Sosialisasi UU Pelindungan Data Pribadi untuk sektor kesehatan.
Webinar Serial TIK I-2022
Diselenggarakan oleh:
*INDOHCF - KREKI - IODTI - FORKOMTIKNAS - Z-COURSE*
TOPIK:
*Implikasi UU PDP (Perlindungan Data Pribadi) Terhadap Tata Kelola Data di Sektor Kesehatan*
Rancangan Undang - Undang (RUU) Perlindungan Data Pribadi (PDP) telah resmi disahkan menjadi Undang-Undang (UU) dalam Rapat Paripurna DPR RI pada tanggal 20 Sept 2022. Sambil menunggu peraturan pelaksanaannya, maka perlu lebih mencermati isi regulasi tsb dan mendiskusikan bagaimana implikasinya bagi sektor kesehatan baik Faskes, BPJS, Masyarakat dan stakeholder kesehatan lainnya
Data Protection Indonesia: Basic Regulation and Technical Aspects_ErykEryk Budi Pratama
Presented at Orang Siber Indonesia webinar.
11 July 2020
Topic: Data Protection: Basic Regulation and Technical Aspects
This presentation covers:
> Indonesia Data Protection Bill
> Data Masking
> Identity & Access Management
> Data Loss Prevention
Join us (for Indonesian):
t.me/orangsiber
t.me/dataprotectionid
This material was presented at Orang Siber Indonesia regular webinar.
Content:
> Understanding privacy management
> Global privacy news
> Understanding privacy regulations and frameworks
> Data Privacy Program Management practices
Ringkasan Standar Kompetensi Data Protection Officer | Agustus 2023 | IODTIEryk Budi Pratama
UU No 27 Tahun 2022 tentang Pelindungan Data Pribadi (“UU PDP”) telah disahkan pada bulan Oktober 2022 dan saat ini telah memasuki masa tenggang. Ketiadaan peraturan teknis / turunan membuat banyak organisasi masih ragu dalam menetapkan arah dan mengimplementasikan UU PDP sesuai dengan peraturan perundang-undangan yang berlaku. Salah satu aspek penting dalam UU PDP adalah terkait penunjukan Pejabat/Petugas yang melaksanakan fungsi Pelindungan Data Pribadi (PPDP) atau Data Protection Officer (DPO) seperti yang diamanatkan oleh UU PDP Pasal 53 dan 54.
Melalui Keputusan Menteri Ketenagakerjaan Republik Indonesia Nomor 103 Tahun 2023 tentang Penetapan Standar Kompetensi Kerja Nasional Indonesia Kategori Informasi dan Komunikasi Golongan Pokok Aktivitas Pemrograman, Konsultasi Komputer dan Kegiatan yang Berhubungan dengan Itu (YBDI) Bidang Keahlian Pelindungan Data Pribadi yang ditetapkan pada tanggal 23 Juni 2023, maka standar kompetensi PPDP/DPO telah sah untuk dapat dijadikan rujukan dalam menentukan kompetensi SDM, kebutuhan rekrutmen, pelatihan, dan sertifikasi terkait dengan Pelindungan Data Pribadi.
Ringkasan Standar Kompentensi / SKKNI Pelindungan Data Pribadi ini disusun untuk memudahkan masyarakat dalam memahami secara ringkas 4 Fungsi Kunci, 8 Fungsi Utama, dan 19 Fungsi Dasar yang telah disusun oleh Tim Perumus dan Kementerian Komunikasi dan Informatika Republik Indonesia, serta disahkan oleh Menteri Ketenagakerjaan Republik Indonesia. Semoga ringkasan SKKNI PDP ini dapat bermanfaat dan memberikan panduan secara ringkas tidak hanya perihal kompetensi PPDP/DPO, namun juga hal-hal yang dapat dilakukan oleh organisasi dalam menerapkan Program Pelindungan Data Pribadi.
Salam,
Eryk Budi Pratama, CIPM, CIPP/E, FIP
Chairman - Institute of Digital Trust Indonesia (IODTI)
Tim Perumus SKKNI Pelindungan Data Pribadi
Tim Perumus Rancangan Peraturan Pemerintah Pelindungan Data Pribadi (“RPP PDP”)
eryk@digitaltrustid.org
Privacy-ready Data Protection Program ImplementationEryk Budi Pratama
Presented at CDEF 16th Meetup at 18 August 2022.
Title:
Privacy-ready Data Protection Program Implementation
Topics:
- Why data protection is important
- Data Privacy Program Domain
- Operationalize Data Privacy Program
- Privacy-aligned Information Security Framework
- Roadmap to Protect Personal Data
- Privacy Management Technology
Kebijakan Perlindungan Data Pribadi Melalui RUU PDPUnggul Sagena
Kebijakan Perlindungan Data Pribadi di Indonesia bukan tidak ada. Saat ini ada PP No 71/2019 untuk sementara, sebelum RUU PDP Disahkan yang saat ini (Juni 2020) masih dibahas di parlemen.
Data Protection Indonesia: Basic Regulation and Technical Aspects_ErykEryk Budi Pratama
Presented at Orang Siber Indonesia webinar.
11 July 2020
Topic: Data Protection: Basic Regulation and Technical Aspects
This presentation covers:
> Indonesia Data Protection Bill
> Data Masking
> Identity & Access Management
> Data Loss Prevention
Join us (for Indonesian):
t.me/orangsiber
t.me/dataprotectionid
This material was presented at Orang Siber Indonesia regular webinar.
Content:
> Understanding privacy management
> Global privacy news
> Understanding privacy regulations and frameworks
> Data Privacy Program Management practices
Ringkasan Standar Kompetensi Data Protection Officer | Agustus 2023 | IODTIEryk Budi Pratama
UU No 27 Tahun 2022 tentang Pelindungan Data Pribadi (“UU PDP”) telah disahkan pada bulan Oktober 2022 dan saat ini telah memasuki masa tenggang. Ketiadaan peraturan teknis / turunan membuat banyak organisasi masih ragu dalam menetapkan arah dan mengimplementasikan UU PDP sesuai dengan peraturan perundang-undangan yang berlaku. Salah satu aspek penting dalam UU PDP adalah terkait penunjukan Pejabat/Petugas yang melaksanakan fungsi Pelindungan Data Pribadi (PPDP) atau Data Protection Officer (DPO) seperti yang diamanatkan oleh UU PDP Pasal 53 dan 54.
Melalui Keputusan Menteri Ketenagakerjaan Republik Indonesia Nomor 103 Tahun 2023 tentang Penetapan Standar Kompetensi Kerja Nasional Indonesia Kategori Informasi dan Komunikasi Golongan Pokok Aktivitas Pemrograman, Konsultasi Komputer dan Kegiatan yang Berhubungan dengan Itu (YBDI) Bidang Keahlian Pelindungan Data Pribadi yang ditetapkan pada tanggal 23 Juni 2023, maka standar kompetensi PPDP/DPO telah sah untuk dapat dijadikan rujukan dalam menentukan kompetensi SDM, kebutuhan rekrutmen, pelatihan, dan sertifikasi terkait dengan Pelindungan Data Pribadi.
Ringkasan Standar Kompentensi / SKKNI Pelindungan Data Pribadi ini disusun untuk memudahkan masyarakat dalam memahami secara ringkas 4 Fungsi Kunci, 8 Fungsi Utama, dan 19 Fungsi Dasar yang telah disusun oleh Tim Perumus dan Kementerian Komunikasi dan Informatika Republik Indonesia, serta disahkan oleh Menteri Ketenagakerjaan Republik Indonesia. Semoga ringkasan SKKNI PDP ini dapat bermanfaat dan memberikan panduan secara ringkas tidak hanya perihal kompetensi PPDP/DPO, namun juga hal-hal yang dapat dilakukan oleh organisasi dalam menerapkan Program Pelindungan Data Pribadi.
Salam,
Eryk Budi Pratama, CIPM, CIPP/E, FIP
Chairman - Institute of Digital Trust Indonesia (IODTI)
Tim Perumus SKKNI Pelindungan Data Pribadi
Tim Perumus Rancangan Peraturan Pemerintah Pelindungan Data Pribadi (“RPP PDP”)
eryk@digitaltrustid.org
Privacy-ready Data Protection Program ImplementationEryk Budi Pratama
Presented at CDEF 16th Meetup at 18 August 2022.
Title:
Privacy-ready Data Protection Program Implementation
Topics:
- Why data protection is important
- Data Privacy Program Domain
- Operationalize Data Privacy Program
- Privacy-aligned Information Security Framework
- Roadmap to Protect Personal Data
- Privacy Management Technology
Kebijakan Perlindungan Data Pribadi Melalui RUU PDPUnggul Sagena
Kebijakan Perlindungan Data Pribadi di Indonesia bukan tidak ada. Saat ini ada PP No 71/2019 untuk sementara, sebelum RUU PDP Disahkan yang saat ini (Juni 2020) masih dibahas di parlemen.
Dalam alinea ke-4 Pembukaan Undang-Undang Dasar Negara Republik Indonesia Tahun 1945, menyebutkan Pemerintah Negara Indonesia mempunyai kewajiban konstitusional melindungi segenap bangsa Indonesia dan seluruh tumpah darah Indonesia dan untuk memajukan kesejahteraan umum, mencerdaskan kehidupan bangsa, dan ikut melaksanakan ketertiban dunia yang berdasarkan kemerdekaan, perdamaian abadi dan keadilan sosial. Dalam konteks perkembangan teknologi informasi dan komunikasi, tujuan bernegara tersebut diwujudkan dalam bentuk perlindungan data pribadi dari setiap penduduk atau warga negara Indonesia
Data Loss Prevention (DLP) - Fundamental Concept - ErykEryk Budi Pratama
Presented at APTIKNAS (Indonesia ICT Business Association) DKI Jakarta regular webinar.
Title:Data Loss Prevention: Fundamental Concept in Enabling DLP System
2 July 2020
Legal obligations and responsibilities of data processors and controllers und...IT Governance Ltd
This webinar covers:
-The definitions of ‘data controller’ and ‘data processor’ under the GDPR.
-The responsibilities and obligations of controllers and processors.
-The data breach reporting responsibilities of controllers and processors.
-The liability of, and penalties that may be imposed on, data processors and controllers.
-The appointment of joint controllers and subcontracting processors
The webinar can be found here https://www.youtube.com/watch?v=cyUPGGD3iVg&t=8s
Making Data Classification Work for You - 18 Things to Consider When Choosing Data Classification Solutions.
For more information, please visit: http://www.secureislands.com/solutions-classification/
MWLUG - 2017
Tim Clark & Stephanie Heit
Tim & Steph explain the basics of GDPR and give some recommendations about what you can do to be ready.
Data sources are in the final slides.
For more information about how BCC can help you get your Domino data ready for GDPR please contact us here.
http://bcchub.com/bcc-domino-protect/
Full GDPR toolkit: https://quality.eqms.co.uk/gdpr-general-data-protection-regulation-eu-toolkit
This free online training presentation provides you with information about how to comply with the General Data Protection Regulation, managing breaches, engaging employees, key requirements and more.
Enabling Data Governance - Data Trust, Data Ethics, Data QualityEryk Budi Pratama
Presented on PHPID Online Learning 35.
Komunitas PHP Indonesia
Title: Enabling Data Governance - The Journey through Data Trust, Ethics, and Quality
Eryk B. Pratama
Global IT & Cybersecurity Advisor
Dalam alinea ke-4 Pembukaan Undang-Undang Dasar Negara Republik Indonesia Tahun 1945, menyebutkan Pemerintah Negara Indonesia mempunyai kewajiban konstitusional melindungi segenap bangsa Indonesia dan seluruh tumpah darah Indonesia dan untuk memajukan kesejahteraan umum, mencerdaskan kehidupan bangsa, dan ikut melaksanakan ketertiban dunia yang berdasarkan kemerdekaan, perdamaian abadi dan keadilan sosial. Dalam konteks perkembangan teknologi informasi dan komunikasi, tujuan bernegara tersebut diwujudkan dalam bentuk perlindungan data pribadi dari setiap penduduk atau warga negara Indonesia
Data Loss Prevention (DLP) - Fundamental Concept - ErykEryk Budi Pratama
Presented at APTIKNAS (Indonesia ICT Business Association) DKI Jakarta regular webinar.
Title:Data Loss Prevention: Fundamental Concept in Enabling DLP System
2 July 2020
Legal obligations and responsibilities of data processors and controllers und...IT Governance Ltd
This webinar covers:
-The definitions of ‘data controller’ and ‘data processor’ under the GDPR.
-The responsibilities and obligations of controllers and processors.
-The data breach reporting responsibilities of controllers and processors.
-The liability of, and penalties that may be imposed on, data processors and controllers.
-The appointment of joint controllers and subcontracting processors
The webinar can be found here https://www.youtube.com/watch?v=cyUPGGD3iVg&t=8s
Making Data Classification Work for You - 18 Things to Consider When Choosing Data Classification Solutions.
For more information, please visit: http://www.secureislands.com/solutions-classification/
MWLUG - 2017
Tim Clark & Stephanie Heit
Tim & Steph explain the basics of GDPR and give some recommendations about what you can do to be ready.
Data sources are in the final slides.
For more information about how BCC can help you get your Domino data ready for GDPR please contact us here.
http://bcchub.com/bcc-domino-protect/
Full GDPR toolkit: https://quality.eqms.co.uk/gdpr-general-data-protection-regulation-eu-toolkit
This free online training presentation provides you with information about how to comply with the General Data Protection Regulation, managing breaches, engaging employees, key requirements and more.
Enabling Data Governance - Data Trust, Data Ethics, Data QualityEryk Budi Pratama
Presented on PHPID Online Learning 35.
Komunitas PHP Indonesia
Title: Enabling Data Governance - The Journey through Data Trust, Ethics, and Quality
Eryk B. Pratama
Global IT & Cybersecurity Advisor
ID IGF 2016 - Hukum 1 - Privasi Online dan PDPIGF Indonesia
Presented by: Donny BU (ICT Watch)
ID IGF 2016
Sesi Hukum 1 - Mendesak Kesadaran Privasi dan Perlindungan Data Pribadi di Indonesia
Jakarta, 15 November 2016
PII adalah setiap informasi tentang seseorang yang dikelola oleh suatu agen, termasuk informasi apa pun yang dapat digunakan untuk membedakan atau melacak identitas seseorang. Tidak ada yang kebal terhadap pencurian identitas, tetapi tetap mempersiapkan diri sebelum itu terjadi adalah pertahanan terbaik.
Slide ini berisi tentang materi sistem informasi manajemen dengan bab isu teknologi dalam bisnis. menggunakan libre office impress namun tetap dapat digunakan dengan power point. Mkash
Modern IT Service Management Transformation - ITIL IndonesiaEryk Budi Pratama
Presented at Online ITIL Indonesia Webinar #5.
Content:
> Setting up the context
> Understanding holistic IT Management point of view
> IT Service Management Transformation
> Key Performance Indicator (KPI)
> IT Service Catalogue
> IT Sourcing
> Agile Incident Management
Presented at National Webinar of ISACA Student Group, Universitas Kristen Satya Wacana, indonesia.
Title: Cyber Resilience: Post COVID-19 - Welcoming New Normal
2 July 2020
Guardians of Trust: Building Trust in Data & AnalyticsEryk Budi Pratama
Presented at Absolut Data Event, 17 Dec 2019, at GoWork Kuningan.
Event URL: https://www.eventbrite.com/e/panel-discussion-what-will-you-prepare-with-data-in-2020-tickets-84851546259
My presentation summarized the two of KPMG publication related to Trust in Data & Analytics. The focus of this event was panel discussion.
Ref 1 : https://assets.kpmg/content/dam/kpmg/xx/pdf/2016/10/building-trust-in-analytics.pdf
Ref 2: https://assets.kpmg/content/dam/kpmg/xx/pdf/2018/02/guardians-of-trust.pdf
Presented at ISACA Indonesia Monthly Technical Meeting, 11 Dec 2019 at Telkom Landmark.
Key takeaways from my presentation:
1. Cloud customers have to understand the share responsibilities between customer and cloud provider
2. Different cloud service model (IaaS, PaaS, SaaS) has different audit methodology
3. Customer’s IT Auditor have to be trained to have the skills needed to audit the cloud service
4. Understanding IAM in Cloud is very important. Each Cloud Service Provider has different IAM mechanism
5. Understanding different type of audit logs in cloud platform is important for IT Auditor
Emerging Technology Risk Series - Internet of Things (IoT)Eryk Budi Pratama
Presented at Indonesia Honeynet Project (IHP) meetup. This presentation covering:
1. Overview of Industry 4.0
2. IoT Security Model
3. How to Secure IoT
4. Research in IoT
Other emerging technology risk area that will be covered in my professional services:
1. Cloud
2. Mobile
3. Artificial Intelligence / Intelligent Automation
4. Data & Analytics
Protecting Agile Transformation through Secure DevOps (DevSecOps)Eryk Budi Pratama
Respresenting Cyber Defense Community (cdef.id) to present and share my view on Secure DevOps / DevSecOps. Through this presentation, I shared several insights about:
1. How to balance the risk and controls in the "great shift left" paradigm (agile)
2. DevOps activities
3. How to seamlessly integrate security into DevOps
4. How to "shift left" the security"
5. Get started with Secure DevOps / DevSecOps
6. Case Study about DevSecOps implementation
For further discussion, especially how to secure digital and agile transformation in your organization, don't hesitate to contact me :)
IT Governance - Capability Assessment using COBIT 5Eryk Budi Pratama
(re-upload)
Capability assessment of IT Governance using COBIT 5 Process Assessment Model (PAM). Presented for Information System Department, Universitas Bakrie - Indonesia
Implikasi UU PDP terhadap Tata Kelola Data Sektor Kesehatan - Rangkuman UU Pelindungan Data Pribadi
1. Eryk Budi Pratama, M.Kom, M.M, CIPM, CIPP/E, FIP, OSWP, CEH, CNSS, ISO 27001 LI
Chairman - Institute of Digital Trust Indonesia (IODTI)
Indonesia Chapter Chair - International Association of Privacy Professionals (IAPP)
Associate Director - Big 4 Global Consulting Company
8 Oktober 2022
Webinar Serial TIK I-2022
Implikasi UU Pelindungan Data Pribadi terhadap
Tata Kelola Data Sektor Kesehatan
www.iodti.org
2. Contoh Daftar Kasus Pelanggaran Data di US
Contoh Kasus Kebocoran Data di Dunia
Sumber: https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf
3. Kasus Kebocoran Data Pribadi Perusahaan Farmasi
Contoh Kasus Kebocoran Data di Dunia
Pada awal pandemi Covid-19, adopsi digital meningkat pada tingkat yang belum pernah terlihat sebelumnya. Dengan adanya lock-down dan physical
distancing, perusahaan farmasi dengan cepat bergerak menuju sistem kerja remote dan berbasis cloud. Pada saat yang sama, kompetisi dalam
pengembangan vaksin menjadi berita utama. Perusahaan farmasi secara efektif dipercaya untuk mengakhiri pandemi, sehingga menjadikannya target yang
menarik bagi peretas yang ingin mencuri rahasia dagang.
Sumber: https://www.pharmaceutical-technology.com/analysis/pharma-cyber-attacks/ & https://pf-media.co.uk/news/pfizer-suffers-huge-data-breach-on-unsecured-cloud-storage/
2020: Pelanggaran data (data breach) di Laboratorium Dr Reddy
▪ Selama pandemi, serangan siber terhadap organisasi meningkat termasuk pada sektor kesehatan tidak
terkecuali. Pusat Keamanan Siber Nasional Inggris (NCSC) melaporkan lebih dari 200 serangan yang
secara khusus terkait dengan pandemi, termasuk serangan terhadap penelitian vaksin dari dinas
intelijen Rusia.
▪ Terdeteksi juga sejumlah serangan siber terhadap rantai pasok vaksin, khususnya perusahaan dan
lembaga pemerintah yang terlibat dalam distribusi.
▪ Pada Oktober 2020, pembuat obat India Dr Reddy's Laboratories terpaksa menutup beberapa fasilitas
produksi setelah serangan siber. Selain mengisolasi semua pusat data, mereka menutup pabrik di AS,
Inggris, Brasil, India, dan Rusia.
2020: Serangan terhadap Pfizer/BioNTech dan AstraZeneca
▪ Pada Desember 2020, European Medicines Agency (EMA) mengumumkan bahwa mereka telah
menjadi sasaran serangan siber. Selama pelanggaran, beberapa dokumen yang berkaitan dengan
vaksin Pfizer/BioNTech telah diakses secara tidak sah.
▪ Pelaku kejahatan (yang identitasnya tetap tidak diketahui atau dirahasiakan) mengakses dokumen
word, pdf, tangkapan layar email, presentasi PowerPoint, dan peer review EMA, semua yang berkaitan
dengan peraturan pengiriman vaksin. Data ini bocor sebulan kemudian, meskipun dalam format yang
telah diubah.
4. Statistik Pelanggaran Data Pribadi di Eropa
Contoh Kasus Pelanggaran Data di Dunia
Sumber: https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf
Jumlah pelanggaran data pribadi berdasarkan jenis pelanggaran yang terjadi di eropa (Per 8 Oktober 2022)
5. Kasus Kebocoran Data di Indonesia
Contoh Kasus Kebocoran Data di Indonesia
Beberapa kasus kebocoran data di Indonesia yang terjadi pada tahun 2021-2022 di Sektor Kesehatan.
https://tekno.kompas.com/read/2021/06/11/1
3040057/kasus-kebocoran-data-279-juta-wni-
bpjs-kesehatan-akan-digugat-lewat-
ptun?page=all
https://www.bbc.com/indonesia/indonesia-58393345
https://www.cnbcindonesia.com/tech/20220107091400-37-
305390/darimana-sumber-data-kemenkes-yang-diduga-bocor
6. Kasus Kebocoran Data Pasien
Contoh Kasus Kebocoran Data di Indonesia
Source: https://cyberthreat.id/read/13221/Miris-720GB-Basis-Data-Pasien-Dijual-di-Internet-Peretas-Klaim-Bersumber-dari-Server-Terpusat-Kemenkes
Peretas mengunggah basis data pasien pada Rabu (5/1) pukul 04.23 WIB dengan
judul “Indonesia-Medical Patients Information 720 GB Documents and 6M
database”.
Dari keseluruhan database, terbagi menjadi tiga folder, (1) “folder EKG atau ECG”
(elektrokardiogram) berukuran 199GB dengan 238.999 file, (2) “folder
laboratorium” dengan 479GB berisi 753.504 file, dan terakhir “folder radiologi”
dengan 42GB. berisi 43.630 file.
Peretas mengklaim bahwa database tersebut bersumber dari "server terpusat
Kementerian Kesehatan RI". Data terakhir diambil pada 28 Desember 2021, tulis
peretas.
Rontgen Data CT Scan COVID-19 Test
Lab Result Children Video Data
Data Pribadi Kategori Spesifik
7. UU PDP versi 20 Sept 2022 : https://www.dpr.go.id/dokakd/dokumen/K1-RJ-20220920-123712-3183.pdf
8. Rangkuman UU Pelindungan Data Pribadi
UU Pelindungan Data Pribadi
Berikut adalah rangkuman dari UU Pelindungan Data Pribadi yang disahkan oleh DPR dan Pemerintah pada 20 September 2022
Pihak yang Terlibat
Subjek Data, Pengendali Data, Pengendali
Data Gabungan, Prosesor Data
Jenis Data Pribadi
Umum dan Spesifik
Hak Subjek Data
Diberikan Informasi, Akses, Melengkapi, Mengubah,
Menghentikan, Mencabut persetujuan, Membatasi, dan
Ganti Rugi
Pemrosesan Data Pribadi
Pengumpulan, Analisis, Penyimpanan,
Pembaruan, Pengiriman, Penghapusan
Kewajiban Pelindungan Data
Pengendalian teknis operasional, tingkat
pelindungan data, mitigasi risiko
Perekaman Aktivitas Pemrosesan
Rekaman aktivitas pemrosesan data pribadi / Record of
Proceessing Activities - ROPA (Pasal 31)
Kewajiban untuk Pelaporan
Pelaporan ke subjek data dan Lembaga
pengawas dalam 3x24 jam jika terdapat
kegagalan pelindungan data pribadi
Sanksi
Sanksi Pidana dan Administratif
Penilaian Dampak PDP
Penilaian Dampak Pelindungan Data Pribadi / Data Protection
Impact Assessment – DPIA (Pasal 34)
9. Definisi dan Jenis Data Pribadi
UU Pelindungan Data Pribadi
Definisi dan Jenis Data Pribadi berdasarkan RUU PDP
Data Pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi
lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik.
Nama lengkap
Jenis kelamin
Kewarganegaraan
Agama
Status Perkawinan
Data Pribadi yang dikombinasikan
untuk mengidentifikasi seseorang
Data Pribadi Umum Data Pribadi Spesifik
Data dan informasi
kesehatan
Catatan atau keterangan individu yang berkaitan dengan kesehatan fisik, kesehatan
mental, dan/atau pelayanan kesehatan
Data biometrik Data yang berkaitan dengan fisik, fisiologis, atau karakteristik perilaku individu yang
memungkinkan identifikasi unik terhadap individu, seperti gambar wajah atau data
daktiloskopi. Data biometrik juga menjelaskan pada sifat keunikan dan/atau karakteristik
seseorang yang harus dijaga dan dirawat, termasuk namun tidak terbatas pada rekam sidik
jari, retina mata, dan sampel DNA.
Data genetika Semua data jenis apapun mengenai karakteristik suatu individu yang diwariskan atau
diperoleh selama perkembangan prenatal awal.
Catatan kejahatan Catatan tertulis tentang seseorang yang pernah melakukan perbuatan melawan hukum
atau melanggar hukum atau sedang dalam proses peradilan atas perbuatan yang dilakukan,
antara lain catatan kepolisian dan pencantuman dalam daftar pencegahan atau
penangkalan.
Data anak Data yang berkaitan dengan anak. (Menurut WHO, klasifikasi umur di bawah 10 tahun)
Data keuangan pribadi Termasuk namun tidak terbatas kepada data jumlah simpanan pada bank termasuk
tabungan, deposito, dan data kartu kredit
data lainnya sesuai dengan ketentuan peraturan perundang-undangan.
10. Entitas dalam Pemrosesan Data Pribadi
UU Pelindungan Data Pribadi
Beberapa pihak yang terlibat dalam pemrosesan dataa pribadi
Subjek Data: orang perseorangan yang pada dirinya
melekat Data Pribadi. Setiap Orang adalah orang
perseorangan atau korporasi
Pengendali Data Pribadi: setiap orang, badan publik, dan
organisasi internasional yang bertindak sendiri-sendiri atau
bersama-sama dalam menentukan tujuan dan melakukan
kendali pemrosesan Data Pribadi.
Prosesor Data Pribadi: setiap orang, badan publik, dan
organisasi internasional yang bertindak sendiri-sendiri atau
bersama-sama dalam melakukan pemrosesan Data Pribadi
atas nama Pengendali Data Pribadi.
Pemrosesan mencakup:
▪ pemerolehan dan pengumpulan;
▪ pengolahan dan penganalisisan;
▪ penyimpanan;
▪ perbaikan dan pembaruan;
▪ penampilan, pengumuman, transfer,
penyebarluasan, atau pengungkapan; dan/atau
▪ penghapusan atau pemusnahan.
Transfer Data Pribadi ke luar negeri dapat
dilakukan jika:
▪ negara tempat kedudukan Pengendali Data
Pribadi dan/atau Prosesor Data Pribadi yang
menerima transfer Data Pribadi memiliki tingkat
Pelindungan Data Pribadi yang setara atau lebih
tinggi dari yang diatur dalam Undang-Undang ini.
▪ terdapat Pelindungan Data Pribadi yang
memadai dan bersifat mengikat.
▪ persetujuan Subjek Data Pribadi.
Data Pribadi
11. Prinsip-Prinsip Pelindungan Data Pribadi
UU Pelindungan Data Pribadi
Data Minimization Purpose Limitation Data Subject Rights
• Pengumpulan Data Pribadi
dilakukan secara terbatas dan
spesifik, sah secara hukum, dan
transparan
• Pemrosesan Data Pribadi
dilakukan sesuai dengan
tujuannya
• Pemrosesan Data Pribadi
dilakukan dengan menjamin hak
Subjek Data Pribadi
Accuracy & Completeness
• Pemrosesan Data Pribadi
dilakukan secara akurat,
lengkap, tidak menyesatkan,
mutakhir, dan dapat
dipertanggungjawabkan
Data Protection Transparency Storage limitation
• Pemrosesan Data Pribadi
dilakukan dengan melindungi
keamanan Data Pribadi dari
pengaksesan yang tidak sah,
pengungkapan yang tidak sah,
pengubahan yang tidak sah,
penyalahgunaan, perusakan,
dan/atau penghilangan Data
Pribadi;
• Pemrosesan Data Pribadi
dilakukan dengan
memberitahukan tujuan dan
aktivitas pemrosesan, serta
kegagalan Pelindungan Data
Pribadi;
• Data Pribadi dimusnahkan
dan/atau dihapus setelah masa
retensi berakhir atau berdasarkan
permintaan Subjek Data Pribadi,
kecuali ditentukan lain oleh
peraturan perundang-undangan
Accountability
• Pemrosesan Data Pribadi
dilakukan secara bertanggung
jawab dan dapat dibuktikan
secara jelas
Prinsip-prinsip pelindungan data pribadi berdasarkan UU PDP Pasal 16 (2)
12. Hak Subjek Data Pribadi
UU Pelindungan Data Pribadi
Pasal 5 Pasal 6 Pasal 7
• Subjek Data Pribadi berhak
mendapatkan Informasi tentang
kejelasan identitas, dasar
kepentingan hukum, tujuan
permintaan dan penggunaan Data
Pribadi, dan akuntabilitas pihak yang
meminta Data Pribadi.
• Subjek Data Pribadi berhak
melengkapi, memperbarui, dan/atau
memperbaiki kesalahan dan/atau
ketidakakuratan Data Pribadi tentang
dirinya sesuai dengan tujuan
pemrosesan Data Pribadi.
• Subjek Data Pribadi berhak
mendapatkan akses dan
memperoleh salinan Data Pribadi
tentang dirinya sesuai dengan
ketentuan peraturan perundang-
undangan.
Pasal 8
• Subjek Data Pribadi berhak untuk
mengakhiri pemrosesan,
menghapus, dan/atau
memusnahkan Data Pribadi
tentang dirinya sesuai dengan
ketentuan peraturan perundang-
undangan.
Pasal 9 Pasal 10 Pasal 11
• Subjek Data Pribadi berhak menarik
kembali persetujuan pemrosesan
Data Pribadi tentang dirinya yang
telah diberikan kepada Pengendali
Data Pribadi
• Subjek Data Pribadi berhak untuk
mengajukan keberatan atas
tindakan pengambilan keputusan
yang hanya didasarkan pada
pemrosesan secara otomatis,
termasuk pemrofilan, yang
menimbulkan akibat hukum atau
berdampak signifikan pada Subjek
Data Pribadi.
• Subjek Data Pribadi berhak
menunda atau membatasi
pemrosesan Data Pribadi secara
proporsional sesuai dengan tujuan
pemrosesan Data Pribadi.
Pasal 12
• Subjek Data Pribadi berhak
menggugat dan menerima ganti rugi
atas pelanggaran pemrosesan Data
Pribadi tentang dirinya sesuai
dengan ketentuan peraturan
perundang-undangan.
Hak subjek data pribadi berdasarkan UU PDP Pasal 5 - 13
Pasal 13
• Subjek Data Pribadi berhak mendapatkan dan/atau menggunakan Data Pribadi tentang
dirinya dari Pengendali Data Pribadi dalam bentuk yang sesuai dengan struktur
dan/atau format yang lazim digunakan atau dapat dibaca oleh sistem elektronik.
13. Dasar Pemrosesan Data Pribadi
UU Pelindungan Data Pribadi
Berikut adalah beberapa dasar pemrosesan data pribadi yang diatur dalam UU PDP Pasal 20 (2)
Persetujuan yang sah secara eksplisit dari Subjek Data Pribadi untuk 1 (satu) atau beberapa tujuan tertentu
yang telah disampaikan oleh Pengendali Data Pribadi kepada Subjek Data Pribadi;
Pemenuhan kewajiban perjanjian dalam hal Subjek Data Pribadi merupakan salah satu pihak atau untuk
memenuhi permintaan Subjek Data Pribadi pada saat akan melakukan perjanjian;
Pemenuhan kewajiban hukum dari Pengendali Data Pribadi sesuai dengan ketentuan peraturan perundang-
undangan;
Pemenuhan pelindungan kepentingan vital Subjek Data Pribadi;
Pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan
Pengendali Data Pribadi berdasarkan peraturan perundang-undangan; dan/atau
Pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan
kepentingan Pengendali Data Pribadi dan hak Subjek Data Pribadi.
14. Kewajiban Pengendali Data Pribadi
UU Pelindungan Data Pribadi
Berikut adalah beberapa kewajiban Pengendali Data Pribadi berdasarkan UU PDP.
Dalam melakukan pemrosesan Data Pribadi, Pengendali Data
Pribadi wajib menunjukkan bukti persetujuan yang telah
diberikan oleh Subjek Data Pribadi (Pasal 24)
Pengendali Data Pribadi wajib memiliki dasar pemrosesan Data
Pribadi (Pasal 20 (1))
Pengendali Data Pribadi wajib melakukan pemrosesan Data
Pribadi sesuai dengan tujuan pemrosesan Data Pribadi. (Pasal
28)
Pengendali Data Pribadi wajib melakukan pemrosesan Data
Pribadi secara terbatas dan spesifik, sah secara hukum, dan
transparan. (Pasal 27)
Pengendali Data Pribadi wajib memastikan akurasi,
kelengkapan, dan konsistensi Data Pribadi sesuai dengan
ketentuan peraturan perundang-undangan (Pasal 29)
Pengendali Data Pribadi wajib melakukan perekaman terhadap
seluruh kegiatan pemrosesan Data Pribadi (Pasal 31)
Pengendali Data Pribadi wajib memperbarui dan/atau memperbaiki
kesalahan dan/atau ketidakakuratan Data Pribadi paling lambat 3 x 24
jam terhitung sejak Pengendali Data Pribadi menerima permintaan
pembaruan dan/atau perbaikan Data Pribadi.
Pengendali Data Pribadi wajib melakukan penilaian dampak
Pelindungan Data Pribadi dalam hal pemrosesan Data Pribadi memiliki
potensi risiko tinggi terhadap Subjek Data Pribadi. (Pasal 34)
Pengendali Data Pribadi wajib memberikan akses kepada Subjek
Data Pribadi terhadap Data Pribadi yang diproses beserta rekam
jejak pemrosesan Data Pribadi sesuai dengan jangka waktu
penyimpanan Data Pribadi (Pasal 32)
Pengendali Data Pribadi wajib melindungi dan memastikan keamanan
Data Pribadi yang diprosesnya (Pasal 35)
15. Keamanan Pemrosesan Data
Keamanan Informasi untuk Pelindungan Data Pribadi
Tujuan dari kontrol keamanan informasi dalam pemrosesan data
Availability
Confidentiality
Resilience
Integrity
Kerahasiaan
Akses hanya dibatasi pada mereka
yang memiliki alasan dan diizinkan
untuk mengakses informasi
tersebut
Integritas
Informasi akurat dan selalu
diperbarui
Ketersediaan
Informasi tersedia bagi mereka
yang diizinkan untuk mengakses
data
Resilience
Data mudah untuk dipulihkan
Ketika terjadi gangguan
16. Pelanggaran Data (Data Breach)
Keamanan Informasi untuk Pelindungan Data Pribadi
Pelanggaran Data adalah penghancuran, kehilangan, pengubahan, pengungkapan yang tidak sah atau tidak sah, atau akses ke, data pribadi
Jenis Pelanggaran:
Integrity
perubahan data pribadi yang tidak
sah atau tidak disengaja.
Confidentiality
pengungkapan yang tidak sah atau
tidak disengaja, atau akses ke, data
pribadi.
Availability
kehilangan, akses, atau
penghancuran data pribadi yang
tidak sah atau tidak disengaja.
Memberikan hak untuk mengedit
data pribadi kepada seseorang yang
seharusnya hanya diizinkan untuk
melihat data
kunci dekripsi yang hilang dalam
kasus data terenkripsi
Penghapusan data secara tidak
sengaja
Contoh:
17. Respon terhadap Kegagalan Pelindungan Data Pribadi
Keamanan Informasi untuk Pelindungan Data Pribadi
Organisasi diwajibkan memberikan notifikasi kepada subjek data dan lembaga pengawas dalam waktu 3x24 jam
Pemberitahuan pelanggaran data harus
mencakup:
Siapa dan kapan organisasi perlu
memberi tahu?
Siapa? Kapan?
Lembaga Dalam 3x24 jam
Subjek Data Tanpa penundaan yang tidak
semestinya
Apa yang
dimaksud dengan
kegagalan
pelindungan data
pribadi?
Kegagalan melindungi Data Pribadi seseorang dalam hal
kerahasiaan, integritas, dan ketersediaan Data Pribadi,
termasuk pelanggaran keamanan, baik yang disengaja
maupun tidak disengaja, yang mengarah pada perusakan,
kehilangan, perubahan, pengungkapan, atau akses yang
tidak sah terhadap Data Pribadi yang dikirim, disimpan, atau
diproses
Sifat
pelanggaran
data
Kemungkinan
konsekuensi dari
pelanggaran data
Detail kontak
DPO/Petugas
Pelindungan Data
Pribadi
Tindakan yang
diambil untuk
mengatasi
pelanggaran data
Organisasi hanya
perlu memberi tahu
jika pelanggaran data
akan mengakibatkan
risiko bagi subjek
data.
18. Persiapan Organisasi dalam Menyambut UU PDP
Quick Win Implementasi UU Pelindungan Data Pribadi
Melakukan pemetaan dan perekaman aktivitas pemrosesan data pribadi
Melakukan penilaian risiko untuk pemrosesan data pribadi (risiko tinggi)
Menyusun / memperbarui Kebijakan Privasi
Menilai tingkat kepatuhan organisasi terhadap UU PDP
Menyusun kebijakan dan prosedur terkait pelindungan data pribadi
Melakukan sesi awareness
Melakukan peningkatan kapabilitas SDM