Skip to content

Perlindungan data pribadi & data sensitif (PDP, kebijakan kampus)

Informasi Dokumen

Atribut Keterangan
Kode Dokumen DTSI-SOP-CPL-02
Kode LPM
Revisi 1.0
Tanggal Efektif — (ditetapkan saat persetujuan Kepala DTSI)
Pemilik Dokumen Departemen Teknologi dan Sistem Informasi (DTSI), Universitas Harapan Bangsa
Pemilik Proses Kepala Departemen Teknologi dan Sistem Informasi (DTSI)
Kelas Wajib*
Status DRAFT — siap peninjauan pimpinan

* Wajib bila institusi memproses data pribadi; jika tidak relevan, dokumentasikan pengecualian berbasis risiko.

1. Tujuan

Menerapkan kontrol teknis dan organisasi agar data pribadi dan data sensitif non-publik diproses secara sah, minimal, aman, dan dapat dipertanggungjawabkan—selaras kebijakan privasi kampus dan prinsip ISO/IEC 27002 serta regulasi PDP yang berlaku di Indonesia (indikatif: UU PDP).

2. Ruang lingkup

Sistem, aplikasi, integrasi, dan layanan cloud yang memproses identitas civitas, data akademik/keuangan/SDM, log yang mengandung identitas, serta data yang ditetapkan sensitif oleh universitas.

3. Dokumen terkait

Dokumen Relasi
DTSI-SOP-CPL-03 Retensi & pemusnahan
DTSI-SOP-CPL-01 Audit kepatuhan
DTSI-SOP-AST-02 Klasifikasi informasi
DTSI-SOP-ACC-01 Akses & identitas
DTSI-SOP-CRY-01 Enkripsi
DTSI-SOP-SUP-01 DPA & pemrosesan pihak ketiga
DTSI-SOP-INC-01 Pelanggaran data
DTSI-SOP-DEV-03 Alur data antar sistem

4. Prinsip pemrosesan (ringkas)

Prinsip Praktik DTSI
Dasar hukum / legitimasi Dokumentasikan tujuan pemrosesan per sistem.
Minimilisasi Hanya field yang diperlukan; akses per peran.
Pembatasan tujuan Tidak memakai ulang data untuk tujuan baru tanpa persetujuan kebijakan.
Integritas & kerahasiaan Enkripsi, kontrol akses, log audit.
Transparansi Privasi notice / kebijakan kampus dapat diakses.

5. Peran dan tanggung jawab

Peran Tanggung jawab
Kepala DTSI Menyetujui pemrosesan risiko tinggi dan sub-prosesor baru.
DPO / focal PDP [Diisi jabatan resmi kampus] — konsultasi, DPIA, koordinasi pelaporan.
Pemilik sistem ROPA ringkas per aplikasi, klasifikasi data.

6. Prosedur — aktivitas baru

  1. Asesmen ringan: apakah data pribadi/sensitif? volume? lintas negara?
  2. DPIA bila risiko tinggi [Diisi ambang institusi] — dokumentasikan mitigasi.
  3. Kontrak: DPA atau klausul setara sebelum data dikirim ke vendor (DTSI-SOP-SUP-01).
  4. Teknis: pseudonimisasi/masking di non-produksi; enkripsi transit/at rest sesuai risiko.
  5. Hak subjek: saluran permintaan akses/koreksi/hapus sesuai kebijakan universitas.

7. Prosedur — insiden data

  1. Deteksi kebocoran atau akses tidak sah → aktifkan DTSI-SOP-INC-01 + prosedur notifikasi hukum/pemangku kepentingan internal.

8. Rujukan ISO & regulasi (indikatif)

  • ISO/IEC 27002 — privasi, PII protection.
  • UU PDP Republik Indonesia — sesuai ketentuan yang berlaku untuk institusi.

9. Rekaman wajib

  • Register pemrosesan (ROPA ringkas), DPIA, DPA, log permintaan hak subjek, bukti pelatihan focal.

10. Indikator kinerja

Indikator Target
Sistem produksi baru dengan data pribadi tanpa asesmen 0
Vendor pemroses tanpa perjanjian tercatat 0

11. Tinjauan dokumen

Minimal tahunan atau setelah perubahan regulasi PDP material.


Register SOP: Daftar SOP Operasional