Kemudian HR juga perlu memahami apa itu kegiatan pemrosesan data pribadi yang meliputi pemerolehan dan pengumpulan, pengolahan dan analisa, penyimpanan, perbaikan dan pembaharuan, penghapusan atau pemusnahan, kemudian penampilan, pengumuman, transfer, penyebarluasan, atau pengungkapan.
Bagaimana jika PDP gagal dilaksanakan? Kautsar menjelaskan bahwa nomenklatur “kegagalan PDP” mengacu pada kegagalan untuk melindungi Data Pribadi dalam tiga aspek terpenting Keamanan Informasi (Information Security) yang secara umum dikenal sebagai CIA triad yakni kerahasiaan, ketersediaan dan integritas. Beberapa contohnya antara lain, secara tidak sengaja mengirimkan Data Pribadi seseorang melaui email kepada pihak yang tidak semestinya menerima Data Pribadi tersebut (kegagalan kerahasiaan), serangan siber ransomware yang mengakibatkan semua Data Pribadi yang tersimpan terenkripsi (kegagalan integritas), dan kegagalan server tanpa solusi yang ada dalam waktu tertentu yang menyebabkan Data Pribadi tidak dapat diakses (kegagalan ketersediaan).
Jika kegagalan PDP terjadi, maka wajib disampaikan melalui pemberitahuan tertulis kepada Lembaga dan Subjek terkait dalam 3 x 24 jam dengan informasi yang setidaknya meliputi hal-hal berikut, yakni data-data yang terungkap, kapan dan bagaimana data pribadi terungkap, dampak dari kegagalan PDP (RPP PDP), narabung (RPP PDP), dan upaya penanganan dan pemulihan atas terungkapnya Data Pribadi.
Adapun tindak lanjut kegagalan PDP dapat dilakukan dengan dua pendekatan yakni incident management (IM) yakni mengambil pendekatan yang lebih luas, tindakan ini bertujuan untuk menangani komunikasi, penanganan media, eskalasi, dan pelaporan masalah dengan menggabungkan seluruh tanggapan secara koheren dan holistik, dan incident response (IR) yakni mengambil pendekatan yang lebih sempit, di mana langkah ini menangani aspek teknis (teknologi-informasi dan/atau keamanan siber) dalam menanggapi insiden siber.
Para peserta Exclusive Networking Event IPSM X Hukumonline bertema “Peran Pimpinan HR dalam Mematuhi UU Perlindungan Data Pribadi: Mitigasi Risiko dan Sanksi” di Batam, Kamis (16/11). Foto: HOL
Sejalan dengan kegagalan PDP, maka ada sanksi yang sudah diatur dalam UU PDP. Pertama, sanksi administrasi. Pelanggaran terhadap kewajiban-kewajiban pemrosesan oleh Pengendali dan/atau Prosesor dapat dikenai sanksi administratif oleh lembaga PDP. Adapun sanksi administratif dapat berbentuk peringatan tertulis, penghentian sementara kegiatan pemrosesan, penghapusan atau pemusnahan Data Pribadi, dan denda administratif. Saat ini, besaran denda masih digodok dalam RPP PDP, di mana denda administratif dapat dikenakan paling tinggi 2% dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran beberapa di antaranya dampak negatif yang ditimbulkan akibat pelanggaran, jumlah orang yang terdampak, skala usaha pengendali atau prosesor, jenis data pribadi yang terdampak, dan durasi waktu terjadinya pelanggaran.
Kemudian UU PDP juga mengatur sanksi pidana, jika perolehan dan pengumpulan Data Pribadi secara melawan hukum untuk tujuan komersil dikenakan pidana penjara maksimal lima tahun dan/atau pidana denda maksimal Rp5 millar; pengungkapan Data Pribadi secara melawan hukum dikenakan sanksi pidana penjara maksimal empat tahun dan/atau pidana denda maksimal Rp4 millar; penggunaan Data Pribadi secara melawan hukum dikenakan sanksi pidana penjara maksimal lima tahun dan/atau pidana denda maksimal Rp5 millar, dan pemalsuan Data Pribadi untuk tujuan komersil yang dikenakan sanksi pidana penjara maksimal enam tahun dan/atau pidana denda maksimal Rp6 millar.