Dasar Rujukan Hukum dan Kepatuhan
Dokumen ini disusun sebagai pedoman kepatuhan layanan BINA WARGA untuk mendukung penggunaan platform yang tertib, aman, dan sesuai ketentuan peraturan perundang-undangan yang berlaku.
| Rujukan | Pokok Pengaturan yang Relevan |
|---|---|
| UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi | Asas, jenis data pribadi, hak subjek data, pemrosesan data, kewajiban pengendali/prosesor, transfer data, sanksi administratif, larangan, dan ketentuan pidana. |
| PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik | Kewajiban penyelenggaraan sistem elektronik yang andal, aman, bertanggung jawab, dan sesuai ketentuan sistem elektronik. |
| Permenkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik | Perlindungan pada proses perolehan, pengumpulan, pengolahan, penyimpanan, penampilan, pengiriman, penyebarluasan, dan pemusnahan data pribadi. |
| UU No. 1 Tahun 2024 tentang Perubahan Kedua UU ITE | Penguatan ketentuan informasi dan transaksi elektronik yang relevan dengan penyelenggaraan layanan digital. |
Prinsip Perlindungan Data
Pembatasan tujuan pemrosesan.
Minimalisasi data yang dikumpulkan.
Akurasi dan pembaruan data.
Keamanan sistem dan administratif.
Pembatasan akses berbasis role/wilayah.
Audit dan akuntabilitas.
Retensi sesuai kebutuhan.
Penghapusan atau anonimisasi bila tidak diperlukan.
Klasifikasi Data
| Klasifikasi | Contoh | Perlakuan |
|---|---|---|
| Publik | Informasi umum aplikasi, harga, fitur, halaman informasi layanan. | Boleh tampil tanpa login. |
| Internal | Portal Layanan pondasi, informasi contoh, status sistem terbatas. | Tidak untuk data warga. |
| Terbatas | Nama warga, alamat, nomor HP, email. | Wajib login dan role. |
| Sangat Terbatas | NIK, KK, dokumen surat, pengaduan sensitif. | Akses minimum, audit, dan pembatasan ketat. |
| Rahasia Sistem | Kredensial pengguna, sesi akses, konfigurasi sistem, konfigurasi rahasia. | Tidak boleh tampil ke publik atau log umum. |
Kontrol Operasional Minimum
- HTTPS wajib aktif di domain produksi.
- Kata sandi wajib disimpan dengan standar keamanan yang kuat dan tidak boleh disimpan dalam bentuk teks biasa.
- Sesi akses harus memiliki masa berlaku dan perlindungan dari penyalahgunaan.
- Akses data warga wajib memakai autentikasi dan otorisasi.
- Validasi input dan sanitasi output wajib diterapkan.
- Audit log wajib disiapkan untuk login, perubahan data, penghapusan, ekspor, dan akses data sensitif.
- Cadangan data harus dilindungi akses dan tidak boleh dibuka publik.
- Konfigurasi rahasia sistem tidak boleh ditampilkan kepada publik atau pihak yang tidak berwenang.
Kontrol Administratif
- Penunjukan admin wilayah harus berdasarkan kewenangan resmi.
- Admin desa/RW/RT wajib menjaga kerahasiaan akun.
- Pergantian pengurus harus diikuti perubahan akses.
- Permintaan data dari pihak luar harus diverifikasi.
- Pelatihan dasar privasi perlu diberikan kepada admin wilayah.
- Insiden data harus dicatat, diinvestigasi, dan ditindaklanjuti.
Penanganan Insiden Keamanan
- Isolasi akses atau akses layanan yang berisiko.
- Identifikasi data, akun, dan wilayah yang terdampak.
- Amankan catatan sistem, cadangan data, dan bukti pendukung.
- Pulihkan layanan dengan langkah perbaikan yang aman.
- Berikan pemberitahuan kepada pihak terkait sesuai kebutuhan dan ketentuan hukum.
- Lakukan evaluasi agar insiden tidak terulang.
Ketentuan Wajib Perlindungan Data
Data pribadi warga hanya dapat diakses melalui sistem yang memiliki autentikasi, otorisasi berbasis peran, dan pembatasan wilayah sesuai kewenangan pengguna. Data seperti NIK, nomor KK, alamat lengkap, nomor HP, email, dokumen surat, dan riwayat pengaduan wajib dibatasi dengan autentikasi, otorisasi peran, dan pencatatan akses.
Informasi umum layanan dapat ditampilkan kepada publik sepanjang tidak memuat data pribadi yang bersifat terbatas.
Data warga wajib ditempatkan pada area layanan yang dilindungi autentikasi.
Akses data pribadi wajib memakai mekanisme keamanan yang sah.
Akses admin harus sesuai wilayah dan jabatan.
Aktivitas penting wajib dicatat dalam audit log.
Permintaan penghapusan/koreksi data wajib diverifikasi.