Dokumen tersebut membahas perlindungan data pribadi di era disrupsi 4.0 dan menawarkan beberapa usulan. Definisi data pribadi dibahas beserta para pihak terkait seperti pengendali, prosesor, dan pemilik data. Diketahui bahwa praktik pengumpulan foto KTP dan selfie KTP di Indonesia berisiko melanggar prinsip perlindungan data. Usulan jangka pendek mendorong verifikasi melalui Dukcapil dan jangka panjang membang
ANALISIS TRENDING TOPIC HARIAN INDONESIA DAN CAPRES 02
PDP-DISRUPSI
1. PERLINDUNGAN DATA PRIBADI
DI ERA DISRUPSI 4.0:
PROBLEM DAN USULAN
Ismail Fahmi, Ph.D.
Director Media Kernels Indonesia (Drone Emprit)
Lecturer at the University of Islam Indonesia
Ismail.fahmi@gmail.com
#MakinCakapDigital
24 Agustus 2021
2. 2
1992 – 1997 S1, Teknik Elektro, ITB
2003 – 2004 S2, Information Science, Universitas Groningen, Belanda
2004 – 2009 S3, Information Science, Universitas Groningen, Belanda
2000 – 2003 Inisiator IndonesiaDLN (Digital Library Network pertama di Indonesia)
Mengembangkan Ganesha Digital Library (GDL)
Mendirikan Knowledge Management Research Group (KMRG) ITB
Membangun Digital Library ITB
2009 – Sekarang Engineer di Weborama, Perusahaan berbasis big data (Paris/Amsterdam)
2014 – Sekarang Founder PT. Media Kernels Indonesia, a Drone Emprit Company
2015 – Sekarang Konsultan Perpustakaan Nasional, Inisiator Indonesia OneSearch
2017 – Sekarang Dosen Tetap Magister Teknik Informatika Universitas Islam Indonesia
Ismail Fahmi, Ph.D.
Ismail.fahmi@gmail.com
Lahir: Bojonegoro, 1974
Founder Media Kernels Indonesia
3. AGENDA
• Definisi Data Pribadi
• Kondisi perlindungan data pribadi di Indonesia
• Kebocoran data di Indonesia
• Praktek perlindungan data pribadi di berbagai negara
• Usulan upaya perlindungan data pribadi di Indonesia
3
5. PASAL 3 RUU PDP
1. Data Pribadi terdiri atas:
a. Data Pribadi yang bersifat umum; dan
b. Data Pribadi yang bersifat spesifik.
2. Data Pribadi yang bersifat umum
sebagaimana dimaksud pada ayat (1) huruf a
meliputi:
a. nama lengkap;
b. jenis kelamin;
c. kewarganegaraan;
d. agama; dan/atau
e. Data Pribadi yang dikombinasikan
untuk mengidentifikasi seseorang.
3. Data Pribadi yang bersifat spesifik
sebagaimana dimaksud pada ayat (1) huruf b
meliputi:
a. data dan informasi kesehatan;
b. data biometrik;
c. data genetika;
d. kehidupan/orientasi seksual;
e. pandangan politik;
f. catatan kejahatan;
g. data anak;
h. data keuangan pribadi; dan/atau
i. data lainnya sesuai dengan ketentuan
peraturan perundang-undangan.
5
6. PARA PIHAK TERKAIT DATA PRIBADI
(PASAL 1 RUU PDP)
• Pengendali Data Pribadi:
• adalah pihak yang menentukan
tujuan dan melakukan kendali
pemrosesan Data Pribadi.
• Prosesor Data Pribadi:
• adalah pihak yang melakukan
pemrosesan Data Pribadi atas
nama Pengendali Data Pribadi.
• Pemilik Data Pribadi:
• adalah orang perseorangan selaku
subyek data yang memiliki Data
Pribadi yang melekat pada dirinya.
6
Pemilik
Data Pribadi
Pengendali
Data Pribadi
Prosesor
Data Pribadi
7. DOKUMEN PRIBADI: KTP & KK
• Dokumen pribadi yang paling
sering dijadikan syarat untuk
dikumpulkan oleh prosesor:
• EKTP
• Kartu Keluarga
• Keduanya mengandung data
pribadi yang bersifat:
• Umum (nama, jenis
kelamin,
kewarganegaraan,
agama).
• Spesifik (lainnya).
7
18. PASSWORD AMAN, TETAPI DATA LAINNYA
TIDAK AMAN
18
• Email
• Nama lengkap
• Gender
• Tanggal Lahir
• Alamat
• No HP
• Pekerjaan
• Perusahaan
• Sekolah
• Hobi
21. KEMUNGKINAN PEMANFAATAN
DATA PRIBADI
• Seller fiktif
• Phishing dan scamming via email dan web palsu
• Penipuan via telephone
• Telemarketing dan online marketing
• Membajak akun media sosial
• Pinjaman online
21
28. KESIMPULAN KEADAAN PDP DI INDONESIA
• Pengumpulan fotokopi KTP, dan sekarang selfie dengan KTP, yang
berisi data pribadi umum dan spesifik sepertinya sudah menjadi
budaya, diterima oleh masyarakat, dan mayoritas tidak keberatan.
• Praktek ini sangat berbahaya bagi perlindungan data pribadi,
karena:
• dokumen pribadi tercecer dimana-mana,
• tidak jelas siapa yang tanggung jawab,
• jika server dihack, semua dokumen pribadi bisa dicopy,
• dan kebocoran sudah terjadi, data dijual di media sosial secara
terbuka.
28
29. LANJUTAN…
• Ketika terjadi kebocoran data, tidak ada tuntutan kepada prosesor
(perusahaan) untuk:
• Mengingatkan kepada semua klien tentang:
• Kemungkinan pemanfaatan data yang bocor seperti scam,
phishing, seller palsu, dll.
• Tidak hanya bilang bahwa password/login aman
• Langkah-langkah yang harus dilakukan user untuk waspada
kemungkinan kejahatan lain yang memafaatkan data bocor.
• Membuka crisis center bagi pengguna yang mengalami insiden
kemungkinan karena data bocor.
• Negara perlu hadir dalam melindungi data pribadi warga.
29
46. PRAKTEK IDEAL PENGGUNAAN DATA PRIBADI
• Negara-negara maju yang sudah menerapkan GDPR, memegang tujuh
prinsip berikut:
• Transparan dengan data,
• Terbatas pada data yang dibutuhkan,
• Membatasi menyimpan data,
• Data harus akurat,
• Membatasi penyimpanan data pribadi,
• Integritas dan kerahasiaan data dijaga,
• Akuntabel.
• Untuk menghindari data tercecer di banyak prosesor data (pengumpul,
penyimpan, pengolah data), mereka membuat layanan SSO (single sign
on), sehingga verifikasi kependudukan dilakukan terpusat.
• Tidak ada praktek pengumpulan foto/selfie KTP baik di institusi
pemerintahan maupun swasta karena itu melanggar prinsip GDPR.
46
48. RUU PDP: MASIH ADA PERMASALAHAN,
SEGERA DISEMPURNAKAN & DISAHKAN
48
49. JANGKA PENDEK
1. Perkuat kapasitas, kemampuan, keamanan, dan kecepatan sistem
Dukcapil sehingga mampu melayani verifikasi data dari semakin banyak
mitra (K/L, institusi bisnis, dll).
2. Dorong penggunaan API Dukcapil untuk aplikasi di pemerintah, instansi,
dan perusahaan baik di pusat maupun daerah yang membutuhkan
verifikasi data kependudukan.
3. Sosialisasikan pentingnya perlindungan data pribadi, bahaya kebocoran
data, dan stop penggunaan fotokopi KTP dan KK sebagai syarat
berbagai keperluan warga (vaksinasi, mengurus BPJS di rumah sakit, dll).
4. Wajibkan penyediaan Call Center (seperti sudah dilakukan oleh penyedia
Credit Card) untuk layanan pelanggan, bukan melalui halaman
upload/email/WA yang mewajibkan warga mengirim foto/selfie KTP.
49
50. JANGKA PANJANG
1. Bangun sistem SSO (single sign on) yang berbasis data Dukcapil, untuk
keperluan verifikasi warga dalam berbagai aplikasi pemerintah, instansi,
dan perusahaan baik di pusat maupun daerah yang diakses melalui
internet.
2. Institusi yang paling tepat membuat layanan SSO ini adalah Kementerian
Dalam Negeri yang mengelola database Dukcapil.
3. Untuk warga yang tidak bisa akses internet, mereka bisa verifikasi melalui
call center, atau dengan langsung dengan datang ke petugas layanan
(misal kelurahan, bank, dll) tanpa perlu membawa fotokopi dokumen
identitas, karena sistem sudah terintegrasi dengan sistem Dukcapil.
50