Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Tanggapan RPM Perlindungan Data Pribadi

1,094 views

Published on

Tanggapan ICT Watch atas Rancangan Peraturan Menteri (RPM) Komunikasi dan Informatika (Kominfo) tentang Perlindungan Data Pribadi dalam Sistem Elektronik.

Published in: Internet
  • Be the first to comment

  • Be the first to like this

Tanggapan RPM Perlindungan Data Pribadi

  1. 1. 0 ICT Watch – Perkumpulan Mitra TIK Indonesia (Indonesian ICT Partnership) Jl. Tebet Barat Dalam 6H no.16, Jakarta 12810, Indonesia P: (021) 98495770 | F: (021) 8292428 | E: info@ictwatch.id | W: ictwatch.id Internet Safety | Internet Rights | Internet Governance Kepada Jakarta, 31 Juli 2015 Yth. Menteri Komunikasi dan Informatika Bapak Rudiantara di Jakarta Mengacu pada ajakan untuk menyampaikan tanggapan1 atas Rancangan Peraturan Menteri (RPM) tentang Perlindungan Data Pribadi dalam Sistem Elektronik2 atau selanjutnya kami sebut RPM Privasi Digital, maka bersama ini kami dari ICT Watch menyampaikan tanggapan sebagai berikut: 1. PEMBERITAHUAN AWAL KEPADA PEMILIK DATA PRIBADI Pada bagian kedua, “Perolehan dan Pengumpulan Data Pribadi”, pasal 9 (sembilan) hendaknya ditambahkan penegasan bahwa: Penyelenggara Sistem Elektronik wajib memberitahu dengan jelas secara tertulis kepada Pemilik Data Pribadi di awal sebelum data pribadi dikumpulkan, sebagai berikut: a. Data pribadi apa saja yang dikumpulkan, baik yang disampaikan secara sadar oleh pemilik data ataupun diperoleh secara otomatis oleh penyelenggara, termasuk yang dalam kategori “Persistent Identifier”. Tentang “persistent identifier” ini akan dijabarkan dalam poin nomor 2 (dua). b. Data pribadi yang dikumpulkan tersebut apakah bersifat keharusan (obligatory / mandatory) ataukah kerelaan (voluntary / optional), terkait dengan penyelenggaraan layanan sistem elektronik terkait. Ini dimaksud agar Pemilik Data Pribadi bisa memahami dan lantas membatasi data pribadi yang disampaikan kepada Penyelenggara Sistem Eletronik cukup seperlunya saja. 1 http://kominfo.go.id/index.php/content/detail/5128/Siaran+Pers+No.53-PIH-KOMINFO-07- 2015+tentang+Uji+Publik+Rancangan+Peraturan+Menteri+mengenai+Perlindungan+Data+Pribadi+dalam+Sist em+Elektronik/0/siaran_pers#.Vbjm1rUt-pQ 2 http://web.kominfo.go.id/sites/default/files/users/1536/RPM%20Perlindungan%20Data%20Pribadi%20dalam% 20SE%20-%2028%20Maret%202015_nando_bersih.pdf
  2. 2. 0 ICT Watch – Perkumpulan Mitra TIK Indonesia (Indonesian ICT Partnership) Jl. Tebet Barat Dalam 6H no.16, Jakarta 12810, Indonesia P: (021) 98495770 | F: (021) 8292428 | E: info@ictwatch.id | W: ictwatch.id Internet Safety | Internet Rights | Internet Governance c. Tujuan selengkapnya dari pengumpulan data pribadi terkait dengan penyelenggaraan sistem elektronik yang dikelola oleh Penyelenggara Sistem Elektronik, termasuk rencana penggunaan kedepannya. d. Bahwa Pemilik Data Pribadi memiliki hak untuk mengakses data pribadi miliknya yang telah dikumpulkan oleh Penyelenggara Sistem Elektronik, termasuk untuk melakukan perbaikan (correction) atas data tersebut. e. Bahwa Pemilik Data Pribadi memiliki hak untuk meminta pemusnahan data pribadi yang disimpan oleh Penyelenggara Sistem Eletronik jika pemilik data tersebut telah menyatakan berhenti dan/atau tidak lagi menggunakan layanan sistem elektronik yang dikelola penyelenggara. f. Narahubung (contact person) yang jelas dari Penyelenggara Sistem Elektronik yang dapat dihubungi dengan mudah oleh Pemilik data Pribadi, terkait dengan sejumlah hal di atas. 2. PENGIDENTIFIKASI yang PERSISTEN (PERSISTENT IDENTIFIER) Persistent Identifier adalah sebuah referensi / rujukan secara berterusan atau dalam rentang waktu lama, yang merujuk pada obyek digital tertentu3 , dan kemudian dapat digunakan untuk mengenali seseorang atau pengguna Internet dari waktu ke waktu dan di sejumlah situs yang berbeda4 . Persistent identifier tersebut semisal: browser cookie5 , alamat Internet Protocol (IP), nomor unik seri prosesor atau perangkat (gadget). Persistent identifier ini dewasa ini kemudian masuk dalam kategori “data pribadi” yang harus dilindungi6 . 3. PEMBATASAN USIA MINIMUM Atas nama kepentingan dan perlindungan anak Indonesia di Internet, maka perlu ada kewajiban atas pembatasan usia minimum Pemilik Data Pribadi yang data pribadi miliknya dapat dan/atau boleh dikumpulkan oleh Penyelenggara Sistem Elektronik secara langsung. Usia tersebut haruslah mengacu ke UU Perlindungan Anak7 , yaitu 18 (delapan belas) tahun. 3 http://www.ariadne.ac.uk/issue56/tonkin 4 https://www.ftc.gov/system/files/documents/plain-language/BUS84-coppa-6-steps.pdf 5 https://en.wikipedia.org/wiki/HTTP_cookie 6 http://www.aeforum.org/gallery/5248813.pdf 7 http://www.kpai.go.id/files/2013/09/uu-nomor-35-tahun-2014-tentang-perubahan-uu-pa.pdf
  3. 3. 0 ICT Watch – Perkumpulan Mitra TIK Indonesia (Indonesian ICT Partnership) Jl. Tebet Barat Dalam 6H no.16, Jakarta 12810, Indonesia P: (021) 98495770 | F: (021) 8292428 | E: info@ictwatch.id | W: ictwatch.id Internet Safety | Internet Rights | Internet Governance Menurut UU tersebut, yang disebut sebagai “anak” adalah seseorang yang belum berusia 18 tahun. Dengan demikian penyelenggara Sistem Elektronik berkewajiban untuk tidak meminta dan/atau mengumpulkan data pribadi dari anak, tanpa sepengetahuan dan pendampingan dari orangtua ataupun wali anak yang sah dan legal. Hal serupa telah diatur pula di Korea, yang membatasi pada usia 14 (empat belas) tahun ke bawah sebagai kategori “anak” yang harus mendapatkan dampingan atau sepengetahuan orang tua ketika memberikan data pribadinya8 . Adapun Amerika, batasannya adalah pada usia 13 (tiga belas) tahun9 . Adapun The Organisation for Economic Co-operation and Development (OECD) yang beranggotakan 34 negara, dalam rekomendasinya tentang The Protection of Children Online10 , menyebutkan bahwa anak-anak dapat mengungkapkan data pribadi mereka karena mereka tidak menyadari lingkup atau maraknya pengguna Internet, dan juga karena mereka gagal untuk mempertimbangkan secara masak-masak konsekuensi potensial atas pengungkapan data pribadi tersebut. OECD juga menyepakati batasan usia anak adalah mereka yang usianya belum mencapai 18 (delapan belas) tahun. Di dalam UU Perlindungan Privasi Online Anak yang dilansir oleh Amerika dan kemudian diamandemen pada 201211 , disebutkan bahwa data pribadi anak termasuk didalamnya adalah hal yang terkait dengan username, foto/video/audio yang mengandung gambar atau suara anak, informasi geo location yang bisa mengidentifikasi nama jalan dan kota, serta khususnya yang terkait pula dengan “persistent identifier” 4. DURASI PENYIMPANAN DATA PRIBADI Pada bagian ketiga, “Penyimpanan Data Pribadi”, pasal 15 (lima belas) dan 16 (enam belas) perlu disesuaikan sebagai berikut: 8 http://koreanlii.or.kr/w/images/0/0e/KoreanDPAct2011.pdf 9 http://www.coppa.org/coppa.htm 10 http://www.oecd.org/sti/ieconomy/childrenonline_with_cover.pdf 11 https://www.ftc.gov/tips-advice/business-center/guidance/complying-coppa-frequently-asked-questions
  4. 4. 0 ICT Watch – Perkumpulan Mitra TIK Indonesia (Indonesian ICT Partnership) Jl. Tebet Barat Dalam 6H no.16, Jakarta 12810, Indonesia P: (021) 98495770 | F: (021) 8292428 | E: info@ictwatch.id | W: ictwatch.id Internet Safety | Internet Rights | Internet Governance a. Ditambahkan kewajiban kepada Penyelenggara Sistem Elektronik bahwa durasi / masa penyimpanan data pribadi hendaknya tidak melebihi dari tujuan awal perolehan dan pengumpulan yang telah diberitahukan kepada Pemilik Data Pribadi saat pertama kali data tersebut dikumpulkan, kecuali jika dilakukan sesuai dengan ketentuan peraturan perundang-undangan yang berlaku di Indonesia. b. Perlu dijelaskan relevansi, tujuan dan rencana penggunaan data pribadi yang dikumpulkan terkait dengan masa / durasi penyimpanan data pribadi sebagaimana tertulis “paling singkat 5 (lima) tahun”. Penjelasan tersebut juga hendaknya mencakup alasan yang jelas dan logis terkait dasar penentuan atas masa / durasi 5 (lima) tahun tersebut. 5. LAINNYA A). KEWAJIBAN YANG SETARA Perlu ada pengenaan kewajiban dan tindakan yang setara (equal treatment) antara Penyelenggara Sistem Elektronik yang dikelola oleh/di dalam negeri dengan yang luar negeri / multinasional / global, terkait dengan (rancangan) peraturan menteri privasi digital ini. Termasuk juga kebijakan, prosedur dan mekanisme dalam konteks perlindungan data pribadi milik rakyat Indonesia, jika pentransmisian dan/atau penggunaan data pribadi tersebut menuju dan/atau dilakukan ke/oleh Penyelenggara Sistem Elektronik yang badan hukum pendirian dan/atau kebijakan operasionalnya, baik keseluruhan ataupun sebagian, tidak merujuk dan/atau tunduk pada pada hukum Indonesia yang berlaku. B). PEMBATASAN UNTUK DIRECT MARKETING Perlu diwajibkan bagi Penyelenggara Sistem Elektronik tidak mentransmisikan, memindahkan, menyalin data pribadi yang diperoleh atau dikumpulkannya ke pihak siapapun dan dimanapun untuk keperluan direct marketing12 , tanpa sepengetahuan dan sebelumnya mendapatkan persetujuan dari Pemilik Data Pribadi. 12 https://en.wikipedia.org/wiki/Direct_marketing
  5. 5. 0 ICT Watch – Perkumpulan Mitra TIK Indonesia (Indonesian ICT Partnership) Jl. Tebet Barat Dalam 6H no.16, Jakarta 12810, Indonesia P: (021) 98495770 | F: (021) 8292428 | E: info@ictwatch.id | W: ictwatch.id Internet Safety | Internet Rights | Internet Governance C). KEPASTIAN DAN JAMINAN KEAMANAN Perlu adanya jaminan keamanan dari Penyelenggara Sistem Elektronik untuk: I. Memastikan proses pengumpulan, pengolahan dan/atau pentransmisian data pribadi terlindungi dari kemungkinan penyadapan dan/atau intersepsi yang illegal. Untuk itu maka harus diwajibkan Penyelegggara Sistem Elektronik dalam konteks perlindungan data pribadi, untuk menggunakan teknologi enkripsi yang teruji dan terbaharui mengacu pada standar yang berlaku II. Memastikan ada mekanisme pengaduan dari Pemilik Data Pribadi kepada Penyelenggara Sistem Elektronik untuk melaporkan adanya indikasi kebocoran atau penyalahgunaan data pribadi. Penyelenggara Sistem Elektronik juga harus menyampaikan pemberitahuan kepada Pemilik Data Pribadi, jika data pribadi terkait ternyata diketahui mengalami kebocoran, diintersepsi secara illegal atau disalahgunakan dalam bentuk apapun dan oleh siapapun. Demikian tanggapan ini kami sampaikan. Terimakasih atas perhatiannya, Hormat kami, Donny B.U. Direktur Eksekutif - ICT Watch Tembusan: - Dirjen Aplikasi Telematika, Kemkominfo - Kepala Pusat Informasi & Humas, Kemkominfo - Arsip online ICT Watch

×