Dokumen Hukum
Kebijakan Privasi
Terakhir diperbarui: 13 Mei 2026 · Berlaku efektif: 13 Mei 2026
Kebijakan Privasi ini disusun sesuai dengan Undang-Undang Republik Indonesia Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi ("UU PDP") dan Undang-Undang Nomor 11 Tahun 2008 jo. UU No. 19/2016 jo. UU No. 1/2024 tentang Informasi dan Transaksi Elektronik ("UU ITE") beserta peraturan pelaksananya. Kebijakan ini menjelaskan bagaimana PAVLO mengumpulkan, memproses, menggunakan, melindungi, dan membagikan Data Pribadi Anda.
1. Pendahuluan
PAVLO adalah platform sistem informasi sumber daya manusia (HRIS) yang menyediakan layanan pengelolaan rekrutmen, kontrak kerja, payroll, BPJS, PPh 21, invoicing klien, dan pelaporan untuk perusahaan outsourcing di Indonesia. Dalam menyediakan layanan tersebut, kami memproses sejumlah besar Data Pribadi karyawan, kandidat, PIC klien, dan pengguna lainnya.
Kami berkomitmen untuk melindungi Data Pribadi Anda sesuai prinsip-prinsip yang diatur dalam UU PDP, yaitu: pengumpulan terbatas, pemrosesan sesuai tujuan, akurasi, integritas dan kerahasiaan, serta akuntabilitas.
2. Identitas Pengendali Data
Sesuai Pasal 1 angka 4 UU PDP, terdapat dua peran dalam pemrosesan data di platform PAVLO:
- Pengendali Data Pribadi (Data Controller): Tenant (perusahaan outsourcing yang berlangganan PAVLO) bertindak sebagai pengendali atas Data Pribadi karyawan, kandidat, dan PIC klien yang dimasukkan ke dalam sistem. Tenant menentukan tujuan dan cara pemrosesan.
- Pemroses Data Pribadi (Data Processor): PAVLO bertindak sebagai pemroses yang memproses data atas instruksi Tenant, sesuai perjanjian berlangganan dan Kebijakan ini.
Untuk data Anda yang berinteraksi langsung dengan PAVLO sebagai pengunjung publik atau saat pendaftaran (mis. nama perusahaan, email kontak), PAVLO bertindak sebagai Pengendali Data Pribadi.
3. Jenis Data Pribadi yang Dikumpulkan
Sesuai dengan Pasal 4 UU PDP, kami membedakan Data Pribadi umum dan spesifik:
3.1 Data Pribadi Umum
- Nama lengkap, jenis kelamin, tanggal lahir, status pernikahan;
- Alamat tempat tinggal, nomor telepon, alamat email;
- Foto profil (opsional);
- Riwayat pendidikan dan pekerjaan (untuk kandidat dan karyawan);
- Posisi, departemen, status kepegawaian (PKWT/PKWTT), tanggal mulai kerja.
3.2 Data Pribadi Spesifik
Sesuai Pasal 4 ayat (2) UU PDP, dengan dasar hukum yang sah, kami memproses:
- Data keuangan pribadi: gaji, tunjangan, potongan, nomor rekening bank, NPWP (Nomor Pokok Wajib Pajak), data BPJS Kesehatan & Ketenagakerjaan;
- Data identifikasi: NIK (Nomor Induk Kependudukan), nomor KK, foto KTP;
- Data kesehatan (terbatas): hanya jika diperlukan untuk klaim BPJS Kesehatan atau cuti sakit, dengan persetujuan eksplisit karyawan;
- PTKP (Penghasilan Tidak Kena Pajak) dan status tanggungan.
3.3 Data Teknis (Cookie & Log)
- Alamat IP, jenis perangkat, sistem operasi, browser;
- Log aktivitas: waktu login, halaman yang diakses, tindakan yang dilakukan (untuk audit log sesuai PP 71/2019);
- Cookie sesi dan token autentikasi.
4. Tujuan & Dasar Hukum Pemrosesan
Kami memproses Data Pribadi Anda untuk tujuan-tujuan berikut, dengan dasar hukum sesuai Pasal 20 UU PDP:
| Tujuan | Dasar Hukum (UU PDP) |
|---|---|
| Pelaksanaan kontrak kerja & pembayaran gaji | Pasal 20(2)(b) — pelaksanaan perjanjian |
| Pelaporan BPJS Kesehatan & Ketenagakerjaan | Pasal 20(2)(c) — kewajiban hukum (UU No. 24/2011) |
| Pemotongan & pelaporan PPh 21 | Pasal 20(2)(c) — kewajiban hukum (UU Perpajakan, PMK 168/2023) |
| Pengelolaan rekrutmen & onboarding kandidat | Pasal 20(2)(a) — persetujuan eksplisit kandidat |
| Komunikasi terkait layanan (notifikasi, support) | Pasal 20(2)(f) — kepentingan sah |
| Audit log untuk keamanan & compliance | Pasal 20(2)(c) — kewajiban hukum (PP 71/2019) |
| Pengiriman email marketing / newsletter | Pasal 20(2)(a) — persetujuan, dapat ditarik kapan saja |
5. Pihak Ketiga & Berbagi Data
Kami tidak menjual Data Pribadi Anda. Data Pribadi hanya dibagikan kepada pihak ketiga dalam situasi berikut:
- Penyedia infrastruktur teknologi (mis. layanan email, penyimpanan objek S3-compatible self-hosted) yang terikat perjanjian kerahasiaan dan klausul pemrosesan data sesuai UU PDP;
- Instansi pemerintah apabila diwajibkan oleh peraturan perundang-undangan (mis. Direktorat Jenderal Pajak, BPJS Kesehatan, BPJS Ketenagakerjaan);
- Klien akhir Tenant (perusahaan tempat karyawan ditempatkan), terbatas pada data yang relevan untuk operasional penempatan (nama, posisi, tanggal mulai kerja) — atas instruksi Tenant;
- Penegak hukum berdasarkan perintah resmi pengadilan atau permintaan resmi otoritas berwenang;
- Pembeli atau penerus bisnis dalam hal terjadi merger, akuisisi, atau pengalihan aset — dengan pemberitahuan tertulis kepada Anda sebelumnya.
6. Transfer Lintas Batas
PAVLO menyimpan Data Pribadi di server yang berlokasi di Indonesia (Biznet VPS). Apabila terjadi transfer Data Pribadi ke luar wilayah Indonesia, kami akan memastikan bahwa:
- Negara tujuan memiliki tingkat perlindungan Data Pribadi yang setara atau lebih tinggi (Pasal 56 ayat 1(a) UU PDP); atau
- Terdapat perlindungan yang memadai melalui perjanjian kontraktual yang mengikat (Pasal 56 ayat 1(b) UU PDP); atau
- Telah diperoleh persetujuan eksplisit dari subjek data (Pasal 56 ayat 1(c) UU PDP).
7. Periode Penyimpanan
Kami menyimpan Data Pribadi hanya selama diperlukan untuk tujuan pemrosesan atau sesuai dengan kewajiban hukum, antara lain:
- Data karyawan aktif: selama masa kontrak kerja berlaku;
- Data karyawan resign: 5 (lima) tahun setelah berakhirnya hubungan kerja, sesuai kewajiban arsip perpajakan dan ketenagakerjaan;
- Slip gaji & laporan pajak: 10 (sepuluh) tahun sesuai UU KUP;
- Audit log: minimal 1 (satu) tahun sesuai PP 71/2019, dapat lebih lama untuk kepentingan investigasi;
- Data kandidat yang tidak diterima: maksimal 1 (satu) tahun setelah penolakan, kecuali kandidat memberikan persetujuan untuk talent pool;
- Data Tenant setelah pemutusan kontrak: 30 (tiga puluh) hari masa unduh, kemudian dihapus permanen.
Setelah periode penyimpanan berakhir, Data Pribadi akan dihapus secara permanen atau dianonimkan sehingga tidak dapat lagi mengidentifikasi subjek data.
8. Keamanan Data
Sesuai Pasal 35 UU PDP, kami menerapkan langkah-langkah teknis dan organisatoris untuk melindungi Data Pribadi, antara lain:
- Enkripsi: TLS 1.2/1.3 untuk transmisi data, enkripsi at-rest untuk data sensitif;
- Autentikasi: kata sandi di-hash dengan bcrypt (cost 12), JWT dengan masa aktif terbatas, refresh token disimpan di Redis;
- Pemisahan tenant (multi-tenancy): setiap query database wajib menyertakan filter
tenant_id, ditambah lapisan Row Level Security PostgreSQL; - Akses terbatas: prinsip least privilege, role-based access control;
- Audit log: setiap aksi mutasi (POST/PUT/PATCH/DELETE) dicatat dengan IP, user-agent, aktor;
- Backup terenkripsi: backup database harian dengan retensi 30 hari;
- Pembatasan rate limiting dan deteksi anomali login.
9. Hak Subjek Data Pribadi
Sesuai Pasal 5 sampai dengan Pasal 15 UU PDP, Anda sebagai subjek data memiliki hak-hak berikut:
- Hak atas informasi: mengetahui identitas pengendali, tujuan pemrosesan, dan masa retensi;
- Hak akses: meminta salinan Data Pribadi Anda yang kami simpan;
- Hak koreksi: meminta perbaikan data yang tidak akurat atau tidak lengkap;
- Hak penghapusan (right to be forgotten): meminta penghapusan Data Pribadi yang tidak lagi diperlukan, dengan mempertimbangkan kewajiban hukum kami untuk menyimpan data tertentu;
- Hak pembatasan pemrosesan: meminta pemrosesan dibatasi sementara dalam kondisi tertentu;
- Hak menarik persetujuan: kapan saja Anda dapat menarik persetujuan yang sebelumnya diberikan;
- Hak portabilitas data: meminta Data Pribadi dalam format terstruktur yang umum digunakan;
- Hak menolak otomatisasi: menolak pengambilan keputusan otomatis yang berdampak hukum signifikan;
- Hak mengajukan keberatan kepada PAVLO atau kepada Lembaga Perlindungan Data Pribadi.
Untuk mengajukan permintaan terkait hak-hak di atas, hubungi DPO kami melalui kontak di bagian 14. Kami akan merespons dalam waktu maksimal 3×24 jam dan menyelesaikan permintaan dalam 30 (tiga puluh) hari kalender.
11. Data Anak di Bawah Umur
Layanan PAVLO ditujukan untuk pengguna berusia minimum 18 (delapan belas) tahun atau yang telah cakap hukum sesuai peraturan ketenagakerjaan Indonesia. Sesuai Pasal 25 UU PDP, pemrosesan Data Pribadi anak memerlukan persetujuan dari orang tua atau wali. PAVLO tidak secara sengaja mengumpulkan Data Pribadi anak di bawah 17 tahun (batas usia kerja minimum sesuai UU Ketenagakerjaan).
12. Notifikasi Pelanggaran Data Pribadi
Sesuai Pasal 46 UU PDP, apabila terjadi kegagalan perlindungan Data Pribadi yang berpotensi merugikan, kami akan:
- Memberitahukan kepada subjek data dan Lembaga Perlindungan Data Pribadi dalam waktu paling lambat 3 × 24 jam sejak diketahui;
- Menyampaikan jenis Data Pribadi yang terdampak, kronologi singkat, langkah penanganan yang diambil, dan upaya pemulihan;
- Menyediakan saluran komunikasi khusus untuk subjek data yang terdampak.
13. Perubahan Kebijakan
Kebijakan Privasi ini dapat diperbarui dari waktu ke waktu untuk mencerminkan perubahan praktik pemrosesan, regulasi, atau fitur layanan. Perubahan material akan diinformasikan melalui email kepada Tenant dan notifikasi dalam aplikasi sekurang-kurangnya 14 (empat belas) hari kalender sebelum berlaku efektif. Versi terbaru selalu tersedia di halaman ini.
14. Kontak Petugas Perlindungan Data (DPO)
Untuk pertanyaan, permintaan terkait hak subjek data, atau pengaduan terkait pemrosesan Data Pribadi, silakan hubungi Petugas Perlindungan Data (Data Protection Officer / DPO) PAVLO:
Petugas Perlindungan Data PAVLO
- Email DPO
- dpo@pavlo.id
- Email umum
- privacy@pavlo.id
- Alamat surat
- Petugas Perlindungan Data, PAVLO, Jakarta, Indonesia
- Waktu respons
- 3 × 24 jam (konfirmasi penerimaan), maksimal 30 hari (penyelesaian)
Apabila pengaduan Anda kepada DPO PAVLO tidak terselesaikan secara memuaskan, Anda berhak mengajukan pengaduan kepada Lembaga Perlindungan Data Pribadi Republik Indonesia sesuai Pasal 58 UU PDP.