An unprecedented regulation that governs legal privacy policy and protection of electronic personal data in Indonesia (T...
Update: December 2016
PERATURAN MENTERI KOMUNIKASI DAN INFORMATIKA REPUBLIK INDONESIA
REGULATION OF THE MINISTER OF COMMUNICATIONS AND INFORMATICS OF THE REPUBLIC OF INDONESIA
NOMOR 20 TAHUN 2016
NUMBER 20 OF 2016
TENTANG
CONCERNING
PERLINDUNGAN DATA PRIBADI DALAM SISTEM ELEKTRONIK
PROTECTION OF PERSONAL DATA IN THE ELECTRONIC SYSTEM
Daftar Isi / Table of Contents Pasal / Article 1‒2 Chap. I: GENERAL PROVISIONS PROVISIONS
Bab I: KETENTUAN KETENTUAN UMUM Bab II: PERLINDUNGAN PERLINDUNGAN
3 ‒ 25
-Bagian Kesatu: Umum
3‒6
Chap. II: PROTECTION -Part One: General
-Bagian Kedua: Perolehan dan Pengumpulan Data Pribadi
7 ‒ 11
-Part Two: Obtaining and Collection of Personal Data
-Bagian Ketiga: Pengolahan dan Penganalisisan Data Pribadi
12 ‒ 14
-Part Three: Processing and Analysis of Personal Data
-Bagian Keempat: Penyimpanan Data Pribadi
15 ‒ 20
-Part Four: Storage of Personal Data
-Bagian Kelima: Penampilan, Pengumuman, Pengiriman, Penyebarluasan, dan/atau Pembukaan Akses Data Pribadi
21 ‒ 24
-Part Five: Display, Publication, Transmission, Dissemination, and/or Allowance of Access to Personal Data
-Bagian Keenam: Pemusnahan Data Pribadi
25
-Part Six: Destruction of Personal Data
Bab III: HAK PEMILIK DATA PRIBADI
26
Chap. III: RIGHTS OF DATA SUBJECTS
Bab IV: KEWAJIBAN PENGGUNA
27
Chap. IV: OBLIGATIONS OF USERS
Bab V: KEWAJIBAN PENYELENGGARA SISTEM ELEKTRONIK ELEKTRONIK
28
Chap. V: OBLIGATIONS OF ELECTRONIC SYSTEM PROVIDERS
Bab VI: PENYELESAIAN PENYELESAIAN SENGKETA
29 ‒ 33
Chap. VI: DISPUTE RESOLUTION
Bab VII: PERAN PEMERINTAH DAN MASYARAKAT
34
Chap. VII: GOVERNMENT AND PUBLIC PARTICIPATION
Bab VIII: PENGAWASAN PENGAWASAN
35
Chap. VIII: SUPERVISION SUPERVISION
Bab IX: SANKSI ADMINISTRATIF ADMINISTRATIF
36
Chap. IX: ADMINISTRATIVE ADMINISTRATIVE SANCTIONS
Bab X: KETENTUAN LAIN
37
Chap. X: MISCELLANEOUS PROVISIONS
Bab XI: KETENTUAN PERALIHAN
38
Chap. XI: TRANSITIONAL PROVISIONS
Bab XII: KETENTUAN PENUTUP
39
Chap. XII: CONCLUDING PROVISIONS
Translated by: Wishnu Basuki
[email protected]
Primary reading materials to which this translation conforms: ● CU 108 Convention for the protection of individuals with regard to automatic processing of personal data (Council of Europe), Jan 28, 1981 ● E/CN.4/1990/72 Guidelines concerning computerized personal data files (United Nations), Feb 20, 1990 ● Directive 95/46/EC Protection of individuals with regard to the processing of personal data and on the free movement of such data, Oct 24, 1995 (European Union)
PERATURAN MENTERI KOMUNIKASI DAN INFORMATIKA REPUBLIK INDONESIA
REGULATION OF THE MINISTER OF COMMUNICATIONS AND INFORMATICS OF THE REPUBLIC OF INDONESIA
NOMOR 20 TAHUN 2016
NUMBER 20 OF 2016
TENTANG
CONCERNING
PERLINDUNGAN DATA PRIBADI DALAM SISTEM ELEKTRONIK
PROTECTION OF PERSONAL DATA IN THE ELECTRONIC SYSTEM
DENGAN RAHMAT TUHAN YANG MAHA ESA
WITH THE BLESSING OF GOD ALMIGHTY
MENTERI KOMUNIKASI DAN INFORMATIKA REPUBLIK INDONESIA,
THE MINISTER OF COMMUNICATIONS AND INFORMATICS OF THE REPUBLIC OF INDONESIA,
Menimbang:
Considering:
bahwa untuk melaksanakan ketentuan Pasal 15 that to give effect to the provisions of Article 15 ayat (3) Peraturan Pemerintah Nomor 82 Tahun section (3) of Regulation of the Government 2012 tentang Penyelenggaraan Sistem dan Number 82 of 2012 concerning Electronic System Syste m Transaksi Elektronik, perlu menetapkan Peraturan and Transactions, it is necessary to issue Menteri Komunikasi dan Informatika tentang Regulation of the Minister of Communications Perlindungan Data Pribadi dalam Sistem and Informatics concerning Protection of Personal Elektronik; Data in the Electronic System; Mengingat:
Bearing in Mind:
1.
Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (Lembaran Negara Republik Indonesia Tahun 2008 Nomor 58, Tambahan Lembaran Negara Republik Indonesia Nomor 4843);
1.
Law Number 11 of 2008 concerning Electronic Information and Transactions (State Gazette of the Republic of Indonesia Number 58 of 2008, Supplement to the State Gazette of the Republic of Indonesia Number 4843);
2.
Undang-Undang Nomor 39 Tahun 2008 tentang Kementerian Negara (Lembaran Negara Republik Indonesia Tahun 2008 Nomor 166, Tambahan Lembaran Negara Republik Indonesia Nomor 4916);
2.
Law Number 39 of 2008 concerning The State Ministries (State Gazette of the Republic of Indonesia Number 166 of 2008, Supplement to the State Gazette of the Republic of Indonesia Number 4916);
3.
Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (Lembaran Negara Republik Indonesia Tahun 2012 Nomor 189,
3.
Regulation of the Government Number 82 of 2012 concerning Electronic System and Transactions (State Gazette of the Republic of Indonesia Number 189 of 2012, Supplement 1
Tambahan Lembaran Indonesia Nomor 5348);
Negara
Republik
to the State Gazette of the Republic of Indonesia Number 5348);
4.
Peraturan Presiden Nomor 7 Tahun 2015 2015 tentang Organisasi Kementerian Negara (Lembaran Negara Republik Indonesia Tahun 2015 Nomor 8);
4.
Regulation of the President Number 7 of 2015 concerning Organization of the State Ministries (State Gazette of the Republic of Indonesia Number 8 of 2015);
5.
Peraturan Presiden Nomor 54 Tahun Tahun 2015 2015 tentang Kementerian Komunikasi dan Informatika (Lembaran Negara Republik Indonesia Tahun 2015 Nomor 96);
5.
Regulation of the President Number Number 54 of 2015 concerning The Ministry of Communications and Informatics (State Gazette of the Republic of Indonesia Number 96 of 2015);
6.
Peraturan Menteri Komunikasi dan Informatika Nomor 1 Tahun 2016 tentang Organisasi dan Tata Kerja Kementerian Komunikasi dan Informatika (Berita Negara Republik Indonesia Tahun 2016 Nomor 103);
6.
Regulation of the Minister of Communications and Informatics Number 1 of 2016 concerning Organization and Working System of the Ministry of Communications and Informatics (State Gazette of the Republic of Indonesia Number 103 of 2016);
MEMUTUSKAN: Menetapkan:
PERATURAN MENTERI KOMUNIKASI DAN INFORMATIKA TENTANG PERLINDUNGAN DATA PRIBADI DALAM SISTEM ELEKTRONIK.
HAS DECIDED: To issue:
REGULATION OF THE MINISTER OF COMMUNICATIONS AND INFORMATICS CONCERNING PROTECTION OF PERSONAL DATA IN THE ELECTRONIC SYSTEM.
BAB I
CHAPTER I
KETENTUAN UMUM
GENERAL PROVISIONS
Pasal 1
Article 1
Dalam Peraturan Menteri ini yang dimaksud dengan:
In this Regulation of the Minister:
1.
Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.
1.
Personal Data means particular individual data that are stored, maintained and kept for correctness and protected for confidentiality.
2.
Data Perseorangan Tertentu adalah adalah setiap keterangan yang benar dan nyata yang melekat dan dapat diidentifikasi, baik langsung maupun tidak langsung, pada masing-masing individu yang pemanfaatannya sesuai ketentuan peraturan perundang-undangan.
2.
Particular Individual Data means any correct and actual information that relates to any individual and is identifiable directly or indirectly to be manipulated under the laws and regulations.
3.
Pemilik Pemilik Data Pribadi Pribadi adalah adalah individu individu yang yang
3.
Data Subject Subject means means any individual individual to whom 2
padanya melekat Data Perseorangan Tertentu. Tertentu.
Particular Individual Data relate.
4.
Persetujuan Pemilik Data Pribadi, yang selanjutnya disebut Persetujuan adalah pernyataan secara tertulis baik secara manual dan/atau elektronik yang diberikan oleh Pemilik Data Pribadi setelah mendapat penjelasan secara lengkap mengenai tindakan perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, dan penyebarluasan serta kerahasiaan atau ketidakrahasiaan Data Pribadi.
4.
Data Subject’s Consent, hereinafter referred to as Consent, means a manual and/or electronic written statement that is given by a Data Subject upon being fully informed of obtaining, collection, processing, analysis, storage, display, publication, transmission and dissemination as well as confidentiality or non-confidentiality of Personal Data.
5.
Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan informasi elektronik.
5.
Electronic System means a set of electronic devices and procedures that serve to prepare, collect, process, analyze, store, display, publish, transmit, and/or disseminate electronic information.
6.
Penyelenggara Sistem Elektronik adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik baik secara sendiri-sendiri maupun bersama-sama kepada Pengguna Sistem Elektronik untuk keperluan dirinya dan/atau keperluan pihak lain.
6.
Electronic System Provider means any Person, state administrator, Business Entity, and the public that provides, manages and/or operates the Electronic System, whether individually or collectively, to Electronic System Users for their own benefits and/or for the benefits of other parties.
7.
Pengguna Sistem Elektronik, yang selanjutnya disebut Pengguna adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang memanfaatkan barang, jasa, fasilitas, atau informasi yang disediakan oleh Penyelenggara Sistem Elektronik.
7.
Electronic System User, hereinafter referred to as User, means any Person, state administrator, Business Entity, and the public that uses the benefit of goods, services, facilities, or information that are made available by an Electronic System Provider.
8.
Badan Usaha adalah perusahaan perseorangan atau perusahaan persekutuan, baik yang berbadan hukum maupun yang tidak berbadan hukum.
8.
Business Entity means a sole proprietorship or partnership of both legal entity and nonlegal entity.
9.
Menteri adalah menteri yang menyelenggarakan urusan pemerintahan di bidang komunikasi dan informatika. informatika.
9.
Minister means the minister who is in charge of the administrative affairs in the field of communications and informatics.
10. Direktur Jenderal adalah direktur jenderal yang tugas dan fungsinya di bidang aplikasi informatika.
10. Director General means a director general whose duties and functions include informatics application.
Pasal 2
Article 2
(1) Perlindungan Data Pribadi dalam Sistem Elektronik mencakup perlindungan terhadap perolehan, pengumpulan, pengolahan,
(1) Protection of Personal Personal Data in the the Electronic System shall include protection against obtaining, collection, processing, analysis, 3
penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, penyebarluasan, dan pemusnahan Data Pribadi.
storage, display, publication, transmission, dissemination, and destruction of Personal Data.
(2) Dalam melaksanakan ketentuan sebagaimana sebagaimana dimaksud pada ayat (1) harus berdasarkan asas perlindungan Data Pribadi yang baik, yang meliputi:
(2) The provision provision of section (1) must be complied with within the good Personal Data protection principles that include:
a.
penghormatan terhadap sebagai privasi;
Data
Pribadi
a.
to have have respect respect for Personal Data as privacy;
b.
Data Pribadi bersifat rahasia sesuai Persetujuan dan/atau berdasarkan ketentuan peraturan perundangundangan;
b.
Personal Data are confidential in nature and subject to Consent and/or under the laws and regulations;
c.
berdasarkan Persetujuan;
c.
to be subject to Consent;
d.
relevansi dengan tujuan perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, dan penyebarluasan;
d.
to be relevant relevant to the purpose purpose for which which the Personal Data are obtained, collected, processed, analyzed, stored, displayed, published, transmitted and disseminated;
e.
kelaikan Sistem digunakan;
yang
e.
to use the viable Electronic System;
f.
iktikad baik untuk segera memberitahukan secara tertulis kepada Pemilik Data Pribadi atas setiap kegagalan perlindungan Data Pribadi;
f.
to act in good faith by promptly notifying the Data Subject in writing of any failure to protect Personal Data;
g.
ketersediaan aturan internal pengelolaan perlindungan Data Pribadi;
g.
to make available the internal regulations concerning Personal Data protection management;
h.
tanggung jawab atas Data Pribadi yang berada dalam penguasaan Pengguna; Pengguna;
h.
to be responsible for Personal Data held by Users;
i.
kemudahan akses dan koreksi terhadap Data Pribadi oleh Pemilik Data Pribadi; dan
i.
to allow Data Subjects easy access and correction to Personal Data; and
j.
keutuhan, akurasi, dan keabsahan serta kemutakhiran Data Pribadi.
j.
to have Personal Data integrated, accurate, and valid as well as updated.
Elektronik
(3) Privasi sebagaimana dimaksud pada ayat (2) huruf a merupakan kebebasan Pemilik Data Pribadi untuk menyatakan rahasia atau tidak menyatakan rahasia Data Pribadinya, kecuali ditentukan lain sesuai dengan ketentuan peraturan perundang-undangan. perundang-undangan.
(3) The privacy as referred referred to in section section (2) point (a) shall allow the Data Subject freedom to claim whether or not his/her Personal Data are confidential, unless provided otherwise by the laws and regulations.
4
BAB II
CHAPTER II
PERLINDUNGAN
PROTECTION
Bagian Kesatu
Part One
Umum
General
Pasal 3
Article 3
Perlindungan Data Pribadi dalam Elektronik dilakukan pada proses:
Sistem
Personal Data in the Electronic System shall be protected during the process of their:
a.
perolehan dan pengumpulan;
a.
obtaining and collection;
b.
pengolahan dan penganalisisan;
b.
processing and analysis;
c.
penyimpanan;
c.
storage;
d.
penampilan, pengumuman, pengiriman, penyebarluasan, dan/atau pembukaan akses; dan
d.
display, publication, transmission, dissemination and/or allowance of access; and
e.
pemusnahan Data Pribadi.
e.
destruction.
Pasal 4
Article 4
(1) Sistem Elektronik yang digunakan untuk proses sebagaimana dimaksud dalam Pasal 3 wajib tersertifikasi.
(1) The Electronic System that is used to process process Personal Data as referred to in Article 3 must be certified.
(2) Pelaksanaan tersertifikasi sebagaimana dimaksud pada ayat (1) sesuai dengan ketentuan peraturan perundang-undangan.
(2) Certification as referred to in section (1) (1) shall be made under the laws and regulations. regulations.
Pasal 5
Article 5
(1) Setiap Penyelenggara Penyelenggara Sistem Elektronik harus mempunyai aturan internal perlindungan Data Pribadi untuk melaksanakan proses sebagaimana dimaksud dalam Pasal 3.
(1) Any Electronic System Provider must have internal regulations to protect Personal Data to go through the process as referred to in Article 3.
(2) Setiap Penyelenggara Penyelenggara Sistem Elektronik harus menyusun aturan internal perlindungan Data Pribadi sebagai bentuk tindakan pencegahan untuk menghindari terjadinya kegagalan dalam perlindungan Data Pribadi yang dikelolanya.
(2) Any Electronic System Provider must prepare prepare internal regulations concerning protection of Personal Data to take any preventive measure against failure to protect Personal Data it manages.
(3) Penyusunan aturan internal sebagaimana dimaksud pada ayat (1) dan ayat (2) harus mempertimbangkan aspek penerapan teknologi, sumber daya manusia, metode, dan biaya serta mengacu pada ketentuan dalam Peraturan Menteri ini dan peraturan perundang-undangan lainnya lainnya yang terkait.
(3) Preparation for internal regulations as referred to in section (1) and section (2) must take into consideration aspects of technological application, human resources, methods, and costs, and refer to the provisions of this Regulation of the Minister and other relevant laws and regulations. 5
(4) Tindakan pencegahan lainnya untuk menghindari terjadinya kegagalan dalam perlindungan Data Pribadi yang dikelolanya harus dilakukan oleh setiap Penyelenggara Sistem Elektronik, paling sedikit berupa kegiatan:
(4) Other preventive measures measures against failure of Personal Data protection it manages must be taken by any Electronic System Provider by at least:
a.
meningkatkan kesadaran sumber daya manusia di lingkungannya untuk memberikan perlindungan Data Pribadi dalam Sistem Elektronik yang dikelolanya; dan
a.
raising the awareness of the internal internal human resources to give protection to the Personal Data in the Electronic System it manages; and
b.
mengadakan pelatihan pencegahan kegagalan perlindungan Data Pribadi dalam Sistem Elektronik yang dikelolanya bagi sumber daya manusia di lingkungannya.
b.
providing its internal human resources with training on prevention against failure to protect Personal Data in the Electronic System it manages.
Pasal 6
Article 6
Penyelenggara Sistem Elektronik yang melakukan Electronic System Providers who go through the proses sebagaimana dimaksud dalam Pasal 3 wajib processes as referred to in Article 3 must make menyediakan formulir persetujuan dalam bahasa available a consent form in the Indonesian Indonesia untuk meminta Persetujuan dari Pemilik language to seek Consent from the relevant Data Data Pribadi yang dimaksud. Subject. Bagian Kedua
Part Two
Perolehan dan Pengumpulan Data Pribadi
Obtaining and Collection of Personal Data
Pasal 7
Article 7
(1) Perolehan dan pengumpulan Data Pribadi oleh Penyelenggara Sistem Elektronik harus dibatasi pada informasi yang relevan dan sesuai dengan tujuannya serta harus dilakukan secara akurat.
(1) Obtaining and collection of Personal Data by Electronic System Providers must be limited to only information that is relevant to and within their purpose, and conducted in an accurate manner.
(2) Instansi Pengawas Pengawas dan Pengawas Sektor dapat menentukan informasi yang relevan dan sesuai dengan tujuannya sebagaimana dimaksud pada ayat (1).
(2) The Supervisory Agency and the Sectoral Supervisors may specify information that is relevant to and within their purpose as referred to in section (1).
Pasal 8
Article 8
(1) Dalam memperoleh dan mengumpulkan mengumpulkan Data Pribadi, Penyelenggara Sistem Elektronik harus menghormati Pemilik Data Pribadi atas Data Pribadinya yang bersifat privasi.
(1) Electronic System Providers Providers must, to obtain and collect Personal Data, have respect for the Data Subject’s privacy of his/her Personal Data.
(2) Penghormatan terhadap Pemilik Data Pribadi atas Data Pribadinya yang bersifat privasi sebagaimana dimaksud pada ayat (1) dilakukan melalui penyediaan pilihan dalam
(2) Electronic System Sys tem Providers shall have respect for the Data Subject’s privacy of his/her Personal Data by providing the Data Subject with options in the Electronic System 6
Sistem Elektronik untuk Pemilik Data Pribadi terhadap:
of:
a.
kerahasiaan atau ketidakrahasiaan Data Pribadi; dan
a.
the confidentiality or non-confidentiality of the Personal Data; and
b.
perubahan, penambahan, atau pembaruan Data Pribadi.
b.
the change, addition, or update of the Personal Data.
(3) Pilihan untuk Pemilik Data Pribadi terhadap kerahasiaan atau ketidakrahasiaan Data Pribadi sebagaimana dimaksud pada ayat (2) huruf a tidak berlaku jika peraturan perundang-undangan telah secara tegas menyatakan Data Pribadi yang secara khusus untuk beberapa elemennya dinyatakan bersifat rahasia.
(3) Options for the Data Subject of the confidentiality or non-confidentiality of Personal Data as referred to in section (2) point (a) shall not apply where there are laws l aws and regulations expressly providing that several elements of Personal Data are specifically claimed to be confidential.
(4) Pilihan untuk Pemilik Data Pribadi terhadap perubahan, penambahan, atau pembaruan Data Pribadi sebagaimana dimaksud pada ayat (2) hururf b untuk memberikan kesempatan bagi Pemilik Data Pribadi jika menghendaki pergantian Data Perseorangan Tertentu miliknya.
(4) Options for the Data Subject of the change, addition, or update of Personal Data as referred to in section (2) point (b) shall be to allow the Data Subject an opportunity to, if so inclined, revise his/her Particular Personal Data.
Pasal 9
Article 9
(1) Perolehan dan pengumpulan Data Pribadi oleh Penyelenggara Sistem Elektronik wajib berdasarkan Persetujuan atau berdasarkan ketentuan peraturan perundang-undangan.
(1) Obtaining and collection of Personal Data by Electronic System Providers must be made by Consent or under the laws and regulations.
(2) Pemilik Data D ata Pribadi P ribadi yang memberikan Persetujuan sebagaimana dimaksud pada ayat (1) dapat menyatakan Data Perseorangan Tertentu miliknya bersifat rahasia.
(2) A Data Subject Subject who gives Consent as referred referred to in section (1) may claim that his/her Particular Individual Data are confidential.
(3) Dalam hal Persetujuan sebagaimana sebagaimana dimaksud dimaksud pada ayat (2) tidak t idak termasuk Persetujuan atas pengungkapan kerahasiaan Data Pribadi, maka:
(3) If the Consent as referred to in section (2) does not include Consent to disclose confidential Personal Data:
a.
setiap orang yang melakukan perolehan dan pengumpulan Data Pribadi; dan
a.
any person who obtains and collects the Personal Data; and
b.
Penyelenggara Sistem Elektronik;
b.
Electronic System Providers;
harus menjaga kerahasiaan Data Pribadi tersebut.
must maintain the confidentiality of those Personal Data.
(4) Ketentuan menjaga kerahasiaan Data Pribadi bagi setiap Orang dan Penyelenggara Sistem Elektronik sebagaimana dimaksud pada ayat (3) juga berlaku terhadap Data Pribadi yang dinyatakan rahasia sesuai dengan ketentuan
(4) Maintenance of the confidentiality of Personal Data by any Person and Electronic System Provider as referred to in section (3) shall also apply to Personal Data that are claimed to be 7
peraturan perundang-undangan. perundang-undangan.
confidential under the laws and regulations. regulations.
Pasal 10
Article 10
(1) Data Pribadi yang diperoleh diperoleh dan dikumpulkan secara langsung harus diverifikasi ke Pemilik Data Pribadi.
(1) Personal Data that are directly obtained and collected must be verified with the Data Subject.
(2) Data Pribadi yang diperoleh diperoleh dan dikumpulkan secara tidak langsung harus diverifikasi berdasarkan hasil olahan berbagai sumber data.
(2) Personal Data that are obtained and collected indirectly must be verified with the various data sources by which the data are processed.
(3) Sumber data dalam perolehan dan pengumpulan Data Pribadi sebagaimana dimaksud pada ayat (2) harus memiliki dasar hukum yang sah.
(3) Data sources from which Personal Data are obtained and collected as referred to in section (2) must have a valid legal basis.
Pasal 11
Article 11
(1) Sistem Elektronik yang digunakan untuk menampung perolehan dan pengumpulan Data Pribadi harus:
(1) An Electronic System that is used to store Personal Data that are obtained and collected must:
a.
memiliki kemampuan kemampuan dan kompatibilitas; dan
interoperabilitas interoperabilitas
a.
have interoperability and compatibility performance; and
b.
menggunakan perangkat lunak ( software) yang legal.
b.
use legal software.
(2) Kemampuan interoperabilitas dan kompatibilitas sebagaimana dimaksud pada ayat (1) huruf a sesuai dengan ketentuan peraturan perundangundangan. perundangundangan.
(2) Interoperability and compatibility performance as referred to in section (1) point (a) shall comply with the laws and regulations.
(3) Interoperabilitas sebagaimana sebagaimana dimaksud pada ayat (2) merupakan kemampuan Sistem Elektronik yang berbeda untuk dapat bekerja secara terpadu.
(3) Interoperability as referred to in section section (2) shall be Electronic Systems with different performance that enable operating operating together.
(4) Kompatibilitas sebagaimana dimaksud pada ayat (2) merupakan kesesuaian Sistem Elektronik yang satu dengan Sistem Elektronik yang lainnya.
(4) Compatibility as referred to in section (2) shall be the compatibility of one Electronic System with another Electronic System.
Bagian Ketiga
Part Three
Pengolahan dan Penganalisisan Data Pribadi
Processing and Analysis of Personal Data
Pasal 12
Article 12
(1) Data Pribadi hanya dapat dapat diolah dan dianalisis sesuai kebutuhan Penyelenggara Sistem Elektronik yang telah dinyatakan secara jelas saat memperoleh dan mengumpulkannya.
(1) Personal Data may may be processed processed and analyzed as appropriate by Electronic System Providers upon giving full information when obtaining and collecting the data.
8
(2) Pengolahan dan penganalisisan penganalisisan Data Pribadi sebagaimana dimaksud pada ayat (1) dilakukan berdasarkan Persetujuan.
(2) Personal Data as referred to in section (1) shall be processed and analyzed by Consent.
Pasal 13
Article 13
Ketentuan sebagaimana dimaksud dalam Pasal 12 The provisions of Article 12 section (2) shall not ayat (2) tidak berlaku jika Data Pribadi yang apply if the Personal Data being processed and diolah dan dianalisis tersebut berasal dari Data analyzed originate in the Personal Data already Pribadi yang telah ditampilkan atau diumumkan publicly displayed or published in the public secara terbuka oleh Sistem Elektronik untuk interest by the Electronic System. pelayanan publik. Pasal 14
Article 14
Data Pribadi yang diolah dan dianalisis harus Data Pribadi yang telah diverifikasi keakuratannya.
Personal Data that are processed and analyzed must be Personal Data that have been verified for accuracy.
Bagian Keempat
Part Four
Penyimpanan Data Pribadi
Storage of Personal Data
Pasal 15
Article 15
(1) Data Pribadi yang disimpan dalam Sistem Elektronik harus Data Pribadi yang telah diverifikasi keakuratannya.
(1) Personal Data that are stored in the Electronic System must be Personal Data that have been verified for accuracy.
(2) Data Pribadi yang disimpan dalam Sistem Elektronik harus dalam bentuk data terenkripsi.
(2) Personal Data that are stored in the Electronic System must be encrypted data.
(3) Data Pribadi sebagaimana dimaksud pada ayat (1) wajib disimpan dalam Sistem Elektronik:
(3) Personal Data as referred to in section (1) must be stored in the Electronic System:
a.
sesuai dengan ketentuan peraturan perundang-undangan yang mengatur kewajiban jangka waktu penyimpanan Data Pribadi pada masing-masing Instansi Pengawas dan Pengatur Sektor; atau
a.
under the laws and regulations regulations that govern the obligatory Personal Data retention period by the Supervisory Agency and the Sectoral Supervisors respectively; or
b.
paling singkat 5 (lima) tahun, t ahun, jika belum terdapat ketentuan peraturan perundangundangan yang secara khusus mengatur untuk itu.
b.
for at least 5 (five) years, in case of no laws and regulations that specifically govern the retention period.
Pasal 16
Article 16
Jika Pemilik Data Pribadi tidak lagi menjadi Pengguna, Penyelenggara Sistem Elektronik wajib menyimpan Data Pribadi tersebut sesuai batas waktu sebagaimana dimaksud dalam Pasal 15 ayat (2) terhitung sejak tanggal terakhir Pemilik Data
If a Data Subject ceases to be a User, an Electronic System Provider must have the Personal Data stored within the time limit as referred to in Article 15 section (2) with effect from the last date 9
Pribadi menjadi Pengguna.
the Data Subject becomes a User.
Pasal 17
Article 17
(1) Pusat data (data center ) dan pusat pemulihan bencana (disaster recovery center ) Penyelenggara Sistem Elektronik untuk pelayanan publik yang digunakan untuk proses perlindungan Data Pribadi sebagaimana dimaksud dalam Pasal 3 wajib ditempatkan dalam wilayah negara Republik Indonesia.
(1) Data centers and disaster recovery centers belonging to public-interest Electronic System Providers that are used to process Personal Data protection as referred to in Article 3 must be stationed within the territory of the state of the Republic of Indonesia.
(2) Pusat data (data center ) sebagaimana dimaksud pada ayat (1) merupakan suatu fasilitas yang digunakan untuk menempatkan Sistem Elektronik dan komponen terkaitnya untuk keperluan penempatan, penyimpanan, dan pengolahan data.
(2) Data centers as referred to in section (1) (1) shall be the facilities at which the Electronic System and its related components are established for the purpose of data installation, storage and processing.
(3) Pusat pemulihan bencana ( disaster recovery center ) sebagaimana dimaksud pada ayat (1) merupakan suatu fasilitas yang digunakan untuk memulihkan kembali data atau informasi serta fungsi-fungsi penting Sistem Elektronik yang terganggu atau rusak akibat bencana yang disebabkan oleh alam dan/atau manusia.
(3) Disaster recovery centers as referred to in section (1) shall be the facilities at which data or information as well as the important Electronic System functions that are troubled or disabled by natural and/or man-made disasters are recovered.
Pasal 18
Article 18
(1) Penyimpanan Data Pribadi dalam Sistem Elektronik harus dilakukan sesuai dengan ketentuan mengenai prosedur dan sarana pengamanan Sistem Elektronik.
(1) Personal Data must be stored in the Electronic System under the procedures for and means of Electronic System security.
(2) Prosedur dan sarana pengamanan Sistem Elektronik sebagaimana dimaksud pada ayat (1) sesuai dengan ketentuan peraturan perundangundangan.
(2) Procedures for and means of Electronic System security as referred to in section (1) shall be established under the laws and regulations.
Pasal 19
Article 19
Jika waktu penyimpanan Data Pribadi telah melebihi batas waktu sebagaimana dimaksud dalam Pasal 15 ayat (2), Data Pribadi dalam Sistem Elektronik dapat dihapuskan kecuali Data Pribadi tersebut masih akan dipergunakan atau dimanfaatkan sesuai dengan tujuan awal perolehan dan pengumpulannya.
If the retention period of Personal Data has exceeded the time limit as referred to in Article 15 section (2), the Personal Data in the Electronic System may be erased unless such data will be used or manipulated to the original purpose for which they are obtained and collected.
Pasal 20
Article 20
Jika Pemilik Data Pribadi meminta penghapusan Data Perseorangan Tertentu miliknya, permintaan
If a Data Subject requests that his/her Particular Individual Data be erased, such a request for 10
penghapusan tersebut dilakukan sesuai dengan ketentuan peraturan perundang-undangan.
erasure shall be made under the laws and regulations.
Bagian Kelima
Part Five
Penampilan, Pengumuman, Pengiriman, Penyebarluasan, dan/atau Pembukaan Akses Data Pribadi
Display, Publication, Transmission, Dissemination and/or Allowance of Access to Personal Data
Pasal 21
Article 21
(1) Menampilkan, mengumumkan, mengumumkan, mengirimkan, menyebarluaskan, dan/atau membuka akses Data Pribadi dalam Sistem Elektronik hanya dapat dilakukan:
(1) Personal Data in the Electronic System may be displayed, published, transmitted, disseminated, and/or allowed for access only:
a.
atas Persetujuan kecuali ditentukan lain oleh ketentuan peraturan perundangundangan; dan
a.
by Consent unless provided otherwise by the laws and regulations; and
b.
setelah diverifikasi keakuratan kesesuaian Data Pribadi tersebut.
b.
upon the Personal Data being verified for accuracy and suitability.
dan
(2) Menampilkan, mengumumkan, mengumumkan, mengirimkan, menyebarluaskan, dan/atau membuka akses Data Pribadi dalam Sistem Elektronik sebagaimana dimaksud pada ayat (1) termasuk yang dilakukan antar Penyelenggara Sistem Elektronik, antar Penyelenggara Sistem Elektronik dan Pengguna, atau antar Pengguna.
(2) Section (1) shall include Personal Data in the Electronic System that are displayed, published, transmitted, disseminated, and/or allowed for access among the Electronic System Providers, between the Electronic System Providers and the Users, or among the Users.
Pasal 22
Article 22
(1) Pengiriman Data Pribadi yang dikelola oleh Penyelenggara Sistem Elektronik pada instansi pemerintah dan pemerintahan daerah serta masyarakat atau swasta yang berdomisili di dalam wilayah negara Republik Indonesia ke luar wilayah negara Republik Indonesia harus:
(1) Transmission of Personal Data that is managed by Electronic System Providers with the government agencies and regional government agencies or by the public or private parties domiciled within the territory of the state of the Republic of Indonesia out of the territory of the state of the Republic of Indonesia must be:
a.
berkoordinasi dengan Menteri atau pejabat/lembaga yang diberi wewenang untuk itu; dan
a.
coordinated with the Minister or the official/agency that is competent to do s o; and
b.
menerapkan ketentuan peraturan perundang-undangan mengenai pertukaran Data Pribadi lintas batas negara.
b.
subject to the laws and regulations concerning cross-border Personal Data exchange.
(2) Pelaksanaan koordinasi sebagaimana dimaksud pada ayat (1) huruf a berupa: a.
melaporkan melaporkan
rencana
pelaksanaan
(2) Coordination as referred to in section (1) point (a) shall be made by: a.
reporting reporting the Personal Data transmission 11
pengiriman Data Pribadi, paling sedikit memuat nama jelas negara tujuan, nama jelas subjek penerima, tanggal pelaksanaan, dan alasan/tujuan pengiriman;
plan specifying at least the full name of the country of destination, the full name of the recipient, the date of transmission, and reasons/purpose for which the Personal Data are transmitted;
b.
meminta advokasi, jika diperlukan; diperlukan; dan
b.
seeking advocacy where necessary; and
c.
melaporkan hasil pelaksanaan kegiatan.
c.
reporting the results of the activity.
Pasal 23
Article 23
(1) Untuk keperluan proses penegakan hukum, Penyelenggara Sistem Elektronik wajib memberikan Data Pribadi yang terdapat dalam Sistem Elektronik atau Data Pribadi yang dihasilkan oleh Sistem Elektronik atas permintaan yang sah dari aparat penegak hukum berdasarkan ketentuan peraturan perundang-undangan.
(1) For the purpose of law enforcement, Electronic System Providers must surrender Personal Data in the Electronic System or Personal Data that are generated by an Electronic System to, if lawfully demanded, law enforcement officers under the laws and regulations.
(2) Data Pribadi sebagaimana dimaksud pada ayat (1) merupakan Data Pribadi yang relevan dan sesuai dengan kebutuhan penegakan hukum.
(2) Personal Data as referred to in section (1) shall be Personal Data that are relevant to and required for law enforcement.
Pasal 24
Article 24
(1) Penggunaan dan pemanfaatan Data Pribadi yang ditampilkan, diumumkan, diterima, dan disebarluaskan oleh Penyelenggara Sistem Elektronik harus berdasarkan Persetujuan.
(1) Use and manipulation of of Personal Data that are displayed, published, received, and disseminated by Electronic System Providers must be subject to Consent.
(2) Penggunaan dan pemanfaatan Data Pribadi sebagaimana dimaksud pada ayat (1) harus sesuai dengan tujuan perolehan, pengumpulan, pengolahan, dan/atau penganalisisan Data Pribadi.
(2) Use and manipulation of Personal Data as referred to in section (1) must be suitable for the purpose for which the Personal Data are obtained, collected, processed, and/or analyzed.
Bagian Keenam
Part Six
Pemusnahan Data Pribadi
Destruction of Personal Data
Pasal 25
Article 25
(1) Pemusnahan Data Pribadi dalam Sistem S istem Elektronik hanya dapat dilakukan jika:
(1) Personal Data in the Electronic System may be destroyed only if:
a.
telah melewati ketentuan jangka waktu penyimpanan Data Pribadi dalam Sistem Elektronik berdasarkan Peraturan Menteri ini atau sesuai dengan ketentuan peraturan perundang-undangan lainnya yang secara khusus mengatur di masingmasing Instansi Pengawas dan Pengawas
a.
having exceeded the retention period of the Personal Data in the Electronic System under this Regulation of the Minister or under other laws and regulations that specifically govern the same in the Supervisory Agency and the Sectoral Supervisors respectively; or 12
Sektor untuk itu; atau b.
atas permintaan Pemilik Data Pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan. perundang-undangan.
b.
at the request of the Data Subject unless provided otherwise by the laws and regulations.
(2) Pemusnahan sebagaimana dimaksud pada ayat (1) harus menghilangkan sebagian atau keseluruhan dokumen terkait Data Pribadi, termasuk yang elektronik maupun nonelektronik yang dikelola oleh Penyelenggara Sistem Elektronik dan/atau Pengguna sehingga Data Pribadi tersebut tidak dapat ditampilkan kembali dalam Sistem Elektronik kecuali Pemilik Data Pribadi memberikan Data Pribadinya yang baru.
(2) Destruction as referred to in section (1) must remove all or any part of the documents that are associated with the Personal Data, whether or not electronic, that are managed by Electronic System Providers and/or Users in order to disable the display of the Personal Data in the Electronic System, unless the Data Subject provides his/her new Personal Data.
(3) Penghilangan sebagian atau keseluruhan berkas sebagaimana dimaksud pada ayat (2) dilakukan berdasarkan Persetujuan atau sesuai dengan ketentuan peraturan perundangundangan lainnya yang secara khusus mengatur di masing-masing sektor untuk itu.
(3) Removal of all or any part of the files as referred to in section (2) shall be made by Consent or under other laws and regulations that specifically govern the same for each sector.
BAB III
CHAPTER III
HAK PEMILIK DATA PRIBADI
RIGHTS OF DATA SUBJECTS
Pasal 26
Article 26
Pemilik Data Pribadi berhak:
A Data Subject shall have the right to:
a.
atas kerahasiaan Data Pribadinya;
a.
b.
mengajukan pengaduan dalam rangka b. penyelesaian sengketa Data Pribadi atas kegagalan perlindungan kerahasiaan Data Pribadinya oleh Penyelenggara Sistem Elektronik kepada Menteri;
file a complaint with the Minister to resolve a Personal Data dispute for failure of an Electronic System Provider to protect the confidentiality of his/her Personal Data;
c.
mendapatkan akses atau kesempatan untuk mengubah atau memperbarui Data Pribadinya tanpa menganggu sistem pengelolaan Data Pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan; perundang-undangan;
c.
have access or opportunity opportunity to change or update his/her Personal Data without interfering the Personal Data management system, unless provided otherwise by the laws and regulations;
d.
mendapatkan akses atau kesempatan untuk memperoleh historis Data Pribadinya yang pernah diserahkan kepada Penyelenggara Sistem Elektronik sepanjang masih sesuai dengan ketentuan peraturan perundangundangan; dan
d.
have access or opportunity to claim his/her Personal Data history he/she once delivered to the Electronic System Provider as long as within the laws and regulations; and
e.
meminta pemusnahan Data Perseorangan Tertentu miliknya dalam Sistem Elektronik yang dikelola oleh Penyelenggara Sistem
e.
request that his/her own Particular Individual Data in the Electronic System managed by the Electronic System Provider be destroyed,
confidentiality of his/her Personal Data;
13
Elektronik, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan.
unless provided otherwise by the laws and regulations.
BAB IV
CHAPTER IV
KEWAJIBAN PENGGUNA
OBLIGATIONS OF USERS
Pasal 27
Article 27
Pengguna wajib:
Users must: yang dan
a.
maintain the confidentiality of Personal Data he/she has obtained, collected, processed, and analyzed;
a.
menjaga kerahasiaan Data Pribadi Pribadi diperoleh, dikumpulkan, diolah, dianalisisnya;
b.
menggunakan Data Pribadi sesuai dengan b. kebutuhan Pengguna saja;
use Personal Data only as required by Users;
c.
melindungi Data Pribadi beserta dokumen yang memuat Data Pribadi tersebut dari tindakan penyalahgunaan; dan
c.
protect Personal Data along with the documents containing such Personal Data from abuse; and
d.
bertanggung jawab atas Data Pribadi Pribadi yang terdapat dalam penguasaannya, baik penguasaan secara organisasi yang menjadi kewenangannya maupun perorangan, jika terjadi tindakan penyalahgunaan.
d.
in case of of abuse, abuse, be liable liable for Personal Data they possess, whether possessed by organization of which they are in charge or individually.
BAB V
CHAPTER V
KEWAJIBAN PENYELENGGARA SISTEM ELEKTRONIK
OBLIGATIONS OF ELECTRONIC SYSTEM PROVIDERS
Pasal 28
Article 28
Setiap Penyelenggara Sistem Elektronik wajib:
Any Electronic System Provider must:
a.
melakukan sertifikasi Sistem Elektronik yang dikelolanya sesuai dengan ketentuan peraturan perundang-undangan; perundang-undangan;
a.
have the Electronic System it manages certified under the laws and regulations;
b.
menjaga kebenaran, keabsahan, kerahasiaan, b. keakuratan dan relevansi serta kesesuaian dengan tujuan perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, penyebarluasan, dan pemusnahan Data Pribadi;
maintain correctness, validity, confidentiality, accuracy and relevancy as well as suitability for the purpose for which Personal Data are obtained, collected, processed, analyzed, stored, displayed, published, transmitted, disseminated, and destroyed;
c.
memberitahukan secara tertulis kepada Pemilik Data Pribadi jika terjadi kegagalan perlindungan rahasia Data Pribadi dalam Sistem Elektronik yang dikelolanya, dengan ketentuan pemberitahuan sebagai berikut:
notify in writing the Data Subjects in case of failure to protect the confidentiality of Personal Data in the Electronic System it manages, as follows:
1.
harus disertai alasan
atau penyebab
c.
1.
the notification shall include reasons or 14
terjadinya kegagalan rahasia Data Pribadi;
perlindungan
factors in the failure to protect the confidentiality of Personal Data ;
2.
dapat dilakukan dilakukan secara elektronik elektronik jika Pemilik Data Pribadi telah memberikan Persetujuan untuk itu yang dinyatakan pada saat dilakukan perolehan dan pengumpulan Data Pribadinya;
2.
the notification may be made electronically if the Data Subject has given Consent for that purpose when obtaining and collecting his/her Personal Data;
3.
harus dipastikan telah diterima oleh Pemilik Data Pribadi jika kegagalan tersebut mengandung potensi kerugian bagi yang bersangkutan; dan
3.
the notification must be confirmed already received by the Data Subject if such failure poses potential harm to the Data Subject; and
4.
pemberitahuan tertulis dikirimkan kepada Pemilik Data Pribadi paling lambat 14 (empat belas) hari sejak diketahui adanya kegagalan tersebut;
4.
the written notification shall be sent to the Data Subject within 14 (fourteen) days of acquiring knowledge of such failure;
d.
memiliki aturan internal terkait perlindungan Data Pribadi yang sesuai dengan ketentuan peraturan perundang-undangan; perundang-undangan;
d.
issue internal regulations concerning protection of Personal Data in compliance with the laws and regulations;
e.
menyediakan rekam rekam jejak audit terhadap seluruh kegiatan penyelenggaraan Sistem Elektronik yang dikelolanya;
e.
provide audit trail of the whole whole Electronic Electronic System it manages;
f.
memberikan opsi kepada kepada Pemilik Data Pribadi mengenai Data Pribadi yang dikelolanya dapat atau tidak dapat digunakan dan/atau ditampilkan oleh/pada pihak ketiga atas Persetujuan sepanjang masih terkait dengan tujuan perolehan dan pengumpulan Data Pribadi;
f.
give the Data Subject option whether or not the Personal Data it manages may be used and/or displayed by/to third parties by Consent, subject to having relation to the purpose for which the Personal Data are obtained and collected;
g.
memberikan akses atau kesempatan kepada Pemilik Data Pribadi untuk mengubah atau memperbarui Data Pribadinya tanpa menganggu sistem pengelolaan Data Pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan; perundang-undangan;
g.
provide access or opportunity opportunity to the Data Subject to change or update his/her Personal Data without interfering the Personal Data management system, unless provided otherwise by the laws and regulations;
h.
memusnahkan Data Pribadi Pribadi sesuai dengan ketentuan dalam Peraturan Menteri ini atau ketentuan peraturan perundang-undangan lainnya yang secara khusus mengatur di masing-masing Instansi Pengawas dan Pengawas Sektor untuk itu; dan
h.
destroy Personal Data under the provisions of this Regulation of the Minister or other laws and regulations specially govern the same in the Supervisory Agency and the Sectoral Supervisors respectively; and
i.
menyediakan narahubung ( contact person) yang mudah dihubungi oleh Pemilik Data Pribadi terkait pengelolaan Data Pribadinya.
i.
provide a contact person who is accessible to a Data Subject with respect to the management of his/her Personal Data.
15
BAB VI
CHAPTER VI
PENYELESAIAN SENGKETA
DISPUTE RESOLUTION
Pasal 29
Article 29
(1) Setiap Pemilik Data Pribadi dan Penyelenggara Sistem Elektronik dapat mengajukan pengaduan kepada Menteri atas kegagalan perlindungan kerahasiaan Data Pribadi.
(1) A Data Subject and Electronic System Provider may file a complaint with the Minister about failure to protect the confidentiality of Personal Data.
(2) Pengaduan sebagaimana dimaksud pada ayat (1) dimaksudkan sebagai upaya penyelesaian sengketa secara musyawarah atau melalui upaya penyelesaian alternatif lainnya.
(2) A complaint as referred to in section (1) (1) shall aim to resolve a dispute by deliberation or by other alternative resolution.
(3) Pengaduan sebagaimana dimaksud pada ayat (1) dilakukan berdasarkan alasan:
(3) A complaint as referred to in section (1) (1) shall be made for the following reasons: reasons:
a.
tidak dilakukannya pemberitahuan secara tertulis atas kegagalan perlindungan rahasia Data Pribadi oleh Penyelenggara Sistem Elektronik kepada Pemilik Data Pribadi atau Penyelenggara Sistem Elektronik lainnya yang terkait dengan Data Pribadi tersebut, baik yang berpotensi maupun tidak berpotensi menimbulkan kerugian; atau
a.
for absence of written notification about the failure to protect the confidentiality of Personal Data by the Electronic System Provider to the Data Subject or the other Electronic System Provider in connection with the Personal Data, with or without potential harm; or
b.
telah terjadinya kerugian bagi Pemilik Data Pribadi atau Penyelenggara Sistem Elektronik lainnya yang terkait dengan kegagalan perlindungan rahasia Data Pribadi tersebut, meskipun telah dilakukan pemberitahuan secara tertulis atas kegagalan perlindungan rahasia Data Pribadi namun waktu pemberitahuannya yang terlambat.
b.
the Data Subject or other Electronic System Provider has suffered harm due to failure to protect the confidentiality of Personal Data despite delayed written notification about the failure to protect the confidentiality of Personal Data.
(4) Menteri dapat berkoordinasi berkoordinasi dengan pimpinan pimpinan Instansi Pengawas dan Pengatur Sektor untuk menindaklanjuti pengaduan sebagaimana dimaksud pada ayat (1).
(4) The Minister may coordinate with the management of the Supervisory Agency and the Sectoral Supervisors to respond a complaint as referred to in section (1).
Pasal 30
Article 30
(1) Menteri mendelegasikan kewenangan penyelesaian sengketa Data Pribadi sebagaimana dimaksud dalam Pasal 29 kepada Direktur Jenderal.
(1) The Minister shall delegate the power to resolve a Personal Data dispute as referred to in Article 29 to the Director General.
(2) Direktur Jenderal dapat membentuk panel penyelesaian sengketa Data Pribadi.
(2) The Director General may may create a panel of of Personal Data dispute resolution. 16
Pasal 31
Article 31
Pengaduan dan penanganan pengaduan dilakukan berdasarkan tata cara, sebagai berikut:
A complaint and handling of complaint shall be made under the following procedures:
a.
pengaduan dilakukan paling lambat 30 (tiga puluh) hari kerja sejak pengadu mengetahui informasi sebagaimana dimaksud dalam Pasal 29 ayat (3) huruf a atau huruf b;
a.
a complaint shall be made within 30 (thirty) working days from when the complainant has knowledge of the information as referred to in Article 29 section (3) point (a) or point (b);
b.
pengaduan memuat:
tertulis b.
a complaint shall be filed in writing to contain:
disampaikan
secara
1.
nama dan alamat pengadu;
1.
the name and address of the complainant;
2.
alasan atau dasar pengaduan;
2.
the reasons or grounds for complaint;
3.
permintaan penyelesaian masalah yang diadukan; dan
3.
the problem raised for resolution; and
4.
tempat pengaduan, waktu penyampaian pengaduan, dan tanda tangan tangan pengadu.
4.
the place of complaint, time of filing of complaint, and signature of the complainant.
c.
pengaduan harus dilengkapi dengan bukti bukti pendukung;
c.
a complaint complaint must enclose any any conclusive conclusive evidence;
d.
pejabat/tim penyelesaian sengketa Data Pribadi atas kegagalan perlindungan kerahasiaan Data Pribadi wajib menanggapi pengaduan paling lambat 14 (empat belas) hari kerja sejak pengaduan diterima yang paling sedikit memuat pengaduan lengkap atau tidak lengkap;
d.
the Personal P ersonal Data dispute resolution officers/team for failure to protect the confidentiality of Personal Data must respond the complaint within 14 (fourteen) working days upon its receipt by advising at least whether or not the complaint documents are complete;
e.
pengaduan yang tidak lengkap harus dilengkapi oleh pengadu paling lambat 30 (tiga puluh) hari kerja sejak pengadu menerima tanggapan sebagaimana dimaksud pada huruf d dan jika melebihi batas waktu tersebut, pengaduan dianggap dibatalkan;
e.
in case of incomplete complaint documents, the complainant must make them up within 30 (thirty) working days from when the complainant receives the response as referred to in point (d), subject to the complaint being void in case of exceeding the deadline;
f.
pejabat/lembaga penyelesaian sengketa Data Pribadi atas kegagalan perlindungan kerahasiaan Data Pribadi wajib menangani penyelesaian pengaduan mulai 14 (empat belas) hari kerja sejak pengaduan diterima lengkap;
f.
the Personal Data dispute resolution officers/team for failure to protect the confidentiality of Personal Data must handle the complaint within 14 (fourteen) working days of receipt of the complete complaint documents;
g.
penyelesaian sengketa atas dasar pengaduan lengkap tersebut dilakukan secara musyawarah atau melalui upaya penyelesaian alternatif lainnya sesuai dengan ketentuan peraturan perundang-undangan; perundang-undangan; dan
g.
the dispute with the complete complete complaint documents shall be resolved by deliberation or by other alternative resolution under the laws and regulations; and
17
h.
pejabat/lembaga penyelesaian sengketa Data Pribadi atas kegagalan perlindungan kerahasiaan Data Pribadi yang menangani pengaduan dapat memberikan rekomendasi kepada Menteri untuk penjatuhan sanksi administratif kepada Penyelenggara Sistem Elektronik meskipun pengaduan dapat atau tidak dapat diselesaikan secara musyawarah atau melalui upaya penyelesaian alternatif lainnya.
h.
the Personal P ersonal Data dispute resolution officers/team for failure of Personal Data confidentiality protection that handle a complaint may give a recommendation to the Minister to impose administrative sanctions on the Electronic System Provider regardless of whether or not the complaint is capable of resolution by deliberation or by other alternative resolution.
Pasal 32
Article 32
(1) Dalam upaya penyelesaian sengketa secara musyawarah atau melalui upaya penyelesaian alternatif lainnya belum mampu menyelesaikan sengketa atas kegagalan perlindungan kerahasiaan Data Pribadi, P ribadi, setiap Pemilik Data Pribadi dan Penyelenggara Sistem Elektronik dapat mengajukan gugatan atas terjadinya kegagalan perlindungan rahasia Data Pribadi.
(1) If a dispute is incapable of resolution by deliberation or other alternative resolution to the failure to protect the confidentiality of Personal Data, any Data Subject and Electronic System Provider may take a legal proceeding against the failure to protect the confidentiality of Personal Data.
(2) Gugatan sebagaimana sebagaimana dimaksud pada ayat (1) hanya berupa gugatan perdata dan diajukan sesuai dengan ketentuan peraturan perundangundangan.
(2) A legal proceeding as referred referred to in section (1) may be civil and shall be taken under the laws and regulations.
Pasal 33
Article 33
(1) Jika dalam proses penegakan hukum oleh aparat penegak hukum sesuai dengan ketentuan peraturan perundang-undangan yang berwenang harus melakukan penyitaan, maka yang dapat disita hanya Data Pribadi yang terkait kasus hukum tanpa harus menyita seluruh Sistem Elektroniknya.
(1) In case of seizure by law enforcement officers officers in the scope of law enforcement measures under the laws and regulations, the authorities must seize only the Personal Data that are complicit in the legal case, not necessarily the entire Electronic System.
(2) Penyelenggara Sistem Elektronik yang menyediakan, menyimpan, dan/atau mengelola Data Pribadi yang disita sebagaimana dimaksud pada ayat (1) dilarang melakukan tindakan apapun yang dapat mengakibatkan berubah atau hilangnya Data Pribadi tersebut dan tetap wajib menjaga keamanan atau memberikan perlindungan rahasia Data Pribadi dalam Sistem Elektronik yang dikelolanya.
(2) Electronic System Providers that provide, store, and/or manage the seized Personal Data as referred to in section (1) are prohibited from taking any measures that may result in the Personal Data being changed and lost, and must maintain the security or provide protection of the confidentiality of Personal Data in the Electronic System they manage.
18
BAB VII
CHAPTER VII
PERAN PEMERINTAH DAN MASYARAKAT
GOVERNMENT AND PUBLIC PARTICIPATION
Pasal 34
Article 34
(1) Untuk memudahkan dalam penyelenggaraan perlindungan Data Pribadi dalam Sistem Elektronik dan untuk memberdayakan partisipasi masyarakat, Direktur Jenderal melakukan edukasi kepada masyarakat mengenai:
(1) To allow easy protection of Personal Data in the Electronic System and to invite the public participation, the Director General shall provide the public with education education about:
a.
pengertian Data Pribadi;
a.
the understanding of Personal Data;
b.
hakikat privasi;
bersifat
b.
the essence of the privacy of Personal Data;
c.
pengertian Persetujuan konsekuensinya;
dan
c.
the understanding of Consent Consent and its consequences;
d.
pengertian Sistem mekanismenya;
dan
d.
the meaning of the Electronic System and its mechanism;
e.
hak Pemilik Data Pribadi, kewajiban Pengguna, dan kewajiban Penyelenggara Sistem Elektronik;
e.
the rights of Data Subjects, obligations of Users, and obligations of Electronic System Providers;
f.
ketentuan mengenai penyelesaian sengketa jika terjadi kegagalan perlindungan rahasia Data Pribadi oleh Penyelenggara Sistem Elektronik; dan
f.
the provisions for dispute resolution in case of failure to protect the confidentiality of Personal Data by Electronic System Providers; and
g.
ketentuan peraturan perundang-undangan perundang-undangan lainnya yang terkait dengan perlindungan Data Pribadi dalam Sistem Elektronik.
g.
the provisions of laws and regulations concerning the protection of Personal Data in the Electronic System.
Data
Pribadi
yang
Elektronik
(2) Masyarakat dapat berpartisipasi dalam pelaksanaan edukasi sebagaimana dimaksud pada ayat (1).
(2) The public may participate in the implementation of education as referred to in section (1).
(3) Pelaksanaan ketentuan sebagaimana dimaksud pada ayat (1) dapat dilakukan melalui pendidikan dan/atau pelatihan, advokasi, bimbingan teknis, dan sosialisasi dengan menggunakan berbagai media.
(3) The provisions of section (1) may be implemented through education and/or training, advocacy, technical guidance, and socialization/campaign in the mass media.
BAB VIII
CHAPTER VIII
PENGAWASAN
SUPERVISION
Pasal 35
Article 35
(1) Pengawasan terhadap pelaksanaan Peraturan Menteri ini dilaksanakan oleh Menteri
(1) Supervision for the implementation of this Regulation of the Minister shall be made by 19
dan/atau pimpinan Instansi Pengawas dan Pengatur Sektor.
the Minister and/or the Supervisory Agency and the Sectoral Supervisors.
(2) Pengawasan yang dilaksanakan Menteri sebagaimana dimaksud pada ayat (1) meliputi pengawasan secara langsung maupun tidak langsung.
(2) Supervision made by the Minister as referred to in section (1) shall include onsite and offsite supervision.
(3) Menteri berwenang meminta data dan informasi dari Penyelenggara Sistem Elektronik dalam rangka perlindungan Data Pribadi.
(3) The Minister shall be empowered empowered to request data and information from Electronic System Providers within the scope of protection of Personal Data.
(4) Permintaan data dan informasi sebagaimana dimaksud pada ayat (3) dapat dilakukan secara berkala atau sewaktu-waktu apabila diperlukan.
(4) A request for data and information information as referred referred to in section (3) may be made periodically or at random intervals where necessary.
(5) Menteri mendelegasikan kewenangan pengawasan kepada Direktur Jenderal. Jenderal.
(5) The Minister shall delegate the power of supervision to the Director General.
BAB IX
CHAPTER IX
SANKSI ADMINISTRATIF
ADMINISTRATIVE SANCTIONS
Pasal 36
Article 36
(1) Setiap Orang yang memperoleh, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarluaskan Data Pribadi tanpa hak atau tidak sesuai dengan ketentuan dalam Peraturan Menteri ini atau peraturan perundang-undangan lainnya dikenai sanksi administratif sesuai dengan ketentuan peraturan perundang-undangan berupa:
(1) Any person who obtains, collects, collects, processes, analyzes, stores, displays, publishes, transmits, and/or disseminates Personal Data in an unauthorized manner or other than in accordance with the provisions of this Regulation of the Minister or other laws and regulations shall be imposed administrative sanctions under the laws and regulations in the form of:
a.
peringatan lisan;
a.
verbal warnings;
b.
peringatan tertulis;
b.
written warnings;
c.
penghentian sementara kegiatan; dan/atau
c.
suspension of activities; and/or
d.
pengumuman di situs dalam jaringan (website online);
d.
announcements on a website online;
(2) Ketentuan mengenai tata cara pelaksanaan sanksi administratif sebagaimana dimaksud pada ayat (1) diatur dengan Peraturan Menteri.
(2) The provisions for the procedures for administrative sanctions as referred to in section (1) shall be governed by Regulation of the Minister.
(3) Sanksi administratif diberikan oleh Menteri atau pimpinan Instansi Pengawas dan Pengatur Sektor terkait sesuai dengan ketentuan peraturan perundang-undangan.
(3) Administrative sanctions sanctions shall be imposed by the Minister or the Supervisory Agency and the Sectoral Supervisors as relevant under the laws and regulations. 20
(4) Pengenaan sanksi oleh pimpinan Instansi Pengawas dan Pengatur Sektor terkait sebagaimana dimaksud pada ayat (3) dilakukan setelah berkoordinasi dengan Menteri.
(4) Sanctions by the management of the Supervisory Agency and the Sectoral Supervisors as relevant as referred to in section (3) shall be imposed upon coordination with the Minister.
BAB X
CHAPTER X
KETENTUAN LAIN
MISCELLANEOUS PROVISIONS
Pasal 37
Article 37
(1) Jika Pemilik Data Pribadi merupakan merupakan orang yang termasuk dalam kategori anak sesuai dengan ketentuan peraturan perundangundangan, pemberian Persetujuan yang dimaksud dalam Peraturan Menteri ini dilakukan oleh orang tua atau wali dari anak yang bersangkutan.
(1) If a Data Subject is a person who belongs belongs to the child category under the laws and regulations, Consent referred to in this Regulation of the Minister shall be given by the parent(s) or guardian of the child concerned.
(2) Orang tua sebagaimana dimaksud dimaksud pada ayat (1) merupakan ayah atau ibu kandung anak yang bersangkutan sesuai dengan ketentuan peraturan perundang-undangan. perundang-undangan.
(2) Parent(s) as referred to in section (1) (1) shall be the biological father or mother of the child concerned under the laws and regulations. r egulations.
(3) Wali sebagaimana dimaksud pada ayat (1) merupakan orang yang memiliki kewajiban mengurus anak yang bersangkutan sebelum anak itu dewasa sesuai dengan ketentuan peraturan perundang-undangan. perundang-undangan.
(3) A guardian as referred to in section (1) shall be the person with duties to raise the child concerned before turning adult under the laws and regulations.
BAB XI
CHAPTER XI
KETENTUAN PERALIHAN
TRANSITIONAL PROVISIONS
Pasal 38
Article 38
Penyelenggara Sistem Elektronik yang telah menyediakan, menyimpan, dan mengelola Data Pribadi sebelum Peraturan Menteri ini berlaku harus tetap menjaga kerahasiaan Data Pribadi yang dikelolanya dan menyesuaikan dengan Peraturan Menteri ini paling lama 2 (dua) tahun.
Electronic System Providers that already provides, stores, and manages Personal Data prior to this Regulation of the Minister coming into effect shall keep maintaining the confidentiality of Personal Data they manage and accommodate to this Regulation of the Minister within 2 (two) years.
BAB XII
CHAPTER XII
KETENTUAN PENUTUP
CONCLUDING PROVISIONS
Pasal 39
Article 39
Peraturan Menteri ini mulai berlaku pada tanggal diundangkan.
This Regulation of the Minister shall come into effect from the date it is promulgated.
Agar setiap orang mengetahuinya, memerintahkan In order that every person may know it, the pengundangan Peraturan Menteri ini dengan promulgation of this Regulation of the Minister M inister is penempatannya dalam Berita Negara Republik ordered by placement in the Official Gazette of the 21
Indonesia.
Republic of Indonesia.
Ditetapkan di Jakarta pada tanggal 7 November 2016 2016 MENTERI KOMUNIKASI DAN INFORMATIKA REPUBLIK INDONESIA, ttd. RUDIANTARA
Issued in Jakarta on November 7, 2016 MINISTER OF COMMUNICATIONS AND INFORMATICS OF THE REPUBLIC OF INDONESIA, sgd. RUDIANTARA
Diundangkan di Jakarta pada tanggal 1 Desember 2016 DIREKTUR JENDERAL PERATURAN PERUNDANG-UNDANGAN KEMENTERIAN HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA, ttd. WIDODO EKATJAHJANA
Promulgated in Jakarta on December 1, 2016 DIRECTOR GENERAL OF LEGISLATION OF THE MINISTRY OF LAW AND HUMAN RIGHTS OF THE REPUBLIC OF INDONESIA,
BERITA NEGARA REPUBLIK INDONESIA TAHUN 2016 NOMOR 1829
OFFICIAL GAZETTE OF THE REPUBLIC OF INDONESIA NUMBER 1829 OF 2016
sgd. WIDODO EKATJAHJANA
Translated by: Wishnu Basuki
[email protected]
Primary reading materials to which this translation conforms: ● CU 108 Convention for the protection of individuals with regard to automatic processing of personal data (Council of Europe), Jan 28, 1981 ● E/CN.4/1990/72 Guidelines concerning computerized personal data files (United Nations), Feb 20, 1990 ● Directive 95/46/EC Protection of individuals with regard to the processing of personal data and on the free movement of such data, Oct 24, 1995 (European Union)
22
