Kerangka Acuan Kegiatan

Pelatihan Pelindungan Data Pribadi untuk Organisasi Masyarakat Sipil

Jakarta, 10-11 Oktober 2023

Latar Belakang
Pada September 2022 Indonesia menjadi negara ke-5 di Asia Tenggara yang memiliki
regulasi mengenai pelindungan data pribadi. Pengesahan Undang-Undang Nomor 27 Tahun
2022 tentang Pelindungan Data Pribadi menjadi harapan baru terciptanya iklim pelindungan
data pribadi yang baik, karena nyatanya, menurut KataData, Indonesia termasuk salah satu
negara dengan tingkat kebocoran data pribadi tertinggi di dunia.

Di awal tahun 2022 terjadi insiden kebocoran data yang cukup fatal; pertama, kebocoran
identitas pasien dan data radiologi yang berasal dari server yang dikelola Kementerian
Kesehatan; kedua, kebocoran data yang berawal dari serangan terhadap perangkat milik
Bank Indonesia yang besarnya mencapai 75 gigabyte. Kasus terbaru adalah bocornya data
nasabah Bank Syariah Indonesia (BSI) pada Mei 2023. Setidaknya 15 juta data nasabah,
informasi karyawan dan 1,5 terabyte data internal BSI bocor oleh serangan ransomware.
Selain disesalkan, kasus ini juga mengundang kecaman banyak pihak karena BSI dinilai tidak
terbuka dalam menanganinya. Mulai dari penyangkalan hingga penyelesaian kasus yang
dinilai tidak sesuai dengan amanat UU No. 27/2022 tentang Pelindungan Data Pribadi.

Pada Januari 2020, Oxfam Australia mengonfirmasi adanya akses ilegal terhadap database
mereka oleh pihak eksternal. Insiden ini menyebabkan, tidak kurang dari 1,8 juta data bocor.
Mayoritas data tersebut adalah data para pendukung mereka. Data tersebut terdiri dari nama,
alamat, tanggal lahir, alamat email, nomor kontak, gender dan riwayat donasi. Kasus serupa
juga pernah menimpa ICRC (International Committee of the Red Cross) pada Januari 2022.
Tidak kurang dari 550.000 data pribadi penerima manfaat program mereka bocor. Mereka
menyebut serangan ini sebagai sebuah serangan siber yang canggih.

Dua serangan ini sudah cukup untuk menunjukkan bahwa organisasi masyarakat sipil juga
dapat menjadi korban serangan siber yang mengincar data pribadi yang mereka kelola. Fakta
bahwa mereka bekerja untuk kemanusiaan tidak menghalangi mereka untuk menjadi korban
pembobolan data pribadi.

Setiap tahun, Microsoft merilis Microsoft Digital Defense Report. Pada riset yang dirilis pada
2020, terungkap bahwa non-governmental organization (NGO) adalah target serangan siber
terbesar. Sebanyak 32 persen dari serangan siber pada periode Juni 2019 – Juli 2020
menyasar NGO.1 Pada dokumen yang sama juga dijelaskan bahwa mayoritas NGO yang
menjadi target serangan adalah mereka yang fokus pada isu hak asasi manusia, advokasi
publik, lembaga think-thank yang fokus pada kebijakan publik, isu-isu internasional dan
keamanan.

1
Microsoft Digital Defense Report 2020.
OMS merupakan entitas dengan fokus kerja yang begitu luas atau nyaris di semua sektor.
Untuk mencapai tujuannya, OMS sering kali melakukan pengumpulan, penyimpanan, dan
pemrosesan data pribadi. Data-data tersebut, baik yang bersifat digital maupun nondigital,
digunakan untuk mendukung pelaksanaan program atau kegiatan, hingga tahap monitoring
dan evaluasi (Gazi, 2020). Data yang dikumpulkan mulai dari data staf, mitra, penerima
manfaat, relawan, sponsor, hingga donor, baik yang bersifat umum maupun sensitif atau
spesifik. Artinya, OMS merupakan salah satu entitas yang sudah semestinya memperhatikan
aspek pelindungan data pribadi serta privasi, terlebih ketika sudah ada regulasi yang
mengatur hal tersebut.

Laporan mengenai insiden kebocoran data pribadi yang menimpa organisasi masyarakat sipil
di Indonesia memang belum ada, namun bukan berarti tidak ada. Bukan berarti organisasi
masyarakat sipil “aman” dari potensi kebocoran data pribadi. Padahal pelanggaran atas
pelindungan data pribadi bukan hanya kebocoran data masif. Memberikan nomor kontak
orang lain tanpa persetujuan pemilik nomor kontak, misalnya, adalah jenis pelanggaran data
pribadi ‘kecil’ yang terjadi di sekitar kita.

Fenomena ini sering terjadi, bahkan dianggap wajar karena banyak faktor, misalnya alasan
karena teman sendiri atau percaya bahwa nomor tersebut tidak akan disalahgunakan.
Padahal nomor kontak adalah termasuk “data pribadi yang dikombinasikan untuk
mengidentifikasi seseorang” sebagaimana penjelasan Pasal 4 (ayat 3, huruf F) UU No.
27/2022. Sedangkan untuk membagi data pribadi seseorang diperlukan persetujuan dari
pemilik data pribadi (subjek data) sebagaimana diatur pada Pasal 5 UU No. 27/2022.

Awal tahun 2023, Yayasan Tifa berkolaborasi dengan CRI untuk mengadakan riset
pendahuluan mengenai praktik pelindungan data di kalangan OMS dalam rangka penyusunan
modul pelatihan pelindungan data pribadi. Riset pendahuluan ini melibatkan perwakilan 53
organisasi masyarakat sipil di Indonesia.

Dari riset pendahuluan tersebut diketahui bahwa ada 67 persen organisasi yang belum
memiliki aturan khusus mengenai pelindungan data pribadi. Di sisi lain, 47 persen responden
menilai bahwa organisasi mereka belum memiliki standar administratif yang layak untuk
menjaga keamanan data pribadi yang mereka kelola dan 51 persen responden menilai bahwa
organisasi mereka belum memiliki kapasitas teknis yang memadai untuk melindungi data
pribadi yang mereka kelola. Ditambah lagi, 66 persen responden menilai bahwa organisasi
mereka belum melakukan penilaian risiko secara berkala untuk menentukan langkah
keamanan yang tepat untuk melindungi data pribadi yang mereka kelola.

Menariknya, 95 persen responden menganggap isu pelindungan data pribadi adalah isu yang
penting dan 85 persen responden mengaku isu tersebut menjadi salah satu topik diskusi di
internal organisasi. Hal ini tentu menarik untuk ditindaklanjuti.

Kesadaran akan pentingnya pelindungan data pribadi sangat erat kaitannya dengan
perubahan perilaku, baik di level individu maupun organisasi. Peningkatan kapasitas individu
harus diikuti peningkatan kapasitas organisasi. Dengan kata lain, peningkatan kapasitas
harus diinstitusionalisasi agar dapat menjadi pengetahuan kolektif yang pada akhirnya akan
menjadi kultur organisasi.
Guna menjawab kebutuhan tersebut, Yayasan Tifa berkolaborasi dengan CRI untuk
menyelenggarakan Pelatihan Pelindungan Data Pribadi untuk Organisasi Masyarakat Sipil di
Indonesia.

Tujuan Kegiatan
1. Meningkatkan pemahaman OMS mengenai pengaturan pelindungan data pribadi di
Indonesia dan relevansinya dengan kerja-kerja OMS.
2. Memberikan pemahaman kepada OMS mengenai pentingnya melembagakan
pelindungan data pribadi di OMS.
3. Meningkatkan pengetahuan OMS mengenai praktik tata kelola data yang aman dan
keamanan digital.
4. Meningkatkan kemampuan OMS dalam melakukan manajemen risiko dan insiden
organisasi dalam konteks pelindungan data pribadi.

Waktu dan Tempat

Pelatihan Pelindungan Data Pribadi untuk OMS akan dilaksanakan secara tatap muka pada:

Hari/ Tanggal : Selasa - Rabu, 10-11 Oktober 2023

Waktu : 08.00 - 17.00 WIB
Tempat : Yogyakarta (detail lokasi akan diinformasikan kemudian)

Peserta Kegiatan
Peserta pelatihan ini adalah OMS dari wilayah barat, tengah, dan timur Indonesia. Peserta
terdiri dari 1 (satu) orang wakil Tim Manajemen dan 1 (satu) orang staf yang menjalankan
fungsi pelindungan data pribadi dan/atau sistem informasi di organisasi.

Jadwal Kegiatan*
Waktu Durasi Kegiatan Hari 1
09:00 – 10:00 60 menit Pembukaan, perkenalan, paparan agenda, dan pembentukan
kesepakatan untuk menyediakan ruang aman
10:00 – 10:15 15 menit Coffee break
10:15 - 11.45 90 menit Mengenal Pelindungan Data Pribadi dan Privasi:
1) Konsep Dasar Privasi dan Pelindungan Data Pribadi
2) Perkembangan Hukumnya
3) Prinsip Dasar Pelindungan Data Pribadi dalam UU
PDP
11:45 - 12:00 30 menit Diskusi dan tanya jawab
12:00 – 13:00 60 menit Istirahat
13:00 – 13:30 30 menit Relevansi Pelindungan Data Pribadi bagi OMS (Bag. 1:
Paparan)
Pengantar:
1. Ruang lingkup pemrosesan data pribadi
2. Dasar hukum pemrosesan data pribadi
3. Tanggung jawab pengendali data pribadi
13.30 - 15.00 90 menit Relevansi Pelindungan Data Pribadi bagi OMS (Bag. 2: Tugas
kelompok; diskusi alur pemrosesan data pribadi)
 15:00 - 15.30 30 menit Coffee break
15:30 – 16:30 60 menit Manajemen Risiko dalam Konteks PDP (Bag 1: Paparan dan
Tugas Kelompok)
16:30 – 17.00 30 menit Penutup dan Plus Delta
Waktu Durasi Kegiatan Hari 2
08.30 - 09.00 30 menit Pembukaan: refleksi pagi (review singkat materi hari pertama)
09.00 – 11.00 120 menit Manajemen Risiko dalam Konteks PDP (Bag. 2: Presentasi
Kelompok)

11:00 - 12.00 60 menit Manajemen Insiden Keamanan Data Pribadi (Bag. 1: Tugas
kelompok berdasar studi kasus)
12.00 – 13.00 60 menit Istirahat
13.00 – 14.30 90 menit Manajemen Insiden Keamanan Data Pribadi (Bag. 2:
Presentasi dan diskusi)
14.30 - 14.40 10 menit Panduan pembuatan pedoman PDP organisasi
14.40 – 15.00 20 menit Coffee break
15.00 – 16:30 90 menit Kiat Tata Kelola Data yang aman:
1) Bagaimana Internet bekerja dan celah kebocoran data
2) Potensi penyalahgunaan data
3) Menyimpan data dan berkomunikasi dengan aman
16:30 – 17:00 30 menit Penutup, refleksi dan evaluasi
*) Jadwal di atas bersifat sementara. Perubahan dimungkinkan seiring dengan hasil asesmen yang
akan dilakukan tim penyelenggara.