Langsung ke konten utama
Pasal.id

Penilaian Dampak Pelindungan Data

Terakhir ditinjau: 15 Maret 2026

Deskripsi Proyek

Pasal.id adalah platform open-source yang menyediakan akses gratis ke data hukum Indonesia yang terstruktur. Platform ini mengumpulkan data pengguna melalui login OAuth untuk personalisasi dan peningkatan layanan. Penilaian ini dilakukan berdasarkan UU PDP Pasal 34 yang mewajibkan pengendali data untuk melakukan penilaian dampak pelindungan data.

Aktivitas Pemrosesan Data

Login OAuth: nama, email, dan foto profil dari Google. Bookmark: peraturan yang disimpan pengguna (terkait dengan user_id). Pelacakan kunjungan artikel: cookie anonim (pasal_visited), kedaluwarsa 30 hari, tidak terhubung dengan identitas pengguna. Analitik admin: jumlah pendaftaran agregat dan distribusi penyedia (tanpa pelacakan individual).

Penilaian Kebutuhan dan Proporsionalitas

Data OAuth: minimum yang diperlukan untuk identifikasi akun dan komunikasi. Bookmark: fitur inti produk, diinisiasi pengguna. Pelacakan kunjungan: langkah anti-scraping, anonim, kedaluwarsa otomatis. Tidak ada data sensitif/khusus yang dikumpulkan (tidak ada data kesehatan, agama, afiliasi politik, atau biometrik).

Penilaian Risiko

Risiko 1: Kebocoran data email. Kemungkinan: rendah (infrastruktur terkelola Supabase, RLS, kunci layanan terbatas). Dampak: sedang. Mitigasi: enkripsi saat disimpan, TLS, kebijakan RLS di semua tabel. Risiko 2: Transfer lintas batas ke Singapura. Kemungkinan: pasti (Supabase wilayah SG). Dampak: rendah (PDPA Singapura sebanding dengan UU PDP). Mitigasi: persetujuan eksplisit saat login, perlindungan kontraktual via ToS Supabase. Risiko 3: Akses tidak sah melalui token OAuth yang disusupi. Kemungkinan: rendah. Dampak: sedang. Mitigasi: cookie httpOnly, validasi sisi server via getUser(), penyegaran sesi di middleware. Risiko 4: Penyimpanan data berlebihan. Kemungkinan: rendah. Dampak: rendah. Mitigasi: penghapusan 30 hari setelah penghapusan akun, cookie anonim kedaluwarsa otomatis.

Implementasi Hak Subjek Data

Akses: halaman /akun menampilkan semua data tersimpan. Perbaikan: data profil berasal dari penyedia OAuth (pengguna memperbarui di sumber). Penghapusan: tombol hapus akun di /akun, penghapusan cascade, selesai dalam 30 hari. Portabilitas: belum diimplementasi (prioritas rendah — data minimal yang disimpan). Batas waktu respons: 72 jam sesuai UU PDP.

Pemroses Pihak Ketiga

Supabase (database, autentikasi) — wilayah Singapura, bersertifikat SOC2 Tipe II. Vercel (hosting web) — jaringan Edge, tidak ada data pengguna yang disimpan. Google (penyedia OAuth) — data identitas saja, sesuai kebijakan privasi masing-masing.

Jadwal Peninjauan

Peninjauan tahunan, atau saat terjadi perubahan signifikan pada aktivitas pemrosesan data.