0

ICT Watch – Perkumpulan Mitra TIK Indonesia (Indonesian ICT Partnership) Jl. Tebet Barat Dalam 6H no.16, Jakarta 12810, Indonesia

P: (021) 98495770 | F: (021) 8292428 | E: info@ictwatch.id | W: ictwatch.id

Internet Safety | Internet Rights | Internet Governance

Kepada Jakarta, 31 Juli 2015

Yth. Menteri Komunikasi dan Informatika

Bapak Rudiantara

di Jakarta

Mengacu pada ajakan untuk menyampaikan tanggapan1 atas Rancangan Peraturan Menteri (RPM)

tentang Perlindungan Data Pribadi dalam Sistem Elektronik2 atau selanjutnya kami sebut RPM Privasi

Digital, maka bersama ini kami dari ICT Watch menyampaikan tanggapan sebagai berikut:

1. PEMBERITAHUAN AWAL KEPADA PEMILIK DATA PRIBADI

Pada bagian kedua, “Perolehan dan Pengumpulan Data Pribadi”, pasal 9 (sembilan)

hendaknya ditambahkan penegasan bahwa: Penyelenggara Sistem Elektronik wajib

memberitahu dengan jelas secara tertulis kepada Pemilik Data Pribadi di awal sebelum

data pribadi dikumpulkan, sebagai berikut:

a. Data pribadi apa saja yang dikumpulkan, baik yang disampaikan secara sadar oleh

pemilik data ataupun diperoleh secara otomatis oleh penyelenggara, termasuk yang

dalam kategori “Persistent Identifier”. Tentang “persistent identifier” ini akan

dijabarkan dalam poin nomor 2 (dua).

b. Data pribadi yang dikumpulkan tersebut apakah bersifat keharusan (obligatory /

mandatory) ataukah kerelaan (voluntary / optional), terkait dengan

penyelenggaraan layanan sistem elektronik terkait. Ini dimaksud agar Pemilik Data

Pribadi bisa memahami dan lantas membatasi data pribadi yang disampaikan

kepada Penyelenggara Sistem Eletronik cukup seperlunya saja.

1 http://kominfo.go.id/index.php/content/detail/5128/Siaran+Pers+No.53-PIH-KOMINFO-07-

2015+tentang+Uji+Publik+Rancangan+Peraturan+Menteri+mengenai+Perlindungan+Data+Pribadi+dalam+Sist

em+Elektronik/0/siaran_pers#.Vbjm1rUt-pQ 2

http://web.kominfo.go.id/sites/default/files/users/1536/RPM%20Perlindungan%20Data%20Pribadi%20dalam%

20SE%20-%2028%20Maret%202015_nando_bersih.pdf

0

ICT Watch – Perkumpulan Mitra TIK Indonesia (Indonesian ICT Partnership) Jl. Tebet Barat Dalam 6H no.16, Jakarta 12810, Indonesia

P: (021) 98495770 | F: (021) 8292428 | E: info@ictwatch.id | W: ictwatch.id

Internet Safety | Internet Rights | Internet Governance

c. Tujuan selengkapnya dari pengumpulan data pribadi terkait dengan

penyelenggaraan sistem elektronik yang dikelola oleh Penyelenggara Sistem

Elektronik, termasuk rencana penggunaan kedepannya.

d. Bahwa Pemilik Data Pribadi memiliki hak untuk mengakses data pribadi miliknya

yang telah dikumpulkan oleh Penyelenggara Sistem Elektronik, termasuk untuk

melakukan perbaikan (correction) atas data tersebut.

e. Bahwa Pemilik Data Pribadi memiliki hak untuk meminta pemusnahan data pribadi

yang disimpan oleh Penyelenggara Sistem Eletronik jika pemilik data tersebut telah

menyatakan berhenti dan/atau tidak lagi menggunakan layanan sistem elektronik

yang dikelola penyelenggara.

f. Narahubung (contact person) yang jelas dari Penyelenggara Sistem Elektronik yang

dapat dihubungi dengan mudah oleh Pemilik data Pribadi, terkait dengan sejumlah

hal di atas.

2. PENGIDENTIFIKASI yang PERSISTEN (PERSISTENT IDENTIFIER)

Persistent Identifier adalah sebuah referensi / rujukan secara berterusan atau dalam rentang

waktu lama, yang merujuk pada obyek digital tertentu3, dan kemudian dapat digunakan

untuk mengenali seseorang atau pengguna Internet dari waktu ke waktu dan di sejumlah

situs yang berbeda4. Persistent identifier tersebut semisal: browser cookie5, alamat Internet

Protocol (IP), nomor unik seri prosesor atau perangkat (gadget). Persistent identifier ini

dewasa ini kemudian masuk dalam kategori “data pribadi” yang harus dilindungi6.

3. PEMBATASAN USIA MINIMUM

Atas nama kepentingan dan perlindungan anak Indonesia di Internet, maka perlu ada

kewajiban atas pembatasan usia minimum Pemilik Data Pribadi yang data pribadi miliknya

dapat dan/atau boleh dikumpulkan oleh Penyelenggara Sistem Elektronik secara langsung.

Usia tersebut haruslah mengacu ke UU Perlindungan Anak7, yaitu 18 (delapan belas) tahun.

3 http://www.ariadne.ac.uk/issue56/tonkin

4 https://www.ftc.gov/system/files/documents/plain-language/BUS84-coppa-6-steps.pdf

5 https://en.wikipedia.org/wiki/HTTP_cookie

6 http://www.aeforum.org/gallery/5248813.pdf

7 http://www.kpai.go.id/files/2013/09/uu-nomor-35-tahun-2014-tentang-perubahan-uu-pa.pdf

0

ICT Watch – Perkumpulan Mitra TIK Indonesia (Indonesian ICT Partnership) Jl. Tebet Barat Dalam 6H no.16, Jakarta 12810, Indonesia

P: (021) 98495770 | F: (021) 8292428 | E: info@ictwatch.id | W: ictwatch.id

Internet Safety | Internet Rights | Internet Governance

Menurut UU tersebut, yang disebut sebagai “anak” adalah seseorang yang belum berusia 18

tahun. Dengan demikian penyelenggara Sistem Elektronik berkewajiban untuk tidak

meminta dan/atau mengumpulkan data pribadi dari anak, tanpa sepengetahuan dan

pendampingan dari orangtua ataupun wali anak yang sah dan legal.

Hal serupa telah diatur pula di Korea, yang membatasi pada usia 14 (empat belas) tahun ke

bawah sebagai kategori “anak” yang harus mendapatkan dampingan atau sepengetahuan

orang tua ketika memberikan data pribadinya8. Adapun Amerika, batasannya adalah pada

usia 13 (tiga belas) tahun9.

Adapun The Organisation for Economic Co-operation and Development (OECD) yang

beranggotakan 34 negara, dalam rekomendasinya tentang The Protection of Children

Online10, menyebutkan bahwa anak-anak dapat mengungkapkan data pribadi mereka karena

mereka tidak menyadari lingkup atau maraknya pengguna Internet, dan juga karena mereka

gagal untuk mempertimbangkan secara masak-masak konsekuensi potensial atas

pengungkapan data pribadi tersebut. OECD juga menyepakati batasan usia anak adalah

mereka yang usianya belum mencapai 18 (delapan belas) tahun.

Di dalam UU Perlindungan Privasi Online Anak yang dilansir oleh Amerika dan kemudian

diamandemen pada 201211, disebutkan bahwa data pribadi anak termasuk didalamnya

adalah hal yang terkait dengan username, foto/video/audio yang mengandung gambar atau

suara anak, informasi geo location yang bisa mengidentifikasi nama jalan dan kota, serta

khususnya yang terkait pula dengan “persistent identifier”

4. DURASI PENYIMPANAN DATA PRIBADI

Pada bagian ketiga, “Penyimpanan Data Pribadi”, pasal 15 (lima belas) dan 16 (enam belas)

perlu disesuaikan sebagai berikut:

8 http://koreanlii.or.kr/w/images/0/0e/KoreanDPAct2011.pdf

9 http://www.coppa.org/coppa.htm

10 http://www.oecd.org/sti/ieconomy/childrenonline_with_cover.pdf

11 https://www.ftc.gov/tips-advice/business-center/guidance/complying-coppa-frequently-asked-questions

0

ICT Watch – Perkumpulan Mitra TIK Indonesia (Indonesian ICT Partnership) Jl. Tebet Barat Dalam 6H no.16, Jakarta 12810, Indonesia

P: (021) 98495770 | F: (021) 8292428 | E: info@ictwatch.id | W: ictwatch.id

Internet Safety | Internet Rights | Internet Governance

a. Ditambahkan kewajiban kepada Penyelenggara Sistem Elektronik bahwa durasi /

masa penyimpanan data pribadi hendaknya tidak melebihi dari tujuan awal

perolehan dan pengumpulan yang telah diberitahukan kepada Pemilik Data Pribadi

saat pertama kali data tersebut dikumpulkan, kecuali jika dilakukan sesuai dengan

ketentuan peraturan perundang-undangan yang berlaku di Indonesia.

b. Perlu dijelaskan relevansi, tujuan dan rencana penggunaan data pribadi yang

dikumpulkan terkait dengan masa / durasi penyimpanan data pribadi sebagaimana

tertulis “paling singkat 5 (lima) tahun”. Penjelasan tersebut juga hendaknya

mencakup alasan yang jelas dan logis terkait dasar penentuan atas masa / durasi 5

(lima) tahun tersebut.

5. LAINNYA

A). KEWAJIBAN YANG SETARA

Perlu ada pengenaan kewajiban dan tindakan yang setara (equal treatment) antara

Penyelenggara Sistem Elektronik yang dikelola oleh/di dalam negeri dengan yang

luar negeri / multinasional / global, terkait dengan (rancangan) peraturan menteri

privasi digital ini. Termasuk juga kebijakan, prosedur dan mekanisme dalam konteks

perlindungan data pribadi milik rakyat Indonesia, jika pentransmisian dan/atau

penggunaan data pribadi tersebut menuju dan/atau dilakukan ke/oleh

Penyelenggara Sistem Elektronik yang badan hukum pendirian dan/atau kebijakan

operasionalnya, baik keseluruhan ataupun sebagian, tidak merujuk dan/atau tunduk

pada pada hukum Indonesia yang berlaku.

B). PEMBATASAN UNTUK DIRECT MARKETING

Perlu diwajibkan bagi Penyelenggara Sistem Elektronik tidak mentransmisikan,

memindahkan, menyalin data pribadi yang diperoleh atau dikumpulkannya ke pihak

siapapun dan dimanapun untuk keperluan direct marketing12, tanpa sepengetahuan

dan sebelumnya mendapatkan persetujuan dari Pemilik Data Pribadi.

12

https://en.wikipedia.org/wiki/Direct_marketing

0

ICT Watch – Perkumpulan Mitra TIK Indonesia (Indonesian ICT Partnership) Jl. Tebet Barat Dalam 6H no.16, Jakarta 12810, Indonesia

P: (021) 98495770 | F: (021) 8292428 | E: info@ictwatch.id | W: ictwatch.id

Internet Safety | Internet Rights | Internet Governance

C). KEPASTIAN DAN JAMINAN KEAMANAN

Perlu adanya jaminan keamanan dari Penyelenggara Sistem Elektronik untuk:

I. Memastikan proses pengumpulan, pengolahan dan/atau

pentransmisian data pribadi terlindungi dari kemungkinan

penyadapan dan/atau intersepsi yang illegal. Untuk itu maka harus

diwajibkan Penyelegggara Sistem Elektronik dalam konteks

perlindungan data pribadi, untuk menggunakan teknologi enkripsi

yang teruji dan terbaharui mengacu pada standar yang berlaku

II. Memastikan ada mekanisme pengaduan dari Pemilik Data Pribadi

kepada Penyelenggara Sistem Elektronik untuk melaporkan adanya

indikasi kebocoran atau penyalahgunaan data pribadi.

Penyelenggara Sistem Elektronik juga harus menyampaikan

pemberitahuan kepada Pemilik Data Pribadi, jika data pribadi terkait

ternyata diketahui mengalami kebocoran, diintersepsi secara illegal

atau disalahgunakan dalam bentuk apapun dan oleh siapapun.

Demikian tanggapan ini kami sampaikan. Terimakasih atas perhatiannya, Hormat kami, Donny B.U. Direktur Eksekutif - ICT Watch Tembusan:

- Dirjen Aplikasi Telematika, Kemkominfo - Kepala Pusat Informasi & Humas, Kemkominfo - Arsip online ICT Watch