Kepatuhan Regulasi
Terakhir diperbarui: 13 Juni 2026
Undang-Undang Pelindungan Data Pribadi
Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) merupakan kerangka hukum utama Indonesia untuk pemrosesan data pribadi. UU ini berlaku penuh sejak 17 Oktober 2024. UU PDP memberikan hak kepada subjek data, menetapkan kewajiban bagi Pengendali dan Pemroses Data, serta mengatur sanksi administratif dan pidana atas pelanggaran.
FinGuard beroperasi sebagai Pemroses Data. Seluruh tahapan pipeline analisis dokumen kami dirancang agar sejalan dengan prinsip pelindungan data pribadi yang ditetapkan UU PDP. Halaman ini menjelaskan bagaimana FinGuard memenuhi ketentuan UU PDP dan kerangka regulasi internasional yang relevan.
1. Dasar Hukum Pemrosesan Data
Persetujuan Subjek Data
FinGuard memproses data pribadi hanya berdasarkan instruksi tertulis dari organisasi Anda selaku Pengendali Data. Organisasi Anda wajib memperoleh persetujuan eksplisit dari subjek data sebelum mengunggah dokumen ke dalam workspace. Kami tidak memproses data untuk tujuan apa pun di luar instruksi Pengendali Data.
Prinsip Minimisasi Data
FinGuard hanya mengekstrak dan menyimpan data yang relevan untuk keperluan analisis anomali. Data identitas dipisahkan dari data numerik dan dipseudonimkan sebelum dikirim ke model AI eksternal. Hanya data minimum yang diperlukan yang diekspos ke sistem di luar server FinGuard.
Pembatasan Masa Retensi
Kebijakan retensi FinGuard mengikuti prinsip bahwa data tidak boleh disimpan lebih lama dari yang diperlukan. Dokumen asli dihapus permanen dalam 30 hari. Metadata ekstraksi disimpan aktif selama 90 hari, lalu dianonimkan sepenuhnya setelah 600 hari. Log audit dipertahankan selama 5 tahun dalam format immutable untuk keperluan pemeriksaan oleh otoritas.
Akurasi Data
FinGuard tidak mengubah atau mengintervensi isi dokumen asli. Hasil analisis dan metadata yang diekstrak ditampilkan sesuai data sumber. Apabila subjek data mengajukan permintaan koreksi melalui organisasi Anda, data hasil ekstraksi dapat diperbarui sesuai instruksi Pengendali Data.
2. Hak Subjek Data
UU PDP memberikan hak berikut kepada individu sebagai subjek data. FinGuard mendukung pelaksanaan hak ini melalui organisasi Anda selaku Pengendali Data:
Hak Mengakses
Subjek data dapat meminta salinan data pribadinya yang sedang diproses. FinGuard menyediakan kemampuan ekspor data kepada organisasi Anda berdasarkan instruksi.
Hak Koreksi
Subjek data dapat meminta koreksi data pribadi yang tidak akurat. Permintaan koreksi diproses oleh Pengendali Data dan diteruskan kepada FinGuard sebagai Pemroses.
Hak Penghapusan
Subjek data dapat meminta penghapusan data pribadinya. FinGuard mendukung penghapusan yang diprakarsai penyewa yang mencakup seluruh lapisan penyimpanan dalam 24 jam, dengan hanya menyisakan baris audit yang telah dianonimkan.
Hak Membatasi Pemrosesan
Subjek data dapat meminta pembatasan pemrosesan dalam keadaan tertentu. FinGuard mendukung penghentian pemrosesan data di tingkat penyewa atau berkas sesuai instruksi organisasi Anda.
Hak Portabilitas Data
Subjek data dapat meminta datanya dalam format terstruktur yang lazim digunakan. FinGuard menyediakan alat ekspor metadata dan laporan analisis melalui UI workspace dan REST API.
3. Residensi dan Kedaulatan Data
Seluruh infrastruktur FinGuard, mencakup server backend, database relasional, penyimpanan biner, dan log audit, di-hosting sepenuhnya di Biznet Cloud Jakarta, Indonesia. Tidak ada data produksi yang berpindah ke luar wilayah Indonesia tanpa persetujuan eksplisit dari Pengendali Data.
Pemrosesan lintas batas, seperti pengiriman data ke model AI internasional, hanya dilakukan melalui fitur opt-in eksplisit yang dikelola oleh administrator tenant Anda. Pengaturan default menempatkan seluruh data dalam yurisdiksi Indonesia.
4. Langkah Keamanan Teknis
5. Peran Pengendali dan Pemroses Data
Organisasi Anda (Pengendali Data)
- Memperoleh persetujuan eksplisit dari subjek data sebelum mengunggah dokumen
- Menentukan tujuan dan metode pemrosesan data pribadi
- Menanggapi permintaan hak subjek data secara langsung
- Melaporkan insiden pelanggaran data kepada otoritas pengawas dalam waktu 3x24 jam
- Melakukan Data Protection Impact Assessment (DPIA) jika diperlukan
FinGuard (Pemroses Data)
- Memproses data hanya berdasarkan instruksi tertulis dari Pengendali Data
- Menerapkan langkah keamanan teknis dan organisasional yang memadai
- Mencatat seluruh aktivitas pemrosesan secara rinci dalam log audit immutable
- Memberi tahu Pengendali Data dalam waktu maksimal 72 jam jika terjadi insiden keamanan yang terkonfirmasi
- Memastikan setiap sub-pemroses terikat oleh DPA dengan tingkat perlindungan yang setara
Notifikasi Pelanggaran Data
Berdasarkan Pasal 46 UU PDP, FinGuard akan memberitahukan Pengendali Data dalam waktu maksimal 72 jam setelah insiden kebocoran data pribadi terkonfirmasi. Pemberitahuan mencakup kronologi insiden, data yang terdampak, serta langkah mitigasi yang telah diambil. Pengendali Data selanjutnya wajib melaporkan insiden tersebut kepada subjek data dan otoritas pengawas dalam waktu 3x24 jam.
6. GDPR (Uni Eropa)
General Data Protection Regulation (GDPR) Uni Eropa memiliki cakupan ekstrateritorial berdasarkan Pasal 3. GDPR berlaku terhadap Pemroses Data di mana pun lokasinya, sepanjang memproses data pribadi warga Uni Eropa. Apabila berkas yang Anda analisis melalui FinGuard hanya berisi data warga negara Indonesia, maka GDPR tidak berlaku. Penjelasan di bawah ini menggambarkan sejauh mana arsitektur FinGuard selaras dengan ketentuan GDPR, bukan merupakan pernyataan kepatuhan hukum. FinGuard belum memiliki sertifikasi GDPR.
FinGuard dibangun dengan pendekatan Privacy by Design yang menghasilkan tumpang tindih signifikan dengan prinsip inti GDPR. Tabel berikut merinci pemenuhan persyaratan Pasal 28 GDPR terhadap Pemroses Data:
| Persyaratan (Pasal 28) | Status |
|---|---|
| Perjanjian pemrosesan data tertulis dengan Pengendali | Tersedia |
| Pemrosesan hanya berdasarkan instruksi tertulis | Tersedia |
| Kewajiban kerahasiaan bagi personel yang memproses data | Enkripsi ganda, akses tim internal dibatasi secara ketat |
| Keamanan pemrosesan sesuai Pasal 32 | AES-256, TLS 1.3, pseudonimisasi, PostgreSQL RLS |
| Sub-pemroses terikat perjanjian setara | Biznet Cloud dan pemroses AI terikat DPA |
| Notifikasi pelanggaran data tanpa penundaan | Maksimal 72 jam |
| Asistensi permintaan hak subjek data | Ekspor dan hapus data melalui workspace dan API |
| Penghapusan atau pengembalian data setelah layanan berakhir | Penghapusan instan dalam waktu kurang dari 24 jam |
| Kerja sama audit dan inspeksi | Log audit immutable selama 5 tahun, dapat dikueri |
| Catatan aktivitas pemrosesan (Pasal 30) | Data tersedia melalui log audit, format ROPA formal belum disediakan |
| Transfer data lintas batas (Pasal 44-49) | Indonesia belum memiliki EU adequacy decision. Standard Contractual Clauses (SCC) dapat disediakan jika organisasi Anda memproses data warga EU melalui platform ini. |
| Penunjukan Data Protection Officer (Pasal 37) | Belum ditunjuk secara formal. Akan disediakan jika pemrosesan data berskala besar melibatkan data kategori khusus sebagaimana dimaksud Pasal 9 GDPR. |
Apabila organisasi Anda memproses data warga Uni Eropa melalui platform FinGuard, kami dapat menyediakan Standard Contractual Clauses (SCC) sebagai dasar hukum transfer data lintas batas. Silakan hubungi tim kami untuk mendiskusikan kebutuhan kepatuhan GDPR spesifik Anda.
7. CCPA/CPRA (California)
California Consumer Privacy Act (CCPA) sebagaimana diubah oleh California Privacy Rights Act (CPRA) berlaku terhadap badan usaha yang beroperasi di California, memenuhi ambang pendapatan atau volume data tertentu, dan memproses informasi pribadi warga California. Jika data yang Anda proses melalui FinGuard hanya mencakup warga negara Indonesia, CCPA/CPRA tidak berlaku. FinGuard beroperasi dalam kapasitas sebagai penyedia layanan (service provider) berdasarkan definisi dalam CPRA.
Arsitektur FinGuard selaras dengan kewajiban penyedia layanan di bawah CCPA/CPRA. Kami tidak menjual, membagikan untuk iklan lintas konteks, atau menggunakan data Anda untuk tujuan di luar layanan yang ditentukan dalam perjanjian. Tabel di bawah ini merinci keselarasan tersebut:
| Kewajiban Penyedia Layanan | Status |
|---|---|
| Kontrak tertulis yang membatasi tujuan pemrosesan | Tersedia melalui DPA dan Syarat Layanan |
| Tidak menjual atau membagikan data konsumen | Data tidak pernah dijual atau dibagikan kepada pihak mana pun |
| Tidak menyimpan atau menggunakan data di luar tujuan layanan | Retensi ketat: 30 hari, 90 hari, 5 tahun |
| Tidak menggabungkan data dari berbagai sumber bisnis | Isolasi data per tenant melalui PostgreSQL RLS |
| Mematuhi permintaan penghapusan dari konsumen | Penghapusan instan dalam 24 jam melalui admin tenant |
| Keamanan data yang wajar (reasonable security) | AES-256, TLS 1.3, pseudonimisasi identitas |
| Asistensi audit keamanan siber (ketentuan baru CPRA) | Log audit tersedia, kerangka audit siber formal belum tersedia |
8. Kerangka Regulasi Lainnya
Singapore PDPA
Personal Data Protection Act Singapura menganut prinsip serupa dengan UU PDP: persetujuan, pembatasan tujuan, notifikasi, akses dan koreksi, keamanan, pembatasan retensi, serta pembatasan transfer. Arsitektur Privacy by Design FinGuard selaras dengan 9 kewajiban perlindungan data PDPA. Regulasi ini berlaku hanya apabila organisasi Anda memproses data pribadi warga Singapura melalui platform.
Tidak otomatis berlakuISO 27001
FinGuard menerapkan kontrol berbasis ISO 27001 dalam arsitektur keamanannya: enkripsi AES-256, kontrol akses berbasis peran, log audit immutable, dan pemisahan tenant ketat. Sertifikasi formal ISO 27001 masih dalam tahap perencanaan dan belum diperoleh. Kami akan memperbarui halaman ini setelah proses sertifikasi dimulai.
Dalam perencanaanReferensi Hukum
Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi. Lembaran Negara Republik Indonesia Tahun 2022 Nomor 196. Tambahan Lembaran Negara Nomor 6820. Mulai berlaku penuh pada tanggal 17 Oktober 2024.