Kebijakan Privasi

Berlaku efektif: 1 Mei 2026 · Versi 1.0

PT Bank Perekonomian Rakyat Tata Asia (selanjutnya "Kami") berkomitmen melindungi privasi dan data pribadi Anda. Kebijakan ini menjelaskan bagaimana kami mengumpulkan, menggunakan, menyimpan, melindungi, dan membagikan informasi Anda saat menggunakan aplikasi eDoc (selanjutnya "Layanan"), sesuai dengan:

UU Republik Indonesia No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP)
General Data Protection Regulation (EU) 2016/679 (GDPR)
Standar internasional ISO/IEC 27701:2019 (Privacy Information Management)
Google Play Developer Policy & Data Safety

1. Identitas Pengendali Data

Pengendali data pribadi adalah PT Bank Perekonomian Rakyat Tata Asia, dengan kontak:

Email Privasi: privacy@bprtataasia.com
Data Protection Officer (DPO): dpo@bprtataasia.com
Halaman DPO: https://www.edoc.bprtataasia.com/dpo

2. Data yang Kami Kumpulkan

Kategori	Contoh Data	Tujuan
Identitas	Nama, NIK, NPWP, foto KTP/Identitas	Verifikasi (KYC), kepatuhan regulator
Kontak	Email, nomor telepon, alamat	Otentikasi, komunikasi layanan
Akun	Username, hash password, token OTP, sesi	Akses & keamanan akun
Finansial	Rekening, transaksi, riwayat SLIK	Pemrosesan layanan keuangan
Teknis	IP, user agent, log aktivitas, perangkat	Keamanan, pencegahan fraud, audit
Lokasi	GPS (saat presensi/aset)	Validasi field collection
Media	Foto kamera (saat unggah dokumen/aset)	Bukti dokumen, inventarisasi
Notifikasi	Token FCM/Web Push	Pengiriman notifikasi push

Data sensitif: KTP, NIK, dan data finansial dikategorikan sebagai data pribadi spesifik (UU PDP Pasal 4 ayat 2) dan diperlakukan dengan perlindungan tambahan (enkripsi, akses terbatas, audit log).

3. Dasar Hukum Pemrosesan

Persetujuan (UU PDP Pasal 20a) — saat Anda mendaftar, mengaktifkan kamera, GPS, atau notifikasi.
Pelaksanaan kontrak (Pasal 20b) — penyediaan layanan yang Anda minta.
Kewajiban hukum (Pasal 20c) — pelaporan ke OJK, BI, PPATK bila berlaku.
Kepentingan sah (Pasal 20f) — keamanan sistem, pencegahan fraud, audit.

4. Cara Kami Menggunakan Data

Mengoperasikan, memelihara, dan meningkatkan Layanan;
Mengotentikasi pengguna dan mencegah akses tidak sah;
Memproses transaksi dan permintaan layanan;
Menjalankan kewajiban kepatuhan (KYC, AML, SLIK);
Mengirim notifikasi penting terkait akun (bukan pemasaran tanpa consent);
Audit, investigasi insiden, dan penegakan kebijakan keamanan.

5. Berbagi Data ke Pihak Ketiga

Kami tidak menjual data pribadi Anda. Kami hanya membagikan data secara terbatas kepada:

Penyedia infrastruktur — penyedia hosting, basis data, layanan email transaksional, layanan push notification (Pusher/Soketi/FCM). Semua diikat Data Processing Agreement (DPA).
Otoritas hukum — bila diwajibkan oleh hukum yang sah (perintah pengadilan, regulator).
Mitra audit — auditor eksternal di bawah perjanjian kerahasiaan.

6. Penyimpanan & Retensi

Kategori Data	Lama Penyimpanan
Akun aktif	Selama akun aktif
Akun nonaktif/terhapus	30 hari (soft delete) lalu dihapus permanen
Data transaksi finansial	10 tahun (kewajiban regulator OJK/PPATK)
Log keamanan & aktivitas	1 tahun
Backup terenkripsi	Maksimal 90 hari
Data verifikasi (KTP scan)	Sesuai kewajiban KYC, minimal 5 tahun setelah hubungan berakhir

7. Lokasi Pemrosesan Data

Data Anda diproses dan disimpan di server berlokasi di Indonesia. Bila terjadi transfer ke yurisdiksi lain (mis. layanan email transaksional), kami memastikan tingkat perlindungan yang memadai sesuai UU PDP Pasal 56.

8. Keamanan Data

Kami menerapkan kontrol keamanan sesuai ISO/IEC 27001:2022, antara lain:

Enkripsi data saat transit (TLS 1.2+) dan kata sandi (bcrypt);
Autentikasi multi-faktor (OTP) untuk login;
Kebijakan kata sandi kuat (min. 12 karakter, kompleks, riwayat) sesuai ISO 27001;
Auto-logout sesi tidak aktif & pembatasan sesi tunggal;
Role-Based Access Control (RBAC) dan prinsip least privilege;
Audit log lengkap untuk seluruh aksi sensitif;
Pencadangan terenkripsi rutin & pengujian pemulihan;
Rencana respons insiden 24/7;
Tinjauan keamanan dan penetration test berkala.

9. Hak Anda sebagai Subjek Data

Sesuai UU PDP Pasal 5–13 dan GDPR Art. 15–22, Anda berhak:

Mengakses data pribadi Anda;
Memperbaiki data yang tidak akurat;
Menghapus akun & data Anda — gunakan halaman https://www.edoc.bprtataasia.com/hapus-akun;
Membatasi atau menolak pemrosesan;
Memperoleh data dalam format portabel;
Menarik persetujuan setiap saat;
Mengajukan keluhan ke otoritas pengawas data pribadi.

Permintaan diproses dalam 14 hari kerja (UU PDP Pasal 9–10).

10. Anak di Bawah Umur

Layanan tidak ditujukan untuk anak di bawah 17 tahun. Kami tidak secara sengaja mengumpulkan data dari anak. Bila Anda mengetahui hal demikian, segera laporkan ke dpo@bprtataasia.com.

11. Kuki (Cookies) & Penyimpanan Lokal

Kami menggunakan kuki sesi (essential), penyimpanan lokal (preferensi tema, bahasa), dan service worker (PWA cache). Kami tidak menggunakan kuki pelacakan iklan.

12. Notifikasi Pelanggaran

Bila terjadi insiden keamanan yang berdampak pada data Anda, kami akan memberitahu Anda dan otoritas terkait paling lambat 3 × 24 jam sejak diketahui (UU PDP Pasal 46).

13. Perubahan Kebijakan

Perubahan material akan diberitahukan melalui aplikasi atau email setidaknya 14 hari sebelum berlaku. Versi terbaru selalu tersedia di halaman ini.

14. Kontak

Pertanyaan, keluhan, atau permintaan terkait data pribadi:

Email umum: privacy@bprtataasia.com
DPO: dpo@bprtataasia.com
Hapus akun: https://www.edoc.bprtataasia.com/hapus-akun