Pemberitahuan UU PDP Pelindungan Data Pribadi

Last updated: 06 May 2026

Pemberitahuan ini menjelaskan bagaimana PT UNIT GLOBAL SYSTEM memproses data pribadi berdasarkan Undang-Undang Pelindungan Data Pribadi Indonesia (Undang-Undang Nomor 27 Tahun 2022, "UU PDP"). Pemberitahuan ini bersifat khusus Indonesia dan melengkapi Kebijakan Privasi umum kami, yang mengatasi GDPR dan kerangka yurisdiksi lainnya. Apabila terjadi konflik terkait subjek data Indonesia, pemberitahuan ini berlaku.

1. Pengendali Data Pribadi

Pengendali Data Pribadi adalah PT UNIT GLOBAL SYSTEM, perseroan terbatas yang didirikan berdasarkan hukum Republik Indonesia. Kantor terdaftar: Menara Cakrawala Lt. 12 Unit 05A, Jl. M.H. Thamrin, Kelurahan Kebon Sirih, Kecamatan Menteng, Kota Administrasi Jakarta Pusat, Provinsi DKI Jakarta 10340, Republik Indonesia. Identifikasi pajak (NPWP): 22.709.627.8-021.000. Identifikasi usaha (NIB): 2511240128903.

Untuk segala hal yang menyangkut pemrosesan data pribadi subjek data Indonesia, titik kontak utama pengendali adalah Petugas Pelindungan Data.

2. Petugas Pelindungan Data (Pasal 53 UU PDP)

UnitPay telah menunjuk Petugas Pelindungan Data (DPO) sesuai Pasal 53 UU PDP. Putusan Mahkamah Konstitusi Juli 2025 menegaskan kewajiban penunjukan DPO bagi organisasi yang memenuhi kriteria berdasarkan undang-undang.

DPO dapat dihubungi di dpo@unitpay.net. DPO mengawasi kepatuhan terhadap UU PDP, memberi nasihat tentang penilaian dampak pelindungan data, bertindak sebagai titik kontak bagi subjek data yang menggunakan haknya, dan berhubungan dengan Otoritas Pelindungan Data Pribadi Republik Indonesia.

3. Kategori data pribadi yang diproses

UnitPay memproses kategori data pribadi berikut:

  • Data identifikasi: nama lengkap, tempat dan tanggal lahir, kewarganegaraan, nomor KTP (penduduk Indonesia) atau nomor paspor (penduduk asing), foto, dan hash template biometrik yang berasal dari pemeriksaan kehidupan KYC.
  • Data kontak: alamat email, nomor telepon, alamat pos.
  • Data keuangan: nomor rekening bank (rekening settlement merchant), riwayat tingkat transaksi, token metode pembayaran, catatan pengembalian dana dan chargeback.
  • Data perilaku dan teknis: waktu login, alamat IP, sidik jari perangkat, aktivitas sesi, sinyal deteksi fraud.
  • Artefak KYC: citra dokumen identitas pada saat verifikasi (selanjutnya disimpan sebagai template hash dan metadata verifikasi, bukan sebagai citra persisten), laporan penyaringan AML, ajudikasi kecocokan sanksi dan PEP.

4. Dasar hukum (Pasal 20 UU PDP)

Pemrosesan bertumpu pada dasar hukum yang ditetapkan dalam Pasal 20 UU PDP:

  • Kebutuhan kontraktual: penyediaan layanan pembayaran kepada merchant, penyelesaian dana, tanggapan dukungan pelanggan.
  • Kewajiban hukum: tugas KYC dan AML berdasarkan Bank Indonesia, OJK, PPATK, dan UU TPPU; penanganan pengaduan berdasarkan POJK 18/2018; kewajiban perpajakan.
  • Kepentingan yang sah: pencegahan fraud, keamanan transaksi, keamanan jaringan dan informasi, pembelaan klaim hukum.
  • Persetujuan: analitik cookie dan komunikasi pemasaran opsional. Persetujuan diberikan dengan sukarela, terinformasi, spesifik, dan dapat dicabut kapan saja tanpa memengaruhi keabsahan pemrosesan yang dilakukan sebelum pencabutan.

5. Hak Subjek Data (Pasal 5 sampai 15 UU PDP)

Subjek data yang data pribadinya diproses oleh UnitPay memiliki hak yang ditetapkan dalam Pasal 5 sampai 15 UU PDP:

  • Hak atas informasi tentang pemrosesan (Pasal 5).
  • Hak akses atas data pribadi yang sedang diproses (Pasal 6).
  • Hak untuk memperbarui atau memperbaiki data pribadi yang tidak akurat (Pasal 8).
  • Hak penghapusan data pribadi (Pasal 9), tunduk pada kewajiban hukum untuk menyimpan.
  • Hak pembatasan pemrosesan (Pasal 10).
  • Hak portabilitas data apabila secara teknis layak (Pasal 11).
  • Hak keberatan terhadap pemrosesan (Pasal 12).
  • Hak untuk mencabut persetujuan kapan saja (Pasal 13), tanpa merugikan keabsahan sebelum pencabutan.
  • Hak untuk mengajukan pengaduan, termasuk kepada Otoritas Pelindungan Data Pribadi (Pasal 15).

Hak digunakan dengan mengirim email ke dpo@unitpay.net dengan baris subjek "DSR request" dan deskripsi hak yang dipanggil. Kami menanggapi dalam jadwal yang disyaratkan oleh UU PDP dan peraturan pelaksana yang berlaku, umumnya dalam tiga puluh hari, dengan perpanjangan dikomunikasikan secara tertulis apabila kompleksitas mengharuskan.

6. Periode retensi

Retensi ditetapkan berdasarkan kategori, menyeimbangkan kebutuhan operasional, kewajiban kontraktual, dan periode yang diwajibkan oleh hukum Indonesia.

  • Dokumentasi KYC dan berkas kasus AML: lima tahun setelah hubungan merchant berakhir, sesuai Pasal 21 UU TPPU dan panduan PPATK.
  • Catatan transaksi: tujuh tahun, sesuai persyaratan jejak audit Bank Indonesia.
  • Catatan persetujuan cookie: satu tahun secara bergulir atau hingga persetujuan diubah.
  • Daftar email pemasaran: dihapus dua puluh empat bulan setelah interaksi terakhir; UnitPay saat ini tidak mengoperasikan daftar pemasaran aktif.
  • Catatan pengaduan dan sengketa: tujuh tahun sejak penutupan kasus, sesuai POJK 18/2018.
  • Log keamanan dan audit: tujuh tahun dalam penyimpanan immutable.

7. Keamanan data (Pasal 39 UU PDP)

UnitPay memelihara langkah organisasional dan teknis yang sesuai dengan risiko pemrosesan, sesuai Pasal 39 UU PDP. Langkah meliputi enkripsi dalam pengiriman (TLS 1.2 atau lebih tinggi), enkripsi dalam penyimpanan (AWS KMS dengan kunci yang dikelola pelanggan di ap-southeast-3), kontrol akses berbasis peran yang ketat dengan otentikasi multi-faktor, pencatatan audit, uji tuntas vendor, dan pelatihan staf. Detail ditetapkan dalam Kebijakan Keamanan kami.

Petugas Pelindungan Data mengawasi agar langkah-langkah tersebut tetap sebanding dengan risiko dan ditinjau tahunan. Celah material diremediasi sesuai prosedur respons insiden keamanan.

8. Pemberitahuan pelanggaran (Pasal 46 UU PDP)

Apabila pelanggaran data pribadi memenuhi ambang Pasal 46 UU PDP, UnitPay memberitahukan kepada Otoritas Pelindungan Data Pribadi Republik Indonesia dan kepada subjek data terdampak dalam tiga kali dua puluh empat jam (3 x 24 jam) sejak penentuan pelanggaran yang dikonfirmasi.

Konten pemberitahuan meliputi: kategori data pribadi yang terdampak, perkiraan dampak terhadap subjek data, langkah mitigasi segera yang diambil, langkah lebih lanjut yang direncanakan, dan detail kontak Petugas Pelindungan Data untuk informasi lebih lanjut. Catatan pelanggaran dan pemberitahuan disimpan sebagai bagian dari jejak audit.

9. Transfer internasional (Pasal 56 UU PDP)

Pemrosesan utama dilakukan di Indonesia, di kawasan Asia Pacific Jakarta (ap-southeast-3) penyedia infrastruktur kami Amazon Web Services. Transfer terbatas ke penyedia layanan tertentu dilakukan untuk tujuan yang ditetapkan di bawah ini:

  • Vendor KYC (Didit): verifikasi identitas dan kehidupan biometrik; ditransfer di bawah kerangka General Data Protection Regulation Uni Eropa, memberikan adekuasi sesuai Pasal 56(1)(a) UU PDP.
  • Vendor AML dan pemantauan berkelanjutan: penyaringan sanksi, PEP, dan adverse media, di yurisdiksi tier-1 (Inggris atau Uni Eropa); transfer bertumpu pada penilaian perlindungan setara-atau-lebih-tinggi sesuai Pasal 56(1)(a) UU PDP.
  • Infrastruktur cloud (Amazon Web Services): beban kerja utama di Indonesia (ap-southeast-3); alur dukungan terbatas dapat melibatkan staf AWS di luar Indonesia berdasarkan AWS Data Processing Addendum dan kontrol ISO 27018.

Setiap yurisdiksi penerima dinilai pada onboarding vendor untuk adekuasi sesuai Pasal 56 UU PDP. Apabila adekuasi tidak ditetapkan, transfer berlanjut hanya atas dasar pengaman kontraktual yang mengikat atau persetujuan eksplisit subjek data, sesuai Pasal 56(1)(b) dan (c).

10. Data anak

Layanan UnitPay tidak ditujukan kepada anak di bawah usia 18 tahun dan kami tidak dengan sengaja mengumpulkan data pribadi dari anak. Merchant menjamin dalam Perjanjian Layanan mereka bahwa mereka mengarahkan hanya pelanggan dengan kapasitas dewasa yang sah ke checkout yang terintegrasi dengan UnitPay. Apabila kami menyadari bahwa data pribadi anak telah diproses tanpa persetujuan yang sesuai, kami menghapus data tersebut tunduk pada kewajiban retensi hukum dan memberitahukan kepada pihak yang relevan.

11. Pengaduan kepada Otoritas Pelindungan Data Pribadi

Subjek data yang meyakini bahwa pemrosesan data pribadi mereka oleh UnitPay melanggar UU PDP berhak untuk mengajukan pengaduan kepada Otoritas Pelindungan Data Pribadi Republik Indonesia. Pengaduan tersebut dapat diajukan selain, dan tanpa mengurangi, pengaduan internal apa pun yang ditujukan kepada DPO atau ke kanal pengaduan konsumen kami.

Kami mendorong subjek data untuk menghubungi DPO terlebih dahulu, baik karena kami mungkin dapat menyelesaikan persoalan secara langsung maupun untuk memastikan bahwa otoritas dapat membangun di atas pertukaran sebelumnya yang terdokumentasi.

Tanggal efektif: 06 May 2026