Update: December 2016

PERATURAN MENTERI KOMUNIKASI DAN REGULATION OF THE MINISTER OF

INFORMATIKA REPUBLIK INDONESIA COMMUNICATIONS AND INFORMATICS
OF THE REPUBLIC OF INDONESIA
NOMOR 20 TAHUN 2016 NUMBER 20 OF 2016
TENTANG CONCERNING
PERLINDUNGAN DATA PRIBADI DALAM PROTECTION OF PERSONAL DATA IN THE
SISTEM ELEKTRONIK ELECTRONIC SYSTEM

Daftar Isi / Table of Contents

Pasal / Article
Bab I: KETENTUAN UMUM 1‒2 Chap. I: GENERAL PROVISIONS
Bab II: PERLINDUNGAN 3 ‒ 25 Chap. II: PROTECTION
-Bagian Kesatu: Umum 3‒6 -Part One: General
-Bagian Kedua: Perolehan dan Pengumpulan -Part Two: Acquisition and Collection of
7 ‒ 11
Data Pribadi Personal Data
-Bagian Ketiga: Pengolahan dan -Part Three: Processing and Analysis of
12 ‒ 14
Penganalisisan Data Pribadi Personal Data
-Bagian Keempat: Penyimpanan Data -Part Four: Storage of Personal Data
15 ‒ 20
Pribadi
-Bagian Kelima: Penampilan, Pengumuman, -Part Five: Display, Publication,
Pengiriman, Penyebarluasan, dan/atau 21 ‒ 24 Transmission, Dissemination, and/or
Pembukaan Akses Data Pribadi Allowance of Access to Personal Data
-Bagian Keenam: Pemusnahan Data Pribadi 25 -Part Six: Destruction of Personal Data
Bab III: HAK PEMILIK DATA PRIBADI 26 Chap. III: RIGHTS OF DATA SUBJECTS
Bab IV: KEWAJIBAN PENGGUNA 27 Chap. IV: OBLIGATIONS OF USERS
Bab V: KEWAJIBAN PENYELENGGARA Chap. V: OBLIGATIONS OF ELECTRONIC
28
SISTEM ELEKTRONIK SYSTEM PROVIDERS
Bab VI: PENYELESAIAN SENGKETA 29 ‒ 33 Chap. VI: DISPUTE RESOLUTION
Bab VII: PERAN PEMERINTAH DAN Chap. VII: GOVERNMENT AND PUBLIC
34
MASYARAKAT PARTICIPATION
Bab VIII: PENGAWASAN 35 Chap. VIII: SUPERVISION
Bab IX: SANKSI ADMINISTRATIF 36 Chap. IX: ADMINISTRATIVE SANCTIONS
Bab X: KETENTUAN LAIN 37 Chap. X: MISCELLANEOUS PROVISIONS
Bab XI: KETENTUAN PERALIHAN 38 Chap. XI: TRANSITIONAL PROVISIONS
Bab XII: KETENTUAN PENUTUP 39 Chap. XII: CONCLUDING PROVISIONS

Translated by: Wishnu Basuki

wbasuki@gmail.com

Primary reading materials to which this translation conforms:

● CU 108 Convention for the protection of individuals with regard to automatic processing of personal data (Council of Europe), Jan
28, 1981
● E/CN.4/1990/72 Guidelines concerning computerized personal data files (United Nations), Feb 20, 1990
● Directive 95/46/EC Protection of individuals with regard to the processing of personal data and on the free movement of such data,
Oct 24, 1995 (European Union)
PERATURAN MENTERI KOMUNIKASI DAN
INFORMATIKA REPUBLIK INDONESIA
NOMOR 20 TAHUN 2016
TENTANG
PERLINDUNGAN DATA PRIBADI DALAM
SISTEM ELEKTRONIK
DENGAN RAHMAT TUHAN YANG MAHA
ESA
MENTERI KOMUNIKASI DAN
INFORMATIKA REPUBLIK INDONESIA,
Menimbang:
bahwa untuk melaksanakan ketentuan Pasal 15
ayat (3) Peraturan Pemerintah Nomor 82 Tahun
2012 tentang Penyelenggaraan Sistem dan
Transaksi Elektronik, perlu menetapkan Peraturan
Menteri Komunikasi dan Informatika tentang
Perlindungan Data Pribadi dalam Sistem
Elektronik;
Mengingat:
1. Undang-Undang Nomor 11 Tahun 2008 1.
tentang Informasi dan Transaksi Elektronik
(Lembaran Negara Republik Indonesia Tahun
2008 Nomor 58, Tambahan Lembaran
Negara Republik Indonesia Nomor 4843);
2. Undang-Undang Nomor 39 Tahun 2008 2.
tentang Kementerian Negara (Lembaran
Negara Republik Indonesia Tahun 2008
Nomor 166, Tambahan Lembaran Negara
Republik Indonesia Nomor 4916);
3. Peraturan Pemerintah Nomor 82 Tahun 2012 3.
tentang Penyelenggaraan Sistem dan
Transaksi Elektronik (Lembaran Negara
Republik Indonesia Tahun 2012 Nomor 189,
REGULATION OF THE MINISTER OF
COMMUNICATIONS AND INFORMATICS
OF THE REPUBLIC OF INDONESIA
NUMBER 20 OF 2016
CONCERNING
PROTECTION OF PERSONAL DATA IN THE
ELECTRONIC SYSTEM
WITH THE BLESSING OF GOD ALMIGHTY
THE MINISTER OF COMMUNICATIONS
AND INFORMATICS OF THE REPUBLIC OF
INDONESIA,
Considering:
that to give effect to the provisions of Article 15
section (3) of Regulation of the Government
Number 82 of 2012 concerning Electronic System
and Transactions, it is necessary to issue
Regulation of the Minister of Communications
and Informatics concerning Protection of Personal
Data in the Electronic System;
Bearing in Mind:
Law Number 11 of 2008 concerning
Electronic Information and Transactions
(State Gazette of the Republic of Indonesia
Number 58 of 2008, Supplement to the State
Gazette of the Republic of Indonesia Number
4843);
Law Number 39 of 2008 concerning The
State Ministries (State Gazette of the
Republic of Indonesia Number 166 of 2008,
Supplement to the State Gazette of the
Republic of Indonesia Number 4916);
Regulation of the Government Number 82 of
2012 concerning Electronic System and
Transactions (State Gazette of the Republic of
Indonesia Number 189 of 2012, Supplement
1
 Tambahan Lembaran Negara Republik to the State Gazette of the Republic of
Indonesia Nomor 5348); Indonesia Number 5348);

4. Peraturan Presiden Nomor 7 Tahun 2015 4. Regulation of the President Number 7 of 2015
tentang Organisasi Kementerian Negara concerning Organization of the State
(Lembaran Negara Republik Indonesia Tahun Ministries (State Gazette of the Republic of
2015 Nomor 8); Indonesia Number 8 of 2015);

5. Peraturan Presiden Nomor 54 Tahun 2015 5. Regulation of the President Number 54 of

tentang Kementerian Komunikasi dan 2015 concerning The Ministry of
Informatika (Lembaran Negara Republik Communications and Informatics (State
Indonesia Tahun 2015 Nomor 96); Gazette of the Republic of Indonesia Number
96 of 2015);

6. Peraturan Menteri Komunikasi dan 6. Regulation of the Minister of

Informatika Nomor 1 Tahun 2016 tentang
Organisasi dan Tata Kerja Kementerian
Komunikasi dan Informatika (Berita Negara
Republik Indonesia Tahun 2016 Nomor 103);
Communications and Informatics Number 1
of 2016 concerning Organization and
Working System of the Ministry of
Communications and Informatics (State
Gazette of the Republic of Indonesia Number
103 of 2016);

MEMUTUSKAN: HAS DECIDED:

Menetapkan: PERATURAN MENTERI To issue: REGULATION OF THE

KOMUNIKASI DAN MINISTER OF
INFORMATIKA TENTANG COMMUNICATIONS AND
PERLINDUNGAN DATA INFORMATICS CONCERNING
PRIBADI DALAM SISTEM PROTECTION OF PERSONAL
ELEKTRONIK. DATA IN THE ELECTRONIC
SYSTEM.

BAB I CHAPTER I

KETENTUAN UMUM GENERAL PROVISIONS

Pasal 1 Article 1

Dalam Peraturan Menteri ini yang dimaksud In this Regulation of the Minister:
dengan:

1. Data Pribadi adalah data perseorangan 1. Personal Data means particular individual
tertentu yang disimpan, dirawat, dan dijaga data that are stored, maintained and kept for
kebenaran serta dilindungi kerahasiaannya. correctness and protected for confidentiality.

2. Data Perseorangan Tertentu adalah setiap 2.
keterangan yang benar dan nyata yang
melekat dan dapat diidentifikasi, baik
langsung maupun tidak langsung, pada
masing-masing individu yang
pemanfaatannya sesuai ketentuan peraturan
perundang-undangan.
Particular Individual Data means any correct
and actual information that relates to any
individual and is identifiable directly or
indirectly to be manipulated under the laws
and regulations.

3. Pemilik Data Pribadi adalah individu yang 3. Data Subject means any individual to whom
2
 padanya melekat Data Perseorangan Particular Individual Data relate.
Tertentu.

4. Persetujuan Pemilik Data Pribadi, yang 4.
selanjutnya disebut Persetujuan adalah
pernyataan secara tertulis baik secara manual
dan/atau elektronik yang diberikan oleh
Pemilik Data Pribadi setelah mendapat
penjelasan secara lengkap mengenai tindakan
perolehan, pengumpulan, pengolahan,
penganalisisan, penyimpanan, penampilan,
pengumuman, pengiriman, dan
penyebarluasan serta kerahasiaan atau
ketidakrahasiaan Data Pribadi.
Data Subject’s Consent, hereinafter referred
to as Consent, means a manual and/or
electronic written statement that is given by a
Data Subject upon being fully informed of
acquisition, collection, processing, analysis,
storage, display, publication, transmission
and dissemination as well as confidentiality
or non-confidentiality of Personal Data.

5. Sistem Elektronik adalah serangkaian 5. Electronic System means a set of electronic

perangkat dan prosedur elektronik yang
berfungsi mempersiapkan, mengumpulkan,
mengolah, menganalisis, menyimpan,
menampilkan, mengumumkan, mengirimkan,
dan/atau menyebarkan informasi elektronik.
devices and procedures that serve to prepare,
collect, process, analyze, store, display,
publish, transmit, and/or disseminate
electronic information.

6. Penyelenggara Sistem Elektronik adalah 6. Electronic System Provider means any

setiap Orang, penyelenggara negara, Badan
Usaha, dan masyarakat yang menyediakan,
mengelola, dan/atau mengoperasikan Sistem
Elektronik baik secara sendiri-sendiri
maupun bersama-sama kepada Pengguna
Sistem Elektronik untuk keperluan dirinya
dan/atau keperluan pihak lain.
Person, state administrator, Business Entity,
and the public that provides, manages and/or
operates the Electronic System, whether
individually or collectively, to Electronic
System Users for their own benefits and/or for
the benefits of other parties.

7. Pengguna Sistem Elektronik, yang 7. Electronic System User, hereinafter referred

selanjutnya disebut Pengguna adalah setiap
Orang, penyelenggara negara, Badan Usaha,
dan masyarakat yang memanfaatkan barang,
jasa, fasilitas, atau informasi yang disediakan
oleh Penyelenggara Sistem Elektronik.
to as User, means any Person, state
administrator, Business Entity, and the public
that uses the benefit of goods, services,
facilities, or information that are made
available by an Electronic System Provider.

8. Badan Usaha adalah perusahaan 8. Business Entity means a sole proprietorship

perseorangan atau perusahaan persekutuan, or partnership of both legal entity and
baik yang berbadan hukum maupun yang nonlegal entity.
tidak berbadan hukum.

9. Menteri adalah menteri yang 9. Minister means the minister who is in charge
menyelenggarakan urusan pemerintahan di of the administrative affairs in the field of
bidang komunikasi dan informatika. communications and informatics.

10. Direktur Jenderal adalah direktur jenderal 10. Director General means a director general
yang tugas dan fungsinya di bidang aplikasi whose duties and functions include
informatika. informatics application.

Pasal 2 Article 2

(1) Perlindungan Data Pribadi dalam Sistem (1) Protection of Personal Data in the Electronic
Elektronik mencakup perlindungan terhadap System shall include protection against
3
 perolehan, pengumpulan, pengolahan, acquisition, collection, processing, analysis,
penganalisisan, penyimpanan, penampilan, storage, display, publication, transmission,
pengumuman, pengiriman, penyebarluasan, dissemination, and destruction of Personal
dan pemusnahan Data Pribadi. Data.

(2) Dalam melaksanakan ketentuan sebagaimana (2) The provision of section (1) must be complied
dimaksud pada ayat (1) harus berdasarkan with within the good Personal Data protection
asas perlindungan Data Pribadi yang baik, principles that include:
yang meliputi:

a. penghormatan terhadap Data Pribadi a. to have respect for Personal Data as

sebagai privasi; privacy;

b. Data Pribadi bersifat rahasia sesuai b. Personal Data is confidential in nature

Persetujuan dan/atau berdasarkan and subject to Consent and/or under the
ketentuan peraturan perundang- laws and regulations;
undangan;

c. berdasarkan Persetujuan; c. to be subject to Consent;

d. relevansi dengan tujuan perolehan, d. to be relevant to the purpose for which

pengumpulan, pengolahan, the Personal Data is acquired, collected,
penganalisisan, penyimpanan, processed, analyzed, stored, displayed,
penampilan, pengumuman, pengiriman, published, transmitted and disseminated;
dan penyebarluasan;

e. kelaikan Sistem Elektronik yang e. to use the viable Electronic System;

digunakan;

f. iktikad baik untuk segera f. to act in good faith by promptly notifying

memberitahukan secara tertulis kepada the Data Subject in writing of any failure
Pemilik Data Pribadi atas setiap to protect Personal Data;
kegagalan perlindungan Data Pribadi;

g. ketersediaan aturan internal pengelolaan g. to make available the internal regulations

perlindungan Data Pribadi; concerning Personal Data protection
management;

h. tanggung jawab atas Data Pribadi yang h. to be responsible for Personal Data held
berada dalam penguasaan Pengguna; by Users;

i. kemudahan akses dan koreksi terhadap i. to allow Data Subjects easy access and
Data Pribadi oleh Pemilik Data Pribadi; correction to Personal Data; and
dan

j. keutuhan, akurasi, dan keabsahan serta j. to have Personal Data integrated,

kemutakhiran Data Pribadi. accurate, and valid as well as updated.

(3) Privasi sebagaimana dimaksud pada ayat (2) (3) The privacy as referred to in section (2) point
huruf a merupakan kebebasan Pemilik Data (a) shall allow the Data Subject freedom to
Pribadi untuk menyatakan rahasia atau tidak claim whether or not his/her Personal Data is
menyatakan rahasia Data Pribadinya, kecuali confidential, unless provided otherwise by the
ditentukan lain sesuai dengan ketentuan laws and regulations.
peraturan perundang-undangan.

4
 BAB II CHAPTER II

PERLINDUNGAN PROTECTION

Bagian Kesatu Part One

Umum General

Pasal 3 Article 3

Perlindungan Data Pribadi dalam Sistem Personal Data in the Electronic System shall be
Elektronik dilakukan pada proses: protected during the process of their:

a. perolehan dan pengumpulan; a. acquisition and collection;

b. pengolahan dan penganalisisan; b. processing and analysis;

c. penyimpanan; c. storage;

d. penampilan, pengumuman, pengiriman, d. display, publication, transmission,

penyebarluasan, dan/atau pembukaan akses; dissemination and/or allowance of access;
dan and

e. pemusnahan Data Pribadi. e. destruction.

Pasal 4 Article 4

(1) Sistem Elektronik yang digunakan untuk (1) The Electronic System that is used to process
proses sebagaimana dimaksud dalam Pasal 3 Personal Data as referred to in Article 3 must
wajib tersertifikasi. be certified.

(2) Pelaksanaan tersertifikasi sebagaimana (2) Certification as referred to in section (1) shall
dimaksud pada ayat (1) sesuai dengan be made under the laws and regulations.
ketentuan peraturan perundang-undangan.

Pasal 5 Article 5

(1) Setiap Penyelenggara Sistem Elektronik (1) Any Electronic System Provider must have
harus mempunyai aturan internal internal regulations to protect Personal Data
perlindungan Data Pribadi untuk to go through the process as referred to in
melaksanakan proses sebagaimana dimaksud Article 3.
dalam Pasal 3.

(2) Setiap Penyelenggara Sistem Elektronik (2) Any Electronic System Provider must prepare
harus menyusun aturan internal perlindungan internal regulations concerning protection of
Data Pribadi sebagai bentuk tindakan Personal Data to take any preventive measure
pencegahan untuk menghindari terjadinya against failure to protect Personal Data it
kegagalan dalam perlindungan Data Pribadi manages.
yang dikelolanya.

(3) Penyusunan aturan internal sebagaimana (3) Preparation for internal regulations as
dimaksud pada ayat (1) dan ayat (2) harus referred to in section (1) and section (2) must
mempertimbangkan aspek penerapan take into consideration aspects of
teknologi, sumber daya manusia, metode, dan technological application, human resources,
biaya serta mengacu pada ketentuan dalam methods, and costs, and refer to the provisions
Peraturan Menteri ini dan peraturan of this Regulation of the Minister and other

5
 perundang-undangan lainnya yang terkait. relevant laws and regulations.

(4) Tindakan pencegahan lainnya untuk (4) Other preventive measures against failure of
menghindari terjadinya kegagalan dalam Personal Data protection it manages must be
perlindungan Data Pribadi yang dikelolanya taken by any Electronic System Provider by
harus dilakukan oleh setiap Penyelenggara at least:
Sistem Elektronik, paling sedikit berupa
kegiatan:

a. meningkatkan kesadaran sumber daya a. raising the awareness of the internal

manusia di lingkungannya untuk human resources to give protection to the
memberikan perlindungan Data Pribadi Personal Data in the Electronic System it
dalam Sistem Elektronik yang manages; and
dikelolanya; dan

b. mengadakan pelatihan pencegahan b. providing its internal human resources

kegagalan perlindungan Data Pribadi with training on prevention against
dalam Sistem Elektronik yang failure to protect Personal Data in the
dikelolanya bagi sumber daya manusia di Electronic System it manages.
lingkungannya.

Pasal 6 Article 6

Penyelenggara Sistem Elektronik yang melakukan
proses sebagaimana dimaksud dalam Pasal 3
wajib menyediakan formulir persetujuan dalam
bahasa Indonesia untuk meminta Persetujuan dari
Pemilik Data Pribadi yang dimaksud.
Electronic System Providers who go through the
processes as referred to in Article 3 must make
available a consent form in the Indonesian
language to seek Consent from the relevant Data
Subject.

Bagian Kedua Part Two

Perolehan dan Pengumpulan Data Pribadi Acquisition and Collection of Personal Data

Pasal 7 Article 7

(1) Perolehan dan pengumpulan Data Pribadi (1) Acquisition and collection of Personal Data by
oleh Penyelenggara Sistem Elektronik harus Electronic System Providers must be limited
dibatasi pada informasi yang relevan dan to only information that is relevant to and
sesuai dengan tujuannya serta harus within their purpose, and conducted in an
dilakukan secara akurat. accurate manner.

(2) Instansi Pengawas dan Pengawas Sektor (2) The Supervisory Agency and the Sectoral
dapat menentukan informasi yang relevan Supervisors may specify information that is
dan sesuai dengan tujuannya sebagaimana relevant to and within their purpose as
dimaksud pada ayat (1). referred to in section (1).

Pasal 8 Article 8

(1) Dalam memperoleh dan mengumpulkan Data (1) Electronic System Providers must, to acquire
Pribadi, Penyelenggara Sistem Elektronik and collect Personal Data, have respect for the
harus menghormati Pemilik Data Pribadi atas Data Subject’s privacy of his/her Personal
Data Pribadinya yang bersifat privasi. Data.

(2) Penghormatan terhadap Pemilik Data Pribadi (2) Electronic System Providers shall have
atas Data Pribadinya yang bersifat privasi respect for the Data Subject’s privacy of
sebagaimana dimaksud pada ayat (1) his/her Personal Data by providing the Data
6
 dilakukan melalui penyediaan pilihan dalam Subject with options in the Electronic System
Sistem Elektronik untuk Pemilik Data Pribadi of:
terhadap:

a. kerahasiaan atau ketidakrahasiaan Data a. the confidentiality or non-confidentiality

Pribadi; dan of the Personal Data; and

b. perubahan, penambahan, atau b. the alteration, addition, or update of the

pembaruan Data Pribadi. Personal Data.

(3) Pilihan untuk Pemilik Data Pribadi terhadap (3) Options for the Data Subject of the
kerahasiaan atau ketidakrahasiaan Data confidentiality or non-confidentiality of
Pribadi sebagaimana dimaksud pada ayat (2) Personal Data as referred to in section (2)
huruf a tidak berlaku jika peraturan point (a) shall not apply where there are laws
perundang-undangan telah secara tegas and regulations expressly providing that
menyatakan Data Pribadi yang secara khusus several elements of Personal Data is
untuk beberapa elemennya dinyatakan specifically claimed to be confidential.
bersifat rahasia.

(4) Pilihan untuk Pemilik Data Pribadi terhadap (4) Options for the Data Subject of the alteration,
perubahan, penambahan, atau pembaruan addition, or update of Personal Data as
Data Pribadi sebagaimana dimaksud pada referred to in section (2) point (b) shall be to
ayat (2) hururf b untuk memberikan allow the Data Subject an opportunity to, if so
kesempatan bagi Pemilik Data Pribadi jika inclined, revise his/her Particular Personal
menghendaki pergantian Data Perseorangan Data.
Tertentu miliknya.

Pasal 9 Article 9

(1) Perolehan dan pengumpulan Data Pribadi (1) Acquisition and collection of Personal Data by
oleh Penyelenggara Sistem Elektronik wajib Electronic System Providers must be made by
berdasarkan Persetujuan atau berdasarkan Consent or under the laws and regulations.
ketentuan peraturan perundang-undangan.

(2) Pemilik Data Pribadi yang memberikan (2) A Data Subject who gives Consent as referred
Persetujuan sebagaimana dimaksud pada ayat to in section (1) may claim that his/her
(1) dapat menyatakan Data Perseorangan Particular Individual Data is confidential.
Tertentu miliknya bersifat rahasia.

(3) Dalam hal Persetujuan sebagaimana (3) If the Consent as referred to in section (2)
dimaksud pada ayat (2) tidak termasuk does not include Consent to disclose
Persetujuan atas pengungkapan kerahasiaan confidential Personal Data:
Data Pribadi, maka:

a. setiap orang yang melakukan perolehan a. any person who acquires and collects the
dan pengumpulan Data Pribadi; dan Personal Data; and

b. Penyelenggara Sistem Elektronik; b. Electronic System Providers;

harus menjaga kerahasiaan Data Pribadi must maintain the confidentiality of those
tersebut. Personal Data.

(4) Ketentuan menjaga kerahasiaan Data Pribadi (4) Maintenance of the confidentiality of
bagi setiap Orang dan Penyelenggara Sistem Personal Data by any Person and Electronic
Elektronik sebagaimana dimaksud pada ayat System Provider as referred to in section (3)
(3) juga berlaku terhadap Data Pribadi yang shall also apply to Personal Data that are
7
 dinyatakan rahasia sesuai dengan ketentuan claimed to be confidential under the laws and
peraturan perundang-undangan. regulations.

Pasal 10 Article 10

(1) Data Pribadi yang diperoleh dan (1) Personal Data that are directly acquired and
dikumpulkan secara langsung harus collected must be verified with the Data
diverifikasi ke Pemilik Data Pribadi. Subject.

(2) Data Pribadi yang diperoleh dan (2) Personal Data that are acquired and collected
dikumpulkan secara tidak langsung harus indirectly must be verified with the various
diverifikasi berdasarkan hasil olahan berbagai data sources by which the data is processed.
sumber data.

(3) Sumber data dalam perolehan dan (3) Data sources from which Personal Data is
pengumpulan Data Pribadi sebagaimana acquired and collected as referred to in
dimaksud pada ayat (2) harus memiliki dasar section (2) must have a valid legal basis.
hukum yang sah.

Pasal 11 Article 11

(1) Sistem Elektronik yang digunakan untuk (1) An Electronic System that is used to store
menampung perolehan dan pengumpulan Personal Data that are acquired and collected
Data Pribadi harus: must:

a. memiliki kemampuan interoperabilitas a. have interoperability and compatibility

dan kompatibilitas; dan performance; and

b. menggunakan perangkat lunak b. use legal software.

(software) yang legal.

(2) Kemampuan interoperabilitas dan (2) Interoperability and compatibility

kompatibilitas sebagaimana dimaksud pada performance as referred to in section (1) point
ayat (1) huruf a sesuai dengan ketentuan (a) shall comply with the laws and
peraturan perundangundangan. regulations.

(3) Interoperabilitas sebagaimana dimaksud pada (3) Interoperability as referred to in section (2)
ayat (2) merupakan kemampuan Sistem shall be Electronic Systems with different
Elektronik yang berbeda untuk dapat bekerja performance that enable operating together.
secara terpadu.

(4) Kompatibilitas sebagaimana dimaksud pada (4) Compatibility as referred to in section (2)
ayat (2) merupakan kesesuaian Sistem shall be the compatibility of one Electronic
Elektronik yang satu dengan Sistem System with another Electronic System.
Elektronik yang lainnya.

Bagian Ketiga Part Three

Pengolahan dan Penganalisisan Data Pribadi Processing and Analysis of Personal Data

Pasal 12 Article 12

(1) Data Pribadi hanya dapat diolah dan (1) Personal Data may be processed and analyzed
dianalisis sesuai kebutuhan Penyelenggara as appropriate by Electronic System
Sistem Elektronik yang telah dinyatakan Providers upon giving full information when
secara jelas saat memperoleh dan acquiring and collecting the data.

8
 mengumpulkannya.

(2) Pengolahan dan penganalisisan Data Pribadi (2) Personal Data as referred to in section (1)
sebagaimana dimaksud pada ayat (1) shall be processed and analyzed by Consent.
dilakukan berdasarkan Persetujuan.

Pasal 13 Article 13

Ketentuan sebagaimana dimaksud dalam Pasal 12
ayat (2) tidak berlaku jika Data Pribadi yang
diolah dan dianalisis tersebut berasal dari Data
Pribadi yang telah ditampilkan atau diumumkan
secara terbuka oleh Sistem Elektronik untuk
pelayanan publik.
The provisions of Article 12 section (2) shall not
apply if the Personal Data being processed and
analyzed originate in the Personal Data already
publicly displayed or published in the public
interest by the Electronic System.

Pasal 14 Article 14

Data Pribadi yang diolah dan dianalisis harus Data Personal Data that are processed and analyzed
Pribadi yang telah diverifikasi keakuratannya. must be Personal Data that have been verified for
accuracy.

Bagian Keempat Part Four

Penyimpanan Data Pribadi Storage of Personal Data

Pasal 15 Article 15

(1) Data Pribadi yang disimpan dalam Sistem (1) Personal Data that are stored in the Electronic
Elektronik harus Data Pribadi yang telah System must be Personal Data that have been
diverifikasi keakuratannya. verified for accuracy.

(2) Data Pribadi yang disimpan dalam Sistem (2) Personal Data that are stored in the Electronic
Elektronik harus dalam bentuk data System must be encrypted data.
terenkripsi.

(3) Data Pribadi sebagaimana dimaksud pada (3) Personal Data as referred to in section (1)
ayat (1) wajib disimpan dalam Sistem must be stored in the Electronic System:
Elektronik:

a. sesuai dengan ketentuan peraturan
perundang-undangan yang mengatur
kewajiban jangka waktu penyimpanan
Data Pribadi pada masing-masing
Instansi Pengawas dan Pengatur Sektor;
atau
a. under the laws and regulations that
govern the obligatory Personal Data
retention period by the Supervisory
Agency and the Sectoral Supervisors
respectively; or

b. paling singkat 5 (lima) tahun, jika belum b. for at least 5 (five) years, in case of no
terdapat ketentuan peraturan perundang- laws and regulations that specifically
undangan yang secara khusus mengatur govern the retention period.
untuk itu.

Pasal 16 Article 16

Jika Pemilik Data Pribadi tidak lagi menjadi If a Data Subject ceases to be a User, an Electronic
Pengguna, Penyelenggara Sistem Elektronik System Provider must have the Personal Data
wajib menyimpan Data Pribadi tersebut sesuai stored within the time limit as referred to in Article

9
batas waktu sebagaimana dimaksud dalam Pasal 15 section (2) with effect from the last date the
15 ayat (2) terhitung sejak tanggal terakhir Data Subject becomes a User.
Pemilik Data Pribadi menjadi Pengguna.

Pasal 17 Article 17

(1) Pusat data (data center) dan pusat pemulihan (1) Data centers and disaster recovery centers
bencana (disaster recovery center) belonging to public-interest Electronic
Penyelenggara Sistem Elektronik untuk System Providers that are used to process
pelayanan publik yang digunakan untuk Personal Data protection as referred to in
proses perlindungan Data Pribadi Article 3 must be stationed within the territory
sebagaimana dimaksud dalam Pasal 3 wajib of the state of the Republic of Indonesia.
ditempatkan dalam wilayah negara Republik
Indonesia.

(2) Pusat data (data center) sebagaimana (2) Data centers as referred to in section (1) shall
dimaksud pada ayat (1) merupakan suatu be the facilities at which the Electronic
fasilitas yang digunakan untuk menempatkan System and its related components are
Sistem Elektronik dan komponen terkaitnya established for the purpose of data
untuk keperluan penempatan, penyimpanan, installation, storage and processing.
dan pengolahan data.

(3) Pusat pemulihan bencana (disaster recovery (3) Disaster recovery centers as referred to in
center) sebagaimana dimaksud pada ayat (1) section (1) shall be the facilities at which data
merupakan suatu fasilitas yang digunakan or information as well as the important
untuk memulihkan kembali data atau Electronic System functions that are troubled
informasi serta fungsi-fungsi penting Sistem or disabled by natural and/or man-made
Elektronik yang terganggu atau rusak akibat disasters are recovered.
bencana yang disebabkan oleh alam dan/atau
manusia.

Pasal 18 Article 18

(1) Penyimpanan Data Pribadi dalam Sistem (1) Personal Data must be stored in the Electronic
Elektronik harus dilakukan sesuai dengan System under the procedures for and means
ketentuan mengenai prosedur dan sarana of Electronic System security.
pengamanan Sistem Elektronik.

(2) Prosedur dan sarana pengamanan Sistem (2) Procedures for and means of Electronic
Elektronik sebagaimana dimaksud pada ayat System security as referred to in section (1)
(1) sesuai dengan ketentuan peraturan shall be established under the laws and
perundangundangan. regulations.

Pasal 19 Article 19

Jika waktu penyimpanan Data Pribadi telah
melebihi batas waktu sebagaimana dimaksud
dalam Pasal 15 ayat (2), Data Pribadi dalam
Sistem Elektronik dapat dihapuskan kecuali Data
Pribadi tersebut masih akan dipergunakan atau
dimanfaatkan sesuai dengan tujuan awal
perolehan dan pengumpulannya.
If the retention period of Personal Data has
exceeded the time limit as referred to in Article 15
section (2), the Personal Data in the Electronic
System may be erased unless such data will be
used or manipulated to the original purpose for
which they are acquired and collected.

Pasal 20 Article 20

10
Jika Pemilik Data Pribadi meminta penghapusan If a Data Subject requests that his/her Particular
Data Perseorangan Tertentu miliknya, permintaan Individual Data be erased, such a request for
penghapusan tersebut dilakukan sesuai dengan erasure shall be made under the laws and
ketentuan peraturan perundang-undangan. regulations.

Bagian Kelima Part Five

Penampilan, Pengumuman, Pengiriman, Display, Publication, Transmission, Dissemination

Penyebarluasan, dan/atau Pembukaan Akses Data and/or Allowance of Access to Personal Data
Pribadi

Pasal 21 Article 21

(1) Menampilkan, mengumumkan, (1) Personal Data in the Electronic System may
mengirimkan, menyebarluaskan, dan/atau be displayed, published, transmitted,
membuka akses Data Pribadi dalam Sistem disseminated, and/or allowed for access only:
Elektronik hanya dapat dilakukan:

a. atas Persetujuan kecuali ditentukan lain a. by Consent unless provided otherwise by

oleh ketentuan peraturan perundang- the laws and regulations; and
undangan; dan

b. setelah diverifikasi keakuratan dan b. upon the Personal Data being verified for
kesesuaian Data Pribadi tersebut. accuracy and suitability.

(2) Menampilkan, mengumumkan, (2) Section (1) shall include Personal Data in the
mengirimkan, menyebarluaskan, dan/atau Electronic System that are displayed,
membuka akses Data Pribadi dalam Sistem published, transmitted, disseminated, and/or
Elektronik sebagaimana dimaksud pada ayat allowed for access among the Electronic
(1) termasuk yang dilakukan antar System Providers, between the Electronic
Penyelenggara Sistem Elektronik, antar System Providers and the Users, or among the
Penyelenggara Sistem Elektronik dan Users.
Pengguna, atau antar Pengguna.

Pasal 22 Article 22

(1) Pengiriman Data Pribadi yang dikelola oleh (1) Transmission of Personal Data that is
Penyelenggara Sistem Elektronik pada managed by Electronic System Providers
instansi pemerintah dan pemerintahan daerah with the government agencies and regional
serta masyarakat atau swasta yang government agencies or by the public or
berdomisili di dalam wilayah negara private parties domiciled within the territory
Republik Indonesia ke luar wilayah negara of the state of the Republic of Indonesia out
Republik Indonesia harus: of the territory of the state of the Republic of
Indonesia must be:

a. berkoordinasi dengan Menteri atau a. coordinated with the Minister or the

pejabat/lembaga yang diberi wewenang official/agency that is competent to do
untuk itu; dan so; and

b. menerapkan ketentuan peraturan b. subject to the laws and regulations

perundang-undangan mengenai concerning cross-border Personal Data
pertukaran Data Pribadi lintas batas exchange.
negara.

(2) Pelaksanaan koordinasi sebagaimana (2) Coordination as referred to in section (1)

11
 dimaksud pada ayat (1) huruf a berupa: point (a) shall be made by:

a. melaporkan rencana pelaksanaan a. reporting the Personal Data transmission

pengiriman Data Pribadi, paling sedikit plan specifying at least the full name of
memuat nama jelas negara tujuan, nama the country of destination, the full name
jelas subjek penerima, tanggal of the recipient, the date of transmission,
pelaksanaan, dan alasan/tujuan and reasons/purpose for which the
pengiriman; Personal Data is transmitted;

b. meminta advokasi, jika diperlukan; dan b. seeking advocacy where necessary; and

c. melaporkan hasil pelaksanaan kegiatan. c. reporting the results of the activity.

Pasal 23 Article 23

(1) Untuk keperluan proses penegakan hukum, (1) For the purpose of law enforcement,
Penyelenggara Sistem Elektronik wajib Electronic System Providers must surrender
memberikan Data Pribadi yang terdapat Personal Data in the Electronic System or
dalam Sistem Elektronik atau Data Pribadi Personal Data that are generated by an
yang dihasilkan oleh Sistem Elektronik atas Electronic System to, if lawfully demanded,
permintaan yang sah dari aparat penegak law enforcement officers under the laws and
hukum berdasarkan ketentuan peraturan regulations.
perundang-undangan.

(2) Data Pribadi sebagaimana dimaksud pada (2) Personal Data as referred to in section (1)
ayat (1) merupakan Data Pribadi yang relevan shall be Personal Data that are relevant to and
dan sesuai dengan kebutuhan penegakan required for law enforcement.
hukum.

Pasal 24 Article 24

(1) Penggunaan dan pemanfaatan Data Pribadi (1) Use and manipulation of Personal Data that
yang ditampilkan, diumumkan, diterima, dan are displayed, published, received, and
disebarluaskan oleh Penyelenggara Sistem disseminated by Electronic System Providers
Elektronik harus berdasarkan Persetujuan. must be subject to Consent.

(2) Penggunaan dan pemanfaatan Data Pribadi (2) Use and manipulation of Personal Data as
sebagaimana dimaksud pada ayat (1) harus referred to in section (1) must be suitable for
sesuai dengan tujuan perolehan, the purpose for which the Personal Data is
pengumpulan, pengolahan, dan/atau acquired, collected, processed, and/or
penganalisisan Data Pribadi. analyzed.

Bagian Keenam Part Six

Pemusnahan Data Pribadi Destruction of Personal Data

Pasal 25 Article 25

(1) Pemusnahan Data Pribadi dalam Sistem (1) Personal Data in the Electronic System may
Elektronik hanya dapat dilakukan jika: be destroyed only if:

a. telah melewati ketentuan jangka waktu
penyimpanan Data Pribadi dalam Sistem
Elektronik berdasarkan Peraturan
Menteri ini atau sesuai dengan ketentuan
peraturan perundang-undangan lainnya
a. having exceeded the retention period of
the Personal Data in the Electronic
System under this Regulation of the
Minister or under other laws and
regulations that specifically govern the
12
 yang secara khusus mengatur di masing- same in the Supervisory Agency and the
masing Instansi Pengawas dan Pengawas Sectoral Supervisors respectively; or
Sektor untuk itu; atau

b. atas permintaan Pemilik Data Pribadi, b. at the request of the Data Subject unless
kecuali ditentukan lain oleh ketentuan provided otherwise by the laws and
peraturan perundang-undangan. regulations.

(2) Pemusnahan sebagaimana dimaksud pada (2) Destruction as referred to in section (1) must
ayat (1) harus menghilangkan sebagian atau remove all or any part of the documents that
keseluruhan dokumen terkait Data Pribadi, are associated with the Personal Data,
termasuk yang elektronik maupun whether or not electronic, that are managed
nonelektronik yang dikelola oleh by Electronic System Providers and/or Users
Penyelenggara Sistem Elektronik dan/atau in order to disable the display of the Personal
Pengguna sehingga Data Pribadi tersebut Data in the Electronic System, unless the Data
tidak dapat ditampilkan kembali dalam Subject provides his/her new Personal Data.
Sistem Elektronik kecuali Pemilik Data
Pribadi memberikan Data Pribadinya yang
baru.

(3) Penghilangan sebagian atau keseluruhan (3) Removal of all or any part of the files as
berkas sebagaimana dimaksud pada ayat (2) referred to in section (2) shall be made by
dilakukan berdasarkan Persetujuan atau Consent or under other laws and regulations
sesuai dengan ketentuan peraturan that specifically govern the same for each
perundang-undangan lainnya yang secara sector.
khusus mengatur di masing-masing sektor
untuk itu.

BAB III CHAPTER III

HAK PEMILIK DATA PRIBADI RIGHTS OF DATA SUBJECTS

Pasal 26 Article 26

Pemilik Data Pribadi berhak: A Data Subject shall have the right to:

a. atas kerahasiaan Data Pribadinya; a. confidentiality of his/her Personal Data;

b. mengajukan pengaduan dalam rangka b.
penyelesaian sengketa Data Pribadi atas
kegagalan perlindungan kerahasiaan Data
Pribadinya oleh Penyelenggara Sistem
Elektronik kepada Menteri;
file a complaint with the Minister to resolve a
Personal Data dispute for failure of an
Electronic System Provider to protect the
confidentiality of his/her Personal Data;

c. mendapatkan akses atau kesempatan untuk c.
mengubah atau memperbarui Data Pribadinya
tanpa menganggu sistem pengelolaan Data
Pribadi, kecuali ditentukan lain oleh
ketentuan peraturan perundang-undangan;
have access or opportunity to alter or update
his/her Personal Data without interfering the
Personal Data management system, unless
provided otherwise by the laws and
regulations;

d. mendapatkan akses atau kesempatan untuk d.
memperoleh historis Data Pribadinya yang
pernah diserahkan kepada Penyelenggara
Sistem Elektronik sepanjang masih sesuai
dengan ketentuan peraturan perundang-
have access or opportunity to claim his/her
Personal Data history he/she once delivered
to the Electronic System Provider as long as
within the laws and regulations; and

13
 undangan; dan
e. meminta pemusnahan Data Perseorangan e.
Tertentu miliknya dalam Sistem Elektronik
yang dikelola oleh Penyelenggara Sistem
Elektronik, kecuali ditentukan lain oleh
ketentuan peraturan perundang-undangan.
BAB IV
KEWAJIBAN PENGGUNA
Pasal 27
Pengguna wajib:
a. menjaga kerahasiaan Data Pribadi yang a.
diperoleh, dikumpulkan, diolah, dan
dianalisisnya;
b. menggunakan Data Pribadi sesuai dengan b.
kebutuhan Pengguna saja;
c. melindungi Data Pribadi beserta dokumen c.
yang memuat Data Pribadi tersebut dari
tindakan penyalahgunaan; dan
d. bertanggung jawab atas Data Pribadi yang d.
terdapat dalam penguasaannya, baik
penguasaan secara organisasi yang menjadi
kewenangannya maupun perorangan, jika
terjadi tindakan penyalahgunaan.
BAB V
KEWAJIBAN PENYELENGGARA SISTEM
ELEKTRONIK
Pasal 28
Setiap Penyelenggara Sistem Elektronik wajib:
a. melakukan sertifikasi Sistem Elektronik yang a.
dikelolanya sesuai dengan ketentuan
peraturan perundang-undangan;
b. menjaga kebenaran, keabsahan, kerahasiaan, b.
keakuratan dan relevansi serta kesesuaian
dengan tujuan perolehan, pengumpulan,
pengolahan, penganalisisan, penyimpanan,
penampilan, pengumuman, pengiriman,
penyebarluasan, dan pemusnahan Data
Pribadi;
c. memberitahukan secara tertulis kepada c.
Pemilik Data Pribadi jika terjadi kegagalan
request that his/her own Particular Individual
Data in the Electronic System managed by the
Electronic System Provider be destroyed,
unless provided otherwise by the laws and
regulations.
CHAPTER IV
OBLIGATIONS OF USERS
Article 27
Users must:
maintain the confidentiality of Personal Data
he/she has acquired, collected, processed, and
analyzed;
use Personal Data only as required by Users;
protect Personal Data along with the
documents containing such Personal Data
from abuse; and
in case of abuse, be liable for Personal Data
they possess, whether possessed by
organization of which they are in charge or
individually.
CHAPTER V
OBLIGATIONS OF ELECTRONIC SYSTEM
PROVIDERS
Article 28
Any Electronic System Provider must:
have the Electronic System it manages
certified under the laws and regulations;
maintain correctness, validity,
confidentiality, accuracy and relevancy as
well as suitability for the purpose for which
Personal Data is acquired, collected,
processed, analyzed, stored, displayed,
published, transmitted, disseminated, and
destroyed;
notify in writing the Data Subjects in case of
failure to protect the confidentiality of
14
 perlindungan rahasia Data Pribadi dalam
Sistem Elektronik yang dikelolanya, dengan
ketentuan pemberitahuan sebagai berikut:
1. harus disertai alasan atau penyebab
terjadinya kegagalan perlindungan
rahasia Data Pribadi;
2. dapat dilakukan secara elektronik jika
Pemilik Data Pribadi telah memberikan
Persetujuan untuk itu yang dinyatakan
pada saat dilakukan perolehan dan
pengumpulan Data Pribadinya;
3. harus dipastikan telah diterima oleh
Pemilik Data Pribadi jika kegagalan
tersebut mengandung potensi kerugian
bagi yang bersangkutan; dan
4. pemberitahuan tertulis dikirimkan
kepada Pemilik Data Pribadi paling
lambat 14 (empat belas) hari sejak
diketahui adanya kegagalan tersebut;
d. memiliki aturan internal terkait perlindungan d.
Data Pribadi yang sesuai dengan ketentuan
peraturan perundang-undangan;
e. menyediakan rekam jejak audit terhadap e.
seluruh kegiatan penyelenggaraan Sistem
Elektronik yang dikelolanya;
f. memberikan opsi kepada Pemilik Data f.
Pribadi mengenai Data Pribadi yang
dikelolanya dapat atau tidak dapat digunakan
dan/atau ditampilkan oleh/pada pihak ketiga
atas Persetujuan sepanjang masih terkait
dengan tujuan perolehan dan pengumpulan
Data Pribadi;
g. memberikan akses atau kesempatan kepada g.
Pemilik Data Pribadi untuk mengubah atau
memperbarui Data Pribadinya tanpa
menganggu sistem pengelolaan Data Pribadi,
kecuali ditentukan lain oleh ketentuan
peraturan perundang-undangan;
h. memusnahkan Data Pribadi sesuai dengan h.
ketentuan dalam Peraturan Menteri ini atau
ketentuan peraturan perundang-undangan
lainnya yang secara khusus mengatur di
masing-masing Instansi Pengawas dan
Pengawas Sektor untuk itu; dan
i. menyediakan narahubung (contact person) i.
Personal Data in the Electronic System it
manages, as follows:
1. the notification shall include reasons or
factors in the failure to protect the
confidentiality of Personal Data ;
2. the notification may be made
electronically if the Data Subject has
given Consent for that purpose when
acquiring and collecting his/her Personal
Data;
3. the notification must be confirmed
already received by the Data Subject if
such failure poses potential harm to the
Data Subject; and
4. the written notification shall be sent to
the Data Subject within 14 (fourteen)
days of acquiring knowledge of such
failure;
issue internal regulations concerning
protection of Personal Data in compliance
with the laws and regulations;
provide audit trail of the whole Electronic
System it manages;
give the Data Subject option whether or not
the Personal Data it manages may be used
and/or displayed by/to third parties by
Consent, subject to having relation to the
purpose for which the Personal Data is
acquired and collected;
provide access or opportunity to the Data
Subject to alteration or update his/her
Personal Data without interfering the
Personal Data management system, unless
provided otherwise by the laws and
regulations;
destroy Personal Data under the provisions of
this Regulation of the Minister or other laws
and regulations specially govern the same in
the Supervisory Agency and the Sectoral
Supervisors respectively; and
provide a contact person who is accessible to
15
 yang mudah dihubungi oleh Pemilik Data a Data Subject with respect to the
Pribadi terkait pengelolaan Data Pribadinya. management of his/her Personal Data.

BAB VI CHAPTER VI

PENYELESAIAN SENGKETA DISPUTE RESOLUTION

Pasal 29 Article 29

(1) Setiap Pemilik Data Pribadi dan (1) A Data Subject and Electronic System
Penyelenggara Sistem Elektronik dapat Provider may file a complaint with the
mengajukan pengaduan kepada Menteri atas Minister about failure to protect the
kegagalan perlindungan kerahasiaan Data confidentiality of Personal Data.
Pribadi.

(2) Pengaduan sebagaimana dimaksud pada ayat (2) A complaint as referred to in section (1) shall
(1) dimaksudkan sebagai upaya penyelesaian aim to resolve a dispute by deliberation or by
sengketa secara musyawarah atau melalui other alternative resolution.
upaya penyelesaian alternatif lainnya.

(3) Pengaduan sebagaimana dimaksud pada ayat (3) A complaint as referred to in section (1) shall
(1) dilakukan berdasarkan alasan: be made for the following reasons:

a. tidak dilakukannya pemberitahuan a. for absence of written notification about

secara tertulis atas kegagalan
perlindungan rahasia Data Pribadi oleh
Penyelenggara Sistem Elektronik kepada
Pemilik Data Pribadi atau Penyelenggara
Sistem Elektronik lainnya yang terkait
dengan Data Pribadi tersebut, baik yang
berpotensi maupun tidak berpotensi
menimbulkan kerugian; atau
the failure to protect the confidentiality
of Personal Data by the Electronic
System Provider to the Data Subject or
the other Electronic System Provider in
connection with the Personal Data, with
or without potential harm; or

b. telah terjadinya kerugian bagi Pemilik
Data Pribadi atau Penyelenggara Sistem
Elektronik lainnya yang terkait dengan
kegagalan perlindungan rahasia Data
Pribadi tersebut, meskipun telah
dilakukan pemberitahuan secara tertulis
atas kegagalan perlindungan rahasia
Data Pribadi namun waktu
pemberitahuannya yang terlambat.
b. the Data Subject or other Electronic
System Provider has suffered harm due
to failure to protect the confidentiality of
Personal Data despite delayed written
notification about the failure to protect
the confidentiality of Personal Data.

(4) Menteri dapat berkoordinasi dengan (4) The Minister may coordinate with the
pimpinan Instansi Pengawas dan Pengatur management of the Supervisory Agency and
Sektor untuk menindaklanjuti pengaduan the Sectoral Supervisors to respond a
sebagaimana dimaksud pada ayat (1). complaint as referred to in section (1).

Pasal 30 Article 30

(1) Menteri mendelegasikan kewenangan (1) The Minister shall delegate the power to
penyelesaian sengketa Data Pribadi resolve a Personal Data dispute as referred to
sebagaimana dimaksud dalam Pasal 29
16
 kepada Direktur Jenderal.
(2) Direktur Jenderal dapat membentuk panel (2) The Director General may create a panel of
penyelesaian sengketa Data Pribadi. Personal Data dispute resolution.
Pasal 31
Pengaduan dan penanganan pengaduan dilakukan A complaint and handling of complaint shall be
berdasarkan tata cara, sebagai berikut: made under the following procedures:
a. pengaduan dilakukan paling lambat 30 (tiga a.
puluh) hari kerja sejak pengadu mengetahui
informasi sebagaimana dimaksud dalam
Pasal 29 ayat (3) huruf a atau huruf b;
b. pengaduan disampaikan secara tertulis b.
memuat:
1. nama dan alamat pengadu;
2. alasan atau dasar pengaduan;
3. permintaan penyelesaian masalah yang
diadukan; dan
4. tempat pengaduan, waktu penyampaian
pengaduan, dan tanda tangan pengadu.
c. pengaduan harus dilengkapi dengan bukti- c.
bukti pendukung;
d. pejabat/tim penyelesaian sengketa Data d.
Pribadi atas kegagalan perlindungan
kerahasiaan Data Pribadi wajib menanggapi
pengaduan paling lambat 14 (empat belas)
hari kerja sejak pengaduan diterima yang
paling sedikit memuat pengaduan lengkap
atau tidak lengkap;
e. pengaduan yang tidak lengkap harus e.
dilengkapi oleh pengadu paling lambat 30
(tiga puluh) hari kerja sejak pengadu
menerima tanggapan sebagaimana dimaksud
pada huruf d dan jika melebihi batas waktu
tersebut, pengaduan dianggap dibatalkan;
f. pejabat/lembaga penyelesaian sengketa Data f.
Pribadi atas kegagalan perlindungan
kerahasiaan Data Pribadi wajib menangani
penyelesaian pengaduan mulai 14 (empat
belas) hari kerja sejak pengaduan diterima
lengkap;
g. penyelesaian sengketa atas dasar pengaduan g.
lengkap tersebut dilakukan secara
in Article 29 to the Director General.
Article 31
a complaint shall be made within 30 (thirty)
working days from when the complainant has
knowledge of the information as referred to in
Article 29 section (3) point (a) or point (b);
a complaint shall be filed in writing to
contain:
1. the name and address of the complainant;
2. the reasons or grounds for complaint;
3. the problem raised for resolution; and
4. the place of complaint, time of filing of
complaint, and signature of the
complainant.
a complaint must enclose any conclusive
evidence;
the Personal Data dispute resolution
officers/team for failure to protect the
confidentiality of Personal Data must respond
the complaint within 14 (fourteen) working
days upon its receipt by advising at least
whether or not the complaint documents are
complete;
in case of incomplete complaint documents,
the complainant must make them up within 30
(thirty) working days from when the
complainant receives the response as referred
to in point (d), subject to the complaint being
void in case of exceeding the deadline;
the Personal Data dispute resolution
officers/team for failure to protect the
confidentiality of Personal Data must handle
the complaint within 14 (fourteen) working
days of receipt of the complete complaint
documents;
the dispute with the complete complaint
documents shall be resolved by deliberation
17
 musyawarah atau melalui upaya penyelesaian or by other alternative resolution under the
alternatif lainnya sesuai dengan ketentuan laws and regulations; and
peraturan perundang-undangan; dan

h. pejabat/lembaga penyelesaian sengketa Data h. the Personal Data dispute resolution

Pribadi atas kegagalan perlindungan
kerahasiaan Data Pribadi yang menangani
pengaduan dapat memberikan rekomendasi
kepada Menteri untuk penjatuhan sanksi
administratif kepada Penyelenggara Sistem
Elektronik meskipun pengaduan dapat atau
tidak dapat diselesaikan secara musyawarah
atau melalui upaya penyelesaian alternatif
lainnya.
officers/team for failure of Personal Data
confidentiality protection that handle a
complaint may give a recommendation to the
Minister to impose administrative sanctions
on the Electronic System Provider regardless
of whether or not the complaint is capable of
resolution by deliberation or by other
alternative resolution.

Pasal 32 Article 32

(1) Dalam upaya penyelesaian sengketa secara (1) If a dispute is incapable of resolution by
musyawarah atau melalui upaya penyelesaian deliberation or other alternative resolution to
alternatif lainnya belum mampu the failure to protect the confidentiality of
menyelesaikan sengketa atas kegagalan Personal Data, any Data Subject and
perlindungan kerahasiaan Data Pribadi, setiap Electronic System Provider may take a legal
Pemilik Data Pribadi dan Penyelenggara proceeding against the failure to protect the
Sistem Elektronik dapat mengajukan gugatan confidentiality of Personal Data.
atas terjadinya kegagalan perlindungan
rahasia Data Pribadi.

(2) Gugatan sebagaimana dimaksud pada ayat (1) (2) A legal proceeding as referred to in section
hanya berupa gugatan perdata dan diajukan (1) may be civil and shall be taken under the
sesuai dengan ketentuan peraturan laws and regulations.
perundangundangan.

Pasal 33 Article 33

(1) Jika dalam proses penegakan hukum oleh (1) In case of seizure by law enforcement officers
aparat penegak hukum sesuai dengan in the scope of law enforcement measures
ketentuan peraturan perundang-undangan under the laws and regulations, the authorities
yang berwenang harus melakukan penyitaan, must seize only the Personal Data that are
maka yang dapat disita hanya Data Pribadi complicit in the legal case, not necessarily the
yang terkait kasus hukum tanpa harus entire Electronic System.
menyita seluruh Sistem Elektroniknya.

(2) Penyelenggara Sistem Elektronik yang (2) Electronic System Providers that provide,
menyediakan, menyimpan, dan/atau store, and/or manage the seized Personal Data
mengelola Data Pribadi yang disita as referred to in section (1) are prohibited
sebagaimana dimaksud pada ayat (1) dilarang from taking any measures that may result in
melakukan tindakan apapun yang dapat the Personal Data being altered and lost, and
mengakibatkan berubah atau hilangnya Data must maintain the security or provide
Pribadi tersebut dan tetap wajib menjaga protection of the confidentiality of Personal
keamanan atau memberikan perlindungan Data in the Electronic System they manage.
rahasia Data Pribadi dalam Sistem Elektronik
yang dikelolanya.

18
 BAB VII CHAPTER VII

PERAN PEMERINTAH DAN MASYARAKAT GOVERNMENT AND PUBLIC

PARTICIPATION

Pasal 34 Article 34

(1) Untuk memudahkan dalam penyelenggaraan (1) To allow easy protection of Personal Data in
perlindungan Data Pribadi dalam Sistem the Electronic System and to invite the public
Elektronik dan untuk memberdayakan participation, the Director General shall
partisipasi masyarakat, Direktur Jenderal provide the public with education about:
melakukan edukasi kepada masyarakat
mengenai:

a. pengertian Data Pribadi; a. the understanding of Personal Data;

b. hakikat Data Pribadi yang bersifat b. the essence of the privacy of Personal
privasi; Data;

c. pengertian Persetujuan dan c. the understanding of Consent and its

konsekuensinya; consequences;

d. pengertian Sistem Elektronik dan d. the meaning of the Electronic System and
mekanismenya; its mechanism;

e. hak Pemilik Data Pribadi, kewajiban e. the rights of Data Subjects, obligations of
Pengguna, dan kewajiban Penyelenggara Users, and obligations of Electronic
Sistem Elektronik; System Providers;

f. ketentuan mengenai penyelesaian f. the provisions for dispute resolution in

sengketa jika terjadi kegagalan case of failure to protect the
perlindungan rahasia Data Pribadi oleh confidentiality of Personal Data by
Penyelenggara Sistem Elektronik; dan Electronic System Providers; and

g. ketentuan peraturan perundang- g. the provisions of laws and regulations

undangan lainnya yang terkait dengan concerning the protection of Personal
perlindungan Data Pribadi dalam Sistem Data in the Electronic System.
Elektronik.

(2) Masyarakat dapat berpartisipasi dalam (2) The public may participate in the
pelaksanaan edukasi sebagaimana dimaksud implementation of education as referred to in
pada ayat (1). section (1).

(3) Pelaksanaan ketentuan sebagaimana (3) The provisions of section (1) may be
dimaksud pada ayat (1) dapat dilakukan implemented through education and/or
melalui pendidikan dan/atau pelatihan, training, advocacy, technical guidance, and
advokasi, bimbingan teknis, dan sosialisasi socialization/campaign in the mass media.
dengan menggunakan berbagai media.

BAB VIII CHAPTER VIII

PENGAWASAN SUPERVISION

19
 Pasal 35 Article 35

(1) Pengawasan terhadap pelaksanaan Peraturan (1) Supervision for the implementation of this
Menteri ini dilaksanakan oleh Menteri Regulation of the Minister shall be made by
dan/atau pimpinan Instansi Pengawas dan the Minister and/or the Supervisory Agency
Pengatur Sektor. and the Sectoral Supervisors.

(2) Pengawasan yang dilaksanakan Menteri (2) Supervision made by the Minister as referred
sebagaimana dimaksud pada ayat (1) meliputi to in section (1) shall include onsite and
pengawasan secara langsung maupun tidak offsite supervision.
langsung.

(3) Menteri berwenang meminta data dan (3) The Minister shall be empowered to request
informasi dari Penyelenggara Sistem data and information from Electronic System
Elektronik dalam rangka perlindungan Data Providers within the scope of protection of
Pribadi. Personal Data.

(4) Permintaan data dan informasi sebagaimana (4) A request for data and information as referred
dimaksud pada ayat (3) dapat dilakukan to in section (3) may be made periodically or
secara berkala atau sewaktu-waktu apabila at random intervals where necessary.
diperlukan.

(5) Menteri mendelegasikan kewenangan (5) The Minister shall delegate the power of
pengawasan kepada Direktur Jenderal. supervision to the Director General.

BAB IX CHAPTER IX

SANKSI ADMINISTRATIF ADMINISTRATIVE SANCTIONS

Pasal 36 Article 36

(1) Setiap Orang yang memperoleh, (1) Any person who acquires, collects, processes,
mengumpulkan, mengolah, menganalisis, analyzes, stores, displays, publishes,
menyimpan, menampilkan, mengumumkan, transmits, and/or disseminates Personal Data
mengirimkan, dan/atau menyebarluaskan in an unauthorized manner or other than in
Data Pribadi tanpa hak atau tidak sesuai accordance with the provisions of this
dengan ketentuan dalam Peraturan Menteri Regulation of the Minister or other laws and
ini atau peraturan perundang-undangan regulations shall be imposed administrative
lainnya dikenai sanksi administratif sesuai sanctions under the laws and regulations in
dengan ketentuan peraturan perundang- the form of:
undangan berupa:

a. peringatan lisan; a. verbal warnings;

b. peringatan tertulis; b. written warnings;

c. penghentian sementara kegiatan; c. suspension of activities; and/or

dan/atau

d. pengumuman di situs dalam jaringan d. announcements on a website online;

(website online);

(2) Ketentuan mengenai tata cara pelaksanaan (2) The provisions for the procedures for
sanksi administratif sebagaimana dimaksud administrative sanctions as referred to in
pada ayat (1) diatur dengan Peraturan section (1) shall be governed by Regulation of

20
 Menteri. the Minister.

(3) Sanksi administratif diberikan oleh Menteri (3) Administrative sanctions shall be imposed by
atau pimpinan Instansi Pengawas dan the Minister or the Supervisory Agency and
Pengatur Sektor terkait sesuai dengan the Sectoral Supervisors as relevant under the
ketentuan peraturan perundang-undangan. laws and regulations.

(4) Pengenaan sanksi oleh pimpinan Instansi (4) Sanctions by the management of the
Pengawas dan Pengatur Sektor terkait Supervisory Agency and the Sectoral
sebagaimana dimaksud pada ayat (3) Supervisors as relevant as referred to in
dilakukan setelah berkoordinasi dengan section (3) shall be imposed upon
Menteri. coordination with the Minister.

BAB X CHAPTER X

KETENTUAN LAIN MISCELLANEOUS PROVISIONS

Pasal 37 Article 37

(1) Jika Pemilik Data Pribadi merupakan orang (1) If a Data Subject is a person who belongs to
yang termasuk dalam kategori anak sesuai the child category under the laws and
dengan ketentuan peraturan perundang- regulations, Consent referred to in this
undangan, pemberian Persetujuan yang Regulation of the Minister shall be given by
dimaksud dalam Peraturan Menteri ini the parent(s) or guardian of the child
dilakukan oleh orang tua atau wali dari anak concerned.
yang bersangkutan.

(2) Orang tua sebagaimana dimaksud pada ayat (2) Parent(s) as referred to in section (1) shall be
(1) merupakan ayah atau ibu kandung anak the biological father or mother of the child
yang bersangkutan sesuai dengan ketentuan concerned under the laws and regulations.
peraturan perundang-undangan.

(3) Wali sebagaimana dimaksud pada ayat (1) (3) A guardian as referred to in section (1) shall
merupakan orang yang memiliki kewajiban be the person with duties to raise the child
mengurus anak yang bersangkutan sebelum concerned before turning adult under the laws
anak itu dewasa sesuai dengan ketentuan and regulations.
peraturan perundang-undangan.

BAB XI CHAPTER XI

KETENTUAN PERALIHAN TRANSITIONAL PROVISIONS

Pasal 38 Article 38

Penyelenggara Sistem Elektronik yang telah
menyediakan, menyimpan, dan mengelola Data
Pribadi sebelum Peraturan Menteri ini berlaku
harus tetap menjaga kerahasiaan Data Pribadi
yang dikelolanya dan menyesuaikan dengan
Peraturan Menteri ini paling lama 2 (dua) tahun.
Electronic System Providers that already
provides, stores, and manages Personal Data prior
to this Regulation of the Minister coming into
effect shall keep maintaining the confidentiality of
Personal Data they manage and accommodate to
this Regulation of the Minister within 2 (two)
years.

BAB XII CHAPTER XII

KETENTUAN PENUTUP CONCLUDING PROVISIONS

21
 Pasal 39 Article 39

Peraturan Menteri ini mulai berlaku pada tanggal This Regulation of the Minister shall come into
diundangkan. effect from the date it is promulgated.

Agar setiap orang mengetahuinya, memerintahkan In order that every person may know it, the
pengundangan Peraturan Menteri ini dengan promulgation of this Regulation of the Minister is
penempatannya dalam Berita Negara Republik ordered by placement in the Official Gazette of the
Indonesia. Republic of Indonesia.

Ditetapkan di Jakarta Issued in Jakarta

pada tanggal 7 November 2016 on November 7, 2016
MENTERI KOMUNIKASI DAN MINISTER OF COMMUNICATIONS AND
INFORMATIKA REPUBLIK INDONESIA, INFORMATICS OF THE REPUBLIC OF
INDONESIA,
ttd. sgd.
RUDIANTARA RUDIANTARA

Diundangkan di Jakarta Promulgated in Jakarta

pada tanggal 1 Desember 2016 on December 1, 2016
DIREKTUR JENDERAL PERATURAN DIRECTOR GENERAL OF LEGISLATION OF
PERUNDANG-UNDANGAN KEMENTERIAN THE MINISTRY OF LAW AND HUMAN
HUKUM DAN HAK ASASI MANUSIA RIGHTS OF THE REPUBLIC OF INDONESIA,
REPUBLIK INDONESIA,
ttd. sgd.
WIDODO EKATJAHJANA WIDODO EKATJAHJANA

BERITA NEGARA REPUBLIK INDONESIA OFFICIAL GAZETTE OF THE REPUBLIC OF

TAHUN 2016 NOMOR 1829 INDONESIA NUMBER 1829 OF 2016

Translated by: Wishnu Basuki

wbasuki@gmail.com

Primary reading materials to which this translation conforms:

● CU 108 Convention for the protection of individuals with regard to automatic processing of personal data (Council of Europe), Jan
28, 1981
● E/CN.4/1990/72 Guidelines concerning computerized personal data files (United Nations), Feb 20, 1990
● Directive 95/46/EC Protection of individuals with regard to the processing of personal data and on the free movement of such data,
Oct 24, 1995 (European Union)

22