Indonesia’s Personal Data Protection Law/ Hukum Perlindungan atas Data Pribadi di Indonesia

by | Oct 25, 2019 | IT Law, Law

Indonesia’s Personal Data Protection Law

Hukum Perlindungan atas Data Pribadi di Indonesia

Before we proceed further, we can convey to you that to date there are no codified Indonesia’s law which governs the data and privacy protection for a person (as subject). the legal framework of data  & privacy protection is scattered in many indonesia’s regulation.

 

Sebelum kami melangkah lebih jauh, kami dapat menyampaikan kepada Anda bahwa sampai saat ini tidak ada hukum Indonesia yang dikodifikasikan yang mengatur data dan perlindungan privasi untuk seseorang (sebagai subjek). kerangka hukum perlindungan data & privasi tersebar di banyak peraturan di Indonesia.

 

Legal Right of Protections

Article 28 (G) of the 1945 Constitution of the Republic of Indonesia stipulates that every person has the right to protection of themselves, their families, respect, dignity and possessions under their control; and security and protection from threat of fear for doing, or not doing, something that constitutes a human right.

 

Alas Hak Perlindungan 

Pasal 28 (G) Undang-Undang Dasar Negara Republik Indonesia Tahun 1945 menetapkan bahwa setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.

 

Personal Data Protection

Law No 11 of 2008 regarding Electronic Information and Transactions (21 April 2008), as amended by Law No 19 of 2016 (“IT Law“) and its recently revised implementing regulation the Government Regulation No 71 of 2019 regarding the Implementation of Electronic Systems and Transactions (‘GR 71/2019’) are a set regulation which acts as a head of the implementing regulation issued by the Ministry of Communication and Informatics (“MOCI“) the protection of personal data that is contained in an electronic system (“MOCI Reg 20/2016“). (hereinafter the IT Law, GR 71/2019 and MOCI Reg 20/2016 is referred to as “PDP Reg“).

 

Article 2 of MOCI Reg 20/2016 stipulates that the Personal Data Protection in Electronic Systems is comprised of protection against the acquisition, collection, processing, analyzing, storage, display, announcement, delivery, dissemination and erasure of Personal Data.

Personal Data Protection in Electronic System is carried out in the following process:

  1. acquisition and collection;
  2. processing and analyzing;
  3. storage;
  4. display, announcement, delivery, dissemination, and/or opening of access; and
  5. erasure

note that the electronic system which is utilized shall be certified in accordance with the laws.

Where in the implementation of the Personal Data Protection in Electronic System has to be carried out with the following principles:

  • due regard towards Personal Data as privacy;
  • Personal Data are confidential in nature in accordance with the Approval and/or based on the provisions of laws and regulations;
  • based on Approval;
  • the relevance with the purpose of acquisition, collection, processing, analyzing, storage, display, announcement, delivery, and dissemination;
  • the worthiness of Electronic System that are being used;
  • the good faith to immediately notify in writing to Personal Data Owners as regards any failure on Personal Data protection;
  • the availability of internal regulation for the management of Personal Data protection;
  • the responsibility for any Personal Data that are under possession of Users;
  • ease of access to and correction of Personal Data by Personal-Data Owners; and
  • the integrity, accuracy, and validity, as well as updates of Personal Data.

Privacy as have mentioned above is a the freedom of Personal Data Owners to declare the confidentiality or non-confidentiality of their Personal Data, unless stipulated otherwise in accordance with the provisions of laws and regulations.

Approval as have mentioned above is granted after Personal Data Owners confirmed the validity, confidentiality status and the purpose of the management of Personal Data.

Validity as have mentioned above is a validity requirement in the acquisition, collection, processing, analyzing, storage, display, announcement, delivery, dissemination and erasure of Personal Data.

 

Perlindungan Data Pribadi 
Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik, sebagaimana telah diubah dengan Undang-Undang Nomor 19 Tahun 2016 (“UU IT“) dan peraturan pelaksananya yang baru-baru ini direvisi yaitu Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (‘PP 71/2019‘) adalah peraturan yang berlaku yang bertindak sebagai peraturan prinsipal peraturan pelaksana yang dikeluarkan oleh Kementerian Komunikasi dan Informatika (“MOCI“) tentang perlindungan data pribadi dalam sistem elektronik (“MOCI Reg 20/2016 “). (selanjutnya disebut UU IT, PP 71/2019 dan MOCI Reg 20/2016 disebut “PDP Reg“).

Pasal 2 MOCI Reg 20/2016 menetapkan bahwa Perlindungan Data Pribadi dalam Sistem Elektronik mencakup perlindungan terhadap perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, penyebarluasan, dan pemusnahan Data Pribadi.

Perlindungan Data Pribadi dalam Sistem Elektronik dilakukan dalam proses berikut:

  1. perolehan dan pengumpulan;
  2. pengolahan dan penganalisisan;
  3. penyimpanan;
  4. penampilan, pengumuman, pengiriman, penyebarluasan, dan/atau pembukaan akses; dan
  5. pemusnahan.

Perlu dicatat bahwa Sistem elektronik yang digunakan wajib tersertifikasi.

Dimana dalam implementasi Perlindungan Data Pribadi dalam Sistem Elektronik harus dilakukan dengan prinsip-prinsip berikut:

  • penghormatan terhadap Data Pribadi sebagai privasi;
  • Data Pribadi bersifat rahasia sesuai Persetujuan dan/atau berdasarkan ketentuan peraturan perundang-undangan;
  • berdasarkan Persetujuan;
  • relevansi dengan tujuan perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, dan penyebarluasan;
  • kelaikan Sistem Elektronik yang digunakan;
  • iktikad baik untuk segera memberitahukan secara tertulis kepada Pemilik Data Pribadi atas setiap kegagalan perlindungan Data Pribadi;
  • ketersediaan aturan internal pengelolaan perlindungan Data Pribadi;
  • tanggung jawab atas Data Pribadi yang berada dalam penguasaan Pengguna;
  • kemudahan akses dan koreksi terhadap Data Pribadi oleh Pemilik Data Pribadi; dan
  • keutuhan, akurasi, dan keabsahan serta kemutakhiran Data Pribadi.

Privasi sebagaimana telah disebutkan di atas adalah kebebasan Pemilik Data Pribadi untuk menyatakan kerahasiaan atau non-kerahasiaan Data Pribadi mereka, kecuali ditentukan lain sesuai dengan ketentuan peraturan perundang-undangan.

Persetujuan sebagaimana telah disebutkan di atas diberikan setelah Pemilik Data Pribadi mengonfirmasi validitas, status kerahasiaan, dan tujuan pengelolaan Data Pribadi.

Validitas sebagaimana telah disebutkan di atas adalah merupakan legalitas dalam perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, penyebarluasan, dan pemusnahan Data Pribadi.

 

Jurisdiction of the PDP Reg

Article 2 of the IT Law stipulates that the Law shall apply to any Person to take legal acts as governed by this Law, both within jurisdiction of Indonesia and outside jurisdiction of Indonesia, which has legal effect within jurisdiction of Indonesia and/or outside jurisdiction of Indonesia and detrimental to the interest of Indonesia.

As the MOCI and GR is an implementing regulation of the IT Law, thus the PDP Regulation has extraterritorial applicablity. therfore, all the data collection of indonesian resident by an electronic system provider based outside of Indonesia shall be subjecto to the PDP Reg.

Yurisdiksi dari PDP Reg 

Pasal 2 UU IT menetapkan bahwa Undang-Undang ini berlaku untuk setiap Orang yang melakukan perbuatan hukum sebagaimana diatur dalam Undang-Undang ini, baik yang berada di wilayah hukum Indonesia maupun di luar wilayah hukum Indonesia, yang memiliki akibat hukum diwilayah hukum Indonesia dan/atau di luar wilayah hukum Indonesia dan merugikan kepentingan Indonesia.

Karena MOCI 20/2016 dan PP 71/2019 adalah peraturan pelaksana dari UU IT, maka PDP Reg memiliki penerapan ekstrateritorial. karenanya, semua pengumpulan data penduduk Indonesia oleh penyedia sistem elektronik yang berbasis di luar Indonesia harus tunduk pada PDP Reg.

The Definitions under PDP Reg

it is important to understand the definition under the PDP Reg to know its scope of protection, the following are the key definitions under the PDP Reg:

Personal Data : certain data of an individual which are stored, maintained and kept accurate, and its confidentiality is protected (MOCI Reg 20/2016).

Personal Data : Personal Data is any data about a person either identified and / or can be identified separately or combined with other information either directly or indirectly through Electronic and / or non-electronic Systems (GR71/2019)

Certain Individual Data : every accurate and factual information which is, either directly or indirectly, inherent in and identifiable to each person, and the use of which shall be in accordance with the provisions of statutory laws and regulations.

Electronic System : is a series of electronic devices and procedures which functions to prepare, collect, process, analyze, store, display, announce, deliver, and/or disseminate electronic information.

Electronic Information : is one or a set of electronic data, including but not limited to text, sounds, images, maps, drafts, photographs, electronic data interchange (EDI), electronic mails, telegrams, telex, telecopy or the like, letters, signs, figures, Access Codes, symbols or perforations that have been processed for meaning or understandable to persons qualified to understand them

Electronic System Provider : any person, State authority, business entity or community that provides, manages, and/or operates an electronic system, whether independently or jointly, in the interest of the electronic system’s users and/or the interests of other parties.

The PDP regulation have not provides a definition of data breach or sensitive personal data in which is important to be defined.

 

Definisi di dalam PDP Reg

penting untuk memahami definisi di didalam  PDP Reg untuk mengetahui cakupan perlindungannya, berikut ini adalah definisi utama berdasarkan PDP Reg:

Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya (MOCI Reg 20/2016).

Data Pribadi adalah setiap data tentang seseorang baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui Sistem Elektronik dan /atau nonelektronik (PP 71/2019)

Data Perseorangan Tertentu adalah setiap keterangan yang benar dan nyata yang melekat dan dapat diidentifikasi, baik langsung maupun tidak langsung, pada masing-masing individu yang pemanfaatannya sesuai ketentuan peraturan perundang-undangan.

Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan informasi elektronik.

Informasi Elektronik adalah satu atau sekumpulan Data Elektronik, termasuk tetapi tidak terbatas pada tulisan, suara, gambar, peta, rancangan, foto, elektronic data interchange (EDI), surat elektronik (electronic maill, telegram, teleks, telecopg atau sejenisnya, huruf, tanda, angka, kode Akses, simbol, atau perforasi yang telah diolah yang memiliki arti atau dapat dipahami oleh orang yang mampu memahaminya.

Penyelenggara Sistem Elektronik adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik secara sendirisendiri maupun bersama-sama kepada Pengguna Sistem Elektronik untuk keperluan dirinya dan/atau keperluan pihak lain.

PDP Reg belum memberikan definisi pelanggaran data atau data pribadi sensitif yang penting untuk didefinisikan.

 

Sectoral Personal Data Protection Regulation 

As have been said in the above that there are no codified (omnibus) regulation with regards to personal data protection, the following are some of the sectoral regulation:

Banking: Law No. 7 of 1992 on Banking, as amended by Law No. 10 of 1998 and Bank Indonesia Regulation No. 16/1/PBI/2014 on Protection of Consumers of Payment System Services, contain provisions related to bank secrecy, banking information requests made by law enforcement agencies, and obligation of banking service providers to secure consent of the relevant individual before disclosing his/her personal data to third parties.

The protection of consumers’ personal data and/or information in relation to the payment transaction process conducted by payment service providers is provided for under Article 25 of Bank Indonesia Regulation no 18/40/PBI/2016 regarding the provision of payment transaction processing.

Financial Services: Article 31 of Financial Services Authority (“OJK”) Regulation no 1/POJK.07/2013 regarding financial consumer protection from disclosing customer data and/or information to third parties, unless they receive written consent from the customer or are required to by lawful authority. If a financial service-provider obtains the personal data and/or information of a person and/or a group of persons from a third party it is required to obtain written confirmation from the third party that the person or group of persons has agreed to the disclosure.

Health: Article 57 of Law no 36 of 2009 regarding health stipulates that in principle every person is entitled to the confidentiality of their personal health information that has been provided to, or collected by, healthcare-providers.

Tellecomunications: Article 40 of Law No 36 of 1999 regarding telecommunications prohibits the ‘tapping’ of information transmitted through telecommunications networks. Telecommunications service operators must keep confidential any information transmitted, and/or received by a telecommunications service subscriber, through a telecommunications network and/or telecommunications services provided by the relevant operator.

Peraturan Perlindungan Data Pribadi Sektoral 

Sebagaimana telah dibahas di atas bahwa tidak ada peraturan yang dikodifikasikan (omnibus) berkenaan dengan perlindungan data pribadi, namun berikut adalah beberapa peraturan sektoral mengenai perlindungan data pribadi:

Perbankan: Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan, sebagaimana telah diubah dengan Undang-Undang Nomor 10 Tahun 1998 dan Peraturan Bank Indonesia No. 16/1 / PBI / 2014 tentang Perlindungan Konsumen jasa Sistem Pembayaran, memuat ketentuan terkait kerahasiaan bank, perbankan permintaan informasi yang dibuat oleh lembaga penegak hukum, dan kewajiban penyedia layanan perbankan untuk mendapatkan persetujuan dari individu yang relevan sebelum mengungkapkan data pribadinya kepada pihak ketiga.

Perlindungan data pribadi dan / atau informasi konsumen sehubungan dengan proses transaksi pembayaran yang dilakukan oleh penyedia layanan pembayaran diatur dalam Pasal 25 Peraturan Bank Indonesia No. 18/40 / PBI / 2016 tentang Penyelenggaraan Pemrosesan Transaksi Pembayaran.

Layanan Keuangan: Pasal 31 Peraturan Otoritas Jasa Keuangan (“OJK”) No. 1 / POJK.07 / 2013 tentang perlindungan konsumen jasa keuangan dari pengungkapan data pelanggan dan / atau informasi kepada pihak ketiga, kecuali mereka menerima persetujuan tertulis dari pelanggan atau diminta oleh otoritas yang sah. Jika penyedia jasa keuangan memperoleh data pribadi dan / atau informasi seseorang dan / atau sekelompok orang dari pihak ketiga, diperlukan untuk mendapatkan konfirmasi tertulis dari pihak ketiga bahwa orang atau kelompok orang tersebut telah menyetujui penyingkapan.

Kesehatan: Pasal 57 UU No. 36 tahun 2009 tentang kesehatan menetapkan bahwa pada prinsipnya setiap orang berhak atas kerahasiaan informasi kesehatan pribadi mereka yang telah diberikan kepada, atau dikumpulkan oleh, penyedia layanan kesehatan.

Telekomunikasi: Pasal 40 UU No. 36 tahun 1999 tentang telekomunikasi melarang ‘penyadapan’ dari informasi yang dikirimkan melalui jaringan telekomunikasi. Operator layanan telekomunikasi harus menjaga kerahasiaan informasi yang dikirimkan, dan / atau diterima oleh pelanggan layanan telekomunikasi, melalui jaringan telekomunikasi dan / atau layanan telekomunikasi yang disediakan oleh operator terkait.

follow my Instagram for more updates.

 

Frequently Asked Questions

Ask A Question
[Question]
[Question]
[Answer]
[QUESTION]
[Answer]
[QUESTION]
[Answer]
[QUESTION]
[Answer]

Contact

Email

Contact@Andzaribrahim.com

Send a Message
error: Content is protected !!
Subscribe To Our Newsletter (Legal Alert and News)

Subscribe To Our Newsletter (Legal Alert and News)

Join our mailing list to receive the latest news and updates from our team.

You have Successfully Subscribed!