Professional Documents
Culture Documents
Paparan FGD Pengaturan RPP PNBP Kominfo 19 November
Paparan FGD Pengaturan RPP PNBP Kominfo 19 November
PP
71/2019 RPP
UU
11/2008 BERKAITAN
RUU
⇞
(ITE) PENGENAAN
Aturan Codes of
DENDA PELINDUNGAN
ADMINSTRATIF Turunan PDP Practises
PM DATA PRIBADI
Kominfo (PNBP)
20/2016
Rencana Ditetapkan
Akhir Tahun 2021
Panduan /
Guidelines
Dalam penyelenggaraan Sistem Elektronik dan Pelindungan Data Norma sanksi dalam PP 71/2019 diarahkan dan dimaksudkan untuk
Pribadi, ketentuan pokok yang menjadi acuan pelaksanaan menjamin kepatuhan, mencegah pelanggaran, menghindari kerugian
yang lebih besar, memberikan pengawasan dan pembinaan kepatuhan
pengenaan sanksi hukum diatur dalam UU ITE dan peraturan
terhadap pelanggaran norma dalam PP 71/2019. Sesuai dengan sifat
delegasinya, khususnya PP 71/2019. PP 71/2019 memuat sanksi dan ruang lingkup pengaturannya, PP 71/2019 hendak mewujudkan
hukum berupa sanksi administratif. kondisi penyelenggaraan SE yang andal memenuhi kebutuhan
penggunanya, aman (secara fisik dan nonfisik), bertanggungjawab
Sanksi administratif dalam PP 71/2019 terdiri dari: (secara hukum) dan beroperasi sebagaimana mestinya sesuai dengan
a. Teguran tertulis; spesifikasinya melalui penerapan manajemen risiko yang sesuai
dengan risiko pemrosesan/penyelenggaraan SE, termasuk risiko
b. Denda administratif
terkait pemrosesan data pribadi individu.
c. Penghentian sementara;
d. Pemutusan akses dan/atau Penyelenggaraan SE semakin gencar dilakukan, apalagi di situasi
e. Dikeluarkan dari daftar. tumbuh dan berkembangnya ekonomi digital yang dicirikan
pemrosesan data dan jumlah data pribadi yang dikumpulkan untuk
Lebih lanjut, PP 71/2019 mendelegasikan tata cara pengenaan penyediaan dan peningkatan layanan. Sebagai contoh, selama pandemi
Covid-19 terjadi, volume permintaan di e-commerce (perdagangan
sanksi administratif dan pengajuan keberatan atas pengenaan
melalui sistem elektronik/PMSE) pun melonjak antara 5-10 kali
sanksi administratif diatur dalam peraturan Menteri Kominfo, dibandingkan sebelum pandemi. Sementara itu, pelanggaran
serta penyelenggara negara yang berwenang menjatuhkan kepatuhan dan kejelasan penegakan ketentuan PDP belum cukup
sanksi administratif adalah Menteri Kominfo. sejalan dengan lonjakan tersebut.
Kewajiban PSE terkait PDP Kewajiban PSE lain yang relevan dalam PP
71/2019
• Kewajiban melaksanakan prinsip PDP dalam
melakukan pemrosesan Data Pribadi • Kewajiban uji kelaikan
relevan berdasarkan putusan pengadilan • Kewajiban melakukan rekam jejak dan audit
▪ Kewajiban mengamankan IE/DE dan melaporkan • Kewajiban pemberian akses dalam rangka
dengan segera ketika terjadi kegagalan atau pengawasan dan penegakan hukum
Pemrosesan Data Pribadi dilakukan dengan menjamin hak pemilik Data Pribadi
Pemrosesan Data Pribadi dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dapat
dipertanggungjawabkan, dan memperhatikan tujuan pemrosesan Data Pribadi
Pemrosesan Data Pribadi dilakukan dengan melindungi keamanan Data Pribadi dari kehilangan,
penyalahgunaan, Akses, dan pengungkapan yang tidak sah, serta pengubahan atau perusakan Data Pribadi
Data Pribadi dimusnahkan dan/atau dihapus kecuali masih dalam masa retensi sesuai dengan kebutuhan
berdasarkan ketentuan peraturan perundang-undangan
Directorate General of ICT Applications
Ministry of Communication and Informatics, Republic of Indonesia
SYARAT SAH PEMROSESAN DATA PRIBADI
Pemilik Data Pribadi memberikan persetujuan kepada pengendali data pribadi dengan cara-cara
seperti: Perusahaan A
persetujuan dari Pemilik data pribadi 1. Klik yes/ok Email (optional) :
2. Memberikan tanda tangan Saya setuju penggunaan informasi ini untuk
3. Memberikan melalui lisan terekam menerima email terkait produk dan penawaran
4. Membalas email spesial
5. Dll
1. Pegawai memberikan data pribadinya ke bagian kepegawaian untuk keperluan kontrak kerja
pemenuhan kewajiban perjanjian pegawai
2. Perjanjian jual beli atau kredit
pemenuhan kewajiban hukum sesuai ketentuan 1. Bank sebelum memberikan approval diwajibkan oleh OJK melakukan Know Your Customer
per-UU 2. Marketplace diwajibkan oleh DJP untuk melaporkan data pajak pemilik data dari data transaksi
yang dilakukan pemilik data (PPh dan PPN)
Pemilik data perlu mendapatkan tindakan medis secara cepat namun dia tidak sanggup
pemenuhan vital interest memberikan persetujuan sehingga Pengendali Data Pribadi dapat memproses data pribadi
dan/atau
1. Pemrosesan data pribadi untuk kepentingan keamanan jaringan dalam rangka pencegahan
fraud.
pemenuhan kepentingan yang sah lainnya
Directorate General of ICT Applications
2. Diagnosa analisa untuk mengukur jumlah pengunjung, jumlah posting, jumlah yang melihat
Ministry of Communication and Informatics, Republic of Indonesia halaman, kajian dan followers untuk optimasi pemasaran di masa depan.
CONTOH PENERAPAN PRINSIP PELINDUNGAN DATA PRIBADI
pengumpulan Data Pribadi Divisi Marketing PT XYZ, yang mengumpulkan data pribadi pelanggan untuk tujuan pemasaran produk
dilakukan secara terbatas dan baru, hanya boleh mengambil data yang relevan (misalnya nama dan alamat email pelanggan) dan
a spesifik, sah secara hukum, memberitahukan informasi yang relevan kepada pelanggan (misalnya tujuan pengumpulan, pihak yang
patut, dan transparan terlibat, masa retensi, dan lain sebagainya).
Divisi Marketing PT XYZ, yang mengumpulkan data pribadi pelanggan (misalnya nama dan alamat email
pemrosesan Data Pribadi pelanggan) untuk tujuan pemasaran produk baru, tidak boleh menggunakan data tersebut untuk tujuan
b dilakukan sesuai dengan lainnya. Contohnya menggunakan data pelanggan untuk pembukaan akun di aplikasi fintech lending tanpa
tujuannya sepengetahuan dan persetujuan pemilik data pribadi.
pemrosesan Data Pribadi Divisi Marketing perusahaan PT XYZ, yang mengumpulkan data pribadi pelanggan (misalnya nama dan
c dilakukan dengan menjamin hak alamat email pelanggan) untuk tujuan pemasaran produk baru, harus menjamin hak pemilik data pribadi.
Pemilik Data Pribadi Contohnya tidak akan menyebarkan data pelanggan kepada pihak lain.
pemrosesan Data Pribadi dilakukan Bank ABC harus memastikan data calon nasabah yang membuka rekening di banknya akurat, lengkap,
secara akurat, lengkap, tidak tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan (know your customer). Prinsip ini juga
d menyesatkan, mutakhir, dan dapat
dipertanggungjawabkan harus diterapkan selama pemrosesan data pribadi dilakukan.
pemrosesan Data Pribadi dilakukan dengan Divisi Marketing PT XYZ, yang mengumpulkan data pribadi pelanggan (misalnya nama dan alamat email
melindungi keamanan Data Pribadi dari
pengaksesan yang tidak sah, pengungkapan pelanggan) untuk tujuan pemasaran produk baru, harus melindungi keamanan data pribadi melalui
e yang tidak sah, pengubahan yang tidak sah,
penyalahgunaan, perusakan, dan/atau
langkah teknis dan organisasional. Contohnya dengan membuat SOP dan membatasi karyawan yang dapat
kehilangan Data Pribadi mengakses data tersebut.
d
pemrosesan Data Pribadi dilakukan PT XYZ mengumpulkan data pribadi pelanggan melalui form survei (nama, jenis kelamin, dan alamat email
dengan memberitahukan tujuan dan pelanggan) untuk memberikan promosi produk baru. Pada lampiran formulir survei pelanggan, PT XYZ
f aktivitas pemrosesan, serta kegagalan memberitahukan tujuan dan aktivitas pemrosesan, serta mekanisme pemberitahuan jika terjadi kegagalan
pelindungan Data Pribadi pelindungan data pribadi pelanggan.
e
Data Pribadi dimusnahkan dan/atau dihapus
setelah masa retensi berakhir atau berdasarkan PT XYZ menghapus data pribadi pelanggan di akun e-commerce-nya setelah pemilik data pribadi menutup
g permintaan Pemilik Data Pribadi kecuali akunnya.
ditentukan lain oleh peraturan perundang-
undangan
Kewajiban Pengamanan
Penghapusan (right to Pengeluaran dari daftar mesin
erasure) pencari (right to delisting)
a. Diperoleh dan diproses tanpa a. Pengeluaran dari daftar mesin pencari a. PSE wajib menyediakan rekam jejak audit thd seluruh kegiatan
persetujuan pemilik Data Pribadi; (right to delisting) dilakukan penyelenggaraan SE yg digunakan untuk keperluan
b. Telah ditarik persetujuannya oleh berdasarkan penetapan pengadilan.
pengawasan, penegakan hukum, penyelesaian sengketa,
pemilik Data Pribadi; b. Permohonan penetapan penghapusan
verifikasi, pengujian, dan pemeriksaan lainnya.
c. Diperoleh dan diproses dengan cara IE/DE kepada PN setempat dilakukan
melawan hukum; oleh orang yg bersangkutan sebagai b. PSE wajib melakukan pengamanan terhadap komponen SE.
d. Sudah tidak sesuai lagi dengan tujuan pemilik Data Pribadi c. PSE wajib memiliki dan menjalankan prosedur dan sarana
perolehan berdasarkan perjanjian c. Permohonan harus memuat: a) untuk pengamanan SE dalam menghindari gangguan,
dan/atau ketentuan perUUan; identitas pemohon; b) identitas PSE kegagalan, dan kerugian
e. Penggunaannya telah melampaui dan/atau alamat SE; c) Data Pribadi d. PSE wajib menyediakan sistem pengamanan yg mencakup
waktu sesuai dengan perjanjian yg tidak relevan di bawah kendali PSE; prosedur dan sistem pencegahan dan penanggulangan
dan/atau ketentuan perUUan; dan d) alasan permintaan terhadap ancaman dan serangan yg menimbulkan gangguan,
dan/atau penghapusan. kegagalan, dan kerugian.
f. Ditampilkan oleh PSE yg d. Dalam hal pengadilan mengabulkan e. Dalam hal terjadi kegagalan atau gangguan sistem yang
mengakibatkan kerugian bagi pemilik permohonan penetapan berdampak serius sebagai akibat perbuatan dari pihak lain
Data Pribadi. penghapusan, PSE wajib melakukan
terhadap SE, PSE wajib mengamankan IE/DE dan segera
penghapusan IE/DE yg tidak relevan
melaporkan dalam kesempatan pertama kepada APH dan K/L
terkait.
➢ Berdasarkan UU Nomor 9 Tahun 2018 tentang Penerimaan Negara Bukan Pajak dan PP 69 tahun 2020
terkait Tata Cara Penetapan Tarif atas Jenis PNBP, perlu menetapkan Peraturan Pemerintah tentang
Jenis dan Tarif atas Jenis Penerimaan Negara Bukan Pajak yang berlaku pada Kementerian
Komunikasi dan Informatika (PP PNBP Kemkominfo)
➢ Pengaturan mengenai Jenis dan Tarif atas PNBP Kemkominfo saat ini diatur dalam PP No. 80 Tahun
2015 tentang PP PNBP Kemkominfo
➢ PP PNBP Kemkominfo perlu dilakukan penyesuaian, sehingga saat ini sedang dalam tahap revisi.
➢ Di dalam revisi PP PNBP Kemkominfo dimasukkan mengenai pengaturan lebih lanjut terkait sanksi
administratif thd pelanggaran atas pelindungan data pribadi sebagaimana diamanatkan oleh PP No. 71
Tahun 2019 tentang PSTE.
Denda Administratif =
Jumlah Poin Pelanggaran* x Tarif per poin**
**tarif per poin = Rp 100.000,-
b) Tidak ada landasan hukum pemrosesan data pribadi dari kehilangan, penyalahgunaan, Akses, dan pengungkapan yang tidak sah, serta
1.000
pengubahan atau perusakan Data Pribadi;
c) Landasan hukum pemrosesan data pribadi tidak sesuai dengan peruntukannya 800 a) Terdapat kehilangan data pribadi 10.000
d) Tidak ada pemberitahuan mengenai informasi pemrosesan data pribadi di awal 50 b) Terdapat penyalahgunaan data pribadi 5.000
sebelum permintaan persetujuan pemilik data pribadi
2) Pemrosesan Data Pribadi tidak dilakukan sesuai dengan tujuannya c) Terdapat akses dan pengungkapan yang tidak sah terhadap data pribadi 5.000
a) Terdapat satu atau lebih tujuan pemrosesan data pribadi, namun data pribadi yang 400 d) Terdapat pengubahan atau perusakan data pribadi 10.000
dikumpulkan tidak sesuai dengan tujuan yang ditetapkan tersebut
b) Terdapat satu atau lebih tujuan pemrosesan data pribadi, namun pemrosesan tidak 700 6) Pemrosesan Data Pribadi tidak dilakukan dengan memberitahukan tujuan 1.500
sesuai dengan tujuan yang ditetapkan tersebut pengumpulan, aktivitas pemrosesan, dan kegagalan pelindungan Data Pribadi
c) Dalam hal terdapat tujuan lanjutan, tidak dilakukan analisis kesesuaian tujuan awal 200 7) Data Pribadi tidak dimusnahkan dan/atau dihapus kecuali masih dalam masa retensi
pengumpulan data pribadi dengan tujuan lanjutannya
sesuai dengan kebutuhan berdasarkan ketentuan peraturan perundang-undangan
3) Pemrosesan Data Pribadi tidak dilakukan dengan menjamin hak pemilik Data Pribadi 800
a) Tidak memiliki kebijakan retensi 50
b) Tidak ada prosedur dan/atau kebijakan pemusnahan dan/atau penghapusan data 150
Directorate General of ICT Applications pribadi ketika sudah tidak dalam masa retensi
Ministry of Communication and Informatics, Republic of Indonesia
PENENTUAN PERSENTASE BOBOT JENIS PELANGGARAN
Dikenakan thd pelanggaran atas Pemenuhan Kewajiban PSE Lingkup Privat dalam pelaksanaan prinsip PDP