ESGAksi Keberlanjutan

Overview

Our Planet

Our People

Our Business

ESG Ratings

Laporan ESG

Kebijakan ESG

Sub Menu

Kebijakan ESG

Telkom telah membentuk unit kerja yang berfungsi untuk melaksanakan pengelolaan aspek Environmental, Social and Governance (ESG) yaitu unit kerja Sustainability yang berada di Departemen Group Sustainability & Corporate Communication yang dipimpin oleh SVP Group Sustainability & Corporate Communication.

Pada Peraturan Perusahaan Nomor: PD.202.62/r.01/HK250/COP-A0200000/2024 tentang Organisasi Departemen Group Sustainability & Corporate Communication, dijelaskan bahwa SVP Group Sustainability & Corporate Communication memiliki peran dan tanggung jawab sebagai orkestrator tata kelola implementasi inisiatif sustainability termasuk di dalamnya aspek environment, social, & governance (ESG). Selain itu, dalam menjalankan tugas dan tanggung jawabnya SVP Group Sustainability & Corporate Communication melapor kepada Direktur Utama.

Berdasarkan Peraturan Perusahaan Nomor: PR.202.72/r.02/HK.250/COP-A0200000/2024 tentang Organisasi Sub Departemen Group Sustainability & Corporate Communication, dicantumkan bahwa SVP Group Sustainability & Corporate Communication menjalankan tanggung jawabnya atas pengelolaan aspek ESG dengan melaksanakan aktivitas utama antara lain:

  • Memastikan ketersediaan kebijakan, tata kelola, dan mekanisme pengelolaan organisasi Departemen Group Sustainability & Corporate Communication;
  • Memastikan ketersediaan rencana kerja jangka panjang dan tahunan, penganggaran, serta evaluasi kinerja untuk aktivitas fungsi group sustainability & corporate communication;
  • Memastikan ketersediaan kerangka kerja ESG yang tepat;
  • Memastikan ketersediaan tujuan, target dan inisiatif ESG;
  • Mengoordinasikan pelaksanaan inisiatif dan evaluasi; dan
  • Memastikan pelaporan dan tata Kelola terkait sustainability melalui dashboard yang terintegrasi di lingkup Telkom Group.

SVP Group Sustainability & Corporate Communication memiliki kewenangan untuk menetapkan metode, parameter, dan evaluasi formulatif pada aktivitas ESG serta berkoordinasi dengan Anak Perusahaan/mitra/agency dalam pelaksanaan program ESG.

Dalam melaksanakan aktivitas pengelolaan aspek ESG, SVP Group Sustainability & Corporate Communication dibantu oleh VP Sustainability yang memiliki tugas dan tanggung jawab sebagai berikut:

  • Memastikan penentuan framework terkait ESG yang tepat, termasuk join operating model, dan memastikan akuntabilitas masing-masing Unit Kerja di lingkungan Telkom Group;
  • Memastikan penetapan tujuan, target, dan inisiatif ESG di seluruh entitas termasuk berkolaborasi dengan CFU/FU/DFU dan anak Perusahaan;
  • Memastikan efektivitas kolaborasi dengan Unit Kerja terkait untuk merancang dashboard yang terintegrasi untuk melakukan pengawasan terkait inisiatif ESG;
  • Memastikan terlaksananya pengelolaan program ESG di seluruh CFU/FU/DFU, termasuk anak Perusahaan;
  • Memastikan terlaksananya proses pengawasan, evaluasi, dan pelaporan inisiatif sustainability ESG Direksi/Dewan Komisaris dan pemangku kepentingan lainnya;
  • Memastikan tersedianya laporan berkala terkait sustainability sesuai ketentuan pasar modal dalam/luar negeri antara lain laporan berkala keberlanjutan yang diperlukan oleh investor dan komunitas pasar modal;
  • Memastikan terlaksananya pengelolaan program ESG yang terkait dengan akuntabilitas Organisasi Departemen Group Sustainability & Corporate Communication;
  • Memastikan pengelolaan branding dan komunikasi baik kepada pihak internal maupun eksternal atas pelaksanaan program ESG; dan
  • Memastikan ketersediaan kebijakan, tata kelola, mekanisme pengelolaan, dan pelaksanaan kegiatan untuk meningkatkan komunikasi dan corporate branding terkait implementasi sustainability Perusahaan.

Struktur tata kelola keberlanjutan di lingkungan Telkom Group terintegrasi melalui pembentukan Komite Sustainability pada tahun 2025 yang diketuai oleh Direktur Utama dan beranggotakan direktur yang membidangi risiko, network dan IT, dan human capital, serta didukung oleh kelompok kerja ESG yang terdiri dari Kepala Unit Kerja terkait.

Dalam menjalankan tugas dan tanggung jawabnya, Komite Sustainability berkoordinasi dengan komite lain di bawah Dewan Komisaris dan Direksi, yang meliputi Komite pengelola tanggung jawab sosial dan lingkungan (TJSL), Komite pengelola risiko, kepatuhan dan revenue assurance, Komite pengelola audit, dan Komite pengelola nominasi dan remunerasi.

TelkomGroup berkomitmen mendukung target pemerintah dalam mencapai Net Zero Emission (NZE) pada tahun 2060. Telkom telah menetapkan baseline dan target dekarbonisasi, serta menjalankan serangkaian inisiatif yang terangkum dalam framework Pilar ESG Telkom - Right Environmental Approach.

Telkom telah mengimplementasikan berbagai langkah untuk mendukung penggunaan energi berkelanjutan di 830 lokasi, termasuk pemanfaatan sel surya, biodiesel, dan mikro hidro. Selain itu, Telkom terus mengoptimalkan pengunaan energi solar cell dan teknologi fuel cell pada Base Transceiver Station (BTS) maupun Data Center yang merupakan penyumbang emisi dan konsumsi energi yang signifikan di perusahaan telekomunikasi. Secara keseluruhan, pada kegiatan operasional, Telkom berupaya mengurangi penggunaan listrik, kertas, dan air sehingga mampu melakukan pengurangan antara 4-21% pada tahun 2023. Dalam pengelolaan emisi, Telkom telah berhasil mengurangi emisi Gas Rumah Kaca pada tahun 2023, dengan pencapaian 1.724.335,18 ton CO2eq yang mengalami penurunan sebesar 7% dibandingkan tahun sebelumnya.

Telkom juga telah melakukan aktivitas penanaman 45.500 pohon mangrove, revegetasi 62.150 pohon di 10 lokasi, dan rehabilitasi 3.920 terumbu karang. Inisiatif-inisiatif ini menunjukkan dedikasi Telkom untuk menjaga dan memulihkan ekosistem alam serta memperkuat komitmen terhadap keberlanjutan lingkungan.

Seiring dengan meningkatnya tantangan iklim, Telkom mengambil langkah strategis dalam menghadapi isu perubahan iklim dengan mengidentifikasi dan mengelompokkan risiko dan peluang terkait perubahan iklim ke dalam 2 (dua) kategori yaitu fisik dan transisi mengacu pada International Financial Reporting Standards (IFRS) S2. Seluruh informasi terkait pengelolaan iklim Telkom telah dicantumkan pada Laporan Risiko Iklim Telkom 2023.

Penerapan manajemen risiko Telkom berlandaskan pada dua kebijakan, yaitu Peraturan Direksi No. PD.614.00/r.02/HK.290/COP-K0A10000/2024 tanggal 3 September 2024 tentang Manajemen Risiko Perusahaan serta Peraturan Direktur Keuangan dan Manajemen Risiko PR.614.00/r.02/HK200/COP-K0000000/2024 tentang Pedoman Implementasi Manajemen Risiko Perusahaan. Kebijakan manajemen risiko Telkom mengacu pada standar ISO 31000:2018 Risk Management – Principles and Guidelines, yang terdiri dari 3 komponen utama, yaitu:

  1. Prinsip (Principle)
    1. Terintegrasi (Integrated)

      Manajemen risiko merupakan bagian yang terintegrasi dengan keseluruhan aktivitas Perseroan.

    2. Terstruktur dan Komprehensif (Structured and Comprehensive)

      Dalam pelaksanaannya, Perseroan melakukan pendekatan terstruktur dan komprehensif, sehingga memberikan hasil yang konsisten dan dapat dibandingkan.

    3. Disesuaikan (Customized)

      Kerangka kerja dan proses manajemen risiko harus disesuaikan dan proporsional dengan konteks eksternal dan internal organisasi sejalan dengan tujuan Perseroan.

    4. Inklusif (Inclusive)

      Diperlukan keterlibatan stakeholder yang tepat dan pada saat yang tepat membuat pengetahuan, pandangan, dan persepsi mereka dapat dipertimbangkan, sehingga meningkatkan awareness terhadap manajemen risiko yang kemudian terinformasi dengan baik.

    5. Dinamis (Dynamic)

      Risiko dapat muncul, berubah, dan menghilang seiring dengan perubahan konteks dan kondisi lingkungan internal dan eksternal Perseroan. Penerapan manajemen risiko harus dapat mengantisipasi, mendeteksi, mengakui, dan merespons perubahan dan peristiwa tersebut dengan cara yang sesuai dan tepat waktu.

    6. Informasi Terbaik yang Tersedia (Best Available Information)

      Manajemen risiko didasarkan pada informasi historis, terkini, dan ekspektasi masa depan. Manajemen risiko secara eksplisit mempertimbangkan segala keterbatasan dan ketidakpastian yang terkait dengan informasi dan ekspektasi tersebut. Informasi harus tepat waktu, jelas, dan tersedia untuk stakeholder terkait.

    7. Faktor Manusia dan Budaya (Human and Culture Factors)

      Perilaku dan budaya yang secara signifikan memengaruhi semua aspek manajemen risiko pada setiap level dan tahapan kegiatan Perseroan.

    8. Perbaikan Berkesinambungan (Continuous Improvement)

      Manajemen risiko terus ditingkatkan melalui pembelajaran dan pengalaman.

  2. Kerangka Kerja (Framework)
    1. Kepemimpinan dan Komitmen (Leadership and Commitment)
      1. Direksi memastikan bahwa manajemen risiko diintegrasikan ke dalam semua aktivitas Perseroan dan harus menunjukkan kepemimpinan dan komitmen, dengan
        • Menyesuaikan dan menerapkan semua komponen kerangka kerja.
        • Mengeluarkan pernyataan atau kebijakan yang menetapkan pendekatan, rencana, atau tindakan manajemen risiko.
        • Memastikan bahwa sumber daya yang diperlukan dialokasikan untuk mengelola risiko.
        • Menetapkan wewenang, tanggung jawab dan akuntabilitas pada tingkat yang sesuai dalam Perseroan.
      2. Manajemen risiko menjadi bagian yang tidak terpisahkan dari tujuan Perseroan, tata kelola, kepemimpinan dan komitmen, strategi, sasaran, dan pengoperasiannya.
    2. Integrasi (Integration)
      1. Manajemen risiko menjadi bagian yang tidak terpisahkan dari tujuan Perseroan, tata kelola, kepemimpinan dan komitmen, strategi, sasaran, dan pengoperasiannya.
      2. Pengintegrasian manajemen risiko ke dalam Perseroan adalah proses yang dinamis dan berulang, serta harus disesuaikan dengan kebutuhan dan budaya Perseroan.
      3. Risiko dikelola di setiap bagian struktur Perseroan, di mana setiap orang dalam Perseroan memiliki tanggung jawab untuk mengelola risiko.
    3. Desain (Design)
      1. Perancangan kerangka kerja pengelolaan risiko dilakukan dengan cara memeriksa dan memahami konteks eksternal dan internal Perseroan.
      2. Direksi dan Dewan Komisaris menunjukkan dan mengartikulasikan komitmen berkelanjutan mereka terhadap manajemen risiko melalui kebijakan, pernyataan, atau bentuk lain, dan dikomunikasikan di dalam Perseroan dan kepada stakeholder.
      3. Wewenang, tanggung jawab, dan akuntabilitas terkait manajemen risiko ditetapkan dan dikomunikasikan di semua tingkat dalam Perseroan.
      4. Manajemen memastikan alokasi sumber daya yang sesuai untuk manajemen risiko.
      5. Perseroan menetapkan pendekatan komunikasi dan konsultasi yang disetujui untuk mendukung kerangka kerja dan memfasilitasi penerapan manajemen risiko yang efektif.
    4. Implementasi (Implementation)

      Implementasi manajemen risiko membutuhkan keterlibatan dan awareness para stakeholder, sehingga memungkinkan Perseroan untuk secara eksplisit mempertimbangkan ketidakpastian dalam pengambilan keputusan.

    5. Evaluasi (Evaluation)

      Perseroan mengevaluasi efektivitas kerangka manajemen risiko dengan mengukur kinerja kerangka kerja manajemen risiko secara periodik.

    6. Perbaikan (Improvement)
      1. Perseroan memantau dan menyesuaikan kerangka kerja manajemen risiko untuk mengantisipasi perubahan eksternal dan internal.
      2. Perseroan terus meningkatkan kesesuaian, kecukupan, dan efektivitas kerangka kerja manajemen risiko dan cara mengintegrasikan proses manajemen risiko.
  3. Proses (Process)

    Proses manajemen risiko menjadi bagian integral dari manajemen dalam pengambilan keputusan, secara terintegrasi dalam struktur, operasi dan proses di dalam Perseroan, serta diterapkan pada tingkat strategis, operasional, program atau proyek. Proses manajemen risiko terdiri dari:

    1. Komunikasi dan Konsultasi (Communication and Consultation)
      1. Komunikasi ditujukan untuk meningkatkan awareness dan pemahaman risiko.
      2. Konsultasi mencakup umpan balik (feedback) dan informasi yang diperoleh untuk mendukung pengambilan keputusan.
      3. Komunikasi dan konsultasi membantu stakeholder terkait dalam memahami risiko, sebagai dasar dalam membuat keputusan dan alasan dilakukannya tindakan tertentu yang diperlukan.
      4. Komunikasi dan konsultasi dengan stakeholder baik eksternal maupun internal yang terkait dilakukan di seluruh langkah proses manajemen risiko.
    2. Penetapan Ruang Lingkup, Konteks dan Kriteria Manajemen Risiko (Scope, Context and Criteria)
      1. Penetapan ruang lingkup, konteks dan kriteria dilakukan dalam rangka untuk menyesuaikan proses manajemen risiko, untuk selanjutnya dilakukan penilaian risiko yang efektif dan penanganan risiko yang sesuai.
      2. Penetapan konteks proses manajemen risiko dilakukan berdasarkan pemahaman terhadap lingkungan eksternal dan internal perusahaan, serta harus mencerminkan lingkungan spesifik dari aktivitas dimana proses manajemen risiko akan diterapkan.
      3. Perusahaan menentukan jumlah dan jenis risiko yang dapat diterima, relatif terhadap tujuan perusahaan, disamping itu perusahaan juga harus menetapkan kriteria untuk mengevaluasi signifikansi risiko dan untuk mendukung proses pengambilan keputusan.
    3. Penilaian Risiko (Risk Assessment)
      1. Risk identification

        Adalah proses untuk menemukan, mengenali, dan mendeskripsikan risiko dalam pencapaian tujuan Perseroan. Informasi yang relevan, sesuai, dan terkini penting dalam mengidentifikasi risiko.

      2. Risk analysis

        Adalah proses untuk memahami sifat dan karakteristik risiko termasuk tingkat risikonya. Analisis risiko melibatkan pertimbangan rinci tentang ketidakpastian, sumber risiko, konsekuensi, kemungkinan, peristiwa, skenario, pengendalian, dan keefektifannya. Suatu peristiwa dapat memiliki banyak penyebab dan konsekuensi, dan dapat pula memengaruhi berbagai tujuan.

      3. Risk evaluation

        Adalah proses untuk mendukung pengambilan keputusan. Evaluasi risiko melibatkan perbandingan hasil analisis risiko dengan kriteria risiko yang ditetapkan untuk menentukan di mana tindakan tambahan diperlukan.

    4. Perlakuan Risiko (Risk Treatment)
      1. Perlakuan risiko adalah untuk memilih dan menerapkan opsi untuk menangani risiko, yang terdiri dari:
        • Menghindari risiko
        • Menerima risiko
        • Memitigasi risiko
        • Membagi/mentransfer risiko
      2. Rencana perlakuan terhadap risiko harus diintegrasikan ke dalam rencana dan proses manajemen Perseroan melalui konsultasi dengan stakeholder yang sesuai.
    5. Pemantauan & Tinjauan (Monitoring & Review)
      1. Monitoring dan review adalah untuk memastikan dan meningkatkan kualitas serta efektivitas dari desain proses, implementasi, dan hasil manajemen risiko.
      2. Monitoring dan review harus dilakukan di semua tahapan proses, mencakup perencanaan, pengumpulan dan analisis informasi, pendokumentasian hasil, serta pemberian umpan balik.
    6. Pencatatan & Pelaporan (Recording & Reporting)
      1. Proses manajemen risiko dan hasilnya harus didokumentasikan dan dilaporkan melalui mekanisme yang sesuai.
      2. Pelaporan merupakan bagian yang tidak terpisahkan dari tata kelola Perseroan dan dimaksudkan untuk meningkatkan kualitas dialog dengan stakeholder serta mendukung Direksi dan Dewan Komisaris dalam memenuhi tanggung jawabnya.

Telkom menerapkan model tata kelola risiko tiga lini (three lines model) dalam melaksanakan manajemen risiko dengan fungsi dan peran sebagai berikut:

  1. Lini pertama sebagai unit pemilik risiko, merupakan unit yang langsung mengidentifikasi dan mengelola risiko dalam proses bisnis.
  2. Lini kedua sebagai fungsi manajemen risiko dan kepatuhan, merupakan unit yang memiliki fungsi review untuk suatu transaksi, mengukur, memantau dan memperlakukan risiko secara agregat, mengembangkan metodologi dan kebijakan manajemen risiko.
  3. Lini ketiga sebagai fungsi audit intern, merupakan unit yang memastikan tata kelola dan pengendalian risiko diterapkan secara efektif oleh perusahaan.

Kebijakan manajemen risiko Telkom memuat hal-hal sebagai berikut:

  1. Penetapan strategi risiko terintegrasi dari anak perusahaan ke Telkom.
  2. Penetapan selera risiko (risk appetite), toleransi risiko (risk tolerance), dan batasan risiko (risk limit) yang memperhatikan kapasitas risiko (risk capacity).
  3. Penetapan taksonomi risiko.
  4. Penetapan penggunaan metode pengukuran dan sistem informasi manajemen risiko.
  5. Penyusunan rencana darurat (contingency plan) dalam kondisi terburuk (worst case scenario).

Dalam penentuan risk appetite statement (RAS), Telkom dapat menggunakan 4 (empat) sikap terhadap risiko, diantaranya sebagai berikut:

  1. Tidak toleran, yaitu:
    1. Sangat berhati-hati dalam mengambil risiko dan lebih memilih menjaga stabilitas dan konsistensi dalam operasi bisnis; dan
    2. Keputusan bisnis didasarkan pada pemeliharaan modal.
  2. Konservatif, yaitu:
    1. Berhati-hati dalam mengambil risiko, dengan memilih beberapa risiko yang terkendali tetapi tetap memprioritaskan kestabilan usaha; dan
    2. Keputusan bisnis didasarkan pada upaya untuk melindungi nilai dari risiko besar yang tidak terduga termasuk didalamnya menghindari paparan terhadap fluktuasi pasar yang signifikan serta dapat menanggung beban yang kecil.
  3. Moderat, yaitu:
    1. Bersedia mengambil risiko dalam batas tertentu untuk mencapai pertumbuhan dan keuntungan, tetapi tetap memperhatikan perlindungan terhadap kerugian besar; dan
    2. Keputusan bisnis mempertimbangkan peluang pertumbuhan dan dampak risiko secara bersamaan dan dapat menanggung beban yang sedang.
  4. Strategis, yaitu:
    1. Secara aktif menerapkan strategi yang melibatkan pengelolaan risiko sebagai bagian integral dari rencana bisnis, mengambil risiko lebih tinggi dalam rangka mencapai pertumbuhan dan inovasi yang lebih besar; dan
    2. Keputusan bisnis didasarkan pada analisis risiko dan potensi pengembalian investasi jangka panjang serta dapat menanggung beban yang besar.

Pemantauan dan evaluasi manajemen risiko salah satunya dilakukan melalui penilaian tingkat hasil indeks kematangan manajemen risiko (risk maturity index), yang dilakukan setiap tahun. Penilaian risk maturity index menggunakan metode penilaian sesuai dengan peraturan perundang-undangan dan/atau best practice industri. Dimensi penilaian risk maturity index terdiri dari:

  1. Budaya dan kapabilitas risiko
  2. Organisasi dan tata kelola risiko
  3. Kerangka risiko dan kepatuhan
  4. Proses dan kontrol risiko
  5. Model, data, dan teknologi risiko

Organ pengelola risiko yang terlibat dalam implementasi manajemen risiko yaitu Dewan Komisaris, Direksi, Komite Audit, Komite pemantau Risiko, Komite Tata Kelola Terintegrasi, Direktur yang membidangi fungsi pengelolaan Risiko, Direktur yang membidangi fungsi pengelolaan keuangan, dan unit yang membidangi fungsi audit intern. Selain itu pihak lainnya yang terlibat dalam implementasi manajemen risiko diantaranya kepala unit/senior leader, karyawan, dan anak perusahaan.

Telkom telah menetapkan kebijakan pengelolaan Environmental, Social and Governance (ESG) untuk mendukung keberlanjutan Perusahaan yang dicantumkan pada Peraturan Perusahaan Nomor: PD.704.00/r.00/HK290/DSC-M0200000/2025 tentang Tata Kelola Sustainability Telkom Group.

Kebijakan ini disusun untuk memberikan pedoman penyelenggaraan aktivitas/mekanisme pengelolaan Environmental, Social and Governance (ESG) di lingkungan Telkom Group dan bertujuan untuk memastikan bahwa pengelolaan ESG terselenggara secara memadai dan proporsional sesuai dengan perkembangan Telkom Group, Good Corporate Governance, dan prinsip kehati-hatian serta mendukung pencapaian Tujuan Pembangunan Berkelanjutan.

Implementasi Sustainability di lingkungan Telkom Group dilaksanakan dengan menerapkan prinsip-prinsip integrity, outcomes-focused, equity, risks and opportunities, evidence-based dan maturity. Di samping itu, pilar utama Sustainability terdiri dari Environmental (lingkungan), Social (sosial), Governance (tata kelola).

Pilar environmental (lingkungan) merupakan kerangka kerja yang menilai kegiatan sebuah perusahaan dan/atau supplier/partner yang berdampak pada lingkungan. Topik pada pilar environmental terdiri dari perubahan Iklim & manajemen energi dan manajemen sumber daya.

Pilar social (sosial) merupakan kerangka kerja yang menilai kegiatan sebuah perusahaan yang berdampak pada aksi sosial, termasuk kepada karyawan baik langsung maupun tidak langsung, pelanggan, dan masyarakat sekitar. Topik pada pilar social terdiri dari hubungan pelanggan, inklusivitas digital & pelibatan komunitas, keberagaman, kesetaraan, dan inklusi, serta kesehatan & keselamatan karyawan.

Pilar governance (tata kelola) merupakan kerangka kerja yang menilai kualitas dan ketepatan pengambilan keputusan, struktur tata kelola, dan distribusi tanggung jawab kepada para pemangku kepentingan. Topik pada pilar governance terdiri dari kepatuhan regulasi, praktik bisnis beretika, keamanan siber & perlindungan data, dan good corporate governance (GCG).

Pengelolaan ESG dilakukan berdasarkan kerangka kerja pengelolaan risiko dan peluang ESG yang mempertimbangkan kepemimpinan & komitmen, integrasi, desain, implementasi, evaluasi, dan perbaikan berkelanjutan.

Pengelolaan ESG dilakukan untuk:

  • Memfasilitasi keterlibatan pemangku kepentingan;
  • Mengintegrasikan keinginan dan harapan pemangku kepentingan secara sistematis; dan
  • Membantu pengambilan keputusan yang tepat untuk masa depan organisasi dan/atau Perusahaan yang lebih baik.

Aktivitas pengelolaan ESG terdiri dari:

  • Identifikasi risiko dan peluang ESG;
  • Penilaian dan evaluasi dampak ESG;
  • Penetapan target, strategi, dan program ESG; dan
  • Pelaporan, pengungkapan, dan komunikasi informasi ESG.

Orkestrasi implementasi pengelolaan ESG menjadi tanggung jawab unit kerja pengelola Sustainability.

Respectful Workplace (RWP) merupakan lingkungan kerja yang aman, menghargai serta melindungi harkat dan martabat manusia, mengedepankan sikap saling menghormati, bebas dari diskriminasi, pengucilan atau pembatasan, perundungan dan pelecehan serta berbagai bentuk kekerasan lainnya baik mental maupun fisik bagi seluruh pihak yang berinteraksi dalam Perusahaan dalam rangka menciptakan lingkungan kerja yang inklusif, kondusif dan produktif untuk mendorong keberlanjutan perusahaan dan menjunjung tinggi hak asasi manusia. Telkom berkomitmen untuk menciptakan lingkungan kerja yang inklusif dan sehat sebagai wujud dalam mengimplementasikan nilai-nilai utama (core values) AKHLAK (Amanah, Kompeten, Harmonis, Loyal, Adaptif, Kolaboratif), terutama nilai Harmonis agar dapat mendorong karyawan untuk meningkatkan kreativitas, produktivitas, dan engagement dalam berinteraksi untuk melaksanakan pekerjaan secara optimal. Hal ini dicantumkan pada Peraturan Perusahaan Nomor: PR.209.10/r.00/HK.200/COP-A0700000/2023 tanggal 27 Juni 2023 tentang Respectful Workplace.

Kebijakan ini merupakan turunan dari Surat Edaran Menteri BUMN No: SE-3/MBU/04/2022 tanggal 14 April 2022 tentang Kebijakan Berperilaku Saling Menghargai di Tempat Kerja (Respectful Workplace Policy) di Lingkungan Badan Usaha Milik Negara serta merujuk pada Keputusan Menteri Ketenagakerjaan Republik Indonesia No. 88 Tahun 2023 tentang Pedoman Pencegahan dan Penanganan Kekerasan Seksual di Tempat Kerja. Selain itu, dorongan terhadap implementasi DEIB (Diversity, Equity, Inclusivity and Belonging) dalam tataran global, menjadi hal yang masih menjadi sorotan pada tahun mendatang.

Terdapat 3 (tiga) bentuk penyimpangan terhadap RWP yaitu:

  1. Diskriminasi adalah setiap pembedaan, peminggiran (marjinalisasi), pembatasan dan/atau pengucilan yang langsung ataupun tak langsung dibuat atas dasar agama, suku, ras, etnik, bahasa, kelompok, golongan, status sosial, termasuk status perkawinan, status ekonomi, jenis kelamin, bahasa, pilihan politik, disabilitas, yang memiliki dampak atau tujuan terhadap pengurangan atau penghapusan atas pengakuan, pelaksanaan atau penggunaan hak asasi manusia dan kebebasan dasar, sehingga mengakibatkan ketidaksetaraan kesempatan atau pembedaan perlakuan atas seseorang atau kelompok orang dalam aktivitas Perusahaan serta dalam interaksi sosial di lingkungan kerja;
  2. Kekerasan adalah setiap tindakan atau perbuatan dan perilaku, termasuk ancaman atau isyarat untuk melakukan tindakan, paksaan, atau perampasan secara sewenang- wenang, terhadap orang lain di Tempat Kerja, yang muncul baik secara publik atau privat, yang dapat menyebabkan kerugian/kerusakan atau penderitaan fisik, psikologis, seksual, maupun ekonomi; dan
  3. Pelecehan adalah segala sikap, perkataan, tindakan/perbuatan/perilaku, atau isyarat baik di Tempat Kerja maupun berbagai media komunikasi yang tidak sesuai dengan hukum atau ketentuan perundang-undangan tentang hak asasi manusia yang bertujuan mengintimidasi dan memberikan dampak buruk pada aspek fisik, psikologis/mental, seksual, maupun ekonomi yang membuat seseorang merasa terintimidasi, terhina, tersinggung, direndahkan, atau dipermalukan dan mengakibatkan kesulitan dalam melaksanakan tugas atau menyebabkan seseorang merasa dirinya bekerja dalam iklim perusahaan yang tidak kondusif, yang juga dapat menyebabkan risiko terhadap keamanan, kesehatan, dan keselamatan.

Bentuk Diskriminasi yaitu sebagai berikut:

  1. Diskriminasi gender;
  2. Diskriminasi SARA;
  3. Diskriminasi usia;
  4. Diskriminasi pandangan politik;
  5. Diskriminasi disabilitas atau kondisi fisik;
  6. Diskriminasi asal sekolah.

Bentuk Kekerasan yaitu sebagai berikut:

  1. Pemukulan, penganiayaan, atau bentuk serangan lainnya baik tanpa/dengan alat/benda;
  2. Pemaksaan dan pemerasan untuk melakukan atau tidak melakukan sesuatu;
  3. Pengancaman baik secara langsung maupun tidak langsung;
  4. Pengancaman dan/atau penyanderaan hak ekonomi Karyawan dan/atau Karyawan Mitra Kerja, seperti tidak membayarkan remunerasi dan/atau uang lembur;
  5. Pemerkosaan dan penganiayaan secara seksual;
  6. Pemaksaan tindakan seksual pada Korban disabilitas, pingsan, atau dalam keadaan tidak sadar.

Bentuk Pelecehan yaitu sebagai berikut:

  1. Physical (Fisik/Tindakan);
  2. Verbal (Lisan);
  3. Non-Verbal (Isyarat);
  4. Visual (Visual);
  5. Emotional (Emosional);
  6. Tulisan.

Telkom memiliki mekanisme dalam penanganan dan tindak lanjut pelaporan terhadap pelanggaran RWP. Kegiatan penanganan meliputi penerimaan pelaporan, pemeriksaan, pendampingan, pelindungan, pengenaan sanksi dan pemulihan korban. Jika mengalami atau menyaksikan penyimpangan RWP, Telkom telah menyediakan media pelaporan melalui website https://id.deloitte-halo.com/telkomwbs/ , email rwp@telkom.co.id , manajer lini, HC di regional dan human capital service operation. Prinsip penanganan dapat dilakukan dalam bentuk media pelaporan diakses, simpatik & serius, jaminan kerahasiaan, victim centered approach, keadilan & kesetaraan gender dan penyandang disabilitas, independen, pelindungan hak (korban, saksi dan terlapor), dan pencegahan retaliasi (kejadian terulang kembali).

Telkom telah meningkatkan awareness karyawan melalui pelatihan kepada seluruh karyawan serta memberikan pelatihan kepada karyawan yang berada pada posisi yang memungkinkan untuk menerima pengaduan penyimpangan RWP dalam bentuk first responder training. Telkom juga telah memiliki satuan tugas yang bertujuan untuk pembentukan tim pelaporan, investigasi, pendampingan, pelindungan di mana anggota tim yang berasal dari karyawan Telkom yang berasal dari parent dan anak perusahaan.

Pada tahun 2024, Telkom mendapatkan penghargaan dari United Nation WEP Awards untuk kategori gender responsive workplace. Penghargaan ini merupakan pengakuan UN Women terhadap komitmen perusahaan yang mendukung kesetaraan gender dan pemberdayaan perempuan di lingkungan kerja. Tentunya ini juga merupakan implementasi dari core values AKHLAK yang menjadi pedoman bagi perusahaan dan seluruh insan TelkomGroup.

Telkom telah menetapkan kebijakan pengelolaan keberlangsungan bisnis Perusahaan yang dicantumkan pada Peraturan Perusahaan Nomor: PD.616.00/r.00/HK200/COO-D0030000/2015 tanggal 31 Desember 2015 tentang Sistem Pengelolaan Kelangsungan Bisnis Perusahaan (Business Continuity Management System) sebagai pedoman dalam menentukan langkah-langkah strategis dalam rangka menjaga, mempertahankan dan memulihkan kelangsungan bisnis Perusahaan secara cepat dan tepat dari berbagai macam kejadian yang berpotensi menimbulkan insiden berupa ancaman, gangguan, dan/atau bencana serta memastikan terlindunginya kepentingan stakeholder, reputasi serta value Perusahaan.

Dalam rangka menjamin terselenggaranya kelangsungan bisnis, maka Perusahaan menetapkan skenario keberlangsungan bisnis Perusahaan (Enterprise Business Continuity Plan Scenario) yang dilaksanakan dengan kegiatan berikut:

  1. Menetapkan methodology scenario;
  2. Melakukan analisis dampak bisnis Business Impact Analysis (BIA);
  3. Melakukan penilaian risiko (risk assessment) yang berpotensi mengancam dan mengganggu kelangsungan bisnis, baik yang disebabkan oleh faktor internal maupun eksternal; dan
  4. Melakukan penyusunan Rencana, Strategi, Pengetesan, dan Simulasi terhadap Kelangsungan Bisnis atau Business Continuity Plan Strategy Exercise and Testing (BCP-SET) yang dilakukan berdasarkan hasil penilaian risiko.

Penjabaran Rencana, Strategi, Pengetesan, dan Simulasi terhadap Kelangsungan Bisnis dicantumkan dalam bentuk dokumen Business Continuity Plan Strategy Exercise & Testing (BCP-SET) dan didukung oleh dokumen hasil Business Impact Analysis (BIA) dan Risk Assessment, dokumen Disaster Recovery Plan (DRP), dokumen rencana dan hasil testing BCP/DRP.

Dalam rangka mengantispasi dan menanggulangi bencana yang menghambat kelangsungan bisnis Perusahaan, maka Telkom telah menetapkan Kebijakan Penanggulangan bencana yang diatur dalam Peraturan Perusahaan Nomor: PR 616.01/r.01/HK200/COP-D0030000/2023 tanggal 27 Juni 2023 tentang Pedoman Penanggulangan Bencana. Peraturan ini merupakan pedoman untuk melakukan penanggulangan terhadap bencana (bencana alam, bencana non alam, dan bencana sosial) yang dapat menimpa Karyawan dan Perusahaan.

Peraturan ini mencakup ruang lingkup sebagai berikut:

  1. Penanggulangan Bencana yang meliputi bencana alam, bencana non alam, dan bencana sosial;
  2. Penanganan penanggulangan bencana oleh organisasi definitif dan Crisis Management Team (CMT);
  3. Mekanisme eksalasi penanggulangan bencana;
  4. Anggaran penanggulangan bencana;
  5. Posko penanggulangan bencana; dan
  6. Evaluasi dan pelaporan penanggulangan bencana.

Penanggulangan bencana pertama kali dilakukan oleh organisasi definitif di lokasi atau daerah yang mengalami bencana dan dipimpin oleh pimpinan organisasi definitif, hal ini dilakukan apabila kerusakan yang terjadi akibat bencana tersebut tidak berdampak signifikan terhadap Karyawan, Aset Perusahaan dan/atau reputasi Perusahaan. Penanggulangan bencana oleh organisasi definitive adalah penanggulangan bencana yang mempergunakan sumber daya dari unit kerja atau unit bisnis definitif sesuai dengan kondisi normal di lokasi atau daerah tersebut. Penanggulangan bencana oleh organisasi definitif dilaksanakan sebagai berikut:

  1. Pimpinan organisasi definitif bertugas dan bertanggung jawab untuk:
    1. Memerintahkan seluruh personel yang berada di dalam gedung/atau area bencana (karyawan, mitra kerja, tenant, tamu/pelanggan) untuk segera melakukan penyelamatan diri (evakuasi) sesuai dengan prosedur yang berlaku dengan bantuan personal dari unit pengelola fungsi Keamanan dan keselamatan atau satpam.
    2. Memerintahkan unit pengelola fungsi Keamanan dan keselamatan atau satpam untuk mengoordinir penyelamatan terhadap personal dan Aset Perusahaan.
    3. Mencari informasi terkait bencana yang terjadi dan melakukan evaluasi/Tindakan sebagai berikut:
      1. Apabila tidak terjadi korban jiwa terhadap personal dan/atau tidak ada kerusakan terhadap Aset Perusahaan yang signifikan, maka memerintahkan semua personal untuk beraktivitas kembali seperti normal;
      2. Apabila terdapat korban jiwa terhadap personal yang dapat ditangani oleh organisasi definitif dan/atau terjadi kerusakan terhadap Aset Perusahaan yang tidak mengganggu fungsi administrasi, alat Produksi dan layanan bisnis maka memerintahkan semua personal untuk beraktivitas kembali seperti normal;
      3. Apabila organisasi definitif tidak dapat menanggulangi bencana atau terdapat korban jiwa dan/atau kerusakan alat produksi yang signifikan atau berdampak besar terhadap Karyawan, Aset Perusahan, dan/atau reputasi Perusahaan atau terdapat pernyataan penetapan dari pemerintah telah terjadi becana maka pimpinan organisasi definitif melaporkan kepada Pimpinan CMT Wilayah/ CMT Regional/ CMT Nasional dengan tembusan kepada pimpinan unit pengelola fungsi Human Capital & Business Partner selaku Koordinator Tanggap Darurat Nasional untuk ekskalasi penanggulangan Bencana.
    4. Setelah aktivitas kembali seperti normal maka:
      1. Meminta bantuan kepada personal dari unit pengelola fungsi kesehatan untuk memberikan pertolongan pertama kepada personal yang mengalami korban jiwa; dan
      2. Memerintakan unit fungsional terkait untuk melakukan proses perbaikan terhadap alat produksi yang mengalami kerusakan untuk mendukung layanan bisnis Perusahaan.
    5. Melaporkan Bencana yang terjadi kepada pimpinan di atasnya dengan tembusan kepada Sekretaris CMT Nasional meliputi:
      1. Laporan hasil evaluasi dampak dari Bencana terhadap Perusahaan (korban jiwa, kerusakan alat produksi dan layanan bisnis); dan
      2. Laporan tindakan penanggulangan bencana yang sudah dilaksanakan.
    6. Melakukan notifikasi "selesai" untuk bencana yang sudah ditanggulangi oleh organisasi definitive.
  2. Unit pengelola fungsi keamanan dan keselamatan atau satpam dalam organisasi definitif bertugas dan bertanggung jawab untuk:
    1. Menyisir gedung/area bencana untuk melakukan pengecekan terhadap personal dan Aset Perusahaan;
    2. Memberikan pertoongan pertama kepada personal yang mengalami korban jiwa, dan apabila diperlukan membawa korban jiwa ke Poliklinik/Rumah Sakit terdekat;
    3. Melakukan penyelamatan terhadep Aset dengan mematikan aliran listrik. mematikan aliran gas, mematikan alran air, memadamkan api, menghidupkan pompa penyedot air, menghidupkan hydrant dan sebagainya untuk mencegah timbulnya kerusakan yang lebih besar apabila diperlukan;
    4. Mencatat/ mendata personal yang mengalami korban jiwa dan Aset Perusahaan yang mengalami kerusakan;
    5. Mensterilkan lingkungan dan mengamankan gedung/area Bencana.
  3. Sekretaris CMT Nasional menindaklanjuti laporan bencana dari pimpinan organisasi definitif, dengan memberi masukan-masukan untuk percepatan penanggulangan bencana dan membuat laporan kepada Pimpinan CMT Nasional dan Senior Leaders terkait dengan bencana yang terjadi dan penanggulangannya.
  • Mekanisme penanggulangan Bencana oleh Organisasi Definitif dan mekanisme ekskalasi penanggulangan Bencana kepada CMT.

    • Apabila penanggulangan bencana tidak dapat dilakukan oleh organisasi definitif maka pimpinan organisasi definitif dapat mengekskalasikan kepada pimpinan CMT secara berjenjang. Penanggulangan bencana dilakukan CMT apabila:

    1. Organisasi definitif tidak mampu menanggulangi bencana yang terjadi;
    2. Kerusakan yang terjadi akibat bencana berdampak signifikan terhadap karyawan, aset Perusahaan dan/atau reputasi Perusahaan; atau
    3. Adanya pernyataan pemerintah setempat yang menetapkan telah terjadi bencana.

    Penanggulangan bencana oleh CMT dilakukan melalui CMT Wilayah, Regional, dan Nasional. CMT diaktifkan oleh pimpinan CMT secara proporsional sesuai tingkatan bencana apabila:

    1. Bencana yang terjadi menimbulkan korban jiwa akan tetapi tidak menimbulkan kerusakan alat Produksi secara signifikan, serta Organisasi eksisting tidak mampu melakukan penanggulangan bencana maka CMT Wilayah, Regional dan Nasional diaktifkan terbatas (limited activation);
    2. Bencana yang terjadi menimbulkan korban jiwa dan/atau menimbulkan kerusakan alat Produksi secara signifikan, serta Organisasi definitif tidak mampu melakukan penanggulangan bencana maka CMT Wilayah diaktifkan secara penuh (full activation) sedangkan CMT Regional dan Nasional diaktifkan sesuai kebutuhan (full/limited activation);
    3. Bencana yang terjadi menimbulkan korban jiwa dan/atau menimbulkan kerusakan alat Produksi secara signifikan, serta CMT Wilayah tidak mampu melakukan penanggulangan karena area bencana meluas lebih dari satu wilayah, maka CMT Regional diaktifkan secara penuh (full activation); dan
    4. Bencana yang terjadi menimbulkan korban jiwa dan/atau menimbulkan kerusakan alat Produksi secara signifikan, serta CMT Regional tidak mampu melakukan penanggulangan karena area bencana meluas lebih dari satu regional, maka CMT Nasional diaktifkan secara penuh (full activation).

    Telkom telah membentuk unit kerja yang berfungsi untuk melaksanakan pengelolaan aspek Environmental, Social and Governance (ESG) yaitu unit kerja Sustainability yang dipimpin oleh VP Sustainability.

    Berdasarkan Peraturan Perusahaan Nomor: PR.202.72/r.02/HK.250/COP-A0200000/2024 tentang Organisasi Sub Departemen Group Sustainability & Corporate Communication, unit kerja Sustainability memiliki tugas dan tanggung jawab sebagai berikut:

    1. Memastikan penentuan framework terkait ESG yang tepat, termasuk join operating model, dan memastikan akuntabilitas masing-masing Unit Kerja di lingkungan Telkom Group;
    2. Memastikan penetapan tujuan, target, dan inisiatif ESG di seluruh entitas termasuk berkolaborasi dengan CFU/FU/DFU dan anak Perusahaan;
    3. Memastikan efektivitas kolaborasi dengan Unit Kerja terkait untuk merancang dashboard yang terintegrasi untuk melakukan pengawasan terkait inisiatif ESG;
    4. Memastikan terlaksananya pengelolaan program ESG di seluruh CFU/FU/DFU, termasuk anak Perusahaan;
    5. Memastikan terlaksananya proses pengawasan, evaluasi, dan pelaporan inisiatif sustainability ESG Direksi/Dewan Komisaris dan pemangku kepentingan lainnya;
    6. Memastikan tersedianya laporan berkala terkait sustainability sesuai ketentuan pasar modal dalam/luar negeri antara lain laporan berkala keberlanjutan yang diperlukan oleh investor dan komunitas pasar modal;
    7. Memastikan terlaksananya pengelolaan program ESG yang terkait dengan akuntabilitas Organisasi Departemen Group Sustainability & Corporate Communication;
    8. Memastikan pengelolaan branding dan komunikasi baik kepada pihak internal maupun eksternal atas pelaksanaan program ESG; dan
    9. Memastikan ketersediaan kebijakan, tata kelola, mekanisme pengelolaan, dan pelaksanaan kegiatan untuk meningkatkan komunikasi dan corporate branding terkait implementasi sustainability Perusahaan.

    Di samping itu, Telkom telah membentuk Komite Sustainability yang diketuai oleh Direktur Utama. Komite Sustainability merupakan komite yang bertugas dalam penyelenggaraan aktivitas/mekanisme pengelolaan ESG yang menghimpun seluruh fungsi ESG untuk memudahkan proses koordinasi dan kolaborasi dalam pencapaian tujuan ESG, hal ini dicantumkan pada Peraturan Perusahaan Nomor PD.704.00/r.00/HK290/DSC-M0200000/2025 tentang Tata Kelola Sustainability Telkom Group.

    Komite Sustainability memiliki tugas dan tanggung jawab atas efektivitas implementasi pengelolaan ESG di lingkungan Telkom Group sehingga seluruh aktivitas/mekanisme pengelolaan ESG dapat terlaksana dengan baik melalui aktivitas, antara lain:

    1. Mengawasi, menetapkan, dan memberikan arahan terkait sasaran, rencana, strategi, peta jalan, kebijakan, inisiatif, dan ukuran kinerja ESG termasuk Perubahan Iklim;
    2. Memastikan bahwa Perusahaan telah menjalankan program keberlanjutan pada sektor ESG;
    3. Melakukan monitoring pelaksanaan mitigasi risiko dan peluang dari aktivitas operasional Perusahaan terhadap ESG;
    4. Melakukan pengawasan pencapaian kinerja ESG termasuk Perubahan Iklim berdasarkan penilaian pihak ketiga, Lembaga Pemeringkat ESG, kepentingan investor, dan/atau pemangku kepentingan lainnya; dan
    5. Memastikan publikasi Laporan Keberlanjutan termasuk Perubahan Iklim sesuai ketentuan yang berlaku, memenuhi kebutuhan para pemegang saham serta pemangku kepentingan lainnya.

    Telkom telah menetapkan kebijakan yang mengatur etika bisnis di lingkungan Telkom Group yang dicantumkan pada Peraturan Perusahaan Nomor: PD 201.01/r.00/PS150/COP-B0400000/2014 tanggal 6 Mei 2014 tentang Etika Bisnis di Lingkungan Telkom Group. Kebijakan ini bertujuan untuk meningkatkan kemampuan penyesuaian diri terhadap perubahan lingkungan eksternal dengan menegakkan prinsip Good Corporate Governance (GCG) serta mewujudkan bisnis yang berkinerja unggul, berkesinambungan dan dijalankan dengan menaati kaidah-kaidah etika yang sejalan dengan hukum dan peraturan yang berlaku.

    Kebijakan ini mengatur etika kerja karyawan dan etika usaha. Etika kerja karyawan merupakan sistem nilai atau norma yang digunakan oleh seluruh karyawan dan pemimpin dalam bekerja sehari-hari yang mencakup perilaku sebagai berikut:

    1. Perilaku Utama Karyawan:
      1. Kapasitas dan kapabilitas karyawan;
      2. Kewajiban dan larangan;
      3. Kerahasiaan informasi;
      4. Infrastruktur; dan
      5. Lingkungan Kerja.
    2. Perilaku Utama Pemimpin:
      1. Perilaku Pemimpin;
      2. Perilaku Direksi; dan
      3. Perilaku Chief Executive Officer (CEO) dan Chief Financial Officer (CFO).

    Etika usaha merupakan sistem nilai atau norma yang dianut oleh Perusahaan sebagai acuan Perusahaan, Manajemen dan Karyawannya untuk berhubungan dengan lingkungannya dengan lingkup sebagai berikut:

    1. Hubungan dengan regulator;
    2. Hubungan dengan stakeholders; dan
    3. Ketentuan tambahan.

    Telkom telah menetapkan tata kelola keberlanjutan Perusahaan yang dicantumkan pada Peraturan Perusahaan Nomor: PD.704.00/r.00/HK290/DSC-M0200000/2025 tentang Tata Kelola Sustainability Telkom Group. Melalui peraturan tersebut Telkom telah membentuk Komite Sustainability yang diketuai oleh Direktur Utama dan beranggotakan direktur yang membidangi risk, network dan IT, dan human capital, serta didukung oleh kelompok kerja ESG yang terdiri dari Kepala Unit Kerja terkait.

    Komite Sustainability merupakan komite yang bertugas dalam penyelenggaraan aktivitas/mekanisme pengelolaan ESG yang menghimpun seluruh fungsi ESG untuk memudahkan proses koordinasi dan kolaborasi dalam pencapaian tujuan ESG.

    Komite Sustainability memiliki tugas dan tanggung jawab atas efektivitas implementasi pengelolaan ESG di lingkungan Telkom Group sehingga seluruh aktivitas/mekanisme pengelolaan ESG dapat terlaksana dengan baik melalui aktivitas, antara lain:

    1. Mengawasi, menetapkan, dan memberikan arahan terkait sasaran, rencana, strategi, peta jalan, kebijakan, inisiatif, dan ukuran kinerja ESG termasuk Perubahan Iklim;
    2. Memastikan bahwa Perusahaan telah menjalankan program keberlanjutan pada sektor ESG;
    3. Melakukan monitoring pelaksanaan mitigasi risiko dan peluang dari aktivitas operasional Perusahaan terhadap ESG;
    4. Melakukan pengawasan pencapaian kinerja ESG termasuk Perubahan Iklim berdasarkan penilaian pihak ketiga, Lembaga Pemeringkat ESG, kepentingan investor, dan/atau pemangku kepentingan lainnya; dan
    5. Memastikan publikasi Laporan Keberlanjutan termasuk Perubahan Iklim sesuai ketentuan yang berlaku, memenuhi kebutuhan para pemegang saham serta pemangku kepentingan lainnya.

    Dalam menjalankan tugas dan tanggung jawabnya, Komite Sustainability berkoordinasi dengan komite lain di bawah Dewan Komisaris dan Direksi, yang meliputi Komite pengelola tanggung jawab sosial dan lingkungan (TJSL), Komite pengelola risiko, kepatuhan dan revenue assurance, Komite pengelola audit, dan Komite pengelola nominasi dan remunerasi.

    Telkom telah menetapkan tata kelola keamanan dan keselamatan Perusahaan yang dicantumkan pada Keputusan Direksi Nomor: KD.37/UM400/COO-D0030000/2010 tentang Pengelolaan Keamanan dan Keselamatan Perusahaan (Enterprise Security & Safety Governance). Kebijakan ini mengatur berbagai kegiatan pengamanan dan penyelamatan terhadap aset Perusahaan mulai dari pengamanan fisik dan non-fisik sampai dengan implementasi dan kesehatan kerja.

    Perusahaan menganut 11 (sebelas) acuan dasar Pengelolaan Keamanan dan Keselamatan Perusahaan yaitu:

    1. Keamanan dan Keselamatan merupakan perhatian Perusahaan, Keamanan dan Keselamatan dikelola sebagai “issue” Perusahaan, ruang lingkup programnya meliputi seluruh Aset Perusahaan termasuk namun tidak terbatas pada Karyawan, produk, perencanaan, kebijakan, prosedur, sistem, teknologi, jaringan dan informasi Perusahaan.
    2. Keamanan dan Keselamatan dikelola berdasarkan Risiko, penetapan tingkat Keamanan dan Keselamatan yang memadai harus didasarkan pada tingkat Risiko yang bisa diterima oleh Perusahaan, baik itu Risiko operasional, Risiko pasar, Risiko strategis maupun Risiko keuangan.
    3. Keamanan dan Keselamatan merupakan akuntabilitas Pimpinan, pengelolaan Keamanan dan Keselamatan merupakan akuntabilitas Pimpinan Perusahaan.
    4. Keamanan dan Keselamatan merupakan kebutuhan bisnis, Keamanan dan Keselamatan merupakan kebutuhan untuk kelangsungan bisnis Perusahaan, dengan demikian Rencana Keamanan dan Keselamatan Perusahaan harus selaras dengan strategi Perusahaan, kebijakan Perusahaan, rencana manajemen risiko dan syarat kepatuhan.
    5. Karyawan yang sadar dan terlatih, seluruh Karyawan harus mengerti hak, kewajiban dan tanggung jawab sebagai bagian dari Pengelolaan Keamanan dan Keselamatan Perusahaan. Perusahaan harus mempunyai program untuk menciptakan budaya sadar dan patuh bagi seluruh Karyawan terhadap aspek Keamanan dan Keselamatan yang dapat dijabarkan pada uraian tugas dan tanggung jawab di Perusahaan.
    6. Peta peran dan tanggung jawab yang jelas, pengelola Keamanan dan Keselamatan harus dijabat oleh orang yang mempunyai kualifikasi di bidang Keamanan dan Keselamatan. Penetapan peran dan tanggung jawab serta fungsi pengelolaan Keamanan dan Keselamatan harus jelas, sehingga pemisahan fungsi, akuntabilitas dan manajemen risiko perusahaan bisa berjalan efektif.
    7. Termuat dalam kebijakan, Pengelolaan Keamanan dan Keselamatan Perusahaan harus diijabarkan dalam serangkaian kebijakan dan prosedur yang didukung dengan anggaran dan sumber daya manusia yang kompeten.
    8. Terdapat sumber daya yang memadai, pihak yang terkait dengan pengelolaan Keamanan dan Keselamatan harus memiliki sumber daya, otoritas dan waktu yang memadai untuk membangun serta menjaga sistem Pengelolaan Keamanan dan Keselamatan Perusahaan yang efektif dan efisien.
    9. Menjadi acuan dalam pengembangan sistem, seluruh tahapan pengembangan sistem, sistem perangkat keras maupun perangkat lunak termasuk tahapan akuisisi, inisiasi, persyaratan teknis, arsitektur/desain sistem, pengujian, operasional, pemeliharaan, dan penonaktifan harus memperhatikan aspek Keamanan dan Keselamatan.
    10. Merupakan program yang terencana, terstruktur, dan terukur, Keamanan dan Keselamatan harus menjadi bagian yang tidak terpisahkan dari strategi, modal, dan rencana operasional Perusahaan, bisa dicapai dan dijalankan melalui kendali dan parameter yang efektif.
    11. Review dan Audit, untuk memastikan bahwa Rencana Keamanan dan Keselamatan Perusahaan telah dibuat, dijalankan dan dijaga performansinya sesuai dengan tingkat Risiko yang telah ditetapkan, harus dilakukan review dan audit secara rutin dan berkala serta dilaporkan ke Komite Risiko Perusahaan untuk ditindaklanjuti.

    Pengelolaan Keamanan dan Keselamatan Perusahaan diterapkan di setiap Unit Kerja, dengan tujuan untuk memastikan terlaksananya manajemen Keamanan dan Keselamatan Perusahaan dan menindaklanjuti risiko Keamanan dan Keselamatan dalam kegiatan Operasional Perusahaan.

    Sasaran dari penerapan Pengelolaan Keamanan dan Keselamatan Perusahaan yaitu:

    1. Terlaksananya koordinasi dan komunikasi seluruh risiko Keamanan dan Keselamatan untuk memastikan bahwa manajemen telah cukup memperhatikan dan menanggapi dengan cepat Risiko tersebut;
    2. Memastikan Rencana Keamanan dan Keselamatan Perusahaan dilaksanakan dalam tugas dan tanggung jawab pekerjaan serta diterapkan dalam proses bisnis masing–masing; dan
    3. Mengelola Keamanan dan Keselamatan Perusahaan yang sejalan dengan strategi Keamanan dan Keselamatan Perusahaan, manajemen risiko Perusahaan, dan Rencana Keamanan dan Keselamatan Perusahaan.

    Asas Pengelolaan Sistem Keamanan dan Keselamatan Perusahaan yaitu:

    1. Fungsi Keamanan dan Keselamatan harus melekat dalam setiap jiwa karyawan, terutama bagi Unit Security & Safety pelaksana utama dalam pengelolaan sistem Keamanan dan Keselamatan;
    2. Unit Security & Safety dapat melakukan pola kerja sama dengan lembaga lain sesuai dengan ketentuan yang berlaku;
    3. Pengorganisasian sistem Keamanan dan Keselamatan menganut pendekatan kesatuan fungsi dengan memperhatikan prinsip kesatuan komando dan kesatuan wilayah pengamanan;
    4. Penerapan Rencana Keamanan dan Keselamatan Perusahaan melalui kebijakan/bisnis proses/prosedur kerja/bentuk dokumen lainnya dilakukan secara melekat dan terus menerus di lingkungan Perusahaan;
    5. Rencana Keamanan dan Keselamatan Perusahaan lebih mengutamakan pada pendekatan preemtif dan preventif; dan
    6. Penerapan Rencana Keamanan dan Keselamatan Perusahaan harus memperhatikan prinsip cost & benefit serta efektivitas & efisiensi.

    Pada kegiatan Pengelolaan Keamanan dan Keselamatan Perusahaan dilakukan penyusunan Rencana Keamanan dan Keselamatan Perusahaan yang dibuat melalui suatu proses terstruktur yang melibatkan seluruh Unit Kerja, didasarkan pada kebutuhan bisnis Perusahaan, ketentuan regulator yang berlaku dan kerjasama dengan pihak eksternal bilamana diperlukan. Rencana Keamanan dan Keselamatan dalam operasionalnya dijabarkan dalam kebijakan/bisnis proses/prosedur kerja/bentuk dokumen lainnya yang menjadi pedoman bagi seluruh karyawan dalam peran sertanya menjaga Keamanan dan Keselamatan Perusahaan.

    Ruang lingkup pengelolaan Keamanan berdasarkan sistem dan objektif dibagi menjadi 2 (dua) kelompok yaitu:

    1. Pengamanan Aset Fisik (physical security) yang terdiri dari:
      1. Pengamanan Lingkungan (environment security), meliputi pengendalian akses terhadap lingkungan Perusahaan; perlindungan terhadap lokasi Aset dari Gangguan dan risiko kerusakan, dan menjaga agar Aset Perusahaan tidak menimbulkan bahaya/risiko untuk masyarakat di sekitar lokasi Aset Perusahaan; dan
      2. Pengamanan Personel (person security), meliputi pengamanan dan pengawalan terhadap orang atau pejabat yang termasuk dalam kategori penting, pengaturan dan pemberian tanda pengenal kepada setiap Personel, memastikan bahwa setiap Personel yang berada di lokasi Perusahaan melaksanakan aktivitas sesuai dengan maksud dan tujuan yang telah disepakati, evakuasi Personel dalam kondisi darurat, dan menumbuhkembangkan kesadaran terhadap pentingnya Keamanan dan Keselamatan secara berkala kepada seluruh Personel.
    2. Pengamanan Aset Non Fisik (non physical security) yang terdiri dari:
      1. Pengamanan Sistem Jaringan (network system security) meliputi mencegah akses illegal/ tanpa otoritas terhadap sistem jaringan, meminimalkan interupsi dan gangguan terhadap sistem jaringan, menghambat invasi aplikasi, program dan perangkat lunak yang dapat mengganggu atau merusak sistem jaringan dan informasi di dalamnya, dan menerapkan penggunaan sistem Keamanan jaringan yang terintegrasi dan handal; dan
      2. Pengamanan Sistem Informasi (Information System Security) meliputi penggunaan, modifikasi atau pengrusakan informasi Perusahaan secara tidak sah, menjaga Keamanan perangkat komputer, jaringan dan media penyimpanan data, dan menjamin hak kepemilikan (proprietary right)/ hak cipta Perusahaan atas informasi.

    Ruang lingkup pengelolaan Keselamatan adalah sebagai berikut:

    1. Sistem Manajemen Keselamatan dan kesehatan Kerja (SMK3), aktivitasnya meliputi:
      1. Mencegah terkena aliran listrik yang berbahaya;
      2. Mencegah dan mengendalikan timbulnya penyakit akibat kerja baik fisik maupun psikis;
      3. Menyediakan pertolongan pertama pada kecelakaan;
      4. Memelihara kebersihan, kesehatan dan ketertiban;
      5. Menyediakan peralatan pelindung diri; dan
      6. Menciptakan keserasian antara Karyawan, alat kerja dan lingkungan kerja;
      7. Memelihara segala jenis bangunan.
    2. Pengelolaan asuransi terhadap Personel Perusahaan; dan
    3. Panitia Pembina Keselamatan dan Kesehatan Kerja (P2K3), yang dibentuk oleh pimpinan tertinggi di tempat kerja, yang anggotanya terdiri dari berbagai unsur manajemen, Karyawan, Pengawas Keselamatan dan Kesehatan Kerja (K3) dan perwakilan organisasi Serikat Karyawan.

    Struktur Organisasi P2K3 terdiri dari:

    1. Ketua : Pimpinan Unit Kerja;
    2. Sekretaris : Karyawan yang memiliki sertifikat Pengawas K3 dari Departemen Tenaga Kerja;
    3. Anggota : perwakilan dari manajemen, Unit Kerja, Karyawan, Pengawas K3, dan Serikat Karyawan.

    Fungsi P2K3 adalah membantu manajemen Perusahaan dalam menyusun kebijakan dan pedoman kerja dalam upaya Meningkatkan Keselamatan dan Kesehatan Kerja. Sedangkan Tugas pokok P2K3 yaitu memberikan saran kepada manajemen Perusahaan dalam masalah Keselamatan dan Kesehatan Kerja serta membantu meningkatkan pengawasan, penyuluhan, pelatihan, penelitian dan pemeliharaan lingkungan kerja sesuai standar K3, sekaligus pencegahan terhadap dampak negatif yang mungkin terjadi. Di samping itu, untuk administrasi pengelolaan P2K3 menjadi tanggungjawab Unit Security & Safety.

    Strategi Pengelolaan Keamanan dan Keselamatan Perusahaan dilakukan melalui 4 (empat) langkah yaitu:

    1. Preemtif dan Preventif, merupakan strategi pencegahan terhadap terjadinya Gangguan Keamanan dan Keselamatan Perusahaan;
    2. Deteksi, merupakan strategi yang melakukan identifikasi awal terhadap adanya Gangguan Keamanan dan Keselamatan Perusahaan;
    3. Recovery, merupakan strategi pemulihan setelah terjadinya Gangguan Keamanan dan Keselamatan Perusahaan;
    4. Korektif, merupakan strategi perbaikan terhadap Gangguan Keamanan dan Keselamatan Perusahaan dengan tujuan untuk mencegah terjadinya kembali Gangguan Keamanan dan Keselamatan yang sama.

    Rencana Keamanan dapat meliputi:

    1. Rencana Umum, merencanakan/ memprogramkan kekuatan dan kemampuan yang akan digunakan terhadap sasaran pengamanan dalam situasi normal;
    2. Rencana Pengamanan Situasi Darurat, merencanakan/ memprogramkan kekuatan dan kemampuan yang akan digunakan terhadap sasaran pengamanan dalam situasi darurat;
    3. Rencana Pengamanan Khusus¸ merencanakan/ memprogramkan kekuatan dan kemampuan yang akan digunakan terhadap sasaran pengamanan dalam situasi khusus, seperti Ancaman/Gangguan bom, penyanderaan, pembajakan, sabotase, pembunuhan, penculikan dan sebagainya;

    Sedangkan Rencana Keselamatan dapat meliputi penurunan risiko kecelakaan akibat kerja dan penurunan risiko Gangguan kesehatan akibat pekerjaan serta lingkungan kerja.

    Evaluasi terhadap kinerja keamamanan dan Keselamatan dilakukan minimal setiap 1 (satu) tahun sekali oleh Unit Security & Safety dalam bentuk pemantauan, pemeriksaan dan penilaian.Sedangkan audit secara menyeluruh terhadap kinerja Keamanan dan Keselamatan dilakukan secara periodik minimal setiap 1 (satu) tahun sekali atau secara insidentil dilaksanakan oleh tim khusus yang ditunjuk, bila dipandang perlu dapat dilakukan oleh Eksternal Auditor. Pelaksanaan evaluasi dan audit mengacu kepada standar evaluasi dan audit yang berlaku. Hasil evaluasi dan atau audit dilaporkan kepada pimpinan Perusahaan secara hirarki untuk ditindak lanjuti dan dilakukan perbaikan secara terus menerus. Reward & punishment dapat diterapkan terhadap hasil evaluasi dan audit dengan mempertimbangkan anggaran yang tersedia dan peraturan yang berlaku.

    Telkom berkomitmen untuk melindungi Aset informasi dalam rangka meminimalisasi risiko berbagai macam Ancaman yang dapat mengganggu kelangsungan bisnis, memaksimalkan pemanfaatan peluang bisnis, dan menjaga citra Perusahaan. Hal ini diwujudkan melalui penetapan Peraturan Perusahaan Nomor: PD.406.00/r.01/HK200/COP-D0500000/2024 tanggal 18 Desember 2024 tentang Tata Kelola Keamanan Informasi.

    Ruang lingkup Peraturan ini mencakup kebijakan umum tata kelola Keamanan Informasi, kontrol Organisasi, kontrol Personel, kontrol fisik, kontrol teknologi, dan kepatuhan tata kelola Keamanan Informasi.

    Prinsip pengelolaan Keamanan Informasi meliputi kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability).

    Kerangka kerja penerapan Keamanan Informasi dilaksanakan dengan ketentuan sebagai berikut:

    1. Keamanan informasi harus dikendalikan sepanjang seluruh siklus hidup informasi, mulai dari saat informasi diciptakan hingga saat informasi dimusnahkan;
    2. Pengelolaan Keamanan Informasi dilakukan melalui implementasi seperangkat Kontrol yang dirancang untuk melindungi informasi secara menyeluruh;
    3. Seperangkat Kontrol Keamanan Informasi mencakup kebijakan, peraturan, proses, prosedur, struktur organisasi, serta komponen hardware atau software;
    4. Implementasi Kontrol Keamanan Informasi harus dilaksanakan dan didukung oleh seluruh Personel sesuai dengan tugas/kewenangannya serta melibatkan pihak berkepentingan yang relevan; dan
    5. Kontrol Keamanan Informasi harus diimplementasikan dan dimonitor secara berkelanjutan, ditinjau serta ditingkatkan secara berkala demi memenuhi kebutuhan bisnis dan persyaratan Keamanan Informasi yang berlaku.

    Kontrol organisasi merupakan kategori Kontrol yang berupa upaya pengelolaan risiko Aset informasi melalui kebijakan, prosedur, struktur yang mengatur pengelolaan dan pengawasan praktik keamanan suatu organisasi, serta memastikan integrasi dengan proses, tata kelola, manajemen risiko, dan Kepatuhan.

    Kontrol organisasi terdiri dari:

    1. Peta peran pengelolaan Keamanan Informasi, yang ditetapkan oleh direktur yang membidangi Keamanan Informasi;
    2. Segregation of duties, yaitu pemisahan terhadap fungsi development dan operation;
    3. Tanggung jawab jajaran Manajemen, yaitu memastikan bahwa seluruh Personel menerapkan pengamanan Informasi sesuai dengan kebijakan Keamanan Informasi, Kebijakan Topik Spesifik, dan prosedur Keamanan Informasi yang telah ditetapkan;
    4. Hubungan dengan otoritas, yaitu Perusahaan menjalin dan memelihara komunikasi dengan otoritas terkait antara lain penegak hukum, pemegang kebijakan, dan supplier utilitas, emergency services, health dan safety yang meliputi fire department, penyedia telekomunikasi, supplier listrik, dan supplier air;
    5. Hubungan dengan kelompok minat Khusus, yaitu Perusahaan menjalin dan memelihara hubungan dengan kelompok minat khusus atau forum spesialis keamanan dan asosiasi profesional;
    6. Threat Intelligence, yaitu Perusahaan mengumpulkan dan menganalisis informasi terkait Ancaman Keamanan Informasi untuk menghasilkan Threat Intelligence yang relevan, memberikan wawasan, kontekstual untuk memberikan situational awareness termasuk pergerakan bisnis perusahaan, dan dapat ditindaklanjuti;
    7. Keamanan Informasi dalam Project Management, yaitu Keamanan Informasi harus terintegrasi ke dalam suatu Project Management yang berlaku bagi setiap proyek terlepas dari kompleksitas, ukuran, durasi, disiplin, dan area aplikasi;
    8. Inventarisasi Aset, yang dilakukan secara akurat, up to date, konsisten, dan selaras dengan inventaris lainnya. Setiap Aset yang teridentifikasi harus ditentukan kepemilikannya kepada individu atau kelompok tertentu serta tipe klasifikasinya;
    9. Pengembalian Aset, dilakukan oleh Personel atau pihak berkepentingan terkait lain kepada Perusahaan pada saat terjadi pemutusan hubungan kerja, kontrak, atau perjanjian;
    10. Kontrol akses, yaitu Perusahaan menetapkan dan mengimplementasikan aturan Kontrol akses fisik dan logical terhadap informasi dan Aset terkait berdasarkan kebutuhan bisnis dan Keamanan Informasi;
    11. Manajemen identitas, yaitu pengelolaan keseluruhan Siklus Hidup Identitas sesuai dengan ketentuan yang berlaku;
    12. Informasi autentikasi, yaitu alokasi dan pengelolaan Informasi Autentikasi harus dikendalikan oleh proses manajemen, termasuk anjuran tentang penanganan Informasi Autentikasi yang tepat;
    13. Hak akses, yaitu Hak akses terhadap informasi dan Aset disediakan, ditinjau, dimodifikasi dan dihapus sesuai dengan kebijakan yang ditetapkan oleh direktur yang membidangi Keamanan Informasi;
    14. Keamanan Informasi dalam hubungan dengan Supplier, diterapkan oleh Perusahaan dan Supplier sejak dimulainya penggunaan produk atau layanan milik Supplier hingga penghentian penggunaan produk atau layanan;
    15. Pencantuman aspek Keamanan Informasi dalam perikatan dengan Supplier, yaitu Perusahaan menetapkan dan menyepakati persyaratan Keamanan Informasi yang relevan dengan masing-masing Supplier produk dan layanan TIK berdasarkan jenis relasi dalam perikatan antara Perusahaan dengan Supplier.
    16. Pemantauan, peninjauan, dan manajemen perubahan layanan Supplier, yang dilaksanakan secara rutin;
    17. Keamanan Informasi untuk penggunaan layanan cloud, yaitu proses untuk memperoleh, menggunakan, mengelola, dan berhenti dari layanan cloud ditetapkan sesuai dengan persyaratan Keamanan Informasi;
    18. Perencanaan dan persiapan manajemen Insiden Keamanan Informasi, dilaksanakan dengan menetapkan dan mengomunikasikan proses, peran, dan tanggung jawab pengelolaan Insiden Keamanan Informasi;
    19. Penilaian dan keputusan tentang Peristiwa Keamanan Informasi, dilakukan untuk menentukan kategori peristiwa tersebut sebagai insiden atau bukan insiden yang kemudian diprioritisasi untuk mengidentifikasi konsekuensi dan prioritas suatu insiden;
    20. Respon Insiden Keamanan Informasi, harus sesuai dengan prosedur yang terdokumentasi;
    21. Pembelajaran dari Insiden Keamanan Informasi, digunakan untuk memperkuat dan meningkatkan Kontrol Keamanan Informasi;
    22. Pengumpulan bukti, harus dapat menunjukan bahwa record lengkap dan tidak diubah secara tidak sah, salinan bukti elektronik identik dengan yang asli, dan setiap sistem informasi beroperasi dengan benar pada saat bukti direkam;
    23. Keamanan Informasi selama Gangguan, diwujudkan dengan penetapan rencana terkait pengawasan Keamanan Informasi pada tingkat yang sesuai pada masa Gangguan. Rencana pemeliharaan atau pemulihan proses bisnis kritis setelah terjadi interupsi dan kegagalan harus dikembangkan, diimplementasikan, diuji, dinilai serta dievaluasi. Keamanan Informasi harus dipulihkan kepada level yang sesuai dan waktu yang telah dipersyaratkan;
    24. Kesiapan Teknologi Informasi Komunikasi untuk keberlangsungan bisnis, direncanakan, diterapkan, dipelihara, dan diuji berdasarkan tujuan keberlangsungan bisnis dan persyaratan keberlangsungan TIK; dan
    25. Dokumentasi prosedur operasi, ditinjau dan diperbarui sesuai kebutuhan.

    Kontrol Personel merupakan kategori Kontrol yang berupa upaya pengelolaan risiko Aset informasi yang berhubungan dengan individu.

    Kontrol Personel terdiri dari:

    1. Penyeleksian Personel, dilakukan melalui pemeriksaan latar belakang terhadap semua calon kandidat dilakukan sebelum dan setelah bergabung dengan Perusahaan, dengan memperhatikan ketentuan dan etika yang berlaku serta proporsional terhadap kebutuhan bisnis, klasifikasi informasi yang akan diakses, dan risiko yang dirasakan;
    2. Syarat dan ketentuan kerja terkait Keamanan Informasi, harus memuat tanggung jawab Personel dan Perusahaan terhadap Keamanan Informasi;
    3. Awareness Keamanan Informasi, pendidikan, dan pelatihan, dilaksanakan secara reguler untuk mendapatkan update Kebijakan Keamanan Informasi serta kebijakan dan prosedur topik spesifik yang relevan dengan fungsi pekerjaannya;
    4. Proses pendisiplinan, diatur dalam kebijakan Perusahaan dan dikomunikasikan untuk mengambil tindakan terhadap Personel dan pihak berkepentingan terkait lainnya yang telah melakukan pelanggaran Kebijakan Keamanan Informasi;
    5. Tanggung jawab setelah pemutusan hubungan kerja atau perubahan penugasan, yang masih berlaku sesuai syarat dan ketentuan kerja, kontrak, atau perjanjian kerja harus ditegakkan serta dikomunikasikan kepada Personel terkait dan pihak berkepentingan lainnya;
    6. Keamanan Informasi dalam pelaksanaan kerja jarak jauh, dilaksanakan untuk melindungi informasi yang diakses, diproses, dan/atau disimpan di lokasi kerja setempat.; dan
    7. Pelaporan Peristiwa Keamanan Informasi, diamati atau dicurigai dilaporkan melalui saluran dan mekanisme yang disediakan Perusahaan.

    Kontrol fisik merupakan kategori Kontrol yang berupa upaya pengelolaan risiko Aset informasi yang berhubungan dengan objek fisik.

    Telkom berkomitmen untuk memberikan nilai (value creation) yang didasarkan pada kebutuhan pemangku kepentingan melalui penyelarasan bisnis dengan jaminan Pelindungan Data Pribadi untuk dapat mewujudkan manfaat bisnis (benefit realization). Telkom patuh terhadap Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi, hal ini diwujudkan dengan penerbitan Peraturan Perusahaan Nomor: PD.407.00/r.00/HK270/COP-M0600000/2024 tanggal 27 Agustus 2024 tentang Tata Kelola Pelindungan Data Pribadi Telkom Group.

    Peraturan ini bertujuan untuk memberikan pedoman (guidance) bahwa Pelindungan Data Pribadi dilakukan untuk pencapaian pembentukan nilai (value creation) yang didasarkan pada kebutuhan stakeholder Perusahaan (stakeholder needs) melalui penyelarasan bisnis dengan jaminan Pelindungan Data Pribadi sehingga implementasi tata kelola Pelindungan Data Pribadi di Perusahaan dapat mewujudkan manfaat bisnis (benefit realization), mengoptimalkan pengelolaan risiko (risk optimization), dan mengoptimalkan pengelolaan sumber daya (resource optimization).

    Ruang lingkup Peraturan ini mencakup:

    1. Dasar Pemrosesan Data Pribadi;
    2. Pengendalian Akses Data Pribadi;
    3. Akurasi, Keamanan, dan Kerahasiaan Data Pribadi;
    4. Pengendalian Pemrosesan Data Pribadi; dan
    5. Pengawasan Pelindungan Data Pribadi.

    Asas-asas dalam Pelindungan Data Pribadi di lingkungan Perusahaan, meliputi:

    1. Asas pelindungan dan kepastian hukum;
    2. Asas kepentingan umum dan kemanfaatan;
    3. Asas kehati-hatian;
    4. Asas keseimbangan;
    5. Asas pertanggungjawaban; dan
    6. Asas kerahasiaan.

    Jenis Data Pribadi yang dilindungi meliputi Data Pribadi yang bersifat spesifik dan Data Pribadi yang bersifat umum. Data Pribadi yang bersifat spesifik meliputi data dan informasi kesehatan, biometric, genetika, catatan kejahatan, data anak, keuangan pribadi, dan data lainnya sesuai dengan ketentuan peraturan perundang-undangan. Sedangkan Data Pribadi yang bersifat umum meliputi nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, dan data Pribadi yang dikombinasikan mengidentifikasi seseorang.

    Dasar Pemrosesan Data Pribadi meliputi:

    1. Persetujuan yang sah secara eksplisit dari Subjek Data Pribadi;
    2. Pemenuhan kewajiban perjanjian;
    3. Pemenuhan kewajiban hukum dari Unit Pengendali Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan;
    4. Pemenuhan pelindungan kepentingan vital Subjek Data Pribadi;
    5. Pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan Unit Pengendali Data Pribadi berdasarkan Peraturan perundang-undangan; dan/atau
    6. Pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan Unit Pengendali Data Pribadi dan hak Subjek Data Pribadi.

    Pada Pemrosesan Data Pribadi, Unit Pengendali Data Pribadi wajib menyampaikan informasi kepada Subjek Data Pribadi, dalam bentuk tertulis atau secara elektronik dengan menggunakan teknologi sesuai kebutuhan, mengenai legalitas dan tujuan Pemrosesan Data Pribadi, jenis; relevansi; dan jangka waktu retensi dokumen yang memuat Data Pribadi, rincian mengenai informasi yang dikumpulkan, jangka waktu Pemrosesan Data Pribadi, serta hak Subjek Data Pribadi. Informasi tersebut meliputi:

    1. Identitas Unit Pengendali Data Pribadi dan/atau Unit Prosesor Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan;
    2. Sumber pengumpulan dan tujuan pengiriman Data Pribadi;
    3. Dasar dan Tujuan Pemrosesan Data Pribadi;
    4. Jenis Data Pribadi;
    5. Dasar hukum penggunaan Data Pribadi;
    6. Jangka waktu Data Pribadi akan digunakan, disimpan dan dimusnahkan;
    7. Tata cara penyimpanan dan pengelolaan Data Pribadi;
    8. Informasi pihak yang akan menggunakan Data dalam hal Unit Pengendali Data Pribadi melibatkan prosesor Data Pribadi;
    9. Mekanisme persetujuan dan penarikan persetujuan dalam hal Pemrosesan Data Pribadi dilaksanakan berdasarkan persetujuan yang sah secara eksplisit dari Subjek Data Pribadi dan pemenuhan kewajiban perjanjian;
    10. Mekanisme memperoleh akses dan/atau salinan, menyampaikan keberatan, akses; salinan; verifikasi; dan perbaikan Data Pribadi; dan
    11. Langkah keamanan untuk melindungi Data Pribadi.

    Penghentian, Penundaan, dan Pembatasan Pemrosesan dilakukan dengan kondisi sebagai berikut:

    1. Unit Pengendali Data Pribadi wajib menghentikan Pemrosesan Data Pribadi dalam hal Subjek Data Pribadi menarik kembali persetujuan Pemrosesan Data Pribadi.
    2. Unit Pengendali Data Pribadi wajib melakukan penundaan dan pembatasan Pemrosesan Data Pribadi baik sebagian maupun seluruhnya paling lambat 3 x 24 (tiga kali dua puluh empat) jam terhitung sejak Unit Pengendali Data Pribadi menerima permintaan penundaan dan pembatasan Pemrosesan Data Pribadi.
    3. Unit Pengendali Data Pribadi wajib memberitahukan telah dilaksanakan penundaan dan pembatasan Pemrosesan Data Pribadi kepada Subjek Data Pribadi.

    Pengendalian Akses Data Pribadi dilaksanakan dengan ketentuan sebagai berikut:

    1. Unit Pengendali Data Pribadi wajib memberikan akses kepada Subjek Data Pribadi dalam jangka waktu paling lambat 3 x 24 (tiga kali dua puluh empat) jam terhitung sejak Unit Pengendali Data Pribadi menerima permintaan akses dari Subjek Data Pribadi.
    2. Unit Pengendali Data Pribadi wajib menolak permohonan akses perubahan terhadap Data Pribadi kepada Subjek Data Pribadi dalam hal:
      1. Membahayakan keamanan, kesehatan fisik, atau kesehatan mental Subjek Data Pribadi dan/atau orang lain;
      2. Berdampak pada pengungkapan Data Pribadi milik orang lain; dan/atau
      3. Bertentangan dengan kepentingan pertahanan dan keamanan nasional.
    3. Unit Pengendali Data Pribadi dan Unit Prosesor Data Pribadi wajib melindungi Data Pribadi dari pemrosesan yang tidak sah serta mencegah Data Pribadi diakses secara tidak sah.

    Beberapa hal yang dilakukan untuk memastikan akurasi, kelengkapan, dan konsistensi Data Pribadi yaitu:

    1. Unit Pengendali Data Pribadi dan Unit Prosesor Data Pribadi wajib melakukan verifikasi;
    2. Unit Pengendali Data Pribadi wajib memperbarui dan/atau memperbaiki kesalahan dan/atau ketidakakuratan Data Pribadi; dan
    3. Unit Pengendali Data Pribadi wajib memberitahukan hasil pembaruan dan/atau perbaikan Data Pribadi kepada Subjek Data Pribadi.

    Unit Pengendali Data Pribadi, Unit Prosesor Data Pribadi, dan Setiap Orang yang terlibat di dalamnya, wajib melindungi dan memastikan keamanan Data Pribadi yang diprosesnya, dengan melakukan:

    1. Penyusunan dan penerapan langkah teknis operasional untuk melindungi Data Pribadi dari gangguan Pemrosesan Data Pribadi yang bertentangan dengan ketentuan peraturan perundang-undangan; dan
    2. Penentuan tingkat keamanan Data Pribadi dengan memperhatikan sifat dan risiko dari Data Pribadi yang harus dilindungi dalam Pemrosesan Data Pribadi.

    Dalam melakukan Pemrosesan Data Pribadi Anak Dan Penyandang Disabilitas, Unit Pengendali Data Pribadi wajib mendapat persetujuan dari orang tua anak atau penyandang disabilitas yang bersangkutan dan/atau wali sesuai dengan ketentuan peraturan perundang-undangan.

    Pemrosesan Data Pribadi dilaksanakan dengan aktivitas sebagai berikut:

    1. Unit Pengendali Data Pribadi dan Unit Prosesor Data Pribadi wajib melakukan Pemrosesan Data Pribadi secara terbatas dan spesifik, sah secara hukum, dan transparan sesuai dengan tujuan Pemrosesan Data Pribadi.
    2. Unit Pengendali Data Pribadi dan Unit Prosesor Data Pribadi wajib melakukan perekaman terhadap seluruh kegiatan Pemrosesan Data Pribadi.
    3. Unit Pengendali Data Pribadi wajib melakukan Penilaian Dampak Pelindungan Data Pribadi dalam hal Pemrosesan Data Pribadi memiliki potensi risiko tinggi terhadap Subjek Data Pribadi.

    Unit Pengendali Data Pribadi wajib mengakhiri Pemrosesan Data Pribadi kertika mencapai masa retensi, tujuan Pemrosesan Data Pribadi telah tercapai, atau terdapat permintaan dari Subjek Data Pribadi.

    Di samping itu, Unit Pengendali Data Pribadi wajib menghapus Data Pribadi ketika Data Pribadi tidak lagi diperlukan untuk pencapaian tujuan Pemrosesan Data Pribadi, subjek Data Pribadi telah melakukan penarikan kembali persetujuan Pemrosesan Data Pribadi, terdapat permintaan dari Subjek Data Pribadi, atau Data Pribadi diperoleh dan/atau diproses dengan cara melawan hukum.

    Unit Pengendali Data Pribadi wajib memusnahkan Data Pribadi ketika telah habis masa retensinya dan berketerangan dimusnahkan berdasarkan jadwal retensi arsip, terdapat permintaan dari Subjek Data Pribadi, tidak berkaitan dengan penyelesaian proses hukum suatu perkara, atau Data Pribadi diperoleh dan/atau diproses dengan cara melawan hukum.

    Unit Pengendali Data Pribadi wajib bertanggung jawab atas Pemrosesan Data Pribadi dan menunjukkan pertanggungiawaban dalam pemenuhan kewajiban pelaksanaan asas-asas Pelindungan Data Pribadi.

    Pengawasan Pelindungan Data Pribadi dilaksanakan sebagai berikut:

    1. Unit Pengendali Data Pribadi dan Unit Prosesor Data Pribadi wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam Pemrosesan Data Pribadi di bawah kendali Unit Pengendali Data Pribadi.
    2. Pengawasan Pelindungan Data Pribadi dilakukan salah satunya dalam bentuk kewajiban melaksanakan Penilaian Dampak Pelindungan Data Pribadi atau data protection impact assesment (DPIA) oleh Unit Pengendali Data Pribadi sebelum mengembangkan aplikasi/sistem informasi/perangkat lunak dan/atau sebelum memanfaatkan teknologi baru dalam Pemrosesan Data pribadi.
    3. Penilaian Dampak Pelindungan Data Pribadi atau data protection impact assessment (DPIA) dilakukan dan didokumentasikan secara mandiri oleh Unit Pengendali Data Pribadi dengan dilaporkan kepada unit organisasi yang mengelola Pelindungan Data Pribadi, Teknologi informasi; dan Cyber security.

    Jika terjadi Kegagalan Pelindungan Data Pribadi, maka Unit Pengendali Data Pribadi melalui Unit Pejabat Pelindung Data Pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3 x 24 (tiga kali dua puluh empat) jam kepada Subjek Data Pribadi dan Lembaga Pelindungan Data Pribadi (PDP). Selain itu, Unit Pengendali Data Pribadi melalui Unit Pejabat Pelindung Data Pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan Pelindungan Data Pribadi dalam hal mengganggu pelayanan publik, berdampak serius terhadap kepentingan masyarakat, dan Unit Pengendali Data Pribadi tidak dapat memastikan bahwa Subjek Data Pribadi dapat menerima pemberitahuan secara langsung.