0 Daftar Keinginan
0 Keranjang
Akun
Kategori Terpopuler
Lihat Semua

+62 856-2439-6646Pusat Bantuan 24/7

0
0
Butuh Bantuan? Hubungi Kami
Bahasa
Bahasa Indonesia English
2026, Ardiens - Toko Daring Pengadaan
Beranda Struktur Pengelolaan Data Pribadi

Struktur Pengelolaan Data Pribadi

Nomor Dokumen ARD/SPDP/2025/001
Tanggal Berlaku Februari 2025
Versi 1.0
Status Berlaku / Aktif
Dokumen Terkait Kebijakan Privasi (ARD/KP/2025/001), Syarat & Ketentuan
Daftar Isi
  1. Pendahuluan
  2. Pasal 1 — Definisi
  3. Pasal 2 — Struktur Organisasi
  4. Pasal 3 — Matriks RACI
  5. Pasal 4 — Klasifikasi Data
  6. Pasal 5 — Alur B2G
  7. Pasal 6 — Alur B2B
  8. Pasal 7 — Prosesor Pihak Ketiga
  9. Pasal 8 — Kontrol Akses (RBAC)
  10. Pasal 9 — Siklus Hidup Data
  11. Pasal 10 — Pengawasan & Audit
  12. Pasal 11 — Pelatihan
  13. Pasal 12 — Tinjauan & Pembaruan
  14. Pasal 13 — Hubungi Kami

Pendahuluan

PT Ardindo (selanjutnya disebut "Kami") menyusun dokumen Struktur Pengelolaan Data Pribadi ini sebagai pelengkap Kebijakan Privasi, untuk memberikan transparansi kepada Pengguna mengenai kerangka tata kelola, peran organisasi, alur pemrosesan, dan pengendalian akses atas Data Pribadi yang Kami olah pada platform pengadaan ardindo.com.

Dokumen ini disusun berdasarkan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi, PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, serta Peraturan LKPP yang berlaku pada penyelenggaraan pengadaan barang/jasa pemerintah secara elektronik.

Struktur ini berlaku untuk dua jalur layanan yang dioperasikan oleh Platform:

  • B2G — Jalur Pengadaan Pemerintah: transaksi antara instansi/lembaga pemerintah dengan Penyedia terverifikasi.
  • B2B — Jalur Mitra ke Mitra: transaksi antar Mitra/Penyedia pada marketplace pengadaan.

Pasal 1 — Definisi

  • "Pengendali Data Pribadi"
    adalah PT Ardindo selaku pihak yang menentukan tujuan dan kendali pemrosesan Data Pribadi pada Platform.
  • "Prosesor Data Pribadi"
    adalah pihak ketiga yang melakukan pemrosesan Data Pribadi atas nama dan berdasarkan instruksi PT Ardindo.
  • "Petugas Pelindungan Data Pribadi (DPO)"
    adalah pejabat yang ditunjuk PT Ardindo untuk mengawasi kepatuhan Platform terhadap UU PDP.
  • "Subjek Data"
    adalah orang perseorangan yang Data Pribadinya diolah, termasuk pejabat pengadaan (PPK, PP, KPA, Pokja), perwakilan instansi, dan perwakilan Penyedia/Mitra.
  • "Jalur B2G"
    adalah alur transaksi pengadaan dari instansi pemerintah kepada Penyedia melalui Platform.
  • "Jalur B2B"
    adalah alur transaksi antara dua Mitra/Penyedia pada Platform di luar konteks pengadaan instansi.

Pasal 2 — Struktur Organisasi Pelindungan Data Pribadi

PT Ardindo membentuk struktur tata kelola berlapis yang memastikan akuntabilitas pemrosesan Data Pribadi pada seluruh tingkatan operasional Platform:

Tingkatan Unit / Peran Tanggung Jawab Utama
Tingkat 1 — Pengarah Direksi PT Ardindo Menetapkan kebijakan strategis perlindungan data, menyetujui anggaran keamanan informasi, dan menjadi penanggung jawab akhir kepatuhan UU PDP.
Tingkat 2 — Pengawas Petugas Pelindungan Data Pribadi (DPO) Memantau kepatuhan harian, menjadi titik kontak utama Subjek Data, melakukan asesmen dampak (DPIA), dan melaporkan insiden kepada lembaga pengawas.
Tingkat 3 — Operasional Tim Keamanan Informasi Menerapkan kontrol teknis (enkripsi, RBAC, monitoring), melakukan vulnerability assessment, dan mengelola insiden keamanan siber.
Tingkat 3 — Operasional Tim Verifikasi & Onboarding Memverifikasi keabsahan dokumen instansi/Penyedia (SK, NPWP, KTP, NIB, akta) sesuai prinsip data minimization.
Tingkat 3 — Operasional Tim Layanan Pengguna Menangani permohonan hak Subjek Data (akses, perbaikan, penghapusan), keluhan privasi, dan komunikasi resmi terkait Data Pribadi.
Tingkat 3 — Operasional Tim Pengembangan Platform Menerapkan prinsip privacy by design & by default dalam setiap fitur baru, melakukan code review, dan menjaga keamanan kode sumber.
Tingkat 4 — Audit Auditor Internal & Eksternal Melakukan tinjauan kepatuhan secara berkala, audit kontrol akses, dan rekomendasi perbaikan tata kelola data.

Pasal 3 — Peran dan Tanggung Jawab (Matriks RACI)

Matriks berikut menggambarkan pembagian peran atas aktivitas pemrosesan Data Pribadi di Platform Ardindo:

R = Responsible (Pelaksana) · A = Accountable (Penanggung Jawab) · C = Consulted (Dikonsultasikan) · I = Informed (Diinformasikan)
Aktivitas Pemrosesan Direksi DPO Tim Keamanan Tim Verifikasi Tim Pengembangan
Pengumpulan data pendaftaran instansi/Mitra I C I R A
Verifikasi dokumen identitas pejabat & Penyedia I C I R A I
Pemrosesan transaksi & pembayaran I C R I A
Penyimpanan & enkripsi data I C R A I R
Penanganan permohonan hak Subjek Data I R A C C I
Investigasi & pelaporan insiden kebocoran A R R C C
Tinjauan & pembaruan kebijakan privasi A R C C C
Pelatihan kesadaran perlindungan data I R A C I I

Pasal 4 — Klasifikasi Data Pribadi

PT Ardindo mengklasifikasikan Data Pribadi sesuai dengan Pasal 4 UU No. 27 Tahun 2022, yang membedakan antara Data Pribadi Umum dan Data Pribadi Spesifik:

Kategori Jenis Data Tingkat Sensitivitas Kontrol Akses
Data Pribadi Umum Nama, jabatan, NIP, email kantor, nomor telepon kantor Sedang RBAC — Tim Verifikasi & Layanan Pengguna
Alamat instansi, NPWP instansi, alamat pengiriman Sedang RBAC — Tim Operasional & Mitra Logistik (terbatas)
Riwayat transaksi pengadaan, dokumen BAST, faktur Sedang–Tinggi RBAC — Tim Operasional & Auditor
Data Pribadi Spesifik Data keuangan instansi (rekening, virtual account, riwayat pembayaran) Tinggi Akses sangat terbatas, MFA wajib, log audit penuh
Salinan KTP/Paspor pejabat penanggung jawab Tinggi Disimpan terenkripsi, akses hanya saat verifikasi
Tanda tangan elektronik tersertifikasi (TTE) Tinggi Disimpan oleh penyelenggara TTE; Ardindo hanya menyimpan referensi
Data Sistem IP address, log aktivitas, jenis perangkat & peramban Rendah Akses agregat — Tim Keamanan

Pasal 5 — Alur Pengelolaan Data: Jalur B2G (Pengadaan Pemerintah)

Pemrosesan Data Pribadi pada jalur pengadaan instansi pemerintah mengikuti alur tujuh tahap berikut:

  • 1
    Pendaftaran Instansi & Pejabat
    Instansi mendaftarkan akun dengan menyertakan: nama instansi, NPWP instansi, SK pengangkatan PPK/PP/KPA, NIP, dan email resmi instansi (@*.go.id diutamakan).
    Pemroses: Tim Verifikasi & Onboarding · Dasar hukum: Persetujuan + Pelaksanaan Perjanjian
  • 2
    Verifikasi Identitas Pejabat
    Verifikasi keabsahan SK, kecocokan NIP dengan jabatan, dan validasi email instansi melalui mekanisme email confirmation. Hasil verifikasi tercatat dalam audit log.
  • 3
    Pembuatan RUP & Negosiasi
    Pejabat pengadaan menyusun Rencana Umum Pengadaan (RUP), memilih Penyedia, dan melakukan negosiasi harga melalui fitur chat terenkripsi. Seluruh percakapan negosiasi disimpan untuk keperluan audit.
  • 4
    Checkout & Penerbitan Surat Pesanan
    Pengguna menyelesaikan transaksi, sistem menerbitkan Surat Pesanan elektronik dan menugaskan vendor. Data pengiriman dibagikan secara terbatas kepada mitra logistik.
  • 5
    Pembayaran
    Pemrosesan pembayaran dilakukan melalui mitra perbankan tersertifikasi (Bank BRI, Bank BJB, mitra QRIS/VA). Data rekening diserahkan langsung kepada bank dan tidak disimpan dalam basis data Platform.
  • 6
    BAST & TTE
    Setelah barang/jasa diterima, sistem menerbitkan Berita Acara Serah Terima (BAST) yang ditandatangani secara elektronik melalui penyelenggara TTE tersertifikasi (BSrE/PrivyID).
  • 7
    Pelaporan, Arsip & Audit
    Seluruh dokumen transaksi diarsipkan minimum 10 (sepuluh) tahun untuk memenuhi ketentuan kearsipan dan perpajakan. Akses arsip terbatas pada auditor dan instansi terkait.

Pasal 6 — Alur Pengelolaan Data: Jalur B2B (Mitra ke Mitra)

Pada jalur B2B, Platform memfasilitasi transaksi antar Mitra/Penyedia tanpa keterlibatan instansi pemerintah. Alur pemrosesan data berbeda dari jalur B2G dalam hal verifikasi dan retensi:

Tahap Aktivitas Data yang Diolah Pemroses
1 Onboarding Mitra (Penjual & Pembeli) Nama badan usaha, NIB, NPWP perusahaan, KTP penanggung jawab, akta pendirian Tim Verifikasi
2 Listing produk/jasa oleh Mitra Penjual Informasi produk, harga, foto, alamat gudang/pickup Tim Pengembangan (otomatis)
3 Pemesanan oleh Mitra Pembeli Data pesanan, alamat pengiriman, kontak PIC pembeli Tim Operasional
4 Komunikasi negosiasi antar Mitra Catatan chat, lampiran, riwayat penawaran Disimpan terenkripsi, hanya dibuka jika ada dispute
5 Pembayaran via escrow / VA Nominal, referensi pembayaran (rekening dikelola bank) Mitra Pembayaran
6 Pengiriman & konfirmasi penerimaan Nomor resi, alamat tujuan, foto bukti serah terima Mitra Logistik
7 Penyelesaian & rating Ulasan, rating, riwayat transaksi Mitra terlibat (publik terbatas)
Pada jalur B2B, Mitra Penjual yang melakukan upload produk dan menerima pesanan turut bertindak sebagai joint controller atas Data Pribadi Mitra Pembeli yang terkait dengan transaksi mereka, dan terikat oleh perjanjian kerahasiaan dalam Syarat & Ketentuan Mitra.

Pasal 7 — Daftar Prosesor Data Pribadi (Pihak Ketiga)

Daftar mitra Prosesor Data yang Kami gunakan, beserta tujuan dan jenis data yang diproses:

Kategori Mitra Contoh Penyedia Jenis Data Diproses Lokasi Pemrosesan
Penyedia Pembayaran Bank BRI, Bank BJB, mitra QRIS, agregator VA Data transaksi, rekening tujuan, nominal Indonesia
Penyelenggara TTE BSrE, PrivyID, atau penyelenggara tersertifikasi Kominfo Identitas penandatangan, hash dokumen Indonesia
Penyedia Hosting & Infrastruktur Penyedia cloud dengan data center di Indonesia Seluruh data Platform (terenkripsi) Indonesia
Mitra Logistik Penyedia jasa kurir & ekspedisi Alamat pengiriman, kontak penerima, isi paket (deskripsi) Indonesia
Layanan Email & Notifikasi Penyedia SMTP transaksional Alamat email, isi notifikasi Indonesia / Regional
Layanan Analitik Analitik internal & privacy-friendly analytics Data agregat, IP teranonim Indonesia
Setiap Prosesor terikat oleh Perjanjian Pemrosesan Data (Data Processing Agreement) yang mewajibkan kepatuhan terhadap UU PDP, kerahasiaan, dan keamanan data.

Pasal 8 — Matriks Akses Data (Role-Based Access Control)

Akses terhadap Data Pribadi diatur berdasarkan prinsip least privilege dan need-to-know:

Peran Data Umum Data Transaksi Data Keuangan Dokumen Identitas Log Sistem
Direksi Agregat Agregat Agregat
DPO Penuh* Penuh* Penuh* Penuh* Penuh
Tim Keamanan Penuh Penuh Terenkripsi Terenkripsi Penuh
Tim Verifikasi Penuh Penuh* Terbatas
Tim Layanan Pengguna Penuh* Terbatas* Terbatas
Tim Pengembangan Anonim Anonim Penuh
Mitra Logistik Pengiriman saja Pengiriman saja
Auditor Penuh* Penuh* Penuh* Penuh*
*) Akses dengan pencatatan log audit penuh dan pemberitahuan otomatis kepada DPO.

Pasal 9 — Siklus Hidup Data Pribadi

Setiap Data Pribadi mengikuti siklus hidup yang terdokumentasi dari pengumpulan hingga pemusnahan:

Fase Kontrol yang Diterapkan
1. Pengumpulan Hanya data yang diperlukan (data minimization), persetujuan eksplisit, formulir pendaftaran transparan.
2. Pemrosesan Pembatasan tujuan, akses berbasis peran, log audit otomatis, enkripsi dalam pemrosesan.
3. Penyimpanan Enkripsi at-rest, pemisahan basis data sensitif, lokasi di wilayah Indonesia.
4. Pembagian Hanya kepada Prosesor terikat DPA, transmisi melalui TLS 1.2+, log pembagian data.
5. Retensi Sesuai jadwal pada Kebijakan Privasi (akun aktif, transaksi 10 tahun, log 12 bulan).
6. Pemusnahan / Anonimisasi Penghapusan dalam 30 hari kerja sejak permohonan disetujui, atau anonimisasi untuk keperluan statistik.

Pasal 10 — Pengawasan dan Audit

Untuk memastikan implementasi struktur ini berjalan efektif, PT Ardindo melakukan:

  • Audit internal triwulanan oleh DPO atas log akses dan kepatuhan tim.
  • Audit eksternal tahunan oleh auditor independen bersertifikasi.
  • Penilaian Dampak Pelindungan Data (DPIA) untuk setiap fitur baru yang berpotensi memproses Data Pribadi dalam skala besar.
  • Uji penetrasi (penetration test) minimum sekali setahun oleh pihak ketiga.
  • Tinjauan manajemen oleh Direksi atas laporan kepatuhan setiap semester.

Pasal 11 — Pelatihan dan Kesadaran

Seluruh personel yang menangani Data Pribadi wajib mengikuti:

  • Pelatihan dasar UU PDP saat onboarding personel baru.
  • Refresher training tahunan terkait keamanan informasi dan etika data.
  • Simulasi incident response minimum dua kali setahun.
  • Penandatanganan Non-Disclosure Agreement sebagai syarat akses produksi.

Pasal 12 — Tinjauan dan Pembaruan Struktur

Dokumen ini ditinjau minimal satu kali setiap 12 (dua belas) bulan, atau sewaktu-waktu bila terjadi:

  • Perubahan signifikan pada peraturan perundang-undangan terkait;
  • Penambahan jenis layanan atau fitur Platform;
  • Insiden keamanan yang memerlukan perubahan tata kelola;
  • Perubahan struktur organisasi PT Ardindo.
Versi terbaru dokumen akan dipublikasikan pada halaman ini, dengan riwayat versi disimpan oleh DPO.

Pasal 13 — Hubungi Kami

Untuk pertanyaan, klarifikasi, atau pelaporan terkait struktur tata kelola Data Pribadi ini, silakan menghubungi:

Petugas Pelindungan Data Pribadi (DPO) — PT Ardindo
  • Website
    ardindo.com
  • Alamat
    Jl. Tamblong No.46, Kb. Pisang, Kec. Sumur Bandung, Kota Bandung, Jawa Barat 40112
  • Jam Layanan
    Senin–Jumat, 09.00–17.00 WIB
— Dokumen ini diterbitkan secara elektronik dan sah tanpa tanda tangan basah —
Copyright © 2026 Ardindo. All Rights Reserved.
WhatsApp