Kebijakan Privasi

MCU Tracker Contractor · PT Pertamina Patra Niaga · Sesuai UU No. 27/2022 tentang Pelindungan Data Pribadi

Draft v@version — Menunggu review legal/DPO.
← Kembali ke halaman masuk

1. Tentang Kebijakan Ini

PT Pertamina Patra Niaga ("Kami", "Pengendali Data Pribadi") berkomitmen melindungi data pribadi Anda sesuai Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi ("UU PDP").

Kebijakan Privasi ini menjelaskan bagaimana kami mengumpulkan, menggunakan, menyimpan, melindungi, dan membagikan Data Pribadi Anda saat menggunakan aplikasi MCU Tracker Contractor, termasuk hak-hak Anda sebagai Subjek Data Pribadi dan cara menggunakannya. Dengan mendaftar dan/atau menggunakan aplikasi, Anda menyatakan telah membaca, memahami, dan menyetujui Kebijakan Privasi ini.

2. Identitas Pengendali Data Pribadi

  • Badan Hukum: PT Pertamina Patra Niaga
  • Alamat: [Akan dilengkapi setelah review legal]
  • Pejabat Pelindungan Data (DPO): [Akan ditunjuk]
  • Email DPO: [Akan dilengkapi]

3. Data Pribadi yang Kami Proses

3.1 Data Pribadi Umum

  • Nama lengkap, email, nomor telepon
  • Informasi perusahaan tempat bekerja (untuk kontraktor)
  • Wilayah kerja & lokasi penugasan

3.2 Data Pribadi yang Bersifat Spesifik (Pasal 4 ayat 2 UU PDP)

  • NIK (Pasal 4 ayat 3 huruf c)
  • Data kesehatan: tanggal & hasil MCU, kadaluarsa sertifikat, dokter, fasyankes, nomor sertifikat, jenis pemeriksaan, catatan medis, skor risiko kardiovaskular, derajat kesehatan (P1–P7), rekomendasi medis
  • Data biometrik/fisik: tinggi, berat, tekanan darah, gender, usia, status merokok, riwayat diabetes, tingkat aktivitas
  • Dokumen pendukung: hasil pindai sertifikat MCU, dokumen evaluasi (PDF, JPG, PNG)

3.3 Data yang Terkumpul Otomatis

  • Alamat IP, User-Agent, riwayat akses (audit log)
  • Token Web Push (jika Anda aktifkan)

4. Tujuan & Dasar Hukum Pemrosesan

Dasar hukum sesuai Pasal 20 UU PDP:

  • Verifikasi identitas & kelayakan kerja kontraktor — persetujuan Anda + kewajiban hukum K3 Migas
  • Penyimpanan dan tracking hasil MCU — persetujuan + kewajiban hukum
  • Penilaian risiko kesehatan untuk penempatan kerja — kewajiban hukum + kepentingan vital subjek data
  • Penerbitan surat persetujuan/penolakan kerja — kewajiban hukum K3
  • Audit & pelaporan kepada regulator (SKK Migas, Kementerian ESDM, Kemnaker, BPJS)
  • Notifikasi status pengajuan & masa berlaku MCU — persetujuan + pelaksanaan kontrak
  • Keamanan sistem & pencegahan akses tidak sah — kepentingan sah Pengendali
Data kesehatan (Pasal 22 ayat 2): Pemrosesan dilakukan berdasarkan persetujuan eksplisit Anda saat pendaftaran dan dapat ditarik sewaktu-waktu.

5. Pihak yang Memiliki Akses

Akses dibatasi berdasarkan peran (RBAC) — Anda sendiri, Contractor Admin perusahaan Anda, FPP/Regional/Location Admin sesuai wilayah, tim medis (Medical Admin, K3 Doctor, Medical Officer, Medical Manager) untuk penilaian medis, serta Super Admin untuk administrasi sistem. Setiap akses ke data kesehatan Anda dicatat dalam audit log (Pasal 38 UU PDP).

6. Berbagi Data dengan Pihak Ketiga

  • Microsoft Azure (penyimpanan dokumen, telemetri) — DPA standar Microsoft
  • Postmark (email notifikasi) — DPA dalam proses
  • Apple/Google/Mozilla Push (web push, jika diaktifkan)
Transfer lintas batas (Pasal 56): Sebagian pemroses berlokasi di luar Indonesia. Detail dapat diperoleh melalui DPO. Kami tidak menjual data Anda kepada pihak manapun.

7. Retensi Data

  • Data identitas akun aktif: selama akun aktif + 1 tahun
  • Hasil MCU & dokumen medis: 5 tahun sejak pemeriksaan (konfirmasi legal)
  • Surat persetujuan kerja: 5 tahun sejak diterbitkan
  • Log akses (audit trail): 2 tahun
  • Pendaftaran yang tidak diverifikasi: 90 hari

8. Hak-Hak Anda sebagai Subjek Data

Sesuai Pasal 5–15 UU PDP, Anda berhak untuk: mendapat informasi; mengakses & mendapat salinan; meminta perbaikan (rektifikasi); meminta penghapusan; menarik persetujuan; mengajukan keberatan; portabilitas; menunda atau membatasi pemrosesan; menuntut & menerima ganti rugi.

Cara menggunakan: kirim email ke DPO (akan ditampilkan setelah penunjukan), atau melalui halaman "Permintaan Hak Saya" pada profil Anda (segera tersedia). Kami menanggapi paling lambat 3×24 jam untuk pengaduan keamanan dan 14 hari kerja untuk permintaan hak lainnya.

9. Keamanan Data

  • Koneksi terenkripsi (HTTPS/TLS) untuk semua komunikasi
  • Otentikasi dua-faktor (2FA) wajib
  • Kata sandi disimpan menggunakan PBKDF2-SHA256
  • Kontrol akses berbasis peran (RBAC) dengan 11 tingkatan
  • Pencatatan akses ke data spesifik (audit log)
Apabila terjadi kegagalan perlindungan data, kami memberitahu Anda dan Lembaga Pelindungan Data Pribadi paling lambat 3×24 jam (Pasal 46 UU PDP).

10. Cookie

Aplikasi menggunakan cookie fungsional untuk mempertahankan sesi login (HttpOnly + Secure), peran aktif, dan preferensi tampilan. Cookie tersebut diperlukan untuk operasi aplikasi.

11. Pemrosesan Data Anak

Aplikasi tidak ditujukan untuk anak di bawah 18 tahun. Jika Anda mengetahui adanya data anak tanpa persetujuan orang tua/wali, hubungi DPO untuk penghapusan segera.

12. Perubahan Kebijakan

Kami dapat memperbarui Kebijakan ini. Perubahan material akan diinformasikan melalui notifikasi dalam aplikasi dan email; Anda akan diminta untuk memberikan persetujuan ulang.

13. Hukum yang Berlaku

Kebijakan ini tunduk pada hukum Republik Indonesia, khususnya UU No. 27 Tahun 2022. Sengketa dapat Anda ajukan ke DPO kami, Lembaga Pelindungan Data Pribadi, atau Pengadilan Negeri yang berwenang.

Versi kebijakan: 2026.05.18-draft