaku; dan
8. Pemrosesan Data Pribadi dilakukan secara bertanggung jawab dan dapat dibuktikan secara jelas.
VII.PEMROSESAN DATA PRIBADI
KEBIJAKAN
BD Group berkomitmen untuk berupaya melindungi Data Pribadi dalam rangkaian pemrosesan Data Pribadi demi menjamin hak konstitusional Subjek Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan yang berlaku.
Pemrosesan Data Pribadi wajib dilakukan dengan ketentuan sebagai berikut:
1. Pemrosesan Data Pribadi didokumentasikan sesuai dengan ketentuan perundang-undangan yang berlaku;
2. Pemrosesan Data Pribadi dilakukan dengan informasi dan penjelasan tujuan pemrosesan terlebih dahulu dari BD Group kepada Subjek Data Pribadi yang meliputi:
a. Legalitas dari pemrosesan Data Pribadi;
b. Tujuan pemrosesan Data Pribadi;
c. Jenis dan relevansi Data Pribadi yang akan diproses;
d. Jangka waktu retensi dokumen yang memuat Data Pribadi;
e. Rincian mengenai lnformasi yang dikumpulkan;
f. Jangka waktu pemrosesan Data Pribadi; dan
g. Hak Subjek Data Pribadi.
BO Group wajib memastikan, seluruh kegiatan Pemrosesan Data Pribadi telah mendapatkan persetujuan dari Subjek Data Pribadi sebelum melakukan pemrosesan, pengumpulan, maupun perekaman Data Pribadi termasuk dalam hal memberikan Data Pribadi kepada pihak ketiga selaku Pengendali atau Prosesor Data Pribadi maupun yang menjalankan fungsi lainnya;
3. BO Group wajib memiliki mekanisme/prosedur mengenai perolehan persetujuan yang sah dari Subjek Data Pribadi untuk pemrosesan Data Pribadi. Persetujuan yang sah secara eksplisit dari Subjek Data Pribadi atas pemrosesan yang akan dilakukan dilaksanakan dengan:
a. Persetujuan pemrosesan Data Pribadi dilakukan secara elektronik maupun non-elektronik;
b. Persetujuan baik secara elektronik maupun non-elektronik mempunyai kekuatan hukum yang sama;
c. Dalam hal persetujuan pemrosesan Data Pribadi memuat tujuan lain, permintaan persetujuan harus memenuhi ketentuan:
(i) Dapat dibedakan secara jelas dengan hal lainnya;
(ii) Dibuat dengan format yang dapat dipahami dan mudah diakses; dan
(iii) Menggunakan Bahasa Indonesia yang sederhana dan jelas;
4. Pemenuhan kewajiban perjanjian dalam hal Subjek Data Pribadi merupakan salah satu pihak atau untuk memenuhi permintaan Subjek Data Pribadi pada saat melakukan perjanjian;
5. Pemenuhan kewajiban hukum dari BO Group sesuai dengan peraturan perundang-undangan;
6. Pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan BO Group berdasarkan peraturan perundang• undangan;
7. Pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan BO Group dan Hak Subjek Data Pribadi;
8. Untuk pemrosesan Data Pribadi terkait dengan permintaan pelaksanaan hak oleh Subjek Data Pribadi berdasarkan ketentuan perundang-undangan yang berlaku, maka BO Group wajib melakukan verifikasi terlebih dahulu kepada Subjek Data Pribadi.
VIII. HAK-HAK SUBJEK DATA PRIBADI
Hak-hak Subjek Data Pribadi selama kegiatan Pemrosesan Data Pribadi adalah sebagai berikut:
1. Mendapatkan informasi tentang kejelasan dasar kepentingan hukum, tujuan permintaan dan penggunaan Data Pribadi, dan akuntabilitas BD Group;
2. Melengkapi, memperbaharui, dan/atau memperbaiki kesalahan dan/atau ketidakakuratan Data Pribadi sesuai dengan tujuan Pemrosesan Data Pribadi;
3. Mendapatkan akses dan memperoleh Salinan Data Pribadi sesuai dengan peraturan perundang-undangan;
4. Mengakhiri pemrosesan, menghapus, dan/atau memusnahkan Data Pribadi sesuai dengan peraturan perundang-undangan;
5. Menarik kembali persetujuan pemrosesan Data Pribadi yang telah diberikan kepada BD Group sesuai dengan ketentuan peraturan perundang-undangan;
6. Mengajukan keberatan atas tindakan pengambilan keputusan yang hanya didasarkan pada pemrosesan secara otomatis, termasuk pemrofilan yang menimbulkan akibat hukum atau berdampak signifikan pada Subjek Data Pribadi;
7. Menunda atau membatasi pemrosesan Data Pribadi secara proporsional sesuai dengan tujuan pemrosesan Data Pribadi;
8. Menggugat dan menerima ganti rugi atas pelanggaran pemrosesan Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan;
9. Mendapatkan/menggunakan Data Pribadi tentang dirinya dari BD Group dalam bentuk sesuai dengan struktur dan/atau format yang lazim digunakan.
IX. PENGUMPULAN DAN PEREKAMAN DATA PRIBADI
1. Dasar pemerolehan atau pengumpulan Data Pribadi di BO Group adalah berupa persetujuan yang sah secara eksplisit dari Subjek Data Pribadi untuk 1 (satu) atau beberapa tujuan tertentu yang telah disampaikan oleh BD Group kepada Subjek Data Pribadi;
2. Tujuan pemerolehan dan pengumpulan Data Pribadi milik Subjek Data Pribadi sebagaimana tercantum di dalam Pasal V ayat 6 adalah untuk:
a. kebutuhan penyediaan produk dan jasa oleh BD Group;
b. menjawab pertanyaan, keluhan, permintaan, menghubungi dan/atau menginformasikan Subjek Data Pribadi, baik melalui sarana telekomunikasi (telepon atau SMS), surat elektronik (e-mail), maupun platform lainnya;
c. melakukan survei, riset, analisa, pengembangan dan peningkatan layanan;
d. melakukan aktivitas promosi produk, layanan, dan aktivitas sosial lainnya;
e. Berpartisipasi di halaman media sosial BO Group seperti Facebook, lnstagram, Twitter, Linkedin, dan platform lainnya;
f. Kebutuhan personalia
g. Aktivitas atau transaksi keuangan dan/atau
h. Kebutuhan lainnya sehubungan dengan bisnis BO Group sebagaimana diatur dalam peraturan perundang-undangan yang berlaku;
3. Batas besaran jumlah atau jenis Data Pribadi yang dikumpulkan oleh BO Group adalah sebatas dengan keperluan bisnis BO Group dalam melakukan pemrosesan dan sesuai dengan keperluan bisnis BO Group, batasan jenis Data Pribadi yang diperoleh tersebut adalah data dan informasi Data Pribadi yang telah disetujui oleh Subjek Data Pribadi, oleh karenanya seluruh Karyawan BD Group maupun pihak lainnya yang bertindak atas nama BD Group. dilarang untuk mengumpulkan Data Pribadi maupun informasi pribadi lainnya milik Subjek Data Pribadi yang belum atau tidak mendapatkan persetujuan dari Subjek Data Pribadi yang bersangkutan;
4. Perekaman Data Pribadi yang dilakukan BD Group wajib dilakukan dengan mekanisme yang aman, yaitu dengan cara sebagai berikut:
a. Secara berkala wajib melakukan pembaharuan langkah-langkah keamanan digital dan enkripsi data;
b. Wajib melakukan perekaman/pencatatan histori transfer Data Pribadi;
c. Wajib membatasi akses Data Pribadi dalam lingkungan perusahaan;
d. Wajib mengumpulkan Data Pribadi hanya data yang diperlukan untuk tujuan Pemrosesan Data Pribadi yang disetujui oleh Subjek Data Pribadi;
e. Wajib untuk segera mengembalikan kepada Subjek Data Pribadi apabila terdapat data-data/informasi yang tidak diperlukan dalam tujuan Pemrosesan Data Pribadi; dan
f. Wajib melakukan pemeriksaan di dalam perangkat terkait data-data yang akan diproses atau telah selesai diproses, apabila menemukan data yang tidak diperlukan untuk keperluan Pemrosesan, maka wajib untuk segera menghapus Data Pribadi tersebut.
X. PENGOLAHAN DAN PENGANALISISAN
1. Data Pribadi yang diolah dan dianalisa oleh BD Group adalah dengan tujuan sebagai berikut:
a. Layanan dan produk
1. Menyediakan produk, layanan, dan penawaran bagi Subjek Data Pribadi;
2. Memberikan informasi kepada Subjek Data Pribadi tentang manfaat dan perubahan pada fitur produk dan layanan yang disediakan oleh BD Group;
3. Memberikan penawaran dan promosi terbaru kepada Subjek Data Pribadi.
b. Komunikasi dengan Subjek Data Pribadi
(i) Mengirimkan pesan kepada Subjek Data Pribadi sehubungan dengan aktifitas bisnis BD Group seperti terkait pelaksanaan rekrutmen, komunikasi terkait dengan layanan/produk, dan komunikasi lainnya terkait dengan kebutuhan bisnis BD Group;
(ii) Menggunakan informasi Subjek Data Pribadi untuk berpartisipasi dalam
survei atau pertemuan yang diadakan oleh BO Group;
(iii) Mengirimkan informasi kepada Subjek Data Pribadi melalui surat elektronik (e-mail), sarana telekomunikasi (panggilan telepon atau pesan teks) atau media sosial tentang produk dan layanan, maupun kolaborasi dengan pihak lainnya.
c. Operasional Bisnis
(i) Memproses penagihan, pembayaran dan menanggapi permintaan/pertanyaan dari Subjek Data Pribadi;
(ii) Penelitian dan studi terhadap pelanggan yang secara sukarela membagikan Data Pribadinya untuk berpartisipasi;
(iii) Kegiatan akuntansi, audit, penagihan, rekonsiliasi, termasuk pemantauan dan pencegahan kejahatan atau penipuan, melindungi hak-hak hukum BO Group, dan melakukan kewajiban berdasarkan perjanjian.
d. Pengembangan
(i) Mengukur level Layanan BO Group dan diagnosis permasalahan terkait produk dan layanan yang disediakan oleh BO Group;
(ii) Menguji, mengubah, atau mengembangkan produk dan layanan baru BO Group dan untuk mengidentifikasi tren yang terjadi terkait dengan bisnis yang dijalankan BO Group.
e. lklan dan Pemasaran
(i) Melakukan analisa atas riwayat penggunaan layanan/produk sebagai dasar menyediakan penawaran kepada Subjek Data Pribadi;
(ii) Melakukan penawaran otomatis (melalui SMS/media lain untuk produk/layanan tertentu).
f. Personalia
Tujuan pengolahan dan analisa Data Pribadi yang berkenaan dengan Karyawan terkait dengan kebutuhan personalia selama masa kerja sesuai dengan peraturan ketenagakerjaan yang berlaku.
g. Tujuan lainnya sesuai dengan peraturan perundang-undangan yang berlaku beserta peraturan pelaksanaannya.
2. Dalam rangka memastikan bahwa Data Pribadi yang diolah dan dianalisis telah akurat dan lengkap, maka dibutuhkan mekanisme dan/atau standar penerapan kualitas data yang mencakup beberapa prinsip dan praktek sebagai berikut:
a. Memastikan bahwa data pribadi yang dikumpulkan dari Subjek Data Pribadi adalah akurat dan relevan untuk tujuan Pemrosesan Data Pribadi;
b. Memastikan bahwa Data Pribadi yang digunakan untuk tujuan Pemrosesan Data Pribadi adalah akurat, lengkap, dan dapat diperbarui jika diperlukan;
c. Ketika ditemukan kesalahan atau ketidakakuratan dalam Data Pribadi yang diperoleh, maka wajib untuk melakukan follow-up terhadap Subjek Data Pribadi yang bersangkutan;
d. Bahwa Subjek Data Pribadi memiliki hak untuk meminta koreksi atau perbaikan data tersebut;
e. Wajib mengambil langkah-langkah teknis dan organisasional yang diperlukan untuk menjaga keakuratan data pribadi dan mencegah akses atau penggunaan yang tidak sah;
f. Data pribadi yang tidak lagi diperlukan untuk tujuan yang dinyatakan harus dihapus atau dianonimkan, sesuai dengan ketentuan yang berlaku;
g. Secara berkala meninjau dan mengevaluasi keakuratan Data Pribadi yang diproses.
3. Apabila terdapat pengolahan dan penganalisisan Data Pribadi di luar atau sebagai tambahan tujuan dari tujuan awal pengolahan dan penganalisisan Data Pribadi yang telah disetujui oleh Subjek Data Pribadi, maka harus memberikan informasi kepada Subjek Data Pribadi dan wajib dimintakan persetujuan kembali kepada Subjek Data Pribadi untuk penambahan tersebut.
4. Melakukan proses evaluasi sistematis untuk mengidentifikasi potensi risiko terkait dengan pengolahan dan analisis Data Pribadi, terutama jika pengolahan ini memiliki potensi risiko tinggi terhadap Subjek Data Pribadi dengan cara:
a. Mengidentifikasi potensi risiko seperti risiko terhadap keamanan, kerahasiaan, integritas, dan ketersediaan data;
b. Menilai dampak dari risiko-risiko yang teridentifikasi terhadap Subjek Data Pribadi, serta aspek lain yang relevan;
c. Mengusulkan langkah-langkah atau tindakan yang dapat diambil untuk mengurangi risiko-risiko yang teridentifikasi, baik secara teknis maupun organisasional;
d. Melakukan konsultasi dengan melibatkan pihak-pihak yang relevan, termasuk pihak internal dan jika diperlukan pihak eksternal, seperti otoritas pengawas data atau ahli hukum yang memahami potensi pelanggaran regulasi perlindungan Data Pribadi;
e. Mendokumentasikan hasil dari penilaian dampak, termasuk risiko-risiko yang diidentifikasi dan langkah-langkah pengurangan risiko yang direkomendasikan.
5. Wajib menerapkan prinsip-prinsip pemrosesan Data Pribadi dalam hal pengolahan dan penganalisisan Data Pribadi sesuai dengan ketentuan peraturan perundang undangan.
XI. PENGELOLAAN DATA PRIBADI
a. PENYIMPANAN DATA PRIBADI
Sehubungan dengan penyimpanan Data Pribadi, BD Group akan melakukan upaya-upaya sebagai berikut:
1. Menentukan dan menerapkan pengendalian keamanan Data Pribadi yang disimpan baik secara fisik maupun elektronik;
2. Apabila terdapat Data Pribadi yang tersimpan dalam perangkat elektronik pribadi, maka data pribadi tersebut wajib untuk segera dihapus dan dimusnahkan dari perangkat elektronik pribadi tersebut. Apabila terjadi kehilangan, kebocoran, atau penyalahgunaan Data Pribadi yang disimpan dalam perangkat elektronik pribadi Karyawan, maka seluruh kerugian maupun tuntutan hukum merupakan tanggung jawab pribadi Karyawan yang bersangkutan;
3. Menetapkan dan menerapkan mekanisme retensi Data Pribadi; dimana dalam menetapkan dan menerapkan retensi Data Pribadi, perlu dipertimbangkan:
a. Tujuan awal pengumpulan Data Pribadi;
b. Kebutuhan bisnis seperti analisa bisnis, pemenuhan layanan pelanggan, atau keperluan hukum;
c. Konservasi integritas data yaitu integritas dan konsistensi data; dan/atau
d. Permintaan pelanggan;
4. Masa retensi Data Pribadi adalah sekurang-kurangnya selama 10 (sepuluh) tahun, terhitung sejak tanggal subjek Data Pribadi memberikan persetujuan kepada BD Group untuk memperoleh Data Pribadi miliknya, dengan tetap memperhatikan ketentuan peraturan perundang-undangan yang berlaku;
5. Wajib menerapkan pencegahan kegagalan pelindungan Data Pribadi dalam hal penyimpanan Data Pribadi wajib dilakukan dengan:
a. menerapkan enkripsi dan/atau penyamaran data;
b. membuat salinan cadangan terhadap Data Pribadi; dan
c. melakukan enkripsi dan/atau penyamaran data terhadap salinan cadangan Data Pribadi;
6. Wajib mengetahui, mencatat dan/atau mendokumentasikan lokasi penyimpanan, dan media penyimpanan Data Pribadi;
7. Wajib melakukan Upaya keamanan seperti security patching, vulnerability assessment, penetration test pada sistem keamanan perangkat, agar data yang tersimpan aman dari virus, serangan siber, atau tindakan hacker yang merugikan BD Group maupun Subjek Data Pribadi;
8. Menerapkan prinsip-prinsip pemrosesan Data Pribadi dalam hal penyimpanan
Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan.
b. PERBAIKAN DAN PEMBARUAN DATA PRIBADI
1. BD Group wajib melakukan pembaruan dan/atau perbaikan kesalahan dan/atau ketidakakuratan Data Pribadi maksimal 3 (tiga) hari atau 3 x 24 jam terhitung sejak BD Group menerima permintaan pembaruan dan/atau perbaikan Data Pribadi dari Subjek Data Pribadi.
2. BD Group akan memberitahukan hasil pembaruan dan/atau perbaikan Data Pribadi kepada Subjek Data Pribadi.
3. BD Group berhak menolak memberikan akses perubahan terhadap Data Pribadi dalam hal:
a. Membahayakan keamanan, kesehatan fisik, atau kesehatan mental Subjek Data Pribadi dan/atau orang lain;
b. Berdampak pada pengungkapan Data Pribadi milik orang lain; dan/atau
c. Bertentangan dengan kepentingan pertahanan dan keamanan nasional.
c. PENAMPILAN ATAU PEMBERIAN AKSES DATA PRIBADI
1. BD Group memberikan akses kepada Subjek Data Pribadi terhadap Data Pribadi yang di proses beserta rekam jejak pemrosesannya sesuai dengan jangka waktu penyimpanan Data Pribadi.
2. Akses diberikan maksimal 3 (tiga) hari atau 3 x 24 jam terhitung sejak BD Group menerima permintaan akses dari Subiek Data Pribadi.
3. BD Group berhak menolak memberikan akses terhadap Data Pribadi dalam hal:
a. Membahayakan keamanan, kesehatan fisik, atau kesehatan mental Subjek Data Pribadi dan/atau orang lain;
b. Berdampak pada pengungkapan Data Pribadi milik orang lain; dan/atau
c. Bertentangan dengan kepentingan pertahanan dan keamanan nasional.
d. PENUNDAAN DAN PENCABUTAN PERSETUJUAN PEMROSESAN DATA PRIBADI
1. Penundaan Pemrosesan Data Pribadi.
a. BD Group wajib melakukan penundaan dan pembatasan pemrosesan Data Pribadi baik sebagian maupun seluruhnya maksimal 3 (tiga) hari terhitung sejak BD Group menerima permintaan penundaan dan pembatasan pemrosesan Data Pribadi.
b. Penundaan dan pembatasan pemrosesan Data Pribadi dikecualikan dalam hal:
(i) Terdapat ketentuan peraturan perundang-undangan yang tidak memungkinkan dilakukan penundaan dan pemrosesan Data Pribadi;
(ii) Penundaan dan pembatasan pemrosesan Data Pribadi dapat membahayakan keselamatan pihak lain; dan/atau
(iii) Subjek Data Pribadi terikat perjanjian tertulis dengan BO Group perihal tidak diperbolehkan dilakukannya pembatasan pemrosesan Data Pribadi.
c. BD Group waiib memberitahukan telah dilaksanakan penundaan dan pembatasan pemrosesan Data Pribadi kepada Subjek Data Pribadi.
2. Pencabutan Persetujuan Pemrosesan Data Pribadi.
a. BO Group wajib menghentikan Pemrosesan Data Pribadi maksimal 3 (tiga) hari terhitung sejak BD Group menerima permintaan pencabutan persetujuan Pemrosesan Data Pribadi oleh Subjek Data Pribadi;
b. Sebelum menghentikan Pemrosesan Data Pribadi, BO Group wajib melakukan verifikasi kepada Subjek Data Pribadi;
c. Dalam hal Data Pribadi masih diperlukan oleh BD Group terkait dengan transaksi/kewajiban yang masih berjalan (penyelesaian perjanjian, kewajiban Subjek Data Pribadi kepada BD Group belum terpenuhi, dan hal lainnya terkait dengan penyelesaian transaksi/kewajiban), maka BD Group dapat menyimpan Data Pribadi tersebut sampai dengan selesainya transaksi/kewajiban dengan tetap memperhatikan ketentuan tentang masa rentensi yang berlaku.
d. BD Group waiib memberitahukan telah dilaksanakan pencabutan persetujuan Pemrosesan Data Pribadi kepada Subjek Data Pribadi.
e. PENGHAPUSAN ATAU PEMUSNAHAN DATA PRIBADI
1. BD Group melakukan penghapusan Data Pribadi dalam hal:
a. Data Pribadi tidak lagi diperlukan untuk tujuan pemrosesan Data Pribadi;
b. Subjek Data Pribadi melakukan penarikan atas persetujuan pemrosesan Data Pribadi;
c. Terdapat permintaan penghapusan dari Subjek Data Pribadi; dan/atau
d. Data Pribadi diperoleh dan/atau diproses dengan cara melawan hukum.
2. BD Group melakukan pemusnahan Data Pribadi dalam hal:
a. Data Pribadi telah habis masa retensinya sesuai dengan kebijakan yang berlaku;
b. Terdapat permintaan dari Subjek Data Pribadi;
c. Data Pribadi diperoleh dan/atau diproses dengan cara melawan hukum,;
d. Data Pribadi tidak berkaitan dengan penyelesaian proses hukum suatu perkara hukum; dan/atau
e. Terdapat kebocoran Data Pribadi yang merugikan Subjek Data Pribadi dan Perusahaan.
3. Penghapusan dan/atau pemusnahan Data Pribadi wajib diberitahukan kepada Subjek Data Pribadi dengan disertai berita acara penghapusan dan/atau pemusnahan data pribadi.
f. PENGAKHIRAN PEMROSESAN DATA PRIBADI
BD Group melakukan pengakhiran pemrosesan Data Pribadi dalam hal:
1. Tujuan Pemrosesan Data Pribadi telah tercapai;
2. Telah mencapai masa retensi; atau
3. Terdapat permintaan dari Subjek Data Pribadi.
g. PROSESOR DATA PRIBADI
1. BD Group dapat menunjuk prosesor Data Pribadi untuk bertindak atas nama BD Group dalam melaksanakan kegiatan Pemrosesan Data Pribadi ("Prosesor Data Pribadi").
2. Prosesor Data Pribadi wajib melakukan Pemrosesan Data Pribadi berdasarkan keputusan dari BD Group dan harus sesuai dengan ketentuan UU PDP.
3. Prosesor Data Pribadi dapat melibatkan prosesor Data Pribadi lain dalam melakukan Pemrosesan Data Pribadi berdasarkan persetujuan tertulis dari BD Group.
4. Apabila Prosesor Data Pribadi melakukan Pemrosesan Data Pribadi diluar dari perintah dan tujuan yang ditetapkan oleh BD Group, maka seluruh akibat yang ditimbulkan dari pemrosesan tersebut merupakan tanggung jawab dari Prosesor Data Pribadi yang bersangkutan.
h. TRANSFER DATA PRIBADI
1. Transfer Data Pribadi dalam Wilayah Hukum Indonesia
a. BD Group dapat melakukan transfer Data Pribadi kepada pengendali Data Pribadi lainnya dalam wilayah hukum Negara Republik Indonesia.
b. BD Group wajib memastikan bahwa pengendali Data Pribadi yang menerima transfer Data Pribadi melakukan Pelindungan Data Pribadi sesuai yang diatur dalam Undang-undang Perlindungan Data Pribadi.
2. Transfer Data Pribadi di luar Wilayah Hukum Indonesia
a. BD Group dapat melakukan transfer Data Pribadi kepada pengendali Data Pribadi dan/atau Prosesor Data Pribadi lainnya di luar wilayah hukum Negara Republik Indonesia.
b. BD Group wajib memastikan negara tempat kedudukan pengendali Data Pribadi dan/atau Prosesor Data Pribadi yang menerima transfer Data Pribadi memiliki tingkat Pelindungan Data Pribadi yang setara atau lebih tinggi dari yang di atur dalam UU PDP, termasuk dalam hal adanya peraturan lainnya yang mengikat untuk pengendali Data Pribadi/Prosesor Data Pribadi tersebut.
c. Dalam hal ketentuan pada huruf (b) di atas tidak terpenuhi, maka BD Group wajib memastikan terdapat Pelindungan Data Pribadi yang memadai dan bersifat mengikat.
d. Dalam hal ketentuan huruf (b) dan huruf (c) tidak terpenuhi, maka BD Group wajib mendapatkan persetujuan Subjek Data Pribadi.
XII. PENGAWASAN DAN TANGGUNG JAWAB
1. Tanggung Jawab
a. Kerahasiaan Data Pribadi wajib dijaga oleh setiap divisi yang melakukan Pemrosesan Data Pribadi.
b. Data Pribadi hanya dapat digunakan sesuai dengan tujuan dari pemrosesan Data Pribadi yang telah disetujui oleh Subjek Data Pribadi.
c. Data Pribadi yang akan diungkapkan oleh Divisi/Departemen dalam BD Group kepada Mitra Perseroan atau pihak ketiga lainnya harus mendapatkan persetujuan terlebih dahulu dari Kepala Divisi/Departemen. Persetujuan tersebut harus dilakukan melalui media yang dapat disimpan dan dapat dibuktikan baik secara elektronik maupun non-elektronik.
d. Sebelum diungkapkan kepada Mitra Perseroan atau pihak ketiga lainnya (sepanjang pengungkapan tersebut diizinkan oleh hukum yang berlaku), Karyawan wajib untuk memastikan bahwa Mitra Perseroan atau pihak ketiga tersebut telah terikat oleh kewajiban kerahasiaan yang konsisten dengan Kebijakan ini, dan peraturan perundang-undangan yang berlaku.
2. Larangan
Setiap Karyawan BD Group yang melakukan Pemrosesan Data Pribadi dilarang untuk:
a. memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan cara yang bertentangan dengan ketentuan yang berlaku, termasuk melakukan aktivitas untuk memperoleh atau mengumpulkan Data Pribadi tanpa tujuan atau kepentingan yang nyata untuk kepentingan Perusahaan yang diatur oleh hukum ataupun anggaran dasar perusahaan.
b. mengungkapkan Data Pribadi yang bukan miliknya kepada pihak lain dengan cara yang bertentangan dengan ketentuan yang berlaku
c. menggunakan Data Pribadi yang bukan miliknya, baik untuk kepentingan
pribadi maupun untuk kepentingan perusahaan, dengan cara yang bertentangan dengan ketentuan yang berlaku.
d. membuat Data Pribadi palsu atau memalsukan Data Pribadi, baik untuk kepentingan diri sendiri maupun perusahaan, yang dapat merugikan Subjek
Data Pribadi dan/atau orang lain.
Dalam hal Perusahaan mengalami kerugian, tuntutan, dan/atau klaim dari pihak ketiga akibat pelanggaran terhadaphal-hal tersebut di atas dan dapat dibuktikan bahwa hal tersebut merupakan kesalahan dari Karyawan tertentu, maka kerugian, tuntutan, dan/atau klaim tersebut a.kan menjadi tanggung jawab dari Karyawan yang bersangkutan.
Setiap divisi/departemen dalam melakukan aktivitas terkait Data Pribadi wajib memperhatikan hal-hal sebagai berikut:
a. Memastikan bahwa Pemrosesan Data Pribadi telah mendapatkan persetujuan Pemrosesan Data Pribadi yang sah secara eksplisit dari Subjek Data Pribadi sesuai dengan tujuan yang telah disampaikan, yaitu berkaitan dengan:
(i) Legalitas dari Pemrosesan Data Pribadi.
(ii) Tujuan Pemrosesan Data Pribadi.
(iii) Jenis dan relevansi Data Pribadi yang diserahkan untuk diproses.
(iv) Jangka waktu penggunaan dan retensi Data Pribadi.
(v) Rincian mengenai informasi yang dikumpulkan.
(vi) Hak Subjek Data Pribadi.
b. Persetujuan pada huruf a di atas dapat dilakukan secara tertulis maupun terekam yang dapat disampaikan secara elektronik atau non-elektronik oleh Subjek Data Pribadi.
c. Karyawan yang menggunakan Data Pribadi milik Subjek Data Pribadi untuk kepentingan Pemrosesan Data Pribadi wajib melakukan pengawasan terhadap setiap pihak yang bersangkutan dan terlibat dalam aktivitas yang berkaitan dengan Data Pribadi tersebut.
d. Dalam hal Subjek Data Pribadi menolak untuk melanjutkan proses kegiatan menggunakan Data Pribadi miliknya, maka aktivitas yang berkaitan dengan Data Pribadi tersebut harus dihentikan dalam jangka waktu maksimal 3x24 Jam terhitung sejak adanya permintaan tertulis dari Subjek Data Pribadi untuk tidak melanjutkan proses tersebut, penghentian tersebut wajib disampaikan kepada Subjek Data Pribadi pada saat dilakukannya penghentian.
XIII. KEGAGALAN PELINDUNGAN DATA PRIBADI
1. Apabila terdapat insiden kegagalan Pelindungan Data Pribadi, BD Group wajib memberitahukan kepada Subjek Data Pribadi dan lembaga terkait selambat• lambatnya 3 (tiga) hari terhitung sejak insiden kegagalan pelindungan Data Pribadi tersebut telah diketahui.
2. Pemberitahuan tertulis atas insiden kegagalan pelindungan Data Pribadi minimal memuat:
a. Data Pribadi yang terungkap;
b. Kapan dan bagaimana Data Pribadi terungkap; dan
c. Upaya penanganan dan pemulihan atas terungkapnya Data Pribadi.
3. Dalam hal tertentu seperti terjadinya insiden kegagalan pelindungan Data Pribadi yang mengganggu pelayanan publik dan/atau berdampak serius terhadap kepentingan masyarakat luas, maka BO Group wajib memberitahukan kepada masyarakat mengenai terjadinya insiden kegagalan Pelindungan Data Pribadi tersebut melalui website resmi.
XIV. PERANAN DAN FUNGSI DPO
1. BO Group wajib menunjuk Data Protection Officer ("DPO") yang bertugas melaksanakan fungsi pelindungan Data Pribadi.
2. DPO ditunjuk berdasarkan profesionalitas, memiliki pengetahuan mengenai hukum, teknologi informasi, audit, dan praktik pelindungan Data Pribadi, dan kemampuan lainnya untuk memenuhi tugas-tugasnya.
3. DPO dapat berasal dari dalam dan/atau dari luar perusahaan yang ditunjuk berdasarkan kewenangan manajemen BO Group.
4. Kriteria DPO berdasarkan SKKNI Norn or 103 Tahun 2023, antara lain:
a. Profesional dan memiliki kompetensi seputar praktik pelindungan Data Pribadi dan dapat dibuktikan dengan mengikuti pelatihan dan sertifikasi dari lembaga pelatihan yang terdaftar.
b. lndependen, tidak memiliki konflik kepentingan dengan kegiatan pemrosesan data pribadi.
5. Fungsi DPO antara lain:
a. Menginformasikan dan memberikan saran kepada 8D Group terkait dengan pelaksanaan UU PDP;
b. Memantau dan memastikan kepatuhan terhadap UU PDP dan Kebijakan ini;
c. Memberikan saran mengenai penilaian dampak pelindungan Data Pribadi;
d. Berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesan Data Pribadi; dan
e. Menjalankan fungsi lainnya sesuai dengan kewajiban yang diatur dengan peraturan perundang-undangan.
6. Tugas DPO antara lain:
a. Merencanakan program kerja pelindungan Data Pribadi;
b. Mengelola program kerja pelindungan Data Pribadi;
c. Menjaga keberlangsungan program kerja Perlindungan Data Pribadi;
d. Merespon permintaan informasi dan insiden kegagalan pelindungan Data Pribadi;
e. Menjalankan tugas lainnya sesuai dengan kewajiban yang diatur dengan peraturan perundang-undangan; dan
f. Menganalisa dan memantau dampak dan risiko pelindungan Data Pribadi atas kebijakan atau peraturan perundang-undangan yang berlaku.
XV. SANKSI
Pelanggaran terhadap Kebijakan ini akan dikenakan sanksi yang sangat berat, termasuk namun tidak terbatas pada pemutusan hubungan kerja, atau sanksi lainnya sebagaimana diatur dalam Peraturan Perusahaan yang berlaku di BD Group. Terlepas dari sanksi-sanksi tersebut, perusahaan juga dapat membawa pelanggaran tersebut ke ranah hukum baik perdata maupun pidana berdasarkan ketentuan perundang-undangan yang berlaku.
XVI. AUDIT
BD Group akan melakukan pemeriksaan kepatuhan terhadap Kebijakan ini sewaktu-waktu, setiap Karyawan yang bertugas di Divisi/Departemen yang terlibat dalam kegiatan Pemrosesan Data Pribadi wajib untuk mendukung dan berpartisipasi secara aktif dalam proses audit yang akan dilakukan oleh BD Group.
XVII.PENUTUP
1. Demikian Kebijakan ini dibuat dan disesuaikan dengan peraturan perundang-undangan yang berlaku dan peraturan pelaksanaannya. Kebijakan ini wajib ditinjau ulang dan disesuaikan dari waktu ke waktu dalam hal terdapat perubahan ketentuan dalam peraturan perundang-undangan atau peraturan lainnya, atau diperlukan untuk diubah sesuai dengan kebutuhan BD Group.
2. Perubahan Kebijakan ini wajib mendapatkan persetujuan tertulis dari Direksi, tanpa adanya persetujuan tertulis dari Direksi, maka tidak diperbolehkan adanya perubahan atau penambahan isi dari Kebijakan ini.
Copyright © 2024 - PT Bintraco Dharma Tbk, All Rights Reserved