⇡ Pesatnya
Setiap aktivitas warga di dunia digital selalu pertumbuhan
terkait dengan data pribadi. Pemanfaatan digital
data pribadi tersebut memerlukan tata startups
kelola yang baik dan akuntabel.
Sumber : We Are Social, 2021
250.000.000
200.000.000
150.000.000
100.000.000 91.000.000
50.000.000
13.000.000
1.200.000 2.300.000 2.900.000 2.000.000
0
Tokopedia Bhineka.com Komisi Pemilihan Bukalapak Cermati BPJS Kesehatan BRI Life
(Mei 2020) (Mei 2020) Umum (Juni 2020) (November 2020) (Mei 2021) (Juli 2021)
(Mei 2020)
Data yang Bocor
PERETASAN WEBSITE/SITUS DPR RI
Situs DPR RI (www.dpr.go.id) sempat
diretas awal Oktober 2020 lalu.
Cuplikan gambar tersebut
memperlihatkan halaman depan situs
yang tulisan sebenarnya “Dewan
Perwakilan Rakyat” diubah oleh
peretas menjadi “Dewan Penghianat
Rakyat”.
Peretasan tersebut didasari oleh
penolakan pengesahan UU Ciptakerja
atau Omnibus Law.
PERETASAN MEDIA ONLINE
Pusat Operasi Keamanan Siber Nasional Badan Siber dan Sandi Negara (BSSN) mencatat jumlah serangan siber yang terjadi di
Indonesia antara Januari hingga Juli 2021 sebanyak 741.441.648 kali. Jumlah serangan itu mengalami peningkatan hampir dua
kali lipat dibandingkan seluruh anomali trafik yang dideteksi oleh lembaga siber tersebut selama tahun lalu yang mencapai
kurang lebih 495 juta kali.
KASUS THE GRAET HACK OF PERSONAL DATA
• Kasus Facebook yang datanya digunakan
Cambridge Analytica merupakan evidence dari
sisi hitam media sosial mempengaruhi kualitas
Pemilu Presiden AS 2016.
• Bukti nyata bagaimana negara maju seperti AS
berhasil digunakan jutaan data pribadi milik
warga negaranya yang ada di FB dipakaiuntuk
mempengaruhi politik.
• Kasus ini juga mempertanyakan integritas Mark
Zuckerberg antara apa yang dia ucapkan dengan
apa yang benar-benar terjadi terhadap data
pribadi pengguna FB.
Sumber : Prof. Henry Subiakto 2021
APA YANG DILAKUKAN NEGARA DALAM
MENGHADAPI RESIKO KEAMANAN DATA?
UU No 11 tahun 2008 tentang ITE pasal 26
MEMBUAT ayat 1 : “penggunaan setiap informasi melalui
REGULASI media elektronik yang menyangkut data
pribadi seseorang harus dilakukan atas
persetujuan orang yang bersangkutan.”
Aturan ini diturunkan dalam PP no 82/2012
dan PP no 71 tahu 2019.
PP No
Penyelenggara layanan publik memiliki 71/2019
standar dan acuan perlindungan data (PSTE)
Malaysia (2010)
Singapura (2012)
Filipina (2012)
Thailand (2019)
Source: https://www.dlapiperdataprotection.com/index.html
Disebabkan?
Penyalahgunaan data pribadi
jual beli data pribadi
penipuan yang menggunakan Serangan Human Error
data pribadi milik orang lain (negligent
Siber insider)
Kasus pelanggaran
terhadap Data Pribadi Kegagalan
Outsourcing
sistem/Gagal
Data ke
menjaga Pihak ketiga
Kerahasiaan
01 02 03 04 05
Tumpang tindih Peraturan tidak Kesulitan Meningkatnya Kesadaran
peraturan komprehensif implementasi pelanggaran DP publik rendah
dan penegakan
hukum
Problem?
Urgensi RUU Perlindungan Data Pribadi di
Indonesia
RUU Perlindungan Data Pribadi merupakan instrumen hukum yang perlu segera hadir di dalam sistem hukum di Indonesia.
Isu-isu utama yang hendak direspons dengan adanya RUU PDP:
Menjawab kebutuhan atas regulasi yang komprehensif untuk melindungi data pribadi sebagai bagian dari hak asasi
1
manusia.
2 Keseimbangan dalam tata kelola pemrosesan data pribadi dan jaminan perlindungan hak dan kesadaran subjek data .
Membangun ekosistem ekonomi digital yang aman dengan memberikan kepastian hukum bagi bisnis dan
4
meingkatkan kepercayaan konsumen.
5
Kesetaraan dalam aturan PDP secara internasional yang mendukung pertumbuhan ekonomi digital melalui
pengaturan cross-border data flow.
Urgensi Regulasi Perlindungan Data Pribadi
Kebutuhan peraturan perlindungan Kepastian Hukum Pertukaran Data Lintas Batas Data Pribadi sebagai bagian dari HAM
data pribadi yang komprehensif Negara (amanat UUD 1945)
RUU PDP akan menjadi instrumen
RUU Perlindungan Data Pribadi ini akan RUU PDP akan menciptakan
hukum kunci dalam pencegahan dan
menjadi kerangka regulasi yang lebih kesetaraan dalam aturan PDP secara Pasal 28 G ayat (1)
penanganan kasus pelanggaran data
kuat dan komprehensif dalam pribadi yang masih banyak terjadi internasional yang mendukung “Setiap orang berhak atas perlindungan diri
memberikan perlindungan hak asasi pertumbuhan ekonomi digital melalui pribadi, keluarga, kehormatan, martabat
dan menjadi tantangan bersama pengaturan cross-border data flow
manusia, khususnya terkait data pribadi dan harta benda yang di bawah
kekuasaannya, serta berhak atas rasa aman
Tatakelola Ekosistem Ekonomi Digital dan perlindungan dari ancaman ketakutan
untuk berbuat atau tidak berbuat sesuatu
RUU PDP akan menciptakan keseimbangan
yang merupakan hak asasi”
dalam tata kelola pemrosesan data pribadi
dan jaminan perlindungan hak subjek data, RUU PDP akan mempercepat pembangunan ekosistem ekonomi
serta menyediakan prinsip-prinsip dan syarat digital dan meningkatkan iklim investasi yang aman dengan Pasal 28 H ayat (4)
sah dalam pemrosesan data pribadi yang memberikan kepastian hukum bagi bisnis dan meningkatkan “Setiap orang berhak mempunyai hak milik
harus ditaati pengendali dan pemroses data kepercayaan konsumen pribadi dan hak milik tersebut tidak boleh
pribadi diambil alih secara sewenang-wenang oleh
. siapa pun”
RUU Perlindungan Data Pribadi
Substansi Pengaturan
RUU Perlindungan Data Pribadi memberikan landasan
JENIS DATA PRIBADI LARANGAN DALAM hukum bagi Indonesia untuk menjaga kedaulatan
PENGGUNAAN DATA PRIBADI negara, keamanan negara, dan perlindungan terhadap
HAK PEMILIK DATA PRIBADI data pribadi milik warga negara Indonesia dimanapun
PEMBENTUKAN PEDOMAN data pribadi tersebut berada.
PERILAKU PENGENDALI DATA
PEMROSESAN DATA PRIBADI PRIBADI
PENYELESAIAN SENGKETA
KEWAJIBAN PENGENDALI
DAN HUKUM ACARA
DATA PRIBADI DAN
PROSESOR DATA PRIBADI
DALAM PEMROSESAN DATA
PRIBADI KERJA SAMA INTERNASIONAL Dalam wilayah NKRI
& Luar wilayah NKRI
Pemerintah Data
1. Persetujuan Protection
Authority
Re
2. Perjanjian
ce
po
3. Legal obligation ian (DPA)
rt,
Hak Pemilik l
co
4. Pelaksanaan kewenangan p
Data Pribadi m ,
m
o
Ad f
c ise
pl
5. Vital interest rt, v
vic aci
ian
o r
pe e
e, lita
6. Pelayanan publik p
ce
Re u
, tat
su te
s
7. Legitimate interest
pe
Pemilik iv ce acili
rv
Ad f
ise
Data Pribadi
,
Pengendali Data Prosesor Data Data
Syarat sah Prinsip
Pribadi Pribadi Controller
(legal basis) Pemrosesan Data
Pihak yang menentukan
tujuan dan melakukan
Pribadi Pihak yang melakukan
pemrosesan Data Pribadi
Prinsip Pemrosesan kendali pemrosesan Data atas nama Pengendali Data
Lingkup kewajiban pengendali
Pribadi. Pribadi.
Data Pribadi maupun prosesor dapat berbeda,
namun tetap memiliki kewajiban
orang perseorangan dasar seperti: menjaga kerahasiaan;
selaku subyek data yang melindungi dan memastikan keamanan Syarat:
Govt Privat Govt Privat
memiliki Data Pribadi data pribadi; melakukan pengawasan; • Adequacy
yang melekat pada 1. Terbatas, spesifik menjaga data pribadi diakses secara
• Contract
tidak sah; melakukan perekaman;
dirinya 2. Sesuai dgn tujuan wajib menjamin akurasi, kelengkapan, • Perjanjian
3. Menjamin hak pemilik dan konsistensi data pribadi.
• Persetujuan
4. Akurat, lengkap, mutakhir
5. Melindungi keamanan DP • etc
Data Data
6. Memberitahukan tujuan, Protection Protection
aktivitas & kegagalan PDP Officer Cross-border Officer
(DPO) (DPO)
7. Penghapusan / pemusnahan data transfer
8. Akuntabel
Lingkup Pemrosesan Pemrosesan Data Pribadi harus mematuhi prinsip dan syarat sah pemrosesan
Data Pribadi
Perolehan dan Prinsip Perlindungan Data Pribadi Syarat Sah Pemrosesan Data Pribadi
pengumpulan
Terbatas, spesifik persetujuan yang sah dari Pemilik Data Pribadi untuk
1 pengumpulan dilakukan secara terbatas dan spesifik, sah secara Persetujuan satu atau beberapa tujuan tertentu yang telah
hukum, patut, dan transparan disampaikan kepada Pemilik Data Pribadi
Pengolahan dan
penganalisisan pemenuhan kewajiban perjanjian dalam hal Pemilik Data
2 sesuai dengan tujuannya
Perjanjian Pribadi merupakan salah satu pihak atau untuk memenuhi
permintaan Pemilik Data Pribadi pada saat akan melakukan
perjanjian
3 menjamin hak Pemilik Data Pribadi
Penyimpanan Legal pemenuhan kewajiban hukum dari Pengendali Data
Pribadi sesuai dengan ketentuan peraturan perundang-
Akurat obligation
4 akurat, lengkap, tidak menyesatkan, mutakhir, dpt dipertanggungjawabkan
undangan
Perbaikan dan
pembaharuan pemenuhan perlindungan kepentingan yang sah (vital
5 melindungi keamanan data pribadi Vital Interest interest) Pemilik Data Pribadi
Pengendali Data Pribadi dapat mentransfer Data Pribadi kepada Pengendali Data
Pribadi di luar wilayah hukum Negara Kesatuan Republik Indonesia dalam hal:
Negara/organisasi tujuan
memiliki tingkat terdapat kontrak antar
perlindungan Data Pribadi terdapat perjanjian Pengendali Data Pribadi yang mendapat persetujuan
yang setara atau lebih tinggi internasional antarnegara; memiliki standar dan/atau Pemilik Data Pribadi.
dari yang diatur dalam UU jaminan pelindungan data
ini; pribadi; dan/atau
Issue Model Lembaga Pengawas PDP
Pasal 58
1) Pemerintah berperan dalam mewujudkan
penyelenggaraan pelindungan Data Pribadi sesuai dengan
ketentuan Undang-Undang ini.
2) Penyelenggaraan pelindungan Data Pribadi sebagaimana
dimaksud pada ayat (1) dilaksanakan oleh Menteri.
3) Ketentuan mengenai penyelenggaraan pelindungan Data
Pribadi sebagaimana dimaksud pada ayat (2) diatur dalam
Peraturan Pemerintah.
WASSALAMU ALAIKUM WR WB
37