Undang-Undang No.27 Tahun 2022 tentang Perlindungan Data Pribadi (PDP) telah disahkan pemerintah bersama DPR pada September 2022. UU ini diharapkan memperkuat perlindungan data pribadi masyarakat yang tersebar dalam berbagai layanan. Selain itu, UU PDP juga memperkuat keamanan bertransaksi secara digital yang aman dan terpercaya.
Sebagai aturan pelaksananya, Kementerian Komunikasi dan Informatika (Kominfo) akan menerbitkan aturan pelaskana UU PDP. Menteri Komunikasi dan Informatika, Johnny G Plate, saat ini pihaknya juga tengah menyiapkan aturan pelaksana UU PDP terkait dengan kelembagaan perlindungan data pribadi dalam bentuk peraturan presiden (Perpres) serta ketentuan pelaksana UU PDP berupa peraturan pemerintah (PP).
“Upaya sosialisasi dan komunikasi juga terus dilakukan hingga pascaberakhirnya masa peralihan dua tahun, sehingga UU PDP tetap dapat dilaksanakan secara komprehensif,” ungkap Menkominfo pada Senin (12/12) lalu.
Baca Juga:
- Diskusi Hukumonline 2022: Babak Baru dan Implementasi UU PDP
- Bedah UU PDP: Akademisi Ingatkan Pentingnya Negara Lindungi Data Pribadi
Dia juga meminta kepada seluruh pihak yang memproses data pribadi mematuhi ketentuan UU PDP. “Tolong diperhatikan, Undang-Undang ini berlaku bagi seluruh pihak yang memproses data pribadi masyarakat termasuk lembaga perbankan. Sekali lagi, Undang-Undang Pelindungan data Pribadi berlaku bagi seluruh pihak yang memproses data pribadi masyarakat termasuk lembaga perbankan, lembaga keuangan non-bank, dan fintech,” tegas Menkominfo.
10 Aturan Turunan UU PDP
Setelah pembahasan dan pengesahan Rancangan Undang-Undang (RUU) tentang Pelindungan Data Pribadi (PDP) menjadi Undang-Undang Pelindungan Data Pribadi beberapa waktu lalu, terdapat pekerjaan rumah pemerintah. Pekerjaan rumah yang dimaksud menerbitkan sejumlah peraturan turunan agar implementasi UU PDP ini berlaku efektif.
Dalam artikel Hukum Online berjudul “UU PDP Amanatkan Pemerintah Terbitkan 10 Aturan Turunan” memaparkan berdasarkan penelusuran dalam UU PDP ini, setidaknya terdapat 10 aturan turunan yang menjadi pekerjaan rumah pemerintah. Aturan turunan tersebut berupa 9 peraturan pemerintah (PP) dan satu peraturan presiden (Perpres). Lantas aturan seperti apa saja yang membutuhkan peraturan turunan sebagaimana amanat UU PDP?
Pertama, pengaturan mengenai pelanggaran pemprosesan data pribadi dan tata cara pengenaan ganti kerugian diatur lebih lanjut melalui PP. Pengaturan tersebut tertuang dalam Pasal 12 ayat (1) UU PDP yang menyebutkan, “Subjek Data Pribadi berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan”.
Kedua, ketentuan mengenai hak subjek data pribadi dalam menggunakan dan mengirimkan data pribadi dengan mengacu Pasal 13 ayat (2) UU PDP bakal diatur lebih lanjut melalui PP. Nah, Pasal 13 ayat (2) UU PDP menyebutkan, “Subjek Data Pribadi berhak menggunakan dan mengirimkan Data Pribadi tentang dirinya ke Pengendali Data Pribadi lainnya, sepanjang sistem yang digunakan dapat saling berkomunikasi secara aman sesuai dengan prinsip Pelindungan Data Pribadi berdasarkan Undang-Undang ini”.
Ketiga, pengaturan lebih lanjut terkait dengan pelaksanaan pemrosesan data pribadi bakal diatur dalam PP dengan mengacu pada Pasal 16 ayat (1). Pasal 16 ayat (1) UU PDP menyebutkan, “Pemrosesan Data Pribadi meliputi: a. pemerolehan dan pengumpulan; b. pengolahan dan penganalisisan; c. penyimpanan; d. perbaikan dan pembaruan; e. penampilan, pengumuman, transfer, penyebarluasan, atau pengungkapan; dan/atau f. penghapusan atau pemusnahan”.
Keempat, terkait dengan ketentuan mengenai penilaian dampak pelindungan data pribadi bakal diatur melalui PP. Pengaturan pengendali data pribadi yang berkewajiban menilai dampak pelindungan data prinadi dalam hal pemrosesan data pribadi yang memiliki potensi risiko tinggi terhadap subjek data pribadi sebagaimana diatur dalam Pasal 34 ayat (1).
Potensi risiko tinggi seperti pengambilan keputusan secara otomatis yang memiliki akibat hukum atau dampak yang signifikan terhadap subjek data pribadi. Kemudian, pemrosesan atas data pribadi yang bersifat spesifik. Begitu pula pemrosesan data pribadi dalam skala besar, hingga pemrosesan data pribadi yang membatasi pelaksanaan hak subjek data pribadi.
Kelima, pengaturan lebih lanjut soal tata cara pemberitahuan melalui PP. Amanat aturan turunan soal pemberitahuan mengacu pada Pasal 48 ayat (1), (2) dan (4). Pasal 48 ayat (1) menyebutkan, “Pengendali Data Pribadi berbentuk badan hukum yang melakukan penggabungan, pemisahan, pengambilalihan, peleburan, atau pembubaran badan hukum wajib menyampaikan pemberitahuan pengalihan Data Pribadi kepada Subjek Data Pribadi”.
Sedangkan ayat (2) menyebutkan, “Pemberitahuan pengalihan Data Pribadi sebagaimana dimaksud pada ayat (1) dilakukan sebelum dan sesudah penggabungan, pemisahan, pengambilalihan, peleburan, atau pembubaran badan hukum”. Ayat (4)-nya menyebutkan, “Penyimpanan, pentransferan, penghapusan, atau pemusnahan Data Pribadi sebagaimana dimaksud pada ayat (3) diberitahukan kepada Subjek Data Pribadi”.
Keenam, pengaturan tentang pejabat atau petugas yang melaksanakan fungsi pelindungan data pribadi bakal diatur lebih gamblang melalui PP. Nah, aturan turunan dalam bentuk PP tersebut nantinya menjabarkan pengaturan dalam Pasal 54 terkait dengan pejabat yang melaksanakan fungsi pelindungan data pribadi yang memiliki sejumlah tugas. Seperti menginformasikan dan memberikan saran kepada pengendali data pribadi atau prosesor data pribadi agar mematuhi ketentuan dalam UU PDP.
Kemudian memantau dan memastikan kepatuhan terhadap UU PDP dan kebijakan pengendali data pribadi atau prosesor data pribadi. Termasuk memberikan saran mengenai penilaian dampak PDP dan memantau kinerja pengendali data pribadi dan prosesor data pribadi. Serta berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesan Data Pribadi. Pejabat yang melaksanakan fungsi PDP mesti memperhatikan risiko terkait pemrosesan data pribadi dengan mempertimbangkan sifat, ruang lingkup, konteks, dan tujuan pemrosesan.
Ketujuh, ketentuan mengenai transfer data pribadi mengacu Pasal 56 UU PDP bakal diatur lebih gamblang dalam PP. Pengaturan transfer data pribadi ke pengendali data pribadi dan/atau prosesor data pribadi di luar wilayah hukum negara kesatuan Indonesia sesuai dengan yang diatur dalam UU PDP. Sementara dalam melakukan transfer data pribadi, pengendali data pribadi wajib memastikan negara tempat kedudukan pengendali data pribadi dan/atau prosesor data pribadi yang menerima transfer data pribadi memiliki tingkat PDP yang setara atau lebih tinggi dari yang diatur dalam Undang-Undang PDP.
Kedelapan, pengaturan tentang tata cara pengenaan sanksi administratif lebih gamblang melalui PP dengan mengacu pada Pasal 57 ayat (3). Pasal 57 ayat (3) UU PDP menyebutkan, “Sanksi administratif berupa denda administratif sebagaimana dimaksud pada ayat (2) huruf d paling tinggi 2 (dua) persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran”.
Kesembilan, pengaturan tentang lembaga penyelenggara pelindungan data pribadi bakal diatur melalui PP. Pemerintah berperan dalam mewujudkan penyelenggaraan pelindungan data pribadi sesuai dengan UU PDP dengan membentuk lembaga yang ditetapkan dan bertanggung jawab kepada presiden. Kesepuluh, ketentuan mengenai tata cara pelaksanaan wewenang lembaga yang menyelenggarakan pelindungan data pribadi pun bakal diatur lebih detil melalui PP.