Perlindungan data pribadi & data sensitif (PDP, kebijakan kampus)
Informasi Dokumen
| Atribut | Keterangan |
|---|---|
| Kode Dokumen | DTSI-SOP-CPL-02 |
| Kode LPM | — |
| Revisi | 1.0 |
| Tanggal Efektif | — (ditetapkan saat persetujuan Kepala DTSI) |
| Pemilik Dokumen | Departemen Teknologi dan Sistem Informasi (DTSI), Universitas Harapan Bangsa |
| Pemilik Proses | Kepala Departemen Teknologi dan Sistem Informasi (DTSI) |
| Kelas | Wajib* |
| Status | DRAFT — siap peninjauan pimpinan |
* Wajib bila institusi memproses data pribadi; jika tidak relevan, dokumentasikan pengecualian berbasis risiko.
1. Tujuan
Menerapkan kontrol teknis dan organisasi agar data pribadi dan data sensitif non-publik diproses secara sah, minimal, aman, dan dapat dipertanggungjawabkan—selaras kebijakan privasi kampus dan prinsip ISO/IEC 27002 serta regulasi PDP yang berlaku di Indonesia (indikatif: UU PDP).
2. Ruang lingkup
Sistem, aplikasi, integrasi, dan layanan cloud yang memproses identitas civitas, data akademik/keuangan/SDM, log yang mengandung identitas, serta data yang ditetapkan sensitif oleh universitas.
3. Dokumen terkait
| Dokumen | Relasi |
|---|---|
| DTSI-SOP-CPL-03 | Retensi & pemusnahan |
| DTSI-SOP-CPL-01 | Audit kepatuhan |
| DTSI-SOP-AST-02 | Klasifikasi informasi |
| DTSI-SOP-ACC-01 | Akses & identitas |
| DTSI-SOP-CRY-01 | Enkripsi |
| DTSI-SOP-SUP-01 | DPA & pemrosesan pihak ketiga |
| DTSI-SOP-INC-01 | Pelanggaran data |
| DTSI-SOP-DEV-03 | Alur data antar sistem |
4. Prinsip pemrosesan (ringkas)
| Prinsip | Praktik DTSI |
|---|---|
| Dasar hukum / legitimasi | Dokumentasikan tujuan pemrosesan per sistem. |
| Minimilisasi | Hanya field yang diperlukan; akses per peran. |
| Pembatasan tujuan | Tidak memakai ulang data untuk tujuan baru tanpa persetujuan kebijakan. |
| Integritas & kerahasiaan | Enkripsi, kontrol akses, log audit. |
| Transparansi | Privasi notice / kebijakan kampus dapat diakses. |
5. Peran dan tanggung jawab
| Peran | Tanggung jawab |
|---|---|
| Kepala DTSI | Menyetujui pemrosesan risiko tinggi dan sub-prosesor baru. |
| DPO / focal PDP | [Diisi jabatan resmi kampus] — konsultasi, DPIA, koordinasi pelaporan. |
| Pemilik sistem | ROPA ringkas per aplikasi, klasifikasi data. |
6. Prosedur — aktivitas baru
- Asesmen ringan: apakah data pribadi/sensitif? volume? lintas negara?
- DPIA bila risiko tinggi [Diisi ambang institusi] — dokumentasikan mitigasi.
- Kontrak: DPA atau klausul setara sebelum data dikirim ke vendor (DTSI-SOP-SUP-01).
- Teknis: pseudonimisasi/masking di non-produksi; enkripsi transit/at rest sesuai risiko.
- Hak subjek: saluran permintaan akses/koreksi/hapus sesuai kebijakan universitas.
7. Prosedur — insiden data
- Deteksi kebocoran atau akses tidak sah → aktifkan DTSI-SOP-INC-01 + prosedur notifikasi hukum/pemangku kepentingan internal.
8. Rujukan ISO & regulasi (indikatif)
- ISO/IEC 27002 — privasi, PII protection.
- UU PDP Republik Indonesia — sesuai ketentuan yang berlaku untuk institusi.
9. Rekaman wajib
- Register pemrosesan (ROPA ringkas), DPIA, DPA, log permintaan hak subjek, bukti pelatihan focal.
10. Indikator kinerja
| Indikator | Target |
|---|---|
| Sistem produksi baru dengan data pribadi tanpa asesmen | 0 |
| Vendor pemroses tanpa perjanjian tercatat | 0 |
11. Tinjauan dokumen
Minimal tahunan atau setelah perubahan regulasi PDP material.
Register SOP: Daftar SOP Operasional