Oleh: Nathalia Kusumasetyarini, S.Pd., M.H.
Halo Sobat YukLegal!
Dugaan kebocoran data SIM Card dan data penduduk menambah daftar kasus pencurian data pribadi di Indonesia. Bagaimana pelindungan data pribadi menurut Undang-Undang Pelindungan Data Pribadi?
Apa yang dimaksud dengan Data Pribadi?
Data Pribadi, berdasarkan Pasal 1 angka 1 Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (“UU PDP”) menegaskan bahwa:
“Data Pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik.”
Data Pribadi, menurut Pasal 4 ayat (1) dan (2) UU PDP, terdiri atas:
1. Data Pribadi yang bersifat spesifik, meliputi:
- data dan informasi kesehatan;
- data biometrik;
- data genetika;
- catatan kejahatan;
- data anak;
- data keterangan pribadi; dan/ atau
- data lainnya sesuai dengan ketentuan peraturan perundang-undangan.
2. Data Pribadi yang bersifat umum, meliputi:
- nama lengkap;
- jenis kelamin;
- agama;
- status perkawinan; dan/ atau
- data pribadi yang dikombinasikan mengidentifikasi seseorang.
Mengapa Data Pribadi harus dilindungi?
Pelindungan Data Pribadi, menurut Pasal 1 angka 2 UU PDP, adalah keseluruhan upaya untuk melindungi Data Pribadi dalam rangkaian pemrosesan Data Pribadi guna menjamin hak konstitusional subjek Data Pribadi.
Pasal tersebut manifestasi dari Pasal 28G ayat (1) Undang-Undang Dasar 1945 (‘UUD 1945”), yaitu:
“Setiap orang berhak atas pelindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan pelindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.”
Pengendali Data Pribadi dan Prosesor Data Pribadi
Pengendali Data Pribadi, menurut Pasal 1 angka 4 UU PDP, adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi.
Berdasarkan Pasal 24 UU PDP, dalam melakukan pemrosesan data pribadi wajib menunjukkan bukti persetujuan yang telah diberikan subjek data pribadi saat melakukan pemrosesan data pribadi, wajib menjaga kerahasiaan data pribadi, dan wajib mencegah data pribadi diakses secara tidak sah.
Dalam melakukan pemrosesan data pribadi, menurut Pasal 36 UU PDP, pengendali data pribadi wajib menjaga kerahasiaan data pribadi. Sedangkan,berdasarkan Pasal 39 ayat (1) dan (2) UU PDP menyatakan bahwa pengendali data pribadi wajib mencegah data pribadi diakses secara tidak sah.
Pencegahan dilakukan dengan sistem keamanan terhadap data pribadi yang diproses dan/ atau memproses data pribadi sistem elektronik secara andal, aman, dan bertanggung jawab.
Baca Juga: Aturan label pangan pada kemasan minuman.
Prosesor Data Pribadi, menurut Pasal 1 angka 5 UU PDP, adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan data pribadi atas nama pengendali data pribadi.
Dalam hal pengendali data pribadi menunjuk prosesor data pribadi, berdasarkan Pasal 51 ayat (1) dan (5) UU PDP menyatakan bahwa prosesor data pribadi wajib melakukan pemrosesan data pribadi berdasarkan perintah pengendali data pribadi. Prosesor data pribadi wajib mendapatkan persetuiuan tertulis dari pengendali data pribadi sebelum melibatkan prosesor data pribadi lain.
Keamanan Data Pribadi
Berdasarkan Pasal 35 UU PDP menyatakan bahwa pengendali data pribadi wajib melindungi dan memastikan keamanan data pribadi yang diprosesnya, dengan melakukan:
a. penyusunan dan penerapan langkah teknis operasional untuk melindungi data pribadi dari gangguan pemrosesan data pribadi; dan
b. penentuan tingkat keamanan data pribadi dengan memperhatikan sifat dan risiko dari data pribadi yang harus dilindungi dalam pemrosesan data pribadi.
Dalam hal terjadi kegagalan pelindungan data pribadi, menurut Pasal 46 ayat (1) dan (2) UU PDP, pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3 x 24 jam kepada subjek data pribadi dan lembaga, dengan minimal memuat:
a. data pribadi yang terungkap;
b. kapan dan bagaimana data pribadi terungkap; dan
c. upaya penanganan dan pemulihan atas terungkapnya data pribadi oleh pengendali data pribadi.
Bahkan dalam hal tertentu, menurut Pasal 46 ayat (3) UU PDP beserta penjelasannya, misalnya jika kegagalan itu mengganggu pelayanan publik dan/atau berdampak serius terhadap kepentingan masyarakat, pengendali data pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan pelindungan data pribadi.
Namun patut dicatat, menurut Pasal 50 ayat (1) UU PDP, kewajiban menyampaikan pemberitahuan secara tertulis kepada subjek data pribadi saat terjadi kegagalan pelindungan data pribadi dikecualikan untuk:
a. kepentingan pertahanan dan keamanan nasional;
b. kepentingan proses penegakan hukum;
c. kepentingan umum dalam rangka penyelenggaraan negara; atau
d. kepentingan pengawasan sektor jasa keuangan, moneter, sistem pembayaran, dan stabilitas sistem keuangan yang dilakukan dalam rangka penyelenggaraan negara.
Akan tetapi, menurut Pasal 50 ayat (2) UU PDP, pengecualian ini hanya dalam rangka pelaksanaan ketentuan undang-undang.
Di sisi lain, dalam Pasal 47 UU PDP secara tegas menyebutkan bahwa Pengendali Data Pribadi wajib bertanggung jawab atas pemrosesan Data Pribadi dan menunjukkan pertanggungjawaban dalam pemenuhan kewajiban pelaksanaan prinsip Pelindungan Data Pribadi.
Baca Juga: Sanksi untuk mantan karyawan membocorkan rahasia dagang perusahaan.
Pelanggaran terhadap ketentuan Pasal 46 ayat (1) dan (3) serta Pasal 47 UU PDP sebagaimana disebut di atas dikenai sanksi administratif berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, dan/ atau denda administratif.
Penjatuhan sanksi administratif, menurut Pasal 57 ayat (3) UU PDP, diberikan oleh lembaga dan untuk denda paling tinggi 2% dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.
Demikian pembahasan mengenai “Pelindungan Data Pribadi Menurut Undang-Undang Pelindungan Data Pribadi”. Untuk berlangganan dan info lebih lanjut, hubungi YukLegal. Tim kami akan segera membantumu. Nantikan artikel menarik selanjutnya!
Sumber:
Undang-Undang Dasar Tahun 1945.
Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi.
Nurhadi, 2022, Inilah 7 Kasus Dugaan Kebocoran Data Pribadi Sepanjang 2022, Diakses melalui laman https://nasional.tempo.co/read/1632043/inilah-7-kasus-dugaan-kebocoran-data-pribadi-sepanjang-2022 pada tanggal 19 Oktober 2022 pukul 20.00 WIB.
Sumber Gambar:
Pexels.com
Editor: Siti Faridah, S.H.