Pelatihan Internal - Sinergi Prakarsa Utama (1) PDF

Summary

Ini adalah catatan pelatihan internal tentang perlindungan data pribadi di Indonesia, tertanggal 4 Oktober 2024. Materi membahas pengaturan perlindungan data pribadi di Indonesia, kerangka kerja perlindungan data, serta hak-hak subjek data. Dokumentasi ini membahas detail tentang Undang-undang perlindungan data pribadi, pengendali data, prosesor data, dan kewajiban masing-masing pihak.

Full Transcript

and

Training
Pelindungan Data Pribadi
Jum’at, 4 Oktober 2024 Palm Beach Hotel, Bali
 Training Agenda

Summary Privacy Privacy Policy, Data Protection
Pengaturan Framework for Privacy Notice, Officer (DPO)
Pelindungan Implementing RoPA, DPIA dan / Pejabat
Data Pribadi di the PDPL Data Subject Pelindungan
Indonesia Request (DSR) Data Pribadi
(PPDP)
About The Trainer
Arga Budi Pangestu

Assistant Vice Precident of Privacy Governance – Banking Company

Data Privacy and Cybersecurity Trainer – Online Learning Platfom

Cybersecurity Governance Manager – State Owned Baking Company

Pro Manager Enterprise Security – Financial Company
 Sesi PERTAMA
Summary Pengaturan Pelindungan Data
Pribadi di Indonesia
Undang-undang pelindungan data pribadi
Undang-undang pelindungan data pribadi
Undang-undang pelindungan data pribadi
 Undang-undang pelindungan data pribadi
Data Pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara
tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung
melalui sistem elektronik atau nonelektronik
 Undang-undang pelindungan data pribadi
Mengenal Para Pihak dalam Pemrosesan Data Pribadi
 Pengendali Data Pribadi

Pengendali Data Pribadi adalah pihak yang menentukan
tujuan dan melakukan kendali pemrosesan Data Pribadi.
Pihak di sini meliputi: setiap orang; badan publik; dan
organisasi/institusi.
Jika dua atau lebih Pengendali Data bersama- sama
menentukan tujuan dan cara pemrosesan, mereka harus
menjadi Pengendali Data bersama. Mereka harus secara
transparan mengidentifikasi peran, menentukan tanggung
jawab, dan hubungan masing-masing dalam memenuhi
kewajiban, khususnya mengenai pelaksanaan hak subjek
data dan tugas mereka masing-masing untuk memberikan
informasi.
Pengendali Data Pribadi

Anda memperoleh manfaat dari, atau memiliki kepentingan dalam, pemrosesan (selain
sekadar pembayaran untuk layanan diterima dari pengontrol lain)
Anda membuat keputusan tentang individu yang bersangkutan sebagai bagian dari atau
sebagai hasil dari pemrosesan (misalnya data subjek adalah karyawan Anda)
Kegiatan pengolahan dapat dianggap sebagai secara alami melekat pada peran atau
aktivitas entitas Anda (misalnya karena peran tradisional atau keahlian profesional) yang
memerlukan tanggung jawab dari sudut pandang perlindungan data
Pemrosesan mengacu pada hubungan Anda dengan subjek data karyawan, pelanggan,
anggota dll.
Anda memiliki otonomi penuh dalam memutuskan bagaimana data pribadi diproses
Anda telah mempercayakan pemrosesan data pribadi ke organisasi eksternal untuk
memproses pribadi data atas nama Anda.
Pengendali Data Pribadi Bersama

Anda dan (beberapa) pihak lain yang terlibat secara bersama-sama menentukan tujuan dan
cara pengolahannya
Lebih dari satu pihak memiliki pengaruh yang menentukan atas apakah dan bagaimana
pemrosesan berlangsung – baik oleh atas keputusan bersama (satu waktu) atau dengan
keputusan konvergen (lain waktu) yang saling melengkapi dan diperlukan untuk pemrosesan
karena mereka memiliki dampak nyata pada penentuan tujuan dan sarana
Pemrosesan tidak akan mungkin tanpa partisipasi semua belah pihak - pemrosesan oleh
masing-masing pihak tidak dapat dipisahkan, terkait erat
Keputusan bersama atau konvergen pada tujuan dan berarti berhubungan dengan
keseluruhan proses yang dimaksud atau hanya pada tahapan tertentu.
 Prosesor Data Pribadi

v Prosesor Data Pribadi adalah pihak yang:
§ melakukan pemrosesan Data Pribadi atas nama
Pengendali Data Pribadi,
§ bertindak atas nama dari atau sesuai dengan instruksi
Pengendali Data,
§ mematuhi persyaratan PDP yang ditetapkan
§ menerapkan kontrol PDP yang sesuai

v Pihak di sini meliputi: setiap orang; badan publik; dan organisasi /
institusi.

v Prosesor Data Pribadi tidak boleh menggunakan Prosesor Data
Pribadi lain (Subprosesor) tanpa izin tertulis khusus atau umum
sebelumnya dari Pengendali Data Pribadi.
 Prosesor Data Pribadi

Anda memproses data pribadi untuk tujuan pihak lain dan sesuai dengan instruksi yang
didokumentasikan
Anda tidak memiliki tujuan sendiri untuk pemrosesan.
Pihak lain memantau aktivitas pemrosesan Anda di untuk memastikan bahwa Anda
mematuhi instruksi dan syarat kontrak.
Anda tidak mengejar tujuan Anda sendiri dalam memproses selain kepentingan bisnis
untuk menyediakan layanan kepada pihak lain.
Anda telah terikat karena melakukan kegiatan pengolahan oleh pihak lain yang pada
gilirannya telah terlibat untuk memproses data atas nama pihak lain dan para pihak telah
didokumentasikan dalam kontrak.
Undang-undang pelindungan data pribadi
Kewajiban Pengendali Data Pribadi
Hak Subjek Data Pribadi
Ketentuan Sanksi
Ketentuan Sanksi Administratif
Ketentuan Sanksi Pidana
 Sesi Kedua
Privacy Framework untuk Implementasi
Pelindungan Data Pribadi
 Overview privacy framework

Tata Kelola Implementasi Proses Teknologi Pendukung
(Governance) (Procesess) (Tecnology Enabler)

Mencerminkan PDP dalam strategi perusahaan, Menciptakan transparansi dan menerapkan
Mengadaptasi, daripada mendesain ulang
tata kelola & organisasi, kebijakan & standar, solusi & tools TI, sekaligus membangun
proses untuk memasukkan elemen PDP
kontrol dan pemantauan untuk memastikan kemampuan manajemen data perusahaan
(misalnya pengungkapan, permintaan data
kepatuhan terhadap peraturan dan memitigasi pelanggan)
risiko privasi
penyusunan privacy framework organisasi
 Undang-undang / peraturan yang berlaku terkait
pelindungan data pribadi
POJK 22/2023 Pelindungan Konsumen dan PBI 3/2023 tentang Pelindungan Konsumen
01 Masyarakat di Sektor Jasa Keuangan 02 Bank Indonesia

Ruang lingkup: Lembaga Jasa Keuangan yang selanjutnya disingkat LJK adalah Ruang lingkup: Pelindungan Konsumen Bank Indonesia yang selanjutnya disebut
lembaga yang melaksanakan kegiatan di sektor perbankan, pasar modal, Pelindungan Konsumen adalah segala upaya yang menjamin adanya kepastian hukum
perasuransian, dana pensiun, modal ventura, lembaga keuangan mikro, lembaga untuk memberikan pelindungan kepada Konsumen.
pembiayaan, dan lembaga jasa keuangan lainnya. pasal 29-30 terkait Pengamanan Aset dan Data Konsumen

pasal 19 terkait kerahasiaan dan keamanan data, penjelasan ayat (2) butir a pasal 32 terkait kerahasiaan dan keamanan Data Pribadi sesuai dengan UU PDP pasal 36

memasukkan pasal 4 UU PDP, ayat (3) memasukkan prinsip PDP pasal 16 ayat (2) UU pasal 33 terkait kerja sama dengan pihak lain dalam pengelolaan Data Pribadi sesuai
PDP, ayat (4) memasukkan aturan pengawasan di pasal 37 UU PDP, ayat (5)
dengan UU PDP pasal 18, 37, 51
merupakan hak akses di pasal 7 dan kewajiban pengendali di pasal 32 UU PDP
pasal 34 terkait kelengkapan, akurasi, pengkinian, dan keutuhan data sesuai dengan UU
pasal 20 terkait pertukaran data berhubungan dengan peran Pengendali, Prosesor,
PDP pasal 29
dan Pengendali Bersama serta ketentuan transfer data di pasal 55 UU PDP
pasal 35 terkait dasar pemrosesan persetujuan, pelaksanaan kewajiban hukum, dan
pasal 21 terkait transfer data ke luar wilayah Negara RI terhubung ke pasal 56 UU
dasar pemrosesan lain serta Pemberitahuan PDP dalam pengungkapan Data Pribadi ke
PDP
pihak lain sesuai dengan UU PDP pasal 20
pasal 22 terkait larangan pemrosesan Data Pribadi yang telah diupdate dengan
pasal 36 terkait Hak-hak Subjek Data Pribadi terkait akses dan pemberian salinan serta
penambahan pasal 23 mengenai dasar pemrosesan dan pemberian informasi dalam
hak untuk dapat mengakhiri, menghapus, dan/atau memusnahkan sesuai dengan UU
Pemberitahuan PDP (Privacy Notice)
PDP pasal 7 dan 8
pasal 24 terkait keamanan sistem informasi dan ketahanan siber sejalan dengan
pasal 37 terkait pelaksanaan prinsip PDP sesuai dengan UU PDP pasal 16 ayat (2)
pasal 35, 36, 39, dan 46 UU PDP
pasal 38 terkait complain handling
pasal 39 terkait direct marketing yang menggunakan dasar pemrosesan Persetujuan
 Undang-undang / peraturan yang berlaku terkait
pelindungan data pribadi (2)
03 POJK 9/2024 Penerapan Tata Kelola Bagi Bank Perekonomian Rakyat dan Bank Perekonomuan Rakyat Syariah

Ruang lingkup:

1.
Bank Perekonomian Rakyat yang selanjutnya disingkat BPR adalah jenis bank konvensional yang dalam kegiatannya tidak memberikan jasa dalam lalu lintas giral secara
langsung.

2.
Bank Perekonomian Rakyat Syariah yang selanjutnya disingkat BPR Syariah adalah jenis bank syariah yang dalam kegiatannya tidak memberikan jasa dalam lalu lintas giral
secara langsung.

3.
Tata Kelola yang Baik pada BPR dan BPR Syariah adalah struktur, proses, dan mekanisme pengelolaan BPR dan BPR Syariah untuk pencapaian penyelenggaraan kegiatan
usaha BPR dan BPR Syariah yang memperhatikan kepentingan seluruh pemangku kepentingan yang terkait, menciptakan dan mengoptimalkan nilai perusahaan pada BPR
dan BPR Syariah secara berkelanjutan, serta berlandaskan ketentuan peraturan perundang-undangan, standar, nilai etika, prinsip, dan praktik yang berlaku umum.

BAB XIII INTEGRITAS PELAPORAN DAN SISTEM TEKNOLOGI INFORMASI – Pasal 93 ayat (2) :
BPR dan BPR Syariah wajib melaksanakan transparansi informasi mengenai produk dan penggunaan data konsumen dan/atau nasabah BPR dan BPR Syariah dengan
berpedoman sesuai dengan: a. Peraturan Otoritas Jasa Keuangan mengenai penyelenggaraan produk bank perkreditan rakyat dan bank pembiayaan rakyat syariah; dan b.
Peraturan Otoritas Jasa Keuangan mengenai pelindungan konsumen dan masyarakat di sektor jasa keuangan

BAB XIII INTEGRITAS PELAPORAN DAN SISTEM TEKNOLOGI INFORMASI – Pasal 98 ayat (2) :
BPR atau BPR Syariah yang tidak memenuhi ketentuan sebagaimana dimaksud dalam Pasal 93 ayat (2) dikenai sanksi administratif sesuai dengan Peraturan Otoritas Jasa
Keuangan mengenai penyelenggaraan produk bank perkreditan rakyat dan bank pembiayaan rakyat syariah dan/atau Peraturan Otoritas Jasa Keuangan mengenai
pelindungan konsumen dan masyarakat di sektor jasa keuangan.
Siklus Proses pelindungan data pribadi

Source : Xynexis publication
 Privacy governance
Ruang lingkup program pelindungan data pribadi
Identifikasi informasi data pribadi yang Identifikasi peraturan Pelindungan Data
01 dikumpulkan dan diproses 02 Pribadi yang masuk dalam ruang lingkup

a. Ketahui data pribadi yang dikumpulkan, digunakan, a. Analisa dan dokumentasikan identifikasi peraturan
disimpan dan diproses oleh organisasi dengan perundangan atau regulasi terkait dengan data pribadi
melakukan information gathering dengan fungsi kerja yang dikelola organisasi.
terkait. b. Pastikan peraturan/regulasi yang berlaku / relevan
b. Melakukan penyusunan Data Inventarisasi / Data map terhadap seluruh siklus pemrosesan data pribadi di
yang akurat dan detil. organisasi.
c. Memelihara dokumentasi informasi pribadi seperti c. Monitor perubahan peraturan perundangan / regulasi
cara organisasi memproses data, kategori individu terkait pelindungan data pribadi.
terdampak dan penerima data.
 Privacy governance
Ruang lingkup program pelindungan data pribadi (2)
Step
WHO ?Siapa yang mengumpulkan data terkait
2
HOW? Bagaimana cara/prosedur untuk individu/karyawan/pelanggan ?
melakukan penghapusan data? Termasuk Service Provider kita

HOW? Bagaimana cara pengamanan dalam WHAT? Tipe data yang dikumpulkan dan
penghapusan data? 1 tujuan pengumpulan data?
Disposal 6
WHO? Siapa yang melakukan penghapusan Collect WHEN? Kapan data dikumpulkan?
data?
HOW? Bagaimana cara mengumpulkan data?

TO WHOM ?kepada siapa data akan
diungkap/ditransfer? WHO ?Siapa yang menggunakan dan
memelihara data ?
WHAT? Pengendalian keamanan yang 5
2
dilakukan selama pengungkapan/transfer data? WHAT? Pengendalian keamanan yang
WHO? Siapa yang berhak mengirimkan data? dilakukan selama penggunaan data?
Transfer/ Disclosure Rules Usage/ Processing

HOW? Bagaimana cara/prosedur untuk
melakukan permintaan untuk perbaikan data? WHERE ?Dimana lokasi data disimpan secara
4 3 fisik?
HOW? Bagaimana pengamanan dalam
melakukan perbaikan data? WHAT? Pengendalian keamanan yang
WHO? Siapa yang mengelola permintaan dilakukan dalam menyimpan data?
perbaikan? HOW LONG? Berapa lama data disimpan ?
Storage WHO? Siapa yang mengelola penyimpanan
Rectification & data?
Up-to-date
 Privacy governance
Strategi program pelindungan data pribadi organisasi
Management perlu mengerti bahwa keterlibatan dan dukungan dari Top Level Management sangatlah CRITICAL.
Perlunya pemahaman terhadap tujuan akhir program PDP sebelum program PDP dimulai dan memiliki roadmap yang jelas untuk
mencapai tujuan dari program tersebut.

Mendapatkan dukungan dari § Management perlu menyetujui § Melaksanakan workshop PDP untuk
Stakeholder dan Internal Partner anggaran untuk sumber daya yang stakeholders.
diperlukan oleh Tim privasi, § Penyusunan Privacy Policy
§ Melakukan pertemuan dengan top
Teknologi Privasi pelatihan, Organisasi
level management yang memiliki
tanggungjawab atas IT, Manajemen
Menyusun dan menetapkan awareness dan meminta § Setiap personal memiliki person
Project Charter and Roadmap pertanggungjawaban karyawan untuk melindungi informasi pribadi,
Risiko, Compliance dan ledal untuk
untuk mengukuti kebijakan dan memahami dan menjalankan
mendapatkan program sponsor / § Penetapan Project Charter Program
prosedur privasi dalam organisasi. perlindungan data pribadi dari
program champion PDP Organisasi
§ Melakukan pertemuan dengan § Menetapkan steering committee,
Memiliki sumber daya untuk pengamanan metode pengumpulan,
implementasi Program PDP penyimpanan, pengiriman data
internal partner yang berkaitan yang fungsi, dan individu yang
hingga pengamanan dalam metode
dapat membantu penyusunan bertanggung jawab atas program
penghapusan dan pemusnahan,
program PDP. PDP
§ Melakukan gap analisis dan
Memiliki baseline yang sama
terkait risiko dan tantangan yang
penyusunan roadmap program PDP
dihadapi
sejak kondisi saat ini hingga tujuan
akhir program PDP
 Privacy governance
Pengembangan framework program PDP organisasi
Istilah Framework digunakan untuk berbagai proses, template, tools, peraturan dan standard yang dapat dijadikan
pedoman bagi DPO/Privacy Professional dalam melakukan pengelolaan program PDP Organisasi.

Principle dan Standard Peraturan Perundang-undangan Regulasi Privasi terkait Industri / Privacy Program Management
Sektoral Solution / Information Security
Contoh: Contoh: Privacy Framework
US :
§ Fair Information Practices (prinsip § Peraturan perundangan pemerintah
§ HIPAA (Transaksi elektronik pada Contoh:
dasar terkait privacy), Indonesia yang berlaku seperti UU
sektor Healthcare/Kesehatan) § ENISA (European Union Agency for
§ OECD Guideline terkait Privasi dan PDP, POK, Kemenkominfo dan lainnya
§ GLBA (Hukum federal untuk Lembaga Network and Information Security)
Proteksi atas aliran data pribadi, § GDPR (cross-border data transfer ke
keuangan yang berkaitan dengan § NIST (National Institute of Standards
§ GAPP (Generally Accepted Privacy negara Eropa)
privasi data pelanggan) and Technologies)
Principles) yang dibuat oleh § CCPA (customer right and consent to
INDONESIA: § ISO 27001 Information Security
AICPA/CICA personal data use Canada)
§ Peraturan Bank Indonesia (PBI), Management System (ISMS)
§ APEC Privacy Framework, dll § PIPEDA (Privacy right document for
Pelindungan Konsumen Bank § ISO 27701 Information Privacy
private sector organization in Canada)
Indonesia Management System (PIMS)

§ Peraturan Otoritas Jasa Keuangan § Center for Internet Security (CIS), CIS

(POJK), Pelindungan Konsumen dan Controls v8 Privacy Companion Guide
Masyarakat di Sektor Jasa Keuangan
 Privacy governance
Pengembangan framework program PDP organisasi
Strategy Key readiness activities
Policies and standards
Mencerminkan PDPL dalam strategi
Organization and talent perusahaan, tata kelola & organisasi, kebijakan
& standar, kontrol dan pemantauan untuk
Governance Internal controls memastikan kepatuhan terhadap peraturan dan
Monitoring, enforcement and reporting memitigasi risiko privasi.

Privacy notices and authorizations
Customer
Capabilities

Personal data request management
Mengadaptasi, daripada mendesain ulang
Employee training (incl. salesforce) proses untuk memasukkan elemen PDPL
Internal (misalnya pengungkapan, permintaan data
Processes Internal communications pelanggan)
Vendor Vendor management

Under- Strategi penerapan tools IT, sekaligus
Find Improve Protect
stand membangun kemampuan manajemen
Data & data perusahaan
Technology Control Share Manage Report
Enablers
Data & Technology details on next slide Source : McKinsey Privacy Framework
 Privacy governance
proses implementasi framework program PDP organisasi
 Privacy governance
Prioritas aktivitas implementasi framework program PDP organisasi
Pengaturan
UU PDP

Ketentuan BAB 3. Jenis Data BAB 4. Hak Subjek BAB 5. Pemrosesan BAB 8. Kewajiban Pengendali Data BAB 7. Transfer Data BAB 11. Partisipasi
Umum Pribadi Data Pribadi Data Pribadi Pribadi dan Prosesor Data Pribadi Pribadi Masyarakat

Kebijakan Internal Identifikasi Data Pribadi Pemenuhan Hak Prinsip Pemrosesan Dasar Pemrosean Privacy Notice Cross Border Data Privacy Training and
Pelindungan Data Yang Diproses Oleh Subjek Data Pribadi Data Pribadi Data Pribadi Transfer Awareness
Pribadi Organisasi (Data Subject Request)

Klasifikasi Data dan Record of
Penanganan Insiden
Informasi Processing Activity
Data Breach
(RoPA)

Retensi Data Pribadi
Pejabat Pelindung Keamanan
Data Pribadi (PPDP) Informasi

Data Lifecycle Third Party Privacy
Management Management

Consent Privacy Audit
Management Program

Corporate Action
 Privacy governance
Peran dalam implementasi framework program PDP organisasi
Consent Karyawan IT System Enhancement
PDP Implementation Strategy
Training & Awareness Privacy by Design
PDP Implementation Monitoring
Pembentukan DPO Unit Data Security
Designing RoPA & Coordinate the fulfillment
IT/IS Incident Response
Data Designing DPIA & Coordinate the fulfillment
Protection
Consent Wording Officer / PPDP SME for Privacy by Design and Privacy by
Customer Consent
Default Implementation
Draft Contract
Coordinate the data leakage incident
Legal & Privacy Notice Customer DP Validation handling management
Compliance & Quality
Dasar Pemrosesan DP Marketing

Data Subject Request

Vendor Contract
Internal Privacy Policy
Vendor Privacy Formulating the DPIA
SOP/Guidance PDP Assessment & Scoring
Procurement and TIA risk formula

DPIA
 Sesi Ketiga
Privacy Policy, Privacy Notice, RoPA, DPIA dan
Data Subject Request (DSR)
 Privacy policy / kebijakan internal pdp
Pendahuluan Hak Subjek Data Pribadi Kewajiban Notifikasi

Definisi Access Notifikasi Pemenuhan Hak SDP
Tujuan Correction/Update Notifikasi Kegagalan PDP
Ruang Lingkup Deletion

RoPA
Governance Structure
Pemenuhan Hak Subjek
Data Pribadi Standardisasi RoPA
Struktur DPO Unit
Mekanisme penyampaian request`
Mekanisme Pelaksanaan RoPA
Tugas dan Tanggung jawab DPO
Mekanisme pemenuhan hak SDP
DPIA
Kewajiban Mendapat
Persetujuan Keamanan Data Pribadi Standardisasi DPIA
Penggunaan Consent Mekanisme Pelaksanaan DPIA
Standard pengamanan Data Pribadi
Standardisasi Form Consent
Mekanisme implementasi
Penarikan Kembali Persetujuan SDP
pengamanan Data Pribadi
Data Leak Incident Response
Retensi Data Pribadi Transfer Data Pribadi
Data Leak Incident Response Plan
Transfer ke luar wilayah NKRI Incident Escalation
Retensi Pemrosesan
Retemsi disyaratkan Regulasi Penilaian risiko transfer DP (TIA)
 Dokumen yang disebutkan dalam rpp pdp
Dokumen kebijakan penghapusan, pemusnahan, retensi Penilaian mandiri/asesmen (ps.201)
(ps.98, 99, 101, 137) Pengawasan PDP (ps.201)
Perjanjian Pengendali Prosesor (ps.21) Kebijakan edukasi peningkatan pemahaman (ps.201)
Perjanjian sbg Dasar Pemrosesan (ps.57) Penyelenggaraan ekosistem PPDP termasuk detail kegiatan
Perjanjian Pengendali Data Pribadi Bersama (ps.17) (ps.167, 201)
Informasi kepada Subjek Data/Pemberitahuan PDP (ps.76) Binding Corporate Rules (ps.188)
`
Kebijakan PDP (ps.32, 134, 139, 201) Perjanjian dengan pihak lain dalam grup perusahaan (ps.138)
Perekaman pemrosesan/RoPA (ps.87) Kanal komunikasi pelaporan masyarakat (ps.134)
Ketentuan terkait kegagalan PDP (ps.30, 125, 126)
Ketentuan terkait Ganti Rugi (ps.118)
Kebijakan penanganan komplen dan mediasi (ps.234, 237)
Informasi CCTV (ps.35)
Dokumen audit (ps.135)
Kebijakan verifikasi identitas (ps.82)
Dokumen Penilaian Dampak PDP (ps.128)
Ketentuan pemrosesan Data Pribadi di Badan Publik (ps.67)
Aturan dan informasi terkait transfer Data Pribadi ke luar NRI
(ps.195) Ketentuan terkait M&A (ps.143, 144, 152)
Privacy policy / kebijakan internal pdp

`
Privacy policy / kebijakan internal pdp

`
 Privacy policy vs privacy notice

Privacy Policy / Kebijakan PDP
Kebijakan privasi adalah dokumen internal yang memberi tahu karyawan Anda cara melindungi data
pelanggan.
Kebijakan privasi bersifat internal, sedangkan pemberitahuan privasi bersifat publik.
Kebijakan privasi memberikan panduan tentang cara perusahaan menangani perlindungan data,
`
sedangkan pemberitahuan privasi memberi tahu pengguna tentang hak-hak mereka.

Privacy Notice / Pemberitahuan privacy
Pemberitahuan privasi adalah dokumen eksternal yang memberi tahu pengunjung tentang cara data
mereka digunakan dan hak privasi mereka.
Pemberitahuan privasi menjelaskan cara menghubungi organisasi, sedangkan kebijakan privasi
membahas cara menanggapi permintaan pelanggan.
 privacy notice / Pemberitahuan privasi
Pemberitahuan privasi adalah dokumen yang Anda berikan kepada orang-orang yang
mengunjungi situs Anda untuk menjelaskan kepada mereka bagaimana Anda mengumpulkan
informasi mereka dan bagaimana mereka dapat memilih untuk tidak ikut serta.

Informasi yang ada di Privacy Notice / Pemberitahuan privacy
`
Beri tahu pengguna tentang data apa saja yang Anda kumpulkan
Identifikasi pengendali yang mengumpulkan data tersebut
Jelaskan alasan Anda mengumpulkan data, termasuk dasar hukum pengumpulan tersebut
Jelaskan cara Anda akan menggunakan dan menyimpan data, termasuk berapa lama data akan disimpan
Jelaskan cara untuk menolak pengumpulan data sepenuhnya dan cara meminta pengendali untuk menghapus
informasi pribadi yang tersimpan
 privacy notice / Pemberitahuan privasi
Identitas Pengendali Data Pribadi dan/atau Prosesor Data Pribadi yang meliputi: nama; deskripsi
singkat; kontak; representatif sesuai dengan ketentuan peraturan perundang-undangan; dan kontak
Pejabat Petugas Pelindung Data Pribadi sesuai dengan ketentuan peraturan perundang- undangan.
sumber pengumpulan dan tujuan pengiriman Data Pribadi;
dasar pemrosesan Data Pribadi;
tujuan pemrosesan Data Pribadi;
Pemberitahuan jenis Data Pribadi;
PDP `
dasar hukum penggunaan Data Pribadi;
jangka waktu Data Pribadi akan digunakan; disimpan; akan dimusnahkan;
(RPP PDP)
bagaimana penyimpanan dan pengelolaan Data Pribadi dilakukan;
informasi Pihak yang akan menggunakan Data dalam hal Pengendali Data Pribadi melibatkan
Prosesor Data Pribadi;
mekanisme persetujuan dan penarikan persetujuan dalam hal pemrosesan Data Pribadi dilaksanakan
berdasarkan persetujuan yang sah secara eksplisit dari Subjek Data Pribadi;
mekanisme memperoleh akses dan/atau salinan;
mekanisme menyampaikan keberatan;
mekanisme akses, salinan, verifikasi, dan perbaikan Data Pribadi; dan
langkah keamanan untuk melindungi Data Pribadi.
privacy notice / Pemberitahuan privasi

`
 Lawful basis pdp
CONFIDENTIAL : Only use for the purposed of PDP Training for PT Jaminan Kredit Indonesia by Taalenta

1 Persetujuan yang Sah dan Eksplisit 6 Pemenuhan Kepentingan yang Sah Lainnya*
Pasal 45 - 53 Pasal 60 - 62
Dilakukan dalam hal :
Penolakan pemberian persetujuan dari SDP tidak Telah melakukan analisis terhadap keperluan, tujuan dan
mempengaruhi kualitas barang, jasa, atau layanan keseimbangan hak SDP dan kepentingan Pengendali DP
yang disediakan Pengendali DP Telah melakukan penilaian bahwa proses tidak berdampak
hukum/meruginak Subjek Data Pribadi
Pemrosesan Data Pasal 25 UU PDP
Pribadi Anak Pasal 51 – 52 RPP PDP 5 Pelaksanaan Tugas Dalam Rangka
Pemrosesan Data Pasal 26 UU PDP Kepentingan Umum atau Pelayanan Publik
Pribadi Disabilitas Pasal 53 RPP PDP `
Dasar Pemrosesan Pasal 63 - 68
Pelaksanaan tugas dalam rangka kepentingan umum atau
2 Pemenuhan Kewajiban Perjanjian Data Pribadi pelayanan publik dilakukan dalam hal:
Melaksanakan ketentuan peraturan perundang-undangan untuk
Pasal 20 UU PDP Pasal 44 RPP PDP
Pasal 54 - 58 melakukan tindakan dalam rangka kepentingan umum dan/atau
Dapat dilakukan jika SDP dan Pengendali DP pelayanan publik.
menyepakati akan menandatangani suatu Terdapat kepentingan publik yang secara langsung terancam jika
perjanjian. pemrosesan DP tidak dilakukan.

3 Pemenuhan kewajiban hukum 4 Pemenuhan Pelindungan Kepentingan Vital
Pasal 59 Pasal 60 - 62
Dilakukan dalam hal diwajibkan oleh : Dilakukan dalam hal :
Ketentuan perundang-undangan, Terdapat ancaman terhadap hidup, fisik, dan/atau
Perintah dan/atau putusan pengadilan, properti/asset SDP.
Perintah berdasarkan pejabat Tata Usaha Negara. Sulit mendapatkan persetujuan SDP.
*Pengendali DP berbentuk badan publik tidak dapat menggunakan dasar pemrosesan ini
Legitimate consent

`
 Record of processing activity (ropa)
Pengertian Record of Processing Activity (RoPA) Objective Record of Processing Activity (RoPA)

Tujuan dari pengisian RoPA adalah sebagai berikut:
Perekaman terhadap seluruh pemrosesan Data Pribadi
atau yang biasa disebut sebagai Record of Processing 1. Sebagai bentuk pemenuhan kepatuhan terhadap
Activity (RoPA) merupakan suatu dokumen yang
menguraikan semua aktivitas pemrosesan Data Pribadi ketentuan dalam UU No 27 Tahun 2022 tentang
dalam proses bisnis yang ada di Pengendali Data `
Pelindungan Data Pribadi (dhi. Pasal 31 UU PDP)
Pribadi.
Kewajiban dalam melakukan pengisian RoPA tertuang 2. Sebagai mapping internal terkait pemrosesan
pada UU No 27 Tahun 2022 tentang Pelindungan Data Data Pribadi yang dilakukan oleh Pengendali Data
Pribadi pasal 31 sebagai berikut:
Pribadi.

3. Bentuk pemenuhan terhadap permintaan
Lembaga Pengawas Pelindungan Data Pribadi.
(case-by-case)
Record of processing activity (ropa)

`
Record of processing activity (ropa)

`
Record of processing activity (ropa)

`
Record of processing activity (ropa)

`
 Record of processing activity (ropa)

Penerimaan karyawan
pendaftaran
proses seleksi karyawan
pengumuman
Contoh Pemrosesan Pengelolaan data karyawan
administrasi,
Data Karyawan yang ` manajemen karyawan,
penggajian dan tunjangan,
harus dibuat RoPA asuransi kesehatan, ketenagakerjaan, pensiun,
perpajakan,
pelatihan dan pengembangan,
manajemen keamanan dan akses
Pensiun, meninggal, dan pengunduran diri karyawan
pelepasan akses
penghapusan dan pemusnahan
 Data protection impact assessment (DPIA)
Aktivitas Pengisian Data Protection Impact Analysis (DPIA)

Dalam hal pengisian ROPA terdapat proses bisnis yang dikategorikan sebagai aktivitas pemrosesan
dengan risiko tinggi, maka perlu dilakukan Data Protection Impact Analysis (DPIA) pada pemrosesan Data
Pribadi tersebut untuk mengukur tingkat risiko pemrosesan Data Pribadi terhadap Subjek Data Pribadi.

Pemrosesan Data Pribadi memiliki risiko tinggi meliputi :
1 ` pemrosesan Data pribadi dilakukan secara otomatis (by system);
Terdapat pengambilan keputusan
2 Pemrosesan atas Data Pribadi yang bersifat spesifik;
3 Pemrosesan Data Pribadi dalam sekala besar;
4 Pemrosesan Data Pribadi untuk kegiatan evaluasi, penskoran, atau pemantauan yang sistematis
terhadap Subjek Data Pribadi;
5 Pemrosesan Data Pribadi untuk kegiatan pencocokan atau penggabungan sekelompok data;
6 Penggunaan teknologi baru dalam pemrosesan Data Pribadi; dan/atau*
7 Pemrosesan Data Pribadi yang membatasi pelaksanaan hak Subjek Data Pribadi
 Data protection impact assessment (DPIA)

Penilaian Dampak
Pelindungan Data Pribadi `

(RPP PDP)
Data protection impact assessment (DPIA)

`
Data protection impact assessment (DPIA)

`
Data protection impact assessment (DPIA)

`
Data protection impact assessment (DPIA)

`
Data protection impact assessment (DPIA)

`
Data protection impact assessment (DPIA)

`
Data subject request (dsr)

Data Subject Request merupakan
bentuk pemenuhan terhadap hak-hak
Subjek Data
` Pribadi sebagaimana yang
diatur dalam Undang-Undang PDP.
 Data subject request (dsr)
Pencatatan semua permintaan dari
Menyiapkan response terhadap request Subjec Data Pribadi
dari Subjek Data Pribadi. Dapat berupa sistem elektronik maupun
non-elektronik
Dapat berupa pemberitahuan bahwa
request sudah berhasil dilaksanakan
atau
Pemberitahuan request ditolak
Proses identifikasi setiap permintaan dari
dan/atau tidak dapat diproses.
` Subjek Data Pribadi
Tidak semua permintaan dari Subjek Data
Pribadi dapat langsung diproses.

Melakukan analisa dan verifikasi serta
menyiapkan justifikasi jika terdapat
permintaan dari Subjek Data Pribadi yang
tidak dapat di proses
Memerlukan input dari departemen/unit
lain jika dibutuhkan dalam hal melakukan
analisa permintaan dari Subjek Data
Pribadi
Data subject request (dsr)

`
Tools for implementing pdp

`
Tools for implementing pdp

`
Tools for implementing pdp

`
 Sesi keempat
Data Protection Officer (DPO)
/ Pejabat Pelindungan Data Pribadi (PPDP)
Dpo / ppdp

`
 Dpo / ppdp

`

Source : Buku Grand Design Pembentukan Ekosistem DPO Indonesia - kemenkominfo
Dpo / ppdp

`
 Dpo / ppdp

Pejabat Pelindung Data
Pribadi (PPDP) dalam
`
Standar Kompetensi
Kerja Nasional Indonesia
(SKKNI)
Dpo / ppdp

`
Dpo / ppdp

`
thanks you J