Dalam Kebijakan ini, istilah-istilah berikut memiliki arti sebagai berikut:

1. Data Pribadi: data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya, baik secara langsung maupun tidak langsung melalui sistem elektronik maupun non-elektronik, sebagaimana diatur dalam UU PDP.
2. Data Pribadi Bersifat Umum: antara lain nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, dan/atau Data Pribadi yang dikombinasikan untuk mengidentifikasi seseorang.
3. Data Pribadi Bersifat Spesifik: antara lain data dan informasi kesehatan, data biometrik, data genetika, catatan kejahatan, data anak, data keuangan pribadi, dan/atau data lainnya sesuai ketentuan peraturan perundang-undangan.
4. Pemrosesan Data Pribadi: seluruh kegiatan yang dilakukan terhadap Data Pribadi, meliputi perolehan dan pengumpulan, pengolahan dan penganalisisan, penyimpanan, perbaikan dan pembaruan, penampilan / pengumuman / pemindahan / penyebarluasan / pengungkapan, dan/atau penghapusan atau pemusnahan.
5. Pengendali Data Pribadi: pihak yang menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi, dalam hal ini IAF.
6. Prosesor Data Pribadi: pihak yang melakukan pemrosesan Data Pribadi atas nama Pengendali Data Pribadi berdasarkan perjanjian tertulis.
7. Subjek Data Pribadi: orang perseorangan yang Data Pribadinya melekat, termasuk Anda sebagai Pengguna layanan IAF.
8. Pejabat Pelindungan Data Pribadi (PPDP) / Data Protection Officer (DPO): pejabat atau petugas yang ditunjuk IAF untuk melaksanakan fungsi Pelindungan Data Pribadi.
9. SMKI: Sistem Manajemen Keamanan Informasi yang dikelola IAF mengacu pada ISO/IEC 27001:2022.
10. Kegagalan Pelindungan Data Pribadi: kegagalan dalam melindungi Data Pribadi atas kerahasiaan, integritas, dan ketersediaan data (insiden kebocoran, kehilangan, perubahan, atau akses tidak sah).
11. Hukum yang Berlaku: seluruh peraturan perundang-undangan Republik Indonesia yang berlaku, termasuk namun tidak terbatas pada UU PDP, UU ITE, POJK dan SEOJK terkait, serta peraturan turunannya.

IAF hanya memproses Data Pribadi Anda apabila memenuhi salah satu atau lebih dasar hukum berikut:

1. Persetujuan yang sah secara eksplisit dari Anda untuk satu atau beberapa tujuan tertentu yang telah disampaikan oleh IAF;
2. Pemenuhan kewajiban perjanjian dalam hal Anda merupakan pihak pada perjanjian atau untuk memenuhi permintaan Anda pada saat akan melakukan perjanjian;
3. Pemenuhan kewajiban hukum IAF sebagai Perusahaan Pembiayaan yang diawasi oleh Otoritas Jasa Keuangan (OJK), antara lain terkait Anti Pencucian Uang dan Pencegahan Pendanaan Terorisme (APU-PPT), pelaporan wajib, dan ketentuan perpajakan;
4. Pemenuhan pelindungan kepentingan vital Anda;
5. Pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan IAF berdasarkan peraturan perundang-undangan; dan/atau
6. Pemenuhan kepentingan sah lainnya (legitimate interest) dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan IAF dengan hak Anda sebagai Subjek Data.

4.1 Data yang Anda Sampaikan Secara Langsung

Kami mengumpulkan Data Pribadi yang Anda berikan secara sukarela pada saat pendaftaran, pengajuan pembiayaan, penggunaan layanan, dan/atau korespondensi, termasuk:

1. Data identitas: nama lengkap, tempat dan tanggal lahir, jenis kelamin, kewarganegaraan, nomor identitas (NIK/KTP/Paspor), foto diri;
2. Data kontak: alamat tempat tinggal sesuai KTP dan domisili, kode pos, nomor telepon/ponsel, alamat email;
3. Data demografis dan keluarga: status perkawinan, nama ibu kandung, jumlah tanggungan;
4. Data pendidikan dan pekerjaan: tingkat pendidikan, nama perusahaan tempat bekerja, jabatan, bidang usaha, masa kerja;
5. Data keuangan: jumlah penghasilan bulanan, sumber penghasilan, riwayat keuangan, rekening bank, dan informasi keuangan lain yang relevan untuk penilaian kelayakan pembiayaan;
6. Data biometrik (Data Spesifik): file suara, fitur wajah (liveness detection), atau data biometrik lain yang Anda unggah untuk keperluan verifikasi identitas;
7. Data transaksi: riwayat transaksi, pembayaran, pengajuan, dan penggunaan layanan pembiayaan pada platform mitra Kami;
8. Data korespondensi: isi komunikasi Anda dengan Kami melalui email, surat, panggilan telepon (dengan pemberitahuan perekaman), pesan, kritik, saran, atau pengaduan;
9. Umpan balik: ulasan atau opini Anda atas layanan dan produk Kami.

4.2 Data yang Dikumpulkan Secara Otomatis

Pada saat Anda mengakses layanan digital Kami, sistem Kami secara otomatis dapat mengumpulkan:

1. Data perangkat: tipe perangkat, sistem operasi, pengidentifikasi perangkat;
2. Data log dan teknis: alamat IP, data cookies, data lokasi (hanya jika Anda mengaktifkan izin), waktu akses, halaman yang dikunjungi;
3. Data aktivitas: perilaku penggunaan, preferensi, dan interaksi dengan fitur layanan.

4.3 Data yang Diperoleh dari Pihak Ketiga

Dengan dasar hukum yang sah, Kami dapat memperoleh Data Pribadi Anda dari pihak ketiga, termasuk:

1. Mitra platform (termasuk penyedia dompet digital dan aplikasi pembayaran) berdasarkan persetujuan yang Anda berikan pada platform tersebut;
2. Sistem verifikasi identitas kependudukan yang disediakan oleh Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Dukcapil) melalui mitra resmi;
3. Penyelenggara Sertifikasi Elektronik (PSrE) yang terdaftar di Kementerian Komunikasi dan Digital (Komdigi) sehubungan dengan tanda tangan elektronik;
4. Lembaga Informasi Keuangan seperti Sistem Layanan Informasi Keuangan (SLIK) OJK dan biro kredit yang terdaftar/berizin OJK, sesuai ketentuan Hukum yang Berlaku;
5. Sumber data publik yang sah dan/atau daftar terlarang (sanctions list) untuk pemenuhan kewajiban APU-PPT dan pengecekan Politically Exposed Person (PEP).

IAF hanya memproses Data Pribadi Anda secara terbatas dan spesifik, transparan, serta sesuai prinsip minimalisasi data (data minimization). Tujuan pemrosesan mencakup:

1. Verifikasi identitas, kelayakan, dan penilaian risiko dalam rangka pengajuan dan pemberian fasilitas pembiayaan;
2. Pelaksanaan perjanjian pembiayaan, termasuk pencairan, penagihan, administrasi kontrak, dan layanan purna jual;
3. Pemenuhan kewajiban hukum, termasuk kewajiban pelaporan kepada OJK, PPATK (APUPPT), Direktorat Jenderal Pajak, dan otoritas lain yang berwenang;
4. Pengecekan basis data internal dan eksternal, termasuk daftar Politically Exposed Person (PEP), daftar terduga teroris dan organisasi teroris, daftar pendanaan proliferasi senjata pemusnah massal (APU-PPT-PPSPM), serta daftar cidera janji internal IAF;
5. Penggunaan tanda tangan elektronik tersertifikasi untuk penandatanganan dokumen perjanjian, yang difasilitasi oleh PSrE mitra IAF;
6. Pengelolaan hubungan pelanggan, termasuk penanganan pertanyaan, keluhan, dan pengaduan;
7. Pemasaran langsung, penawaran produk, dan material promosi, hanya jika Anda telah memberikan persetujuan atas tujuan spesifik ini, dan Anda dapat menarik persetujuan kapan saja;
8. Analitik internal, pelaporan statistik, riset, dan pengembangan layanan (dalam bentuk teragregasi/anonim sedapat mungkin);
9. Keamanan informasi, pencegahan fraud, audit, serta pemantauan risiko operasional dan keamanan sesuai SMKI ISO/IEC 27001;
10. Pemulihan bencana (disaster recovery) dan kelangsungan bisnis (business continuity);
11. Pembelaan hukum, penegakan hak, atau pemenuhan perintah pengadilan dan otoritas yang berwenang.

Anda memiliki hak-hak berikut atas Data Pribadi Anda:

1. Hak untuk mendapatkan informasi mengenai kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan Data Pribadi, serta akuntabilitas pihak yang meminta Data Pribadi;
2. Hak untuk mengakses dan mendapatkan salinan Data Pribadi tentang diri Anda;
3. Hak untuk memperbaiki dan/atau memperbarui Data Pribadi yang tidak akurat atau tidak lengkap;
4. Hak untuk mengakhiri pemrosesan, menghapus, dan/atau memusnahkan Data Pribadi (right to erasure) sesuai ketentuan peraturan perundang-undangan;
5. Hak untuk menarik kembali persetujuan atas pemrosesan Data Pribadi yang sebelumnya telah diberikan;
6. Hak untuk mengajukan keberatan atas tindakan pengambilan keputusan yang hanya didasarkan pada pemrosesan secara otomatis, termasuk pemrofilan (profiling), yang menimbulkan akibat hukum atau berdampak signifikan terhadap Anda;
7. Hak untuk menunda atau membatasi pemrosesan Data Pribadi secara proporsional sesuai tujuan pemrosesan;
8. Hak atas portabilitas data dengan mengirimkan Data Pribadi Anda kepada Pengendali Data Pribadi lain sepanjang sistem yang digunakan dapat berkomunikasi secara aman;
9. Hak untuk mengajukan gugatan dan menerima ganti rugi atas pelanggaran pemrosesan Data Pribadi sesuai ketentuan peraturan perundang-undangan.

Pengajuan Permohonan Hak:

Anda dapat mengajukan permohonan pelaksanaan hak-hak tersebut melalui saluran yang tercantum pada Bagian 14 (Kontak dan PPDP). IAF akan merespons permohonan Anda paling lama dalam 3 × 24 jam sejak permohonan diterima secara lengkap untuk tanggapan awal, dan akan menyelesaikan permohonan secara penuh paling lambat sesuai tenggat yang diwajibkan peraturan perundang-undangan.

Pengecualian Hak:

Sebagian hak Anda dapat dikecualikan dalam hal pelaksanaan hak tersebut bertentangan dengan kepentingan pertahanan dan keamanan nasional, penegakan hukum, kepentingan umum dalam penyelenggaraan negara, kepentingan pengawasan sektor jasa keuangan, moneter, sistem pembayaran, stabilitas sistem keuangan, atau kepentingan statistik dan penelitian ilmiah.

Kami hanya dapat membagikan Data Pribadi Anda kepada pihak ketiga berikut dengan dasar hukum yang sah dan pengamanan yang memadai:

7.1 Afiliasi

Perusahaan induk, anak perusahaan, dan entitas lain di bawah kendali langsung atau tidak langsung IAF, sepanjang diizinkan oleh Hukum yang Berlaku. Kami akan mewajibkan afiliasi untuk menerapkan standar Pelindungan Data Pribadi yang setidaknya setara dengan Kebijakan ini.

7.2 Mitra Bisnis

Mitra yang bekerja sama dalam penyediaan produk atau layanan finansial yang Anda ajukan, berdasarkan perjanjian tertulis yang memuat klausul kerahasiaan dan Pelindungan Data Pribadi.

7.3 Prosesor Data / Penyedia Layanan Pihak Ketiga

Termasuk namun tidak terbatas pada penyedia infrastruktur cloud, penyedia verifikasi identitas, penyedia skoring kredit, penyedia layanan penagihan, PSrE, dan penyedia layanan pemasaran. Setiap Prosesor wajib terikat pada kewajiban kerahasiaan.

7.4 Pihak Berwenang

Otoritas Jasa Keuangan (OJK), Pusat Pelaporan dan Analisis Transaksi Keuangan (PPATK), aparat penegak hukum, pengadilan, dan lembaga lain yang berwenang berdasarkan Hukum yang Berlaku, termasuk Lembaga Pelindungan Data Pribadi.

7.5 Pihak Lain Sehubungan Transaksi Korporasi

Dalam hal merger, akuisisi, divestasi, restrukturisasi, atau transfer aset, Data Pribadi Anda dapat dialihkan kepada penerus atau pemilik baru, dengan jaminan bahwa penerima akan menerapkan kewajiban pelindungan yang setara dengan Kebijakan ini dan sesuai UU PDP.

Apabila IAF perlu mentransfer Data Pribadi Anda ke Pengendali atau Prosesor Data Pribadi yang berkedudukan di luar wilayah hukum Republik Indonesia, Kami akan memastikan salah satu atau lebih dari persyaratan berikut terpenuhi:

1. Negara tempat Pengendali/Prosesor penerima berada memiliki tingkat Pelindungan Data Pribadi yang setara atau lebih tinggi daripada UU PDP;
2. Terdapat Pelindungan Data Pribadi yang memadai dan mengikat yang dipastikan melalui perjanjian transfer data internasional yang sesuai ketentuan (Standard Contractual Clauses atau mekanisme setara); dan/atau

IAF menjaga Daftar Transfer Data Internasional sebagai bagian dari Catatan Aktivitas Pemrosesan (Record of Processing Activities/RoPA).

IAF mengimplementasikan tindakan teknis dan organisasional yang memadai untuk melindungi kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability) Data Pribadi, mengacu pada Sistem Manajemen Keamanan Informasi (SMKI). Kontrol utama meliputi:

9.1 Kontrol Organisasional

1. Kebijakan keamanan informasi yang disetujui manajemen puncak, ditinjau secara berkala, dan dikomunikasikan ke seluruh personel;
2. Penugasan peran dan tanggung jawab keamanan informasi, termasuk penunjukan Pejabat Pelindungan Data Pribadi (PPDP/DPO);
3. Klasifikasi dan penanganan informasi sesuai sensitivitas;
4. Manajemen risiko informasi secara berkala dan Data Protection Impact Assessment (DPIA) untuk aktivitas pemrosesan berisiko tinggi;
5. Manajemen pemasok (supplier/vendor) melalui uji tuntas keamanan, perjanjian tingkat layanan (SLA), dan perjanjian kerahasiaan.

9.2 Kontrol Sumber Daya Manusia

1. Screening/latar belakang karyawan sesuai peran dan tingkat akses;
2. Pelatihan kesadaran keamanan informasi dan Pelindungan Data Pribadi secara berkala;
3. Perjanjian kerahasiaan dengan seluruh karyawan dan pihak ketiga yang memiliki akses ke Data Pribadi;
4. Proses pengakhiran dan perubahan akses yang terkendali saat karyawan berpindah peran atau keluar dari organisasi.

9.3 Kontrol Fisik

1. Pengamanan fisik pusat data dan area kerja sensitif melalui kontrol akses, CCTV, dan kebijakan clear desk/clear screen;
2. Pelindungan perangkat keras dari ancaman fisik dan lingkungan;
3. Pemusnahan media penyimpanan yang aman dan bersertifikat saat media tidak digunakan lagi.

9.4 Kontrol Teknologi

1. Kontrol akses berbasis peran (role-based access control) dengan prinsip least privilege dan need-to-know;
2. Otentikasi kuat, termasuk kata sandi kompleks dan otentikasi multi-faktor (MFA) untuk akses ke sistem yang memproses Data Pribadi;
3. Enkripsi Data Pribadi pada saat transmisi dan pada saat penyimpanan (at rest) untuk data sensitif;
4. Pemantauan keamanan berkelanjutan, log audit, dan deteksi anomali;
5. Manajemen kerentanan, patching, dan pengujian penetrasi (penetration testing) secara berkala;
6. Segmentasi jaringan, firewall, dan pengamanan perimeter;
7. Cadangan data (backup) terenkripsi dan diuji pemulihannya secara berkala;
8. Pengembangan sistem yang aman, termasuk code review dan uji keamanan sebelum rilis.

Meskipun IAF menerapkan kontrol di atas, tidak ada sistem elektronik yang sepenuhnya aman. Anda turut bertanggung jawab menjaga kerahasiaan kredensial akses Anda dan melaporkan segera apabila terdapat dugaan penyalahgunaan akun.

IAF menyimpan Data Pribadi Anda hanya selama diperlukan untuk memenuhi tujuan pemrosesan, kewajiban hukum, dan penyelesaian sengketa, mengacu pada jadwal retensi sebagai berikut:

Setelah periode retensi berakhir, Data Pribadi akan dihapus, dianonimisasi, atau dimusnahkan secara aman sesuai prosedur internal IAF. Pemusnahan dokumen fisik dan media elektronik dilakukan dengan metode yang memastikan data tidak dapat dipulihkan.

Dalam hal terjadi kegagalan Pelindungan Data Pribadi (insiden kebocoran, akses tidak sah, kehilangan, atau perubahan tidak sah atas Data Pribadi), IAF akan:

1. Memberitahukan secara tertulis kepada Anda sebagai Subjek Data yang terdampak dan kepada Lembaga Pelindungan Data Pribadi paling lambat 3 × 24 jam sejak IAF mengetahui terjadinya kegagalan;
2. Memuat dalam pemberitahuan tersebut: (a) Data Pribadi yang terungkap; (b) kapan dan bagaimana kegagalan terjadi; dan (c) upaya penanganan dan pemulihan atas kegagalan tersebut oleh IAF;
3. Dalam hal kegagalan mengganggu pelayanan publik dan/atau berdampak serius pada kepentingan Anda, IAF akan memberitahukan kepada publik sesuai ketentuan peraturan perundang-undangan;
4. Menjalankan Prosedur Manajemen Insiden Keamanan Informasi, termasuk identifikasi akar penyebab, containment, eradication, recovery, dan pembelajaran pasca-insiden.

Situs web dan aplikasi IAF dapat menggunakan cookies dan teknologi pelacakan serupa untuk tujuan fungsionalitas, analitik, dan personalisasi. Kami akan menampilkan pemberitahuan cookies (cookie banner) pada saat Anda pertama kali mengakses, dan Anda dapat mengatur preferensi Anda kapan saja melalui pengaturan browser atau pusat preferensi yang Kami sediakan. Cookies yang bukan bersifat esensial hanya akan diaktifkan setelah memperoleh persetujuan dari Anda.

Anda dapat menghubungi PPDP/DPO untuk mengajukan pertanyaan, permohonan hak Subjek Data, atau pengaduan terkait Data Pribadi melalui:

PT Indonesia Airawata Finance (IAF)

Gedung Capital Place Office Tower, Lantai 28

Jl. Jenderal Gatot Subroto Kav. 18

Kelurahan Kuningan Barat, Kecamatan Mampang Prapatan

Jakarta Selatan 12710, Indonesia

Email PPDP/DPO & Layanan Pengaduan Pelanggan: cs@iaf.co.id

Dalam menggunakan platform Kami, Anda mungkin menemukan tautan ke situs pihak ketiga (afiliasi, mitra, atau pihak lain). Kebijakan ini tidak berlaku atas situs tersebut. Kami menganjurkan Anda membaca Kebijakan Privasi masing-masing situs pihak ketiga, karena IAF tidak memiliki tanggung jawab atas pemrosesan Data Pribadi yang dilakukan oleh situs pihak ketiga.

Dengan mendaftarkan diri sebagai pengguna pada platform Kami, Anda menyatakan telah membaca, memahami, dan menyetujui Kebijakan ini beserta Syarat dan Ketentuan Layanan. Anda juga memahami bahwa penggunaan tanda tangan elektronik berbasis sertifikat elektronik dalam penandatanganan Master Agreement produk pembiayaan IAF merupakan bentuk persetujuan dan penerimaan Anda.

Fasilitas pembubuhan tanda tangan elektronik disediakan oleh Penyelenggara Sertifikasi Elektronik (PSrE) yang terdaftar di Kementerian Komunikasi dan Digital (Komdigi). Anda menjamin keakuratan Data Pribadi yang diserahkan kepada PSrE dan menyetujui pemrosesan Data Pribadi Anda oleh PSrE sesuai Kebijakan Privasi PSrE yang bersangkutan.

Dalam hal terjadi keterlambatan pembubuhan tanda tangan elektronik akibat volume transaksi, pemeliharaan sistem, atau anomali pada sistem PSrE, dokumen perjanjian pembiayaan tetap dianggap sah sepanjang Anda telah memberikan persetujuan melalui aplikasi, termasuk verifikasi PIN, dengan ketentuan tanda tangan elektronik akan dibubuhkan setelah sistem memprosesnya.

IAF dapat memperbarui Kebijakan ini dari waktu ke waktu untuk mencerminkan perubahan praktik pemrosesan, regulasi, atau teknologi. Setiap perubahan material akan diinformasikan kepada Anda sebelum berlaku efektif melalui:

1. Pemberitahuan pada situs web resmi IAF dan/atau aplikasi mitra; dan/atau
2. Saluran komunikasi lain yang wajar.

Dengan tetap mengakses dan menggunakan layanan setelah perubahan berlaku efektif, Anda dianggap menyetujui perubahan tersebut.

Kebijakan ini tunduk dan ditafsirkan berdasarkan hukum Republik Indonesia. Setiap sengketa yang timbul terkait Kebijakan ini akan diupayakan diselesaikan secara musyawarah mufakat terlebih dahulu. Apabila tidak tercapai penyelesaian, sengketa dapat diselesaikan melalui LAPS-SJK, Lembaga Pelindungan Data Pribadi, atau pengadilan yang berwenang di wilayah hukum Republik Indonesia, sesuai ketentuan peraturan perundang-undangan yang berlaku.

Kebijakan ini efektif berlaku sejak tanggal publikasi. Dengan menyetujui Kebijakan ini, Anda mengakui bahwa Anda telah diberikan informasi yang memadai mengenai pemrosesan Data Pribadi Anda oleh IAF dan memberikan persetujuan yang sah, spesifik, dan dapat dibuktikan atas pemrosesan sebagaimana diuraikan di atas, sepanjang pemrosesan tersebut didasarkan pada persetujuan.