NOTULENSI DISKUSI HUKUMONLINE 2022

“BABAK BARU DAN IMPLEMENTASI UU PELINDUNGAN DATA PRIBADI

BAGI PELAKU USAHA DAN MASYARAKAT”

Hari, Tanggal : Kamis, 3 November 2022

Tempat : Kridangga Ballroom Lt. 1, Century Park Hotel

Waktu : 08.30 – 16.00 WIB

SESI I

MC :

Selamat Pagi Bapak dan Ibu sekalian, Selamat Datang di Hotel Century Park, Senayan, Jakarta.
Assalamualaikum Warahmatullahi Wabarakatuh, Shalom, Om Swastiastu, Namo Buddhaya, dan Salam
Kebajikan. Saat ini kita sedang menghadiri acara Diskusi Hukumonline 2022 “Babak Baru dan
Implementasi UU Pelindungan Data Pribadi bagi Pelaku Usaha dan Masyarakat”. Acara in bekerja sama
dengan APPDI (Asosiasi Praktisi Pelindungan Data Indonesia).

Agenda hari ini terdiri dari dua sesi. Sesi yang pertama yaitu pemahaman UU Pelindungan Data
Pribadi, sesi kedua yaitu tantangan dan manajemen risiko pasca disahkannya UU Pelindungan Data
Pribadi. Untuk memulai acara pada pagi hari ini, kita akan mendengarkan sambutan dari Bapak Jan
Ramos Budaya Pandia selaku Chief Operating Officer Hukumonline. Kepada Bapak Jan Ramos, kami
persilahkan.
Sambutan oleh Bapak Jan Ramos Budaya Pandia selaku Chief Operating Officer Hukumonline
:

Assalamu’alaikum Warahmatullahi Wabarakatuh, Salam Sejahtera bagi kita semua, Om

Swastiastu, Namo Buddhaya, Salam Kebajikan. Selamat Pagi Bapak Ibu sekalian, Salam Sehat untuk kita
semua. Yang saya hormati, para narasumber dan moderator, yang pertama Bapak Teguh Arifiyadi selaku
Plt Direktur Tata Kelola Aplikasi Informasi di Kementerian Kominfo; yang kedua Bapak R. Narendra Jatna
selaku Kepala Biro Perencanaan Kejaksaan Agung yang sebentar lagi akan tiba, yang ketiga Bapak Ferry
Indrawan selaku Koordinator Perundang-undangan Direktorat Strategi Keamanan Siber dan Sandi
(BSSN); yang keempat Bapak Danny Kobrata selaku Pendiri dan Pengurus Asosiasi Praktisi Pelindungan
Data Indonesia (APPDI); yang kelima Mba Christina Desy selaku Legal Research dan Analyst Manager
Hukumonline; dan terakhir Mas M. Reza Fajri selaku Group Legal Counsel Hukumonline. Mba Desi dan
Mas Reza akan menjadi moderator pada acara hari ini.

Bapak Ibu sekalian, saya Ramos Pandia mewakili Hukumonline mengucapkan terima kasih pada
kesempatan ini karena Bapak Ibu berkenan hadir dan saya lihat ruangannya terisi penuh pada acara
Diskusi menggenai "Babak Baru dan Implementasi UU Pelindungan Data Pribadi bagi Pelaku Usaha dan
Masyarakat”.

Bapak Ibu, pada 20 September 2022 yang lalu Rancangan Undang-Undang Pelindungan Data
Pribadi resmi disahkan. Hal ini menjadi babak baru dalam perkembangan pengaturan mengenai
Pelindungan Data Pribadi di Indonesia. Diresmikannya Undang-undang Pelindungan Data Pribadi ini
diharapkan mampu menciptakan keseimbangan dalam tata kelola pemrosesan data Pribadi agar antara
hak subjek data dan pengendali data pribadi menjadi seimbang. Jadi keseimbangan ini menjadi kata
kunci. Disahkannya Undang-Undang Pelindungan Data Pribadi ini juga dinilai mampu menjadi awal yang
baik dalam menyelesaikan permasalahan kebocoran data pribadi di Indonesia.

Pagi hari ini, Hukumonline dan APPDI bekerja sama untuk menyelenggarakan Diskusi secara
tatap muka, ini mungkin yang kedua atau ketiga kami selenggarakan secara tatap muka dan senang
sekali Bapak Ibu semua antusias. Seperti yang kita kebocoran data tentu sangat merugikan para pemilik
data pribadi. Berbagai contoh kasus mengenai kebocoran data pribadi yang telah terjadi serta ancaman
siber yang dihadapi Indonesia saat ini mendorong pemerintah untuk segera mengesahkan Rancangan
Undang-Undang Pelindungan Data Pribadi (RUU PDP).
 Bapak Ibu sekalian, kita akan sama-sama menyimak bagaimana pentingnya implementasi UU
Pelindungan Data Pribadi khususnya bagi Pelaku Usaha dan juga Masyarakat dari berbagai sudut
pandang. Telah hadir bersama kita, Bapak Teguh Arifiyadi selaku Plt Direktur Tata Kelola Aplikasi
Informasi Kementerian Kominfo yang akan memaparkan Implementasi penerapan UU Pelindungan Data
Pribadi, kemudian nanti ada Bapak R. Narendra Jatna selaku Kepala Biro Perencanaan Kejaksaan Agung
yang akan memaparkan Klasifikasi, Sanksi, dan Ancaman Pidana dalam UU PDP. Ini salah satu yang
sangat dinantikan. Kemudian, Bapak Ferry Indrawan selaku Koordinator Perundang-undangan
Direktorat Strategi Keamanan Siber dan Sandi (BSSN) akan memaparkan mengenai kewenangan teknis
dalam penerapan keamanan data pribadi pasca UU PDP, dan Bapak Danny Kobrata selaku Pendiri dan
Pengurus Asosiasi Praktisi Pelindungan Data Indonesia (APPDI) yang akan memaparkan Implikasi UU
Pelindungan Data Pribadi bagi Pelaku Usaha.

Harapan kami tentunya dapat memberikan pemahaman yang komprehensif kepada Bapak Ibu
karena kita menghadirkan narasumber dari berbagai sudut pandang, jadi mudah-mudahan pulang nanti
kita sudah lebih paham berbagai pandangan tersebut.

Pada akhirnya kami mengucapkan terima kasih dan selamat berdiskusi dan mari menggali ilmu
sebanyak-banyaknya. Semoga kolaborasi ini membawa manfaat bagi kita semua. Terima kasih Bapak Ibu
sekalian, atas perhatiannya saya ucapkan terima kasih. Assalamualaikum Warahmatullahi Wabarakatuh.

MC :

Terima kasih kepada Bapak Jan Ramos atas sambutan yang telah diberikan. Saat ini kita masuk
ke sesi pertama diskusi kita pada hari ini yaitu pemahaman UU Pelindungan Data Pribadi dengan dua
narasumber yaitu Bapak Teguh Arifiyadi, S.H., M.H., CEH., CHFI selaku Plt Direktur Tata Kelola Aplikasi
Informasi Kementerian Kominfo dan Bapak DR. R. Narendra Jatna, S.H., LL.M selaku Kepala Biro
Perencanaan Kejaksaan Agung. Sesi pertama ini akan dimoderatori oleh Christina Desy selaku Legal
Research and Analyst Manager Hukumonline. Kami persilahkan moderator dan narasumber untuk naik
ke atas panggung. Selanjutnya kami serahkan kepada moderator.
Moderator : Christina Desy

(Legal Research & Analyst Hukumonline)

Selamat Pagi dan Selamat Datang saya ucapkan kepada Bapak Ibu peserta di acara Diskusi
Hukumonline 2022 mengenai “Babak Baru dan Implementasi UU Pelindungan Data Pribadi bagi Pelaku
Usaha dan Masyarakat”. Tidak lupa juga tentunya saya ucapkan Selamat Pagi kepada para narasumber
hari ini, di sebelah saya ada Mas Teguh dan yang masih dalam perjalanan Bapak Narendra. Saya
Christina Desy akan menjadi moderator di acara Diskusi sesi pertama hari ini.

Bapak Ibu sekalian, seperti yang sudah kita ketahui dan sudah disampaikan sebelumnya oleh
Mas Ramos bahwa Rancangan UU Pelindungan Data Pribadi telah disahkan pada tanggal 20 September
yang lalu dan saat ini juga sudah resmi menjadi UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi
atau yang dikenal sebagai UU PDP.

Secara garis besar, UU PDP ini terdiri dari 16 bab dan 76 pasal yang mengatur mengenai
ketentuan pelindungan data pribadi diantaranya mengenai jenis-jenis data yang termasuk data pribadi,
hak subjek data pribadi, pemrosesan dan transfer data pribadi, kewajiban pengendali data pribadi dan
prosesor data pribadi dalam pemrosesan data, larangan dalam penggunaan data pribadi, dan tentunya
ketentuan mengenai sanksi yang akan diberlakukan bagi pihak yang melakukan pelanggaran terhadap
ketentuan UU PDP tersebut.

Ketentuan-ketentuan ini telah resmi berlaku sejak UU PDP diundangkan yaitu tanggal 17
Oktober 2022. Memang terdapat ketentuan peralihan dari UU ini yang memberikan waktu 2 tahun bagi
pengendali data pribadi, prosesor data pribadi, dan pihak lainnya yang terkait dengan pemrosesan data
pribadi untuk melakukan penyesuaian terkait pemrosesan data pribadi. Namun, ketentuan lainnya
dianggap telah berlaku saat ini dan tentunya harus dipatuhi oleh para pemangku kepentingan agar
terhindar dari sanksi. Oleh karenanya penting bagi semua pemangku kepentingan yang terkait dengan
pelindungan data pribadi untuk memahami isi dari UU PDP dan mempunyai wadah untuk berdiskusi dan
saling bertukar pikiran agar dapat memperdalam pemahaman tersebut. Bisa terlihat Bapak Ibu yang
hadir saat ini mempunyai antusiasme yang sangat tinggi, terima kasih Bapak Ibu.

Untuk sesi pertama ini, telah hadir bersama kita narasumber yang sangat berkompeten di
bidang pelindungan data pribadi dan khusus membahas mengenai pemahaman UU Pelindungan Data
Pribadi terlebih dahulu. Di sebelah saya sudah hadir Mas Teguh Arifiyadi selaku Pelaksana Tugas
Direktur Tata Kelola Aplikasi Informasi Kementerian Kominfo. Selamat Pagi Mas Teguh, terima kasih atas
waktunya dan tetap hadir bersama kita hari ini walaupun agak kurang enak badan. Narasumber kita
yang kedua, Bapak Narendra Jatna selaku Kepala Biro Perencanaan Kejaksaan Agung yang masih dalam
perjalanan. Izinkan saya untuk melanjutkan sesi ini langsung ke pemaparan narasumber kita yang
pertama yaitu Mas Teguh Arifiyadi.

Sebelumnya saya akan sedikit membacakan profil dari Mas Teguh. Mas Teguh Arifiyadi saat ini
menjabat sebagai Pelaksana Tugas Direktur Tata Kelola Aplikasi Informasi Kementerian Kominfo.
Sebelumnya menjabat sebagai Pelaksana Tugas Direktur Pengendalian Aplikasi Informatika, Kepala
Subdit Penyidikan dan Penindakan Ditjen Aptika Kementerian Kominfo, Kepala Seksi Perangkat Host dan
Telekomunikasi Ditjen SDPPI Kementerian Kominfo dan Kepala Seksi Audit Perangkat Lunak Direktorat
Standarisasi PPI Ditjen SDPPI Kementerian Kominfo.

Beliau juga sebagai Pendiri dan Ketua Umum Indonesia Cyber Law Community (ICLC) dan Ketua
Komite Legal dan Etik Asosiasi Forensik Digital Indonesia (AFDI). Beliau juga aktif memberikan
keterangan ahli untuk kasus hukum cyber di tingkat penyidikan maupun persidangan, kontributor Klinik
Hukumonline untuk bidang Hukum Teknologi dan Telekomunikasi juga merupakan Pengajar untuk mata
kuliah Hukum Siber di Universitas Bhayangkara dan trainer atau pengajar cyber law pada banyak
pelatihan workshop. Tentunya sudah tidak diragukan lagi kapabilitas Mas Teguh dalam konteks
pembahasan kita kali ini.

Tanpa berpanjang lebar, langsung saja saya serahkan forum kepada Mas Teguh, silahkan.

Narasumber : Teguh Arifiyadi, S.H., M.H., CEH., CHFI

(Plt Direktur Tata Kelola Aplikasi Informasi Kementerian Kominfo)

Bismillahirrahmanirrahim, Selamat Pagi, Assalamualaikum Warahmatullahi Wabarakatuh. Yang

Kami Hormati rekan-rekan tim dari Hukumonline, tadi disampaikan saya tidak terlalu fit tapi karena
acaranya hari ini diminta offline jadi saya tetap hadir, tetap commit, padahal sudah 1 minggu tidak
masuk kantor. Hampir setiap hari kami meminta permintaan menjadi narasumber terkait dengan PDP
dan satu hari bisa 4-5 request. Saya harus menyelesaikan hampir 20 kota dalam 2 bulan lebih.
Alhamdulillah hari ini saya sudah sedikit lebih baik jadi saya sempatkan hadir disini karena saya mau
meminta pengganti tapi pengganti saya juga sedang mengisi di Medan, ada yang di Bali, dan seterusnya.

Bapak Ibu sekalian, teman-teman yang sudah hadir, kalau mau membahas UU Pelindungan Data
Pribadi (UU PDP) tentu banyak hal yang harus di cover. Tadi dijelaskan ada 16 bab, 76 pasal, kalau kita
melihat dari norma yang kita baca, dibaca berulang-ulang pun belum tentu paham. Sepanjang UU
sebanyak itu pasalnya, oleh sebagian orang dikatakan belum komprehensif juga dan memang belum
komprehensif. UU PDP kita tidak se-komprehensif seperti GDPR atau ketentuan lain di Singapura, Korea
karena sistem hukum kita berbeda. Pembentukan peraturan perundang-undangan di negara lain
dibanding kita berbeda.

Di Indonesia kalau membuat UU bisa bertahun-tahun baru selesai. UU PDP hampir 5 tahun
dibahasnya dan baru selesai sekarang. Kalau di negara lain, merevisi satu ketentuan tinggal disepakati
dan diganti langsung. Boleh dibuat detail, tidak harus pasal-pasal, sedangkan di kita untuk
menambahkan satu kalimat atau satu kata saja panjang sekali prosesnya, ada Presiden, DPR,
Kementerian, rapat harmonisasi baru disahkan sehingga tim perumus sepakat bahwa kita tidak bisa
mengatur sedetail seperti GDPR meskipun kita sepakat bahwa kiblat dari UU PDP kita adalah GDPR,
namun banyak versi di GDPR Eropa terkait PDP yang tidak kita adopt.

Mungkin kita terima banyak sekali kritik dari teman-teman LSM karena sepertinya sulit
diimplementasikan atau tidak melihat best practicenya padahal tidak ada istilah best practice terkait UU
karena setiap negara punya karakteristiknya masing-masing, oleh karena itu kami menyebutnya good
practice. Di Eropa good practicenya GDPR, di negara lain punya masing-masing ketentuan seperti Privacy
Law, dan lain-lain. Di Indonesia, UU PDP ini sebetulnya adalah ikhtiar minimum yang harus dikerjakan
dalam rangka melindungi data. Jadi, kalau ditanya apakah ideal atau tidak, jawabannya kita belum tahu.

Saya bertanya pada lembaga otoritas di Singapura, ketika UU PDP disahkan berapa tahun baru
bisa efektif? Ternyata lebih dari 3 tahun dan persentase efektifitas setelah diterapkan ternyata tidak
lebih dari 50%. Itu adalah Singapura yang warganya mayoritas patuh hukum. Jadi kalau teman-teman
ekspektasinya terlalu tinggi bahwa UU PDP adalah solusi dari semua hal, itu sudah salah kaprah di
depan. UU PDP adalah cara pemerintah dan DPR untuk membuat satu konsep yang dianggap melindungi
atau memadai.
 Baik, kenapa kita menggunakan kata pelindungan bukan perlindungan? Ini jelas berbeda karena
perlindungan itu tetap berlindung tapi kalau pelindungan adalah tata cara untuk melindugi. Itulah
kenapa kalimat yang baku adalah pelindungan, protection diartikan pelindungan. Berbeda kalau bicara
consumer protection, konsepnya adalah perlindungan bagi para konsumen, sedangkan data pribadi
bukan tempat berlindung tapi bagaimana kita membuat metode atau tata cara melindungi.

Sebelumnya, mungkin ada yang belum mengenal saya. Saya S1 dan S2 hukum tetapi background
informal saya lebih banyak IT. Sertifikasi saya kebanyakan IT, seperti sertifikasi untuk hacking forensic
investigator, ethical hacker, sertifikasi audit IT, license sebagai penyidik juga dan lain-lain. Saya banyak
belajar teknologi di banyak negara. Dengan konsep yang sudah berbeda, orang hukum harus mulai
membuka diri untuk belajar hal-hal diluar hukum. Dari tahun 2000 saya sudah memilih belajar teknologi
dan ternyata memang dalam implementasi khususnya dalam UU, ada banyak hal yang sifatnya teknis
tapi sulit diterjemahkan secara hukum.

Kita mudah membuat aturan tapi begitu diimplementasikan ternyata tidak bisa. itulah mengapa
saya belajar teknis karena saya berusaha membangun jembatan perantara narasi hukum dengan narasi
teknis dalam satu konsep regulasi dan selain di Kominfo sebetulnya saya aktif di Komunitas Cyber Law
Indonesia, saya ketua dan pendiri. Mungkin ada beberapa teman-teman disini yang join di komunitas,
jumlahnya ada 1000an lebih dan isinya orang hukum dan orang IT, disitu mendiskusikan hukum dan
teknologi. Ini sekilas bagi yang belum pernah kenal saya.

➢ Mengapa UU PDP dibutuhkan?

Kembali ke konsep PDP, mengapa UU PDP dibutuhkan? Pertama, kita belum punya payung
hukum komprehensif. Ketentuan regulasi PDP kita adalah sektoral, jadi masing-masing sektor mengatur
sendiri sehingga UU PDP ini kita harapkan menjadi semacam payung hukum meskipun payung hukum
terkadang konotasinya negatif, “dipakai hanya ketika hujan”. Namun, intinya adalah UU PDP ini
memberi satu kepastian hukum terhadap ketentuan-ketentuan existing dalam UU sektor. Apakah UU
sektor menjadi tidak berlaku? tidak juga. Ada banyak hal yang masih bisa diterapkan dan ada hal-hal
yang harus disesuaikan, itu semua bergantung kepada pembahasan yang ada di dalamnya. Misalnya,
kalau ada ketentuan yang berbeda antara Peraturan Menteri Kesehatan dengan UU PDP maka ikuti UU
PDP. Tapi, ketentuan UU PDP tidak pernah mengeliminir ketentuan data pribadi dalam UU Kesehatan,
justru menyesuaikan karena ketika UU PDP dibahas, setiap sektor hadir dan melakukan sinkronisasi
pasal per pasalnnya.
 Yang kedua, menciptakan kepercayaan masyarakat terhadap organisasi yang mengelola data
pribadi. Kalau masyarakat yakin bahwa data pribadi mereka aman, mereka juga pasti mau melakukan
transaksi. Yang ketiga, mereformasi praktik pemrosesan data pribadi. Mungkin sebelum adanya regulasi
PDP, kita hanya berpikir bahwa data pribadi hanya sebuah data padahal data dengan data pribadi adalah
dua hal yang berbeda. Pelindungan terhadap data dan pelindungan terhadap data pribadi adalah dua
hal yang berbeda. Klasifikasi atas data dan klasifikasi atas data pribadi juga merupakan dua hal yang
berbeda. Dengan adanya UU PDP, lebih clear bahwa data pribadi punya treatment atau pengamanan
yang jauh levelnya lebih tinggi dibanding data itu sendiri.

Yang keempat, mendorong kebiasaan baru kesadaran pelindungan data pribadi. Ini bicara
kultur, misalnya ada yang berhutang, tidak bayar dan kabur, lalu fotonya disebar di media sosial. Itu
sebenarnya tidak boleh dan kebiasaan itu hanya ada di Indonesia. Pinjam mobil tidak dikembalikan, KTP
ditampilkan di media sosial, itu bukan kebiasaan negara lain tapi kebiasaan Indonesia padahal bisa
bukan tidak mau dikembalikan tapi mobil itu diperbaiki dulu karena sebelumnya ada kecelakaan. Asas
praduga tak bersalah tidak ditempatkan sehingga data pribadinya terekspose dan merugikan dalam
jangka panjang karena sekali data pribadi kita terekspose, nama baik kita rusak di internet, hukumnya
adalah permanen. Belum tentu orang yang melihat klarifikasi kita sebanyak orang yang melihat berita itu
saat pertama kali disampaikan. Cucu-cucu kita bahkan nanti bisa melihat informasi tersebut padahal itu
tidak benar. Jadi, kerusakan reputasi itu permanen bahkan damagenya tidak bisa diukur. Kebiasaan
buruk inilah yang harus dibuang dan diharapkan dengan adanya UU PDP bisa mengurangi kebiasaan
tersebut.

Yang kelima adalah membangun kesetaraan regulasi PDP dengan negara lain. Semua negara
menuntut Indonesia harus punya adequate law, UU yang setara kalau bicara data pribadi meskipun
kalau mau jujur, konsep kesetaraan itu tidak ada parameter yang pasti. Misalnya Jepang diakui setara
oleh Eropa, apa dasarnya? tidak ada, hanya melihat bahwa ada ketentuannya. Jadi, kuncinya sebetulnya
di lobby antara negara juga, seberapa komprehensif, tapi ada konsep UU PDP yang diadopt dari GDPR
yang harus dipertimbangkan dan kita siapkan, itu yang dibutuhkan.

Sebelum ada UU PDP, regulasi regulasi sektor tentang data pribadi bermacam-macam, ada
perlindungan konsumen, ada telekomunikasi, ada kesehatan, ada perbankan, kependudukan, UU ITE.
Setelah ada UU PDP, regulasi sektor ini akan disatukan secara filosofis, bukan ditarik, artinya semua
tetap diakomodir dalam UU PDP. Oleh karena itu, semua sektor hadir ketika membahas UU PDP. Tidak
ada pertentangan pasal dalam UU PDP dengan UU lain, tapi kalau sinkronisasi atau penyesuaian itu ada.

➢ Sejarah UU PDP

Kalau melihat dari sejarah perjalanan UU PDP, mulai dibahas tahun 2012. Sebetulnya diskusinya
dari 2006 tapi 2012 gagasannya muncul dan 2014 masuk prolegnas. Untuk jadi UU, sebuah naskah harus
masuk prolegnas dan baru selesai bulan lalu, ini suatu pencapaian. Dalam pembahasan regulasi, kita
tahu ada istilah politik hukum, jadi terkadang kita sebagai praktisi hukum heran terhadap suatu UU tapi
dalam pembahasan di DPR semua mungkin terjadi. Jadi DPR satu suara dan pemerintah satu suara, di
pemerintah isinya 30 ahli tapi di DPR tidak punya ahli, tetap saja 1:1 dan 1 di DPR itu terpecah-pecah
fraksinya. Ada 5 fraksi bilang A, 1 fraksi bilang B, pemerintah bilang C maka A yang jadi.

Coba baca UU PDP, banyak sekali masukan dari ahli tapi hasil yang keluar belum tentu sesuai
dengan apa yang kita pikir lebih ideal. Dalam pembahasan di DPR, orang tidak bicara valuenya, tapi yang
dibicarakan adalah tidak bisa diimplementasikan. Pembuatan regulasi di negara lain, setiap history dari
perubahan kalimat atau kata dalam satu regulasi, ada semacam lock-nya, siapa yang meminta revisi, apa
dasarnya. Di Indonesia, ketika diskusi, masalah 4 atau 5 tahun saja dikatakan “kayanya ketinggian”. Jadi,
diskusi-diskusi yang kita tidak pernah sangka akan muncul dan terkadang selesainya di jalur non-rapat,
misalnya di luar kantor, di tempat makan.

Termasuk diskusi terkait lembaga atau otoritas PDP, lebih dari 3 bulan diskusinya tidak selesai
padahal hanya 1 pasal. Hal itu karena kepentingan politik yang masing-masing berbeda. Akhirnya
sekarang selesai, dibahas diluar barulah difinalisasi di dalam dan diputuskan bahwa otoritas PDP
ditentukan oleh Presiden. Saat ini saya bersama tim Unpad dan UGM sedang menyusun naskah urgensi
lembaga PDP. Naskah urgensi ini harusnya selesai dalam 2-3 minggu lagi kemudian kami usulkan ke
Presiden. Ada beberapa opsi tapi saya belum bisa buka sekarang, intinya lembaga itu dibawah presiden,
bisa setingkat kementerian/lembaga atau badan yang pasti di bawah presiden.

➢ Konsep UU PDP

Dengan adanya UU PDP, kita harus mengubah mindset bahwa data pribadi bukan lagi aset. Para
pelaku usaha jangan pernah berpikir bahwa semakin banyak data pribadi yang dikelola artinya punya
aset yang besar atau bisa dijadikan objek marketing dan seterusnya. Itu konsep jaman dulu sedangkan
konsep UU PDP sekarang adalah data pribadi bukan aset tetapi amanah, artinya tanggung jawab. Jadi,
kalau tidak mau berat tanggung jawabnya maka jangan terlalu banyak mengelola. Kalau kita tidak perlu
alamat rumah pelanggan kita, alamat email mereka, maka kita tidak perlu menyimpannya, cukup
menyimpan yang diperlukan saja, misalnya cukup nama dan nomor handphone. Dengan konsep yang
baru ini, seharusnya perusahaan berpikir ulang terkait relevansi dari masing-masing data pribadi yang
dikumpulkan.

Kemudian, data pribadi tidak dapat dimiliki oleh orang atau badan hukum. Jenis data pribadi
yang penyelenggara kelola saat ini bukan milik perusahaan, data pribadi tetap milik subjek data, jadi isi
dari data pribadi ada pada subjeknya, hak sepenuhnya ada pada subjeknya. Jadi, selama tidak melanggar
UU, subjek data bisa meminta menghapus, mengubah atau mengeditnya. Contoh, rekening bank yang
kita buka 10 tahun yang lalu, kita sudah pindah alamat sekarang, apakah bank pernah melakukan
updating? Tidak, ketika datang ke bank mau menarik uang, buat surat pernyataan pindah KTP dan
seterusnya.

➢ Sanksi

Yang menjadi salah satu concern adalah korporasi bertanggung jawab secara pidana jika terjadi
pelanggaran yang melibatkan organisasi. Sebetulnya materi di saya komprehensif, kita bicara terkait
kapan dikenakan dan bagaimana, tapi saya diminta hanya untuk yang pengantar jadi saya hanya
menjelaskan bahwa pidana korporasi bisa dibuktikan bahwa korporasi mengeluarkan kebijakan yang
membuat terjadi insiden atau terjadinya pelanggaran data pribadi. Tapi, itu korporasi, bisa berupa
perintah, disposisi yang mengatasnamakan perusahaan, bukan tindakan inisiatif orang perseorangan
dalam korporasi.

Kalau tindakan inisiatif orang perseorangan dalam korporasi pidananya adalah pidana
perseorangan tapi kalau seseorang melakukan satu tindakan dan itu sebetulnya SOP dari korporasi tapi
ternyata berakibat terungkapnya data pribadi secara melawan hukum maka pidananya bukan orang tapi
korporasinya. Misalnya manager klik satu item lalu semua data terekspose di website, alasannya sesuai
aturan perusahaan data harus ditampilkan padahal tanpa persetujuan dari pemilik data (subjek data)
sehingga yang di pidana adalah perusahaannya kalau itu masuk kriteria pidana tapi kalau tidak masuk ke
kriteria pidana maka masuk ke pelanggaran administratif. Kalau sanksi administratif maka otoritas yang
akan mengenakan denda.
 Bisa juga keduanya, dilaporkan sebagai pidana tapi di satu sisi otoritas juga memberikan denda.
Setelah terkena putusan pidana dimana korporasi harus membayar denda misalnya 50 Miliar, lalu
otoritas mengenakan denda lagi sanksi administratif 2% dari penerimaan tahunan ditambah lagi subjek
datanya menggugat perdata. Jadi mungkin saja terkena 3 pengaturan sanksi yang ada dalam PDP.
Terkait dengan 2%, mengapa bukan 3% seperti di GDPR? Kenapa dari penerimaan tahunan atau
pendapatan kotor tahunan secara global? UU PDP kita belum diatur apakah pendapatan tahunan atau
penerimaan tahunan dihitung secara global atau hanya di Indonesia tetapi kemungkinan besar hanya di
Indonesia.

➢ Data Pribadi

Membuat peta terkait UU PDP ini sebenarnya bisa dilihat dari bab per bab, berbeda kalau
teman-teman membaca UU ITE atau PP 71. UU PDP kita buat jauh lebih sederhana sehingga bisa
dipetakan secara langsung. Dari sisi definisi, data pribadi adalah data perseorangan yang teridentifikasi
atau dapat diidentifikasi secara tersendiri atau dapat dikombinasi dengan informasi lainnya melalui
sistem elektronik maupun sistem non-elektronik. Kata kuncinya adalah data perseorangan yang
teridentifikasi atau dapat diidentifikasi.

Kalau jenis data pribadi yang bocor hanya agama, itu belum bisa mengidentifikasi orang. Tanggal
lahir pun tidak bisa mengidentifikasi orang karena banyak yang tanggal lahirnya sama. Kalau yang bocor
adalah nama dan tanggal lahir, itu termasuk data pribadi karena akan sangat jarang kecocokan nama
dan tanggal lahir yang sama, meskipun ada. Kalau yang bocor adalah rekaman biometrik tapi tidak ada
data umumnya seperti nama, maka itu bukan data pribadi karena tidak merujuk pada satu identitas
tertentu. Bagaimana dengan nomor handphone atau IP address? Nomor handphone meskipun
dibocorkan secara tunggal kemungkinan bisa diidentifikasi karena harus registrasi terlebih dahulu. IP
address termasuk karena melekat pada jaringan perangkat, meskipun IP address berubah-ubah.

Ketika kita pakai handphone dari Senayan sampai Thamrin, bisa jadi IP address berubah ratusan
kali. Di negara lain, IP address nya statis, tapi di Indonesia dinamis karena stok IP kita sudah habis. Kalau
misalnya kita buka Detik.com dan kita sedang baca, IP address bisa jadi hilang tetapi kalau di luar negeri
itu IP addressnya statis sehingga bisa langsung merujuk pada satu perangkat tertentu, nomor
handphone tertentu dan nomor handphone merujuk pada satu identitas tertentu.
 Jadi, fokusnya bukan pada data umum dan data spesifik, tapi pada apakah data tersebut bisa
mengidentifikasi seseorang secara unik, kalau bisa mengindentifikasi maka termasuk kategori data
pribadi. Bisa juga data pribadi yang umum dikomunikasikan untuk mengidentifikasikan seseorang,
contohnya nomor handphone dikombinasikan dengan data registrasi operator atau dihubungkan
dengan IP address, maka bisa merujuk pada seseorang sehingga masuk data pribadi.

Yang sering menjadi diskusi adalah mengapa catatan kejahatan masuk sebagai data spesifik.
Jujur Ini masukan dari anggota DPR, jadi teman-teman wartawan banyak yang khawatir tidak bisa
menampilkan catatan kejahatan ketika meliput padahal sebenarnya bisa karena UU Pers memberikan
hak secara lex specialist kepada jurnalis untuk menampilkan informasi atau berita sesuai fakta.

Hasil survey yang kita lakukan menyatakan bahwa lembaga terbanyak dalam mengumpulkan
data pribadi adalah bank dan lembaga keuangan (67,2%), sisanya adalah kesehatan, telekomunikasi,
asuransi, e-commerce, dan lain-lain. Lembaga pemerintah yang mengumpulkan data pribadi selain
Dukcapil adalah Kesehatan, Kominfo sebenarnya tidak karena Kominfo mendapatkan data registrasi
pelanggan bukan secara langsung bahkan sekarang tidak ada lagi. Dari dulu Kominfo menerima dari
operator data registrasi pelanggan secara manual, itupun 3 bulan sekali dan tidak live. Data registrasi
ada dua operator, paling banyak adalah Dukcapil karena punya kewenangan berdasarkan UU untuk
merekam 31 jenis data pribadi warga negara. Setelah itu kepolisian, swasta, dan lain-lain.

➢ PPDP/DPO

PPDP atau petugas/pejabat pelindungan data pribadi tugasnya menginformasikan, memberikan

saran kepada pengendali data dan prosesor data agar mematuhi ketentuan dalam UU PDP. Ada
pengendali dan ada prosesor, ini dibedakan karena dulu sebelum UU PDP semua sama, dianggap
penyelenggara padahal beban tanggung jawabnya bisa saja tidak hanya pada pihak yang memperoleh
data. Misalnya, bank mengumpulkan data nasabah, yang memproses data itu bisa jadi pihak ketiga. UU
PDP memberikan satu batasan bahwa bank sebagai pengendali data pribadi boleh meneruskan
pemrosesan ke pihak ketiga dan pihak ketiga pun boleh meneruskan lagi, namun syaratnya harus ada
persetujuan.

Bentuk-bentuk persetujuan di UU PDP lengkap tapi intinya harus spesifik, terbatas, eksplisit,
harus jelas tujuannya dan harus dijelaskan kalau ada tujuan lain diluar tujuan utama, harus disampaikan
ke subjek data apa saja minimalnya, legalitas, berapa lama data di proses, retensi dan seterusnya. Ada 7
item yang harus disampaikan ke subjek data ketika kita meminta persetujuan. Ini ada di slide tapi tidak
sempat kalau saya tampilkan.

Tugas PPDP adalah memantau dan memastikan kepatuhan yang terkait UU PDP, memberikan
saran penilaian dampak pelindungan data pribadi dan bertindak sebagai narahubung. Kesalahan
pembentukan PPDP di penyelenggara kebanyakan adalah PPDP sebagai struktur yang adhoc. PPDP atau
pihak yang bertanggung jawab terkait PDP ditetapkan sebagai pekerjaan yang adhoc atau tambahan. Itu
tidak boleh karena harus ada dalam struktur yang melekat, bukan merangkap sebagai. Yang
menjalankan fungsi PPDP biasanya orang IT-nya atau orang hukumnya atau orang HR atau secretarit dan
seterusnya, itu tidak boleh, dia harus hanya fokus sebagai PPDP. Boleh dalam satu jabatan tertentu
dengan berbagai layer, boleh dalam struktur jabatan lain tapi dia menjalankan fungsi PPDP yang
integrated, yang benar-benar hanya dia yang mengerjakan, tidak diberikan pekerjaan tambahan lain.
Tugasnya hanya mengerjakan tugas-tugas PPDP karena tugas PPDP itu banyak sekali. Itu kesalahan
pertama.

Kesalahan yang kedua adalah kompetensinya. Kompetensi PPDP kedepannya nanti harus yang
certifed. Lembaga sertifikasi PPDP nanti akan ditunjuk oleh otoritas lembaga baru. Kalau punya
sertifikasi dari negara lain atau sumber lain, statusnya yang existing saat in tidak berlaku karena yang
berlaku adalah sertifikasi yang dikeluarkan oleh lembaga sertifikasi DPO yang ditunjuk oleh pemerintah.
Boleh teman-teman ikut sertifikasi di tempat lain tapi sebagai pengayaan, nanti yang diakui hanya yang
dikeluarkan oleh lembaga sertifikasi yang diakui oleh pemerintah. Mungkin dalam 2 tahun ke depan
lembaganya akan ada, tapi menuju 2 tahun bukan berarti teman-teman tidak menyiapkan PDP. Teman-
teman tetap harus menyiapkan PDP meskipun dengan standar kompetensi yang belum sesuai lembaga
sertifikasi yang baru. Minimal punya pengetahuan yang sama.

Idealnya SDM PPDP mempunyai background hukum atau IT atau manajemen, atau kombinasi
dari ketiganya. Dari ketiga background tersebut, dalam UU PDP background-background professional
tersebut tetap harus punya pengetahuan hukum semua. Kebutuhan PPDP berdasarkan survey yang
dilakukan di Indonesia, jumlahnya adalah 140 ribu PPDP per tahun. Kalau di Singapura, saat ikut
sertifikasi PPDP, kita bayar sekitar 2000 Dollar Singapura per satu sertifikasi. Di Indonesia juga mungkin
akan berbayar dan mungkin akan bertingkat seperti dari pemula, intermediate sampai advance.

Tadi dikatakan PPDP menjalankan fungsi penilaian dampak PDP. Setiap pemrosesan data pribadi
yang memiliki risiko tinggi maka harus dilakukan penilaian dampak. PPDP boleh internal, boleh ekternal
tapi tanggung jawab terkait dengan pelanggaran atau insiden tetap pada perusahaan, bukan pada
individu. Penilaian dampak yang dilakukan oleh PDP nantinya misalnya penyelenggara atau perusahaan
memproses data yang sifatnya spesifik seperti data rekam medis. Rumah sakit banyak memproses data
rekam medis, otomatis PPDP nya harus melakukan penilaian dampak PDP. Detail terkait penilaian
dampak PDP memang belum diatur tapi nanti akan diatur dalam peraturan pemerintah. Yang dinilai
misalnya dari risiko keamanan, risiko hukum, prosedur, proses, SDM dan seterusnya. Nanti akan diatur
dalam peraturan pemerintah.

Risiko tinggi lainnya yang harus dilakukan penilaian adalah ketika ada teknologi baru. Kemudian,
skala besar belum diatur seberapa besar data pribadi yang di proses yang akan dilakukan penilaian
dampak tapi nanti akan diatur dalam peraturan pemerintah. Penilaian dampak juga terhadap proses
skoring, karena skoring termasuk risiko tinggi, itu akan melibatkan banyak data. Ada juga terhadap
proses data untuk kegiatan pencocokan atau penggabungan sekelompok data. Agregator data pribadi
ketika digabungkan akan membentuk satu profil sehingga itu dianggap berisiko juga.

Penilaian dampak juga terhadap pemrosesan data yang berkaitan dengan pengambilan
keputusan secara otomatis. Misalnya hanya berdasarkan data pribadi yang dikelola, itu juga harus
dilakukan analisa tersendiri. Kemudian, pemrosesan data pribadi yang membatasi pelaksanaan hak
subjek data pribadi. Harus diingat, hak atas subjek data pribadi di UU PDP tidak mutlak. Jadi subjek data
tidak bisa meminta hak untuk menghapus datanya anytime, ada UU Perpajakan, ada kaitannya dengan
penegakan hukum. DI UU PDP ada pemusnahan dan ada penghapusan, itu dua hal yang berbeda. Kalau
penghapusan itu delete atau remove dan melalui proses forensik bisa dikembalikan lagi tapi kalau
dimusnahkan itu permanen detele, tidak ada mekanisme untuk membangkitkannya lagi. Ada kriterianya
kapan bisa meminta dihapus, kapan meminta dimusnahkan.

Baik, ini hanya sebagai pengantar karena kebetulan kami sebagai tim perumus menyiapkan ini
bertahun-tahun dan kami yakin satu hari ini kami sudah menerima lebih dari 400an pertanyaan terkait
PDP. Sangat beragam dan tidak semua pertanyaan bisa dijawab karena beberapa hal, bisa jadi karena
UU turunannya belum ada, bisa juga karena keterbatasan dari sisi teori dan lain-lain. Tapi, kami akan
berusaha menjawab pertanyaan dari rekan-rekan yang hadir disini. Terima kasih, sekian dari saya,
Assalamualaikum Warahmatullahi Wabarakatuh.
Moderator :

Terima kasih banyak Mas Teguh atas pemaparannya yang sangat menyeluruh sebagai pengantar
bagi kita semua disini mengenai isi dari UU PDP. Seperti yang Bapak Ibu lihat, saat ini narasumber kedua
kita sudah hadir, Selamat Datang Bapak Narendra Jatna, terima kasih atas waktunya. Seperti yang sudah
saya sampaikan di awal acara, pagi hari ini Pak Narendra akan memberikan materi mengenai klasifikasi,
sanksi dan ancaman pidana dalam UU PDP. Tentunya sangat sesuai dengan latar belakang Pak Narendra
selaku Kepala Biro Perencanaan Kejaksaan Agung.

Sebelum saya serahkan forum ke Pak Narendra untuk memaparkan materinya, izinkan saya
membacakan profil dari Pak Narendra. Bapak Narendra merupakan lulusan dari Fakultas Hukum
Universitas Indonesia, selepas lulus beliau aktif mengajar bidang studi hukum acara pidana di FHUI,
beliau juga meraih gelar master hukum dari Universite Aix Marseille III di Perancis, dan menyelesaikan
program studi Doktor Ilmu Hukum Fakultas Hukum Universitas Indonesia dengan disertasinya yang
berjudul Pemberdayaan Peran dan Fungsi Jaksa Pengacara Negara dalam Perlindungan Hukum terhadap
Pengelolaan Data Pribadi oleh Penyelenggara Sistem Elektronik.

Bapak Narendra merupakan seorang Jaksa dan pernah menjabat di berbagai posisi, mulai dari
asisten tindakan pidana umum di Kejaksaan Tinggi Bali, Kajari Cibadak, Atase Kejaksaan di KBRI Bangkok,
Kajari Jakarta Timur hingga menjadi asisten khusus Jaksa Agung. Tanpa berpanjang lebar lagi, saya
serahkan forum kepada Pak Narendra.

Narasumber : DR. R. Narendra Jatna, S.H., LL.M.

(Kepala Biro Perencanaan Kejaksaan Agung)

Assalamualaikum Warahmatullahi Wabarakatuh, Shalom, Salam Sejahtera untuk kita semua, Om

Swastiastu, Namo Buddhaya, Salam Kebajikan. Begitu saya naik, wajah yang terlihat wajah-wajah
dibawah ancaman, kalau tadi Pak Teguh masih ada sejuk-sejuknya. Apalagi judulnya juga lebih seram
lagi, sanksi pidana.

Pertama, memang di Indonesia data pribadi itu bukan sesuatu yang pribadi. Saya yakin waktu
kecil pernah ikut lomba Indomie dan Chiki, yang dilampirkan adalah KTP. Jadi waktu itu data pribadi
tidak terlalu penting. Membeli handphone juga pakai KTP, masuk kantor orang titip KTP. Sekarang
dengan NIK yang baru, kita tidak bisa berbohong tanggal ulang tahun padahal itu bagian dari data
pribadi. Saya setuju ada yang bilang itu bukan data yang rahasia, namun itu adalah data yang strategis.

Ada hal yang mendasar yang harus kita pahami bahwa data pribadi yang diberikan kepada kita
bukan berarti menjadi milik kita, jadi kepemilikannya tetap yang punya data. Contoh, foto kelahiran
saya, data itu hanya image, walaupun diserahkan bukan berarti yang diserahkan adalah yang punya, dia
hanya boleh mengelola.

Kita menganggap data pribadi tidak terlalu penting. Kita mengikuti lomba Chiki saja
menyerahkan KTP, itu hal yang biasa padahal kita tidak tahu data itu kemana. Waktu menyusun awal,
kita tidak aware bahwa ini penting. Jadi mau ditulis macam-macam begini, tidak aware juga. Coba email,
kemana-mana email kita disebar, begitu lihat email pakai hotmail.com maka ketahuan angkatan berapa.
Dari nama email yang gratis saja kita tahu seberapa tua penggunanya. Jadi kita anggap ini hal yang biasa,
nama di publish bebas-bebas saja karena dia sudah memberikan. Ini yang kita pahami bersama-sama.

➢ Sanksi

Kenapa ada ancaman pidana? saya ingin mengingatkan bahwa tidak segampang itu untuk
mendapatkan pidana dan memang kita salah fokus. Saya tanya, orangnya masuk penjara 2 tahun, data
kami masih dipegang, penting mana data atau dia masuk penjara? Ada kesalahan filosofi disini tapi
sudah kejadian. Saya sudah given bahwa sanksi pidana lebih menonjol dibanding penghapusan. Jadi
lebih menonjol pidana dan denda.

Ada sanksi administrasi dan perdata sebelum dikenakan sanksi pidana. Ada rezim yang berbeda,
kalau rezim Eropa data pribadi itu data merupakan bagian dari hak asasi manusia sehingga kalau ada
yang melanggar maka melanggar HAM dan negara aktif. Kita bangsa Indonesia senang membuat
ketentuan “oplosan” karena cepat naiknya. UU PDP menyebutkan untuk melindungi hak asasi manusia,
itu sangat Eropa yang menghendaki negara yang sifatnya aktif, untuk mewakili kepentingan publik
dalam hal ini Jaksa yang mewakili itu.

Tapi, kalau melihat ketentuan pidananya, lebih ke breach of contract, ini pendekatan Amerika.
Jadi tidak nyambung, menimbangnya melindungi HAM tapi pidananya Amerika Serikat. Ini akibat
kebanyakan kuliah di Amerika. Ini penting karena pasti pengusaha, lawfirm, teman-teman was-was,
bagaimana supaya tidak terkena sanksi pidana.

Kalau ketentuan pidananya lebih ke breach of contract maka sangat penting disclaimer. Jadi
mulai sekarang kalau punya klien harus diberitahu apakah dia berkenan menjadi portofolio. Kalau tidak
jadi klien lagi, tanyakan apakah berkenan masih disimpan datanya, kalau berkenan akan menyimpan
data yang ini saja, yang lain tidak. Kalau dalam satu bulan tidak berlangganan lagi, beritahu kalau
memang tidak mau berlangganan lagi maka data akan dihapus, kalau ingin bergabung kembali silahkan
mengisi datanya. Simple saja buat saya.

Sanksi pidana ini pendekatan Amerika breach of contract, maka logikanya pencegahannya
adalah disclaimer di depan. Mau tidak mau, standard form diusahakan untuk keanggotaan apapun.
Pidana memang masih jauh, tidak segampang itu apalagi kalau konteksnya internasional. Negara sudah
coba melindungi, namun pastinya tidak sempurna, jadi perbaiki nanti. Namun, karena ini sudah berlaku,
dengan melihat sanksi pidana lebih ke pendekatan Amerika maka obat yang paling sederhana adalah
membuat disclaimer tentang pengelolaan data pribadi.

Terkait denda, saya tidak tahu ini voluenteer atau contentious. Kalau melihat standard Uni
Eropa, gugatannya permohonan tapi ini jadi contentious dan itu tidak gampang. Ketentuan pidananya
lebih mirip brach of contract jadi contentious, seharusnya volunteer, ketetapan permohonan. Namun,
masukan untuk teman-teman sekalian di private, sanksi pidananya lebih ke breach of contract maka
siap-siap membuat standard form.

Saya tidak perlu berpanjang lebar, langsung tanya jawab saja dan saya bisa berdikusi juga
dengan Mas Teguh. Kurang lebih itu yang bisa saya sampaikan. Wassalamualaikum Warahmatullahi
Wabarakatuh, Shalom, Salam Sejahtera untuk kita semua, Om Shanti Shanti Om, Namo Buddhaya,
Salam Kebajikan.

Moderator :

Terima kasih banyak Pak Narendra atas pemaparan yang sangat menarik walaupun sangat
singkat dan padat. Seperti yang sudah Bapak Narendra sampaikan, kita bisa langsung saja mulai ke sesi
Q&A karena saya pun yakin dari 130 peserta yang hadir disini sudah banyak pertanyaan yang disiapkan.
Saya akan membuka sesi Q&A selama 1 jam ke depan, saya akan membuka batch pertama untuk tiga
pertanyaan. Silahkan mengangkat tangan dan tolong sampaikan nama dan institusinya.

TANYA JAWAB :

1. Rendra dari Blibli.com : tentang Pasal 34 ayat 1, dinyatakan bahwa pengendali data pribadi
wajib melakukan penilaian dampak pelindungan data pribadi dalam hal pemroses data pribadi
memiliki potensi risiko tinggi terhadap subjek data pribadi. Di dalam lingkup privat tentunya
penilaian terhadap risiko akan mempunyai dampak langsung terhadap kontrol yang akan kita
terapkan dan manfaat apa yang akan kita ambil dari data pribadi tersebut yang pada akhirnya
ketemulah perbandingan antara cost untuk perlindungan versus benefit yang bisa kita dapatkan.
Kalau menurut saya, penting sekali disini dijelaskan siapa yang memiliki suara final terhadap
penilaian dampak terhadap data pribadi. Mohon pencerahan terkait siapa yang memiliki suara
final terhadap penilaian dampak ini karena disini tidak disebutkan apakah aktifitas penilaian ini
dilakukan internal atau internal dengan pengawasan regulator atau harus dari ekternal?
Jawab : Pak Teguh : penilaian dampak PDP wajib dilakukan untuk beberapa kriteria yang tadi
sudah saya jelaskan. Memang terkait dengan penilaian dampak kita akan menemukan konsep
cost vs benefit. Kalau bicara isu berkaitan dengan security, cost nya akan jauh lebih tinggi kalau
bicara perlindungan data, sementara benefitnya atau revenue bahkan tidak berimbas langsung
ke korporasi sehingga manajemen sulit bahkan cenderung menolak memutuskan terkait dengan
dampak. Pertama, penilaian dampak sifatnya wajib dan kalau di perusahaan itu ada DPO/PPDP
maka PPDP punya kewajiban untuk memberikan saran atas penilaian dampak. Penilaian dampak
ini tidak harus dilakukan secara internal oleh DPO, bisa juga melibatkan pihak eksternal.
Penilaian dampak ini akan menentukan beberapa hal yaitu pertama, kalau terjadi insiden dan
perusahan telah melakukan penilaian dampak lalu diikuti, maka bisa jadi variable pengurang
dalam konsep denda PDP. Misalnya budget denda PDP 2%, jadi 2% itu berdasarkan variable dan
salah satu variable yang diperhitungkan adalah apakah perusahaan telah mengikuti
rekomendasi dalam penilaian dampak yang dilakukan oleh assessornya. Kalau di GDPR disebut
assessment, jadi apakah assessment itu dijalankan rekomendasinya dan itu akan memberikan
 besaran kecilnya variable denda yang dikenakan, itulah mengapa penilaian dampak menjadi
penting. Yang mengambil keputusan tentu dari sisi manajemen. Manajemen mengambil
keputusan apakah diikuti atau tidak, tapi sebelum manajemen mengambil keputusan, PPDP
harus memberikan penilaian atau saran atau rekomendasi. Nanti barulah kemudian dilakukan
pengambilan keputusan oleh manajemen.
Pak Narendra : kalau perusahaan pasti ada bagian compliance atau mitigasi risiko. Buat saja
PPDP ini, kalau tidak dibuat maka dianggap tidak punya itikad baik. Jadi bagian compliance
dapat bonus kerjaan yaitu DPO/PPDP, harus dibuat. Bagian compliance dapat tugas baru,
sederhananya seperti itu, tidak perlu ribet.
2. Aysha Karissa dari UMBRA : kepada Pak Teguh, mengenai pasal 2. UU PDP ini tidak berlaku bagi
orang perseorangan dalam kegiatan pribadi atau rumah tangga. Dalam hal ini apakah bisa
dielaborasikan lebih lanjut karena tidak ada penjelasan lebih lanjut apa yang dimaksud kegiatan
pribadi atau rumah tangga? Selanjutnya Pasal 53 terkait dengan PPDP, dalam hal ini pengendali
jasa pribadi atau prosesor data pribadi wajib menunjuk petugas yang melaksanakan fungsi
pelindungan data pribadi dalam hal yang pertama, pemrosesan data pribadi untuk kepentingan
pelayanan publik dan juga ada dua point lainnya. Dalam hal ini, di pasal itu pakai “dan”, jadi
kumulatif. Apabila pemrosesan data pribadi tidak ditujukan untuk kepentingan pelayanan
publik, apakah tetap ditunjuk PPDP ini untuk melaksanakan fungsi pelindungan data pribadi?
karena pakai “dan” ini kita assume bersifat kumulatif.
Jawab : Pak Teguh : kalau teman-teman mau terkait penilaian dampak, boleh cek model GDPR,
itu ada beberapa kriterianya dan itu bisa dibaca. Nanti kita menyusun PP dengan arah model
yang GDPR. Kemudian terkait PPDP, di pasal 53, ada 3 kriteria yang sifatnya kumulatif, “dan”,
yang mewajibkan semua penyelenggara memiliki PPDP. Kata-kata wajib ini bukan berarti kalau
ada terus tidak boleh. Profesi PPDP ada atau tidak ada 3 kriteria, tentu sebaiknya punya.
Misalnya kriteria pelayanan publik, mungkin teman-teman bukan pelayanan publik jadi mungkin
tidak masuk kiteria wajib atau tidak mengelola data spesifik, hanya email dan nama yang
kelihatannya tidak perlu ada PPDP, jadi memang tidak wajib karena yang wajib memiliki 3
kriteria yang kumulatif. Tapi, berpikirnya tidak begitu karena kalau lihat dari fungsi PPDP yang
menjalankan banyak hal maka sebetulnya dibutuhkan bukan karena faktor kewajiban atau
compliance. Bapak Ibu mengelola data pribadi yang sifatnya umum sekalipun harus ada
PPDPnya. Kenapa pakai kata wajib, bukan harus? Wajib fokusnya pada sanksi kalau tidak
dilakukan, kalau harus itu persyaratan. Kalau teman-teman mengelola data pribadi yang sifatnya
umum dan tidak untuk publik, tapi disitu ada potensi data bocor atau data yang dikelola
lumayan massive maka akan sangat lebih baik kalau punya PPDP. Di negara lain pun demikian,
meskipun tidak wajib tapi hampir semua. Masuk kriteria wajib tapi tidak punya baru menjadi
indikator variable untuk kena sanksi ketika ada insiden. Itu saran dari kami. Contoh, platform
global yang ada di Indonesia seperti Gojek, Google, Grab, data privacy itu levelnya Head, Head
of data privacy. Levelnya tinggi semua karena mereka tahu bahwa data pribadi bukan sekedar
yang penting patuh terhadap UUnya. Filosofi ataupun tujuan adanya PPDP bukan sekedar
compliance, kalau hanya compliance, ini hanya variable penambah denda saja kalau tidak
diikuti. Tapi bukan itu, ketika pemrosesan data pribadi dengan aturan main sebanyak ini, siapa
yang melakukan penilaian, siapa yang membuat SOP berkala, siapa yang membutukan
assessment secara internal, siapa yang memanage data? selama ini dirangkap. Kominfo sudah
memerika 67 perusahaan, dari 67 insiden PDP yang diperiksa oleh Kominfo, tidak lebih dari 5
yang punya PPDP. Tidak lebih dari 5 itu pekerjaannya merangkap, merangkap legal atau admin
atau IT. Ketika ditanya apakah ada SOP ketika terjadi insiden? Karyawan tidak tahu SOP-nya.
Kalau ada DPO, dia tahu urutan ketika terjadi insiden, jadi ada insiden handling, bagaimana
urutannya, ada di UU PDP, UU ITE. Kalau ada kegagalan data pribadi, yang harus dilakukan
pertama kali adalah mengamankan data, melaporkan pada kesempatan pertama kepada para
penegak hukum atau kementerian yang membawahi, barulah penanganan prosedur insiden,
mengamankan data. Rata-rata itu tidak dilakukan, jadi begitu ada data bocor mereka silent,
begitu masuk media barulah ribut. Kalau di Eropa, ketika terjadi insiden dan tidak mengaku atau
bicara, maka sanksinya lebih tinggi dibanding dia mengaku. Maka dari itu di variable 2% itu,
mengaku dengan tidak mengaku akan berbeda. Di Indonesia kebanyakan tidak mengaku,
kenapa? Apalagi badan publik/lembaga pemerintah, yang salah tidak akan ke kantor. Untuk
membuktikan bahwa data yang bocor itu identik, tidak mudah. Investigator Kominfo
membandingkan data yang dijual di darkweb dengan data yang bocor, kami harus beli 5 bitcoin,
1 bitcoin 600 juga. Kalau saya beli, saya keluarkan uang 2,7 M pakai uang negara, ternyata
setelah membayar, datanya tidak diberikan, uang negara hilang, siapa yang bayar? Saya
diperiksa. Akhirnya saya tidak beli datanya sehingga saya tidak bisa mengatakan datanya identik
dengan data perusahaan. Mereka tahu Kominfo tidak akan membeli. Akhirnya, urusan data yang
bocor ini mereka tinggal santai mengatakan tidak sama. Itu gambaran saja.
Pak Narendra : tadi kita punya kebiasaan kalau ada hal yang baru seolah-olah beban dan
tanggung jawab. Perdebatan selalu ada dan di aturan lama memang kalau ditampilkan data
kuantitatif, langsung dikatakan tidak juga. Kesimpulannya kuantitatif dan kualitatif disusun, tapi
kemungkinan ada data bocor juga. Yang mau sampaikan, soal compliance. PPDP penting ada,
sebetulnya ada lagi yang wajib yaitu impact assessment. Mau tidak mau, harus ada
pelatihannya, ini kewajiban. Mau tidak mau, suka tidak suka, siap tidak siap, impact assessment
untuk pelindungan data pribadi diwajibkan. Soal pidana, kalau tidak melakukan apa yang
diwajibkan minimal punya niat untuk taat. Kominfo akan melihat ini tidak taat bukan lalai.
Misalnya kemungkinan sudah tahu kalau tidak ada pejabatnya maka tidak ada yang mengawasi,
kalau tidak ada impact assessment maka pejabat itu hanya planga-plongo. Dia juga tahu
akibatnya sehingga harus satu paket, ditunjuk pejabatnya dan punya kapasitas serta kompetensi
untuk itu. Yang tadi disampaikan Mas Teguh, itu Eropa, pelanggaran HAM, ketika tidak dilakukan
maka melanggar HAM dan negara masuk, tapi ada bonusnya yaitu sanksi pidana yang lebih
dekat ke breach of contract. Jadi, mau tidak mau agak deg-degan untuk kita. Jelas bahwa wajib
ada petugas baru yang ditunjuk, jangan hanya ditunjuk, jangan di double-double, tapi memang
khusus untuk DPO dan sertifikasi. Impact assessment adalah bagian dari sertifikasi, pelatihannya
tanya ke Kominfo.
Pak Teguh : nanti ada lembaga baru, kemungkinan bukan Kominfo.
Pak Narendra : lembaganya belum ada tapi kewajibannya sudah ada. Minimal tunjuk dulu PPDP
untuk menunjukkan itikad baik.
Pak Teguh : terkait kegiatan pribadi atau rumah tangga, UU mengatakan cukup jelas, artinya
satu pemahaman antara para pembahas bahwa lingkup rumah tangga dan pribadi sesuatu yang
berlaku umum. Memang tidak ada UU rumah tangga atau pemenuhan pribadi namun dalam
praktik tidak mudah menerjemahkan secara spesifik, sama seperti UU Pornografi dimana tidak
berlaku untuk kepentingan diri sendiri sehingga terjemahannya banyak misalnya ketika
mengirim gambar pornografi kepada pacaranya, alasannya untuk kepentingan diri sendiri. Di UU
PDP sendiri, saat pembahasan di DPR, rumah tangga ini berkaitan misalnya ada satu keluarga
disitu saling mengirim foto KTP atau saling mengirim data terkait keuangan, data kesehatan
antar anggota keluarga, itu termasuk bagian dari lingkup pribadi atau rumah tangga. Jadi,
seingat saya pembahasan hanya sampai itu, ketika nanti praktik di lapangan ada kemungkinan
potensi beda tafsir, kita akan coba diskusikan lagi. Seperti UU Pornografi, tidak ada beda tafsir
saat pembahasan tapi ketika di lapangan, ternyata saat pembuktian pidana, banyak beda tafsir.
Perdebatan ketika saya jadi ahli di persidangan jadi panjang untuk satu kata yang sudah jelas
dan faktanya memang demikian.
 Moderator : apakah kira-kira akan diatur kemudian?
Pak Teguh : tidak ada rencana, tidak masuk rumusan.
Pak Narendra : kalau kebanyakan common law begini, kalau tidak ada di tulisan dianggap tidak
ada. Saya tahu sebagian besar anak hukum kuliah menyambung S2 paling mudah di Australia,
Amerika, Malaysia yang common law. Kita selalu terlatih membaca UU sebagaimana statute law,
kalau tidak ada disitu tidak diatur. Contoh yang agak ekstrem, tidak ada ketentuannya maka kita
bebas atau bisa menafsirkan sendiri. Maaf, apa ada tulisan dilarang kencing dalam ruangan ini?
kalau tidak ada, apakah berarti boleh? Tidak karena ada adab, sopan santun, kesusilaan, itu
asas. Kalau Eropa Kontinental, mau dicantumkan atau tidak dicantumkan, itulah maknanya. Mau
pribadi atau privat, ada asasnya, dianggap semuanya sudah paham. Jadi, kalau dari cara
bertanyanya, kuliahnya dulu di Amerika, keinginannya semua ditulis gamblang. Adab,
kesusilaan, sopan santun tetap berlaku walaupun tidak tertulis, sama halnya dengan masalah
pribadi atau rumah tangga. Itu bukan cacatnya UU, tapi kalau di Eropa menyusun UU begitu.
Kalau dianggap secara asas sudah melingkupi maka selesai. Kalau tidak ada penjelasan umum,
bukan berarti yang buat UU salah, tidak begitu. Kita masih mengikuti tradisi Eropa Kontinental.
3. Moderator : izin pertanyaan lanjutan, kalau dalam pengalaman Bapak sendiri, kira-kira untuk
kegiatan pribadi atau rumah tangga contohnya seperti apa? tetap ada kemungkinan
interpretasinya luas?
Jawab : Pak Narendra : kegiatan yang sifatnya pribadi. Inilah model-model common law, kalau
tidak ada maka diterjemahkan masing-masing. Tentu saja yang ada di BW, tidak ada konteks
keuntungan, tidak terekpose ke publik. Kalau ada komersial dan terekspose tentu bukan data
pribadi. Tidak perlu dibuat ribet sesuatu yang sederhana. Saya melihat kecenderungannya kita
berpikir statute law. Kalau asasnya ada tapi tidak dicantumkan, saya tanya apakah di dalam UU
PDP ada daluwarsa? Daluwarsa ada di KUHP, lex specialis derogate legi generalis, kalau tidak
diatur di UU tandanya diatur di KUHP, bukan berarti UU nya cacat, bacanya harus betul. Kalau
pribadi tidak disitu, maka pakai Eropa Kontinental jadi merujuk ke BW, kecuali diatur lain. Jadi
cari di BW mana kegiatan yang masuk ke dalam ranah privat, begitu cara bacanya. Konsep baca
Eropa Kontinental begitu, kecuali memang ingin republik ini menggunakan statute law, saya
pasti ikut. Kita sama-sama belajar yang memang kondisinya seperti ini, setiap hari sebagian
besar dididik common law system yang produknya juga pendekatan common law, bacanya juga
statute law, begitu ketemu UU Indonesia, lebih bingung lagi. Jadi kalau sudah lama sudah agak
 tidak lancar lagi berbahasa Indonesia sehingga kalau membaca ketentuan dalam bahasa
Indonesia agak syulit buat saya.
4. Timur dari ABNR : untuk Pak Narendra, terkait breach of contract ataupun melanggar HAM.
Apakah consent itu merupakan salah satu bentuk kesepakatan? Dalam UU PDP ada 7 jenis dasar
pemrosesan, apakah consent itu merupakan bentuk kesepakatan yang kemudian nanti bisa
ditarik ke aspek keperdataan? Apakah gugatan itu harus PMH atau wanprestasi? tadi salah satu
juga diatur bahwa subjek data dapat menggugat apabila ada pelanggaran, kalau gugatannya
ganti rugi, apakah materil atau immaterial? Tadi disampaikan bahwa data pribadi sendiri di
Indonesia masih belum ada harganya, jadi bagaimana sebagai pemilik data? untuk Pak Teguh,
mengenai apa yang dimaksud dengan data pribadi, apakah berarti penafsiran atau penentuan
suatu jenis data merupakan data pribadi sifatnya bisa subjektif juga karena mungkin perusahaan
bisa punya identifier, misalnya user ID yang ketika di share ke pihak lain maka pihak lain tidak
bisa mengidentifikasi. Apakah pihak lain itu dianggap mengelola personal data?
Jawab : Pak Narendra : kalau tadi pendekatan yang Mas Teguh sampaikan, niat aslinya
pelanggaran HAM tapi saya tidak tahu di ranah ketentuan pidananya lebih kepada breach of
contract jadi posisi consent itu penting, jadi dianggap wanprestasi. Coba lihat, menggunakan
tidak sesuai dengan tujuannya, itu wanprestasi walaupun consent jadi tidak mudah karena
aslinya niat kita sama-sama harusnya volunteer atau permohonan tapi ternyata politik
hukumnya pilih yang contentious. Jadi, dipahami bahwa tidak mudah, betul yang tadi Mas Teguh
sampaikan. Pidana itu masih sangat panjang, dicek administrasi dulu, setela itu masih ada
kesempatan gugat perdata. Kalau gugat perdata tidak ada baru negara masuk. Tapi, kalau dalam
konteks membahayakan yang lebih tinggi maka mau tidak mau negara masuk. Yang bisa
langsung negara masuk adalah konteks penghapusan kekerasan seksual, bukan bisnis. Itu bisa
negara langsung masuk dan UU itu mengatur kewenangannya Jaksa, itu beririsan dengan data
pribadi. Kalau meminta ganti rugi, namanya prestasi maka buktikan, tapi kembali lagi kalau bukti
orangnya banyak maka pakai asumsi-asumsi, misalnya apa iya nasabah hanya satu. Kalau
sekelompok orang mengalami damage yang sama maka kemungkinan yang muncul ada dua,
muncul citizen law suit, bisa diwakili oleh pihak yang dianggap punya kepentingan, tidak perlu
yang bersangkutan, atau class action kalau yang bersangkutan jumlahnya banyak. Jaksa bisa
masuk ke citizen law suit atau class action. Jadi, kalau ada kepentingan publik maka JPU yang
masuk, bukan pribadi lagi. Isinya bukan wanprestasi, bisa dianggap lebih ke PMH kalau dalam
konteks publik. Oleh karena itu, pejabat yang sudah ditentukan, sertifikasinya menjadi wajib
untuk menunjukkan punya itikad baik. Saya bilang panjang prosesnya untuk negara bisa
langsung masuk. Pembuktian melalui pidana material, jadi kita harus tahu identik atau tidak,
padahal bisa saja tidak identik. Oleh karena itu, dalam praktik diluar pun pidananya sedikit, yang
lebih banyak takut adalah denda dan tidak boleh beraktivitas. Hanya bangsa Indonesia yang
lebih senang dianggap pidana lebih menakutkan, di luar sana lebih sulit untuk dikenakan pidana
karena bukti permulaan diuji di pengadilan. Di Indonesia, lebih mudah pidana, begitu ada
pelanggaran inginnya langsung ditindaklanjuti padahal pemerintah ingin pendekatannya seperti
yang luar. Yang lebih buat deg-degan adalah sanksi perdata dan sanksi administratif, tidak boleh
lagi mengelola hal yang sama. Kalau bisnis IT tidak boleh lagi dalam 1 thaun maka tinggal jualan
siomay, ganti profesi. Jadi, penting soal kepatuhan dan ketaatan karena pidana itu jauh sekali.
Bisa wanprestasi kalau dianggap ini masalah consent, tapi bisa dianggap PMH karena
menyalahgunakan kewenangannya atau melebihi mandatnya. Bukan wanprestasi lagi karena ini
dalam konteks publik, jadi bisa juga dianggap perbuatan melawan hukum karena melebihi
mandat yang diberikan. Ada masalah kewajiban publiknya sehingga bisa dianggap PMH, kalau
PMH maka selangkah lagi pidana, nanti dilihat apakah dia punya niat baik atau tidak.
Pak Teguh : saya akan menjelaskan historynya. Ketika kita menyiapkan rancangan UU PDP,
aslinya pidana itu ada 8 pasal tapi disepakati hanya 4 yang dimunculkan. Itupun sebetulnya
kalau dari sisi Kominfo berharap tidak ada pasal pidana. Ketika teman-teman dari kejaksaan,
kepolisian, dan Kemenkumham datang, mereka mengusulkan pidana harus tetap ada, tidak bisa
dihilangkan. Kominfo usul lagi boleh pidana tapi denda saja, rata-rata kejaksaan dan kepolisian
masih keberatan juga. Kemudian DPR mengatakan harus ada pidana sehingga pidana menjadi
hal yang mutlak. Tapi, seperti yang dijelaskan Pak Narendra bahwa tidak langsung serta merta
pidana. Di negara lain, ketakutan utamanya adalah pada denda dan penghentian aktifitas atau
operasi usaha karena itu dampaknya akan jauh lebih besar lagi. Kalau konsep pidana untuk
korporasi, meskipun jenisnya juga denda, masih ada kemungkinan dibayar, selesai, tapi kalau
diputuskan pengadilan dihentikan operasinya atau oleh lembaga PDP dikenakan sanksi 2%, itu
per satu insiden, maka satu tahun 3 kali insiden berarti kena 6% dari penerimaan tahunan si
penyelenggara negara, itu jauh lebih besar nilainya dibandingkan kalau harus menginvestasikan
untuk keamanan termasuk pembentukan PPDP tadi. Dari sisi Kominfo atau perumus, kalau bisa
tidak ada pidana, kalau perlu ada pidana tanpa penjara kenapa harus penjara karena penjara
sudah sangat penuh. Kemudian, terkait definisi data pribadi, UU PDP tidak memberikan
subjektifitas artinya semua harus ditetapkan secara objektif. Misalnya user ID bocor, ada
 password terprotect atau terencrypt tapi bocor juga, apakah itu data pribadi? bisa tidak semua
orang mengidentifikasi bahwa itu merujuk pada satu identitas? Kalau hanya ke
penyelenggaranya bukan, itu mekanisme untuk melakukan pengamanan. Kalau yang bocor user
ID, ada yang terencript, tapi semua orang bisa mengaitkan pada satu identitas tertentu, itu bisa
memicu pada satu data pribadi. Kalau bentuk pengamanan dan bocor, contohnya kasus
Tokopedia, passwordnya bocor tapi terencrypt, yang lainnya tidak di encrypt. Password yang
terencrypt bukan berarti tidak data pribadi, dia tetap bisa menjadi bagian dari data pribadi
karena ada data lain yang turut bocor. Penerjemahannya tentu tidak harus semua dituliskan di
UU, kita semua tahu bahwa ketika bisa digunakan untuk mengidentifikasi atau teridentifikasi
maka bisa dipastikan sebagai data pribadi. Tapi, kita harus bedakan mekanisme pengamanan,
kalau membagikan data pribadi orang dengan bentuk kode-kode dan bisa di decrypt, maka bisa
jadi data pribadi. Kalau tidak ada yang bisa decrypt selain para pihaknya, maka itu tidak bisa
dibilang data pribadi, masih jauh karena hanya berupa symbol, tidak merujuk pada satu
identitas yang unik.
5. Muhammad Fadhli dari Shimizu Corporation : di dalam Pasal 53 ayat 1 dijelaskan bahwa
pengendali dan prosesor wajib menunjukkan PPDP dalam hal pemrosesan berkepentingan
publik, kegiatan inti pengendali berskala besar dan kegiatan inti berskala besar berkaitan dengan
tindak pidana. Apa definisi skala besar tersebut karena saya tidak menemukannya di UU? tadi
juga Pak Teguh sempat bilang bahwa petugas PDP bukan adhoc, dalam artian seorang legal
bukan merangkap sebagai PPDP tapi sebagai lembaga terpisah/tersendiri dalam perusahaan
tersebut. Apakah ada dasar hukum dalam UU ataupun PP yang akan mengatur hal tersebut?
menurut Pasal 54 ayat 1 huruf E, tugas dari PPDP adalah sebagai narahubung, pertanyaannya
menjadi narahubung siapa dan ke siapa? Terakhir, bagaimana prosedur subjek data memproses
hukum apabila ada tindakan pelanggaran PDP dan kerugian apa yang bisa diklaim oleh subjek
data, materil, imateril atau keduanya?
Jawab : tadi sudah disampaikan di awal bahwa belum diatur secara detail tapi kemungkinan
akan diatur di PP. Ini berkaitan dengan jenis data dan besaran data yang dikelola, itu yang
dimaksud dengan skala besar. Di PP nanti akan banyak hal yang belum clear di UU. Jadi nanti
akan dijabarkan di PP sehingga saya belum bisa menjawab juga karena PP akan disiapkan
mengarah kesana. Terkait narahubung, kalau di negara lain, PPDP menjadi narahubung antara
penyelenggara atau pengendali data dengan otoritas, pengendali data dengan penegak hukum,
pengendali data dengan subjek data. Tetap ada fungsi 3 hal itu yaitu ke otoritas, penegak hukum
dan ke subjek data. Ini fungsi PPDP bukan orangnya, jadi bukan berarti ada 3 fungsi lalu
orangnya ada 3.
Pak Narendra : saya mencoba mengamini apa yang Mas Teguh sampaikan tadi. Disini sanksi
sudah mengancam tapi belum jelas, jadi tentunya harus ada standard yang jelas baru bisa
dipidana. Administrasipun begitu, jadi bagi saya tidak perlu deg-degan sekali. Tidak mungkin
diberi sanksi pidana atas definisi yang tidak jelas. Ini karena ketakutan-ketakutan saja, saya
melihat wajah-wajah kekhawatiran disini. Kalau sesuatu yang belum diatur, seingat saya ada
beberapa ketentuan di Kominfo ada tapi tidak dalam konteks khusus PDP, seingat saya ada skala
besar. Biasanya teknik membaca UU, kalau ketentuan yang bersifat khusus belum ada, cari yang
umum. Ada Permen Kominfo itu hal-hal yang bersifat teknis, skala besar apa, narahubung ada,
walaupun belum spesifik untuk PDP namun mekanismenya bisa diintip barulah nanti ditegaskan
di dalam PPnya. Semakin kesini kita ini hobby menulis dengan detail, jadi kami di UI sebagai staf
pengajar sudah gagal karena tradisi Eropa Kontinental tidak meresap di hati para lulusan,
otaknya common law semua. Rupanya pendidikan tinggi hukum kita sudah gagal dalam
mendidik melanjutkan tradisi Eropa Kontinental, statute law lebih memasuki pemahaman kita
semua. Kita terbiasa takut salah padahal kalau benar kenapa takut salah. Niat baik PDP ini
melindungi, hati kecil kita pasti tahu mana yang patut mana yang tidak. Saya lihat
pertanyaannya sejenis semua, jadi catatan khusus bagi kami yang mengajar bahwa ternyata
kami telah gagal tentang pembelajaran tradisi Eropa Kontinental, tentang apa yang dimaksud
perbuatan melawan hukum. Ini faktual tapi tidak apa-apa, saya berterima kasih juga, banyak
masukan untuk kampus-kampus. Pemahaman ini nampaknya menjadi sulit bagi kita secara
umum.
Pak Teguh : terkait prosedur, kita sebagai subjek data kalau mau gugat perdata tentu prosedur
perdata. Kalau kaitannya data kita terekspose tapi kita tidak menggugat dan meminta data kita
di takedown, maka apabila kendalanya di pengendali data, kita minta pengendali melakukan
takedown. Tapi kalau pengendalinya ada di pemerintah, bisa bersurat ke tempat kami untuk
minta di takedown datanya. Tapi, ketika data terekspose ke publik apalagi ke internet, mau
dihapus berkali-kalipun, mesin pencari sudah terlanjut mengcapture dan buruknya lagi data kita
memang bukan bocor lagi di internet tapi sudah tumpah. Tim kami investigasi di darkweb, ada
207 akun penjual data orang Indonesia, lalu apa yang mau dilindungi? Saking banyaknya penjual,
harga data orang Indonesia sangat murah sekali. Di searching pakai Google saja bisa, search KTP
KK, bentuknya PDF, isinya data, muncul semuanya, lengkap. Jadi apa yang mau dilindungi?
 Karena itulah dijual pun tidak laku-laku. Kami cek account krypto Bjorka, tidak ada yang
membeli. Ada 1,3 juta data registrasi yang bocor tapi tidak ada yang beli karena saking
banyaknya data kita di internet, orang tidak tertarik lagi. Kalau kita merasa dirugikan maka
silahkan gugat tapi kalau gugat maka harus pastikan data kita bocor darimana. Dari BPJS ada,
Dukcapil ada, dari Tokopedia atau Bukalapak juga ada, jadi mau gugat siapa? Apakah anda bisa
yakin bahwa data anda bocor dari satu penyelenggara? Jadi prosedur untuk menggugat tidak
sederhana karena akan sulit untuk membuktikan. Ketika data kita bocor, tidak ada ruang untuk
recovery. Ketika data KTP kita bocor, kita tidak bisa mengganti NIK, kita tidak bisa mengganti
nomor KK kita. Faktanya ada semua di intenet.
Pak Narendra : saya suka apa yang Mas Teguh sampaikan, jadi kalau ada perang dunia ke-III kita
pasti selamat karena pasti datanya tidak pernah cocok. Siapa yang suka mengisi data dengan
benar? Ada suatu fenomena yang sangat Indonesia yaitu kita paling malas mengisi data dengan
benar. Kita orangnya terimo-an, pokoknya apa yang ada nikmati saja, kita syukuri saja. Data kita
tidak laku, itu sangat Indonesia. Bangsa lain deg-degan tapi kita tidak, pakai saja datanya karena
tidak pernah isi sejak 2 tahun yang lalu. Jadi memang kadang-kadang kita punya attitude yang
berbeda tapi tetap karena ini sudah menjadi attitude yang sifatnya internasional maka mau
tidak mau kita ikuti, kalau tidak maka kita habis sama sekali. Seperti Mas Teguh bilang tadi,
memang sangat Indonesia, dikatakan rahasia tapi di klik di Google ada semua, apa rahasianya?
Tapi, mekanisme jadi penting untuk menunjukkan kita ini bangsa yang beradab. Sesuatu tidak
bisa kita tolak, kalau kita tidak mulai, tidak exercise, nanti sistem yang berlaku lebih ketat kita
belum siap sama sekali. Jadi harus kita mulai, sudah ada kewajiban jadi ikuti dulu. Teman-teman
di Kominfo sudah berusaha kuat PDP ini sudah muncul ketentuannya.
6. Tito dari Grab Indonesia : kepada Mas Teguh, perihal pasal 15 pengecualian terhadap hak-hak
subjek data. Disitu ada untuk kepentingan penyelenggara negara, ada juga kepentingan statistik
dan penelitian ilmiah. Saya mau tahu apa penelitian ilmiah, sejauh apa dan limitasinya seperti
apa, siapa yang akan melakukan, apakah negara atau lembaga tertentu atau swasta pun dapat
melakukannya? Kedua, soal pasal 25, pengendali data wajib memverifikasi data tersebut.
Verifikasi ini sejauh apa, apakah setiap pengendali data harus mengadakan interkoneksi sistem
dengan Dukcapil misalnya, untuk kepentingan verifikasi IT dan segala macam.
Jawab : Pak Teguh : konteks penelitian ilmiah juga nanti akan dijelaskan di PP jadi saya tidak bisa
detailkan. Kemungkinan termasuk di dalamnya misalnya kalau untuk keperluan ilmiah data apa
saja yang boleh diberikan dan metodenya seperti apa. Intinya, persetujuan tetap akan menjadi
 hal yang penting meskipun bisa mengecualikan hak subjek data pribadi. Secara global memang
ketentuan terkait penelitian ilmiah harus diberitahukan untuk mendapatkan akses data
tertentu. Pak Narendra : apakah pernah buat penelitian ilmiah? Ada etikanya, jadi data
respondent mau dicantumkan atau tidak, namanya boleh dimasukkan atau tidak. Catatan kaki
atau batang tubuh atau semuanya, ada etikanya atau standard. Lagi-lagi ini Eropa Kontinental
lagi, jadi walaupun tidak tercantum, standard penelitian ilmiahnya ada etikanya. Walaupun tidak
ada UU, semua penelitian tunduk pada etika itu termasuk pelindungan data pribadi. Jadi buat
saya mudah, cek saja, ada hal-hal yang kaitannya dengan pelindungan data pribadi, tidak perlu
menunggu UU karena semua peneliti akan melakukan hal yang sama.
Pak Teguh : untuk verifikasi di Pasal 29 ayat 2, ada kewajiban pengendali untuk melakukan
verifikasi terkait subjek data yang dikelola. Bentuk verifikasi akan diatur di PP, tapi intinya tujuan
verifikasi adalah untuk memastikan kurasi terkait konsistensi. Kalau saya nasabah bank, pindah
rumah maka harus ada verifikasi. Bentuk verifikasinya akan sangat berbeda antar industri atau
antar sektor. Verifikasi itu bisa misalnya melakukan konfirmasi ke subjek data, bisa juga
konfirmasi ke sumber data misalnya di Dukcapil atau bisa menggunakan cara lain, misalnya cara
manual diundang, dan lain-lain. Intinya proses itu ditujukan untuk memastikan datanya akurat,
lengkap dan konsisten.
7. Dian Kartika Sari dari NEC Indonesia : terkait consent dari subjek data, apakah akan ada
template atau peraturan teknis mengenai consent tersebut karena disebutkan harus ada
intention, tapi intention bisa berbeda-beda? Kedua terkait pasal 23, agreement clause in which
there is a request for personal data processing that does not contain an explicit valid consent of
the personal data subject shall be declared null and void. Artinya di perjanjian antara data
prosesor dengan data controller harus ada attachment yang mengandung consent tersebut
karena kalau misalnya kita menyediakan aplikasi untuk membuka rekening online, itu berarti
tidak sekaligus pada saat tanda tangan kontrak dengan data controller melainkan time to time.
Misalnya hari ini ada nasabah mau buka, minggu depan ada juga, jadi mekanisme ke depannya
bagaimana?
Jawab : Pak Teguh : consent atau persetujuan dari subjek data di UU PDP akan “merevolusi”
cara penyelenggara untuk memperoleh data dari subjek data, akan mengubah banyak hal.
Pertama, consent dalam UU PDP, persetujuan dari subjek data harus eksplisit. Ada 3 hal yang
benar-benar sifatnya mutlak yaitu eksplisit, terekam, harus meminta persetujuan kalau ada
tujuan lainnya. Kalau 3 hal ini tidak dilakukan maka consentnya batal demi hukum. Syarat
consent lainnya adalah satu atau lebih dari tujuan harus dituliskan di awal, bisa elektronik
ataupun non-elektronik, ada beberapa informasi yang harus disampaikan ke subjek data
sebelum consent diberikan. Ini prosedur consent, mekanisme atau metode detalnya seperti apa
masing-masing boleh berbeda. Misalnya contoh consent ideal, kalau mendownload aplikasi di
Google, kalau mau akses phone book, atau maps, pasti meminta allow, allow, allow, bukan
isinya syarat & ketentuan, yes, I accept atau I agree atau yes, ok enter, tidak boleh lagi seperti
itu. Jadi harus per item atas akses data pribadi. Misalnya perusahaan mau akses alamat lokasi
atau phonebook, wifi, semua harus persetujuan secara sadar allow dan per item. Syarat dan
ketentuan sudah tidak efektif lagi digunakan, Yes I accept atau yes I agree sudah tidak boleh
karena faktanya tidak ada satu pun dari kita yang membaca utuh syarat dan ketentuan. Mau di
rekening bank atau aplikasi, tidak ada yang baca karena kalau di baca jumlahnya sekitar 2000-
5000 karakter sementara kemampuan orang dewasa membaca per menit adalah 230 karakter,
artinya butuh 10 menit untuk membaca, itupun bukan untuk memahami. Kalau kita download 1
aplikasi, tidak mau membaca 10 menit, pasti scroll dan yes, I agree. Kalau klik yes, I accept,
aplikasi mengakses SMS lalu aplikasi bisa membaca OTP kita yang dikirim lewat SMS sehingga
akun kita bisa diretas. Di UU PDP tidak boleh seperti itu, harus jelas bahkan kalau pakai Google
Maps orang, saat mau pilih rute harus memberi persetujuan yes dari lokasi yang saat ini barulah
pilih rute kemana. Dulu tidak seperti itu, otomatis Google langsung tahu kemanapun kita mau.
Jadi setiap tindakan harus meminta persetujuan dari pengguna. Consent atau persetujuan ini
akan mereformasi cara penyelenggara mendapatkan data dari subjek data. Kemudian, kalau
tujuannya lebih dari satu, misalnya tujuan awal dipakai untuk asuransi, ternyata kemudian mau
digunakan untuk tujuan lain terkait marketing suatu produk maka harus dijelaskan bahwa ada
tujuan lain. Idealnya dijelaskan di awal saat awal perolehan tapi ketika di awal tidak kita berikan
lalu di tengah jalan punya niat untuk memberikan tujuan lain maka mintakan persetujuan ulang
dengan tujuan yang baru. Harus dimintakan, memang ribet tapi rezimnya begitu. Kalau meminta
lebih dari satu tujuan, tujuan yang berikutnya harus memiliki 3 syarat dalam UU PDP. Tujuan
baru harus bisa dibedakan dengan tujuan sebelumnya dan harus mudah dipahami serta mudah
diakses, bahasanya juga harus sederhana dan jelas. Ini konsep kalau menambahkan tujuan lain
diluar tujuan ketika di awal perolehan. Fakta di lapangan, data anda sebagai nasabah akan
diadakan oleh kami untuk kepentingan yang berkaitan dengan bisnis perusahaan, apa itu bisnis
perusahaan? di UU PDP itu dilarang. Kalau data pribadi akan digunakan oleh bank X untuk
dikirimkan ke asuransi XYZ dalam kepentingan ini, setuju? Yes, kalau tidak, No. Kalau tidak,
bukan berarti tidak bisa buka rekening, harus bisa kecuali yang berkaitan dengan kepentingan
pelayanan misalnya pakai Google Maps, apakah setuju data diakses, tidak maka mati
layanannya. Kalau dulu tidak begitu, kita buka rekening, diminta tanda tangan disini disini, ambil
contoh BCA, saya diminta baca ketentuan ini dan ini, apakah setuju? Kalau setuju tanda tangan
sedangkan di bank lain, saya hanya tidak sempat baca, tanda tangan di belakang, ada tujuan lain
juga tidak dijelaskan. Intinya apapun tujuan lain yang membutuhkan data kita maka harus yes, I
agree sedangkan itu sudah tidak relevan, jadi jangan gunakan lagi. Informasi yang harus
disampaikan dalam consent menurut UU PDP adalah legalitas pemrosesan datanya, yaitu dasar
hukum apa yang membuat anda akses data pribadi, kemudian tujuannya untuk apa, jenis data
relevansi. Yang sulit adalah relevansi, semua diminta. Perusahaan anda bergerak di bidang
pengiriman, yang dibutuhkan nama dan alamat, tapi kenapa diminta nama ibu kandung, alamat
email, hal-hal yang tidak relevan dengan kebutuhan atas layanan yang diberikan. Relevansi wajib
ada, kalau versi sebelum UU PDP, data dianggap sebagai aset, bukan amanah dan konsep ini
harus dihilangkan. Relevansi harus ada dan tegas. Selanjutnya, jangka waktu atau retensi, jadi
berapa lama data akan dihapus? Kalau sudah tidak berlangganan produk kami, maka data anda
akan dihapus. Kalau anda membuka rekening di tempat kami, 5 tahun akan kami hapus. Kecuali
ada UU yang menyatakan berbeda, misalnya untuk kepentingan perpajakan maka transaksinya
butuh disimpan 10 tahun, untuk kepentingan administratif lainnya yang sah secara hukum
boleh. Di Permenkominfo yang lama, meskipun bukan turunan UU PDP, kalau tidak pernah
diatur berapa lama retensinya maka 5 tahun harus dihapus jika sektornya tidak mengatur.
Kemudian, rincian mengenai informasi yang dikumpulkan, jadi akses kemana dan kemana harus
rinci, jangka waktu diprosesnya berapa lama, setelah di proses itu harus dimusnahkan atau
dihapuskan. Terakhir, informasi yang harus disampaikan adalah apa hak dari subjek data. Subjek
data punya hak untuk melakukan penghapusan, mengubah, idealnya kalau mau edit maka bisa
edit sendiri. Ketika buka akun gmail kapanpun kita bisa edit nomor telepon, alamat, password.
Coba buka akun di tempat lain atau buka akun di bank, kita mau edit maka panjang prosesnya,
bukan berarti tidak bisa, kita harus datang ke tempat. Saya pernah mau mengubah nomor
handphone, saya diminta harus datang ke bank sedangkan datang ke bank butuh waktu yang
panjang, padahal itu hak dari saya. Terkait dengan kesepakatan pengendali dengan pemroses,
pasti harus ada perjanjian dan dalam perjanjian tersebut juga harus dituangkan dalam consent
tadi. Jadi misalnya bahwa bank X bekerja sama dengan PT Y yang memproses data, apakah anda
setuju data anda di proses oleh PT Y? jika bentuknya bukan persetujuan, kita harus jelaskan
bahwa data pribadi nasabah diproses oleh PT Y. Selama ini kita tidak tahu data nasabah kita di
bank X siapa yang memprosesnya, bank X atau perusahaan lain? tidak tahu. Di UU PDP ini, harus
dijelaskan, harus clear termasuk kalau sampai 3 layer tadi, apalagi kalau datanya dipindah-
pindahkan. Transfer data pribadi boleh, jelaskan di consent di awal akan ditransfer ke pihak
A,B,C, jika ke depan ada muncul F maka mintakan persetujuan ulang bahwa data itu akan dikirim
ke F. Ini reformasi cara memproses data yang sebelumnya tidak pernah kita pikirkan atau kita
lakukan meskipun kalau data kita bocor, apa kerugian riilnya? Data saya di internet ada banyak,
yang membocorkan adalah negara karena saya sering jadi ahli di persidangan. Putusan-putusan
MA menyebut nama alamat saya sebagai ahli. Saya protes ke MA, tapi putusan pengadilan harus
terbuka, itu faktanya. Nama lengkap saya, alamat, tanggal lahir, profesi, ada di internet,
kerugian saya apa secara pribadi? saya bukan public figure tapi kalau datanya bocor, apa potensi
kerugiannya? Orang mau menipu? Sekarang banyakorang cerdas jadi mungkin tidak tertipu tapi
kalau alamat kita diketahui orang se-Indonesia, apa kerugiannya? Secara real mungkin belum
kelihatan tapi kalau tokoh-tokoh publik, orang yang punya nama misalnya data-data pejabat kita
dibocorkan oleh Mas Bjorka, apa kerugiannya? Setiap hari datang paket COD, seolah-olah
Menteri pesan barang, sehari bisa puluhan driver mengantarkan COD. Kasihan drivernya,
kasihan orang rumah yang jaga, hanya itu. Kecuali kalau orang mau berniat jahat, tahu
alamatnya dan mengancam, itu satu potensi atas kerugian. Terlepas dari itu, di dunia rezimnya
kesitu, tadinya mengungkapkan data pribadi bukan criminal tapi sekarang menjadi criminal. Ada
proses kriminalisasi disini dan kita sebagai negara bagian dari kompetisi global harus ikut di
dalamnya.
Pak Narendra : apakah Google tunduk dengan UU PDP ini? apakah dia tahu kita punya UU PDP?
Tidak, tapi kenapa itu dilakukan? karena adab. Yang Mas Teguh sampaikan panjang lebar,
sebetulnya bukan masalah UU nya sudah mengatur detail atau tidak, tapi Google melakukan
seperti itu karena attitude internasional sudah begitu. Indonesia waktu itu belum seperti itu,
tapi dilakukan karena adabnya begitu. Jadi kita semua harus latihan, kalau selama ini kita sangat
legistis, kalau belum diatur tidak usah ikut dulu, semuanya ingin detail. Sekarang dunia sudah
digital, ada attitude digital yang sudah seperti itu, walaupun belum diatur tapi semua
perusahaan sudah melakukan itu maka ikuti saja karena pasti ada tujuan baiknya. Attitude,
sopan santun, seperti di Indonesia, semua masuk rumah tidak perlu diminta, semua akan
mencopot sepatu, tidak ada peraturannya, jadi Google melakukan hal yang sama walaupun dia
tidak tahu apakan Indonesia sudah punya UU PDP atau belum. Walaupun consent sifatnya
 sangat perdata tapi ingat karena ini ruang lingkup yang sudah masuk publik maka semua
ketentuan publik yang melingkupinya masuk. Jadi cek kewajiban publik, template ini supaya kita
tidak salah, seperti di sekolah, memang Indonesia banget. Tapi sebetulnya bisa dilihat yang
mana ada kewajiban publik maka harus dimasukkan. Semuanya pasti takut salah, tapi lesson
learn. Google tidak takut salah tapi cocok dengan ketentuan kita padahal tidak bertanya-tanya
dengan Kominfo. Jadi kenapa kita yang sudah ada UU masih berdebat apakah secara detail
diatur atau tidak. Yang namanya dunia digital, ada attitude yang berlaku secara universal yang
juga berlaku di Indonesia dan kebetulan Indonesia saat ini membuat hukum nasionalnya supaya
tertata lebih baik. Dunia digital itu filosofinya ada, negara hanya pengatur lalu lintas, tidak ikut
masuk ke dalam tapi khusus PDP karena bagian dari HAM, maka jadi masuk. Bahkan di Eropa
yang sudah bebas pun, karena dianggap pelindungan hak asasi manusia, maka negara dianggap
masuk.

Moderator :

Terima kasih Pak Narendra, saya izin tutup sesi Q&A kita, mohon maaf untuk Bapak Ibu peserta
yang belum sempat menyampaikan pertanyaannya selama sesi pertama ini. Tentunya nanti selama
waktu istirahat mungkin boleh dicoba approach para narasumber jika ada kesempatan dan bisa
langsung menanyakan pertanyaannya.

Kita sudah sampai di penghujung acara sesi pertama acara diskusi kita pagi hari ini. Sebelumnya
saya memohon kepada kedua narasumber untuk memberikan closing remarks untuk kita semua
mengenai keberlakuan UU PDP kedepannya, setidaknya untuk 2 tahun ke depan sambil menunggu
peraturan-peraturan pelaksana yang akan diterbitkan.

Closing Remarks

Pak Teguh :
 Terima kasih Hukumonline sudah mengundang saya pertama kali untuk PDP. Saya biasanya di
Hukumonline mengisi materi tentang cyber law, baru kali ini tentang PDP. Terima kasih juga rekan-rekan
yang sudah hadir dan tentu apa yang tadi saya sampaikan hanya pengantar, kalau detailnya sangat
panjang sekali untuk kita diskusikan.

Saya ingin mengingatkan kembali bahwa UU PDP jauh dari ideal, ada banyak kekurangan. Dalam
pembahasan ada banyak kepentingan, ada banyak teori, ada banyak orang dengan background hukum
yang berbeda atau background pengetahuan yang berbeda sehingga menghasilkan rumusan yang kalau
kita baca tidak bisa berpikir arah rezimnya kemana tapi ini adalah kombinasi. Kalau kita ambil positifnya,
ini kolaborasi dari beberapa ide dan pemikiran. Tidak semuanya salah dari sisi DPR atau pemerintah atau
Kominfo atau yang lain, kalau mau benar maka benar, kalau salah maka salah semua. Jadi, ini belum
ideal tapi ini adalah ikhtiar untuk kita punya satu regulasi yang boleh dibilang komprehensif tentang
PDP.

Filosofi penting bahwa data itu bukan lagi sebagai aset tapi amanah tolong dijalankan. Kita harus
ubah cara pandang kita termasuk manajemen kita terkait dengan data pribadi. Jangan berpikir bahwa
semakin besar data pribadi yang dikelola artinya kita punya aset yang lebih banyak, tapi justru punya
tanggung jawab dan risiko yang lebih besar.

Terakhir, perubahan-perubahan dasar terkait dengan consent, relevansi, itu harus menjadi
atensi meskipun dalam UU PDP dikatakan di awal pemrosesan data pribadi oleh pengendali diberi waktu
2 tahun untuk penyesuaian. Tapi ini bicara dalam hal pemrosesan, kalau dalam hal lain termasuk pidana
di dalamnya sudah otomatis berlaku sejak diundangkan. Jadi, tetap kita berupaya melakukan persiapan
menuju ke 2 tahun dan kalau ada potensi-potensi atas kemungkinan data breach, tolong diantisipasi.
Kita tidak mau lagi dengar setelah UU PDP ada data breach. Kita berharap nanti lembaganya, naskah
urgensi sedang dipersiapkan, kita tidak tahu Presiden akan menunjuk siapa. Kita berikan opsi, bisa
Kominfo atau mungkin ada lembaga/badan baru atau seperti PPATK atau BPOM, siapapun nanti yang
akan dibentuk atau ditunjuk Presiden, kita harapkan bisa memberikan satu gambaran terkait dengan
siapa yang paling berwenang untuk bicara data pribadi. Yang pasti bukan ex officio Kominfo saat ini, saya
bicara disini karena kami sebagai tim perumus.

Kami ucapkan terima kasih, sekali lagi mohon maaf. Selamat Siang, Assalamulaikum
Warahmatullahi Wabarakatuh.
Pak Narendra :

Saya mencoba mengembangkan apa yang disampaikan Mas Teguh tadi. UU PDP ini sebenarnya
niat baik kita semua. Ini atribut yang harus dimiliki oleh negara yang punya adab dalam dunia digital.
Jadi mau tidak mau, suka tidak suka, siap tidak siap, kita harus punya, minimal ada proteksi. Kalau soal
kewajiban-kewajiban tadi, tidak perlu menunggu detailnya, langsung coba kita memahami kewajiban-
kewajiban apa yang dilingkupi. Kalau nanti sudah ada yang sifatnya kewajiban publik, tinggal dilanjutkan
dan disesuaikan karena begitu diundangkan sebetulnya ketentuannya, kewajibannya, bahkan sanksi
pidananya sudah hidup. Jadi, langsung buat saja, tidak perlu menunggu detail.

Google pun tidak menunggu pemerintah Indonesia punya UU PDP. Dia sudah melakukan sesuai
dengan standar, adabnya melakukan bisnis di dunia digital. Jadi, tidak perlu menunggu, langsung
dijalankan anggap ini bukan beban. Dulu dianggap data pribadi itu punya nilai ekonomi, bukan seperti
itu, jadi data pribadi itu adalah hak. Anggap kita melindungi hak pribadi.

Saya mengapresiasi Hukumonline yang mengadakan pertemuan seperti ini. Semoga hak-hak kita
semua dapat terjaga dengan lebih baik lagi. Demikian, terima kasih.

Moderator :

Terima kasih banyak Pak Teguh dan Pak Narendra atas closing remarksnya. Dengan demikian,
saya izin menutup acara sesi pertama diskusi Hukumonline mengenai “Babak Baru dan Implementasi UU
Pelindungan Data Pribadi bagi Pelaku Usaha dan Masyarakat” di pagi hari ini. Saya selaku perwakilan
dari Hukumonline memohon maaf apabila ada kekurangan selama acara ini berlangsung. Sekali lagi,
terima kasih kepada kedua narasumber yang sudah memberikan pemaparan materi dan memberikan
penjelasan atas berbagai pertanyaan yang sudah disampaikan. Tentunya terima kasih juga kepada Bapak
Ibu peserta atas partisipasi aktifnya di pagi hari ini. Saya kembalikan acara ke MC.

MC :

Terima kasih moderator, Mba Christina Desy, dan juga para narasumber, Pak Teguh dan Pak
Narendra atas waktunya yang sudah memberikan paparan materi di sesi pertama ini. Kami dari
Hukumonline akan memberikan plakat kepada narasumber yang akan diserahkan langsung oleh Bapak
Jan Ramos Pandia selaku Chief Operating Officer Hukumonline.

(Pemberian Plakat kepada Kedua Narasumber dan Foto Bersama)

Terima kasih narasumber dan moderator beserta Pak Jan Ramos atas waktunya di sesi yang
pertama. Bapak Ibu sekalian, berakhir sudah sesi pertama diskusi hari ini, waktunya kita istirahat makan
siang. Bapak Ibu bisa menikmati makan siang yang sudah tersedia di luar, kita akan kembali melanjutkan
sesi kedua pada pukul 13.00. Terima kasih, Selamat Siang.

SESI II

MC :

Selamat Siang Bapak Ibu sekalian, Selamat Datang kembali pada Diskusi Hukumonline 2022
“Babak Baru dan Implementasi UU Pelindungan Data Pribadi bagi Pelaku Usaha dan Masyarakat”. Acara
ini bekerja sama dengan APPDI (Asosiasi Praktisi Pelindungan Data Indonesia). Saat ini kita masuk ke sesi
yang kedua yaitu Tantangan dan Manajemen Risiko Pasca Disahkannya UU Pelindungan Data Pribadi.
Untuk sesi kedua ini telah hadir dua narasumber kita yaitu Bapak Ferry Indrawan, S.H. selaku
Koordinator Perundang-undangan Direktorat Strategi Keamanan Siber dan Sandi, Deputi Bidang Strategi
dan Kebijakan Keamanan Siber dan Sandi BSSN, dan Bapak Danny Kobrata, S.H., LL. M selaku Pendiri dan
Pengurus Asosiasi Praktisi Pelindungan Data Indonesia (APPDI). Moderator untuk sesi kedua ini adalah
Bapak M. Reza Fajri selau Group Legal Counsel Hukumonline. Kami persilahkan moderator dan
narasumber untuk naik ke atas panggung.

Moderator : M. Reza Fajri

(Group Legal Counsel Hukumonline)

Assalamualaikum Warahmatullahi Wabarakatuh, Salam Sejahtera untuk kita semua. Terima

kasih Bapak Ibu rekan-rekan sekalian yang sampai siang hari ini masih bertahan disini untuk mengikuti
acara Diskusi Hukumonline tentang “Babak Baru dan Implementasi UU Pelindungan Data Pribadi bagi
Pelaku Usaha dan Masyarakat”.

Di sesi keduai ini, ada dua pembicara yang tidak kalah bombastisnya dari sesi yang pertama dan
mereka adalah ahli di bidangnya. Yang pertama adalah Bapak Ferry Indrawan, beliau adalah Koordinator
Perundang-undangan Direktorat Strategi Keamanan Siber dan Sandi, Deputi Bidang Strategi dan
Kebijakan Keamanan Siber dan Sandi BSSN (Badan Siber dan Sandi Negara), ini termasuk lembaga baru
yang dibentuk tahun 2017. Sebelum mendengarkan pemaparan Mas Ferry ada baiknya kita berkenalan
dulu dengan Mas Ferry.

Pak Ferry Indrawan menyelesaikan studi program dari Akademi Sandi Negara Fakultas Hukum.
Saat ini menjabat sebagai Koordinator Perundang-undangan Deputi I yang sebelumnya juga Plt Kepala
Biro Hukum dan Komunikasi Publik, juga sebelumnya beliau menjabat sebagai Koordinator Fungsi
Hukum dan Kerjasama BSSN. Pengalaman beliau diluar BSSN diantaranya menjadi anggota Desk Cyber
Kemenko Polhukam, KBRI di Manila Filipina, Konsulat Jenderal RI untuk Davao City Filipina, beliau juga
aktif menjadi dosen hukum dan etika sandi di BSSN dan turut serta dalam pembahasan dan penyususan
peraturan perundang-undangan termasuk UU PDP ini. Tanpa berlama-lama lagi, kami persilahkan waktu
dan tempat kepada Mas Ferry untuk menyampaikan paparannya.

Narasumber : Ferry Indrawan, S.H.

(Koordinator Perundang-undangan Direktorat Strategi Keamanan Siber dan

 Sandi, Deputi Bidang Strategi dan Kebijakan Keamanan Siber dan Sandi

BSSN)

Bismillahirrahmanirrahim, Assalamualaikum Warahmatullahi Wabarakatuh. Bapak dan Ibu

sekalian, kalau berbicara tentang materi muatan UU PDP saya yakin tadi pagi sudah dibahas. Mohon
maaf saya tidak bisa hadir dari pagi karena kebetulan ada kegiatan lain dan kebetulan di waktu yang
sama. Tadi pagi saya juga sedang membahas strategi keamanan siber, salah satu bentuk Perpres dimana
itu juga akan menjadi acuan sebagai perjalananan dan kewenangan atau tugas dan fungsi Badan Sandi
Negara yang sampai saat ini Alhamdulillah belum punya UU penguatnya.

Kalau saya ditanya harus melihat bagaimana pelaksanaan PDP dan bagaimana sikap dari BSSN,
maka terlepas dari saya ikut dalam pembahasannya, ada hal-hal yang menurut kami adalah hambatan
dan kendala pelaksanaan dari pasal-pasal atau pelaksanaan dari batang tubuh di UU PDP itu sendiri.
Mohon maaf kalau ada yang tidak sempat dibahas oleh saya karena saya memang bukan ahlinya. Kalau
kita lihat di Bab IV Hak Subjek Data Pribadi Pasal 5 sampai Pasal 15, hambatan dan kendala atas hak
tersebut adalah data pribadi yang dimiliki atau yang akan diatur dalam UU ini sudah tersebar dimana-
mana secara acak di beberapa pengendali data baik resmi maupun tidak resmi. Hal ini karena identitas
sebagai pengguna memiliki akun, kita aktif, tentunya sudah tersebar disana.

Data pribadi kita ada di Dukcapil sudah pasti, ada juga di dokter, ada juga di tempat pengisian
pulsa minimal nomor handphone. Jadi di tempat-tempat yang mungkin secara tidak sadar bahwa
sebetulnya data pribadi kita sudah tersebar. Kemungkinan besar data pribadi yang disimpan memiliki
kesamaan isi data pribadi. Contoh, Data Pribadi di Dukcapil sama persis dengan yang di Perbankan,
minimal data yang umum yaitu nama, alamat, nomor handphone, tempat tanggal lahir. Kesehatan di
BPJS ada, di rumah sakit ada. Kita punya kartu BPJS yang konon katanya kartu pintar tapi setiap kali
daftar BPJS pasti diminta foto copynya, padahal kartu itu ada datanya, tidak perlu foto copy.

Kemudian, hambatan selanjutnya adalah bagaimana pengaturan dengan data-data yang sudah
tersebar tersebut, bagaimana tata kelolanya agar subjek data merasakan dan memanfaatkan haknya.
UU PDP ini sudah disahkan bulan lalu, bagaimana kita bisa melaporkan untuk kita mendapatkan haknya
sedangkan tata kelolanya belum ada karena peraturan pelaksananya belum ada dan memang kita masih
menunggu selama 2 tahun.
 Kita masuk ke Bab V tentang Pemrosesan Data Pribadi Pasal 16 sampai Pasal 18. Saya mencatat
bahwa hambatan dan kendala atas pelaksanaan hak tersebut adalah saat pemrosesan data pribadi
sudah banyak yang dilakukan baik secara elektronik maupun non-elektronik, bahkan alat pemroses atau
pengolah data visual di tempat umum sudah banyak digunakan sehingga yang penting adalah kejelasan
penyesuaian dengan pengaturan di UU PDP, yang mohon maaf, lagi-lagi kebijakan/tata kelolanya masih
akan diatur dalam PP. Kita harus lebih sabar lagi menunggu untuk mendapatkan kejelasan bagaimana
hak itu bisa diperoleh.

Di Bab VI Kewajiban Pengendali DP dan Prosesor DP Pasal 16 sampai Pasal 5, hambatan dan
kendala yang saya temukan dalam melaksanakan kewajibannya adalah ada perubahan signifikan dalam
penanganannya dari yang lama ke baru sehingga pengaturannya atau adjustmentnya perlu penyelarasan
dan waktunya agak lama. Pertama, antara pengelolaan data pribadi yang dimiliki rumah sakit dengan
toko online tentu berbeda penerapannya. Jadi, bagaimana cara agar tata kelolanya sama sehingga
interoperabilitas dari penggunaan data itu bisa diperoleh. Jujur yang menyakitkan adalah setiap kali kita
mau mendaftarkan diri di beberapa layanan umum, selalu dimintakan KTP. Saya yakin kita capek setiap
kali memberikan KTP yang notabene katanya pelindungan data pribadi tapi ujungnya benarkah
pelindungan itu terlaksana.

Kita tersadarkan karena Bjorka. Maksud saya, ini harus disesuaikan dan harus ada kejelasan
antara satu penyelenggara sistem elektronik khususnya untuk pelayanan publik. Saya tidak mungkin bisa
memaksa layanan privat untuk menyamakan tapi at least tata kelolanya bagaimana melindungi harus
jelas, namun lagi-lagi harus menunggu peraturan yang belum terbentuk. Jangankan peraturannya,
lembaganya juga masih belum terbentuk. Konon katanya sedang disusun Perpresnya untuk
pembentukan Lembaga Penyelenggara PDP itu sendiri.

Harus diakui bahwa pengendali data yang sudah sangat banyak dari skala makro sampai mikro
butuh effort yang besar untuk menyamakan persepsi, bisnis proses pelaksanaan dan juga kewajibannya
sesuai UU PDP. Seperti yang disampaikan, UMKM juga diperhatikan tetapi permasalahannya adalah
kalau UMKM diberikan kewajiban yang sama dengan perusahaan besar, maka kasihan karena tentu
berat bagi mereka.

Bab VII Transfer Data Pribadi pasal 55 sampai Pasal 56, hambatan dan kendala yang kami temui
adalah kebijakan, tata kelola dan bisnis proses dari transfer data juga masih belum dibuat aturan
pelaksanaannya. Semua rata-rata masih belum dibuat, semua rata-rata masih menunggu. Yang paling
seru adalah masalah kelembagaan pasal 58 sampai pasal 60 karena kabarnya ini paling ditunggu oleh
setiap orang dan setiap institusi yang ada kepentingannya. Lembaga ini luar biasa nantinya karena
kuasanya melebihi Dukcapil yang hanya menyimpan saja data pribadi sedangkan lembaga ini mengawasi
transfer seperti apa, penyelenggaranya siapa saja, siapa prosesornya sampai ke pejabat pengelolanya
dia tahu semuanya. Harapannya lembaga ini bisa segera mewujudkan minimal satu hak dari subjek data
pribadi karena tujuan dari pembentukan UU adalah untuk memberikan hak-hak warga negara yang
diatur dalam UUD. Kita tunggu, mudah-mudahan tidak lama lagi karena konon kabarnya sekitar 3 bulan
akan diselesaikan Perpresnya, semoga selesai.

Yang paling keren lagi adalah partisipasi masyarakat Bab XI. Hambatannya adalah tidak semua
masyarakat menyetujui UU PDP, simpang siur pemberitaan dan penjelasan tentang UU PDP sehingga
tidak didapat gambaran utuh pengaturan PDP sehingga salah tafsir. Terkadang di pemerintahan pun,
saya berpikir bahwa UU PDP termasuk melindungi data non-data pribadi, contoh kasus Bjorka bukan
hanya subjek data tapi ada dokumen rahasia yang diluar pengaturan PDP, jadi bayangkan kami yang di
pemerintah tidak semua mengerti tentang PDP ini, lalu bagaimana dengan teman-teman diluar.
Kemudian juga posisi geografis Indonesia dan infrastruktur yang tidak sama. Tetangga saya di kampung
tahu berapa anak saya, istri saya kerja dimana, punya mobil 1 tapi kredit, jadi orang Indonesia memang
begitu, sudah tradisinya. Jadi, bagaimana mungkin data pribadi bisa terlindungi secara maksimal bahkan
hari ini saya pasrah dengan Hukumonline karena data saya sudah diberikan. Oleh karena itu, namanya
UU Pelindungan Data Pribadi, bukan rahasia data pribadi karena apa yang mau dirahasiakan sedangkan
data pribadi kita murah karena mudah dicarinya.

Bab XII mengenai Penyelesaian Sengketa dan Hukum Acara, Bab XIII mengenai Larangan dalam
Penggunaan Data Pribadi. Akar budaya kita cenderung mengenyampingkan pelindungan terhadap data
pribadi sehingga mau tidak mau ini usaha yang sangat keras dari kita semua yaitu bagaimana
meyakinkan bahwa ada yang harus dilindungi dari data pribadi yang dimiliki dan batasannya sampai
seperti apa. Kalau tidak ada penjelasan soal itu maka akan berat, akibatnya sedikit-sedikit lapor. Jadi,
perlu pengenalan hal-hal terkait larangan, penyelesaian sengketa, dan pemidanaan kepada semua pihak
sehingga tidak terjadi kesalahan penerapan pelaksanaan khususnya bagi APH dan lembaga nanti.

Jujur saja saat pembahasan, APH agak takut karena dengan pengalaman buruk yang
menyebabkan APH menjadi bulan-bulanan karena dikit-dikit menangkap sehingga kesannya seolah-olah
dikriminalisasi padahal mau tidak mau APH harus menjalankan amanat UU, kalau tidak menjalankan
justru salah. Oleh karena itu, kalau tidak salah ada Surat Keputusan Kapolri tentang bagaimana
penanganan tindak pidana di UU ITE ini. Itu yang bisa sedikit mereda sehingga setiap saat langsung
dilakukan sesuatu terhadap pelakunya.

Kemudian, butuh penyelerasan terhadap semua peraturan perundang-undangan dari semua

sektor terkait pengaturan penyelenggaraan data pribadi yang sudah ada agar sesuai dengan UU PDP
dimana batas waktunya adalah hanya 2 tahun. Bapak Ibu, UU PDP disusun dari tahun 2017, waktu itu
saya bahagia sekali diundang, tapi keduanya tidak diundang lagi kemudian begitu pembahasan baru
diundang lagi. Bukan rahasia umum bahwa antar pemerintah juga terkadang saling tumpang tindih
kewenangan tapi apa boleh buat karena masing-masing merasa melaksanakan tugas dan
kewenangannya. Saya pribadi, lebih baik banyak orang yang mengurus daripada tidak ada yang
mengurus sama sekali, jadi sudah baik negara hadir disana.

Saya coba gambarkan masalah hambatan dan kendala. Saya akan melihat dari soal
kelembagaan, yang memang belum ada dan kita berharap lembaga ini segera dibentuk dalam bentuk
Perpres. Soal tata kelola, belum ada tata kelola, nanti akan dibentuk dalam peraturan pemerintah.
Harapannya setelah Perpres terbentuk, arah kebijakan yang dibuat oleh lembaga segera dibentuk. Soal
pengendali dan prosesor, yang tidak terintegrasi, data pribadi yang tidak terintegrasi perlu penguatan
sistem elektronik berdasarkan peraturan perundang-undangan. Harapannya bahwa integrasi mulai
dipikirkan bukan hanya oleh PSE publik tapi privat juga, tentu ini bukan hal yang mudah. Kemudian,
perlu adanya sosialisasi terhadap seluruh komponen masyarakat sehingga UU PDP bisa segera dinikmati
oleh penunggu hak yang ingin dilindungi.

Bapak dan Ibu sekalian, pada saat UU PDP disahkan, banyak yang bertanya bagaimana tugas
BSSN, apa yang dilakukan. Mohon maaf, sebetulnya kalau dilihat PDP itu tidak ada secara spesifik
menyebutkan dia membutuhkan pelindungan tersendiri tentang sistem elektroniknya. Sistem
elektroniknya akan tunduk dengan UU ITE, jadi UU PDP ini saling terkait dengan pengaturan UU yang
lain, tidak meniadakan UU yang lain. Untuk keamanan sistem informasi ada di Pasal 15 UU ITE
sedangkan yang dibahas dalam PDP hanya bagaimana menjaga keamanan data, bagaimana selama
pemrosesan data itu aman, bagaimana saat transfer data itu aman. Sekali lagi, yang baru bukan
bagaimana menyelamatkan sistem elektronik atau sistem informasinya tapi bagaimana menyelamatkan
datanya sendiri, bagaimana menyelamatkan data yang ada di prosesor dan bagaimana transfer di dalam
& luar negeri secara aman. Jadi, banyak penggunaan di PDP dari fungsi persandian karena untuk
keamanan sistem informasinya akan mengacu pada UU ITE dan kebetulan itu merupakan fungsi dari
BSSN.

Selanjutnya, BSSN mempunyai tugas melaksanakan tugas pemerintahan di bidang keamanan

siber dan sandi untuk membantu Presiden dalam menyelenggarakan pemerintahan. Fungsi BSSN ada di
Pasal 3, antara lain perumusan dan penetapan kebijakan teknis di bidang keamanan siber dan sandi;
penyusunan norma, standar, prosedur, dan kriteria di bidang persandian, dan lain-lain. Inilah yang
menjadi dasar kami merasa terpanggil dengan munculnya UU PDP. Mungkin Bapak Ibu ingat sebelum
kasus Bjorka, satgas PDP dibentuk dan konon masih berjalan satgas itu dan BSSN masuk disitu. Mungkin
satgas ini dianggap sebagai transisi sambil menguatkan pada saat lembaga PDP nanti terbentuk, tapi itu
pendapat pribadi saya.

Pengaturan di UU PDP Pasal 13 tentang adanya suatu standar keamanan komunikasi untuk
mengirimkan data pribadi. BSSN wajib membuat karena yang membuat segala sesuatu keamanan di
bidang elektonik jatuh pada tanggung jawab BSSN. Saya dengan teman-teman mengkaji apakah perlu
menggunakan pertahanan dan keamanan yang merupakan rezim lama? tetapi, selama ini belum pernah
ada yang mengatur standar pertahanan dan keamanan seperti apa. Kita akan coba sesedikit mungkin
menggunakan alasan ini sehingga pelaksanaan dari UU PDP tercapai tujuannya.

Pada saat pemrosesan data pribadi, lagi-lagi BSSN harus membuat standar keamanan tentang
pelindungan data pribadi bukan hanya di sistem elektroniknya. Jadi, algoritma apa yang digunakan
untuk melindungi data pribadi tersebut, namun di sektor privat UMKM juga harus kita pikirkan sehingga
tidak mungkin menerapkan algoritma yang terlalu tinggi. Kemudian Pasal 22 tentang pemrosesan data
pribadi disampaikan secara elektronik. BSrE (Balai Sertifikasi Elektronik) adalah salah satu penyelenggara
sertifikat elektronik di pemerintah untuk pemerintahan juga, untuksisi publik. Saya katakan, BSrE harus
ada karena ada penyampaian secara elektronik, dan pembuktian data secara elektronik hanya bisa
menggunakan sertifikat data elektronik, bukan tanda tangan yang di scan kemudian ditempelkan.

Di Pasal 25 dan Pasal 26, pemrosesan data untuk anak dan juga data untuk kaum disabilitas
diselenggarakan secara khusus. Lagi-lagi PR untuk BSSN apakah kami juga menerapkan yang khusus juga
atau sama dengan yang lainnya untuk pengamanannya. Mau tidak mau, kita pikirkan itu juga. Kemudian,
pada saat penilaian dampak pelindungan data pribadi, kami juga harus memberikan masukan pada saat
penyusunan PP-nya tentang potensi risiko tinggi tersebut. Di Pasal 35, 36, 38, 39 menyebabkan kami
harus membuat peraturan perundang-undangan terkait dengan pengamanan sistem keamanan sistem
elektronik yang andal, aman, dan bertanggung jawab untuk data pribadi. Sebetulnya saat ini secara
minimal, kami sudah ada satu Perban 8 tahun 2020 tentang Sistem Pengamanan dalam
Penyelenggaraan Sistem Elektronik.

Perban 8/2020 dibuat untuk seluruh penyelenggara sistem elektronik baik publik maupun
private, namun mohon maaf ada sanksi administrasi. Tetapi, sanksi mau tidak mau, suka tidak suka
harus dilaksanakan agar kita mendapatkan keyakinan bahwa sistem elektronik yang dimiliki atau
diselenggarakan itu aman. Saat ini sedang mau direvisi karena kami melihat ada beberapa hal yang
harus di adjust dengan keadaan saat ini. Penyelenggara sistem yang pemerintahan, kita mengacu pada
Perpres 95/2018 dan juga Perban 4/2001 tentang pedoman manajemen keamanan informasi. Jadi,
untuk layanan publik, kami pastikan untuk menggunakan ini, kalau untuk layanan privat kami sarankan
melihat Perban 8.

Jujur, kami masih dalam kerangka menyusun standar tentang keamanan sistem elektronik yang
ada di Indonesia. Mudah-mudahan siapa tahu kita juga punya standar kita sendiri dan berlaku secara
internasional. Memang ISO bagus tapi lebih bagus lagi kalau Indonesia punya sehingga yang jadi keluhan
dari penyelenggara sistem elektronik bisa dijembatani. Standar itu sudah dikenalkan ke beberapa
tempat, namun sayangnya masih berdasarkan keputusan Kepala BSSN dan saat ini kami sedang
mencoba menaikkan itu menjadi peraturan badan sehingga dapat dipakai oleh yang lain.

Hal lainnya adalah petugas atau pejabat data pribadi. Harapannya kami bisa memberi masukan
kepada lembaga yang terbentuk nanti. Terakhir adalah Keputusan Kepala Lembaga No. 136.3 Tahun
2020 tentang Penetapan Penggunaan Penilaian Mandiri Keamanan Informasi untuk Usaha Kecil
Menengah. Ini sebagai salah satu jawaban kami terkait syarat minimal PDP dijalankan.

Kesimpulannya adalah bahwa sejak ditetapkannya UU PDP maka seluruh komponen bangsa
wajib melaksanakan apa yang harus dilakukan sesuai dengan yang diamanatkan; bahwa bentuk
pelindungan adalah dengan melakukan keamanan secara komprehensif, salah satunya adalah keamanan
sistem elektroink data pribadi; bahwa UU PDP hanya memberikan wewenang atribusi kepada lembaga
penyelenggara PDP, BSSN berkontribusi sesuai dengan Tusi dan kewenangan yang dimiliki. BSSN
menjalankan Tusi dan kewenangannya di bidang keamanan siber dan sandi, baik dari kebijakan, sumber
daya manusia dan juga teknologi yang akan dan digunakan untuk melakukan pelindungan terhadap data
pribadi.
 Bapak dan Ibu, Beliau adalah Mayjen TNI Dr. Roebiono Kertopati, Bapak Persandian. Yang lucu
adalah jika melihat beliau secara langsung ada di beberapa tempat tapi beliau ada di RS Gatot Subroto
Paviliun Roebiono Kertopati karena pada dasarnya beliau adalah dokter kepresidenan sampai jaman Pak
Harto, tapi beliau juga terkenal di dunia sebagai ahli kunci karena kemampuan beliau untuk membuka
brangkas secara manual dalam hitungan dibawah 30 detik. Satu katanya yang selalu kami gunakan hari
ini adalah kekhilafan satu orang saja sudah cukup menyebabkan keruntuhan negara. Beliau
mencatatnya tahun 46, sampai sekarang ternyata masih relate dengan apa yang ada.

Sekali lagi, security never complete without your participation. Terima kasih. Mohon maaf jika
banyak salah yang saya buat. Wassalamualaikum Warahmatullahi Wabarakatuh.

Moderator :

Terima kasih kepada Mas Ferry atas pemaparannya. Kita banyak mendapatkan informasi dan
kita mengetahui bagaimana kewenangan teknis dari BSSN dan ternyata banyak mendapatkan atribut
kewenangan dari Direktorat Kominfo di bagian Keamanan Informasi yang sekarang dialihkan
sepenuhnya kepada BSSN dan juga kita mendapatkan informasi tambahan yang sangat berguna bahwa
ternyata UU PDP masih relate dengan UU ITE karena UU PDP mengatur masalah pelindungannya tapi
sistem informasi sendiri masih merujuk ke UU ITE.

Pembicara kedua kita sudah siap berbicara banyak hal tapi karena melihat banyak sekali peserta
yang sudah agak menguap, jadi kita berikan waktu untuk coffee break selama 20 menit untuk kemudian
kita dengarkan pemaparan dari Mas Danny Kobrata selaku Pendiri dan Pengurus Asosiasi Praktisi
Pelindungan Data Indonesia (APPDI). Terima kasih. Silahkan menikmati coffee breaknya.

(COFFEE BREAK)

Assalamualaikum Warahmatullahi Wabarakatuh, Selamat Siang. Kembali lagi pada sesi II dalam
Diskusi “Babak Baru dan Implementasi UU PDP bagi Pelaku Usaha dan Masyarakat”. Last but not least,
sudah ada Mas Danny Kobrata selaku Pendiri dan Pengurus Asosiasi Praktisi Pelindungan Data Indonesia
(APPDI). Izin untuk membacakan background beliau terlebih dahulu.
 Mas Danny Kobrata merupakan salah satu pendiri dari APPDI, beliau juga merupakan Partner
dari K&K Advocates yang fokus di bidang corporate dan teknologi. Mas Danny berpengalaman dalam
melayani klien di bidang merger akuisisi, pendanaan proyek, pendirian perusahaan, joint venture
agreement dan hal-hal mengenai corporate secretariat. Pengalamannya juga luas di bidang TMT
mencakup hukum privasi, e-commerce, periklanan, dan telekomunikasi. Mas Danny telah terlibat di
dalam perumusan berbagai macam peraturan perundang-undangan di bidang IT di Indonesia dan saat
ini juga menjadi dosen di salah satu perguruan tinggi swasta terkemuka di Indonesia. Tanpa berlama-
lama lagi kita berikan tempat dan waktu untuk Mas Danny menyampaikan pemaparannya, silahkan.

Narasumber : Danny Kobrata, S.H., LL. M.

(Pendiri dan Pengurus Asosiasi Praktisi Pelindungan Data Indonesia (APPDI))

Selamat Siang semuanya rekan-rekan peserta dari Diskusi Hukumonline hari ini. Tadi mungkin
rekan-rekan semua sudah mendengar pemaparan tentang UU Pelindungan Data Pribadi, saya yakin
sudah banyak insight baru yang rekan-rekan peroleh dari tadi pagi. Hari ini yang akan saya bahas adalah
sisi implikasinya bagi dunia usaha.

Sekarang kita sudah punya UU PDP, apa yang harus kita lakukan? Sampai sejauh mana
perusahaan-perusahaan tahu mengenai UU ini? perusahaan-perusahaan besar di Jakarta ketika UU ini
ada masih tidak tahu harus melakukan apa, apa data pribadi itu, apa yang harus kita lihat, apalagi
mungkin perusahaan-perusahaan yang bukan di Jakarta. Apakah mereka juga akan mengerti atau
comply? Saya kira itu PR kita bersama baik pemerintah dan juga kami dari asosiasi untuk melakukan
sosialisasi.

Saya sendiri hari ini berbicara mewakili Asosiasi Praktisi Pelindungan Data Pribadi (APPD). Perlu
saya jelaskan juga bahwa sekarang di Indonesia ada satu lagi APPDI, mungkin sebagian rekan-rekan
tahu. Tetapi itu dua asosiasi yang berbeda, lambangnya berbeda dengan kita, lambang mereka ada
kuningnya sedikit, jadi mungkin hanya namanya saja yang sama. Itu bukan kita karena APPDI kita sampai
sekarang belum pernah mengadakan training atau menyebut suatu program sertifikasi. Jadi, sekarang
apa yang banyak kami lakukan di APPDI baik pengurus dan anggota adalah melakukan sosialisasi seperti
yang kita lakukan sekarang, berkomunikasi dengan regulator, Kominfo, untuk memberikan masukan-
masukan. Sampai saat ini belum ada training dan ini penting untuk disampaikan supaya rekan-rekan
tidak bingung.

Kembali ke topik, saya akan membahas beberapa aturan di UU PDP yang menurut saya perlu
untuk perusahaan-perusahaan ketahui dan apa implikasinya, apa yang harus perusahaan lakukan
terhadap aturan-aturan baru itu. Sebelumnya, saya yakin tadi sudah disampaikan bahwa sekarang UU
PDP menjadi semacam Omnibus Law-nya, sebagai aturan payung untuk segala aturan-aturan
pelindungan data pribadi yang ada. Sebelumnya, aturan pelindungan data pribadi di Indonesia terpisah-
pisah di sektor perbankan, telekomunikasi, kesehatan, dan lain-lain. Jadi, sekarang dengan adanya UU
PDP, di sektor manapun perusahaan anda bergerak, harus tunduk dengan UU PDP. Sebenarnya, UU PDP
cukup heboh ketika disahkan sebulan yang lalu, salah satunya karena efeknya bisa sampai ke siapapun
atau ke perusahaan yang bergerak di sektor apapun bahkan mungkin kantor hukum saya pun harus
comply dengan aturan PDP. Efeknya memang besar.

Ada beberapa konsep-konsep baru yang diperkenalkan dari UU PDP. Indonesia walaupun UU
PDP ini pertama kali tapi aturan terkait data pribadi bukanlah yang pertama kali. Mungkin sebagian
rekan-rekan tahu ada Permenkominfo 20/2016 tentang pelindungan data pribadi sistem elektronik, dan
lain-lain. UU PDP ini memperkenalkan konsep-konsep baru yang tidak ada di aturan sebelumnya.

Pertama mengenai pengendali data pribadi dan prosesor data pribadi. Ini konsep baru di UU
PDP, jadi sekarang dibedakan fungsi ataupun tugas perusahaan sebagai pengendali dan tugas
perusahaan ketika bertindak sebagai prosesor. Sebelumnya, konsep seperti ini tidak ada, yang kita kenal
hanya PSE (penyelenggara sistem elektronik), jadi selama memproses data pribadi melalui sistem
elektronik maka dianggap PSE dan tanggung jawabnya sama. Tetapi, sekarang dengan adanya
pembedaan ini di UU PDP, artinya tanggung jawab masing-masing pihak menjadi berbeda. Pengendali
atau controller punya tanggung jawab yang besar karena semua kewajiban-kewajiban yang ada di dalam
UU PDP melekat pada pengendali, sedangkan hubungan antara prosesor dan pengendali sifatnya hanya
kontraktual sehingga tanggung jawab dari prosesor adalah tanggung jawab kontraktual dengan
pengendali.

Pengendali adalah perusahaan yang menentukan tujuan dari pemrosesan data, contohnya PT A
yang menentukan tujuan dari penggunaan data karyawannya, apakah mau digunakan untuk
performance review atau untuk memproses salary atau untuk memproses HR, dan lain-lain. Jadi,
tujuannya ditentukan perusahaan sehingga dia menjadi controller. Ketika PT A menunjuk pihak lain
misalnya IT vendor untuk membantu memproses data pribadi, maka vendor ini disebut sebagai prosesor
karena dia hanya melakukan pemrosesan sesuai dengan instruksi yang diberikan oleh pengendali.
Contohnya, perusahaan penyedia jasa payroll yang hanya memberikan layanan berdasarkan perintah.
Kalau terjadi pelanggaran terhadap UU PDP, siapa yang bertanggung jawab?

Misalnya PT A menunjuk vendor lalu terjadi kebocoran di vendor, siapa yang bertanggung
jawab? secara teori yang bertanggung jawab adalah pengendali karena memang kewajiban pengendali
lebih besar dibandingkan prosesor, tapi bagaimana dengan prosesor? Tanggung jawabnya secara
kontraktual kepada pengendali, artinya harus melihat lagi kontrak yang mereka tandatangani dengan
vendor yang memproses data pribadi mereka. Misalnya, bagaimana klausul tanggung jawabnya. Kalau
datanya bocor, apa yang bisa dilakukan terhadap mereka secara kontraktual, kewajiban-kewajiban apa
saja yang harus dilakukan vendor sehingga tidak terjadi pelanggaran. Ini penting karena ketika
memberikan data kita ke vendor, artinya kita expect vendor menerapkan pelindungan yang sama
dengna yang kita berikan. Jangan sampai pengendali susah payah menjaga data pribadi tetapi
vendornya sembarangan sehingga kita yang bisa kena liabilitynya.

➢ Dasar Pemrosesan Data Pribadi

Yang menarik berikutnya adalah cara pengumpulan atau pemrosesan data pribadi. Selama ini, di
Permenkominfo 20/2016, satu-satunya dasar pemrosesan adalah consent atau persetujuan sehingga
banyak yang menganggap bahwa kalau mau mengumpulkan data pribadi atau memprosesnya harus
dengan consent, segala sesuatu harus consent. Banyak keluhan dari dunia usaha karena dianggap
consent tidak efisien atau practical jika setiap saat selalu meminta consent. Mungkin dari sisi data subjek
pun tidak nyaman kalau setiap bergerak harus dimintakan consent, mereka jadi bertambah sibuk untuk
tanda tangan.

UU PDP memberikan fleksibilitas, artinya consent bukan satu-satunya lagi dasar untuk
memproses data pribadi. Perusahaan tidak harus selalu meminta consent jika ingin memproses data
pribadi. Ada dasar-dasar pemrosesan lain, misalnya kontrak/perjanjian untuk pemenuhan kewajiban
berdasarkan perjanjian. Kalau saya pesan Gojek untuk mengantar makanan saya, abang Gojek pasti
punya nama, alamat, nomor handphone dan tidak mungkin mereka meminta consent, jadi mereka bisa
pakai dasar kontrak, artinya hubungan saya dengan abang Gojek adalah hubungan kontrak, jadi abang
Gojek punya kewajiban mengantarkan makanannya ke saya dan saya punya kewajiban untuk
membayar. Dengan dasar itu, maka tidak perlu consent.
 Sama halnya untuk perusahaan membayar salary karyawan. Karyawan sudah bekerja dan butuh
dibayar, ketika mereka memproses data pembayaran seperti nama dan nomor rekening, maka tidak
perlu consent karena itu kontraktual. Kalau data itu tidak ada maka kita tidak bisa melakukan kewajiban
kontraktual kita. Jadi, dasar itu bisa digunakan untuk memproses data pribadi.

Ada juga legitimate interest, ini sangat luas sekali, bisa mencakup apapun. Intinya, selama
perusahaan bisa menunjukkan bahwa dia punya kepentingan yang sah untuk memproses data pribadi.
Kepentingan yang sah bisa apapun, misalnya mau memproses data untuk riset, tidak selalu perlu
consent karena bisa saja masuk legitimate interest (kepentingan yang sah). Tapi, tentu saja sebelum kita
bisa menggunakan dasar kepentingan yang sah, kita harus melakukan assessment dulu. Saya harap ini
akan diatur lebih rinci lagi di peraturan turunannya.

Kalau legal obligation adalah kewajiban hukum dari perusahaan, misalnya untuk memproses
data BPJS atau data perpajakan. Itu merupakan kewajiban hukum dari perusahaan jadi mereka tidak
perlu meminta consent karena kalau data itu tidak diproses justru perusahaan akan melanggar hukum.
Ada juga public task atau kepentingan umum/layanan publik, ini biasanya melekat pada pemerintahan
dalam rangka memberikan layanan publik. Terakhir adalah vital interest, ini menyangkut keselamatan
seseorang, misalnya orang kecelakaan di jalan dan harus segera dirawat di rumah sakit, jadi di IGD tidak
mungkin tanya dulu consentnya untuk memproses. Dalam hal seperti itu diperbolehkan untuk
memproses data tanpa consent.

Sekarang kita tahu didalam UU PDP ada dasar pemrosesan lain selain consent. Perusahaan
sekarang harus melihat apakah pemrosesan yang dilakukan oleh perusahaan saat ini sudah sesuai
dengan dasar-dasar pemrosesan tadi atau dasar pemrosesan apa yang cocok untuk memproses data
pribadi di perusahaan. Hal itu sudah harus ditentukan karena tidak harus consent lagi. Misalnya, ketika
memproses data karyawan, mungkin ada tujuan tertentu pakai dasar ini tapi tujuan lagi pakai dasar itu,
itu harus ditentukan oleh perusahaan.

Yang paling penting adalah kita harus transparan kepada pemilik data. Pemilik data bukan hanya
konsumen tapi juga karyawan. Kita harus menginformasikan apa saja yang akan kita lakukan kepada
data pribadi mereka atau data pribadi apa saja yang kita kumpulkan dari mereka. Ketika melihat privacy
policy perusahaan-perusahaan luar yang sudah comply dengan GDPR, informasi itu ada di nomor satu,
misalnya kami mengumpulkan data apa saja dan tujuannya apa, semuanya ada dan itu sesuatu yang
harus kita implementasikan juga disini supaya jelas dan pemilik tahu data pribadi apa saja yang diambil
dan tujuannya. Kalau kita memproses data pribadi diluar yang disampaikan maka pemrosesan untuk
tujuan tersebut bisa dianggap tidak sah sehingga melanggar UU PDP. Jadi memang UU PDP tujuannya
untuk membuat pemrosesan data pribadi fair. Kita mengatur bagaimana flow information, pada siapa
data itu diberikan, untuk apa data itu dan tahu apa yang terjadi pada data tersebut.

➢ Hak-Hak Subjek Data

Saya kira sudah disampaikan juga tadi. Ada 8 hak kurang lebih yang utama yang bisa dirangkum
disini. Ada hak akses, artinya pemilik data pribadi bisa mengakses data yang diberikan oleh perusahaan.
Misalnya ada konsumen dari PT A yang ingin tahu memproses data apa saja terhadap konsumen, dia
bisa minta itu dan PT A harus memberikan akses itu. Kalau di Facebook, kita bisa meminta data kita
untuk tahu Facebook menyimpan data apa saja. Kalau memang permintaannya sangat sulit dilakukan
maka dimungkinkan untuk mengenakan biaya kepada pemilik data pribadi. Namun, sepanjang tidak
diperlukan maka hak akses itu tidak boleh dikenakan biaya.

Ada juga hak atas informasi yang berangkat dari prinsip transparansi. Jadi pemilik data pribadi
harus tahu dan mengerti apa saja datanya, dilakukan untuk apa, akan ditransfer ke siapa saja, digunakan
untuk tujuan apa saja, dan lain-lain. Ada hak atas perbaikan, yaitu hak untuk memperbaiki dan update
data, jadi kalau misalnya data yang disimpan sekitar 3 tahun lalu statusnya masih belum menikah,
sekarang sudah menikah, bisa untuk minta di update. Biasanya data yang bisa punya impact terhadap
pemilik data pribadi seperti data terkait pendapatan seseorang untuk mendapat fasilitas pinjaman, kita
bisa minta untuk di update.

Kemudian hak atas penghapusan data, kalau di luar negeri dikenal the right to be forgotten yaitu
hak untuk dilupakan. Kalau misalnya kita tidak mau lagi data kita ada di perusahaan itu, kita bisa
meminta perusahaan itu untuk menghapusnya. Right to be forgotten ini lebih ke search engine, misalnya
tidak mau nama rekan-rekan ada di Google ketika searh, bisa minta di delisting dengan menggunakan
dasar right to be forgotten. Dalam praktiknya, mungkin konsumen yang sudah tidak disitu lagi, tapi
datanya masih dipegang perusahaan, kita bisa meminta perusahaan itu untuk menghapusnya.

Ada hak untuk membatasi pemrosesan, misalnya untuk membatasi kegiatan tertentu. Ada hak
mengajukan keberatan, berlaku terhadap direct marketing dan ini sering kita dapatkan. Kalau tiba-tiba
ada yang telepon menawarkan asuransi, dengan UU PDP ini kita bisa meminta mereka untuk stop dan
mereka harus berhenti. Ada juga hak memindahkan data, hak keberatan atas pemrosesan data &
profiling. Apa arti hak-hak ini kepada perusahaan? artinya hak-hak tersebut adalah kewajiban dari
perusahaan sehingga perusahaan harus menjamin pemilik data pribadi ingin melaksanakan hak-haknya
maka perusahaan harus bisa memenuhinya.

Perusahaan harus mulai memikirkan bagaimana mereka bisa membuat sistem yang
memungkinkan pemilik data pribadi baik karyawan maupun konsumen, bisa melaksanakan hak-haknya.
Perusahaan harus memikirkan SOP atau mekanismenya terkait flow datanya sejak ketika data itu
diterima dari pemilik data pribadi sampai penghapusan. Dalam beberapa hak tertentu ada deadlinenya,
misalnya ketika pemilik data meminta penghapusan data maka dalam waktu 3x24 jam harus sudah
dilaksanakan. UU PDP ini bukan hanya tugas legal dari perusahaan, kita butuh kerja sama dengan
departemen dari divisi manapun yang terkait dengan pemrosesan data pribadi. Apalagi terkait dengan
flow data pribadi, kita mungkin butuh tim IT atau tim HR. Itu semua harus mulai dipikirkan oleh
perusahaan.

➢ Praktik Data Sharing

Kalau data sharing dalam negeri cenderung tidak ada tambahan restriction, jadi fokus kali ini
adalah kalau share ke luar negeri. Ini relevan bagi perusahaan yang sering transfer data keluar negeri
atau seperti MNC yang punya induk perusahaan di luar negeri. UU PDP sekarang mengatur syarat-syarat
yang harus dipenuhi untuk bisa transfer data ke luar negeri.

Pertama, kita harus memastikan bahwa negara yang menerima data tersebut memiliki tingkat
perlindungan yang sama. Bagaimana cara kita tahu tingkat perlindungan negara itu sama atau tidak? ini
belum jelas, tapi kalau di luar negeri mereka punya regulator yang melakukan pengecekan ke negara-
negara dan mereka masukkan ke whitelist nya yaitu list negara yang dianggap memiliki pelindungan
yang setara. Tetapi, di Indonesia belum ada, tapi menurut saya, kita tidak bisa rely pada syarat pertama
ini karena belum ada negaranya siapa, tapi saya tidak tahu view regulator bagaimana.

Kedua, ada instrument mengikat antara pengirim dan penerima data pribadi. Maksudnya seperti
kontrak atau kalau di luar negeri ada yang namanya corporate binding rules, misalnya satu grup
perusahan, mereka punya CBR yang mengikat seluruh perusahaan. Jadi, kita bisa pakai kontrak yang
tujuannya supaya kita bisa memaksa pihak yang menerima data secara kontraktual mengikuti standar
perlindungan yang kita terapkan di perusahaan kita. Kalau misalnya mereka tidak mengikuti kontrak itu
maka kita bisa mengajukan wanprestasi kepada mereka. Ketiga, ada persetujuan dari subjek data. Jadi,
kalau pemilik data pribadi memberikan persetujuan baru kita boleh transfer datanya keluar negeri.
Dalam praktiknya, yang paling sering dilakukan adalah melalui kontrak karena itu yang paling mudah.
Jadi, sebelum mengirimkan data pribadi ke luar negeri, kita harus enter into contract dengan penerima
data. Nanti diatur mengenai kewajiban, tanggung jawab, apa yang harus dilakukan, dan lain-lain.

➢ Data Protection Officer (DPO)

UU PDP melahirkan profesi baru yang disebut sebagai data protection officer (DPO) atau Pejabat
Pelindungan Data Pribadi (PPDP). Bagi perusahaan-perusahaan kriteria tertentu, mereka harus
menunjuk DPO. Kriterianya yaitu pemrosesan untuk pelayanan publik; pemrosesan yang memerlukan
pemantauan secara teratur dan dalam skala besar; dan pemrosesan data spesifik dan terkait dengan
tindak pidana.

Yang masih membingungkan adalah apa yang dimaksud pemrosesan untuk layanan publik.
Harapannya nanti regulator bisa memberikan guideline atau klarifikasi maksudnya, apakah hanya
lembaga pemerintahan yang memberikan layanan publik? Apakah swasta juga perlu punya DPO? Kalau
kita lihat, di UU sifatnya kumulatif “dan”, bukan alternatif. Kalau di GDPR itu alternatif, artinya kalau
memenuhi salah satu saja maka sudah harus menunjuk DPO sedangkan di UU PDP Ini kumulatif, artinya
semuanya harus dipenuhi.

Syarat DPO adalah professional, memiliki pengetahuan hukum, dan pengetahuan mengenai
praktik pelindungan data pribadi. Walaupun dikatakan harus memiliki pengetahuan hukum dan praktik
pelindungan data pribadi, DPO tidak harus orang yang berlatar belakang hukum. Kalau di luar negeri,
DPO bisa dari mana saja seperti dari IT atau manajemen. Tugas DPO adalah memberikan saran;
melakukan compliance supaya perusahaan comply (memastikan kepatuhan); melakukan DPIA dan
bertindak sebagai contact person jika ada pemilik data pribadi yang ingin melaksanakan hak-haknya.

Apakah DPO harus sertifikasi? Kita belum tahu tapi kalau di banyak negara, DPO tidak perlu
sertifikasi, jadi sertifikasi sifatnya hanya menambahkan kredibilitas saja. Ada juga di beberapa negara
yang memang mewajibkan dan sampai saat ini tentu saja karena peraturannya masih belum ada maka
belum ada sertifikasi terkait dengan DPO, yang ada mungkin pelatihan-pelatihan terkait DPO.
 ➢ Sanksi

Mungkin banyak yang lebih fokus pada denda administratif yaitu sampai dengan 2% dari global
revenue. Kalau perusahaan yang besar, 2% dari global revenue, tapi ini maksimum, bisa juga dibawah
dari 2%. Sekarang, pemerintah sedang menyiapkan peraturan yang memungkinkan Kominfo untuk
memberikan sanks administratif. Nanti kalau tidak salah pakai poin, kalau melanggar apa nanti poinnya
sekian, dikalikan berapa rupiah, itulah yang harus dibayar. Kalau ada kebocoran data, antara jumlah
yang ribuan dengan jutaan orang akan berbeda poinnya. Itu nanti ada di peraturannya.

Sanksi pidana juga sangat dikhawatirkan. Wartawan juga khawatir karena bisa jadi UU ITE jilid II
walaupun kita tahu mungkin tujuannya untuk perbuatan-perbuatan pidana. Misalnya orang yang suka
mengambil data dari internet secara melawan hukum lalu dijual atau spill data orang tertentu di
sosmed, mungkin itu bisa dianggap pidana sekarang karena pengungkapan tidak sah. Namun,
interpretasinya bisa sangat luas ketika bicara pengungkapan yang tidak sah. Apakah ketika perusahaan
mengalami kebocoran data pribadi bisa dianggap sebagai pengungkapan yang tidak sah? bisa saja. Jadi,
sanksi pidana ini bisa mengkriminalisasi juga kalau tidak ada batasan yang jelas. Jadi ada pidana denda
dan pidana penjara, tapi kalau untuk korporasi hanya ada pidana denda.

➢ Program Kepatuhan

Tentu saja dengan adanya UU PDP, kita sekarang punya waktu 2 tahun untuk menyesuaikan,
artinya kita sekarang sudah harus mulai mempersiapkan diri. Kita harus membentuk tim di perusahaan
yang mungkint terdiri dari orang-orang yang terlibat dalam pemrosesan data pribadi. Kalau memang
harus menunjuk DPO maka tunjuklah walaupun DPO itu bukan merupakan kewajiban karena pada
nyatanya di Indonesia sekarang sudah banyak perusahaan yang hire DPO. Praktik ke depannya, kita akan
punya banyak DPO dan kebutuhan akan DPO akan meningkat dalam waktu beberapa tahun ke depan.
Ini merupakan opportunity juga bagi yang mungkin tertarik dengan isu-isu pelindungan data pribadi.

Setelah membentuk tim, menunjuk DPO, kalau perlu bekerja sama dengan external counsel baik
lawfirm atau penyedia jasa konsultan lainnya untuk membantu perusahaan dalam mengembangkan
atau melakukan compliance program. Setelah itu, melakukan pemetaan yaitu bagaimana proses data
pribadi di perusahaan, jadi dari mana perusahaan memperoleh data pribadi, siapa saja yang boleh
mengakses data pribadi, dikirim ke mana data pribadi. Kita melakukan pemetaan atau flow data pribadi
sehingga kita bisa tahu apa yang saat ini sudah dilakukan sudah sesuai dengan UU atau belum. Ini
semacam assessment dan kalau misalnya belum maka harus segera diperbaiki.

Misalnya transfer data ke pihak lain tanpa kontrak, maka kita harus perbaiki itu, kita harus
punya kontrak dengan pihak lain itu. Itu semua akan diketahui kalau kita melakukan assessment. Setelah
tahu apa yang perlu diperbaiki, kita susun action plannya, apa yang harus kita lakukan dan apa yang
harus diperbaiki. Misalnya mengumpulkan data pribadi konsumen tanpa consent dan tidak punya dasar
hukum yang jelas dalam memproses data pribadi, berarti harus disusun apa action plannya. Setelah itu
tentu saja harus kita eksekusi.

Demikian dari saya terkait dengan UU PDP dan implikasinya. Tentu saja tidak secara menyeluruh
membahas UU PDP karena waktunya tidak cukup. Sekian dari saya, terima kasih. Saya serahkan kembali
ke moderator.

Moderator :

Terima kasih Mas Danny Kobrata atas pemaparannya tentang implementasi UU PDP di masing-
masing perusahaan. Kami sendiri di Hukumonline juga sedang melakukan assessment internal karena
kami juga banyak memproses data pribadi seperti data Bapak dan Ibu hari ini. Kami juga akan menunjuk
DPO dalam waktu dekat ini.

Saat ini kita akan masuk ke dalam sesi Q&A, kita punya waktu sekitar 45 menit. Tanpa berlama-
lama lagi, silahkan bagi yang ingin bertanya.

TANYA JAWAB :

1. Agung dari BNI : terkait dengan dasar pemrosesan data yang ada 6, diantaranya consent dan
contract. Kalau terkait consent, di Pasal 21 disebutkan wajib menyampaikan informasi
diantaranya ada mengenai legalitas dari pemrosesan data pribadi dan jangka waktu pemrosesan
data pribadi. Kepada Pak Danny, kira-kira apa yang dimaksud dengan legalitas dari pemrosesan
data pribadi itu? bagaimana kita bisa menentukan jangka waktu pemrosesan karena
pemrosesan itu luas dari mulai mengumpulkan sampai nanti pemusnahan? Apakah berarti
kewajiban ini hanya berlaku ketika kita minta secara consent sedangkan 5 cara lainnya tidak
disyaratkan? Kemudian, di Pasal 23, pemahamannya kira-kira seperti apa karena dampaknya
bisa sampai batal demi hukum?
Jawab : Pak Danny : jangka waktu retention atau berapa lama data bisa disimpan perusahaan, di
Permenkominfo 20/2016 dulu ada jangka waktunya minimum 5 tahun, artinya bisa disimpan
lebih dari itu. Memang data pribadi tidak bisa disimpan selamanya, kalau di UU PDP, data
pribadi harus disimpan sesuai dengan tujuan, misalnya untuk tujuan riset, jika sudah selesai
risetenya dan tidak butuh lagi data pribadi itu maka harus kita musnahkan, tidak perlu simpan
lagi setelah purposenya selesai. Kalau di perusahan luar negeri yang GDPR compliance, pasti
punya semacam retention schedule. Misalnya data karyawan disimpan berapa lama, data
konsumen berapa lama, data terkait dokumen-dokumen perusahaan berapa lama. Jadi bukan
hanya mengenai data pribadi saja, data perpajakan juga ada jangka waktunya. Memang secara
umum, kita bisa menyiman datanya selama data itu ada tujuannya kenapa disimpan. Kalau
sudah bukan pengguna layanan di perusahaan itu lagi, maka kita harus hapus karena sudah tidak
sesuai lagi. Terkait legalitas, yang saya tangkap itu semacam perusahaannya apa, siapa yang
memproses. Tujuan pasal itu supaya transparansi, pemilik data pribadi tahu data pribadinya
akan dilakukan apa. Legalitas perusahaan adalah nama perusahaan, alamatnya, jadi pemilik data
pribadi tahu siapa yang memproses datanya. Kemudian, consent atau persetujuan ada
syaratnya, di UU PDP syaratnya harus eksplisit, tidak boleh ambigu, tidak boleh disembunyikan
dan harus menggunakan bahasa yang mudah dan sederhana. Kalau bahasanya ribet, sengaja
untuk membingungkan pemilik data pribadi mungkin consentnya bisa jadi tidak sah. Kalau
consentnya tidak seperti itu, bisa dianggap batal, artinya kita tidak pernah dapat consent itu
sehingga pemrosesan kita tidak berdasarkan data yang jelas. Contohnya, dalam konteks
pemrosesan data pribadi harus eksplisit artinya harus ada tindakan aktif dari pemilik data
pribadi dalam memberikan persetujuannya. Ada kalimat “dengan menggunakan layanan kami
maka dianggap sudah menyetujui kebijakan privasi kami”, itu implisit consent dan berdasarkan
UU PDP itu tidak boleh karena kita tidak boleh menganggap orang memberikan consent, harus
actively given dari data subject. Kalau tidak eksplisit maka bisa batal consentnya. Kita harus
memastikan bahwa kita selalu dapat consent yang diberikan secara aktif oleh pemilik data
pribadi.
2. Paramita dari Anabatic Tecnologies : dari UU PDP ini, saya belum menemukan ada satu rujukan
untuk IT vendor, dalam artian perusahaan-perusahaan IT yang menjalankan services entah
menyediakan cloud server, hardware atau software yang mana banyak perusahaan IT
sebenarnya bekerja sama dengan bank atau perusahaan asuransi. Artinya bank dan perusahaan
asuransi sebagai controller data pribadi yang mendapatkan consent di awal dari pemilik data.
Kalau kondisinya pengendali data dengan prosesor data, berarti hubungannya contactual. Kalau
dilihat di definisi prosesor data, hanya ada tiga subjek yaitu orang, badan publik, dan organisasi
internasional. Posisi IT vendor ada dimana?
Jawab : Pak Danny : maksudnya setiap orang, karena setiap orang bisa individu, badan usaha
juga jadi IT vendor disitu, ke badan usaha yang maksudnya setiap orang. Formulasi di UU
biasanya berbeda-beda, ada yang bilang setiap orang, ada yang bilang termasuk badan hukum,
jadinya orang bingung. Tapi kalau secara umum, ketika UU menunjuk setiap orang berarti
masuknya ke badan hukum juga.
Pak Ferry : sebetulnya saya baru sadar juga bahwa ternyata ada kesalahan tulis di ketentuan
umum tentang prosesor data itu siapa. Dia tulisnya setiap orang tapi hurufnya kecil, sementara
di Pasal 19 disebutkan pengendali data pribadi dan prosesor data pribadi meliputi setiap orang
huruf besar. Di penjelasan Nomor 7 di ketentuan 1 Pasal 1, setiap orang adalah perorang-
orangan, badan usaha. Mohon maaf, tapi ini bukan saya, namun kira-kira begitulah penjelasan
yang masuk akal.
Moderator : mungkin dikejar waktu juga sehingga ada typo. Kita juga tidak tahu termasuk
rahasia-rahasia di dunia ini.
3. Hesty dari AXA Mandiri : terkait dengan transfer ke luar negeri atau luar jurisdiksi Republik
Indoensia. Pengertian luar negeri itu seperti apa karena kalau kita kirim-kiriman data secara
email/digital, ini borderless, tidak terlihat batasnya. Apakah dilihat dari email address
domainnya dimana? Kalau misalnya kita kirim ke grup perusahaan di luar negeri tapi orangnya
sedang bekerja di Indonesia, apakah masuk kategori ke luar negeri atau tidak? atau sebaliknya,
kita kirim hanya ke rekan kita sesama kantor di Indonesia tapi rekan kita itu sedang business trip
di luar negeri. Apakah itu dikatakan transfer ke luar negeri? yang kedua, ada tidak kira-kira
suggestion clause yang harus di emphasized yang sebaiknya kita cantumkan untuk melindungi
perusahaan kita yang mau tidak mau ketika running the business pasti ada kerja sama dengan
vendor?
Jawab : Pak Ferry : transfer ke luar negeri sebetulnya agak susah saat kita membayangkan batas
negara dengan batas negara yang menggunakan passport kecuali passport dari bank itu dan
berlaku dimana saja. Pada saat kita bermain di dunia internet, tidak ada lagi pada saat saya
lewat maka diketahui saya diketahui melewati batas. Biasanya sebagai salah satu tanda/bukti
kita tahu ada di luar dilihat dari IP address karena IP address menunjukkan posisi kita ada diluar
atau tidak. Pada saat kita memang tidak di Indonesia lagi maka posisinya ada dimana, di daerah
mana. Bagaimana kalau kementerian luar negeri mengirimkan data ke perwakilan Indonesia
yang ada di luar negeri? yurisdiksinya Indonesia karena wilayah diplomasi itu adalah wilayah
negara kita, tapi apakah itu dikatakan transfer data ke luar negeri? saya juga baru kepikiran.
Batas negara memang beda, tapi teritori masih masuk Indonesia. Saya juga baru kepikiran ini,
tapi saya katakan salah satu bentuknya adalah kalau saya pribadi melihat dari IP yang
merupakan alat virtual kita yang menunjukkan posisi kita ada dimana. Kalau teman saya sedang
healing ke luar negeri dan menggunakan fasilitas atau infrastruktur di luar negeri maka dianggap
transaksi itu transaksi ke luar negeri tapi yang sebetulnya ditekankan disini adalah transaksi luar
negeri dengan organisasi luar negeri juga. Sebenarnya penekanannya disitu, makanya ada
lanjutan syaratnya yaitu sama-sama punya aturan yang sederajat atau lebih tinggi, kalau tidak
punya maka tidak bisa mengirimkan datanya kesana. Pada dasarnya yang menjadi tujuan adalah
bukan orang Indonesia karena saat pembahasan itu pertanyaannya bagaimana perwakilan kita?
dianggap tidak transfer luar negeri karena masih digunakan kita saja walaupun IP atau alamat
yang tertera di luar negeri.
Pak Danny : menurut saya ini isu yang menarik karena pernah juga saya dapat pertanyaan kalau
datanya tetap di Indonesia tapi pihak luar negeri dapat akses data yang di Indonesia, katakanlah
cloud di Indonesia dan pihak luar negeri kita berikan akses seperti password, apakah itu
termasuk data pribadi? itu pertanyaan yang tidak mudah juga dijawab tetapi sambil Pak Ferry
menjelaskan, saya melihat di UU PDP Pasal 16 huruf E ada definisi mengenai transfer. Transfer
adalah perpindahan, pengiriman dan/atau penggandaan data pribadi dari pengendali data
pribadi ke pihak lain. Kalau penafsiran saya, mungkin bisa berbeda-beda, tetapi menurut saya
harus ada benar-benar tindakan yang data itu berpindah dari satu tempat ke tempat lain, baik
jadi tidak ada lagi atau terduplikasi. Kalau akses PT luar negeri bisa masuk ke kita, sebenarnya itu
tidak termasuk transfer tapi efeknya sama yaitu pihak luar bisa punya data itu juga. Itu jawaban
dari saya, semoga menjawab. Terkait kontrak dengan vendor, yang paling penting pastikan
mereka menjaga datanya sama dengan yang kita lakukan, jangan sampai kita mati-matian
 menjaga di perusahaan tetapi vendornya sembarangan. Dengan adanya kontrak itu, kita bisa
meminta misalnya vendor comply juga dengan aturan PDP di Indonesia sehingga mereka punya
alasan untuk meningkatkan standar pelindungan mereka. Kedua, menentukan
liabilitynya/tanggung jawab hukum. Kalau mereka melanggar UU PDP, konsumen tahunya kita
sebagai controllernya, jadi yang akan dituntut adalah kita. Jadi bagaimana caranya kita bisa
meminta kalau terjadi pelanggaran atau kebocoran data, kita bisa meminta mereka untuk ikut
bertanggung jawab terhadap pelanggaran yang mereka lakukan.
4. Natalie dari PT Multipolar Tbk : tadi Pak Danny sempat mengatakan bahwa sebenarnya
pelindungan data pribadi bukan sesuatu yang baru tapi setingkat UU nya baru. Ada satu kajian
dari Elsam bahwa peraturan data pribadi sebenarnya tersebar di 32 peraturan dan itu harusnya
lengkap walaupun mungkin saling tumpang tindih. Tapi, kenyataannya kebocoran data pribadi
masih massive, saya jadi bertanya apakah UU PDP ini menjadi solusi? Kepada Pak Ferry, tadi
dikatakan tentang minimum requirement untuk sistem UMKM. Kita sekarang mau
menggalakkan inklusi keuangan dan banyak start-up company. Kalau untuk sistem-sistem
fintech, apakah BSSN juga berperan disitu karena selama ini yang kita lihat dalam peraturan OJK
tidak kelihatan disitu? Apakah ada juga peraturan BSSN yang khusus untuk start-up company
seperti pinjol dimana data banyak yang bocor?
Jawab : Pak Danny : ini pertanyaan yang sulit saya jawab. Apakah ini solusi atau tidak, kita akan
lihat karena UUnya baru kurang lebih sebulan yang lalu berlaku efektif, kita belum tahu nanti
pengawasannya seperti apa. Tapi, saya setuju saran Mba Natalie bahwa memang selama ini
enforcementnya kurang, banyak terjadi kebocoran data dan mungkin banyak perusahaan yang
tidak comply terhadap peraturan pelindungan data pribadi tapi tidak ada tindakan apa-apa jadi
banyak yang beranggapan apakah peraturan pelindungan data pribadi sebelumnya dijalankan.
Tentu saja harapan kita, treatment terhadap UU ini, kita berharap regulator lebih aktif
melakukan enforcement sehingga memacu perusahaan-perusahaan untuk lebih meningkatkan
tingkat pelindungan data pribadi di masing-masing perusahaan sehingga tujuan UU PDP untuk
melindungi data pribadi bisa tercapai.
Pak Ferry : memang 32 peraturan yang sudah diidentifikasi, tapi permasalahannya hanya satu,
dari semua pembuat. Kementerian/lembaga tidak terlalu sering melakukan sosialisasi terhadap
pengaturan data pribadinya. Harapannya, UU PDP yang bisa mengkompilasi seluruhnya sehingga
nanti dua tahun ke depan, seluruh pengaturan yang ada di 32 peraturan sebelumnya bisa
menuju ke UU PDP dan pelaksanaannya merujuk pada PP pelaksanaan UU PDP. Namun, satu hal
yang kita harapkan, UU PDP ini adalah jawaban bahwa orang semua tahu. Dulu, memang diam-
diam dan tidak diberitahu supaya tidak di challenge oleh masyarakat, jadi setela diundangkan
diam saja, berlaku untuk kegiatan dia saja padahal ada kepentingan untuk masyarakat. Untuk
fintech, kalau Ibu baca di UU ITE, PP PSTE, ada perlakuan khusus untuk teman-teman yang
bermain di jasa keuangan karena dia tidak bisa tunduk langsung dengan UU kita karena akan
terkait dengan pengaturan di luar negeri, di sistem keuangan/perbankan di luar negeri yang
saling terkoneksi. Oleh karena itu, di pengaturan pasti disebutkan untuk sektor keuangan
diberikan keleluasaan tapi kita diyakinkan bahwa pengaturan di jasa keuangan jauh lebih tight.
BSSN masih punya kewenangan terhadap keuangan, tapi kita tidak jaga disitu, dengan segala
keterbatasan BSSN, kami tidak memiliki peraturan perundang-undangan setingkat UU untuk
mengatur. Ada yang bilang kita pakai Perpres, tidak melihat dari kewenangan instansi dan
terkadang itu yang repot. Sebenarnya peran BSSN adalah menciptakan barrier atau rambu-
rambu, kalau mau aman harus seperti ini dan ini, kalau tidak mau patuh tidak apa-apa tapi
tanggung sendiri jika terjadi sesuatu. Ada yang kami katakan hati-hati karena banyak orang yang
berkunjung, tapi mereka bilang sudah tahu dan ketika terjadi insiden selalu menempatkan diri
sebagai korban padahal mereka bukan korban. Kewajiban menjaga sistem elektronik adalah
kewajiban penyelenggara sistem elektronik, bukan kewajiban dari pemerintah. BSSN bisa
membantu kalau diminta membantu untuk melakukan pemulihan apabila ada serangan. Tapi,
lagi-lagi membantu, kami tidak bisa masuk secara aktif karena UUnya melarang. Di UU ITE
disebutkan dari Kominfo, kegiatan sampai masuk punyanya penyidik, dan kami bantu penyidik
tapi tetap kami lakukan. Dengan OJK, kami berikan semua rambu-rambunya, tapi kami tidak bisa
mengatur lebih lanjut karena memang OJK atau yang terkait dengan keuangan akan tunduk
dengan beberapa aturan yang berlaku secara umum di luar negeri. Itu yang kita tidak bisa
paksakan dan itu bisa dari pembuatan transaksi elektronik, kita sadari sekali itu. Terkait
peraturan BSSN terkait kebocoran data, sebetulnya saat kami akan membuat standar
keamanan, konotasinya tidak bisa dipegang selain BSSN. Jadi, BSSN hanya bisa memberikan
ketentuan lebih lanjut atau ketentuan khusus tentang keamanan karena kami tidak boleh
menggunakan kata-kata standard. Tapi, kemarin teman-teman BSSN sudah bicara bahwa ayo
buat standarnya Indonesia untuk keamanan siber karena kita masih mengadopsi ISO dan itu
mahal. Kalau bisa di adopt di Indonesia dan mungkin dikembangkan kenapa tidak, jadi kita
berikan ke luar negeri dan bisa di dalam. Itu yang menjadi penggerak kami di BSSN meneliti
tentang sertifikat elektronik karena sertifikat elektronik per tahunnya lumayan sementara
 sebenranya kita sendiri bisa. Pertama, sayang uangnya, kedua, siapa yang bisa tahu aman atau
tidak. Jadi mohon maaf, nanti akan kumpul teman-teman dari Komnfo, BSSN, BRIN, kita akan
membuat standar yang benar-benar kita, mudah-mudahan bisa terwujud.
5. Martunis dari Paxel : kepada Pak Ferry, terkait dengan bentuk persetujuan secara elektronik.
Kalau yang sudah sering kita lihat, ketika customer memberikan persetujuan biasanya centang
atau checklist melalui aplikasi atau website. Tadi disinggung bentuk persetujuan itu bisa melalui
tanda tangan elektronik yang mana bentuknya dianggap sah dengan adanya sertifikasi,
bentuknya sertifikat bukan hanya cap di PDF. Bagaimana dengan yang bentuk persetujuannya
dengan centang itu, apakah sah? lalu tanda tangan elektronik di Indonesia sendiri sudah banyak
apalagi yang tersertifikasi dengan Kominfo sudah ada. Apakah memang wajib bentuknya selalu
seperti itu atau untuk yang bentuknya checklist seperti yang saat ini beredar masih tetap
berlaku?
Jawab : Pak Ferry : centang itu menunjukkan persetujuan tapi sertifikat elektronik menunjukkan
siapa pemilik sebenarnya. Kalau Mas sebagai pengunjung perusahaan, tiba-tiba ada yang
centang kontrak, apakah Ferry yang memberikan persetujua? Bisa saja anak saya. Pada saat
menyatakan persetujuan perlu diketahui bahwa yang setuju itu benar-benar saya? sertifikat
elektronik adalah jawabannya. Mahal memang, ada yang 25 ribu, 15 ribu, bahkan sampai
tergantung dari bentuknya seperti apa, tapi suka tidak suka, mau tidak mau, setiap
penyelenggara sistem elektronik wajib menggunakan sertifikat elektronik supaya yakin bahwa
itu dia. Kalau diluaran kita bisa tunjukkan KTP tapi secara elektronik tidak bisa, oleh karena
itulah perlu sertifikat. Ini yang menjadi concern, apakah sertifikat elektronik wajib karena
penduduk kita geografisnya tidak sama? khawatirnya kita tidak mampu tapi mimpi kami adalah
setiap anak kalau bisa begitu lahir punya dua identitas yaitu identitas seperti biasa dan identitas
elektronik dia yang akan terbawa terus sampai meninggal. Jadi, suatu saat kita tidak perlu lagi
KTP, cukup identitas nasional, itu semua data dan itu harapan kita. Mudah-mudahan bisa
menjaawab.
6. Tito dari Grab : perihal data retention, sebenarnya saya lihat di UU Arsip Perusahaan ada
kewajban untuk jaga arsip sampai 10 tahun. Kalau sekarang melihat data transaksi, ada data
konsumen, nama dan lain-lain, kartu kredit dan segala macam. Jika dihubungkan dengan UU
PDP, apakah tetap harus dijaga sampai 10 tahun atau mungkin bisa disesuaikan dengan
kebutuhan perusahaan?
 Jawab : masalah retensi tentu setiap pengaturan sudah pasti akan mendasarkan pada UU yang
mengatur tentang objeknya itu sendiri. Jadi, pengaturan di UU PDP tidak bisa menafikkan
pengaturan yang ada di UU Kearsipan. Kita lihat bahwa UU PDP tidak mengesampingkan
keberadaan UU ITE, bagaimana dia mengamankan suatu proses dari sistem elektronik terkait
keamanannya. Dengan demikian, saya mohon maaf tidak terlalu hafal berapa lama masa retensi
di UU Arsip tapi seingat saya kalau data tersebut masih digunakan secara aktif, itu kuncinya
karena UU Arsip berlaku saat data tersebut bukan lagi data aktif karena kalau arsip berarti
datanya tidak aktif namun masih bisa digunakan. Kalau masih digunakan maka seharusnya tidak
masuk pengaturan kearsipan, jadi kalau masih dipakai tidak perlu dimasukkan ke arsip. Apabila
sudah masuk ke arsip, soal berapa lama retensinya bisa lihat dari UU Kearsipan, sampai masalah
keuangan bisa sampai 25-30 tahun namun kalau data-data biasa seperti perkantoran kalau tidak
salah 3-5 tahun bisa dihapus. Kalau data pribadi, saya katakan tergantung data pribadi itu
dikelola untuk apa. Pemrosesan data pribadi itu untuk apa, itulah yang akan dilindungi. Saat
penghapusan data pribadi nanti, lihat lagi peraturan UU PDP karena kita butuh dari persetujuan
si subjek data.
Moderator : menyambung Mas Martunis tadi, OTP saja tidak memenuhi unsur Pasal 11, ada
putusannya di website MA atau website Hukumonline, bisa dicari. Kasusnya bank itu terkenal
dan dikalahkan oleh satu nasabah, bahkan OTP tidak bisa memenuhi Pasal 11 sebagaimana
sertifikat elektronik tersertifikasi. itu tambahan dari saya.
7. Keisha dari Frisian Flag : perusahaan kami mengelola data konsumen dimana ada vendor yang
mengelola data pribadi konsumen namun ada beberapa aplikasi juga yang memang dikelola
sendiri oleh Frisian Flag. Dalam hal ini mungkin agak melenceng, saya lebih bertanya pada PP
tahun 2019. Apakah perlu didaftarkan juga karena sepengetahuan saya untuk aplikasi atau
sistem yang dikelola untuk kepentingan yang berhubungan dengan data pribadi perlu
didaftarkan?
Jawab : Pak Danny : kalau kita lihat di PP 71/2019 memang ada kriteria PSE yang harus
mendaftar ke Kominfo. Ada yang menawarkan jasa, dan lain-lain, terakhir ada memproses data
pribadi. Ini cukup luas kalau menurut saya karena di jaman sekarang, perusahaan mana yang
tidak memproses data pribadi, sekurang-kurangnya paling tidak memproses data pribadi
karyawannya. Kalau kita melihat seperti itu, pakai kacamata kuda, selama perusahaan itu
memproses data pribadi maka harus mendaftar walaupun sebenarnya saya lihat targetnya
adalah perusahaan-perusahaan yang menyediakan jasa ke pihak lain, yang memproses data
 pribadi pihak lain. Kalau Frisian Flag punya platform online, menawarkan produknya secara lain
maka saya kira sudah pasti harus mendaftarkan karena itu memang target dari peraturan itu.
8. Fikar : kepada Pak Danny, perusahaan kami supplier komponen otomatif, jadi kita berhubungan
dengan customer dan ada banyak rahasia desain industri namun setelah kami amati ternyata
PDP lebih ke arah data pribadi perorangan sehingga tidak mencakup. Tapi kami juga muncul
concern, berarti data-data karyawan termasuk dalam PDP ini, namun setelah kita lihat UU PDP
ini lebih fokus ke data-data elektronik sedangkan di actual perusahaan kami banyak form kertas
data-data perusahaan misalnya untuk submit terkait perizinan. Untuk DPO, apakah berarti tidak
terbatas untuk sistem elektonik karena di Pasal 1 UU PDP termasuk juga yang non-elektronik,
apakah seperti itu?
Jawab : Pak Danny : UU PDP berlaku terhadap orang perorangan, apakah data perusahaan disini
dilindungi? Tidak, hanya orang pribadi manusia. Kedua, kalau kita melihat scopenya memang
pemrosesan bukan hanya dilakukan secara elektronik tapi non-elektronik juga dimungkinkan.
Kalau di Permenkominfo dulu memang pemrosesan secara elektronik sehingga perusahaan yang
memproses secara manual pakai kertas tidak termasuk, tapi dengan UU PDP maka berlaku non-
elektronik dan elektronik jadi mau pakai kertas pun sudah harus comply.
9. Rocky, Advokat : jika kita sudah melakukan semuanya, sudah comply, tujuannya apa? apakah
kita mendapat perlindungan hukum jika akhirnya data pribadi bocor karena sebaik-baiknya kita
menjaga, ada yang lebih hebat lagi?
Jawab : Pak Ferry : kalau sudah comply maka ada kepercayaan dari pemilik data yang
menitipkan kepada teman-teman karena biar bagaimanapun trust, menitipkan datanya, tentu
menambah PD. Kalau saya menitipkan data lalu data saya disebar, kalau dibilang itu budaya kita,
tidak terlalu karena disini tidak ada yang marah kalau ada telepon atau SMS. Tapi, ketika 2 tahun
sudah ada kemudian teman-teman di pengendali data sudah comply, pertama yang didapatkan
adalah subjek data sebagai customer akan yakin bahwa datanya baik-baik saja. Tentunya
semakin tinggi kepercayaan dari subjek data, harapannya akan semakin meninggikan nilai dari
perusahaan tersebut. Yang kedua, kalau sudah comply, kewajiban negara harus diberikan
kepada teman-teman pengendali atau pemroses data yang sudah comply, tidak ada excuse lagi
negara untuk bilang tidak bisa bantu apa-apa. Waktu dulu saya bilang dengan ibu saya, kalau
nilai saya bagus saya minta dibuatkan mie seperti di gambar bungkus mienya. Begitu saya naik
kelas dan nilai saya bagus, saya tunjukkan, jadi ibu membuatkan mie itu. Demikian juga saat kita
sebagai pengendali atau pemroses sudah comply, maka tidak ada alasan pemerintah untuk tidak
melakukan kewajibannya walaupun terkadang kenyataannya comply atau tidak comply,
kewajiban negara tetap diturunkan karena kemungkinan besar lembaga yang
menyelenggarakan PDP akan melakukan audit terhadap pengendali dan pemroses data, apakah
sudah sesuai dengan aturan. Lembaga ini nanti akan menetapkan apa yang bisa diterapkan,
seperti apa diterapkan karena tidak bisa pukul rata semuanya. Dari situ, harapannya kewajiban
negara memberikan perlindungan terhadap haknya bisa diberikan. Terkait dengan data bocor,
apakah yakin data itu bocor karena kita sudah comply? Jangan-jangan data saya pun sebetulnya
sudah bocor sebelum ini, misalnya data saya bocor ke Mba Syifa, minimal nama, alamat, nomor
telepon. Itulah tugas berat dari lembaga PDP ini dan pemerintah dalam bagaimana benar-benar
memberikan perlindungan terhadap data yang sudah kemana-mana. Di Google, kita tulis NIK
dan KK Pdf list, disitu muncul semua. Caranya hanya satu yaitu di nol-kan saja semua, NIK kita
dibuat 0 semua, dimulai dari awal, tapi masalahnya bayangkan peduli lindungi nangis semua
karena berubah datanya. Saya masukkan data saja salah apalagi diulang dari nol. Tapi kalau mau
pelindungan yang diharapkan seperti itu karena yang aman datanya saat UU PDP dilaksanakan
hanya orang yang belum lahir saat ini. Yang sudah lahir datanya sudah tersebar karena begitu
lahir, orang tuanya sendiri yang memberitahukan. Itu bukan kebocoran tapi sukarela, karena itu
tidak berani menggunakan kata rahasia data pribadi tapi dimunculkan pelindungan yaitu
bagiamana melindungi data yang ada supaya dipergunakan sebagaimana mestinya. Bayangkan
ketika polisi menanyakan nama tapi dijawab berdasarkan UU PDP dijawab rahasia.
Pak Danny : kalau kita bicara kebocoran data, sebenarnya ada dua aspek yaitu datanya yang
terpengaruh dan sistemnya. Jadi ada keamanan cyber security dan personal data protectionnya.
Bisa saja sistemnya compromise, efektif tapi tidak ada data yang bocor, tidak data breach. Kalau
kita sudah melakukan segala sesuatunya menurut UU, sudah ke BSSN, sudah ISO, tapi tetap
bocor, apakah perusahaan tetap bertanggung jawab? sebenarnya ini sesuatu yang belum ada
precedentnya di Indonesia tapi kalau bisa membuktikan bahwa kita sudah comply dengan UU
PDP, cyber security sudah sesuai standar BSSN, harusnya kalau terjadi kebocoran kita tidak
bertanggung jawab karena kita bisa memposisikan diri kita korban, ada orang yang menyerang
sistem kita. Pernah ada kasus di Indonesia, salah satu perusahaan besar dimana salah satu data
pribadi konsumennya bocor dan dilaporkan ke polisi. Yang dipermasalahkan kenapa bisa ada
datanya yang bocor tetapi perusahaan bisa membuktikan punya SOP, karyawan melanggar SOP
maka akhirnya yang diproses secara hukum adalah karyawannya, perusahaannya bisa lepas
tanggung jawab. Itu penting, artinya kita pun harus comply, jangan sampai kita tidak comply lalu
 bocor dan bilang kita korban, tidak begitu, menurut saya itu lalai karena tidak patuh dengan UU
yang ada.
10. Faisal dari Akseleran : sejauh mana sebenarnya tanggung jawab atas hak-hak yang bisa di
exercise oleh subject data pribadi khususnya terkait penghapusan data pribadi? kalau kita tahu
secara praktik, kita selaku pengendali data pribadi membagikan data tersebut ke pihak yang
melakukan pemrosesan data pribadi. Ketika ada kewajiban penghapusan baik karena diminta
atau melewati masa retensi, apakah kita juga harus memastikan bahwa data yang diterima oleh
para vendor atau pihak lain yang berhubungan dengan pengendali data pribadi juga harus
melakukan penghapusan atau pemusnahan data tersebut?
Jawab : Pak Danny : ini kasusnya agak complicated, kalau misalnya perusahaan mengumpulkan
data pribadi lalu meminta satu IT vendor untuk memproses data pribadi itu, artinya IT vendor itu
prosesor, dia bertindak atas instruksi kita berdasarkan kontrak. Ketika kita mendapatkan request
dari pemilik data pribadi, kita pun harus memberitahu ke pemroses untuk delete data itu karena
kita mendapat request dari data subjeknya. Ini sesuatu yang harus kita sampaikan, karena itulah
pentingnya kontrak dengan data prosesor itu. Kalau tidak ada kontraknya, kita juga susah
meminta mereka, apa dasarnya. Seringkali orang salah dengan mengatakan sudah punya NDA
padahal data processing agreement dengan NDA berbeda. NDA adalah dia tidak boleh
menceritakan ke pihak lain tapi kalau data processing agreement adalah kita mengatur
bagaimana cara dia memproses data kita. Berbeda halnya kalau satu data dipegang oleh dua
controller, misalnya Akseleran memberikan ke pihak lain yang juga sebagai controller, dalam hal
tersebut controller lain ini harus meminta consent terpisah dari pemilik data pribadi dan
requestnya pun harus ke masing-masing controller karena pemrosesannya berbeda.

Moderator :

Terima kasih jawaban dan pertanyaannya dan mohon maaf untuk rekan-rekan yang
sudah bertanya tapi belum bisa terjawab karena waktunya terbatas, mudah-mudahan ada
acara kelanjutannya. Kita tunggu juga bagaimana pemerintah dan Kementerian/Lembaga
menyiapkan PP juga Perpres lembaganya. Kita juga mendoakan supaya kantor Mas Ferry
mendapatkan perubahan yang signifikan sehingga lebih banyak hal yang bisa dilakukan demi
untuk melindungi data-data kita. Sebelum saya tutup, kita dengarkan closing statement terlebih
dahulu.

CLOSING STATEMENT

Pak Ferry :

Pelindungan data pribadi sekali lagi bukan tugas pemerintah, bukan tugas pengendali atau
pemroses data tapi merupakan tugas yang melibatkan seluruh komponen yang ada sehingga kita harus
saling bantu dan kita harus saling menyadari bahwa data yang ada sebenarnya agak mengkhawatirkan,
maksud saya agak susah untuk dilakukan perbaikan. Tugas kita untuk saling melindungi karena
dibentuknya berarti ada kebutuhan kita semua dan semua warga negara wajib untuk melakukan
pelindunga. Masing-masing komponen bangsa melakukan sesuai dengan peran yang dimilikinya
sehingga mudah-mudahan tujuan dari dibentuknya UU adalah memberikan perlindungan terhadap hak
warga negara, hak dasarnya, bisa terpenuhi.

Satu lagi, mohon maaf saya banyak salah karena saya banyak bicara, kalau tidak ngomong nanti
saya dimarahi jadi orang banyak ngomong pasti banyak salah. Terima kasih.

Pak Danny :

Saya sering memberikan sosialisasi seperti ini baik dari Law firm maupun mewakili APPDI.
Banyak yang takut UU PDP, ada cost compliance lagi, harus tunjuk DPO, harus melihat ini dan itu, ada
sanksi, sehingga seperti takut. Sebenarnya, justru jangan takut dengan UU PDP ini karena ini buat rules
tentang pemrosesan data pribadi jadi lebih jelas di Indonesia karena aturan pelindungan data pribadi
sesuatu yang tidak bisa kita hindari, cepat atau lambat akan ada. Kalau terus-terusan aturannya tidak
jelas justru costnya bisa lebih besar lagi. Jadi, UU ini bisa memicu perusahaan untuk lebih
memperhatikan lagi pelindungan data pribadi, aturannya lebih jelas karena kalau perusahaan kita bisa
comply tentu saja dari sisi konsumen akan lebih prefer produk atau penyedia jasa yang memperhatikan
data pribadi dibandingkan tidak.
 Satu lagi, karena jangka waktunya 2 tahun, mungkin kelihatannya lama tapi sebenarnya banyak
yang harus dilakukan untuk comply, jadi segeralah perusahaan untuk siap-siap memulai program
complynya pada perusahaan masing-masing.

Moderator :

Terima kasih atas closing statement yang disampaikan. Pelindungan data pribadi ini merupakan
tugas dari komponen seluruh bangsa dan kita harus paham peran maisng-masing. Kami di Hukumonline
juga terus memantau bagaimana prosesnya karena lembaganya belum, nanti juga ada PP-nya. Kami
punya grup tersendiri yang khusus membahas PDP ini dan aturan internal pun kami berusaha
menyesuaikan secepat mungkin, tidak harus 2 tahun untuk memenuhi adanya DPO, flow data. Semoga
juga rekan-rekan sudah mulai melakukan agar kita bisa mencapai tujuan bersama yaitu saling
melindungi data masing-masing dan paling tidak mengurangi serangan-serangan kebocoran. Ini adalah
ikhtiar paling mendasar kita dengan adanya UU PDP ini. Akhir kata, saya mohon maaf kalau ada
penyampaian kata yang tidak berkenan. Saya kembalikan kepada MC.

MC :

Terima kasih Pak Reza sebagai moderator dan para narasumber yaitu Pak Ferry dan Pak Danny
di sesi kedua ini. Selanjutnya, kita akan menyaksikan prosesi penyerahan plakat dari Hukumonline
kepada para narasumber yang akan diserahkan langsung oleh Pak Reza selaku Group Legal Counsel
Hukumonline.

(Penyerahan Plakat dan Foto Bersama)

Terima kasih sekali lagi untuk para narasumber, sukses selalu. Dengan demikian, acara Diskusi
Hukumonline 2022 bekerja sama dengan Asosiasi Praktisi Pelindungan Data Indonesia (APPDI) berakhir.
Terima kasih atas partisipasi Bapak Ibu sekalian. Semoga Diskusi hari ini bermanfaat di bidang pekerjaan
masing-masing. Terima kasih. Wassalamualaikum Warahmatullahi Wabarakatuh, Shalom, Om Shanti
Shanti Om, Namo Buddhaya, Salam Kebajikan, Selamat Sore dan Sampai Jumpa.