💡 Ringkasan Kebijakan (Plain Language Summary)
Sebelum membaca versi lengkap, berikut intisari kebijakan kami:
- Kami mengumpulkan data Anda hanya untuk keperluan asesmen rekrutmen.
- Kami tidak menjual data Anda kepada pihak mana pun.
- Anda bisa meminta akses, koreksi, atau penghapusan data Anda kapan saja.
- Data Anda disimpan di server berlokasi di Singapura (akan dibuat cadangan di Indonesia).
- Data psikometri (hasil tes kepribadian) mendapat perlindungan ekstra.
- Jika terjadi kebocoran, kami wajib memberitahu Anda dalam 3 hari kerja.
- Data dihapus otomatis dalam 12–24 bulan setelah tes selesai.
1. Siapa Kami & Peran Kami dalam Perlindungan Data
1.1 Identitas Pengendali Data
PT Buana Cerdas Teknologi ("Tesor.id", "kami", "milik kami") adalah perusahaan teknologi yang mengoperasikan platform SaaS Tesor.id, beralamat di Indonesia. Tesor.id bertindak sebagai Pengendali Data Pribadi (Personal Data Controller) sebagaimana didefinisikan dalam:
- UU PDP Pasal 1 ayat (4): Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi
- GDPR Article 4(7): General Data Protection Regulation (EU) 2016/679
1.2 Kepada Siapa Kebijakan Ini Berlaku
Kebijakan Privasi ini berlaku untuk dua kelompok Pengguna dengan karakteristik yang berbeda:
| Kelompok | Deskripsi | Data yang Relevan |
|---|---|---|
| Perusahaan Pengguna (HRD) | Organisasi yang berlangganan Platform untuk keperluan rekrutmen | Data akun, data tagihan, log aktivitas |
| Kandidat | Individu yang mengikuti tes/asesmen melalui Platform | Data identitas, data tes, data psikometri |
1.3 Kerangka Regulasi yang Kami Ikuti
Kami berkomitmen mematuhi:
- UU PDP No. 27/2022 (berlaku penuh sejak 17 Oktober 2024)
- GDPR sebagai standar referensi internasional terbaik
- UU ITE No. 19/2016 dan perubahannya
- PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
2. Data Pribadi yang Kami Kumpulkan
2.1 Data yang Dikumpulkan dari Perusahaan Pengguna
Data Akun & Identifikasi Perusahaan:
- Nama perusahaan, jenis industri, dan skala bisnis
- Nama, jabatan, dan informasi kontak penanggung jawab (Person in Charge)
- Alamat email bisnis dan nomor telepon
- Nomor Induk Berusaha (NIB) atau NPWP (untuk verifikasi)
Data Operasional:
- Konfigurasi tes dan preferensi platform
- Log aktivitas akun (login, pembuatan tes, ekspor laporan)
- Data pembayaran dan riwayat transaksi (nomor kartu kredit tidak disimpan — diproses langsung oleh payment gateway tersertifikasi)
Data Teknis:
- Alamat IP dan informasi perangkat
- Jenis browser dan sistem operasi
- Preferensi bahasa dan zona waktu
2.2 Data yang Dikumpulkan dari Kandidat
A. Data Umum (General Personal Data)
Sesuai Pasal 4 ayat (1) UU PDP:
| Kategori | Data Spesifik |
|---|---|
| Identitas Dasar | Nama lengkap, alamat email, nomor telepon |
| Data Lokasi | Kota domisili (opsional, untuk pencocokan posisi) |
| Data Teknis | Alamat IP, browser, durasi pengerjaan tes, waktu akses |
B. Data Pribadi yang Bersifat Spesifik / Sensitif ⚠️
Sesuai Pasal 4 ayat (2) UU PDP — memerlukan perlindungan lebih ketat:
| Kategori | Data Spesifik | Dasar Pengumpulan |
|---|---|---|
| Data Kognitif | Skor kemampuan verbal, numerik, logis | Persetujuan eksplisit terpisah |
C. Data yang Secara Otomatis Dihasilkan Sistem
Selama sesi tes berlangsung, sistem kami secara otomatis merekam:
- Log integritas tes: Waktu mulai, selesai, dan jeda per soal
- Deteksi anomali: Pendeteksian perilaku tidak wajar (untuk tujuan anti-kecurangan, bukan pembuatan profil individual)
- Metadata sesi: Perangkat yang digunakan, koneksi internet, resolusi layar
2.3 Data yang TIDAK Kami Kumpulkan
Kami secara eksplisit tidak mengumpulkan:
- Nomor KTP/SIM/paspor (kecuali diminta secara spesifik oleh Perusahaan Pengguna dengan persetujuan terpisah)
- Rekaman audio atau video Kandidat
- Data media sosial dari platform pihak ketiga
- Data kesehatan atau kondisi medis
- Data keuangan pribadi Kandidat
- Informasi keluarga atau kontak darurat (kecuali diminta secara eksplisit untuk tujuan spesifik)
3. Dasar Hukum Pemrosesan Data
Kami tidak akan memproses Data Pribadi Anda tanpa dasar hukum yang sah. Berikut dasar hukum yang kami gunakan sesuai UU PDP dan GDPR:
| Dasar Hukum | UU PDP | GDPR | Situasi Penerapan |
|---|---|---|---|
| Persetujuan (Consent) | Pasal 20 | Art. 6(1)(a) | Pengumpulan data psikometri; pengiriman email pemasaran |
| Pelaksanaan Perjanjian | Pasal 21 | Art. 6(1)(b) | Penyediaan layanan platform kepada Perusahaan Pengguna |
| Kewajiban Hukum | Pasal 22 | Art. 6(1)(c) | Kepatuhan terhadap peraturan perpajakan, audit regulator |
| Kepentingan yang Sah | Pasal 24 | Art. 6(1)(f) | Keamanan platform, pencegahan penipuan, analitik agregat |
3.1 Pentingnya Persetujuan Kandidat
Sebelum memulai sesi tes, setiap Kandidat akan:
- Mendapatkan tampilan halaman informasi yang jelas mengenai data yang dikumpulkan
- Diminta memberikan persetujuan aktif melalui klik tombol konfirmasi (bukan kotak centang yang telah dicentang sebelumnya)
- Mendapatkan akses ke dokumen Kebijakan Privasi ini sebelum memberikan persetujuan
- Diberikan opsi untuk menolak tanpa diwajibkan memberikan alasan
Persetujuan dapat ditarik kembali kapan saja melalui mekanisme yang dijelaskan di Pasal 9 dokumen ini.
4. Tujuan Penggunaan Data
4.1 Data Perusahaan Pengguna digunakan untuk:
| Tujuan | Detail |
|---|---|
| Penyediaan Layanan | Mengaktifkan dan memelihara akun, memberikan akses ke fitur Platform |
| Tagihan & Pembayaran | Memproses transaksi berlangganan dan penerbitan faktur |
| Dukungan Teknis | Mendiagnosis masalah dan merespons permintaan bantuan |
| Komunikasi Produk | Mengirimkan pembaruan fitur, pemberitahuan penting, dan pembaruan kebijakan |
| Keamanan Platform | Mendeteksi dan mencegah akses tidak sah, penipuan, dan penyalahgunaan |
| Peningkatan Layanan | Analitik penggunaan platform secara agregat dan anonim |
4.2 Data Kandidat digunakan untuk:
| Tujuan | Detail | Dasar Hukum |
|---|---|---|
| Pelaksanaan Asesmen | Menyajikan soal, menyimpan jawaban, dan menghitung skor | Persetujuan + Perjanjian |
| Pembuatan Laporan | Menghasilkan laporan hasil asesmen untuk Perusahaan Pengguna | Persetujuan + Perjanjian |
| Integritas Tes | Mendeteksi kecurangan dan memastikan validitas hasil | Kepentingan yang Sah |
| Penyampaian Hasil | Mengirimkan notifikasi penyelesaian tes kepada Kandidat | Persetujuan |
| Peningkatan Kualitas Tes | Analisis statistik soal secara agregat dan anonim (bukan data individual) | Kepentingan yang Sah |
4.3 Batasan Tujuan yang Tegas
Data Kandidat tidak akan digunakan untuk:
- Pembuatan profil Kandidat di luar konteks rekrutmen posisi yang bersangkutan
- Keperluan pemasaran atau penelitian komersial tanpa persetujuan baru
- Berbagi dengan Perusahaan Pengguna lain di luar kontrak yang relevan
- Membuat keputusan otomatis yang berdampak hukum signifikan terhadap Kandidat tanpa intervensi manusia
5. Berbagi Data dengan Pihak Ketiga
5.1 Siapa yang Dapat Mengakses Data Anda
Kami tidak menjual Data Pribadi Anda kepada pihak mana pun. Data dapat dibagikan hanya dalam situasi berikut:
A. Perusahaan Pengguna
Hasil asesmen Kandidat dibagikan kepada Perusahaan Pengguna yang mengundang Kandidat tersebut. Kandidat memahami dan menyetujui hal ini sebagai tujuan utama penggunaan Platform.
B. Penyedia Infrastruktur & Teknologi (Sub-Prosesor)
| Kategori Vendor | Tujuan | Lokasi Data |
|---|---|---|
| Infrastruktur Cloud | Hosting dan penyimpanan basis data | Indonesia (prioritas) / Singapura |
| Payment Gateway | Pemrosesan pembayaran | Indonesia |
| Penyedia Layanan Email | Pengiriman notifikasi dan undangan tes | Indonesia / AS (dengan pengamanan) |
| Analitik | Analitik Platform secara agregat | UE / AS (data dianonimkan) |
Semua sub-prosesor terikat oleh perjanjian pemrosesan data yang memuat kewajiban perlindungan data yang setara dengan atau lebih ketat dari kebijakan ini.
C. Kewajiban Hukum
Kami dapat mengungkapkan data jika diwajibkan oleh perintah pengadilan, regulator yang berwenang (termasuk Badan Pelindungan Data Pribadi Indonesia), atau investigasi penegakan hukum yang sah. Kami akan berupaya memberitahu Anda sebelum pengungkapan dilakukan, kecuali jika dilarang oleh hukum.
D. Pengalihan Bisnis
Dalam hal merger, akuisisi, atau penjualan aset, Data Pribadi dapat dialihkan kepada entitas pengambil alih. Kami akan memberitahu Anda minimal 30 hari sebelum data Anda tunduk pada kebijakan privasi yang berbeda.
5.2 Yang Tidak Akan Kami Lakukan
- Menjual data Kandidat kepada pihak ketiga untuk tujuan komersial
- Membagikan data kepada Perusahaan Pengguna lain tanpa persetujuan
- Menggunakan data untuk keperluan iklan berbasis profil individual
- Membagikan data kepada lembaga pemerintah tanpa dasar hukum yang sah
6. Transfer Data Lintas Negara
6.1 Preferensi Penyimpanan Lokal
Tesor.id memprioritaskan penggunaan infrastruktur yang berlokasi di Indonesia untuk memenuhi ketentuan Pasal 56 UU PDP.
6.2 Jika Transfer Lintas Negara Diperlukan
Dalam situasi di mana data perlu diproses oleh sistem yang berlokasi di luar Indonesia, kami memastikan bahwa:
- Standar Perlindungan Setara: Negara tujuan memiliki regulasi perlindungan data yang setara, atau
- Perjanjian Kontraktual: Kami menerapkan klausul kontraktual standar (Standard Contractual Clauses / SCC), atau
- Sertifikasi: Vendor tujuan memiliki sertifikasi keamanan yang diakui (ISO 27001, SOC 2 Type II)
6.3 Daftar Negara Tujuan Transfer (jika berlaku)
| Negara | Tujuan | Pengamanan |
|---|---|---|
| Singapura | Cadangan infrastruktur | PDPA Singapura + DPA |
| Amerika Serikat | Penyedia layanan email tertentu | SCC + kerangka pengamanan yang berlaku |
| Uni Eropa | Vendor analitik (data anonim) | Kepatuhan GDPR |
6.4 Hak Anda Terkait Transfer Data
Anda berhak meminta informasi mengenai transfer data lintas negara yang memengaruhi data Anda dengan menghubungi kami di tesor.support@gmail.com.
7. Keamanan Data
7.1 Langkah-Langkah Teknis
Enkripsi:
- Data dalam perjalanan (in transit): enkripsi TLS 1.3
- Data tersimpan (at rest): enkripsi AES-256
- Data psikometri mendapatkan lapisan enkripsi tambahan dengan kunci terpisah
Kontrol Akses:
- Autentikasi multi-faktor (MFA) untuk akun Perusahaan Pengguna
- Prinsip least privilege — karyawan Tesor.id hanya mengakses data yang diperlukan untuk tugasnya
- Log akses data yang diaudit secara berkala
- Segmentasi jaringan antara basis data produksi dan lingkungan pengembangan
Infrastruktur:
- Firewall dan sistem deteksi intrusi (IDS/IPS)
- Pengujian penetrasi (penetration testing) minimal satu kali dalam setahun
- Program bug bounty untuk pelaporan kerentanan keamanan
7.2 Langkah-Langkah Organisasional
- Pelatihan Privasi: Seluruh karyawan yang menangani data mendapatkan pelatihan perlindungan data minimal satu kali dalam setahun
- Privacy by Design: Prinsip privasi diintegrasikan sejak tahap desain produk
- Penilaian Vendor: Evaluasi keamanan untuk semua vendor sebelum onboarding
- Dokumentasi Pemrosesan: Kami memelihara Record of Processing Activities (RoPA) sesuai prinsip akuntabilitas UU PDP
7.3 Batasan Keamanan
Tidak ada sistem keamanan yang sempurna. Kami berkomitmen merespons insiden keamanan secara cepat dan transparan.
8. Kebijakan Retensi (Penyimpanan) Data
8.1 Periode Retensi
| Jenis Data | Periode Retensi | Catatan |
|---|---|---|
| Data Akun Perusahaan Pengguna | Selama berlangganan + 90 hari | Masa tenggang untuk ekspor data |
| Data Umum Kandidat | 24 bulan sejak tes selesai | Atau lebih cepat atas permintaan |
| Data Psikometri Kandidat | 12 bulan sejak tes selesai | Dikategorikan sebagai data sensitif |
| Log Sistem & Keamanan | 12 bulan | Untuk keperluan jejak audit |
| Data Tagihan & Faktur | 10 tahun | Kewajiban perpajakan Indonesia |
| Email & Komunikasi | 3 tahun | Untuk keperluan penyelesaian sengketa |
8.2 Penghapusan Otomatis
Setelah periode retensi berakhir, data dihapus dari: (1) basis data produksi segera; (2) sistem cadangan dalam maksimal 30 hari; (3) log sistem sesuai jadwal rotasi.
8.3 Pengecualian Retensi
Data dapat disimpan lebih lama jika terdapat kewajiban hukum, sedang dalam proses penyelesaian sengketa, atau atas permintaan eksplisit dari Kandidat atau Perusahaan Pengguna.
9. Hak-Hak Anda sebagai Subjek Data
Berdasarkan UU PDP Pasal 26–35 dan GDPR Chapter III, Anda memiliki hak-hak berikut:
| Hak | Deskripsi | Cara Menggunakan | Waktu Respons |
|---|---|---|---|
| Hak Akses | Mendapatkan salinan data Anda yang kami simpan | Email atau melalui dashboard | 14 hari kerja |
| Hak Koreksi | Meminta perbaikan data yang tidak akurat | Dashboard atau email | 7 hari kerja |
| Hak Penghapusan | Meminta penghapusan data Anda (right to be forgotten) | Email dengan subjek "Data Deletion Request" | 30 hari kalender |
| Hak Pembatasan | Meminta pembatasan pemrosesan data selama ada sengketa | Email ke tim kami | 14 hari kerja |
| Hak Portabilitas | Mendapatkan data dalam format JSON/CSV | Fitur ekspor dashboard atau email | 14 hari kerja |
| Hak Menolak | Menolak pemrosesan berdasarkan kepentingan yang sah | Email ke tim kami | 14 hari kerja |
| Hak Penarikan Persetujuan | Menarik persetujuan yang telah diberikan | Tautan berhenti berlangganan atau email | Segera |
| Hak atas Keputusan Otomatis | Meminta tinjauan manusia atas keputusan otomatis | Email ke tim kami | 30 hari kerja |
9.2 Cara Mengajukan Permintaan
Melalui Platform: Login ke dashboard → Pengaturan Akun → Privasi & Data
Melalui Email: Kirim ke tesor.support@gmail.com dengan subjek: [HAK DATA] [Jenis Permintaan] - [Nama Anda]. Sertakan nama lengkap, alamat email terdaftar, dan deskripsi permintaan. Verifikasi identitas mungkin diperlukan.
9.3 Hak Mengajukan Pengaduan
Jika hak-hak Anda dilanggar, Anda berhak mengajukan pengaduan kepada Badan Pelindungan Data Pribadi (Badan PDP) Indonesia, KOMDIGI, atau — untuk pengguna di wilayah EEA — otoritas perlindungan data di negara tempat tinggal Anda (GDPR Art. 77).
10. Cookie & Teknologi Pelacak
| Jenis Cookie | Tujuan | Dapat Ditolak? |
|---|---|---|
| Cookie Esensial | Autentikasi sesi, keamanan, fungsi dasar | ❌ Tidak |
| Cookie Preferensi | Menyimpan preferensi bahasa dan tampilan | ✅ Ya |
| Cookie Analitik | Memahami cara Platform digunakan (agregat, anonim) | ✅ Ya |
| Cookie Keamanan | Mendeteksi aktivitas mencurigakan dan bot | ❌ Tidak |
Anda dapat mengatur preferensi cookie melalui spanduk cookie saat pertama kali mengakses Platform, pengaturan browser Anda, atau menu Pengaturan Privasi di dashboard. Kami menghormati sinyal Do Not Track (DNT) yang dikirimkan browser Anda.
11. Perlindungan Data Anak
Platform Tesor.id tidak ditujukan untuk individu di bawah usia 18 (delapan belas) tahun. Jika kami mengetahui telah mengumpulkan data pribadi dari anak di bawah umur tanpa persetujuan orang tua/wali yang sah, kami akan segera menghapus data tersebut dan memberitahu Perusahaan Pengguna yang bersangkutan. Perusahaan Pengguna bertanggung jawab memastikan seluruh Kandidat yang diundang berusia minimal 18 tahun.
12. Prosedur Notifikasi Kebocoran Data
Sesuai Pasal 46 UU PDP, jika terjadi pelanggaran keamanan yang memengaruhi Data Pribadi Anda:
Notifikasi akan mencakup jenis data yang terdampak, perkiraan jumlah individu yang terdampak, kemungkinan dampak dan risiko, langkah mitigasi yang telah dan akan kami ambil, serta cara Anda dapat melindungi diri.
13. Kebijakan Konten yang Diunggah
Perusahaan Pengguna bertanggung jawab bahwa konten yang diunggah ke Platform tidak melanggar hak kekayaan intelektual pihak ketiga, tidak mengandung informasi pribadi pihak ketiga tanpa izin, dan tidak bersifat diskriminatif atau melanggar hukum ketenagakerjaan. Tesor.id tidak mengklaim kepemilikan atas konten yang diunggah, namun mendapatkan lisensi terbatas untuk memprosesnya semata-mata demi keperluan penyediaan Layanan.
14. Perubahan Kebijakan Privasi
Kami dapat memperbarui Kebijakan Privasi ini secara berkala. Perubahan yang signifikan akan diberitahukan melalui email ke alamat terdaftar minimal 30 hari sebelum berlaku dan melalui spanduk notifikasi di dalam Platform. Versi-versi sebelumnya tersedia di halaman legal Platform.
15. Kontak & Data Protection Officer (DPO)
15.1 Data Protection Officer (DPO)
Sesuai prinsip akuntabilitas UU PDP, Tesor.id menunjuk Data Protection Officer (DPO) untuk menangani pertanyaan mengenai Kebijakan Privasi, permintaan hak subjek data, dan pelaporan kekhawatiran terkait privasi.
Data Protection Officer
PT Buana Cerdas Teknologi
Email: tesor.support@gmail.com
Waktu respons: Maksimal 5 hari kerja untuk konfirmasi penerimaan
15.2 Kontak Umum
15.3 Pengajuan Pengaduan kepada Regulator
- Di Indonesia: KOMDIGI (kominfo.go.id) atau Badan PDP (dalam proses pembentukan, target 2026)
- Di Uni Eropa: Otoritas perlindungan data di negara tempat tinggal Anda (sesuai GDPR Art. 77)
16. Referensi Regulasi
| Regulasi | Keterangan |
|---|---|
| UU No. 27/2022 | Undang-Undang Pelindungan Data Pribadi (UU PDP), berlaku penuh sejak 17 Oktober 2024 |
| UU No. 19/2016 | Undang-Undang Informasi dan Transaksi Elektronik (perubahan UU No. 11/2008) |
| PP No. 71/2019 | Penyelenggaraan Sistem dan Transaksi Elektronik |
| UU No. 13/2003 | Undang-Undang Ketenagakerjaan |
| GDPR (EU) 2016/679 | General Data Protection Regulation — referensi standar internasional terbaik |
| ISO/IEC 27001 | Standar manajemen keamanan informasi yang kami acu dalam operasional |
Dokumen ini dibuat dalam Bahasa Indonesia sebagai bahasa resmi. Jika terdapat ketidaksesuaian antara versi terjemahan dan versi Bahasa Indonesia, versi Bahasa Indonesia yang berlaku.
Kebijakan Privasi ini berlaku sejak 1 Juni 2026 dan menggantikan semua versi sebelumnya.