Dokumen tersebut membahas mengenai regulasi terkait perlindungan data pribadi di Indonesia, meliputi definisi data pribadi menurut berbagai peraturan perundang-undangan terkait, prinsip-prinsip pemrosesan data pribadi, hak dan kewajiban pengendali dan pemroses data, sanksi terkait pelanggaran perlindungan data pribadi, serta tinjauan terhadap Rancangan Undang-Undang Perlindungan Data Pribadi."

1. Kebijakan Perlindungan
Data Pribadi di Indonesia
(Menuju Disahkannya
UU PDP)
UNGGUL SAGENA
Division Head of Access to Information
Southeast Asia Freedom of Expression Network
DATA SCIENCE INDONESIA
Anniversary ke-5
#INDONESIAMELEKDATA
Data-Driven Life Matters !!
Between Open Data, Data Privacy,
Data Policy, and its Threads
27 Juni 2020

2. Data Protection Laws in the World
our
office
2
https://www.dlapiperdataprotection.com/

3. TOTAL 132 NEGARA
Termly.io

4. Hak Atas Informasi
Kemanusiaan
(Humanitarian
Information Activities)
berbasis pendekatan
HAM (rights-based
approach)
4
The Signal Code

6. 1.Personal data must be processed lawfully, fairly, and transparently.
2.Personal data must be collected and processed only for specific and legitimate purposes.
3.Data collection should be minimized (only collect what is necessary for your stated purposes).
4.Accuracy of personal data should be ensured, and timely efforts should be made to rectify incorrect data (or to
comply with other data management requests).
5.Data should only be stored as long as necessary to fulfill its designated purpose.
6.Appropriate security measures need to be in place when processing data

8. GDPR SEBAGAI GAME CHANGER
DAN ACUAN PRIVACY LAWS DUNIA
Non-compliance penalties
The fines for failing to comply with GDPR regulations can equal 2 percent of the global annual revenue for lower
level infringements, and 4 percent of the global annual revenue for upper level infringements.
Mandatory notification of breach
If any breach of data has happened or has been suspected, you must inform the proper authorities within 72 hours
of the breach's discovery.
User consent
Consent requirements have been greatly enhanced and improved. If you must obtain consent for how you collect or
process user information (such as for sending marketing communications or using certain types of cookies), you
must obtain clear, explicit consent. Implied, browsewrap-style consent is no longer adequate.
Right to access
This critical part of the GDPR allows users to access the information that has been collected from them and stored
by online companies. It will allow them to submit a Subject Access Request (SAR), to which the company must be
able to provide complete electronic copies of all collected data within a timely manner.
Right to be forgotten
Under this stipulation, any individual can request an online website to both delete their collected data, and stop
sharing it with third party services.
Inclusion of Data Protection Officers (DPO)
If your company meets certain criteria, you will need to appoint a Data Protection Officer to oversee the
processes and ensure you remain compliant with the GDPR.

9. 9
Hak Pemilik Data
(GDPR)

10. PERSONAL INFORMATION : email addresses, first and last names, screen names, geolocation, instant message
details, physical addresses, telephone numbers, hobbies/interests, photographs, video and audio files
Before collecting information from children, COPPA requires that you present a direct notice to parents requesting
their consent.

11. 11
Tingkat Literasi Masyarakat Dalam Respons Terhadap Kebijakan/Kejadian Terkait Data Pribadi

12. 12
Regulasi
Terkait Data
Pribadi
Kelahiran
Akta Kelahiran (UU
Kependudukan)
Anak-anak
Kartu Penduduk Anak (UU
Kependudukan)
Jaminan Sosial
(UU SJSN dan BPJS)
Perbankan
(UU Perbankan)
Kepesertaan Pendidikan
(Peraturan PerUUan
Pendidikan)
Dewasa
Kartu Tanda Penduduk
(UU Kependudukan)
Paspor (UU Keimigrasian)
Perbankan (UU
Perbankan)
Lembaga Keuangan Non Bank
(Peraturan PerUUan LKNB)
Data Kesehatan pribadi
(Peraturan PerUUan
Kesehatan/kedokteran)
Konsumen (UU Perlindungan
Konsumen, PP Ecommerce)
Perkawinan
Buku Nikah (UU
Perkawinan)
Kartu Keluarga (UU
Kependudukan)
Perbankan (UU
Perbankan)
Lembaga Keuangan Non Bank
(Peraturan PerUUan LKNB)
Data Kesehatan pribadi
(Peraturan PerUUan
Kesehatan/kedokteran)
Konsumen (UU Perlindungan
Konsumen, PP Ecommerce)
Meninggal
Akta Kematian (UU
Kependudukan)
UUD 1945
Pasal 28G ayat 1
Setiap orang berhak
atas perlindungan diri
pribadi, keluarga,
kehormatan,
martabat, dan harta
benda yang di bawah
kekuasaannya, serta
berhak atas rasa
aman dan
perlindungan dari
ancaman ketakutan
untuk berbuat atau
tidak berbuat sesuatu
yang merupakan hak
asasi.
UU No. 11/2008
jo. UU No.
19/2016
ITE
UU No. 23/206
jo. UU 24/2013
Adminduk
Permenkominfo
20/2016 PDP
Dalam Sistem
Elektronik
UU 14/2008
Keterbukaan
Informasi Publik
RUU
PELINDUNGAN
DATA PRIBADI ?
PP 71/2019
Penyelenggara
Sistem dan
Transaksi
Elektronik

13. KERANGKA REGULASI TERKAIT
DATA PRIBADI: PENYELESAIAN
SENGKETA/KELUHAN
Perlindungan
Konsumen
• BPSK
• Pengadilan
Negeri
Sektor Jasa
Keuangan
• Internal Dispute
Resolution
• External Dispute
Resolution
(Peradilan atau
LAPS)
Data Pribadi dalam
Sistem Elektronik
• Musyawarah
mufakat
• Alternatif
penyelesaian
sesuai regulasi
Transaksi E-
Commerce
• Internal Dispute
Resolution
(Online Dispute
Resolution)
• External Dispute
Resolution
(Peradilan atau
LAPS)
Keperdataan
• Peradilan
UU No. 8/1999
Perlindungan
Konsumen
• UU No. 7/1992 jo.
UU No. 10/1998
Perbankan
• UU 40/2014 Asuransi
• UU No. 21/2011 OJK
• POJK 1/2013
Pelindungan
Konsumen SJK
• POJK 1/2014 LAPS
• Permekominfo
20/2016
Pelindungan
Data Pribadi
dalam Sistem
Elektronik
• PP 80/2019 E-
Commerce
• HIR/RBG
• Perma 1/2019
E-court

14. Berbagai Definisi
● “…personal data is an inherent part of an entitlement to personal information.” (Schwartz,
2003)
● Personal data means any information relating to an identified or identifiable natural person
(‘data subject’); an identifiable natural person is one who can be identified, directly or
indirectly, in particular by reference to an identifier such as a name, an identification number,
location data, an online identifier or to one or more factors specific to the physical,
physiological, genetic, mental, economic, cultural or social identity of that natural person. (Art.
4 the Regulation (EU) 2016/679 (General Data Protection Regulation)).
● Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran
serta dilindungi kerahasiaannya. (Pasal 1 angka 22 UU No. 23/2006 ttg Administrasi
Kependudukan jo. UU No. 24/2013).
● Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran
serta dilindungi kerahasiaannya. (Pasal 1 angka 1 Permenkominfo No. 20/2016 Perlindungan
Data Pribadi dalam Sistem Elektronik).
● Data Pribadi adalah setiap data tentang seseorang baik yang teridentifikasi dan/atau dapat
diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung
maupun tidak langsung melalui sistem elektronik dan/atau nonelektronik. (Pasal 1 angka 1
RUU Perlindungan Data Pribadi-Des 2019).

15. Undang-Undang Nomor 7 Tahun 1971 tentang
Ketentuan-Ketentuan Pokok Kearsipan, Undang-Undang
Nomor 8 Tahun 1997 tentang Dokumen
Perusahaan, Undang-Undang Nomor 10 Tahun 1998
tentang Perubahan atas Undang-Undang Nomor 7 Tahun
1992 tentang Perbankan, Undang-Undang Nomor 36
Tahun 2009 tentang Kesehatan, Undang-Undang Nomor
36 Tahun 1999 tentang Telekomunikasi, Undang-
Undang Nomor 23 Tahun 2006 tentang Administrasi
Kependudukan

16. INDONESIA PP No 71/2019
Data Pribadi adalah setiap data
tentang seseorang baik yang
teridentifikasi dan/atau dapat
diidentifikasi secara tersendiri atau
dikombinasi dengan informasi
lainnya baik secara langsung
maupun tidak langsung melalui
sistem elektronik dan/atau non
elektronik.
UNI EROPA GDPR
Personal Data
means any
information relating to
an identified or
identifiable natural
person (data subject)
Pemrosesan Data Pribadi untuk
kegiatan operasional melayani
masyarakat yang terkait dengan
aktivitas Transaksi Elektronik.
Proses Data Pribadi GDPR
Kegiatan atau rangkaian
kegiatan yang dilakukan di
data pribadi atau set data
pribadi dengan atau bukan
alat yang otonom.

17. Prinsip Pemrosesan Data (PP 71/2019)
Dilakukan secara terbatas dan spesifik, sah secara hukum, adil, dengan
sepengetahuan dan persetujuan dari pemilik Data Pribadi
● Dilakukan sesuai dengan tujuannya;
● Dilakukan dengan menjamin hak pemilik Data Pribadi;
● Dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir,
dapat dipertanggungjawabkan, dan memperhatikan tujuan
pemrosesan Data Pribadi;
● Dilakukan dengan melindungi keamanan Data Pribadi dari
kehilangan, penyalahgunaan, Akses dan pengungkapan yang tidak
sah, serta pengubahan atau perusakan Data Pribadi;
● Dilakukan dengan memberitahukan tujuan pengumpulan, aktivitas
pemrosesan, dan kegagalan perlindungan Data Pribadi;
● Dimusnahkan dan/atau dihapus kecuali masih dalam masa retensi
sesuai dengan kebutuhan berdasarkan ketentuan peraturan
perundang-undangan

18. Pengaturan dengan kombinasi paradigma.
Pengaturan memperhatikan soal lintas sektor;
Pengaturan memperhatikan soal lintas batas
dan elaborasi yurisdiksi dalam penyelesaian
sengketa;
Pengaturan memperhatikan tautan antar
hukum internal dalam penyelesaian sengketa;
Pengaturan mengelaborasi soal kerja sama
antara regulator.

19. Unduh Rancangan Peraturan Menteri Kominfo tentang Interoperabilitas Data
Tanggapan dan masukkan dapat disampaikan melalui alamat
email: takel.aptika@kominfo.go.id selambat - lambatnya tanggal 30 Juni 2020.

20. Pengendali, Pemroses, Otoritas
Individu (natural person) atau legal
entitas (legal person), otoritas publik,
agen atau lembaga dalam bentuk
lain yang secara sendiri atau
bersama dengan yang lain
menentukan tujuan dan cara
memproses data pribadi.
Individu (natural person) atau legal
entitas (legal person), agen atau
bentuk badan lain yang memproses
data atas nama pengendali.
PEMROSES
PROCESSOR
PENGENDALI
CONTROLLER
Otoritas independen yang bertanggung jawab
mengawasi penerapan pelindungan data pribadi.
OTORITAS

21. Bagaimana
Apabila
terjadi
Kebocoran
Data
Pribadi?
21

22. RUU PDP Pasal 40 (1) Dalam hal terjadi kegagalan pelindungan Data Pribadi,
Pengendali Data Pribadi wajib menyampaikan pemberitahuan secara tertulis
dalam waktu paling lambat 3 x 24 (tiga kali dua puluh empat) jam kepada:
a. Pemilik Data Pribadi; dan
b. Menteri.
Pasal 28 Permenkominfo 20/2016 Paling Lambat 14 Hari
Pasal 36 Ayat (1) Permenkominfo 20/2016 sanksi administratif :
1. Peringatan lisan
2. Peringatan tertulis
3. Penghentian sementara kegiatan;
4. dan/atau Pengumuman di situs dalam jaringan (website online)
Pasal 14 (5) PP No 71/2019 Notifikasi ketika terjadi Kegagalan pelindungan
data pribadi

23. Ketentuan Pidana di RUU PDP Bab XIII
● Pasal 61-64 mulai dari penjara 1 tahun atau denda 10 milyar
(menggunakan alat pemroses dan pengolah data visual di
tempat umum, hingga penjara 7 tahun atau denda 70 milyar
(menggunakan data pribadi yang bukan miliknya)
● Pasal 65 tambahan perampasan keuntungan dan/atau
kekayaaan yang diperoleh dari tindak pidana dan
pembayaran ganti kerugian.
● Pasal 66 Korporasi pidana denda paling banyak 3 kali dari
maksimal yang diancamkan. Ditambah perampasan
keuntungan, pembekuan usaha, pelarangan permanen,
penutupan usaha, pembayaran ganti rugi.

24. Sistematika RUU Perlindungan Data
Pribadi
● Definisi, Istilah2 ( Bab I) -> Pengendali, Pemroses, Pemilik
● Jenis Data Pribadi (Bab II)
● Hak-hak Pemilik Data Pribadi (Bab III)
● Pemrosesan Data Pribadi (Bab IV)
● Kewajiban Pengendali Data Pribadi dan Prosesor Data
Pribadi dalam Pemrosesan Data pribadi (Bab V)
● Transfer Data Pribadi (Bab VI)
● Sanksi Administratif (Bab VII)
● Larangan Dalam Penggunaan Data Pribadi (Bab VIII)
● Ketentuan Pidana (Bab XIII)

25. TELAAH DRAFT RUU PDP
(catatan civil society)
https://aptika.kominfo.go.id/wp-content/uploads/2019/09/RUU-PDP.pdf
● Data Pribadi Umum dan Spesifik (Sensitif?) Pasal 3
● Permintaan tertulis Pasal 15
● Peran Masyarakat (Berhak Berperan?) Pasal 60
● Pasal 16 Pengecualian untuk Hak-hak apakah Pasal 10 perlu dikecualikan (profiling)
● Pemrosesan Data Pasal 17 (prinsip minimisasi seperti GDPR)
● Data anak, Persetujuan wali/ortu untuk anak?
● Jangka waktu penghapusan data jika tujuan pengumpulan data sudah tercapai.
● Persetujuan pengalihan data sebelum dilakukan sebelum penggabungan, pemisahan, pengambil
alihan, atau peleburan badan hukum?
● Subyek data berhak menarik kembali pesetujuan, setelah data tersebut diproses dengan tidak
mengurangi keabsahan data?
● Pengawasan dan Otoritas Pasal 48, Pasal 50 memerlukan Lembaga independen dibandingkan
Kominfo dengan otoritas menunjuk kepada Menteri?
● Balancing rights (pengecualian) apa saja yang perlu?
● Pengendali data oleh masyarakat sipil apakah bisa?
● Jaminan perlindungan bagi kelompok rentan ?

27. Tataran Filosofis RUU PDP : Privacy
Rights dan Data Privacy Protection
Penjelasan Pasal 26 ayat (1) UU ITE menguraikan bahwa:
Dalam pemanfaatan Teknologi Informasi, perlindungan data pribadi

28. Terimakasih