P

ERLINDUNGAN

D

ATA

P

RIBADI DALAM

R

UANG

S

IBER

Jakarta, Oktober 2014

A

PAKAH

P

RIVASI ITU

? A

PA RUANG LINGKUPNYA

?

Apa perbedaan antara perlindungan Privasi dan perlindungan data pribadi

Bagaimana Konstitusi Indonesia mengatur perlindungan privasi sebagai HAM?

2

T EKNOLOGI , M ASYARAKAT , DAN H UKUM

TECHNOLOGY

U

RGENSI

P

ENGATURAN

P

RIVASI

& D

ATA

P

RIBADI

Perlindungan terhadap Privasi didorong perkembangan teknologi

Article Warren & Brandeis

Kamera & Yellow Journalism

sekarang?

CCTV

Satelite

Data processing technology & cloud computing

Apakah Privasi identik dengan Kerahasiaan?

4

B

AGAIMANA

P

ENGATURAN

P

RIVASI

/D

ATA

P

RIBADI

Selected features

Konsep

Amerika Serikat

Eropa

Asia Pacific

Indonesia

5

U NITED S TATES

tidak ada regulasi yang komprehensif (piecemeal)

Artikel Warren & Brandeis :

Konsep Privacy : the right to be let alone

beberapa hukum federal yang mengatur perlindungan

beberapa jenis data pribadi

U NITED S TATES

Sektor Finansial (Gramm-Leach-Bliley Act)

Perlindungan data privasi para konsumen institusi keuangan

terdapat pembatasan pengungkapan informasi pribadi mengenai keuangannya kepada pihak ketiga yang tidak terafiliasi

adanya kewajiban institusi keuangan untuk melakukan notifikasi kepada konsumen mengenai kebijakan pengumpulan dan sharing informasi

adanya kebijakan opt-out apabila konsumen tidak mau informasi mereka dibagikan kepada pihak ketiga yang tidak terafiliasi dengan Institusi Keuangan

U NITED S TATES

Sektor Kesehatan (Health Insurance Portability and Accountability Act (HIPPA), 1996 irevisi menjadi The Health Information Technology for Economic and Clinical Health (HITECH Act)

Definisi identifiable health information:

Information that is a subset of health information, including demographic information collected from an individual, and:

1) Is created or received by a health care provider, health plan, employer, or health care clearinghouse; and

2) Relates to the past, present, or future physical or mental health or condition of an individual; the provision of health care to an individual; or the past, present, or future payment for the provision of health care to an individual; and

i. that identifies the individual; or

ii. with respect to which there is a reasonable basis to believe the information can be used to identify the individual.

U NITED S TATES

Children's Online Privacy Protection Act (COPPA, 1998)

Tujuan

1) meningkatkan keterlibatan orangtua dalam melindungi privasi anak di ruang siber;

2) melindungi keselamatan anak di forum online 3) membatasi pengumpulan informasi pribadi anak tanpa

persetujuan orang tua

U NITED S TATES

Ruang Lingkup : ditujukan terhadap Penyelenggara website yang:

memiliki target layanan pada anak dibawah 13 tahun atau

mengetahui mengumpulkan informasi dari anak di bawah 13 tahun

Kewajiban Peyelenggara website :

menyampaikan notifikasi kepada orang tua mengenai kebijakan mereka

mendapatkan persetujuan orang tua yang dapat diverifikasi mengenai pengumpulan, penggunaan, dan pengungkapan

memiliki prosedur yang "reasonable" dalam melindungi kerahasiaan,keamanan, dan integritas informasi pribadi anak yang dikumpulkan

U NITED S TATES

Penyelenggara website wajib memberikan kepada orang tua fasilitas untuk mampu

mereview informasi pribadi yang dikumpulkan dari anak- anak mereka

mencegah penggunaan lebih lanjut informasi pribadi anak mereka

Peranan Federal Trade Commission

1) Membuat pedoman;

2) Melakukan penegakan hukum;

U NITED S TATES

Video Privacy Protection Act

melarang penyeda layanan video tpe mengungkap informasi pribadi mengenai individu yang menyewa atau membeli video dari pihak ketiga

Ancaman denda $2,500

E ROPA

Perhatian terhadap Hak Privasi di Eropa berkembang pada waktu Perang Dunia II

Pemerintah Sosialis di beberapa negara Eropa menggunakan data sensus untuk mengidentifikasi penghuni etnis, agama, dan grup tertentu.

Pemerintah Amerika menggunakan data sensus untuk mengidentifikasi Japanese-Americans yang akan direlokasi

Negara Swedia adalah negara pertama di Eropa yang menetapkan undang-undang perlindungan privasi pada tahun 1973

E ROPA

EU Data Protection Directive, 1995 dan beraku efektif 1998

komprehensif dan detail

diimplementasikan oleh negara-negara anggota dalam hukum nasional masing-masing

Prinsip : satu entitas hanya dapat memproses data pribadi seseorang dalam kondisi:

1. Individu telah :

memberikan "unambigious consent“;

menyetujui kontrak yang mengatur pemrosesan data;

2. proses data diperlukan untuk:

memenuhi kewajiban hukum individu;

melindungi kepentingan individu;

kepentingan publik/dilakukan atas dasar perintah yang sah;

memenuhi kepentingan yang sah dari pengumpul data, kecuali kepentingan tersebut dihapus oleh hak individu

E ROPA

Data yang tidak boleh diproses data yang dapat mengungkap ras atau etnis, pandangan politik, agama, kepercayaan, keanggotaan serikat pekerja, data mengenai kehidupan sex

Data tersebut hanya dapat diproses hanya apabila:

individu telah memberikan persetujuan

individu tidak dapat memberikan persetujuan, sedangkan kepentingan utama nya sedang dipertaruhkan

entitas pengumpul atau pengguna informasi adalah organisasi nonprofit yang memiliki tujuan yang sama dengan individu (sebagai anggota)

informasi telah diungkap di publik

informasimengenai kesehatan dikumpulkan dan digunakan oleh

E ROPA

Data Protection Directive mempersyaratkan adanya pemberitahuan (notice) yang berisi, antara lain:

nama dan alamat pengontrol data dan perwakilannya

tujuan pemrosesan data

deskripsi kaegori data subject dan data atau kategori data yang terkait dengannya

kategori penerima atau penerima informasi

transfer data ke negara-negara ketiga (thrid countries)

Tidak memenuhi standar notifikasi dapat mengakibatkan hukuman serius

E ROPA

Cross Border Data Transfer

Article 25 pada prinsipnya mengatur larangan transfer data pribadi ke dunia ketiga yang tidak memiliki perlindungan yang sama

Safe Harbor

Kebijakan antara pemerintah Amerika Serikat dengan Otoritas Eropa untuk menjembatani transfer data antar kedua wilayah

A SIA P ASIFIK

Apec Privacy Framework

Mengacu pada Pedoman OECD (Organisation for Economic Co-opertion and Development) 1981

Prinsip

I. Preventing Harm (Mencegah kerugian akibat penyalahgunaan Data Pribadi) II. Notice (Pengendali Data Pribadi harus membuat catatan yang jelas mengenai

penggunaan data pribadi)

III. Collection Limitations (Pengumpulan informasi pribadi

harus dibatasi pada informasi yang relevan dengan tujuan pengumpulan dan informasi tersebut)

IV. Uses of Personal Information (penggunaan data pribadi harus sesuai

A SIA P ASIFIK

Kritik terhadap APEC Privacy Framework:

Apakah selaras dengan EU Directive?

I NDONESIA

Pengaturan Data Pribadi dalam beberapa Undang-Undang Belum ada Undang-undang yang komprehensif mengatur privasi dan data pribadi.

1. Definisi Data Pribadi tidak digunakan secara umum dalam peraturan perundang-undangan:

1. UU Perbankan

2. UU Administrasi Kependudukan 3. UU Kesehatan

4. UU ITE

I NDONESIA

UU Perbankan

Rahasia Bank adalah segala sesuatu yang berhubungan dengan keterangan mengenai nasabah penyimpan dan simpanannya

Bank Wajib merahasiakan keterangan mengenai Nasabah Penyimpan dan simpanannya, kecuali:

1. kepentingan perpajakan;

2. penyelesaian piutang Bank yang sudah diserahkan pada BUPLN/PUPN;

3. kepentingan peradilan dalam perkara pidana;

4. kepentingan peradilan dalam perkara perdata antara Bank dengan Nasabahnya;

5. tukar menukar informasi antar Bank;

I NDONESIA

UU Administrasi Kependudukan (UU 23/2006) Data Pribadi Penduduk yang harus dilindungi memuat:

a. nomor KK;

b. NIK;

c. tanggal/bulan/tahun lahir;

d. keterangan tentang kecacatan fisik dan/atau mental;

e. NIK ibu kandung;

f. NIK ayah;dan

g. beberapa isi catatan Peristiwa Penting.

I NDONESIA

UU Administrasi Kependudukan (UU 24/2013) Pasal 79

(1) Data Perseorangan dan dokumen kependudukan wajib disimpan dan dilindungi kerahasiaannya oleh Negara.

Pasal 84

(1) Data Pribadi Penduduk yang harus dilindungi memuat:

a. keterangan tentang cacat fisik dan/atau mental;

b. sidik jari;

c. iris mata;

d. tanda tangan; dan

e. elemen data lainnya yang merupakan aib seseorang.

I NDONESIA

UU Kesehatan (UU 36/2009) Pasal 57

(1) Setiap orang berhak atas rahasia kondisi kesehatan pribadinya yang telah dikemukakan kepada penyelenggara pelayanan kesehatan.

(2) Ketentuan mengenai hak atas rahasia kondisi kesehatan pribadi sebagaimana dimaksud pada ayat (1) tidak berlaku dalam hal:

a. perintah undang-undang;

b. perintah pengadilan;

I NDONESIA

Pasal 26:

Kecuali diatur lain oleh peraturan perundang-undangan, penggunaan data pribadi harus dengan persetujuan Orang yang bersangkutan

Bila timbul kerugian akibat penyalahgunaan penggunaan data pribadi, pihak yang dirugikan dapat mengajukan gugatan berdasarkan UU ITE

I NDONESIA

Penjelasan Pasal 26 ayat (1):

Data Pribadi merupakan salah satu bagian dari hak pribadi.

Hak pribadi merupakan hak untuk menikmati kehidupan pribadi dan bebas dari segala macam gangguan;

Hak pribadi merupakan hak untuk dapat berkomunikasi dengan orang lain tanpa tindakan memata-matai;

Hak pribadi merupakan hak untuk [tidak diawasi] akses informasi tentang kehidupan pribadi dan data seseorag

I NDONESIA

RPM Perlindungan Data Pribadi

Data Perseorangan Tertentu adalah setiap keterangan yang benar dan nyata yang melekat dan dapat diidentifikasi, baik langsung maupun tidak langsung, pada masing-masing individu yang pemanfaatannya sesuai ketentuan peraturan perundang-undangan

R EFERENSI

Unitar, Introduction to Privacy and Data Protection Module 1, 2, 3, dan 4

Sitompul, Josua. 2012, Cyberspace, Cybercrimes, Cyberlaw : Tinjauan Aspek Hukum Pidana, Jakarta : Tatanusa.