Sebagai bagian dari salah satu hak asasi manusia yang harus dilindungi, pelindungan data pribadi menjadi aspek yang tidak dapat dikesampingkan begitu saja. Mengingat teknologi yang semakin masif berkembang hingga membuat berbagai transaksi dan kegiatan dapat dilakukan secara online dengan memerlukan data pribadi pengguna. Karena itu, perlindungan data pribadi menjadi isu yang makin hangat dibincangkan.
“Kalau bicara pelindungan data pribadi dengan cyber security (keamanan siber) sebetulnya dua hal berbeda. Tapi tujuannya sama, untuk melindungi data pribadi, melindungi sistem. Nah, UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) memuat kewajiban terkait keamanan data, termasuk langkah mitigasinya apa saja,” terang Partner K&K Advocates Danny Kobrata dalam diskusi bertajuk “Corporate Insight: Strengthening PDP Law Governance Through Cybersecurity” yang diselenggarakan oleh Telkomsigma, di Jakarta, Rabu (15/5/2024).
Partner K&K Advocates Danny Kobrata.
Baca Juga:
- Persetujuan Pemrosesan Data Pribadi Dilakukan Melalui Persetujuan Tertulis atau Terekam
- 8 Prinsip Hak Privasi dalam Aturan Pelindungan Data Pribadi
Perihal kewajiban pemrosesan data pribadi termuat dalam BAB VI UU PDP yang ditujukan kepada pengendali data pribadi dan prosesor data pribadi. Di antara kewajiban pengendali data pribadi, misalnya termasuk mencegah data pribadi diakses secara tidak sah. Pasal 39 ayat (2) UU PDP berbunyi, “Pencegahan sebagaimana dimaksud pada ayat (1) dilakukan dengan menggunakan sistem keamanan terhadap Data Pribadi yang diproses dan/atau memproses Data Pribadi menggunakan sistem elektronik secara andal, aman, dan bertanggung jawab”.
Danny melanjutkan hadirnya UU PDP yang akan mulai berlaku pada Oktober 2024 mendatang ini seyogyanya diperhatikan seksama oleh perusahaan. Pasalnya, terdapat risiko hukum bagi perusahaan yang tidak menjaga keamanan dan kerahasiaan data yang dimiliki. Kontrol dan alat keamanan siber yang kuat perlu diberikan atensi lebih ke depannya untuk memastikan pemenuhan perusahaan atas upaya menjaga data pribadi.
“Supaya tidak gampang dibobol, kalau begitu artinya salah satu aspek penting UU PDP sudah dapat terpenuhi perusahaan. Ada kewajiban perusahaan harus secara umum menjaga keamanan dan kerahasiaan data pribadi, tapi tidak terlalu teknis (mengenai alat keamanan siber). Di Peraturan BSSN ada aturan mengenai harus sertifikasi dan sebagainya, itu salah satu cara memastikan comply dengan aturan keamanan siber. Kalau technical itu diserahkan ke perusahaan masing-masing.”
Dalam hal terjadi kegagalan Pelindungan Data Pribadi, UU PDP telah mengatur langkah demi langkah yang harus dilakukan perusahaan. Bagi Pengendali Data Pribadi, wajib menyampaikan pemberitahuan secara tertulis selambat-lambatnya 3 x 24 jam kepada Subjek Data Pribadi dan lembaga sebagaimana tertuang dalam Pasal 46 ayat (1) UU PDP. Dalam hal tertentu, pengendali data pribadi diharuskan memberitahu masyarakat mengenai kegagalan perlindungan data pribadi.