ARTIKEL HUKUM
Dalam dunia digital, data pribadi menjadi objek riskan yang dapat
disalahgunakan oleh pihak-pihak yang tidak bertanggung-jawab. Oleh karenanya
hukum merasa perlu untuk mengatur perihal pengamanan data pribadi terkait
sistem transaksi elektronik. Kini telah hadir peraturan teknis perihal
perlindungan data pribadi dalam sistem transaksi secara daring.
Dalam artikel ini SHIETRA & PARTNERS akan mengangkat kaidah-kaidah yang
relevan bagi kalangan pengguna jasa sistem transaksi online. Peraturan tersebut
merupakan ketentuan pelaksana dari Pasal 15 ayat (3) Peraturan Pemerintah Nomor
82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, yang berpayung
hukum pada Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi
Elektronik.
Yang paling menarik, ialah diaturnya kaidah normatif, bahwasannya:
(1) Perolehan dan pengumpulan
Data Pribadi oleh Penyelenggara Sistem Elektronik wajib berdasarkan
Persetujuan atau berdasarkan ketentuan peraturan perundang-undangan.
(2) Pemilik Data Pribadi yang
memberikan Persetujuan sebagaimana dimaksud pada ayat (1) dapat menyatakan
Data Perseorangan Tertentu miliknya bersifat rahasia.
PERATURAN MENTERI KOMUNIKASI DAN INFORMATIKA
REPUBLIK INDONESIA
NOMOR 20 TAHUN 2016
TENTANG
PERLINDUNGAN DATA PRIBADI DALAM SISTEM ELEKTRONIK
Pasal 1
Dalam Peraturan Menteri ini
yang dimaksud dengan:
1. Data Pribadi adalah
data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta
dilindungi kerahasiaannya.
2. Data Perseorangan
Tertentu adalah setiap keterangan yang benar dan nyata yang melekat dan
dapat diidentifikasi, baik langsung maupun tidak langsung, pada
masing-masing individu yang pemanfaatannya sesuai ketentuan peraturan
perundang-undangan.
3. Pemilik Data Pribadi
adalah individu yang padanya melekat Data Perseorangan Tertentu.
4. Persetujuan Pemilik Data
Pribadi yang selanjutnya disebut Persetujuan adalah pernyataan secara
tertulis baik secara manual dan/atau elektronik yang diberikan oleh Pemilik
Data Pribadi setelah mendapat penjelasan secara lengkap mengenai tindakan
perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan,
pengumuman, pengiriman, dan penyebarluasan serta kerahasiaan atau ketidakrahasiaan
Data Pribadi.
5. Sistem Elektronik
adalah serangkaian perangkat dan prosedur elektronik yang berfungsi
mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan,
mengumumkan, mengirimkan, dan/atau menyebarkan informasi elektronik.
6. Penyelenggara Sistem
Elektronik adalah setiap Orang, penyelenggara negara, Badan Usaha, dan
masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan Sistem
Elektronik secara sendiri-sendiri maupun bersama-sama kepada Pengguna Sistem
Elektronik untuk keperluan dirinya dan/atau keperluan pihak lain.
7. Pengguna Sistem
Elektronik yang selanjutnya disebut Pengguna adalah setiap Orang,
penyelenggara negara, Badan Usaha, dan masyarakat yang memanfaatkan barang,
jasa, fasilitas, atau informasi yang disediakan oleh Penyelenggara Sistem
Elektronik.
8. Badan Usaha adalah
perusahaan perseorangan atau perusahaan persekutuan, baik yang berbadan hukum maupun
yang tidak berbadan hukum.
9. Menteri adalah
menteri yang menyelenggarakan urusan pemerintahan di bidang komunikasi dan
informatika.
10. Direktur Jenderal
adalah direktur jenderal yang tugas dan fungsinya di bidang aplikasi
informatika.
Pasal 2
(1) Perlindungan Data
Pribadi dalam Sistem Elektronik mencakup perlindungan terhadap perolehan, pengumpulan,
pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, penyebarluasan,
dan pemusnahan Data Pribadi.
(2) Dalam melaksanakan
ketentuan sebagaimana dimaksud pada ayat (1) harus berdasarkan asas
perlindungan Data Pribadi yang baik, yang meliputi:
a. penghormatan terhadap
Data Pribadi sebagai privasi;
b. Data Pribadi bersifat
rahasia sesuai Persetujuan dan/atau berdasarkan ketentuan peraturan perundang-undangan;
c. berdasarkan Persetujuan;
d. relevansi dengan tujuan
perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman,
pengiriman, dan penyebarluasan;
e. kelaikan Sistem Elektronik
yang digunakan;
f. iktikad baik untuk
segera memberitahukan secara tertulis kepada Pemilik Data Pribadi atas setiap kegagalan
perlindungan Data Pribadi;
g. ketersediaan aturan
internal pengelolaan perlindungan Data Pribadi;
h. tanggung jawab atas Data
Pribadi yang berada dalam penguasaan Pengguna;
i. kemudahan akses dan
koreksi terhadap Data Pribadi oleh Pemilik Data Pribadi; dan
j. keutuhan, akurasi,
dan keabsahan serta kemutakhiran Data Pribadi.
(3) Privasi sebagaimana
dimaksud pada ayat (2) huruf a merupakan kebebasan Pemilik Data Pribadi untuk menyatakan
rahasia atau tidak menyatakan rahasia Data Pribadinya, kecuali ditentukan lain
sesuai dengan ketentuan peraturan perundang-undangan.
(4) Persetujuan sebagaimana
dimaksud pada ayat (2) huruf b diberikan setelah Pemilik Data Pribadi
menyatakan konfirmasi terhadap kebenaran, status kerahasiaan dan tujuan
pengelolaan Data Pribadi.
(5) Keabsahan sebagaimana
dimaksud pada ayat (2) huruf j merupakan legalitas dalam perolehan,
pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman,
pengiriman, penyebarluasan, dan pemusnahan Data Pribadi.
Pasal 3
Perlindungan Data Pribadi dalam
Sistem Elektronik dilakukan pada proses:
a. perolehan dan pengumpulan;
b. pengolahan dan
penganalisisan;
c. penyimpanan;
d. penampilan, pengumuman,
pengiriman, penyebarluasan, dan/atau pembukaan akses; dan
e. pemusnahan.
Pasal 4
(1) Sistem Elektronik yang
digunakan untuk proses sebagaimana dimaksud dalam Pasal 3 wajib tersertifikasi.
(2) Pelaksanaan sertifikasi
sebagaimana dimaksud pada ayat (1) sesuai dengan ketentuan peraturan perundang-undangan.
Pasal 5
(1) Setiap Penyelenggara Sistem
Elektronik harus mempunyai aturan internal perlindungan Data Pribadi untuk
melaksanakan proses sebagaimana dimaksud dalam Pasal 3.
(2) Setiap Penyelenggara
Sistem Elektronik harus menyusun aturan internal perlindungan Data Pribadi
sebagai bentuk tindakan pencegahan untuk menghindari terjadinya kegagalan dalam
perlindungan Data Pribadi yang dikelolanya.
(3) Penyusunan aturan internal
sebagaimana dimaksud pada ayat (1) dan ayat (2) harus mempertimbangkan aspek
penerapan teknologi, sumber daya manusia, metode, dan biaya serta mengacu pada
ketentuan dalam Peraturan Menteri ini dan peraturan perundang-undangan lainnya
yang terkait.
(4) Tindakan pencegahan lainnya
untuk menghindari terjadinya kegagalan dalam perlindungan Data Pribadi yang
dikelolanya harus dilakukan oleh setiap Penyelenggara Sistem Elektronik, paling
sedikit berupa kegiatan:
a. meningkatkan kesadaran
sumber daya manusia di lingkungannya untuk memberikan perlindungan Data Pribadi
dalam Sistem Elektronik yang dikelolanya; dan
b. mengadakan pelatihan
pencegahan kegagalan perlindungan Data Pribadi dalam Sistem Elektronik yang
dikelolanya bagi sumber daya manusia di lingkungannya.
Pasal 6
Penyelenggara Sistem Elektronik
yang melakukan proses sebagaimana dimaksud dalam Pasal 3 wajib menyediakan formulir
persetujuan dalam Bahasa Indonesia untuk meminta Persetujuan dari Pemilik Data
Pribadi yang dimaksud.
Pasal 7
(1) Perolehan dan pengumpulan
Data Pribadi oleh Penyelenggara Sistem Elektronik harus dibatasi pada informasi
yang relevan dan sesuai dengan tujuannya serta harus dilakukan secara akurat.
(2) Instansi Pengawas dan
Pengawas Sektor dapat menentukan informasi yang relevan dan sesuai dengan tujuannya
sebagaimana dimaksud pada ayat (1).
Pasal 8
(1) Dalam memperoleh dan
mengumpulkan Data Pribadi, Penyelenggara Sistem Elektronik harus menghormati Pemilik
Data Pribadi atas Data Pribadinya yang bersifat privasi.
(2) Penghormatan terhadap
Pemilik Data Pribadi atas Data Pribadi yang bersifat privasi sebagaimana
dimaksud pada ayat (1) dilakukan melalui penyediaan pilihan dalam Sistem Elektronik
untuk Pemilik Data Pribadi terhadap:
a. kerahasiaan atau
ketidakrahasiaan Data Pribadi; dan
b. perubahan, penambahan, atau
pembaruan Data Pribadi.
(3) Pilihan untuk Pemilik Data
Pribadi terhadap kerahasiaan atau ketidakrahasiaan Data Pribadi sebagaimana dimaksud
pada ayat (2) huruf a tidak berlaku jika peraturan perundang-undangan telah
secara tegas menyatakan Data Pribadi yang secara khusus untuk beberapa
elemennya dinyatakan bersifat rahasia.
(4) Pilihan untuk Pemilik Data
Pribadi terhadap perubahan, penambahan, atau pembaruan Data Pribadi sebagaimana
dimaksud pada ayat (2) huruf b untuk memberikan kesempatan bagi Pemilik Data
Pribadi jika menghendaki pergantian Data Perseorangan Tertentu miliknya.
Pasal 9
(1) Perolehan dan
pengumpulan Data Pribadi oleh Penyelenggara Sistem Elektronik wajib berdasarkan
Persetujuan atau berdasarkan ketentuan peraturan perundang-undangan.
(2) Pemilik Data Pribadi
yang memberikan Persetujuan sebagaimana dimaksud pada ayat (1) dapat menyatakan
Data Perseorangan Tertentu miliknya bersifat rahasia.
(3) Dalam hal Persetujuan
sebagaimana dimaksud pada ayat (2) tidak termasuk Persetujuan atas pengungkapan
kerahasiaan Data Pribadi maka:
a. setiap Orang yang melakukan
perolehan dan pengumpulan Data Pribadi; dan
b. Penyelenggara Sistem
Elektronik;
harus menjaga kerahasiaan Data
Pribadi tersebut.
(4) Ketentuan menjaga
kerahasiaan Data Pribadi bagi setiap Orang dan Penyelenggara Sistem Elektronik
sebagaimana dimaksud pada ayat (3) juga berlaku terhadap Data Pribadi yang
dinyatakan rahasia sesuai dengan ketentuan peraturan perundang-undangan.
Pasal 10
(1) Data Pribadi yang diperoleh
dan dikumpulkan secara langsung harus diverifikasi ke Pemilik Data Pribadi.
(2) Data Pribadi yang diperoleh
dan dikumpulkan secara tidak langsung harus diverifikasi berdasarkan hasil olahan
berbagai sumber data.
(3) Sumber data dalam perolehan
dan pengumpulan Data Pribadi sebagaimana dimaksud pada ayat (2) harus memiliki
dasar hukum yang sah.
Pasal 12
(1) Data Pribadi hanya dapat
diolah dan dianalisis sesuai kebutuhan Penyelenggara Sistem Elektronik yang
telah dinyatakan secara jelas saat memperoleh dan mengumpulkannya.
(2) Pengolahan dan
penganalisisan Data Pribadi sebagaimana dimaksud pada ayat (1) dilakukan berdasarkan
Persetujuan.
Pasal 13
Ketentuan sebagaimana dimaksud
dalam Pasal 12 ayat (2) tidak berlaku jika Data Pribadi yang diolah dan dianalisis
tersebut berasal dari Data Pribadi yang telah ditampilkan atau diumumkan secara
terbuka oleh Sistem Elektronik untuk pelayanan publik.
Pasal 14
Data Pribadi yang diolah dan
dianalisis harus Data Pribadi yang telah diverifikasi keakuratannya.
Pasal 15
(1) Data Pribadi yang disimpan
dalam Sistem Elektronik harus Data Pribadi yang telah diverifikasi
keakuratannya.
(2) Data Pribadi yang disimpan
dalam Sistem Elektronik harus dalam bentuk data terenkripsi.
(3) Data Pribadi sebagaimana
dimaksud pada ayat (1) wajib disimpan dalam Sistem Elektronik:
a. sesuai dengan ketentuan
peraturan perundang-undangan yang mengatur kewajiban jangka waktu penyimpanan
Data Pribadi pada masing-masing Instansi Pengawas dan Pengatur Sektor; atau
b. paling singkat 5 (lima)
tahun, jika belum terdapat ketentuan peraturan perundang-undangan yang secara
khusus mengatur untuk itu.
Pasal 16
Jika Pemilik Data Pribadi tidak
lagi menjadi Pengguna, Penyelenggara Sistem Elektronik wajib menyimpan Data Pribadi
tersebut sesuai batas waktu sebagaimana dimaksud dalam Pasal 15 ayat (2)
terhitung sejak tanggal terakhir Pemilik Data Pribadi menjadi Pengguna.
Pasal 19
Jika waktu penyimpanan Data
Pribadi telah melebihi batas waktu sebagaimana dimaksud dalam Pasal 15 ayat
(2), Data Pribadi dalam Sistem Elektronik dapat dihapuskan
kecuali Data Pribadi tersebut masih akan dipergunakan atau dimanfaatkan sesuai
dengan tujuan awal perolehan dan pengumpulannya.
Pasal 20
Jika Pemilik Data Pribadi
meminta penghapusan Data Perseorangan Tertentu miliknya, permintaan penghapusan
tersebut dilakukan sesuai dengan ketentuan peraturan perundang-undangan.
Pasal 21
(1) Menampilkan, mengumumkan,
mengirimkan, menyebarluaskan, dan/atau membuka akses Data Pribadi dalam Sistem
Elektronik hanya dapat dilakukan:
a. atas Persetujuan
kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan; dan
b. setelah diverifikasi
keakuratan dan kesesuaian dengan tujuan perolehan dan pengumpulan Data Pribadi
tersebut.
(2) Menampilkan, mengumumkan,
mengirimkan, menyebarluaskan, dan/atau membuka akses Data Pribadi dalam Sistem
Elektronik sebagaimana dimaksud pada ayat (1) termasuk yang dilakukan antar Penyelenggara
Sistem Elektronik, antar Penyelenggara Sistem Elektronik dan Pengguna, atau
antar Pengguna.
Pasal 23
(1) Untuk keperluan proses
penegakan hukum, Penyelenggara Sistem Elektronik wajib memberikan Data Pribadi
yang terdapat dalam Sistem Elektronik atau Data Pribadi yang dihasilkan oleh
Sistem Elektronik atas permintaan yang sah dari aparat penegak hukum berdasarkan
ketentuan peraturan perundang-undangan.
(2) Data Pribadi sebagaimana
dimaksud pada ayat (1) merupakan Data Pribadi yang relevan dan sesuai dengan kebutuhan
penegakan hukum.
Pasal 24
(1) Penggunaan dan
pemanfaatan Data Pribadi yang ditampilkan, diumumkan, diterima, dan
disebarluaskan oleh Penyelenggara Sistem Elektronik harus berdasarkan Persetujuan.
(2) Penggunaan dan pemanfaatan
Data Pribadi sebagaimana dimaksud pada ayat (1) harus sesuai dengan
tujuan perolehan, pengumpulan, pengolahan, dan/atau penganalisisan
Data Pribadi.
Pasal 25
(1) Pemusnahan Data Pribadi
dalam Sistem Elektronik hanya dapat dilakukan jika:
a. telah melewati ketentuan
jangka waktu penyimpanan Data Pribadi dalam Sistem Elektronik berdasarkan
Peraturan Menteri ini atau sesuai dengan ketentuan peraturan perundang-undangan
lainnya yang secara khusus mengatur di masing-masing Instansi Pengawas dan
Pengatur Sektor untuk itu; atau
b. atas permintaan
Pemilik Data Pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan.
(2) Pemusnahan sebagaimana
dimaksud pada ayat (1) harus menghilangkan sebagian atau keseluruhan dokumen terkait
Data Pribadi, termasuk yang elektronik maupun nonelektronik yang dikelola oleh
Penyelenggara Sistem Elektronik dan/atau Pengguna sehingga Data Pribadi tersebut
tidak dapat ditampilkan kembali dalam Sistem Elektronik kecuali Pemilik Data
Pribadi memberikan Data Pribadinya yang baru.
(3) Penghilangan sebagian atau
keseluruhan berkas sebagaimana dimaksud pada ayat (2) dilakukan berdasarkan
Persetujuan atau sesuai dengan ketentuan peraturan perundang-undangan lainnya
yang secara khusus mengatur di masing-masing sektor untuk itu.
Pasal 26
Pemilik Data Pribadi berhak:
a. atas kerahasiaan Data
Pribadinya;
b. mengajukan pengaduan dalam
rangka penyelesaian sengketa Data Pribadi atas kegagalan perlindungan kerahasiaan
Data Pribadinya oleh Penyelenggara Sistem Elektronik kepada Menteri;
c. mendapatkan akses atau
kesempatan untuk mengubah atau memperbarui Data Pribadinya tanpa menganggu sistem
pengelolaan Data Pribadi, kecuali ditentukan lain oleh ketentuan peraturan
perundang-undangan;
d. mendapatkan akses atau
kesempatan untuk memperoleh historis Data Pribadinya yang pernah diserahkan
kepada Penyelenggara Sistem Elektronik sepanjang masih sesuai dengan ketentuan
peraturan perundang-undangan; dan
e. meminta pemusnahan
Data Perseorangan Tertentu miliknya dalam Sistem Elektronik yang
dikelola oleh Penyelenggara Sistem Elektronik, kecuali ditentukan lain oleh
ketentuan peraturan perundang-undangan.
Pasal 27
Pengguna wajib:
a. menjaga kerahasiaan Data
Pribadi yang diperoleh, dikumpulkan, diolah, dan dianalisisnya;
b. menggunakan Data Pribadi
sesuai dengan kebutuhan Pengguna saja;
c. melindungi Data Pribadi
beserta dokumen yang memuat Data Pribadi tersebut dari tindakan penyalahgunaan;
dan
d. bertanggung jawab atas
Data Pribadi yang terdapat dalam penguasaannya, baik penguasaan secara organisasi
yang menjadi kewenangannya maupun perorangan, jika terjadi tindakan
penyalahgunaan.
Pasal 28
Setiap Penyelenggara Sistem Elektronik wajib:
a. melakukan sertifikasi Sistem
Elektronik yang dikelolanya sesuai dengan ketentuan peraturan
perundangundangan;
b. menjaga kebenaran,
keabsahan, kerahasiaan, keakuratan dan relevansi serta kesesuaian dengan tujuan
perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman,
pengiriman, penyebarluasan, dan pemusnahan Data Pribadi;
c. memberitahukan secara
tertulis kepada Pemilik Data Pribadi jika terjadi kegagalan perlindungan
rahasia Data Pribadi dalam Sistem Elektronik yang dikelolanya, dengan ketentuan
pemberitahuan sebagai berikut:
1. harus disertai alasan atau
penyebab terjadinya kegagalan perlindungan rahasia Data Pribadi;
2. dapat dilakukan secara
elektronik jika Pemilik Data Pribadi telah memberikan Persetujuan untuk itu yang
dinyatakan pada saat dilakukan perolehan dan pengumpulan Data Pribadinya;
3. harus dipastikan telah
diterima oleh Pemilik Data Pribadi jika kegagalan tersebut mengandung potensi kerugian
bagi yang bersangkutan; dan
4. pemberitahuan tertulis
dikirimkan kepada Pemilik Data Pribadi paling lambat 14 (empat belas) hari sejak
diketahui adanya kegagalan tersebut;
d. memiliki aturan internal
terkait perlindungan Data Pribadi yang sesuai dengan ketentuan peraturan perundang-undangan;
e. menyediakan rekam
jejak audit terhadap seluruh kegiatan penyelenggaraan Sistem Elektronik
yang dikelolanya;
f. memberikan opsi kepada
Pemilik Data Pribadi mengenai Data Pribadi yang dikelolanya dapat/atau
tidak dapat digunakan dan/atau ditampilkan oleh/pada pihak ketiga atas
Persetujuan sepanjang masih terkait dengan tujuan perolehan dan pengumpulan
Data Pribadi;
g. memberikan akses atau
kesempatan kepada Pemilik Data Pribadi untuk mengubah atau memperbarui Data Pribadinya
tanpa menganggu sistem pengelolaan Data Pribadi, kecuali ditentukan lain oleh
ketentuan peraturan perundang-undangan;
h. memusnahkan Data Pribadi
sesuai dengan ketentuan dalam Peraturan Menteri ini atau ketentuan peraturan perundang-undangan
lainnya yang secara khusus mengatur di masing-masing Instansi Pengawas dan Pengatur
Sektor untuk itu; dan
i. menyediakan narahubung
(contact person) yang mudah dihubungi oleh Pemilik Data Pribadi terkait
pengelolaan Data Pribadinya.
Pasal 29
(1) Setiap Pemilik Data
Pribadi dan Penyelenggara Sistem Elektronik dapat mengajukan pengaduan kepada
Menteri atas kegagalan perlindungan kerahasiaan Data Pribadi.
(2) Pengaduan sebagaimana
dimaksud pada ayat (1) dimaksudkan sebagai upaya penyelesaian sengketa secara
musyawarah atau melalui upaya penyelesaian alternatif lainnya.
(3) Pengaduan sebagaimana
dimaksud pada ayat (1) dilakukan berdasarkan alasan:
a. tidak dilakukannya
pemberitahuan secara tertulis atas kegagalan perlindungan rahasia Data Pribadi oleh
Penyelenggara Sistem Elektronik kepada Pemilik Data Pribadi atau Penyelenggara
Sistem Elektronik lainnya yang terkait dengan Data Pribadi tersebut, baik yang
berpotensi maupun tidak berpotensi menimbulkan kerugian; atau
b. telah terjadinya kerugian
bagi Pemilik Data Pribadi atau Penyelenggara Sistem Elektronik lainnya yang terkait
dengan kegagalan perlindungan rahasia Data Pribadi tersebut, meskipun telah
dilakukan pemberitahuan secara tertulis atas kegagalan perlindungan rahasia
Data Pribadi namun waktu pemberitahuannya yang terlambat.
(4) Menteri dapat berkoordinasi
dengan pimpinan Instansi Pengawas dan Pengatur Sektor untuk menindaklanjuti pengaduan
sebagaimana dimaksud pada ayat (1).
Pasal 30e
(1) Menteri mendelegasikan
kewenangan penyelesaian sengketa Data Pribadi sebagaimana dimaksud dalam Pasal
29 kepada Direktur Jenderal.
(2) Direktur Jenderal dapat
membentuk panel penyelesaian sengketa Data Pribadi.
Pasal 31
Pengaduan dan penanganan
pengaduan dilakukan berdasarkan tata cara, sebagai berikut:
a. pengaduan dilakukan
paling lambat 30 (tiga puluh) hari kerja sejak pengadu mengetahui informasi
sebagaimana dimaksud dalam Pasal 29 ayat (3) huruf a atau huruf b;
b. pengaduan disampaikan secara
tertulis memuat:
1. nama dan alamat pengadu;
2. alasan atau dasar pengaduan;
3. permintaan penyelesaian
masalah yang diadukan; dan
4. tempat pengaduan, waktu
penyampaian pengaduan, dan tanda tangan pengadu.
c. pengaduan harus dilengkapi
dengan bukti-bukti pendukung;
d. pejabat/tim penyelesaian
sengketa Data Pribadi atas kegagalan perlindungan kerahasiaan Data Pribadi wajib
menanggapi pengaduan paling lambat 14 (empat belas) hari kerja sejak pengaduan
diterima yang paling sedikit memuat pengaduan lengkap atau tidak lengkap;
e. pengaduan yang tidak lengkap
harus dilengkapi oleh pengadu paling lambat 30 (tiga puluh) hari kerja sejak pengadu
menerima tanggapan sebagaimana dimaksud pada huruf d dan jika melebihi batas
waktu tersebut, pengaduan dianggap dibatalkan;
f. pejabat/lembaga penyelesaian
sengketa Data Pribadi atas kegagalan perlindungan kerahasiaan Data Pribadi wajib
menangani penyelesaian pengaduan mulai 14 (empat belas) hari kerja sejak
pengaduan diterima lengkap;
g. penyelesaian sengketa atas
dasar pengaduan lengkap tersebut dilakukan secara musyawarah atau melalui upaya
penyelesaian alternatif lainnya sesuai dengan ketentuan peraturan
perundang-undangan; dan
h. pejabat/lembaga penyelesaian
sengketa Data Pribadi atas kegagalan perlindungan kerahasiaan Data Pribadi yang
menangani pengaduan dapat memberikan rekomendasi kepada Menteri untuk
penjatuhan sanksi administratif kepada Penyelenggara Sistem Elektronik meskipun
pengaduan dapat atau tidak dapat diselesaikan secara musyawarah atau melalui
upaya penyelesaian alternatif lainnya. [Note SHIETRA & PARTNERS: Artinya,
gugatan perdata ganti kerugian akibat penyalahgunaan data pribadi dapat
diajukan secara paralel.]
Pasal 32
(1) Dalam upaya penyelesaian
sengketa secara musyawarah atau melalui upaya penyelesaian alternatif lainnya
belum mampu menyelesaikan sengketa atas kegagalan perlindungan kerahasiaan Data
Pribadi, setiap Pemilik Data Pribadi dan Penyelenggara Sistem Elektronik dapat mengajukan gugatan atas terjadinya
kegagalan perlindungan rahasia Data Pribadi.
(2) Gugatan sebagaimana
dimaksud pada ayat (1) hanya berupa gugatan perdata dan diajukan
sesuai dengan ketentuan peraturan perundang-undangan. [Note SHIETRA &
PARTNERS: Data pribadi dalam sistem elektronik, merupakan barang tidak berwujud
(intangible good). Namun Peraturan
Kominfo ini telah mengunci tindakan semacam pencurian atau penggelapan data
pribadi sebagai perbuatan perdata belaka. Ketentuan ini berpotensi diajukan uji
materiil oleh anggota masyarakat.]
Pasal 33
(1) Jika dalam proses penegakan
hukum oleh aparat penegak hukum sesuai dengan ketentuan peraturan perundang-undangan
yang berwenang harus melakukan penyitaan, maka yang dapat disita hanya Data
Pribadi yang terkait kasus hukum tanpa harus menyita seluruh Sistem
Elektroniknya. [Note SHIETRA & PARTNERS: Menjadi absurb, sita semacam apa
yang dapat dilakukan terhadap data elektronik, sementara perangkat keras
penyimpannya tidak dibenarkan untuk turut disita agar tidak semakin jauh disalahgunakan.]
(2) Penyelenggara Sistem
Elektronik yang menyediakan, menyimpan, dan/atau mengelola Data Pribadi yang
disita sebagaimana dimaksud pada ayat (1) dilarang melakukan tindakan apa pun
yang dapat mengakibatkan berubah atau hilangnya Data Pribadi tersebut dan tetap
wajib menjaga keamanan atau memberikan perlindungan rahasia Data Pribadi dalam
Sistem Elektronik yang dikelolanya.
Pasal 35
(1) Pengawasan terhadap
pelaksanaan Peraturan Menteri ini dilaksanakan oleh Menteri dan/atau pimpinan
Intansi Pengawas dan Pengatur Sektor.
(2) Pengawasan yang
dilaksanakan Menteri sebagaimana dimaksud pada ayat (1) meliputi pengawasan secara
langsung maupun tidak langsung.
(3) Menteri berwenang meminta
data dan informasi dari Penyelenggara Sistem Elektronik dalam rangka perlindungan
Data Pribadi.
(4) Permintaan data dan
informasi sebagaimana dimaksud pada ayat (3) dapat dilakukan secara berkala
atau sewaktu-waktu apabila diperlukan.
(5) Menteri mendelegasikan
kewenangan pengawasan kepada Direktur Jenderal.
Pasal 36
(1) Setiap Orang yang
memperoleh, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan,
mengirimkan, dan/atau menyebarluaskan Data Pribadi tanpa hak atau tidak sesuai
dengan ketentuan dalam Peraturan Menteri ini atau peraturan
perundang-undangan lainnya dikenai sanksi administratif sesuai dengan
ketentuan peraturan perundang-undangan berupa:
a. peringatan lisan;
b. peringatan tertulis;
c. penghentian sementara
kegiatan; dan/atau
d. pengumuman di situs dalam
jaringan (website online).
(2) Ketentuan mengenai tata
cara pelaksanaan sanksi administratif sebagaimana dimaksud pada ayat (1) diatur
dengan Peraturan Menteri.
(3) Sanksi administratif
diberikan oleh menteri atau pimpinan instansi pengawas dan pengatur sektor
terkait sesuai dengan ketentuan peraturan perundang-undangan.
(4) Pengenaan sanksi oleh
pimpinan instansi pengawas dan pengatur sektor terkait sebagaimana dimaksud
pada ayat (3) dilakukan setelah berkoordinasi dengan Menteri.
Pasal 37
(1) Jika Pemilik Data Pribadi
merupakan orang yang termasuk dalam kategori anak sesuai dengan
ketentuan peraturan perundang-undangan, pemberian Persetujuan yang dimaksud
dalam Peraturan Menteri ini dilakukan oleh orang tua atau wali dari anak
yang bersangkutan.
(2) Orang tua sebagaimana
dimaksud pada ayat (1) merupakan ayah atau ibu kandung anak yang bersangkutan
sesuai dengan ketentuan peraturan perundang-undangan.
(3) Wali sebagaimana dimaksud
pada ayat (1) merupakan orang yang memiliki kewajiban mengurus anak yang bersangkutan
sebelum anak itu dewasa sesuai dengan ketentuan peraturan perundang-undangan.
Pasal 38
Penyelenggara Sistem Elektronik
yang telah menyediakan, menyimpan, dan mengelola Data Pribadi sebelum Peraturan
Menteri ini berlaku harus tetap menjaga kerahasiaan Data Pribadi yang
dikelolanya dan menyesuaikan dengan Peraturan Menteri ini paling lama 2 (dua)
tahun.
© SHIETRA & PARTNERS Copyright.