### Kebijakan Privasi Sistem Indonesia PQMS

#### 1. Pendahuluan

Kebijakan Privasi ini menjelaskan bagaimana situs web PQMS dan aplikasi mobile (selanjutnya disebut "Layanan") mengumpulkan, menggunakan, menyimpan, dan melindungi informasi pribadi Anda. Kami berkomitmen untuk melindungi privasi Anda dan mematuhi undang-undang perlindungan data Indonesia, termasuk Undang-Undang Perlindungan Data Pribadi.

Kebijakan ini berlaku untuk pengguna aplikasi mobile (PPK, Contractor, Consultant) dan pengguna web (PPK, BINTEK & Direktorat, BBPJN & BPJN).

---

#### 2. Informasi yang Kami Kumpulkan

**2.1 Informasi Akun**

Layanan mengumpulkan informasi akun berikut:

* Informasi akun: Nama, alamat email, nomor WhatsApp, departemen, posisi
* Data autentikasi: Kredensial login, ID pengguna, kode akun
* Informasi kerja: Penugasan proyek konstruksi, peran (PPK, Contractor, Consultant, BINTEK & Direktorat, BBPJN & BPJN)

**2.2 Informasi Teknis**

Informasi yang dapat dikumpulkan di web dan mobile:

* Informasi perangkat (termasuk model perangkat, versi OS, informasi browser web, informasi cookie)
* Data penggunaan (halaman yang dikunjungi, catatan penggunaan fitur, log klik, log kesalahan)
* Informasi jaringan (alamat IP, jenis jaringan, status koneksi)

Item tambahan terkait layanan web:

* Cookie sesi dan cookie keamanan
* Pengaturan browser, pengaturan bahasa

**2.3 Data Lokasi (Hanya Aplikasi Mobile)**

* Koordinat GPS: Dikumpulkan saat mencatat data suhu dan inti
* Lokasi dikumpulkan dalam kasus berikut: Mengambil foto, mengunggah data kontrol kualitas

**2.4 File Media (Terutama Penggunaan Mobile)**

* Foto: Gambar yang diambil untuk dokumentasi kontrol kualitas
* Metadata foto: Informasi lokasi, timestamp

**2.5 Data Kontrol Kualitas**

* Pengukuran suhu (Produksi, Kedatangan, Pemasangan, Pemadatan)
* Data inti (ketebalan, hasil uji)
* Informasi proyek konstruksi
* Informasi segmen

---

#### 3. Cara Kami Menggunakan Informasi Anda

Layanan menggunakan informasi yang dikumpulkan untuk tujuan berikut:

**3.1 Penyediaan Layanan**

* Manajemen autentikasi dan kontrol akses pengguna
* Menyediakan fungsionalitas layanan web/mobile (penayangan data, pencatatan, pengunggahan)
* Menyediakan mode offline (mobile)
* Pembaruan sistem dan notifikasi pengumuman

**3.2 Manajemen Data**

* Menyimpan data kontrol kualitas dalam database yang aman
* Menghasilkan laporan dan analisis kontrol kualitas
* Mempertahankan integritas data

**3.3 Komunikasi**

* Notifikasi tentang pengunggahan data, persetujuan, perubahan sistem
* Menanggapi permintaan dukungan pengguna

**3.4 Kepatuhan Hukum**

* Mematuhi peraturan pemerintah Indonesia
* Mempertahankan catatan audit
* Memproses permintaan hukum

---

#### 4. Dasar Hukum Pengumpulan dan Pemrosesan Data Pribadi

Layanan ini mengumpulkan dan memproses data pribadi berdasarkan dasar hukum berikut:

* **Pelaksanaan Kontrak**: Pelaksanaan kontrak untuk penyediaan layanan
* **Kewajiban Hukum**: Kepatuhan terhadap peraturan dan undang-undang pemerintah Indonesia
* **Kepentingan Sah**: Peningkatan layanan dan peningkatan keamanan
* **Persetujuan**: Persetujuan eksplisit dari subjek data

---

#### 5. Penyimpanan dan Keamanan Data

**5.1 Penyimpanan Data**

* Semua data disimpan di server yang aman yang berlokasi di region GCP Indonesia.
* Semua foto dan data sensitif yang ditransmisikan dienkripsi.
* Data disimpan dan diproses hanya di dalam perbatasan Indonesia.

**5.2 Tindakan Keamanan**

* **Enkripsi**: Enkripsi data berbasis HTTPS/TLS (dalam perjalanan dan saat istirahat)
* **Kontrol Akses**: Kontrol akses berbasis peran (RBAC)
* **Perlindungan Akun**: Kata sandi aman dan penyimpanan kredensial terenkripsi
* **Patch Rutin**: Pembaruan keamanan server dan aplikasi
* **Pemantauan**: Deteksi akses tidak sah dan pencatatan log audit

**5.3 Kebijakan Retensi Data**

* **Data Akun Aktif**: Dipertahankan selama akun dipertahankan, dihapus dalam 30 hari setelah penghapusan akun
* **Data Kontrol Kualitas**: Dipertahankan minimal 5 tahun setelah penyelesaian proyek sesuai dengan persyaratan pemerintah
* **Penyelesaian Proyek**: Beberapa data dapat dihapus secara permanen dan aman
* **Persyaratan Hukum**: Retensi jangka panjang mungkin dimungkinkan jika diwajibkan oleh persyaratan hukum
* **Setelah Berakhir**: Dihancurkan dengan aman tanpa penundaan setelah tujuan tercapai

---

#### 6. Berbagi dan Pengungkapan Data

**6.1 Tidak Ada Penjualan kepada Pihak Ketiga**

Kami tidak menjual atau menyewakan informasi pribadi kepada pihak ketiga.

**6.2 Berbagi yang Diberikan Otorisasi**

Berbagi terjadi hanya dalam situasi berikut, dengan persetujuan eksplisit atau dasar hukum untuk setiap kasus:

* **Pejabat pemerintah yang berwenang dari proyek konstruksi yang sama**
  - Tujuan: Manajemen proyek dan kolaborasi kontrol kualitas
  - Ruang lingkup: Hanya data terkait proyek
  
* **Administrator sistem (untuk tujuan dukungan teknis)**
  - Tujuan: Pemeliharaan sistem dan dukungan teknis
  - Ruang lingkup: Hanya data minimum yang diperlukan untuk resolusi masalah teknis
  
* **Lembaga hukum (ketika kewajiban hukum timbul)**
  - Tujuan: Kepatuhan terhadap permintaan hukum atau perintah pengadilan
  - Ruang lingkup: Hanya dalam ruang lingkup yang ditentukan dalam permintaan hukum

**6.3 Penyedia Layanan Pihak Ketiga**

Penyedia layanan pihak ketiga berikut dapat digunakan untuk operasi layanan:

* **Google Cloud Platform (GCP)**: Penyimpanan dan hosting data
  - Lokasi: Region Indonesia
  - Keamanan: Mematuhi standar keamanan GCP
  
* **Firebase**: Layanan notifikasi push
  - Data: Hanya token notifikasi dan pengidentifikasi perangkat
  - Keamanan: Mematuhi kebijakan keamanan Firebase

**6.4 Data Agregat**

Data analitik yang dianonimkan dapat digunakan untuk tujuan peningkatan sistem. Data ini tidak dapat mengidentifikasi pengguna individu.

---

#### 7. Hak Anda

Di bawah Undang-Undang Perlindungan Data Pribadi Indonesia, Anda memiliki hak berikut:

**7.1 Hak Akses**
* Anda dapat meminta akses ke informasi pribadi Anda.
* Informasi akan diberikan dalam 30 hari setelah permintaan.

**7.2 Hak Koreksi**
* Anda dapat meminta koreksi informasi yang tidak akurat atau tidak lengkap.
* Permintaan koreksi akan diproses segera.

**7.3 Hak Penghapusan**
* Anda dapat meminta penghapusan informasi pribadi dalam kasus berikut:
  - Ketika tujuan pengumpulan telah tercapai atau tidak lagi diperlukan
  - Ketika persetujuan ditarik
  - Ketika data telah diproses secara tidak sah
* Namun, penghapusan dapat dibatasi jika retensi diperlukan oleh kewajiban hukum atau persyaratan pemerintah.

**7.4 Hak Portabilitas Data**
* Anda dapat menerima informasi pribadi Anda dalam format yang dapat dibaca mesin.
* Akan diberikan dalam 30 hari setelah permintaan.

**7.5 Hak Membatasi Pemrosesan**
* Anda dapat meminta pembatasan pemrosesan informasi pribadi dalam situasi tertentu.

**7.6 Hak Keberatan**
* Anda dapat menolak aktivitas pemrosesan tertentu.
* Setelah keberatan, aktivitas pemrosesan akan ditangguhkan dan ditinjau.

**7.7 Hak Menarik Persetujuan**
* Anda dapat menarik persetujuan kapan saja.
* Penarikan persetujuan tidak mempengaruhi validitas aktivitas pemrosesan sebelum penarikan.
* Beberapa layanan mungkin dibatasi setelah penarikan persetujuan.

**7.8 Cara Menggunakan Hak Anda**
* Anda dapat menggunakan hak Anda melalui metode berikut:
  - Email: atmacsdev@gmail.com
  - Departemen: Lembaga Penelitian Teknologi
* Prosedur verifikasi identitas akan dilakukan saat permintaan.
* Periode pemrosesan permintaan: Dalam 30 hari kerja
* Jika permintaan ditolak, alasan akan ditentukan dan diberitahu.

---

#### 8. Data Lokasi (Saat Menggunakan Aplikasi Mobile)

**8.1 Tujuan Pengumpulan**

* Mencatat lokasi data kontrol kualitas
* Memverifikasi keaslian data dan mencegah penipuan
* Menyediakan fitur berbasis peta

**8.2 Metode Penggunaan**

* Lokasi dikumpulkan hanya ketika menggunakan fitur yang membutuhkannya.
* Beberapa fitur mungkin terbatas jika lokasi dinonaktifkan.

---

#### 9. Data Foto dan Media

* Foto digunakan untuk catatan kontrol kualitas.
* Setiap foto hanya dapat dilihat oleh pengguna yang berwenang terkait dengan proyek.
* Tidak digunakan untuk tujuan lain.

---

#### 10. Fitur Notifikasi (Aplikasi Mobile)

* Menyediakan notifikasi untuk acara utama seperti pengunggahan data suhu.
* Notifikasi dapat dikontrol di pengaturan perangkat.

---

#### 11. Mode Offline (Aplikasi Mobile)

* Data dapat disimpan secara lokal dan disinkronkan ketika koneksi internet dipulihkan.
* Pengguna dapat menghapus data lokal kapan saja.

---

#### 12. Privasi Anak

Layanan ini tidak dimaksudkan untuk individu di bawah 18 tahun dan tidak secara sengaja mengumpulkan informasi dari anak-anak.

---

#### 12. Transfer Data Internasional

**12.1 Lokasi Penyimpanan Data**
* Semua data disimpan dan diproses hanya di dalam perbatasan Indonesia (region GCP Indonesia).
* Kami saat ini tidak mentransfer informasi pribadi ke luar Indonesia.

**12.2 Transfer Internasional di Masa Depan**
* Jika menjadi perlu untuk mentransfer data ke luar Indonesia di masa depan:
  - Negara penerima harus menerapkan tingkat perlindungan data yang setara atau lebih tinggi.
  - Persetujuan eksplisit dari subjek data harus diperoleh.
  - Tindakan perlindungan yang tepat (kewajiban kontraktual, klausul kontraktual standar, dll.) harus ada.
  - Pengguna akan diberitahu dan persetujuan diperoleh sebelum transfer.

---

#### 13. Notifikasi Pelanggaran Data

**13.1 Kewajiban Notifikasi**
* Dalam hal pelanggaran data, kami akan mengambil langkah-langkah berikut sesuai dengan Undang-Undang Perlindungan Data Pribadi Indonesia:
  - **Notifikasi Otoritas**: Memberitahu otoritas terkait dalam 72 jam setelah terjadinya pelanggaran
  - **Notifikasi Korban**: Memberitahu individu yang terkena dampak segera setelah terjadinya pelanggaran
  - **Konten Notifikasi**: Sifat pelanggaran, data yang terkena dampak, risiko potensial, langkah-langkah yang diambil, dll.

**13.2 Tindakan Respons**
* Setelah terjadinya pelanggaran, kami akan segera mengambil langkah-langkah berikut:
  - Mengidentifikasi dan memblokir penyebab pelanggaran
  - Memperkuat keamanan untuk mencegah pelanggaran tambahan
  - Mengambil langkah-langkah untuk meminimalkan kerusakan
  - Melakukan investigasi pelanggaran dan menyiapkan laporan

---

#### 14. Pengambilan Keputusan Otomatis

**14.1 Penggunaan Pengambilan Keputusan Otomatis**
* Layanan ini tidak menggunakan pengambilan keputusan otomatis (termasuk profiling).
* Semua keputusan dibuat melalui intervensi manusia.

**14.2 Perubahan di Masa Depan**
* Jika pengambilan keputusan otomatis diperkenalkan di masa depan:
  - Pengguna akan diberitahu terlebih dahulu
  - Persetujuan eksplisit akan diperoleh
  - Prosedur untuk keberatan dan tinjauan manual akan disediakan

---

#### 15. Cookie dan Teknologi Pelacakan (Layanan Web)

**15.1 Penggunaan Cookie dan Sesi**
* Layanan web menggunakan cookie dan sesi untuk tujuan berikut:
  - Manajemen sesi: Mempertahankan status login
  - Keamanan: Autentikasi melalui cookie keamanan
  - Peningkatan fungsionalitas: Menyimpan pengaturan pengguna

**15.2 Manajemen Cookie**
* Pengguna dapat mengelola cookie melalui pengaturan browser.
* Cookie esensial diperlukan untuk penyediaan layanan, dan beberapa fitur mungkin dibatasi jika dinonaktifkan.

---

#### 16. Petugas Perlindungan Data (DPO)

**16.1 Penunjukan DPO**
* Layanan ini telah menunjuk Petugas Perlindungan Data (DPO) untuk mengawasi perlindungan informasi pribadi.

**16.2 Informasi Kontak DPO**
* **Email**: atmacsdev@gmail.com
* **Departemen**: Lembaga Penelitian Teknologi
* **Peran**: Menangani pertanyaan dan permintaan terkait perlindungan informasi pribadi dan penggunaan hak

---

#### 17. Hubungi Kami

Untuk pertanyaan mengenai data pribadi, silakan hubungi:

* **Email**: [atmacsdev@gmail.com](mailto:atmacsdev@gmail.com)
* **Departemen**: Lembaga Penelitian Teknologi
* **Petugas Perlindungan Data (DPO)**: Sama seperti di atas

---

#### 18. Standar Kepatuhan

Kebijakan ini mematuhi undang-undang dan peraturan berikut:

* **Undang-Undang Perlindungan Data Pribadi Indonesia** (Undang-Undang Perlindungan Data Pribadi, UU No. 27 Tahun 2022)
* **Undang-Undang Informasi dan Transaksi Elektronik Indonesia** (Undang-Undang Informasi dan Transaksi Elektronik, UU ITE)
* **Peraturan Keamanan Informasi Pemerintah Indonesia**
* **Praktik terbaik perlindungan informasi pribadi yang diakui secara internasional** (GDPR, dll.)

---

#### 19. Notifikasi Perubahan Kebijakan

**19.1 Notifikasi Perubahan**
* Ketika kebijakan ini diubah:
  - Perubahan akan diumumkan di situs web dan aplikasi.
  - Perubahan utama dapat diberitahu melalui email.
  - Perubahan akan berlaku efektif 30 hari setelah pengumuman.

**19.2 Persetujuan terhadap Perubahan**
* Jika Anda tidak setuju dengan kebijakan yang diubah, Anda dapat menghentikan penggunaan layanan.
* Penggunaan layanan yang berkelanjutan setelah perubahan merupakan penerimaan terhadap kebijakan yang diubah.