Kenapa sih nama undang-undangnya pelindungan data pribadi bukan

perlindungan ini paling-paling basic perlindungan dengan perlindungan tuh dua

hal yang berbeda perlindungan itu maknanya tempat berlindung jadi data pribadi
bukan menjadi tempat berlindung yang benar adalah pelindungan yaitu metode
atau tata cara untuk melindungi data pribadi.
Nah ini ini yang menarik bahwa ada penggunaan frase pelindungan bukan
perlindungan untuk memaknai protection.
Jadi setelah undang-undang PDP ini disahkan ya sebetulnya ada beberapa hal
menarik ya:
1. Pertama kita akan berpikir apakah data pribadi kita itu rahasia atau tidak?
mungkin orang banyak berpikirlah dengan adanya data pribadi data pribadi
kita itu rahasia sebetulnya tidak tapi UU data pribadi ini memberikan kita
sebagai sebagai Subjek data atau pemilik data hak untuk menentukan
apakah data kita bisa diberikan sebagai data yang terbuka atau
dimanfaatkan secara secara proper ataupun tidak boleh sama sekali. jadi
kita sebagai kata yang mengendalikan terkait dengan kerahasia anda itu
sendiri dari sisi.
Dari sisi pengendali data atau pihak yang menerima atau menentukan arah
Mau Dibawa Kemana data pribadi kita mereka punya kewajiban untuk
menjaga kerahasiaan data yang sudah diberikan oleh kita sebagai sebaik
data. Undang-undang data pribadi ini dibutuhkan pertama Karena kita
belum punya loh payung komprehensif undang-undang data pribadi
regulasi data pribadi kita masih sektoral ada kesehatan ada
telekomunikasi ada perlindungan konsumen dan lain-lain.
2. Kemudian Yang kedua bahwa kita perlu menciptakan kepercayaan
masyarakat terkait dengan organisasi atau korporasi yang mengelola data
pribadi kita. Kalau pemrosesan ataupun pengamanannya terjamin tentu kita
sebagai kegiatan lebih percaya kepada organisasi yang berani memberikan
standar atau kualitas jaminan atas dan keamanan data pribadi kita.
3. Kemudian yang ketiga Undang-undang data pribadi ini reformasi cara-cara
kita siapapun orang perseorangan ataupun korporasi dalam memproses data
pribadi. nah kalau dulu orang sering posting foto KTP foto muka orang
dengan menyebut bahwa dia penipu yang menyebut apa istilahnya pelakor
ataupun menyebut dia maling dan seterusnya tanpa memperhatikan bahwa
ada aspek-aspek yang harus dilindungi itupun ini bagian dari reformasi ini
kaitan dengan yang lain ada Kebiasaan Baru yang harus kita sampaikan ke
publik nggak boleh loh hal-hal seperti itu disampaikan tanpa tanpa hak atau
tanpa ada kewenangan untuk menyampaikan
 4. Kemudian terakhir bahwa Biar bagaimanapun data pribadi atau aturan data
pribadi merupakan rezim hukum baru di banyak negara termasuk negara-
negara maju dan berkembang Itulah kenapa bahwa Indonesia perlu
menetapkan satu regulasi untuk menjamin adanya kesetaraan negara
lain belum tentu mau sharing data pribadi antar pelanggan atau
pengguna atau antar warga negara ketika negara yang akan menerima
data tersebut tidak memiliki regulasi yang setara meskipun kesetaraan
itu akan sangat relatif.
Kemudian sebelum undang-undang PDP tadi saya sampaikan ada sektoral yang
mengatur terkait dengan data pribadi untuk perbankan bahkan lebih detail
diantara semua sektor perbankan mengatur Lebih Detail aturan data pribadi
meskipun di situ sebenarnya data nasabah ataupun data konsumen tapi
intinya setiap sektor sudah ada pengaturan parsial

Bahwa dengan adanya undang-undang baru perlindungan data pribadi kita perlu
membuat mindset baru dalam pikiran kita bahwa pertama data pribadi Itu
bukan lagi aset kita nggak pernah ngumpul-ngumpulin data pribadi sebanyak-
banyaknya dengan kita menyebut bahwa saya punya aset data pribadi yang bisa di
prospecting atau kita punya database nasabah database konsumen sebagai hal
yang membanggakan karena bukan lagi aset tapi malah amanah semakin besar
semakin banyak Data yang kita kumpulkan tanggung jawab hukumnya
akan semakin banyak sekali Kemudian yang kedua bahwa data pribadi itu
tidak bisa dimiliki orang atau badan hukum data pribadi tetap melekat ke
subjeknya kepemiliknya kalau pengendali korporasi atau pun organisasi
mengelola data pribadi orang itu hanya diberikan hak untuk mengelola bukan
memiliki sehingga Apapun yang terjadi atas data pribadi yang dikelola oleh para
pengendali korporasi dan lain-lain harus dengan persetujuan dari subjek data itu
sendiri.
- Kemudian, Pertanggung jawaban jika terjadi pelanggaran pidana ataupun
pelanggaran administratif tidak hanya orang tapi termasuk adalah korporasi
makanya disebut ada pidana korporasi korporasi bisa dipindah dengan cara
dikenakan denda dendanya nilainya adalah 10 kali lipat daripada denda
maksimal yang dibebankan ke orang kalau itu berkaitan dengan pidana.
- Jika berkaitan dengan pelanggaran dendanya bisa sampai dua persen ya
berdasarkan variabel tertentu dari penerimaan tahunan sebuah korporasi
atau organisasi. Jika tidak dibayar tidak mampu dibayar atau menolong
dibayar denda tadi bisa dikonversi menjadi pidana penjara ke pengurus
korporasi dalam hal ini bisa Direksi atau bisa para pengambil keputusan
 atau orang yang memberikan perintah dan seterusnya dan itu hal yang baru
ya bahwa ada pidana korporasi. Sebelumnya biasanya hanya diatur di
undang-undang lain lingkungan korupsi dan lain-lain tapi di sini diatur
bahwa mungkin sekali korporasi dipidana.
- kemudian yang terakhir bahwa adanya PDP ini ada kebutuhan SDM dengan
spesifikasi atau kompetensi khusus yang harus dimiliki setiap organisasi
khususnya organisasi atau korporasi yang memberikan pelayanan kepada
masyarakat dikenal ada kebutuhan terkait dengan ppdp petugas
perlindungan data pribadi atau bahasa kerennya DPO data protection
officer ada standar kompetensinya ada standar terkait dengan latar
belakangnya ada sertifikasinya dan lain-lain kemudian kalau kita melihat
dari definisi Apa sih yang kita sebut data pribadi data pribadi itu
bicaranya terkait dengan data orang perseorangan yang teridentifikasi
atau dapat diidentifikasi baik itu sendiri pun dikomunikasi dan
seterusnya ketika jenis-jenis data pribadi ya kalau dalam undang-undang
nggak bisa ketika jenis data pribadi itu ada data umum data spesifik ketika
satu potongan jenis data itu dimunculkan dan bisa mereferensikan pada
satu identitas yang sifatnya unik maka kita sebut sebagai data pribadi Jadi
bukan jenis ini dipastikan bahwa setiap jenis adalah data pribadi bukan
kalau misalnya data yang bocor hanya hanya agama ada tidak ada nama
atau status perkawinan atau data keuangan tapi tidak ada nama nasabahnya
atau data terkait dengan biometrik tapi tidak ada identitas pemiliknya tidak
bisa kita sebut data pribadi tapi ketika data itu presentasikan atau dapat
mengidentifikasi orang misalnya nomor telepon dengan cara tertentu nomor
telepon terdaftar dalam ketentuan registrasi sehingga dapat diidentifikasi IP
address juga dapat diidentifikasi karena akan merujuk pada satu
penyelenggara yang menjadikan layanan internet Nah itu artinya kuncinya
adalah dapat teridentifikasi identifikasi atau dapat diidentifikasi
- Kemudian hal yang berkaitan dengan pengumpulan data pribadinya survei
kami menyebut bahwa bank dan lembaga keuangan itu paling banyak
mengumpulkan data pribadi paling komplit jadi tidak hanya nama
alamat email lengkap gitu sampai ada misalnya penghasilan perbulan
ada nama ibu kandung jumlah anak yang sebetulnya kita bisa lihat lagi
kalau itu relevan ya boleh makanya dalam data pribadi diatur prinsip
pengumpulan data secara relevan spesifik dan terbatas gitu relevan
nggak sih diminta dan spesifik nggak spesifik kemudian terbatasnya tidak
semuanya dikumpulkan kemudian suatu saat bisa menjadi masalah yang
lebih besar kemudian kalau kita bicara profesi baru saya bilang tadi ada
kompetensi SDM tertentu ya Ada kebutuhan sekitar 140.000 petugas atau
pejabat perlindungan data pribadi Apa itu ppdp ppdp itu adalah orang atau
pihak atau fungsi dalam sebuah organisasi yang membuat ataupun
menyiapkan kebijakan termasuk melakukan pengawasan terkait dengan
pemrosesan data pribadi di sebuah organisasi yang melayani kepentingan
publik jadi ppdp itu sifatnya mandatori harus Kalau anda melakukan
layanan memberikan layanan atau melakukan proses data secara masif
Anda harus punya ppdp selaku orang ataupun fungsi dan fungsi ini harus
fungsi yang independen fungsi yang eh fix Ya fungsi yang tetap bukan
hanya sifat kerja ad hoc ataupun hanya semacam Satgas jadi bener-bener
ada dalam struktur organisasi tanggung jawabnya khusus menyiapkan
mekanisme perlindungan memantau memastikan adanya kepatuhan
dijalankan termasuk melakukan privasi impact assessment ya penilaian
dampak atas pribadi misalnya bank melakukan satu produk setiap produk
yang dikeluarkan oleh bank ya dilihat dulu privasi implikasimentnya ada
nggak jika ada nanti kok tim compliance ataupun tim ppdp memberikan
profil sebelum dia di launching sebagai produk yang diakses oleh
masyarakat kemudian ppdp juga akan menjadi penghubung kalau ada ISIS
yang berkaitan dengan pengurusan data misalnya ada data request dari
penegak hukum dari intelijen dari government kemudian dan data sharing
dengan Mitra sesama bank ataupun dengan pihak ketiga lain maka fungsi
ppdp inilah yang menjadi kunci untuk melakukan analisa terkait dengan
boleh atau tidak bolehnya data pribadi dibagikan ataupun diberikan ke
pihak lain kemudian ada Kewajiban melakukan penilaian dampak PDP bagi
setiap korporasi yang menjalankan pemborosan data pribadi yang beresiko
tinggi apa sih konsep dasarnya konsep dasarnya sederhana tadi saya bilang
pihak privasi impact assesment atau penilaian dampak TDP ini seperti
AMDAL gitu amdalnya ada nggak Kalau belum ada Jangan dong dibangun
kalau belum ada Jangan dong disiapkan proyeknya data pribadi pun
demikian kalau misalnya mau launching produk atau mau Launcher sebuah
platform kemudian dampak dilakukan dan ternyata itu masih ada
kemungkinan tidak komplain regulasi PDP ya harusnya stop atau Adanya
kemungkinan resiko terhadap sepeda ya harusnya diberhentikan atau
memberikan rekomendasi apa yang boleh dan tidak boleh ketika ada
sebuah produk yang mau diluncurkan ataupun ada isu tertentu nah ini
potensi resiko tingginya apa saja ada beberapa item di sini misalnya kalau
data yang pribadi proses adalah data yang spesifik dari data kesehatan data
keuangan wajib ada melakukan penilaian dampak TDP yang mana bank
pasti melakukan ini karena ini memang mengelola data keuangan yang
sifatnya spesifik penggunaan teknologi baru kemudian skalanya besar
meskipun belum ditetapkan ya nanti ada peraturan turunan ataupun terkait
dengan penggunaan data pribadi untuk scoring ataupun pengurusan data
 pribadi untuk pencocokan atau menggabungkan data dan seterusnya ini
yang harus memenuhi kriteria dilakukan assessment sebelum disiapkan
atau diluncurkan kepada masyarakat

- Kemudian berhubungan dengan sanksi, sanksi pidana sanksi

administratif kemudian ada juga yang sifatnya gugatan perdata.
Sanksi ini bisa ke orang bisa ke korporasi atau ke pihak lain yang berkaitan
dengan pemrosesan data pribadi.

- Sebagian intermeso, Apakah korporasi kita atau organisasi kita Comply

terhadap penonton PDP dari hal paling sederhana apa rekan-rekan di ruang
kerjanya pasti punya ada CCTV ada orang publiknya ada nggak notifikasi
bahwa ruangan anda dikasih ada CCTVnya itu paling sederhana.

- undang-undang untuk menyiapkan Sebuah alat pengolah data visual di

ruang publik ada kewajiban untuk memasang side atau tanda bahwa area
tersebut dipasangi CCTV ini untuk menjamin bahwa ada kemungkinan
privasi orang terganggu itu hal paling sederhana dari situ kita bisa melihat
bahwa hal paling kecil kita bisa terapkan itu bisa menjadi hal positif untuk
kedepannya terkait dengan pemenuhan keseluruhan aspek dalam undang-
undang pribadi.

- Inti dari proses perlindungan data tuh sebenarnya lebih ke arah

persetujuan gitu jadi persetujuan dari si data subjek pemilik datanya
jadi kalau memang ingin diapakan ingin diproses Seperti apa Nah
harus mendapat memperoleh persetujuan. Nah kalau kita lihat kan
misalkan di bank gitu eee ada minta fotocopy KTP fotokopi data-data KK
misalkan yang lain-lain Nah itu sebenarnya pada saat momen data pribadi
itu diambil itu sebelumnya sebenarnya sudah harus memperoleh
persetujuan dulu untuk data itu diproses itu sudah harusnya disampaikan
dan itu secara tertulis karena memerlukan eksplisit konsen gitu jadi
sebaiknya pada saat berinteraksi meminta Suatu data pribadi itu perlu
persetujuan dan disitu Jelaskan untuk apa data pribadi itu diperoleh.

- Nah yang kedua persetujuan itu harus spesifik jadi tujuannya untuk apa
misalkan untuk mengganti rekening atau Ganti buku atau hal-hal yang lain
Nah itu dijelaskan di dalam secara tertulis dan disimpan eksplisit consent
itu harus ada gitu Nah yang
- Ketiga persetujuan dilakukan bersamaan atau sebelum kita mengumpulkan
data pribadi tadi

- Keempat hanya bisa di share kepada pihak lain. Share-nya kepada

pihak lain itu juga harus atas persetujuan dari data subjek.

- PDP sekarang lebih menarik metode bank bisa mempertimbang atau

siapapun data controller bisa mempertimbangkan untuk menggunakan
pihak ketiga atau internal karena DPO bisa menunjuk pihak ketiga gitu
bukan dari internal Nah ini mungkin nanti bisa membawa ke pemikiran bisa
shifting kewajiban-kewajibannya bisa mengurangi biaya tenaga kerja
misalkan nah

- ini gitu jadi lebih ke mungkin pemikirannya supaya kan tadi ada proteksi
yang baru bisa transfer harus punya proteksi yang sama gitu Nah itu
mungkin pemikiran hebat dari yang membuatnya jadi lebih mudah untuk
hitungan ke depannya gitu untuk transfer data dan lain-lain punya standar
suatu standar go standar yang memang diakui secara internasional nah ini
tadi udah dijelaskan oleh Pak Teguh apa sebenarnya data pribadi Jadi kalau
sekarang kan dalam masa peralihan berarti masih melihatnya ke
perekonomian info 20 2016 Kalau menurut saya yaitu konsepnya seperti ini
jadi data perseorangan dia disimpan dirawat dan jaga kebenaran melekat
dan dapat diderisasi masing-masing individu pemanfaatannya sesuai
ketentuan peraturan perundang-undangan nah cuman sekarang lebih
general lebih general dalam arti cuman kata-kata pentingnya masih ada itu
teridentifikasi atau dapat diidentifikasi secara tersendiri melalui sistem
elektronik atau non elektronik Nah jadi tadi yang seperti gue juga
sampaikan misalkan agama berdiri sendiri bukan agama seseorang itu tidak
jadi Suatu data pribadi karena dia berdiri sendiri tidak mengidentifikasikan
seseorang misalkan nikah agama Islam Nah kalau dia Islamnya sendiri itu
tidak merujuk kepada Mika itu tidak jadi data pribadi tapi pada saat nikah
seorang agama Islam Nah itu menjadi suatu data pribadi nah ini sekarang
karena dalam masa transisi dua tahun peraturan-peraturan yang sekarang
ada itu masih berlaku jadi sifatnya seperti permen kominfo 20 2016
undang-undang perbankan pojk 11 2002 pbi22 2020 itu juga masih berlaku
antara lain ya Ada undang-undang ite dan peraturan-peraturan lainnya juga
masih berlaku di sini untuk mengatur suatu pemrosesan data pribadi nah di
pasal 75 undang-undang PDP juga disebutkan di situ bahwa selama
memang tidak bertentangan dia masih berlaku jadi peraturan-peraturan ini
melengkapi dari undang-undang PDP nah mesti diingat bahwa namanya
undang-undang dalam hierarki peraturan itu adanya di atas Jadi kalau nanti
PP dan lain-lain itu tidak boleh bertentangan dengan undang-undang
jadinya nanti kalau pun ada peraturan di kemudian hari yang menjelaskan
tidak akan secara hierarki peraturan tidak bertentangan dengan undang-
undangnya nah ini Dasar proses data pribadi pasal 20 undang-undang PDP
jadi untuk memproses data pribadi itu ada dasar-dasarnya nah ada
persetujuan yang sah secara eksplisit tadi yang sudah disebutkan
pemenuhan kewajiban perjanjian pemenuhan kewajiban hukum dan
pengendali data pribadi pengumuman perlindungan kepentingan vital
subjek data pribadi nah ini pelaksanaan tugas dalam rangka kepentingan
umum pemenuhan kepentingan yang sah lainnya dengan memperhatikan
tujuan kebutuhan dan keseimbangan kepentingan pengendali data pribadi
jadi ini adalah dasar-dasar pemrosesan data pribadi artinya data-data
control bisa memproses data pribadinya berdasarkan hak-hak atau apa
dasar-dasar yang yang disebutkan di sini nah ini nah ini pemrosesannya
data pribadi ada pengumpulan ada dia harus sesuai dengan tujuannya tadi
yang saya jelaskan bahwa harus sesuai disampaikan tujuannya udah gitu
menjamin subjek data pribadi dan akurat lengkap dan tidak menyesatkan
mutakhir dan dapat dipertanggungjawabkan jadi saya tahu bang secara
periodik itu kan meminta nasabahnya untuk mengupdate data-data
pribadinya Nah itu sangat bagus karena itu untuk memproses data pribadi
itu harus akurat jadi dia dengan di update selalu dia menjadi data sebuah
data yang memang akurat nah udah gitu memberikan memberitahukan
tujuan dan aktivitas memprosesan serta kegagalan perlindungan data
pribadi jadi untuk pertama yang memberitahukan tujuan nah kembali lagi
biasanya lawyer atau perjanjian suka yang sifatnya blanket blanket artinya
dibuat secara general disebutkan bahwa bahwa bank berhak untuk
memproses data pribadi untuk segala macam kebutuhan yang diperlukan
oleh bank Nah itu udah nggak bisa lagi karena sifatnya itu tujuannya harus
jelas spesifik dan memang dapat disebutkan dalam tersebut jadi sesuai
ekspresi konsepnya ada tujuannya apa Nah itu musti disebutkan
merefleksikan persetujuannya gitu nah ini ke depan seperti ini udah gitu
serta kegagalan perlindungan data pribadi nah ini harus diberitahukan tiga
kali 24 jam Nah ini mungkin nanti manfaatnya Seperti apa terlalu cepat
atau enggak mungkin kita lihat lagi ke depannya tapi kenyataannya itu
kalau ada kegagalan perenungan data 3 kali 24 jam harus sudah dilaporkan
nah ini kewajiban yang bersumber pada hak kewajiban yang merupakan
wujud kepatuhan Nah mungkin nanti bisa dilihat antara lain menyampaikan
informasi memperbarui dan memperbaiki kesalahan atau ketidak akuratan
menghentikan memprosesan Jadi kalau sekarang juga sudah bisa pihak
yang pengendali Apa Sorry Yang pemilik datanya itu menghentikan
pemrosesan jadi misalkan kayak nelpon ke bank menyebutkan Saya pengen
nyabut data saya untuk menghentikan dilakukannya pemrosesan data
pribadi ini juga sudah bisa dilakukan oleh nasabah dibuka dengan adanya
hak-hak ini yang harus dipenuhi oleh pengendali data pribadi data
controller jadi ke depan nanti kita enggak bisa nge-kip data kalau sih data
subjeknya tidak menginginkan kita untuk melakukan pemrosesan lagi nah
ini ada pengecualian tapi dari pasal 15 dan 50 kalau untuk kepentingan
pengawasan sektor jasa keuangan jadi bukan dari banknya ya tapi lebih
mungkin ke arah Bi sama OJK jadi ada hak-hak yang memang dihilangkan
dari data subjek sama ada beberapa kewajiban untuk data controller yang
hilang apabila itu untuk kepentingan-kepentingan tertentu gitu salah
satunya untuk kepentingan pengawasan sektor jasa keuangan moneter
sistem pembayaran dan stabilitas sistem keuangan yang dilakukan dalam
rangka penyelenggaraan negara berikutnya transfer data ke luar negeri tadi
mungkin udah disampaikan ya Ada kesetaraan ada perlindungan data
pribadi yang mengikat nanti model seperti itu tapi nanti ditentukan lebih
lanjut dalam peraturan pemerintah jadi nanti mungkin ada metodenya
Seperti apa mungkin patah gue yang lebih paham Apakah disebutkan
negara-negara yang yang nantinya bisa menerima data dari kita gitu atau
berdasarkan perjanjian antar negara atau seperti apa nanti mungkin lebih
jelasnya Bisa dijelaskan tapi intinya transfer data itu keluar memang dari
pengendali data pribadi maupun Prima data pribadinya nanti ini perlu untuk
diproses dengan persetujuan Mungkin gitu ke arah ke lebih ke arah sana
gitu nantinya nah ini tadi perihal data protection officer ya Nah ada suatu
yang menarik di pasal 53 ini sebenarnya gitu jadi sifatnya kata-katanya dan
kalau karena kata-katanya dan di pasal 53 itu jadi 33 hal itu mesti terpenuhi
gitu bahwa pemrosesan data pribadi untuk kepentingan pelayanan publik
untuk kegiatan internasional pengendali data pribadi memiliki sifat ruang
dan lain-lain yang kedua ini terakhirnya ada kata dan jadi sifatnya itu 33
ketentuan ini musti terpenuhi jadi pertanyaannya Apakah bank itu
memenuhi ketiga itu tadi karena kalau dilihat itu nanti ke depan mungkin
perdebatannya saya nggak masuk yang a misalkan saya masuknya yang B
nah atau enggak masuk yang B tapi yang c nggak masuk Nah itu apakah
juga perlu menunjuk DPO gitu kan nantinya ke depan Nah itu mungkin
akan ada penjelasan lagi ke depannya selanjutnya penunjukan DPO
berdasarkan profesionalisme pemahaman hukum praktek perlindungan data
pribadi dan kapasitas melaksanakan tugas tpo nah ini pemahaman hukum
ini mungkin kedepannya Semoga bisa lebih diperjelas karena pemahaman
hukum Apakah harus punya Strata 1 hukum gitu atau punya misalkan
sertifikasi Peradi gitu atau seperti apa jadi karena pemahaman hukum ini
kan Apakah hanya baca sedikit buku hukum itu bisa dibilang memiliki
pemahaman hukum nah ini yang ke depan diharapkan Bisa dijelaskan gitu
kemudian hari karena belum tentu DPO mungkin mengerti it tapi misalkan
nggak memahami hukum Apakah bisa diangkat menjadi data protection
officer nah ini tadi ke sentuhan taksi mungkin udah dijelaskan oleh Pak
Teguh ya mengenai hal ini Nah ini mungkin kebocoran-kebocoran data
Bank Indonesia juga pernah mengalami kebocoran data ini indihome juga
pernah ini juga terkait jorka juga ada kebocoran data di situ nah ini
mungkin ke depan nantinya lebih menarik lagi karena ada dasar sangsinya
bukan Artinya selama ini nggak ada bisa aja Masuk dari pintu pmh gitu
1365 yang dimana perbuatan melawan hukum gitu kan Nah ini masuk dari
pintu itu tapi ke depan lebih spesifik lagi mungkin bisa dikenakan juga
ketentuan di undang-undang PDP ini mungkin itu itu dulu ya nanti lebih
live lagi kalau misalkan bisa ada pertanyaan mungkin makasih Terima
kasih Pak mika untuk penjelasan yang sangat luar biasa ya betul ada
beberapa yang saya coba catat dan juga ada yang berapa yang mungkin
akan saya tanyakan gitu karena saya belum terlalu paham Tadi di obrolan
kita atau didiskusinya tadi pembahasan Pak Baik Pak Teguh maupun Pak
Mika menyebutkan pemrosesan data pribadi pemrosesan data pribadi Bener
ya Pak ya nah saya tadi agak bertanya-tanya pemrosesan ini gimana sih
Apakah harus ada data kemudian kita olah Apakah seperti itu atau seperti
apa ya Pak mungkin pak tunggu atau Pak kalau kita bicara pemrosesan itu
adalah kita bilang proses dari proses sebuah siklus data data itu siklusnya
dari mulai dikumpulkan kemudian diperbarui kemudian dikirimkan
diungkapkan sampai dengan dimusnahkan itu bagian dari rangkaian sebuah
siklus Oke dari mulai dapat sampai dimusnahkan udah ada penyimpanan
dan seterusnya sampai dengan dimusnahkan jadi adalah bagian dari bagian
dari rangkaiannya bisa kita pisahkan artinya hanya memperoleh pun itu
bagian dari proses Jadi nggak harus seluruhnya Pak bagaimana mekanisme
memperolehnya saja teman-teman di sales kami nih Pak Udah ketemu
padahal masih calon loh Pak calon debitur kalau nasabah Mungkin dia yang
berkepentingan dia juga ke kita ya tapi calon debitur Kita kan sudah
langsung minta tuh dear pastikan di awal rekening koran slip gaji itu udah
bagian itu perlu persetujuan ataupun eee eksplisit konsennya persetujuan
yang sifatnya eksklusif terus terang-terang artinya memang pemerasan data
pribadi itu sudah dimulai dari awal kita permintaan atau pribadi pertama
permintaan itu mulai start kapanpun pak nggak jadi debitur kita Meskipun
tidak jadi Meskipun tidak jadi diproses Meskipun tidak jadi disimpan tidak
jadi diproses itu sudah masuk dalam rangkaian sebuah siklus data yang
disebut pemrosesan tadi dan kali ini juga untuk ke pemilik untuk kita
memperoleh data itu juga kita juga harus memberikan tujuan yang jelas ya
tujuannya harus disampaikan ya harus eee spesifik tujuannya betul betul
betul tadi dari yang disampaikan Pak Mika saya juga ada beberapa
pendapat nih Mbak Dira saya catat-catat ya karena memang benar-benar
perlu nih dibawa nanti balik ke BNI gitu ya Tadi ada konten ya Pak ya ada
persetujuan itu menjadi sesuatu yang penting ya Pak ya artinya bahkan
memperoleh data pun seperti yang tadi Pak tunggu sampaikan enggak akan
jadi debitur kita juga itu pun sudah harus memperoleh persetujuan ya Pak
konsennya sudah harus ada ya tapi eee kepo ini tadi dapat tentang perlunya
persetujuan kemudian perlu tujuannya ya pak tujuannya ini mau kami
gunakan Misalnya ini mau digunakan sebagai bagian dari eee apa namanya
PE kesuksesan analisa pemberian kredit gitu ya itu sudah harus ada
tujuannya Oke kemudian tadi kewajiban pengendali data pribadi tadi
banyak banget tuh pak kewajibannya Pak Cuman kalau misalnya kita hanya
melihat updp tadi sepintas Pak Teguh maupun Pak Mika menyampaikan
bahwa akan ada Peraturan pelaksana ya Pak Besar harapan kami ini bisa
lebih clear Pak karena kalau hanya updp mungkin kewajiban ini banyak
yang bisa kita pahami Iya dan takutnya jadinya Lost gitu ya jadi Lost Pak
Memang harapannya kita tunggu ya Kita tunggu segera untuk lembaga
pengawas apa PDP ini segera ada gitu ya Eh PP DP ee DP itu yang harus
ada di kita ya yang harus ada di BNI ya Pak ada ppdp ada namanya DP data
protection otority atau lembaga yang melakukan pengawasan Oke Baik
berarti ada ppdp ini adatori ya Pak ppdp itu terkait dengan DPO mandatory
jika bumi 3 syarat tadi Oke Bang eee pastikan masuk dan masuk kerja
sudah pasti masuk ya sudah pasti artinya BNI pun itu sudah harus ada
sudah harus ada kalau yang tadi dari Pak Mika saya dapatnya itu Dir kalau
hampir sama semua tapi tadi yang cukup menarik juga kalau Pak Teguh
menyampaikannya itu adalah amanah Pak Mika Melihatnya sebagai
liabilitas gitu jadi memang harus tadi kan sudah ada ketentuannya juga ya
terkait kewajiban tadi ya kewajiban pengendalian data pribadi tadi gitu Nah
tadi yang paling penting yaitu tadi kita tunggu tadi peraturan-peraturan
turunannya agar semuanya menjadi lebih jelas juga lebih clear gitu ya dan
teman-teman benhiver juga bisa segera mengimplementasikannya dengan
baik gitu ya Baik Pak Teguh dan Pak mika ya magnesia jadi teman-teman
band hammovers ini udah banyak pertanyaan untuk kata gue dan Pak Mika
namun sebelum kita nanti beralih ke q&a session Mari kita saksikan
terlebih dahulu kamu bisa break berikut ini [Musik] Oh aku lagi belajar dari
YouTube kalau dari YouTube banyak banget pembelajaran yang bisa kalian
dapetin langsung dari narasumber yang ahli di bidangnya seperti konten
engagement produk knowledge leadership parently dan banyak hal lainnya
oh ya ada juga bisnis banking lah selain itu Kalian juga bisa update
informasi terbaru di Instagramnya TV di @bni.co.id Bentar dulu biar nggak
ketinggalan kalian jangan lupa untuk subscribe dan juga nyalain tombol
loncengnya nih karena sayang banget kalau sampai ketinggalan banyak
informasi penting dari YouTube tv oke udah dulu ya aku mau belajar lagi
nih soalnya bye dadah [Musik] baik Pak Teguh dan Pak Mika ini terima
kasih kembali atas diskusinya yang sangat menarik ya Nah kita juga sudah
ada beberapa pertanyaan dari teman-teman Beny dan nitip ke saya nih sama
ke Mbak Agnes ya Tadi ada beberapa ya cuman Memang sebelumnya
mungkin ada yang mau ditanya kan nambah Agnes nih sebelum kita ke
teman-teman ya jadi punya barengan pas kita lagi ketemu langsung
misalnya Pak Mika mungkin bisa menjelaskan nih saya lumayan bingung
juga sedikit ya terkait dengan ada aturan peralihan di dua tahun sebenarnya
ini akan menjadi berlaku nanti dua tahun atau sudah karena kan sebenarnya
udah diundangkan dan udah berlaku gitu apa yang bedanya Pak dari sini
sampai 2 tahun ke depan atau sesudah 2 tahun nanti gitu kira-kira boleh
dijelaskan Pak terima kasih rekan-rekan overs undang-undang PDP
menyebutkan bahwa masa peralihan 2 tahun tapi disitu dijelaskan hanya
untuk pemrosesan data pribadinya Kalau undang-undangnya setelah
disahkan semua berlaku yang 2 tahun itu hanya hak berkaitan dengan
pemrosesan atau pemrosesan itu tadi dari siklus mulai dari diperoleh
sampai dengan dimusnahkan perlu ada Tata kelolanya governance-nya itu
di siapkan oleh korporasi atau organisasi hal-hal yang sudah langsung
berlaku tanpa menunggu 2 tahun apa yang sederhana atau hal-hal lain
prinsip-prinsip PDP yang bisa diterapkan tanpa perlu disiapkan sebuah
goverse detailnya Nah itu sudah bisa langsung diterapkan jadi hanya 2
tahun itu hanya berkaitan dengan pemrosesannya saja tapi undang-
undangnya sudah berlaku ketika disahkan Terima kasih Pak Teguh tata
kelola pemrosesan data itu perlu disiapkan ya jadi membuat undang-undang
juga memikirkan sampai sejauh itu karena memang lumayan Kompleks ya
Pak Jadi benar nanti peraturan pemerintah atau peraturan turunan itu akan
lebih detail dan kompleks mengatur bagaimana implementasi yang realnya
tidak hanya bicara tafsir secara global gitu tidak baik-baik Pak Artinya BNI
sudah harus siap-siap juga nih gitu kita harus mempersiapkan tata kelola
pemrosesan data dikit Iya dari hulu ke hilirnya Betul semua aspek kita
sudah harus persiapkan Terima kasih Pak Teguh Terima kasih pak Mungkin
ada pertanyaan nggak mungkin kita bisa langsung masuk ke pertanyaan
dari teman-teman BNI terus nih buatne gitu tadi ada salah satu pertanyaan
izin Pak Teguh dan Pak Mika ada yang bertanya bisa dijelaskan Pak untuk
role DPO ini DPO berarti data protection officer ya dalam sebuah
organisasi apakah rule tersebut sama seperti Jisoo atau berbeda dengan
sertifikasi Apa yang dibutuhkan kemudian se Aplikasi apa yang dibutuhkan
untuk DPO seperti itu Nah ini pertanyaan lanjutannya serta apakah
sebaiknya dibentuk dalam satu unit tertentu atau dapat berupa fungsi yang
terdapat pada beberapa unit mungkin Monggo dari Pak Mika terlebih
dahulu silahkan Pak Jadi sebenarnya diatur di 53 54 Sorry 54 ini ada ada
yang bilang bahwa pejabat atau petugas yang melaksanakan fungsi
perlindungan data pribadi memiliki tugas paling sedikit ada beberapa
Which is sebenarnya dia menyesuaikan corporate proses perolehan dan
sampai proses sampai pemusnahan itu dia membuat sebuah semacam
guidance-nya dan lebih lanjutnya dia juga sebagai penghubung ke
orthertinya jadi nanti pihak ini itu yang dianggap paling paham untuk
proses data flow-nya nah data pribadinya Seperti apa Nah untuk pertanyaan
lanjutannya kalau sertifikasi mungkin cepat atau gue bisa menjelaskan lebih
lanjut tapi memang saat ini pemahaman saya belum ada khusus untuk
lembaga yang mengeluarkan sertifikasi tapi sudah ada lembaga-lembaga
memang melakukan pelatihan dan sudah membahas mengenai undang-
undang PDP ini bahkan sebelum disahkan nah pihak-pihak ini nantinya ada
sudah mungkin mengeluarkan sertifikasi nah memang tapi kalau nanti
mengikuti Sementara undang-undangnya sudah berjalan belum ada yang
tersertifikasi kan nanti juga belum tahu pemahamannya seperti apa
makanya ada mungkin kelebihan dari sertifikasi itu sendiri untuk
memberikan pihak-pihak tertentu memahami konsep dari undang-undang
PDP ini sendiri dan pemahaman mungkin secara global secara internasional
Seperti apa Baik terima kasih pemikat atas Jawabannya Mungkin ada yang
ditambahkan terlebih dahulu dari Pak Teguh jadi DPO ya itu akan berbeda
dengan konsep siso itu semua hal yang berkaitan dengan sebuah sistem
yang membuat sop pengatur-pengaturan untuk pengamanan dan lain-lain
pada Keseluruhan sistem DPO ini hanya part dari pengamanan untuk data
pribadi kalau bicara konsep security-nya tapi konsep DP ini tidak hanya
security-nya termasuk governance-nya tata kelola terkait dengan dia
sebagai Nara hubung dia melakukan penilaian dampak dan seterusnya Jadi
dua hal yang berbeda sertifikasinya pun beda kalau orang dengan sertifikasi
tisu ya menjalankan fungsi DPO belum tentu juga bisa sebaliknya orang
DPR juga belum tentu bisa menjalankan fungsi Jisoo yang lebih lebih
komprehensif DPO hanya bicara sertifikasi terkait dengan keahlian di
bidang perlindungan data pribadi hanya sampai situ di luar aspek itu kaitan
dengan security tetap ada kompetensi yang berbeda untuk menyebut bahwa
seseorang itu kompeten ya sebagai DPO dia harus punya sertifikat
kompetensi Jadi bukan sertifikat mengikuti seminar atau seminar ada
sertifikasi kompetensi ada materinya ada ujiannya ada passing grade
kelulusannya dan itu dilakukan oleh lembaga sertifikasi yang diakui oleh
lembaga otoritasnya PDP dan sampai saat ini belum ada satupun lembaga
ataupun badan ataupun korporasi atau penyelenggara pelatihan yang
ditetapkan sebagai satu-satunya atau lembaga yang dibolehkan
mengeluarkan sertifikasi DPO Jadi kalau sekarang ada banyak seorang
menawarkan sertifikasi DPO DPO ini pastikan sertifikatnya tidak berlaku
sebagai pemenuhan undang-undang PDP karena masih banyak tahapannya
lembaga sertifikasi ini bisa dibentuk ketika apa ketika lembaga pdp-nya
jadi kemudian ada pihak yang mengajukan diri sebagai lembaga sertifikasi
di audit dulu oleh komite akreditasi hasil auditnya dibawa ke lembaga
sertifikasi baru ditetapkan pengakuan setelah mendapatkan pengakuan
sebagai lembaga sertifikasi baru dia bisa memberikan sertifikasi TPU jadi
tidak bisa kita klaim Oh ini ada lembaga bisa ada asosiasi bisa tidak
demikian masih panjang prosesnya nanti itu akan dibuat aturan juga sendiri
ya Pak ya Baik nanti kita akan tunggu ya kurang lebih jelasnya yang pasti
DPO dan Cisa itu berbeda Oke makasih Pak Teguh Pak Mika ini ada lagi
pertanyaannya pertanyaan berikutnya begini Pak sejauh mana liabilities
dari bank yang kewajiban perlindungan data pribadi kepada lofom sebagai
DPO Apakah tanggung jawab sanksi pidana dan administratif bisa
dialihkan kepada lofom tersebut mungkin dari Pak Teguh dulu gantian jadi
begini dalam ketentuan undang-undang PDP DPU itu bisa oleh eksternal
kita harus internal misalnya kalau ini berkaitan dengan output yang
dihasilkan oleh kantor hukum atau konsultan maka itu tanggung jawab dari
Sultan ini output yang harus diberikan kepada bank terkait dengan tugas-
tugas DPO tapi kalau ada insiden pelanggaran tanggung jawabnya tetap
mutlak pada pengendali data dalam hal ini pihak yang memperoleh pertama
kali dan menentukan Mau Dibawa Kemana datanya dalam hal ini adalah
bank kalau bank ada masalah di sisi DPO ya banknya tetap yang
bertanggung jawab jadi karena hubungannya hubungan antara bank dengan
eksternal itu kontraktual bukan hubungan pengalihan tanggung jawab beda
nanti ketika ada data controller ada data prosessor itu hubungannya akan
berbeda karena bisa tanggung jawab renteng jadi walaupun dalam hal ini
tidak bisa menjadi memberikan mendapatkan tanggung jawab hukum
secara renteng karena itu dua counter intervisa kalau dia data prosessor
misalnya bank sebagai pengendali data sudah berhasil dikumpulkan data
nasabah tapi dia tidak memproses yang proses pihak lain sebagai proses
data Nah ini bisa renteng karena itu gampang diatur dengan PBB Oke
demikian dari Pak Mika izin Pak eee mungkin tadi udah lengkap ya
disampaikan oleh Pak Tugu memang kalau misalkan nilai berarti ya data
controllernya disebutkan di situ bukan sebagai dpo-nya yang bertanggung
jawab pemahaman ini mungkin tadi shiftingnya hanya berkaitan sama
beberapa kewajiban gitu sebagai untuk pihak yang dapat di kontak dan lain-
lain ada beberapa lah jadi cuman berkaitan dengan pure penanggung jawab
untuk sanksi itu tetap tidak bisa dipindahkan mungkin sebelum ke
pertanyaan berikutnya tadi disebutkan tentang data processor ya Pak ada ya
data processor gitu ya itu bisa tanggung renteng nanti tanggung jawabnya
Nah kalau untuk data processor ini contoh di BNI atau di perbankan la di
industri perbankan Seperti apa ya Pak Bisa nggak disebut sebagai misalnya
perusahaan outsource bisa vendor yang ketiga bahkan sebetulnya
dimungkinkan ketika data processor mendapatkan data dari pengendali data
dia lempar ke satu pihak lagi boleh jadi pihak ketiga setelah data processor
itu dia mungkinkan dengan persetujuan dari sendiri dan tentu saja konsen
dari Suga tanya oh jadi artinya si subjek data si pemilik data pribadi bahwa
data ini mau dikasih ke siapa mereka ke siapa Oke siapa saja tidaknya
Siapa siapa saja harus tahu harus ada mekanisme kendali atas datanya
diketahui oleh subjek data atau pemilik datanya Oke dan kita informasikan
ke pemilik data tersebut gitu oke baik-baik Pak kemudian sebelum ke
pertanyaan teman-teman Benhill saya apa yang punya pertanyaan nih Pak
jadi tadi Ketika saya membaca updp tersebut saya melihat di pasal 25 Itu
ada terkait pemrosesan data untuk anak pemrosesan data pribadi anak itu
diselenggarakan secara khusus mungkin saya mau bertanya terlebih dahulu
ke Pak Teguh seperti apa yang dimaksud dengan khusus tadi gitu Pak
mungkin bisa disampaikan Pak data anak dan disabilitas ya itu diproses
secara khusus data kesehatan dan data keuangan tapi khusus anak dan
disabilitas memang kita Munculkan dalam penggunaan PDP karena
asumsinya bahwa proses siklus datanya akan berbeda khususnya mulai dari
perolehan bagaimana sih kalau kita mau minta data target anak boleh anak
ngasih langsung sama dia alamat dia nah sifat khusus ini adalah treatment
yang yang sifatnya spesial khusus ya dibanding kalau kita minta data orang
dewasa kalau persetujuan anak Apakah anak bisa memberikan persetujuan
kalau perdata kita menyebut bahwa syarat saya sebuah persetujuan
perjanjian cakap hukum dewasa ketika anak memberikan persetujuan
bagaimana penetapan kata khusus nanti diatur dalam PP dan peraturan
lembaga salah satunya misalnya Oh kalau Anda harus ada walinya kalau
nggak ada walinya batas usianya bisa di atas 13-17 tahun dengan perwalian
kalau di bawah 13 harus langsung melalui walinya dan seterusnya
pengaturan spesifik khusus itulah yang berbeda dibanding kalau dewasa
dewasa bisa langsung profil sebuah persetujuan kemudian persetujuan
untuk data anak termasuk kalau mau datanya diungkapkan ataupun
dibagikan beda kalau misalnya data orang dewasa yang diungkapkan atau
dibagikan akan berbeda ketika dia itu data anak karena anak kendalinya
bisa jadi dia nggak tahu datanya kebaikan Bahkan dia tidak bisa baca syarat
dan ketentuan misalnya karena dia masih umurnya 5 tahun 6 tahun apalagi
memahami nah rasul-rasul detail itulah yang eee kita sebut sebagai harus
ada treatment khusus Oke berarti artinya memang kategori khusus tadi itu
mungkin akan diatur secara lebih detail ya Pak ya untuk pelaksanaannya ya
oke baik-baik Baik terima kasih Pak Teguh Oke kita lanjut ke pertanyaan
teman-teman Benny first ya ini untuk pategu juga Pak Mika ada yang
menanyakan sebagai berikut Bagaimanakah upaya yang dapat dilakukan
nasabah untuk mendapatkan perlindungan hukum atas data pribadinya yang
diserahkan bank terhadap pihak ketiga mungkin pak Mika boleh terlebih
dahulu pak silakan Pak tadi ada ada pada saat penyerahan ada konsen dan
lain-lain ya Jadi nanti metodenya Seperti apa penyerahannya biasanya ada
user agreement ada privasi polisi menjelaskan tapi perkembangannya nanti
Apakah konsen itu bisa digabungkan di dalam privasi polisi ini nantinya
berkembang pemahamannya jadi untuk sebagai contoh aja sekarang yang
lagi yang lagi kasus yang baru terjadi itu penggunaan personal Ads oleh
Meta jadi di situ persetujuannya dimasukkan ke dalam user agreement
penggunaan untuk dipersenal live advertisingnya untuk penggunanya nah
ini apakah bisa ternyata dia dapat mendapatkan find itu sampai dua sampai
dua atau tiga miliar USD 2 sampai 3 miliar Euro nah ini ini kan artinya
perkembangan nanti bisa aja siapapun artinya eee terhadap eee pribadi data
pribadi yang diserahkan kepada pihak ketiga nanti dipertanyakan dengan
mana persetujuannya Apakah sudah disetujui eee itu sama saja sama yang
personal di kasus yang tadi gitu nanti akan ditanyakan pihak banknya mana
persetujuan Saya saya enggak pernah memberikan hak misalkan untuk
kartu kredit di lain misalkan untuk menggunakan untuk iklan untuk ini
untuk untuk promosi produk misalkan Nah itu itu bisa ditanyakan ke
banknya perlindungannya lagi-lagi berbentuk tertulis nantinya gitu sejauh
mana gitu diberikan artinya memang dokumentasi atas persetujuan itu juga
diperlukan ya Pak ya mungkin ada yang mau ditambahkan terlebih dahulu
ke daripada gua jadi kata kuncinya adalah eksplisit konsen ya pamannya
terang benderang tidak ada yang boleh ditutup-tutupi kemudian pihak
sepeda pemilik data tahu Datanya ada dimana kemana Kalau saya
kemudian tujuannya harus jelas ketika konsen kalau saya daftar sebagai
nasabah bank BNI ya jangan kemudian semua asuransi yang berhubungan
dengan bank BNI kemudian mengkontak kita dengan bilang bahwa anda
adalah sebuah bank BNI Anda menurut penawaran khusus asuransi atau
penawaran khusus sebuah kredit dari fintech tertentu padahal persetujuan
awal perolehannya hanya untuk sebagian nasabah ketika ada lebih dari satu
tujuan harus jelas bahwa anda juga akan data Anda kami kirimkan ke
asuransi X yang bekerjasama dengan kami ada ada dan kalau eksplisit tidak
dipenuhi dalam undang-undang sadis disebutkan persetujuannya bakal
demi hukum artinya apapun yang dilakukan terkait data nasabah tadi
dianggap tidak pernah ada jadi artinya juga Memang dari kita pihak banget
sendiri dalam menyampaikan ke calon nasabah ataupun nasabah itu juga
harus jelas ya ketika kita harus menyampaikan tujuannya mungkin untuk
pembukaan rekening dan kemudian data-data itu memang akan kita
sampaikan mungkin ke bank asurance gitu ya seperti itu agar lebih jelas
dan mendapat persetujuan pada saat itu juga baik mungkin dari makna yang
masuk ijin tanya Pak ketika data pribadi bocor baik sengaja atau tidak
sengaja dan source kebocoran data pribadi diketahui Apakah si korban
diperkenankan melakukan tuntutan perdata atau pidana sepertinya tadi udah
disampaikan ya lagi disampaikan lagi bahkan sebelum ada undang-undang
pbp undang-undang itu mengatur kalau misalnya kita dirugikan tetapi
akibat penyalahgunaan atau tanpa persetujuan maka kita sebagai pemilik
data sudah data berhak menggugat secara perdata pasti pidana ya kita bisa
melaporkan kalau data pribadi kita disalahgunakan atau diungkapkan
secara ilegal ada ketentuan yang mengungkapkan data pribadi secara ilegal
atau secara melawan hukum itu bisa dipidana maksimal penjara 4 tahun
kalau misalnya pihak yang mengumpulkan data pribadi kita dia kirim KTP
kita ke grup chat bisa pinjol atau naruh foto KTP kita di WhatsApp Story
ataupun di Facebook status kita merasa Wah ini pengungkapan data secara
ilegal Karena tanpa pejuang saya saya bisa laporkan pidana dan itu itu
dibenarkan dalam undang-undang PDP luar Teguh sekaligus apa namanya
mengingatkan kita untuk lebih berhati-hati ini berarti Sebelumnya kan
sudah ada ya Pak pengaturan itu pidananya kira-kira begitu tapi dengan
adanya UU PDP ini sepertinya lebih clear ya pak Mungkin ada tambahan
pak ya mungkin saya menambahkan aja Misalkan sekarang kita mesti
aware lah dalam arti kalau misalkan kita mau ngasih foto mau ngasih KTP
mau ngasih apa ini nggak bisa tolong minta nomor teleponnya gitu itu
adalah sudah merupakan peralihan data yang harus atas izin data subjek
jadi kita harus lebih aware karena ini dalam kehidupan sehari-hari kita gitu
seperti tadi Pak Teguh sampaikan CCTV Apa wearness-nya mesti udah ada
dari sekarang karena itu kenyataannya bisa dilakukan suatu tindakan
hukum terhadap itu gitu Jadi sesimpel itu ya pak ya dari dalam untuk
membagikan nomor telepon ke teman lain gitu Itu juga penting untuk ada
tadi konsen dari pemilik data tersebut gitu ya karena hati-hati kalau itu kita
bisa sembarangan kasih ke orang lain kita bisa ada laporan pidana gitu ya
gitu jadi teman-teman juga harus berhati-hati dan memperhatikan hal
tersebut ya gitu baik kemudian kita lanjutkan ya pemika dan Pak Teguh ya
ini ada pertanyaan dari Benny Hammer selanjutnya Selamat siang Pak
Teguh dan pamika bagaimana cara kita melakukan pelaporan Jika data
pribadi kita dibocorkan oleh pihak lain mungkin dari Pak Mika terlebih
dahulu silahkan pamikah sama Pak Teguh Ya tapi kalau konsep-konsepnya
sih seperti tadi ya perbuatan melawan hukum ya artinya kalau misalkan
memang dibocong oleh pihak lain ada ketentuan mengenai bahwa eee
penggunaan data pribadi kita harus atas izin penggunaannya walaupun
dalam masa transisi sekarang itu tetap bisa dijalankan jadi nanti bisa
pelaporan bisa secara perdata maupun pidana seperti yang tadi Pak Teguh
sampaikan oke silakan Pak Teguh mungkin bisa ditambahkan pertama
kalau pelaporannya konteksnya pidana tentu kita para penegak hukum data
kita dibocorkan data kita digunakan secara melawan hukum Ya silakan
laporkan ini sebagai sebuah pidana tindak pidana pengungkapan data secara
ilegal atau hukum laporkan ke polisi ataupun dalam hal ini berkaitan
dengan kerugian ya gugat sah perdata silahkan Bawa ini ke pengadilan Tapi
kalau ini berkaitan dengan insidence data likes ya kebocoran data dan di
situ ada data kita lapor ke otoritas otoritasnya belum terbentuk sementara
bisa lapor kemana bisa ke kominfo tempat kami kita punya layanan via wa
via media sosial via email dan itu bisa di eee bisa dilaporkan secara
personal tidak harus mewakili korporasi itu bisa dilakukan gitu dan kami
punya tim investigasi untuk mendalami apakah ini benar terjadi kemudian
dampaknya Seperti apa dan kami akan Panggil para pihak Kemudian kami
Tentukan rekomendasi apa yang bisa kita kenakan kepada pihak yang
membocorkan data pribadi tersebut termasuk tanggung jawab dari
korporasinya seperti apa Oke berarti saya juga punya pengalaman ke
belakang juga ada beberapa yang memang melakukan data Bridge Gitu ada
ada tindakan mengarah ke sana gitu tapi ee ya saya kasih tes temuan ini
bahwa sangat mudah dan sangat benar-benar membantu dari kominfo
sendiri untuk cepat melakukan reaksi dan kita bisa melaporkan dulu untuk
misalkan untuk langsung laporkan kominfo untuk pengen mengetahui
tindakan-tindakan sebaiknya melakukan tindakan apa gitu ya bisa sangat
bisa berkomunikasi gitu sama kominfo melakukan pertanyaan maupun
mengekspor tindakan apa yang harus dilakukan gitu sih ya Jadi sebenarnya
dari kominfo sendiri sudah ada sarana komunikasi untuk teman-teman bisa
melaporkan ya paling kita ke kominfo untuk sementara waktu ya sampai
dengan otoritasnya itu terbentuk nah itu jadi teman-teman enggak usah
takut kalau misalnya tadi misalnya tadi ya terburuknya ada kebocoran data
gitu ya teman-teman teman-teman bisa langsung melaporkan ke kominfo
tadi sebagaimana yang sudah disampaikan oleh Pak Teguh seperti itu ya
buat sebelum masuk ke pertanyaan berikutnya sepertinya banyak banget
karena kita lebih banyak mau diskusi selama satu minggu ya Nah tapi
sebelum masuk ke pertanyaan berikutnya Saya punya pertanyaan hmm
lagi-lagi ya Nah Teguh atau pamika boleh ini pak eee sepemahaman kami
ya Pak membaca undang-undang pdp-nya memang ada hak-hak subjek data
Pri jadi dan apa namanya salah satunya itu menarik izinnya menarik
konsennya jadi udah ngasih ijin untuk diproses gitu terus dia narik Nah
untuk kita nih di perbankan kan bisa jadi nggak ada kepastian nih pak toh
dia terima konsennya terus dalam kondisi apa dia menarik apa namanya
izin tersebut persetujuan tersebut itu yang pertama Terus yang kemudian
juga kita tanyakan sebenarnya di pasal 15 Kalau enggak salah tadi sempat
famika sampaikan bahwa ada yang dikecualikan yaitu untuk kepentingan
pengawasan sektor jasa keuangan namun dari frasa itu kita agak bingung
ini pengecualian kepada OJK sebagai pengawas kah atau pengecualian
kepada si sektor jasa keuangannya misalnya perbankan dan seterusnya
gimana baik untuk menarik kembali ini menarik dan setiap bangsa
menanyakan ini kalau diimplementasikan bakal kacau nih sebetulnya kalau
kita baca pasalnya secara utuh hak-hak sudah data untuk menarik
menghapus memusnahkan dan seterusnya itu pasti ada ayat berikutnya
dilakukan berdasarkan peraturan perundang-undangan kalau itu ternyata
dengan menarik dengan menghapus ataupun memperbarui itu ternyata
mengganggu atau melawan peraturan perundang-undangan ya haknya tidak
bisa diberikan hak subjek data dalam undang-undang PDP itu bukan hak
mutlak yang semua harus diberikan tidak kalau dia bertentangan bisa di
diabaikan di skip contohnya misalnya nasabah Mau narik persetujuan atas
konsennya atau dia mau minta tolong saya dihapus dong data saya sebagai
nasabah bank BNI boleh enggak bolehnya boleh tapi kalau ada peraturan
lain yang melarang misalnya ketentuan aml ketentuan dengan PPATK harus
disimpan 5 tahun ya nggak bisa kita yang berikutnya terkait dengan
pengecuali bahwa terkait dengan pengawasan perbankan ataupun sektor
keuangan Jasa Keuangan itu bisa dilakukan itu konteksnya Apa itu
konteksnya bahwa hak sudah data dan kewajiban pengendali itu bisa
diabaikan kalau otoritas membuat pengaturan tertentu untuk sektor jasa
keuangan saya selalu mengingatkan bahwa kewajiban terus ada hal tertentu
misalnya nasabahnya kecelakaan meninggal dunia data yang tersimpan
cuma ada data nama sama nomor rekening orangnya kecelakaan di jalan ya
boleh kita buka datanya Ini siapa nasabah dengan nomor rekening ini tanpa
persetujuan sulitnya nggak masalah tanpa persetujuan walinya nggak
masalah itu namanya yang mungkin bisa diberikan tapi ini spontan
misalnya kita ini orang leader soalnya buat semacam aturan kontraktual
gitu jadi disclaimer gitu mungkin enggak Pak seperti itu harus ada
berdasarkan peraturan perundang-undangan artinya kan sebenarnya
pembahasan berkontrak ya Pak jadi saya sama customer atau BNI gitu ya
dengan customernya buat semacam eee disclaimer atau peraturan
kesepakatan yang menyimpang itu mungkin nggak Pak intinya kesepakatan
boleh dibuat tapi kalau kesepakatan itu ternyata melanggar undang-undang
PDIP total demi ada hal yang dikecualikan itu boleh ya tapi saya tidak
menyarankan karena itu bisa jadi itu hanya bentuk pengalihan tanggung
jawab atau kesepakatan di luar peraturan perundang-undangan jadi
sebaiknya dihindari Baik Pak Teguh saya coba berpikir harapannya adalah
ada aturan yang lebih teknis yang apa untuk kita bisa melakukan Dan
harapannya juga sih yang apa namanya melihat juga kepentingan kita lah
ya sebagai apa namanya baik untuk Pertanyaan selanjutnya untuk kata gua
dan pamikah ini ada pertanyaan seperti ini tadi pada pemaparan patogu dan
pamika disebutkan korporasi itu hanya mengelola tapi tidak memiliki data
pribadi bisa disampaikan Apa perbedaannya eee mengelola itu sampai batas
mana dan jadi pertanyaannya adalah tadi Apakah bedanya eee tadi
mengelola dan memiliki data pribadi gitu ya itu yang pertama dan
kemudian batasan mengelola itu sampai mana karena jangan sampai
pengelola itu berasa seperti memiliki data eee subjek tersebut gitu mungkin
Boleh Pak Teguh terlebih dahulu baik jadi sederhana kita bisa
menggunakan mobil yang satu mobil rental satu mobil sendiri kan mobil
yang kita miliki kalau mobil itu kita memiliki kita boleh alihkan kita bisa
jual kita bisa modifikasi kita bisa tambahkan bisa kurangi sesuai dengan
kita memiliki kalau kita hanya menggunakan atau memanfaatkan seperti
mobil rental ya kita hanya pakai untuk keperluan yang disepakati antara
kita dengan pemilik rental itu sederhananya Dan saya yakin paham bahwa
ilustrasi seperti itu bisa menggambarkan bahwa kalau kita tidak memiliki
ya kita punya batasan-batasan jangan dijual belikan jangan dikurangi
ditambahkan jangan dimodifikasi sesuai keinginan kita atau di supaya
kelihatan bagus dan tidak bisa dikurangi enggak bisa ditambahkan juga
nggak bisa apalagi mau dipindahkan tanpa persetujuan dari pemilik Iya
sebaiknya atau tidak kepribadinya atau pemilik kendaraan yang tadi
sederhananya begitu oke tadi Betul banget ya update sama Pak Teguh
bahwa kita nganggap mungkin itu punya pihak lain gitu kan jadi kata
kuncinya kembali lagi kepada eksplisit konsen sejauh mana batas-batasnya
itu ditentukan oleh nantinya Apa yang bisa dilakukan terhadap barang yang
dimiliki oleh pihak lain tapi kita mengelolanya di situ nanti kata kuncinya
apa yang disebutkan di situ function-nya Apa gunanya apa dia nanti data
apa saja yang diperoleh dan jangan lupa data itu harus yang relevan sama
apa yang diprosesnya jadi kita nggak bisa minta pertanyaan saya misalkan
pertanyaan suku Nah itu mungkin ke depan udah nggak relevan lagi tuh
karena nanti bingung pada pertanyaan Kenapa anda menanyakan suku nah
itu nanti yang timbul pertanyaan kan untuk apa prosesnya gitu kan di situ
nah itu nanti ke depan perkembangan seperti itulah kira-kira Oke baik-baik
penjelasannya Terima kasih penjelasannya patah gue dan pamikah nah ini
juga ada makna ada beberapa pertanyaan nih Mbak Agnes mungkin boleh
Mbak ini ada pertanyaan Pak ini terkait dengan eh kedudukan tingkat
perlindungan data pribadi yang setara atau lebih tinggi tadi Pak Teguh juga
menyampaikan ya untuk kita bisa diakui atau untuk kita bisa menerima
transfer data ke negara lain atau dari negara lain ke kita harus memiliki
minimal setara nih aturan mengenai perlindungan datanya gitu nah ini
pertanyaannya Bagaimana cara untuk memastikan negara tempat
kedudukan si pengendali data pribadi dan atau prosesor data pribadi itu
menerima transfer data pribadi dari negara yang memiliki tingkat
perlindungan data pribadi yang setara atau lebih tinggi dari yang diatur
dalam upd Gimana caranya pak jadi gini ada press atau kesetaraan tapi lihat
konsep Global dari undang-undang menyebut bahwa transfer data ini boleh
kan enggak boleh dalam negeri boleh luar negeri boleh dengan ketentuan-
ketentuannya apa pertama harus setara edukasi menilainya bagaimana
ternyata praktis atau praktik-praktek terbaik atau praktek-partai bagus di
negara lain untuk menetapkan itu tidak ada standar yang bisa jadi berbeda
ada negara yang membuat list Negara mana yang dianggap setara dengan
penilaian dari otoritasnya jadi otoritasnya kita anggap setara adalah ini ada
yang penonton kesetaraan berdasarkan kebijakan dalam hubungan bilateral
saya Eropa kepada Jepang setara karena memang ada proses negosiasi ada
proses penjelasan yang memungkinkan bahwa ada hal-hal yang bisa
disamakan dengan aturan di Eropa itu boleh Jepang yang secara bilateral itu
boleh tapi kalau tidak tetap tidak setara bagaimana undang-undang
membolehkan Boleh kok kalau negaranya nggak setara kita mungkin
mendatangi kita ke Somalia atau ke negara-negara yang kita anggap belum
ada teman-teman bdp-nya boleh Enggak boleh sepanjang apa kasih tahu
Sudah datanya Ini loh kamu akan saya kirimkan data kamu ke Somalia
keburukan palsu atau negara-negara kecil yang mungkin belum siap dalam
ketentuan PDP Hmm sudah ada aturan pdp-nya pun harus dilihat kan
bahwa aturannya bisa banding enggak bisa mengikat enggak kalau enggak
mengikat kita belum bisa anggap setara meskipun aturannya sangat sangat
kompleks di negara tersebut ya jadi ee ini hal yang sangat fleksibel dan eee
Ada kemungkinan jadi subjektif tapi bisa jadi akan diatur lebih detail nanti
di PP Apakah kita menganut model penilaian secara mandiri otoritas
terhadap negara tertentu Atau bisa melakukan asesment dari dari
pengendali data untuk mengirimkan membagikan data ke luar baik
mungkin nanti pr-nya ke depan juga Bagaimana menjelaskan transfer of
data ini ya karena sekarang kita mungkin belum kelihatan tapi kalau
menurut saya kalau kita email kita kan email misalkan counterpart kita di
dari luar negeri Nah itu bagaimana pengaturannya Kita masukin data
misalkan ke dalam website itu nanti dikirimkan ke negara lain Nah itu kan
ada transfer sebenarnya data yang keluar dari wilayah Indonesia ataupun
mengirim data ke Cloud ke server nah ini mudah-mudahan nanti
kedepannya bisa lebih dijelaskan secara detail ya apakah ini karena kita
send WhatsApp misalkan dikenalan kita di luar negeri apakah ini juga
dianggap sebagai transfer data yang perlu perizinan dan lain-lain gitu
prosesnya Seperti apa Nah ini ke depan kemungkinan diharapkan bisa lebih
jelas gitu Baik terima kasih penjelasannya Pak Berarti tergantung
otoritasnya juga ya Pak nanti kalau di kita nanti pengaturannya Seperti apa
Nanti kita lihat ya betul nah tapi tadi yang menarik tadi Pak tunggu
sampaikan juga Pak Mika bahwa boleh-boleh aja mau lebih rendah mau
sama atau seperti apa yang penting si pemilik data si subjek data pribadi itu
memahami itu mengetahui bahwa datanya dikasih ke negara yang
sebenarnya mengetahui dan menyetujui bahwa datanya itu mau dikirim Nih
atau ditransfer ke negara ke negara yang sebenarnya perlindungan data
pribadi masih dibawah kita atau sama gitu ya Pak Ya baik mungkin ada lagi
menarik sekali ya tadi ya ternyata ya saya juga baru tahu loh ternyata tadi
tentang sharing ke negara-negara lain yang memang tadi kedudukan apa
ketentuan tentang perlindungan dan kepribadinya itu masih berbeda dengan
kita gitu Ya baik selanjutnya ini mungkin masih ada beberapa pertanyaan
ya Pak Mika dan Pak Teguh ya masih bisa ya pak ya baik ini Pertanyaan
selanjutnya dari bennymovers begini Pak sudah banyak data pribadi dijual
di Dark web atau darknet ya dari berbagai sumber Bagaimana metode
pembuktian aparat penegak hukum terkait Sumber data tersebut Monggo
dari Pak Mika atau Pak Teguh lebih dulu mana silahkan mungkin silahkan
kami kemudian investigasi lebih dari 67 kasus insiden data pribadi dan
mayoritas kasus-kasus tersebut sumber informasi dan kebocorannya
dituangkan di Dark web atau area terdalamnya internet dia lebih luas 400
kali lipat daripada internet yang kita pakai di permukaan cuma nggak
kelihatan Nah karena ini kita mencari tempat yang gelap segala sesuatunya
pun gelap termasuk siapa penjualnya tidak ada dalam membuktikan
Sumber data itu hal yang rumit karena apa kalau kita mau membuktikan
Sumber data yang pertama harus kita lakukan dari investigator adalah apa
membeli datanya kita tidak bisa hanya lewat sampel 100 data kita
bandingkan dengan data dari tidak bisa kita beli datanya pertanyaan
berikutnya Apakah kita investasi kita akan beli Apakah kita boleh
menyiapkan misalnya 5 Bitcoin 10 untuk membeli ke penjahat katakan
pemerintah oke silakan kamu investigator kamu boleh beli saya keluarkan
misalnya 5 Bitcoin seharga bisa dua setengah miliar saya kirim ke kita
siapa tahu jawab itu dua hal jadi pembuktian atas Sumber data itu hal yang
sangat tricky kita dalam hal tertentu Kita bisa pakai yang ketiga tapi dalam
banyak hal mayoritas kita akan kesulitan karena mereka bisa tahu ini yang
beli ini Pemerintah interest mereka bisa jadi lebih canggih Oh mereka tahu
ini uangnya diambil tapi datanya belum tentu dikirim ke saya itu beresiko
tinggi bagi kami investigator kami diperiksa sama BPK lu mana Ini pintu
Tenggara di situ kan punya metode lain tapi tetap ketika data sudah berhasil
kami peroleh kita sandingkan berdasarkan feel by field di sini ada 10 field
Satu Nama Satu nomor telepon alamat dan seterusnya ada 10 ya ini ada 10
kita bandingkan ada yang sama enggak karakternya kemudian kita juga kita
bandingkan dengan metode sampling ya kita lihat akurasinya Oh dari yang
kita sampling 99,9% ini akurat identik tapi kadang-kadang dalam proses
investigasi dari 1000 data sampel yang kita sandingkan kita bandingkan
ternyata yang identik Saya hanya 60,9% ketika 60 koma sekian persen
karena kita bicara orang lain kita nggak bisa bilang bahwa ini identik pasti
punya perusahaan ini meskipun akurasinya udah pasti nih identik atau
kemungkinan sama kita orang tes nggak bisa kita hanya sebut akurasi
datanya sekian persen karena apa dalam perjalanan kita memperoleh data
para peretas penjual data itu sering sekali memodifikasi data yang dijual
dibanding dengan data sumber mereka diperoleh karena data sumber
kadang-kadang bisa menjadi satu petunjuk untuk mengetahui dimana sih
lubangnya dan itu akan memberikan Ancaman bagi mereka yang masuk ke
hal ini kemudian bisa ditemukan Oh ini kemungkinan dari kertas dari mana
itu metode yang kami lakukan semuanya gitu bahkan kita punya crypto
address untuk menerima uangnya itu pun di tracing tidak mudah juga kita
bisa tracing uangnya kemana-kemana tapi ada titik tertentu ketika dikirim
keluar yang exchangernya tidak menerapkan di negaranya tidak wajib Ya
udah ya kita enggak pernah tahu di mana Ini uangnya ya poinnya gitu
artinya memang ada metode-metode tertentu yang dilakukan oleh teman-
teman dari kominfo dan tim ya dan pastinya Ya karena memang apalagi tadi
darknet atau Dark web itu ya memang sangat susah di akses ya semuanya
serbadar teman-teman tadi kan itu sulit ya Kita sebagai lemon misalkan
untuk memahami itu itu sulit tapi itu tidak melepaskan kita dari kewajiban
artinya nanti kalau pembuktian terbalik gimana ini data Anda bukan nah itu
pertanyaannya kan bisa jadi seperti itu gitu kan ini katanya data Anda bocor
tolong buktikan bahwa ini bukan data Anda yang bocor kalau data Anda
yang bocor Kenapa Anda nggak lapor tiga kali 24 jam koneksinya gitu
nanti membuktiannya gitu kan gitu Jadi ini eee urgensi Ini kepentingan ini
nantinya ke depan itu mesti jadi apa ya Eh pemahaman Oh Ini benar-benar
mesti disikapi dengan bijak dan dan dan mendalam gitu karena
kewajibannya sanksinya lumayan gitu kan tadi mekanisme namanya
pressum lability kalau bicara sistem eee dan hukum ya pressurella itu apa
ya tadi disampaikan kalau memang ada eee ini sering kebocoran kemudian
investigator tidak berhasil menemukan berdasarkan sumber data yang
terbalik silahkan anda yang dituduh data yang bocor Buktikan kalau itu
bukan data Anda gitu itu prinsip-presem lability memang belum diatur
secara detail tapi dimungkinkan ketika pp-nya keluar metode untuk
personality dilakukan tapi sebelum ada PP kita belum bisa tegaskan bahwa
ini pressure mobility ini masih kewajiban dari investigator untuk mencari
tahu mekanismenya bebas tapi intinya bahwa pemerintah atau tim
investigasi data pribadi melakukan segala cara tidak hanya Mandiri kami
juga kerja sama dengan eksternal dengan menggunakan Sultan dengan para
pakar dan memang tidak mudah bukan berarti tidak bisa tidak mudah baik
menarik sekali ya dalam pembuktian ini sebenarnya sangat komprehensif
juga ya Tapi nanti Diharapkan dengan adanya uupdp berikut dengan
peraturan-peraturan pelaksanaannya Tugas atau yang tadi Pak tunggu
sampaikan harapannya itu bisa lebih ini lagi ya Pak ya kalau saat ini kan
kami mengerjakan itu sebagai tanda kutip fungsi yang agak ad hoc ya
sementara kami karena kami belum diberikan kemenangan dari undang-
undang kedepannya itu fungsi yang benar-benar mandatory yang harus
kami kerjakan dan ada dalam sebuah struktur yang memang spesifik di situ
dengan kedepannya apa namanya masalah kebocoran data penyalahgunaan
data dengan sendirinya bisa terminimalisir ya pak ya maju apapun negara
bukan menghilangkan atau membersihkan insiden Betul tapi tadi Seperti
yang Pak tunggu sampaikan di awal gitu walaupun 10 tahun lebih baik apa
Lama enggak apa-apa daripada enggak sama sekali apakah ketentuan
sanksi terkait pemrosesan data pribadi tidak akan berlaku dalam masa
peralihan selama 2 tahun tersebut tapi dari sampaikan hal yang sudah
langsung dikenakan sanksi gitu ya Pak ya Ada juga yang nanti khususnya
tentang tata kelola pemrosesan itu ya Pak karena memang kita diberi waktu
untuk melakukan penyesuaian selama 2 tahun pertanyaan berikutnya adalah
apakah di dalam persetujuan dengan pemilik atau Sumber data harus jelas
menyebutkan nama pihak lain yang melakukan pemrosesan mungkin pak
Mika itu ya mungkin saya jawab yang yang poin keduanya ya Jadi harus
jelas menyebutkan pihak lain yang melakukan pemrosesan Iya jawabannya
seperti tadi kok kuncinya ada di konsennya gitu dia harus menyebutkan
diapakan data itu gitu jadi salah satunya adalah Sebutkan juga pihak
lainnya ini akan melakukan pemrosesan siapa gitu Itu sih Mungkin ya nanti
mungkin mengenai sanksi Pak Teguh lebih sanksi itu sebenarnya cukup
jelas tadi kalau selama itu tonton pidana sejak disahkan bisa langsung
kenakan tapi untuk administrasi administratif oleh otoritas karena itu
bagian dari sebuah siklus pemrosesan yang menunggu 2 tahun dulu
otoritasnya ada nunggu peraturan pelaksanaannya ada Baru bisa dikenakan
yang 2% dari penerimaan tahunan organisasi atau korporasi tadi kemudian
Apakah disebutkan pihak yang melakukan pemrosesan jelas hukumnya
wajib disebutkan gitu Bagaimana kalau misalnya ada ratusan dan bisa di
tengah jalan berubah atau segala macam tetap mekanismenya harus
disebutkan dan ada persetujuan Bisa itu bisa bentuknya sebuah Link yang
merujuk pada siapa saja kerjasama yang melakukan proses bisa juga
dengan meminta rekonsensual minta izin ulang per 3 bulan notification
bahwa ini ada perubahan tergagalan siapa para pihak yang memproses data
Anda dan ada provosen baru kemudian secara hukum sudah memenuhi
prinsip-prinsip dalam saya ada pertanyaan juga nih dia terkait dengan 2
tahun ini kayaknya ditanya lagi gitu ya jadi kepikiran juga nih pak
sebenarnya 2 tahun ini contoh nih Kami kan di perbankan juga tunduk pada
misalnya undang-undang konsumen gimana data nasabah itu atau data
siapapun lah ya yang memberikan datanya ke kami itu kalau mau
digunakan itu harus memperoleh persetujuan gitu kan Pak Nah seandainya
terjadi pelanggaran itu nanti akan ikut apa sanksinya itu ikut ke uupdp atau
sanksi VOC sendiri Pak bisa dua-duanya berarti udah berlaku juga ya baik
mungkin bisa dibacakan lagi baik untuk ini untuk Pak Teguh ada
pertanyaan dari bennymovers Pak Teguh Apakah bank bisa digugat oleh
nasabah akibat kebocoran data yang diakibatkan oleh hacker pertama kita
harus lihat kebocorannya dari sisi mana dari sisi nasabahnya atau dari sisi
banknya kalau dari sisi banknya bank bisa digugat dong tapi kalau Sisi dari
sisi Nasabah di undang-undang itu ada prinsip bahwa ada pasal 15 ayat 3 ya
bahwa penyelenggaraan itu bertanggung jawab atas keandalan dan
keamanan sistemnya tapi itu bisa dikecualikan dalam hal bisa dibuktikan
ini terjadi akibat kelalaian atau kesalahan dari penggunanya pengguna bisa
juga dia memberikan OTP ke orang lain dan seterusnya itu bisa jadi faktor
untuk bahwa tanggung jawabnya sudah berpindah dari sisi bank ke ke
nasabah bank bisa membuat sistem keamanan apapun tapi kalau
penggunanya tidak ada ya Pin bisa dibagikan padahal TV hanya boleh di ke
mesin ini dikirimkan ke orang ke messaging jadi ada batasan-batasan
Namun demikian bukan berarti bank kemudian langsung ah itu urusan
nasabah tidak ada kewajiban bank lain apa kewajiban lain dari bank
memberikan edukasi awareness yang terukur tidak hanya kirim pamflet
tidak hanya kirim WA atau kirim pesan tidak ada yang bisa ngukur bahwa
ini loh seberapa besar jadi ada ada skalability skalabilitasnya kemudian ada
target-target yang ter-kluster kalau nasabahnya pelajar dengan orang-orang
tua-tua yang di atas 50 tentu beda dong materi sosialisasinya materi
wearnesnya jadi bisa diukur efektivitasnya seperti apa itu bagian dari
pemenuhan ada etika baik dari bank untuk mengedukasi nasabah jadi
meskipun bank secara hukum atas insiden tadi penetasan misalnya
kertasnya masuk ke handphone user kemudian mengambil alih account
Mobile Banking Ya bukan berarti kemudian kewajiban edukasinya nanti
ketika itu di investigasi bank tidak melakukan edukasi yang efektif efisien
yang sesuai dengan kewajiban mereka bisa jadi faktor pemberat ketika
masuk ke investigasi insiden data pribadi untuk dendanya gitu artinya
terlepas tadi Apakah dari adanya kelalaian nasabah itu tersendiri ataupun
dari bank dari pihak kita dari pihak perbankan memang kita di
rekomendasikan atau diwajibkan untuk terus senantiasa melakukan
sosialisasi ataupun edukasi ke nasabah ya dan edukasinya harus sesuai
dengan targetnya tapi harus terukur terukur bahwa bukan cuma kirim
edukasi tidak harus terukur sampai belum tingkat security warnessnya
nasabah kita itu berapa persen sih kalau mau dibikin skala prosentase kalau
cuma melempar-lempar aja seperti peraturan Ya saya rasa semua
melakukan gitu baik-baik Terima kasih Pak untuk penjelasannya Pak dan
ini ada pertanyaan Mungkin pertanyaan terakhir nggak ya ini sudah banyak
banget pertanyaannya silakan Mbak Agnes pertanyaannya benar sekali seru
banget ya banyak banget ini Mungkin pertanyaan terakhir ya Pak apakah
data debitur peminjam dalam hal ini penarikan Jadi kalau misalnya kita
mau menganalisa menganalisa ya dan kita akan ngambil nih pak slip dari
OJK Nah apakah itu termasuk juga harus menjadi data yang apa
memperoleh wajib memperoleh persetujuan dari si Katakanlah Ini calon
debitur Ya calon debitur dan apakah sudah mulai berlaku dari sekarang gitu
Pak saya tambah persetujuan itu salah satu kewajiban dari data pribadi dan
kewajiban itu bisa dikecualikan salah satunya jika itu berkaitan dengan
pengawasan yang dilakukan untuk sektor pengawasan Jasa Keuangan sulit
itu dilakukan diwajibkan diberlakukan dari otoritas ke para bank ataupun
penyelenggara Jasa Keuangan artinya tanpa ada persetujuan dari segala
pribadi sekalipun karena itu sudah menjadi bagian dari program
pengawasan dari otoritas Ya itu bisa dilakukan tanpa persetujuan tidak bisa
saya nggak mau dong dan tidak bisa karena itu bagian dari pengawasan dan
itu boleh dilakukan tanpa persetujuan dari vegata tanpa persetujuan kalau
untuk di apa namanya Slick ini kan dikelola sama itu pertanyaannya
mungkin ya kita coba perjelas pertanyaannya adalah pada saat kami ini
perbankan mau menganalisa permohonan kreditnya kita kan butuh Slick
juga ya Pak Nah itu perlu persetujuan tidak perlu tidak perlu karena itu kan
bagian dari kewajiban bank untuk menjalankan fungsi pengawasan terasa
juga ya tadi banyak diskusi yang kita lakukan oleh Pak Teguh dan pamika
juga akhirnya Sudah mau jam sudah mau berakhir nih benar sekali Dira
menarik banget kan Ya udah diundang ya terima kasih ya Mbak Pak Teguh
pamika sekali lagi terima kasih untuk obrolan kita yang sangat luar biasa
nah Sebelum kita akhiri obrolan kita hari ini mungkin ada pesan penutup ya
dari Pak Teguh dan juga dengan dari Pak Mika kepada Pak Teguh mungkin
yang pertama akan berserakan pertama Terima kasih banyak ke BNI
sebetulnya sangat penting artinya kami menyadari bahwa bank khususnya
BNI saat ini punya konsen dan punya punya ketertarikan untuk tahu lebih
banyak terkait undang-undang satu hal yang selalu saya tegaskan bahwa
undang-undang atau pribadi bukan solusi dari semua masalah data pribadi
Indonesia bukan solusi bukan satu-satunya solusi undang-undang dasar
pribadi adalah bentuk ikhtiar pemerintah dan DPR untuk membuat
tatakutan pribadi menjadi lebih baik untuk menjamin bahwa hak-hak
preferensi yang mana merupakan bagian dari hak asasi manusia setiap
warga negara terpenuhi untuk menjamin bahwa setiap ada insiden
pelanggaran ataupun ada penyalahgunaan Kami punya satu upaya hukum
yang bisa memproteksi para sudah data pribadi dan data pribadikan dia
bukan sebuah aset tidak bisa dimiliki dan ini adalah amanah yang harus
dijaga Nah mindsetnya kita ubah dulu kesadarannya kita tingkatkan ya
Mulai dari sekarang Kita sesuaikan apa yang boleh dan tidak boleh terkait
dengan penggunaan ataupun pemanfaatan data pribadi sebagaimana pribadi
Terima kasih banyak dan sampai ketemu di event berikutnya terima kasih
Pak Teguh dari Pak Mika kami juga mohon pesan penutupnya Oke makasih
untuk BNI dan rekan-rekan juga saya dikasih kesempatan saya senang
untuk berbagi sharing is caring Dengan kesempatan ini saya diberikan
kesempatan untuk berkreasi juga gitu di sini tapi berkenaan dengan
undang-undang diberikan negara untuk melindungi hak-hak yang
sebenarnya sudah tertulis di undang-undang dasar 28g yang untuk
melindungi hak personal dari warga negara jadi kedepannya ini dianggap
sebagai suatu hal yang positif tapi hal yang positif ini diharapkan juga
disertai dengan eee tanggung jawab yang lebih besar juga kepada korporasi
terutama untuk mengelola data dan memproses data supaya bisa lebih hati-
hati dan lebih bertanggung jawab dalam mengelola data-datanya Karena
implikasinya sekarang sudah real sudah ada sudah jelas dan bisa dijalankan
gitu makasih Baik terima kasih Pak untuk ee pesan penutup yang
disampaikan oleh Pak Tugu dan juga Pak Mika obrolan kita berakhir nih
Iya tapi pr-nya banyak dengan adanya updp dan kita akan tunggu lagi
peraturan pelaksanaannya PR di BNI khususnya ya sebagai pengendali data
pribadi sudah nunggu nih Yang melakukan pelanggaran kira-kira begitu ya
pak Nanti Mungkin kita bisa tetap berdiskusi ya Pak after dari obrolan dan
juga Pak Teguh dear makasih banyak juga loh sudah memberikan tempat di
sini di warning ini untuk kita bisa berdiskusi dengan bapak-bapak yang luar
biasa ya wah sama-sama kita semua dan saya dan banyak Havers yang
justru Terima kasih karena sudah diundang nih Pak Teguh dan pemika
dalam warung learning hari ini selain kita mendapatkan informasi yang
sangat bermanfaat juga ada beberapa Inside yang kita dapat terkait dengan
uupdp juga upaya perlindungan data pribadi dan implikasinya pastinya bagi
BNI Baik terima kasih sekali lagi pada gua dan Tomica baik biayanyavers
jangan lupa ya untuk sering-sering berkunjung ke warning warung learning
di channel Benny corpu TV karena pastinya banyak info yang menarik new
knowledge dan keseruan lainnya baik terima kasih Pak [Musik]