Privacy & Policy | AGLIFT HRIS

Berlaku efektif: 1 Januari 2025 | Terakhir diperbarui: 1 Januari 2025

PT Aglift Teknologi Indonesia ("Kami") berkomitmen untuk melindungi privasi dan keamanan data pribadi seluruh pengguna platform Aglift HRIS. Kebijakan Privasi ini menjelaskan bagaimana Kami mengumpulkan, menggunakan, menyimpan, melindungi, dan mengelola data pribadi Anda sesuai dengan ketentuan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) serta peraturan perundang-undangan terkait lainnya yang berlaku di Republik Indonesia.

1. Data Pribadi yang Kami Kumpulkan

Dalam rangka menyediakan layanan HRIS, Kami mengumpulkan dan memproses kategori data pribadi sebagai berikut:

1.1. Data Identitas Karyawan

Nama lengkap, tempat dan tanggal lahir, jenis kelamin, status perkawinan, kewarganegaraan, nomor induk kependudukan (NIK), nomor pokok wajib pajak (NPWP), nomor identitas karyawan, foto profil, alamat tempat tinggal, nomor telepon, dan alamat email.

1.2. Data Ketenagakerjaan

Jabatan, departemen, cabang, tanggal mulai bekerja, status kepegawaian, data kontrak kerja, riwayat mutasi dan promosi, data pelaporan hierarkis (reporting line), dan informasi terkait organisasi perusahaan.

1.3. Data Kehadiran dan Aktivitas Kerja

Waktu check-in dan check-out, koordinat lokasi GPS (latitude dan longitude) saat pencatatan kehadiran, foto selfie kehadiran, alamat IP perangkat, catatan kehadiran kunjungan kerja (visit attendance), serta catatan atau keterangan terkait.

1.4. Data Cuti dan Izin

Jenis dan saldo cuti, riwayat pengajuan dan persetujuan cuti, periode cuti, alasan pengajuan, serta dokumen pendukung yang diunggah.

1.5. Data Keuangan Terkait Ketenagakerjaan

Data klaim tunjangan (mobile allowance), pengajuan pinjaman (loan), nominal dan deskripsi klaim, serta informasi pembayaran terkait.

1.6. Data Teknis dan Log Sistem

Alamat IP, jenis perangkat dan browser, zona waktu, log aktivitas pengguna dalam sistem, serta data autentikasi termasuk token reset kata sandi.

1.7. Data Komunikasi

Pesan yang dikirim melalui fitur kontak dukungan (contact support), termasuk subjek dan isi pesan.

2. Dasar Hukum Pemrosesan Data

Kami memproses data pribadi Anda berdasarkan dasar hukum berikut sesuai UU PDP:

a) Persetujuan — Anda memberikan persetujuan pada saat mendaftar dan menggunakan Platform;
b) Pelaksanaan Perjanjian — Pemrosesan diperlukan untuk pelaksanaan perjanjian layanan antara Klien dengan Kami;
c) Kewajiban Hukum — Pemrosesan diperlukan untuk memenuhi kewajiban hukum, termasuk peraturan ketenagakerjaan dan perpajakan;
d) Kepentingan Sah (Legitimate Interest) — Pemrosesan diperlukan untuk tujuan operasional, peningkatan layanan, dan keamanan Platform.

3. Tujuan Penggunaan Data

Data pribadi yang dikumpulkan digunakan untuk tujuan-tujuan berikut:

a) Menyediakan, mengoperasikan, dan memelihara layanan Platform;
b) Memverifikasi identitas dan mengelola akses pengguna;
c) Mencatat dan memvalidasi kehadiran karyawan, termasuk verifikasi lokasi dan foto selfie;
d) Memproses pengajuan cuti, izin, klaim, pinjaman, dan alur persetujuan (approval workflow);
e) Menghasilkan laporan analitik HR untuk keperluan manajemen Klien;
f) Mengelola kontrak kerja dan memberikan notifikasi terkait masa berlaku kontrak;
g) Menyediakan layanan dukungan teknis dan merespons pertanyaan Pengguna;
h) Mengirimkan pemberitahuan sistem, pengumuman, dan informasi terkait layanan;
i) Memastikan keamanan dan integritas Platform serta mencegah penyalahgunaan;
j) Mematuhi kewajiban hukum dan regulasi yang berlaku.

4. Data Lokasi dan Biometrik

4.1. Platform mengumpulkan data koordinat GPS saat Pengguna melakukan pencatatan kehadiran. Data lokasi ini digunakan secara eksklusif untuk memvalidasi posisi Pengguna terhadap lokasi kerja yang telah ditentukan (geofencing) dan tidak digunakan untuk pelacakan berkelanjutan di luar konteks pencatatan kehadiran.

4.2. Foto selfie kehadiran dikumpulkan sebagai bukti verifikasi kehadiran. Foto tersebut disimpan secara aman dan hanya dapat diakses oleh personel yang berwenang dalam organisasi Klien.

4.3. Pengumpulan data lokasi dan foto selfie dilakukan berdasarkan persetujuan Pengguna dan kebijakan ketenagakerjaan yang ditetapkan oleh Klien selaku pemberi kerja.

5. Penyimpanan dan Keamanan Data

5.1. Data pribadi disimpan pada infrastruktur cloud yang terletak di wilayah Republik Indonesia dan/atau di pusat data yang memenuhi standar keamanan internasional.

5.2. Kami menerapkan langkah-langkah keamanan teknis dan organisasi yang sesuai, meliputi:

a) Enkripsi data saat transmisi (TLS/SSL) dan penyimpanan (encryption at rest);
b) Kontrol akses berbasis peran (role-based access control) dengan prinsip least privilege;
c) Autentikasi yang aman dan hashing kata sandi menggunakan algoritma bcrypt;
d) Pencatatan log audit untuk seluruh aktivitas kritis dalam sistem;
e) Pemantauan keamanan berkelanjutan dan deteksi ancaman;
f) Pencadangan data berkala (regular backup) dengan prosedur pemulihan bencana;
g) Pelatihan keamanan informasi bagi personel Kami yang memiliki akses terhadap data.

5.3. Meskipun Kami telah menerapkan langkah-langkah keamanan yang wajar, tidak ada sistem yang sepenuhnya kebal terhadap risiko keamanan. Kami akan segera memberitahukan Pengguna dan/atau Klien yang terdampak apabila terjadi insiden kebocoran data sesuai dengan ketentuan UU PDP.

6. Masa Retensi Data

6.1. Data pribadi disimpan selama masa berlangganan Klien aktif dan selama diperlukan untuk memenuhi tujuan yang telah ditetapkan dalam kebijakan ini.

6.2. Setelah pengakhiran layanan, data Klien akan disimpan selama 30 (tiga puluh) hari kalender untuk keperluan pengunduhan dan migrasi data. Setelah periode tersebut, data akan dihapus secara permanen dan tidak dapat dipulihkan.

6.3. Data tertentu dapat disimpan lebih lama apabila diwajibkan oleh peraturan perundang-undangan yang berlaku, termasuk kewajiban penyimpanan arsip ketenagakerjaan dan perpajakan.

7. Pembagian dan Pengungkapan Data

7.1. Kami tidak menjual, menyewakan, atau memperdagangkan data pribadi Pengguna kepada pihak ketiga untuk tujuan komersial.

7.2. Data pribadi dapat dibagikan atau diungkapkan kepada pihak-pihak berikut dalam keadaan tertentu:

a) Klien (Pemberi Kerja) — Administrator dan personel HR yang berwenang dalam organisasi Klien dapat mengakses data karyawan sesuai dengan peran dan kewenangan yang ditetapkan;
b) Penyedia Layanan Pihak Ketiga — Penyedia infrastruktur cloud, layanan email, dan layanan pendukung teknis lainnya yang terikat oleh perjanjian pemrosesan data dan kewajiban kerahasiaan;
c) Otoritas Pemerintah — Apabila diwajibkan oleh hukum, perintah pengadilan, atau permintaan resmi dari instansi pemerintah yang berwenang;
d) Penasihat Profesional — Penasihat hukum, auditor, atau konsultan profesional yang terikat oleh kewajiban kerahasiaan.

7.3. Dalam hal terjadi penggabungan, akuisisi, atau restrukturisasi perusahaan, data pribadi dapat dialihkan kepada entitas penerus dengan tetap menjaga tingkat perlindungan yang setara.

8. Hak Subjek Data

Sesuai dengan UU PDP, Anda memiliki hak-hak berikut terkait data pribadi Anda:

a) Hak Akses — Memperoleh informasi mengenai data pribadi Anda yang Kami proses;
b) Hak Perbaikan — Meminta perbaikan atau pembaruan atas data pribadi yang tidak akurat atau tidak lengkap;
c) Hak Penghapusan — Meminta penghapusan data pribadi Anda, dengan mempertimbangkan kewajiban hukum dan kepentingan sah yang berlaku;
d) Hak Pembatasan — Meminta pembatasan pemrosesan data pribadi Anda dalam keadaan tertentu;
e) Hak Portabilitas — Memperoleh salinan data pribadi Anda dalam format yang umum digunakan dan dapat dibaca mesin;
f) Hak Keberatan — Mengajukan keberatan atas pemrosesan data pribadi Anda;
g) Hak Penarikan Persetujuan — Menarik kembali persetujuan yang telah diberikan untuk pemrosesan data tertentu.

Untuk melaksanakan hak-hak tersebut, silakan menghubungi Kami melalui kontak yang tercantum pada bagian akhir kebijakan ini. Permohonan akan diproses dalam jangka waktu 14 (empat belas) hari kerja setelah verifikasi identitas pemohon.

Catatan: Untuk karyawan, pelaksanaan hak-hak tertentu (seperti penghapusan dan keberatan) dapat dipengaruhi oleh kebijakan ketenagakerjaan Klien selaku pemberi kerja serta kewajiban hukum yang berlaku.

9. Cookie dan Teknologi Pelacakan

9.1. Platform menggunakan cookie dan teknologi serupa yang diperlukan untuk:

a) Menjaga sesi autentikasi Pengguna;
b) Menyimpan preferensi pengaturan Pengguna;
c) Memastikan keamanan dan mencegah aktivitas penipuan.

9.2. Kami menggunakan cookie teknis yang bersifat esensial untuk operasional Platform. Kami tidak menggunakan cookie pelacakan pihak ketiga untuk tujuan periklanan atau profiling.

10. Transfer Data Lintas Batas

10.1. Pada prinsipnya, data pribadi diproses dan disimpan di wilayah Republik Indonesia.

10.2. Apabila terdapat kebutuhan untuk mentransfer data ke luar wilayah Indonesia (misalnya untuk keperluan infrastruktur cloud cadangan), transfer tersebut hanya akan dilakukan ke yurisdiksi yang memberikan tingkat perlindungan data yang setara atau lebih tinggi, atau berdasarkan perjanjian yang memuat klausul perlindungan data yang memadai sesuai ketentuan UU PDP.

11. Perlindungan Data Anak

Platform ini tidak ditujukan untuk digunakan oleh individu yang berusia di bawah 18 (delapan belas) tahun. Kami tidak secara sengaja mengumpulkan data pribadi dari anak-anak. Apabila Kami mengetahui bahwa data anak telah terkumpul secara tidak sengaja, Kami akan segera menghapus data tersebut.

12. Tanggung Jawab Klien sebagai Pengendali Data

12.1. Dalam konteks hubungan ketenagakerjaan, Klien bertindak sebagai Pengendali Data Pribadi dan Kami bertindak sebagai Prosesor Data Pribadi sesuai definisi dalam UU PDP.

12.2. Klien bertanggung jawab untuk:

a) Memperoleh persetujuan yang sah dari karyawannya untuk pemrosesan data melalui Platform;
b) Memastikan kepatuhan terhadap kebijakan privasi internal perusahaan dan peraturan ketenagakerjaan yang berlaku;
c) Mengelola hak akses pengguna dalam organisasinya secara bertanggung jawab.

13. Insiden Keamanan Data

13.1. Dalam hal terjadi insiden kebocoran data pribadi, Kami akan:

a) Mengambil tindakan segera untuk mengurangi dampak dan mencegah perluasan insiden;
b) Memberitahukan Klien yang terdampak dalam waktu 3 x 24 jam setelah insiden teridentifikasi;
c) Menyampaikan pemberitahuan kepada lembaga pengawas yang berwenang sesuai ketentuan UU PDP;
d) Menyediakan informasi yang diperlukan kepada subjek data yang terdampak.

14. Perubahan Kebijakan Privasi

Kami dapat memperbarui Kebijakan Privasi ini secara berkala untuk mencerminkan perubahan dalam praktik pengelolaan data atau peraturan yang berlaku. Perubahan material akan diinformasikan melalui pemberitahuan dalam Platform atau email minimal 14 (empat belas) hari sebelum berlaku efektif. Versi terbaru Kebijakan Privasi ini akan selalu tersedia melalui Platform.

15. Kontak Petugas Pelindungan Data

Untuk pertanyaan, permintaan, atau keluhan terkait pemrosesan data pribadi Anda, silakan hubungi:

Petugas Pelindungan Data Pribadi (DPO)
PT Aglift Teknologi Indonesia
Email: privacy@aglift.com
Email Alternatif: dpo@aglift.com
Website: www.aglift.com

Dengan menggunakan Aglift HRIS, Anda menyatakan bahwa Anda telah membaca, memahami, dan menyetujui Kebijakan Privasi yang tertuang dalam dokumen ini.