KEBIJAKAN PRIVASI

(PRIVACY POLICY)

PT BANK BUMI ARTA Tbk.

Pernyataan Privasi

PT Bank Bumi Arta Tbk (“BBA”) senantiasa berkomitmen untuk melindungi dan menjaga informasi/data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik (“Data Pribadi”) dari Nasabah dengan menerapkan standar dan strategi pelindungan privasi terbaik, sesuai dengan Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi                    (“UU PDP”), peraturan turunannya, dan peraturan perundang-undangan lain yang relevan.

Anda dapat mengakses secara penuh Kebijakan Privasi BBA pada halaman ini untuk membantu Anda memahami secara lebih baik bagaimana kami melakukan pemrosesan Data Pribadi Anda (“Kebijakan Privasi”) dengan tetap memperhatikan prinsip-prinsip pemrosesan Data Pribadi sesuai dengan peraturan perundang-undangan yang berlaku. Kebijakan Privasi ini berlaku untuk seluruh Data Pribadi yang diperoleh dan diproses oleh  BBA, baik secara langsung dari Anda maupun dari pihak-pihak yang bekerjasama dengan BBA (“Pihak Ketiga”) dalam rangka, namun tidak terbatas pada, pemanfaatan, penggunaan, dan/atau pengembangan layanan, fasilitas, dan/atau produk Perbankan, sesuai dengan peraturan perundang-undangan tentang Perbankan dan peraturan lainnya yang relevan. Kebijakan Privasi ini juga berlaku bagi Anda yang mengunjungi laman (website) BBA, aplikasi yang disediakan oleh BBA, dan saluran Sistem Elektronik lainnya yang dikelola oleh BBA.

Kebijakan Privasi ini tidak berlaku terhadap layanan, fasilitas, produk, laman, aplikasi, dan saluran Sistem Elektronik yang dimiliki dan dikelola oleh Pihak Ketiga. Layanan, fasilitas, produk, laman, aplikasi, dan saluran Sistem Elektronik yang dikelola oleh Pihak Ketiga akan tunduk pada Kebijakan Privasi Pihak Ketiga terkait. BBA tidak bertanggungjawab dan tidak memiliki afiliasi maupun pengaruh dalam bentuk apapun terhadap isi ataupun kebijakan pelindungan privasi Pihak Ketiga.

Penggunaan istilah dalam huruf besar (kapital) memiliki pengertian yang sama sesuai dengan UU PDP dan peraturan perundang-undangan terkait lainnya, kecuali dinyatakan dan dijelaskan secara tersendiri di dalam Kebijakan Privasi ini dan kebijakan BBA lainnya.

Prinsip Pelindungan Data Pribadi di BBA

BBA, yang terdiri dari kantor pusat, kantor cabang, kantor cabang pembantu, dan kantor fungsional BBA, adalah Pengendali Data Pribadi sebagaimana diatur dalam UU PDP, yang menjalankan fungsi Perbankan sesuai dengan peraturan perundang-undangan yang berlaku.

Sebagai Pengendali Data Pribadi,  BBA dapat melakukan kerja sama dengan Pihak Ketiga, baik sebagai Pengendali Data Pribadi bersama maupun sebagai Prosesor Data Pribadi dalam rangka melakukan pemrosesan dan/atau sub-pemrosesan Data Pribadi. Selain itu, BBA juga dapat bekerjasama dengan Pemroses Data Pribadi yang memproses Data Pribadi atas nama dan perintah BBA

Dalam melakukan pemrosesan Data Pribadi, BBA selalu memperhatikan prinsip-prinsip pelindungan Data Pribadi sebagai berikut:

1. Pemrosesan Data Pribadi nasabah, calon nasabah, penerima manfaat, pemilik manfaat, penerima santunan tertanggung, pegawai, dan/atau individu terkait lainnya (“Subjek Data Pribadi”) dilakukan secara terbatas dan spesifik, sah secara hukum, dan transparan;
2. Pemrosesan Data Pribadi dilakukan sesuai dengan tujuannya;
3. Pemrosesan Data Pribadi dilakukan dengan menjamin hak-hak Subjek Data Pribadi;
4. Pemrosesan Data Pribadi dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan;
5. Pemrosesan Data Pribadi dilakukan dengan melindungi keamanan Data Pribadi dari pengaksesan yang tidak sah, pengungkapan yang tidak sah, pengubahan yang tidak sah, penyalahgunaan, perusakan, dan/atau penghilangan Data Pribadi;
6. Pemrosesan Data Pribadi dilakukan dengan memberitahukan tujuan dan aktivitas pemrosesan, serta kegagalan Pelindungan Data Pribadi;
7. Data Pribadi tentang Subjek Data Pribadi dimusnahkan dan/atau dihapus setelah masa retensi berakhir atau berdasarkan permintaan Subjek Data Pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan; dan
8. Pemrosesan Data Pribadi dilakukan secara bertanggung jawab dan dapat dibuktikan secara jelas.

Pembaruan Kebijakan Privasi

BBA dapat sewaktu-waktu, tanpa terlebih dahulu mendapatkan persetujuan Subjek Data Pribadi, melakukan pembaruan Kebijakan Privasi Perusahaan. Dalam hal terdapat pembaruan Kebijakan Privasi, BBA akan memberitahukan Subjek Data Pribadi melalui media dan/atau sarana komunikasi yang tersedia.

Dalam hal terdapat pembaruan Kebijakan Privasi, maka kebijakan pelindungan Data Pribadi yang digunakan adalah sebagaimana tercantum dalam Kebijakan Privasi yang paling baru, dan Kebijakan Privasi versi sebelumnya dinyatakan tidak berlaku.

Tujuan Pemrosesan Data Pribadi

BBA memproses Data Pribadi tentang Subjek Data Pribadi sesuai dengan UU PDP dan/atau peraturan pelaksanaannya yang terkait. Pemrosesan Data Pribadi yang dilakukan BBA mencakup pemerolehan dan pengumpulan, pengolahan dan penganalisisan, penyimpanan, perbaikan dan pembaruan, penampilan, pengumuman, transfer, penyebarluasan, atau pengungkapan, dan/atau penghapusan atau pemusnahan Data Pribadi (“Pemrosesan”).

Secara umum, Pemrosesan Data Pribadi oleh BBA dilakukan dengan tujuan yang mencakup (“Tujuan Pemrosesan”):

1. Penyelenggaraan layanan Perbankan sebagaimana yang diatur di dalam peraturan perundang-undangan yang berlaku;
2. Penyelenggaraan kegiatan operasional komersil dan bisnis Perusahaan sebagaimana yang diatur di dalam peraturan perundang-undangan yang berlaku;
3. Kerja sama dengan Pihak Ketiga;
4. Penyelenggaraan rekrutmen pegawai dan penyelenggaran lain sehubungan dengan kepegawaian Perusahaan, termasuk namun tidak terbatas pada pelatihan pegawai, peningkatan kinerja pegawai, dan/atau pelaksanaan hubungan dan/atau manfaat ketenagakerjaan;
5. Merespon perintah pengadilan dan/atau proses hukum, termasuk namun tidak terbatas pada menjalankan kewajiban peraturan perundang-undangan;
6. Melakukan audit dan uji tuntas terhadap Pihak Ketiga;
7. Melakukan peningkatan infrastruktur sehubungan dengan layanan pelanggan, pegawai, dan/atau Perusahaan sehubungan dengan penyelenggaraan layanan Perbankan dan/atau kegiatan komersil lainnya sesuai dengan peraturan perundang-undangan;
8. Melaksanakan kepatuhan terhadap ketentuan hukum yang berlaku termasuk namun tidak terbatas pada Anti Pencucian Uang, Pencegahan Pendanaan Terorisme, Dan Pencegahan Pendanaan Proliferasi Senjata Pemusnah Massal (APPU-PPT dan PPPSPM);
9. Penyelenggaraan kegiatan non-komersil Perusahaan sebagaimana yang diatur dalam peraturan perundang-undangan yang berlaku, termasuk namun tidak terbatas pada, kegiatan tanggung jawab sosial perusahaan (corporate social responsibility); dan/atau
10. Kegiatan pemrosesan lainnya yang relevan dan dianggap perlu sesuai dengan peraturan perundang-undangan.

Jenis dan Relevansi Data Pribadi

BBA memproses Data Pribadi, baik yang bersifat umum maupun spesifik, untuk setiap Tujuan Pemrosesan, dengan memperhatikan prinsip-prinsip pelindungan Data Pribadi sesuai dengan UU PDP.

Data Pribadi yang diproses mencakup:

1. Nama, nomor telepon, alamat email, alamat tempat tinggal, alamat korespondensi, tempat dan tanggal lahir;
2. Jenis kelamin, agama, tanda tangan, foto, kewarganegaraan, pekerjaan, status perkawinan, informasi latar belakang pendidikan;
3. Informasi kartu identitas resmi yang berlaku, termasuk namun tidak terbatas pada KTP, paspor, KITAS dan/atau KITAP;
4. Informasi perpajakan atau imigrasi seperti Nomor Pokok Wajib Pajak (NPWP)/Tax Identification Number (TIN), dan data pada dokumen kemigrasian;
5. Informasi tentang individu yang terkait dengan Subjek Data Pribadi, termasuk namun tidak terbatas pada keluarga, mitra, dan rekanan;
6. Informasi kartu jaminan kesehatan dan kartu jaminan ketenagakerjaan sesuai dengan peraturan perundang-undangan;
7. Informasi  SKCK, lisensi berkendaraan dan/atau yang setara dengan itu;
8. Informasi keuangan, pembayaran, pendapatan, perbankan, transaksi keuangan;
9. Informasi kesehatan, riwayat kesehatan, risiko kesehatan;
10. Informasi tentang cookies dan catatan kunjungan pada halaman website dan/atau aplikasi Sistem Elektronik lain yang dikelola oleh BBA, baik sehubungan dengan layanan pelanggan maupun kepegawaian;
11. Informasi tentang properti, aset, dan/atau bukti dan/atau akta kepemililikan lainnya yang terkait dengan Subjek Data Pribadi;
12. Informasi tentang catatan kriminal dan pelanggaran;
13. Data biometrik, termasuk namun tidak terbatas pada face recognition, sidik jari;
14. Informasi aktivitas digital, termasuk tapi tidak terbatas pada geolokasi, alamat IP, aktivitas Subjek Data Pribadi di kanal online BBA.
15. Informasi tentang Data Pribadi lainnya yang diperlukan secara wajar sehubungan dengan penyelanggaraan layanan dan/atau penyediaan produk Perusahaan terhadap Subjek Data Pribadi.

Dasar Hukum Pemrosesan Data Pribadi

Untuk setiap Tujuan Pemrosesan Data Pribadi, BBA memproses Data Pribadi dengan menetapkan dasar-dasar pemrosesan sebagai berikut:

1. Pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan BBA berdasarkan peraturan perundang-undangan.

BBA dapat melakukan pemrosesan Data Pribadi dalam rangka penyelenggaraan Perbankan sesuai dengan kewenangan yang diperintahkan dan diatur dalam peraturan perundang-undangan tentang Perbankan dan peraturan lainnya yang relevan, surat keputusan kementerian/lembaga terkait, dan peraturan perundang-undangan lainnya yang relevan.

2. Persetujuan yang sah secara eksplisit dari Subjek Data Pribadi.

Sehubungan dengan penyelenggaraan kegiatan non-komersil dan pemasaran layanan dan/atau produk Perusahaan, BBA dapat melakukan pemrosesan atas Data Pribadi berdasarkan persetujuan dari Subjek Data Pribadi. Apabila BBA menggunakan dasar hukum persetujuan, maka Subjek Data Pribadi dapat sewaktu-waktu menarik kembali persetujuannya.

3. Pemenuhan kewajiban perjanjian.

BBA dapat mengadakan perjanjian dengan Subjek Data Pribadi untuk memenuhi kewajiban perjanjian antara BBA dan Subjek Data Pribadi atau untuk memenuhi permintaan Subjek Data Pribadi. Sehubungan dengan hal ini, apabila pemrosesan Data Pribadi diperlukan oleh BBA dalam rangka pelaksanaan pemenuhan kewajiban perjanjian yang disepakati sebelumnya, maka BBA dapat menggunakan dasar pemrosesan ini.

4. Pemenuhan kewajiban hukum BBA sesuai dengan ketentuan peraturan perundang-undangan.

BBA memproses Data Pribadi sehubungan dengan pemenuhan kewajiban hukum Perusahaan yang diperintahkan sesuai dengan peraturan perundang-undangan yang berlaku, termasuk namun tidak terbatas pada menanggapi perintah pengadilan, proses hukum, dan/atau kewajiban yang didasarkan pada kewenangan badan pemerintah manapun, sesuai dengan peraturan perundang-undangan.

5. Pemenuhan pelindungan kepentingan vital Subjek Data Pribadi.

Dalam keadaan darurat tertentu yang mengancam hidup, tubuh, fisik, aset dan/atau properti Subjek Data Pribadi, BBA dapat memproses Data Pribadi dengan dasar pemenuhan pelindungan kepentingan vital selaku Subjek Data Pribadi.

6. Pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan BBA, Subjek Data Pribadi.

BBA memiliki kepentingan bisnis dan komersil yang sah untuk memproses Data Pribadi Subjek Data Pribadi sehubungan dengan peningkatan layanan dan pelaksanaan kegiatan operasional Perusahaan secara efektif.

Hak-hak Subjek Data Pribadi

Subjek Data Pribadi memiliki hak terhadap Data Pribadi sesuai dengan UU PDP, peraturan perundang-undangan lainnya, dan kebijakan internal yang ditetapkan oleh BBA dengan memperhatikan dasar hukum pemrosesan Data Pribadi, termasuk ketentuan tentang pengecualian sesuai dengan peraturan perundang-undangan. Hak-hak Subjek Data Pribadi yang dimaksud mencakup (“Hak Subjek Data”):

1. Hak untuk mendapatkan Informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan Data Pribadi, dan akuntabilitas pihak yang meminta Data Pribadi;
2. Hak untuk melengkapi, memperbarui, dan/atau memperbaiki kesalahan dan/atau ketidakakuratan Data Pribadi sesuai dengan Tujuan Pemrosesan Data Pribadi;
3. Hak untuk mendapatkan akses dan memperoleh salinan Data Pribadi tentang Subjek Data Pribadi sesuai dengan ketentuan perundang-undangan;
4. Hak untuk mengakhiri pemrosesan, menghapus, dan/atau memusnahkan Data Pribadi sesuai dengan peraturan perundang-undangan yang berlaku;
5. Hak untuk menarik kembali persetujuan pemrosesan Data Pribadi;
6. Hak untuk mengajukan keberatan atas tindakan pengambilan keputusan yang hanya didasarkan pada pemrosesan secara otomatis, termasuk pemrofilan, sesuai dengan peraturan perundang-undangan yang berlaku;
7. Hak untuk menunda atau membatasi pemrosesan Data Pribadi secara proporsional sesuai Tujuan Pemrosesan Data Pribadi;
8. Hak untuk menggugat dan menerima ganti rugi atas pelanggaran pemrosesan Data Pribadi sesuai dengan peraturan perundang-undangan yang berlaku; dan/atau
9. Hak atas portabilitas data;

Permintan penundaan atau pembatasan, pengakhiran, dan/atau penarikan persetujuan atas pemrosesan Data Pribadi dan/atau penghapusan dan/atau pemusnahan Data Pribadi oleh Subjek Data Pribadi dapat mempengaruhi kemampuan BBA untuk menyediakan produk, layanan, dan jasa kepada Subjek Data Pribadi, termasuk dapat mengakibatkan terhentinya layanan BBA kepada Subjek Data Pribadi.

Untuk memastikan pelaksanakan Hak Subjek Data Pribadi dilakukan secara efektif dan sesuai dengan peraturan perundang-undangan, BBA dapat menetapkan kebijakan tentang mekanisme dan prosedur permohonan Hak Subjek Data Pribadi. Subjek Data Pribadi dapat mengajukan permohonan melalui kontak berikut ini:

email : dpo@bankbba.co.id

BBA berhak menolak permohonan hak yang diajukan oleh Subjek Data Pribadi dengan alasan-alasan yang telah ditetapkan sesuai dengan UU PDP dan peraturan perundang-undangan lain yang relevan.

Jangka Waktu Pemrosesan, Penyimpanan, dan Retensi Data Pribadi

BBA dapat memproses Data Pribadi sepanjang diperlukan dan proporsional untuk mencapai Tujuan Pemrosesan. Sehubungan dengan pelaksanaan Tujuan Pemrosesan,  BBA melakukan penyimpanan Data Pribadi secara bertanggung jawab, dengan memperhatikan keamanan dan kerahasiaan Data Pribadi, baik secara non-elektronik maupun elektronik.

Data Pribadi yang tidak diperlukan lagi untuk mencapai Tujuan Pemrosesan akan disimpan selama jangka waktu retensi yang diatur sesuai dengan peraturan perundang-undangan.

Data Pribadi yang diproses oleh BBA akan dihapus apabila telah lewat jangka waktu retensi dan/atau terdapat permintaan penghapusan dan/atau pemusnahan oleh Subjek Data Pribadi. Dalam hal BBA bekerjasama dengan Prosesor Data Pribadi, BBA memastikan Data Pribadi untuk dihapus dan/atau dimusnahkan oleh Prosesor Data Pribadi. BBA mungkin dapat menyimpan Data Pribadi lebih lama dari batas waktu yang ditentukan jika hal tersebut diperlukan untuk kebutuhan hukum, membantu mendeteksi kejahatan keuangan, menjawab permintaan regulator atau aparat yang berwenang, dan hal lainnya.

Pengambilan Keputusan yang Didasarkan pada Pemrosesan secara Otomatis

BBA dapat melakukan pemrosesan Data Pribadi dengan didasarkan pada alat pemrosesan secara otomatis, mencakup namun tidak terbatas pada kegiatan pemrofilan. Sehubungan dengan pemrosesan Data Pribadi dengan alat pemrosesan secara otomatis, Subjek Data Pribadi dapat mengajukan keberatan terhadap kegiatan pengambilan keputusan BBA yang didasarkan hanya pada pemrosesan secara otomatis.

Transfer dan Pengungkapan Data Pribadi

BBA dapat mentransfer dan/atau mengungkapkan Data Pribadi tentang Subjek Data Pribadi kepada Prosesor Data Pribadi, Pengendali Data Pribadi lainnya, dan/atau Pihak Ketiga lainnya yang bekerjasama dengan BBA untuk mencapai Tujuan Pemrosesan yang telah ditetapkan, termasuk transfer dan/atau pengungkapan Data Pribadi ke Negara Lain, sesuai dengan UU PDP dan peraturan pelaksanaannya yang terkait.

Langkah-langkah Keamanan Data Pribadi

Untuk setiap aktivitas pemrosesan Data Pribadi, BBA menerapkan langkah-langkah teknis dan organisasional sesuai dengan peraturan perundang-undangan dan kebijakan Perusahaan untuk memastikan keamanan dan kerahasiaan Data Pribadi.

Kegiatan Pemasaran

Apabila Subjek Data Pribadi telah memberikan persetujuan terhadap Data Pribadi-nya untuk diproses oleh BBA dengan tujuan pemasaran, maka BBA akan memproses Data Pribadi tersebut sesuai dengan tujuan pemasaran, termasuk namun tidak terbatas pada, promosi layanan dan/atau produk, informasi penyelenggaraan kegiatan non-komersil, dan aktivitas pemasaran lainnya yang relevan sesuai dengan peraturan perundang-undangan.

Subjek Data Pribadi dapat meminta untuk tidak menerima materi promosi dan/atau pemasaran dari BBA Sehubungan dengan hal ini, BBA akan menghentikan dan/atau tidak memproses Data Pribadi Subjek Data Pribadi untuk tujuan pemasaran. Permintaan penarikan persetujuan dan/atau penghentian pemasaran dapat dilakukan melalui narahubung sebagai berikut:

Kontak : dpo@bankbba.co.id

Kontak Pejabat Pelindungan Data Pribadi

Subjek Data Pribadi dapat mengirimkan pertanyaan, keluhan, konfirmasi, atau lainnya terkait dengan bagaimana BBA memproses dan/atau melindungi Data Pribadi dengan mengirimkan email ke alamat : dpo@bankbba.co.id.