Pelatihan Internal - Sinergi Prakarsa Utama (1) PDF
Document Details
Uploaded by DistinguishedZinc2988
2024
Arga Budi Pangestu
Tags
Summary
Ini adalah catatan pelatihan internal tentang perlindungan data pribadi di Indonesia, tertanggal 4 Oktober 2024. Materi membahas pengaturan perlindungan data pribadi di Indonesia, kerangka kerja perlindungan data, serta hak-hak subjek data. Dokumentasi ini membahas detail tentang Undang-undang perlindungan data pribadi, pengendali data, prosesor data, dan kewajiban masing-masing pihak.
Full Transcript
and Training Pelindungan Data Pribadi Jum’at, 4 Oktober 2024 Palm Beach Hotel, Bali Training Agenda Summary Privacy Privacy Policy, Data Protection Pengaturan Framework for Privacy Notice, Officer (DPO) Pelindungan Impl...
and Training Pelindungan Data Pribadi Jum’at, 4 Oktober 2024 Palm Beach Hotel, Bali Training Agenda Summary Privacy Privacy Policy, Data Protection Pengaturan Framework for Privacy Notice, Officer (DPO) Pelindungan Implementing RoPA, DPIA dan / Pejabat Data Pribadi di the PDPL Data Subject Pelindungan Indonesia Request (DSR) Data Pribadi (PPDP) About The Trainer Arga Budi Pangestu Assistant Vice Precident of Privacy Governance – Banking Company Data Privacy and Cybersecurity Trainer – Online Learning Platfom Cybersecurity Governance Manager – State Owned Baking Company Pro Manager Enterprise Security – Financial Company Sesi PERTAMA Summary Pengaturan Pelindungan Data Pribadi di Indonesia Undang-undang pelindungan data pribadi Undang-undang pelindungan data pribadi Undang-undang pelindungan data pribadi Undang-undang pelindungan data pribadi Data Pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik Undang-undang pelindungan data pribadi Mengenal Para Pihak dalam Pemrosesan Data Pribadi Pengendali Data Pribadi Pengendali Data Pribadi adalah pihak yang menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi. Pihak di sini meliputi: setiap orang; badan publik; dan organisasi/institusi. Jika dua atau lebih Pengendali Data bersama- sama menentukan tujuan dan cara pemrosesan, mereka harus menjadi Pengendali Data bersama. Mereka harus secara transparan mengidentifikasi peran, menentukan tanggung jawab, dan hubungan masing-masing dalam memenuhi kewajiban, khususnya mengenai pelaksanaan hak subjek data dan tugas mereka masing-masing untuk memberikan informasi. Pengendali Data Pribadi Anda memperoleh manfaat dari, atau memiliki kepentingan dalam, pemrosesan (selain sekadar pembayaran untuk layanan diterima dari pengontrol lain) Anda membuat keputusan tentang individu yang bersangkutan sebagai bagian dari atau sebagai hasil dari pemrosesan (misalnya data subjek adalah karyawan Anda) Kegiatan pengolahan dapat dianggap sebagai secara alami melekat pada peran atau aktivitas entitas Anda (misalnya karena peran tradisional atau keahlian profesional) yang memerlukan tanggung jawab dari sudut pandang perlindungan data Pemrosesan mengacu pada hubungan Anda dengan subjek data karyawan, pelanggan, anggota dll. Anda memiliki otonomi penuh dalam memutuskan bagaimana data pribadi diproses Anda telah mempercayakan pemrosesan data pribadi ke organisasi eksternal untuk memproses pribadi data atas nama Anda. Pengendali Data Pribadi Bersama Anda dan (beberapa) pihak lain yang terlibat secara bersama-sama menentukan tujuan dan cara pengolahannya Lebih dari satu pihak memiliki pengaruh yang menentukan atas apakah dan bagaimana pemrosesan berlangsung – baik oleh atas keputusan bersama (satu waktu) atau dengan keputusan konvergen (lain waktu) yang saling melengkapi dan diperlukan untuk pemrosesan karena mereka memiliki dampak nyata pada penentuan tujuan dan sarana Pemrosesan tidak akan mungkin tanpa partisipasi semua belah pihak - pemrosesan oleh masing-masing pihak tidak dapat dipisahkan, terkait erat Keputusan bersama atau konvergen pada tujuan dan berarti berhubungan dengan keseluruhan proses yang dimaksud atau hanya pada tahapan tertentu. Prosesor Data Pribadi v Prosesor Data Pribadi adalah pihak yang: § melakukan pemrosesan Data Pribadi atas nama Pengendali Data Pribadi, § bertindak atas nama dari atau sesuai dengan instruksi Pengendali Data, § mematuhi persyaratan PDP yang ditetapkan § menerapkan kontrol PDP yang sesuai v Pihak di sini meliputi: setiap orang; badan publik; dan organisasi / institusi. v Prosesor Data Pribadi tidak boleh menggunakan Prosesor Data Pribadi lain (Subprosesor) tanpa izin tertulis khusus atau umum sebelumnya dari Pengendali Data Pribadi. Prosesor Data Pribadi Anda memproses data pribadi untuk tujuan pihak lain dan sesuai dengan instruksi yang didokumentasikan Anda tidak memiliki tujuan sendiri untuk pemrosesan. Pihak lain memantau aktivitas pemrosesan Anda di untuk memastikan bahwa Anda mematuhi instruksi dan syarat kontrak. Anda tidak mengejar tujuan Anda sendiri dalam memproses selain kepentingan bisnis untuk menyediakan layanan kepada pihak lain. Anda telah terikat karena melakukan kegiatan pengolahan oleh pihak lain yang pada gilirannya telah terlibat untuk memproses data atas nama pihak lain dan para pihak telah didokumentasikan dalam kontrak. Undang-undang pelindungan data pribadi Kewajiban Pengendali Data Pribadi Hak Subjek Data Pribadi Ketentuan Sanksi Ketentuan Sanksi Administratif Ketentuan Sanksi Pidana Sesi Kedua Privacy Framework untuk Implementasi Pelindungan Data Pribadi Overview privacy framework Tata Kelola Implementasi Proses Teknologi Pendukung (Governance) (Procesess) (Tecnology Enabler) Mencerminkan PDP dalam strategi perusahaan, Menciptakan transparansi dan menerapkan Mengadaptasi, daripada mendesain ulang tata kelola & organisasi, kebijakan & standar, solusi & tools TI, sekaligus membangun proses untuk memasukkan elemen PDP kontrol dan pemantauan untuk memastikan kemampuan manajemen data perusahaan (misalnya pengungkapan, permintaan data kepatuhan terhadap peraturan dan memitigasi pelanggan) risiko privasi penyusunan privacy framework organisasi Undang-undang / peraturan yang berlaku terkait pelindungan data pribadi POJK 22/2023 Pelindungan Konsumen dan PBI 3/2023 tentang Pelindungan Konsumen 01 Masyarakat di Sektor Jasa Keuangan 02 Bank Indonesia Ruang lingkup: Lembaga Jasa Keuangan yang selanjutnya disingkat LJK adalah Ruang lingkup: Pelindungan Konsumen Bank Indonesia yang selanjutnya disebut lembaga yang melaksanakan kegiatan di sektor perbankan, pasar modal, Pelindungan Konsumen adalah segala upaya yang menjamin adanya kepastian hukum perasuransian, dana pensiun, modal ventura, lembaga keuangan mikro, lembaga untuk memberikan pelindungan kepada Konsumen. pembiayaan, dan lembaga jasa keuangan lainnya. pasal 29-30 terkait Pengamanan Aset dan Data Konsumen pasal 19 terkait kerahasiaan dan keamanan data, penjelasan ayat (2) butir a pasal 32 terkait kerahasiaan dan keamanan Data Pribadi sesuai dengan UU PDP pasal 36 memasukkan pasal 4 UU PDP, ayat (3) memasukkan prinsip PDP pasal 16 ayat (2) UU pasal 33 terkait kerja sama dengan pihak lain dalam pengelolaan Data Pribadi sesuai PDP, ayat (4) memasukkan aturan pengawasan di pasal 37 UU PDP, ayat (5) dengan UU PDP pasal 18, 37, 51 merupakan hak akses di pasal 7 dan kewajiban pengendali di pasal 32 UU PDP pasal 34 terkait kelengkapan, akurasi, pengkinian, dan keutuhan data sesuai dengan UU pasal 20 terkait pertukaran data berhubungan dengan peran Pengendali, Prosesor, PDP pasal 29 dan Pengendali Bersama serta ketentuan transfer data di pasal 55 UU PDP pasal 35 terkait dasar pemrosesan persetujuan, pelaksanaan kewajiban hukum, dan pasal 21 terkait transfer data ke luar wilayah Negara RI terhubung ke pasal 56 UU dasar pemrosesan lain serta Pemberitahuan PDP dalam pengungkapan Data Pribadi ke PDP pihak lain sesuai dengan UU PDP pasal 20 pasal 22 terkait larangan pemrosesan Data Pribadi yang telah diupdate dengan pasal 36 terkait Hak-hak Subjek Data Pribadi terkait akses dan pemberian salinan serta penambahan pasal 23 mengenai dasar pemrosesan dan pemberian informasi dalam hak untuk dapat mengakhiri, menghapus, dan/atau memusnahkan sesuai dengan UU Pemberitahuan PDP (Privacy Notice) PDP pasal 7 dan 8 pasal 24 terkait keamanan sistem informasi dan ketahanan siber sejalan dengan pasal 37 terkait pelaksanaan prinsip PDP sesuai dengan UU PDP pasal 16 ayat (2) pasal 35, 36, 39, dan 46 UU PDP pasal 38 terkait complain handling pasal 39 terkait direct marketing yang menggunakan dasar pemrosesan Persetujuan Undang-undang / peraturan yang berlaku terkait pelindungan data pribadi (2) 03 POJK 9/2024 Penerapan Tata Kelola Bagi Bank Perekonomian Rakyat dan Bank Perekonomuan Rakyat Syariah Ruang lingkup: 1. Bank Perekonomian Rakyat yang selanjutnya disingkat BPR adalah jenis bank konvensional yang dalam kegiatannya tidak memberikan jasa dalam lalu lintas giral secara langsung. 2. Bank Perekonomian Rakyat Syariah yang selanjutnya disingkat BPR Syariah adalah jenis bank syariah yang dalam kegiatannya tidak memberikan jasa dalam lalu lintas giral secara langsung. 3. Tata Kelola yang Baik pada BPR dan BPR Syariah adalah struktur, proses, dan mekanisme pengelolaan BPR dan BPR Syariah untuk pencapaian penyelenggaraan kegiatan usaha BPR dan BPR Syariah yang memperhatikan kepentingan seluruh pemangku kepentingan yang terkait, menciptakan dan mengoptimalkan nilai perusahaan pada BPR dan BPR Syariah secara berkelanjutan, serta berlandaskan ketentuan peraturan perundang-undangan, standar, nilai etika, prinsip, dan praktik yang berlaku umum. BAB XIII INTEGRITAS PELAPORAN DAN SISTEM TEKNOLOGI INFORMASI – Pasal 93 ayat (2) : BPR dan BPR Syariah wajib melaksanakan transparansi informasi mengenai produk dan penggunaan data konsumen dan/atau nasabah BPR dan BPR Syariah dengan berpedoman sesuai dengan: a. Peraturan Otoritas Jasa Keuangan mengenai penyelenggaraan produk bank perkreditan rakyat dan bank pembiayaan rakyat syariah; dan b. Peraturan Otoritas Jasa Keuangan mengenai pelindungan konsumen dan masyarakat di sektor jasa keuangan BAB XIII INTEGRITAS PELAPORAN DAN SISTEM TEKNOLOGI INFORMASI – Pasal 98 ayat (2) : BPR atau BPR Syariah yang tidak memenuhi ketentuan sebagaimana dimaksud dalam Pasal 93 ayat (2) dikenai sanksi administratif sesuai dengan Peraturan Otoritas Jasa Keuangan mengenai penyelenggaraan produk bank perkreditan rakyat dan bank pembiayaan rakyat syariah dan/atau Peraturan Otoritas Jasa Keuangan mengenai pelindungan konsumen dan masyarakat di sektor jasa keuangan. Siklus Proses pelindungan data pribadi Source : Xynexis publication Privacy governance Ruang lingkup program pelindungan data pribadi Identifikasi informasi data pribadi yang Identifikasi peraturan Pelindungan Data 01 dikumpulkan dan diproses 02 Pribadi yang masuk dalam ruang lingkup a. Ketahui data pribadi yang dikumpulkan, digunakan, a. Analisa dan dokumentasikan identifikasi peraturan disimpan dan diproses oleh organisasi dengan perundangan atau regulasi terkait dengan data pribadi melakukan information gathering dengan fungsi kerja yang dikelola organisasi. terkait. b. Pastikan peraturan/regulasi yang berlaku / relevan b. Melakukan penyusunan Data Inventarisasi / Data map terhadap seluruh siklus pemrosesan data pribadi di yang akurat dan detil. organisasi. c. Memelihara dokumentasi informasi pribadi seperti c. Monitor perubahan peraturan perundangan / regulasi cara organisasi memproses data, kategori individu terkait pelindungan data pribadi. terdampak dan penerima data. Privacy governance Ruang lingkup program pelindungan data pribadi (2) Step WHO ?Siapa yang mengumpulkan data terkait 2 HOW? Bagaimana cara/prosedur untuk individu/karyawan/pelanggan ? melakukan penghapusan data? Termasuk Service Provider kita HOW? Bagaimana cara pengamanan dalam WHAT? Tipe data yang dikumpulkan dan penghapusan data? 1 tujuan pengumpulan data? Disposal 6 WHO? Siapa yang melakukan penghapusan Collect WHEN? Kapan data dikumpulkan? data? HOW? Bagaimana cara mengumpulkan data? TO WHOM ?kepada siapa data akan diungkap/ditransfer? WHO ?Siapa yang menggunakan dan memelihara data ? WHAT? Pengendalian keamanan yang 5 2 dilakukan selama pengungkapan/transfer data? WHAT? Pengendalian keamanan yang WHO? Siapa yang berhak mengirimkan data? dilakukan selama penggunaan data? Transfer/ Disclosure Rules Usage/ Processing HOW? Bagaimana cara/prosedur untuk melakukan permintaan untuk perbaikan data? WHERE ?Dimana lokasi data disimpan secara 4 3 fisik? HOW? Bagaimana pengamanan dalam melakukan perbaikan data? WHAT? Pengendalian keamanan yang WHO? Siapa yang mengelola permintaan dilakukan dalam menyimpan data? perbaikan? HOW LONG? Berapa lama data disimpan ? Storage WHO? Siapa yang mengelola penyimpanan Rectification & data? Up-to-date Privacy governance Strategi program pelindungan data pribadi organisasi Management perlu mengerti bahwa keterlibatan dan dukungan dari Top Level Management sangatlah CRITICAL. Perlunya pemahaman terhadap tujuan akhir program PDP sebelum program PDP dimulai dan memiliki roadmap yang jelas untuk mencapai tujuan dari program tersebut. Mendapatkan dukungan dari § Management perlu menyetujui § Melaksanakan workshop PDP untuk Stakeholder dan Internal Partner anggaran untuk sumber daya yang stakeholders. diperlukan oleh Tim privasi, § Penyusunan Privacy Policy § Melakukan pertemuan dengan top Teknologi Privasi pelatihan, Organisasi level management yang memiliki tanggungjawab atas IT, Manajemen Menyusun dan menetapkan awareness dan meminta § Setiap personal memiliki person Project Charter and Roadmap pertanggungjawaban karyawan untuk melindungi informasi pribadi, Risiko, Compliance dan ledal untuk untuk mengukuti kebijakan dan memahami dan menjalankan mendapatkan program sponsor / § Penetapan Project Charter Program prosedur privasi dalam organisasi. perlindungan data pribadi dari program champion PDP Organisasi § Melakukan pertemuan dengan § Menetapkan steering committee, Memiliki sumber daya untuk pengamanan metode pengumpulan, implementasi Program PDP penyimpanan, pengiriman data internal partner yang berkaitan yang fungsi, dan individu yang hingga pengamanan dalam metode dapat membantu penyusunan bertanggung jawab atas program penghapusan dan pemusnahan, program PDP. PDP § Melakukan gap analisis dan Memiliki baseline yang sama terkait risiko dan tantangan yang penyusunan roadmap program PDP dihadapi sejak kondisi saat ini hingga tujuan akhir program PDP Privacy governance Pengembangan framework program PDP organisasi Istilah Framework digunakan untuk berbagai proses, template, tools, peraturan dan standard yang dapat dijadikan pedoman bagi DPO/Privacy Professional dalam melakukan pengelolaan program PDP Organisasi. Principle dan Standard Peraturan Perundang-undangan Regulasi Privasi terkait Industri / Privacy Program Management Sektoral Solution / Information Security Contoh: Contoh: Privacy Framework US : § Fair Information Practices (prinsip § Peraturan perundangan pemerintah § HIPAA (Transaksi elektronik pada Contoh: dasar terkait privacy), Indonesia yang berlaku seperti UU sektor Healthcare/Kesehatan) § ENISA (European Union Agency for § OECD Guideline terkait Privasi dan PDP, POK, Kemenkominfo dan lainnya § GLBA (Hukum federal untuk Lembaga Network and Information Security) Proteksi atas aliran data pribadi, § GDPR (cross-border data transfer ke keuangan yang berkaitan dengan § NIST (National Institute of Standards § GAPP (Generally Accepted Privacy negara Eropa) privasi data pelanggan) and Technologies) Principles) yang dibuat oleh § CCPA (customer right and consent to INDONESIA: § ISO 27001 Information Security AICPA/CICA personal data use Canada) § Peraturan Bank Indonesia (PBI), Management System (ISMS) § APEC Privacy Framework, dll § PIPEDA (Privacy right document for Pelindungan Konsumen Bank § ISO 27701 Information Privacy private sector organization in Canada) Indonesia Management System (PIMS) § Peraturan Otoritas Jasa Keuangan § Center for Internet Security (CIS), CIS (POJK), Pelindungan Konsumen dan Controls v8 Privacy Companion Guide Masyarakat di Sektor Jasa Keuangan Privacy governance Pengembangan framework program PDP organisasi Strategy Key readiness activities Policies and standards Mencerminkan PDPL dalam strategi Organization and talent perusahaan, tata kelola & organisasi, kebijakan & standar, kontrol dan pemantauan untuk Governance Internal controls memastikan kepatuhan terhadap peraturan dan Monitoring, enforcement and reporting memitigasi risiko privasi. Privacy notices and authorizations Customer Capabilities Personal data request management Mengadaptasi, daripada mendesain ulang Employee training (incl. salesforce) proses untuk memasukkan elemen PDPL Internal (misalnya pengungkapan, permintaan data Processes Internal communications pelanggan) Vendor Vendor management Under- Strategi penerapan tools IT, sekaligus Find Improve Protect stand membangun kemampuan manajemen Data & data perusahaan Technology Control Share Manage Report Enablers Data & Technology details on next slide Source : McKinsey Privacy Framework Privacy governance proses implementasi framework program PDP organisasi Privacy governance Prioritas aktivitas implementasi framework program PDP organisasi Pengaturan UU PDP Ketentuan BAB 3. Jenis Data BAB 4. Hak Subjek BAB 5. Pemrosesan BAB 8. Kewajiban Pengendali Data BAB 7. Transfer Data BAB 11. Partisipasi Umum Pribadi Data Pribadi Data Pribadi Pribadi dan Prosesor Data Pribadi Pribadi Masyarakat Kebijakan Internal Identifikasi Data Pribadi Pemenuhan Hak Prinsip Pemrosesan Dasar Pemrosean Privacy Notice Cross Border Data Privacy Training and Pelindungan Data Yang Diproses Oleh Subjek Data Pribadi Data Pribadi Data Pribadi Transfer Awareness Pribadi Organisasi (Data Subject Request) Klasifikasi Data dan Record of Penanganan Insiden Informasi Processing Activity Data Breach (RoPA) Retensi Data Pribadi Pejabat Pelindung Keamanan Data Pribadi (PPDP) Informasi Data Lifecycle Third Party Privacy Management Management Consent Privacy Audit Management Program Corporate Action Privacy governance Peran dalam implementasi framework program PDP organisasi Consent Karyawan IT System Enhancement PDP Implementation Strategy Training & Awareness Privacy by Design PDP Implementation Monitoring Pembentukan DPO Unit Data Security Designing RoPA & Coordinate the fulfillment IT/IS Incident Response Data Designing DPIA & Coordinate the fulfillment Protection Consent Wording Officer / PPDP SME for Privacy by Design and Privacy by Customer Consent Default Implementation Draft Contract Coordinate the data leakage incident Legal & Privacy Notice Customer DP Validation handling management Compliance & Quality Dasar Pemrosesan DP Marketing Data Subject Request Vendor Contract Internal Privacy Policy Vendor Privacy Formulating the DPIA SOP/Guidance PDP Assessment & Scoring Procurement and TIA risk formula DPIA Sesi Ketiga Privacy Policy, Privacy Notice, RoPA, DPIA dan Data Subject Request (DSR) Privacy policy / kebijakan internal pdp Pendahuluan Hak Subjek Data Pribadi Kewajiban Notifikasi Definisi Access Notifikasi Pemenuhan Hak SDP Tujuan Correction/Update Notifikasi Kegagalan PDP Ruang Lingkup Deletion RoPA Governance Structure Pemenuhan Hak Subjek Data Pribadi Standardisasi RoPA Struktur DPO Unit Mekanisme penyampaian request` Mekanisme Pelaksanaan RoPA Tugas dan Tanggung jawab DPO Mekanisme pemenuhan hak SDP DPIA Kewajiban Mendapat Persetujuan Keamanan Data Pribadi Standardisasi DPIA Penggunaan Consent Mekanisme Pelaksanaan DPIA Standard pengamanan Data Pribadi Standardisasi Form Consent Mekanisme implementasi Penarikan Kembali Persetujuan SDP pengamanan Data Pribadi Data Leak Incident Response Retensi Data Pribadi Transfer Data Pribadi Data Leak Incident Response Plan Transfer ke luar wilayah NKRI Incident Escalation Retensi Pemrosesan Retemsi disyaratkan Regulasi Penilaian risiko transfer DP (TIA) Dokumen yang disebutkan dalam rpp pdp Dokumen kebijakan penghapusan, pemusnahan, retensi Penilaian mandiri/asesmen (ps.201) (ps.98, 99, 101, 137) Pengawasan PDP (ps.201) Perjanjian Pengendali Prosesor (ps.21) Kebijakan edukasi peningkatan pemahaman (ps.201) Perjanjian sbg Dasar Pemrosesan (ps.57) Penyelenggaraan ekosistem PPDP termasuk detail kegiatan Perjanjian Pengendali Data Pribadi Bersama (ps.17) (ps.167, 201) Informasi kepada Subjek Data/Pemberitahuan PDP (ps.76) Binding Corporate Rules (ps.188) ` Kebijakan PDP (ps.32, 134, 139, 201) Perjanjian dengan pihak lain dalam grup perusahaan (ps.138) Perekaman pemrosesan/RoPA (ps.87) Kanal komunikasi pelaporan masyarakat (ps.134) Ketentuan terkait kegagalan PDP (ps.30, 125, 126) Ketentuan terkait Ganti Rugi (ps.118) Kebijakan penanganan komplen dan mediasi (ps.234, 237) Informasi CCTV (ps.35) Dokumen audit (ps.135) Kebijakan verifikasi identitas (ps.82) Dokumen Penilaian Dampak PDP (ps.128) Ketentuan pemrosesan Data Pribadi di Badan Publik (ps.67) Aturan dan informasi terkait transfer Data Pribadi ke luar NRI (ps.195) Ketentuan terkait M&A (ps.143, 144, 152) Privacy policy / kebijakan internal pdp ` Privacy policy / kebijakan internal pdp ` Privacy policy vs privacy notice Privacy Policy / Kebijakan PDP Kebijakan privasi adalah dokumen internal yang memberi tahu karyawan Anda cara melindungi data pelanggan. Kebijakan privasi bersifat internal, sedangkan pemberitahuan privasi bersifat publik. Kebijakan privasi memberikan panduan tentang cara perusahaan menangani perlindungan data, ` sedangkan pemberitahuan privasi memberi tahu pengguna tentang hak-hak mereka. Privacy Notice / Pemberitahuan privacy Pemberitahuan privasi adalah dokumen eksternal yang memberi tahu pengunjung tentang cara data mereka digunakan dan hak privasi mereka. Pemberitahuan privasi menjelaskan cara menghubungi organisasi, sedangkan kebijakan privasi membahas cara menanggapi permintaan pelanggan. privacy notice / Pemberitahuan privasi Pemberitahuan privasi adalah dokumen yang Anda berikan kepada orang-orang yang mengunjungi situs Anda untuk menjelaskan kepada mereka bagaimana Anda mengumpulkan informasi mereka dan bagaimana mereka dapat memilih untuk tidak ikut serta. Informasi yang ada di Privacy Notice / Pemberitahuan privacy ` Beri tahu pengguna tentang data apa saja yang Anda kumpulkan Identifikasi pengendali yang mengumpulkan data tersebut Jelaskan alasan Anda mengumpulkan data, termasuk dasar hukum pengumpulan tersebut Jelaskan cara Anda akan menggunakan dan menyimpan data, termasuk berapa lama data akan disimpan Jelaskan cara untuk menolak pengumpulan data sepenuhnya dan cara meminta pengendali untuk menghapus informasi pribadi yang tersimpan privacy notice / Pemberitahuan privasi Identitas Pengendali Data Pribadi dan/atau Prosesor Data Pribadi yang meliputi: nama; deskripsi singkat; kontak; representatif sesuai dengan ketentuan peraturan perundang-undangan; dan kontak Pejabat Petugas Pelindung Data Pribadi sesuai dengan ketentuan peraturan perundang- undangan. sumber pengumpulan dan tujuan pengiriman Data Pribadi; dasar pemrosesan Data Pribadi; tujuan pemrosesan Data Pribadi; Pemberitahuan jenis Data Pribadi; PDP ` dasar hukum penggunaan Data Pribadi; jangka waktu Data Pribadi akan digunakan; disimpan; akan dimusnahkan; (RPP PDP) bagaimana penyimpanan dan pengelolaan Data Pribadi dilakukan; informasi Pihak yang akan menggunakan Data dalam hal Pengendali Data Pribadi melibatkan Prosesor Data Pribadi; mekanisme persetujuan dan penarikan persetujuan dalam hal pemrosesan Data Pribadi dilaksanakan berdasarkan persetujuan yang sah secara eksplisit dari Subjek Data Pribadi; mekanisme memperoleh akses dan/atau salinan; mekanisme menyampaikan keberatan; mekanisme akses, salinan, verifikasi, dan perbaikan Data Pribadi; dan langkah keamanan untuk melindungi Data Pribadi. privacy notice / Pemberitahuan privasi ` Lawful basis pdp CONFIDENTIAL : Only use for the purposed of PDP Training for PT Jaminan Kredit Indonesia by Taalenta 1 Persetujuan yang Sah dan Eksplisit 6 Pemenuhan Kepentingan yang Sah Lainnya* Pasal 45 - 53 Pasal 60 - 62 Dilakukan dalam hal : Penolakan pemberian persetujuan dari SDP tidak Telah melakukan analisis terhadap keperluan, tujuan dan mempengaruhi kualitas barang, jasa, atau layanan keseimbangan hak SDP dan kepentingan Pengendali DP yang disediakan Pengendali DP Telah melakukan penilaian bahwa proses tidak berdampak hukum/meruginak Subjek Data Pribadi Pemrosesan Data Pasal 25 UU PDP Pribadi Anak Pasal 51 – 52 RPP PDP 5 Pelaksanaan Tugas Dalam Rangka Pemrosesan Data Pasal 26 UU PDP Kepentingan Umum atau Pelayanan Publik Pribadi Disabilitas Pasal 53 RPP PDP ` Dasar Pemrosesan Pasal 63 - 68 Pelaksanaan tugas dalam rangka kepentingan umum atau 2 Pemenuhan Kewajiban Perjanjian Data Pribadi pelayanan publik dilakukan dalam hal: Melaksanakan ketentuan peraturan perundang-undangan untuk Pasal 20 UU PDP Pasal 44 RPP PDP Pasal 54 - 58 melakukan tindakan dalam rangka kepentingan umum dan/atau Dapat dilakukan jika SDP dan Pengendali DP pelayanan publik. menyepakati akan menandatangani suatu Terdapat kepentingan publik yang secara langsung terancam jika perjanjian. pemrosesan DP tidak dilakukan. 3 Pemenuhan kewajiban hukum 4 Pemenuhan Pelindungan Kepentingan Vital Pasal 59 Pasal 60 - 62 Dilakukan dalam hal diwajibkan oleh : Dilakukan dalam hal : Ketentuan perundang-undangan, Terdapat ancaman terhadap hidup, fisik, dan/atau Perintah dan/atau putusan pengadilan, properti/asset SDP. Perintah berdasarkan pejabat Tata Usaha Negara. Sulit mendapatkan persetujuan SDP. *Pengendali DP berbentuk badan publik tidak dapat menggunakan dasar pemrosesan ini Legitimate consent ` Record of processing activity (ropa) Pengertian Record of Processing Activity (RoPA) Objective Record of Processing Activity (RoPA) Tujuan dari pengisian RoPA adalah sebagai berikut: Perekaman terhadap seluruh pemrosesan Data Pribadi atau yang biasa disebut sebagai Record of Processing 1. Sebagai bentuk pemenuhan kepatuhan terhadap Activity (RoPA) merupakan suatu dokumen yang menguraikan semua aktivitas pemrosesan Data Pribadi ketentuan dalam UU No 27 Tahun 2022 tentang dalam proses bisnis yang ada di Pengendali Data ` Pelindungan Data Pribadi (dhi. Pasal 31 UU PDP) Pribadi. Kewajiban dalam melakukan pengisian RoPA tertuang 2. Sebagai mapping internal terkait pemrosesan pada UU No 27 Tahun 2022 tentang Pelindungan Data Data Pribadi yang dilakukan oleh Pengendali Data Pribadi pasal 31 sebagai berikut: Pribadi. 3. Bentuk pemenuhan terhadap permintaan Lembaga Pengawas Pelindungan Data Pribadi. (case-by-case) Record of processing activity (ropa) ` Record of processing activity (ropa) ` Record of processing activity (ropa) ` Record of processing activity (ropa) ` Record of processing activity (ropa) Penerimaan karyawan pendaftaran proses seleksi karyawan pengumuman Contoh Pemrosesan Pengelolaan data karyawan administrasi, Data Karyawan yang ` manajemen karyawan, penggajian dan tunjangan, harus dibuat RoPA asuransi kesehatan, ketenagakerjaan, pensiun, perpajakan, pelatihan dan pengembangan, manajemen keamanan dan akses Pensiun, meninggal, dan pengunduran diri karyawan pelepasan akses penghapusan dan pemusnahan Data protection impact assessment (DPIA) Aktivitas Pengisian Data Protection Impact Analysis (DPIA) Dalam hal pengisian ROPA terdapat proses bisnis yang dikategorikan sebagai aktivitas pemrosesan dengan risiko tinggi, maka perlu dilakukan Data Protection Impact Analysis (DPIA) pada pemrosesan Data Pribadi tersebut untuk mengukur tingkat risiko pemrosesan Data Pribadi terhadap Subjek Data Pribadi. Pemrosesan Data Pribadi memiliki risiko tinggi meliputi : 1 ` pemrosesan Data pribadi dilakukan secara otomatis (by system); Terdapat pengambilan keputusan 2 Pemrosesan atas Data Pribadi yang bersifat spesifik; 3 Pemrosesan Data Pribadi dalam sekala besar; 4 Pemrosesan Data Pribadi untuk kegiatan evaluasi, penskoran, atau pemantauan yang sistematis terhadap Subjek Data Pribadi; 5 Pemrosesan Data Pribadi untuk kegiatan pencocokan atau penggabungan sekelompok data; 6 Penggunaan teknologi baru dalam pemrosesan Data Pribadi; dan/atau* 7 Pemrosesan Data Pribadi yang membatasi pelaksanaan hak Subjek Data Pribadi Data protection impact assessment (DPIA) Penilaian Dampak Pelindungan Data Pribadi ` (RPP PDP) Data protection impact assessment (DPIA) ` Data protection impact assessment (DPIA) ` Data protection impact assessment (DPIA) ` Data protection impact assessment (DPIA) ` Data protection impact assessment (DPIA) ` Data protection impact assessment (DPIA) ` Data subject request (dsr) Data Subject Request merupakan bentuk pemenuhan terhadap hak-hak Subjek Data ` Pribadi sebagaimana yang diatur dalam Undang-Undang PDP. Data subject request (dsr) Pencatatan semua permintaan dari Menyiapkan response terhadap request Subjec Data Pribadi dari Subjek Data Pribadi. Dapat berupa sistem elektronik maupun non-elektronik Dapat berupa pemberitahuan bahwa request sudah berhasil dilaksanakan atau Pemberitahuan request ditolak Proses identifikasi setiap permintaan dari dan/atau tidak dapat diproses. ` Subjek Data Pribadi Tidak semua permintaan dari Subjek Data Pribadi dapat langsung diproses. Melakukan analisa dan verifikasi serta menyiapkan justifikasi jika terdapat permintaan dari Subjek Data Pribadi yang tidak dapat di proses Memerlukan input dari departemen/unit lain jika dibutuhkan dalam hal melakukan analisa permintaan dari Subjek Data Pribadi Data subject request (dsr) ` Tools for implementing pdp ` Tools for implementing pdp ` Tools for implementing pdp ` Sesi keempat Data Protection Officer (DPO) / Pejabat Pelindungan Data Pribadi (PPDP) Dpo / ppdp ` Dpo / ppdp ` Source : Buku Grand Design Pembentukan Ekosistem DPO Indonesia - kemenkominfo Dpo / ppdp ` Dpo / ppdp Pejabat Pelindung Data Pribadi (PPDP) dalam ` Standar Kompetensi Kerja Nasional Indonesia (SKKNI) Dpo / ppdp ` Dpo / ppdp ` thanks you J