Drag & drop your documents here
or
| Tipe | Uploaded |
|---|---|
| TC-001 Kebijakan Pelindungan Data Pribadi | |
| TC-002 Privacy Notice | |
| TC-003 SOP Consent Management | |
| TC-004 SOP Pemenuhan Hak Subjek Data | |
| TC-005 SOP Kebocoran Data Pribadi | |
| TC-006 ROPA (Record of Processing Activities) | |
| TC-007 DPIA (Data Protection Impact Assessment) | |
| TC-008 Data Retention & Deletion Policy | |
| TC-009 Data Transfer Policy | |
| TC-010 Kontrak Data Sharing dengan Pihak Ketiga |
| No | Aktivitas | Kontrol | Pasal UU PDP | Prosedur (Ada/ Tidak Ada) | Bukti Implementasi | |
|---|---|---|---|---|---|---|
| 1 |
Pengendali memiliki dasar sah pemrosesan data pribadi
|
Organisasi telah memiliki prosedur dan melakukan implementasi yang menjelaskan definisi dari setiap dasar pemrosesan Data Pribadi sesuai dengan ketentuan peraturan, dengan dasar hukum meliputi: a. Persetujuan eksplisit, b. Pemenuhan kewajiban atau kontrak, c. Pemenuhan kewajiban hukum, d. Pelindungan kepentingan vital, e. Kepentingan publik/umum, dan/atau f. Kepentingan sah lainnya yang sesuai persyaratan hukum.
|
Pasal 20 (1)
|
|||
| 2 |
Pengendali Data Pribadi wajib menyampaikan informasi kepada Subjek Data Pribadi mengenai: a. Legalitas dari pemrosesan Data Pribadi; b. Tujuan pemrosesan Data Pribadi; c. Jenis dan relevansi dokumen yang memuat Data Pribadi; d. Jangka waktu retensi dokumen yang memuat Data Pribadi; e. Rincian mengenai informasi yang dikumpulkan; f. Jangka waktu pemrosesan Data Pribadi; dan g. Hak Subjek Data Pribadi.
|
1. Organisasi telah memiliki prosedur dan melakukan implementasi menginformasikan Subjek Data Pribadi mengenai tujuan pemrosesan Data Pribadi; 2. Organisasi telah memiliki prosedur dan melakukan implementasi menginformasikan Subjek Data Pribadi mengenai dasar pemrosesan Data Pribadi; 3. Organisasi telah memiliki prosedur dan melakukan implementasi menginformasikan jenis Data Pribadi yang akan diproses pada Subjek Data Pribadi; 4. Organisasi telah memiliki prosedur dan melakukan implementasi menginformasikan informasi rinci dari Data Pribadi yang dikumpulkan pada Subjek Data Pribadi; 5. Organisasi telah memiliki prosedur dan melakukan implementasi menginformasikan cara mendapatkan atau mengumpulkan Data Pribadi pada Subjek Data Pribadi; 6. Organisasi telah memiliki kebijakan atau prosedur untuk menentukan jangka waktu pemrosesan Data Pribadi dari setiap data yang dikumpulkan; 7. Organisasi telah memiliki prosedur dan melakukan implementasi menginformasikan jangka waktu pemrosesan untuk setiap Data Pribadi yang dikumpulkan. Jika tidak memungkinkan, organisasi telah menyampaikan informasi terkait kriteria yang digunakan untuk menentukan jangka waktu pemrosesan data yang dikumpulkan berdasarkan peraturan yang berlaku; 8. Organisasi telah memiliki prosedur dan melakukan implementasi menginformasikan Subjek Data Pribadi mengenai semua hak yang dimiliki oleh Subjek Data Pribadi sesuai dengan ketentuan dari UU PDP; 9. Organisasi telah memiliki prosedur dan melakukan implementasi menginformasikan Subjek Data Pribadi mengenai mekanisme pengajuan permintaan hak-hak yang dimiliki oleh Subjek Data Pribadi.
|
Pasal 21 (1)
|
|||
| 3 |
Dalam hal terdapat perubahan informasi sebagaimana dimaksud pada poin (2), Pengendali Data Pribadi wajib memberitahukan kepada Subjek Data Pribadi sebelum terjadi perubahan informasi.
|
1. Organisasi telah memiliki prosedur dan melakukan implementasi menginformasikan Subjek Data Pribadi adanya pembaruan pada pemberitahuan privasi sebelum memulai pemrosesan baru; 2. Organisasi telah memiliki prosedur dan melakukan implementasi meninjau isi dari pemberitahuan secara berkala (mis., setiap tahun) dan melakukan pembaruan jika ada perubahan informasi.
|
Pasal 21 (2)
|
|||
| 4 |
Dalam hal pemrosesan Data Pribadi berdasarkan persetujuan yang sah secara eksplisit dari Subjek Data Pribadi, Pengendali Data Pribadi wajib menyampaikan Informasi sesuai dengan Standar Kepatuhan PDP ini.
|
1. Organisasi telah memiliki prosedur dan melakukan implementasi menginformasikan Subjek Data Pribadi adanya pembaruan pada pemb beritahuan privasi sebelum memulai pemrosesan baru. 2. Organisasi telah memiliki prosedur dan melakukan implementasi meninjau isi dari pemberitahuan secara berkala (mis., setiap tahun) dan melakukan pembaruan jika ada perubahan informasi.
|
-
|
|||
| 5 |
Pengendali Data Pribadi wajib menghentikan pemrosesan Data Pribadi dalam hal Subjek Data Pribadi menarik kembali persetujuan pemrosesan Data Pribadi.
|
Organisasi telah memiliki kebijakan atau prosedur untuk menarik kembali persetujuan pemrosesan Data Pribadi dan menghentikan pemrosesan Data Pribadi; proses penarikan kembali persetujuan pemrosesan Data Pribadi wajib dilakukan paling lambat 24 (dua puluh empat) jam terhitung sejak Organisasi menerima permintaan penarikan kembali persetujuan pemrosesan Data Pribadi.
|
Pasal 40 (1)
|
|||
| 6 |
Pengendali Data Pribadi wajib melakukan penundaan dan pembatasan pemrosesan Data Pribadi baik sebagian maupun seluruhnya paling lambat 24 (dua puluh empat) jam terhitung sejak Pengendali Data Pribadi menerima permintaan penundaan dan pembatasan pemrosesan Data Pribadi.
|
1. Organisasi telah memiliki kebijakan atau prosedur untuk menunda pemrosesan Data Pribadi; proses penundaan pemrosesan Data Pribadi wajib dilakukan paling lambat 3Γ24 (tiga kali dua puluh empat) jam terhitung sejak Organisasi menerima permintaan penundaan pemrosesan Data Pribadi; 2. Organisasi telah menunda pemrosesan Data Pribadi milik Subjek Data Pribadi dalam kurun waktu 24 jam setelah permintaan diterima.
|
Pasal 41 (1)
|
|||
| 7 |
Pengendali Data Pribadi wajib memberitahukan telah dilaksanakan penundaan dan pembatasan pemrosesan Data Pribadi kepada Subjek Data Pribadi.
|
1. Dalam hal Data Pribadi dikelola atau diproses oleh pihak ketiga, Organisasi telah memiliki prosedur dan melakukan implementasi menginforma asikan dan memastikan penundaan pemrosesan Data Pribadi telah dilakukan oleh pihak ketiga. Hal ini dicantumkan dalam kontrak kerjasama dan bersifat mengikat. 2. Organisasi telah memiliki prosedur atau kebijakan untuk menginformasikan Subjek Data Pribadi bahwa permintaan mereka telah diproses.
|
Pasal 41 (3)
|
|||
| 8 |
Setiap Orang dilarang secara melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Pribadi.
|
Organisasi telah memiliki kebijakan atau prosedur yang melarang karyawan secara melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi.
|
Pasal 67 (1)
|
| No | Aktivitas | Kontrol | Pasal UU PDP | Prosedur (Ada/ Tidak Ada) | Bukti Implementasi | |
|---|---|---|---|---|---|---|
| 9 |
Pengendali Data Pribadi wajib memberikan akses kepada Subjek Data Pribadi dalam jangka waktu paling lambat 3 X 24 (tiga kali dua puluh empat) jam terhitung sejak Pengendali Data Pribadi menerima permintaan akses dari Subjek Data Pribadi.
|
Organisasi telah memiliki kebijakan atau prosedur untuk memberikan akses kepada Subjek Data Pribadi terhadap Data Pribadi yang diproses beserta rekam jejak pemrosesan Data Pribadi dalam hal terdapat permintaan dari Subjek Data; proses pemberian akses wajib dilakukan paling lambat 24 (dua puluh empat) jam terhitung sejak Organisasi menerima permintaan pembaruan dan/atau perbaikan Data Pribadi.
|
Pasal 32 (1)
|
|||
| 10 |
Pengendali Data Pribadi wajib menolak permohonan akses perubahan terhadap Data Pribadi kepada Subjek Data Pribadi dalam hal: a. Membahayakan keamanan, kesehatan fisik, atau kesehatan mental Subjek Data Pribadi dan/atau orang lain; b. Berdampak pada pengungkapan Data Pribadi milik orang lain; dan/atau c. Bertentangan dengan kepentingan pertahanan dan keamanan nasional.
|
Organisasi telah memiliki kebijakan atau prosedur untuk melakukan identifikasi atas hal yang membahayakan keamanan, kesehatan fisik, atau kesehatan mental Subjek Data Pribadi dan/atau orang lain, berdampak pada pengungkapan Data Pribadi milik orang lain, dan/atau bertentangan dengan kepentingan pertahanan dan keamanan nasional.
|
Pasal 33
|
|||
| 11 |
Pengendali Data Pribadi wajib melindungi Data Pribadi dari pemrosesan yang tidak sah.
|
Organisasi telah memiliki kebijakan atau prosedur yang melarang kegiatan pemrosesan data pribadi yang tidak sesuai dengan prinsip pelindungan data pribadi.
|
Pasal 38
|
|||
| 12 |
Prosesor Data Pribadi wajib melindungi Data Pribadi dari pemrosesan yang tidak sah.
|
Organisasi telah memiliki kebijakan atau prosedur yang melarang kegiatan pemrosesan data pribadi iyang tidak sesuai dengan prinsip pelindungan data pribadi.
|
-
|
|||
| 13 |
Pengendali Data Pribadi wajib mencegah Data Pribadi diakses secara tidak sah.
|
1. Organisasi telah memiliki kebijakan atau prosedur yang membatasi akses ke Data Pribadi hanya dapat dilakukan oleh staf yang berwenang. 2. Organisasi telah memiliki kebijakan atau prosedur untuk meninjau hak akses pengguna secara berkala(mis., setiap tahun). 3. Organisasi telah menyimpan log akses pengguna pada sistem yang menyimpan Data Pribadi.
|
Pasal 39 (1)
|
|||
| 14 |
Prosesor Data Pribadi wajib mencegah Data Pribadi diakses secara tidak sah.
|
1. Organisasi telah memiliki kebijakan atau prosedur yang membatasi akses ke Data Pribadi hanya dapat dilakukan oleh staf yangb berwenang. 2. Organisasi telah memiliki kebijakan atau prosedur untuk meninjau hak akses pengguna secara berkala(mis., setiap tahun). 3. Organisasi telah menyimpan log akses pengguna pada sistem yang menyimpan Data Pribadi.
|
-
|