Kebijakan Privasi

Versi 1.0 Berlaku: 1 Juni 2026 Terakhir diperbarui: 25 Mei 2026 Bahasa resmi: Bahasa Indonesia

💡 Ringkasan Kebijakan (Plain Language Summary)

Sebelum membaca versi lengkap, berikut intisari kebijakan kami:

  • Kami mengumpulkan data Anda hanya untuk keperluan asesmen rekrutmen.
  • Kami tidak menjual data Anda kepada pihak mana pun.
  • Anda bisa meminta akses, koreksi, atau penghapusan data Anda kapan saja.
  • Data Anda disimpan di server berlokasi di Singapura (akan dibuat cadangan di Indonesia).
  • Data psikometri (hasil tes kepribadian) mendapat perlindungan ekstra.
  • Jika terjadi kebocoran, kami wajib memberitahu Anda dalam 3 hari kerja.
  • Data dihapus otomatis dalam 12–24 bulan setelah tes selesai.

1. Siapa Kami & Peran Kami dalam Perlindungan Data

1.1 Identitas Pengendali Data

PT Buana Cerdas Teknologi ("Tesor.id", "kami", "milik kami") adalah perusahaan teknologi yang mengoperasikan platform SaaS Tesor.id, beralamat di Indonesia. Tesor.id bertindak sebagai Pengendali Data Pribadi (Personal Data Controller) sebagaimana didefinisikan dalam:

  • UU PDP Pasal 1 ayat (4): Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi
  • GDPR Article 4(7): General Data Protection Regulation (EU) 2016/679

1.2 Kepada Siapa Kebijakan Ini Berlaku

Kebijakan Privasi ini berlaku untuk dua kelompok Pengguna dengan karakteristik yang berbeda:

KelompokDeskripsiData yang Relevan
Perusahaan Pengguna (HRD)Organisasi yang berlangganan Platform untuk keperluan rekrutmenData akun, data tagihan, log aktivitas
KandidatIndividu yang mengikuti tes/asesmen melalui PlatformData identitas, data tes, data psikometri

1.3 Kerangka Regulasi yang Kami Ikuti

Kami berkomitmen mematuhi:

  • UU PDP No. 27/2022 (berlaku penuh sejak 17 Oktober 2024)
  • GDPR sebagai standar referensi internasional terbaik
  • UU ITE No. 19/2016 dan perubahannya
  • PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik

2. Data Pribadi yang Kami Kumpulkan

2.1 Data yang Dikumpulkan dari Perusahaan Pengguna

Data Akun & Identifikasi Perusahaan:

  • Nama perusahaan, jenis industri, dan skala bisnis
  • Nama, jabatan, dan informasi kontak penanggung jawab (Person in Charge)
  • Alamat email bisnis dan nomor telepon
  • Nomor Induk Berusaha (NIB) atau NPWP (untuk verifikasi)

Data Operasional:

  • Konfigurasi tes dan preferensi platform
  • Log aktivitas akun (login, pembuatan tes, ekspor laporan)
  • Data pembayaran dan riwayat transaksi (nomor kartu kredit tidak disimpan — diproses langsung oleh payment gateway tersertifikasi)

Data Teknis:

  • Alamat IP dan informasi perangkat
  • Jenis browser dan sistem operasi
  • Preferensi bahasa dan zona waktu

2.2 Data yang Dikumpulkan dari Kandidat

A. Data Umum (General Personal Data)

Sesuai Pasal 4 ayat (1) UU PDP:

KategoriData Spesifik
Identitas DasarNama lengkap, alamat email, nomor telepon
Data LokasiKota domisili (opsional, untuk pencocokan posisi)
Data TeknisAlamat IP, browser, durasi pengerjaan tes, waktu akses

B. Data Pribadi yang Bersifat Spesifik / Sensitif ⚠️

Sesuai Pasal 4 ayat (2) UU PDP — memerlukan perlindungan lebih ketat:

KategoriData SpesifikDasar Pengumpulan
Data KognitifSkor kemampuan verbal, numerik, logisPersetujuan eksplisit terpisah
⚠️ Penting: Kami tidak mengumpulkan data biometrik (sidik jari, rekaman wajah dari kamera) dalam fitur platform saat ini. Jika fitur ini ditambahkan di masa mendatang, kebijakan ini akan diperbarui dengan ketentuan khusus dan memerlukan persetujuan baru dari Anda.

C. Data yang Secara Otomatis Dihasilkan Sistem

Selama sesi tes berlangsung, sistem kami secara otomatis merekam:

  • Log integritas tes: Waktu mulai, selesai, dan jeda per soal
  • Deteksi anomali: Pendeteksian perilaku tidak wajar (untuk tujuan anti-kecurangan, bukan pembuatan profil individual)
  • Metadata sesi: Perangkat yang digunakan, koneksi internet, resolusi layar

2.3 Data yang TIDAK Kami Kumpulkan

Kami secara eksplisit tidak mengumpulkan:

  • Nomor KTP/SIM/paspor (kecuali diminta secara spesifik oleh Perusahaan Pengguna dengan persetujuan terpisah)
  • Rekaman audio atau video Kandidat
  • Data media sosial dari platform pihak ketiga
  • Data kesehatan atau kondisi medis
  • Data keuangan pribadi Kandidat
  • Informasi keluarga atau kontak darurat (kecuali diminta secara eksplisit untuk tujuan spesifik)

3. Dasar Hukum Pemrosesan Data

Kami tidak akan memproses Data Pribadi Anda tanpa dasar hukum yang sah. Berikut dasar hukum yang kami gunakan sesuai UU PDP dan GDPR:

Dasar HukumUU PDPGDPRSituasi Penerapan
Persetujuan (Consent)Pasal 20Art. 6(1)(a)Pengumpulan data psikometri; pengiriman email pemasaran
Pelaksanaan PerjanjianPasal 21Art. 6(1)(b)Penyediaan layanan platform kepada Perusahaan Pengguna
Kewajiban HukumPasal 22Art. 6(1)(c)Kepatuhan terhadap peraturan perpajakan, audit regulator
Kepentingan yang SahPasal 24Art. 6(1)(f)Keamanan platform, pencegahan penipuan, analitik agregat

3.1 Pentingnya Persetujuan Kandidat

Sebelum memulai sesi tes, setiap Kandidat akan:

  1. Mendapatkan tampilan halaman informasi yang jelas mengenai data yang dikumpulkan
  2. Diminta memberikan persetujuan aktif melalui klik tombol konfirmasi (bukan kotak centang yang telah dicentang sebelumnya)
  3. Mendapatkan akses ke dokumen Kebijakan Privasi ini sebelum memberikan persetujuan
  4. Diberikan opsi untuk menolak tanpa diwajibkan memberikan alasan

Persetujuan dapat ditarik kembali kapan saja melalui mekanisme yang dijelaskan di Pasal 9 dokumen ini.


4. Tujuan Penggunaan Data

4.1 Data Perusahaan Pengguna digunakan untuk:

TujuanDetail
Penyediaan LayananMengaktifkan dan memelihara akun, memberikan akses ke fitur Platform
Tagihan & PembayaranMemproses transaksi berlangganan dan penerbitan faktur
Dukungan TeknisMendiagnosis masalah dan merespons permintaan bantuan
Komunikasi ProdukMengirimkan pembaruan fitur, pemberitahuan penting, dan pembaruan kebijakan
Keamanan PlatformMendeteksi dan mencegah akses tidak sah, penipuan, dan penyalahgunaan
Peningkatan LayananAnalitik penggunaan platform secara agregat dan anonim

4.2 Data Kandidat digunakan untuk:

TujuanDetailDasar Hukum
Pelaksanaan AsesmenMenyajikan soal, menyimpan jawaban, dan menghitung skorPersetujuan + Perjanjian
Pembuatan LaporanMenghasilkan laporan hasil asesmen untuk Perusahaan PenggunaPersetujuan + Perjanjian
Integritas TesMendeteksi kecurangan dan memastikan validitas hasilKepentingan yang Sah
Penyampaian HasilMengirimkan notifikasi penyelesaian tes kepada KandidatPersetujuan
Peningkatan Kualitas TesAnalisis statistik soal secara agregat dan anonim (bukan data individual)Kepentingan yang Sah

4.3 Batasan Tujuan yang Tegas

Data Kandidat tidak akan digunakan untuk:

  • Pembuatan profil Kandidat di luar konteks rekrutmen posisi yang bersangkutan
  • Keperluan pemasaran atau penelitian komersial tanpa persetujuan baru
  • Berbagi dengan Perusahaan Pengguna lain di luar kontrak yang relevan
  • Membuat keputusan otomatis yang berdampak hukum signifikan terhadap Kandidat tanpa intervensi manusia

5. Berbagi Data dengan Pihak Ketiga

5.1 Siapa yang Dapat Mengakses Data Anda

Kami tidak menjual Data Pribadi Anda kepada pihak mana pun. Data dapat dibagikan hanya dalam situasi berikut:

A. Perusahaan Pengguna

Hasil asesmen Kandidat dibagikan kepada Perusahaan Pengguna yang mengundang Kandidat tersebut. Kandidat memahami dan menyetujui hal ini sebagai tujuan utama penggunaan Platform.

B. Penyedia Infrastruktur & Teknologi (Sub-Prosesor)

Kategori VendorTujuanLokasi Data
Infrastruktur CloudHosting dan penyimpanan basis dataIndonesia (prioritas) / Singapura
Payment GatewayPemrosesan pembayaranIndonesia
Penyedia Layanan EmailPengiriman notifikasi dan undangan tesIndonesia / AS (dengan pengamanan)
AnalitikAnalitik Platform secara agregatUE / AS (data dianonimkan)

Semua sub-prosesor terikat oleh perjanjian pemrosesan data yang memuat kewajiban perlindungan data yang setara dengan atau lebih ketat dari kebijakan ini.

C. Kewajiban Hukum

Kami dapat mengungkapkan data jika diwajibkan oleh perintah pengadilan, regulator yang berwenang (termasuk Badan Pelindungan Data Pribadi Indonesia), atau investigasi penegakan hukum yang sah. Kami akan berupaya memberitahu Anda sebelum pengungkapan dilakukan, kecuali jika dilarang oleh hukum.

D. Pengalihan Bisnis

Dalam hal merger, akuisisi, atau penjualan aset, Data Pribadi dapat dialihkan kepada entitas pengambil alih. Kami akan memberitahu Anda minimal 30 hari sebelum data Anda tunduk pada kebijakan privasi yang berbeda.

5.2 Yang Tidak Akan Kami Lakukan

  • Menjual data Kandidat kepada pihak ketiga untuk tujuan komersial
  • Membagikan data kepada Perusahaan Pengguna lain tanpa persetujuan
  • Menggunakan data untuk keperluan iklan berbasis profil individual
  • Membagikan data kepada lembaga pemerintah tanpa dasar hukum yang sah

6. Transfer Data Lintas Negara

6.1 Preferensi Penyimpanan Lokal

Tesor.id memprioritaskan penggunaan infrastruktur yang berlokasi di Indonesia untuk memenuhi ketentuan Pasal 56 UU PDP.

6.2 Jika Transfer Lintas Negara Diperlukan

Dalam situasi di mana data perlu diproses oleh sistem yang berlokasi di luar Indonesia, kami memastikan bahwa:

  1. Standar Perlindungan Setara: Negara tujuan memiliki regulasi perlindungan data yang setara, atau
  2. Perjanjian Kontraktual: Kami menerapkan klausul kontraktual standar (Standard Contractual Clauses / SCC), atau
  3. Sertifikasi: Vendor tujuan memiliki sertifikasi keamanan yang diakui (ISO 27001, SOC 2 Type II)

6.3 Daftar Negara Tujuan Transfer (jika berlaku)

NegaraTujuanPengamanan
SingapuraCadangan infrastrukturPDPA Singapura + DPA
Amerika SerikatPenyedia layanan email tertentuSCC + kerangka pengamanan yang berlaku
Uni EropaVendor analitik (data anonim)Kepatuhan GDPR

6.4 Hak Anda Terkait Transfer Data

Anda berhak meminta informasi mengenai transfer data lintas negara yang memengaruhi data Anda dengan menghubungi kami di tesor.support@gmail.com.


7. Keamanan Data

7.1 Langkah-Langkah Teknis

Enkripsi:

  • Data dalam perjalanan (in transit): enkripsi TLS 1.3
  • Data tersimpan (at rest): enkripsi AES-256
  • Data psikometri mendapatkan lapisan enkripsi tambahan dengan kunci terpisah

Kontrol Akses:

  • Autentikasi multi-faktor (MFA) untuk akun Perusahaan Pengguna
  • Prinsip least privilege — karyawan Tesor.id hanya mengakses data yang diperlukan untuk tugasnya
  • Log akses data yang diaudit secara berkala
  • Segmentasi jaringan antara basis data produksi dan lingkungan pengembangan

Infrastruktur:

  • Firewall dan sistem deteksi intrusi (IDS/IPS)
  • Pengujian penetrasi (penetration testing) minimal satu kali dalam setahun
  • Program bug bounty untuk pelaporan kerentanan keamanan

7.2 Langkah-Langkah Organisasional

  • Pelatihan Privasi: Seluruh karyawan yang menangani data mendapatkan pelatihan perlindungan data minimal satu kali dalam setahun
  • Privacy by Design: Prinsip privasi diintegrasikan sejak tahap desain produk
  • Penilaian Vendor: Evaluasi keamanan untuk semua vendor sebelum onboarding
  • Dokumentasi Pemrosesan: Kami memelihara Record of Processing Activities (RoPA) sesuai prinsip akuntabilitas UU PDP

7.3 Batasan Keamanan

Tidak ada sistem keamanan yang sempurna. Kami berkomitmen merespons insiden keamanan secara cepat dan transparan.


8. Kebijakan Retensi (Penyimpanan) Data

8.1 Periode Retensi

Jenis DataPeriode RetensiCatatan
Data Akun Perusahaan PenggunaSelama berlangganan + 90 hariMasa tenggang untuk ekspor data
Data Umum Kandidat24 bulan sejak tes selesaiAtau lebih cepat atas permintaan
Data Psikometri Kandidat12 bulan sejak tes selesaiDikategorikan sebagai data sensitif
Log Sistem & Keamanan12 bulanUntuk keperluan jejak audit
Data Tagihan & Faktur10 tahunKewajiban perpajakan Indonesia
Email & Komunikasi3 tahunUntuk keperluan penyelesaian sengketa

8.2 Penghapusan Otomatis

Setelah periode retensi berakhir, data dihapus dari: (1) basis data produksi segera; (2) sistem cadangan dalam maksimal 30 hari; (3) log sistem sesuai jadwal rotasi.

8.3 Pengecualian Retensi

Data dapat disimpan lebih lama jika terdapat kewajiban hukum, sedang dalam proses penyelesaian sengketa, atau atas permintaan eksplisit dari Kandidat atau Perusahaan Pengguna.


9. Hak-Hak Anda sebagai Subjek Data

Berdasarkan UU PDP Pasal 26–35 dan GDPR Chapter III, Anda memiliki hak-hak berikut:

HakDeskripsiCara MenggunakanWaktu Respons
Hak AksesMendapatkan salinan data Anda yang kami simpanEmail atau melalui dashboard14 hari kerja
Hak KoreksiMeminta perbaikan data yang tidak akuratDashboard atau email7 hari kerja
Hak PenghapusanMeminta penghapusan data Anda (right to be forgotten)Email dengan subjek "Data Deletion Request"30 hari kalender
Hak PembatasanMeminta pembatasan pemrosesan data selama ada sengketaEmail ke tim kami14 hari kerja
Hak PortabilitasMendapatkan data dalam format JSON/CSVFitur ekspor dashboard atau email14 hari kerja
Hak MenolakMenolak pemrosesan berdasarkan kepentingan yang sahEmail ke tim kami14 hari kerja
Hak Penarikan PersetujuanMenarik persetujuan yang telah diberikanTautan berhenti berlangganan atau emailSegera
Hak atas Keputusan OtomatisMeminta tinjauan manusia atas keputusan otomatisEmail ke tim kami30 hari kerja

9.2 Cara Mengajukan Permintaan

Melalui Platform: Login ke dashboard → Pengaturan Akun → Privasi & Data

Melalui Email: Kirim ke tesor.support@gmail.com dengan subjek: [HAK DATA] [Jenis Permintaan] - [Nama Anda]. Sertakan nama lengkap, alamat email terdaftar, dan deskripsi permintaan. Verifikasi identitas mungkin diperlukan.

9.3 Hak Mengajukan Pengaduan

Jika hak-hak Anda dilanggar, Anda berhak mengajukan pengaduan kepada Badan Pelindungan Data Pribadi (Badan PDP) Indonesia, KOMDIGI, atau — untuk pengguna di wilayah EEA — otoritas perlindungan data di negara tempat tinggal Anda (GDPR Art. 77).


10. Cookie & Teknologi Pelacak

Jenis CookieTujuanDapat Ditolak?
Cookie EsensialAutentikasi sesi, keamanan, fungsi dasar❌ Tidak
Cookie PreferensiMenyimpan preferensi bahasa dan tampilan✅ Ya
Cookie AnalitikMemahami cara Platform digunakan (agregat, anonim)✅ Ya
Cookie KeamananMendeteksi aktivitas mencurigakan dan bot❌ Tidak

Anda dapat mengatur preferensi cookie melalui spanduk cookie saat pertama kali mengakses Platform, pengaturan browser Anda, atau menu Pengaturan Privasi di dashboard. Kami menghormati sinyal Do Not Track (DNT) yang dikirimkan browser Anda.


11. Perlindungan Data Anak

Platform Tesor.id tidak ditujukan untuk individu di bawah usia 18 (delapan belas) tahun. Jika kami mengetahui telah mengumpulkan data pribadi dari anak di bawah umur tanpa persetujuan orang tua/wali yang sah, kami akan segera menghapus data tersebut dan memberitahu Perusahaan Pengguna yang bersangkutan. Perusahaan Pengguna bertanggung jawab memastikan seluruh Kandidat yang diundang berusia minimal 18 tahun.


12. Prosedur Notifikasi Kebocoran Data

Sesuai Pasal 46 UU PDP, jika terjadi pelanggaran keamanan yang memengaruhi Data Pribadi Anda:

JAM 0 → Insiden terdeteksi JAM 0–24 → Penilaian dampak & aktivasi tim respons insiden JAM 24–48 → Notifikasi kepada Perusahaan Pengguna yang terdampak JAM 48–72 → Laporan kepada regulator (KOMDIGI / Badan PDP) JAM 72+ → Notifikasi langsung kepada Kandidat jika risiko tinggi

Notifikasi akan mencakup jenis data yang terdampak, perkiraan jumlah individu yang terdampak, kemungkinan dampak dan risiko, langkah mitigasi yang telah dan akan kami ambil, serta cara Anda dapat melindungi diri.


13. Kebijakan Konten yang Diunggah

Perusahaan Pengguna bertanggung jawab bahwa konten yang diunggah ke Platform tidak melanggar hak kekayaan intelektual pihak ketiga, tidak mengandung informasi pribadi pihak ketiga tanpa izin, dan tidak bersifat diskriminatif atau melanggar hukum ketenagakerjaan. Tesor.id tidak mengklaim kepemilikan atas konten yang diunggah, namun mendapatkan lisensi terbatas untuk memprosesnya semata-mata demi keperluan penyediaan Layanan.


14. Perubahan Kebijakan Privasi

Kami dapat memperbarui Kebijakan Privasi ini secara berkala. Perubahan yang signifikan akan diberitahukan melalui email ke alamat terdaftar minimal 30 hari sebelum berlaku dan melalui spanduk notifikasi di dalam Platform. Versi-versi sebelumnya tersedia di halaman legal Platform.


15. Kontak & Data Protection Officer (DPO)

15.1 Data Protection Officer (DPO)

Sesuai prinsip akuntabilitas UU PDP, Tesor.id menunjuk Data Protection Officer (DPO) untuk menangani pertanyaan mengenai Kebijakan Privasi, permintaan hak subjek data, dan pelaporan kekhawatiran terkait privasi.

Data Protection Officer

PT Buana Cerdas Teknologi

Email: tesor.support@gmail.com

Waktu respons: Maksimal 5 hari kerja untuk konfirmasi penerimaan

15.2 Kontak Umum

PT Buana Cerdas Teknologi

Platform: tesor.id

Email: tesor.support@gmail.com

15.3 Pengajuan Pengaduan kepada Regulator

  • Di Indonesia: KOMDIGI (kominfo.go.id) atau Badan PDP (dalam proses pembentukan, target 2026)
  • Di Uni Eropa: Otoritas perlindungan data di negara tempat tinggal Anda (sesuai GDPR Art. 77)

16. Referensi Regulasi

RegulasiKeterangan
UU No. 27/2022Undang-Undang Pelindungan Data Pribadi (UU PDP), berlaku penuh sejak 17 Oktober 2024
UU No. 19/2016Undang-Undang Informasi dan Transaksi Elektronik (perubahan UU No. 11/2008)
PP No. 71/2019Penyelenggaraan Sistem dan Transaksi Elektronik
UU No. 13/2003Undang-Undang Ketenagakerjaan
GDPR (EU) 2016/679General Data Protection Regulation — referensi standar internasional terbaik
ISO/IEC 27001Standar manajemen keamanan informasi yang kami acu dalam operasional

Dokumen ini dibuat dalam Bahasa Indonesia sebagai bahasa resmi. Jika terdapat ketidaksesuaian antara versi terjemahan dan versi Bahasa Indonesia, versi Bahasa Indonesia yang berlaku.

Kebijakan Privasi ini berlaku sejak 1 Juni 2026 dan menggantikan semua versi sebelumnya.