• Tidak ada hasil yang ditemukan

Prosedur Operasional Standar untuk Perlindungan Data

N/A
N/A
Info
Unduh - Bebas
SOBIRIN MSO

Academic year: 2024

Membagikan "Prosedur Operasional Standar untuk Perlindungan Data"

Copied!
13
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 13 Halaman )

Teks penuh

(1)

STANDARD OPERATING PROCEDURE PERLINDUNGAN DATA

PT. KEPERCAYAAN INFORMASI TERINTEGRASI

Nomor Dokumen SOP-003

Tanggal 18 Mei 2022

Versi 4

Klasifikasi Dokumen Terbatas

(2)
(3)

DAFTAR ISI

RIWAYAT REVISI ... 2

LEMBAR PENGESAHAN ... 2

DAFTAR ISI ... 3

1. PENDAHULUAN ... 4

1.1. LATAR BELAKANG ... 4

1.2.TUJUAN ... 5

1.3.RUANG LINGKUP ... 5

1.4. KEBIJAKAN ... 6

1.4.1. KEBIJAKAN PEMBERIAN AKSES LOGIKAL KE APLIKASI KRITIKAL ... 6

1.4.2. KEBIJAKAN TERKAIT DATA PRIBADI KONSUMEN ... 6

1.5. LAMPIRAN ... 9

(4)

1. Pendahuluan

1.1. Latar Belakang

Prosedur standar operasional (“SOP”) ini dipakai sebagai acuan kerja seluruh unit kerja di PT Kepercayaan Informasi Terintegrasi (“Perusahaan”) dalam mengoperasionalkan perlindungan data untuk memastikan kepatuhan terhadap ketentuan Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (“UU PDP”). Berdasarkan Pasal 1 angka 1 UU PDP data pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik (“Data Pribadi”).

SOP ini dibuat dalam upaya pemenuhan atas pelindungan Data Pribadi yang merupakan keseluruhan upaya dalam rangkaian pemrosesan Data Pribadi guna menjamin hak konstitusional subjek Data Pribadi oleh Perusahaan sebagai kepatuhan atas UU PDP.

Berdasarkan Pasal 1 angka 5 UU PDP, Perusahaan terklasifikasi sebagai Prosesor Data Pribadi yaitu setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan Data Pribadi atas nama Pengendali Data Pribadi (“Prosesor Data Pribadi”). UU PDP mendefinisikan pengendali data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan

Data Pribadi (“Pengendali Data Pribadi”) sebagaimana tercantum dalam Pasal 1 ayat 4 UU PDP.

Kepatuhan Perusahaan untuk memenuhi Pasal 22 UU PDP juga melatar belakangi SOP ini, dimana dalam Pasal 22 UU PDP tersebut mengatur bahwa:

(1) Persetujuan pemrosesan Data Pribadi dilakukan melalui persetujuan tertulis atau terekam.

(2) Persetujuan sebagaimana dimaksud pada ayat (1) dapat disampaikan secara elektronik atau nonelektronik.

(3) Persetujuan sebagaimana dimaksud pada ayat (1) mempunyai kekuatan hukum yang sama.

(4) Dalam hal persetujuan sebagaimana dimaksud pada ayat (1) memuat tujuan lain, permintaan persetujuan harus memenuhi ketentuan:

a. dapat dibedakan secara jelas dengan hal lainnya;

b. dibuat dengan forrnat yang dapat dipahami dan mudah diakses; dan c. menggunalan bahasa yang sederhana dan jelas.

(5) Persetujuan yang tidak memenuhi ketentuan sebagaimana dimaksud pada ayat (1) dan ayat (4) dinyatakan batal demi hukum.

Serta SOP ini dibuat dalam rangka memenuhi peraturan Otoritas Jasa Keuangan

(5)

Nomor 13/POJK.02/2018 tentang Inovasi Keuangan Digital di Sektor Jasa Keuangan khususnya sebagai bagian dari wujud kepatuhan Perusahaan terhadap perlindungan data sebagaimana tercantum dalam Pasal 30 yang mengatur bahwa:

(1) Penyelenggara wajib menjaga kerahasiaan, keutuhan, dan ketersediaan data pribadi, data transaksi dan data keuangan yang dikelolanya sejak data diperoleh hingga data tersebut dimusnakan.

(2) Ketentuan pemanfaatan data dan informasi pengguna yang diperoleh Penyelenggara harus memenuhi syarat sebagai berikut:

a. memperoleh persetujuan dari pengguna;

b. menyampaikan batasan pemanfaatan data dan informasi kepada pengguna;

c. menyampaikan setiap perubahan tujuan pemanfaatan data dan informasi kepada pengguna dalam hal terdapat perubahan tujuan pemanfaatan data dan informasi; dan

d. media dan metode yang dipergunakan dalam memperoleh data dan informasi terjamin kerahasiaan, keamanan, serta keutuhannya.

Prosedur standar operasional ini dibuat untuk mengatur kedudukan Perusahaan merupakan Prosesor Data Pribadi, yang mana sesuai dengan Pasal 51 UU PDP dalam memproses Data Pribadi, Perusahaan mempunyai kewajiban untuk melakukan pemrosesan Data Pribadi berdasarkan perintah dari Pengendali Data Pribadi dalam hal ini adalah mitra-mitra Perusahaan.

1.2. Tujuan

Dokumen kebijakan ini bertujuan untuk mencegah terjadinya penyalahgunaan atas Data Pribadi konsumen, oleh pihak-pihak internal yang telah diberi akses dan wewenang, baik yang dilakukan dengan sengaja atau tidak sengaja, disadari maupun tidak disadari, sehingga menyebabkan kerugian di pihak Perusahaan dan menjaga kerahasiaan Data Pribadi konsumen.

1.3. Ruang Lingkup

Data Pribadi konsumen yang terdiri atas:

a. Data Pribadi yang bersifat spesifik; dan b. Data Pribadi yang bersifat umum.

Data Pribadi yang bersifat spesifik dan umum sebagaimana dimaksud pada huruf a dan b di atas, yang diminta oleh Perusahaan kepada Mitra lebih lanjut tercantum dalam Lampiran 1.5.5 SOP ini.

(6)

1.4. Kebijakan

1.4.1. Kebijakan Pemberian Akses Logikal ke Aplikasi Kritikal

Melihat hubungan antara aplikasi kritikal tersebut dengan Data Pribadi milik konsumen, akses karyawan untuk dapat menggunakan aplikasi-aplikasi di atas harus selalu:

Ter-otentikasi, melalui penggunaan username/password;

Dibatasi dan terbagi sesuai peran pengguna dalam aplikasi (role-based access) sesuai deskripsi pekerjaan dalam perjanjian kerja terkait, atau menurut instruksi dari manajemen Perusahaan dari waktu ke waktu; terpantau melalui penelusuran log akses dan aktivitas.

Untuk dapat mewujudkan 3 (tiga) hal di atas, maka pihak-pihak yang memiliki otoritas administrasi aplikasi, harus selalu menggunakan email dalam memberikan akses (username dan password) kepada karyawan yang akan mengakses aplikasi aplikasi tersebut diatas.

Seorang administrator aplikasi tidak diperbolehkan mendistribusikan akses rahasia ini, melalui media-media lain selain email Perusahaan.

Apabila administrator aplikasi bukan berasal dari lingkunan internal Perusahaan, maka distribusi akses rahasia ini harus selalu melalui email yang dikirim ke email Perusahaan dari kepala divisi yang berwenang. Selanjutnya, kepala divisi yang berwenang tersebut akan mendistribusikan akses rahasia tersebut kepada karyawan dibawahnya melalui email Perusahaan.

Seorang karyawan yang telah menerima akses rahasia dilarang membagikan akses tersebut kepada siapapun, baik kepada sesama karyawan terlebih lagi kepada pihak eksternal Perusahaan.

1.4.2. Kebijakan Terkait Data Pribadi

1. Penggunaan Data Pribadi

Data Pribadi konsumen hanya dapat digunakan untuk kepentingan Perusahaan, demi kelancaran bisnis Perusahaan dan untuk tujuan atau alasan sebagaimana tersebut dalam tujuan data analysis.

Penggunaan seluruh informasi sebagaimana dijelaskan pada angka 1.3 bagian Ruang Lingkup SOP ini, Perusahaan wajib mendapatkan persetujuan tertulis atau terekam dari konsumen yang disampaikan secara elektronik atau nonelektronik sebagaimana tertuang dalam Pasal 22 UU PDP dan konsumen berhak untuk menarik kembali persetujuan pemrosesan data pribadi tentang dirinya yang telah diberikan kepada Perusahaan yang dilakukan melalui mitramitra Perusahaan.

(7)

Penggunaan Data Pribadi untuk kepentingan lain, seperti kepentingan pribadi karyawan Perusahaan atau Perusahaan sendiri maupun perusahaan lain sepenuhnya dilarang, termasuk untuk tujuan jual beli Data Pribadi konsumen atau penyingkapan kepada pihak selain pihak berkepentingan yang bertentangan dengan ketentuan hukum dan peraturan perundang-undangan yang berlaku. Perusahaan tidak menyimpan data apapun, Data Pribadi langsung dimusnahkan segera setelah hasil dari credit scoring (data analisis) telah selesai dan Perusahaan menjamin bahwa tidak akan secara sengaja menyimpan (mengendapkan) Data Pribadi konsumen. Data Pribadi konsumen yang telah digunakan oleh Perusahaan dalam pembuatan model skor akan tetap menjadi milik mitra-mitra Perusahaan.

2. Pendistribusian Data Pribadi

Pendistribusian Data Pribadi konsumen di dalam lingkunan Perusahaan harus selalu menggunakan aplikasi kritikal di atas. Contohnya yaitu distribusi Data Pribadi konsumen kepada bawahan oleh atasan, dilakukan melalui aplikasi layanan konsumen.

Apabila pendistribusian Data Pribadi konsumen tidak menggunakan aplikasi kritikal di atas, maka pengirim harus menggunakan fasilitas email Perusahaan, sehingga dapat terus terpantau penyebarannya untuk menjaga kerahasiaan Data Pribadi konsumen.

Apabila Data Pribadi harus didistribusikan kepada pihak eksternal yang sebelumnya telah terikat dalam sebuah perjanjian kerjasama secara legal, maka:

1. Penyerahan Data Pribadi harus selalu menggunakan email Perusahaan, yang dikirim ke alamat email dari pihak yang tercatat dalam perjanjian kerjasama tersebut di atas,

2. Apabila kondisi memaksa data untuk dicetak, maka proses penyerahan Data Pribadi harus selalu menggunakan prosedur yang telah disepakati dalam perjanjian kerjasama diatas.

3. Penyimpanan Data Pribadi

Tidak terjadi penyimpanan data pribadi yang tersimpan dalam bentuk apapun (tercetak atau elektronik) oleh seorang pun dan di lokasi manapun di dalam ruang lingkup sistem Perusahaan karena pada dasarnya Perusahaan hanya melakukan pengolahan data pribadi.

(8)

4. Penghapusan / Pemusnahan Data

Pemusnahan dan/atau penghapusan data pribadi yang didapatkan, akan dilaksanakan berdasarkan:

1. Atas dasar permintaan Pelaku Usaha, Perusahaan akan menghentikan proses pengolahan skor terhadap Data Pribadi tertentu yang dimana Pemilik Data Pribadi tersebut telah mengajukan permohonan penghapusan dan/pemusnahaan Data Pribadi miliknya melalui aplikasi milik Pelaku Usaha. Maka Data Pribadi tersebut musnah secara otomatis dan tidak terserta dalam proses pengolahan skor yang sedang berjalan;

2. Pemenuhan pengelolaan data skor telah tercapai.

(9)

1.5. Lampiran

1.5.1. Alur Proses Pemberian Akses

(10)

1.5.2. Akses Kontrol Matrix

Akses Kontrol Matrix

Data Access File #1 (Extract)

Data Access File #2 (Model)

Data Access File #3 (Train)

Data Application

(Deploy) User-1

(Risk Analytic) read write

User-2

(Data Analyst) write read read

User-3

(Data Engineer) read execute

User-1 dapat membaca data file #1 (extract) dan melakukan pemrosesan data file #2 (Model)

User-2 melakukan pemrosesan data file #1 dan dapat membaca data file #2 (Model), data file #3 (Train) User-3 dapat membaca data file #3 (Train) dan mempunyai akses ke aplikasi (Deploy)

(11)

1.5.3.

Alur Proses – Penggunaan dan Pengolahan Data

(12)

1.5.4.

Alur Proses – Persetujuan Penggunaan Data

(13)

1.5.5.

Data Pribadi Konsumen Yang Diolah

Variabel Untuk Submodel Profil Usia

Pekerjaan Pendidikan Jenis Kelamin Alamat/Domisili Status Pernikahan Jumlah Tanggungan Usia Pasangan Pendidikan Pasangan Pekerjaan Pasangan

Lama Pasangan Bekerja (tahun) Kepemilikan Email

Kepemilikan NPWP Tipe Telepon Alamat

Total Produk Asuransi Total Premi

Status Pembayaran Premi

Aktivasi Penggunaan Dompet Digital Lama Akun (Usia Akun)

Lama Akun (Usia Akun)

Variabel Untuk Submodel Behavior Transaksi yang pernah dibatalkan Transaksi aktif pembeli

Jumlah Pembelian (count)

Jumlah metode pembayaran (count) Jumlah Posting produk penjual Jumlah posting produk aktif Total biaya pengiriman pembeli

Referensi

Unduh sekarang ( PDF - 13 Halaman - 646.38 KB )

Dokumen terkait

PROSEDUR OPERASIONAL STANDAR PENGUATAN INSTITUSI TAMAN WISATA PERAIRAN GILI MATRA

Prosedur operasional standar penguatan institusi ini merupakan salah satu bentuk acuan pelaksanaan kegiatan pengelolaan kawasan untuk meningkatkan efektifitas

PELAKSANAAN STANDAR PROSEDUR OPERASIONAL IDENTIFIKASI RESIKO PASIEN JATUH DENGAN MENGGUNAKAN SKALA JATUH MORSE DI RUMAH SAKIT “A” BANDUNG

Dari hasil penelitian diperoleh data bahwa Kepatuhan Perawat Dalam Melaksanakan Standar Prosedur Operasional: Identifikasi Risiko Pasien Jatuh Dengan Menggunakan

STANDAR OPERASIONAL PROSEDUR

Ruang Lingkup Standar Operasional Prosedur ini berlaku untuk penerbitan Izin Operasional Klinik Pratama yang diterbitkan oleh Lembaga OSS yang berada pada Dinas Penanaman

Kebijakan Perlindungan Data dan/atau Informasi Konsumen

100/SK/DIR/2022 tanggal 19-07-2022 perihal Kebijakan Perlindungan Konsumen  PAKAR – Kerja Sama Perusahaan Anak Data dan Informasi Data Pribadi adalah data tentang

standar operasional prosedur (sop) - Lab

STANDAR OPERASIONAL PROSEDUR SOP Aspek Keselamatan dan Kesehatan Kerja di Laboratorium 08/LAB KL/2020 Laboratorium Gelombang Teknik Kelautan Fakultas Teknik Sipil dan Lingkungan

STANDAR OPERASIONAL PROSEDUR (SOP) PEMBIAYAAN

STANDAR OPERASIONAL PROSEDUR SOP PEMBIAYAAN Nama Lembaga : TKN SATAP Cigondang Unit Program : Taman Kanak-kanak Tanggal Disahkan : 2 Februari 2022 Standar : Pembiayaan 1 JUDUL

Penerapan Standar Operasional Prosedur (SOP) dan Akuntabilitas Kinerja Rumah Sakit

Penerapan Standar Operasional Prosedur (SOP) menjadi acuan atau pedoman pelaksanaan tugas sesuai fungsi dan alat evaluasi kinerja rumah

Standar Operasional Prosedur JAGUNG MANIS

Standar Operasional Prosedur (SOP) JAGUNG