PERATURAN MENTERI KOMUNIKASI DAN INFORMATIKA REPUBLIK INDONESIA NOMOR TAHUN 2015 TENTANG PERLINDUNGAN DATA PRIBADI DALAM SISTEM ELEKTRONIK REGULATION OF THE MINISTER OF COMMUNICATIONS AND INFORMATICS OF THE REPUBLIC OF INDONESIA NUMBER ... OF 2015 CONCERNING PROTECTION OF PERSONAL DATA IN THE ELECTRONIC SYSTEM Daftar Isi / Table of Contents Pasal / Article Bab I: KETENTUAN UMUM1 2Chap. I: GENERAL PROVISIONS Bab II: PERLINDUNGAN3 26Chap. II: PROTECTION -Bagian Kesatu: Umum3 6-Part One: General -Bagian Kedua: Perolehan dan Pengumpulan Data Pribadi 7 11 -Part Two: Obtaining and Collection of Personal Data -Bagian Ketiga: Pengolahan dan Penganalisisan Data Pribadi 12 14 -Part Three: Processing and Analysis of Personal Data -Bagian Keempat: Penyimpanan Data Pribadi15 20-Part Four: Storage of Personal Data -Bagian Kelima: Penampilan, Pengumuman, Pengiriman, Penyebarluasan, dan/atau Pembukaan Akses Data Pribadi 21 26 -Par Five: Display, Publication/ Announcement, Transmission, Dissemination and/or Allowance of Access to Personal Data Bab III: HAK PEMILIK DATA PRIBADI27Chap. III: RIGHTS OF DATA SUBJECTS Bab IV: KEWAJIBAN PENGGUNA28Chap. IV: OBLIGATIONS OF USERS Bab V: KEWAJIBAN PENYELENGGARA SISTEM ELEKTRONIK 29 Chap. V: OBLIGATIONS OF ELECTRONIC SYSTEM PROVIDERSBab VI: PENYELESAIAN SENGKETA30 34Chap. VI: DISPUTE RESOLUTION Bab VII: PARTISIPASI MASYARAKAT35Chap. VII: PUBLIC PARTICIPATION Bab VIII: SANKSI ADMINISTRATIF36Chap. VIII: ADMINISTRATIVE SANCTIONS Bab IX: KETENTUAN LAIN37 Chap. IX: MISCELLANEOUS PROVISIONSBab X: KETENTUAN PERALIHAN38Chap. X: TRANSITIONAL PROVISIONS Bab XI: KETENTUAN PENUTUP39Chap. XI: CONCLUDING PROVISIONS Primary reading materials in support of the English translation: CU 108 Convention for the protection of individuals with regard to automatic processing of personal data (Council of Europe), Jan 28, 1981 E/CN.4/1990/72 Guidelines concerning computerized personal data files (United Nations), Feb 20, 1990 Directive 95/46/EC Protection of individuals with regard to the processing of personal data and on the free movement of such data, Oct 24, 1995 (European Union) Translated by: Wishnu Basuki wbasuki@gmail.com 1 PERATURAN MENTERI KOMUNIKASI DAN INFORMATIKA REPUBLIK INDONESIA NOMOR TAHUN 2015 TENTANG PERLINDUNGAN DATA PRIBADI DALAM SISTEM ELEKTRONIK REGULATION OF THE MINISTER OF COMMUNICATIONS AND INFORMATICS OF THE REPUBLIC OF INDONESIA NUMBER ... OF 2015 CONCERNING PROTECTION OF PERSONAL DATA IN THE ELECTRONIC SYSTEM DENGAN RAHMAT TUHAN YANG MAHA ESA WITH THE BLESSING OF GOD ALMIGHTY MENTERI KOMUNIKASI DAN INFORMATIKA REPUBLIK INDONESIA, THE MINISTER OF COMMUNICATIONS AND INFORMATICS OF THE REPUBLIC OF INDONESIA, Menimbang:Considering: bahwauntukmelaksanakanketentuanPasal15 ayat(3)PeraturanPemerintahNomor82Tahun 2012tentangPenyelenggaraanSistemdan TransaksiElektronik,perlumenetapkanPeraturan MenteriKomunikasidanInformatikatentang PerlindunganDataPribadidalamSistem Elektronik; thattogiveeffecttotheprovisionsofArticle15 section(3)ofRegulationoftheGovernment Number 82 of 2012 concerning Electronic System andTransactions,itisnecessarytoissue Regulation of the Minister of Communications and InformaticsconcerningProtectionofPersonal Data in the Electronic System; Mengingat:Bearing in Mind: 1.Undang-UndangNomor11Tahun2008 tentangInformasidanTransaksiElektronik (Lembaran Negara Republik Indonesia Tahun 2008 Nomor 58, Tambahan Lembaran Negara Republik Indonesia Nomor 4843); 1.LawNumber11of2008concerning ElectronicInformationandTransactions (StateGazetteoftheRepublicofIndonesia Number58of2008,SupplementtotheState Gazette ofthe Republic of Indonesia Number 4843); 2.PeraturanPemerintahNomor82Tahun2012 tentangPenyelenggaraanSistemdan TransaksiElektronik(LembaranNegara RepublikIndonesiaTahun2012Nomor189, TambahanLembaranNegaraRepublik Indonesia Nomor 5348); 2.RegulationoftheGovernmentNumber82of 2012concerningElectronicSystemand Transactions (State Gazette of the Republic of IndonesiaNumber189of2012,Supplement totheStateGazetteoftheRepublicof Indonesia Number 5348); MEMUTUSKAN:HAS DECIDED: Menetapkan: PERATURANMENTERI KOMUNIKASIDAN INFORMATIKATENTANG PERLINDUNGANDATA PRIBADIDALAMSISTEM ELEKTRONIK. To issue:REGULATION OF THE MINISTER OF COMMUNICATIONS AND INFORMATICS CONCERNING PROTECTION OF PERSONAL DATA IN THE ELECTRONIC SYSTEM. 2 BAB ICHAPTER I KETENTUAN UMUMGENERAL PROVISIONS Pasal 1Article 1 DalamPeraturanMenteriiniyangdimaksud dengan: In this Regulation of the Minister: 1.DataPribadiadalahDataPerseorangan Tertentuyangdisimpan,dirawat,dandijaga kebenaran serta dilindungi kerahasiaannya. 1.PersonalDatameansParticularIndividual Datathatarestored,maintainedandkeptfor correctness and protected for confidentiality. 2.DataPerseoranganTertentuadalahsetiap keteranganyangbenardannyatayang melekatdandapatdiidentifikasi,baik langsungmaupuntidaklangsung,pada masing-masingindividuyang pemanfaatannyasesuaiketentuanperaturan perundang-undangan. 2.ParticularIndividualDatameansanycorrect andactualinformationthatrelatestoany individualandisidentifiabledirectlyor indirectlytobemanipulatedunderthelaws and regulations. 3.PemilikDataPribadiadalahindividuyang padanya melekat Data Perseorangan Tertentu. 3.DataSubjectmeansanyindividualtowhom Particular Individual Data relate. 4.PersetujuanPemilikDataPribadi,yang selanjutnyadisebutPersetujuanadalah pernyataansecaratertulisbaiksecaramanual dan/atauelektronikyangdiberikanoleh PemilikDataPribadisetelahmendapat penjelasansecaralengkapmengenaitindakan perolehan,pengumpulan,pengolahan, penganalisisan,penyimpanan,penampilan, pengumuman,pengiriman,dan penyebarluasansertakerahasiaanatau ketidakrahasiaan Data Pribadi. 4.Data Subjects Consent, hereinafter referred to as Consent, means a manual and/or electronic writtenstatementthatisgivenbyaData Subjectuponbeingfullyinformedof obtaining,collection,processing,analysis, storage,display,publication/announcement, transmissionanddisseminationaswellas confidentialityornon-confidentialityof Personal Data. 5.SistemElektronikadalahserangkaian perangkatdanprosedurelektronikyang berfungsimempersiapkan,mengumpulkan, mengolah,menganalisis,menyimpan, menampilkan,mengumumkan,mengirimkan, dan/atau menyebarkan informasi elektronik. 5.ElectronicSystemmeansasetofelectronic devicesandprocedureswithfunctionsto prepare,collect,process,analyze,store, display,publish/announce,transmit,and/or disseminate electronic information. 6.PenyelenggaraSistemElektronikadalah setiaporang,penyelenggaranegara,badan usaha,danmasyarakatyangmenyediakan, mengelola,dan/ataumengoperasikanSistem Elektronik baik secara sendiri-sendiri maupun bersama-samakepadaPenggunaSistem Elektronikuntukkeperluandirinyadan/atau keperluan pihak lain. 6.Electronic System Provider means any person, stateadministrator,businessentity,andthe public that provides, manages and/or operates the Electronic System, whether individually or collectively,toElectronicSystemUsersfor theirownbenefitsand/orforthebenefitsof other parties. 7.Pengguna Sistem Elektronik, yang selanjutnya disebutPenggunaadalahsetiaporang, penyelenggaranegara,badanusaha,dan masyarakatyangmemanfaatkanbarang,jasa, fasilitas,atauinformasiyangdisediakanoleh 7.ElectronicSystemUser,hereinafterreferred toasUser,meansanyperson,state administrator,businessentity,andthepublic thatusesthebenefitofgoods,services, facilities,orinformationthataremade 3 Penyelenggara Sistem Elektronik.available by an Electronic System Provider. 8.Orang adalah orang perseorangan, baik warga negaraIndonesia,warganegaraasing, maupun badan hukum. 8.Personmeansanyindividual,whetheran Indonesiancitizen,foreigncitizen,orlegal entity. 9.Menteriadalahmenteriyang menyelenggarakanurusanpemerintahandi bidang komunikasi dan informatika. 9.Ministermeanstheministerthatisincharge oftheadministrativeaffairsinthefieldof communications and informatics. Pasal 2Article 2 (1)PerlindunganDataPribadidalamSistem Elektronikmencakupperlindunganterhadap perolehan,pengumpulan,pengolahan, penganalisisan,penyimpanan,penampilan, pengumuman,pengiriman,penyebarluasan, dan pemusnahan Data Pribadi. (1)ProtectionofPersonalDataintheElectronic Systemshallincludeprotectionagainst obtaining,collection,processing,analysis, storage,display,publication/announcement, transmission, dissemination, and destruction of Personal Data. (2)Dalammelaksanakanketentuansebagaimana dimaksudpadaayat(1)harusberdasarkan asasperlindunganDataPribadiyangbaik, yang meliputi: (2)Theprovisionofsection(1)mustbefulfilled withinthegoodPersonalDataprotection principles that include as follows: a.penghormatanterhadapDataPribadi sebagai privasi; a.to respect Personal Data as privacy; b.DataPribadibersifatrahasiasesuai Persetujuandan/atauberdasarkan ketentuanperaturanperundang-undangan; b.PersonalDataareconfidentialinnature andsubjecttoConsentand/orunderthe laws and regulations; c.berdasarkan Persetujuan;c.to be subject to Consent; d.relevansidengantujuanperolehan, pengumpulan,pengolahan, penganalisisan,penyimpanan, penampilan,pengumuman,pengiriman, dan penyebarluasan; d.toberelevanttothepurposesforwhich the Personal Data are obtained, collected, processed,analyzed,stored,displayed, published/announced,transmittedand disseminated; e.kelaikanSistemElektronikyang digunakan; e.to use the viable Electronic System; f.iktikadbaikuntuksegera memberitahukansecaratertuliskepada PemilikDataPribadiatassetiap kegagalan perlindungan Data Pribadi; f.toactingoodfaithbyimmediately notifyingtheDataSubjectinwritingof any failure to protect Personal Data; g.ketersediaanaturaninternalpengelolaan perlindungan Data Pribadi; g.tomakeavailable the internal regulations concerningPersonalDataprotection management; h.tanggungjawabatasDataPribadiyang berada dalam penguasaan Pengguna; h.toberesponsibleforPersonalDataheld by Users; i.kemudahanaksesdankoreksiterhadap DataPribadiolehPemilikDataPribadi; dan i.toallowDataSubjectseasyaccessand correction to Personal Data; and 4 j.keutuhan,akurasi,dankemutakhiran Data Pribadi. j.tohavePersonalDataintegrated, accurate, and updated. (3)Privasisebagaimanadimaksudpadaayat(2) hurufamerupakankebebasanPemilikData Pribadiuntukmenyatakanrahasiaatautidak menyatakanrahasiaDataPribadinya,kecuali ditentukanlainsesuaiketentuanperaturan perundang-undangan. (3)The privacy as referred to in section (2) point (a)shallallowtheDataSubjectfreedomto claim whether or not his/her Personal Data are confidential,unlessotherwiseprovidedby laws and regulations. BAB IICHAPTER II PERLINDUNGANPROTECTION Bagian KesatuPart One UmumGeneral Pasal 3Article 3 PerlindunganDataPribadidalamSistem Elektronik dilakukan pada proses: PersonalDataintheElectronicSystemshallbe protected during the process of their: a.perolehan dan pengumpulan;a.obtaining and collection; b.pengolahan dan penganalisisan;b.processing and analysis; c.penyimpanan;c.storage; d.penampilan,pengumuman,pengiriman, penyebarluasan,dan/ataupembukaanakses; dan d.display,publication/announcement, transmission,disseminationand/orallowance of access; and e.pemusnahan Data Pribadi.e.destruction. Pasal 4Article 4 (1)SistemElektronikyangdigunakanuntuk prosessebagaimanadimaksuddalamPasal3 harus tersertifikasi. (1)The Electronic Systemthatisused to process Personal Dataas referred to in Article 3must be certified. (2)Pelaksanaantersertifikasisebagaimana dimaksudpadaayat(1)sesuaidengan ketentuan peraturan perundang-undangan. (2)Certification as referred to in section (1) shall be made under the laws and regulations. Pasal 5Article 5 (1)Setiap Penyelenggara Sistem Elektronik harus mempunyai aturan internal perlindungan Data Pribadiuntukmelaksanakanproses sebagaimana dimaksud dalam Pasal 3. (1)AnyElectronicSystemProvidermusthave internalregulationstoprotectPersonalData when going through the process as referred to in Article 3. (2)Setiap Penyelenggara Sistem Elektronik harus menyusunaturaninternalperlindunganData Pribadisebagaibentuktindakanpencegahan untukmenghindariterjadinyakegagalan dalamperlindunganDataPribadiyang dikelolanya. (2)Any Electronic System Provider must prepare internalregulationsconcerningprotectionof Personal Data to take any preventive measure againstfailuretoprotectPersonalDatait manages. (3)Penyusunanaturaninternalsebagaimana dimaksudpadaayat(1)danayat(2)harus (3)Preparation for internal regulations as referred to in section (1) and section (2) must take into 5 mempertimbangkanaspekpenerapan teknologi, sumber daya manusia, metode, dan biayasertamengacupadaketentuandalam PeraturanMenteriinidanperaturan perundang-undangan lainnya yang terkait. considerationanyaspectsoftechnological application,humanresources,methods,and costsandrefertotheprovisionsofthis RegulationoftheMinisterandanyother relevant laws and regulations. (4)Tindakanpencegahanlainnyauntuk menghindariterjadinyakegagalandalam perlindunganDataPribadiyangdikelolanya harusdilakukanolehsetiapPenyelenggara SistemElektronik,sekurang-kurangnya berupa kegiatan: (4)Anyotherpreventivemeasureagainstfailure ofPersonalDataprotectionitmanagesmust betakenbyanyElectronicSystemProvider by at least: a.meningkatkankesadaransumberdaya manusiadilingkungannyauntuk memberikanperlindunganDataPribadi dalamSistemElektronikyang dikelolanya; a.raisingtheawarenessoftheinternal human resources to give protection to the Personal Data in the Electronic System it manages; b.mengadakanpelatihanpencegahan kegagalanperlindunganDataPribadi dalamSistemElektronikyang dikelolanya bagi sumber daya manusia di lingkungannya. b.providingitsinternalhumanresources with training on prevention against failure to protect Personal Data in the Electronic System it manages. Pasal 6Article 6 Penyelenggara SistemElektronik yangmelakukan proses sebagaimana dimaksud dalam Pasal 3 wajib menyediakanperjanjiandalambahasaIndonesia untukmemintapersetujuandaripemilikdata pribadi yang dimaksud. Any Electronic System Provider to go through the processesasreferredtoinArticle3mustprepare anagreementintheIndonesianlanguagetoseek consent from the relevant data subject. Bagian KeduaPart Two Perolehan dan Pengumpulan Data PribadiObtaining and Collection of Personal Data Pasal 7Article 7 PerolehandanpengumpulanDataPribadioleh PenyelenggaraSistemElektronikharusdibatasi pada informasi yang relevan dengan tujuannya dan harus dilakukan secara akurat. AnyobtainingandcollectionofPersonalDataby ElectronicSystemProvidersshallbelimitedto onlyinformationthatisrelevanttotheirpurposes and conducted accurately. Pasal 8Article 8 (1)DalammemperolehdanmengumpulkanData Pribadi,PenyelenggaraSistemElektronik harusmenghormatiPemilikDataPribadiatas Data Pribadinya yang bersifat privasi. (1)AnyElectronicSystemProvidermust,to obtainandcollectPersonalData,respectthe DataSubjectsprivacyofhis/herPersonal Data. (2)PenghormatanterhadapPemilikDataPribadi atasDataPribadinyayangbersifatprivasi sebagaimanadimaksudpadaayat(1) dilakukanmelalui penyediaan fasilitas pilihan dalamSistemElektronikuntukPemilikData Pribadi terhadap: (2)AnyElectronicSystemProvidershallrespect the Data Subjects privacy of his/her Personal Data by making available the Data Subject the optional features in the Electronic System on: a.kerahasiaanatauketidakrahasiaanDataa.theconfidentialityornon-confidentiality 6 Pribadi;of the Personal Data; b.perubahan,penambahan,ataupembaruan Data Pribadi. b.thechange,addition,orupdateofthe Personal Data. (3)FasilitaspilihanuntukPemilikDataPribadi terhadapkerahasiaanatauketidakrahasiaan Data Pribadi sebagaimana dimaksud pada ayat (2)tidakberlakujikaperaturanperundang-undangan telah secara tegas menyatakan Data Pribadiyangsecarakhususuntukbeberapa elemennya dinyatakan bersifat rahasia. (3)Theoptionalfeaturesmadeavailabletothe DataSubjectontheconfidentialityornon-confidentiality of Personal Data as referred to insection(2)shallnotapplywherethereare lawsandregulationsexpresslyprovidingthat severalelementsofPersonalDataare specifically declared to be confidential. (4)FasilitaspilihanuntukPemilikDataPribadi terhadapperubahan,penambahan,atau pembaruanDataPribadisebagaimana dimaksudpadaayat(2)untukmemberikan kesempatanbagiPemilikDataPribadijika menghendakipergantianDataPerseorangan Tertentu miliknya. (4)Theoptionalfeaturesmadeavailabletothe DataSubjectonthechange,addition,or updateofPersonalDataasreferredtoin section (2) shall aim to allow the Data Subject to,ifwishing,revisehis/herParticular Personal Data. Pasal 9Article 9 (1)Perolehan dan pengumpulan Data Pribadi oleh PenyelenggaraSistemElektronikwajib berdasarkan Persetujuan. (1)AnyElectronicSystemProvidermustobtain and collect Personal Data by Consent. (2)PemilikDataPribadiyangmemberikan Persetujuansebagaimanadimaksudpadaayat (1)dapatmenyatakanDataPerseorangan Tertentu miliknya bersifat rahasia. (2)AnyDataSubjectwhogivesConsentas referredtoinsection(1)mayclaimthat his/herParticularIndividualDataare confidential. (3)JikaPersetujuansebagaimanadimaksudpada ayat(1)tidaktermasukPersetujuanatas pengungkapankerahasiaanDataPribadi, maka: (3)IftheConsentasreferredtoinsection(1) includesnoConsenttodiscloseconfidential Personal Data: a.setiaporangyangmelakukanperolehan dan pengumpulan Data Pribadi; dan a.anypersonwhoobtainsandcollectsthe Personal Data; and b.Penyelenggara Sistem Elektronik;b.any Electronic System Provider; harusmenjagakerahasiaanDataPribadi tersebut. mustmaintaintheconfidentialityofthe Personal Data. (4)KetentuanmenjagakerahasiaanDataPribadi bagisetiaporangdanpenyelenggara sebagaimanadimaksudpadaayat(3)juga berlakuterhadapDataPribadiyang dinyatakanrahasiasesuaidenganketentuan peraturan perundang-undangan. (4)Maintenance of the confidentiality of Personal Data by any person and provider as referred to in section (3) shall also apply to Personal Data that are declared by laws and regulations to be confidential. Pasal 10Article 10 (1)Data Pribadi yang diperoleh dan dikumpulkan secaralangsungharusdiverifikasikePemilik Data Pribadi. (1)PersonalDatathataredirectlyobtainedand collectedmustbesubjecttoverificationwith the Data Subject. (2)Data Pribadi yang diperoleh dan dikumpulkan(2)PersonalDatathatareobtainedandcollected 7 secaratidaklangsungharusdiverifikasi berdasarkanhasilolahanberbagaisumber data. indirectlymustbeverificationfromwhich sources the data are processed. (3)Sumberdatadalamperolehandan pengumpulanDataPribadisebagaimana dimaksudpadaayat(2)bukandarihasil tindakan spionase. (3)PersonalDatathatareobtainedandcollected as referred to in section (2) shall not originate in espionage. Pasal 11Article 11 (1)SistemElektronikyangdigunakanuntuk menampungperolehandanpengumpulan Data Pribadi harus Sistem Elektronik yang: (1)AnyElectronicSystemthatisusedtostore Personal Data obtained and collected must: a.memilikikemampuaninteroperabilitas dan kompatibilitas; dan a.haveinteroperabilityandcompatibility performance; and b.menggunakan perangkatlunak (software) yang legal. b.use legal software. (2)Kemampuaninteroperabilitasdan kompatibilitassebagaimanadimaksudpada ayat(1)hurufasesuaidenganketentuan peraturan perundangundangan. (2)Interoperabilityandcompatibility performance as referred to in section (1) point (a)shallcomplywiththelawsand regulations. Bagian KetigaPart Three Pengolahan dan Penganalisisan Data PribadiProcessing and Analysis of Personal Data Pasal 12Article 12 (1)Data Pribadi hanya dapat diolah dan dianalisis sesuaikebutuhanPenyelenggaraSistem Elektronikyangtelahdinyatakansecarajelas saat memperoleh dan mengumpulkannya. (1)Personal Data may be processed and analyzed as appropriate by Electronic System Providers upongivingfullinformationwhenobtaining and collecting the data. (2)PengolahandanpenganalisisanDataPribadi sebagaimanadimaksudpadaayat(1) dilakukan berdasarkan Persetujuan. (2)PersonalDataasreferredtoinsection(1) shall be processed and analyzed by Consent. Pasal 13Article 13 Pengecualianketentuansebagaimanadimaksud dalamPasal12ayat(2)hanyaberlakujikaData Pribadi yang diolah dan dianalisis tersebut berasal dariDataPribadiyangtelahditampilkanatau diumumkan secara terbuka oleh Sistem Elektronik untuk pelayanan publik. TheprovisionsofArticle12section(2)shallbe exemptedonlyifthePersonalDatabeing processedandanalyzedoriginateinthePersonal Data already publicly displayed or published in the public interest by the Electronic System. Pasal 14Article 14 Data Pribadi yang diolah dan dianalisis harus Data Pribadi yang telah diverifikasi keakuratannya. PersonalDatabeingprocessedandanalyzedmust ones that have been verified for accuracy. Bagian KeempatPart Four Penyimpanan Data PribadiStorage of Personal Data Pasal 15Article 15 8 (1)DataPribadiyangdisimpandalamSistem ElektronikharusDataPribadiyangtelah diverifikasi keakuratannya. (1)Personal Data that are stored in the Electronic Systemmustbeonesthathavebeenverified for accuracy. (2)Data Pribadi sebagaimana dimaksud pada ayat (1) wajib disimpan dalam Sistem Elektronik: (2)PersonalDataasreferredtoinsection(1) must be stored in the Electronic System: a.sesuaidenganketentuanperaturan perundang-undanganyangmengatur kewajibanjangkawaktupenyimpanan DataPribadipadamasing-masingsektor; atau a.underthelawsandregulationsthat governtheobligatoryPersonalData storage period for each sector; or b.palingsingkat5(lima)tahun,jikabelum terdapatketentuanperaturanperundang-undanganyangsecarakhususmengatur untuk itu. b.foratleast5(five)years,incaseof absenceoflawsandregulationsthat specifically govern the storage period. Pasal 16Article 16 JikaPemilikDataPribaditidaklagimenjadi PenggunatempatDataPerseoranganTertentu miliknya terkumpul dan tersimpan, Penyelenggara SistemElektronikwajibmenyimpanDataPribadi tersebut sesuai batas waktu sebagaimana dimaksud dalamPasal15ayat(2)terhitungsejaktanggal terakhir Pemilik Data Pribadi menjadi Pengguna. IfaDataSubjectceasestobeaUserofspace wherehis/herParticularIndividualDataare collectedandstored,anElectronicSystem ProvidermusthavethePersonalDatastored according to the period as referred to in Article 15 section(2),commencingthelastdatetheData Subject becomes a User. Pasal 17Article 17 (1)Pusatdata(datacenter)danpusatpemulihan bencana(disasterrecoverycenter) PenyelenggaraSistemElektronikuntuk layananpublikyangdigunakanuntukproses perlindunganDataPribadisebagaimana dimaksuddalamPasal3wajibditempatkan dalam wilayah negara Republik Indonesia. (1)Datacentersanddisasterrecoverycenters belonging to public-interest Electronic System ProvidersthatareusedtoprocessPersonal DataprotectionasreferredtoinArticle3 mustbestationedwithintheterritoryofthe state of the Republic of Indonesia. (2)Pusatdata(datacenter)sebagaimana dimaksudpadaayat(1)merupakansuatu fasilitasyangdigunakanuntukmenempatkan SistemElektronikdankomponenterkaitnya untukkeperluanpenempatan,penyimpanan, dan pengolahan data. (2)Data centers as referred to in section (1) shall bethefacilitiesatwhichtheElectronic Systemanditsrelatedcomponentsare establishedfordatainstallation,storageand processing. (3)Pusatpemulihanbencana(disasterrecovery center)sebagaimanadimaksudpadaayat(1) merupakansuatufasilitasyangdigunakan untukmemulihkankembalidataatau informasisertafungsi-fungsipentingSistem Elektronikyangtergangguataurusakakibat bencanayangdisebabkanolehalamdan/atau manusia. (3)Disasterrecoverycentersasreferredtoin section (1) shall be the facilities at which data orinformationaswellastheElectronic System functions that are troubled or disabled bynaturaland/orman-madedisastersare recovered. Pasal 18Article 18 (1)PenyimpananDataPribadidalamSistem Elektronikharusdilakukansesuaidengan (1)Personal Data must be stored in the Electronic System under the procedures for and means of 9 ketentuanmengenaiprosedurdansarana pengamanan Sistem Elektronik. Electronic System security. (2)ProsedurdansaranapengamananSistem Elektroniksebagaimanadimaksudpadaayat (1)sesuaidenganketentuanperaturan perundangundangan. (2)ProceduresforandmeansofElectronic Systemsecurityasreferredtoinsection(1) shallbeestablishedunderthelawsand regulations. Pasal 19Article 19 JikawaktupenyimpananDataPribaditelah melebihibataswaktusebagaimanadimaksud dalamPasal15ayat(2),DataPribadidalam SistemElektronikdapatdihapuskankecualiData Pribaditersebutmasihakandipergunakanatau dimanfaatkan sesuai dengan tujuan awal perolehan dan pengumpulannya. IfthestorageofPersonalDatahasexceededthe periodasreferredtoinArticle15section(2),the PersonalDataintheElectronicSystemmaybe erasedunlesssuchdatawillbeusedor manipulatedtotheoriginalpurposesforwhich they are obtained and collected. Pasal 20Article 20 JikaPemilikDataPribadimemintapenghapusan DataPerseoranganTertentumiliknya,permintaan penghapusantersebutdilakukansesuaidengan ketentuan peraturan perundang-undangan. AnyrequestbyaDataSubjecttohavehis/her ParticularIndividualDataerasedshallbemade under the laws and regulations. Bagian KelimaPart Five Penampilan, Pengumuman, Pengiriman, Penyebarluasan, dan/atau Pembukaan Akses Data Pribadi Display, Publication/Announcement, Transmission, Dissemination and/or Allowance of Access to Personal Data Pasal 21Article 21 (1)Menampilkan,mengumumkan,mengirimkan, menyebarluaskan,dan/ataumembukaakses DataPribadidalamSistemElektronikhanya dapat dilakukan: (1)PersonalDataintheElectronicSystemmay bedisplayed,published/announced, transmitted,disseminated,and/orallowedfor access only: a.atasPersetujuankecualiditentukanlain olehketentuanperaturanperundang-undangan; dan a.byConsentunlessotherwiseprovidedby laws and regulations; and b.setelahdiverifikasikeakuratanData Pribadi tersebut. b.upon the Personal Data being verified for accuracy. (2)Menampilkan,mengumumkan,mengirimkan, menyebarluaskan,dan/ataumembukaakses DataPribadidalamSistemElektronik sebagaimanadimaksudpadaayat(1) termasuk yang dilakukan antar Penyelenggara SistemElektronik,antarPenyelenggara SistemElektronikdanPengguna,atauantar Pengguna. (2)Section(1)shallincludePersonalDatainthe ElectronicSystemthataredisplayed, published/announced,transmitted, disseminated,and/orallowedforaccess amongtheElectronicSystemProviders, betweentheElectronicSystemProvidersand the Users, or among the Users. Pasal 22Article 22 (1)JikaDataPribadiakanditampilkan, diumumkan,dikirimkan,disebarluaskan, dan/ataudibukaaksesSistemElektroniknya (1)PersonalDatatobewidelyandpublicly displayed,published/announced,transmitted, disseminated,and/orallowedforaccessto 10 secaraluasdanumum,DataPribaditersebut harusyangberasaldariSistemElektronik untuk pelayanan publik. theirElectronicSystemmustbeonesthat originateinthepublicinterestElectronic System. (2)Pelaksanaan ketentuan sebagaimana dimaksud padaayat(1)tidakberlakujikadilarangoleh ketentuanperaturanperundang-undangan lainnya. (2)The provision of section (1) shall not apply if banned by other laws and regulations. (3)KriteriaSistemElektronikuntukpelayanan publiksebagaimanadimaksudpadaayat(1) sesuai dengan ketentuan peraturan perundang-undangan. (3)ThecriteriaforthepublicinterestElectronic Systemasreferredtoinsection(1)shall comply with the laws and regulations. Pasal 23Article 23 (1)PengirimanDataPribadiyangdikelolaoleh PenyelenggaraSistemElektronikpada instansipemerintahdanpemerintahandaerah serta masyarakat atau swasta yang berdomisili didalamwilayahnegaraRepublikIndonesia keluarwilayahnegaraRepublikIndonesia harus: (1)AnytransmissionofPersonalDatathatis managed by Electronic System Providers with thegovernmentagenciesandregional governmentagenciesorbythepublicor privatepartiesdomiciledwithintheterritory of the state of the Republic of Indonesia out of theterritoryofthestateoftheRepublicof Indonesia must be: a.berkoordinasidenganMenteriatau pejabat/lembagayangdiberiwewenang untuk itu; dan a.coordinatedwiththeMinisterorthe official/agency that is competent to do so; and b.menerapkanketentuanperaturan perundang-undanganmengenai pertukaranDataPribadilintasbatas negara. b.subjecttothelawsandregulations concerningcross-borderPersonalData exchange. (2)Koordinasisebagaimanadimaksudpadaayat (1) huruf a dilaksanakan berupa: (2)The provisions of section (1) point (a) shall be subject to coordination by: a.melaporkanrencanapelaksanaan pengirimanDataPribadi,sekurang-kurangnyamemuatnamajelasnegara tujuan,namajelassubjekpenerima, tanggalpelaksanaan,danalasan/tujuan pengiriman; a.reportingthePersonalDatatransmission planspecifyingatleastthefullnameof thecountryofdestination,thefullname oftherecipient,thedateoftransmission, andreasons/purposesforwhichthe Personal Data are transmitted; b.meminta advokasi, jika diperlukan; danb.seeking advocacy, where necessary; and c.melaporkan hasil pelaksanaan kegiatan.c.reporting the results of the activity. Pasal 24Article 24 (1)Aparatpenegakhukumsesuaiketentuan peraturanperundang-undanganberwenang memperolehhakakseskedalamSistem ElektronikyangdikelolasetiapOranguntuk mendapatkan Data Pribadi. (1)Lawenforcementofficersshall,toobtain Personal Data under the laws and regulations, be authorized to have access to any Electronic System that is managed by any Person. (2)Hakaksessebagaimanadimaksudpadaayat (1)hanyauntukkepentinganpenegakan (2)The right of access as referred to in section (1) shall only be exercised for the purpose of law 11 hukum.enforcement. Pasal 25Article 25 (1)PenggunaandanpemanfaatanDataPribadi yang telah ditampilkan, diumumkan, diterima, dandisebarluaskanolehPenyelenggara SistemElektronikharusberdasarkan Persetujuan. (1)AnyuseandmanipulationofPersonalData thatarealreadydisplayed, published/announced,received,and disseminatedbyElectronicSystemProviders shall be subject to Consent. (2)KetentuanberdasarkanPersetujuan sebagaimanadimaksudpadaayat(1)tidak berlakujikaperolehanDataPribaditersebut berasaldariSistemElektronikyangdikelola olehPenyelenggaraSistemElektronikuntuk pelayanan publik. (2)Consentasreferredtoinsection(1)shallnot apply where the Personal Data originate in the ElectronicSystemthatismanagedbypublic interest Electronic System Providers. (3)PenggunaandanpemanfaatanDataPribadi sebagaimana dimaksud pada ayat (1) dan ayat (2)harussesuaidengantujuanperolehan, pengumpulan,pengolahan,dan/atau penganalisisan Data Pribadi. (3)Any use and manipulation of Personal Data as referred to in section (1) and section (2) must beconsistentwiththepurposesforwhich PersonalDataareobtained,collected, processed, and/or analyzed. Bagian KeenamPart Six Pemusnahan Data PribadiDestruction of Personal Data Pasal 26Article 26 (1)PemusnahanDataPribadidalamSistem Elektronik hanya dapat dilakukan jika: (1)PersonalDataintheElectronicSystemmay be destroyed only if: a.telahmelewatiketentuanjangkawaktu penyimpananDataPribadidalamSistem Elektronik berdasarkan Peraturan Menteri iniatausesuaidenganketentuan peraturanperundang-undanganlainnya yangsecarakhususmengaturdimasing-masing sektor untuk itu; atau a.having exceeded the storage period of the PersonalDataintheElectronicSystem underthisRegulationoftheMinisteror otherlawsandregulationsthat specificallygovernthesameforeach sector; or b.ataspermintaanPemilikDataPribadi, kecualiditentukanlainolehketentuan peraturan perundang-undangan. b.attherequestoftheDataSubject,unless otherwiseprovidedbylawsand regulations. (2)Pemusnahansebagaimanadimaksudpada ayat(1)harusmenghilangkansebagianatau keseluruhanberkasnya,termasukyang elektronikmaupunnonelektronikyang dikelolaolehPenyelenggaraSistem Elektronikdan/atauPenggunasehinggaData Pribaditersebuttidakdapatditampilkan kembalidalamSistemElektronikkecuali PemilikDataPribadimemberikanData Pribadinya yang baru. (2)Destructionasreferredtoinsection(1)must obliteratealloranypartofthefiles,whether ornotelectronic,thatismanagedby ElectronicSystemProvidersand/orUsersto disable the display of the Personal Data in the ElectronicSystem,unlesstheDataSubject provides his/her new Personal Data. (3)Penghilangansebagianataukeseluruhan berkassebagaimanadimaksudpadaayat(2) dilakukan berdasarkan Persetujuan atau sesuai (3)Alloranypartofthefilesasreferredtoin section(2)shallbedestroyedbyConsentor underotherlawsandregulationsthat 12 denganketentuanperaturanperundang-undanganlainnyayangsecarakhusus mengatur di masing-masing sektor untuk itu. specifically govern the same for each sector. BAB IIICHAPTER III HAK PEMILIK DATA PRIBADIRIGHTS OF DATA SUBJECTS Pasal 27Article 27 Pemilik Data Pribadi berhak:A Data Subject shall have the right to: a.atas kerahasiaan Data Pribadinya;a.confidentiality of his/her Personal Data; b.mengajukanpengaduankepadalembaga penyelesaiansengketaDataPribadiatas kegagalanperlindungankerahasiaanData PribadinyaolehPenyelenggaraSistem Elektronikdandapatmengajukangugatan perdatajikapenyelesaiansengketaData Pribaditersebutbelumdapatterselesaikan oleh pejabat/tim yang berwenang untuk itu; b.fileacomplaintwiththePersonalData disputeresolutiontribunalforfailureofan ElectronicSystemProvidertoprotectthe confidentialityofhis/herPersonalData,and mayfileacivilactionwherethecompetent officers/teamfailstoresolvethePersonal Data dispute; c.memintakembaliDataPribadinya,dengan ketentuansepanjangPemilikDataPribadi tidaklagimemerlukanjasaPenyelenggara SistemElektronikdanDataPribadiyang dimintakembalitersebuttidakbersifat strategisuntukkepentingannegarasesuai denganketentuanperaturanperundang-undangan; c.withdraw his/her Personal Data as long as the DataSubjectceasestorendertheElectronic System Providers services and the withdrawn PersonalDataareunderthelawsand regulations not strategic for the state; d.mendapatkanaksesataukesempatanuntuk mengubah ataumemperbarui DataPribadinya tanpamenganggusistempengelolaanData Pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan; dan d.have access or opportunity to change or renew his/herPersonalDatawithoutinterferingthe PersonalDatamanagementsystem,unless otherwiseprovidedbylawsandregulations; and e.memintapemusnahanDataPerseorangan TertentumiliknyadalamSistemElektronik yangdikelolaolehPenyelenggaraSistem Elektronik,kecualiditentukanlainoleh ketentuan peraturan perundang-undangan. e.causehis/herownParticularIndividualData intheElectronicSystemmanagedbythe ElectronicSystemProviderdestroyed,unless otherwise provided by laws and regulations. BAB IVCHAPTER IV KEWAJIBAN PENGGUNAOBLIGATIONS OF USERS Pasal 28Article 28 Pengguna wajib:Any User must: a.menjagakerahasiaanDataPribadiyang diperoleh,dikumpulkan,diolah,dan dianalisisnya; a.maintaintheconfidentialityofanyPersonal Datahe/shehasobtained,collected, processed, and analyzed; b.menggunakanDataPribadisesuaidengan kebutuhan Pengguna saja; b.use any Personal Data on an as-required basis only; c.melindungiDataPribadibesertadokumenc. protectany PersonalDataalongwiththe 13 yangmemuatDataPribaditersebutdari tindakan penyalahgunaan; dan document containing such Personal Data from any abuse; and d.bertanggungjawabatasDataPribadiyang terdapatdalampenguasaannya,baik penguasaansecaraorganisasiyangmenjadi kewenangannyamaupunperorangan,jika terjadi tindakan penyalahgunaan. d.incaseofabuse,beresponsibleforany PersonalDatahe/shecompetenlyholds, whether organizationally or individually. BAB VCHAPTER V KEWAJIBAN PENYELENGGARA SISTEM ELEKTRONIK OBLIGATIONS OF ELECTRONIC SYSTEM PROVIDERS Pasal 29Article 29 Setiap Penyelenggara Sistem Elektronik wajib:Any Electronic System Provider must: a.melakukansertifikasiSistemElektronikyang dikelolanyasesuaidenganketentuan peraturan perundang-undangan; a.certifytheElectronicSystemitmanages under the laws and regulations; b.menjagakerahasiaanDataPribadiyang tersedia,tersimpan,dan/ataudikeloladalam Sistem Elektroniknya; b.maintaintheconfidentialityofPersonalData madeavailable,stored,and/ormanagedinits Electronic System; c.memberitahukansecaratertuliskepada PemilikDataPribadijikaterjadikegagalan perlindunganrahasiaDataPribadidalam SistemElektronikyangdikelolanya,dengan ketentuan pemberitahuan sebagai berikut: c.notifyinwritingtheDataSubjectsincaseof failuretoprotecttheconfidentialityof PersonalDataintheElectronicSystemit manages, as follows: 1.harusdisertaialasanataupenyebab terjadinyakegagalanperlindungan rahasia Data Pribadi; 1.thenotificationshallincludereasonsor factorsinthefailuretoprotectthe confidentiality of Personal Data ; 2.dapatdilakukansecaraelektronikjika PemilikDataPribaditelahmemberikan Persetujuanuntukituyangdinyatakan padasaatdilakukanperolehandan pengumpulan Data Pribadinya; dan 2.thenotificationmaybemade electronicallyiftheDataSubjecthas givenConsentforthatpurposewhen obtainingandcollectinghis/herPersonal Data; and 3.harusdipastikantelahditerimaoleh PemilikDataPribadijikakegagalan tersebutmengandungpotensikerugian bagi yang bersangkutan; 3.thenotificationmustbeconfirmed alreadyreceivedbytheDataSubjectif suchfailurecausespotentiallosstothe Data Subject; d.memilikiaturaninternalterkaitperlindungan DataPribadiyangsesuaidenganketentuan peraturan perundang-undangan; d.issueinternalregulationsconcerning protectionofPersonalDataincompliance with the laws and regulations; e.menyediakanrekamjejakauditterhadap seluruhkegiatanpenyelenggaraanSistem Elektronik yang dikelolanya; e.provide the track records in audit with respect to the whole Electronic System it manages; f.memberikan opsi kepada Pemilik Data Pribadi mengenaiDataPribadiyangdikelolanya dapatdigunakandan/atauditampilkan oleh/padapihakketigaatasPersetujuan f.givetheDataSubjectoptionwhetherthe Personal Data itmanages may be used and/or displayedby/tothirdpartiesbyConsent, subjecttohavingrelationtothepurposesfor 14 sepanjangmasihterkaitdengantujuan perolehan dan pengumpulan Data Pribadi; whichthePersonalDataareobtainedand collected; g.memberikanaksesataukesempatankepada PemilikDataPribadiuntukmengubahatau memperbaruiDataPribadinyatanpa menganggusistempengelolaanDataPribadi, kecualiditentukanlainolehketentuan peraturan perundang-undangan; dan g.provideaccessoropportunitytotheData Subjecttochangeorrenewhis/herPersonal DatawithoutinterferingthePersonalData managementsystem,unlessotherwise provided by laws and regulations; and h.memusnahkanDataPribadisesuaidengan ketentuandalamPeraturanMenteriiniatau ketentuanperaturanperundang-undangan lainnyayangsecarakhususmengaturdi masing-masing sektor untuk itu. h.destroy Personal Data under the provisions of thisRegulationoftheMinisterorotherlaws andregulationsspeciallygovernthesamefor each sector. BAB VICHAPTER VI PENYELESAIAN SENGKETADISPUTE RESOLUTION Pasal 30Article 30 (1)SetiapPemilikDataPribadidan PenyelenggaraSistemElektronikdapat mengajukanpengaduankepada pejabat/lembagapenyelesaiansengketaData Pribadiataskegagalanperlindungan kerahasiaan Data Pribadi. (1)AnyDataSubjectandElectronicSystem Providermayfileacomplaintwiththe PersonalDatadisputeresolution officers/tribunalaboutfailuretoprotectthe confidentiality of Personal Data. (2)Pengaduansebagaimanadimaksudpadaayat (1)dimaksudkansebagaiupayapenyelesaian sengketasecaramusyawarahataumelalui upaya penyelesaian alternatif lainnya. (2)Thecomplaintasreferredtoinsection(1) shallaimtoresolveadisputebydeliberation or by other alternative resolution. (3)Pengaduansebagaimanadimaksudpadaayat (1) dilakukan berdasarkan alasan: (3)Thecomplaintasreferredtoinsection(1) shall be made for the following reasons: a.tidakdilakukannyapemberitahuansecara tertulisataskegagalanperlindungan rahasiaDataPribadiolehPenyelenggara SistemElektronikkepadaPemilikData PribadiatauPenyelenggaraSistem Elektroniklainnyayangterkaitdengan DataPribaditersebut,baikyang berpotensimaupuntidakberpotensi menimbulkan kerugian; atau a.forabsenceofwrittennotificationabout the failure to protect the confidentiality of PersonalDatabytheElectronicSystem ProvidertotheDataSubjectorother Electronic System Provider in connection withthePersonalData,withorwithout potential loss; or b.telahterjadinyakerugianbagiPemilik DataPribadiatauPenyelenggaraSistem Elektroniklainnyayangterkaitdengan kegagalanperlindunganrahasiaData Pribaditersebut,meskipuntelah dilakukanpemberitahuansecaratertulis atas kegagalan perlindungan rahasia Data Pribadinamunwaktupemberitahuannya yang terlambat. b.theDataSubjectorotherElectronic SystemProviderhassufferedlossdueto failuretoprotecttheconfidentialityof PersonalDatadespitedelayedwritten notificationaboutthefailuretoprotect the confidentiality of Personal Data. Pasal 31Article 31 15 Pejabat/timpenyelesaiansengketaDataPribadi ataskegagalanperlindungankerahasiaanData PribadisebagaimanadimaksuddalamPasal30 ayat (1) ditetapkan oleh Menteri. The Personal Data dispute resolution officers/team for failure to protect the confidentiality of Personal DataasreferredtoinArticle30section(1)shall be confirmed by the Minister. Pasal 32Article 32 Pengaduandanpenangananpengaduandilakukan berdasarkan tata cara, sebagai berikut: Thecomplaintandhandlingofcomplaintshallbe made under the following procedures: a.pengaduandilakukanpalinglambat30(tiga puluh)harikerjasejakpengadumengetahui informasi sebagaimana dimaksud dalam Pasal 30 ayat (3) huruf a atau huruf b; a.acomplaintshallbemadewithin30(thirty) working days from when the complainant has knowledge of the information as referred to in Article 30 section (3) point (a) or point (b); b.pengaduandisampaikansecaratertulis memuat: b.acomplaintshallbefiledinwritingto contain: 1.nama dan alamat pengadu;1.the name and address of the complainant; 2.alasan atau dasar pengaduan;2.the reasons or grounds for complaint; 3.permintaanpenyelesaianmasalahyang diadukan; dan 3.the problem raised for resolution; and 4.tempatpengaduan,waktupenyampaian pengaduan, dan tanda tangan pengadu. 4.theplaceofcomplaint,timeoffilingof complaint,andsignatureofthe complainant. c.pengaduanharusdilengkapidenganbukti-bukti pendukung; c.acomplaintmustencloseanyconclusive evidence; d.pejabat/timpenyelesaiansengketaData Pribadiataskegagalanperlindungan kerahasiaanDataPribadiwajibmenanggapi pengaduanpalinglambat14(empatbelas) harikerjasejakpengaduanditerimayang sekurang-kurangnyamemuatpengaduan lengkap atau tidak lengkap; d.thePersonalDatadisputeresolution officers/teamforfailuretoprotectthe confidentiality of Personal Data must respond thecomplaintwithin14(fourteen)working daysuponitsreceiptbyadvisingatleast whetherornotthecomplaintdocumentsare complete; e.pengaduanyangtidaklengkapharus dilengkapiolehpengadupalinglambat30 (tigapuluh)harikerjasejakpengadu menerimatanggapansebagaimanadimaksud padahurufddanjikamelebihibataswaktu tersebut, pengaduan dianggap dibatalkan; e.incaseofincompletedocuments,the complainantmustmakethemupwithin30 (thirty)workingdaysfromwhenthe complainantreceivestheresponseasreferred to in point (d), subject to the complaint being void in case of exceeding the deadline; f.pejabat/lembagapenyelesaiansengketaData Pribadiataskegagalanperlindungan kerahasiaanDataPribadiwajibmenangani penyelesaianpengaduanmulai14(empat belas)harikerjasejakpengaduanditerima lengkap; f.thePersonalDatadisputeresolution officers/teamforfailuretoprotectthe confidentialityofPersonalDatamusthandle thecomplaintwithin14(fourteen)working daysofreceiptofthecompletecomplaint documents; g.penyelesaiansengketaatasdasarpengaduan lengkaptersebutdilakukansecara musyawarahataumelaluiupayapenyelesaian alternatiflainnyasesuaidenganketentuan g.thedisputewiththecompletecomplaint documents shall be resolved by deliberation or byotheralternativeresolutionunderthelaws and regulations; 16 peraturan perundang-undangan; h.pejabat/lembagapenyelesaiansengketaData Pribadiataskegagalanperlindungan kerahasiaanDataPribadiyangmenangani pengaduandapatmemberikanrekomendasi kepadaMenteriuntukpenjatuhansanksi administratifkepadaPenyelenggaraSistem Elektronikmeskipunpengaduandapatatau tidakdapatdiselesaikansecaramusyawarah ataumelaluiupayapenyelesaianalternatif lainnya. h.thePersonalDatadisputeresolution officers/teamforfailureofPersonalData confidentialityprotectionthathandlea complaintmaygivearecommendationtothe Ministertoimposeadministrativesanctions ontheElectronicSystemProviderregardless ofwhetherornotthecomplaintiscapableof resolutionbydeliberationorbyother alternative resolution. Pasal 33Article 33 (1)Dalamupayapenyelesaiansengketasecara musyawarahataumelaluiupayapenyelesaian alternatiflainnyabelummampu menyelesaikansengketaataskegagalan perlindungan kerahasiaan Data Pribadi, setiap PemilikDataPribadidanPenyelenggara SistemElektronikdapatmengajukangugatan atasterjadinyakegagalanperlindungan rahasia Data Pribadi. (1)Ifadisputeisincapableofresolutionby deliberationorotheralternativeresolutionto thefailuretoprotecttheconfidentialityof PersonalData,anyDataSubjectand Electronic System Providermay bring a legal actionagainstthefailuretoprotectthe confidentiality of Personal Data. (2)Gugatan sebagaimana dimaksud pada ayat (1) hanyaberupagugatanperdatadandiajukan sesuai dengan ketentuan peraturan perundang-undangan. (2)Thelegalactionasreferredtoinsection(1) may civil and shall be brought under the laws and regulations. Pasal 34Article 34 (1)Jikadalamprosespenegakanhukumoleh aparatpenegakhukumsesuaidengan peraturanperundang-undanganyang berwenangharusmelakukanpenyitaan,maka yangdapatdisitahanyaDataPribadiyang terkaitkasushukumtanpaharusmenyita seluruh Sistem Elektroniknya. (1)In case of seizure by law enforcement officers inthescopeoflawenforcementmeasures underthelawsandregulations,suchseizure maybeappliedforonlythePersonalData involvedinthelegalcase,nottheentire Electronic System. (2)PenyelenggaraSistemElektronikyang menyediakan,menyimpan,dan/atau mengelolaDataPribadiyangdisita sebagaimana dimaksud pada ayat (1) dilarang melakukantindakanapapunyangdapat mengakibatkanberubahatauhilangnyaData Pribaditersebutdantetapwajibmenjaga keamananataumemberikanperlindungan rahasiaDataPribadidalamSistemElektronik yang dikelolanya. (2)AnyElectronicSystemProviderthat provides,stores,and/ormanagestheseized PersonalDataasreferredtoinsection(1) shallbeprohibitedfromtakinganymeasures thatmayresultinthePersonalDatabeing changedandlostandmustmaintainthe securityorprovideprotectionofthe confidentialityofPersonalDatainthe Electronic System it manages. BAB VIICHAPTER VII PARTISIPASI MASYARAKATPUBLIC PARTICIPATION Pasal 35Article 35 (1)Untukmemudahkandalampenyelenggaraan(1)ToalloweasyprotectionofPersonalDatain 17 perlindunganDataPribadidalamSistem Elektronikdanuntukmemberdayakan partisipasi masyarakat, Direktur Jenderal yang bertanggungjawabdibidangaplikasi informatikadanPenyelenggaraSistem Elektronikmelakukanedukasikepada masyarakat mengenai: theElectronicSystemandtoempowerthe publicparticipation,theDirectorGeneralin chargeofinformaticsapplicationandthe ElectronicSystemProvidershallprovide education/learning to the public about: a.pengertian Data Pribadi;a.the meaning of Personal Data; b.hakikatDataPribadiyangbersifat privasi; b.theessenceoftheprivacyofPersonal Data; c.pengertianPersetujuandan konsekuensinya; c.themeaningofConsentandits consequences; d.pengertianSistemElektronikdan mekanismenya; d.the meaning of the Electronic System and its mechanism; e.hakPemilikDataPribadi,kewajiban Pengguna,dankewajibanPenyelenggara Sistem Elektronik; e.the rights of Data Subjects, obligations of Users,andobligationsofElectronic System Providers; f.ketentuanmengenaipenyelesaian sengketajikaterjadikegagalan perlindunganrahasiaDataPribadioleh Penyelenggara Sistem Elektronik; dan f.theprovisionsfordisputeresolutionin caseoffailuretoprotectthe confidentialityofPersonalDataby Electronic System Providers; and g.ketentuanperaturanperundang-undangan lainnya yang terkait dengan perlindungan Data Pribadi dalam Sistem Elektronik. g.theprovisionsoflawsandregulations concerning protection of Personal Data in the Electronic System. (2)Pelaksanaan ketentuan sebagaimana dimaksud padaayat(1)dapatdilakukanmelalui pendidikandan/ataupelatihan,advokasi, bimbinganteknis,dansosialisasidengan menggunakan berbagai media. (2)Theprovisionsofsection(1)maybe implementedthrougheducation/learning and/or training, advocacy, technical guidance, and campaign in the mass media. BAB VIIICHAPTER VIII SANKSI ADMINISTRATIFADMINISTRATIVE SANCTIONS Pasal 36Article 36 (1)SetiapOrangyangmemperoleh, mengumpulkan,mengolah,menganalisis, menyimpan,menampilkan,mengumumkan, mengirimkan, dan/atau menyebarluaskan Data Pribaditanpahakatautidaksesuaidengan ketentuandalamPeraturanMenteriiniatau peraturanperundang-undanganlainnya dikenaisanksiadministratifsesuaidengan ketentuanperaturanperundang-undangan berupa: (1)Anypersonwhoobtains,collects,processes, analyzes,stores,displays,publishes/ announces,transmits,and/ordisseminates PersonalDatainanunauthorizedmanneror otherthaninaccordancewiththeprovisions ofthisRegulationoftheMinisterorother lawsandregulationsshallbeimposed administrativesanctionsunderthelawsand regulations in the form of: a.peringatan lisan;a.verbal warnings; b.peringatan tertulis;b.written warnings; 18 c.penghentian sementara kegiatan;c.suspension; d.pengumumandisitusdalamjaringan (website online); d.announcements on website online; (2)Ketentuanmengenaitatacarapelaksanaan sanksiadministratifsebagaimanadimaksud padaayat(1)diaturdenganPeraturan Menteri. (2)Theprovisionsfortheproceduresfor administrativesanctionsasreferredtoin section (1) shall be governed by Regulation of the Minister. BAB IXCHAPTER IX KETENTUAN LAINMISCELLANEOUS PROVISIONS Pasal 37Article 37 (1)JikaPemilikDataPribadimerupakanorang yangtermasukdalamkategorianaksesuai denganketentuanperaturanperundang-undangan,pemberianPersetujuanyang dimaksuddalamPeraturanMenteriini dilakukanolehorangtuaatauwalidarianak yang bersangkutan. (1)If a Data Subject is a person belonging to the childcategoriesunderthelawsand regulations,anyConsentreferredtointhis RegulationoftheMinistershallbegivenby the parent(s) or guardian of the child. (2)Orangtuasebagaimanadimaksudpadaayat (1)merupakanayahatauibukandunganak yangbersangkutansesuaidenganketentuan peraturan perundang-undangan. (2)Parent(s)asreferredtoinsection(1)shallbe thebiologicalfatherormotherofthechild under the laws and regulations. (3)Walisebagaimanadimaksudpadaayat(1) merupakanorangyangmemilikikewajiban mengurusanakyangbersangkutansebelum anakitudewasasesuaidenganketentuan peraturan perundang-undangan. (3)Aguardianasreferredtoinsection(1)shall bethepersonwithdutiestoraiseachild beforeturningadultunderthelawsand regulations. BAB XCHAPTER X KETENTUAN PERALIHANTRANSITIONAL PROVISIONS Pasal 38Article 38 PenyelenggaraSistemElektronikyangtelah menyediakan,menyimpan,danmengelolaData PribadisebelumPeraturanMenteriiniberlaku harus tetap menjaga kerahasiaan Data Pribadi yang dikelolanyadanmenyesuaikandenganPeraturan Menteri ini paling lama 3 (tiga) tahun. Any Electronic System Provider already provides, stores,andmanagesPersonalDatabeforethis RegulationoftheMinistercomesintoeffectshall keepmaintainingtheconfidentialityofPersonal Dataitmanagesandaccommodatetothis Regulation of the Minister not exceeding 3 (three) years. BAB XICHAPTER XI KETENTUAN PENUTUPCONCLUDING PROVISIONS Pasal 39Article 39 PeraturanMenteriinimulaiberlakupadatanggal diundangkan. This Regulation of Minister shall come into effect from the date it is promulgated. Agar setiap orang mengetahuinya, memerintahkan pengundanganPeraturanMenteriinidengan Inorderthateverypersonmayknowit,the promulgationofthisRegulationoftheMinisteris 19 penempatannyadalamBeritaNegaraRepublik Indonesia. ordered by placement in the Official Gazette of the Republic of Indonesia. Ditetapkan di Jakarta pada tanggal ... ... 2015 MENTERI KOMUNIKASI DAN INFORMATIKA REPUBLIK INDONESIA, ttd RUDIANTARA Issued in Jakarta on ... ... 2015 MINISTER OF COMMUNICATIONS AND INFORMATICS OF THE REPUBLIC OF INDONESIA, sgd RUDIANTARA Diundangkan di Jakarta pada tanggal ... MENTERI HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA, ttd YASONNA H. LAOLY Promulgated in Jakarta on ... MINISTER OF LAW AND HUMAN RIGHTS OF THE REPUBLIC OF INDONESIA, sgd YASONNA H. LAOLY BERITA NEGARA REPUBLIK INDONESIA TAHUN NOMOR OFFICIAL GAZETTE OF THE REPUBLIC OF INDONESIA NUMBER ... OF ... Translated by: Wishnu Basuki wbasuki@gmail.com