Perlindungan Data Pribadi dalam Aktivitas Digital serta

Pertanggungjawaban atas Peristiwa Kebocoran Data Pribadi

Muhammad Iqsan Sirie I Regina Damaris
ET-Asia Intensive Course: Understanding Digital Law in Practice, 24 Mei 2022
MUHAMMAD IQSAN SIRIE REGINA DAMARIS
Iqsan is named as a “Rising Star Lawyer” in Regina joined Assegaf Hamzah & Partners in
Corporate and M&A by Asialaw 2019. He has January 2021 after graduating with her Bachelor of
worked on a series of high-profile M&A transactions. Law degree from University of Indonesia in 2020
These included representing PT XL Axiata, one of with a cum laude honour. She has a high interest in
Indonesia’s largest telecommunications providers, the Technology, Media and Telecommunications
in its 2014 acquisitions of both a (TMT) sector and remain focused to develop her
telecommunications tower and a leading Indonesian specialisation in such sector.
telecom company, PT AXIS Telekom Indonesia, a
deal which was awarded Indonesia Deal of the Year Prior to joining AHP, Regina has also worked in
and M&A Deal of the Year by Asian Legal Business another corporate law firm in which she handled
Indonesian Law Awards in 2014. various transactions on the telecommunications
sector. During her years in law school, she also did
In addition to his experience in M&A transactions, several internships focusing in the technology
Iqsan has an expertise in the technology, media and sector, especially on matters around personal data
telecommunications (TMT) sector and has regularly protection.
advised on technology transactions and Indonesian
laws and regulations issues related to new Experience:
T +62 21 2555 7805 technologies and business models, such as over- T +62 21 2555 7800
E iqsan.sirie@ahp.id the-top, blockchain, cryptocurrency, cloud E regina.damaris@ahp.id • Assisted various technology companies on their
computing, big data, IoT and artificial intelligence, personal data matters.
Partner for both domestic and international clients. Associate
Technology, Media and Technology, Media and • Assisted in the registration of multiple electronic
Telecommunication Experience: Telecommunication system providers.
Mergers & Acquisitions Mergers & Acquisitions
• Represented what was one of Indonesia’s
unicorns, in its investment in an Indonesian e-
Qualifications commerce joint venture of one of the Chinese e- Qualifications
• LLB, Padjadjaran commerce giants. • LLB, University of
University, Indonesia Indonesia (2020)
(2009)
• Assisted a regional e-commerce player, global
• LLM in Law and Digital
video streaming service, and regional digital
Tech, Leiden entertainment platform in structuring their
University, Netherlands operation in Indonesia
(2017)
• Assisted a global news portal and social media
with terms and rules for online advertising and
broadcasting political news.

Assegaf Hamzah & Partners  2

 1 PENDAHULUAN

PRESENTATION 2 RUANG LINGKUP DAN ATURAN

TERKAIT PDP
AGENDA
3 PENYUSUNAN KEBIJAKAN
PRIVASI

4 KEBOCORAN DATA PRIBADI

PERTANGGUNGJAWABAN PSE DAN UPAYA HUKUM

Assegaf Hamzah & Partners  3

PENDAHULUAN
Assegaf Hamzah & Partners  4
Perubahan Landscape Business

Assegaf Hamzah & Partners  5

RUANG LINGKUP DAN
ATURAN TERKAIT PDP
Assegaf Hamzah & Partners  6
DATA PRIBADI?

Assegaf Hamzah & Partners  7

 “Data pribadi adalah data tentang seseorang baik yang teridentifikasi
dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan
informasi lainnya baik secara langsung maupun tidak langsung melalui
Sistem Elektronik dan /atau nonelektronik.”
PP 71/2019

08123456789 317123456789999
Nomor telepon/handphone
Nomor KTP
Alamat rumah Tanda tangan Performance
Nama Foto
appraisal

Video

Assegaf Hamzah & Partners  8

• Unique ID Numbers (cookie ids etc.)..
• Interest Segments..
•
•
IP address..
Location Data.. Personal
•
•
•
Device Type Data..
Retargeting Data..
Advertising Data..
Data
• Browser generated Data..

“such unique identifiers enable data subjects to be 'singled out' for the purpose of tracking user behaviour while browsing
on different websites and thus qualify as personal data”
Article 29 Working Party, WP188

Assegaf Hamzah & Partners  9

PERLINDUNGAN HAK
DATA PRIBADI KONSTITUSIONAL

Assegaf Hamzah & Partners  10

“ Setiap orang berhak atas perlindungan diri pribadi,
keluarga, kehormatan, martabat, dan harta benda yang
dibawah kekuasaannya, serta berhak atas rasa aman dan
perlindungan dari ancaman ketakutan untuk berbuat atau

”
tidak berbuat sesuatu yang merupakan hak asasi.
Pasal 28G UUD 1945

Assegaf Hamzah & Partners  11

 2019
Peraturan Pemerintah
71/2019
• Prinsip perlindungan
data pribadi dan
penghapusan data
pribadi
Peraturan Pemerintah
2000 2006 2006 KETENTUAN 80/2019
Amendemen ke 2 UU Administrasi UU Kesehatan • Standar pengiriman
UUD 1945 Kependudukan • Perlindungan PERLINDUNGAN data pribadi ke luar
negeri
• Pengakuan dan • Untuk pertama data kesehatan DATA PRIBADI
Perlindungan kali data
atas hak pribadi perseorangan) DI INDONESIA
di-definisikan
1992
UU Perbankan
• Perlindunga
n data
nasabah 1999 2008 2016 2020
UU Hak UU Informasi & Transaksi Amendmen UU ITE Permen Kominfo
Asasi Manusia Elektronik (ITE) 2011 2012 • Hak untuk 5/2020
• Perlindungan hak • Penggunaan dan perlindungan UU Otoritas Jasa PP Sistem dan menghapus • Akses terhadap
pribadi data pribadi dalam sistem Keuangan Transaksi Elektronik data pribadi data pribadi oleh
elektronik • perlindungan • Penggunaan data (The right to be pemerintah,
UU Telekomunikasi data nasabah di pribadi dalam forgotten) termasuk data
• Perlindungan data UU Keterbukaan Informasi Publik lembaga sistem elektronik pribadi spesifik
pelanggan • Pembatasan untuk membuka keuangan • Kewajiban
• Wiretapping informasi tertentu menyimpan data di
Indonesia
2016 2021
Permen Kominfo Amandemen Permen
20/2016 Kominfo 5/2020
• perlindungan data
pribadi dalam
sistem elektronik
• Kewajiban
menyimpan data di
Indonesia

Assegaf Hamzah & Partners  12

 “Data/Informasi
“Data Pribadi”
-UU ITE Kesehatan”
-UU Kesehatan

“Data dan/atau
“Data Informasi
Perorangan” Konsumen”
-UU Adminduk -PBI 22/2020 dan
“Data Pelanggan” POJK 1/2013
-Permenkominfo
12/2016

Assegaf Hamzah & Partners  13

PP PSTE
(No. 71/2019)
……

Assegaf Hamzah & Partners  14

PP E-COMMERCE
(No. 80/2019)
……

Assegaf Hamzah & Partners  15

HOW TO COMPLY? WHICH BEST PRACTICE?
…… ……

Assegaf Hamzah & Partners  16

Assegaf Hamzah & Partners  17
 Peraturan Perundang-undangan terkait Perlindungan Data Pribadi

Undang-Undang mengenai Perlindungan Data UU ITE (UU 11/2008)

Pribadi di Indonesia masih dalam tahap
pembahasan. Sehingga, pada saat ini, pengaturan
mengenai perlindungan data pribadi di Indonesia
tersebar pada peraturan-peraturan yang berlaku
secara sektoral.
diamandemen oleh UU No. 19 Tahun 2016
PP 71 Tahun 2019
tentang Penyelenggaraan Sistem Elektronik dan
Transaksi Elektronik

Pengaturan mengenai perlindungan data pribadi di PM Kominfo 20 Tahun 2016

Indonesia yang paling komprehensif terdapat pada tentang Perlindungan Data Pribadi dalam Sistem
pengaturan yang berlaku pada sektor “digital”, Elektronik
yaitu yang berlaku bagi sistem elektronik.

PM Kominfo 5 Tahun 2020

diamandemen oleh PM Kominfo 10 Tahun 2021

Assegaf Hamzah & Partners  18

“Sistem Elektronik adalah serangkaian perangkat dan prosedur
elektronik yang berfungsi mempersiapkan, mengumpulkan,
mengolah, menganalisis, menyimpan, menampilkan, mengumumkan,
mengirimkan, dan/atau menyebarkan Informasi Elektronik.”

– Pasal 1 ayat (5) UU ITE / Pasal 1 ayat (5) Permenkominfo 20/2016

Assegaf Hamzah & Partners  19

PIHAK-PIHAK TERKAIT DALAM PERLINDUNGAN DATA PRIBADI
(Permenkominfo 20/2016)

1. Individu yang padanya melekat

Pemilik Data Data Perseorangan Tertentu
Pribadi
2. 3.
Penyelenggara Pengguna Sistem
Sistem Elektronik Elektronik

menyediakan, mengelola, dan/atau “Orang”

mengoperasikan Sistem Elektronik
untuk keperluan dirinya dan/atau
keperluan pihak lain secara sendiri-
sendiri maupun
bersama-sama kepada Pengguna
Sistem Elektronik.
“Penyelenggara Negara”
memanfaatkan barang, jasa, fasilitas,
“Badan Usaha” atau informasi yang disediakan oleh
“Masyarakat” Penyelenggara Sistem Elektronik.

Assegaf Hamzah & Partners  20

KEWAJIBAN
PDP BAGI PSE

Assegaf Hamzah & Partners  21

PDP berdasarkan PP 71/2019 dan PM 20/2016
Prinsip PDP
Pengumpulan data pribadi dilakukan secara terbatas dan spesifik, sah secara
Pengumpulan Pengolahan hukum, adil, dengan sepengetahuan dan persetujuan dari pemilik data

Pemrosesan data pribadi dilakukan sesuai dengan tujuannya

Pemrosesan data pribadi dilakukan dengan menjamin hak pemilik data pribadi.
Penyimpanan Perbaikan

Pemrosesan data pribadi dilakukan secara akurat, lengkap, tidak menyesatkan,

mutakhir, dapat dipertanggungjawabkan, dan memperhatikan tujuan
pemrosesan data pribadi.

Pembaharuan Pengungkapan Pemrosesan data pribadi dilakukan dengan melindungi keamanan data pribadi
dari kehilangan, penyalahgunaan, akses, dan pengungkapan yang tidak sah,
serta pengubahan atau perusakan data pribadi.
Pemrosesan data pribadi dilakukan dengan memberitahukan tujuan
pengumpulan, aktivitas, pemrosesan, dan kegagalan perlindungan data pribadi

Transfer Pemusnahan
Pemrosesan data pribadi dimusnahkan dan/atau dihapus kecuali masih dalam
masa retensi sesuai dengan kebutuhan berdasarkan ketentuan peraturan
perundang-undangan.

Tujuan, ruang lingkup, peran dan tanggung jawab, aspek

kepatuhan (sanksi, monitoring kepatuhan, pelatihan dan
peningkatan kesadaran, dan lain-lain)
Assegaf Hamzah & Partners  22
 Penyimpanan Jangka waktu
Tujuan
Persetujuan dalam bentuk penyimpanan
pemrosesan data
data terenkripsi dan
pribadi
penghapusan

± 25 Kewajiban
Penyelenggara Sistem PERMENKOMINFO
Elektronik 20/2016

Pemberitahuan
Pengiriman data pribadi Data localisation
dalam negeri dan lintas Kegagalan
Narahubung
negara Perlindungan
data pribadi

Assegaf Hamzah & Partners  23

CONSENT dan PURPOSE
• Secara umum, persetujuan individu wajib untuk didapatkan sebelum perusahaan dapat
mengumpulkan, menggunakan, atau mengungkapkan data pribadi (kecuali diizinkan atau
diwajibkan oleh hukum sebaliknya, atau apabila terdapat pengecualian yang berlaku).
• Dalam meminta persetujuan individu, perusahaan harus menyatakan tujuan dari pengumpulan,
penggunaan, atau pengungkapan data pribadi yang bersangkutan.

Assegaf Hamzah & Partners  24

HUKUM PERLINDUNGAN DATA PRIBADI
Hak Subjek Data
• Hak mengajukan gugatan atas kerugian terkait persetujuan yang sah
• Hak mendapatkan pemberitahuan tertulis atas insiden kegagalan PDP
• Hak penghapusan atas data pribadi yang tidak relevan (right to erasure)
• Hak pengeluaran dari daftar mesin pencari internet (delisting/delinking right)
dengan penetapan pengadilan
• Hak memberikan/menarik persetujuan yang sah atas pemrosesan
• Hak mendapatkan jaminan pemenuhan hak subjek data
• Hak mendapatkan saluran komunikasi dengan PSE

Assegaf Hamzah & Partners  25

HUKUM PERLINDUNGAN DATA PRIBADI
Retention dan Cross-Border Data Transfer Requirements

RETENTION
• PSE wajib menyimpan data pribadi pengguna/konsumennya dalam waktu
tertentu.
• Secara umum, waktu minimum retention yang berlaku adalah selama 5 (lima)
tahun.
• Namun, beberapa sektor tertentu memiliki pengaturan yang berbeda.

CROSS-BORDER PERSONAL DATA TRANSFER

• Apabila PSE melakukan pengiriman data pribadi pengguna/konsumennya ke
wilayah di luar Indonesia, PSE wajib menyampaikan laporan ke Kominfo.
• Laporan tersebut dilakukan:
o Sebelum pengiriman dilakukan; dan
o Sesudah pengiriman dilakukan.

Assegaf Hamzah & Partners  26

 PENYUSUNAN
KEBIJAKAN PRIVASI
Assegaf Hamzah & Partners  27
APA ITU KEBIJAKAN PRIVASI (PRIVACY POLICY)?

• Dikenal juga dengan istilah “Privacy Notice” atau “Fair Processing Notice”

• Berbeda dengan “aturan internal perlindungan data pribadi” (data protection

manual/guidelines)

• Berfungsi sebagai dokumen keterbukaan informasi kepada pemilik data

pribadi mengenai tujuan dan cara pengumpulan, pemprosesan, pengalihan,
penggunaan, penyimpanan data pribadi

5/25/2022 28
KEBIJAKAN DI BIDANG PENGENDALIAN

“Pemrosesan Data Pribadi dilakukan

dengan memberitahukan tujuan
pengumpulan, aktivitas
pemrosesan, dan kegagalan
pelindungan Data Pribadi”

Pasal 14 1(f) PP No. 71/2019

5/25/2022 29
PEMANTAUAN, EVALUASI & PELAPORAN DI
BIDANG PENGENDALIAN

5/25/2022 30
PEMANTAUAN, EVALUASI & PELAPORAN DI
BIDANG PENGENDALIAN

5/25/2022 31
 ANATOMI PRIVACY POLICY
Definisi data
pribadi
Hak
penghapusan Upaya
atas data pribadi perlindungan
Cara data pribadi yang
pengumpulan, diterapkan
penggunaan &
pengiriman data
pribadi, termasuk
tujuannya
Keakurasian
data pribadi
Penarikan
persetujuan
Retensi

Transfer data ke
Hak akses dan
luar negeri, DPO
perbaikan atas
& perubahan
data pribadi
5/25/2022 atas kebijakan 32
privasi
ANALISA SAMPLE KEBIJAKAN PRIVASI

5/25/2022 33
 PERSETUJUAN
Pemrosesan Data Pribadi harus memenuhi ketentuan adanya
persetujuan yang sah dari pemilik Data Pribadi untuk 1 (satu) atau
beberapa tujuan tertentu yang telah disampaikan kepada pemilik Data
Pribadi.
Pasal 14(3) PP No. 71/2019

Yang dimaksud dengan "persetujuan yang sah" adalah persetujuan yang disampaikan secara
eksplisit, tidak boleh secara tersembunyi atau atas dasar kekhilafan, kelalaian, atau
paksaan.

Penjelasan atas Pasal 14(3) PP No. 71/2019

5/25/2022 34
 CONSENT - GDPR
Persetujuan dari pemilik data pribadi merupakan salah satu dasar hukum pemrosesan data pribadi. Namun
berdasarkan GDPR, agar suatu persetujuan dianggap sah, persetujuan dari pemilik data pribadi harus memenuhi
persyaratan sebagai berikut:

1 2 3 4

Freely given Specific Informed Unambiguous indication

of the data subject’s
agreement

5/25/2022 35
FREELY GIVEN
Persetujuan dianggap tidak sah apabila pemilik data pribadi (i) tidak benar-benar memiliki kebebasan untuk menentukan
atau (ii) terpaksa untuk memberikan persetujuannya atau (iii) akan mengalami akibat negatif apabila tidak memberikan
persetujuannya.

Imbalance of power Conditionality

• Dalam hal terdapat ketidakseimbangan antara
pihak pengendali dengan pemilik data, maka
persetujuan pemilik data pribadi dianggap
tidak sah.
Contoh
• Hubungan antara karyawan dan pemberi kerja
• Hubungan antara penduduk dan pemerintah
• Pemberian layanan oleh pihak pengendali
tidak dapat diberikan apabila hal tersebut
hanya dapat diberikan setelah pemilik data
diminta untuk memberikan persetujuan atas
suatu tindakan pemrosesan yang tidak terkait
dengan pemberian layanan yang dimaksud.
Contoh
• Nasabah diminta untuk memberikan
persetujuannya untuk dapat dihubungi oleh
marketing pihak bank. Apabila persetujuan
tersebut tidak diberikan, maka nasabah tidak
dapat menggunakan layanan perbankan pihak
bank.

5/25/2022 36
36
Assegaf Hamzah & Partners  36
SPECIFIC
Persetujuan harus diberikan untuk satu atau lebih tujuan yang telah dijelaskan secara spesifik. Agar memenuhi unsur
“specific” ini, pihak pengendali harus memenuhi hal-hal sebagai berikut:

Purpose specification Granularity Clear separation of info

• Persetujuan hanya dapat
dimintakan setelah pihak
pengendali telah menyampaikan
kepada pemilik data secara
spesifik tujuan penggunaan data
pribadi miliknya.
• Apabila pengendali mengajukan • Untuk setiap tujuan penggunaan
permohonan persetujuan untuk data pribadi, pengendali perlu
lebih dari satu tujuan, maka hal memberikan informasi untuk
tersebut perlu dijabarkan. masing-masing tujuan tersebut.
• Selain itu, pemilik data juga
harus diberikan hak untuk
memilik tujuan apa saja yang
dapat disetujui dan tidak.

5/25/2022 37
37
Assegaf Hamzah & Partners  37
INFORMED
Agar unsur “informed” ini terpenuhi, pihak pengendali harus melakukan hal-hal sebagai berikut:

Minimum Content Presentation of the Info

• Pemilik data harus mengetahui informasi- • Penyampaian informasi terkait tujuan

informasi sehubungan dengan pemrosesan pemrosesan data harus dalam bahasa yang
data pribadi miliknya, antara lain, identitas jelas dan mudah dipahami serta dalam format
pengendali (atau pengendali bersama), tujuan yang mudah untuk diakses.
pemrosesan data, jenis data yang diproses,
hak-hak pengendali dan informasi apabila ada
data pribadi yang diproses menggunakan
“automated decision-making”.

5/25/2022 38
38
Assegaf Hamzah & Partners  38
Unambiguous indication of WISHES
Bentuk persetujuan pemilik data harus dalam bentuk sebuah pernyataan atau tindakan aktif (clear affirmative act).

Bentuk persetujuan

• Tertulis Dilarang:
• Pernyataan secara verbal (baik secara • Pre-ticked opt-in box
langsung atau rekaman)
• Opt-out
• Dalam bentuk elektronik
• Scrolling-down

5/25/2022 39
39
Assegaf Hamzah & Partners  39
BENTUK
PERSETUJUAN

5/25/2022 40
Assegaf Hamzah & Partners  40
 MENYIMPAN BUKTI PERSETUJUAN

5/25/2022 41
KEBOCORAN DATA PRIBADI

Assegaf Hamzah & Partners  42

 TANGUNG JAWAB PSE

Setiap PSE harus menyelenggarakan sistem elektronik secara memiliki kemampuan

andal, aman, serta bertanggung jawab terhadap beroperasinya yang sesuai dengan
sistem elektronik sebagaimana mestinya. ANDAL
kebutuhan
penggunaannya

PSE bertanggung jawab terhadap penyelenggaraan sistem terlindungi secara fisik

AMAN
elektroniknya, kecuali dapat dibuktikan terjadinya keadaan dan nonfisik
memaksa kesalahan, dan/atau kelalaian pihak pengguna sistem
elektronik (Pasal 15 UU ITE dan Pasal 3 PP 71/2019). BEROPERASI memiliki kemampuan
SEBAGAIMANA sesuai dengan
MESTINYA spesifikasinya

ada subjek hukum yang

bertanggung jawab
BERTANGGUNG
secara hukum terhadap
JAWAB
penyelenggaraan
sistem elektronik

Assegaf Hamzah & Partners  43

 Kebocoran Data Pribadi

“a breach of security leading to the accidental or unlawful

destruction, loss, alteration, unauthorised disclosure of, or
access to, personal data transmitted, stored or otherwise

”
processed

loss of control over their personal data, limitation of their rights, discrimination, identity theft or
fraud, financial loss, unauthorised reversal of pseudonymisation, damage to reputation, and loss of
confidentiality of personal data protected by professional secrecy

Assegaf Hamzah & Partners  44

 KEBOCORAN DATA PRIBADI
“Kebocoran Data Pribadi”
• Kominfo berwenang meminta informasi dan klarifikasi dari direksi
PSE (bagian dari tugas pengawasan Kominfo)
• “Kecuali ditentukan lain oleh peraturan perundang-undangan,
penggunaan setiap informasi melalui media elektronik yang
menyangkut data pribadi seseorang harus dilakukan atas
persetujuan orang yang bersangkutan.” Pasal 26(1) UU ITE
Kominfo menyatakan untuk melakukan
• “Dalam hal terjadi kegagalan atau gangguan sistem yang perlindungan data pribadi masyarakat,
berdampak serius sebagai akibat perbuatan dari pihak lain Kementerian Kominfo, Badan Siber dan
terhadap Sistem Elektronik, Penyelenggara Sistem Elektronik Sandi Negara (BSSN), dan POLRI terus
wajib mengamankan Informasi Elektronik dan/atau Dokumen meningkatkan kolaborasi.
Elektronik dan segera melaporkan dalam kesempatan pertama
kepada aparat penegak hukum dan Kementerian atau Lembaga BSSN berwenang dalam menyusun
terkait.” (Pasal 24(3) PP 71/2019) kebijakan keamanan sistem elektronik dan
melakukan identifikasi, proteksi, pemulihan,
• “Setiap Penyelenggara Sistem Elektronik wajib memberitahukan
pemantauan insiden, tata kelola dan
secara tertulis kepada Pemilik Data Pribadi jika terjadi
manajemen resiko keamanan siber
kegagalan perlindungan rahasia data pribadi dalam Sistem
Elektronik yang dikelolanya.” (Pasal 28 PM 20/2016) Siaran Pers No. 6/HM/KOMINFO/01/2022
Assegaf Hamzah & Partners  45
PENYELESAIAN SENGKETA MELALUI ADJUDIKASI
NON-YUDISIAL
Permenkominfo 20/2016
• Kemenkominfo berwenang menyelesaikan sengketa kegagalan perlindungan
data pribadi berdasarkan pengaduan pemilik data pribadi
• penyelesaian sengketa melalu musyawarah atau alternatif penyelesaian
sengketa lainnya

PP 80/2019
• Mekanisme penyelesaian sengketa selain pengadilan
• Badan Penyelesaian Sengketa Konsumen (BPSK)

Assegaf Hamzah & Partners  46

PENYELESAIAN SENGKETA MELALUI ADJUDIKASI
NON-YUDISIAL
POJK 1/2013
• Konsumen mengajukan pengaduan kepada PUJK
• Konsumen mengajukan pengaduan berindikasi sengketa dengan PUJK kepada
OJK
• Penyelesaian sengketa di luar pengadilan (lembaga alternatif penyelesaian
sengketa)
• Konsumen dapat memohon kepada OJK untuk memfasilitasi penyelesaian
pengaduan konsumen

Assegaf Hamzah & Partners  47

PENYELESAIAN SENGKETA MELALUI PENGADILAN
Permenkominfo 20/2016
Pemilik data pribadi/PSE dapat mengajukan gugatan perdata ke pengadilan

PP 80/2019
Mekanisme penyelesaian sengketa melalui pengadilan/online dispute resolution

POJK 1/2013
Penyelesaian sengketa melalui pengadilan jika tidak tercapai kesepakatan
penyelesaian pengaduan

Assegaf Hamzah & Partners  48

 SANKSI
PP 71/2019
• Kemenkominfo (berkoordinasi
dengan pimpinan Kementerian atau
Lembaga terkait)
• Sanksi administratif:
• teguran tertulis;
• denda administratif;
• penghentian sementara;
• pemutusan akses; dan/atau
• dikeluarkan dari daftar PSE.
Permenkominfo 20/2016
• Kemenkominfo atau pimpinan
instansi pengawas dan pengatur
sektor terkait
• Sanksi administratif:
• peringatan lisan;
• peringatan tertulis;
• penghentian sementara kegiatan;
dan/atau
• pengumuman di situs dalam jaringan
(website online).
Assegaf Hamzah & Partners  49
CRIMINAL LIABILITIES
EIT LAW
Art. 32:
(1) Every person or legal entity who intentionally and without
rights or unlawfully in any way changes, add, subtract, transmit,
damage, eliminate, move, hide an Electronic Information and/or
Electronic Document that belongs to another person or public
property.
(2) Any person or legal entity who intentionally and without rights
or unlawfully in any way transfer Electronic Information and/or
Electronic Documents to an authorized party’s Electronic System.
Art. 36:
Every person intentionally and without rights or unlawfully
commits an act as referred to in Article 27 to Article 34 which
results in harm to others
Art. 51 (2):
Every person who fulfills the elements referred to in Article 36
shall be sentenced to a maximum imprisonment of 12 years
and/or a maximum fine of IDR 12 billion.
CIVIL ADMINISTRATITION LAW
Art. 86 (1) & (1a):
(1) The Minister of Home Affairs is authorized to
provide the right to access to Personal Data to the
regional government officials.
(1a) The officials as referred to in paragraph (1) are
prohibited from disseminating Personal Data beyond
their authority.
Art. 95A:
Every person without the right to disseminate
Personal Data as referred to in Article 86 paragraph
(1a) shall be liable to a maximum imprisonment of 2
years and/or a maximum fine of IDR 25 million.
Assegaf Hamzah & Partners  50
“…the reputational damage suffered by companies who fail to protect
personal data can translate directly into a loss of business”

– Tim Critchley, CEO of Semafone

Assegaf Hamzah & Partners  51

 Perusahaan teknologi asal Indonesia yang
bergerak di bidang e-commerce (PTX)
mendapatkan informasi melalui jejaring sosial,
Onstagram, bahwa data para pengguna
layanan PTX diperjual-belikan pada dark web.
Pelaku memberikan beberapa dataset secara
cuma-cuma sebagai sampel.
Berdasarkan hasil pencocokan sample
dataset tersebut dengan data milik PTX,
terdapat kesamaan. Data yang diduga dicuri
STUDI KASUS TERKAIT oleh pelaku meliputi data pribadi maupun non-
KEGAGALAN data pribadi (data transaksi, data keuangan).
PERLINDUNGAN DATA
PRIBADI Apa yang terjadi selanjutnya?
• Pemberitahuan kepada pengguna layanan PTX
disampaikan.
• Investigasi/permohonan klarifikasi dilakukan oleh
instansi pemerintah yang berwenang terkait insiden
PTX.
• Terdapat gugatan PMH terhadap PTX.
• PTX melaporkan kepolisian terkait insiden yang
dialaminya.
Assegaf Hamzah & Partners  52
 Thank You
Jakarta Office
Capital Place, Level 36 & 37
Jalan Jenderal Gatot Subroto Kav. 18
Jakarta, 12710

T. +62 21 2555 7800 | F. +62 21 2555 7899

Surabaya Office
Pakuwon Center, Superblok Tunjungan City
Lantai 11, Unit 08
Jalan Embong Malang No. 1, 3, 5, Surabaya 60261

T . +62 31 5116 4550 | F. +62 31 5116 4560

www.ahp.id

Not to be reproduced or disseminated without permission.

Assegaf Hamzah & Partners  53