Documente Academic
Documente Profesional
Documente Cultură
DENGAN RAHMAT TUHAN YANG MAHA WITH THE BLESSING OF GOD ALMIGHTY
ESA
Menimbang: Considering:
bahwa untuk melaksanakan ketentuan Pasal 15 that to give effect to the provisions of Article 15
ayat (3) Peraturan Pemerintah Nomor 82 Tahun section (3) of Regulation of the Government
2012 tentang Penyelenggaraan Sistem dan Number 82 of 2012 concerning Electronic System
Transaksi Elektronik, perlu menetapkan Peraturan and Transactions, it is necessary to issue
Menteri Komunikasi dan Informatika tentang Regulation of the Minister of Communications
Perlindungan Data Pribadi dalam Sistem and Informatics concerning Protection of Personal
Elektronik; Data in the Electronic System;
1
Tambahan Lembaran Negara Republik to the State Gazette of the Republic of
Indonesia Nomor 5348); Indonesia Number 5348);
4. Peraturan Presiden Nomor 7 Tahun 2015 4. Regulation of the President Number 7 of 2015
tentang Organisasi Kementerian Negara concerning Organization of the State
(Lembaran Negara Republik Indonesia Tahun Ministries (State Gazette of the Republic of
2015 Nomor 8); Indonesia Number 8 of 2015);
BAB I CHAPTER I
Pasal 1 Article 1
Dalam Peraturan Menteri ini yang dimaksud In this Regulation of the Minister:
dengan:
1. Data Pribadi adalah data perseorangan 1. Personal Data means particular individual
tertentu yang disimpan, dirawat, dan dijaga data that are stored, maintained and kept for
kebenaran serta dilindungi kerahasiaannya. correctness and protected for confidentiality.
2. Data Perseorangan Tertentu adalah setiap 2. Particular Individual Data means any correct
keterangan yang benar dan nyata yang and actual information that relates to any
melekat dan dapat diidentifikasi, baik individual and is identifiable directly or
langsung maupun tidak langsung, pada indirectly to be manipulated under the laws
masing-masing individu yang and regulations.
pemanfaatannya sesuai ketentuan peraturan
perundang-undangan.
3. Pemilik Data Pribadi adalah individu yang 3. Data Subject means any individual to whom
2
padanya melekat Data Perseorangan Particular Individual Data relate.
Tertentu.
4. Persetujuan Pemilik Data Pribadi, yang 4. Data Subject’s Consent, hereinafter referred
selanjutnya disebut Persetujuan adalah to as Consent, means a manual and/or
pernyataan secara tertulis baik secara manual electronic written statement that is given by a
dan/atau elektronik yang diberikan oleh Data Subject upon being fully informed of
Pemilik Data Pribadi setelah mendapat acquisition, collection, processing, analysis,
penjelasan secara lengkap mengenai tindakan storage, display, publication, transmission
perolehan, pengumpulan, pengolahan, and dissemination as well as confidentiality
penganalisisan, penyimpanan, penampilan, or non-confidentiality of Personal Data.
pengumuman, pengiriman, dan
penyebarluasan serta kerahasiaan atau
ketidakrahasiaan Data Pribadi.
9. Menteri adalah menteri yang 9. Minister means the minister who is in charge
menyelenggarakan urusan pemerintahan di of the administrative affairs in the field of
bidang komunikasi dan informatika. communications and informatics.
10. Direktur Jenderal adalah direktur jenderal 10. Director General means a director general
yang tugas dan fungsinya di bidang aplikasi whose duties and functions include
informatika. informatics application.
Pasal 2 Article 2
(1) Perlindungan Data Pribadi dalam Sistem (1) Protection of Personal Data in the Electronic
Elektronik mencakup perlindungan terhadap System shall include protection against
3
perolehan, pengumpulan, pengolahan, acquisition, collection, processing, analysis,
penganalisisan, penyimpanan, penampilan, storage, display, publication, transmission,
pengumuman, pengiriman, penyebarluasan, dissemination, and destruction of Personal
dan pemusnahan Data Pribadi. Data.
(2) Dalam melaksanakan ketentuan sebagaimana (2) The provision of section (1) must be complied
dimaksud pada ayat (1) harus berdasarkan with within the good Personal Data protection
asas perlindungan Data Pribadi yang baik, principles that include:
yang meliputi:
h. tanggung jawab atas Data Pribadi yang h. to be responsible for Personal Data held
berada dalam penguasaan Pengguna; by Users;
i. kemudahan akses dan koreksi terhadap i. to allow Data Subjects easy access and
Data Pribadi oleh Pemilik Data Pribadi; correction to Personal Data; and
dan
(3) Privasi sebagaimana dimaksud pada ayat (2) (3) The privacy as referred to in section (2) point
huruf a merupakan kebebasan Pemilik Data (a) shall allow the Data Subject freedom to
Pribadi untuk menyatakan rahasia atau tidak claim whether or not his/her Personal Data is
menyatakan rahasia Data Pribadinya, kecuali confidential, unless provided otherwise by the
ditentukan lain sesuai dengan ketentuan laws and regulations.
peraturan perundang-undangan.
4
BAB II CHAPTER II
PERLINDUNGAN PROTECTION
Umum General
Pasal 3 Article 3
Perlindungan Data Pribadi dalam Sistem Personal Data in the Electronic System shall be
Elektronik dilakukan pada proses: protected during the process of their:
c. penyimpanan; c. storage;
Pasal 4 Article 4
(1) Sistem Elektronik yang digunakan untuk (1) The Electronic System that is used to process
proses sebagaimana dimaksud dalam Pasal 3 Personal Data as referred to in Article 3 must
wajib tersertifikasi. be certified.
(2) Pelaksanaan tersertifikasi sebagaimana (2) Certification as referred to in section (1) shall
dimaksud pada ayat (1) sesuai dengan be made under the laws and regulations.
ketentuan peraturan perundang-undangan.
Pasal 5 Article 5
(1) Setiap Penyelenggara Sistem Elektronik (1) Any Electronic System Provider must have
harus mempunyai aturan internal internal regulations to protect Personal Data
perlindungan Data Pribadi untuk to go through the process as referred to in
melaksanakan proses sebagaimana dimaksud Article 3.
dalam Pasal 3.
(2) Setiap Penyelenggara Sistem Elektronik (2) Any Electronic System Provider must prepare
harus menyusun aturan internal perlindungan internal regulations concerning protection of
Data Pribadi sebagai bentuk tindakan Personal Data to take any preventive measure
pencegahan untuk menghindari terjadinya against failure to protect Personal Data it
kegagalan dalam perlindungan Data Pribadi manages.
yang dikelolanya.
(3) Penyusunan aturan internal sebagaimana (3) Preparation for internal regulations as
dimaksud pada ayat (1) dan ayat (2) harus referred to in section (1) and section (2) must
mempertimbangkan aspek penerapan take into consideration aspects of
teknologi, sumber daya manusia, metode, dan technological application, human resources,
biaya serta mengacu pada ketentuan dalam methods, and costs, and refer to the provisions
Peraturan Menteri ini dan peraturan of this Regulation of the Minister and other
5
perundang-undangan lainnya yang terkait. relevant laws and regulations.
(4) Tindakan pencegahan lainnya untuk (4) Other preventive measures against failure of
menghindari terjadinya kegagalan dalam Personal Data protection it manages must be
perlindungan Data Pribadi yang dikelolanya taken by any Electronic System Provider by
harus dilakukan oleh setiap Penyelenggara at least:
Sistem Elektronik, paling sedikit berupa
kegiatan:
Pasal 6 Article 6
Penyelenggara Sistem Elektronik yang melakukan Electronic System Providers who go through the
proses sebagaimana dimaksud dalam Pasal 3 processes as referred to in Article 3 must make
wajib menyediakan formulir persetujuan dalam available a consent form in the Indonesian
bahasa Indonesia untuk meminta Persetujuan dari language to seek Consent from the relevant Data
Pemilik Data Pribadi yang dimaksud. Subject.
Perolehan dan Pengumpulan Data Pribadi Acquisition and Collection of Personal Data
Pasal 7 Article 7
(1) Perolehan dan pengumpulan Data Pribadi (1) Acquisition and collection of Personal Data by
oleh Penyelenggara Sistem Elektronik harus Electronic System Providers must be limited
dibatasi pada informasi yang relevan dan to only information that is relevant to and
sesuai dengan tujuannya serta harus within their purpose, and conducted in an
dilakukan secara akurat. accurate manner.
(2) Instansi Pengawas dan Pengawas Sektor (2) The Supervisory Agency and the Sectoral
dapat menentukan informasi yang relevan Supervisors may specify information that is
dan sesuai dengan tujuannya sebagaimana relevant to and within their purpose as
dimaksud pada ayat (1). referred to in section (1).
Pasal 8 Article 8
(1) Dalam memperoleh dan mengumpulkan Data (1) Electronic System Providers must, to acquire
Pribadi, Penyelenggara Sistem Elektronik and collect Personal Data, have respect for the
harus menghormati Pemilik Data Pribadi atas Data Subject’s privacy of his/her Personal
Data Pribadinya yang bersifat privasi. Data.
(2) Penghormatan terhadap Pemilik Data Pribadi (2) Electronic System Providers shall have
atas Data Pribadinya yang bersifat privasi respect for the Data Subject’s privacy of
sebagaimana dimaksud pada ayat (1) his/her Personal Data by providing the Data
6
dilakukan melalui penyediaan pilihan dalam Subject with options in the Electronic System
Sistem Elektronik untuk Pemilik Data Pribadi of:
terhadap:
(3) Pilihan untuk Pemilik Data Pribadi terhadap (3) Options for the Data Subject of the
kerahasiaan atau ketidakrahasiaan Data confidentiality or non-confidentiality of
Pribadi sebagaimana dimaksud pada ayat (2) Personal Data as referred to in section (2)
huruf a tidak berlaku jika peraturan point (a) shall not apply where there are laws
perundang-undangan telah secara tegas and regulations expressly providing that
menyatakan Data Pribadi yang secara khusus several elements of Personal Data is
untuk beberapa elemennya dinyatakan specifically claimed to be confidential.
bersifat rahasia.
(4) Pilihan untuk Pemilik Data Pribadi terhadap (4) Options for the Data Subject of the alteration,
perubahan, penambahan, atau pembaruan addition, or update of Personal Data as
Data Pribadi sebagaimana dimaksud pada referred to in section (2) point (b) shall be to
ayat (2) hururf b untuk memberikan allow the Data Subject an opportunity to, if so
kesempatan bagi Pemilik Data Pribadi jika inclined, revise his/her Particular Personal
menghendaki pergantian Data Perseorangan Data.
Tertentu miliknya.
Pasal 9 Article 9
(1) Perolehan dan pengumpulan Data Pribadi (1) Acquisition and collection of Personal Data by
oleh Penyelenggara Sistem Elektronik wajib Electronic System Providers must be made by
berdasarkan Persetujuan atau berdasarkan Consent or under the laws and regulations.
ketentuan peraturan perundang-undangan.
(2) Pemilik Data Pribadi yang memberikan (2) A Data Subject who gives Consent as referred
Persetujuan sebagaimana dimaksud pada ayat to in section (1) may claim that his/her
(1) dapat menyatakan Data Perseorangan Particular Individual Data is confidential.
Tertentu miliknya bersifat rahasia.
(3) Dalam hal Persetujuan sebagaimana (3) If the Consent as referred to in section (2)
dimaksud pada ayat (2) tidak termasuk does not include Consent to disclose
Persetujuan atas pengungkapan kerahasiaan confidential Personal Data:
Data Pribadi, maka:
a. setiap orang yang melakukan perolehan a. any person who acquires and collects the
dan pengumpulan Data Pribadi; dan Personal Data; and
harus menjaga kerahasiaan Data Pribadi must maintain the confidentiality of those
tersebut. Personal Data.
(4) Ketentuan menjaga kerahasiaan Data Pribadi (4) Maintenance of the confidentiality of
bagi setiap Orang dan Penyelenggara Sistem Personal Data by any Person and Electronic
Elektronik sebagaimana dimaksud pada ayat System Provider as referred to in section (3)
(3) juga berlaku terhadap Data Pribadi yang shall also apply to Personal Data that are
7
dinyatakan rahasia sesuai dengan ketentuan claimed to be confidential under the laws and
peraturan perundang-undangan. regulations.
Pasal 10 Article 10
(1) Data Pribadi yang diperoleh dan (1) Personal Data that are directly acquired and
dikumpulkan secara langsung harus collected must be verified with the Data
diverifikasi ke Pemilik Data Pribadi. Subject.
(2) Data Pribadi yang diperoleh dan (2) Personal Data that are acquired and collected
dikumpulkan secara tidak langsung harus indirectly must be verified with the various
diverifikasi berdasarkan hasil olahan berbagai data sources by which the data is processed.
sumber data.
(3) Sumber data dalam perolehan dan (3) Data sources from which Personal Data is
pengumpulan Data Pribadi sebagaimana acquired and collected as referred to in
dimaksud pada ayat (2) harus memiliki dasar section (2) must have a valid legal basis.
hukum yang sah.
Pasal 11 Article 11
(1) Sistem Elektronik yang digunakan untuk (1) An Electronic System that is used to store
menampung perolehan dan pengumpulan Personal Data that are acquired and collected
Data Pribadi harus: must:
(3) Interoperabilitas sebagaimana dimaksud pada (3) Interoperability as referred to in section (2)
ayat (2) merupakan kemampuan Sistem shall be Electronic Systems with different
Elektronik yang berbeda untuk dapat bekerja performance that enable operating together.
secara terpadu.
(4) Kompatibilitas sebagaimana dimaksud pada (4) Compatibility as referred to in section (2)
ayat (2) merupakan kesesuaian Sistem shall be the compatibility of one Electronic
Elektronik yang satu dengan Sistem System with another Electronic System.
Elektronik yang lainnya.
Pengolahan dan Penganalisisan Data Pribadi Processing and Analysis of Personal Data
Pasal 12 Article 12
(1) Data Pribadi hanya dapat diolah dan (1) Personal Data may be processed and analyzed
dianalisis sesuai kebutuhan Penyelenggara as appropriate by Electronic System
Sistem Elektronik yang telah dinyatakan Providers upon giving full information when
secara jelas saat memperoleh dan acquiring and collecting the data.
8
mengumpulkannya.
(2) Pengolahan dan penganalisisan Data Pribadi (2) Personal Data as referred to in section (1)
sebagaimana dimaksud pada ayat (1) shall be processed and analyzed by Consent.
dilakukan berdasarkan Persetujuan.
Pasal 13 Article 13
Ketentuan sebagaimana dimaksud dalam Pasal 12 The provisions of Article 12 section (2) shall not
ayat (2) tidak berlaku jika Data Pribadi yang apply if the Personal Data being processed and
diolah dan dianalisis tersebut berasal dari Data analyzed originate in the Personal Data already
Pribadi yang telah ditampilkan atau diumumkan publicly displayed or published in the public
secara terbuka oleh Sistem Elektronik untuk interest by the Electronic System.
pelayanan publik.
Pasal 14 Article 14
Data Pribadi yang diolah dan dianalisis harus Data Personal Data that are processed and analyzed
Pribadi yang telah diverifikasi keakuratannya. must be Personal Data that have been verified for
accuracy.
Pasal 15 Article 15
(1) Data Pribadi yang disimpan dalam Sistem (1) Personal Data that are stored in the Electronic
Elektronik harus Data Pribadi yang telah System must be Personal Data that have been
diverifikasi keakuratannya. verified for accuracy.
(2) Data Pribadi yang disimpan dalam Sistem (2) Personal Data that are stored in the Electronic
Elektronik harus dalam bentuk data System must be encrypted data.
terenkripsi.
(3) Data Pribadi sebagaimana dimaksud pada (3) Personal Data as referred to in section (1)
ayat (1) wajib disimpan dalam Sistem must be stored in the Electronic System:
Elektronik:
a. sesuai dengan ketentuan peraturan a. under the laws and regulations that
perundang-undangan yang mengatur govern the obligatory Personal Data
kewajiban jangka waktu penyimpanan retention period by the Supervisory
Data Pribadi pada masing-masing Agency and the Sectoral Supervisors
Instansi Pengawas dan Pengatur Sektor; respectively; or
atau
b. paling singkat 5 (lima) tahun, jika belum b. for at least 5 (five) years, in case of no
terdapat ketentuan peraturan perundang- laws and regulations that specifically
undangan yang secara khusus mengatur govern the retention period.
untuk itu.
Pasal 16 Article 16
Jika Pemilik Data Pribadi tidak lagi menjadi If a Data Subject ceases to be a User, an Electronic
Pengguna, Penyelenggara Sistem Elektronik System Provider must have the Personal Data
wajib menyimpan Data Pribadi tersebut sesuai stored within the time limit as referred to in Article
9
batas waktu sebagaimana dimaksud dalam Pasal 15 section (2) with effect from the last date the
15 ayat (2) terhitung sejak tanggal terakhir Data Subject becomes a User.
Pemilik Data Pribadi menjadi Pengguna.
Pasal 17 Article 17
(1) Pusat data (data center) dan pusat pemulihan (1) Data centers and disaster recovery centers
bencana (disaster recovery center) belonging to public-interest Electronic
Penyelenggara Sistem Elektronik untuk System Providers that are used to process
pelayanan publik yang digunakan untuk Personal Data protection as referred to in
proses perlindungan Data Pribadi Article 3 must be stationed within the territory
sebagaimana dimaksud dalam Pasal 3 wajib of the state of the Republic of Indonesia.
ditempatkan dalam wilayah negara Republik
Indonesia.
(2) Pusat data (data center) sebagaimana (2) Data centers as referred to in section (1) shall
dimaksud pada ayat (1) merupakan suatu be the facilities at which the Electronic
fasilitas yang digunakan untuk menempatkan System and its related components are
Sistem Elektronik dan komponen terkaitnya established for the purpose of data
untuk keperluan penempatan, penyimpanan, installation, storage and processing.
dan pengolahan data.
(3) Pusat pemulihan bencana (disaster recovery (3) Disaster recovery centers as referred to in
center) sebagaimana dimaksud pada ayat (1) section (1) shall be the facilities at which data
merupakan suatu fasilitas yang digunakan or information as well as the important
untuk memulihkan kembali data atau Electronic System functions that are troubled
informasi serta fungsi-fungsi penting Sistem or disabled by natural and/or man-made
Elektronik yang terganggu atau rusak akibat disasters are recovered.
bencana yang disebabkan oleh alam dan/atau
manusia.
Pasal 18 Article 18
(1) Penyimpanan Data Pribadi dalam Sistem (1) Personal Data must be stored in the Electronic
Elektronik harus dilakukan sesuai dengan System under the procedures for and means
ketentuan mengenai prosedur dan sarana of Electronic System security.
pengamanan Sistem Elektronik.
(2) Prosedur dan sarana pengamanan Sistem (2) Procedures for and means of Electronic
Elektronik sebagaimana dimaksud pada ayat System security as referred to in section (1)
(1) sesuai dengan ketentuan peraturan shall be established under the laws and
perundangundangan. regulations.
Pasal 19 Article 19
Jika waktu penyimpanan Data Pribadi telah If the retention period of Personal Data has
melebihi batas waktu sebagaimana dimaksud exceeded the time limit as referred to in Article 15
dalam Pasal 15 ayat (2), Data Pribadi dalam section (2), the Personal Data in the Electronic
Sistem Elektronik dapat dihapuskan kecuali Data System may be erased unless such data will be
Pribadi tersebut masih akan dipergunakan atau used or manipulated to the original purpose for
dimanfaatkan sesuai dengan tujuan awal which they are acquired and collected.
perolehan dan pengumpulannya.
Pasal 20 Article 20
10
Jika Pemilik Data Pribadi meminta penghapusan If a Data Subject requests that his/her Particular
Data Perseorangan Tertentu miliknya, permintaan Individual Data be erased, such a request for
penghapusan tersebut dilakukan sesuai dengan erasure shall be made under the laws and
ketentuan peraturan perundang-undangan. regulations.
Pasal 21 Article 21
(1) Menampilkan, mengumumkan, (1) Personal Data in the Electronic System may
mengirimkan, menyebarluaskan, dan/atau be displayed, published, transmitted,
membuka akses Data Pribadi dalam Sistem disseminated, and/or allowed for access only:
Elektronik hanya dapat dilakukan:
b. setelah diverifikasi keakuratan dan b. upon the Personal Data being verified for
kesesuaian Data Pribadi tersebut. accuracy and suitability.
(2) Menampilkan, mengumumkan, (2) Section (1) shall include Personal Data in the
mengirimkan, menyebarluaskan, dan/atau Electronic System that are displayed,
membuka akses Data Pribadi dalam Sistem published, transmitted, disseminated, and/or
Elektronik sebagaimana dimaksud pada ayat allowed for access among the Electronic
(1) termasuk yang dilakukan antar System Providers, between the Electronic
Penyelenggara Sistem Elektronik, antar System Providers and the Users, or among the
Penyelenggara Sistem Elektronik dan Users.
Pengguna, atau antar Pengguna.
Pasal 22 Article 22
(1) Pengiriman Data Pribadi yang dikelola oleh (1) Transmission of Personal Data that is
Penyelenggara Sistem Elektronik pada managed by Electronic System Providers
instansi pemerintah dan pemerintahan daerah with the government agencies and regional
serta masyarakat atau swasta yang government agencies or by the public or
berdomisili di dalam wilayah negara private parties domiciled within the territory
Republik Indonesia ke luar wilayah negara of the state of the Republic of Indonesia out
Republik Indonesia harus: of the territory of the state of the Republic of
Indonesia must be:
11
dimaksud pada ayat (1) huruf a berupa: point (a) shall be made by:
b. meminta advokasi, jika diperlukan; dan b. seeking advocacy where necessary; and
Pasal 23 Article 23
(1) Untuk keperluan proses penegakan hukum, (1) For the purpose of law enforcement,
Penyelenggara Sistem Elektronik wajib Electronic System Providers must surrender
memberikan Data Pribadi yang terdapat Personal Data in the Electronic System or
dalam Sistem Elektronik atau Data Pribadi Personal Data that are generated by an
yang dihasilkan oleh Sistem Elektronik atas Electronic System to, if lawfully demanded,
permintaan yang sah dari aparat penegak law enforcement officers under the laws and
hukum berdasarkan ketentuan peraturan regulations.
perundang-undangan.
(2) Data Pribadi sebagaimana dimaksud pada (2) Personal Data as referred to in section (1)
ayat (1) merupakan Data Pribadi yang relevan shall be Personal Data that are relevant to and
dan sesuai dengan kebutuhan penegakan required for law enforcement.
hukum.
Pasal 24 Article 24
(1) Penggunaan dan pemanfaatan Data Pribadi (1) Use and manipulation of Personal Data that
yang ditampilkan, diumumkan, diterima, dan are displayed, published, received, and
disebarluaskan oleh Penyelenggara Sistem disseminated by Electronic System Providers
Elektronik harus berdasarkan Persetujuan. must be subject to Consent.
(2) Penggunaan dan pemanfaatan Data Pribadi (2) Use and manipulation of Personal Data as
sebagaimana dimaksud pada ayat (1) harus referred to in section (1) must be suitable for
sesuai dengan tujuan perolehan, the purpose for which the Personal Data is
pengumpulan, pengolahan, dan/atau acquired, collected, processed, and/or
penganalisisan Data Pribadi. analyzed.
Pasal 25 Article 25
(1) Pemusnahan Data Pribadi dalam Sistem (1) Personal Data in the Electronic System may
Elektronik hanya dapat dilakukan jika: be destroyed only if:
a. telah melewati ketentuan jangka waktu a. having exceeded the retention period of
penyimpanan Data Pribadi dalam Sistem the Personal Data in the Electronic
Elektronik berdasarkan Peraturan System under this Regulation of the
Menteri ini atau sesuai dengan ketentuan Minister or under other laws and
peraturan perundang-undangan lainnya regulations that specifically govern the
12
yang secara khusus mengatur di masing- same in the Supervisory Agency and the
masing Instansi Pengawas dan Pengawas Sectoral Supervisors respectively; or
Sektor untuk itu; atau
b. atas permintaan Pemilik Data Pribadi, b. at the request of the Data Subject unless
kecuali ditentukan lain oleh ketentuan provided otherwise by the laws and
peraturan perundang-undangan. regulations.
(2) Pemusnahan sebagaimana dimaksud pada (2) Destruction as referred to in section (1) must
ayat (1) harus menghilangkan sebagian atau remove all or any part of the documents that
keseluruhan dokumen terkait Data Pribadi, are associated with the Personal Data,
termasuk yang elektronik maupun whether or not electronic, that are managed
nonelektronik yang dikelola oleh by Electronic System Providers and/or Users
Penyelenggara Sistem Elektronik dan/atau in order to disable the display of the Personal
Pengguna sehingga Data Pribadi tersebut Data in the Electronic System, unless the Data
tidak dapat ditampilkan kembali dalam Subject provides his/her new Personal Data.
Sistem Elektronik kecuali Pemilik Data
Pribadi memberikan Data Pribadinya yang
baru.
(3) Penghilangan sebagian atau keseluruhan (3) Removal of all or any part of the files as
berkas sebagaimana dimaksud pada ayat (2) referred to in section (2) shall be made by
dilakukan berdasarkan Persetujuan atau Consent or under other laws and regulations
sesuai dengan ketentuan peraturan that specifically govern the same for each
perundang-undangan lainnya yang secara sector.
khusus mengatur di masing-masing sektor
untuk itu.
Pasal 26 Article 26
Pemilik Data Pribadi berhak: A Data Subject shall have the right to:
b. mengajukan pengaduan dalam rangka b. file a complaint with the Minister to resolve a
penyelesaian sengketa Data Pribadi atas Personal Data dispute for failure of an
kegagalan perlindungan kerahasiaan Data Electronic System Provider to protect the
Pribadinya oleh Penyelenggara Sistem confidentiality of his/her Personal Data;
Elektronik kepada Menteri;
c. mendapatkan akses atau kesempatan untuk c. have access or opportunity to alter or update
mengubah atau memperbarui Data Pribadinya his/her Personal Data without interfering the
tanpa menganggu sistem pengelolaan Data Personal Data management system, unless
Pribadi, kecuali ditentukan lain oleh provided otherwise by the laws and
ketentuan peraturan perundang-undangan; regulations;
d. mendapatkan akses atau kesempatan untuk d. have access or opportunity to claim his/her
memperoleh historis Data Pribadinya yang Personal Data history he/she once delivered
pernah diserahkan kepada Penyelenggara to the Electronic System Provider as long as
Sistem Elektronik sepanjang masih sesuai within the laws and regulations; and
dengan ketentuan peraturan perundang-
13
undangan; dan
e. meminta pemusnahan Data Perseorangan e. request that his/her own Particular Individual
Tertentu miliknya dalam Sistem Elektronik Data in the Electronic System managed by the
yang dikelola oleh Penyelenggara Sistem Electronic System Provider be destroyed,
Elektronik, kecuali ditentukan lain oleh unless provided otherwise by the laws and
ketentuan peraturan perundang-undangan. regulations.
BAB IV CHAPTER IV
Pasal 27 Article 27
a. menjaga kerahasiaan Data Pribadi yang a. maintain the confidentiality of Personal Data
diperoleh, dikumpulkan, diolah, dan he/she has acquired, collected, processed, and
dianalisisnya; analyzed;
b. menggunakan Data Pribadi sesuai dengan b. use Personal Data only as required by Users;
kebutuhan Pengguna saja;
c. melindungi Data Pribadi beserta dokumen c. protect Personal Data along with the
yang memuat Data Pribadi tersebut dari documents containing such Personal Data
tindakan penyalahgunaan; dan from abuse; and
d. bertanggung jawab atas Data Pribadi yang d. in case of abuse, be liable for Personal Data
terdapat dalam penguasaannya, baik they possess, whether possessed by
penguasaan secara organisasi yang menjadi organization of which they are in charge or
kewenangannya maupun perorangan, jika individually.
terjadi tindakan penyalahgunaan.
BAB V CHAPTER V
Pasal 28 Article 28
Setiap Penyelenggara Sistem Elektronik wajib: Any Electronic System Provider must:
a. melakukan sertifikasi Sistem Elektronik yang a. have the Electronic System it manages
dikelolanya sesuai dengan ketentuan certified under the laws and regulations;
peraturan perundang-undangan;
c. memberitahukan secara tertulis kepada c. notify in writing the Data Subjects in case of
Pemilik Data Pribadi jika terjadi kegagalan failure to protect the confidentiality of
14
perlindungan rahasia Data Pribadi dalam Personal Data in the Electronic System it
Sistem Elektronik yang dikelolanya, dengan manages, as follows:
ketentuan pemberitahuan sebagai berikut:
1. harus disertai alasan atau penyebab 1. the notification shall include reasons or
terjadinya kegagalan perlindungan factors in the failure to protect the
rahasia Data Pribadi; confidentiality of Personal Data ;
e. menyediakan rekam jejak audit terhadap e. provide audit trail of the whole Electronic
seluruh kegiatan penyelenggaraan Sistem System it manages;
Elektronik yang dikelolanya;
f. memberikan opsi kepada Pemilik Data f. give the Data Subject option whether or not
Pribadi mengenai Data Pribadi yang the Personal Data it manages may be used
dikelolanya dapat atau tidak dapat digunakan and/or displayed by/to third parties by
dan/atau ditampilkan oleh/pada pihak ketiga Consent, subject to having relation to the
atas Persetujuan sepanjang masih terkait purpose for which the Personal Data is
dengan tujuan perolehan dan pengumpulan acquired and collected;
Data Pribadi;
g. memberikan akses atau kesempatan kepada g. provide access or opportunity to the Data
Pemilik Data Pribadi untuk mengubah atau Subject to alteration or update his/her
memperbarui Data Pribadinya tanpa Personal Data without interfering the
menganggu sistem pengelolaan Data Pribadi, Personal Data management system, unless
kecuali ditentukan lain oleh ketentuan provided otherwise by the laws and
peraturan perundang-undangan; regulations;
h. memusnahkan Data Pribadi sesuai dengan h. destroy Personal Data under the provisions of
ketentuan dalam Peraturan Menteri ini atau this Regulation of the Minister or other laws
ketentuan peraturan perundang-undangan and regulations specially govern the same in
lainnya yang secara khusus mengatur di the Supervisory Agency and the Sectoral
masing-masing Instansi Pengawas dan Supervisors respectively; and
Pengawas Sektor untuk itu; dan
15
yang mudah dihubungi oleh Pemilik Data a Data Subject with respect to the
Pribadi terkait pengelolaan Data Pribadinya. management of his/her Personal Data.
BAB VI CHAPTER VI
Pasal 29 Article 29
(1) Setiap Pemilik Data Pribadi dan (1) A Data Subject and Electronic System
Penyelenggara Sistem Elektronik dapat Provider may file a complaint with the
mengajukan pengaduan kepada Menteri atas Minister about failure to protect the
kegagalan perlindungan kerahasiaan Data confidentiality of Personal Data.
Pribadi.
(2) Pengaduan sebagaimana dimaksud pada ayat (2) A complaint as referred to in section (1) shall
(1) dimaksudkan sebagai upaya penyelesaian aim to resolve a dispute by deliberation or by
sengketa secara musyawarah atau melalui other alternative resolution.
upaya penyelesaian alternatif lainnya.
(3) Pengaduan sebagaimana dimaksud pada ayat (3) A complaint as referred to in section (1) shall
(1) dilakukan berdasarkan alasan: be made for the following reasons:
b. telah terjadinya kerugian bagi Pemilik b. the Data Subject or other Electronic
Data Pribadi atau Penyelenggara Sistem System Provider has suffered harm due
Elektronik lainnya yang terkait dengan to failure to protect the confidentiality of
kegagalan perlindungan rahasia Data Personal Data despite delayed written
Pribadi tersebut, meskipun telah notification about the failure to protect
dilakukan pemberitahuan secara tertulis the confidentiality of Personal Data.
atas kegagalan perlindungan rahasia
Data Pribadi namun waktu
pemberitahuannya yang terlambat.
(4) Menteri dapat berkoordinasi dengan (4) The Minister may coordinate with the
pimpinan Instansi Pengawas dan Pengatur management of the Supervisory Agency and
Sektor untuk menindaklanjuti pengaduan the Sectoral Supervisors to respond a
sebagaimana dimaksud pada ayat (1). complaint as referred to in section (1).
Pasal 30 Article 30
(1) Menteri mendelegasikan kewenangan (1) The Minister shall delegate the power to
penyelesaian sengketa Data Pribadi resolve a Personal Data dispute as referred to
sebagaimana dimaksud dalam Pasal 29
16
kepada Direktur Jenderal. in Article 29 to the Director General.
(2) Direktur Jenderal dapat membentuk panel (2) The Director General may create a panel of
penyelesaian sengketa Data Pribadi. Personal Data dispute resolution.
Pasal 31 Article 31
Pengaduan dan penanganan pengaduan dilakukan A complaint and handling of complaint shall be
berdasarkan tata cara, sebagai berikut: made under the following procedures:
a. pengaduan dilakukan paling lambat 30 (tiga a. a complaint shall be made within 30 (thirty)
puluh) hari kerja sejak pengadu mengetahui working days from when the complainant has
informasi sebagaimana dimaksud dalam knowledge of the information as referred to in
Pasal 29 ayat (3) huruf a atau huruf b; Article 29 section (3) point (a) or point (b);
1. nama dan alamat pengadu; 1. the name and address of the complainant;
3. permintaan penyelesaian masalah yang 3. the problem raised for resolution; and
diadukan; dan
c. pengaduan harus dilengkapi dengan bukti- c. a complaint must enclose any conclusive
bukti pendukung; evidence;
g. penyelesaian sengketa atas dasar pengaduan g. the dispute with the complete complaint
lengkap tersebut dilakukan secara documents shall be resolved by deliberation
17
musyawarah atau melalui upaya penyelesaian or by other alternative resolution under the
alternatif lainnya sesuai dengan ketentuan laws and regulations; and
peraturan perundang-undangan; dan
Pasal 32 Article 32
(1) Dalam upaya penyelesaian sengketa secara (1) If a dispute is incapable of resolution by
musyawarah atau melalui upaya penyelesaian deliberation or other alternative resolution to
alternatif lainnya belum mampu the failure to protect the confidentiality of
menyelesaikan sengketa atas kegagalan Personal Data, any Data Subject and
perlindungan kerahasiaan Data Pribadi, setiap Electronic System Provider may take a legal
Pemilik Data Pribadi dan Penyelenggara proceeding against the failure to protect the
Sistem Elektronik dapat mengajukan gugatan confidentiality of Personal Data.
atas terjadinya kegagalan perlindungan
rahasia Data Pribadi.
(2) Gugatan sebagaimana dimaksud pada ayat (1) (2) A legal proceeding as referred to in section
hanya berupa gugatan perdata dan diajukan (1) may be civil and shall be taken under the
sesuai dengan ketentuan peraturan laws and regulations.
perundangundangan.
Pasal 33 Article 33
(1) Jika dalam proses penegakan hukum oleh (1) In case of seizure by law enforcement officers
aparat penegak hukum sesuai dengan in the scope of law enforcement measures
ketentuan peraturan perundang-undangan under the laws and regulations, the authorities
yang berwenang harus melakukan penyitaan, must seize only the Personal Data that are
maka yang dapat disita hanya Data Pribadi complicit in the legal case, not necessarily the
yang terkait kasus hukum tanpa harus entire Electronic System.
menyita seluruh Sistem Elektroniknya.
(2) Penyelenggara Sistem Elektronik yang (2) Electronic System Providers that provide,
menyediakan, menyimpan, dan/atau store, and/or manage the seized Personal Data
mengelola Data Pribadi yang disita as referred to in section (1) are prohibited
sebagaimana dimaksud pada ayat (1) dilarang from taking any measures that may result in
melakukan tindakan apapun yang dapat the Personal Data being altered and lost, and
mengakibatkan berubah atau hilangnya Data must maintain the security or provide
Pribadi tersebut dan tetap wajib menjaga protection of the confidentiality of Personal
keamanan atau memberikan perlindungan Data in the Electronic System they manage.
rahasia Data Pribadi dalam Sistem Elektronik
yang dikelolanya.
18
BAB VII CHAPTER VII
Pasal 34 Article 34
(1) Untuk memudahkan dalam penyelenggaraan (1) To allow easy protection of Personal Data in
perlindungan Data Pribadi dalam Sistem the Electronic System and to invite the public
Elektronik dan untuk memberdayakan participation, the Director General shall
partisipasi masyarakat, Direktur Jenderal provide the public with education about:
melakukan edukasi kepada masyarakat
mengenai:
b. hakikat Data Pribadi yang bersifat b. the essence of the privacy of Personal
privasi; Data;
d. pengertian Sistem Elektronik dan d. the meaning of the Electronic System and
mekanismenya; its mechanism;
e. hak Pemilik Data Pribadi, kewajiban e. the rights of Data Subjects, obligations of
Pengguna, dan kewajiban Penyelenggara Users, and obligations of Electronic
Sistem Elektronik; System Providers;
(2) Masyarakat dapat berpartisipasi dalam (2) The public may participate in the
pelaksanaan edukasi sebagaimana dimaksud implementation of education as referred to in
pada ayat (1). section (1).
(3) Pelaksanaan ketentuan sebagaimana (3) The provisions of section (1) may be
dimaksud pada ayat (1) dapat dilakukan implemented through education and/or
melalui pendidikan dan/atau pelatihan, training, advocacy, technical guidance, and
advokasi, bimbingan teknis, dan sosialisasi socialization/campaign in the mass media.
dengan menggunakan berbagai media.
PENGAWASAN SUPERVISION
19
Pasal 35 Article 35
(1) Pengawasan terhadap pelaksanaan Peraturan (1) Supervision for the implementation of this
Menteri ini dilaksanakan oleh Menteri Regulation of the Minister shall be made by
dan/atau pimpinan Instansi Pengawas dan the Minister and/or the Supervisory Agency
Pengatur Sektor. and the Sectoral Supervisors.
(2) Pengawasan yang dilaksanakan Menteri (2) Supervision made by the Minister as referred
sebagaimana dimaksud pada ayat (1) meliputi to in section (1) shall include onsite and
pengawasan secara langsung maupun tidak offsite supervision.
langsung.
(3) Menteri berwenang meminta data dan (3) The Minister shall be empowered to request
informasi dari Penyelenggara Sistem data and information from Electronic System
Elektronik dalam rangka perlindungan Data Providers within the scope of protection of
Pribadi. Personal Data.
(4) Permintaan data dan informasi sebagaimana (4) A request for data and information as referred
dimaksud pada ayat (3) dapat dilakukan to in section (3) may be made periodically or
secara berkala atau sewaktu-waktu apabila at random intervals where necessary.
diperlukan.
(5) Menteri mendelegasikan kewenangan (5) The Minister shall delegate the power of
pengawasan kepada Direktur Jenderal. supervision to the Director General.
BAB IX CHAPTER IX
Pasal 36 Article 36
(1) Setiap Orang yang memperoleh, (1) Any person who acquires, collects, processes,
mengumpulkan, mengolah, menganalisis, analyzes, stores, displays, publishes,
menyimpan, menampilkan, mengumumkan, transmits, and/or disseminates Personal Data
mengirimkan, dan/atau menyebarluaskan in an unauthorized manner or other than in
Data Pribadi tanpa hak atau tidak sesuai accordance with the provisions of this
dengan ketentuan dalam Peraturan Menteri Regulation of the Minister or other laws and
ini atau peraturan perundang-undangan regulations shall be imposed administrative
lainnya dikenai sanksi administratif sesuai sanctions under the laws and regulations in
dengan ketentuan peraturan perundang- the form of:
undangan berupa:
(2) Ketentuan mengenai tata cara pelaksanaan (2) The provisions for the procedures for
sanksi administratif sebagaimana dimaksud administrative sanctions as referred to in
pada ayat (1) diatur dengan Peraturan section (1) shall be governed by Regulation of
20
Menteri. the Minister.
(3) Sanksi administratif diberikan oleh Menteri (3) Administrative sanctions shall be imposed by
atau pimpinan Instansi Pengawas dan the Minister or the Supervisory Agency and
Pengatur Sektor terkait sesuai dengan the Sectoral Supervisors as relevant under the
ketentuan peraturan perundang-undangan. laws and regulations.
(4) Pengenaan sanksi oleh pimpinan Instansi (4) Sanctions by the management of the
Pengawas dan Pengatur Sektor terkait Supervisory Agency and the Sectoral
sebagaimana dimaksud pada ayat (3) Supervisors as relevant as referred to in
dilakukan setelah berkoordinasi dengan section (3) shall be imposed upon
Menteri. coordination with the Minister.
BAB X CHAPTER X
Pasal 37 Article 37
(1) Jika Pemilik Data Pribadi merupakan orang (1) If a Data Subject is a person who belongs to
yang termasuk dalam kategori anak sesuai the child category under the laws and
dengan ketentuan peraturan perundang- regulations, Consent referred to in this
undangan, pemberian Persetujuan yang Regulation of the Minister shall be given by
dimaksud dalam Peraturan Menteri ini the parent(s) or guardian of the child
dilakukan oleh orang tua atau wali dari anak concerned.
yang bersangkutan.
(2) Orang tua sebagaimana dimaksud pada ayat (2) Parent(s) as referred to in section (1) shall be
(1) merupakan ayah atau ibu kandung anak the biological father or mother of the child
yang bersangkutan sesuai dengan ketentuan concerned under the laws and regulations.
peraturan perundang-undangan.
(3) Wali sebagaimana dimaksud pada ayat (1) (3) A guardian as referred to in section (1) shall
merupakan orang yang memiliki kewajiban be the person with duties to raise the child
mengurus anak yang bersangkutan sebelum concerned before turning adult under the laws
anak itu dewasa sesuai dengan ketentuan and regulations.
peraturan perundang-undangan.
BAB XI CHAPTER XI
Pasal 38 Article 38
Penyelenggara Sistem Elektronik yang telah Electronic System Providers that already
menyediakan, menyimpan, dan mengelola Data provides, stores, and manages Personal Data prior
Pribadi sebelum Peraturan Menteri ini berlaku to this Regulation of the Minister coming into
harus tetap menjaga kerahasiaan Data Pribadi effect shall keep maintaining the confidentiality of
yang dikelolanya dan menyesuaikan dengan Personal Data they manage and accommodate to
Peraturan Menteri ini paling lama 2 (dua) tahun. this Regulation of the Minister within 2 (two)
years.
21
Pasal 39 Article 39
Peraturan Menteri ini mulai berlaku pada tanggal This Regulation of the Minister shall come into
diundangkan. effect from the date it is promulgated.
Agar setiap orang mengetahuinya, memerintahkan In order that every person may know it, the
pengundangan Peraturan Menteri ini dengan promulgation of this Regulation of the Minister is
penempatannya dalam Berita Negara Republik ordered by placement in the Official Gazette of the
Indonesia. Republic of Indonesia.
22