bahwa pelindungan data pribadi merupakan salah satu hak asasi manusia yang merupakan bagian dari pelindungan diri pribadi maka perlu diberikan landasan hukum untuk memberikan keamanan atas data pribadi, berdasarkan Undang-Undang Dasar Negara Republik Indonesia Tahun 1945;
bahwa pelindungan data pribadi ditujukan untuk menjamin hak warga negara atas pelindungan diri pribadi dan menumbuhkan kesadaran masyarakat serta menjamin pengakuan dan penghormatan atas pentingnya pelindungan data pribadi;
bahwa pengaturan data pribadi saat ini terdapat di dalam beberapa peraturan perundang-undangan maka untuk meningkatkan efektivitas dalam pelaksanaan pelindungan data pribadi diperlukan pengaturan mengenai pelindungan data pribadi dalam suatu undang-undang;
bahwa berdasarkan pertimbangan sebagaimana dimaksud dalam huruf a, huruf b, dan huruf c, perlu membentuk Undang-Undang tentang Pelindungan Data Pribadi;
Pasal 5 ayat (1), Pasal 20, Pasal 28G ayat (1), Pasal 28H ayat (4), dan Pasal 28J Undang-Undang Dasar Negara Republik Indonesia Tahun 1945;
Dengan Persetujuan Bersama
DEWAN PERWAKILAN RAKYAT REPUBLIK INDONESIA
dan
PRESIDEN REPUBLIK INDONESIA
UNDANG-UNDANG TENTANG PELINDUNGAN DATA PRIBADI.
Cukup jelas.
Cukup jelas.
Huruf a
Yang dimaksud dengan "asas pelindungan" adalah bahwa setiap pemrosesan Data Pribadi dilakukan dengan memberikan pelindungan kepada Subjek Data Pribadi atas Data Pribadinya dan Data Pribadi tersebut agar tidak disalahgunakan.
Huruf b
Yang dimaksud dengan "asas kepastian hukum" adalah bahwa setiap pemrosesan Data Pribadi dilakukan berdasarkan landasan hukum untuk mewujudkan Pelindungan Data Pribadi serta segala sesuatu yang mendukung penyelenggaraannya sehingga mendapatkan pengakuan hukum di dalam dan di luar pengadilan.
Huruf c
Yang dimaksud dengan "asas kepentingan umum" adalah bahwa dalam menegakkan Pelindungan Data Pribadi harus memperhatikan kepentingan umum atau masyarakat secara luas. Kepentingan umum tersebut antara lain kepentingan penyelenggaraan negara dan pertahanan dan keamanan nasional.
Huruf d
Yang dimaksud dengan "asas kemanfaatan" adalah bahwa pengaturan Pelindungan Data Pribadi hams bermanfaat bagi kepentingan nasional, khususnya dalam mewujudkan cita-cita kesejahteraan umum.
Huruf e
Yang dimaksud dengan "asas kehati-hatian" adalah bahwa para pihak yang terkait dengan pemrosesan dan pengawasan Data Pribadi hams memperhatikan segenap aspek yang berpotensi mendatangkan kerugian.
Huruf f
Yang dimaksud dengan "asas keseimbangan" adalah sebagai upaya Pelindungan Data Pribadi untuk menyeimbangkan antara hak atas Data Pribadi di satu pihak dengan hak negara yang sah berdasarkan kepentingan umum.
Huruf g
Yang dimaksud dengan "asas pertanggungjawaban" adalah bahwa semua pihak yang terkait dengan pemrosesan dan pengawasan Data Pribadi bertindak secara bertanggung jawab sehingga mampu menjamin keseimbangan hak dan kewajiban para pihak yang terkait termasuk Subjek Data Pribadi.
Huruf h
Yang dimaksud dengan "asas kerahasiaan" adalah bahwa Data Pribadi terlindungi dari pihak yang tidak berhak dan/atau dari kegiatan pemrosesan Data Pribadi yang tidak sah.
Ayat 1
Huruf a
Data Pribadi yang bersifat spesifik merupakan Data Pribadi yang apabila dalam pemrosesannya dapat mengakibatkan dampak lebih besar kepada Subjek Data Pribadi, antara lain tindakan diskriminasi dan kerugian yang lebih besar Subjek Data Pribadi.
Huruf b
Cukup jelas.
Ayat 2
Huruf a
Yang dimaksud dengan "data dan informasi kesehatan" adalah catatan atau keterangan individu yang berkaitan dengan kesehatan fisik, kesehatan mental, dan/ atau pelayanan kesehatan.
Huruf b
Yang dimaksud dengan "data biometrik" adalah data yang berkaitan dengan fisik, fisiologis, atau karakteristik perilaku individu yang memungkinkan identifikasi unik terhadap individu, seperti gambar wajah atau data daktiloskopi. Data biometrik juga menjelaskan pada sifat keunikan dan/ atau karakteristik seseorang yang hams dijaga dan dirawat, termasuk namun tidal( terbatas pada rekam sidik jari, retina mata, dan sampel DNA.
Huruf c
Yang dimaksud dengan "data genetika" adalah semua data jenis apapun mengenai karakteristik suatu individu yang diwariskan atau diperoleh selama perkembangan prenatal awal.
Huruf d
Yang dimaksud dengan "catatan kejahatan" merupakan catatan tertulis tentang seseorang yang pernah melakukan perbuatan melawan hukum atau melanggar hukum atau sedang dalam proses peradilan atas perbuatan yang dilakukan, antara lain catatan kepolisian dan pencantuman dalam daftar pencegahan atau penangkalan.
Huruf e
Cukup jelas.
Huruf f
Yang dimaksud dengan "data keuangan pribadi" adalah termasuk namun tidak terbatas kepada data jumlah simpanan pada bank termasuk tabungan, deposito, dan data kartu kredit.
Huruf g
Cukup jelas.
Ayat 3
Huruf a
Cukup jelas.
Huruf b
Cukup jelas.
Huruf c
Cukup jelas.
Huruf d
Cukup jelas.
Huruf e
Cukup jelas.
Huruf f
Yang dimaksud dengan "Data Pribadi yang dikombinasikan untuk mengidentifikasi seseorang" antara lain nomor telepon seluler dan IP Address.
Cukup jelas.
Cukup jelas.
Hak untuk memperoleh salinan Data Pribadi dilakukan secara gratis, kecuali untuk kondisi tertentu yang memang membutuhkan biaya.
Cukup jelas.
Cukup jelas.
Ayat 1
Yang dimaksud dengan "pemrofilan" adalah kegiatan mengidentifikasi seseorang termasuk namun tidak terbatas pada riwayat pekerjaan, kondisi ekonomi, kesehatan, preferensi pribadi, minat, keandalan, perilaku, lokasi, atau pergerakan Subjek Data Pribadi secara elektronik.
Ayat 2
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Ayat 1
Huruf a
Cukup jelas.
Huruf b
Yang dimaksud dengan "kepentingan proses penegakan hukum" adalah kepentingan yang berkaitan dengan upaya atau langkah dalam rangka menjalankan atau menegakkan aturan hukum berdasarkan ketentuan peraturan perundang-undangan antara lain proses penyelidikan, penyidikan, dan penuntutan.
Huruf c
Yang dimaksud dengan "kepentingan umum dalam rangka penyelenggaraan negara" antara lain penyelenggaraan administrasi kependudukan, jaminan sosial, perpajakan, kepabeanan, dan pelayanan perizinan berusaha terintegrasi secara elektronik.
Huruf d
Yang dimaksud dengan "sektor jasa keuangan" adalah perbankan, pasar modal, asuransi, lembaga pembiayaan, dana pensiun, regulasi berbasis teknologi, teknologi finansial, dan teknologi yang berbasis lainnya yang berada dalam pengawasan Bank Indonesia, Otoritas Jasa Keuangan, dan Lembaga Penjamin Simpanan.
Huruf e
Cukup jelas.
Ayat 2
Cukup jelas.
Ayat 1
Huruf a
Cukup jelas.
Huruf b
Cukup jelas.
Huruf c
Cukup jelas.
Huruf d
Cukup jelas.
Huruf e
Yang dimaksud dengan "penampilan" adalah perbuatan memperlihatkan Data Pribadi untuk tujuan tertentu dan pihak-pihak tertentu.
Yang dimaksud dengan "pengumuman" adalah pemberitahuan sebuah Informasi yang ditujukan kepada orang banyak dan bersifat umum.
Yang dimaksud dengan "transfer" adalah perpindahan, pengiriman, dan/atau penggandaan Data Pribadi baik secara elektronik maupun nonelektronik dari Pengendali Data Pribadi kepada pihak lain.
Huruf f
Cukup jelas.
Ayat 2
Cukup jelas.
Ayat 3
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Ayat 1
Cukup jelas.
Ayat 2
Huruf a
Cukup jelas.
Huruf b
Cukup jelas.
Huruf c
Cukup jelas.
Huruf d
Yang dimaksud dengan "kepentingan vital Subjek Data Pribadi" adalah terkait dengan keberlangsungan hidup dari Subjek Data Pribadi misalnya ketika pemrosesan Data Pribadi diperlukan untuk tindakan perawatan medis serius.
Huruf e
Cukup jelas.
Huruf f
Cukup jelas.
Ayat 1
Huruf a
Cukup jelas.
Huruf b
Cukup jelas.
Huruf c
Cukup jelas.
Huruf d
Cukup jelas.
Huruf e
Yang dimaksud dengan "rincian mengenai Informasi yang dikumpulkan" adalah daftar Informasi mengenai Data Pribadi Subjek Data Pribadi, baik berupa Data Pribadi yang bersifat umum maupun Data Pribadi yang bersifat spesifik, yang dikumpulkan oleh Pengendali Data Pribadi dalam rangka pemrosesan Data Pribadi.
Huruf f
Yang dimaksud dengan "jangka waktu pemrosesan Data Pribadi" adalah rentang waktu dimulainya hingga selesainya serangkaian kegiatan pemrosesan Data Pribadi sesuai dengan tujuan pemrosesan Data Pribadi.
Huruf g
Cukup jelas.
Ayat 2
Cukup jelas.
Ayat 1
Cukup jelas.
Ayat 2
Cukup jelas.
Ayat 3
Cukup jelas.
Ayat 4
Huruf a
Cukup jelas.
Huruf b
Cukup jelas.
Huruf c
Yang dimaksud dengan "bahasa" adalah Bahasa Indonesia.
Ayat 5
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Yang dimaksud dengan "secara terbatas dan spesifik" adalah pengumpulan Data Pribadi harus terbatas sesuai dengan tujuan pemrosesannya serta tujuan pemrosesan Data Pribadi harus secara eksplisit, sah, dan telah ditentukan pada saat pengumpulan Data Pribadi.
Yang dimaksud dengan "sah secara hukum" adalah pemrosesan Data Pribadi dilakukan sesuai dengan ketentuan peraturan perundang-undangan.
Yang dimaksud dengan "transparan" adalah pemrosesan Data Pribadi dilakukan dengan mema stikan bahwa Subjek Data Pribadi telah mengetahui Data Pribadi yang diproses dan bagaimana Data Pribadi tersebut diproses, serta setiap Informasi dan komunikasi yang berkaitan dengan pemrosesan Data Pribadi tersebut mudah diakses dan dipahami, dengan menggunakan bahasa yang jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Huruf a
Yang dimaksud dengan "membahayakan keamanan, kesehatan fisik, atau kesehatan mental Subjek Data Pribadi dan/atau orang lain" antara lain perubahan data riwayat penyakit yang berpotensi membahayakan keamanan din sendiri dan/atau orang lain.
Huruf b
Yang dimaksud dengan "berdampak pada pengungkapan Data Pribadi milik orang lain" antara lain perubahan Data Pribadi nasabah yang berdampak pada pengungkapan Data Pribadi orang lain.
Huruf c
Cukup jelas.
Ayat 1
Penilaian dampak Pelindungan Data Pribadi dilakukan untuk mengevaluasi potensi risiko yang timbul dari suatu pemrosesan Data Pribadi serta upaya atau langkah yang hams dilakukan untuk memitigasi risiko, termasuk terhadap hak Subjek Data Pribadi dan mematuhi Undang-Undang ini.
Ayat 2
Cukup jelas.
Ayat 3
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Ayat 1
Yang dimaksud dengan "memusnahkan" adalah tindakan untuk menghilangkan, melenyapkan, atau menghancurkan Data Pribadi sehingga tidak lagi dapat digunakan untuk mengidentifikasi Subjek Data Pribadi.
Ayat 2
Cukup jelas.
Cukup jelas.
Ayat 1
Yang dimaksud dengan "kegagalan Pelindungan Data Pribadi" adalah kegagalan melindungi Data Pribadi seseorang dalam hal kerahasiaan, integritas, dan ketersediaan Data Pribadi, termasuk pelanggaran keamanan, baik yang disengaja maupun tidak disengaja, yang mengarah pada perusakan, kehilangan, perubahan, pengungkapan, atau akses yang tidak sah terhadap Data Pribadi yang dikirim, disimpan, atau diproses.
Ayat 2
Cukup jelas
Ayat 3
Yang dimaksud dengan "dalam hal tertentu" antara lain jika kegagalan Pelindungan Data Pribadi mengganggu pelayanan publik dan/ atau berdampak serius terhadap kepentingan masyarakat.
Cukup jelas.
Ayat 1
Yang dimaksud dengan "pemberitahuan" adalah pemberitahuan kepada Subjek Data Pribadi atau pemberitahuan secara umum melalui media massa baik elektronik maupun nonelektronik.
Ayat 2
Cukup jelas.
Ayat 3
Cukup jelas.
Ayat 4
Cukup jelas.
Ayat 5
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Ayat 1
Yang dimaksud dengan "pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi" adalah pejabat atau petugas yang bertanggung jawab untuk memastikan pemenuhan kepatuhan atas prinsip Pelindungan Data Pribadi dan mitigasi risiko pelanggaran Pelindungan Data Pribadi.
Ayat 2
Cukup jelas.
Ayat 3
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Ayat 1
Cukup jelas.
Ayat 2
Cukup jelas.
Ayat 3
Yang dimaksud dengan "pendapatan" adalah anis masuk bruto dari manfaat ekonomi yang timbul dari aktivitas normal entitas selama periode jika arus masuk tersebut mengakibatkan kenaikan ekuitas yang tidak berasal dari kontribusi penanam modal.
Ayat 4
Cukup jelas.
Ayat 5
Cukup jelas.
Cukup jelas.
Huruf a
Cukup jelas.
Huruf b
Cukup jelas.
Huruf c
Cukup jelas.
Huruf d
Yang dimaksud dengan "fasilitasi penyelesaian sengketa di luar pengadilan" adalah pemberian sarana penyelesaian sengketa melalui prosedur yang disepakati para pihak, yakni penyelesaian di luar pengadilan dengan cara konsultasi, arbitrase, negosiasi, mediasi, konsiliasi, atau penilaian ahli sesuai dengan ketentuan peraturan perundang-undangan.
Huruf a
Dalam hal perumusan dan penetapan kebijakan Pelindungan Data Pribadi, lembaga melibatkan organisasi usaha sesuai dengan ketentuan peraturan perundang-undangan.
Huruf b
Cukup jelas.
Huruf c
Cukup jelas.
Huruf d
Cukup jelas.
Huruf e
Cukup jelas.
Huruf f
Cukup jelas.
Huruf g
Cukup jelas.
Huruf h
Cukup jelas.
Huruf i
Cukup jelas.
Huruf j
Cukup jelas.
Huruf k
Cukup jelas.
Huruf l
Cukup jelas.
Huruf m
Cukup jelas.
Huruf n
Cukup jelas.
Huruf o
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Setiap Orang dilarang secara melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi.
Setiap Orang dilarang secara melawan hukum mengungkapkan Data Pribadi yang bukan miliknya.
Setiap Orang dilarang secara melawan hukum menggunakan Data Pribadi yang bukan miliknya.
Setiap Orang dilarang membuat Data Pribadi palsu atau memalsukan Data Pribadi dengan maksud untuk menguntungkan din sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain.
Setiap Orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan din sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi sebagaimana dimaksud dalam. Pasal 65 ayat (1) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah).
Setiap Orang yang dengan sengaja dan melawan hukum mengungkapkan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (2) dipidana dengan pidana penjara paling lama 4 (empat) tahun dan/atau pidana denda paling banyak Rp4.000.000.000,00 (empat miliar rupiah).
Setiap Orang yang dengan sengaja dan melawan hukum menggunakan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (3) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah).
Setiap Orang yang dengan sengaja membuat Data Pribadi palsu atau memalsukan Data Pribadi dengan maksud untuk menguntungkan din sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain sebagaimana dimaksud dalam Pasal 66 dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau pidana denda paling banyak Rp6.000.000.000,00 (enam miliar rupiah).
Cukup jelas.
Cukup jelas.
Dalam hal pengadilan menjatuhkan putusan pidana denda, terpidana diberikan jangka waktu 1 (satu) bulan sejak putusan telah memperoleh kekuatan hukum tetap untuk membayar denda tersebut.
Dalam hal terdapat alasan kuat, jangka waktu sebagaimana dimaksud pada ayat (1) dapat diperpanjang untuk waktu paling lama 1 (satu) bulan.
Dalam hal terpidana tidak membayar pidana denda dalam jangka waktu sebagaimana dimaksud pada ayat (1) atau ayat (2) maka harta kekayaan atau pendapatan terpidana dapat disita dan dilelang oleh jaksa untuk melunasi pidana denda yang tidak dibayar.
Dalam hal penyitaan dan pelelangan harta kekayaan atau pendapatan sebagaimana dimaksud pada ayat (3) tidak cukup atau tidak memungkinkan untuk dilaksanakan, pidana denda yang tidak dibayar diganti dengan pidana penjara paling lama sebagaimana diancamkan untuk tindak pidana yang bersangkutan.
Lamanya pidana penjara sebagaimana dimaksud pada ayat (4) yang ditentukan oleh hakim, dicantumkan dalam putusan pengadilan.
Dalam hal penyitaan dan pelelangan harta kekayaan atau pendapatan sebagaimana dimaksud dalam Pasal 71 ayat (4) dilakukan terhadap terpidana Korporasi dan tidak cukup untuk melunasi pidana denda, Korporasi dikenakan pidana pengganti berupa pembekuan sebagian atau seluruh kegiatan usaha Korporasi untuk jangka waktu paling lama 5 (lima) tahun.
Lamanya pembekuan sebagian atau seluruh kegiatan usaha Korporasi sebagaimana dimaksud pada ayat (1) yang ditentukan oleh hakim, dicantumkan dalam putusan pengadilan.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
Cukup jelas.
UNDANG-UNDANG
NOMOR 27 TAHUN 2022
TENTANG
PELINDUNGAN DATA PRIBADI
DENGAN RAHMAT TUHAN YANG MAHA ESA PRESIDEN REPUBLIK INDONESIA,
PRESIDEN REPUBLIK INDONESIA,
menimbang
bahwa pelindungan data pribadi merupakan salah satu hak asasi manusia yang merupakan bagian dari pelindungan diri pribadi maka perlu diberikan landasan hukum untuk memberikan keamanan atas data pribadi, berdasarkan Undang-Undang Dasar Negara Republik Indonesia Tahun 1945;
bahwa pelindungan data pribadi ditujukan untuk menjamin hak warga negara atas pelindungan diri pribadi dan menumbuhkan kesadaran masyarakat serta menjamin pengakuan dan penghormatan atas pentingnya pelindungan data pribadi;
bahwa pengaturan data pribadi saat ini terdapat di dalam beberapa peraturan perundang-undangan maka untuk meningkatkan efektivitas dalam pelaksanaan pelindungan data pribadi diperlukan pengaturan mengenai pelindungan data pribadi dalam suatu undang-undang;
bahwa berdasarkan pertimbangan sebagaimana dimaksud dalam huruf a, huruf b, dan huruf c, perlu membentuk Undang-Undang tentang Pelindungan Data Pribadi;
mengingat
Pasal 5 ayat (1), Pasal 20, Pasal 28G ayat (1), Pasal 28H ayat (4), dan Pasal 28J Undang-Undang Dasar Negara Republik Indonesia Tahun 1945;
Dengan Persetujuan Bersama
DEWAN PERWAKILAN RAKYAT REPUBLIK INDONESIA
dan
PRESIDEN REPUBLIK INDONESIA
memperhatikan
memutuskan
menetapkan
UNDANG-UNDANG TENTANG PELINDUNGAN DATA PRIBADI.
BAB I
KETENTUAN UMUM
Pasal 1
Dalam Undang-Undang ini yang dimaksud dengan:
Data Pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik.
Pelindungan Data Pribadi adalah keseluruhan upaya untuk melindungi Data Pribadi dalam rangkaian pemrosesan Data Pribadi guna menjamin hak konstitusional subjek Data Pribadi.
Informasi adalah keterangan, pernyataan, gagasan, dan tanda-tanda yang mengandung nilai, makna, dan pesan, baik data, fakta, maupun penjelasannya yang dapat dilihat, didengar, dan dibaca yang disajikan dalam berbagai kemasan dan format sesuai dengan perkembangan teknologi informasi dan komunikasi secara elektronik ataupun nonelektronik.
Pengendali Data Pribadi adalah setiap orang, hadan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi.
Prosesor Data Pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan Data Pribadi atas nama Pengendali Data Pribadi.
Subjek Data Pribadi adalah orang perseorangan yang pada dirinya melekat Data Pribadi.
Setiap Orang adalah orang perseorangan atau korporasi.
Korporasi adalah kumpulan orang dan/ atau kekayaan yang terorganisasi baik yang berbadan hukum maupun tidak berbadan hukum.
Badan Publik adalah lembaga eksekutif, legislatif, yudikatif, dan badan lain yang fungsi dan tugas pokoknya berkaitan dengan penyelenggaraan negara, yang sebagian atau seluruh dananya bersumber dari Anggaran Pendapatan dan Belanja Negara dan/ atau Anggaran Pendapatan dan Belanja Daerah, atau organisasi nonpemerintah sepanjang sebagian atau seluruh dananya bersumber dari Anggaran Pendapatan dan Belanja Negara dan/ atau Anggaran Pendapatan dan Belanja Daerah, sumbangan masyarakat, dan/ atau luar negeri.
Organisasi Internasional adalah organisasi yang diakui sebagai subjek hukum internasional dan mempunyai kapasitas untuk membuat perjanjian internasional.
Pemerintah Pusat yang selanjutnya disebut Pemerintah adalah Presiden Republik Indonesia yang memegang kekuasaan pemerintahan Negara Republik Indonesia sebagaimana dimaksud dalam Undang-Undang Dasar Negara Republik Indonesia Tahun 1945.
Pasal 2
Undang-Undang ini berlaku untuk Setiap Orang, Badan Publik, dan Organisasi Internasional yang melakukan perbuatan hukum sebagaimana diatur dalam Undang-Undang ini:
yang berada di wilayah hukum Negara Republik Indonesia; dan
di luar wilayah hukum Negara Republik Indonesia, yang memiliki akibat hukum:
di wilayah hukum Negara Republik Indonesia; dan/ atau
bagi Subjek Data Pribadi warga negara Indonesia di luar wilayah hukum Negara Republik Indonesia.
Undang-Undang ini tidak berlaku untuk pemrosesan Data Pribadi oleh orang perseorangan dalam kegiatan pribadi atau rumah tangga.
BAB II
ASAS
Pasal 3
Undang-Undang ini berasaskan:
pelindungan;
kepastian hukum;
kepentingan umum;
kemanfaatan;
kehati-hatian;
keseimbangan;
pertanggungjawaban; dan
kerahasiaan.
BAB III
JENIS DATA PRIBADI
Pasal 4
Data Pribadi terdiri atas:
Data Pribadi yang bersifat spesifik; dan
Data Pribadi yang bersifat umum.
Data Pribadi yang bersifat spesifik sebagaimana dimaksud pada ayat (1) huruf a meliputi:
data dan informasi kesehatan;
data biometrik;
data genetika;
catatan kejahatan;
data anak;
data keuangan pribadi; dan/atau
data lainnya sesuai dengan ketentuan peraturan perundang-undangan.
Data Pribadi yang bersifat umum sebagaimana dimaksud pada ayat (1) huruf b meliputi:
nama lengkap;
jenis kelamin;
kewarganegaraan;
agama;
status perkawinan; dan/atau
Data Pribadi yang dikombinasikan untuk mengidentifikasi seseorang.
BAB IV
HAK SUBJEK DATA PRIBADI
Pasal 5
Subjek Data Pribadi berhak mendapatkan Informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan Data Pribadi, dan akuntabilitas pihak yang meminta Data Pribadi.
Pasal 6
Subjek Data Pribadi berhak melengkapi, memperbarui, dan/atau memperbaiki kesalahan dan/ atau ketidakakuratan Data Pribadi tentang dirinya sesuai dengan tujuan pemrosesan Data Pribadi.
Pasal 7
Subjek Data Pribadi berhak mendapatkan akses dan memperoleh salinan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.
Pasal 8
Subjek Data Pribadi berhak untuk mengakhiri pemrosesan, menghapus, dan/atau memusnahkan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.
Pasal 9
Subjek Data Pribadi berhak menarik kembali persetujuan pemrosesan Data Pribadi tentang dirinya yang telah diberikan kepada Pengendali Data Pribadi.
Pasal 10
Subjek Data Pribadi berhak untuk mengajukan keberatan atas tindakan pengambilan keputusan yang hanya didasarkan pada pemrosesan secara otomatis, termasuk pemrofilan, yang menimbulkan akibat hukum atau berdampak signifikan pada Subjek Data Pribadi.
Ketentuan lebih lanjut mengenai pengajuan keberatan atas pemrosesan secara otomatis sebagaimana dimaksud pada ayat (1) diatur dalam Peraturan Pemerintah.
Pasal 11
Subjek Data Pribadi berhak menunda atau membatasi pemrosesan Data Pribadi secara proporsional sesuai dengan tujuan pemrosesan Data Pribadi.
Pasal 12
Subjek Data Pribadi berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.
Ketentuan lebih lanjut mengenai pelanggaran pemrosesan Data Pribadi dan tata cara pengenaan ganti rugi sebagaimana dimaksud pada ayat (1) diatur dalam Peraturan Pemerintah.
Pasal 13
Subjek Data Pribadi berhak mendapatkan dan/atau menggunakan Data Pribadi tentang dirinya dari Pengendali Data Pribadi dalam bentuk yang sesuai dengan struktur dan/atau format yang lazim digunakan atau dapat dibaca oleh sistem elektronik.
Subjek Data Pribadi berhak menggunakan dan mengirimkan Data Pribadi tentang dirinya ke Pengendali Data Pribadi lainnya, sepanjang sistem yang digunakan dapat saling berkomunikasi secara aman sesuai dengan prinsip Pelindungan Data Pribadi berdasarkan Undang-Undang ini.
Ketentuan lebih lanjut mengenai hak Subjek Data Pribadi untuk menggunakan dan mengirimkan Data Pribadi sebagaimana dimaksud pada ayat (2) diatur dalam Peraturan Pemerintah.
Pasal 14
Pelaksanaan hak Subjek Data Pribadi sebagaimana dimaksud dalam Pasal 6 sampai dengan Pasal 11 diajukan melalui permohonan tercatat yang disampaikan secara elektronik atau nonelektronik kepada Pengendali Data Pribadi.
Pasal 15
. Hak-hak Subjek Data Pribadi sebagaimana dimaksud dalam Pasal 8, Pasal 9, Pasal 10 ayat (1), Pasal 11, dan Pasal 13 ayat (1) dan ayat (2) dikecualikan untuk:
kepentingan pertahanan dan keamanan nasional;
kepentingan proses penegakan hukum;
kepentingan umum dalam rangka penyelenggaraan negara;
kepentingan pengawasan sektor jasa keuangan, moneter, sistem pembayaran, dan stabilitas sistem keuangan yang dilakukan dalam rangka penyelenggaraan negara; atau
kepentingan statistik dan penelitian ilmiah.
Pengecualian sebagaimana dimaksud pada ayat (1) dilaksanakan hanya dalam rangka pelaksanaan ketentuan Undang-Undang.
BAB V
PEMROSESAN DATA PRIBADI
Pasal 16
Pemrosesan Data Pribadi meliputi:
pemerolehan dan pengumpulan;
pengolahan dan penganalisisan;
penyimpanan;
perbaikan dan pembaruan;
penampilan, pengumuman, transfer, penyebarluasan, atau pengungkapan; dan/atau
penghapusan atau pemusnahan.
Pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (1) dilakukan sesuai dengan prinsip Pelindungan Data Pribadi meliputi:
pengumpulan Data Pribadi dilakukan secara terbatas dan spesifik, sah secara hukum, dan transparan;
pemrosesan Data Pribadi dilakukan sesuai dengan tujuannya;
pemrosesan Data Pribadi dilakukan dengan menjamin hak Subjek Data Pribadi;
pemrosesan Data Pribadi dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungj awabkan;
pemrosesan Data Pribadi dilakukan dengan melindungi keamanan Data Pribadi dari pengaksesan yang tidak sah, pengungkapan yang tidak sah, pengubahan yang tidak sah,penyalahgunaan, perusakan, dan/atau penghilangan Data Pribadi;
pemrosesan Data Pribadi dilakukan dengan memberitahukan tujuan dan aktivitas pemrosesan, serta kegagalan Pelindungan Data Pribadi;
Data Pribadi dimusnahkan dan/atau dihapus setelah masa retensi berakhir atau berdasarkan permintaan Subjek Data Pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan; dan
pemrosesan Data Pribadi dilakukan secara bertanggung jawab dan dapat dibuktikan secara jelas.
Ketentuan lebih lanjut mengenai pelaksanaan pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (1) diatur dalam Peraturan Pemerintah.
Pasal 17
Pemasangan alat pemroses atau pengolah data visual di tempat umum dan/atau pada fasilitas pelayanan publik dilakukan dengan ketentuan:
untuk tujuan keamanan, pencegahan bencana, dan/atau penyelenggaraan lalu lintas atau pengumpulan, analisis, dan pengaturan Informasi lalu lintas;
hares menampilkan Informasi pada area yang telah dipasang alat pemroses atau pengolah data visual; dan
tidak digunakan untuk mengidentifikasi seseorang.
Ketentuan sebagaimana dimaksud pada ayat (1) huruf b dan huruf c dikecualikan untuk pencegahan tindak pidana dan proses penegakan hukum sesuai dengan ketentuan peraturan perundang-undangan.
Pasal 18
Pemrosesan Data Pribadi dapat dilakukan oleh 2 (dua) atau lebih Pengendali Data Pribadi.
Dalam hal Pemrosesan Data Pribadi dilakukan oleh 2 (dua) atau lebih Pengendali Data Pribadi harus memenuhi syarat minimal:
terdapat perjanjian antara para Pengendali Data Pribadi yang memuat peran, tanggung jawab, dan hubungan antar-Pengendali Data Pribadi;
terdapat tujuan yang saling berkaitan dan cara pemrosesan Data Pribadi yang ditentukan secara bersama; dan
terdapat narahubung yang ditunjuk secara bersama- sama.
BAB VI
KEWAJIBAN PENGENDALI DATA PRIBADI DAN PROSESOR DATA PRIBADI DALAM PEMROSESAN DATA PRIBADI
Bagian Kesatu
Umum
Pasal 19
Pengendali Data Pribadi dan Prosesor Data Pribadi meliputi:
Setiap Orang;
Badan Publik; dan
Organisasi Internasional.
Bagian Kedua
Kewajiban Pengendali Data Pribadi
Pasal 20
Pengendali Data Pribadi wajib memiliki dasar pemrosesan Data Pribadi.
Dasar pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (1) meliputi:
persetujuan yang sah secara eksplisit dari Subjek Data Pribadi untuk 1 (satu) atau beberapa tujuan tertentu yang telah disampaikan oleh Pengendali Data Pribadi kepada Subjek Data Pribadi;
pemenuhan kewajiban perjanjian dalam hal Subjek Data Pribadi merupakan salah satu pihak atau untuk memenuhi permintaan Subjek Data Pribadi pada saat akan melakukan perjanjian;
pemenuhan kewajiban hukum dan Pengendali Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan;
pemenuhan pelindungan kepentingan vital Subjek Data Pribadi;
pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan Pengendali Data Pribadi berdasarkan peraturan perundang-undangan; dan/ atau
pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan Pengendali Data Pribadi dan hak Subjek Data Pribadi.
Pasal 21
Dalam hal pemrosesan Data Pribadi berdasarkan persetujuan sebagaimana dimaksud dalam Pasal 20 ayat (2) huruf a, Pengendali Data Pribadi wajib menyampaikan Informasi mengenai:
legalitas dari pemrosesan Data Pribadi;
tujuan pemrosesan Data Pribadi;
jenis dan relevansi Data Pribadi yang akan diproses;
jangka waktu retensi dokumen yang memuat Data Pribadi;
rincian mengenai Informasi yang dikumpulkan;
jangka waktu pemrosesan Data Pribadi; dan
hak Subjek Data Pribadi.
Dalam hal terdapat perubahan Informasi sebagaimana dimaksud pada ayat (1), Pengendali Data Pribadi wajib memberitahukan kepada Subjek Data Pribadi sebelum terjadi perubahan Informasi.
Pasal 22
Persetujuan pemrosesan Data Pribadi dilakukan melalui persetujuan tertulis atau terekam.
Persetujuan sebagaimana dimaksud pada ayat (1) dapat disampaikan secara elektronik atau nonelektronik.
Persetujuan sebagaimana dimaksud pada ayat (1) mempunyai kekuatan hukum yang sama.
Dalam hal persetujuan sebagaimana dimaksud pada ayat (1) memuat tujuan lain, permintaan persetujuan harus memenuhi ketentuan:
dapat dibedakan secara jelas dengan hal lainnya;
dibuat dengan format yang dapat dipahami dan mudah diakses; dan
menggunakan bahasa yang sederhana dan jelas.
Persetujuan yang tidak memenuhi ketentuan sebagaimana dimaksud pada ayat (1) dan ayat (4) dinyatakan batal demi hukum.
Pasal 23
Klausul perjanjian yang di dalamnya terdapat permintaan pemrosesan Data Pribadi yang tidak memuat persetujuan yang sah secara eksplisit dari Subjek Data Pribadi dinyatakan batal demi hukum.
Pasal 24
Dalam melakukan pemrosesan Data Pribadi, Pengendali Data Pribadi wajib menunjukkan bukti persetujuan yang telah diberikan oleh Subjek Data Pribadi.
Pasal 25
Pemrosesan Data Pribadi anak diselenggarakan secara khusus.
Pemrosesan Data Pribadi anak sebagaimana dimaksud pada ayat (1) wajib mendapat persetujuan dari orang tua anak dan/ atau wali anak sesuai dengan ketentuan peraturan perundang-undangan.
Pasal 26
Pemrosesan Data Pribadi penyandang disabilitas diselenggarakan secara khusus.
Pemrosesan Data Pribadi penyandang disabilitas sebagaimana dimaksud pada ayat (1) dilakukan melalui komunikasi dengan menggunakan cara tertentu sesuai dengan ketentuan perundang-undangan.
Pemrosesan Data Pribadi penyandang disabilitas sebagaimana dimaksud pada ayat (2) wajib mendapat persetujuan dari penyandang disabilitas dan/atau wali penyandang disabilitas sesuai dengan ketentuan peraturan perundang-undangan.
Pasal 27
Pengendali Data Pribadi wajib melakukan pemrosesan Data Pribadi secara terbatas dan spesifik, sah secara hukum, dan transparan.
Pasal 28
Pengendali Data Pribadi wajib melakukan pemrosesan Data Pribadi sesuai dengan tujuan pemrosesan Data Pribadi.
Pasal 29
Pengendali Data Pribadi wajib memastikan akurasi, kelengkapan, dan konsistensi Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan.
Dalam memastikan akurasi, kelengkapan, dan konsistensi Data Pribadi sebagaimana dimaksud pada ayat (1) Pengendali Data Pribadi wajib melakukan verifikasi.
Pasal 30
Pengendali Data Pribadi wajib memperbarui dan/atau memperbaiki kesalahan dan/atau ketidakakuratan Data Pribadi paling lambat 3 x 24 (tiga kali dua puluh empat) jam terhitung sejak Pengendali Data Pribadi menerima permintaan pembaruan dan/atau perbaikan Data Pribadi.
Pengendali Data Pribadi wajib memberitahukan hasil pembaruan dan/atau perbaikan Data Pribadi kepada Subjek Data Pribadi.
Pasal 31
Pengendali Data Pribadi wajib melakukan perekaman terhadap seluruh kegiatan pemrosesan Data Pribadi.
Pasal 32
Pengendali Data Pribadi wajib memberikan akses kepada Subjek Data Pribadi terhadap Data Pribadi yang diproses beserta rekam jejak pemrosesan Data Pribadi seFuai dengan jangka waktu penyimpanan Data Pribadi.
Akses sebagaimana dimaksud pada ayat (1) diberikan paling lambat 3 x 24 (tiga kali dua puluh empat) jam terhitung sejak Pengendali Data Pribadi menerima permintaan akses.
Pasal 33
Pengendali Data Pribadi wajib menolak memberikan akses perubahan terhadap Data Pribadi kepada Subjek Data Pribadi dalam hal:
membahayakan keamanan, kesehatan fisik, atau kesehatan mental Subjek Data Pribadi dan/atau orang lain;
berdampak pada pengungkapan Data Pribadi milik orang lain; dan/ atau
bertentangan dengan kepentingan pertahanan dan keamanan nasional.
Pasal 34
Pengendali Data Pribadi wajib melakukan penilaian dampak Pelindungan Data Pribadi dalam hal pemrosesan Data Pribadi memiliki potensi risiko tinggi terhadap Subjek Data Pribadi.
Pemrosesan Data Pribadi memiliki potensi risiko tinggi sebagaimana dimaksud pada ayat (1) meliputi:
pengambilan keputusan secara otomatis yang memiliki akibat hukum atau dampak yang signifikan terhadap Subjek Data Pribadi;
pemrosesan atas Data Pribadi yang bersifat spesifik;
pemrosesan Data Pribadi dalam skala besar;
pemrosesan Data Pribadi untuk kegiatan evaluasi, penskoran, atau pemantauan yang sistematis terhadap Subjek Data Pribadi;
pemrosesan Data Pribadi untuk kegiatan pencocokan atau penggabungan sekelompok data;
penggunaan teknologi baru dalam pemrosesan Data Pribadi; dan/atau
pemrosesan Data Pribadi yang membatasi pelaksanaan hak Subjek Data Pribadi.
Ketentuan lebih lanjut mengenai penilaian dampak Pelindungan Data Pribadi diatur dalam Peraturan Pemerintah.
Pasal 35
Pengendali Data Pribadi wajib melindungi dan memastikan keamanan Data Pribadi yang diprosesnya, dengan melakukan:
penyusunan dan penerapan langkah teknis operasional untuk melindungi Data Pribadi dari gangguan pemrosesan Data Pribadi yang bertentangan dengan ketentuan peraturan perundang-undangan; dan
penentuan tingkat keamanan Data Pribadi dengan memperhatikan sifat dan risiko dari Data Pribadi yang hams dilindungi dalam pemrosesan Data Pribadi.
Pasal 36
Dalam melakukan pemrosesan Data Pribadi, Pengendali Data Pribadi wajib menjaga kerahasiaan Data Pribadi.
Pasal 37
Pengendali Data Pribadi wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan Data Pribadi di bawah kendali Pengendali Data Pribadi.
Pasal 38
Pengendali Data Pribadi wajib melindungi Data Pribadi dari pemrosesan yang tidak sah.
Pasal 39
Pengendali Data Pribadi wajib mencegah Data Pribadi diakses secara tidak sah.
Pencegahan sebagaimana dimaksud pada ayat (1) dilakukan dengan menggunakan sistem keamanan terhadap Data Pribadi yang diproses dan/atau memproses Data Pribadi menggunakan sistem elektronik secara andal, aman, dan bertanggung jawab.
Pencegahan sebagaimana dimaksud pada ayat (2) dilakukan sesuai dengan ketentuan peraturan perundang-undangan.
Pasal 40
Pengendali Data Pribadi wajib menghentikan pemrosesan Data Pribadi dalam hal Subjek Data Pribadi menarik kembali persetujuan pemrosesan Data Pribadi.
Penghentian pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (1) dilakukan paling lambat 3 x 24 (tiga kali dua puluh empat) jam terhitung sejak Pengendali Data Pribadi menerima permintaan penarikan kembali persetujuan pemrosesan Data Pribadi.
Pasal 41
Pengendali Data Pribadi wajib melakukan penundaan dan pembatasan pemrosesan Data Pribadi baik sebagian maupun seluruhnya paling lambat 3 x 24 (tiga kali dua puluh empat) jam terhitung sejak Pengendali Data Pribadi menerima permintaan penundaan dan pembatasan pemrosesan Data Pribadi.
Penundaan dan pembatasan pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (1) dikecualikan dalam hal:
terdapat ketentuan peraturan perundang-undangan yang tidak memungkinkan dilakukan penundaan dan pembatasan pemrosesan Data Pribadi;
dapat membahayakan keselamatan pihak lain; dan/atau
Subjek Data Pribadi terikat perjanjian tertulis dengan Pengendali Data Pribadi yang tidak memungkinkan dilakukan penundaan dan pembatasan pemrosesan Data Pribadi.
Pengendali Data Pribadi wajib memberitahukan telah dilaksanakan penundaan dan pembatasan pemrosesan Data Pribadi kepada Subjek Data Pribadi.
Pasal 42
Pengendali Data Pribadi wajib mengakhiri pemrosesan Data Pribadi dalam hal:
telah mencapai masa retensi;
tujuan pemrosesan Data Pribadi telah tercapai; atau
terdapat permintaan dari Subjek Data Pribadi.
Pengakhiran pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (1) dilakukan sesuai dengan ketentuan peraturan perundang-undangan.
Pasal 43
Pengendali Data Pribadi wajib menghapus Data Pribadi dalam hal:
Data Pribadi tidak lagi diperlukan untuk pencapaian tujuan pemrosesan Data Pribadi;
Subjek Data Pribadi telah melakukan penarikan kembali persetujuan pemrosesan Data Pribadi;
terdapat permintaan dari Subjek Data Pribadi; atau
Data Pribadi diperoleh dan/atau diproses dengan cara melawan hukum.
Penghapusan Data Pribadi sebagaimana dimaksud pada ayat (1) dilakukan sesuai dengan ketentuan peraturan perundang-undangan.
Pasal 44
Pengendali Data Pribadi wajib memusnahkan Data Pribadi dalam hal:
telah habis masa retensinya dan berketerangan dimusnahkan berdasarkan jadwal retensi arsip;
terdapat permintaan dari Subjek Data Pribadi;
tidak berkaitan dengan penyelesaian proses hukum suatu perkara; dan/atau
Data Pribadi diperoleh dan/atau diproses dengan cara melawan hukum.
Pemusnahan Data Pribadi sebagaimana dimaksud pada ayat (1) dilakukan sesuai dengan ketentuan peraturan perundang-undangan.
Pasal 45
Pengendali Data Pribadi wajib memberitahukan penghapusan dan/atau pemusnahan Data Pribadi kepada Subjek Data Pribadi.
Pasal 46
Dalam hal terjadi kegagalan Pelindungan Data Pribadi, Pengendali Data Pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3 x 24 (tiga kali dua puluh empat) jam kepada:
Subjek Data Pribadi; dan
lembaga.
Pemberitahuan tertulis sebagaimana dimaksud pada ayat (1) minimal memuat:
Data Pribadi yang terungkap;
kapan dan bagaimana Data Pribadi terungkap; dan
upaya penanganan dan pemulihan atas terungkapnya Data Pribadi oleh Pengendali Data Pribadi.
Dalam hal tertentu, Pengendali Data Pribadi wajib memberitahukan kepada masyarakat me ngenai kegagalan Pelindungan Data Pribadi.
Pasal 47
Pengendali Data Pribadi wajib bertanggung jawab atas pemrosesan Data Pribadi dan menunjukkan pertanggung jawaban dalam pemenuhan kewajiban pelaksanaan prinsip Pelindungan Data Pribadi.
Pasal 48
Pengendali Data Pribadi berbentuk badan hukum yang melakukan penggabungan, pemisahan, pengambilalihan, peleburan, atau pembubaran badan hukum wajib menyampaikan pemberitahuan pengalihan Data Pribadi kepada Subjek Data Pribadi.
Pemberitahuan pengalihan Data Pribadi sebagaimana dimaksud pada ayat (1) dilakukan sebelum dan sesudah penggabungan, pemisahan, pengambilalihan, peleburan, atau pembubaran badan hukum.
Dalam hal Pengendali Data Pribadi berbentuk badan hukum melakukan pembubaran atau dibubarkan, penyimpanan, pentransferan, penghapusan, atau pemusnahan Data Pribadi dilaksanakan sesuai dengan ketentuan peraturan perundang-undangan.
Penyimpanan, pentransferan, penghapusan, atau pemusnahan Data Pribadi sebagaimana dimaksud pada ayat (3) diberitahukan kepada Subjek Data Pribadi.
Ketentuan lebih lanjut mengenai tata cara pemberitahuan sebagaimana dimaksud pada ayat (1), ayat (2), dan ayat (4) diatur dalam Peraturan Pemerintah.
Pasal 49
Pengendali Data Pribadi dan/atau Prosesor Data Pribadi wajib melaksanakan perintah lembaga dalam rangka penyelenggaraan Pelindungan Data Pribadi sesuai dengan Undang-Undang ini.
Pasal 50
Kewajiban Pengendali Data Pribadi sebagaimana dimaksud dalam Pasal 30, Pasal 32, Pasal 36, Pasal 42, Pasal 43 ayat (1) huruf a sampai dengan huruf c, Pasal 44 ayat (1) huruf b, Pasal 45, dan Pasal 46 ayat (1) huruf a, dikecualikan untuk:
kepentingan pertahanan dan keamanan nasional;
kepentingan proses penegakan hukum;
kepentingan umum dalam rangka penyelenggaraan negara; atau
kepentingan pengawasan sektor jasa keuangan, moneter, sistem pembayaran, dan stabilitas sistem keuangan yang dilakukan dalam rangka penyelenggaraan negara.
Pengecualian sebagaimana dimaksud pada ayat (1) dilaksanakan hanya dalam rangka pelaksanaan ketentuan Undang-Undang.
Bagian Ketiga
Kewajiban Prosesor Data Pribadi
Pasal 51
Dalam hal Pengendali Data Pribadi menunjuk Prosesor Data Pribadi, Prosesor Data Pribadi wajib melakukan pemrosesan Data Pribadi berdasarkan perintah Pengendali Data Pribadi.
Pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (1), dilaksanakan sesuai ketentuan yang diatur dalam Undang-Undang ini.
Pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (1) termasuk dalam tanggung jawab Pengendali Data Pribadi.
Prosesor Data Pribadi dapat melibatkan Prosesor Data Pribadi lain dalam melakukan pemrosesan Data Pribadi.
Prosesor Data Pribadi wajib mendapatkan persetujuan tertulis dan Pengendali Data Pribadi sebelum melibatkan Prosesor Data Pribadi lain sebagaimana dimaksud pada ayat (4).
Dalam hal Prosesor Data Pribadi melakukan pemrosesan Data Pribadi di luar perintah dan tujuan yang ditetapkan Pengendali Data Pribadi, pemrosesan Data Pribadi menjadi tanggung jawab Prosesor Data Pribadi.
Pasal 52
Ketentuan mengenai kewajiban Pengendali Data Pribadi sebagaimana dimaksud dalam Pasal 29, Pasal 31, Pasal 35, Pasal 36, Pasal 37, Pasal 38, dan Pasal 39 berlaku juga terhadap Prosesor Data Pribadi.
Bagian Keempat
Pejabat atau Petugas yang Melaksanakan Fungsi Pelindungan Data Pribadi
Pasal 53
Pengendali Data Pribadi dan Prosesor Data Pribadi wajib menunjuk pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi dalam hal:
pemrosesan Data Pribadi untuk kepentingan pelayanan publik;
kegiatan inti Pengendali Data Pribadi memiliki sifat, ruang lingkup, dan/atau tujuan yang memerlukan pemantauan secara teratur dan sistematis atas Data Pribadi dengan skala besar; dan
kegiatan inti Pengendali Data Pribadi terdiri dari pemrosesan Data Pribadi dalam skala besar untuk Data Pribadi yang bersifat spesifik dan/atau Data Pribadi yang berkaitan dengan tindak pidana.
Pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi sebagaimana dimaksud pada ayat (1) ditunjuk berdasarkan profesionalitas, pengetahuan mengenai hukum, praktik Pelindungan Data Pribadi, dan kemampuan untuk memenuhi tugas-tugasnya.
Pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi sebagaimana dimaksud pada ayat (2) dapat berasal dari dalam dan/atau luar Pengendali Data Pribadi atau Prosesor Data Pribadi.
Pasal 54
Pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi memiliki tugas paling sedikit:
menginformasikan dan memberikan saran kepada Pengendali Data Pribadi atau Prosesor Data Pribadi agar mematuhi ketentuan dalam Undang-Undang ini;
memantau dan memastikan kepatuhan terhadap Undang-Undang ini dan kebijakan Pengendali Data Pribadi atau Prosesor Data Pribadi;
memberikan saran mengenai penilaian dampak Pelindungan Data Pribadi dan memantau kinerja Pengendali Data Pribadi dan Prosesor Data Pribadi; dan
berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesan Data Pribadi.
Dalam melaksanakan tugas sebagaimana dimaksud pada ayat (1), pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi memperhatikan risiko terkait pemrosesan Data Pribadi, dengan mempertimbangkan sifat, ruang lingkup, konteks, dan tujuan pemrosesan.
Ketentuan lebih lanjut mengenai pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi diatur dalam Peraturan Pemerintah.
BAB VII
TRANSFER DATA PRIBADI
Bagian Kesatu
Transfer Data Pribadi Dalam Wilayah Hukum Negara Republik Indonesia
Pasal 55
Pengendali Data Pribadi dapat melakukan transfer Data Pribadi kepada Pengendali Data Pribadi lainnya dalam wilayah hukum Negara Republik Indonesia.
Pengendali Data Pribadi yang melakukan transfer Data Pribadi dan yang menerima transfer Data Pribadi wajib melakukan Pelindungan Data Pribadi sebagaimana dimaksud dalam Undang-Undang ini.
Bagian Kedua
Transfer Data Pribadi ke Luar Wilayah Hukum Negara Republik Indonesia
Pasal 56
Pengendali Data Pribadi dapat melakukan transfer Data Pribadi kepada Pengendali Data Pribadi dan/atau Prosesor Data Pribadi di luar wilayah hukum Negara Republik Indonesia sesuai dengan ketentuan yang diatur dalam Undang-Undang ini.
Dalam melakukan transfer Data Pribadi sebagaimana dimaksud pada ayat (1), Pengendali Data Pribadi wajib memastikan negara tempat kedudukan Pengendali Data Pribadi dan/atau Prosesor Data Pribadi yang menerima transfer Data Pribadi memiliki tingkat Pelindungan Data Pribadi yang setara atau lebih tinggi dari yang diatur dalam Undang-Undang ini.
Dalam hal ketentuan sebagaimana dimaksud pada ayat (2) tidak terpenuhi, Pengendali Data Pribadi wajib memastikan terdapat Pelindungan Data Pribadi yang memadai dan bersifat mengikat.
Dalam hal ketentuan sebagaimana dimaksud pada ayat (2) dan ayat (3) tidak terpenuhi, Pengendali Data Pribadi wajib mendapatkan persetujuan Subjek Data Pribadi.
Ketentuan lebih lanjut mengenai transfer Data Pribadi diatur dalam Peraturan Pemerintah.
BAB VIII
SANKSI ADMINISTRATIF
Pasal 57
Pelanggaran terhadap ketentuan Pasal 20 ayat (1), Pasal 21, Pasal 24, Pasal 25 ayat (2), Pasal 26 ayat (3), Pasal 27, Pasal 28, Pasal 29, Pasal 30, Pasal 31, Pasal 32 ayat (1), Pasal 33, Pasal 34 ayat (1), Pasal 35, Pasal 36, Pasal 37, Pasal 38, Pasal 39 ayat (1), Pasal 40 ayat (1), Pasal 41 ayat (1) dan ayat (3), Pasal 42 ayat (1), Pasal 43 ayat (1), Pasal 44 ayat (1), Pasal 45, Pasal 46 ayat (1) dan ayat (3), Pasal 47, Pasal 48 ayat (1), Pasal 49, Pasal 51 ayat (1) dan ayat (5), Pasal 52, Pasal 53 ayat (1), Pasal 55 ayat (2), dan Pasal 56 ayat (2) sampai dengan ayat (4) dikenai sanksi administratif.
Sanksi administratif sebagaimana dimaksud pada ayat (1) berupa:
peringatan tertulis;
penghentian sementara kegiatan pemrosesan Data Pribadi;
penghapusan atau pemusnahan Data Pribadi; dan/atau
denda administratif.
Sanksi administratif berupa denda administratif sebagaimana dimaksud pada ayat (2) huruf d paling tinggi 2 (dua) persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.
Penjatuhan sanksi administratif sebagaimana dimaksud pada ayat (2) diberikan oleh lembaga.
Ketentuan lebih lanjut mengenai tata cara pengenaan sanksi administratif sebagaimana dimaksud pada ayat (3) diatur dalam Peraturan Pemerintah.
BAB IX
KELEMBAGAAN
Pasal 58
Pemerintah berperan dalam mewujudkan penyelenggaraan Pelindungan Data Pribadi sesuai dengan ketentuan Undang-Undang ini.
Penyelenggaraan Pelindungan Data Pribadi sebagaimana dimaksud pada ayat (1) dilaksanakan oleh lembaga.
Lembaga sebagaimana dimaksud pada ayat (2) ditetapkan oleh Presiden.
Lembaga sebagaimana dimaksud pada ayat (2) bertanggung jawab kepada Presiden.
Ketentuan lebih lanjut mengenai lembaga sebagaimana dimaksud pada ayat (2) diatur dengan Peraturan Presiden.
Pasal 59
Lembaga sebagaimana dimaksud dalam Pasal 58 ayat (2) melaksanakan:
perumusan dan penetapan kebijakan dan strategi Pelindungan Data Pribadi yang menjadi panduan bagi Subjek Data Pribadi, Pengendali Data Pribadi, dan Prosesor Data Pribadi;
pengawasan terhadap penyelenggaraan Pelindungan Data Pribadi;
penegakan hukum administratif terhadap pelanggaran Undang-Undang ini; dan
fasilitasi penyelesaian sengketa di luar pengadilan.
Pasal 60
Lembaga sebagaimana dimaksud dalam Pasal 58 ayat (2) berwenang:
merumuskan dan menetapkan kebijakan di bidang Pelindungan Data Pribadi;
melakukan pengawasan terhadap kepatuhan Pengendali Data Pribadi;
menjatuhkan sanksi administratif atas pelanggaran Pelindungan Data Pribadi yang dilakukan Pengendali Data Pribadi dan/atau Prosesor Data Pribadi;
membantu aparat penegak hukum dalam penanganan dugaan tindak pidana Data Pribadi sebagaimana dimaksud dalam Undang-Undang ini;
bekerja sama dengan lembaga Pelindungan Data Pribadi negara lain dalam rangka penyelesaian dugaan pelanggaran Pelindungan Data Pribadi lintas negara;
melakukan penilaian terhadap pemenuhan persyaratan transfer Data Pribadi ke luar wilayah hukum Negara Republik Indonesia;
memberikan perintah dalam rangka tindak lanjut hasil pengawasan kepada Pengendali Data Pribadi dan/atau Prosesor Data Pribadi;
melakukan publikasi hasil pelaksanaan pengawasan Pelindungan Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan;
menerima aduan dan/atau laporan tentang dugaan terjadinya pelanggaran Pelindungan Data Pribadi;
melakukan pemeriksaan dan penelusuran atas pengaduan, laporan, dan/atau hasil pengawasan terhadap dugaan terjadinya pelanggaran Pelindungan Data Pribadi;
memanggil dan menghadirkan Setiap Orang dan/atau Badan Publik yang terkait dengan dugaan pelanggaran Pelindungan Data Pribadi;
meminta keterangan, data, Informasi, dan dokumen dari Setiap Orang dan/atau Badan Publik terkait dugaan pelanggaran Pelindungan Data Pribadi;
memanggil dan menghadirkan ahli yang diperlukan dalam pemeriksaan dan penelusuran terkait dugaan pelanggaran Pelindungan Data Pribadi;
melakukan pemeriksaan dan penelusuran terhadap sistem elektronik, sarana, ruang, dan/atau tempat yang digunakan Pengendali Data Pribadi dan/atau Prosesor Data Pribadi, termasuk memperoleh akses terhadap data dan/atau menunjuk pihak ketiga; dan
meminta bantuan hukum kepada kejaksaan dalam penyelesaian sengketa Pelindungan Data Pribadi.
Pasal 61
Ketentuan mengenai tata cara pelaksanaan wewenang lembaga sebagaimana dimaksud dalam PaSal 60 diatur dalam Peraturan Pemerintah.
BAB X
KERJA SAMA INTERNASIONAL
Pasal 62
Kerja sama internasional dilakukan oleh Pemerintah dengan pemerintah negara lain atau Organisasi Internasional terkait dengan Pelindungan Data Pribadi.
Kerja sama internasional dalam rangka pelaksanaan Undang-Undang ini dilaksanakan sesuai dengan ketentuan peraturan perundang-undangan dan prinsip hukum internasional.
BAB XI
PARTISIPASI MASYARAKAT
Pasal 63
Masyarakat dapat berperan baik secara langsung maupun tidak langsung dalam mendukung terselenggaranya Pelindungan Data Pribadi.
Pelaksanaan peran sebagaimana dimaksud pada ayat (1) dapat dilakukan melalui pendidikan, pelatihan, Edvokasi, so sialisasi, dan/atau pengawasan sesuai dengan ketentuan peraturan perundang-undangan.
BAB XII
PENYELESAIAN SENGKETA DAN HUKUM ACARA
Pasal 64
Penyelesaian sengketa Pelindungan Data Pribadi dilakukan melalui arbitrase, pengadilan, atau lembaga penyelesaian sengketa alternatif lainnya sesuai dengan ketentuan peraturan perundang-undangan.
Hukum acara yang berlaku dalam penyelesaian sengketa dan/ atau proses peradilan Pelindungan Data Pribadi sebagaimana dimaksud pada ayat (1) dilaksanakan berdasarkan hukum acara yang berlaku sesuai dengan ketentuan peraturan perundang-undangan.
Alat bukti yang sah dalam Undang-Undang ini meliputi:
alat bukti sebagaimana dimaksud dalam hukum acara; dan
alat bukti lain berupa informasi elektronik dan/atau dokumen elektronik sesuai dengan ketentuan peraturan perundang-undangan.
Dalam hal diperlukan untuk melindungi Data Pribadi, proses persidangan dilakukan secara tertutup.
BAB XIII
LARANGAN DALAM PENGGUNAAN DATA PRIBADI
Pasal 65
Setiap Orang dilarang secara melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi.
Setiap Orang dilarang secara melawan hukum mengungkapkan Data Pribadi yang bukan miliknya.
Setiap Orang dilarang secara melawan hukum menggunakan Data Pribadi yang bukan miliknya.
Pasal 66
Setiap Orang dilarang membuat Data Pribadi palsu atau memalsukan Data Pribadi dengan maksud untuk menguntungkan din sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain.
BAB XIV
KETENTUAN PIDANA
Pasal 67
Setiap Orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan din sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi sebagaimana dimaksud dalam. Pasal 65 ayat (1) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah).
Setiap Orang yang dengan sengaja dan melawan hukum mengungkapkan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (2) dipidana dengan pidana penjara paling lama 4 (empat) tahun dan/atau pidana denda paling banyak Rp4.000.000.000,00 (empat miliar rupiah).
Setiap Orang yang dengan sengaja dan melawan hukum menggunakan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (3) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah).
Pasal 68
Setiap Orang yang dengan sengaja membuat Data Pribadi palsu atau memalsukan Data Pribadi dengan maksud untuk menguntungkan din sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain sebagaimana dimaksud dalam Pasal 66 dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau pidana denda paling banyak Rp6.000.000.000,00 (enam miliar rupiah).
Pasal 69
Selain dijatuhi pidana sebagaimana dimaksud dalam Pasal 67 dan Pasal 68 juga dapat dijatuhi pidana tambahan berupa perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana dan pembayaran ganti kerugian.
Pasal 70
Dalam hal tindak pidana sebagaimana dimaksud dalam Pasal 67 dan Pasal 68 dilakukan oleh Korporasi, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau Korporasi.
Pidana yang dapat dijatuhkan terhadap Korporasi hanya pidana denda.
Pidana denda yang dijatuhkan kepada Korporasi paling banyak 10 (sepuluh) kali dari maksimal pidana denda yang diancamkan.
Selain dijatuhi pidana denda sebagaimana dimaksud pada ayat (2), Korporasi dapat dijatuhi pidana tambahan berupa:
perampasan keuntungan dan/ atau harta kekayaan yang diperoleh atau hasil dari tindak pidana;
pembekuan seluruh atau sebagian usaha Korporasi;
pelarangan permanen melakukan perbuatan tertentu;
penutupan seluruh atau sebagian tempat usaha dan/atau kegiatan Korporasi;
melaksanakan kewajiban yang telah dilalaikan;
pembayaran ganti kerugian;
pencabutan izin; dan/ atau
pembubaran Korporasi.
Pasal 71
Dalam hal pengadilan menjatuhkan putusan pidana denda, terpidana diberikan jangka waktu 1 (satu) bulan sejak putusan telah memperoleh kekuatan hukum tetap untuk membayar denda tersebut.
Dalam hal terdapat alasan kuat, jangka waktu sebagaimana dimaksud pada ayat (1) dapat diperpanjang untuk waktu paling lama 1 (satu) bulan.
Dalam hal terpidana tidak membayar pidana denda dalam jangka waktu sebagaimana dimaksud pada ayat (1) atau ayat (2) maka harta kekayaan atau pendapatan terpidana dapat disita dan dilelang oleh jaksa untuk melunasi pidana denda yang tidak dibayar.
Dalam hal penyitaan dan pelelangan harta kekayaan atau pendapatan sebagaimana dimaksud pada ayat (3) tidak cukup atau tidak memungkinkan untuk dilaksanakan, pidana denda yang tidak dibayar diganti dengan pidana penjara paling lama sebagaimana diancamkan untuk tindak pidana yang bersangkutan.
Lamanya pidana penjara sebagaimana dimaksud pada ayat (4) yang ditentukan oleh hakim, dicantumkan dalam putusan pengadilan.
Pasal 72
Dalam hal penyitaan dan pelelangan harta kekayaan atau pendapatan sebagaimana dimaksud dalam Pasal 71 ayat (4) dilakukan terhadap terpidana Korporasi dan tidak cukup untuk melunasi pidana denda, Korporasi dikenakan pidana pengganti berupa pembekuan sebagian atau seluruh kegiatan usaha Korporasi untuk jangka waktu paling lama 5 (lima) tahun.
Lamanya pembekuan sebagian atau seluruh kegiatan usaha Korporasi sebagaimana dimaksud pada ayat (1) yang ditentukan oleh hakim, dicantumkan dalam putusan pengadilan.
Pasal 73
Ketentuan sebagaimana dimaksud dalam Pasal 71 dan Pasal 72 juga berlaku dalam hal penjatuhan pidana tambahan berupa pembayaran ganti kerugian.
BAB XV
KETENTUAN PERALIHAN
Pasal 74
Pada saat Undang-Undang ini mulai berlaku, Pengendali Data Pribadi, Prosesor Data Pribadi, dan pihak lain yang terkait dengan pemrosesan Data Pribadi, wajib menyesuaikan dengan ketentuan pemrosesan Data Pribadi berdasarkan Undang-Undang ini paling lama 2 (dua) tahun sejak Undang-Undang ini diundangkan.
Pasal 75
Pada saat Undang-Undang ini mulai berlaku, semua ketentuan peraturan perundang-undangan yang mengatur mengenai Pelindungan Data Pribadi, dinyatakan masih tetap berlaku sepanjang tidak bertentangan dengan ketentuan dalam Undang-Undang ini.
BAB XVI
KETENTUAN PENUTUP
Pasal 76
Undang-Undang ini mulai berlaku pada tanggal diundangkan.
Agar setiap orang mengetahuinya, memerintahkan pengundangan Undang-Undang ini dengan penempatannya dalam Lembaran Negara Republik Indonesia.
Disahkan di Jakarta
pada tanggal 17 Oktober 2022
PRESIDEN REPUBLIK INDONESIA,
ttd.
JOKO WIDODO
Diundangkan di Jakarta
pada tanggal 17 Oktober 2022
MENTERI SEKRETARIS NEGARA REPUBLIK INDONESIA,
ttd.
PRATIKNO
LEMBARAN NEGARA REPUBLIK INDONESIA TAHUN 2022 NOMOR 196
PENJELASAN ATAS UNDANG-UNDANG REPUBLIK INDONESIA NOMOR 27 TAHUN 2022
TENTANG
PELINDUNGAN DATA PRIBADI
I UMUM
Perkembangan teknologi informasi dan komunikasi yang melaju dengan pesat telah menimbulkan berbagai peluang dan tantangan. Teknologi informasi memungkinkan manusia untuk saling terhubung tanpa mengenal batas wilayah negara sehingga merupakan salah satu faktor pendorong globalisasi. Berbagai sektor kehidupan telah meman faatkan sistem teknologi informasi, seperti penyelenggaraan electronic commerce (e-commerce) dalam sektor perdagangan/ bisnis, electronic education (e-education) dalam bidang pendidikan, electronic health (e-health) dalam bidang kesehatan, electronic government (e-government) dalam bidang pemerintahan, serta teknologi informasi yang dimanfaatkan dalam bidang lainnya. Pemanfaatan teknologi informasi tersebut mengakibatkan Data Pribadi seseorang sangat mudah untuk dikumpullcan dan dipindahkan dari satu pihak ke pihak lain tanpa sepengetahuan Subjek Data Pribadi, sehingga mengancam hak konstitusional Subjek Data Pribadi.
Pelindungan Data Pribadi masuk dalam pelindungan hak asasi manusia. Dengan demikian, pengaturan menyangkut Data Pribadi merupakan manifestasi pengakuan dan pelindungan atas hak dasar manusia. Keberadaan suatu Undang-Undang tentang Pelindungan Data Pribadi merupakan suatu keharusan yang tidak dapat ditunda lagi karena sangat mendesak bagi berbagai kepentingan nasional. Pergaulan internasional Indonesia turut menuntut adanya Pelindungan Data Pribadi. Pelindungan tersebut dapat memperlancar perdagangan, industri, dan investasi yang bersifat transnasional.
Undang-Undang tentang Pelindungan Data Pribadi merupakan amanat dari Pasal 28G ayat (1) Undang-Undang Dasar Negara Republik Indonesia Tahun 1945 yang menyatakan bahwa, "Setiap orang berhak atas perlindungan din pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan pelindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi". Persoalan Pelindungan Data Pribadi muncul karena keprihatinan akan pelanggaran terhadap Data Pribadi yang dapat dialami oleh orang dan/ atau badan hukum. Pelanggaran tersehut dapat menimbulkan kerugian materiel dan nonmateriel.
Perumusan aturan tentang Pelindungan Data Pribadi dapat dipahami karena adanya kebutuhan untuk melindungi hak individu di dalam masyarakat sehubungan dengan pemrosesan Data Pribadi baik yang dilakukan secara elektronik dan nonelektronik menggunakan perangkat olah data. Pelindungan yang memadai atas Data Pribadi akan mampu memberikan kepercayaan masyarakat untuk menyediakan Data Pribadi guna berbagai kepentingan masyarakat yang lebih besar tanpa disalahgunakan atau melanggar hak pribadinya. Dengan demikian, pengaturan ini akan menciptakan keseimbangan antara hak individu dan masyarakat yang diwakili kepentingannya oleh negara. Pengaturan tentang Pelindungan Data Pribadi ini akan memberikan kontribusi yang besar terhadap terciptanya ketertiban dan kemajuan dalam masyarakat informasi.
Untuk mengurangi tumpang tindih ketentuan tentang Pelindungan Data Pribadi maka pada dasarnya ketentuan dalam Undang-Undang ini adalah standar Pelindungan Data Pribadi secara umum, balk yang diproses sebagian atau keseluruhan dengan cara elektronik dan nonelektronik, dimana masing-masing sektor dapat menerapkan Pelindungan Data Pribadi sesuai karakteristik sektor yang bersangkutan. Pengaturan Pelindungan Data Pribadi bertujuan antara lain melindungi dan menjamin hak dasar warga negara terkait dengan pelindungan din pribadi, menjamin masyarakat untuk mendapatkan pelayanan dan Korporasi, Badan Publik, Organisasi Internasional, dan Pemerintah, mendorong pertumbuhan ekonomi digital dan industri teknologi informasi dan komunikasi, dan mendukung peningkatan daya saing industri dalam negeri.
II PASAL DEMI PASAL
Pasal 1
Cukup jelas.
Pasal 2
Cukup jelas.
Pasal 3
Huruf a
Yang dimaksud dengan "asas pelindungan" adalah bahwa setiap pemrosesan Data Pribadi dilakukan dengan memberikan pelindungan kepada Subjek Data Pribadi atas Data Pribadinya dan Data Pribadi tersebut agar tidak disalahgunakan.
Huruf b
Yang dimaksud dengan "asas kepastian hukum" adalah bahwa setiap pemrosesan Data Pribadi dilakukan berdasarkan landasan hukum untuk mewujudkan Pelindungan Data Pribadi serta segala sesuatu yang mendukung penyelenggaraannya sehingga mendapatkan pengakuan hukum di dalam dan di luar pengadilan.
Huruf c
Yang dimaksud dengan "asas kepentingan umum" adalah bahwa dalam menegakkan Pelindungan Data Pribadi harus memperhatikan kepentingan umum atau masyarakat secara luas. Kepentingan umum tersebut antara lain kepentingan penyelenggaraan negara dan pertahanan dan keamanan nasional.
Huruf d
Yang dimaksud dengan "asas kemanfaatan" adalah bahwa pengaturan Pelindungan Data Pribadi hams bermanfaat bagi kepentingan nasional, khususnya dalam mewujudkan cita-cita kesejahteraan umum.
Huruf e
Yang dimaksud dengan "asas kehati-hatian" adalah bahwa para pihak yang terkait dengan pemrosesan dan pengawasan Data Pribadi hams memperhatikan segenap aspek yang berpotensi mendatangkan kerugian.
Huruf f
Yang dimaksud dengan "asas keseimbangan" adalah sebagai upaya Pelindungan Data Pribadi untuk menyeimbangkan antara hak atas Data Pribadi di satu pihak dengan hak negara yang sah berdasarkan kepentingan umum.
Huruf g
Yang dimaksud dengan "asas pertanggungjawaban" adalah bahwa semua pihak yang terkait dengan pemrosesan dan pengawasan Data Pribadi bertindak secara bertanggung jawab sehingga mampu menjamin keseimbangan hak dan kewajiban para pihak yang terkait termasuk Subjek Data Pribadi.
Huruf h
Yang dimaksud dengan "asas kerahasiaan" adalah bahwa Data Pribadi terlindungi dari pihak yang tidak berhak dan/atau dari kegiatan pemrosesan Data Pribadi yang tidak sah.
Pasal 4
Ayat 1
Huruf a
Data Pribadi yang bersifat spesifik merupakan Data Pribadi yang apabila dalam pemrosesannya dapat mengakibatkan dampak lebih besar kepada Subjek Data Pribadi, antara lain tindakan diskriminasi dan kerugian yang lebih besar Subjek Data Pribadi.
Huruf b
Cukup jelas.
Ayat 2
Huruf a
Yang dimaksud dengan "data dan informasi kesehatan" adalah catatan atau keterangan individu yang berkaitan dengan kesehatan fisik, kesehatan mental, dan/ atau pelayanan kesehatan.
Huruf b
Yang dimaksud dengan "data biometrik" adalah data yang berkaitan dengan fisik, fisiologis, atau karakteristik perilaku individu yang memungkinkan identifikasi unik terhadap individu, seperti gambar wajah atau data daktiloskopi. Data biometrik juga menjelaskan pada sifat keunikan dan/ atau karakteristik seseorang yang hams dijaga dan dirawat, termasuk namun tidal( terbatas pada rekam sidik jari, retina mata, dan sampel DNA.
Huruf c
Yang dimaksud dengan "data genetika" adalah semua data jenis apapun mengenai karakteristik suatu individu yang diwariskan atau diperoleh selama perkembangan prenatal awal.
Huruf d
Yang dimaksud dengan "catatan kejahatan" merupakan catatan tertulis tentang seseorang yang pernah melakukan perbuatan melawan hukum atau melanggar hukum atau sedang dalam proses peradilan atas perbuatan yang dilakukan, antara lain catatan kepolisian dan pencantuman dalam daftar pencegahan atau penangkalan.
Huruf e
Cukup jelas.
Huruf f
Yang dimaksud dengan "data keuangan pribadi" adalah termasuk namun tidak terbatas kepada data jumlah simpanan pada bank termasuk tabungan, deposito, dan data kartu kredit.
Huruf g
Cukup jelas.
Ayat 3
Huruf a
Cukup jelas.
Huruf b
Cukup jelas.
Huruf c
Cukup jelas.
Huruf d
Cukup jelas.
Huruf e
Cukup jelas.
Huruf f
Yang dimaksud dengan "Data Pribadi yang dikombinasikan untuk mengidentifikasi seseorang" antara lain nomor telepon seluler dan IP Address.
Pasal 5
Cukup jelas.
Pasal 6
Cukup jelas.
Pasal 7
Hak untuk memperoleh salinan Data Pribadi dilakukan secara gratis, kecuali untuk kondisi tertentu yang memang membutuhkan biaya.
Pasal 8
Cukup jelas.
Pasal 9
Cukup jelas.
Pasal 10
Ayat 1
Yang dimaksud dengan "pemrofilan" adalah kegiatan mengidentifikasi seseorang termasuk namun tidak terbatas pada riwayat pekerjaan, kondisi ekonomi, kesehatan, preferensi pribadi, minat, keandalan, perilaku, lokasi, atau pergerakan Subjek Data Pribadi secara elektronik.
Ayat 2
Cukup jelas.
Pasal 11
Cukup jelas.
Pasal 12
Cukup jelas.
Pasal 13
Cukup jelas.
Pasal 14
Cukup jelas.
Pasal 15
Ayat 1
Huruf a
Cukup jelas.
Huruf b
Yang dimaksud dengan "kepentingan proses penegakan hukum" adalah kepentingan yang berkaitan dengan upaya atau langkah dalam rangka menjalankan atau menegakkan aturan hukum berdasarkan ketentuan peraturan perundang-undangan antara lain proses penyelidikan, penyidikan, dan penuntutan.
Huruf c
Yang dimaksud dengan "kepentingan umum dalam rangka penyelenggaraan negara" antara lain penyelenggaraan administrasi kependudukan, jaminan sosial, perpajakan, kepabeanan, dan pelayanan perizinan berusaha terintegrasi secara elektronik.
Huruf d
Yang dimaksud dengan "sektor jasa keuangan" adalah perbankan, pasar modal, asuransi, lembaga pembiayaan, dana pensiun, regulasi berbasis teknologi, teknologi finansial, dan teknologi yang berbasis lainnya yang berada dalam pengawasan Bank Indonesia, Otoritas Jasa Keuangan, dan Lembaga Penjamin Simpanan.
Huruf e
Cukup jelas.
Ayat 2
Cukup jelas.
Pasal 16
Ayat 1
Huruf a
Cukup jelas.
Huruf b
Cukup jelas.
Huruf c
Cukup jelas.
Huruf d
Cukup jelas.
Huruf e
Yang dimaksud dengan "penampilan" adalah perbuatan memperlihatkan Data Pribadi untuk tujuan tertentu dan pihak-pihak tertentu.
Yang dimaksud dengan "pengumuman" adalah pemberitahuan sebuah Informasi yang ditujukan kepada orang banyak dan bersifat umum.
Yang dimaksud dengan "transfer" adalah perpindahan, pengiriman, dan/atau penggandaan Data Pribadi baik secara elektronik maupun nonelektronik dari Pengendali Data Pribadi kepada pihak lain.
Huruf f
Cukup jelas.
Ayat 2
Cukup jelas.
Ayat 3
Cukup jelas.
Pasal 17
Cukup jelas.
Pasal 18
Cukup jelas.
Pasal 19
Cukup jelas.
Pasal 20
Ayat 1
Cukup jelas.
Ayat 2
Huruf a
Cukup jelas.
Huruf b
Cukup jelas.
Huruf c
Cukup jelas.
Huruf d
Yang dimaksud dengan "kepentingan vital Subjek Data Pribadi" adalah terkait dengan keberlangsungan hidup dari Subjek Data Pribadi misalnya ketika pemrosesan Data Pribadi diperlukan untuk tindakan perawatan medis serius.
Huruf e
Cukup jelas.
Huruf f
Cukup jelas.
Pasal 21
Ayat 1
Huruf a
Cukup jelas.
Huruf b
Cukup jelas.
Huruf c
Cukup jelas.
Huruf d
Cukup jelas.
Huruf e
Yang dimaksud dengan "rincian mengenai Informasi yang dikumpulkan" adalah daftar Informasi mengenai Data Pribadi Subjek Data Pribadi, baik berupa Data Pribadi yang bersifat umum maupun Data Pribadi yang bersifat spesifik, yang dikumpulkan oleh Pengendali Data Pribadi dalam rangka pemrosesan Data Pribadi.
Huruf f
Yang dimaksud dengan "jangka waktu pemrosesan Data Pribadi" adalah rentang waktu dimulainya hingga selesainya serangkaian kegiatan pemrosesan Data Pribadi sesuai dengan tujuan pemrosesan Data Pribadi.
Huruf g
Cukup jelas.
Ayat 2
Cukup jelas.
Pasal 22
Ayat 1
Cukup jelas.
Ayat 2
Cukup jelas.
Ayat 3
Cukup jelas.
Ayat 4
Huruf a
Cukup jelas.
Huruf b
Cukup jelas.
Huruf c
Yang dimaksud dengan "bahasa" adalah Bahasa Indonesia.
Ayat 5
Cukup jelas.
Pasal 23
Cukup jelas.
Pasal 24
Cukup jelas.
Pasal 25
Cukup jelas.
Pasal 26
Cukup jelas.
Pasal 27
Yang dimaksud dengan "secara terbatas dan spesifik" adalah pengumpulan Data Pribadi harus terbatas sesuai dengan tujuan pemrosesannya serta tujuan pemrosesan Data Pribadi harus secara eksplisit, sah, dan telah ditentukan pada saat pengumpulan Data Pribadi.
Yang dimaksud dengan "sah secara hukum" adalah pemrosesan Data Pribadi dilakukan sesuai dengan ketentuan peraturan perundang-undangan.
Yang dimaksud dengan "transparan" adalah pemrosesan Data Pribadi dilakukan dengan mema stikan bahwa Subjek Data Pribadi telah mengetahui Data Pribadi yang diproses dan bagaimana Data Pribadi tersebut diproses, serta setiap Informasi dan komunikasi yang berkaitan dengan pemrosesan Data Pribadi tersebut mudah diakses dan dipahami, dengan menggunakan bahasa yang jelas.
Pasal 28
Cukup jelas.
Pasal 29
Cukup jelas.
Pasal 30
Cukup jelas.
Pasal 31
Cukup jelas.
Pasal 32
Cukup jelas.
Pasal 33
Huruf a
Yang dimaksud dengan "membahayakan keamanan, kesehatan fisik, atau kesehatan mental Subjek Data Pribadi dan/atau orang lain" antara lain perubahan data riwayat penyakit yang berpotensi membahayakan keamanan din sendiri dan/atau orang lain.
Huruf b
Yang dimaksud dengan "berdampak pada pengungkapan Data Pribadi milik orang lain" antara lain perubahan Data Pribadi nasabah yang berdampak pada pengungkapan Data Pribadi orang lain.
Huruf c
Cukup jelas.
Pasal 34
Ayat 1
Penilaian dampak Pelindungan Data Pribadi dilakukan untuk mengevaluasi potensi risiko yang timbul dari suatu pemrosesan Data Pribadi serta upaya atau langkah yang hams dilakukan untuk memitigasi risiko, termasuk terhadap hak Subjek Data Pribadi dan mematuhi Undang-Undang ini.
Ayat 2
Cukup jelas.
Ayat 3
Cukup jelas.
Pasal 35
Cukup jelas.
Pasal 36
Cukup jelas.
Pasal 37
Cukup jelas.
Pasal 38
Cukup jelas.
Pasal 39
Cukup jelas.
Pasal 40
Cukup jelas.
Pasal 41
Cukup jelas.
Pasal 42
Cukup jelas.
Pasal 43
Cukup jelas.
Pasal 44
Ayat 1
Yang dimaksud dengan "memusnahkan" adalah tindakan untuk menghilangkan, melenyapkan, atau menghancurkan Data Pribadi sehingga tidak lagi dapat digunakan untuk mengidentifikasi Subjek Data Pribadi.
Ayat 2
Cukup jelas.
Pasal 45
Cukup jelas.
Pasal 46
Ayat 1
Yang dimaksud dengan "kegagalan Pelindungan Data Pribadi" adalah kegagalan melindungi Data Pribadi seseorang dalam hal kerahasiaan, integritas, dan ketersediaan Data Pribadi, termasuk pelanggaran keamanan, baik yang disengaja maupun tidak disengaja, yang mengarah pada perusakan, kehilangan, perubahan, pengungkapan, atau akses yang tidak sah terhadap Data Pribadi yang dikirim, disimpan, atau diproses.
Ayat 2
Cukup jelas
Ayat 3
Yang dimaksud dengan "dalam hal tertentu" antara lain jika kegagalan Pelindungan Data Pribadi mengganggu pelayanan publik dan/ atau berdampak serius terhadap kepentingan masyarakat.
Pasal 47
Cukup jelas.
Pasal 48
Ayat 1
Yang dimaksud dengan "pemberitahuan" adalah pemberitahuan kepada Subjek Data Pribadi atau pemberitahuan secara umum melalui media massa baik elektronik maupun nonelektronik.
Ayat 2
Cukup jelas.
Ayat 3
Cukup jelas.
Ayat 4
Cukup jelas.
Ayat 5
Cukup jelas.
Pasal 49
Cukup jelas.
Pasal 50
Cukup jelas.
Pasal 51
Cukup jelas.
Pasal 52
Cukup jelas.
Pasal 53
Ayat 1
Yang dimaksud dengan "pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi" adalah pejabat atau petugas yang bertanggung jawab untuk memastikan pemenuhan kepatuhan atas prinsip Pelindungan Data Pribadi dan mitigasi risiko pelanggaran Pelindungan Data Pribadi.
Ayat 2
Cukup jelas.
Ayat 3
Cukup jelas.
Pasal 54
Cukup jelas.
Pasal 55
Cukup jelas.
Pasal 56
Cukup jelas.
Pasal 57
Ayat 1
Cukup jelas.
Ayat 2
Cukup jelas.
Ayat 3
Yang dimaksud dengan "pendapatan" adalah anis masuk bruto dari manfaat ekonomi yang timbul dari aktivitas normal entitas selama periode jika arus masuk tersebut mengakibatkan kenaikan ekuitas yang tidak berasal dari kontribusi penanam modal.
Ayat 4
Cukup jelas.
Ayat 5
Cukup jelas.
Pasal 58
Cukup jelas.
Pasal 59
Huruf a
Cukup jelas.
Huruf b
Cukup jelas.
Huruf c
Cukup jelas.
Huruf d
Yang dimaksud dengan "fasilitasi penyelesaian sengketa di luar pengadilan" adalah pemberian sarana penyelesaian sengketa melalui prosedur yang disepakati para pihak, yakni penyelesaian di luar pengadilan dengan cara konsultasi, arbitrase, negosiasi, mediasi, konsiliasi, atau penilaian ahli sesuai dengan ketentuan peraturan perundang-undangan.
Pasal 60
Huruf a
Dalam hal perumusan dan penetapan kebijakan Pelindungan Data Pribadi, lembaga melibatkan organisasi usaha sesuai dengan ketentuan peraturan perundang-undangan.
Huruf b
Cukup jelas.
Huruf c
Cukup jelas.
Huruf d
Cukup jelas.
Huruf e
Cukup jelas.
Huruf f
Cukup jelas.
Huruf g
Cukup jelas.
Huruf h
Cukup jelas.
Huruf i
Cukup jelas.
Huruf j
Cukup jelas.
Huruf k
Cukup jelas.
Huruf l
Cukup jelas.
Huruf m
Cukup jelas.
Huruf n
Cukup jelas.
Huruf o
Cukup jelas.
Pasal 61
Cukup jelas.
Pasal 62
Cukup jelas.
Pasal 63
Cukup jelas.
Pasal 64
Cukup jelas.
Pasal 65
Cukup jelas.
Pasal 66
Cukup jelas.
Pasal 67
Cukup jelas.
Pasal 68
Cukup jelas.
Pasal 69
Cukup jelas.
Pasal 70
Cukup jelas.
Pasal 71
Cukup jelas.
Pasal 72
Cukup jelas.
Pasal 73
Cukup jelas.
Pasal 74
Cukup jelas.
Pasal 75
Cukup jelas.
Pasal 76
Cukup jelas.
Meta | Keterangan |
---|---|
Tipe Dokumen | Peraturan Perundang-undangan |
Judul | Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi |
T.E.U. Badan/Pengarang | Indonesia |
Nomor Peraturan | 27 |
Jenis / Bentuk Peraturan | Undang-undang |
Singkatan Jenis/Bentuk Peraturan | UU |
Tempat Penetapan | Jakarta |
Tanggal-Bulan-Tahun Penetapan/Pengundangan | 17-10-2022 / 17-10-2022 |
Sumber | LN 2022 (196): 50 hlm. |
Subjek | PELINDUNGAN - DATA PRIBADI |
Status Peraturan |
Berlaku
|
Bahasa | Indonesia |
Lokasi | BIRO HUKUM KOMINFO |
Bidang Hukum | Hukum Administrasi Negara |
Lampiran |