Pada September tahun 2022 lalu, pemerintah bersama DPR secara resmi mengesahkan UU Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Dalam UU PDP tersebut disebutkan bahwa data pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik.
UU PDP membagi data spesifik dan data umum. Di mana data spesifik adalah data yang dapat berdampak signifikan terhadap Subjek Data Pribadi (Subjek) terkait dalam pemrosesannya, yang dapat menimbulkan diskriminasi dan kerugian besar seperti data keuangan pribadi, data dan informasi kesehatan, data biometrik, data genetika, catatan kejahatan dan data anak. Sementara itu data umum adalah data yang kemungkinan besar tidak memiliki dampak yang signifikan terhadap subjek, namun tetap dapat digunakan untuk mengidentifikasi subjek yang bersangkutan. Seperti nama lengkap, jenis kelamin, kewarganegaraan, status perkawinan, kombinasi data dan agama. Kedua jenis data ini dilindungi oleh UU PDP.
Salah satu bidang pekerjaan yang berhubungan erat dengan data pribadi adalah Human Resources (HR). Setiap perusahaan dipastikan akan memiliki HR yang berwenang untuk merekrut dan mengelola karyawan. Dengan kewenangan ini, tentunya HR akan mengumpulkan data pribadi karyawan untuk kepentingan perusahaan.
Baca juga:
- Ahli Pidana University of Hongkong: Tindak Pidana Kerap Terjadi di Ruang Digital
- Ketika Advokat Ingatkan Perusahaan untuk Patuhi Kewajiban-Kewajiban di UU PDP
- Mengenal ROPA, Catatan Aktivitas Pengolahan Data Pribadi
Untuk itu, HR harus memahami aturan yang tercantum di dalam UU PDP. Salah satunya adalah menunjuk Data Protection Officer (DPO) atau Petugas Pelindungan Data Pribadi (PPDP). DPO/PPDP adalah pihak yang melaksanakan fungsi Pelindungan Data Pribadi. Dalam kegiatan Pemrosesan, Pengendali dan Prosesor wajib menunjuk DPO/PPDP dalam keadaan berikut: pemrosesan dilakukan untuk kepentingan pelayanan publik; kegiatan inti Pengendali memiliki sifat, ruang lingkup, dan/ atau tujuan yang memerlukan pemantauan secara teratur dan sistematis atas Data Pribadi dengan skala besar; dan kegiatan inti Pengendali terdiri dari pemrosesan Data Pribadi dalam skala besar untuk Data Pribadi yang bersifat spesifik dan/ atau Data Pribadi yang berkaitan dengan tindak pidana.
Adapun tugas DPO/PPDP adalah menginformasikan dan memberikan saran kepada Pengendali atau Prosesor agar mematuhi ketentuan UU PDP, memantau dan memastikan kepatuhan terhadap UU PDP dan kebijakan Pengendali atau Prosesor, memberikan saran mengenai penilaian dampak PDP dan memantau kinerja Pengendali atau Prosesor, dan berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesan Data Pribadi.
“Perusahaan perlu menunjuk DPO/PPDP. Kalau memang tidak wajib, harus membuat sesuatu lembaga permanen yang bertanggung jawab melakukan tugas PDP/PPDP,” kata Legal Editor Hukumonline Fajrin Kautsar Singadipura dalam Exclusive Networking Event IPSM X Hukumonline bertema “Peran Pimpinan HR dalam Mematuhi UU Perlindungan Data Pribadi: Mitigasi Risiko dan Sanksi” di Batam, Kamis (16/11).
Kemudian HR juga perlu memahami apa itu kegiatan pemrosesan data pribadi yang meliputi pemerolehan dan pengumpulan, pengolahan dan analisa, penyimpanan, perbaikan dan pembaharuan, penghapusan atau pemusnahan, kemudian penampilan, pengumuman, transfer, penyebarluasan, atau pengungkapan.
Bagaimana jika PDP gagal dilaksanakan? Kautsar menjelaskan bahwa nomenklatur “kegagalan PDP” mengacu pada kegagalan untuk melindungi Data Pribadi dalam tiga aspek terpenting Keamanan Informasi (Information Security) yang secara umum dikenal sebagai CIA triad yakni kerahasiaan, ketersediaan dan integritas. Beberapa contohnya antara lain, secara tidak sengaja mengirimkan Data Pribadi seseorang melaui email kepada pihak yang tidak semestinya menerima Data Pribadi tersebut (kegagalan kerahasiaan), serangan siber ransomware yang mengakibatkan semua Data Pribadi yang tersimpan terenkripsi (kegagalan integritas), dan kegagalan server tanpa solusi yang ada dalam waktu tertentu yang menyebabkan Data Pribadi tidak dapat diakses (kegagalan ketersediaan).
Jika kegagalan PDP terjadi, maka wajib disampaikan melalui pemberitahuan tertulis kepada Lembaga dan Subjek terkait dalam 3 x 24 jam dengan informasi yang setidaknya meliputi hal-hal berikut, yakni data-data yang terungkap, kapan dan bagaimana data pribadi terungkap, dampak dari kegagalan PDP (RPP PDP), narabung (RPP PDP), dan upaya penanganan dan pemulihan atas terungkapnya Data Pribadi.
Adapun tindak lanjut kegagalan PDP dapat dilakukan dengan dua pendekatan yakni incident management (IM) yakni mengambil pendekatan yang lebih luas, tindakan ini bertujuan untuk menangani komunikasi, penanganan media, eskalasi, dan pelaporan masalah dengan menggabungkan seluruh tanggapan secara koheren dan holistik, dan incident response (IR) yakni mengambil pendekatan yang lebih sempit, di mana langkah ini menangani aspek teknis (teknologi-informasi dan/atau keamanan siber) dalam menanggapi insiden siber.
Para peserta Exclusive Networking Event IPSM X Hukumonline bertema “Peran Pimpinan HR dalam Mematuhi UU Perlindungan Data Pribadi: Mitigasi Risiko dan Sanksi” di Batam, Kamis (16/11). Foto: HOL
Sejalan dengan kegagalan PDP, maka ada sanksi yang sudah diatur dalam UU PDP. Pertama, sanksi administrasi. Pelanggaran terhadap kewajiban-kewajiban pemrosesan oleh Pengendali dan/atau Prosesor dapat dikenai sanksi administratif oleh lembaga PDP. Adapun sanksi administratif dapat berbentuk peringatan tertulis, penghentian sementara kegiatan pemrosesan, penghapusan atau pemusnahan Data Pribadi, dan denda administratif. Saat ini, besaran denda masih digodok dalam RPP PDP, di mana denda administratif dapat dikenakan paling tinggi 2% dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran beberapa di antaranya dampak negatif yang ditimbulkan akibat pelanggaran, jumlah orang yang terdampak, skala usaha pengendali atau prosesor, jenis data pribadi yang terdampak, dan durasi waktu terjadinya pelanggaran.
Kemudian UU PDP juga mengatur sanksi pidana, jika perolehan dan pengumpulan Data Pribadi secara melawan hukum untuk tujuan komersil dikenakan pidana penjara maksimal lima tahun dan/atau pidana denda maksimal Rp5 millar; pengungkapan Data Pribadi secara melawan hukum dikenakan sanksi pidana penjara maksimal empat tahun dan/atau pidana denda maksimal Rp4 millar; penggunaan Data Pribadi secara melawan hukum dikenakan sanksi pidana penjara maksimal lima tahun dan/atau pidana denda maksimal Rp5 millar, dan pemalsuan Data Pribadi untuk tujuan komersil yang dikenakan sanksi pidana penjara maksimal enam tahun dan/atau pidana denda maksimal Rp6 millar.
Di samping itu, Kautsar juga menegaskan bahwa selain dapat dikenakan denda kepada stakeholders korporasi (seperti pengurus, pemegang kendali, pemberi perintah, pemilik manfaat), korporasi dapat dijatuhi pidana tambahan berupa; perampasan keuntungan dan/ atau harta kekayaan yang diperoleh atau hasil dari tindak pidana; pembekuan seluruh atau sebagian usaha Korporasi; pelarangan permanen melakukan perbuatan tertentu; melaksanakan kewajiban yang telah dilalaikan; pembayaran ganti kerugian; penutupan seluruh atau sebagian tempat usaha dan/ atau kegiatan korporasi; pencabutan izin ; pembubaran korporasi.
“Ketika memenuhi delik yang ada, itu dapat di pidana. Lalu jika ada andil dari korporasi, maka dapat dikenai sanksi,” jelas Kautsar.
Sementara itu Ketua Ikatan Praktisi Sumber Daya Manusia (IPSM) Fifien Marsaulina Sitorus menyampaikan bahwa penerapan UU PDP merupakan hal positif bagi semua pihak. Untuk HR sendiri, impelentasinya menjadi tantangan yang berat, mengingat instrumen dan fasilitas belum tersedia, dan juga sanksi yang sudah menunggu jika terjadi pelanggaran UU PDP.
Sejak UU PDP resmi disahkan, dia mengaku pihaknya belum memahami betul muatan UU PDP. Sehingga dengan seminar yang diselenggarakan bersama Hukumonline, Fifien berharap anggota IPSM dapat belajar sebelum UU PDP resmi berlaku tahun depan. Yang terpenting saat ini adalah pihaknya sudah mendapatkan gambaran apa saja yang harus dipersiapkan dalam memenuhi aturan UU PDP.
“Ini jadi PR berat, karena ada 30 halaman atau berapa itu yang harus disiapkan oleh perusahaan. Dan itu harus mulai kami siapkan dari saat ini, terlebih seperti disampaikan tadi ada sanksi-sanksinya baik adminsitrasi maupun pidana. Itu jadi pressure tersendiri,” jelasnya pada acara yang sama.