RUU Pelindungan Data Pribadi mengatur tentang hak dan kewajiban pemilik data pribadi, pengendali data, dan prosesor data dalam memproses dan melindungi data pribadi. Dokumen ini juga membahas sanksi administratif dan pidana bagi pelanggaran peraturan perlindungan data pribadi.
3. privasi.id
UU PDP mengatur tentang….
1
Jenis Data
Pribadi 2 3 4
5678
11109 13
Hak Pemilik
Data Pribadi
Pemrosesan
Data Pribadi
Pengecualian
terhadap Data Pribadi
Pengendali dan
Prosesor Data Pribadi
Pejabat/Petugas
PDP
Transfer Data
PribadiSanksi Administratif
Pedoman Perilaku
Pengendali Data
Pribadi
Penyelesaian
Sengketa
Kerjasama
Internasional 12
Peran Pemerintah
dan Masyarakat
Larangan dan
Ketentuan Pidana
4. privasi.id
Definisi Data Pribadi
Data Pribadi adalah setiap data
tentang seseorang baik yang
teridentifikasi dan/atau dapat
diidentifikasi secara tersendiri atau
dikombinasi dengan informasi lainnya
baik secara langsung maupun tidak
langsung melalui sistem elektronik
dan/atau nonelektronik
Pasal 1
5. privasi.id
Para Pihak
PENGENDALI DATA PRIBADI
pihak yang menentukan tujuan dan melakukan
kendali pemrosesan Data Pribadi
PROSESOR DATA PRIBADI
pihak yang melakukan pemrosesan Data Pribadi
atas nama Pengendali Data Pribadi
PEMILIK DATA PRIBADI
orang perseorangan selaku subyek data yang
memiliki Data Pribadi yang melekat pada dirinya.
Pasal 1
6. privasi.id
Subjek
ORANG PERSEORANGAN
KORPORASI
kumpulan orang dan/atau kekayaan yang terorganisasi
baik merupakan badan hukum maupun bukan badan
hukum
BADAN PUBLIK
lembaga eksekutif, legislatif, yudikatif, dan badan lain
yang fungsi dan tugas pokoknya berkaitan dengan
penyelenggaraan negara, yang sebagian atau seluruh
dananya bersumber APBN dan/atau APBD, atau
organisasi nonpemerintah sepanjang sebagian atau
seluruh dananya bersumber dari APBN dan/atau
APBD, sumbangan masyarakat dan/atau luar negeri.
Pasal 1
7. privasi.id
Jenis Data Pribadi
Data Pribadi Umum Data Pribadi Spesifik
Nama Lengkap
Jenis Kelamin
Kewarganegaraan
Agama
Data Pribadi yang dikombinasikan untuk
mengidentifikasi seseorang
data dan informasi kesehatan
data biometrik
data genetika
kehidupan/orientasi seksual
pandangan politik
catatan kejahatan
data anak
data keuangan pribadi
data lainnya sesuai ketentuan perundang-
undanganPasal 3
8. privasi.id
Hak Pemilik Data Pribadi
pasal
4
meminta Informasi tentang kejelasan identitas, dasar kepentingan
hukum, tujuan permintaan dan penggunaan Data Pribadi, dan
akuntabilitas pihak yang meminta Data Pribadi
melengkapi Data Pribadi miliknya sebelum diproses oleh
Pengendali Data Pribadi
mengakses Data Pribadi miliknya sesuai dengan ketentuan peraturan
perundang-undangan
memperbarui dan/atau memperbaiki kesalahan dan/atau ketidakakuratan
Data Pribadi miliknya
mengakhiri pemrosesan, menghapus, dan/atau memusnahkan
Data Pribadi miliknya
menarik kembali persetujuan pemrosesan Data Pribadi miliknya
yang telah diberikan kepada Pengendali Data Pribadi.
mengajukan keberatan atas tindakan pengambilan keputusan yang
hanya didasarkan pada pemrosesan secara otomatis terkait profil
seseorang (profiling)
memilih atau tidak memilih pemrosesan Data Pribadi melalui
mekanisme pseudonim untuk tujuan tertentu
menunda atau membatasi pemrosesan Data Pribadi secara
proporsional
menuntut dan menerima ganti rugi atas pelanggaran Data
Pribadi miliknya
mendapatkan dan/atau menggunakan Data Pribadi miliknya dari
Pengendali Data Pribadi
menggunakan dan mengirimkan Data Pribadi miliknya ke
Pengendali Data Pribadi lainnya
pasal
5
pasal
6
pasal
7
pasal
8
pasal
9
pasal
10
pasal
11
pasal
12
pasal
13
pasal
14a
pasal
14b
9. privasi.id
Pengecualian Hak Pemilik Data Pribadi
kepentingan pertahanan dan keamanan nasional
agregat data yang pemrosesannya ditujukan guna
kepentingan statistik dan penelitian ilmiah dalam rangka
penyelenggaraan negara
Pasal 8
Pasal 9
Pasal 10
Pasal 11
Pasal 12
Pasal 14
kepentingan proses penegakan hukum
kepentingan umum dalam rangka penyelenggaraan negara
kepentingan pengawasan sektor jasa keuangan, moneter,
sistem pembayaran, dan stabilitas sistem keuangan
Pasal 16
10. privasi.id
Pemrosesan Data Pribadi
perbaikan dan
pembaruan
penampilan,
pengumuman, transfer,
penyebarluasan, atau
pengungkapan
penghapusan atau
pemusnahan.
perolehan dan
pengumpulan
pengolahan dan
penganalisisan
penyimpanan
Pasal 17 (1)
11. privasi.id
Prinsip Pemrosesan Data Pribadi
terbatas dan spesifik, sah secara hukum,
patut, dan transparan
sesuai dengan tujuannya
menjamin hak Pemilik Data Pribadi
akurat, lengkap, tidak menyesatkan,
mutakhir, dan dapat dipertanggungjawabkan
melindungi keamanan Data Pribadi dari
pengaksesan yang tidak sah, pengungkapan yang
tidak sah, pengubahan yang tidak sah,
penyalahgunaan, perusakan, dan/atau kehilangan
memberitahukan tujuan dan aktivitas
pemrosesan, serta kegagalan pelindungan
Data Pribadi
dimusnahkan dan/atau dihapus setelah masa
retensi berakhir atau berdasarkan permintaan
Pemilik Data Pribadi
dilakukan secara bertanggung jawab dengan
memenuhi pelaksanaan prinsip pelindungan
Data Pribadi
Pasal 17 (2)
12. privasi.id
Persetujuan Pemrosesan Data Pribadi
Pemrosesan Data Pribadi harus memenuhi ketentuan adanya
persetujuan yang sah dari Pemilik Data Pribadi untuk satu atau
beberapa tujuan tertentu yang telah disampaikan kepada Pemilik Data
Pribadi.
pasal
18
Persetujuan pemrosesan Data Pribadi dilakukan melalui
persetujuan tertulis (elektronik atau non-elektronik) atau lisan
terekam
pasal
19
Klausul perjanjian yang di dalamnya terdapat permintaan Data Pribadi
yang tidak memuat persetujuan secara tegas (explicit consent) dari
Pemilik Data Pribadi dinyatakan batal demi hukum
pasal
20
Dalam melakukan pemrosesan Data Pribadi, Pengendali Data Pribadi
wajib menjaga kerahasiaan Data Pribadi
pasal
21
13. privasi.id
Pemasangan alat pemroses/pengolah data visual di
tempat umum
untuk tujuan keamanan, pencegahan bencana, dan/atau
penyelenggaraan lalu lintas atau pengumpulan, analisis
dan pengaturan Informasi lalu lintas
tidak digunakan untuk mengidentifikasi seseorang
kepentingan proses penegakan hukum
Pasal 22
harus menampilkan Informasi bahwa pada area tersebut telah
dipasang alat pemroses atau pengolah data visual
15. privasi.id
Kewajiban Pengendali Data Pribadi (1)
Untuk mendapatkan persetujuan, wajib menyampaikan informasi
mengenai: legalitas, tujuan, jenis & relevansi data pribadi, periode
retensi, rincian informasi yang dikumpulkan, jangka waktu
pemrosesan dan hak pemilik data pribadi.
pasal
24
Wajib menghentikan pemrosesan Data Pribadi dalam hal
Pemilik Data Pribadi menarik kembali persetujuan pemrosesan
Data Pribadi (paling lambat 3x24 jam)
pasal
25
Wajib melakukan penundaan dan pembatasan pemrosesan
Data Pribadi jika diminta Pemilik Data Pribadi (paling lambat
2x24 jam)
pasal
26
Wajib melindungi dan memastikan keamanan Data Pribadi
yang diprosesnya
pasal
27
16. privasi.id
Kewajiban Pengendali Data Pribadi (2)
Wajib melakukan pengawasan terhadap setiap pihak yang
terlibat dalam pemrosesan Data Pribadi di bawah kendali.
pasal
28
Wajib memastikan pelindungan Data Pribadi dari pemrosesan
Data Pribadi yang tidak sah.
pasal
29
Wajib mencegah Data Pribadi diakses secara tidak sah (dengan
sistem yang andal, aman dan bertanggungjawab)
pasal
30
Wajib melakukan perekaman terhadap seluruh kegiatan
pemrosesan Data Pribadi
pasal
31
17. privasi.id
Kewajiban Pengendali Data Pribadi (3)
Wajib memberikan akses kepada Pemilik Data Pribadi terhadap Data
Pribadi yang diproses beserta rekam jejak pemrosesan Data Pribadi
sesuai dengan jangka waktu penyimpanan Data Pribadi.
pasal
32
wajib menolak memberikan akses perubahan terhadap Data Pribadi,
jika: membahayakan keamanan/kesehatan fisik/mental, berdampak
pengungkapan Data Pribadi orang lain, bertentangan dengan
kepentingan hankamnas
pasal
33
Wajib memperbarui dan/atau memperbaiki kesalahan
dan/atau ketidakakuratan Data Pribadi (1x24 jam) dan
memberitahukan hasilnya
pasal
34
Wajib menjamin akurasi, kelengkapan, dan konsistensi Data
Pribadi
pasal
35
18. privasi.id
Kewajiban Pengendali Data Pribadi (4)
Wajib melakukan pemrosesan Data Pribadi sesuai dengan
tujuan pemrosesan Data Pribadi yang disetujui oleh Pemilik
Data Pribadi.
pasal
36
Wajib mengakhiri pemrosesan Data Pribadi jika: telah
mencapai masa retensi, tujuan pemrosesan tercapai, atau
permintaan Pemilik Data Pribadi
pasal
37
Wajib menghapus Data Pribadi jika: tidak lagi diperlukan untuk
pencapaian tujuan, persetujuan ditarik, permintaan pemilik
data pribadi, data diperoleh/diproses dengan cara ilegal
pasal
38
Wajib memusnahkan Data Pribadi jika: tidak memiliki nilai guna
lagi, habis masa retensi, permintaan Pemilik Data Pribadi, tidak
berkaitan dengan penyelesaian proses hukum
pasal
39
19. privasi.id
Kewajiban Pengendali Data Pribadi (5)
Wajib menyampaikan pemberitahuan secara tertulis kepada
Pemilik Data Pribadi dan Menteri jika terjadi kegagalan
pelindungan Data Pribadi (paling lambat 3x24 jam)
pasal
40
Wajib bertanggung jawab atas pemrosesan Data Pribadi dan
menunjukkan pertanggungjawabannya dalam pemenuhan
kewajiban pelaksanaan prinsip pelindungan Data Pribadi.
pasal
41
20. privasi.id
Pengendali/Prosesor Data Pribadi wajib menunjuk seorang pejabat
atau petugas yang melaksanakan fungsi pelindungan data pribadi
dalam hal:
Pejabat atau Petugas Yang Melaksanakan Fungsi
Pelindungan Data Pribadi
Pemrosesan Data Pribadi untuk kepentingan pelayanan publik
Kegiatan inti Pengendali Data Pribadi memiliki sifat, ruang lingkup, dan/atau tujuan yang
memerlukan pemantauan secara teratur dan sistematis atas Data Pribadi dengan skala besar
Kegiatan inti Pengendali Data Pribadi terdiri dari pemrosesan Data Pribadi dalam skala besar
untuk Data Pribadi yang bersifat spesifik dan/atau Data Pribadi yang berkaitan dengan tindak
pidana
Pasal 45
21. privasi.id
Menginformasikan dan memberikan
saran untuk Pengendali/Prosesor Data
Pribadi agar mematuhi ketentuan dalam
UU PDP
Tugas Pejabat Pelindungan Data Pribadi
Memantau dan memastikan kepatuhan
terhadap UU PDP dan kebijakan
Pengendali/Prosesor Data Pribadi, termasuk
penugasan, tanggung jawab, peningkatan
kesadaran dan pelatihan pihak yang terlibat
dalam pemrosesan Data Pribadi, dan audit
terkait
Memberikan saran mengenai penilaian
dampak pelindungan Data Pribadi dan
memantau kinerja Pengendali/Prosesor
Data Pribadi;
Berkoordinasi dan bertindak sebagai
narahubung untuk isu yang berkaitan
dengan pemrosesan Data Pribadi,
termasuk melakukan konsultasi mengenai
mitigasi risiko dan/atau hal lainnya
Pasal 46
23. privasi.id
LARANGAN DAN SANKSI PIDANA (1)
LARANGAN
(Setiap Orang* dilarang….)
SANKSI PIDANA
memperoleh atau mengumpulkan Data Pribadi yang bukan
miliknya dengan maksud untuk menguntungkan diri sendiri
atau orang lain secara melawan hukum atau dapat
mengakibatkan kerugian Pemilik Data Pribadi
(pasal 51 ayat 1)
pidana penjara paling lama 5 (lima) tahun atau pidana
denda paling banyak Rp50.000.000.000,00 (lima puluh
miliar rupiah)
(pasal 61 ayat 1)
mengungkapkan Data Pribadi yang bukan miliknya
(pasal 51ayat 2)
pidana penjara paling lama 2 (dua) tahun atau pidana
denda paling banyak Rp20.000.000.000,00 (dua puluh
miliar rupiah)
(pasal 61 ayat 2)
menggunakan Data Pribadi yang bukan miliknya.
(pasal 51 ayat 3)
pidana penjara paling lama 7 (tujuh) tahun atau pidana
denda paling banyak Rp70.000.000.000,00 (tujuh puluh
miliar rupiah).
(pasal 61 ayat 3)
Setiap Orang = orang perseorangan atau Korporasi
24. privasi.id
LARANGAN DAN SANKSI PIDANA (2)
LARANGAN
(Setiap Orang* dilarang….)
SANKSI PIDANA
memasang dan/atau mengoperasikan alat pemroses atau
pengolah data visual di tempat umum atau fasilitas
pelayanan publik yang dapat mengancam dan/atau
melanggar pelindungan Data Pribadi.
(pasal 52)
pidana penjara paling lama 1 (satu) tahun atau pidana
denda paling banyak Rp10.000.000.000,00
(pasal 62)
menggunakan alat pemroses atau pengolah data visual
yang dipasang di tempat umum dan/atau fasilitas
pelayanan publik yang digunakan untuk mengidentifikasi
seseorang
(pasal 53)
pidana penjara paling lama 1 (satu) tahun atau pidana
denda paling banyak Rp10.000.000.000,00
(pasal 63)
memalsukan Data Pribadi
(Pasal 54 ayat 1)
pidana penjara paling lama 6 (enam) tahun atau pidana
denda paling banyak Rp60.000.000.000,00
(pasal 64 ayat 1)
menjual atau membeli Data Pribadi
(Pasal 54 ayat 2)
pidana penjara paling lama 5 (lima) tahun atau pidana
denda paling banyak Rp50.000.000.000,00
(pasal 64 ayat 2)
25. privasi.id
• Pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi
perintah, pemilik manfaat, dan/atau Korporasi.
• Pidana yang dapat dijatuhkan terhadap Korporasi hanya pidana denda.
• Paling banyak 3 (tiga) kali dari maksimal pidana denda yang diancamkan.
• Pidana Tambahan:
• perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari
tindak pidana
• pembekuan seluruh atau sebagian usaha Korporasi;
• pelarangan permanen melakukan perbuatan tertentu;
• penutupan seluruh atau sebagian tempat usaha dan/atau kegiatan Korporasi;
• melaksanakan kewajiban yang telah dilalaikan; dan
• pembayaran ganti kerugian.
Sanksi Pidana bagi Korporasi
Pasal 66
26. privasi.id
Pada saat Undang-Undang ini mulai berlaku, pihak yang telah
melakukan pemrosesan Data Pribadi, wajib menyesuaikan dengan
ketentuan pemrosesan Data Pribadi berdasarkan Undang-Undang ini
paling lama 2 (dua) tahun sejak Undang-Undang ini diundangkan.
Ketentuan Peralihan
Pasal 70
27. privasi.id
Mari kita kritisi isi RUU PDP ini dan
kawal pembahasannya di DPR agar dapat
segera disahkan menjadi Undang-Undang