Riwayat Jabatan
TUAMAN MANURUNG, SH, MH. CLA 1. Legal drafter, Setditjen aplikasi Informatika
2. Analis Kebijakan Pertama Kementerian Komunikasi dan Informatika
3. Kasi Perencanaan Tata Kelola Pelindungan Data Pribadi
4. Analis Kebijakan Muda Kementerian Komunikasi dan Informatika
Riwawat Pekerjaan
§ Pelatihan “Legal Framework on PDP in Criminal Investigation”, Maastricht University
§ Pelatihan “Data Protection Officer EU GDPR”, Maastricht University
§ Pelatihan”CIPM”, Strait Interactive, Singapore
§ Tim Penyusun Regulasi UU ITE,
§ Tim Penyusun Regulasi UU PDP dan Peraturan Terkait
§ PIC TIM Penyusunan PP 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik,
§ Tim Penyusun Peraturan Pelaksana PP 71/2019 (Permen 5 Tahun 2020)
§ Tim Kuasa Hukum Pemerintah dalam Perkara Perdata dan Judicial Review MK.
§ Ahli dalam Perkara Tindak Pidana ITE di Penyidikan dan Persidangan
UU Pelindungan Data Pribadi
SUBSTANSI REGULASI
Telah disahkan oleh DPR dan Pemerintah dan telah
Status
Definisi & Ruang Lingkup Sanksi Administratif diundangkan (UU No. 27/2022) tanggal 17 Oktober 2022
10 BAB
245 PASAL
RUANG LINGKUP
Orang perseorangan Who?
Setiap Orang
Who? Badan Publik
Organisasi Melakukan pemrosesan
Internasional Data Pribadi dalam kegiatan What?
pribadi atau rumah tangga
What? Melakukan pemrosesan Data Pribadi
Pengecualian Keberlakuan
a. data dan informasi kesehatan
DATA PRIBADI b.
c.
data biometrik
data genetika
berpotensi menimbulkan dampak lebih
besar kepada Subjek Data Pribadi
d. catatan kejahatan Tindakan diskriminatif
SPESIFIK e. data anak Kerugian materiel dan/atau imateriel
f. data keuangan pribadi
Dampak lainnya yang bertentangan
g. data lainnya sesuai dengan
ketentuan peraturan perundang- dengan peraturan perundang-undangan
undangan
a. nama lengkap
pengkombinasian Data Pribadi untuk
b. jenis kelamin
c. kewarganegaraan mengidentifikasikan seseorang
UMUM d. agama
Referensi langsung
e. status perkawinan termasuk penggunaan
f. Data Pribadi yang dikombinasikan Referensi pemetaan
data yang tersedia pada
untuk mengidentifikasi seseorang Triangularisasi domain publik
Kombinasi lainnya
Mengenal Para Pihak dalam Pemrosesan Data Pribadi
Penunjukkan Prosesor Data Pribadi lainnya oleh Prosesor Data Pribadi diatur dalam perjanjian tertulis dengan
Draf RPP PDP memperhatikan tingkat Pelindungan Data Pribadi yang setara sesuai yang disepakati dalam perjanjian antara
Pengendali Data Pribadi dan Prosesor Data Pribadi.
Tiap Siklus Pemrosesan Terdapat Risiko dan Aspek
Siklus Pemrosesan Data Pribadi Pelindungan (Pelaksanaan Kewajiban dan
Pemenuhan Hak)
+/-
10 38
Hak Kewajiban
Subjek
Data atas permintaan hak secara langsung
Subjek Data Pribadi
PELAKSANAAN HAK
SUBJEK DATA PRIBADI
Ps. 14 UU PDP
Ps. 37 RPP PDP
a. pemerolehan dan pengumpulan; q Pemrosesan Data Pribadi Secara Terbatas dan Spesifik
b. pengolahan dan penganalisisan; q Permintaan dan Penyampaian Informasi
c. penyimpanan; SIKLUS q Pemrosesan Data Pribadi Sesuai dengan Tujuan
d. perbaikan dan pembaruan; PEMROSESAN q Akurasi, Kelengkapan, dan Konsistensi Data Pribadi
DATA PRIBADI
e. penampilan, pengumuman, transfer, q Pelengkapan, Pembaruan, dan/atau Perbaikan
penyebarluasan, atau pengungkapan; dan/ atau q Perekaman terhadap Kegiatan Pemrosesan Data Pribadi
f. penghapusan atau pemusnahan q Akses dan Salinan Data Pribadi
q Pengakhiran Pemrosesan, Penghapusan, dan/atau Pemusnahan Data Pribadi
q Penarikan Persetujuan
Terbatas dan spesifik, sah secara hukum, dan transparan q Pengajuan Keberatan
q Penundaan dan Pembatasan Permosesan
Sesuai tujuannya
q Gugatan dan Perimaan Ganti Rugi
Menjamin hak Subjek Data Pribadi q Portabilitas dan Interoperabilitas Data Pribadi
Akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat q Pemberitahuan Kegagalan Pelindungan Data Pribadi
dipertanggungjawabkan q Penilaian Dampak Pelindungan Data Pribadi
PRINSIP q Pengamanan Data Pribadi
Melindungi keamanan Data Pribadi
PEMROSESAN q Penggabungan, Pemisahan, Pengambilalihan, Peleburan, dan/atau Pembubaran
Memberitahukan tujuan dan aktivitas pemrosesan, serta DATA PRIBADI
Badan Hukum
kegagalan PDP
q Pemrosesan Data Pribadi secara Bertanggung Jawan dan Dapat Dibuktikan secara
Data Pribaadi dimusnahkan dan/atau dihapus setelah Jelas
masa retensi berakhir atau berdasarkan permintaan q Kewajiban Prosesor Data Pribadi
Subjek Data Pribadi
q Pejabat Petugas Pelindung Data Pribadi
Bertanggung jawab dan dapat dibuktikan secara jelas q Pengecualian Hak dan Kewajiban
DASAR PEMROSESAN
01 PERSETUJUAN YANG SAH SECARA EKSPLISIT PELAKSANAAN TUGAS DALAM RANGKA
KEPENTINGAN UMUM, PELAYANAN PUBLIK, ATAU
Penolakan pemberian persetujuan dari SDP tidak
mempengaruhi kualitas barang, jasa, atau layanan yang PELAKSANAAN KEWENANGAN 05
disediakan Pengendali Data Pribadi. • Pelaksanaan tugas dalam rangka kepentingan umum atau pelayanan
publik dilakukan dalam hal:
PEMROSESAN DATA PRIBADI ANAK Ps. 25 UU PDP Ps. 51-52 RPP PDP
o Melaksanakan ketentuan peraturan perundang-undangan untuk
melakukan tindakan dalam rangka kepentingan umum dan/atau
PEMROSESAN DATA PRIBADI
PENYANDANG DISABILITAS
Ps. 26 UU PDP Ps. 53 RPP PDP pelayanan publik
DASAR PEMROSESAN o Terdapat kepentingan publik yang secara langsung terancam jika
pemrosesan Data Pribadi tidak dilakukan
Ps. 20 UU PDP Ps. 44 RPP PDP • Pelaksanaan kewenangan dapat dilakukan berdasarkan persetujuan
Penggunaan dasar pemrosesan disertai dengan kewajiban menyampaikan informasi kepada SDP, orang tua SDP, dan/atau wali SDP sesuai ketentuan peraturan perundang-undangan
TRANSFER DATA PRIBADI KE LUAR WILAYAH HUKUM NRI
KEWAJIBAN MEMENUHI PERSYARATAN TRANSFER
Kriteria Transfer Data Pribadi ke Luar Wilayah Hukum NRI
1
negara tempat kedudukan Pengendali Data Pribadi dan/atau Prosesor Data
Pribadi yang menerima transfer Data Pribadi memiliki tingkat Pelindungan Data
1. dilakukan oleh Pengendali Data Pribadi
Pribadi yang setara atau lebih tinggi 2. membuat Data Pribadi tersedia untuk Pengendali dan/atau Prosesor yang
menerima Data Pribadi
Lembaga PDP melakukan penilaian dan dapat menetapkan daftar berdasarkan: 3. Pengendali dan/atau Prosesor yang menerima Data Pribadi berada di luar
1. adanya peraturan hukum PDP di negara penerima;
2. adanya lembaga atau otoritas PDP; dan wilayah hukum NRI
3. komitmen internasional atau tunduk pada kewajiban yang timbul dari
konvensi/instrumen perjanjian internasional yang mengikat terkait PDP.
atau
Kewajiban
Ketentuan yang
secara berjenjang
2
terdapat Pelindungan Data Pribadi yang memadai dan bersifat mengikat
1 perekaman & pemetaan siklus transfer beserta implikasinya
3
mendapatkan persetujuan Subjek Data Pribadi
6 menerapkan langkah prosedural jika menggunakan instrumen pelengkap
UPAYA ADMINISTRATIF
• Pengendali Data Pribadi, Prosesor Data Pribadi, dan pihak lain yang terkait dengan pemrosesan Data
Pribadi, wajib menyesuaikan dengan ketentuan pemrosesan Data Pribadi berdasarkan UU PDP paling
lama 2 (dua) tahun sejak UU PDP diundangkan.
• Pada saat UU PDP mulai berlaku, semua ketentuan peraturan perundang-undangan yang mengatur
mengenai Pelindungan Data Pribadi, dinyatakan masih tetap berlaku sepanjang tidak bertentangan
dengan ketentuan dala UU PDP.
Sanksi Administratif?
• Sejalan dengan masa penyesuaian ketentuan pemrosesan Data Pribadi berdasarkan UU PDP, maka
ketentuan mengenai Sanksi Administratif akan berlaku setelah masa penyesuaian berakhir.
Gugatan Keperdataan?
• Pasal 12 UU PDP mengatur hak Subjek Data Pribadi untuk menggugat dan menerima ganti rugi atas
pelanggaran pemrosesan Data Pribadi.
• Pada saat UU PDP mulai berlaku, Subjek Data Pribadi dapat menggugat atas kerugian yang dideritanya.
Keberlakuan Ketentuan Pidana
• Undang-Undang ini mulai berlaku pada tanggal diundangkan (17 Oktober
2022)àKetentuan Pidana sudah mulai berlaku sejak diundangkan.
• Pada saat Undang-Undang ini mulai berlaku, Pengendali Data Pribadi, Prosesor
Data Pribadi, dan pihak lain yang terkait dengan pemrosesan Data Pribadi, wajib
menyesuaikan dengan ketentuan pemrosesan Data Pribadi berdasarkan Undang-
Undang ini paling lama 2 (dua) tahun sejak Undang-Undang ini diundangkan.
• Compliance/Tata Kelola Pemrosesan data Pribadi termasuk kelalaian yang
masuk ranah administratif wajib menyesuaikan paling lama 17 Oktober 2024.
Data Protection Officer(DPO)
Dalam hal tertentu, Pengendali Data Pribadi wajib menunjuk
pejabat/petugas yang melaksanakan fungsi pelindungan data
pribadi (PPDP/DPO/DataProtection Officer).
Setidaknya dibutuhkan
140.917 org
PPDP untuk memenuhi Tugas PPDP
kebutuhan PPDP di
Indonesia
(Kajian Grand Design 1. menginformasikan dan memberikan saran kepada Pengendali Data
Pembentukan Ekosistem PPDP, Pribadi atau Prosesor Data Pribadi agar mematuhi ketentuan dalam
Kemkominfo, 2021)
Undang-Undang ini;
2. memantau dan memastikan kepatuhan terhadap Undang-Undang ini dan
kebijakan Pengendali Data Pribadi atau Prosesor Data Pribadi;
3. memberikan saran mengenai penilaian dampak Pelindungan Data
Pribadi dan memantau kinerja Pengendali Data Pribadi dan Prosesor
Data Pribadi; dan
4. berkoordinasi dan bertindak sebagai narahubung untuk isu yang
berkaitan dengan pemrosesan Data Pribadi.
• memberikan akses yang sesuai ke layanan lainnya untuk • melaporkan kinerja unit, pejabat, atau pihak tersebut
mendapatkan informasi penting yang berkaitan dengan pemrosesan kepada direksi dan/atau Lembaga PDP dalam hal PPDP
Data Pribadi menilai unit, pejabat, atau pihak tersebut telah atau tidak
menerapkan langkah teknis dan operasional yang turut
• meminta saran dari PPDP pada saat melakukan penilaian dampak mempertimbangkan pelindungan Subjek Data Pribadi
Pelindungan Data Pribadi; dan sesuai kebutuhan Pengendali Data Pribadi.
• mendokumentasikan detail dan kegiatan dari PPDP.
Dalam hal PPDP melaksanakan tugas dan kewajiban lain, Pengendali Data
Pribadi atau Prosesor Data Pribadi harus memastikan bahwa tugas tersebut
tidak mengakibatkan konflik kepentingan.
Ilustrasi Penempatan DPO dalam Struktur Perusahaan
Ilustrasi Struktur Organisasi PPDP Decentralised Ilustrasi Struktur Organisasi PPDP Centralised
(Data Office)
1 2 3 4 Mitigasi Risiko
Sumber Daya
Kultur Teknologi (Jaringan, Sistem,
Manusia
Data)
1. Mengidentifikasi jenis data pribadi, tujuan, dan legal basis 1. Memastikan dan melaksanakan kepatuhan 1. Melakukan evaluasi secara berkala
(persetujuan, kontrak, kewenangan, dsb) dari data pribadi terhadap regulasi PDP dan kebijakan/SOP terhadap aktivitas pemrosesan data
yang dikumpulkan, diproses, diberikan ke pihak lain, internal pribadi
disimpan, dan dimusnahkan. 2. Menerapkan sistem keamanan yang andal 2. Penerapan risk assessment dan
2. Mengevaluasi semua perjanjian/kontrak dengan pihak dalam pemrosesan maupun penyimpanan data prosedur mitigasi jika terjadi kebocoran
ketiga (prosesor, penyedia komputasi awan, jaringan pribadi data pribadi
pengiklanan, dsb) yang melibatkan data pribadi 3. Menggunakan alat/teknologi yang menunjang 3. Mendokumentasikan rekam jejak
3. Membuat dan/atau mengevaluasi Kebijakan Privasi/PDP privasi dan pelindungan data pribadi pengguna pemrosesan, permintaan informasi dari
(privacy/data protection policy) yang komprehensif, (privacy-enhancing tools) seperti end-to-end subjek data pribadi ataupun dari otoritas
ditampilkan secara jelas, & dapat dipahami oleh encryption berwenang
pengguna. 4. Menyediakan layanan/kontak bantuan untuk 4. Berkoordinasi dan melapor kepada
4. Menyusun kebijakan/SOP internal yang mengatur pengguna Pemerintah/lembaga berwenang jika
pemrosesan data pribadi (mulai dari pengumpulan hingga 5. Memberikan edukasi/pelatihan mengenai terjadi kebocoran data pribadi
penghapusan/pemusnahan) kebijakan dan implementasi PDP untuk semua
5. Menunjuk pejabat/petugas untuk menangani PDP (Data pegawai
Protection Officer) di internal organisasi 6. Mendukung kerja-kerja pejabat/petugas yang
melaksanakan PDP (Data Protection Officer)
Terima Kasih