Pelindungan Data Pribadi

Peraturan Pelindungan Data Pribadi

Undang undang
Peraturan nomor 19 tahun
Undang - undang Menkominfo 2016 tentang
nomor 11 tahun nomor 20 tahun perubahan atas
1 2008 tentang 2 2016 tentang 3 undang undang
informasi dan Perlindungan data nomor 11 tahun
transaksi elektronik. pribadi dalam 2008 tentang
sistem elektronik informasi dan
transaksi elektronik.

Peraturan POJK No. 6/POJK.

pemerintah nomor 07/2022 tentang Undang undang
71 tahun 2019 Perlindungan nomor 27 tahun
4 tentang 5 konsumen dan 6 2022 tentang
penyelenggaraan masyarakat di pelindungan data
sistem dan sektor jasa pribadi.
transaksi elektronik. keuangan
 Definisi Jenis Data Pribadi
Data Pribadi

Data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan
informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau non elektronik.

Data Pribadi Spesifik Data Pribadi Umum

Contoh Data Pribadi
(Pasal 4 Ayat 2) (Pasal 4 Ayat 3)
1 Data dan informasi kesehatan 1 Nama Lengkap

Nama, tempat lahir, tanggal 2 Data Biometrik 2 Jenis Kelamin

lahir, alamat, nomor rekening,
nama gadis ibu kandung atau 3 Data Genetika 3 Kewarganegaraan

informasi lain yang terkait atau

4 Catatan kejahatan 4 Agama
ditautkan dengan seseorang
seperti catatan rekam medis, 5 Data anak 5 Status perkawinan
catatan keuangan, riwayat
pendidikan dan pekerjaan. 6 Data keuangan pribadi Data Pribadi yang dikombinasikan
6
untuk mengidentifikasi seseorang

7 Data lainnya

Referensi : UU Nomor 27 tahun 2022 tentang Pelindungan Data Pribadi

 Pelindungan data pribadi

Pelindungan Data Pribadi Prinsip - prinsip pelindungan data pribadi

Keseluruhan upaya untuk

melindungi data pribadi dalam Data Minimization
rangkaian pemrosesan data pribadi Purpose
guna menjaga hak konstitusional Storage Limitation
subjek data pribadi. Limitation

Accountability Data Protection

Accuracy and
Transparancy
Completeness
Data Subject
Rights

Referensi : UU Nomor 27 tahun 2022 tentang Pelindungan Data Pribadi

 Pemrosesan Data Pribadi

Pemerolehan dan Pengumpulan Perbaikan dan pembaruan

Dilakukan atas persetujuan pemilik Dilakukan dalam saluran yang aman

data pribadi secara transparan dan berdasarkan data terkini dengan
sah secara hukum. persetujuan pemilik data pribadi.

Penampilan, pengumuman, transfer,

Pengolahan dan Analisa penyebarluasan, dan pengungkapan

Dilakukan atas pemberitahuan atas

Dilakukan sesuai tujuan dengan
tujuan dari aktivitas pengiriman data
menjamin hak pemilik data
pribadi.

Penyimpanan Penghapusan atau pemusnahan

Dilakukan dalam saluran yang aman

Dilakukan dengan metode yang aman
berdasarkan data terkini dengan
dan dapat dipertanggungjawabkan.
persetujuan pemilik data pribadi.

Referensi : UU Nomor 27 tahun 2022 tentang Pelindungan Data Pribadi

 Dasar Pemrosesan Data Pribadi

Persetujuan yang sah secara eksplisit dari subjek

1 data pribadi.

Pemenuhan pelindungan kepentingan vital subjek

Pemenuhan kewajiban perjanjian dalam hal subjek
4 data pribadi.
2 data pribadi merupakan salah satu pihak dalam
perjanjian.
Pelaksana tugas dalam rangka kepentingan
umum, pelayanan publik atau pelaksanaan
5
kewenangan pengendali data pribadi berdasarkan
Pemenuhan kewajiban hukum dari pengendali peraturan perundang - undangan.
3 data pribadi sesuai dengan ketentuan peraturan
perundang - undangan.

Referensi : UU Nomor 27 tahun 2022 tentang Pelindungan Data Pribadi

 Pihak yang terlibat dalam pemrosesan data
pribadi

Pengendali Data Pribadi

Pengendali Data Prosessor Data
Pribadi Pribadi Orang perseorangan atau badan hukum,
otoritas publik, lembaga atau badan lain yang
menentukan tujuan dan melakukan kendali
pemrosesan data pribadi.
Pemrosesan
data pribadi
Prosessor Data
Orang perseorangan atau badan hukum,
Subjek Data otoritas publik, lembaga atau badan lain yang
Pribadi
memproses data pribadi atas nama
pengendali.

Subjek Data Pribadi

Orang perseorangan yang teridentifikasi atau

dapat diidentifikasi (misalnya klien swasta,
karyawan, konsultan eksternal, dll)

Referensi : UU Nomor 27 tahun 2022 tentang Pelindungan Data Pribadi

 Hak Subjek Data
Hak untuk diberitahu (Pasal 5)
Subjek data pribadi memiliki hak untuk mengetahui siapa yang
melakukan pemrosesan data mereka.
Hak melengkapi, memperbaharui dan memperbaiki
kesalahan (Pasal 6)
Subjek data pribadi memiliki hak untuk melengkapi, memperbahrui
dan memperbaiki kesalahan data pribadi mereka
Hak Akses (Pasal 7)
Subjek data pribadi memiliki hak untuk mengakses data pribadi dan
informasi tambahan mereka.
Hak mengakhiri pemrosesan, menghapus, dan atau
memusnahkan (Pasal 8)
Subjek data pribadi memiliki hak untuk mengakhiri pemrosesan,
menghapus, memusnahkan data pribadi mereka.
Hak menarik persetujuan (Pasal 9)
Subjek data pribadi memiliki hak untuk menarik kembali persetujuan
pemrosesan data pribadi tentang dirinya yang telah diberikan kepada
pengendali data pribadi.
Hak pengambilan keputusan dan pembuatan profil
otomatis (Pasal 10)
Subjek data pribadi memiliki hak pengajuan keberatan atas tindakan
pengambilan keputusan yang didasarkan pada pemrosesan secara
otomatis dan pemrofilan.
Hak untuk menolak (Pasal 11)
Subjek data pribadi memiliki hak untuk menolak pemrosesan data
mereka dan bahkan pembuatan profil.
Hak atas kompensasi dan kewajiban (Pasal 12)
Subjek data pribadi memiliki hak untuk mendapatkan kompensasi
serta kewajiban dari yang harus dipenuhi oleh pengendali data pribadi
dan prosesor data pribadi.
Hak atas portabilitas data (Pasal 13)
Subjek data pribadi memiliki hak untuk mendapatkan dan
menggunakan kembali data pribadi mereka.
Pelaksanaan hak (Pasal 14)
Diajukan melalui permohonan yang tercatat disampaikan secara
elektronik / non elektronik.
Pengecualian hak subjek data pribadi (Pasal 15)
Hak subjek data pribadi (pasal 8, 9, 10 ayat 1, 11 dan 13 ayat 1 dan 2)
dikecualikan untuk kepentingan pertahanan keamanan nasional,
proses penegakan hukum dan lain - lain.
Referensi : UU Nomor 27 tahun 2022 tentang Pelindungan Data Pribadi
Kewajiban Pengendali Data Pribadi

Referensi : UU Nomor 27 tahun 2022 tentang Pelindungan Data Pribadi

 Kewajiban Prosessor Data Pribadi

01 02 03 04
Hanya melakukan Implementasi langkah dan Membantu pengendali Membantu pengendali data
pemrosesan data teknis organisasi yang data untuk merespon memenuhi kewajiban yang
sebagaimana instruksi memadai. permintaan subjek data timbul dari prinsip - prinsip
pengendali data pribadi. pribadi untuk PDP.
mendapatkan haknya.

05
Melakukan perekaman
terhadap seluruh kegiatan
pemrosesan data pribadi.
06 07 08
Membantu pengendali Menyediakan informasi
Penghapusan data
data dalam pelaksanaan kepada pengendali data
pribadi.
penilaian dampak untuk menunjukkan
pelindungan data pribadi. kepatuhan.

Referensi : UU Nomor 27 tahun 2022 tentang Pelindungan Data Pribadi

 Perekaman Kegiatan Pemrosesan Data Pribadi /
Record Of Processing Activities (ROPA)

Pengumpulan Penyimpanan
Perekaman atas pemrosesan data pribadi /
Record Of Processing Activities (ROPA)
adalah aktivitas yang dilakukan untuk Transfer
mengetahui keseluruhan pemrosesan data
pribadi yang dilakukan oleh pengendali data
pribadi / prosessor data pribadi.
Pemusnahan Penggunaan
Output dari kegiatan perekaman atas
pemrosesan data pribadi adalah
● Informasi kontak pengendali data
pribadi dan PPDP.
● Tujuan pemrosesan data pribadi. Contoh pemrosesan data pribadi
● Deskripsi kategori & jenis subjek data
pribadi.
● Deskripsi kategori pihak yang akan
● Proses pengajuan kredit gadai.
atau telah menerima data pribadi. ● Proses pengajuan kredit mikro.
● Deskripsi pengamanan data pribadi. ● Pembukaan rekening tabungan emas (outlet,
● Retensi data pribadi. pds, dll).

Referensi : UU Nomor 27 tahun 2022 tentang Pelindungan Data Pribadi

 Penilaian Dampak Pelindungan Data Pribadi /
Data Protection Impact Asessment (DPIA)
Penilaian dampak pelindungan data pribadi / Data Protection Impact Pemrosesan data pribadi dikategorikan
Asessment (DPIA) adalah aktivitas yang dilakukan untuk mengetahui sebagai resiko tinggi dan wajib dilakukan
resiko yang muncul bagi subjek data pribadi karena datanya penilaian dampak pelindungan data pribadi
dilakukan pemrosesan. adalah :
● Pengambilan keputusan secara
otomatis yang memiliki dampak
signifikan terhadap subjek data.
● Pemrosesan data pribadi yang bersifat
spesifik.
● Pemrosesan data pribadi dalam skala
besar.
● Pemrosesan data pribadi untuk
evaluasi, penilaian atau pemantauan
sistematis terhadap subjek data
pribadi.
● Pemrosesan data pribadi untuk
kegiatan pencocokan atau
penggabungan sekelompok data.
● Penggunaan teknologi baru dalam
pemrosesan data pribadi.
● Pemrosesan data pribadi yang
membatasi hak subjek data pribadi.

Referensi : UU Nomor 27 tahun 2022 tentang Pelindungan Data Pribadi

 Persetujuan
Definisi
Setiap indikasi yang diberikan secara bebas, spesifik, terinformasi dan tidak ambigu dari keinginan
subjek data pribadi yang dibuktikan dengan pernyataan atau tindakan afirmatif yang jelas
menandakan persetujuan untuk pemrosesan data pribadi yang berkaitan dengannya.

Infomasi yang wajib disampaikan ketika melakukan

Bentuk persetujuan
pemrosesan data pribadi berdasarkan persetujuan
1. Legalitas dari pemrosesan data pribadi.
1. Tertulis dan terekam.
2. Tujuan pemrosesan data pribadi.
2. Elektronik atau nonelektronik.
3. Jenis dan relevansi data pribadi yang
3. Kekuatan hukum yang jelas.
akan diproses.
4. Dapat dibedakan secara jelas dengan
4. Jangka waktu retensi dokumen yang
hal lainnya.
memuat data pribadi.
5. Dibuat dengan format yang dapat
5. Rincian mengenai informasi yang
dipahami dan mudah diakses.
dikumpulkan.
6. Menggunakan bahasa yang sederhana
6. Jangka waktu pemrosesan data
dan jelas
pribadi.
7. Hak subjek data pribadi.

Referensi : UU Nomor 27 tahun 2022 tentang Pelindungan Data Pribadi

 Pejabat pelindungan data pribadi (PPDP)
Pejabat pelindungan data pribadi Tugas
(PPDP) adalah pejabat yang
melaksanakan fungsi pelindungan data
pribadi didalam sebuah organisasi. Menginformasikan dan memberi saran kepada pengendali data pribadi atau
prosesor data pribadi agar memenuhi ketentuan dalam undang - undang ini.
Klasifikasi Kompetensi PPDP

Pengetahuan
1. Pengetahuan mengenai hukum dan praktik
perlindungan data pribadi.
2. Pengetahuan Manajemen.
Memantau dan memastikan kepatuhan terhadap undang - undang ini dan
3. Pengetahuan teknologi. kebijakan pengendali data pribadi atau prosesor data pribadi.
Keterampilan
1. Keterampilan berhubungan dengan hukum
dan praktik perlindungan data pribadi.
2. Keterampilan berhubungan manajemen
perlindungan data pribadi. Memberikan saran mengenai penilaian dampak pelindungan data pribadi dan
Sikap Kerja memantau kinerja pengendali data pribadi dan prosesor data pribadi.
1. Kepemimpinan.
2. Komunikasi.
3. Keingintahuan yang tinggi.
4. Minat pada perlindungan data dan motivasi
untuk menjadi PPDP.
5. Integritas. Berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan
● Dapat dipercaya memegang rahasia.
● Bebas konflik kepentingan
dengan pemrosesan data pribadi.
(independen).

Referensi : UU Nomor 27 tahun 2022 tentang Pelindungan Data Pribadi

 Pelanggaran Data
Cara Memitigasi
Pelanggaran Data
Yang termasuk dalam pelanggaran data adalah penghancuran,
Membatasi data pribadi
menghilangkan, pengubahan, pengungkapan yang tidak sah, dan
dikumpulkan, disimpan, diproses
akses ke data pribadi secara tidak sah.
dan dibagikan / diungkapkan.

Jenis Pelanggaran
Confidentiality
Pengungkapan yang tidak
sah atau tidak sengaja
atau akses ke data pribadi.
Integrity
Perubahan data pribadi
yang tidak sah atau tidak
sengaja.
Availability
Kehilangan akses atau
penghancuran data pribadi
yang tidak sah atau tidak
disengaja.
Contoh Pelanggaran
Mengirimkan data pribadi ke pihak
yang tidak terotorisasi untuk
menerima data pribadi tersebut.
Memberikan hak untuk mengedit
data pribadi kepada seseorang
yang seharusnya hanya diijinkan
untuk melihat data.
Penghapusan data secara tidak
sengaja.
Menerapkan kehati hatian ketika
menerima dan memproses
informasi terutama dari pihak
yang tidak dikenal.
Meningkatkan awareness
terhadap isu - isu keamanan
informasi dan kebocoran data.
Memastikan bahwa perangkat
elektronik / digital yang digunakan
selalu menggunakan versi yang
terbaru.

Referensi : UU Nomor 27 tahun 2022 tentang Pelindungan Data Pribadi

 Sanksi

Larangan Sanksi Pidana Pelanggaran terhadap kewajiban

- kewajiban yang diatur dalam UU
PDP dapat mengakibatkan
Memperoleh dan mengumpulkan data pengenaan sanksi administratif.
secara tidak sah dengan cara Pidana penjara lima tahun dan / atau
1 1
menyebabkan kerugian yang denda paling banyak Rp. 5 Miliar.
ditanggung oleh subjek.

Pengungkapan data yang melanggar Pidana penjara empat tahun dan / atau
2 2
hukum. denda paling banyak Rp. 4 Miliar.
Sanksi Administratif

Penggunaan data yang melanggar Pidana penjara lima tahun dan / atau
3 3 1 Peringatan tertulis.
hukum. denda paling banyak Rp. 5 Miliar.

Penghentian sementara kegiatan

2
pemrosesan data.
Pidana penjara enam tahun dan / atau
4 Pemalsuan data untuk tujuan komersial. 4
denda paling banyak Rp. 6 Miliar. 3 Penghapusan atau pemusnahan data.

Sanksi pidana tambahan berupa perampasan keuntungan dan / atau harta kekayaan yang Denda administratif yang bervariasi dan
diperoleh atau dihasilkan dari tindak pidana tersebut diatas, serta pembayaran ganti rugi juga
4 yang akan dikenakan maksimal 2 % dari
dapat dikenakan. pendapatan tahunan.

Referensi : UU Nomor 27 tahun 2022 tentang Pelindungan Data Pribadi

 Do & Don’t Data Privacy

Memastikan untuk tidak membagikan dan menyebarkan Jangan tinggalkan berkas mengandung data
data pribadi di media sosial atau internet. pribadi secara terbuka.

Jangan menyimpan data pribadi ke perangkat

Jaga kerahasiaan user & password. personal.

Hanya gunakan data pribadi jika harus dan Jangan tinggalkan perangkat / sistem dalam
hanya sepanjang dibutuhkan. kondisi log - in.

Verifikasi orang lain yang akan menerima data Jangan simpan user dan / atau password di
pribadi seperti dokumen. browser (auto save).

Hapus data / dokumen yang mengandung data Hindari penggunaan wifi umum.
pribadi setelah selesai digunakan.

Merahasiakan data pribadi diri sendiri, nasabah

Jangan buka email, link dan attachment asing.
dan pihak ketiga terkait.
Selesai