UU PDP Personal Data Notice
Last updated:
This notice describes how PT UNIT GLOBAL SYSTEM processes personal data under the Indonesian Personal Data Protection Law (Undang-Undang Pelindungan Data Pribadi, Law 27 of 2022, "UU PDP"). It is Indonesia-specific and complements our general Privacy Policy, which addresses GDPR and other jurisdictional frameworks. Where conflict arises in respect of Indonesian data subjects, this notice prevails.
1. Personal Data Controller
The Personal Data Controller is PT UNIT GLOBAL SYSTEM, a limited liability company established under the laws of the Republic of Indonesia. Registered office: Menara Cakrawala Lt. 12 Unit 05A, Jl. M.H. Thamrin, Kelurahan Kebon Sirih, Kecamatan Menteng, Kota Administrasi Jakarta Pusat, Provinsi DKI Jakarta 10340, Republik Indonesia. Tax identification (NPWP): 22.709.627.8-021.000. Business identification (NIB): 2511240128903.
For all matters concerning the processing of personal data of Indonesian data subjects, the controller's primary point of contact is the Data Protection Officer.
2. Data Protection Officer (UU PDP Article 53)
UnitPay has appointed a Data Protection Officer (DPO) consistent with UU PDP Article 53. The Constitutional Court ruling of July 2025 affirmed the mandatory DPO appointment for organisations meeting the criteria under the law.
The DPO can be contacted at dpo@unitpay.net. The DPO oversees compliance with UU PDP, advises on data protection impact assessments, acts as the point of contact for data subjects exercising their rights, and liaises with the Personal Data Protection Authority of the Republic of Indonesia.
3. Categories of personal data processed
UnitPay processes the following categories of personal data:
- Identification data: full name, place and date of birth, nationality, KTP number (Indonesian residents) or passport number (foreign residents), photograph, and biometric template hashes derived from KYC liveness checks.
- Contact data: email address, telephone number, postal address.
- Financial data: bank account numbers (merchant settlement accounts), transaction-level history, payment-method tokens, refund and chargeback records.
- Behavioural and technical data: login times, IP addresses, device fingerprints, session activity, fraud-detection signals.
- KYC artefacts: identity document images at the time of verification (subsequently retained as hashed templates and verification metadata, not as persistent imagery), AML screening reports, sanctions and PEP match adjudications.
4. Lawful basis (UU PDP Article 20)
Processing rests on the lawful bases set out in UU PDP Article 20:
- Contractual necessity: provision of payment services to merchants, settlement of funds, customer-support response.
- Legal obligation: KYC and AML duties under Bank Indonesia, OJK, PPATK, and UU TPPU; complaint-handling under POJK 18/2018; tax obligations.
- Legitimate interest: fraud prevention, transaction security, network and information security, legal-claim defence.
- Consent: cookie analytics and any optional marketing communications. Consent is freely given, informed, specific, and revocable at any time without affecting the lawfulness of processing performed before revocation.
5. Data Subject Rights (UU PDP Articles 5 to 15)
Data subjects whose personal data is processed by UnitPay have the rights set out in UU PDP Articles 5 to 15:
- Right to information about processing (Article 5).
- Right of access to personal data being processed (Article 6).
- Right to update or rectify inaccurate personal data (Article 8).
- Right to erasure of personal data (Article 9), subject to legal obligations to retain.
- Right to restriction of processing (Article 10).
- Right to data portability where technically feasible (Article 11).
- Right to object to processing (Article 12).
- Right to withdraw consent at any time (Article 13), without prejudicing pre-withdrawal lawfulness.
- Right to file a complaint, including with the Personal Data Protection Authority (Article 15).
Rights are exercised by emailing dpo@unitpay.net with the subject line "DSR request" and a description of the right invoked. We respond within the timeline required by UU PDP and applicable implementing regulation, typically within thirty days, with extensions communicated in writing where complexity requires.
6. Retention periods
Retention is set by category, balancing operational need, contractual obligation, and the periods mandated by Indonesian law.
- KYC documentation and AML case files: five years after the merchant relationship ends, per UU TPPU Article 21 and PPATK guidance.
- Transaction records: seven years, in line with Bank Indonesia audit-trail requirements.
- Cookie consent records: one year on a rolling basis or until consent is changed.
- Marketing email lists: deleted twenty-four months after last interaction; UnitPay does not currently operate active marketing lists.
- Complaint and dispute records: seven years from case closure, per POJK 18/2018.
- Security and audit logs: seven years in immutable storage.
7. Data security (UU PDP Article 39)
UnitPay maintains organisational and technical measures appropriate to the risk of processing, in line with UU PDP Article 39. Measures include encryption in transit (TLS 1.2 or higher), encryption at rest (AWS KMS with customer-managed keys in ap-southeast-3), strict role-based access control with multi-factor authentication, audit logging, vendor due diligence, and staff training. Detail is set out in our Security Policy.
The Data Protection Officer oversees that these measures are kept commensurate with risk and reviewed annually. Material gaps are remediated in line with the security incident-response procedure.
8. Breach notification (UU PDP Article 46)
Where a personal data breach meets the threshold under UU PDP Article 46, UnitPay notifies the Personal Data Protection Authority of the Republic of Indonesia and affected data subjects within three times twenty-four hours (3 x 24 hours) of confirmed determination of the breach.
Notification content includes: the categories of personal data affected, the estimated impact on data subjects, the immediate mitigation steps taken, the further measures planned, and contact details for the Data Protection Officer for any further information. Records of breaches and notification are retained as part of the audit trail.
9. International transfers (UU PDP Article 56)
Primary processing is performed in Indonesia, in the Asia Pacific Jakarta region (ap-southeast-3) of our infrastructure provider Amazon Web Services. Limited transfers to specific service providers occur for the purposes set out below:
- KYC vendor (Didit): identity verification and biometric liveness; transferred under European Union General Data Protection Regulation framework, providing adequacy in line with UU PDP Article 56(1)(a).
- AML and ongoing-monitoring vendor: sanctions, PEP, and adverse-media screening, in a tier-one jurisdiction (United Kingdom or European Union); the transfer relies on the equivalent-or-higher protection assessment under UU PDP Article 56(1)(a).
- Cloud infrastructure (Amazon Web Services): primary workloads in Indonesia (ap-southeast-3); limited support workflows may involve AWS staff outside Indonesia under the AWS Data Processing Addendum and ISO 27018 controls.
Each recipient jurisdiction is assessed at vendor onboarding for adequacy under UU PDP Article 56. Where adequacy is not established, transfers proceed only on the basis of binding contractual safeguards or explicit data subject consent, in line with Article 56(1)(b) and (c).
10. Children's data
UnitPay services are not directed at minors under the age of 18 and we do not knowingly collect personal data from minors. Merchants warrant in their Service Agreement that they direct only customers of lawful adult capacity to UnitPay-integrated checkouts. Where we become aware that personal data of a minor has been processed without appropriate consent, we delete the data subject to legal-retention obligations and notify the relevant party.
11. Complaints to the Personal Data Protection Authority
Data subjects who believe that the processing of their personal data by UnitPay infringes UU PDP have the right to lodge a complaint with the Personal Data Protection Authority of the Republic of Indonesia. Such a complaint may be lodged in addition to, and without prejudice to, any internal complaint addressed to the DPO or to our consumer-complaints channel.
We encourage data subjects to contact the DPO first, both because we may be able to resolve the matter directly and to ensure the authority can build on a documented prior exchange.
Effective date: 06 May 2026
Pemberitahuan ini menjelaskan bagaimana PT UNIT GLOBAL SYSTEM memproses data pribadi berdasarkan Undang-Undang Pelindungan Data Pribadi Indonesia (Undang-Undang Nomor 27 Tahun 2022, "UU PDP"). Pemberitahuan ini bersifat khusus Indonesia dan melengkapi Kebijakan Privasi umum kami, yang mengatasi GDPR dan kerangka yurisdiksi lainnya. Apabila terjadi konflik terkait subjek data Indonesia, pemberitahuan ini berlaku.
1. Pengendali Data Pribadi
Pengendali Data Pribadi adalah PT UNIT GLOBAL SYSTEM, perseroan terbatas yang didirikan berdasarkan hukum Republik Indonesia. Kantor terdaftar: Menara Cakrawala Lt. 12 Unit 05A, Jl. M.H. Thamrin, Kelurahan Kebon Sirih, Kecamatan Menteng, Kota Administrasi Jakarta Pusat, Provinsi DKI Jakarta 10340, Republik Indonesia. Identifikasi pajak (NPWP): 22.709.627.8-021.000. Identifikasi usaha (NIB): 2511240128903.
Untuk segala hal yang menyangkut pemrosesan data pribadi subjek data Indonesia, titik kontak utama pengendali adalah Petugas Pelindungan Data.
2. Petugas Pelindungan Data (Pasal 53 UU PDP)
UnitPay telah menunjuk Petugas Pelindungan Data (DPO) sesuai Pasal 53 UU PDP. Putusan Mahkamah Konstitusi Juli 2025 menegaskan kewajiban penunjukan DPO bagi organisasi yang memenuhi kriteria berdasarkan undang-undang.
DPO dapat dihubungi di dpo@unitpay.net. DPO mengawasi kepatuhan terhadap UU PDP, memberi nasihat tentang penilaian dampak pelindungan data, bertindak sebagai titik kontak bagi subjek data yang menggunakan haknya, dan berhubungan dengan Otoritas Pelindungan Data Pribadi Republik Indonesia.
3. Kategori data pribadi yang diproses
UnitPay memproses kategori data pribadi berikut:
- Data identifikasi: nama lengkap, tempat dan tanggal lahir, kewarganegaraan, nomor KTP (penduduk Indonesia) atau nomor paspor (penduduk asing), foto, dan hash template biometrik yang berasal dari pemeriksaan kehidupan KYC.
- Data kontak: alamat email, nomor telepon, alamat pos.
- Data keuangan: nomor rekening bank (rekening settlement merchant), riwayat tingkat transaksi, token metode pembayaran, catatan pengembalian dana dan chargeback.
- Data perilaku dan teknis: waktu login, alamat IP, sidik jari perangkat, aktivitas sesi, sinyal deteksi fraud.
- Artefak KYC: citra dokumen identitas pada saat verifikasi (selanjutnya disimpan sebagai template hash dan metadata verifikasi, bukan sebagai citra persisten), laporan penyaringan AML, ajudikasi kecocokan sanksi dan PEP.
4. Dasar hukum (Pasal 20 UU PDP)
Pemrosesan bertumpu pada dasar hukum yang ditetapkan dalam Pasal 20 UU PDP:
- Kebutuhan kontraktual: penyediaan layanan pembayaran kepada merchant, penyelesaian dana, tanggapan dukungan pelanggan.
- Kewajiban hukum: tugas KYC dan AML berdasarkan Bank Indonesia, OJK, PPATK, dan UU TPPU; penanganan pengaduan berdasarkan POJK 18/2018; kewajiban perpajakan.
- Kepentingan yang sah: pencegahan fraud, keamanan transaksi, keamanan jaringan dan informasi, pembelaan klaim hukum.
- Persetujuan: analitik cookie dan komunikasi pemasaran opsional. Persetujuan diberikan dengan sukarela, terinformasi, spesifik, dan dapat dicabut kapan saja tanpa memengaruhi keabsahan pemrosesan yang dilakukan sebelum pencabutan.
5. Hak Subjek Data (Pasal 5 sampai 15 UU PDP)
Subjek data yang data pribadinya diproses oleh UnitPay memiliki hak yang ditetapkan dalam Pasal 5 sampai 15 UU PDP:
- Hak atas informasi tentang pemrosesan (Pasal 5).
- Hak akses atas data pribadi yang sedang diproses (Pasal 6).
- Hak untuk memperbarui atau memperbaiki data pribadi yang tidak akurat (Pasal 8).
- Hak penghapusan data pribadi (Pasal 9), tunduk pada kewajiban hukum untuk menyimpan.
- Hak pembatasan pemrosesan (Pasal 10).
- Hak portabilitas data apabila secara teknis layak (Pasal 11).
- Hak keberatan terhadap pemrosesan (Pasal 12).
- Hak untuk mencabut persetujuan kapan saja (Pasal 13), tanpa merugikan keabsahan sebelum pencabutan.
- Hak untuk mengajukan pengaduan, termasuk kepada Otoritas Pelindungan Data Pribadi (Pasal 15).
Hak digunakan dengan mengirim email ke dpo@unitpay.net dengan baris subjek "DSR request" dan deskripsi hak yang dipanggil. Kami menanggapi dalam jadwal yang disyaratkan oleh UU PDP dan peraturan pelaksana yang berlaku, umumnya dalam tiga puluh hari, dengan perpanjangan dikomunikasikan secara tertulis apabila kompleksitas mengharuskan.
6. Periode retensi
Retensi ditetapkan berdasarkan kategori, menyeimbangkan kebutuhan operasional, kewajiban kontraktual, dan periode yang diwajibkan oleh hukum Indonesia.
- Dokumentasi KYC dan berkas kasus AML: lima tahun setelah hubungan merchant berakhir, sesuai Pasal 21 UU TPPU dan panduan PPATK.
- Catatan transaksi: tujuh tahun, sesuai persyaratan jejak audit Bank Indonesia.
- Catatan persetujuan cookie: satu tahun secara bergulir atau hingga persetujuan diubah.
- Daftar email pemasaran: dihapus dua puluh empat bulan setelah interaksi terakhir; UnitPay saat ini tidak mengoperasikan daftar pemasaran aktif.
- Catatan pengaduan dan sengketa: tujuh tahun sejak penutupan kasus, sesuai POJK 18/2018.
- Log keamanan dan audit: tujuh tahun dalam penyimpanan immutable.
7. Keamanan data (Pasal 39 UU PDP)
UnitPay memelihara langkah organisasional dan teknis yang sesuai dengan risiko pemrosesan, sesuai Pasal 39 UU PDP. Langkah meliputi enkripsi dalam pengiriman (TLS 1.2 atau lebih tinggi), enkripsi dalam penyimpanan (AWS KMS dengan kunci yang dikelola pelanggan di ap-southeast-3), kontrol akses berbasis peran yang ketat dengan otentikasi multi-faktor, pencatatan audit, uji tuntas vendor, dan pelatihan staf. Detail ditetapkan dalam Kebijakan Keamanan kami.
Petugas Pelindungan Data mengawasi agar langkah-langkah tersebut tetap sebanding dengan risiko dan ditinjau tahunan. Celah material diremediasi sesuai prosedur respons insiden keamanan.
8. Pemberitahuan pelanggaran (Pasal 46 UU PDP)
Apabila pelanggaran data pribadi memenuhi ambang Pasal 46 UU PDP, UnitPay memberitahukan kepada Otoritas Pelindungan Data Pribadi Republik Indonesia dan kepada subjek data terdampak dalam tiga kali dua puluh empat jam (3 x 24 jam) sejak penentuan pelanggaran yang dikonfirmasi.
Konten pemberitahuan meliputi: kategori data pribadi yang terdampak, perkiraan dampak terhadap subjek data, langkah mitigasi segera yang diambil, langkah lebih lanjut yang direncanakan, dan detail kontak Petugas Pelindungan Data untuk informasi lebih lanjut. Catatan pelanggaran dan pemberitahuan disimpan sebagai bagian dari jejak audit.
9. Transfer internasional (Pasal 56 UU PDP)
Pemrosesan utama dilakukan di Indonesia, di kawasan Asia Pacific Jakarta (ap-southeast-3) penyedia infrastruktur kami Amazon Web Services. Transfer terbatas ke penyedia layanan tertentu dilakukan untuk tujuan yang ditetapkan di bawah ini:
- Vendor KYC (Didit): verifikasi identitas dan kehidupan biometrik; ditransfer di bawah kerangka General Data Protection Regulation Uni Eropa, memberikan adekuasi sesuai Pasal 56(1)(a) UU PDP.
- Vendor AML dan pemantauan berkelanjutan: penyaringan sanksi, PEP, dan adverse media, di yurisdiksi tier-1 (Inggris atau Uni Eropa); transfer bertumpu pada penilaian perlindungan setara-atau-lebih-tinggi sesuai Pasal 56(1)(a) UU PDP.
- Infrastruktur cloud (Amazon Web Services): beban kerja utama di Indonesia (ap-southeast-3); alur dukungan terbatas dapat melibatkan staf AWS di luar Indonesia berdasarkan AWS Data Processing Addendum dan kontrol ISO 27018.
Setiap yurisdiksi penerima dinilai pada onboarding vendor untuk adekuasi sesuai Pasal 56 UU PDP. Apabila adekuasi tidak ditetapkan, transfer berlanjut hanya atas dasar pengaman kontraktual yang mengikat atau persetujuan eksplisit subjek data, sesuai Pasal 56(1)(b) dan (c).
10. Data anak
Layanan UnitPay tidak ditujukan kepada anak di bawah usia 18 tahun dan kami tidak dengan sengaja mengumpulkan data pribadi dari anak. Merchant menjamin dalam Perjanjian Layanan mereka bahwa mereka mengarahkan hanya pelanggan dengan kapasitas dewasa yang sah ke checkout yang terintegrasi dengan UnitPay. Apabila kami menyadari bahwa data pribadi anak telah diproses tanpa persetujuan yang sesuai, kami menghapus data tersebut tunduk pada kewajiban retensi hukum dan memberitahukan kepada pihak yang relevan.
11. Pengaduan kepada Otoritas Pelindungan Data Pribadi
Subjek data yang meyakini bahwa pemrosesan data pribadi mereka oleh UnitPay melanggar UU PDP berhak untuk mengajukan pengaduan kepada Otoritas Pelindungan Data Pribadi Republik Indonesia. Pengaduan tersebut dapat diajukan selain, dan tanpa mengurangi, pengaduan internal apa pun yang ditujukan kepada DPO atau ke kanal pengaduan konsumen kami.
Kami mendorong subjek data untuk menghubungi DPO terlebih dahulu, baik karena kami mungkin dapat menyelesaikan persoalan secara langsung maupun untuk memastikan bahwa otoritas dapat membangun di atas pertukaran sebelumnya yang terdokumentasi.
Tanggal berlaku: 06 May 2026