P
ERLINDUNGAND
ATAP
RIBADI DALAMR
UANGS
IBERJakarta, Oktober 2014
A
PAKAHP
RIVASI ITU? A
PA RUANG LINGKUPNYA?
Apa perbedaan antara perlindungan Privasi dan perlindungan data pribadi
Bagaimana Konstitusi Indonesia mengatur perlindungan privasi sebagai HAM?
2
T EKNOLOGI , M ASYARAKAT , DAN H UKUM
TECHNOLOGY
U
RGENSIP
ENGATURANP
RIVASI& D
ATAP
RIBADIPerlindungan terhadap Privasi didorong perkembangan teknologi
Article Warren & Brandeis
Kamera & Yellow Journalism
sekarang?
CCTV
Satelite
Data processing technology & cloud computing
Apakah Privasi identik dengan Kerahasiaan?
4
B
AGAIMANAP
ENGATURANP
RIVASI/D
ATAP
RIBADISelected features
Konsep
Amerika Serikat
Eropa
Asia Pacific
Indonesia
5
U NITED S TATES
tidak ada regulasi yang komprehensif (piecemeal)
Artikel Warren & Brandeis :
Konsep Privacy : the right to be let alone
beberapa hukum federal yang mengatur perlindungan
beberapa jenis data pribadi
U NITED S TATES
Sektor Finansial (Gramm-Leach-Bliley Act)
Perlindungan data privasi para konsumen institusi keuangan
terdapat pembatasan pengungkapan informasi pribadi mengenai keuangannya kepada pihak ketiga yang tidak terafiliasi
adanya kewajiban institusi keuangan untuk melakukan notifikasi kepada konsumen mengenai kebijakan pengumpulan dan sharing informasi
adanya kebijakan opt-out apabila konsumen tidak mau informasi mereka dibagikan kepada pihak ketiga yang tidak terafiliasi dengan Institusi Keuangan
U NITED S TATES
Sektor Kesehatan (Health Insurance Portability and Accountability Act (HIPPA), 1996 irevisi menjadi The Health Information Technology for Economic and Clinical Health (HITECH Act)
Definisi identifiable health information:
Information that is a subset of health information, including demographic information collected from an individual, and:
1) Is created or received by a health care provider, health plan, employer, or health care clearinghouse; and
2) Relates to the past, present, or future physical or mental health or condition of an individual; the provision of health care to an individual; or the past, present, or future payment for the provision of health care to an individual; and
i. that identifies the individual; or
ii. with respect to which there is a reasonable basis to believe the information can be used to identify the individual.
U NITED S TATES
Children's Online Privacy Protection Act (COPPA, 1998)
Tujuan
1) meningkatkan keterlibatan orangtua dalam melindungi privasi anak di ruang siber;
2) melindungi keselamatan anak di forum online 3) membatasi pengumpulan informasi pribadi anak tanpa
persetujuan orang tua
U NITED S TATES
Ruang Lingkup : ditujukan terhadap Penyelenggara website yang:
memiliki target layanan pada anak dibawah 13 tahun atau
mengetahui mengumpulkan informasi dari anak di bawah 13 tahun
Kewajiban Peyelenggara website :
menyampaikan notifikasi kepada orang tua mengenai kebijakan mereka
mendapatkan persetujuan orang tua yang dapat diverifikasi mengenai pengumpulan, penggunaan, dan pengungkapan
memiliki prosedur yang "reasonable" dalam melindungi kerahasiaan,keamanan, dan integritas informasi pribadi anak yang dikumpulkan
U NITED S TATES
Penyelenggara website wajib memberikan kepada orang tua fasilitas untuk mampu
mereview informasi pribadi yang dikumpulkan dari anak- anak mereka
mencegah penggunaan lebih lanjut informasi pribadi anak mereka
Peranan Federal Trade Commission
1) Membuat pedoman;
2) Melakukan penegakan hukum;
U NITED S TATES
Video Privacy Protection Act
melarang penyeda layanan video tpe mengungkap informasi pribadi mengenai individu yang menyewa atau membeli video dari pihak ketiga
Ancaman denda $2,500
E ROPA
Perhatian terhadap Hak Privasi di Eropa berkembang pada waktu Perang Dunia II
Pemerintah Sosialis di beberapa negara Eropa menggunakan data sensus untuk mengidentifikasi penghuni etnis, agama, dan grup tertentu.
Pemerintah Amerika menggunakan data sensus untuk mengidentifikasi Japanese-Americans yang akan direlokasi
Negara Swedia adalah negara pertama di Eropa yang menetapkan undang-undang perlindungan privasi pada tahun 1973
E ROPA
EU Data Protection Directive, 1995 dan beraku efektif 1998
komprehensif dan detail
diimplementasikan oleh negara-negara anggota dalam hukum nasional masing-masing
Prinsip : satu entitas hanya dapat memproses data pribadi seseorang dalam kondisi:
1. Individu telah :
memberikan "unambigious consent“;
menyetujui kontrak yang mengatur pemrosesan data;
2. proses data diperlukan untuk:
memenuhi kewajiban hukum individu;
melindungi kepentingan individu;
kepentingan publik/dilakukan atas dasar perintah yang sah;
memenuhi kepentingan yang sah dari pengumpul data, kecuali kepentingan tersebut dihapus oleh hak individu
E ROPA
Data yang tidak boleh diproses data yang dapat mengungkap ras atau etnis, pandangan politik, agama, kepercayaan, keanggotaan serikat pekerja, data mengenai kehidupan sex
Data tersebut hanya dapat diproses hanya apabila:
individu telah memberikan persetujuan
individu tidak dapat memberikan persetujuan, sedangkan kepentingan utama nya sedang dipertaruhkan
entitas pengumpul atau pengguna informasi adalah organisasi nonprofit yang memiliki tujuan yang sama dengan individu (sebagai anggota)
informasi telah diungkap di publik
informasimengenai kesehatan dikumpulkan dan digunakan oleh
E ROPA
Data Protection Directive mempersyaratkan adanya pemberitahuan (notice) yang berisi, antara lain:
nama dan alamat pengontrol data dan perwakilannya
tujuan pemrosesan data
deskripsi kaegori data subject dan data atau kategori data yang terkait dengannya
kategori penerima atau penerima informasi
transfer data ke negara-negara ketiga (thrid countries)
Tidak memenuhi standar notifikasi dapat mengakibatkan hukuman serius
E ROPA
Cross Border Data Transfer
Article 25 pada prinsipnya mengatur larangan transfer data pribadi ke dunia ketiga yang tidak memiliki perlindungan yang sama
Safe Harbor
Kebijakan antara pemerintah Amerika Serikat dengan Otoritas Eropa untuk menjembatani transfer data antar kedua wilayah
A SIA P ASIFIK
Apec Privacy Framework
Mengacu pada Pedoman OECD (Organisation for Economic Co-opertion and Development) 1981
Prinsip
I. Preventing Harm (Mencegah kerugian akibat penyalahgunaan Data Pribadi) II. Notice (Pengendali Data Pribadi harus membuat catatan yang jelas mengenai
penggunaan data pribadi)
III. Collection Limitations (Pengumpulan informasi pribadi
harus dibatasi pada informasi yang relevan dengan tujuan pengumpulan dan informasi tersebut)
IV. Uses of Personal Information (penggunaan data pribadi harus sesuai
A SIA P ASIFIK
Kritik terhadap APEC Privacy Framework:
Apakah selaras dengan EU Directive?
I NDONESIA
Pengaturan Data Pribadi dalam beberapa Undang-Undang Belum ada Undang-undang yang komprehensif mengatur privasi dan data pribadi.
1. Definisi Data Pribadi tidak digunakan secara umum dalam peraturan perundang-undangan:
1. UU Perbankan
2. UU Administrasi Kependudukan 3. UU Kesehatan
4. UU ITE
I NDONESIA
UU PerbankanRahasia Bank adalah segala sesuatu yang berhubungan dengan keterangan mengenai nasabah penyimpan dan simpanannya
Bank Wajib merahasiakan keterangan mengenai Nasabah Penyimpan dan simpanannya, kecuali:
1. kepentingan perpajakan;
2. penyelesaian piutang Bank yang sudah diserahkan pada BUPLN/PUPN;
3. kepentingan peradilan dalam perkara pidana;
4. kepentingan peradilan dalam perkara perdata antara Bank dengan Nasabahnya;
5. tukar menukar informasi antar Bank;
I NDONESIA
UU Administrasi Kependudukan (UU 23/2006) Data Pribadi Penduduk yang harus dilindungi memuat:
a. nomor KK;
b. NIK;
c. tanggal/bulan/tahun lahir;
d. keterangan tentang kecacatan fisik dan/atau mental;
e. NIK ibu kandung;
f. NIK ayah;dan
g. beberapa isi catatan Peristiwa Penting.
I NDONESIA
UU Administrasi Kependudukan (UU 24/2013) Pasal 79
(1) Data Perseorangan dan dokumen kependudukan wajib disimpan dan dilindungi kerahasiaannya oleh Negara.
Pasal 84
(1) Data Pribadi Penduduk yang harus dilindungi memuat:
a. keterangan tentang cacat fisik dan/atau mental;
b. sidik jari;
c. iris mata;
d. tanda tangan; dan
e. elemen data lainnya yang merupakan aib seseorang.
I NDONESIA
UU Kesehatan (UU 36/2009) Pasal 57
(1) Setiap orang berhak atas rahasia kondisi kesehatan pribadinya yang telah dikemukakan kepada penyelenggara pelayanan kesehatan.
(2) Ketentuan mengenai hak atas rahasia kondisi kesehatan pribadi sebagaimana dimaksud pada ayat (1) tidak berlaku dalam hal:
a. perintah undang-undang;
b. perintah pengadilan;
I NDONESIA
Pasal 26:Kecuali diatur lain oleh peraturan perundang-undangan, penggunaan data pribadi harus dengan persetujuan Orang yang bersangkutan
Bila timbul kerugian akibat penyalahgunaan penggunaan data pribadi, pihak yang dirugikan dapat mengajukan gugatan berdasarkan UU ITE
I NDONESIA
Penjelasan Pasal 26 ayat (1):
Data Pribadi merupakan salah satu bagian dari hak pribadi.
Hak pribadi merupakan hak untuk menikmati kehidupan pribadi dan bebas dari segala macam gangguan;
Hak pribadi merupakan hak untuk dapat berkomunikasi dengan orang lain tanpa tindakan memata-matai;
Hak pribadi merupakan hak untuk [tidak diawasi] akses informasi tentang kehidupan pribadi dan data seseorag
I NDONESIA
RPM Perlindungan Data Pribadi
Data Perseorangan Tertentu adalah setiap keterangan yang benar dan nyata yang melekat dan dapat diidentifikasi, baik langsung maupun tidak langsung, pada masing-masing individu yang pemanfaatannya sesuai ketentuan peraturan perundang-undangan
R EFERENSI
Unitar, Introduction to Privacy and Data Protection Module 1, 2, 3, dan 4
Sitompul, Josua. 2012, Cyberspace, Cybercrimes, Cyberlaw : Tinjauan Aspek Hukum Pidana, Jakarta : Tatanusa.