Peretasan data pribadi senantiasa menjadi isu hangat yang membuat masyarakat tanah air merasa khawatir. Sebab peretasan tersebut rentan membuat data pribadi tersebar luas dan dimanfaatkan oknum yang tidak bertanggung jawab. Pengesahan Regulasi Undang Undang Perlindungan Data Pribadi (RUU PDP) tanggal 20 September 2022 menjadi momen penting untuk mengantisipasi insiden kebocoran data yang marak terjadi.
Sebenarnya, peraturan tentang perlindungan data pribadi sudah ada sejak lama, antara lain Peraturan Pemerintah (PP) No.71 dan Undang Undang Informasi dan Transaksi Elektronik (UU ITE). Namun, peraturan tersebut hanya berlaku pada sektor tertentu sehingga butuh aturan baru untuk melindungi data pribadi yang mencakup semua sektor.
Apa yang Dimaksud dengan Data Pribadi?
Undang Undang PDP (UU PDP) mengelompokkan data pribadi menjadi dua jenis, yaitu data umum dan data spesifik. Data umum mencakup nama, alamat, jenis kelamin, status perkawinan, dan sebagainya. Sementara itu, data spesifik berupa riwayat kesehatan pribadi, rekam jejak finansial, biometrik, dan lainnya.
Siapa Saja Pihak yang Diatur dalam UU PDP?
Ada 3 pihak yang diatur berdasarkan UU PDP terkait data pribadi, yaitu pemilik data (disebut juga subjek data pribadi), pengendali atau pengumpul data (meliputi setiap individu, institusi hukum, atau organisasi internasional), dan prosesor data (pihak yang memproses setelah data terkumpul). Pengendali dan prosesor data bisa berupa pihak yang sama, tetapi bisa juga berbeda. Pihak pengumpul data bisa berupa institusi di luar Indonesia, tetapi harus berada di negara yang telah punya regulasi khusus tentang perlindungan data. Undang Undang PDP tetap memungkinkan data ditransfer dari institusi A ke institusi B berdasarkan aturan tertentu. Misalnya, pihak prosesor harus tetap menjaga kerahasiaan data.
Apa Hak Pemilik Data?
Individu yang menjadi pihak pemilik data berhak memperoleh informasi tentang tujuan permintaan data, dasar kepentingan hukum, identitas, dan akuntabilitas pihak pengumpul data. Di samping itu, pemilik data juga berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi tentang dirinya sesuai ketentuan undang-undang, kecuali untuk tujuan tertentu seperti penegakan hukum serta pertahanan dan keamanan nasional.
Apa Kewajiban Pengumpul Data?
Beberapa kewajiban yang harus dipenuhi pihak pengumpul data pribadi adalah sebagai berikut:
- Memiliki dasar pemrosesan data pribadi yang jelas.
- Menunjukkan bukti persetujuan yang diberikan pemilik data.
- Melakukan pemrosesan data pribadi yang terbatas dan spesifik, sah secara hukum, dan bersifat transparan.
- Memastikan akurasi, kelengkapan, dan konsistensi data pribadi sesuai ketentuan undang-undang.
- Melindungi dan memastikan keamanan data pribadi yang diproses, termasuk menghindarkannya dari pemrosesan yang tidak sah.
Lembaga Manakah yang Mengawasi Perlindungan Data Pribadi?
UU PDP juga mengatur tentang lembaga yang mengawasi perlindungan data pribadi. Pasal 58 Undang Undang PDP menyatakan bahwa penyelenggaraan data pribadi ditetapkan presiden dan bertanggung jawab kepada presiden. Lembaga yang berperan mewujudkan penyelenggaraan perlindungan data pribadi akan merumuskan serta menetapkan kebijakan yang menjadi panduan bagi semua pihak. Di samping itu, lembaga tersebut juga bertugas mengawasi penegakan hukum administratif terhadap pelanggar UU PDP.
Bagaimana Bila Terjadi Kebocoran Data?
Jika data pribadi mengalami kebocoran, maka pihak pengumpul data wajib menyampaikan pemberitahuan tertulis paling lambat 3 x 24 jam kepada pemilik data pribadi. Pemberitahuan tersebut harus memuat beberapa info penting, yaitu jenis data pribadi yang bocor, waktu dan mekanisme kebocoran, serta upaya penanganan atau pemulihan atas kebocoran data. Pada kasus tertentu, pengumpul data juga diwajibkan memberi tahu masyarakat tentang kegagalan perlindungan data pribadi.
Bagaimana Mekanisme Larangan Penggunaan Data Pribadi?
Pasal 65 UU PDP menjelaskan bahwa setiap orang atau pihak dilarang melawan hukum dalam memperoleh data pribadi yang bukan miliknya demi menguntungkan diri sendiri. Selain itu, larangan tersebut juga berlaku bagi pengungkapan data pribadi yang bukan miliknya. Pelanggaran terhadap larangan tersebut bisa diganjar dengan pidana penjara maksimal 5 tahun atau denda maksimal 5 miliar rupiah. Sementara itu, pihak yang sengaja memalsukan data pribadi untuk meraup keuntungan bisa diganjar dengan pidana penjara maksimal 6 tahun atau denda maksimal 6 miliar rupiah.
Pengesahan UU PDP tentu menjadi angin segar yang memberikan proteksi terhadap data pribadi setiap individu di tanah air. Hal tersebut tentu harus diimbangi dengan kecermatan dalam memberikan data pribadi agar risiko penyalahgunaan dapat diminimalkan.