Subjek Data Pribadi berhak menunda atau membatasi pemrosesan Data Pribadi secara sesuai dengan tujuan pemrosesan Data Pribadi.
(1) Subjek Data Pribadi berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.
(2) Ketentuan lebih lanjut mengenai gugatan dan ganti rugi sebagaimana dimaksud pada ayat (1) diatur dalam Peraturan Pemerintah.
(1) Subjek Data Pribadi berhak mendapatkan dan/atau menggunakan Data Pribadi tentang dirinya dari Pengendali Data Pribadi dalam bentuk yang sesuai dengan struktur dan/ atau format yang lazim digunakan atau dapat dibaca oleh sistem elektronik.
(2) Subjek Data Pribadi berhak dan Data Pribadi tentang dirinya ke Pengendali Data Pribadi lainnya, sepanjang sistem yang digunakan dapat saling berkomunikasi secara aman sesuai dengan prinsip Pelindungan Data Pribadi berdasarkan Undang-Undang ini.
(3) Ketentuan lebih lanjut mengenai hak Subjek Data Pribadi untuk menggunakan dan Data Pribadi sebagaimana dimaksud pada ayat (2) diatur dalam Peraturan Pemerintah.
Pelaksanaan hak Subjek Data Pribadi sebagaimana dimaksud dalam Pasal 6 sampai dengan Pasal 11 diajukan melalui permohonan tercatat yang disampaikan secara elektronik atau non elektronik kepada Pengendali Data Pribadi.
(1) Hak-hak Subjek Data Pribadi sebagaimana dimaksud dalam Pasal 8, Pasal 9, Pasal 10 ayat (1), Pasal 11, dan Pasal 13 ayat (1) dan ayat (2) dikecualikan untuk:
a. kepentingan pertahanan dan keamanan nasional;
b. kepentingan proses penegakan hukum;
c. kepentingan umum dalam rangka penyelenggaraan negara;
d. kepentingan pengawasan sektor jasa keuangan, moneter, sistem pembayaran, dan stabilitas sistem keuangan yang dilakukan dalam rangka penyelenggaraan negara; atau
e. kepentingan statistik dan penelitian ilmiah.
(2) Pengecualian sebagaimana dimaksud pada ayat (1) dilaksanakan hanya dalam rangka pelaksanaan ketentuan Undang-Undang.
(1) Pemrosesan Data Pribadi meliputi:
a. pemerolehan dan pengumpulan;
b. pengolahan dan penganalisisan;
c. penyimpanan;
d. perbaikan dan pembaruan;
e. penampilan, pengumuman, transfer, penyebarluasan, atau pengungkapan; dan/ atau
f. penghapusan atau pemusnahan.
(2) Pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (1) dilakukan sesuai dengan prinsip Pelindungan Data Pribadi meliputi:
a. Data Pribadi dilakukan secara terbatas dan spesifik, sah secara hukum, dan transparan;
b. pemrosesan Data Pribadi dilakukan sesuai dengan tujuannya;
c. pemrosesan Data Pribadi dilakukan dengan menjamin hak Subjek Data Pribadi;
d. pemrosesan Data Pribadi dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan;
e. pemrosesan Data Pribadi dilakukan dengan melindungi keamanan Data Pribadi dari pengaksesan yang tidak sah, pengungkapan yang tidak sah, pengubahan yang tidak sah, penghilangan Data Pribadi;
f. pemrosesan Data Pribadi dilakukan dengan memberitahukan tujuan dan aktivitas pemrosesan, serta kegagalan Pelindungan Data Pribadi;
g. Data Pribadi dimusnahkan dan/atau dihapus setelah masa retensi berakhir atau berdasarkan permintaan Subjek Data Pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan; dan
h. pemrosesan Data Pribadi dilakukan secara bertanggung jawab dan dapat dibuktikan secara jelas.
(3) Ketentuan lebih lanjut mengenai pelaksanaan pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (1) diatur dalam Peraturan Pemerintah.
(1) Pemasangan alat pemroses atau pengolah data visual di tempat umum dan/ atau pada fasilitas pelayanan publik dilakukan dengan ketentuan:
a. untuk tujuan keamanan, pencegahan bencana, dan/atau pengumpulan, analisis, dan pengaturan informasi lalu lintas;
b. harus informasi pada area yang telah dipasang alat pemroses atau pengolah data visual; dan
c. tidak digunakan untuk seseorang.
(2) Ketentuan sebagaimana dimaksud pada ayat (1) huruf b dan huruf c dikecualikan untuk pencegahan tindak pidana dan proses penegakan hukum sesuai dengan ketentuan peraturan perundang-undangan.
(1) Pemrosesan Data Pribadi dapat dilakukan oleh 2 (dua) atau lebih Pengendali Data Pribadi.
(2) Dalam hal Pemrosesan Data Pribadi dilakukan oleh 2 (dua) atau lebih Pengendali Data Pribadi harus memenuhi syarat minimal:
a. terdapat perjanjian antara para Pengendali Data Pribadi yang memuat peran, tanggung jawab, dan hubungan antar-Pengendali Data Pribadi;
b. terdapat tujuan yang saling berkaitan dan cara pemrosesan Data Pribadi yang ditentukan bersama; dan
c. terdapat narahubung yang ditunjuk bersama-sama.
Pengendali Data Pribadi dan Prosesor Data Pribadi meliputi:
a. Setiap Orang;
b. Badan Publik; dan
c. Organisasi Internasional.
(1) Pengendali Data Pribadi wajib memiliki dasar pemrosesan Data Pribadi.
(2) Dasar pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (1) meliputi:
a. persetujuan yang sah secara eksplisit dari Subjek Data Pribadi untuk 1 (satu) atau beberapa tujuan tertentu yang telah disampaikan oleh Pengendali Data Pribadi kepada Subjek Data Pribadi;
b. pemenuhan kewajiban perjanjian dalam hal Subjek Data Pribadi merupakan salah satu pihak atau untuk memenuhi permintaan Subjek Data Pribadi pada saat akan melakukan perjanjian;
c. pemenuhan kewajiban hukum dari Pengendali Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan;
d. pemenuhan pelindungan kepentingan vital Subjek Data Pribadi;
e. pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan Pengendali Data Pribadi berdasarkan peraturan perundang-undangan; dan/atau
f. pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan Pengendali Data Pribadi dan hak Subjek Data Pribadi.
