Permen no. 20 tahun 2022 tentang perlindungan data pribadi

Pada tanggal 1 Desember 2016, Pemerintah Republik Indonesia mengundangkan Peraturan Menteri Komunikasi dan Informatika Republik Indonesia Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (“Permenkominfo 20/2016”).

Permenkominfo 20/2016 adalah peraturan pelaksanaan dari Peraturan Pemerintah No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, yang mengamanatkan agar pedoman perlindungan data pribadi dalam sistem elektronik untuk diatur lebih lanjut dalam peraturan Menteri Komunikasi dan Informatika

Data pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenarannya serta dilindungi kerahasiaannya. Adapun data perseorangan tertentu adalah setiap keterangan yang benar dan nyata yang melekat dan dapat diidentifikasi, baik langsung maupun tidak langsung, pada masing-masing individu yang pemanfaatannya sesuai ketentuan peraturan perundang-undangan.

Perlindungan data pribadi dalam sistem elektronik dilakukan pada proses:

• Perolehan dan pengumpulan;
• Pengolahan dan penganalisisan;
• Penyimpanan;
• Penampilan, pengumuman, pengiriman, penyebarluasan, dan/atau pembukaan akses; dan
• Pemusnahan.

Perolehan dan Pengumpulan Data Pribadi

Perolehan dan pengumpulan data pribadi oleh penyelenggara sistem elektronik harus dibatasi pada informasi yang relevan dan sesuai dengan tujuannya serta harus dilakukan secara akurat. Penyelenggara sistem elektronik harus menghormati data pribadi dari pemilik yang bersifat privasi.

Perolehan dan pengumpulan data pribadi tersebut dilakukan berdasarkan persetujuan dari pemilik data pribadi atau berdasarkan ketentuan peraturan perundang-undangan. Dalam hal pemilik data pribadi tidak memberikan persetujuan untuk mengungkapkan kerahasiaan data pribadi, maka setiap orang yang melakukan perolehan dan pengumpulan data pribadi dan penyelenggara sistem elektronik harus menjaga kerahasiaan data pribadi tersebut.

Data pribadi yang diperoleh dan dikumpulkan secara langsung harus diverifikasi ke pemilik data pribadi berdasarkan hasil olahan berbagai sumber data. Sumber data tersebut harus memiliki dasar hukum yang sah. Sistem Elektronik yang digunakan untuk menampung perolehan dan pengumpulan data pribadi harus memiliki kemampuan interoperabilitas dan kompabilitas serta menggunakan perangkat lunak yang legal.

Pengolahan dan Penganalisisan Data Pribadi

Data pribadi hanya dapat diolah dan dianalisis sesuai kebutuhan penyelenggara sistem elektronik yang secara jelas telah dinyatakan saat memperoleh dan mengumpulkan data pribadi tersebut. Selain itu, pengolahan dan penganalisisan harus dilakukan berdasarkan persetujuan, kecuali apabila data pribadi tersebut berasal dari data pribadi yang telah ditampilkan atau diumumkan secara terbuka oleh sistem elektronik untuk pelayanan publik. Data pribadi yang diolah dan dianalisis harus telah diverifikasi keakuratannya.

Penyimpanan Data Pribadi

Data pribadi yang disimpan dalam sistem elektronik harus data pribadi yang telah diverifikasi keakuratannya dan harus dalam bentuk data terenkripsi. Data pribadi wajib disimpan dalam sistem elektronik:

• sesuai dengan ketentuan peraturan perundang-undangan yang mengatur kewajiban jangka waktu penyimpanan data pribadi pada masing-masing instansi pengawas dan pengatur sektor; atau
• paling singkat 5 tahun, jika belum terdapat ketentuan peraturan perundang-undangan yang secara khusus mengatur untuk itu.

Pusat Data (data center) dan pusat pemulihan bencana (disaster recovery center) penyelenggara sistem elektronik untuk pelayanan publik yang digunakan untuk proses perlindungan data pribadi wajib ditempatkan dalam wilayah negara Republik Indonesia. Pusat data (data center) merupakan suatu fasilitas yang digunakan untuk menempatkan sistem elektronik dan komponen terkaitnya untuk keperluan penempatan, penyimpanan, dan pengolahan data.

Pusat pemulihan bencana (disaster recovery center) merupakan suatu fasilitas yang digunakan untuk memulihkan kembali data atau informasi serta fungsi-fungsi penting sistem elektronik yang terganggu atau rusak akibat bencana yang disebabkan oleh alam dan/atau manusia. Jika waktu penyimpanan data pribadi telah melebihi batas waktu, data pribadi dalam sistem elektronik dapat dihapuskan kecuali data pribadi tersebut masih akan dipergunakan atau dimanfaatkan sesuai dengan tujuan awal perolehan dan pengumpulannya.

Penampilan, Pengumuman, Pengiriman, Penyebarluasan, dan/atau Pembukaan Akses Data Pribadi

Menampilkan, mengumumkan, mengirimkan, menyebarluaskan, dan/atau membuka akses data pribadi dalam Sistem Elektronik hanya dapat dilakukan:

• atas Persetujuan kecuali ditentukan lain oleh ketentuan perundang-undangan; dan
• setelah diverifikasi keakuratan dan kesesuaian dengan tujuan perolehan dan pengumpulan data pribadi tersebut.

Pengiriman data pribadi yang dikelola oleh Penyelenggara Sistem Elektronik pada instansi pemerintah dan pemerintahan daerah serta masyarakat atau swasta yang berdomisili di dalam wilayah negara Republik Indonesia ke luar wilayah negara Republik Indonesia harus:

• berkoordinasi dengan Menteri atau pejabat/lembaga yang diberi wewenang untuk itu; dan
• menerapkan ketentuan peraturan perundang-undangan mengenai pertukaran data pribadi lintas batas negara.

Untuk keperluan proses penegakan hukum, penyelenggara sistem elektronik wajib memberikan data pribadi yang terdapat dalam sistem elektronik atau data pribadi yang dihasilkan oleh sistem elektronik atas permintaan yang sah dari aparat penegak hukum berdasarkan ketentuan peraturan perundang-undangan.

Penggunaan dan pemanfaatan data pribadi yang ditampilkan, diumumkan, diterima, dan disebarluaskan oleh penyelenggara sistem elektronik harus berdasarkan persetujuan. Penggunaan dan pemanfaatan data pribadi harus sesuai dengan tujuan perolehan, pengumpulan, pengolahan, dan/atau penganalisisan data pribadi.

Pemusnahan Data Pribadi

Pemusnahan data pribadi dalam sistem elektronik hanya dapat dilakukan jika:

• telah melewati ketentuan jangka waktu penyimpanan data pribadi dalam sistem elektronik berdasarkan peraturan ini atau sesuai dengan ketentuan peraturan perundang-undangan lainnya yang secara khusus mengatur di masing-masing instansi pengawas dan pengatur sektor untuk itu; atau
• atas permintaan pemilik data pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan.

Hak dan Kewajiban Para Pihak

Pemilik data pribadi berhak:

• atas kerahasiaan data pribadinya;
• mengajukan pengaduan dalam rangka penyelesaian sengketa data pribadi atas kegagalan perlindungan kerahasiaan data pribadinya oleh penyelenggara sistem elektronik kepada Menteri;
• mendapatkan akses atau kesempatan untuk mengubah atau memperbarui data pribadinya tanpa mengganggu sistem pengelolaan data pribadi, memperoleh historis data pribadinya yang pernah diserahkan kepada penyelenggara sistem elektronik, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan; dan
• meminta pemusnahan data perseorangan tertentu miliknya dalam sistem elektronik yang dikelola oleh penyelenggara sistem elektronik, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan.

Setiap Penyelenggara Sistem Elektronik wajib:

• melakukan sertifikasi sistem elektronik yang dikelolanya sesuai dengan ketentuan peraturan perundang-undangan;
• menjaga kebenaran, keabsahan, kerahasiaan, keakuratan dan relevansi serta kesesuaian dengan tujuan perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, penyebarluasan, dan pemusnahan data pribadi;
• memberitahukan secara tertulis kepada pemilik data pribadi jika terjadi kegagalan perlindungan rahasia data pribadi dalam sistem elektronik yang dikelolanya, dengan ketentuan pemberitahuan sebagai berikut:
  1. harus disertai alasan atau penyebab terjadinya kegagalan perlindungan rahasia data pribadi;
  2. dapat dilakukan secara elektronik jika pemilik data pribadi telah memberikan persetujuan untuk itu yang dinyatakan pada saat dilakukan perolehan dan pengumpulan data pribadinya;
  3. harus dipastikan telah diterima oleh pemilik data pribadi jika kegagalan tersebut mengandung potensi kerugian bagi yang bersangkutan; dan
  4. pemberitahuan tertulis dikirimkan kepada pemilik data pribadi paling lambat 14 hari sejak diketahui adanya kegagalan tersebut;
• memiliki aturan internal terkait perlindungan data pribadi yang sesuai dengan ketentuan peraturan perundang-undangan;
• menyediakan rekam jejak audit terhadap seluruh kegiatan penyelenggaraan sistem elektronik yang dikelolanya;
• memberikan opsi kepada pemilik data pribadi mengenai data pribadi yang dikelolanya dapat/atau tidak dapat digunakan dan/atau ditampilkan oleh/pada pihak ketiga atas persetujuan sepanjang masih terkait dengan tujuan perolehan dan pengumpulan data pribadi;
• memberikan akses atau kesempatan kepada pemilik data pribadi untuk mengubah atau memperbarui data pribadinya tanpa mengganggu sistem pengelolaan data pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan;
• memusnahkan data pribadi sesuai dengan ketentuan dalam peraturan ini atau ketentuan peraturan perundang-undangan lainnya yang secara khusus mengatur di masing-masing instansi pengawas dan pengatur sektor untuk itu; dan
• menyediakan narahubung yang mudah dihubungi oleh pemilik data pribadi terkait pengelolaan data pribadinya.

Penyelesaian Sengketa

Setiap pemilik data pribadi dan penyelenggara sistem elektronik dapat mengajukan pengaduan kepada Menteri atas kegagalan perlindungan kerahasiaan data pribadi.

Pengaduan dan penanganan pengaduan dilakukan berdasarkan tata cara, sebagai berikut:

• pengaduan dilakukan paling lambat 30 hari kerja sejak pengadu mengetahui informasi kegagalan perlindungan kerahasiaan data pribadi;
• pengaduan disampaikan secara tertulis dan harus dilengkapi dengan bukti-bukti pendukung;
• pejabat/lembaga penyelesaian sengketa wajib menanggapi pengaduan paling lambat 14 hari kerja sejak pengaduan diterima yang paling sedikit memuat pengaduan lengkap atau tidak lengkap;
• pengaduan yang tidak lengkap harus dilengkapi oleh pengadu paling lambat 30 hari kerja sejak pengadu menerima tanggapan tersebut dan jika melebihi batas waktu tersebut, pengaduan dianggap dibatalkan;
• pejabat/lembaga penyelesaian sengketa wajib menangani penyelesaian pengaduan mulai 14 hari kerja sejak pengaduan diterima lengkap;
• penyelesaian sengketa atas dasar pengaduan lengkap tersebut dilakukan secara musyawarah atau melalui upaya penyelesaian alternatif lainnya sesuai dengan ketentuan peraturan perundang-undangan; dan
• pejabat/lembaga penyelesaian sengketa yang menangani pengaduan dapat memberikan rekomendasi kepada Menteri untuk penjatuhan sanksi administratif kepada Penyelenggara Sistem Elektronik meskipun pengaduan dapat atau tidak dapat diselesaikan secara musyawarah atau melalui upaya penyelesaian alternatif lainnya.

Apabila upaya penyelesaian sengketa secara musyawarah atau melalui upaya penyelesaian alternatif lainnya belum mampu menyelesaikan sengketa, setiap pemilik data pribadi dan penyelenggara sistem elektronik dapat mengajukan gugatan perdata atas terjadinya kegagalan perlindungan kerahasiaan data pribadi.

Jika dalam proses penegakan hukum oleh aparat penegak hukum sesuai dengan ketentuan peraturan perundang-undangan yang berwenang harus melakukan penyitaan, maka yang dapat disita hanya Data Pribadi yang terkait kasus hukum tanpa harus menyita seluruh sistem elektroniknya.

Sanksi Administratif

Setiap Orang yang memperoleh, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarluaskan data pribadi tanpa hak atau tidak sesuai dengan ketentuan dalam peraturan ini atau peraturan perundang-undangan lainnya dikenai sanksi administratif sesuai dengan ketentuan peraturan perundang-undangan berupa: (a) peringatan lisan; (b) peringatan tertulis; (c) penghentian sementara kegiatan; dan/atau (d) pengumuman di situs dalam jaringan.

Perlindungan data pribadi diatur dimana?

Penyalahgunaan data pribadi pasal berapa?

Apa itu UU perlindungan data pribadi?

Sebutkan data pribadi apa saja yang harus dilindungi?