PERATURAN MENTERI KOMUNIKASI DAN INFORMATIKA REPUBLIK INDONESIA NOMOR 20 TAHUN 2016 TENTANG PERLINDUNGAN DATA PRIBADI DALAM SISTEM ELEKTRONIK
DENGAN RAHMAT TUHAN YANG MAHA ESA MENTERI KOMUNIKASI DAN INFORMATIKA REPUBLIK INDONESIA, Menimbang : bahwa untuk melaksanakan ketentuan Pasal 15 ayat (3) Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, perlu menetapkan Peraturan Menteri Komunikasi dan Informatika tentang Perlindungan Data Pribadi dalam Sistem Elektronik; Mengingat : 1. Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (Lembaran Negara Republik Indonesia Tahun 2008 Nomor 58, Tambahan Lembaran Negara Republik Indonesia Nomor 4843); 2. Undang-Undang Nomor 39 Tahun 2008 tentang Kementerian Negara (Lembaran Negara Republik Indonesia Tahun 2008 Nomor 166, Tambahan Lembaran Negara Republik Indonesia Nomor 4916); 3. Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (Lembaran Negara Republik Indonesia Tahun 2012 Nomor 189, Tambahan Lembaran Negara Republik Indonesia Nomor 5348); 4. Peraturan Presiden Nomor 7 Tahun 2015 tentang Organisasi Kementerian Negara (Lembaran Negara Republik Indonesia Tahun 2015 Nomor 8); 5. Peraturan Presiden Nomor 54 Tahun 2015 tentang Kementerian Komunikasi dan Informatika (Lembaran Negara Republik Indonesia Tahun 2015 Nomor 96); 6. Peraturan Menteri Komunikasi dan Informatika Nomor 1 Tahun 2016 tentang Organisasi dan Tata Kerja Kementerian Komunikasi dan Informatika (Berita Negara Republik Indonesia Tahun 2016 Nomor 103); MEMUTUSKAN: Menetapkan : PERATURAN MENTERI KOMUNIKASI DAN INFORMATIKA TENTANG PERLINDUNGAN DATA PRIBADI DALAM SISTEM ELEKTRONIK.
1. Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya. 2. Data Perseorangan Tertentu adalah setiap keterangan yang benar dan nyata yang melekat dan dapat diidentifikasi, baik langsung maupun tidak langsung, pada masing-masing individu yang pemanfaatannya sesuai ketentuan peraturan perundang-undangan. 3. Pemilik Data Pribadi adalah individu yang padanya melekat Data Perseorangan Tertentu. 4. Persetujuan Pemilik Data Pribadi yang selanjutnya disebut Persetujuan adalah pernyataan secara tertulis baik secara manual dan/atau elektronik yang diberikan oleh Pemilik Data Pribadi setelah mendapat penjelasan secara lengkap mengenai tindakan perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, dan penyebarluasan serta kerahasiaan atau ketidakrahasiaan Data Pribadi. 5. Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan informasi elektronik. 6. Penyelenggara Sistem Elektronik adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik secara sendiri-sendiri maupun bersama-sama kepada Pengguna Sistem Elektronik untuk keperluan dirinya dan/atau keperluan pihak lain. 7. Pengguna Sistem Elektronik yang selanjutnya disebut Pengguna adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang memanfaatkan barang, jasa, fasilitas, atau informasi yang disediakan oleh Penyelenggara Sistem Elektronik. 8. Badan Usaha adalah perusahaan perseorangan atau perusahaan persekutuan, baik yang berbadan hukum maupun yang tidak berbadan hukum. 9. Menteri adalah menteri yang menyelenggarakan urusan pemerintahan di bidang komunikasi dan informatika. 10. Direktur Jenderal adalah direktur jenderal yang tugas dan fungsinya di bidang aplikasi informatika.
a. penghormatan terhadap Data Pribadi sebagai privasi; b. Data Pribadi bersifat rahasia sesuai Persetujuan dan/atau berdasarkan ketentuan peraturan perundang-undangan; c. berdasarkan Persetujuan; d. relevansi dengan tujuan perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, dan penyebarluasan; e. kelaikan Sistem Elektronik yang digunakan; f. iktikad baik untuk segera memberitahukan secara tertulis kepada Pemilik Data Pribadi atas setiap kegagalan perlindungan Data Pribadi; g. ketersediaan aturan internal pengelolaan perlindungan Data Pribadi; h. tanggung jawab atas Data Pribadi yang berada dalam penguasaan Pengguna; i. kemudahan akses dan koreksi terhadap Data Pribadi oleh Pemilik Data Pribadi; dan j. keutuhan, akurasi, dan keabsahan serta kemutakhiran Data Pribadi.
a. perolehan dan pengumpulan; b. pengolahan dan penganalisisan; c. penyimpanan; d. penampilan, pengumuman, pengiriman, penyebarluasan, dan/atau pembukaan akses; dan e. pemusnahan.
a. meningkatkan kesadaran sumber daya manusia di lingkungannya untuk memberikan perlindungan Data Pribadi dalam Sistem Elektronik yang dikelolanya; dan b. mengadakan pelatihan pencegahan kegagalan perlindungan Data Pribadi dalam Sistem Elektronik yang dikelolanya bagi sumber daya manusia di lingkungannya.
Penyelenggara Sistem Elektronik yang melakukan proses sebagaimana dimaksud dalam Pasal 3 wajib menyediakan formulir persetujuan dalam Bahasa Indonesia untuk meminta Persetujuan dari Pemilik Data Pribadi yang dimaksud.
a. kerahasiaan atau ketidakrahasiaan Data Pribadi; dan b. perubahan, penambahan, atau pembaruan Data Pribadi.
a. setiap Orang yang melakukan perolehan dan pengumpulan Data Pribadi; dan b. Penyelenggara Sistem Elektronik; harus menjaga kerahasiaan Data Pribadi tersebut.
a. memiliki kemampuan interoperabilitas dan kompatibilitas; dan b. menggunakan perangkat lunak (software) yang legal.
Ketentuan sebagaimana dimaksud dalam Pasal 12 ayat (2) tidak berlaku jika Data Pribadi yang diolah dan dianalisis tersebut berasal dari Data Pribadi yang telah ditampilkan atau diumumkan secara terbuka oleh Sistem Elektronik untuk pelayanan publik.
Data Pribadi yang diolah dan dianalisis harus Data Pribadi yang telah diverifikasi keakuratannya.
a. sesuai dengan ketentuan peraturan perundang-undangan yang mengatur kewajiban jangka waktu penyimpanan Data Pribadi pada masing-masing Instansi Pengawas dan Pengatur Sektor; atau b. paling singkat 5 (lima) tahun, jika belum terdapat ketentuan peraturan perundang-undangan yang secara khusus mengatur untuk itu.
Jika Pemilik Data Pribadi tidak lagi menjadi Pengguna, Penyelenggara Sistem Elektronik wajib menyimpan Data Pribadi tersebut sesuai batas waktu sebagaimana dimaksud dalam Pasal 15 ayat (2) terhitung sejak tanggal terakhir Pemilik Data Pribadi menjadi Pengguna.
Jika waktu penyimpanan Data Pribadi telah melebihi batas waktu sebagaimana dimaksud dalam Pasal 15 ayat (2), Data Pribadi dalam Sistem Elektronik dapat dihapuskan kecuali Data Pribadi tersebut masih akan dipergunakan atau dimanfaatkan sesuai dengan tujuan awal perolehan dan pengumpulannya.
Jika Pemilik Data Pribadi meminta penghapusan Data Perseorangan Tertentu miliknya, permintaan penghapusan tersebut dilakukan sesuai dengan ketentuan peraturan perundang-undangan.
a. atas Persetujuan kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan; dan b. setelah diverifikasi keakuratan dan kesesuaian dengan tujuan perolehan dan pengumpulan Data Pribadi tersebut.
a. berkoordinasi dengan Menteri atau pejabat/lembaga yang diberi wewenang untuk itu; dan b. menerapkan ketentuan peraturan perundang-undangan mengenai pertukaran Data Pribadi lintas batas negara.
a. melaporkan rencana pelaksanaan pengiriman Data Pribadi, paling sedikit memuat nama jelas negara tujuan, nama jelas subjek penerima, tanggal pelaksanaan, dan alasan/tujuan pengiriman; b. meminta advokasi, jika diperlukan; dan c. melaporkan hasil pelaksanaan kegiatan.
a. telah melewati ketentuan jangka waktu penyimpanan Data Pribadi dalam Sistem Elektronik berdasarkan Peraturan Menteri ini atau sesuai dengan ketentuan peraturan perundang-undangan lainnya yang secara khusus mengatur di masing-masing Instansi Pengawas dan Pengatur Sektor untuk itu; atau b. atas permintaan Pemilik Data Pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan.
a. atas kerahasiaan Data Pribadinya; b. mengajukan pengaduan dalam rangka penyelesaian sengketa Data Pribadi atas kegagalan perlindungan kerahasiaan Data Pribadinya oleh Penyelenggara Sistem Elektronik kepada Menteri; c. mendapatkan akses atau kesempatan untuk mengubah atau memperbarui Data Pribadinya tanpa menganggu sistem pengelolaan Data Pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan; d. mendapatkan akses atau kesempatan untuk memperoleh historis Data Pribadinya yang pernah diserahkan kepada Penyelenggara Sistem Elektronik sepanjang masih sesuai dengan ketentuan peraturan perundang-undangan; dan e. meminta pemusnahan Data Perseorangan Tertentu miliknya dalam Sistem Elektronik yang dikelola oleh Penyelenggara Sistem Elektronik, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan.
a. menjaga kerahasiaan Data Pribadi yang diperoleh, dikumpulkan, diolah, dan dianalisisnya; b. menggunakan Data Pribadi sesuai dengan kebutuhan Pengguna saja; c. melindungi Data Pribadi beserta dokumen yang memuat Data Pribadi tersebut dari tindakan penyalahgunaan; dan d. bertanggung jawab atas Data Pribadi yang terdapat dalam penguasaannya, baik penguasaan secara organisasi yang menjadi kewenangannya maupun perorangan, jika terjadi tindakan penyalahgunaan.
a. melakukan sertifikasi Sistem Elektronik yang dikelolanya sesuai dengan ketentuan peraturan perundang-undangan; b. menjaga kebenaran, keabsahan, kerahasiaan, keakuratan dan relevansi serta kesesuaian dengan tujuan perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, penyebarluasan, dan pemusnahan Data Pribadi; c. memberitahukan secara tertulis kepada Pemilik Data Pribadi jika terjadi kegagalan perlindungan rahasia Data Pribadi dalam Sistem Elektronik yang dikelolanya, dengan ketentuan pemberitahuan sebagai berikut: 1. harus disertai alasan atau penyebab terjadinya kegagalan perlindungan rahasia Data Pribadi; 2. dapat dilakukan secara elektronik jika Pemilik Data Pribadi telah memberikan Persetujuan untuk itu yang dinyatakan pada saat dilakukan perolehan dan pengumpulan Data Pribadinya; 3. harus dipastikan telah diterima oleh Pemilik Data Pribadi jika kegagalan tersebut mengandung potensi kerugian bagi yang bersangkutan; dan 4. pemberitahuan tertulis dikirimkan kepada Pemilik Data Pribadi paling lambat 14 (empat belas) hari sejak diketahui adanya kegagalan tersebut; d. memiliki aturan internal terkait perlindungan Data Pribadi yang sesuai dengan ketentuan peraturan perundang-undangan; e. menyediakan rekam jejak audit terhadap seluruh kegiatan penyelenggaraan Sistem Elektronik yang dikelolanya; f. memberikan opsi kepada Pemilik Data Pribadi mengenai Data Pribadi yang dikelolanya dapat/atau tidak dapat digunakan dan/atau ditampilkan oleh/pada pihak ketiga atas Persetujuan sepanjang masih terkait dengan tujuan perolehan dan pengumpulan Data Pribadi; g. memberikan akses atau kesempatan kepada Pemilik Data Pribadi untuk mengubah atau memperbarui Data Pribadinya tanpa menganggu sistem pengelolaan Data Pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan; h. memusnahkan Data Pribadi sesuai dengan ketentuan dalam Peraturan Menteri ini atau ketentuan peraturan perundang-undangan lainnya yang secara khusus mengatur di masing-masing Instansi Pengawas dan Pengatur Sektor untuk itu; dan i. menyediakan narahubung (contact person) yang mudah dihubungi oleh Pemilik Data Pribadi terkait pengelolaan Data Pribadinya.
a. tidak dilakukannya pemberitahuan secara tertulis atas kegagalan perlindungan rahasia Data Pribadi oleh Penyelenggara Sistem Elektronik kepada Pemilik Data Pribadi atau Penyelenggara Sistem Elektronik lainnya yang terkait dengan Data Pribadi tersebut, baik yang berpotensi maupun tidak berpotensi menimbulkan kerugian; atau b. telah terjadinya kerugian bagi Pemilik Data Pribadi atau Penyelenggara Sistem Elektronik lainnya yang terkait dengan kegagalan perlindungan rahasia Data Pribadi tersebut, meskipun telah dilakukan pemberitahuan secara tertulis atas kegagalan perlindungan rahasia Data Pribadi namun waktu pemberitahuannya yang terlambat.
a. pengaduan dilakukan paling lambat 30 (tiga puluh) hari kerja sejak pengadu mengetahui informasi sebagaimana dimaksud dalam Pasal 29 ayat (3) huruf a atau huruf b; b. pengaduan disampaikan secara tertulis memuat: 1. nama dan alamat pengadu; 2. alasan atau dasar pengaduan; 3. permintaan penyelesaian masalah yang diadukan; dan 4. tempat pengaduan, waktu penyampaian pengaduan, dan tanda tangan pengadu. c. pengaduan harus dilengkapi dengan bukti-bukti pendukung; d. pejabat/tim penyelesaian sengketa Data Pribadi atas kegagalan perlindungan kerahasiaan Data Pribadi wajib menanggapi pengaduan paling lambat 14 (empat belas) hari kerja sejak pengaduan diterima yang paling sedikit memuat pengaduan lengkap atau tidak lengkap; e. pengaduan yang tidak lengkap harus dilengkapi oleh pengadu paling lambat 30 (tiga puluh) hari kerja sejak pengadu menerima tanggapan sebagaimana dimaksud pada huruf d dan jika melebihi batas waktu tersebut, pengaduan dianggap dibatalkan; f. pejabat/lembaga penyelesaian sengketa Data Pribadi atas kegagalan perlindungan kerahasiaan Data Pribadi wajib menangani penyelesaian pengaduan mulai 14 (empat belas) hari kerja sejak pengaduan diterima lengkap; g. penyelesaian sengketa atas dasar pengaduan lengkap tersebut dilakukan secara musyawarah atau melalui upaya penyelesaian alternatif lainnya sesuai dengan ketentuan peraturan perundang-undangan; dan h. pejabat/lembaga penyelesaian sengketa Data Pribadi atas kegagalan perlindungan kerahasiaan Data Pribadi yang menangani pengaduan dapat memberikan rekomendasi kepada Menteri untuk penjatuhan sanksi administratif kepada Penyelenggara Sistem Elektronik meskipun pengaduan dapat atau tidak dapat diselesaikan secara musyawarah atau melalui upaya penyelesaian alternatif lainnya.
a. pengertian Data Pribadi; b. hakikat Data Pribadi yang bersifat privasi; c. pengertian Persetujuan dan konsekuensinya; d. pengertian Sistem Elektronik dan mekanismenya; e. hak Pemilik Data Pribadi, kewajiban Pengguna, dan kewajiban Penyelenggara Sistem Elektronik; f. ketentuan mengenai penyelesaian sengketa jika terjadi kegagalan perlindungan rahasia Data Pribadi oleh Penyelenggara Sistem Elektronik; dan g. ketentuan peraturan perundang-undangan lainnya yang terkait dengan perlindungan Data Pribadi dalam Sistem Elektronik.
a. peringatan lisan; b. peringatan tertulis; c. penghentian sementara kegiatan; dan/atau d. pengumuman di situs dalam jaringan (website online).
Penyelenggara Sistem Elektronik yang telah menyediakan, menyimpan, dan mengelola Data Pribadi sebelum Peraturan Menteri ini berlaku harus tetap menjaga kerahasiaan Data Pribadi yang dikelolanya dan menyesuaikan dengan Peraturan Menteri ini paling lama 2 (dua) tahun.
Peraturan Menteri ini mulai berlaku pada tanggal diundangkan.
Ditetapkan di Jakarta pada tanggal 7 November 2016 MENTERI KOMUNIKASI DAN INFORMATIKA REPUBLIK INDONESIA, ttd. RUDIANTARA Diundangkan di Jakarta pada tanggal 1 Desember 2016 DIREKTUR JENDERAL PERATURAN PERUNDANG-UNDANGAN KEMENTERIAN HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA, ttd. WIDODO EKATJAHJANA BERITA NEGARA REPUBLIK INDONESIA TAHUN 2016 NOMOR 1829 Salinan sesuai dengan aslinya Kementerian Komunikasi dan Informatika Kepala Biro Hukum, Bertiana Sari