PELINDUNGAN PRIVASI DAN

DATA PRIBADI

Dr. Henny Marlyna, S.H., M.H., M.L.I.

QUESTION

• Apa yang dimaksudn dengan “privasi” ?

• Mengapa “privasi” harus dilindungi?
Why?
Do you agree???

• In an interview with TechCrunch,

Facebook CEO Mark Zuckerberg said:
“sharing private information online
with the faceless masses had become
a "social norm."
A Threat to Privacy?
Definisi Privasi
• Privacy is “the
right to be let
alone,” (Samuel
D. Warren & Louis
D. Brandeis, The
Right to Privacy, 4
Harv. L. Rev. 193,
193 (1890)).
Prof. Abu Bakar Munir:
Konsep Privasi
• Privacy is our right to keep a domain around us,
which includes all those things that are part of
us, such as our body, home, thoughts, feelings,
secrets and identity. The right to privacy gives us
the ability to choose which parts in this domain
can be accessed by others, and to control the
extent, manner and timing of the use of those
parts we choose to disclose.
Privacy as Human Rights
Article 12 Universal Declaration on Human Rights 1948

No one shall be subjected to arbitrary interference with his privacy, family,

home or correspondence, nor to attacks upon his honour and reputation.
Everyone has the right to the protection of the law against such interference or
attacks.

Some Other Instruments

• Article 17, International Covenant on Civil and Political Rights 1966
• Article 16, Conventions on the Rights of the Child 1989
• Article 8, European Convention on Human Rights 1950
• Article 18, OIC Cairo Declaration on Human Rights in Islam 1990
• Article 4.3, Declaration of Principles on Freedom of Expression in Africa 2002
• Article 5, American Declaration of the Rights and Duties of Man
• Article 21, ASEAN Human Rights Declaration
• Etc.
3 Aspects of Privacy

1. Privacy of a Person’s Persona.

2. Privacy of Data About a Person
3. Privacy of a Person’s Communications
Privacy Definition on Personal Data

Alan F. Westin :
Privasi = “claim of individuals, groups or
institution to determine for themselves
when, how, and to what extent
information about them is communicated
to others.”

Main Factor: control of information

Data Protection and Security :
Legal Framework
• The protection of personal information has
become one of the critical policy issues for the
information/knowledge based societies.
• Worldwide, the data/information is protected at
national and international levels by
– Legislations;
– Agreements; and
– variety of different regulatory instruments.
International & Regional Instruments

• OECD Guidelines 1980

• Council of Europe Convention 1981
• EU General Data Protection Regulation 2016
• APEC Privacy Framework 2004
• ASEAN Framework on Personal Data
Protection 2016

11
 National Approaches

• Comprehensive Legislation
• Legislation + Self-Regulatory
• Self–Regulatory
• Doing Nothing

12
Nearly 140 countries and independently governed jurisdictions and territories around the world have
now adopted comprehensive data protection/privacy laws to protect personal data held by private
and public bodies. Another 30 countries and jurisdictions including India, Mongolia, Nigeria, Iran, and
Indonesia have pending bills or initiatives. The laws in these countries apply to personal information
held in both electronic and physical form and to all or nearly all subject areas. In nearly all of the
countries, the laws apply to personal information held by private bodies and by governments. In nearly
all of the countries, an independent data protection or information commission oversees and enforces
the laws. Most laws have also included specific exemptions for the media while a few also
specifically refer to national right to information laws. This map shows which jurisdictions have
adopted laws or have pending initiatives. This update includes new countries which adopted laws in
the last year including China, Belarus, Ecuador, Zambia, and the British Virgin Islands.
Different Legislative Approaches Worldwide

• Three legislative/policy approaches have

been followed worldwide
– European
– USA
– Asia-Pacific
 Paradigms on Privacy
EU
Objective
Subjective
approach US approach

Libertarian Konservative

Option-Out Option-In
Policy Policy

Unsubscribe Subscribe

Legitimate interest Lawful obtained

For marketing
APEC Privacy
Legal Framework - EU
The General Data Protection Regulation – EU 2016/679 ("GDPR")
➢ The EU respects privacy as a fundamental right of citizens.
➢ GDPR is a comprehensive personal data protection framework
designed to safeguard those rights.
➢ GDPR is a regulation in EU Law on Data Protection and privacy for all
individuals within the European Union and the European Economic Area.
➢ It governs companies operating in EU member states as well as
international entities interacting with EU residents.
➢ The GDPR was adopted on 14 April 2016, and became enforceable
beginning 25 May 2018.
➢ As the GDPR is a regulation, not a directive, it does not require national
governments to pass any enabling legislation and is directly binding and
applicable
➢ The GDPR superseded Directive 95/46/EC of the Parliament and of the
Council on the Protection of Individuals with Regard to the Processing of
Personal Data and on the Free Movement of such Data
Legal Framework - UK
The Data Protection Act 2018
➢ It is a national law which complements the European Union’s
GDPR.
➢ It achieved Royal Assent on 23 May 2018.
➢ It applies the EU's GDPR standards. Whereas the GDPR gives
member states limited opportunities to make provisions for how
it applies in their country, one element of the DPA 2018 is the
details of these, applying as the national law.
Definition of Personal Data – Art. 4
(1) GDPR

• ‘Personal data’ means any information relating

to an identified or identifiable natural person
(‘data subject’); an identifiable natural person is
one who can be identified, directly or indirectly,
in particular by reference to an identifier such as
a name, an identification number, location data,
an online identifier or to one or more factors
specific to the physical, physiological, genetic,
mental, economic, cultural or social identity of
that natural person;
GDPR 6 Key Principles:
1. Transparency, fairnesss, and lawfulness in the handling and use of
personal data. You will need to be clear with individuals about how you
are using personal data and will also need a “lawful basis” to process that
data.
2. Limiting the processing of personal data to specified, explicit, and
legitimate purposes. You will not be able to re-use or disclose personal
data for purposes that are not “compatible” with the purpose for which the
data was originally collected.
3. Minimizing the collection and storage of personal data to that
which is adequate and relevant for the intended purpose
4. Ensuring the accuracy of personal data and enabling it to be erased or
rectified. You will need to take steps to ensure that the personal data you
hold is accurate and can be corrected if errors occur.
5. Limiting the storage of personal data. You will need to ensure that you
retain personal data only for as long as necessary to achieve the purposes
for which the data was collected.
6. Ensuring security, integrity, and confidentiality of personal data. Your
organization must take steps to keep personal data secure through
technical and organizational security measures.
GDPR
• “Data Protection by design and by default" means Business process
that handle personal data must be designed and built with
consideration of the principles and provide safeguards to protect
data (for example, using pseudonymization or full
anonymization where appropriate), and use the highest-possible
privacy settings by default, so that the data is not available publicly
without explicit, informed consent, and cannot be used to identify a
subject without additional information stored separately.
• No personal data may be processed unless it is done under a lawful
basis specified by the regulation or unless the data controller or
processor has received an unambiguous and individualized
affirmation of consent from the data subject. The data subject has
the right to revoke this consent at any time.
GDPR
• A processor of personal data must clearly disclose any data collection,
declare the lawful basis and purpose for data processing, and state how
long data is being retained and if it is being shared with any third parties or
outside of the EU.
• Data subjects have the right to request a portable copy of the data
collected by a processor in a common format, and the right to have their
data erased under certain circumstances.
• Public authorities, and businesses whose core activities centre around
regular or systematic processing of personal data, are required to employ
a data protection officer (DPO), who is responsible for managing
compliance with the GDPR.
• Businesses must report any data breaches within 72 hours if they have an
adverse effect on user privacy.
• In some cases, violators of the GDPR may be fined up to €20 million or up
to 4% of the annual worldwide turnover of the preceding financial year in
case of an enterprise, whichever is greater.
Legal Framework - USA
• In the U.S. there is no consistent, national data
privacy law.
• Businesses are trying to make sense of a ‘mixed salad’
of different regulations and laws enforced
by individual states and industry-based regulatory
bodies.
• Many American and multinational companies have
already made the effort to reach GDPR
compliance and continue business with their
European customers.
 Legal Framework - USA
– In the US there is no federal data privacy law like GDPR. There are some
national laws to regulate the use of data in certain industries.
– The major federal enactments covering privacy/data protection are:
• 1974 – The U.S. Privacy Act which outlines rights and restrictions
regarding data held by US government agencies.
• 1996 – Health Insurance Portability and Accountability
Act (HIPAA) which regulates privacy and security in the
healthcare industry.
• 1999 – Gramm-Leach-Bliley Act (GLBA) which governs
how consumers’ nonpublic privacy information is collected
and used in the financial industry.
• 2000 – Children’s Online Privacy Protection Act (COPPA) took a
first step at regulating personal information collected from
minors. The law specifically prohibits online companies from
asking for PII (Personally Identifiable Information) from children
12-and-under unless there’s verifiable parental consent.
Privacy Regulations in the U.S. – State Laws
• Some states introduce their own consumer data privacy
regulations.
• The Californian Consumer Privacy Act (CCPA) and
the Massachusetts Data Protection Act are two strong examples.
• Other states have already enacted their own data protection
laws that apply to all businesses. These states include:

• Arkansas • Nevada
• Colorado • New Mexico
• Connecticut • Oregon
• Florida • Rhode Island
• Indiana • Texas
• Kansas • Utah
• Maryland
Privacy Regulations in the U.S. – State Laws
The California Privacy Rights Act (CPRA)
• Passed in 2020 and will become effective in 2023 which
replaced the California Consumer Privacy Act of 2018
• Allowing consumers to prevent businesses from sharing
their personal data, correct inaccurate personal data,
and limit businesses' usage of "sensitive personal
information", which includes precise geolocation, race,
ethnicity, religion, genetic data, private communications,
sexual orientation, and specified health information.
• The Act creates the California Privacy Protection
Agency as a dedicated agency to implement and enforce
state privacy laws, investigate violations, and assess
penalties of violators.
Self Regulation
There are many models of Self Regulation:
A. Fair Information Practice Principles - Federal
Trade Commission AS – Basic principles on
protection of privacy :
1) Notice/Awareness
2) Choice/Consent
3) Access/Participation
4) Integrity/Security
5) Enforcement/Redress
Self Regulation
B. The Online Privacy Alliance
C. Seal Programs
1) TRUSTe
2) BBBOnline Privacy Seal Program

Self Regulation/Privacy Policy/Policy Statement =

agreement between website operator and user
→ Standardized Contract
Isi Privacy Policy
1. Informasi pribadi apa saja yang dikumpulkan oleh
situs;
2. Bagaimana pengorganisasian pemgumpulan
informasi
3. Bagaimana informasi tersebut akan digunakan.
4. Kepada siapa informasi tersebut akan dibagikan.
5. Pilihan-pilihan apa saja yang dimungkinkan bagi
setiap subyek data berkenaan dengan pengumpulan,
pengunaan serta mendistribusian informasi tersebut.
6. Prosedur pengamanan yang ditempatkan untuk
melindungi kehilangan, penyalahgunaan informasi
yang berada dalam kontrol situs.
7. Bagaimana cara membetulkan informasi yang tidak
akurat.
APEC Privacy Framework
1. Preventing Harm – privacy protections should
focus on preventing harm and misuse
2. Notice – clear & easily accessible
3. Collection Limitation – collect what’s relevant in
a lawful & fair manner
4. Uses of Personal Information – for expected and
compatible purposes, with consent, or where
necessary
5. Choice – where appropriate, provide clear,
accessible mechanism to exercise choice
APEC Privacy Framework
6. Integrity – personal information should appropriately
accurate, complete and up-to-date
7. Security – appropriate safeguards to protect against
unauthorized access, use, modification or disclosure
8. Access & Correction – important (but not absolute)
rights
9. Accountability – controllers are accountable for
compliance with all Principles and must use reasonable
steps to ensure that recipients of personal information
also comply
ASEAN PRIVACY FRAMEWORK- Principles of
Personal Data Protection
1. Consent, Notification and Purpose
(a) An organisation should not collect, use or disclose personal
data about an individual unless:
(i) the individual has been notified of and given consent to
the purpose(s) of the collection, use or disclosure of
his/her personal data; or
(ii) the collection, use or disclosure without notification or
consent is authorised or required under domestic laws
and regulations.
(b) An organisation may collect, use or disclose personal data
about an individual only for purposes that a reasonable
person would consider appropriate in the circumstances.
ASEAN PRIVACY FRAMEWORK- Principles of
Personal Data Protection
2. Accuracy of Personal Data
The personal data should be accurate and complete to the extent
necessary for the purpose(s) for which the personal data is to be used or
disclosed.
3. Security Safeguards
The personal data should be appropriately protected against loss and
unauthorised access, collection, use, disclosure, copying, modification,
destruction or similar risks.
4. Access and Correction
Upon request by an individual, an organisation should:
(i) provide the individual access to his/her personal data which is in the
possession or under the control of the organisation within a reasonable
period of time; and
(ii) (ii) correct an error or omission in his personal data, unless domestic
laws and regulations require or authorise the organisation not to
provide access or correct the personal data in the particular
circumstances.
ASEAN PRIVACY FRAMEWORK- Principles of
Personal Data Protection
5. Transfers to Another Country or Territory
Before transferring personal data to another country or territory, the
organisation should either obtain the consent of the individual for the overseas
transfer or take reasonable steps to ensure that the receiving organisation will
protect the personal data consistently with these Principles.
6. Retention
An organisation should cease to retain documents containing personal data, or
remove the means by which the personal data can be associated with particular
individuals as soon as it is reasonable to assume that the retention is no longer
necessary for legal or business purposes.
7. Accountability
• An organisation should be accountable for complying with measures which
give effect to the Principles.
• An organisation should, on request, provide clear and easily accessible
information about its data protection policies and practices with respect to
personal data in its possession or under its control. An organisation should
also make available information on how to contact the organisation about its
data protection policies and practices.
Perlindungan Privasi Data Pribadi
di Indonesia

• Diatur dalam berbagai peraturan perundang-

undangan
• RUU Perlindungan Data Probadi telah masuk dalam
Prolegnas sejak 2016
Perlindungan Privasi Data Pribadi
di Indonesia
• UU No. 39 Tahun 1999 tentang Hak Asasi Manusia
Pasal 14 ayat (2) dinyatakan bahwa salah satu hak
mengembangkan diri adalah hak untuk mencari,
memperoleh, menyimpan, mengolah dan
menyampaikan informasi dengan menggunakan
segala jenis sarana yang tersedia.

• UU No. 10 Tahun 1998 tentang Perbankan

Berkenaan dengan masalah rahasia Bank,
berdasarkan pasal 40 Undang-undang No. 10 tahun
1998, Bank diwajibkan untuk merahasiakan
keterangan mengenai nasabah penyimpan
dan simpanannya
 Perlindungan Privasi Data Pribadi
di Indonesia
• UU No. 23 Tahun 1992 tentang Kesehatan
Pasal 52 ayat (2) : tenaga kesehatan dalam melakukan
tugasnya berkewajiban untuk mematuhi standar profesi
dan menghormati hak pasien.

• UU No. 36 Tahun 1999 tentang Telekomunikasi

Pasal 22 : setiap orang dilarang melakukan perbuatan
tanpa hak, tidak sah, atau manipulasi (a) akses ke
jaringan telekomunikasi; dan atau (b) akses ke jasa
telekomunikasi; dan atau (c) akses ke jaringan
telekomunikasi khusus.
Pasal 42 ayat 1: penyelenggara jasa telekomunikasi wajib
untuk merahasiakan informasi yang dikirim dan atau
diterima oleh pelanggan jasa telekomunikasi melalui
jaringan telekomunikasi dan atau jasa telekomunikasi
yang diselenggarakannya.
UU Konsumen
• Pasal 4 : Hak Konsumen atas
a. Hak atas kenyamanan, keamanan, dan
keselamatan dalam mengkonsumsi barang
dan/atau jasa
c. Hak atas informasi yang benar, jelas, dan jujur
• Pasal 15 : Pelaku usaha dalam menawarkan
barang dan/atau jasa dilarang melakukan
dengan cara pemaksaa atau cara lain yang
dapat menimbulkan gangguan baik fisik
maupun psikis terhadap konsumen.
UU KIP (Keterbukaan Informasi Publik)
• Pasal 6 ayat (3)
Informasi Publik yang tidak dapat diberikan oleh Badan Publik adalah:
… (c) informasi yang berkaitan dengan hak-hak pribadi…
• Pasal 7 huruf h: Informasi Publik yang apabila dibuka dan diberikan
kepada Pemohon Informasi Publik dapat mengungkap rahasia pribadi,
yaitu:
a. riwayat dan kondisi anggota keluarga;
b. riwayat, kondisi dan perawatan, pengobatan kesehatan fisik, dan
psikis seseorang;
c. kondisi keuangan, aset, pendapatan, dan rekening bank
seseorang;
d. hasil-hasil evaluasi sehubungan dengan kapabilitas,
intelektualitas, dan rekomendasi kemampuan seseorang; dan/atau
e. catatan yang menyangkut pribadi seseorang yang berkaitan
dengan kegiatan satuan pendidikan formal dan satuan pendidikan
nonformal.
UU ITE (UU No. 11 Th. 2008 dan
perubahannya UU No. 19 Th 2016 – Ps 26
(1) Kecuali ditentukan lain oleh peraturan perundang-undangan, penggunaan
setiap informasi melalui media elektronik yang menyangkut data pribadi
seseorang harus dilakukan atas persetujuan Orang yang bersangkutan.
(2) Setiap Orang yang dilanggar haknya sebagaimana dimaksud pada ayat (1)
dapat mengajukan gugatan atas kerugian yang ditimbulkan berdasarkan
Undang-Undang ini.
(3) Setiap Penyelenggara Sistem Elektronik wajib menghapus Informasi Elektronik
dan/atau Dokumen Elektronik yang tidak relevan yang berada di bawah
kendalinya atas permintaan Orang yang bersangkutan berdasarkan penetapan
pengadilan.
(4) Setiap Penyelenggara Sistem Elektronik wajib menyediakan mekanisme
penghapusan Informasi Elektronik dan/atau Dokumen Elektronik yang sudah
tidak relevan sesuai dengan ketentuan peraturan perundang-undangan.
(5) Ketentuan mengenai tata cara penghapusan Informasi Elektronik dan/atau
Dokumen Elektronik sebagaimana dimaksud pada ayat (3) dan ayat (4) diatur
dalam peraturan pemerintah.
 Penjelasan Ps 26 ayat (1)
Dalam pemanfaatan Teknologi Informasi, perlindungan data
pribadi merupakan salah satu bagian dari hak pribadi (privacy
rights). Hak pribadi mengandung pengertian sebagai berikut:
a. Hak pribadi merupakan hak untuk menikmati kehidupan
pribadi dan bebas dari segala macam gangguan.
b. Hak pribadi merupakan hak untuk dapat berkomunikasi
dengan Orang lain tanpa tindakan mematamatai.
c. Hak pribadi merupakan hak untuk mengawasi akses
informasi tentang kehidupan pribadi dan data seseorang.
 PP 71 Th 2019 - Pasal 14
(1) Penyelenggara Sistem Elektronik wajib melaksanakan prinsip pelindungan Data
Pribadi dalam melakukan pemrosesan Data Pribadi meliputi:
a. pengumpulan Data Pribadi dilakukan secara terbatas dan spesifik, sah secara
hukum, adil, dengan sepengetahuan dan persetujuan dari pemilik Data Pribadi;
b. pemrosesan Data Pribadi dilakukan sesuai dengan tujuannya;
c. pemrosesan Data Pribadi dilakukan dengan menjamin hak pemilik Data
Pribadi;
d. pemrosesan Data Pribadi dilakukan secara akurat, lengkap, tidak
menyesatkan, mutakhir, dapat dipertanggungjawabkan, dan memperhatikan
tujuan pemrosesan Data Pribadi;
e. pemrosesan Data Pribadi dilakukan dengan melindungi keamanan Data Pribadi
dari kehilangan, penyalahgunaan, Akses dan pengungkapan yang tidak sah,
serta pengubahan atau perusakan Data Pribadi;
f. pemrosesan Data Pribadi dilakukan dengan memberitahukan tujuan
pengumpulan, aktivitas pemrosesan, dan kegagalan pelindungan Data Pribadi;
dan
g. pemrosesan Data Pribadi dimusnahkan dan/ atau dihapus kecuali masih dalam
masa retensi sesuai dengan kebutuhan berdasarkan ketentuan peraturan
perundang-undangan.
PP 71 Th 2019 - Pasal 14
(2) Pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (1)
meliputi:
a. perolehan dan pengumpulan;
b. pengolahan dan penganalisisan;
c. penyimpanan;
d. perbaikan dan pembaruan; e. penampilan, pengumuman,
transfer, penyebarluasan, atau pengungkapan; dan/ atau
f. penghapusan atau pemusnahan.
(3) Pemrosesan Data Pribadi harus memenuhi ketentuan adanya
persetujuan yang sah dari pemilik Data Pribadi untuk 1 (satu) atau
beberapa tujuan tertentu yang telah disampaikan kepada pemilik
Data Pribadi.
(5) Jika terjadi kegagalan dalam pelindungan terhadap Data Pribadi
yang dikelolanya, Penyelenggara Sistem Elektronik wajib
memberitahukan secara tertulis kepada pemilik Data Pribadi
tersebut.
Permenkominfo No. 20 Tahun 2016 – Perlindungan
Data Pribadi Dalam Sistem Elektronik

• Pasal 1 angka 1: Data Pribadi adalah data

perseorangan tertentu yang disimpan, dirawat,
dan dijaga kebenaran serta dilindungi
kerahasiaannya.
• Pasal 2 ayat (1): Perlindungan Data Pribadi
dalam Sistem Elektronik mencakup perlindungan
terhadap perolehan, pengumpulan, pengolahan,
penganalisisan, penyimpanan, penampilan,
pengumuman, pengiriman, penyebarluasan, dan
pemusnahan Data Pribadi.
Pasal 2 ayat (2): Asas Perlindungan Data Pribadi yang Baik
a. penghormatan terhadap Data Pribadi sebagai privasi;
b. Data Pribadi bersifat rahasia sesuai Persetujuan dan/atau berdasarkan
ketentuan peraturan perundang-undangan;
c. berdasarkan Persetujuan;
d. relevansi dengan tujuan perolehan, pengumpulan, pengolahan,
penganalisisan, penyimpanan, penampilan, pengumuman,
pengiriman, dan penyebarluasan;
e. kelaikan Sistem Elektronik yang digunakan;
f. iktikad baik untuk segera memberitahukan secara tertulis kepada
Pemilik Data Pribadi atas setiap kegagalan perlindungan Data Pribadi;
g. ketersediaan aturan internal pengelolaan perlindungan Data Pribadi;
h. tanggung jawab atas Data Pribadi yang berada dalam penguasaan
Pengguna;
i. kemudahan akses dan koreksi terhadap Data Pribadi oleh Pemilik Data
Pribadi; dan
j. keutuhan, akurasi, dan keabsahan serta kemutakhiran Data Pribadi.
Permenkominfo No. 20 Tahun 2016 – Perlindungan
Data Pribadi Dalam Sistem Elektronik – Pasal 23

(1) Untuk keperluan proses penegakan hukum,

Penyelenggara Sistem Elektronik wajib
memberikan Data Pribadi yang terdapat dalam
Sistem Elektronik atau Data Pribadi yang
dihasilkan oleh Sistem Elektronik atas
permintaan yang sah dari aparat penegak hukum
berdasarkan ketentuan peraturan perundang-
undangan.
(2) Data Pribadi sebagaimana dimaksud pada ayat (1)
merupakan Data Pribadi yang relevan dan sesuai
dengan kebutuhan penegakan hukum.
Permenkominfo No. 20 Tahun 2016 – Perlindungan
Data Pribadi Dalam Sistem Elektronik
Pasal 26 : Pemilik Data Pribadi berhak:
a. atas kerahasiaan Data Pribadinya;
b. mengajukan pengaduan dalam rangka penyelesaian sengketa Data
Pribadi atas kegagalan perlindungan kerahasiaan Data Pribadinya
oleh Penyelenggara Sistem Elektronik kepada Menteri;
c. mendapatkan akses atau kesempatan untuk mengubah atau
memperbarui Data Pribadinya tanpa menganggu sistem pengelolaan
Data Pribadi, kecuali ditentukan lain oleh ketentuan peraturan
perundang-undangan;
d. mendapatkan akses atau kesempatan untuk memperoleh historis
Data Pribadinya yang pernah diserahkan kepada Penyelenggara
Sistem Elektronik sepanjang masih sesuai dengan ketentuan
peraturan perundang-undangan; dan
e. meminta pemusnahan Data Perseorangan Tertentu miliknya dalam
Sistem Elektronik yang dikelola oleh Penyelenggara Sistem
Elektronik, kecuali ditentukan lain oleh ketentuan peraturan
perundang-undangan.
Permenkominfo No. 20 Tahun 2016 – Perlindungan Data
Pribadi Dalam Sistem Elektronik

Pasal 27 : Pengguna wajib:

a. menjaga kerahasiaan Data Pribadi yang diperoleh,
dikumpulkan, diolah, dan dianalisisnya;
b. menggunakan Data Pribadi sesuai dengan kebutuhan
Pengguna saja;
c. melindungi Data Pribadi beserta dokumen yang memuat Data
Pribadi tersebut dari tindakan penyalahgunaan; dan
d. bertanggung jawab atas Data Pribadi yang terdapat dalam
penguasaannya, baik penguasaan secara organisasi yang
menjadi kewenangannya maupun perorangan, jika terjadi
tindakan penyalahgunaan.
Permenkominfo No. 20 Tahun 2016 – Perlindungan
Data Pribadi Dalam Sistem Elektronik
Pasal 28
Setiap Penyelenggara Sistem Elektronik wajib:
a. melakukan sertifikasi Sistem Elektronik yang dikelolanya sesuai dengan
ketentuan peraturan perundang-undangan;
b. menjaga kebenaran, keabsahan, kerahasiaan, keakuratan dan relevansi serta
kesesuaian dengan tujuan perolehan, pengumpulan, pengolahan,
penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman,
penyebarluasan, dan pemusnahan Data Pribadi;
c. memberitahukan secara tertulis kepada Pemilik Data Pribadi jika terjadi
kegagalan perlindungan rahasia Data Pribadi dalam Sistem Elektronik yang
dikelolanya, dengan ketentuan pemberitahuan sebagai berikut:
1. harus disertai alasan atau penyebab terjadinya kegagalan perlindungan
rahasia Data Pribadi;
2. dapat dilakukan secara elektronik jika Pemilik Data Pribadi telah
memberikan Persetujuan untuk itu yang dinyatakan pada saat dilakukan
perolehan dan pengumpulan Data Pribadinya;
3. harus dipastikan telah diterima oleh Pemilik Data Pribadi jika kegagalan
tersebut mengandung potensi kerugian bagi yang bersangkutan; dan
4. pemberitahuan tertulis dikirimkan kepada Pemilik Data Pribadi paling
lambat 14 (empat belas) hari sejak diketahui adanya kegagalan tersebut
Permenkominfo No. 20 Tahun 2016 – Perlindungan
Data Pribadi Dalam Sistem Elektronik
Pasal 28
d. memiliki aturan internal terkait perlindungan Data Pribadi yang sesuai
dengan ketentuan peraturan perundang-undangan;
e. menyediakan rekam jejak audit terhadap seluruh kegiatan penyelenggaraan
Sistem Elektronik yang dikelolanya;
f. memberikan opsi kepada Pemilik Data Pribadi mengenai Data Pribadi yang
dikelolanya dapat/atau tidak dapat digunakan dan/atau ditampilkan
oleh/pada pihak ketiga atas Persetujuan sepanjang masih terkait dengan
tujuan perolehan dan pengumpulan Data Pribadi;
g. memberikan akses atau kesempatan kepada Pemilik Data Pribadi untuk
mengubah atau memperbarui Data Pribadinya tanpa menganggu sistem
pengelolaan Data Pribadi, kecuali ditentukan lain oleh ketentuan peraturan
perundang-undangan;
h. memusnahkan Data Pribadi sesuai dengan ketentuan dalam Peraturan
Menteri ini atau ketentuan peraturan perundang-undangan lainnya yang
secara khusus mengatur di masing-masing Instansi Pengawas dan Pengatur
Sektor untuk itu; dan
i. menyediakan narahubung (contact person) yang mudah dihubungi oleh
Pemilik Data Pribadi terkait pengelolaan Data Pribadinya.
Permenkominfo No. 20 Tahun 2016 – Perlindungan
Data Pribadi Dalam Sistem Elektronik

Pasal 29
(1) Setiap Pemilik Data Pribadi dan Penyelenggara Sistem
Elektronik dapat mengajukan pengaduan kepada Menteri
atas kegagalan perlindungan kerahasiaan Data Pribadi.
(2) Pengaduan sebagaimana dimaksud pada ayat (1)
dimaksudkan sebagai upaya penyelesaian sengketa secara
musyawarah atau melalui upaya penyelesaian alternatif
lainnya.
 RUU Perlindungan Data Pribadi

On 24 January 2020, President Joko Widodo

signed the Personal Data Protection (PDP) Bill

Sep. 2021
24 Jan. 2020

As of Nov 2021, the PDP Bill is still being finalised

by the Indonesian House of Representatives
(DPR)
 Bill on personal data protection

Pemrosesan Data Kewajiban

Hak Pemilik Data Pribadi – Prinsip Pengendali Data
Jenis Data Pribadi Pribadi Transfer Data Pribadi Sanksi Administrative
Perlindungan Data Pribadi dan Prosesor
Pribadi Data Pribadi

Pembentukan
Larangan Dalam Penyelesaian
Pedoman Perilaku Kerja Sama Peran Pemerintah
Penggunaan Data Sengketa dan Hukum Ketentuan Pidana
Pengendali Data Internasional dan Masyarakat
Pribadi Acara
Pribadi
 Personal Data Definition and Types

Data Pribadi adalah setiap data tentang seseorang baik yang teridentifikasi dan/atau
dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik
secara langsung maupun tidak langsung melalui sistem elektronik dan/atau
nonelektronik.

Data Pribadi terdiri atas:

a. Data Pribadi yang bersifat umum (nama lengkap, jenis kelamin, kewarganegaraan,
agama, Data Pribadi yang dikombinasikan untuk mengidentifikasi seseorang); dan
b. Data Pribadi yang bersifat spesifik (data dan informasi kesehatan; data biometrik;
data genetika; kehidupan/orientasi seksual; pandangan politik; catatan kejahatan;
data anak; data keuangan pribadi; dan/atau data lainnya sesuai dengan ketentuan
peraturan perundang-undangan.
 HAK PEMILIK DATA PRIBADI

meminta Informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan Data
Pribadi, dan akuntabilitas pihak yang meminta Data Pribadi.

melengkapi Data Pribadi miliknya sebelum diproses oleh Pengendali Data Pribadi.

mengakses Data Pribadi miliknya sesuai dengan ketentuan peraturan perundang-undangan.

memperbarui dan/atau memperbaiki kesalahan dan/atau ketidakakuratan Data Pribadi miliknya sesuai dengan ketentuan
perundang-undangan.

mengakhiri pemrosesan, menghapus, dan/atau memusnahkan Data Pribadi miliknya

menarik kembali persetujuan pemrosesan Data Pribadi miliknya yang telah diberikan kepada Pengendali Data Pribadi

mengajukan keberatan atas tindakan pengambilan keputusan yang hanya didasarkan pada pemrosesan secara otomatis
terkait profil seseorang (profiling).

memilih atau tidak memilih pemrosesan Data Pribadi melalui mekanisme pseudonim untuk tujuan tertentu

menunda atau membatasi pemrosesan Data Pribadi secara proporsional sesuai dengan tujuan pemrosesan Data Pribadi.

menuntut dan menerima ganti rugi atas pelanggaran Data Pribadi miliknya sesuai dengan ketentuan peraturan
perundang-undangan.
PRINSIP PELINDUNGAN DATA PRIBADI

a. pengumpulan Data Pribadi dilakukan secara terbatas dan spesifik,

sah secara hukum, patut, dan transparan.
b. pemrosesan Data Pribadi dilakukan sesuai dengan tujuannya;
c. pemrosesan Data Pribadi dilakukan dengan menjamin hak Pemilik
Data Pribadi;
d. pemrosesan Data Pribadi dilakukan secara akurat, lengkap, tidak
menyesatkan, mutakhir, dan dapat dipertanggungjawabkan;
e. pemrosesan Data Pribadi dilakukan dengan melindungi keamanan
Data Pribadi dari pengaksesan yang tidak sah, pengungkapan yang
tidak sah, pengubahan yang tidak sah, penyalahgunaan, perusakan,
dan/atau kehilangan Data Pribadi;
f. pemrosesan Data Pribadi dilakukan dengan memberitahukan tujuan
dan aktivitas pemrosesan, serta kegagalan pelindungan Data Pribadi;
g. Data Pribadi dimusnahkan dan/atau dihapus setelah masa retensi
berakhir atau berdasarkan permintaan Pemilik Data Pribadi kecuali
ditentukan lain oleh peraturan perundang-undangan; dan
h. pemrosesan Data Pribadi dilakukan secara bertanggung jawab
dengan memenuhi pelaksanaan prinsip pelindungan Data Pribadi
dan dapat dibuktikan secara jelas.
Data transfer
Pengendali Data Pribadi dapat mentransfer
Data Pribadi kepada Pengendali Data
Pribadi di luar wilayah hukum Negara
Kesatuan Republik Indonesia dalam hal:

a. negara tempat kedudukan Pengendali Data Pribadi

atau organisasi internasional yang menerima transfer
Data Pribadi memiliki tingkat pelindungan Data
Pribadi yang setara atau lebih tinggi dari yang diatur
dalam Undang-Undang ini;
b. terdapat perjanjian internasional antarnegara;
c. terdapat kontrak antar Pengendali Data Pribadi yang
memiliki standar dan/atau jaminan pelindungan data
pribadi sesuai dengan yang diatur dalam Undang-
Undang ini; dan/atau
d. mendapat persetujuan Pemilik Data Pribadi.
SANKSI ADMINISTRATIF

a. peringatan tertulis;

b. penghentian sementara kegiatan

pemrosesan Data Pribadi;

c. penghapusan atau pemusnahan

Data Pribadi;

d. ganti kerugian; dan/atau

e. denda administratif.
PENYELESAIAN SENGKETA DAN
HUKUM ACARA

Penyelesaian sengketa pelindungan Data Pribadi

dilakukan melalui arbitrase, pengadilan, atau lembaga
penyelesaian sengketa alternatif lainnya sesuai dengan
ketentuan peraturan perundang-undangan.

Hukum acara yang berlaku dalam penyelesaian

sengketa dan/atau proses pengadilan pelindungan Data
Pribadi sebagaimana dimaksud pada ayat (1)
dilaksanakan berdasarkan hukum acara yang berlaku
sesuai dengan ketentuan perundang-undangan.

Alat bukti yang sah dalam Undang-Undang ini adalah:

alat bukti sebagaimana dimaksud dalam hukum acara
DAN alat bukti lain berupa informasi elektronik
dan/atau dokumen elektronik sesuai dengan peraturan
perundang-undangan.
 KETENTUAN PIDANA

DELIK SANKSI
dengan sengaja memperoleh atau mengumpulkan Data Pribadi yang 5 tahun penjara +
bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau 50 M denda
orang lain secara melawan hukum atau dapat mengakibatkan kerugian
Pemilik Data Pribadi

dengan sengaja dan melawan hukum mengungkapkan Data Pribadi 2 tahun penjara +
yang bukan miliknya 20 M denda

dengan sengaja dan melawan hukum menggunakan Data Pribadi yang 7 tahun penjara +
bukan miliknya 70 M denda

dengan sengaja dan melawan hukum memasang dan/atau 6 tahun penjara +

mengoperasikan alat pemroses atau pengolah data visual di tempat 60 M denda
umum atau fasilitas pelayanan publik yang dapat mengancam atau
melanggar pelindungan Data Pribadi
dengan sengaja menjual atau membeli Data Pribadi 5 tahun penjara +
50 M denda
UNSETTLED issue:
PERSONAL DATA authority

House of
Government
Representatative
• Ps 58 (2): • Lembaga independent
Penyelenggaraan • Bertanggung jawab
pelindungan Data kepada Presiden
Pribadi sebagaimana
dimaksud pada ayat
(1) dilaksanakan oleh
Menteri
• Di bawah Menkominfo
• Pemerintah sebagai
regulator, pelaksana,
dan pengawas
Questions

• Is the Internet Destroying Privacy?

Internet Privacy – The Public
Concern
• “Well over a million self-descriptive
personal profiles are available across
different web-based social networks
in the US” (Liu & Maes, 2005)
Internet Activities Reveal
Personal Information
1. Cookies
2. on-site registration
3. on-line trading
4. Website database
5. Browsing
6. Illegal Activities
Objectives of Data
Collection
1. Improve services
2. As commodities
3. To support marketing
4. As company assets
Privacy and Its Implementation in Electronic System
• Problems:
❖Promotion → an activity of identifying or dissemination of
information of particular goods and/or services to draw the
consumers' interest to purchase goods and/or services which
shall be and are being traded. --> Article 1 number 6 of
Consumer Protection Law
❖Unsolicited communication + goods/services => Spamming
Terima Kasih